专利名称:基于检测模式的安全问题阻断方法及系统的制作方法
技术领域:
本发明涉及网络安全领域,特别涉及一种基于检测模式的安全问题阻断方法及系统。
背景技术:
随着计算机网络,尤其是INTERNET在全球的普及和深入,企业网在证券部门、银行系统、企事业单位的大力推广和应用,使得人们接触和使用网络更加频繁。通过网络可以快速交互各种信息,但同时,安全问题也伴随着网络迅速得以倍增,比如网络病毒,网络攻击,非法网站等。上述安全问题给运营商或用户的业务造成严重的影响,降低用户的服务质量。
现有技术中安全问题解决方法一般采用客户端检测方法或者串联相关的安全网关。
其中,客户端检测方法需要在每个用户终端安装安全软件,以检测用户终端的安全状态,并采取相应的防护措施。但是采用该种方法也具有缺陷,比如当用户终端数量很大时,很难保证覆盖到所有的用户终端;并且由于需要用户终端及时进行相关的安全升级,如果一个用户终端没有及时得到安全处理,就会导致整个系统受到安全威胁。因此,使用该方法只能解决本机内的安全问题,对于隐藏在互联网内的病毒源无法进行及时的处理,如果该系统中的服务器没有进行安全管理,将可能使整个系统中所有的用户和网络受到相关的攻击。
使用串联安全网关的方法需要在系统对外的出口上串联安全网关,过滤所有的流量。这样导致安全网关成为系统的瓶颈,安全网关的性能与稳定性将会影响整个系统的性能和稳定性。
另一种方法是使用IDS(Intrusion Detection System,入侵检测系统)与防火墙联动,该方法由于IDS只是用于网络攻击的检测,并且只与防火墙进行联动,对于内容检测,病毒等安全问题无法解决,并且基于防火墙的控制对应用环境也受到限制,不能很好的跟各种控制设备结合。
因此,总体来看,现有技术中解决方法或是增加用户操作和管理的复杂度,或是影响系统的性能、稳定性,或应用的环境受到限制。
发明内容
本发明要解决的问题是提供一种基于检测模式的安全问题阻断方法及系统,以解决现有技术中操作、管理的复杂度高,性能、稳定性差的缺陷。
为了解决上述问题,本发明提供了一种基于检测模式的安全问题阻断方法,包括以下步骤A、检测设备采集网络中的流量信息;B、检测设备判断所述流量信息是否具有安全问题,如果无安全问题,则转步骤A;否则转步骤C;C、检测设备向控制设备发送告警信息;D、控制设备对网络数据传输进行安全控制。
步骤C之前还包括E、检测设备记录所述安全问题。
步骤B中根据检测设备中的检测引擎判断采集的流量信息是否具有安全问题。
所述检测引擎包括攻击检测引擎、病毒检测引擎、内容检测引擎、非法接入检测引擎和点对点P2P检测引擎其中一个或多个。
步骤C中,检测设备通过通信接口向控制设备发送告警信息。
所述通信接口包括以太网网口、串口、通用串行口和并口。
步骤A所述的检测设备通过分光采集或镜像采集方法采集网络中的流量信息。
所述控制设备包括防火墙、宽带接入服务器、代理服务器、网络地址转换服务器、交换机和/或路由器。
步骤D进一步包括在控制设备中设置禁访的IP地址或域名对网络数据传输进行安全控制,使具有禁访的IP地址或域名的设备或网站不能访问用户终端。
本发明还提供了一种基于检测模式的安全问题阻断的系统,包括控制设备、检测设备和用户终端;所述检测设备,用于采集、并分析网络流量,并判断所述采集的流量是否具有安全问题,如果有安全问题,则通知控制设备对所述网络流量进行安全控制,其中,所述用户终端通过控制设备与网络侧连接,所述检测设备分别与控制设备和用户终端连接;用户终端向检测设备发送启动控制信息,以启动检测设备和控制设备的安全问题阻断功能,或用户终端向检测设备发送停止控制信息,以屏蔽检测设备和控制设备的安全问题阻断功能。
所述控制设备,包括防火墙、宽带接入服务器、代理服务器、网络地址转换服务器、交换机或路由器。
所述检测设备包括攻击检测引擎、病毒检测引擎、内容检测引擎、非法接入检测引擎和点对点P2P检测引擎中的一个或多个。
与现有技术相比,本发明具有以下优点本发明基于检测模式的安全问题阻断方法中,当发现有安全问题时,通过检测设备与控制设备联动,对一个局域网中的用户设备进行安全的处理,避免与网络链接的用户被大范围感染或攻击的危险。另外,本发明可以对整个局域网系统进行控制,因此,具有操作简单、管理的复杂度低,网络传输性能提高、稳定性增强等优点。
进一步,本发明中,控制设备在阻断安全问题的同时,检测设备记录安全日志,使用户设备可以查询实时和历史告警信息。
进一步,通过添加各种检测引擎可以提供不同的安全服务。
进一步,本发明与被保护的用户的硬件和操作系统无关,节省资源和安全产品升级、维护的费用。
进一步,本发明对于用户来说,不必总是关注最新的安全信息,降低了对用户安全知识的要求。
进一步,对于用户设备来说,由于可以在控制设备中设定禁止访问的IP地址和域名,对所有的流量信息进行处理,因此,能够快速解决各种安全问题造成的带宽不足问题。
图1是本发明基于检测模式的安全问题阻断系统的实施例的结构图。
图2是本发明基于检测模式的安全问题阻断方法的一个实施例的流程图。
具体实施例方式
下面本发明将结合附图,对本发明的实施方案进行详细描述。首先要指出的是,本发明中用到的术语、字词及权利要求的含义不能仅仅限于其字面和普通的含义去理解,还包括进而与本发明的技术相符的含义和概念,这是因为作为发明者,要适当地给出术语的定义,以便对本发明进行最恰当的描述。因此,本说明和附图中给出的配置,只是本发明的一个具体的实施方案,而不是要列举本发明的所有技术特性。另外,还有各种各样的可以取代本发明方案的同等方案或修改方案。
本发明中基于检测模式的安全问题阻断系统的一个实施例如图1所示,包括网络端10、控制设备20、检测设备30和用户终端40;其中,检测设备30中可以设置多个检测引擎,例如攻击检测引擎、病毒检测引擎、内容检测引擎、非法接入检测引擎和P2P检测引擎等;检测设备30通过分光方式或镜像方式采集网络中的流量信息,并利用上述检测引擎分析网络端10通过控制设备20向用户终端40发送的流量信息,并判断流量信息是否具有安全问题,如受到攻击、非法侵入等问题,如果有安全问题,则通过以太网网口、串口、USB口和并口等通信接口通知控制设备20对网络流量进行安全控制,当然,用户终端40也可以向检测设备发送启动或停止控制信息,以启动或屏蔽检测设备30和控制设备20的防护功能。其中控制设备20包括防火墙、宽带接入服务器、代理服务器、网络地址转换服务器、交换机、路由器等;用户终端40包括有线终端和无线终端,有线终端包括计算机等,无线终端包括手机和无线笔记本等。本实施例虽然以一个用户终端说明,但实际上本发明可以应用于属于同一个局域网的多个用户。
本发明基于检测模式的安全问题阻断方法的一个实施例如图2所示,包括以下步骤步骤s101,检测设备采集网络中来自网络端的流量信息。由于基于网络的入侵检测,主要是通过对网络数据包的截取分析,来查找具有攻击特性和不良企图的数据包,因此,检测设备可以利用分光采集和镜像采集等方法采集网络中的流量信息。
当采用镜像采集时,控制设备具有一个镜象端口(或者一个普通的HUB任意端口),该镜像端口可以读取流经网络的所有数据包,查找匹配的包,得到入侵的信息源。例如在端口A和端口B之间建立镜像关系后,通过端口A传输的数据将同时通过端口B。当采用分光采集时,将要发送给用户终端的信息通过分光设备分成两路,一路发送给用户终端,另一路发送给检测设备。
步骤s102,检测设备根据检测引擎判断采集的流量信息是否具有安全问题,如果无安全问题,则转步骤s101,继续检测;否则转步骤s103。其中,检测引擎是预先设置在检测设备中的,用于确定网络的安全问题具体为哪类,包括攻击检测引擎、病毒检测引擎、内容检测引擎、非法接入检测引擎和P2P检测引擎等中的一种或多种。
步骤s103,检测设备将所述安全问题记录在安全日志中,然后通过通信接口向控制设备发送告警信息。其中,通信接口包括以太网网口、串口、USB口和并口等;控制设备包括防火墙、宽带接入服务器、代理服务器、网络翻译传输服务器、交换机、路由器等。
步骤s104,控制设备对网络流量进行安全控制。比如控制访问站点,可以在上述控制设备中设置禁访的IP地址或域名来解决,即设置网络端具有某些IP地址或域名的设备或网站可以访问用户终端;而具有某些危险IP地址或域名的设备或网站不可以访问用户终端,其中设置包括禁止方式和允许方式,禁止方時时,需要设置要禁止访问站点的地址或域名,除上述设置中指定的站点外,用户可以访问其它所有Internet站点;允许方式时,设置允许访问的站点地址或域名,这时除了表中显示的站点外,其余站点用户都不能访问。另外,还可以设置域过滤,用户终端可以设置需要过滤的域名。本实施例中的用户终端不限于单独用户,同样适用于属于同一个局域网的多个用户。
本实施例中所述安全问题主要是指受到恶意攻击,具体判断方法可以采用连续记录一固定时间段内的流量,如果该固定时间段内的流量超过某一界限,则认为该网络端可能存在恶意攻击的用户,对于恶意攻击用户,采用记录黑户表来限制恶意用户的攻击和上网权限。需要设计一个黑户信息表,用于记录不合法用户或对用户终端进行攻击的恶意用户的相关数据信息。接入设备的底层软件在接收到由设备网口接入的用户报文时,首先查找该黑户信息表,如果该用户在黑户信息表中已有记录,则不论该报文是什么类型,采用什么处理流程,底层软件都不对该用户报文作任何处理,而是直接丢弃。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种基于检测模式的安全问题阻断方法,其特征在于,包括以下步骤A、检测设备采集网络中的流量信息;B、检测设备判断所述流量信息是否具有安全问题,如果无安全问题,则转步骤A;否则转步骤C;C、检测设备向控制设备发送告警信息;D、控制设备对网络数据传输进行安全控制。
2.如权利要求1所述基于检测模式的安全问题阻断方法,其特征在于,步骤C之前还包括E、检测设备记录所述安全问题。
3.如权利要求1所述基于检测模式的安全问题阻断方法,其特征在于,步骤B中根据检测设备中的检测引擎判断采集的流量信息是否具有安全问题。
4.如权利要求3所述基于检测模式的安全问题阻断方法,其特征在于,所述检测引擎包括攻击检测引擎、病毒检测引擎、内容检测引擎、非法接入检测引擎和点对点P2P检测引擎中的一个或者多个。
5.如权利要求1所述基于检测模式的安全问题阻断的方法,其特征在于,步骤C中,检测设备通过通信接口向控制设备发送告警信息。
6.如权利要求5所述基于检测模式的安全问题阻断的方法,其特征在于,所述通信接口包括以太网网口、串口、通用串行口和/或并口。
7.如权利要求1所述基于检测模式的安全问题阻断的方法,其特征在于,步骤A所述的检测设备通过分光采集或镜像采集方法采集网络中的流量信息。
8.如权利要求1所述基于检测模式的安全问题阻断的方法,其特征在于,所述控制设备包括防火墙、宽带接入服务器、代理服务器、网络地址转换服务器、交换机或路由器。
9.如权利要求1所述基于检测模式的安全问题阻断的方法,其特征在于,步骤D进一步包括在控制设备中设置禁访的IP地址或域名对网络数据传输进行安全控制,使具有禁访的IP地址或域名的设备或网站不能访问用户终端。
10.一种基于检测模式的安全问题阻断的系统,其特征在于,包括控制设备、检测设备和用户终端,所述用户终端通过控制设备与网络侧连接,所述检测设备分别与控制设备和用户终端连接;所述检测设备,用于采集、并分析网络流量,并判断所述采集的流量是否具有安全问题,如果有安全问题,则通知控制设备对所述网络流量进行安全控制。
11.如权利要求10所述基于检测模式的安全问题阻断的系统,其特征在于,用户终端向检测设备发送启动控制信息,启动检测设备和控制设备的安全问题阻断功能;或用户终端向检测设备发送停止控制信息,以屏蔽检测设备和控制设备的安全问题阻断功能。
12.如权利要求10所述基于检测模式的安全问题阻断的系统,其特征在于,所述控制设备包括防火墙、宽带接入服务器、代理服务器、网络地址转换服务器、交换机或路由器。
13.如权利要求10所述基于检测模式的安全问题阻断系统,其特征在于,所述检测设备包括攻击检测引擎、病毒检测引擎、内容检测引擎、非法接入检测引擎和点对点P2P检测引擎中的一个或多个。
全文摘要
本发明提供了一种基于检测模式的安全问题阻断方法,包括以下步骤首先检测设备采集网络中的流量信息;然后判断流量信息是否具有安全问题,如果有安全问题,则检测设备向控制设备发送告警信息;控制设备对网络数据传输进行安全控制。本发明还提供了一种基于检测模式的安全问题阻断装置。本发明实时检测系统的流量,当发现有安全问题时同控制设备联动,进行安全的处理,避免与网络链接的用户被大范围感染或攻击的危险。
文档编号H04L29/06GK1852162SQ20061000087
公开日2006年10月25日 申请日期2006年1月16日 优先权日2006年1月16日
发明者严华, 肖钧, 刘竟 申请人:华为技术有限公司