CN115277045A - 一种idc安全管理*** - Google Patents
一种idc安全管理*** Download PDFInfo
- Publication number
- CN115277045A CN115277045A CN202210541450.6A CN202210541450A CN115277045A CN 115277045 A CN115277045 A CN 115277045A CN 202210541450 A CN202210541450 A CN 202210541450A CN 115277045 A CN115277045 A CN 115277045A
- Authority
- CN
- China
- Prior art keywords
- idc
- data
- information
- unit
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 claims abstract description 31
- 238000004458 analytical method Methods 0.000 claims abstract description 27
- 238000012544 monitoring process Methods 0.000 claims abstract description 9
- 230000006399 behavior Effects 0.000 claims description 30
- 238000001914 filtration Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000000605 extraction Methods 0.000 claims description 12
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000004140 cleaning Methods 0.000 claims description 6
- 230000000694 effects Effects 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims description 4
- 238000012216 screening Methods 0.000 claims description 4
- 230000000903 blocking effect Effects 0.000 claims description 3
- 238000007670 refining Methods 0.000 claims description 3
- 206010027146 Melanoderma Diseases 0.000 claims 1
- 238000010276 construction Methods 0.000 claims 1
- 238000007781 pre-processing Methods 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 73
- 238000000034 method Methods 0.000 description 20
- 230000008569 process Effects 0.000 description 9
- 238000012423 maintenance Methods 0.000 description 8
- 241000700605 Viruses Species 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000012550 audit Methods 0.000 description 4
- 230000001740 anti-invasion Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000018109 developmental process Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000005206 flow analysis Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000000739 chaotic effect Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出的一种IDC安全管理***及语音交互方法,该IDC安全管理***包括数据采集模块、安全管理模块、涉恐信息识别模块及***管理模块,数据采集模块用于对IDC机房出口数据采集及加密,并输出加密后的IDC采集数据;安全管理模块用于对所述IDC采集数据进行攻击特征识别、深度协议分析及流量异常检测,确定所述IDC采集数据中的不安全信息,并对所述不安全信息进行监测、查询和预处理;涉恐信息识别模块用于根据所述IDC采集数据对涉恐信息进行识别,确定所述IDC采集数据中的涉恐隐患信息;***管理模块用于根据所述不安全信息对IDC机房进行管理。本发明提高了对威胁行为的检测能力,有效避免不安全事件的发生。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种IDC安全管理***。
背景技术
IDC(Internet Data Center,互联网数据中心)是指一种拥有完善的设备(包括高速互联网接入带宽、高性能局域网络、安全可靠的机房环境等)、专业化的管理、完善的应用服务平台。在这个平台基础上,IDC服务商为客户提供互联网基础平台服务(服务器托管、虚拟主机、邮件缓存、虚拟邮件等)以及各种增值服务(场地的租用服务、域名***服务、负载均衡***、数据库***、数据备份服务等)。
随着网络的迅猛发展,IDC业务发展变化非常快,有主机存放、租用空间、共用服务器建立网站、多服务器构建的大型网站、虚拟机、云存储、网络站点镜像、通过VPN跨物理区域等各种模式,导致IDC安全隐患非常多(例如受到各种攻击和入侵),给IDC的安全问题带来了极大的挑战。
发明内容
本发明的主要目的在于提供一种IDC安全管理***,旨在解决提供一种安全等级更高的全方位IDC安全管理***。
为实现上述目的,本发明提供一种IDC安全管理***,一种IDC安全管理***,所述***包括:
数据采集模块,用于对IDC机房出口数据采集及加密,并输出加密后的IDC采集数据;
安全管理模块,用于对所述IDC采集数据进行攻击特征识别、深度协议分析及流量异常检测,以确定所述IDC采集数据中的不安全信息;并对所述不安全信息进行监测、过滤及拦截;
涉恐信息识别模块,用于根据所述IDC采集数据对涉恐信息进行识别,确定所述IDC采集数据中的涉恐隐患信息;
***管理模块,用于获取所述不安全信息和/或所述涉恐隐患信息,根据所述不安全信息和/或所述涉恐隐患信息确定目标IDC机房,并对所述IDC机房进行管理。
可选地,所述涉恐信息识别模块包括:
关键字提取单元,用于抽取所述IDC采集数据中出现的涉恐高频关键字,并根据所述关键字确定所述IDC采集数据中的涉恐信息;
行为特征识别单元,用于根据所述涉恐信息识别涉恐行为信息,并确定涉恐行为轨迹;
业务特征识别单元,用于根据所述涉恐行为轨迹确定涉恐隐患信息。
可选地,所述关键字提取单元包括:
知识抽取单元,用于从所述IDC采集数据中进行知识提取,形成知识数据;
知识存储单元,用于对符合预设条件的知识数据进行选择、过滤、加工和提炼,形成已知知识数据,并按照预设的规则对所述已知知识数据进行保存;
知识推理单元,用于基于保存的所述已知知识数据推断隐含的未知知识数据,并将所述已知知识数据和所述未知知识数据整合为所述涉恐隐患信息。
可选地,所述安全管理模块包括:
攻击特征识别单元,用于基于预设的已知攻击库,对所述IDC采集数据进行针对性的攻击特征识别;
深度协议分析单元,用于根据预设的深度协议分析算法,对所述IDC采集数据进行深度协议分析;
流量异常检测单元,用于进行所述***的正常流量的学习,以设定基准流量值,并基于所述基准流量值检测所述IDC采集数据。
可选地,所述流量异常检测单元包括:
流量库更新模块,所述流量库更新模块用于通过与互联网连接,对所述流量库内的流量数据进行更新;
流量预测模块,所述流量预测模块用于根据网络环境、账户的操作以及更新后的流量数据预测所述***的正常流量,并将所述正常流量设定为基准流量值;
异常检测模块,所述异常检测模块用于基于所述基准流量值检测所述IDC采集数据中的流量数值是否异常。
可选地,所述数据采集模块包括:
存储单元;
镜像单元,用于采集IDC机房出口的所有数据,并镜像到所述存储单元;
加密传输单元,用于通过随机密钥对所述存储单元存储的数据进行加密,得到加密后的IDC采集数据;
所述加密传输单元还用于对所述密钥进行加密,并传输加密后的加密密钥至所述安全管理模块。
可选地,所述加密传输单元包括:
随机数模块,用于生成并输出32位随机字符;
密钥生成模块,用于基于所述随机字符和预设密钥生成算法生成随机密钥。
可选地,所述***还包括反欺诈黑产识别模块;所述反欺诈黑产识别模块具体包括:
采集单元,用于采集所述IDC采集数据中的黑产数据,清洗处理后得到并输出与黑产相关的有效数据;
表构建单元,用于构建黑产分类表,所述黑产分类表中包括多个标签数据,以确定与每一所述标签数据对应的多个黑产关键词;
筛选识别模块,用于统计所述有效数据与各所述标签数据对应关键词的匹配度,从而筛选识别出所述IDC采集数据中的黑产信息;
所述***管理模块,还用于获取所述黑产信息,以根据所述黑产信息确定目标IDC机房,并对所述IDC机房进行管理。
可选地,所述***管理模块包括:
登录管理单元,用于账户发起登录请求,并对所述***中的危险活动进行检测和阻断;
权限管理单元,用于对所述账户登录请求进行认证,并对所述账户的访问权限进行检查,以确定所述账户的目标访问权限;
访问控制单元,用于根据所述目标访问权限和预设控制规则确认所述账户的可访问设备及可执行操作。
可选地,所述***包括:
日志管理模块,用于对所有登录用户的操作行为进行管理、统计和审计,以生成日志数据;
所述***管理模块还包括日志查询单元,所述日志查询单元用于对所述日志数据进行查询;
所述日志查询单元还用于根据账户的权限生成递归查询权限,以使所述账户基于对所述日志数据的查询结果进行递归查询。
本发明提供一种IDC安全管理***,该***包括数据采集模块、安全管理模块、涉恐信息识别模块及***管理模块,数据采集模块用于对IDC机房出口数据采集及加密,并输出加密后的IDC采集数据;安全管理模块用于对IDC采集数据进行攻击特征识别、深度协议分析及流量异常检测,以确定IDC采集数据中的不安全信息;并对不安全信息进行监测、过滤及拦截;涉恐信息识别模块用于根据IDC采集数据对涉恐信息进行识别,确定IDC采集数据中的涉恐隐患信息;***管理模块用于获取不安全信息和/或涉恐隐患信息,根据不安全信息和/或涉恐隐患信息确定目标IDC机房,并对IDC机房进行管理。从而数据采集模块通过采集关键的IDC出口数据,并发送至安全管理模块进行分析,提高了对威胁行为的检测能力,安全管理模块针对病毒、入侵、违法、违规等行为,结合各种数据库形成包括防病毒、防入侵、流量分析、流量清洗分析检测,准确率高,有效避免不安全事件的发生。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1是本发明IDC安全管理***一实施例的模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
附图标号说明:
标号 | 名称 | 标号 | 名称 |
10 | 数据采集模块 | 30 | 涉恐信息识别模块 |
20 | 安全管理模块 | 40 | ***管理模块 |
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明,本发明实施例中所有方向性指示(诸如上、下、左、右、前、后……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
本发明提供一种IDC安全管理***,参照图1,在一实施例中,所述IDC安全管理***包括数据采集模块10、安全管理模块20、涉恐信息识别模块30和***管理模块40;数据采集模块10用于对IDC机房出口数据采集及加密,并输出加密后的IDC采集数据;安全管理模块20用于对所述IDC采集数据进行攻击特征识别、深度协议分析及流量异常检测,以确定所述IDC采集数据中的不安全信息;并对所述不安全信息进行监测、过滤及拦截;涉恐信息识别模块30用于根据所述IDC采集数据对涉恐信息进行识别,确定所述IDC采集数据中的涉恐隐患信息;***管理模块用于获取所述不安全信息和/或所述涉恐隐患信息,根据所述不安全信息和/或所述涉恐隐患信息确定目标IDC机房,并对所述IDC机房进行管理。
本实施例中,IDC安全管理***还包括出口路由器和核心交换机;出口路由器连接到互联网,核心交换机与托管服务器群连接,且核心交换机通过镜像口创建服务器群镜像,并部署数据采集模块10用于采集映射镜像的机房服务器数据信息,即IDC机房出口数据。
IDC机房出口数据的采集形式,可以按采集方式分为主动采集和被动采集,也可以按采集实时性分为全采集和抽样采集,具体可以根据实际安全需求深度以及投入成本等综合因素进行设置。
安全管理模块20用于根据所述IDC采集数据进行安全分析,得到安全分析结果,即IDC采集数据中的不安全信息,从而对不安全信息进行检测、查询和处理。所述安全分析模块包括基础数据监测单元、攻击特征识别单元、深度协议分析单元、流量异常检测单元、病毒检测单元及安全处理单元。
基础数据检测单元用于对包括IP段信息、服务器信息、IDC用户信息等基础资源信息进行检测,将基础资源信息有效的组织在一起,使得用户可以从***中直观的掌握机房内的域名数、IP总数、接入全量域名数、未备案网站数等信息。
攻击特征识别单元的作用在于基于已知攻击库,实现已知攻击的检测。在实现对攻击特征的了解后,其可以实现针对性的特征攻击过滤器的制定,基于此实现相应数据包的匹配,确保所制定的规则能够实现对目标攻击的精准检测。可以保护服务器不受攻击,也保护IDC机房的其它服务器不会被波及。
病毒检测单元,防止病毒对IDC网络的稳定性和以及计算机服务器的安全性造成威胁,保护用户的数据信息安全。
深度协议分析单元的核心是深度协议分析算法。基于算法的引入,就任何有悖RFC规定行为作出精准检测。对于协议异常而言,其突出的意义是针对即将执行行为是否有缺陷作出相应的评估,以及对违反规定行为进行提前的发现,比如一些不太常见的溢出类攻击、通过“0day”漏洞发起的攻击或是拒绝服务类的流量攻击等。
流量异常检测单元指的是***基于进行正常流量的学习,针对***中存在的超出预期标准的流量发出预警。一般将正常流量设定为基准流量值,基于此进行检测算法的制定。通过算法进行相应的数据包与设定基准流量值的比对,若是在基准范畴区间,则为正常流量。若是出现较大的偏离,则***会给出预警。该机制的引入能够对蠕虫病毒以及分布式拒绝服务攻击、零日攻击以及流氓流量等作出合理的防范。
所述流量异常检测单元具体可以包括:流量库更新模块、流量预测模块和异常检测模块;所述流量库更新模块用于通过与互联网连接,对所述流量库内的流量数据进行更新;所述流量预测模块用于根据网络环境、账户的操作以及更新后的流量数据预测所述***的正常流量,并将所述正常流量设定为基准流量值;所述异常检测模块用于基于所述基准流量值检测所述IDC采集数据中的流量数值是否异常。
所述不安全信息包括基础数据检测单元、攻击特征识别单元、深度协议分析单元以及流量异常检测单元的分析结果,即违法、违规等异常数据。安全处理单元用于根据不安全信息进行过滤、拦截等预处理,防止不安全信息给用户信息带来不安全隐患,提高***的安全性能。
安全处理单元还用于根据不安全信息生成拦截日志、过滤日志和监测日志等操作,具体记录不安全信息对应的注册域名、IP地址等信息以及是否对其进行处理(已经执行处理或者没有执行处理)、执行处理操作的账户信息、何时进行处理等等,并上报至***管理模块40。
涉恐信息识别模块30输出的涉恐隐患信息还可以输入至安全管理模块20中的安全处理单元,以使安全处理单元对涉恐信息的不安全信息进行过滤、拦截等操作。
随着互联网技术的发展,互联网成为恐怖组织策划、煽动实施恐怖活动的重要手段和渠道。网络涉恐信息隐蔽性强、影响力大,传递迅速、易于扩散且很难控制,识别与发现网络涉恐信息,成为预防并从源头打击***泛滥的主要手段。通过设置涉恐信息识别模块30能够提高涉恐信息识别能力,从而提高***的安全性。
进一步的,用户可以通过***管理模块40查询监测日志了解违法网站目录、拦截日志、过滤日志等信息,获得对应网站的当前状态以及处置信息,对于过滤日志,用户还可以根据自己的操作权限有选择地设置拦截规则、过滤规则。***管理模块40还包括管理单元,用于根据所述不安全信息对不安全的IDC机房进行关停、预警等操作,保证整个***的安全。
本实施例通过设置数据采集模块10、安全管理模块20及***管理模块40,数据采集模块10用于对IDC机房出口数据采集及加密,并输出加密后的IDC采集数据;安全管理模块20用于对所述IDC采集数据进行攻击特征识别、深度协议分析及流量异常检测,确定所述IDC采集数据中的不安全信息,并对所述不安全信息进行检测、查询和预处理;***管理模块40用于根据所述不安全信息对IDC机房进行管理。从而数据采集模块10通过采集最有效、最关键的IDC出口数据,并发送至安全管理模块20进行分析,提高了对威胁行为的检测能力,安全管理模块20针对病毒、入侵、违法、违规等行为,结合各种数据库形成包括防病毒、防入侵、流量分析、流量清洗分析检测,准确率高,有效避免不安全事件的发生。
在一实施例中,具体的,所述涉恐信息识别模块20包括:关键字提取单元,用于抽取所述IDC采集数据中出现的涉恐高频关键字,并根据所述关键字,以确定所述IDC采集数据中的涉恐信息;行为特征识别单元,用于根据所述涉恐信息识别出涉恐行为信息,并确定涉恐行为轨迹;业务特征识别单元,用于根据所述涉恐行为轨迹确定涉恐的不安全信息。
可以利用知识图谱技术对所述关键字提取单元进行设置,包括:知识抽取单元,用于从所述IDC采集数据中进行知识提取,形成知识数据;知识存储单元,用于对符合预设条件的知识数据进行选择、过滤、加工和提炼,形成已知知识数据,并按照预设的规则对所述已知知识数据进行保存;知识推理单元,用于基于保存的所述已知知识数据推断隐含的未知知识数据,并将所述已知知识数据和所述未知知识数据整合为所述涉恐信息。
关键字提取单元还包括知识表示单元,知识抽取单元形成知识(结构化数据)存入知识图谱。知识存储单元是符合预设条件的知识经过选择、过滤、加工和提炼后,按照一定的规则保存,符合预设条件为利于需求者更为便利、快速地使用,并随时更新和重组其内容和结构等条件。知识推理单元就是在已有知识,即已知知识的基础之上,推断出未知的知识的过程,进一步挖掘隐含的知识,从而丰富、完善涉恐信息。对网络涉恐信息的识别与发现,可以通过输入大量结构化或非结构化的包含涉恐信息和无关信息的数据,通过知识抽取单元,从这些数据中提取出与***相关的实体、关系、属性等知识要素,通过知识融合,使来自不同情报源的信息在同一框架规范下进行异构数据整合、消歧、加工、推理验证、更新等步骤,达到数据、信息、方法、经验以及人的思想的融合,形成高质量的涉恐的不安全信息,从而提高涉恐信息识别的准确性和完整性,提高***的安全性。
涉恐信息识别模块还可以包括涉恐关键词库、行为轨迹特征库、特征模型库。涉恐信息识别模块利用知识图谱技术,基于涉恐信息关键词库、涉恐行为轨迹特征库和基于业务场景建立的业务特征识别单元确定涉恐的不安全信息,进一步地,还可以经过大量的数据验证,对涉恐信息识别模块进行调整,以提高涉恐信息识别效度和准确度。
进一步地,涉恐信息识别模块还可以包括知识库更新单元;所述知识库更新单元通过与互联网连接及时对关键词库和行为轨迹特征库内没有的和错误的数据进行及时更新和更换。从而能够不断提高涉恐信息识别模块对涉恐信息的识别能力。
在一实施例中,所述***管理模块40包括登录管理单元、权限管理单元和访问控制单元;登录管理单元用于账户发起登录请求,并对所述***中的不安全活动进行检测和阻断;权限管理单元用于对所述账户登录进行认证,并对所述账户的访问权限进行检查,以确定所述账户的目标访问权限;访问控制单元用于根据所述目标访问权限和预设控制规则确认所述账户的可访问设备及可执行操作。
本实施例中,登录管理单元包括堡垒机,用于对***内的不安全行为进行识别、记录、存储和分析。堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的***状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。其扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过,因此堡垒机能够拦截非法访问和恶意攻击,对不合法命令进行阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后进行责任追踪。
部署了登录管理单元以后,用户的登录请求会由登录堡垒机统一发起并由权限管理单元中的认证管理模块进行身份验证,权限管理单元中的权限管理模块会对发起登录请求的客体的访问权限进行认证检查;访问控制模块则会根据预先制定的控制规则,对不同的登录账号赋予不同的访问权限,例如某账号只能访问特定的几台业务服务器而不能访问核心数据库服务器。
可以理解的,随着IDC业务发展,网络设备和服务器(包括虚拟机)的数量激增,在这群复杂的设备背后,是来自不同背景的运维人员,运维管理模式一般较为混乱,***管理员、运维人员、普通用户、临时用户、第三方代维人员等一系列相关方都会对***内的各种设备进行登录、管理和操作。在日常对网络设备和服务器运行维护的过程中,常常会出现如下一些主要问题:多个用户使用同一个账号管理一台设备,这种做法会导致发生安全事故后,难以定位账号的实际使用者和责任人,存在较大安全风险和隐患;一个用户使用多个账号管理多台设备,这种做法是目前比较普遍的,因为运维人员往往需要管理很多设备,他需要记忆多套账号口令,在多套主机***、网络设备之间切换。这种做法也很可能造成账号权限泄漏,很难及时通过***自身审计发现违规操作行为和追查取证。随着堡垒机的应用,可以有效解决上述这些问题,以及其他的诸如访问控制、自动化操作等问题。
在一实施例中,所述IDC安全管理***还包括日志管理模块,***管理模块40还包括日志查询单元;日志管理模块用于对所有登录用户的操作行为进行管理、统计和审计,以生成日志数据;***管理模块40还包括日志查询单元,所述日志查询单元用于对所述日志数据进行查询;所述日志查询单元还用于根据账户的权限生成递归查询权限,以使所述账户基于对所述日志数据的查询结果行递归查询。
本实施例中,日志管理模块能够提供基于设备告警、时间、IP地址、事件类型、用户身份等条件的日志检索功能,能够具备日志备份、清除和恢复的功能。针对日志管理的查询功能还具备递归查询的功能,即在查询结果中再次输入查询条件,可以获得更为详细的进一步的查询结果,从而让管理人员能够进行细粒度分析。
具体的,日志管理模块包括访问日志管理统计单元、日志审计单元和运维日志管理单元;访问日志管理单元对所有登录用户的登录信息、浏览信息、访问信息、操作信息等操作行为进行采集和记录,并标出操作结果,以形成可被审计的数据信息,以便在发生网络信息安全事件时可以溯源,例如可以对用户的行为进行事后审计,以发现试图越权的访问,或者在***发生故障时对问题的分析和定位提供辅助。
日志审计单元利用各种信息化手段,采用大数据框架,对海量日志信息做出科学去噪处理,从中筛选有效信息,并针对性这些信息开展针对性的分析和评估,以发现潜在的网络信息安全威胁。
日志审计单元可以针对***可能出现的各种异常进行处理,并且实时监测***的运行状态,解决可能出现的状况,使***中大大小小的模块在其调节下顺畅运行。
在一实施例中,所述数据采集模块10包括镜像单元、存储单元和加密传输单元;镜像单元用于采集IDC机房出口的所有数据镜像到所述存储单元;存储单元用于存储镜像后的数据;加密传输单元用于通过密钥对所述存储单元存储的数据进行加密,得到加密后的IDC采集数据;所述加密传输单元还用于对所述密钥进行加密,并传输加密后加密密钥至所述安全管理模块20。
本实施例中,对数据和秘钥的加密方式可以相同也可以不同,加密方式也可以根据需要进行选择。对应的,安全管理模块中设置有解密单元,先加密秘钥进行解密,再利用解密后的秘钥对加密后的IDC采集数据进行解密。本实施例中,通过两级加密方式,有效提高IDC采集数据的传输安全性,从而提高***安全。
在一实施例中,所述加密传输单元包括随机数模块和密钥生成模块;随机数模块用于生成并输出32位随机字符;密钥生成模块用于基于所述随机字符和预设密钥生成算法生成随机密钥。
本实施例中,为了防止加密后的IDC采集数据被破解,需要每次加密使用的秘钥都不同,首先通过随机数模块生成一串长度为32的随机字符串RandomPart,并将该字符串保存起来,每次加密前基于该字符和用户账号Username生成秘钥,具体预设秘钥生成算法可以为MD5机密算法,秘钥Key的生成方法Key=MD5(RandomPart+Username),之后再使用Key对密码进行加密。由于每个账号的Username不一样,那么Key就不一样,因此即使不同那个账号的密码一样,加密后的结果也各不相同,这样可以有效被破解。
在一实施例中,所述***还包括黑产识别模块;所述黑产识别模块具体包括:采集单元,用于采集所述IDC采集数据中的黑产数据,清洗处理后得到并输出与黑产相关的有效数据;表构建单元,用于构建黑产分类表,所述黑产分类表中包括多个标签数据,以确定与每一所述标签数据对应的多个黑产关键词;筛选识别模块,用于统计所述有效数据与各所述标签数据对应关键词的匹配度,从而筛选识别出所述IDC采集数据中的黑产信息;所述***管理模块,还用于获取所述黑产信息,以根据所述黑产信息确定目标IDC机房,并对所述IDC机房进行管理。
采集的黑产数据可以包括用户账号、内容详情、数据来源、链接地址和发表时间灯,内容详情包括黑产实体信息、或者同时包括终端识别号和/或登陆IP地址;可以采用预设的正则表达式对黑产数据进行清洗,提取出包括黑相关的有效数据。
黑产分类表中包括多个标签数据,以及与每个标签数据对应的多个关键词;将有效数据分词后与各标签数据对应的关键词一一对应的匹配;统计有效数据的分词与各标签数据对应关键词的匹配,筛选匹配数量最多的标签数据作为有效数据的标签数据。
黑产(即网络黑产)指以互联网为媒介,以网络技术为主要手段,为计算机信息***安全和网络空间管理秩序等带来潜在威胁(重大安全隐患)的非法行为。
本实施例中,通过设置黑产识别模块,可以有效提高黑产的识别准确性,防范黑产,提高***安全。
本方案IDC信息安全管理***能够适应瞬息万变的网络空间环境,形成包括防病毒、防入侵、流量分析、流量清洗、安全运维管理、日志采集和审计等在内的全方位、立体化的网络信息安全防护能力。同时,还能够将安全防护能力转化为安全服务能力,以贴合市场要求。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RXM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是在本发明的发明构思下,利用本发明说明书及附图内容所作的等效结构变换,或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。
Claims (10)
1.一种IDC安全管理***,其特征在于,所述***包括:
数据采集模块,用于对IDC机房出口数据采集及加密,并输出加密后的IDC采集数据;
安全管理模块,用于对所述IDC采集数据进行攻击特征识别、深度协议分析及流量异常检测,以确定所述IDC采集数据中的不安全信息;并对所述不安全信息进行监测、过滤及拦截;
涉恐信息识别模块,用于根据所述IDC采集数据对涉恐信息进行识别,确定所述IDC采集数据中的涉恐隐患信息;
***管理模块,用于获取所述不安全信息和/或所述涉恐隐患信息,根据所述不安全信息和/或所述涉恐隐患信息确定目标IDC机房,并对所述IDC机房进行管理。
2.根据权利要求1所述的IDC安全管理***,其特征在于,所述涉恐信息识别模块包括:
关键字提取单元,用于抽取所述IDC采集数据中出现的涉恐高频关键字,并根据所述关键字确定所述IDC采集数据中的涉恐信息;
行为特征识别单元,用于根据所述涉恐信息识别涉恐行为信息,并确定涉恐行为轨迹;
业务特征识别单元,用于根据所述涉恐行为轨迹确定涉恐隐患信息。
3.如权利要求2所述的IDC安全管理***,其特征在于,所述关键字提取单元包括:
知识抽取单元,用于从所述IDC采集数据中进行知识提取,形成知识数据;
知识存储单元,用于对符合预设条件的知识数据进行选择、过滤、加工和提炼,形成已知知识数据,并按照预设的规则对所述已知知识数据进行保存;
知识推理单元,用于基于保存的所述已知知识数据推断隐含的未知知识数据,并将所述已知知识数据和所述未知知识数据整合为所述涉恐隐患信息。
4.根据权利要求1所述的IDC安全管理***,其特征在于,所述安全管理模块包括:
攻击特征识别单元,用于基于预设的已知攻击库,对所述IDC采集数据进行针对性的攻击特征识别;
深度协议分析单元,用于根据预设的深度协议分析算法,对所述IDC采集数据进行深度协议分析;
流量异常检测单元,用于进行所述***的正常流量的学习,以设定基准流量值,并基于所述基准流量值检测所述IDC采集数据。
5.根据权利要求4所述的IDC安全管理***,其特征在于,所述流量异常检测单元包括:
流量库更新模块,所述流量库更新模块用于通过与互联网连接,对所述流量库内的流量数据进行更新;
流量预测模块,所述流量预测模块用于根据网络环境、账户的操作以及更新后的流量数据预测所述***的正常流量,并将所述正常流量设定为基准流量值;
异常检测模块,所述异常检测模块用于基于所述基准流量值检测所述IDC采集数据中的流量数值是否异常。
6.根据权利要求1所述的IDC安全管理***,其特征在于,所述数据采集模块包括:
存储单元;
镜像单元,用于采集IDC机房出口的所有数据,并镜像到所述存储单元;
加密传输单元,用于通过随机密钥对所述存储单元存储的数据进行加密,得到加密后的IDC采集数据;
所述加密传输单元还用于对所述密钥进行加密,并传输加密后的加密密钥至所述安全管理模块。
7.根据权利要求6所述的IDC安全管理***,其特征在于,所述加密传输单元包括:
随机数模块,用于生成并输出32位随机字符;
密钥生成模块,用于基于所述随机字符和预设密钥生成算法生成随机密钥。
8.根据权利要求1所述的IDC安全管理***,其特征在于,所述***还包括黑产识别模块;所述黑产识别模块具体包括:
采集单元,用于采集所述IDC采集数据中的黑产数据,清洗处理后得到并输出与黑产相关的有效数据;
表构建单元,用于构建黑产分类表,所述黑产分类表中包括多个标签数据,以确定与每一所述标签数据对应的多个黑产关键词;
筛选识别模块,用于统计所述有效数据与各所述标签数据对应关键词的匹配度,从而筛选识别出所述IDC采集数据中的黑产信息;
所述***管理模块,还用于获取所述黑产信息,以根据所述黑产信息确定目标IDC机房,并对所述IDC机房进行管理。
9.根据权利要求1至8中任一项所述的IDC安全管理***,其特征在于,所述***管理模块包括:
登录管理单元,用于账户发起登录请求,并对所述***中的危险活动进行检测和阻断;
权限管理单元,用于对所述账户登录请求进行认证,并对所述账户的访问权限进行检查,以确定所述账户的目标访问权限;
访问控制单元,用于根据所述目标访问权限和预设控制规则确认所述账户的可访问设备及可执行操作。
10.根据权利要求1至8中任一项所述的IDC安全管理***,其特征在于,所述***包括:
日志管理模块,用于对所有登录用户的操作行为进行管理、统计和审计,以生成日志数据;
所述***管理模块还包括日志查询单元,所述日志查询单元用于对所述日志数据进行查询;
所述日志查询单元还用于根据账户的权限生成递归查询权限,以使所述账户基于对所述日志数据的查询结果进行递归查询。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210541450.6A CN115277045A (zh) | 2022-05-17 | 2022-05-17 | 一种idc安全管理*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210541450.6A CN115277045A (zh) | 2022-05-17 | 2022-05-17 | 一种idc安全管理*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115277045A true CN115277045A (zh) | 2022-11-01 |
Family
ID=83758744
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210541450.6A Pending CN115277045A (zh) | 2022-05-17 | 2022-05-17 | 一种idc安全管理*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115277045A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104376237A (zh) * | 2013-08-13 | 2015-02-25 | 中国科学院沈阳自动化研究所 | 一种针对生产过程中信息的安全控制方法和*** |
CN110149307A (zh) * | 2019-04-03 | 2019-08-20 | 广东申立信息工程股份有限公司 | 一种idc安全管理*** |
CN111193719A (zh) * | 2019-12-14 | 2020-05-22 | 贵州电网有限责任公司 | 一种网络入侵防护*** |
US20200186569A1 (en) * | 2018-12-05 | 2020-06-11 | International Business Machines Corporation | Security Rule Generation Based on Cognitive and Industry Analysis |
CN112769819A (zh) * | 2021-01-05 | 2021-05-07 | 重庆邮电大学 | 基于深度安全的idc信息安全*** |
CN112769796A (zh) * | 2020-12-30 | 2021-05-07 | 华北电力大学 | 一种基于端侧边缘计算的云网端协同防御方法及*** |
CN113065943A (zh) * | 2021-03-02 | 2021-07-02 | 苏宁金融科技(南京)有限公司 | 反欺诈黑产实体识别方法及*** |
-
2022
- 2022-05-17 CN CN202210541450.6A patent/CN115277045A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104376237A (zh) * | 2013-08-13 | 2015-02-25 | 中国科学院沈阳自动化研究所 | 一种针对生产过程中信息的安全控制方法和*** |
US20200186569A1 (en) * | 2018-12-05 | 2020-06-11 | International Business Machines Corporation | Security Rule Generation Based on Cognitive and Industry Analysis |
CN110149307A (zh) * | 2019-04-03 | 2019-08-20 | 广东申立信息工程股份有限公司 | 一种idc安全管理*** |
CN111193719A (zh) * | 2019-12-14 | 2020-05-22 | 贵州电网有限责任公司 | 一种网络入侵防护*** |
CN112769796A (zh) * | 2020-12-30 | 2021-05-07 | 华北电力大学 | 一种基于端侧边缘计算的云网端协同防御方法及*** |
CN112769819A (zh) * | 2021-01-05 | 2021-05-07 | 重庆邮电大学 | 基于深度安全的idc信息安全*** |
CN113065943A (zh) * | 2021-03-02 | 2021-07-02 | 苏宁金融科技(南京)有限公司 | 反欺诈黑产实体识别方法及*** |
Non-Patent Citations (1)
Title |
---|
闫红丽: ""网络涉恐信息的识别发现与治理途径"", 《中国信息安全》, pages 26 - 29 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114978584A (zh) | 基于单位单元的网络安全防护安全方法及*** | |
Navaz et al. | Entropy based anomaly detection system to prevent DDoS attacks in cloud | |
Mukherjee et al. | Network intrusion detection | |
US7870598B2 (en) | Policy specification framework for insider intrusions | |
US20060031938A1 (en) | Integrated emergency response system in information infrastructure and operating method therefor | |
Mualfah et al. | Network forensics for detecting flooding attack on web server | |
Pradhan et al. | Intrusion detection system (IDS) and their types | |
Beigh et al. | Intrusion Detection and Prevention System: Classification and Quick | |
KR20140035146A (ko) | 정보보안 장치 및 방법 | |
KR20170058140A (ko) | 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 | |
KR102295488B1 (ko) | 위험 분석을 위한 보안요소 지수화 시스템 및 방법 | |
Xu et al. | Network security | |
Bortolameotti et al. | Headprint: detecting anomalous communications through header-based application fingerprinting | |
Caesarano et al. | Network forensics for detecting SQL injection attacks using NIST method | |
Beigh et al. | Intrusion detection and prevention system: issues and challenges | |
AlZoubi et al. | The effect of using honeypot network on system security | |
CN116894259A (zh) | 一种数据库的安全访问控制*** | |
Saini et al. | Vulnerability and Attack Detection Techniques: Intrusion Detection System | |
Hakkoymaz | Classifying database users for intrusion prediction and detection in data security | |
Raut | Log based intrusion detection system | |
KR102377784B1 (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 | |
Cisco | Introduction | |
CN115277045A (zh) | 一种idc安全管理*** | |
Kishore et al. | Intrusion Detection System a Need | |
Vuppala et al. | Intrusion Detection & Prevention Systems-Sourcefire Snort |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |