一种网络数据智能漂移引导系统及其数据漂移引导方法

摘要

本发明公开了一种网络数据智能漂移引导系统，其特征在于：网络接口分别与异常检测模块、主动路由模块连接，异常检测模块与专家智能推理系统模块连接，专家智能推理系统模块与主动路由模块连接，其特点在于：1.转变传统信息安全领域采用的被动防御为主动防御，在信息安全对抗中使防御方保持优势。2.与IDS的结合的智能路由机制，提高了IDS的检测准确性。3.在信息安全领域里，对于未知的检测提供了通用的处理模型，大大提高数据检测的能力。

说明书

技术领域：

本发明涉及电子信息技术领域，具体的说是一种网络数据智能漂移引导系统及其数据漂移引导方法。

背景技术：

近年来，一些传统的信息安全技术及相关产品已取得了突破性的发展，但是却普遍缺乏网络防御的主动性和时效性；与此同时，在与入侵者周旋的过程中，信息安全的防范手段往往滞后于层出不穷的网络攻击行为，处于相当被动的局面。

在信息安全领域，对待未知攻击的解决方案一直不太理想。目前很多安全防御产品对待已知攻击行为可以正确检测和抵制，而对于新出现的攻击却很少能正确检测和进行相应的防御。

发明内容：

本发明的目的在于提供一种网络数据智能漂移引导系统及其数据漂移引导方法，其实用性强，应用性广，可用于蜜罐、攻击导向、主动路由、区别恶意数据流、电子取证等等方面，而且对正常数据不产生影响，核心是利用专家智能推导算法得出漂移规则，然后根据该规则将网络攻击数据引导到指定的目标，不仅转移了遭受的攻击同时也迷惑了攻击者，它可克服现有技术中存在的缺点。

为了实现上述目的，本发明的技术方案是：一种网络数据智能漂移引导系统，它主要包括网络接口，其特征在于：所述网络接口分别与异常检测模块、主动路由模块连接，异常检测模块与专家智能推理系统模块连接，专家智能推理系统模块与主动路由模块连接。

一种网络数据智能漂移引导系统数据漂移引导方法，其特征在于：数据漂移引导方法如下所述，网络数据经网络接口经过异常检测模块的检测之后，专家智能推理系统模块得出数据的一个引导方向，最后由主动路由模块将数据引导到指定的目的，其中包括蜜罐陷阱系统、反攻击目标系统、恶意数据区系统、电子取证系统、攻击向导系统，而正常数据和区别恶意数据流则被传送到访问目标。

本发明公开了一种网络数据智能漂移引导系统及其数据漂移引导方法，其特点在于：1、转变传统信息安全领域采用的被动防御为主动防御，在信息安全对抗中使防御方保持优势。2、与IDS的结合的智能路由机制，提高了IDS的检测准确性。3、在信息安全领域里，对于未知的检测提供了通用的处理模型，大大提高数据检测的能力。

附图说明：

图1为本发明系统原理图

图2为发明网络拓扑图

图3为发明专家智能推理系统模块推理原理图

具体实施方式：

下面参照附图，对本发明进一步进行描述

本发明为一种网络数据智能漂移引导系统及其数据漂移引导方法，如图1中所示，它主要包括网络接口1，其区别于现有技术在于：网络接口1分别与异常检测模块2、主动路由模块3连接，异常检测模块2与专家智能推理系统模块4连接，专家智能推理系统模块4与主动路由模块3连接，网络数据经网络接口经过异常检测模块2的检测之后，专家智能推理系统模块4得出数据的一个引导方向，最后由主动路由模块3将数据引导到指定的目的，其中包括蜜罐陷阱系统、反攻击目标系统、恶意数据区系统、电子取证系统、攻击向导系统，而正常数据和区别恶意数据流则被传送到访问目标，如图3中所示，专家智能推理系统模块4由知识库模块和推理机模块组成，其中知识库模块为安全事件规则库，推理机模块则负责逻辑处理，逻辑处理的内容包括路由漂移、关闭应用、切断连接、重启服务。

本发明实现的技术基础是网络路由技术，在此基础之上结合智能推理原理、IDS检测技术完成了数据的智能引导。网络数据在经过异常检测模块的IDS检测之后，专家智能推理系统将得出数据的一个引导方向，最后由主动路由模块将数据引导到指定的目的(包括蜜罐陷阱、反攻击目标、恶意数据区、电子取证)。本发明集多种信息技术于一体，提供了灵活机动的信息安全解决方案，而且针对信息安全的领域的一些疑难问题提供了通用的参考模型。

本发明采用传统的IDS异常检测，该检测模型存在很高的误报率，本发明在对于误报的数据并不和防火墙一样处理(立即丢弃或阻断)，而是通过智能路由技术引导到相对安全的区域进行二次区分大大地降低IDS的误报率。

如图2中所示，本发明主要用于对内部网络资源的保护，在内部网络与公共网络的连接处安置一台采用本发明技术的智能路由网关完成对数据的智能引导。本发明的适用性和拓展性非常好，数据引导的目标可以根据不同的应用要求而异。例如，将一些网络黑客的攻击目标引导到蜜罐系统，不仅可以保护受保护的目标还可以将其引入预先设置好的陷阱。

核心技术为智能路由技术，为了减少所需的IPv4地址和增强内部网络的安全性，将多台网络终端连接在一起，并采用同样的IPv4地址与公共网络通信的方法称为共享IP地址。而实现共享IP地址的核心技术是NAT技术。NAT英文全称是“Network AddressTranslation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force，Internet工程任务组)标准，允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet上。它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。而通常内部私有网络地址所做的NAT都是一一对应的关系，即1个私有IP地址对应1次连接(某次连接的始终只对应建立连接的唯一私有IP地址)。本发明中的智能路由技术则改变了这种对应关系，采用动态的映射关系。在一次网络通信的过程中可以改变连接所对应的私有IP地址对象，例如内部的a地址与外部网络的b地址建立连接进行通信，智能路由可以在通信的过程中将a与b的通信转变成内部地址c与b的通信。这样在外部网络不知情的情况下改变了b的通信对象。智能路由是在结合智能推理系统和IDS检测一起完成数据的智能引导，即在改变通信的对象是通过IDS检测和智能推理系统所得出的结论。

拥有知识是专家系统区别于其他计算机软件系统的重要标志，知识的质量和数量是决定专家系统性能的关键因素，知识的获取是一个与领域专家、专家系统建造者与专家系统自身都密切相关的复杂问题。知识的获取的任务就是为专家系统获取知识，建立起健全、完善、有效的知识库，以满足求解领域问题的需要。所以它需要做以下的工作：知识的抽取；知识的转换；知识的输入与知识的检测。

推理机制有两种推理方法：正向推理机、反向推理机。正向推理机也称数据驱动法，主要根据用户提供的信息，在逻辑网络上正向移动推理。反向推理机也称客体驱动，从结果开始，进行假设，根据知识库提供的信息，对该假定加以肯定或否定，来逐步推进。在本系统中我们倾向于正向推理和反向推理的结合，在已知来源的情况下用正向推理得出结论，在不明来源的情况下用反向推理来假设。