专利名称:基于多可信级别的内网的监控系统的制作方法
技术领域:
本实用新型涉及监控领域,具体为基于多可信级别的内网的监控系统。
背景技术:
随着信息安全建设的不断深入和安全形势的不断发展,对网络信息化系统运行的稳定性、可控性和可信性的要求也越来越高。内部网络由于其固有的特点,使得内部人员更容易接触敏感信息,危害到最核心的信息资源。以组织边界和核心资产为保护对象的传统安全体系逐渐显示出严重的缺陷,无法有效应对内网安全管理中面临的诸多问题。长期以来,内网安全管理人员缺乏有效的监控和分析工具,对内网安全状况的把握也始终处于一种“模糊”的状态。因此迫切需要一种行之有效的管理与审计手段,来针对各种资源的访问 行为进行管理与分析,防止组织网络遭受来自内部的攻击。为了解决上述缺点,所以急需一种新的技术方案来解决这一问题。
实用新型内容本实用新型所解决的技术问题在于提供一种基于多可信级别的内网的监控系统,以解决上述背景技术中的缺点。本实用新型所解决的技术问题采用以下技术方案来实现基于多可信级别的内网的监控系统,包括高带宽数据分析机构、层次式内容分析机构、网络资源访问机构、多层防信息泄密机构、病毒木马自动免疫模块、多重防非法接入模块;所述高宽带数据分析机构的数据线连接所述层次式内容分析和网络资源访问机构,所述多层防信息泄密机构、病毒木马自动免疫模块与多重防非法接入模块与所述网络资源访问机构连接;所述高带宽数据分析机构,包括交换板、千兆数据分流板、通用CPU板、系统管理板;所述交换板分别连接所述千兆数据分流板、通用CPU板、系统管理板。有益效果本实用新型基于多可信级别的内网的监控系统,可将整个内网资源进行保护和审计,提供内网资源的合规性管理与行为审计,防止和杜绝来源于内部的攻击和非授权访问行为,保障网络系统的安全性、可生存性和可用性。
图I为基于多可信级别的内网的监控系统示意图。图2为高带宽数据分析机构示意图。图3为层次式内容分析机构示意图。图I中高带宽数据分析机构I、层次内容分析机构2、网络资源访问机构3、多层防信息泄密机构4、病毒木马自动免疫模块5、多重非法接入模块6。图2中交换板7、系统管理板8、通用CPU板9、千兆数据分流板10。图3中中心管理分析系统平台11、区域管理分析系统平台12、网络数据分析器13、主机数据分析器14。
具体实施方式
为了使本实用新型实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本实用新型。基于多可信级别的内网的监控系统,包括高带宽数据分析机构I、层次式内容分析机构
2、网络资源访问机构3、多层防信息泄密机构4、病毒木马自动免疫模块5、多重防非法接入模块6 ;所述高宽带数据分析机构I的数据线连接所述层次式内容分析机构2和网络资源访问机构3,所述多层防信息泄密机构4、病毒木马自动免疫模块5与多重防非法接入模块6与网络资源访问机构3连接;所述高带宽数据分析机构1,包括交换板7、千兆数据分流板10、通用CPU板9、系统管理板8 ;所述交换板7分别连接所述千兆数据分流板10、通用CPU板9、系统管理板8。工作时 I、高带宽数据分析机构I :千兆数据捕获系统考虑到性能问题,不可能采用传统的硬件平台架构,如果不能对数据进行线速处理,行为分析就失去了含义。因此,我们采取将千兆数据进行分流,由多个CPU系统分别进行处理,从而满足数据线速处理的要求。该分流处理我们采用网络处理器技术,借助网络处理器的数据帧线速分类功能,利用我公司独有的分类算法,保证数据分片包的重组,将千兆数据流进行分解到多个CPU子系统进行处理。具体结构图如图2 (I)千兆数据分流板10;利用网络处理器的线速处理能力,通过专用的分流算法,由该模块将收到的数据帧按照流进行分类,将数据流均衡的分发到各个通用CPU板进行处理。(2)通用 CPU 板 9;所述通用CPU板9主要进行误用检测,异常检测,同时对正常的数据流进行协议内容还原,并将处理结果上送到系统管理板处理。(3)系统管理板8 ;负责整个系统的管理,规则与检测模型分发,对汇集的数据进行综合处理,提炼并上送中心管理与分析平台进行分析处理。(4)交换板 7 ;负责各个板卡之间的通讯,提供纯千兆接口的交换能力。2、层次式内容分析机构2,;基于多可信级别的内网信息监控系统的物理组成如图2所示从图2中可以看出,整个系统分为三个层次四个组成部分,即网络数据分析器13,主机数据分析器14,区域系统管理与分析平台12和中心系统管理与分析平台11部分,具体结构如图3 (I)所述主机数据分析器14 :其主要针对主机操作系统审计日志,系统日志以及应用日志,特定目标日志进行分析,同时获取中心管理平台分发的安全策略,对异常访问行为和违背策略的行为进行检测和分析。(2)所述网络数据分析器13 :基于模式匹配的方式完成数据的误用检测,之后进行应用层协议内容还原,获取所述中心系统管理与分析平台11分发的策略,进行异常访问行为和违背策略的行为进行检测和分析。[0031](3)所述区域系统管理与分析平台12 :管理整个区域的安全策略定义,管理整个区域的网络分析系统以及主机系统,同时对来自各个数据源的数据进行汇总,存储和数据挖掘分析,对整个区域范围内的行为进行统计和分析。(4)所述中心系统管理与分析装置11 :管理整个系统网络的安全策略定义,对区域系统管理分析平台不能分析决策的数据源进行全局分析,从而发现所述区域系统管理与分析平台12不能分析的行为。3、网络资源访问机构3 ;遵循国家计算机信息系统安全保护等级划分准则,对网络资源进行分级分类。在网络环境中,我们将所有的安全事件都看成是资源对资源的一次访问或使用。从面向对象的观点来看,资源可以是网络设备、主机这种硬件设施,也可以是文件、程序这种系统设施,还可以是用户这种人力资源。针对不同的用户、硬件及系统资源,我们将它们划分出不同的资源等级,如用户可以分成特权用户和普通用户,网络可以划分成不同信任度的子网,主机可以划分成服务器和工作站,文件可以划分成系统文件和普通文件,进程可以分为特权进 程和普通进程。通过对资源进行标记,我们要求资源之间的访问必须严格的遵循该机构,违背该机构的网络资源访问行为我们都视为一种非授权访问。4、所述多层防信息泄密机构4 ;在防信息泄密方面,基于多可信级别的内网信息监控系统具有先进的多层防护体系,能够彻底封堵所有泄密通道。通过文件加密技术,该系统能够为机密信息提供第一层保障;通过限制和管理主机各种外设的使用,例如软盘、优盘、打印机、刻录光驱、PCMICA、ZIPU394、蓝牙设备、红外线接口卡等设备,拨号或无线传输等,阻挡各种物理泄密通道;通过网络文件传输审计与分布式防火墙配合,阻挡通过邮件、http、ftp、即时聊天工具、P2P工具等网络传输通道造成的信息泄密。5、所述病毒木马自动免疫模块5 ;在防病毒、木马方面,使用基于多可信级别的内网信息监控系统保护的主机将具有自我免疫能力。该系统独有的可执行程序签名技术对主机中所有可信任执行程序进行数字签名,生成一个受保护的数字签名库。当主机系统感染病毒或木马后,可执行程序签名检测系统通过实时核对执行程序的签名,阻止病毒程序或被病毒感染的程序、黑客木马工具和不可信程序等的执行,实现主机自我免疫。6、所述多重防非法接入模块6 ;在防非法接入接出方面,基于多可信级别的内网信息监控系统具有独特的多重控制手段。通过分布式防火墙、边界防火墙、网络设备的联动,能够有效防止非法主机访问网络,也能够防止合法主机访问非授权网络或非法外联。通过对Modem、无线网卡等硬件进行非法外联时的行为进行控制和审计,能够完全、准确地探测网络内的"违规联网"行为,并及时做出阻断,保证网络中设备做到专机专用。以上显示和描述了本实用新型的基本原理和主要特征及本实用新型的优点,本行业的技术人员应该了解,本实用新型不受上述实施例的限制,上述实施例和说明书中描述的只是说明本实用新型的原理,在不脱离本实用新型精神和范围的前提下,本实用新型还会有各种变化和改进,这些变化和改进都落入要求保护的本实用新型范围内,本实用新型要求保护范围由所附的权利要求书及其等效物界定。
权利要求1.基于多可信级别的内网的监控系统,包括高带宽数据分析机构、层次式内容分析机构、网络资源访问机构、多层防信息泄密机构、病毒木马自动免疫模块、多重防非法接入模块;其特征在于,所述高宽带数据分析机构的数据线连接层次式内容分析和网络资源访问机构,所述多层防信息泄密机构、病毒木马自动免疫模块与多重防非法接入模块与所述网络资源访问机构连接;所述高带宽数据分析机构,包括交换板、千兆数据分流板、通用CPU板、系统管理板,所述交换板分别连接所述千兆数据分流板、通用CPU板、系统管理板。
专利摘要基于多可信级别的内网的监控系统,包括高带宽数据分析机构、层次式内容分析机构、网络资源访问机构、多层防信息泄密机构、病毒木马自动免疫模块、多重防非法接入模块;所述高宽带数据分析机构的数据线连接所述层次式内容分析和所述网络资源访问机构,所述多层防信息泄密机构、所述病毒木马自动免疫模块与所述多重防非法接入模块与所述网络资源访问机构连接。本实用新型基于多可信级别的内网的监控系统,可将整个内网资源进行保护和审计,提供内网资源的合规性管理与行为审计,防止和杜绝来源于内部的攻击和非授权访问行为,保障网络系统的安全性、可生存性和可用性。
文档编号H04L12/26GK202663423SQ20122015755
公开日2013年1月9日 申请日期2012年4月11日 优先权日2012年4月11日
发明者李力 申请人:李力