网络安全防护的分布式入侵检测与内网监控系统及方法.pdf

网络安全防护的分布式入侵检测与内网监控系统及方法
    【技术领域】

    本发明涉及一种网络安全防护的系统及方法，特别是一种用于网络安全防护的分布式入侵检测与内网监控系统及方法。该系统和方法能为内部局域网和连接Internet的网络用户提供网络安全保障，它适用于对网络安全有严格要求的涉密网络，以及金融、保险、电力、烟草、教育、证券等点多、面广、网络状况复杂并需要进行网络安全集中管理的大中型网络。

    背景技术

    随着互联网的广泛应用和电子商务的迅速发展，对网络安全技术提出了越来越高的要求，网络安全已成为世界各国政府和企业关注的重要问题。目前，解决网络安全的问题主要采用防杀毒软件、防火墙、信息加密、入侵检测系统、安全认证等等安全产品和技术。这些安全产品和技术对网络安全起到一定的防护作用，但由于这些均为分裂的、单一安全产品和技术，且缺少对内网进行强有力的监控，对整个网络安全的防护存在着以下缺陷：1、单一的网络安全产品只能从不同侧面保护网络的安全，不能提供网络安全整体保护方案，比如防火墙只能机械地防止外部攻击，而对内部的攻击缺乏安全防护，无法解决网络安全内部具有的相关性问题，而且防火墙是采用直接阻断，影响网络速度；再如入侵检测系统IDS缺乏内网监控功能，无法按网络管理要求智能细化网络管理。2、目前的网络产品安全阻断策略不灵活，扩展性较差，难以实现随着网络攻击技术的不断提高、攻击方式的不断变化而及时提高和升级。3、目前的入侵检测系统IDS在检测通讯数据时，会影响数据流的速度；而且IDS系统一般用文档记录，记录量不大，且处理不灵活。4、一般的入侵检测系统IDS基于IP地址访问控制，而IP地址极易改动及假冒，会影响监控地准确性。

    【发明内容】

    本发明所要解决的技术问题是，克服现有技术存在的缺陷，提供一种综合网络安全策略用来保护分布式局域网，特别是大型局域网组提供内外网的入侵检测、阻断、管理，使网络安全性能得以提高的网络安全防护的分布式入侵检测与内网监控系统及方法。

    本发明解决上述问题所采用的技术方案是，该网络安全防护的分布式入侵检测与内网监控系统，包括检测器、中央控制器，其结构特点是：该安全防护的系统为三层分布式结构，还配置有管理监控中心和后台数据库及审计系统，所述的检测器包含网络检测器和主机检测器，网络检测器分布在网络的敏感部位，主机检测器安装在网络中的重要或敏感服务器上，网络检测器和主机检测器与中央处理器、管理监控中心、后台数据库均相联。

    本发明所述的中央控制器可独立运行也可以代理方式运行，在代理方式运行时受管理监控中心控制。

    本发明所述的三层分布式结构中各部件可以运行在一台计算机上，也可以分布运行在多台计算机上。

    本发明解决上述问题所采用的技术方案还可以是：该网络安全防护的分布式入侵检测与内网监控方法，其特点是：该安全防护方法包括如下步骤：

    a、先建立系统网络和主机的安全规则，然后网络检测器、主机检测器根据各自的安全规则对通讯数据及操作按照IP地址和MAC地址进行实时监控；

    b、网络检测器首先对数据流根据网络安全规则进行检测，当发现有入侵者时，进行旁路阻断，即对违规通讯数据进行阻断，其它数据安全畅通，网络检测器在进行阻断同时向中央控制器报告入侵通讯数据；

    c、中央控制器在接到网络检测器的报告后，将入侵者的MAC地址、IP地址、计算机名及入侵特征、数据记入后台数据库，并且根据不同入侵级别发出不同的声光报警信号；

    d、当有的入侵者绕过网络检测器而进入主机或内网违规者进入主机时，主机检测器根据主机安全规则实施监控，发现违规操作，主机检测器即进行即时阻断，拒绝违规操作，并向中央控制器报警；

    e、中央控制器将主机检测器报告的违规操作者的MAC地址、IP地址、计算机名及违规操作步骤、数据记入后台数据库，并且根据不同级别的违规行为发出不同的声光报警信号。

    本发明所述的网络检测器和主机检测器监控的对象细化到网卡的MAC地址、或MAC地址与IP地址同时监控。

    本发明所述的旁路阻断为网络检测器一旦检测到与安全规则上相匹配的特征码数据包时，检测器马上生成一个包发往发送违规通讯数据的源地址，阻断其继续发送违规通讯数据，其它数据流的速度不受影响。

    本发明所述的步骤c和步骤e后根据后台数据库记录的信息，实时或时后对各种数据进行图标式/表格式/数字式的审计，并且对被破坏的数据进行还原。

    本发明所述的步骤a后出现新的入侵特征及新的违规操作行为时，对系统网络和主机的安全规则进行补充和升级。

    本发明所述的审计带有综合分析报表自定义，支持任意数据字段的提取、过滤、定制报表，并将报表导出为HTML、Database、Excel、TEXT格式。

    本发明与现有技术相比具有以下有益的效果：1、该网络安全防护的分布式入侵检测与内网监控系统采用三层分布式结构，各个部件既可通过严格的身份认证和数据加密等技术相互联动又可各自独立工作，可以对多子网系统同时进行监控，集中管理，并能自动发现网关内/外主机的MAC信息，便于管理分布式大型网络系统。该网络安全防护系统具有良好的扩展性、易维护性、可读性、可移植性、组件重用性和多层次的分布性能，有效地提高系统的容错能力和可靠性，增强了系统的健壮性。而且本发明采用旁路方式接入系统，无需对网络的结构及设置作任何改动；对网络通讯也不会有任何延时，大大减少了对通信数据流的影响。2、该网络安全防护的分布式入侵检测与内网监控方法基于计算机的MAC地址、IP网段、协议、端口等的内网资源访问控制，克服了现有的入侵检测系统IDS按IP地址管理存在的缺陷，实现入侵检测、入侵阻断功能及内网资源访问控制，全面规范内部操作人员行为、有效地阻断外部入侵。3、本发明采用旁路阻断技术，实现了阻断的目的又不影响数据流的速度。4、本发明采用的数据库技术，可以海量地记录IP地址、MAC地址、用户名、及操作事件、时间等，在统计、审计、汇总中可以灵活用图表、表格、文档等格式实时或事后对事件进行操作。

    【附图说明】

    图1为本发明网络安全防护的分布式入侵检测与内网监控系统结构示意图。

    图2为本发明网络安全防护的分布式入侵检测与内网监控方法流程图。

    图3为本发明网络安全防护的分布式入侵检测与内网监控方法原理示意图。

    【具体实施方式】

    本发明网络安全防护系统的实施例参见图1。该网络安全防护的分布式入侵检测与内网监控系统为三层分布式结构，包括检测器1、中央控制器2、管理监控中心3和后台数据库4。检测器1包含网络检测器101和主机检测器102。网络检测器101和主机检测器102与中央处理器2、管理监控中心3、后台数据库4均相联。

    实施例网络检测器102分布在网络的敏感部位，基于先进的网络报文捕获技术，实时监视网络的数据流，按照管理监控中心3制定的安全规则对数据流进行实时分析，发现网络攻击或网络违规行为的时候，按照安全规则的定义实施实时响应，如：向中央控制器2发送报警和根据指定的策略进行阻断等。主机检测器102安装在信息网络中的重要或敏感服务器上，负责按照指定的安全规则监视系统审计信息，并进行实时分析，发现可疑活动和违规活动时，及时向中央控制器2报警。

    中央控制器2负责接收各网络检测器101及主机检测器102的入侵报警、网络流量、内网违规、系统审计等信息，写入后台数据库4并实时显示。中央控制器2可独立运行也可以代理方式运行，在代理方式运行时受管理监控中心3控制，转发管理监控中心3制定的安全规则、及对各检测器1的控制命令。

    管理监控中心3负责全面管理内网各个部门机每一台主机的基本信息，针对部门或主机设置响应的内网管理规则，灵活定义网络入侵、主机审计规则，通过中央控制器2发布针对每个检测器各自的安全规则，并控制各检测器1的运行；提供详尽的日志和灵活的审计分析报表，提供文本和图形等多种报表形式，并可将报表导出为HTML、Database、Excel、TEXT等多种格式，方便用户存档和查询；提供独特的用户自定义报表功能，充分满足用户的不同需求。

    实施例的后台数据库4数据存储在中间层，能增加系统安全性和提高性能，增加部署方案的灵活性。实施例采用大型的SQL Server数据库工具，能支持无限大的数据量，将报警、网络流量、内网违规、系统审计等信息，详细的记录了下来。

    实施例的三层分布式结构中各部件可以运行在一台计算机上，也可以分布运行在多台计算机上。

    本发明网络安全防护方法的实施例参见图2。该网络安全防护的分布式入侵检测与内网监控方法，其网络检测器和主机检测器监控的对象细化到网卡的MAC地址、或MAC地址与IP地址同时监控。

    该方法的具体步骤如下：

    1、先建立系统网络和主机的安全规则。安全规则分预置和新增，实施例预置了对应于1700多条网络入侵手段的规则，若出现新的入侵特征及新的违规操作行为等入侵手段时，安全规则可及时进行补充和升级。然后网络检测器101、主机检测器102根据各自的安全规则对通讯数据及操作按照IP地址、MAC地址进行实时检测和监控。

    2、网络检测器101首先对数据流根据网络安全规则进行检测，当发现有入侵者时，直接进行旁路阻断。旁路阻断为网络检测器101一旦检测到与安全规则上相匹配的特征码数据包时，检测器101马上生成一个很小的包发往发送违规通讯数据的源地址，阻断其继续发送违规通讯数据，其它数据流的速度不受影响、安全畅通。网络检测器101在进行阻断同时向中央控制器2报告入侵通讯数据。

    3、中央控制器2在接到网络检测器101的报告后，将入侵者的MAC地址、IP地址、计算机名及入侵特征、数据记入后台数据库4，并且根据不同入侵级别发出不同的声光报警信号。管理监控中心3根据后台数据库4记录的信息，实时或时后对各种数据按照图标式、表格式、数字式等灵活多变的格式进行审计；同时对被破坏的数据进行还原。

    4、当有的入侵者绕过网络检测器101而进入主机或内网违规者进入主机时，主机检测器102根据主机安全规则实施监控，发现违规操作，主机检测器102即进行即时阻断，拒绝违规操作，并向中央控制器2报警。

    5、中央控制器2在接到主机检测器102的报告后，对违规操作者的MAC地址、IP地址、计算机名及违规操作步骤、数据记入后台数据库4，并且根据不同级别的违规行为发出不同的声光报警信号。

    6、管理监控中心3根据后台数据库4记录的信息，实时或时后对各种数据进行图标式/表格式/数字式的审计，并且对被破坏的数据进行还原。审计带有综合分析报表自定义，支持任意数据字段的提取、过滤、定制报表，并将报表导出为HTML、Database、Excel、TEXT格式。

    该发明采用先进的分布式体系结构，实时监测网络动态信息，同时具备基于网络、基于主机的入侵检测功能，根据设置的安全规则，智能地监测和抵御来自外部的入侵、防止来自内部的危胁。是集检测、审计、控制、跟踪、报警等多种功能为一体，全方位的安全检测与防御系统。主要用于监视并记录计算机网络中的各类操作，实时地综合分析网络中发生的外部和内部安全事件。外部事件如外部入侵行为，内部事件如内部人员的文件拷贝、信息获取、信息发布、资源变迁等。根据设置的安全规则，智能地判断出违规行为，并对违规行为进行记录、报警和阻断。同时，对网络中出现的黑客入侵行为进行实时报警和阻断，可以有效地阻拦来自网络内部和外部，特别是来自因特网的恶意破坏行为及内部网的违规行为。系统自身的数据具备防销毁、防篡改的特性，能够为网络犯罪案件的侦破和取证提供精确、宝贵的辅助数据。它可以在内部局域网上建立完善的安全预警和安全应急反应体系，为信息系统的安全运行提供保障。本发明还提供基于主机的入侵检测功能用于保护关键应用的服务器，实时监视操作系统上的系统、事件、安全日志。一旦发现这些文件发生违规变化，本系统将比较新的日志记录与攻击签名、记录条目与攻击特征以发现它们是否匹配，并检查不应该改变的系统文件和分析系统、判断是否被侵入或者被攻击。如果检测到，检测系统就向管理员发出入侵报警并且发出采取相应的行动。

    该网络安全防护的分布式入侵检测与内网监控系统及方法的具体功能及特点如下：

    1、基于协议分析、状态分析、特征分析的入侵检测、入侵阻断功能。具备反规则躲避能力；支持攻击特征用户自定义。

    2、基于MAC地址、IP网段、协议、端口等的强大灵活的内网资源访问控制/审计功能。

    3、基于主机的系统核心活动、对象访问检测。

    4、全面精确的安全审计。精确的网络信息捕捉及协议还原；支持HTTP、FTP、SMTP、POP3、SQL等；严格按MAC地址确定机器；支持海量数据的审计分析，大于五千万条历史记录；提供方便灵活的组合搜索功能；具有完备的系统操作日志。

    5、网络流量的实时跟踪并提供每台主机历史流量监测统计。

    6、实时阻断涉密/有害信息/病毒在内部网络的传播。

    7、强大的综合分析报表自定义功能。

    8、分布式体系结构，集中控制。可同时对多个网络系统进行审计监控，灵活方便地重组新系统；缓存、续传机制保证了在恶劣网络环境下的不间断检测；自动发现网关内/外主机的MAC信息便于管理分布式大型网络系统。

    9、自我保护功能。监听网卡不带IP地址，保证探测器不受黑客攻击；各个部件通过严格的身份认证和数据加密等技术相互联动又可各自独立工作。

    10、采用旁路方式接入系统。

    本发明已应用在烟草行业、电信局等网络布点多、状况复杂，并需要进行网络安全集中管理的多个单位的交换式局域网、共享式局域网、多子网分布式大中型网络，效果明显、反映良好。