CN108366088A - 一种用于教学网络***的信息安全预警*** - Google Patents
一种用于教学网络***的信息安全预警*** Download PDFInfo
- Publication number
- CN108366088A CN108366088A CN201711466279.2A CN201711466279A CN108366088A CN 108366088 A CN108366088 A CN 108366088A CN 201711466279 A CN201711466279 A CN 201711466279A CN 108366088 A CN108366088 A CN 108366088A
- Authority
- CN
- China
- Prior art keywords
- module
- data
- signal end
- honey
- early warning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于教学网络***的信息安全预警***,包括蜜网宿主机、数据分析服务器和监控终端,所述蜜网宿主机的信号端连接有无线路由器,所述无线路由器的信号端与数据分析服务器相连接,所述无线路由器的信号端还连接有监控终端,所述蜜网宿主机包括蜜网网关和蜜罐虚拟组,所述蜜网网关的交互端口与蜜罐虚拟组相连接,所述蜜网宿主机的信号端还连接有数据分析***,所述蜜网宿主机的数据端还连接有数据库***,所述监控终端的控制端连接有监控管理***,整个***采用动态的防御技术,能够实现网络的实时信息进行监控、捕获及分析,捕获和监视潜在黑客的攻击,从而掌握黑客的动机及入侵方法策略,也能实现对网络入侵进行分折取证。
Description
技术领域
本发明涉及教学网络***信息安全领域,具体为一种用于教学网络***的信息安全预警***。
背景技术
学校是教书育人的场所,教学网络***作为一种信息化的手段在其中起着非常重要的作用。然而教学网络***的安全问题日益突出,己经成为威胁学校信息技术教育的首要问题。与互联网所经受的考验一样,不健康信息、非法入侵和其它各种不安全因素以其越来越大的危害侵蚀着学校这块净土。
例如,申请号为201510727383.7,专利名称为一种电力信息***信息安全联动预警***发明专利:
其能够实时监控设备状态及安全事件并联动预警,并将采集分析处理后的指标与事件的结果展现在大屏上,针对设备远程视频监看与采集,进行信息安全联动预警,保障设备及网络的安全性。
但是,现有的教学网络***的信息安全预警***存在以下缺陷:
(1)主动式风险预警***最终是为信息网络安全服务的,信息网络的可靠稳定是教学网络***安全运行的重要保障,但是目前的信息网络存在不能主动防御未知安全风险的安全问题;
(2)现有的教学网络***在安全防御方面设计的结构较为复杂,而且自动防御性能差,在没有任何征兆的前提下,无法确定薄弱环节和漏洞的位置。
发明内容
为了克服现有技术方案的不足,本发明提供一种用于教学网络***的信息安全预警***,能有效的解决背景技术提出的问题。
本发明解决其技术问题所采用的技术方案是:
一种用于教学网络***的信息安全预警***,包括蜜网宿主机、数据分析服务器和监控终端,所述蜜网宿主机的信号端连接有无线路由器,所述无线路由器的信号端与数据分析服务器相连接,所述无线路由器的信号端还连接有监控终端,所述蜜网宿主机包括蜜网网关和蜜罐虚拟组,所述蜜网网关的交互端口与蜜罐虚拟组相连接,所述蜜网宿主机的信号端还连接有数据分析***,所述蜜网宿主机的数据端还连接有数据库***,所述监控终端的控制端连接有监控管理***;
所述数据分析***包括数据捕获模块和入侵检测模块,所述数据捕获模块的输出端连接有解析模块,所述解析模块的信号端连接有重组转换模块,所述重组转换模块的输出端与入侵检测模块相连接,所述入侵检测模块的输出端分别连接有追踪模块和预警模块。
进一步地,所述入侵检测模块的输入端连接有规则处理模块相连接。
进一步地,所述规则处理模块包括规则匹配模块和规则文件检测模块,所述规则文件检测模块的输出端与规则匹配模块相连接。
进一步地,所述无线路由器的信号端还分别连接有监控管理服务器和数据库服务器。
进一步地,所述预警模块包括主控制器,所述主控制器的信号端连接有阈值设定模块,所述阈值设定模块的信号端与程序设定模块相连接,所述主控制器的信号端与解析模块相连接。
进一步地,所述监控管理***包括数据库决策支持***,所述数据库决策支持***包括数据源模块和数据仓库模块,所述数据源模块的信号端与数据捕获模块相连接,所述数据源模块的输出端连接有中间数据库模块,所述数据源模块的输出端通过数据流与数据仓库模块相连接。
进一步地,所述中间数据库模块的信号端连接有数据增量更新模块,所述数据增量更新模块的信号端与数据仓库模块相连接。
进一步地,所述数据仓库模块的输出端连接有主机分析处理模块,所述主机分析处理模块的输出端与预警模块相连接。
进一步地,所述主机分析处理模块的信号端通过数据流与中间数据库模块相连接。
与现有技术相比,本发明的有益效果是:
(1)本发明的信息安全预警***对外是一个开放式的应用***,对内又是模块化的封闭式***,它为网络实时监控***提供接口数据,方便共享实时监控预警数据,充分提高了教学网路***的安全防护水平,又能尽可能多地虚拟各类生产业务***,以实现全方位的安全防护;
(2)本发明的的安全防御***采用动态的防御技术,能够实现网络的实时信息进行监控、捕获及分析,捕获和监视潜在黑客的攻击,从而掌握黑客的动机及入侵方法策略,也能实现对网络入侵进行分折取证。
附图说明
图1为本发明的整体结构示意图;
图2为本发明的数据分析***示意图;
图3为本发明的预警模块示意图;
图4为本发明的监控管理***示意图。
图中标号:
1-蜜网宿主机;2-数据分析服务器;3-监控终端;4-监控管理***;5-数据分析***;6-无线路由器;7-监控管理服务器;8-数据库服务器;9-数据库***;
101-蜜网网关;102-蜜罐虚拟组;
401-主机分析处理模块;402-数据仓库模块;403-数据源模块;404-数据增量更新模块;405-中间数据库模块;406-数据库决策支持***;
501-数据捕获模块;502-入侵检测模块;503-解析模块;504-重组转换模块;505-追踪模块;506-预警模块;507-规则处理模块;508-规则匹配模块;509-规则文件检测模块;510-主控制器;511-阈值设定模块;512-程序设定模块。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1至图4所示,本发明提供了一种用于教学网络***的信息安全预警***,包括蜜网宿主机1、数据分析服务器2和监控终端3,所述蜜网宿主机1的信号端连接有无线路由器6,所述无线路由器6的信号端还分别连接有监控管理服务器7和数据库服务器8,所述无线路由器6的信号端与数据分析服务器2相连接,所述无线路由器6的信号端还连接有监控终端3,该***采用动态的防御技术,它能够实现网络的实时信息进行监控、捕获及分析,捕获和监视潜在黑客的攻击,从而掌握黑客的动机及入侵方法策略,也能实现对网络入侵进行分折取证。其工作原理是利用蜜网三大功能:数据控制、数据捕获以及数据分析,完成对网络风险的实时跟踪与捕获。
进一步说明的是,所述蜜网宿主机1包括蜜网网关101和蜜罐虚拟组102,所述蜜网网关101的交互端口与蜜罐虚拟组102相连接,首先,在蜜网的网关上完成蜜网数据控制,蜜网网关101对所有进入蜜网的数据包不设限制,让得入侵者能够很容易地入侵到蜜网,但是要对入侵者所使用蜜网向外发起的跳板攻击要进行严格的控制,所述蜜网宿主机1的信号端还连接有数据分析***5,所述蜜网宿主机1的数据端还连接有数据库***9,所述数据库***9用来提供日志及数据存储服务,用来存储HNS捕获到的所有信息。
所述监控终端3的控制端连接有监控管理***4,采用监控管理***4实现数据捕获的需求,通过蜜网网关101和预装在蜜罐宿主机里的蜜罐虚拟组102一起完成,对于进入蜜网的数据包根据规则进行告警,生成告警日志,同时也对原始流量数据包进行捕获,并生成netflow流数据。在各个蜜罐宿主机中,安装可以自我隐藏的主机行为监控模块,来对蜜罐宿主机里面的各种变化情况,如网络连接变化、进程变化、注册表变化、文件变化等进行记录并生成日志,捕获样本文件,通过隐藏协议找传输技术传送到蜜网网关,最后送到日志服务器。
所述监控终端3主要用来进行信息网络的主动式风险预警***各个组件之间的通信,信息网络的主动式风险预警***管理员从管理区接入***管理区域,并通过监控管理***的web管理界面进行日常管理和日志分析。
进一步说明的是,所述数据分析***5包括数据捕获模块501和入侵检测模块502,所述数据捕获模块501以太网为工作环境,以太网通过广播的方式传输数据,网卡可以通过广播监听捕获到以太网络上传送的数据包,为***的实现提供基础数据来源,所述数据捕获模块501的输出端连接有解析模块503,由解析模块503捕获的数据包通过操作***的底层驱动被转发给***协议栈,在协议栈按照自下而上的顺序对捕获的原始数据包进行解码分析,为后续模块的处理服务,所述解析模块503的信号端连接有重组转换模块504,利用重组转换模块504对解码模块得到的数据包进行处理,所述重组转换模块504的输出端与入侵检测模块502相连接,所述入侵检测模块502对转换得到的数据包进行规则匹配来检测多种不同的入侵行为,通过不断地检测网络***,来发现***的威胁和弱点,为预警响应及追踪奠定技术基础。
所述入侵检测模块502的输出端分别连接有追踪模块505和预警模块506,所述入侵检测模块502的输入端连接有规则处理模块507相连接,所述规则处理模块507包括规则匹配模块508和规则文件检测模块509,所述规则文件检测模块509的输出端与规则匹配模块508相连接,在规则匹配中首先要装载规则文件,规则文件是***网络攻击的知识库,库中有了规则后才能识别网络入侵行为。接下来要解析规则文件,建立规则树,进行规则匹配。
进一步说明的是,预警模块506通过监听网络数据流,识别,记录入侵和破坏性访问及操作,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时,预警***能够根据***安全策略作出反应,通过对数据进行分析处理,制定报警级别,提供多种报警方式,对威胁事件进行分类,确定威胁来源,对威胁进行统计,分析等。
进一步说明的是,数据分析***5通过日志服务器收集各类数据和日志,包括网络日志和主机日志,以及原始流量数据包和流数据,样本文件等等,进行关联分析,结合进一步的离线分析技术,实现蜜网的"数据分析"需求。
进一步说明的是,所述预警模块506包括主控制器510,所述主控制器510的信号端连接有阈值设定模块511,所述阈值设定模块511的信号端与程序设定模块512相连接,所述主控制器510的信号端与解析模块503相连接。
进一步说明的是,追踪模块505采用了信息追踪技术其目标是判断攻击者入侵者的踪迹,定位攻击源的位置,推断出攻击者在网络中的穿行路由等。
进一步说明的是,所述监控管理***4包括数据库决策支持***406,所述数据库决策支持***406包括数据源模块403和数据仓库模块402,所述数据源模块403主要用来采集广域网的网络数据,即接收到的原始数据,所述数据源模块403的信号端与数据捕获模块501相连接,所述数据源模块403的输出端连接有中间数据库模块405,所述中间数据库模块405主要负责将原始数据的文本文件进行处理,消除脏数据,存入中间数据库,为后序模块提供标准数据。
进一步说明的是,所述数据源模块403的输出端通过数据流与数据仓库模块402相连接,所述中间数据库模块405的信号端连接有数据增量更新模块404,所述数据增量更新模块404的信号端与数据仓库模块402相连接,所述数据仓库模块402的输出端连接有主机分析处理模块401,所述主机分析处理模块401的输出端与预警模块503相连接,所述主机分析处理模块401的信号端通过数据流与中间数据库模块405相连接。
所述数据增量更新模块404实现对数据仓库中多维数据集的增量更新,网络虫的数据是实对的,但在安全预警***中,对分析用的数据仓库中的数据使用的是周期性的方法,即在每一个周期中,新生成一组结构化文本文件,***将这些文件中的数据加入中间数据库,并实现数据仓库中数据的增量更新,在本***中,数据仓库的增量以天为周期进行更新。
进一步说明的是,主机分析处理模块401实现对数据仓库多维数据集信息、维度信息、度量信息的显示。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (9)
1.一种用于教学网络***的信息安全预警***,包括蜜网宿主机(1)、数据分析服务器(2)和监控终端(3),其特征在于:所述蜜网宿主机(1)的信号端连接有无线路由器(6),所述无线路由器(6)的信号端与数据分析服务器(2)相连接,所述无线路由器(6)的信号端还连接有监控终端(3),所述蜜网宿主机(1)包括蜜网网关(101)和蜜罐虚拟组(102),所述蜜网网关(101)的交互端口与蜜罐虚拟组(102)相连接,所述蜜网宿主机(1)的信号端还连接有数据分析***(5),所述蜜网宿主机(1)的数据端还连接有数据库***(9),所述监控终端(3)的控制端连接有监控管理***(4);
所述数据分析***(5)包括数据捕获模块(501)和入侵检测模块(502),所述数据捕获模块(501)的输出端连接有解析模块(503),所述解析模块(503)的信号端连接有重组转换模块(504),所述重组转换模块(504)的输出端与入侵检测模块(502)相连接,所述入侵检测模块(502)的输出端分别连接有追踪模块(505)和预警模块(506)。
2.根据权利要求1所述的一种用于教学网络***的信息安全预警***,其特征在于:所述入侵检测模块(502)的输入端连接有规则处理模块(507)相连接。
3.根据权利要求2所述的一种用于教学网络***的信息安全预警***,其特征在于:所述规则处理模块(507)包括规则匹配模块(508)和规则文件检测模块(509),所述规则文件检测模块(509)的输出端与规则匹配模块(508)相连接。
4.根据权利要求1所述的一种用于教学网络***的信息安全预警***,其特征在于:所述无线路由器(6)的信号端还分别连接有监控管理服务器(7)和数据库服务器(8)。
5.根据权利要求1所述的一种用于教学网络***的信息安全预警***,其特征在于:所述预警模块(506)包括主控制器(510),所述主控制器(510)的信号端连接有阈值设定模块(511),所述阈值设定模块(511)的信号端与程序设定模块(512)相连接,所述主控制器(510)的信号端与解析模块(503)相连接。
6.根据权利要求1所述的一种用于教学网络***的信息安全预警***,其特征在于:所述监控管理***(4)包括数据库决策支持***(406),所述数据库决策支持***(406)包括数据源模块(403)和数据仓库模块(402),所述数据源模块(403)的信号端与数据捕获模块(501)相连接,所述数据源模块(403)的输出端连接有中间数据库模块(405),所述数据源模块(403)的输出端通过数据流与数据仓库模块(402)相连接。
7.根据权利要求6所述的一种用于教学网络***的信息安全预警***,其特征在于:所述中间数据库模块(405)的信号端连接有数据增量更新模块(404),所述数据增量更新模块(404)的信号端与数据仓库模块(402)相连接。
8.根据权利要求1所述的一种用于教学网络***的信息安全预警***,其特征在于:所述数据仓库模块(402)的输出端连接有主机分析处理模块(401),所述主机分析处理模块(401)的输出端与预警模块(503)相连接。
9.根据权利要求1所述的一种用于教学网络***的信息安全预警***,其特征在于:所述主机分析处理模块(401)的信号端通过数据流与中间数据库模块(405)相连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711466279.2A CN108366088A (zh) | 2017-12-28 | 2017-12-28 | 一种用于教学网络***的信息安全预警*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711466279.2A CN108366088A (zh) | 2017-12-28 | 2017-12-28 | 一种用于教学网络***的信息安全预警*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108366088A true CN108366088A (zh) | 2018-08-03 |
Family
ID=63010788
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711466279.2A Pending CN108366088A (zh) | 2017-12-28 | 2017-12-28 | 一种用于教学网络***的信息安全预警*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108366088A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109495470A (zh) * | 2018-11-12 | 2019-03-19 | 常熟理工学院 | 一种网络信息风险安全预警方法及服务器以及*** |
CN111385308A (zh) * | 2020-03-19 | 2020-07-07 | 上海沪景信息科技有限公司 | 安全管理方法、装置、设备及计算机可读存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101567887A (zh) * | 2008-12-25 | 2009-10-28 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
CN102685147A (zh) * | 2012-05-31 | 2012-09-19 | 东南大学 | 一种移动通信蜜罐捕获***及其实现方法 |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御*** |
CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
US20140359708A1 (en) * | 2013-06-01 | 2014-12-04 | General Electric Company | Honeyport active network security |
CN105282170A (zh) * | 2015-11-04 | 2016-01-27 | 国网山东省电力公司电力科学研究院 | 一种适应于电力行业的信息安全攻防演练比赛*** |
-
2017
- 2017-12-28 CN CN201711466279.2A patent/CN108366088A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101567887A (zh) * | 2008-12-25 | 2009-10-28 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
CN102685147A (zh) * | 2012-05-31 | 2012-09-19 | 东南大学 | 一种移动通信蜜罐捕获***及其实现方法 |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御*** |
US20140359708A1 (en) * | 2013-06-01 | 2014-12-04 | General Electric Company | Honeyport active network security |
CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
CN105282170A (zh) * | 2015-11-04 | 2016-01-27 | 国网山东省电力公司电力科学研究院 | 一种适应于电力行业的信息安全攻防演练比赛*** |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109495470A (zh) * | 2018-11-12 | 2019-03-19 | 常熟理工学院 | 一种网络信息风险安全预警方法及服务器以及*** |
CN111385308A (zh) * | 2020-03-19 | 2020-07-07 | 上海沪景信息科技有限公司 | 安全管理方法、装置、设备及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11546359B2 (en) | Multidimensional clustering analysis and visualizing that clustered analysis on a user interface | |
CN101980506B (zh) | 一种基于流量特征分析的分布式入侵检测方法 | |
CN112651006A (zh) | 一种电网安全态势感知平台架构 | |
CN102594620B (zh) | 一种基于行为描述的可联动分布式网络入侵检测方法 | |
Singh et al. | Collaborative ids framework for cloud | |
CN108833397A (zh) | 一种基于网络安全的大数据安全分析平台*** | |
CN106656991A (zh) | 一种网络威胁检测***及检测方法 | |
CN105959144A (zh) | 面向工业控制网络的安全数据采集与异常检测方法与*** | |
CN105471854B (zh) | 一种基于多级策略的自适应边界异常检测方法 | |
CN109766695A (zh) | 一种基于融合决策的网络安全态势感知方法和*** | |
CN109587125B (zh) | 一种网络安全大数据分析方法、***及相关装置 | |
CN113642023A (zh) | 数据安全检测模型训练、数据安全检测方法、装置及设备 | |
CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全***及检测方法 | |
CN109150869A (zh) | 一种交换机信息采集分析***及方法 | |
CN112560029A (zh) | 基于智能分析技术的网站内容监测和自动化响应防护方法 | |
CN106130762A (zh) | 一种基于有穷自动机的网络训练综合分析方法 | |
CN113240116B (zh) | 基于类脑平台的智慧防火云*** | |
CN111698209A (zh) | 一种网络异常流量检测方法及装置 | |
CN107547228A (zh) | 一种基于大数据的安全运维管理平台的实现架构 | |
CN108297899A (zh) | 一种列车安全监控预警*** | |
CN106254318A (zh) | 一种网络攻击分析方法 | |
CN113810362A (zh) | 一种安全风险检测处置***及其方法 | |
CN115001934A (zh) | 一种工控安全风险分析***及方法 | |
Skopik et al. | synERGY: Cross-correlation of operational and contextual data to timely detect and mitigate attacks to cyber-physical systems | |
CN108366088A (zh) | 一种用于教学网络***的信息安全预警*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180803 |