1.一种网络入侵探测与主动防御联动控制方法,其特征在于,所述网络入侵探测与主动防御联动控制方法包括:进行用户局域网侧的数据包到路由器之间的数据包转发;
实现获得基本的镜像流量,以及负责对镜像流量数据进行预处理;
规则库获取最新动态规则,同时实现数据连接传输,转发其获得的最新规则状态;
根据分析算法的不同或变化,将相关的分析算法动态装载到本联动控制系统,分析算法应依据标准的SQL规范从流量数据库集群获得数据进行相关分析;
存储来自镜像服务器的预处理流量,为各类网络行为检测分析服务器提供数据接口,支持网络行为分析;提供规则数据库,存储进网络行为检测分析服务器产生的各类判决规则,同时判决规则数据库为联动控制装置服务器提供来源数据。
2.如权利要求1所述的网络入侵探测与主动防御联动控制方法,其特征在于,所述进行用户局域网侧的数据包到路由器之间的数据包转发包括:正常流量时,该装置对数据包不起作用;异常流量时,根据动态的转发规则对异常流量实施丢弃处理,实现对网络流量的区别对待,达到主动阻断网络攻击;
所述实现获得基本的镜像流量,以及负责对镜像流量数据进行预处理包括:在镜像端口上捕获数据包,从TCP/IP协议栈的数据链路层开始对数据包进行分析,对数据包的源/目标MAC地址、IP地址、端口、传输层协议类型、TCP标志字段、序号、确认号、应用层部分数据字段进行截取,并包装为新的数据包格式,存入缓冲队列中;
从缓冲队列中获取数据包的线程,线程是将缓冲队列中的自定义数据包信息处理到数据库集群系统做阶段性保存。
3.如权利要求1所述的网络入侵探测与主动防御联动控制方法,其特征在于,根据分析算法的不同或者变化,将相关的分析算法动态装载到联动控制系统,分析算法应依据标准的SQL规范从流量数据库集群获得数据进行分析包括:根据业务数据库表字段,选取感兴趣的部分字段查询某段时间范围内的数据;
依据分析算法中的异常检测模型对数据进行分析处理,判断网络行为;
对异常流量进行判决,写入转发规则至动态规则库;
依据网络行为检测分析服务器配置,对动态规则库的规则进行有效性及时间戳修改;
提供用户配置界面,对网络行为检测算法所需的各项参数进行初始配置或修订。
4.如权利要求1所述的网络入侵探测与主动防御联动控制方法,其特征在于,所述规则库获取最新规则动态,同时实现数据连接传输,转发其获得的最新规则状态包括:建立与流量数据库集群系统之间的连接;
建立与数据包转发模块之间的数据连接;
依据联动控制调度配置实施规则调度策略;
将获取到的动态规则表数据转换为TLY格式,实现从联动控制装置到数据包转发模块的推送。
5.一种如权利要求1所述网络入侵探测与主动防御联动控制方法的网络入侵探测与主动防御联动控制装置,其特征在于,所述网络入侵探测与主动防御联动控制装置包括:数据包转发模块,用于进行用户局域网侧的数据包到路由器之间的数据包转发;
数据包镜像流量预处理模块,用于实现从数据包转发模块中获得基本的镜像流量,以及负责对镜像流量数据进行预处理;
联动控制装置模块,用于从流量数据库集群系统中的规则库获取最新规则动态,同时与数据包转发模块实现数据连接,转发其获得的最新规则状态,并推送至数据包转发模块;
网络行为检测分析模块,根据分析算法的不同或者变化动态装入,从数据库集群装置处获取数据,依据标准的SQL规范从数据库集群系统获取数据进行分析;
流量数据库集群系统,用于存储来自镜像服务器的预处理流量,为各类网络行为检测分析服务器提供数据接口,支持网络行为分析;提供规则数据库,存储进网络行为检测分析服务器产生的各类判决规则,同时判决规则数据库为联动控制装置服务器提供来源数据。
6.如权利要求5所述的网络入侵探测与主动防御联动控制装置,其特征在于,所述数据包转发模块包括:数据输入端口,数据输出端口,数据镜像端口,数据联动控制端口。
7.如权利要求5所述的网络入侵探测与主动防御联动控制装置,其特征在于,所述数据包镜像流量预处理模块包括:数据捕获子模块,用于在镜像端口上捕获数据包,对数据包的源/目标MAC地址、IP地址、端口、传输层协议类型、TCP标志字段、序号、确认号、应用层部分数据字段进行截取,并包装为新的数据包格式,存入缓冲队列中;
数据包线程获取子模块,用于从缓冲队列中获取数据包的线程,线程是将缓冲队列中的自定义数据包信息处理到数据库集群系统做阶段性保存。
8.如权利要求5所述的网络入侵探测与主动防御联动控制装置,其特征在于,所述网络行为检测分析服务器包括:选取模块,用于根据业务数据库表字段,选取感兴趣的部分字段查询某段时间范围内的数据;
判断模块,用于依据分析算法中的异常检测模型对数据进行分析处理,判断网络行为;
写入模块,用于对异常流量进行判决,写入转发规则至动态规则库;
修改模块,用于依据网络行为检测分析服务器配置,对动态规则库的规则进行有效性及时间戳修改;
修订模块,用于提供用户配置界面,对网络行为检测算法的各项参数进行初始配置或修订。
9.如权利要求5所述的网络入侵探测与主动防御联动控制装置,其特征在于,所述联动控制装置服务器包括:SQL连接模块,用于建立与流量数据库集群系统之间的SQL连接;
数据连接模块,用于建立与数据包转发模块之间的数据连接;
实施模块,用于依据联动控制调度配置实施规则调度策略;
推送模块,用于将获取到的动态规则表数据转换为TLY格式,实现从联动控制装置到数据包转发模块的推送。