[科普中國]-防御決策

含義

計(jì)算機(jī)網(wǎng)絡(luò)防御決策系統(tǒng)，包括透明防火墻，定時(shí)巡檢模塊，病毒隔離模塊，病毒特征匹配模塊，端口審計(jì)模塊，流量統(tǒng)計(jì)模塊，網(wǎng)絡(luò)異常評(píng)估模塊，防御決策生成模塊，防御決策執(zhí)行模塊，應(yīng)急通道模塊，還原模塊，數(shù)據(jù)隔離上傳模塊。實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)流量的實(shí)時(shí)監(jiān)測與審計(jì)，維護(hù)了網(wǎng)絡(luò)的良好狀態(tài);通過對(duì)未知入侵行為的分析及記憶，提高網(wǎng)絡(luò)免疫能力;在入侵后能有效控制危害范圍，保證網(wǎng)絡(luò)暢通和服務(wù)的正常提供，同時(shí)可以根據(jù)不同的網(wǎng)絡(luò)攻擊自動(dòng)生成和執(zhí)行不同的防御決策方案，提高了系統(tǒng)的自主修復(fù)還原能力，維護(hù)了網(wǎng)絡(luò)的穩(wěn)定運(yùn)營，同時(shí)具備數(shù)據(jù)保護(hù)能力，也避免了由于使用者不在電腦前而導(dǎo)致信息丟失的情況的發(fā)生。1

系統(tǒng)特征計(jì)算機(jī)網(wǎng)絡(luò)防御決策系統(tǒng)，其特征在于，包括：

透明防火墻，用于分析及提取掃描特征并阻止外網(wǎng)掃描;

定時(shí)巡檢模塊，用于定時(shí)審計(jì)并監(jiān)測進(jìn)入網(wǎng)內(nèi)流量，提出異常流量處理建議，并對(duì)其進(jìn)行引導(dǎo)重定向至病毒隔離模塊，同時(shí)根據(jù)實(shí)時(shí)監(jiān)測到的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)健康狀況的評(píng)判，并將評(píng)判結(jié)果發(fā)送到主機(jī)顯示屏和網(wǎng)絡(luò)異常評(píng)估模塊;

病毒隔離模塊，用于利用模擬服務(wù)與產(chǎn)生異常流量的主機(jī)通信，提取攻擊指紋特征，充實(shí)病毒特征庫;

病毒特征匹配模塊，用于計(jì)算被監(jiān)控主機(jī)通信數(shù)據(jù)包的病毒特征指紋，與病毒特征庫內(nèi)的病毒特征比對(duì)，并將對(duì)比結(jié)果發(fā)送到主機(jī)顯示屏進(jìn)行顯示;

端口審計(jì)模塊，用于選取通信連接中和服務(wù)相關(guān)的要素進(jìn)行綜合分析，為維護(hù)和研究提供詳實(shí)報(bào)告;

流量統(tǒng)計(jì)模塊，利用原始數(shù)據(jù)包報(bào)文頭部信息進(jìn)行流量統(tǒng)計(jì)，以主機(jī)對(duì)外的每一個(gè)連接為單位進(jìn)行流量統(tǒng)計(jì)，通過提取通信雙方IP和端口號(hào)特征信息參與哈希函數(shù)運(yùn)算，用步長倍增的算法解決哈希沖突，并用包頭中的報(bào)文長度字段值更新所屬連接的累計(jì)流量;

網(wǎng)絡(luò)異常評(píng)估模塊，用于通過建立的多態(tài)響應(yīng)網(wǎng)絡(luò)異常評(píng)估模型進(jìn)行網(wǎng)絡(luò)異常情況的評(píng)估，并將評(píng)估結(jié)果發(fā)送到防御決策生成模塊、數(shù)據(jù)隔離上傳模塊;

防御決策生成模塊，用于接收網(wǎng)絡(luò)異常評(píng)估模塊所發(fā)送的評(píng)估數(shù)據(jù)，并選取網(wǎng)絡(luò)攻擊發(fā)生時(shí)具有特征的參數(shù)與防御決策信息數(shù)據(jù)庫內(nèi)的數(shù)據(jù)進(jìn)行相似度對(duì)比后，輸出相應(yīng)的防御決策至顯示屏;

防御決策執(zhí)行模塊，用于執(zhí)行防御決策生成模塊所生成的防御決策;

應(yīng)急通道模塊，用于提示被攻陷主機(jī)的用戶，將工作環(huán)境遷至應(yīng)急通道繼續(xù)工作，不必中斷工作處理安全問題;

還原模塊，用于待用戶完成工作離開計(jì)算機(jī)時(shí)，通過短信息編輯模塊發(fā)送給用戶的指定手機(jī)，從而提示用戶存在安全隱患并給出精確的還原時(shí)間建議，并根據(jù)用戶選擇將計(jì)算機(jī)恢復(fù)至入侵之前的安全狀態(tài);

數(shù)據(jù)隔離上傳模塊，用于根據(jù)網(wǎng)絡(luò)異常評(píng)估模塊得出的評(píng)估結(jié)果，將數(shù)據(jù)進(jìn)行打包上傳，并清除計(jì)算機(jī)中的數(shù)據(jù)。1