[科普中國]-防御決策

含義

計算機(jī)網(wǎng)絡(luò)防御決策系統(tǒng)，包括透明防火墻，定時巡檢模塊，病毒隔離模塊，病毒特征匹配模塊，端口審計模塊，流量統(tǒng)計模塊，網(wǎng)絡(luò)異常評估模塊，防御決策生成模塊，防御決策執(zhí)行模塊，應(yīng)急通道模塊，還原模塊，數(shù)據(jù)隔離上傳模塊。實現(xiàn)了對網(wǎng)絡(luò)流量的實時監(jiān)測與審計，維護(hù)了網(wǎng)絡(luò)的良好狀態(tài);通過對未知入侵行為的分析及記憶，提高網(wǎng)絡(luò)免疫能力;在入侵后能有效控制危害范圍，保證網(wǎng)絡(luò)暢通和服務(wù)的正常提供，同時可以根據(jù)不同的網(wǎng)絡(luò)攻擊自動生成和執(zhí)行不同的防御決策方案，提高了系統(tǒng)的自主修復(fù)還原能力，維護(hù)了網(wǎng)絡(luò)的穩(wěn)定運營，同時具備數(shù)據(jù)保護(hù)能力，也避免了由于使用者不在電腦前而導(dǎo)致信息丟失的情況的發(fā)生。1

系統(tǒng)特征計算機(jī)網(wǎng)絡(luò)防御決策系統(tǒng)，其特征在于，包括：

透明防火墻，用于分析及提取掃描特征并阻止外網(wǎng)掃描;

定時巡檢模塊，用于定時審計并監(jiān)測進(jìn)入網(wǎng)內(nèi)流量，提出異常流量處理建議，并對其進(jìn)行引導(dǎo)重定向至病毒隔離模塊，同時根據(jù)實時監(jiān)測到的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)健康狀況的評判，并將評判結(jié)果發(fā)送到主機(jī)顯示屏和網(wǎng)絡(luò)異常評估模塊;

病毒隔離模塊，用于利用模擬服務(wù)與產(chǎn)生異常流量的主機(jī)通信，提取攻擊指紋特征，充實病毒特征庫;

病毒特征匹配模塊，用于計算被監(jiān)控主機(jī)通信數(shù)據(jù)包的病毒特征指紋，與病毒特征庫內(nèi)的病毒特征比對，并將對比結(jié)果發(fā)送到主機(jī)顯示屏進(jìn)行顯示;

端口審計模塊，用于選取通信連接中和服務(wù)相關(guān)的要素進(jìn)行綜合分析，為維護(hù)和研究提供詳實報告;

流量統(tǒng)計模塊，利用原始數(shù)據(jù)包報文頭部信息進(jìn)行流量統(tǒng)計，以主機(jī)對外的每一個連接為單位進(jìn)行流量統(tǒng)計，通過提取通信雙方IP和端口號特征信息參與哈希函數(shù)運算，用步長倍增的算法解決哈希沖突，并用包頭中的報文長度字段值更新所屬連接的累計流量;

網(wǎng)絡(luò)異常評估模塊，用于通過建立的多態(tài)響應(yīng)網(wǎng)絡(luò)異常評估模型進(jìn)行網(wǎng)絡(luò)異常情況的評估，并將評估結(jié)果發(fā)送到防御決策生成模塊、數(shù)據(jù)隔離上傳模塊;

防御決策生成模塊，用于接收網(wǎng)絡(luò)異常評估模塊所發(fā)送的評估數(shù)據(jù)，并選取網(wǎng)絡(luò)攻擊發(fā)生時具有特征的參數(shù)與防御決策信息數(shù)據(jù)庫內(nèi)的數(shù)據(jù)進(jìn)行相似度對比后，輸出相應(yīng)的防御決策至顯示屏;

防御決策執(zhí)行模塊，用于執(zhí)行防御決策生成模塊所生成的防御決策;

應(yīng)急通道模塊，用于提示被攻陷主機(jī)的用戶，將工作環(huán)境遷至應(yīng)急通道繼續(xù)工作，不必中斷工作處理安全問題;

還原模塊，用于待用戶完成工作離開計算機(jī)時，通過短信息編輯模塊發(fā)送給用戶的指定手機(jī)，從而提示用戶存在安全隱患并給出精確的還原時間建議，并根據(jù)用戶選擇將計算機(jī)恢復(fù)至入侵之前的安全狀態(tài);

數(shù)據(jù)隔離上傳模塊，用于根據(jù)網(wǎng)絡(luò)異常評估模塊得出的評估結(jié)果，將數(shù)據(jù)進(jìn)行打包上傳，并清除計算機(jī)中的數(shù)據(jù)。1