国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種堅(jiān)固網(wǎng)關(guān)系統(tǒng)及其檢測攻擊方法

      文檔序號:7943939閱讀:255來源:國知局
      專利名稱:一種堅(jiān)固網(wǎng)關(guān)系統(tǒng)及其檢測攻擊方法
      技術(shù)領(lǐng)域
      本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù),尤其涉及DOS/DDOS檢測攻擊技術(shù)。
      背景技術(shù)
      隨著Internet的發(fā)展,網(wǎng)絡(luò)攻擊的手段日益增多。拒絕服務(wù)(Denial ofService簡稱DOS)就是其中一種,采用此種方式的攻擊手段直接威脅著網(wǎng)絡(luò)的可用性。最常見的DOS攻擊就是攻擊者在短時間內(nèi),通過發(fā)送成千上萬的垃圾數(shù)據(jù)或者非法請求,淹沒目標(biāo)服務(wù)器或者目標(biāo)網(wǎng)絡(luò),使合法用戶的服務(wù)請求被拒絕。DOS攻擊實(shí)質(zhì)上是一種對網(wǎng)絡(luò)或系統(tǒng)的入侵行為,但是這種入侵行為與正常服務(wù)的操作常常無法區(qū)分,舉例來說對WWW服務(wù)器大量的頁面請求可能就是一次拒絕服務(wù)攻擊。當(dāng)前,在DOS的基礎(chǔ)上進(jìn)一步出現(xiàn)了一種新的、更具威脅的演化版本DDOS(Distributed Denial ofService),此種攻擊方式向網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)。DDOS攻擊利用Internet分布式連接的特點(diǎn),通過分布在世界各地的計(jì)算機(jī)產(chǎn)生大規(guī)模的數(shù)據(jù)包洪泛,對一個或者多個計(jì)算機(jī)進(jìn)行攻擊。
      現(xiàn)有技術(shù)中,存在以下安全技術(shù)和產(chǎn)品,然而這些產(chǎn)品檢測DOS/DDOS攻擊的能力十分有限1、防火墻防火墻作為一種計(jì)算機(jī)網(wǎng)絡(luò)的安全保護(hù)產(chǎn)品,采用的是一種隔離控制技術(shù)在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)如Internet之間設(shè)置障礙,阻止外部網(wǎng)絡(luò)對內(nèi)部資源的非法訪問。實(shí)現(xiàn)防火墻的主要技術(shù)有數(shù)據(jù)包過濾、應(yīng)用網(wǎng)關(guān)和代理服務(wù)。數(shù)據(jù)包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實(shí)施有選擇的通過;應(yīng)用網(wǎng)關(guān)則是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾;兩者都是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過,而代理服務(wù)則是將防火墻內(nèi)外的應(yīng)用層鏈接由兩個終止于代理服務(wù)器的鏈接來實(shí)現(xiàn)。這些技術(shù)的核心都是在防火墻中配置一定的規(guī)則,然后檢查這些規(guī)則是否被滿足來發(fā)現(xiàn)入侵,而規(guī)則的制定和更改一般是由專業(yè)人員手工完成。防火墻只能檢測出那些可以預(yù)計(jì)的攻擊,對于未知的攻擊,特別是DOS/DDOS攻擊是無法有效檢測的。而且,防火墻的控制對象是單個的數(shù)據(jù)包,對于大量的數(shù)據(jù)行為是難以發(fā)現(xiàn)和控制的。例如,DOS/DDOS攻擊中的SNY洪泛攻擊,攻擊中的單個數(shù)據(jù)在協(xié)議上都是完全合法的,然而大量的這種數(shù)據(jù)包就構(gòu)成了一次攻擊。
      2、入侵檢測系統(tǒng)(IDS)產(chǎn)品入侵行為是指那些破壞計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性或者繞過安全機(jī)制的企圖。IDS產(chǎn)品所起的作用就是通過監(jiān)視計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)中的事件,分析發(fā)現(xiàn)入侵的跡象。IDS產(chǎn)品就是一些軟件或者硬件產(chǎn)品,能夠自動的完成監(jiān)視和分析的過程,從而檢測出入侵行為。目前已經(jīng)有許多IDS產(chǎn)品,盡管它們采用監(jiān)視和分析技術(shù)不同,但是它們都符合如圖1所示的IDS通用處理模型。
      由圖1可見,IDS產(chǎn)品都具有3個最基礎(chǔ)的功能模塊數(shù)據(jù)源、分析引擎和響應(yīng),通常數(shù)據(jù)源模塊與分析引擎同位于監(jiān)視主機(jī)11。
      數(shù)據(jù)源模塊負(fù)責(zé)從系統(tǒng)的不同層次收集數(shù)據(jù),例如單個主機(jī)或者網(wǎng)絡(luò)等。相應(yīng)的,存在基于主機(jī)的監(jiān)視系統(tǒng)12和基于網(wǎng)絡(luò)的監(jiān)視系統(tǒng)13。這兩個監(jiān)視系統(tǒng)發(fā)送響應(yīng)消息至響應(yīng)模塊14,響應(yīng)模塊14控制防火墻15和路由器16過濾數(shù)據(jù)。分析引擎是入侵檢測系統(tǒng)中真正負(fù)責(zé)檢測入侵行為的功能模塊,它通過分析數(shù)據(jù)源提交的事件,判決是否發(fā)生了入侵,并將檢測的結(jié)果通知給響應(yīng)模塊。分析引擎的位置可以位于單個主機(jī),也可以位于內(nèi)部網(wǎng)絡(luò)的任何接口處。
      IDS產(chǎn)品的分析引擎所采用的檢測方法包括以下兩種A、基于知識的檢測方法
      基于知識的檢測方法運(yùn)用已知的攻擊或者系統(tǒng)的已知漏洞,抽象出特征,通過判斷這些特征是否在數(shù)據(jù)中出現(xiàn)來檢測攻擊?;谥R的檢測方法的缺陷在于只能檢測已知的攻擊手段,當(dāng)出現(xiàn)針對新漏洞的攻擊手段或者針對已知漏洞的新的攻擊方式時,需要人工或者借助其它機(jī)器學(xué)習(xí)系統(tǒng)得出相應(yīng)的特征,作為檢測的依據(jù),才能使產(chǎn)品或者系統(tǒng)具備檢測新攻擊手段的能力。對于新型的攻擊由于缺乏相應(yīng)的特征描述,常常無法檢測到,因而需要不斷的、及時的升級,才能保證檢測能力的完備性。
      B、基于行為的檢測方法基于行為的檢測方法通常以目標(biāo)網(wǎng)絡(luò)或者目標(biāo)主機(jī)的活動密度、文件的訪問、I/O活動、登錄頻率、CPU時間的占用以及網(wǎng)絡(luò)連接等作為分析的對象,通過學(xué)習(xí)逐步建立起用戶行為的模式(或者是向量),根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵。基于行為的檢測方法的關(guān)鍵在于如何確定正常的行為。實(shí)際應(yīng)用中,這種檢測方法極易受到網(wǎng)絡(luò)環(huán)境的影向,誤檢率比較高。
      但是,IDS產(chǎn)品檢測DOS/DDOS攻擊時存在以下缺陷(1)無論是基于主機(jī)的監(jiān)視系統(tǒng)還是基于網(wǎng)絡(luò)的監(jiān)視系統(tǒng),它們都很容易受到DOS/DDOS攻擊。基于主機(jī)的監(jiān)視系統(tǒng)實(shí)際上就是運(yùn)行在單個主機(jī)上的一個進(jìn)程,這個進(jìn)程的運(yùn)行需要消耗受保護(hù)主機(jī)的資源,因而也是DOS/DDOS攻擊的目標(biāo)?;诰W(wǎng)絡(luò)的監(jiān)視系統(tǒng)中監(jiān)視主機(jī)與網(wǎng)絡(luò)內(nèi)其它的主機(jī)的地位是一樣的,如果受到DOS/DDOS攻擊,將無法繼續(xù)收集網(wǎng)絡(luò)上的數(shù)據(jù),也就使得入侵檢測系統(tǒng)陷入癱瘓狀態(tài)。
      (2)響應(yīng)模塊負(fù)責(zé)在攻擊發(fā)生時,采取一系列的措施來阻止攻擊保護(hù)系統(tǒng)資源。最常用的主動響應(yīng)方式是阻斷攻擊,IDS是沒有能力阻斷攻擊者的進(jìn)入,只能是阻斷某些被懷疑為是攻擊者的IP地址,通過發(fā)送TCP RET命令或者重新配置路由器和防火墻來解決。然而該措施十分危險(xiǎn),首先響應(yīng)命令的傳送可能會被黑客截獲,其次發(fā)送大量的TCP RET命令可能就是被用來發(fā)起了DDOS攻擊,大量虛警造成對路由器和防護(hù)墻的頻繁配置會大大影響網(wǎng)絡(luò)的性能。
      可見,IDS產(chǎn)品本身就極易受到DOS/DDOS攻擊,而且在攻擊發(fā)生后必須依靠其它的安全產(chǎn)品來抵制攻擊,自身缺乏有效的抵制措施。
      3、應(yīng)用數(shù)據(jù)挖掘技術(shù)檢測DOS/DDOS的保護(hù)方案數(shù)據(jù)挖掘技術(shù)就是從大量數(shù)據(jù)中提取出內(nèi)在的、固有的、先前未知的并且最終可理解的信息的過程。可以使用所抽取的信息來形成一個預(yù)測或分類模型,或者找出數(shù)據(jù)庫記錄間的相似性。發(fā)掘出的結(jié)果信息可幫助做出更有力的決策。因而數(shù)據(jù)挖掘技術(shù)作為一種數(shù)據(jù)分析手段被引入到了現(xiàn)有的入侵檢測系統(tǒng)中。下面以DuDe為例來介紹運(yùn)用數(shù)據(jù)挖掘技術(shù)檢測DOS/DDOS攻擊的方法以及這種方案中普遍存在的安全缺陷。
      DuDe的英文全稱是Defense Under Denial-of-Service,即在DOS攻擊下的防御,它是Columbia University的一個在DOS攻擊發(fā)生時對網(wǎng)絡(luò)的保護(hù)方案,其中使用數(shù)據(jù)挖掘技術(shù)作為檢測DOS的方法。參見圖2所示,系統(tǒng)由分布在內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)收集引擎(DCA,Data Collection Agent)和數(shù)據(jù)融合器(DFA,Data Fusion Agent)組成,DFA利用挖掘算法產(chǎn)生流量模型,DCA依據(jù)這一流量模型實(shí)時檢測進(jìn)入的流量,發(fā)現(xiàn)異常并作相應(yīng)的處理。DFA使用機(jī)器學(xué)習(xí)算法和數(shù)據(jù)挖掘算法產(chǎn)生模型,因而用來訓(xùn)練的這些數(shù)據(jù)集必須能夠充分模擬真實(shí)的網(wǎng)絡(luò)活動。
      該方法需要大量經(jīng)過標(biāo)記的數(shù)據(jù)正常數(shù)據(jù)與攻擊數(shù)據(jù)來訓(xùn)練模型。由于產(chǎn)生上述訓(xùn)練數(shù)據(jù)的成本很高,且需要大量的人工工作,而且,在一個環(huán)境中經(jīng)過訓(xùn)練的模型被用于另一環(huán)境時通常不能很好的工作,必須重新構(gòu)造訓(xùn)練數(shù)據(jù)。因此這種方法的可移植性比較差。在結(jié)構(gòu)上,DCA實(shí)際上是運(yùn)行在Web-Server上的一個軟件,所有需要進(jìn)入Web-Server的流量都必須經(jīng)過DCA,對于DOS/DDOS攻擊本身就缺乏抵制的能力。
      4、其它抵制DOS/DDOS攻擊的產(chǎn)品
      目前,國際上有許多網(wǎng)絡(luò)公司致力于研究和開發(fā)專用的DOS/DDOS攻擊檢測產(chǎn)品作為現(xiàn)有安全措施的補(bǔ)充,主要有TopLayer公司的AttackMitigator,Arbor公司的Peakflow DOS,Capus公司的CaptIO Security Device,Asta Network公司的Vantage System以及Mazu公司的Mazu Enforcer等。這些產(chǎn)品的一個共同特點(diǎn)就是只是一個單獨(dú)的設(shè)備,這樣顯然不能檢測受保護(hù)網(wǎng)絡(luò)的整體狀況,這一缺陷雖然可以通過在網(wǎng)絡(luò)中增加多個設(shè)備得到一定程度的彌補(bǔ),但是這些設(shè)備之間無法共享信息,達(dá)到共同防御的目的。例如,當(dāng)一臺設(shè)備檢測到攻擊發(fā)生時,無法將檢測的結(jié)果通知其它的設(shè)備。
      就使用的檢測方法而言,它們都利用了現(xiàn)有的入侵檢測技術(shù)。除了TopLayer公司的AttackMitigator通過預(yù)先配置已知攻擊的機(jī)制來檢測某些DOS攻擊外,其余公司都采用了基于行為的異常檢測機(jī)制,如上所述,這兩種方法都存在著很大的安全缺陷。

      發(fā)明內(nèi)容
      有鑒于此,本發(fā)明的主要目的在于提供一種堅(jiān)固網(wǎng)關(guān)系統(tǒng),包括多個堅(jiān)固網(wǎng)關(guān)設(shè)備、多個實(shí)時監(jiān)控器、一個中心主機(jī)和一個數(shù)據(jù)倉庫,堅(jiān)固網(wǎng)關(guān)設(shè)備、實(shí)時監(jiān)控器、中心主機(jī)連接構(gòu)成三層邏輯結(jié)構(gòu),每個堅(jiān)固網(wǎng)關(guān)設(shè)備與對應(yīng)的實(shí)時監(jiān)控器連接,每個實(shí)時監(jiān)控器與中心主機(jī)連接,中心主機(jī)與數(shù)據(jù)倉庫連接,其中每個堅(jiān)固網(wǎng)關(guān)設(shè)備均置于外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間,相對于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)透明設(shè)置,具有數(shù)據(jù)采集和數(shù)據(jù)過濾功能;每個實(shí)時監(jiān)控器均具有從堅(jiān)固網(wǎng)關(guān)設(shè)備采集到的檢測數(shù)據(jù)中提取流量特征、依據(jù)中心主機(jī)傳送來的流量模型判斷當(dāng)前流量特征是否異常、向堅(jiān)固網(wǎng)關(guān)發(fā)布響應(yīng)策略以控制堅(jiān)固網(wǎng)關(guān)對來自外部的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾的功能;中心主機(jī)具有根據(jù)從數(shù)據(jù)倉庫傳送來的流量特征,生成流量模型和不斷自適應(yīng)生成新流量模型的功能,同時,該設(shè)備還將存儲在其上的產(chǎn)生流量特征的策略配置發(fā)布到實(shí)時監(jiān)控器上;
      數(shù)據(jù)倉庫通過中心主機(jī)獲得實(shí)時監(jiān)控器上的檢測數(shù)據(jù)的流量特征,保存在該數(shù)據(jù)倉庫中,在中心主機(jī)生成流量模型時,中心主機(jī)從該數(shù)據(jù)倉庫獲得流量特征。
      其中,所述堅(jiān)固網(wǎng)關(guān)設(shè)備包括在該設(shè)備中配置的抓包庫,完成從INTERNET獲取原始數(shù)據(jù)包的功能;在該設(shè)備中配置的防火墻,根據(jù)從實(shí)時監(jiān)控器獲得的響應(yīng)策略,將從INTERNET獲取的原始數(shù)據(jù)過濾,傳送到內(nèi)部網(wǎng)絡(luò)。
      其中,所述堅(jiān)固網(wǎng)關(guān)相對于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)透明設(shè)置包括堅(jiān)固網(wǎng)關(guān)具有設(shè)置于相同網(wǎng)段的與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的兩個接口。
      其中,所述實(shí)時監(jiān)控器包括流量特征提取模塊該模塊根據(jù)從中心主機(jī)獲得的產(chǎn)生流量特征的策略,利用關(guān)聯(lián)算法對堅(jiān)固網(wǎng)關(guān)設(shè)備傳來的檢測數(shù)據(jù)進(jìn)行特征提取,獲得流量特征;檢測攻擊模塊該模塊從流量特征提取模塊獲得流量特征,并從中心主機(jī)獲得流量模型,利用獲得的流量模型和流量特征完成檢測攻擊功能,依據(jù)檢測結(jié)果完成發(fā)布響應(yīng)策略至堅(jiān)固網(wǎng)關(guān)的功能。
      其中,所述實(shí)時監(jiān)控器進(jìn)一步包括報(bào)警可視化模塊,該模塊將檢測攻擊模塊的檢測結(jié)果可視化。
      其中,所述中心主機(jī)包括數(shù)據(jù)庫代理模塊,完成從數(shù)據(jù)倉庫讀取流量特征、傳送到中心主機(jī)的模型產(chǎn)生模塊的功能,和完成接收各個實(shí)時監(jiān)控器上的流量特征,存儲在數(shù)據(jù)倉庫的功能;模型產(chǎn)生模塊,根據(jù)由數(shù)據(jù)庫代理模塊獲得的流量特征,依據(jù)產(chǎn)生流量特征的配置,按照聚類算法生成流量模型,并將該模型發(fā)送到各個實(shí)時監(jiān)控器中。
      其中,所述中心主機(jī)進(jìn)一步包括模型可視化模塊,接收來自模型產(chǎn)生模塊的模型,在中心主機(jī)上顯示該模型。
      其中,所述每個實(shí)時監(jiān)控器與中心主機(jī)連接包括每個實(shí)時監(jiān)控器連接到網(wǎng)絡(luò)集線器,通過網(wǎng)絡(luò)集線器連接到中心主機(jī)。
      其中,所述每個實(shí)時監(jiān)控器與中心主機(jī)連接包括每個實(shí)時監(jiān)控器連接到內(nèi)部網(wǎng)絡(luò)交換機(jī),通過內(nèi)部網(wǎng)絡(luò)交換機(jī)連接到中心主機(jī)。
      本發(fā)明還提供一種利用堅(jiān)固網(wǎng)關(guān)系統(tǒng)對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測攻擊的方法,其中,堅(jiān)固網(wǎng)關(guān)系統(tǒng)中各個堅(jiān)固網(wǎng)關(guān)設(shè)備與受保護(hù)網(wǎng)絡(luò)連接,每個堅(jiān)固網(wǎng)關(guān)設(shè)備分別與各自的實(shí)時監(jiān)控器連接,各個實(shí)時監(jiān)控器與中心主機(jī)連接,中心主機(jī)與數(shù)據(jù)倉庫連接,其特征在于采用基于數(shù)據(jù)挖掘的自適應(yīng)檢測方法,該方法包括以下步驟A、堅(jiān)固網(wǎng)關(guān)系統(tǒng)中的各個堅(jiān)固網(wǎng)關(guān)設(shè)備從來自外部網(wǎng)絡(luò)的數(shù)據(jù)中獲得檢測數(shù)據(jù),分別將檢測數(shù)據(jù)傳送到各自的實(shí)時監(jiān)控器,實(shí)時監(jiān)控器根據(jù)產(chǎn)生流量特征的策略配置,利用關(guān)聯(lián)算法分別從檢測數(shù)據(jù)中獲得流量特征;B、中心主機(jī)從數(shù)據(jù)倉庫獲得流量特征,根據(jù)生成流量模型的策略配置,利用聚類算法處理流量特征,生成由正常聚類組成的流量模型,將該流量模型發(fā)送到各個實(shí)時監(jiān)控器,和各個實(shí)時監(jiān)控器分別將檢測數(shù)據(jù)的流量特征發(fā)送到中心主機(jī),中心主機(jī)將這些流量特征存儲到數(shù)據(jù)倉庫中;C、各個實(shí)時監(jiān)控器根據(jù)該流量模型對檢測數(shù)據(jù)的流量特征進(jìn)行檢測,根據(jù)檢測結(jié)果控制堅(jiān)固網(wǎng)關(guān)對原始網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾。
      其中,在所述步驟A之前,堅(jiān)固網(wǎng)關(guān)系統(tǒng)初始化,進(jìn)行自學(xué)習(xí)過程,生成流量模型,包括堅(jiān)固網(wǎng)關(guān)系統(tǒng)中的實(shí)時監(jiān)控器根據(jù)產(chǎn)生流量特征的策略配置,利用關(guān)聯(lián)算法獲得收集到的網(wǎng)絡(luò)數(shù)據(jù)的流量特征,這些流量特征通過中心主機(jī)儲存在數(shù)據(jù)倉庫中,中心主機(jī)根據(jù)產(chǎn)生流量模型的策略配置,從數(shù)據(jù)倉庫獲得流量特征,利用聚類算法處理流量特征生成由正常聚類組成的流量模型,存儲在中心主機(jī)中,并發(fā)布到各個實(shí)施監(jiān)控器。
      其中,在步驟A中,所述從來自外部網(wǎng)絡(luò)的數(shù)據(jù)中獲得檢測數(shù)據(jù)包括堅(jiān)固網(wǎng)關(guān)設(shè)備從對應(yīng)的實(shí)時監(jiān)控器上獲得數(shù)據(jù)收集策略配置,按照該配置從外部網(wǎng)絡(luò)獲得的原始網(wǎng)絡(luò)數(shù)據(jù)中收集得到所述檢測數(shù)據(jù)。
      其中,所述步驟B和步驟C以步驟C在前步驟B在后或步驟B在前步驟C在后或步驟B和步驟C同時的順序執(zhí)行。
      其中,所述利用關(guān)聯(lián)算法獲得所述流量特征包括根據(jù)產(chǎn)生流量特征的策略配置中的參數(shù)確定時間窗的大小,以時間窗為單位利用關(guān)聯(lián)算法獲得流量特征。
      其中,所述以時間窗為單位利用關(guān)聯(lián)算法獲得流量特征包括A1、將收集到的單位時間窗內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)為連接記錄;A2、利用關(guān)聯(lián)算法挖掘出該單位時間窗內(nèi)的連接記錄中的頻繁項(xiàng)目集并計(jì)算出相應(yīng)的數(shù)目,得到所述流量特征。
      其中,所述根據(jù)生成流量模型的策略配置,利用聚類算法生成流量模型包括計(jì)算獲得的流量特征之間的距離,根據(jù)生成流量模型的策略配置中設(shè)定的類似性參數(shù),利用聚類算法將具有類似性的流量特征歸結(jié)為聚類,將符合生成流量模型的策略配置中流量特征數(shù)目的聚類作為正常聚類,以正常聚類構(gòu)成流量模型。
      其中,在步驟C中,所述根據(jù)流量模型對檢測數(shù)據(jù)的流量特征進(jìn)行檢測包括C1、計(jì)算當(dāng)前流量特征是否在流量模型中各個聚類的范圍之內(nèi),如果是,則檢測結(jié)果為該流量特征是正常流量特征,否則,檢測結(jié)果為該流量特征是異常流量特征;C2、根據(jù)檢測結(jié)果向堅(jiān)固網(wǎng)關(guān)設(shè)備發(fā)布響應(yīng)策略,堅(jiān)固網(wǎng)關(guān)設(shè)備根據(jù)響應(yīng)策略對原始網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾,包括當(dāng)檢測結(jié)果中異常流量特征的數(shù)目在響應(yīng)策略所設(shè)定的監(jiān)聽范圍內(nèi)時,通過響應(yīng)策略控制堅(jiān)固網(wǎng)關(guān)設(shè)備進(jìn)入監(jiān)聽模式,堅(jiān)固網(wǎng)關(guān)設(shè)備將所有原始網(wǎng)絡(luò)數(shù)據(jù)直接轉(zhuǎn)發(fā)不做任何處理;當(dāng)檢測結(jié)果中異常流量特征的數(shù)目在響應(yīng)策略所設(shè)定的可疑范圍內(nèi)時,通過響應(yīng)策略控制堅(jiān)固網(wǎng)關(guān)設(shè)備進(jìn)入可疑模式,堅(jiān)固網(wǎng)關(guān)設(shè)備對具有異常流量特征的檢測數(shù)據(jù)進(jìn)行帶寬限制;當(dāng)檢測結(jié)果中異常流量特征的數(shù)目超過響應(yīng)策略所設(shè)定的可疑范圍時,通過向應(yīng)策略控制堅(jiān)固網(wǎng)關(guān)設(shè)備進(jìn)入積極防御模式,堅(jiān)固網(wǎng)關(guān)設(shè)備截?cái)嗑哂挟惓A髁刻卣鞯臋z測數(shù)據(jù)。
      可見,在本發(fā)明中,堅(jiān)固網(wǎng)關(guān)設(shè)備根據(jù)數(shù)據(jù)收集策略,對網(wǎng)絡(luò)中的原始數(shù)據(jù)過濾,將過濾后得到的檢測數(shù)據(jù)交給實(shí)時監(jiān)控器;實(shí)時監(jiān)控器將接收到的檢測數(shù)據(jù)恢復(fù)成連接記錄,利用數(shù)據(jù)挖掘方法中的關(guān)聯(lián)挖掘,提取出流量特征;實(shí)時監(jiān)控器依據(jù)流量模型和當(dāng)前的流量特征進(jìn)行入侵判決,做出實(shí)時的報(bào)警,并產(chǎn)生相應(yīng)的響應(yīng)策略,控制堅(jiān)固網(wǎng)關(guān)設(shè)備過濾原始網(wǎng)絡(luò)數(shù)據(jù)。本發(fā)明實(shí)現(xiàn)了檢測DOS/DDOS的功能,其系統(tǒng)具有透明的網(wǎng)關(guān)設(shè)置,不易受到DOS/DDOS攻擊,其系統(tǒng)的三層邏輯組成方式使得檢測任務(wù)得以分別進(jìn)行,減小了內(nèi)部網(wǎng)絡(luò)壓力,中心主機(jī)匯總各個實(shí)時監(jiān)控器的流量特征產(chǎn)生流量模型,使得檢測攻擊更加全面、準(zhǔn)確;其方法利用了數(shù)據(jù)挖掘算法中的關(guān)聯(lián)算法和聚類算法,減少了數(shù)據(jù)處理的工作量,并使得檢測攻擊的準(zhǔn)確度提高。


      圖1為IDS產(chǎn)品的通用處理模型示意圖。
      圖2為Dude體系結(jié)構(gòu)示意圖。
      圖3為堅(jiān)固網(wǎng)關(guān)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖。
      圖4為堅(jiān)固網(wǎng)關(guān)設(shè)備的配置示意圖。
      圖5為實(shí)時監(jiān)控器的配置示意圖。
      圖6為中心主機(jī)的配置示意圖。
      圖7為堅(jiān)固網(wǎng)關(guān)系統(tǒng)功能模塊劃分示意圖。
      圖8為流量模型生成示意圖。
      具體實(shí)施例方式
      本發(fā)明采用由多個堅(jiān)固網(wǎng)關(guān)設(shè)備、多個實(shí)時監(jiān)控器、中心主機(jī)和數(shù)據(jù)倉庫組成的堅(jiān)固網(wǎng)關(guān)系統(tǒng)檢測DOS/DDOS攻擊,其檢測方法利用了數(shù)據(jù)挖掘算法中的關(guān)聯(lián)算法和聚類算法,依據(jù)流量模型對檢測數(shù)據(jù)的流量特征進(jìn)行檢測,根據(jù)檢測結(jié)果產(chǎn)生響應(yīng)策略,控制堅(jiān)固網(wǎng)關(guān)設(shè)備過濾原始網(wǎng)絡(luò)數(shù)據(jù)。
      參見圖3所示,圖3為本發(fā)明的堅(jiān)固網(wǎng)關(guān)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖,該系統(tǒng)由中心主機(jī)、實(shí)時監(jiān)控器和堅(jiān)固網(wǎng)關(guān)構(gòu)成三層邏輯結(jié)構(gòu),系統(tǒng)包括(1)多個堅(jiān)固網(wǎng)關(guān)31每個堅(jiān)固網(wǎng)關(guān)均處于路由器和防火墻33之間,且每個堅(jiān)固網(wǎng)關(guān)通過防火墻與內(nèi)部網(wǎng)絡(luò)的接口所在網(wǎng)段與通過路由器與外部網(wǎng)絡(luò)的接口所在網(wǎng)段相同,以此設(shè)置保證堅(jiān)固網(wǎng)關(guān)相對于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)為透明設(shè)置,進(jìn)而可以隱藏整個堅(jiān)固網(wǎng)關(guān)系統(tǒng),使其不易受到DOS/DDOS攻擊,本實(shí)施例中,網(wǎng)段相同的設(shè)置采用ARP代理技術(shù)實(shí)現(xiàn)。這些堅(jiān)固網(wǎng)關(guān)一端通過路由器連接外部INTERNET,一端通過防火墻連接內(nèi)部網(wǎng)絡(luò),一端通過獨(dú)立的網(wǎng)絡(luò)接口連接實(shí)時監(jiān)控器32。每個堅(jiān)固網(wǎng)關(guān)均完成數(shù)據(jù)采集和異常響應(yīng)的功能,參見圖4所示,該圖中粗箭頭代表數(shù)據(jù)流,細(xì)箭頭代表控制流,堅(jiān)固網(wǎng)關(guān)中包括libpcap庫42,本實(shí)施例所采用libpcap庫作為抓包庫,從實(shí)時監(jiān)控器獲得數(shù)據(jù)收集策略配置該庫(2),利用該庫從INTERNET獲取原始數(shù)據(jù)包(3),傳遞到實(shí)施監(jiān)控器(4);Netfilter41,本實(shí)施例所采用的Linux防火墻,Netfilter,從實(shí)時監(jiān)控器獲得響應(yīng)策略配置該防火墻(1),該防火墻對從INTERNET獲取的原始數(shù)據(jù)包進(jìn)行過濾(5),傳遞到網(wǎng)絡(luò)。
      (2)與堅(jiān)固網(wǎng)關(guān)一一對應(yīng)的實(shí)時監(jiān)控器32每個實(shí)時監(jiān)控器與其對應(yīng)的堅(jiān)固網(wǎng)關(guān)連接,所有實(shí)時監(jiān)控器與獨(dú)立于內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)集線器(Hub)36相連接,Hub上連接中心主機(jī)。其中,所有實(shí)時監(jiān)控器還可與獨(dú)立于內(nèi)部網(wǎng)絡(luò)的交換機(jī)相連接,交換機(jī)上連接中心主機(jī)。每個實(shí)時監(jiān)控器均完成流量特征提取、依據(jù)流量模型判斷當(dāng)前流量特征是否異常、以及控制堅(jiān)固網(wǎng)關(guān)進(jìn)行過濾的功能。參見圖5所示,該圖中粗箭頭代表數(shù)據(jù)流,細(xì)箭頭代表控制流,實(shí)時監(jiān)控器包括流量特征提取模塊51該模塊從中心主機(jī)獲得產(chǎn)生流量特征的策略(3),對堅(jiān)固網(wǎng)關(guān)獲得的檢測數(shù)據(jù)進(jìn)行特征提取(1),獲得該檢測數(shù)據(jù)的流量特征,對該流量特征進(jìn)行以下操作將該流量特征傳遞到中心主機(jī)(4),中心主機(jī)的數(shù)據(jù)庫代理模塊將該流量特征傳送并儲存在數(shù)據(jù)倉庫中;將該流量特征傳遞到檢測攻擊模塊(5),用該流量特征作為該檢測數(shù)據(jù)的被檢測對象;檢測攻擊模塊52該模塊從中心主機(jī)獲得流量模型(2),以流量模型為標(biāo)準(zhǔn)對從流量特征提取模塊獲得流量特征進(jìn)行檢測,依據(jù)檢測結(jié)果發(fā)布響應(yīng)策略至堅(jiān)固網(wǎng)關(guān)(6),并將檢測結(jié)果在報(bào)警可視化模塊53上顯示(8);報(bào)警可視化模塊53該模塊收到檢測攻擊模塊傳送過來的檢測攻擊結(jié)果,將該檢測攻擊結(jié)果在實(shí)時監(jiān)控器上可視化;在實(shí)時監(jiān)控器上還保存有數(shù)據(jù)收集策略配置,該配置中包括數(shù)據(jù)收集時所需的相關(guān)參數(shù),實(shí)時監(jiān)控器將該配置發(fā)送到堅(jiān)固網(wǎng)關(guān)(7),控制堅(jiān)固網(wǎng)關(guān)采集原始網(wǎng)絡(luò)數(shù)據(jù)的類型。
      (3)中心主機(jī)34該中心主機(jī)通過Hub與實(shí)時監(jiān)控器相連接,控制實(shí)時監(jiān)控器的工作,并向各個實(shí)時監(jiān)控器發(fā)布產(chǎn)生流量特征的配置和流量模型。中心主機(jī)主要功能在于從數(shù)據(jù)倉庫獲得各個實(shí)時監(jiān)控器的流量特征,利用數(shù)據(jù)挖掘算法,根據(jù)獲得的流量特征產(chǎn)生流量模型并及時分發(fā)給各個實(shí)時監(jiān)控器。參見圖6所示,該圖中粗箭頭代表數(shù)據(jù)流,細(xì)箭頭代表控制流,中心主機(jī)包括數(shù)據(jù)庫代理模塊61該模塊完成數(shù)據(jù)庫代理功能,從實(shí)時監(jiān)控器獲得流量特征(1),該模塊把該流量特征儲存到與中心主機(jī)相連接的數(shù)據(jù)倉庫中(3),該模塊從數(shù)據(jù)倉庫中讀取流量模型產(chǎn)生所需要的流量特征,傳遞到模型產(chǎn)生模塊(2);模型產(chǎn)生模塊62該模塊從數(shù)據(jù)庫代理模塊獲得流量特征,依據(jù)傳遞過來的模型生成策略產(chǎn)生模型,將該模型傳送到實(shí)時監(jiān)控器作為檢測攻擊的標(biāo)準(zhǔn)(4),并將該模型傳送到模型可視化模塊(5);模型可視化模塊63該模塊接收來自模型產(chǎn)生模塊的模型,在中心主機(jī)上對該模型可視化;在中心主機(jī)中還保存有產(chǎn)生流量特征的策略配置64,該配置中有流量特征產(chǎn)生時所需的參數(shù),中心主機(jī)將該配置傳遞到實(shí)時監(jiān)控器(6),控制各個實(shí)時監(jiān)控器按照相同的規(guī)則生成流量特征;中心主機(jī)中還存有模型生成策略配置,該配置中有流量模型生成時所需的參數(shù),該配置被傳送到模型產(chǎn)生模塊,配置模型產(chǎn)生。
      (4)數(shù)據(jù)倉庫35該數(shù)據(jù)倉庫通過網(wǎng)絡(luò)集線器(或交換機(jī))與中心主機(jī)連接,通過中心主機(jī)上的數(shù)據(jù)庫代理模塊,從中心主機(jī)獲得各個實(shí)時監(jiān)控器上的檢測數(shù)據(jù)的流量特征,保存在該數(shù)據(jù)倉庫中;在中心主機(jī)生成流量模型時,中心主機(jī)的數(shù)據(jù)庫代理模塊從該數(shù)據(jù)倉庫中獲得各個實(shí)時監(jiān)控器遞交的流量特征,以生成流量模型。本發(fā)明實(shí)施例中,采用Oracle數(shù)據(jù)庫。
      參見圖7所示,以上所述堅(jiān)固網(wǎng)管系統(tǒng)中,堅(jiān)固網(wǎng)關(guān)、實(shí)時監(jiān)控器和中心主機(jī)的功能關(guān)系為堅(jiān)固網(wǎng)關(guān)獲得原始網(wǎng)絡(luò)數(shù)據(jù)(1),依據(jù)由實(shí)時監(jiān)控器獲得數(shù)據(jù)收集策略從原始網(wǎng)絡(luò)數(shù)據(jù)中收集出檢測數(shù)據(jù)(3),該檢測數(shù)據(jù)被傳送到實(shí)時監(jiān)控器(2),實(shí)時監(jiān)控器根據(jù)從中心主機(jī)獲得產(chǎn)生流量特征的策略(6),從該檢測數(shù)據(jù)中提取流量特征,將該流量特征傳遞到中心主機(jī)(4),中心主機(jī)上的數(shù)據(jù)庫代理模塊將各個實(shí)時監(jiān)控器的流量特征傳送并存儲在數(shù)據(jù)倉庫中;中心主機(jī)從數(shù)據(jù)倉庫中獲得各個實(shí)時監(jiān)控器遞交的流量特征(7),依據(jù)產(chǎn)生流量特征的策略對這些流量特征進(jìn)行處理,生成流量模型,將該流量模型傳送到實(shí)時監(jiān)控器作為檢測攻擊的標(biāo)準(zhǔn)(5);在實(shí)時監(jiān)控器中,根據(jù)流量模型和檢測數(shù)據(jù)的流量特征檢測攻擊,根據(jù)檢測結(jié)果發(fā)布響應(yīng)策略至堅(jiān)固網(wǎng)關(guān)(8),堅(jiān)固網(wǎng)關(guān)以此策略過濾原始網(wǎng)絡(luò)數(shù)據(jù),將過濾后的網(wǎng)絡(luò)數(shù)據(jù)傳送出去(9)。
      下面詳細(xì)描述堅(jiān)固網(wǎng)關(guān)系統(tǒng)利用數(shù)據(jù)挖掘算法進(jìn)行攻擊檢測的方法。
      其中,數(shù)據(jù)挖掘算法包括兩類關(guān)聯(lián)算法和聚類算法,關(guān)聯(lián)算法指的是從大量的數(shù)據(jù)中挖掘出描述數(shù)據(jù)項(xiàng)之間互相聯(lián)系的有價(jià)值的關(guān)聯(lián)知識;聚類算法指的是將一組個體按照相似性歸為若干類別,歸類原則需保證屬于同一類別的個體之間的距離盡可能的小,而不同類別的個體間的距離盡可能的大。
      該攻擊檢測方法具體包括1、堅(jiān)固網(wǎng)關(guān)系統(tǒng)中的中心主機(jī)從數(shù)據(jù)倉庫中獲得流量特征,利用數(shù)據(jù)挖掘算法處理獲得的流量特征生成流量模型,作為當(dāng)前流量模型存儲在中心主機(jī)中,以供攻擊檢測時使用;參見圖8所示,本發(fā)明中采用數(shù)據(jù)挖掘算法生成流量模型具體包括采用Single-Linkage算法,把流量特征視為向量,其中的服務(wù)類型等屬性作為向量的分量,計(jì)算這些向量之間的距離,將距離近的向量聚合在一起,由此得到具有相似流量特征的聚類;其中,每一個聚類由該類的中心向量和半徑表示,中心向量的格式與流量特征的格式相同;其中,距離近的設(shè)定以生成流量模型的策略配置中的參數(shù)為準(zhǔn),所述流量特征的格式參見表2所示;依據(jù)“正常數(shù)據(jù)比攻擊數(shù)據(jù)多”的假設(shè),將包含大部分向量的聚類視為正常聚類,而將包含少數(shù)向量的聚類視為異常聚類;各個正常聚類構(gòu)成流量模型,其中,正常聚類中的向量數(shù)目的設(shè)定以生成流量模型的策略配置中的參數(shù)為準(zhǔn)。
      其中,圖8中的k1、k2和q為互不相關(guān)的參數(shù)。
      以上步驟說明了堅(jiān)固網(wǎng)關(guān)系統(tǒng)流量模型產(chǎn)生的過程。堅(jiān)固網(wǎng)關(guān)系統(tǒng)在檢測攻擊過程中,根據(jù)模型產(chǎn)生策略定期執(zhí)行步驟1,產(chǎn)生新的流量模型。
      2、堅(jiān)固網(wǎng)關(guān)系統(tǒng)根據(jù)步驟1中產(chǎn)生的流量模型對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行攻擊檢測,每個堅(jiān)固網(wǎng)關(guān)及其實(shí)時監(jiān)控器均執(zhí)行以下步驟2.1、堅(jiān)固網(wǎng)關(guān)獲得原始網(wǎng)絡(luò)數(shù)據(jù),依據(jù)數(shù)據(jù)收集策略從原始網(wǎng)絡(luò)數(shù)據(jù)中收集出檢測數(shù)據(jù);2.2、堅(jiān)固網(wǎng)關(guān)將檢測數(shù)據(jù)發(fā)送到其實(shí)時監(jiān)控器,實(shí)時監(jiān)控器根據(jù)產(chǎn)生流量特征的策略中的配置,利用關(guān)聯(lián)算法從檢測數(shù)據(jù)中獲得流量特征,包括實(shí)時監(jiān)控器將收集到的一時間窗內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)為表1形式的連接記錄,根據(jù)產(chǎn)生流量特征的策略配置,利用關(guān)聯(lián)算法挖掘出這些連接記錄中的具有相似性的頻繁項(xiàng)目集并計(jì)算出相應(yīng)的數(shù)目,這些項(xiàng)目集分別作為這一時間窗內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)的流量特征,流量特征的格式參見表2所示,其中,總數(shù)目為該時間窗內(nèi)連接記錄的總數(shù),數(shù)目為該流量特征包含的連接記錄的個數(shù);對各個時間窗內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)重復(fù)以上操作,得到各個時間窗內(nèi)的流量特征;進(jìn)一步的,將這些流量特征通過中心主機(jī)的數(shù)據(jù)庫代理模塊存儲在數(shù)據(jù)倉庫中;

      表1

      表22.3、實(shí)時監(jiān)控器從中心主機(jī)獲得當(dāng)前流量模型,用該流量模型對檢測數(shù)據(jù)的流量特征進(jìn)行對比,檢測攻擊,包括將流量特征視為向量,計(jì)算當(dāng)前的流量特征對應(yīng)的向量與當(dāng)前流量模型中的各個聚類的距離,不在各個聚類描述范圍內(nèi)的向量,為異常流量特征;當(dāng)檢測數(shù)據(jù)中的異常流量特征的數(shù)目在響應(yīng)策略所設(shè)定的監(jiān)聽范圍內(nèi)時,堅(jiān)固網(wǎng)關(guān)設(shè)備對原始網(wǎng)絡(luò)數(shù)據(jù)不做過濾處理;當(dāng)檢測數(shù)據(jù)中的異常流量特征的數(shù)目在響應(yīng)策略所設(shè)定的可疑范圍內(nèi)時,產(chǎn)生可疑報(bào)警,實(shí)時監(jiān)控器通過配置響應(yīng)策略,使堅(jiān)固網(wǎng)關(guān)進(jìn)入“可疑模式”工作,對具有異常流量特征的流量進(jìn)行帶寬限制;當(dāng)檢測數(shù)據(jù)中的異常流量特征的數(shù)目超過響應(yīng)策略所設(shè)定的可疑范圍時,實(shí)時監(jiān)控器配置響應(yīng)策略使堅(jiān)固網(wǎng)關(guān)進(jìn)入“積極防御模式”,堅(jiān)固網(wǎng)關(guān)截?cái)嗄切┚哂挟惓A髁刻卣鞯牧髁?;在對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測攻擊的過程中,不斷有新流量模型以步驟1所述的方式生成,供步驟2檢測攻擊時使用。
      以上步驟中,步驟2和步驟1的執(zhí)行順序包括步驟2在前步驟1在后,步驟1在前步驟1在后以及步驟1和步驟2同時執(zhí)行,也就是,步驟2和步驟1的執(zhí)行順序?qū)Ρ景l(fā)明的實(shí)施沒有影響。
      其中,當(dāng)堅(jiān)固網(wǎng)關(guān)系統(tǒng)安裝到新的受保護(hù)網(wǎng)絡(luò)中時,首先進(jìn)行堅(jiān)固網(wǎng)關(guān)系統(tǒng)初始化,該初始化過程包括按照步驟2.1~2.2中所述的方法獲得流量特征,利用步驟1中所述的方法處理這些流量特征生成流量模型,以此流量模型存儲在中心主機(jī)中,用做初始化后的檢測攻擊和自適應(yīng)生成流量模型。
      可見,本發(fā)明提供一種堅(jiān)固網(wǎng)關(guān)系統(tǒng),該系統(tǒng)由堅(jiān)固網(wǎng)關(guān)設(shè)備、實(shí)時監(jiān)控器、中心主機(jī)和數(shù)據(jù)倉庫組成,堅(jiān)固網(wǎng)關(guān)完成對原始網(wǎng)絡(luò)數(shù)據(jù)的采集和根據(jù)響應(yīng)策略過濾原始網(wǎng)絡(luò)數(shù)據(jù)的功能;實(shí)時監(jiān)控器與其對應(yīng)的堅(jiān)固網(wǎng)關(guān)相連接,完成檢測數(shù)據(jù)的流量特征提取和根據(jù)流量模型檢測當(dāng)前流量特征的功能;中心主機(jī)與各個實(shí)時監(jiān)控器相連,獲得各個實(shí)時監(jiān)控器傳來的流量特征,利用聚類算法不斷生成新的流量模型,發(fā)布給各個實(shí)時監(jiān)控器。數(shù)據(jù)倉庫存通過中心主機(jī)上的數(shù)據(jù)庫代理存儲自各個實(shí)施監(jiān)控器的流量特征,并在中心主機(jī)生成流量模型時提供流量特征。本發(fā)明還提供了一種堅(jiān)固網(wǎng)關(guān)系統(tǒng)的檢測攻擊方法,該方法利用關(guān)聯(lián)算法提取出檢測數(shù)據(jù)的流量特征,用該流量特征與流量模型進(jìn)行對比,超出流量模型中的聚類范圍的流量特征為異常流量特征,根據(jù)異常流量特征的數(shù)目以及系統(tǒng)設(shè)置,產(chǎn)生相應(yīng)的響應(yīng)策略,按照該策略過濾原始網(wǎng)絡(luò)數(shù)據(jù)。該系統(tǒng)及其方法很好的實(shí)現(xiàn)了檢測DOS/DDOS的功能,具有以下優(yōu)點(diǎn)1&gt;、堅(jiān)固網(wǎng)關(guān)本身具有很高的隱蔽性,不會被外部的黑客發(fā)現(xiàn),自身不會遭到DOS/DDOS的攻擊。
      2&gt;、每一個堅(jiān)固網(wǎng)關(guān)通過一個以太網(wǎng)接口與一臺實(shí)時監(jiān)控器相連,由實(shí)時監(jiān)控器完成檢測任務(wù),這樣可以大大減輕堅(jiān)固網(wǎng)絡(luò)的處理任務(wù),提高系統(tǒng)的吞吐量。
      3&gt;、實(shí)時監(jiān)控器通過Hub與中心主機(jī)單獨(dú)構(gòu)成一個獨(dú)立于內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò),這樣不但減少了通信對內(nèi)部網(wǎng)絡(luò)的壓力,不再占用其帶寬,而且很好的隱蔽了系統(tǒng),自身防御能力增強(qiáng)。
      4&gt;、堅(jiān)固網(wǎng)關(guān)、實(shí)時監(jiān)控器和中心主機(jī)構(gòu)成了系統(tǒng)的一個基本的3層邏輯結(jié)構(gòu),系統(tǒng)以這種邏輯分工明確的結(jié)構(gòu)為基礎(chǔ),可以任意擴(kuò)展。
      5&gt;、堅(jiān)固網(wǎng)關(guān)巧妙聯(lián)合運(yùn)用了數(shù)據(jù)挖掘中的關(guān)聯(lián)挖掘算法和聚類挖掘算法,不需要任何訓(xùn)練數(shù)據(jù)。由于利用關(guān)聯(lián)算法將數(shù)據(jù)集抽象為流量特征,大大減少了聚類算法處理的數(shù)據(jù)量,不僅克服了聚類算法運(yùn)行速度慢的缺點(diǎn),又為聚類處理增加了有用的信息。
      6&gt;、堅(jiān)固網(wǎng)關(guān)系統(tǒng)可以自適應(yīng)的產(chǎn)生用于檢測的流量模型。
      權(quán)利要求
      1.一種堅(jiān)固網(wǎng)關(guān)系統(tǒng),其特征在于該系統(tǒng)包括多個堅(jiān)固網(wǎng)關(guān)設(shè)備、多個實(shí)時監(jiān)控器、一個中心主機(jī)和一個數(shù)據(jù)倉庫,堅(jiān)固網(wǎng)關(guān)設(shè)備、實(shí)時監(jiān)控器、中心主機(jī)連接構(gòu)成三層邏輯結(jié)構(gòu),每個堅(jiān)固網(wǎng)關(guān)設(shè)備與對應(yīng)的實(shí)時監(jiān)控器連接,每個實(shí)時監(jiān)控器與中心主機(jī)連接,中心主機(jī)與數(shù)據(jù)倉庫連接,其中每個堅(jiān)固網(wǎng)關(guān)設(shè)備均置于外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間,相對于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)透明設(shè)置,具有數(shù)據(jù)采集和數(shù)據(jù)過濾功能;每個實(shí)時監(jiān)控器均具有從堅(jiān)固網(wǎng)關(guān)設(shè)備采集到的檢測數(shù)據(jù)中提取流量特征、依據(jù)中心主機(jī)傳送來的流量模型判斷當(dāng)前流量特征是否異常、向堅(jiān)固網(wǎng)關(guān)發(fā)布響應(yīng)策略以控制堅(jiān)固網(wǎng)關(guān)對來自外部的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾的功能;中心主機(jī)具有根據(jù)從數(shù)據(jù)倉庫傳送來的流量特征,生成流量模型和不斷自適應(yīng)生成新流量模型的功能,同時,該設(shè)備還將存儲在其上的產(chǎn)生流量特征的策略配置發(fā)布到實(shí)時監(jiān)控器上;數(shù)據(jù)倉庫通過中心主機(jī)獲得實(shí)時監(jiān)控器上的檢測數(shù)據(jù)的流量特征,保存在該數(shù)據(jù)倉庫中,在中心主機(jī)生成流量模型時,中心主機(jī)從該數(shù)據(jù)倉庫獲得流量特征。
      2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于所述堅(jiān)固網(wǎng)關(guān)設(shè)備包括在該設(shè)備中配置的抓包庫,完成從INTERNET獲取原始數(shù)據(jù)包的功能;在該設(shè)備中配置的防火墻,根據(jù)從實(shí)時監(jiān)控器獲得的響應(yīng)策略,將從INTERNET獲取的原始數(shù)據(jù)過濾,傳送到內(nèi)部網(wǎng)絡(luò)。
      3.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于所述堅(jiān)固網(wǎng)關(guān)相對于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)透明設(shè)置包括堅(jiān)固網(wǎng)關(guān)具有設(shè)置于相同網(wǎng)段的與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的兩個接口。
      4.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于所述實(shí)時監(jiān)控器包括流量特征提取模塊該模塊根據(jù)從中心主機(jī)獲得的產(chǎn)生流量特征的策略,利用關(guān)聯(lián)算法對堅(jiān)固網(wǎng)關(guān)設(shè)備傳來的檢測數(shù)據(jù)進(jìn)行特征提取,獲得流量特征;檢測攻擊模塊該模塊從流量特征提取模塊獲得流量特征,并從中心主機(jī)獲得流量模型,利用獲得的流量模型和流量特征完成檢測攻擊功能,依據(jù)檢測結(jié)果完成發(fā)布響應(yīng)策略至堅(jiān)固網(wǎng)關(guān)的功能。
      5.根據(jù)權(quán)利要求4所述的系統(tǒng),其特征在于所述實(shí)時監(jiān)控器進(jìn)一步包括報(bào)警可視化模塊,該模塊將檢測攻擊模塊的檢測結(jié)果可視化。
      6.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于所述中心主機(jī)包括數(shù)據(jù)庫代理模塊,完成從數(shù)據(jù)倉庫讀取流量特征、傳送到中心主機(jī)的模型產(chǎn)生模塊的功能,和完成接收各個實(shí)時監(jiān)控器上的流量特征,存儲在數(shù)據(jù)倉庫的功能;模型產(chǎn)生模塊,根據(jù)由數(shù)據(jù)庫代理模塊獲得的流量特征,依據(jù)產(chǎn)生流量特征的配置,按照聚類算法生成流量模型,并將該模型發(fā)送到各個實(shí)時監(jiān)控器中。
      7.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于所述中心主機(jī)進(jìn)一步包括模型可視化模塊,接收來自模型產(chǎn)生模塊的模型,在中心主機(jī)上顯示該模型。
      8.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于所述每個實(shí)時監(jiān)控器與中心主機(jī)連接包括每個實(shí)時監(jiān)控器連接到網(wǎng)絡(luò)集線器,通過網(wǎng)絡(luò)集線器連接到中心主機(jī)。
      9.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于所述每個實(shí)時監(jiān)控器與中心主機(jī)連接包括每個實(shí)時監(jiān)控器連接到內(nèi)部網(wǎng)絡(luò)交換機(jī),通過內(nèi)部網(wǎng)絡(luò)交換機(jī)連接到中心主機(jī)。
      10.一種利用堅(jiān)固網(wǎng)關(guān)系統(tǒng)對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測攻擊的方法,其中,堅(jiān)固網(wǎng)關(guān)系統(tǒng)中各個堅(jiān)固網(wǎng)關(guān)設(shè)備與受保護(hù)網(wǎng)絡(luò)連接,每個堅(jiān)固網(wǎng)關(guān)設(shè)備分別與各自的實(shí)時監(jiān)控器連接,各個實(shí)時監(jiān)控器與中心主機(jī)連接,中心主機(jī)與數(shù)據(jù)倉庫連接,其特征在于采用基于數(shù)據(jù)挖掘的自適應(yīng)檢測方法,該方法包括以下步驟A、堅(jiān)固網(wǎng)關(guān)系統(tǒng)中的各個堅(jiān)固網(wǎng)關(guān)設(shè)備從來自外部網(wǎng)絡(luò)的數(shù)據(jù)中獲得檢測數(shù)據(jù),分別將檢測數(shù)據(jù)傳送到各自的實(shí)時監(jiān)控器,實(shí)時監(jiān)控器根據(jù)產(chǎn)生流量特征的策略配置,利用關(guān)聯(lián)算法分別從檢測數(shù)據(jù)中獲得流量特征;B、中心主機(jī)從數(shù)據(jù)倉庫獲得流量特征,根據(jù)生成流量模型的策略配置,利用聚類算法處理流量特征,生成由正常聚類組成的流量模型,將該流量模型發(fā)送到各個實(shí)時監(jiān)控器,和各個實(shí)時監(jiān)控器分別將檢測數(shù)據(jù)的流量特征發(fā)送到中心主機(jī),中心主機(jī)將這些流量特征存儲到數(shù)據(jù)倉庫中;C、各個實(shí)時監(jiān)控器根據(jù)該流量模型對檢測數(shù)據(jù)的流量特征進(jìn)行檢測,根據(jù)檢測結(jié)果控制堅(jiān)固網(wǎng)關(guān)對原始網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾。
      11.根據(jù)權(quán)利要求10所述的方法,其特征在于在所述步驟A之前,堅(jiān)固網(wǎng)關(guān)系統(tǒng)初始化,進(jìn)行自學(xué)習(xí)過程,生成流量模型,包括堅(jiān)固網(wǎng)關(guān)系統(tǒng)中的實(shí)時監(jiān)控器根據(jù)產(chǎn)生流量特征的策略配置,利用關(guān)聯(lián)算法獲得收集到的網(wǎng)絡(luò)數(shù)據(jù)的流量特征,這些流量特征通過中心主機(jī)儲存在數(shù)據(jù)倉庫中,中心主機(jī)根據(jù)產(chǎn)生流量模型的策略配置,從數(shù)據(jù)倉庫獲得流量特征,利用聚類算法處理流量特征生成由正常聚類組成的流量模型,存儲在中心主機(jī)中,并發(fā)布到各個實(shí)施監(jiān)控器。
      12.根據(jù)權(quán)利要求10所述的方法,其特征在于在步驟A中,所述從來自外部網(wǎng)絡(luò)的數(shù)據(jù)中獲得檢測數(shù)據(jù)包括堅(jiān)固網(wǎng)關(guān)設(shè)備從對應(yīng)的實(shí)時監(jiān)控器上獲得數(shù)據(jù)收集策略配置,按照該配置從外部網(wǎng)絡(luò)獲得的原始網(wǎng)絡(luò)數(shù)據(jù)中收集得到所述檢測數(shù)據(jù)。
      13.根據(jù)權(quán)利要求10所述的方法,其特征在于所述步驟B和步驟C以步驟C在前步驟B在后或步驟B在前步驟C在后或步驟B和步驟C同時的順序執(zhí)行。
      14.根據(jù)權(quán)利要求10或11所述的方法,其特征在于所述利用關(guān)聯(lián)算法獲得所述流量特征包括根據(jù)產(chǎn)生流量特征的策略配置中的參數(shù)確定時間窗的大小,以時間窗為單位利用關(guān)聯(lián)算法獲得流量特征。
      15.根據(jù)權(quán)利要求14所述的方法,其特征在于所述以時間窗為單位利用關(guān)聯(lián)算法獲得流量特征包括A1、將收集到的單位時間窗內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)為連接記錄;A2、利用關(guān)聯(lián)算法挖掘出該單位時間窗內(nèi)的連接記錄中的頻繁項(xiàng)目集并計(jì)算出相應(yīng)的數(shù)目,得到所述流量特征。
      16.根據(jù)權(quán)利要求10或11所述的方法,其特征在于所述根據(jù)生成流量模型的策略配置,利用聚類算法生成流量模型包括計(jì)算獲得的流量特征之間的距離,根據(jù)生成流量模型的策略配置中設(shè)定的類似性參數(shù),利用聚類算法將具有類似性的流量特征歸結(jié)為聚類,將符合生成流量模型的策略配置中流量特征數(shù)目的聚類作為正常聚類,以正常聚類構(gòu)成流量模型。
      17.根據(jù)權(quán)利要求10所述的方法,其特征在于在步驟C中,所述根據(jù)流量模型對檢測數(shù)據(jù)的流量特征進(jìn)行檢測包括C1、計(jì)算當(dāng)前流量特征是否在流量模型中各個聚類的范圍之內(nèi),如果是,則檢測結(jié)果為該流量特征是正常流量特征,否則,檢測結(jié)果為該流量特征是異常流量特征;C2、根據(jù)檢測結(jié)果向堅(jiān)固網(wǎng)關(guān)設(shè)備發(fā)布響應(yīng)策略,堅(jiān)固網(wǎng)關(guān)設(shè)備根據(jù)響應(yīng)策略對原始網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾,包括當(dāng)檢測結(jié)果中異常流量特征的數(shù)目在響應(yīng)策略所設(shè)定的監(jiān)聽范圍內(nèi)時,通過響應(yīng)策略控制堅(jiān)固網(wǎng)關(guān)設(shè)備進(jìn)入監(jiān)聽模式,堅(jiān)固網(wǎng)關(guān)設(shè)備將所有原始網(wǎng)絡(luò)數(shù)據(jù)直接轉(zhuǎn)發(fā)不做任何處理;當(dāng)檢測結(jié)果中異常流量特征的數(shù)目在響應(yīng)策略所設(shè)定的可疑范圍內(nèi)時,通過響應(yīng)策略控制堅(jiān)固網(wǎng)關(guān)設(shè)備進(jìn)入可疑模式,堅(jiān)固網(wǎng)關(guān)設(shè)備對具有異常流量特征的檢測數(shù)據(jù)進(jìn)行帶寬限制;當(dāng)檢測結(jié)果中異常流量特征的數(shù)目超過響應(yīng)策略所設(shè)定的可疑范圍時,通過響應(yīng)策略控制堅(jiān)固網(wǎng)關(guān)設(shè)備進(jìn)入積極防御模式,堅(jiān)固網(wǎng)關(guān)設(shè)備截?cái)嗑哂挟惓A髁刻卣鞯臋z測數(shù)據(jù)。
      全文摘要
      本發(fā)明公開了一種堅(jiān)固網(wǎng)關(guān)系統(tǒng),包括多個堅(jiān)固網(wǎng)關(guān)設(shè)備、多個實(shí)時監(jiān)控器、一個中心主機(jī)和一個數(shù)據(jù)倉庫,堅(jiān)固網(wǎng)關(guān)設(shè)備與實(shí)時監(jiān)控器連接,各個實(shí)時監(jiān)控器與中心主機(jī)連接,其中,堅(jiān)固網(wǎng)關(guān)完成數(shù)據(jù)采集和異常響應(yīng)的功能,實(shí)時監(jiān)控器挖掘檢測數(shù)據(jù)的流量特征、進(jìn)行檢測攻擊和控制堅(jiān)固網(wǎng)關(guān)過濾網(wǎng)絡(luò)數(shù)據(jù),中心主機(jī)從數(shù)據(jù)倉庫獲取流量特征,產(chǎn)生流量模型并及時分發(fā)給各個實(shí)時監(jiān)控器;數(shù)據(jù)倉庫存儲各個實(shí)施監(jiān)控器的流量特征。本發(fā)明還公開了一種應(yīng)用堅(jiān)固網(wǎng)關(guān)系統(tǒng)檢測攻擊的方法堅(jiān)固網(wǎng)關(guān)將檢測數(shù)據(jù)傳遞給實(shí)時監(jiān)控器,實(shí)時監(jiān)控器利用數(shù)據(jù)挖掘算法提取出檢測數(shù)據(jù)的流量特征,依據(jù)從中心主機(jī)獲得的自適應(yīng)流量模型和當(dāng)前的流量特征進(jìn)行入侵判決,做出實(shí)時報(bào)警。
      文檔編號H04L12/66GK1507233SQ0215538
      公開日2004年6月23日 申請日期2002年12月11日 優(yōu)先權(quán)日2002年12月11日
      發(fā)明者荊繼武, 馮登國, 向繼, 高能 申請人:中國科學(xué)院研究生院
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1