一种计算机信息安全防御系统的制作方法
【专利摘要】本发明公开了一种计算机信息安全防御系统,包括有初始化模块、智能获取模块以及连接于初始化模块与智能获取模块之间的日志分析模块、服务器分析模块、客户分析模块、在线分析模块、以及高速检索模块、攻击分析引擎模块。本发明根据当前的网络环境、服务器提供的服务类型、访问对象类型、遭受过的攻击、访问时间段等各个因素作为初始值,通过一段时间的学习来决定最佳的规则部署方案,并且可以根据整个网络的常见攻击和潜在威胁进行动态的规则部署,通过对保障网络安全的各个因素的学习和动态观察来设定安全防御规则的模板,提高了网络安全的防御针对性。
【专利说明】一种计算机信息安全防御系统
【技术领域】
[0001]本发明属于网络计算机安全【技术领域】,涉及一种计算机信息安全防御系统。
【背景技术】
[0002]传统的安全规则部署,是人为根据需要将全部规则或者部分规则加入到系统中,由于安全产品针对的网络环境不是唯一的,很多安全规则针对特定的网络环境是没必要的,但是究竟哪些规则是必要的,这需要诊断和智能学习。盲目的配置安全规则是不科学的。配置了过多冗余的规则,对安全产品的资源浪费和整个网络网速的影响是非常大的。而配置了不准确的规则,即针对该环境应该配置的规则没有配,则会影响安全产品的防御效果,从而对所保护的服务器放开了漏洞。可写的安全规则的配置在此类产品上都是十分的缺乏的。
[0003]防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但它是静态的,而网络安全是动态的、整体的,黑客的攻击方法有无数,防火墙不是万能的,不可能完全防止这些有意或无意的攻击。
【发明内容】
[0004]为解决上述问题,本发明的目的在于提供一种计算机信息安全防御系统,以提高安全产品的防御针对性,更大程度地降低服务器的开销。
[0005]为实现上述目的,本发明的技术方案为:
一种计算机信息安全防御系统,包括有初始化模块、智能获取模块以及连接于初始化模块与智能获取模块之间的日志分析模块、服务器分析模块、客户分析模块、在线分析模块、以及高速检索模块、攻击分析引擎模块;其中,所述初始化模块用于对分组的数据进行初始化;所述日志分析模块通过进行日志分析,识别系统中的规则和攻击最佳捷径;所述智能获取模块用于在算法初始化之后,与后台的服务器和外网建立连接,在各个初始化参数到位的情况下进行优化,通过多次的循环学习与目前能够防御的规则集合,给出防御建议。
[0006]进一步地,所述初始化模块根据系统参数确定服务器的类别,根据访问日志确定客户的大致类别和访问频率,根据事件日志中出现的攻击、访问日志中的访问内容和方式、目前所配置的规则功能确定对应的参数数据。
[0007]进一步地,所述在线分析功能模块用于在连接有外网的情况下,通过在网络上搜索得出常见攻击的排序,将常见攻击同样初始化为一个粒子群组,并且设定组内的最佳位置和最佳速度,并实时的加入到算法中进行优化。
[0008]进一步地,所述攻击分析引擎模块根据内置的各类攻击,通过检测这些攻击的特征值判断出该攻击的类型。
[0009]相较于现有技术,本发明一种计算机信息安全防御系统根据当前的网络环境、月艮务器提供的服务类型、访问对象类型、遭受过的攻击、访问时间段等各个因素作为初始值,通过一段时间的学习来决定最佳的规则部署方案,并且可以根据整个网络的常见攻击和潜在威胁进行动态的规则部署,通过对保障网络安全的各个因素的学习和动态观察来设定安全防御规则的模板,提高了网络安全的防御针对性。
【专利附图】
【附图说明】
[0010]图1 一种计算机信息安全防御流程图。
【具体实施方式】
[0011]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0012]如图1所示,本发明一种计算机信息安全防御系统包括有初始化模块、智能获取模块以及连接于初始化模块与智能获取模块之间的日志分析模块、服务器分析模块、客户分析模块、在线分析模块、以及高速检索模块、攻击分析引擎模块。
[0013]其中,初始化模块根据系统参数确定服务器的类别,根据访问日志确定客户的大致类别和访问频率,根据事件日志中出现的攻击、访问日志中的访问内容和方式、目前所配置的规则功能确定对应参数,根据这些分组的数据,将对应的组内的数据进行了初始化,分别初始化为N个粒子,并设定该组内的最佳位置和初始速度,设定所有组的整体目标位置。
[0014]日志分析模块通过进行日志分析识别系统中的规则和攻击最佳捷径,访问日志中可以根据返回码或者访问的内容识别攻击或者潜在的威胁;其中,对访问日志的内容分析需要增加攻击检测功能,该功能可以根据攻击特征来归类;事件日志的分析主要是针对规则拦截住的攻击进行分析,从而增加相关规则或修改规则配置。
[0015]智能获取模块用于在算法初始化之后,与后台的服务器和外网建立连接,在各个初始化参数到位的情况下进行优化,通过多次的循环学习和目前能够防御的规则集合,最终给出防御建议。如:根据各个参数通过优化能够得出防御攻击级别、优先级,优先级越高;需要进行相应规则的设置或推荐启用该类似的规则。
[0016]初始化的参数可以看做粒子,比如访问日志中可以根据访问资源类型、潜在威胁类型初始化N个粒子,事件日志中的攻击记录、服务器类型和客户类型等初始化为粒子,高速检索模块通过对多个方面的粒子群的优化,按照算法的学习过程给出优化公式,在粒子群学习了一定次数之后,得出的攻击类型的结论便是最佳方案,检索速度是非常快的,不会串行于安全防御功能中占用防御资源。
[0017]在线分析功能模块用于在连接外网的情况下,通过在网络上搜索得出常见攻击的排序,将常见攻击同样初始化为一个粒子群组,并且设定组内的最佳位置和最佳速度。而实时的加入到算法中进行优化,为系统对现有攻击的防御和潜在攻击的预警做了铺垫。
[0018]攻击分析引擎模块根据内置的各类攻击,比如SQL注入攻击、XSS跨站攻击、木马攻击的特征值,通过检测这些攻击的特征值可以判断出该攻击的类型,这比真正的IDS有着高效、简单、省时、准确的优点,能够为攻击失败做出初步判断。为系统的规则智能配置和防御攻击启动预警的作用。本发明实施例中,攻击检测功能是通过分析所有的访问日志来进行归类,通过匹配正则表达式可以识别SQL注入、XSS跨站攻击、ddos、CC攻击等通过算法匹配来判断是否是攻击。
[0019]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种计算机信息安全防御系统,其特征在于:包括有初始化模块、智能获取模块以及连接于初始化模块与智能获取模块之间的日志分析模块、服务器分析模块、客户分析模块、在线分析模块、以及高速检索模块、攻击分析引擎模块;其中,所述初始化模块用于对分组的数据进行初始化;所述日志分析模块通过进行日志分析,识别系统中的规则和攻击最佳捷径;所述智能获取模块用于在算法初始化之后,与后台的服务器和外网建立连接,在各个初始化参数到位的情况下进行优化,通过多次的循环学习与目前能够防御的规则集合,给出防御建议。
2.根据权利要求1所述计算机信息安全防御系统,其特征在于:所述初始化模块根据系统参数确定服务器的类别,根据访问日志确定客户的大致类别和访问频率,根据事件日志中出现的攻击、访问日志中的访问内容和方式、目前所配置的规则功能确定对应的参数数据。
3.根据权利要求2所述计算机信息安全防御系统,其特征在于:所述在线分析功能模块用于在连接有外网的情况下,通过在网络上搜索得出常见攻击的排序,将常见攻击同样初始化为一个粒子群组,并且设定组内的最佳位置和最佳速度,并实时的加入到算法中进行优化。
4.根据权利要求3所述计算机信息安全防御系统,其特征在于:所述攻击分析引擎模块根据内置的各类攻击,通过检测这些攻击的特征值判断出该攻击的类型。
【文档编号】H04L29/06GK103916399SQ201410149861
【公开日】2014年7月9日 申请日期:2014年4月15日 优先权日:2014年4月15日
【发明者】路廷文 申请人:浪潮电子信息产业股份有限公司