网络安全防御处置系统的制作方法
本发明涉及网络安全技术领域,具体地,涉及网络安全防御处置系统。
背景技术:
随着网络技术的发展和黑客攻击技术的普及,网络面临的威胁日益增多。虽然网络设备都会部署防火墙、入侵检测系统等安全防护设施,但还是会有一些网络威胁事件躲过安全防护设施威胁网络。针对这些躲过安全防护设施的网络威胁事件,用户无法及时发现,也不能及时的进行处理,从而导致用户的网络威胁度很高,存在极大的安全隐患,网络威胁事件就是影响网络安全的事件,例如:拒绝服务、蠕虫爆发、服务器渗透、暴力破解等都属于网络威胁事件。
现有领域中,如何防止网络威胁,及时进行处置成为网络安全中亟需解决的问题。
技术实现要素:
本发明的目的是提供一种网络安全防御处置系统,该网络安全防御处置系统克服了现有技术中的网络安全存在较大隐患的问题,实现了网络威胁的防御与处置。
为了实现上述目的,本发明提供了一种网络安全防御处置系统,该网络安全防御处置系统包括:数据采集端、安全评估模块和处置模块;其中,所述数据采集端对网络事件、系统运行数据和设备操作数据进行采集,以得到原始数据;
所述安全评估模块被配置成连接于所述数据采集端,以对所述网络事件、系统运行数据和设备操作数据的多元数据进行归一化,并进行安全评估得到评估权值和评估等级;所述处置模块被配置成连接于所述安全评估模块,以根据评估等级进行安全处置。
优选地,所述数据采集端包括:网络事件传感器、系统运行数据传感器和设备操作传感器对所述网络事件、系统运行数据和设备操作数据进行采集。
优选地,所述安全评估模块包括:权值确定子单元和级别确定子单元;其中,所述权值确定子单元被配置成连接于所述数据采集端,以接收所述原始数据,并评估得出权值;所述级别确定子单元被配置成连接于所述数据采集端,以接收所述原始数据,并确定安全级别。
优选地,所述处置模块被配置成连接于所述级别确定子单元,根据所述级别确定子单元的级别低、中或高执行不同的网络安全报警;
且所述处置模块被配置成连接于所述权值确定子单元,以将评估得出的权值进行显示。
优选地,所述处置模块包括:弹窗预警单元和网络断开单元;其中,所述弹窗预警单元和所述网络断开单元都被配置成连接于所述级别确定子单元,当安全级别判定为低的情况下,所述弹窗预警单元执行工作;当安全级别判定为中的情况下,所述网络断开单元执行工作并持续第一预设时间段;当安全级别判定为高的情况下,所述网络断开单元执行工作并持续第二预设时间段。
优选地,所述处置模块还包括:制表单元,所述制表单元被配置成连接于所述权值确定子单元,以将评估得出的权值制成表格。
优选地,所述处置模块还包括:显示单元,所述显示单元被配置成连接于所述权值确定子单元,以将评估得出的权值进行显示。
优选地,该网络安全防御处置系统还包括:心跳图绘制模块,所述心跳图绘制模块被配置成连接于所述权值确定子单元,将评估得出的权值绘制成心跳图状,并通过显示单元持续进行显示;
当安全预警指数大于预设第一指数,且该评估得出的权值小于或等于预设第二指数的情况下,显示器弹窗显示,且将该评估得出的权值显示呈绿色;
当安全预警指数大于预设第二指数,且该评估得出的权值小于或等于预设第三指数的情况下,将该评估得出的权值显示呈黄色;
当安全预警指数大于预设第三指数的情况下,将该评估得出的权值显示呈红色。
优选地,该网络安全防御处置系统还包括:
每隔预设时间为1-2秒对安全预警指数进行监测。
优选地,该网络安全防御处置系统还包括:基于内核hook的进程行为监控模块,所述进程行为监控模块被配置成连接于所述数据采集端以得到进程企图执行文件操作、注册表操作和创建其它进程操作的信息,并根据所述信息对进程异常行为进行告警。
优选地,所述基于内核hook的进程行为监控模块包括:
gui界面,用户通过应用层gui界面设置要监控的程序及行为规则;
内核hook的驱动程序模块,内核hook的驱动程序模块被配置成连接于所述gui界面和所述权值确定子单元,以根据用户的设置实时检测被监控进程的文件操作、注册表操作和创建其它进程操作;当用户使用简单规则时,有进程企图执行文件操作、注册表操作和创建其它进程操作时,根据用户设置的行为规则对其操作合法性进行检查,如果合法,则继续执行操作;如果非法,则阻止执行操作;当用户启用关联分析规则时,则对该进程企图执行文件操作、注册表操作和创建其它进程操作的行为进行关联分析后再做出判断,发现进程异常行为,且判定该进程的征兆权值在阈值范围之内的情况下,对用户进行告警。
通过上述的实施方式,本发明的网络安全防御处置系统克服了现有技术中的网络安全存在较大隐患的问题,可以对安全情况进行采集,并将原始数据进行安全评估,根据不同的评估结果,进行不同的处置,从而实现了网络安全防御与处置,在危险情况发生之前,及时进行处置,防止危险情况的发生,及时保证了网络的安全。
本发明的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
图1是说明本发明的网络安全防御处置系统的模块连接示意图;
图2是说明本发明的基于内核hook的进程行为监控方法的流程图;以及
图3是说明本发明的心跳图绘制模块的工作流程图。
附图标记说明
1数据采集端2安全评估模块
3处置模块
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
在本发明中,在未作相反说明的情况下,使用的方位词如“上、下、左、右”通常是指如图1所示的上下左右。“内、外”是指具体轮廓上的内与外。“远、近”是指相对于某个部件的远与近。
本发明提供一种网络安全防御处置系统,该网络安全防御处置系统包括:数据采集端、安全评估模块和处置模块;其中,所述数据采集端对网络事件、系统运行数据和设备操作数据进行采集,以得到原始数据;
所述安全评估模块被配置成连接于所述数据采集端,以对所述网络事件、系统运行数据和设备操作数据的多元数据进行归一化,并进行安全评估得到评估权值和评估等级;所述处置模块被配置成连接于所述安全评估模块,以根据评估等级进行安全处置。
通过上述的实施方式,本发明的网络安全防御处置系统克服了现有技术中的网络安全存在较大隐患的问题,可以对安全情况进行采集,并将原始数据进行安全评估,根据不同的评估结果,进行不同的处置,从而实现了网络安全防御与处置,在危险情况发生之前,及时进行处置,防止危险情况的发生,及时保证了网络的安全。
以下结合附图1对本发明进行进一步的说明,在本发明中,为了提高本发明的适用范围,特别使用下述的具体实施方式来实现。
在本发明的一种具体实施方式中,所述数据采集端可以包括:网络事件传感器、系统运行数据传感器和设备操作传感器对所述网络事件、系统运行数据和设备操作数据进行采集。
通过上述的实施方式,本发明的网络事件传感器、系统运行数据传感器和设备操作传感器可以实现对所述网络事件、系统运行数据和设备操作数据进行采集,可以及时的将网络运行的数据进行采集。
在本发明的一种具体实施方式中,所述安全评估模块可以包括:权值确定子单元和级别确定子单元;其中,所述权值确定子单元被配置成连接于所述数据采集端,以接收所述原始数据,并评估得出权值;所述级别确定子单元被配置成连接于所述数据采集端,以接收所述原始数据,并确定安全级别。
通过上述的实施方式,网络事件的安全评估是计算机网络安全研究的核心内容,具体研究内容是如何将计算机网络中提取出的数据进行综合关联分析,通过分析得到安全评估参数以实现对当前计算机网络的整体安全情况进行准确地评估。尤其是随着网络规模越来越大,计算机网络中采用多种防御体系,不同的安全防御设备按照各自的功能和评判标准获取不同格式和信息的安全态势评估数据,为有效保证计算机网络的安全,需要利用网络的多源数据进行准确地数据综合分析、有效整合。通过权值确定子单元对原始数据进行权值计算,从而可以有数据进行参考。通过级别确定子单元实现级别的判定,得到具体的安全级别。
在该种实施方式中,所述处置模块被配置成连接于所述级别确定子单元,根据所述级别确定子单元的级别低、中或高执行不同的网络安全报警;
且所述处置模块被配置成连接于所述权值确定子单元,以将评估得出的权值进行显示。
通过上述的实施方式,可以让级别确定子单元进行级别判断,实现了不同级别的安全报警,从而实现了具体不同的处置。
在该种实施方式中,所述处置模块可以包括:弹窗预警单元和网络断开单元;其中,所述弹窗预警单元和所述网络断开单元都被配置成连接于所述级别确定子单元,当安全级别判定为低的情况下,所述弹窗预警单元执行工作;当安全级别判定为中的情况下,所述网络断开单元执行工作并持续第一预设时间段;当安全级别判定为高的情况下,所述网络断开单元执行工作并持续第二预设时间段。
通过上述的实施方式,可以实现弹窗预警单元的弹窗预警,网络断开单元可以实现安全级别到达中或者高的情况下,执行网络断开,在中的情况下,断开时间为10min,在高的情况下,断开时间为50min。
在该种实施方式中,所述处置模块还可以包括:制表单元,所述制表单元被配置成连接于所述权值确定子单元,以将评估得出的权值制成表格。
通过上述的制表单元可以实现将评估得出的权值进行制表,从而实现处置。
在该种实施方式中,所述处置模块还可以包括:显示单元,所述显示单元被配置成连接于所述权值确定子单元,以将评估得出的权值进行显示。
通过显示单元,可以实现权值确定子单元输出的权值的值的显示,可以方便观察者进行查看。
在该种实施方式中,该网络安全防御处置系统还可以包括:心跳图绘制模块,所述心跳图绘制模块被配置成连接于所述权值确定子单元,将评估得出的权值绘制成心跳图状,并通过显示单元持续进行显示;
当安全预警指数大于预设第一指数,且该评估得出的权值小于或等于预设第二指数的情况下,显示器弹窗显示,且将该评估得出的权值显示呈绿色;
当安全预警指数大于预设第二指数,且该评估得出的权值小于或等于预设第三指数的情况下,将该评估得出的权值显示呈黄色;
当安全预警指数大于预设第三指数的情况下,将该评估得出的权值显示呈红色。
通过上述的实施方式,本发明的基于评估得出的权值的心跳图模式监控方法可以对评估得出的权值进行显示,通过心跳图模式可以实现安全预警指数的监控,对于评估得出的权值从小到大表明整个系统的危险性的越来越高,显示器弹窗显示可以给用户进行提醒,显示成绿色表明评估得出的权值为低,显示成黄色表明评估得出的权值为中,显示成红色表明安全权值为高。
在该种实施方式中,该网络安全防御处置系统还可以包括:每隔预设时间为1-2秒对安全预警指数进行监测。可以对评估得出的权值间隔预设的时间进行监测,监测的时间可以自行设计,在本实施例中,设置为1-2s。
在该种实施方式中,该网络安全防御处置系统还可以包括:基于内核hook的进程行为监控模块,所述进程行为监控模块被配置成连接于所述数据采集端以得到进程企图执行文件操作、注册表操作和创建其它进程操作的信息,并根据所述信息对进程异常行为进行告警。
在该种实施方式中,所述基于内核hook的进程行为监控模块可以包括:
gui界面,用户通过应用层gui界面设置要监控的程序及行为规则;
内核hook的驱动程序模块,内核hook的驱动程序模块被配置成连接于所述gui界面和所述权值确定子单元,以根据用户的设置实时检测被监控进程的文件操作、注册表操作和创建其它进程操作;当用户使用简单规则时,有进程企图执行文件操作、注册表操作和创建其它进程操作时,根据用户设置的行为规则对其操作合法性进行检查,如果合法,则继续执行操作;如果非法,则阻止执行操作;当用户启用关联分析规则时,则对该进程企图执行文件操作、注册表操作和创建其它进程操作的行为进行关联分析后再做出判断,发现进程异常行为,且判定该进程的征兆权值在阈值范围之内的情况下,对用户进行告警。
为了实现程序漏洞的监控,防止由于程序的漏洞导致病毒,木马的入侵。通过上述的实施方式,本文从程序访问的资源入手,从中重点选取了系统配置资源中的注册表、文件资源中文件以及进程创建其它进程这些资源为主要监控点,建立进程和资源二者间的对应关系,实时检测进程访问资源的行为,并对这些行为进行关联分析,通过征兆权值进行进程的判定,当征兆权值不在阈值范围之内的情况下,可以对用户进行告警。
以上结合附图详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种简单变型,这些简单变型均属于本发明的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。
- 还没有人留言评论。精彩留言会获得点赞!