CN101605066A - 基于多层数据拦截的远程网络行为实时监控方法 - Google Patents
基于多层数据拦截的远程网络行为实时监控方法 Download PDFInfo
- Publication number
- CN101605066A CN101605066A CNA2009100315104A CN200910031510A CN101605066A CN 101605066 A CN101605066 A CN 101605066A CN A2009100315104 A CNA2009100315104 A CN A2009100315104A CN 200910031510 A CN200910031510 A CN 200910031510A CN 101605066 A CN101605066 A CN 101605066A
- Authority
- CN
- China
- Prior art keywords
- watch
- dog
- real
- message
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于多层数据拦截的远程网络行为实时监控方法,多台监控设备与安全中心连接,基于B/S模型的分布式网络行为实施监控***的设计框架,网络行为实时监控分为两部分:监控设备实时分析报文,符合监控策略的报文上报安全中心;安全中心向监控设备下发监控策略,报文解析并提供搜索引擎,用户通过终端连接安全中心,用户配置监控策略和查询网络行为;实现对远程网络行为实时监控。本发明基于多层数据拦截的远程网络行为实时监控技术应用,有效的管理远程网络的信息安全,实现了信息安全统一管理,数据二次挖掘、分析,提高了整个网络的信息安全。
Description
技术领域
本发明涉及一种基于多层数据拦截的远程网络行为实时监控方法,属于网络行为安全技术领域。
背景技术
随着Internet的高速发展,网络应用越来越多,大多数企业的一些关键业务也开始通过Internet提供。而Internet的一大特性是开放性,正是这种开放性给Internet上服务的安全构成了严重的威胁。为了保证健康有序的发展,必须在网络安全上提供强有力的保证。
由于传统的网络行为监控***是终端行设备,报文分析后就丢弃,监控结果存放在数据库,有严重的局限性:不能对报文进行二次分析,监控设备之间的数据不共享,安全信息闭塞,网络行为分析不能更好的表现当前网络状况。
基于多层数据拦截的远程网络行为实时监控技术解决这方面问题,监控设备向安全中心上报数据报文,统一存储在安全中心服务器,安全中心嵌入报文解析引擎,根据不同的策略二次解析,提供全方面的网络行为分析引擎,使用户能更好的了解当前网络状况。
基于多层数据拦截的远程网络行为实时监控***提供以下功能和特性:
1)报文检测:对报文从第二层到第七层深度检测,检测的结果反映为对报文的处理决定,报文被按照处理决定进行处理;
2)监控策略:用户监控策略解析为协议类型,下发到监控设备,监控设备加载监控策略并实时监控网络报文;
3)报文解析引擎:报文二次解析,解析报文协议类型,汇总流量;
4)网络行为分析引擎:根据报文解析引擎,汇总数据,分析当前网络行为,以饼图、曲线等形式显示当前网络状况。
5)有效资源利用:报文统一管理,有效的利用网络资源和人力资源,提高网络安全。
随着计算机网络的发展与普及,网络内部的安全性越来越受到人们的关注,如何对网络内部主机的行为进行监视与控制,是解决问题的基础和关键所在。
发明内容
本发明的目的是克服现有技术存在的不足,提供一种基于多层数据拦截的远程网络行为实时监控方法。
本发明的目的通过以下技术方案来实现:
基于多层数据拦截的远程网络行为实时监控方法,特点是:多台监控设备与安全中心连接,网络行为实时监控分为两部分:一是,监控设备实时报文检测,符合监控策略的报文上报安全中心;二是,安全中心向监控设备下发监控策略,安全中心提供报文解析引擎,通过终端连接安全中心,用户配置监控策略和查询网络行为;从而实现对远程网络行为实时监控。
进一步地,上述的基于多层数据拦截的远程网络行为实时监控方法,其中,报文检测,监控设备对报文进行第二层到第七层的检测,检测内容包括状态的分类和处理、防火墙、防病毒、反间谍软件、入侵检测/入侵防御、内容过滤、应用层网关、虚拟专用网,检测的结果反映为对报文的处理决定,报文被按照处理决定进行处理;
监控策略,用户设置监控策略,安全中心解析监控策略,下发到监控设备并执行;
报文解析引擎,安全中心根据用户的搜索指令对报文二次解析,识别协议类型并返回搜索结果;
网络行为分析引擎,分析用户在不同时间段、不同协议的网络占用率、流量、内容,了解目前网络的运行状况,如有异常情况,及时处理。
更进一步地,上述的基于多层数据拦截的远程网络行为实时监控方法,安全中心和监控设备通过双向通信实现远程网络行为实时监控,用户终端接口响应用户的的请求,分为两部分:监控策略配置和查询引擎,首先监控策略模块向监控设备下发监控策略,监控策略模块调用服务器接口,服务器接口通过安全连接通道向监控设备请求,监控设备接口响应请求,监控策略配置模块配置监控策略,并通知流预处理模块加载,用户设置的监控策略下发到监控设备,监控设备实时监控网络行为;网络中的报文流向监控设备,捕获网络数据并把报文发送给流预处理模块,流预处理模块对报文深度检索,符合监控策略要求的报文上报给监控设备接口,监控设备接口向安全中心请求上报,服务器接口响应上报请求,进行报文解析并存储数据库mysql;用户在终端查询指定QQ号码,用户终端接口提交给查询引擎模块,报文解析出QQ协议,深度匹配QQ号码,返回结果发送给用户终端接口;监控设备实时上报符合安全策略的报文,安全中心汇总报文并解析,用户通过安全中心实现远程网络行为的实时监控。
本发明技术方案突出的实质性特点和显著的进步主要体现在:
本发明提出一种基于B/S模型的分布式网络行为实时监控***的设计框架,通过对实现过程中的软件体系结构、报文解析引擎和网络行为分析引擎等关键技术的研究,达到对用户网络行为的实时监控的要求。基于多层数据拦截的远程网络行为实时监控技术应用,有效的管理远程网络的信息安全,基于B/S模型的分布式网络行为实施监控***的设计框架,实现了信息安全统一管理,数据二次挖掘、分析,提高了整个网络的信息安全。
附图说明
下面结合附图对本发明技术方案作进一步说明:
图1:基于多层数据拦截的远程网络行为实时监控***总体架构示意图;
图2:基于多层数据拦截的远程网络行为实时监控***的实现过程示意图;
图3:基于多层数据拦截的远程网络行为实时监控***的报文解析流程示意图。
图中各附图标记的含义见下表:
| 附图标记 | 含义 | 附图标记 | 含义 | 附图标记 | 含义 |
| 1 | 用户终端接口 | 2 | 监控策略模块 | 3 | 查询引擎模块 |
| 4 | 数据库Mysql | 5 | 报文解析 | 6 | 服务器接口 |
| 7 | 安全连接通道 | 8 | 监控设备接口 | 9 | 监控策略配置模块 |
| 10 | 流预处理模块 | 11 | 安全事件 | 12 | 捕获网络数据 |
| 13 | 监控设备 | 14 | 安全中心 | 15 | 报 |
| 16 | 物理网络接口 | 17 | 报文输入 | 18 | 深度报文检测 |
| 19 | 报文输出 |
具体实施方式
基于多层数据拦截的远程网络行为实时监控技术,采用SOCKET实现服务器/客户端双向连接技术,对数据业务的处理,分为两类;服务器器端提供监控协议设置,报文解析及其搜索引擎;客户端实现监控子网,深度解析报文,实时向服务器上报异常报文;客户端实时监控异常报文,并上报服务器,服务器对报文进行二次解析,并向用户提供搜索接口,从而实现远程网络行为的实时监控。
图1表述了远程网络行为实时监控***的总体框架,多台监控设备(客户端)分布在网络中并与安全中心服务器连接,监控设备实时监控内网网络行为并上报安全中心,用户登录安全中心管理远程网络行为。
图2表述了远程网络行为实时监控***的实现过程,用户终端接口1响应用户的的请求,分为两部分:监控策略配置和查询引擎,比如用户监控QQ行为,首先监控策略模块2向监控设备下发监控策略,监控策略模块2调用服务器接口6,服务器接口6通过安全连接通道7向监控设备13请求,监控设备接口8响应请求,监控策略配置模块9配置监控策略,并通知流预处理模块10加载,这样用户设置的监控策略下发到监控设备13,监控设备13实时监控网络行为;网络中的报文流向监控设备13,捕获网络数据12并把报文发送给流预处理模块10,流预处理模块10对报文深度检索,符合要求的安全事件11上报给监控设备接口8,监控设备接口8向安全中心请求上报,服务器接口6响应上报请求,进行报文解析并存储数据库mysql 4;用户在终端查询指定QQ号码,用户终端接口1提交给查询引擎模块3,报文解析5出QQ协议,深度匹配QQ号码,返回结果发送给用户终端接口;监控设备实时上报符合安全策略的报文,安全中心14汇总报文并解析,用户通过安全中心实现远程网络行为的实时监控。
图3表述了基于多层数据拦截的网络行为实时监控***的报文解析处理过程,物理网络接口16捕获报文15,在流预处理模块中报文输入17,对输入的报文深度检测18,解析报文的协议,符合安全策略的报文发送给安全中心,报文检测完毕后报文输出19,网络网络接口继续处理报文。
多台监控设备与安全中心实现双向链接,监控设备以报文形式向安全中心上报,安全中心在报文的基础上进行二次解析、挖掘,实现对远程网络的实时监控、分析。监控设备向安全中心发送连接请求,服务器确认请求时合法的连接同时响应客户端,其中:安全验证机制采用基于口令的安全验证或基于密钥的安全验证机制。监控设备深度检测报文,符合监控设备的报文向安全中心上报。安全中心响应上报请求,对报文解析并存储到数据库,提供二次解析搜索。安全中心设置监控策略,解析监控策略,转化为协议类型向监控设备下发。监控设备响应下发请求,并通知流预处理模块加载监控策略,实时监控网络数据包。用户在安全中心上可以查看当前网络行为,以不同的形式展现当前的网络使用状况,从而实现了对远程网络行为的实时监控。
综上所述,本发明基于多层数据拦截的远程网络行为实时监控技术应用,有效的管理远程网络的信息安全,基于B/S模型的分布式网络行为实施监控***的设计框架,实现了信息安全统一管理,数据二次挖掘、分析,提高了整个网络的信息安全。
需要理解到的是:上述说明并非是对本发明的限制,在本发明构思范围内,所进行的添加、变换、替换等,也应属于本发明的保护范围。
Claims (3)
1.基于多层数据拦截的远程网络行为实时监控方法,其特征在于:多台监控设备与安全中心连接,网络行为实时监控分为两部分:一是,监控设备实时报文检测,符合监控策略的报文上报安全中心;二是,安全中心向监控设备下发监控策略,安全中心提供报文解析引擎,通过终端连接安全中心,用户配置监控策略和查询网络行为;从而实现对远程网络行为实时监控。
2.根据权利要求1所述的基于多层数据拦截的远程网络行为实时监控方法,其特征为于:所述报文检测,监控设备对报文进行第二层到第七层的检测,检测内容包括状态的分类和处理、防火墙、防病毒、反间谍软件、入侵检测/入侵防御、内容过滤、应用层网关、虚拟专用网,检测的结果反映为对报文的处理决定,报文被按照处理决定进行处理;
所述监控策略,根据用户设置监控策略解析为向对应的协议类型,下发到监控设备并执行;
所述报文解析引擎,安全中心对报文进行二次分析,识别协议类型,对报文解析并根据监控策略返回搜索结果。
3.根据权利要求1所述的基于多层数据拦截的远程网络行为实时监控方法,其特征在于:安全中心和监控设备通过双向链接实现远程网络行为实时监控,用户终端接口响应用户的请求,分为两部分:监控策略配置和查询引擎,首先监控策略模块向监控设备下发监控策略,监控策略模块调用服务器接口,监控设备实时向安全中心请求指令,监控设备实时处理安全中心下发任务,监控策略配置模块配置监控策略,并通知流预处理模块加载,用户设置的监控策略下发到监控设备,监控设备实时监控网络行为;网络中的报文流向监控设备,捕获网络数据并把报文发送给流预处理模块,流预处理模块对报文深度检索,符合监控策略要求的报文上报给监控设备接口,监控设备接口向安全中心请求上报,服务器接口响应上报请求,进行报文解析并存储数据库mysql;用户在终端查询指定QQ号码,用户终端接口提交给查询引擎模块,报文解析出QQ协议,深度匹配QQ号码,返回结果发送给用户终端接口;监控设备实时上报符合安全策略的报文,安全中心汇总报文并解析,用户通过安全中心实现远程网络行为的实时监控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100315104A CN101605066B (zh) | 2009-04-22 | 2009-04-22 | 基于多层数据拦截的远程网络行为实时监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100315104A CN101605066B (zh) | 2009-04-22 | 2009-04-22 | 基于多层数据拦截的远程网络行为实时监控方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101605066A true CN101605066A (zh) | 2009-12-16 |
| CN101605066B CN101605066B (zh) | 2011-09-21 |
Family
ID=41470626
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100315104A Active CN101605066B (zh) | 2009-04-22 | 2009-04-22 | 基于多层数据拦截的远程网络行为实时监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101605066B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917419A (zh) * | 2010-08-04 | 2010-12-15 | 安徽天虹数码技术有限公司 | 工作网络行为防火墙 |
| CN102316104A (zh) * | 2011-09-01 | 2012-01-11 | 北京中兴网安科技有限公司 | 全信息记录方法、装置及*** |
| CN102497425A (zh) * | 2011-12-12 | 2012-06-13 | 山东电力研究院 | 一种基于透明代理的恶意软件检测***及其方法 |
| CN102510524A (zh) * | 2011-10-26 | 2012-06-20 | 国家广播电影电视总局广播科学研究院 | 广播电视网的管控*** |
| CN103096166A (zh) * | 2011-10-18 | 2013-05-08 | 南京中新赛克科技有限责任公司 | 一种iptv前端监控***与方法 |
| CN103248651A (zh) * | 2012-02-09 | 2013-08-14 | 腾讯科技(深圳)有限公司 | 一种性能监控的方法和***以及客户端和服务器 |
| CN104170347A (zh) * | 2012-03-13 | 2014-11-26 | 阿尔卡特朗讯公司 | 用于云网络中的分布式安全服务的方法和装置 |
| CN103795709B (zh) * | 2013-12-27 | 2017-01-18 | 北京天融信软件有限公司 | 一种网络安全检测方法和*** |
| CN107231378A (zh) * | 2017-07-21 | 2017-10-03 | 云南电网有限责任公司信息中心 | 一种基于电力移动办公设备的安全管控方法、装置及*** |
| CN109344620A (zh) * | 2018-09-07 | 2019-02-15 | 国网福建省电力有限公司 | 一种基于对hadoop安全配置的检测方法 |
| CN109992940A (zh) * | 2019-03-29 | 2019-07-09 | 北京金山云网络技术有限公司 | 身份验证方法、装置、***及身份校验服务器 |
| CN111147292A (zh) * | 2019-12-18 | 2020-05-12 | 深圳市任子行科技开发有限公司 | 策略集群分发匹配方法、***及计算机可读存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413143B (zh) * | 2011-12-01 | 2018-05-22 | 深圳艾迪宝智能***有限公司 | 基于云计算的安全审计***及方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1547120A (zh) * | 2003-12-10 | 2004-11-17 | 沈阳东软软件股份有限公司 | 网络监视管理*** |
| CN101075919A (zh) * | 2006-06-22 | 2007-11-21 | 腾讯科技(深圳)有限公司 | 一种互联网业务的监控***和监控方法 |
| CN101141458A (zh) * | 2007-10-12 | 2008-03-12 | 网经科技(苏州)有限公司 | 网络数据流水线式分析处理的方法 |
| CN101325005B (zh) * | 2008-07-31 | 2011-10-12 | 北京中星微电子有限公司 | 一种交通拥塞监测设备及一种交通拥塞监测方法及其*** |
-
2009
- 2009-04-22 CN CN2009100315104A patent/CN101605066B/zh active Active
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917419A (zh) * | 2010-08-04 | 2010-12-15 | 安徽天虹数码技术有限公司 | 工作网络行为防火墙 |
| CN102316104A (zh) * | 2011-09-01 | 2012-01-11 | 北京中兴网安科技有限公司 | 全信息记录方法、装置及*** |
| CN103096166A (zh) * | 2011-10-18 | 2013-05-08 | 南京中新赛克科技有限责任公司 | 一种iptv前端监控***与方法 |
| CN103096166B (zh) * | 2011-10-18 | 2017-07-11 | 南京中新赛克科技有限责任公司 | 一种iptv前端监控***与方法 |
| CN102510524A (zh) * | 2011-10-26 | 2012-06-20 | 国家广播电影电视总局广播科学研究院 | 广播电视网的管控*** |
| CN102510524B (zh) * | 2011-10-26 | 2014-09-03 | 国家广播电影电视总局广播科学研究院 | 广播电视网的管控*** |
| CN102497425A (zh) * | 2011-12-12 | 2012-06-13 | 山东电力研究院 | 一种基于透明代理的恶意软件检测***及其方法 |
| CN103248651B (zh) * | 2012-02-09 | 2016-02-24 | 腾讯科技(深圳)有限公司 | 一种性能监控的方法和***以及客户端和服务器 |
| CN103248651A (zh) * | 2012-02-09 | 2013-08-14 | 腾讯科技(深圳)有限公司 | 一种性能监控的方法和***以及客户端和服务器 |
| CN104170347A (zh) * | 2012-03-13 | 2014-11-26 | 阿尔卡特朗讯公司 | 用于云网络中的分布式安全服务的方法和装置 |
| US9444840B2 (en) | 2012-03-13 | 2016-09-13 | Alcatel Lucent | Method and apparatus for a distributed security service in a cloud network |
| CN103795709B (zh) * | 2013-12-27 | 2017-01-18 | 北京天融信软件有限公司 | 一种网络安全检测方法和*** |
| CN107231378A (zh) * | 2017-07-21 | 2017-10-03 | 云南电网有限责任公司信息中心 | 一种基于电力移动办公设备的安全管控方法、装置及*** |
| CN109344620A (zh) * | 2018-09-07 | 2019-02-15 | 国网福建省电力有限公司 | 一种基于对hadoop安全配置的检测方法 |
| CN109344620B (zh) * | 2018-09-07 | 2021-08-31 | 国网福建省电力有限公司 | 一种基于对hadoop安全配置的检测方法 |
| CN109992940A (zh) * | 2019-03-29 | 2019-07-09 | 北京金山云网络技术有限公司 | 身份验证方法、装置、***及身份校验服务器 |
| CN111147292A (zh) * | 2019-12-18 | 2020-05-12 | 深圳市任子行科技开发有限公司 | 策略集群分发匹配方法、***及计算机可读存储介质 |
| CN111147292B (zh) * | 2019-12-18 | 2022-12-02 | 深圳市任子行科技开发有限公司 | 策略集群分发匹配方法、***及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101605066B (zh) | 2011-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101605066B (zh) | 基于多层数据拦截的远程网络行为实时监控方法 | |
| CN108616534B (zh) | 一种基于区块链防护物联网设备DDoS攻击的方法及*** | |
| CN113556354B (zh) | 一种基于流量分析的工业互联网安全威胁检测方法与*** | |
| Sharma et al. | Distblocknet: A distributed blockchains-based secure sdn architecture for iot networks | |
| KR102033169B1 (ko) | 지능형 보안로그 분석방법 | |
| CN108270716A (zh) | 一种基于云计算的信息安全审计方法 | |
| CN107172022A (zh) | 基于入侵途径的apt威胁检测方法和*** | |
| US20070234425A1 (en) | Multistep integrated security management system and method using intrusion detection log collection engine and traffic statistic generation engine | |
| CN101018119A (zh) | 基于硬件的与操作***无关的服务器网络安全集中管理*** | |
| CN101771702A (zh) | 点对点网络中防御分布式拒绝服务攻击的方法及*** | |
| KR20140035146A (ko) | 정보보안 장치 및 방법 | |
| US20230403296A1 (en) | Analyses and aggregation of domain behavior for email threat detection by a cyber security system | |
| Chen et al. | Intrusion detection using a hybrid support vector machine based on entropy and TF-IDF | |
| Chai et al. | Research of intelligent intrusion detection system based on web data mining technology | |
| Kenaza | An ontology-based modelling and reasoning for alerts correlation | |
| Elshoush | An innovative framework for collaborative intrusion alert correlation | |
| CN105025006A (zh) | 一种积极的信息安全运维平台 | |
| CN112437070B (zh) | 一种基于操作生成树状态机完整性验证计算方法及*** | |
| Jain et al. | The role of decision tree technique for automating intrusion detection system | |
| CN112769755A (zh) | 一种面向威胁检测的dns日志统计特征抽取方法 | |
| Li et al. | Campus network intrusion prevention and detection application research | |
| Zhang et al. | Improving Information Security in Smart City | |
| CN102571463A (zh) | 广域网中垃圾邮件主机检测的方法和*** | |
| Li et al. | Research on the network security management based on data mining | |
| CN202353603U (zh) | 应急指挥平台安全保护*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |