本发明涉及网络安全监控领域,尤其是一种面向内容的网络安全监控系统及方法。
背景技术:
随着互联网的发展,网络上的信息量骤增,网络应用日益普及,网络与信息系统的基础性、全局性作用日益增强,网络内容安全问题更加突出。目前,研制如何有效监控网络内容信息,发现网上有害信息,控制、处置以及打击各种网上违法犯罪活动的专用工具已成为各国政府、机构的迫切需要和重要任务。目前网络监控不能实现对任务和过程进行调度、协调、并发控制和信息交流;未将系统按数据区域划分,不能实现各个设备之间的互联互通和数据交换,使系统数据的安全性和完整性得不到保证;使系统运行效率底,而且不易于扩展。
技术实现要素:
本发明的目的在于克服现有技术的不足,提供一种面向内容的网络安全监控系统及方法。
本发明的目的是通过以下技术方案来实现的:面向内容的网络安全监控系统,它包括:流量抓包模块、邮件安全检测模块、流量上传检测模块、数据库和人际交互模块;流量抓包模块分别与邮件安全检测模块和流量上传检测模块相连,邮件安全检测模块与数据库相连,流量上传检测模块与数据库相连,数据库与人机交互模块互联。
优选的,所述的邮件安全检测模块还包括信息获取及还原单元、安全性判定单元和标记单元。
优选的,所述的标记单元与数据库相连,并标记受攻击人mac地址。
优选的,所述的流量上传检测模块还包括检测对象判定单元、流量异常判定单元、安全性判定单元和预警单元。
优选的,所述的预警单元在流量出现异常上传时分级别预警若是高级别屏蔽网络上传。
面向内容的网络安全监控方法,包括以下步骤:
对局域网流量进行抓包;
对邮件进行安全检测:获取用户邮件信息,在服务器中对邮件进行安全检测;
检测局用户流量上传:对局域网中的每个用户的流量上传信息进行监控。
优选的,所述的对邮件进行安全检测包括:
获取用户邮件信息并还原;
在服务器中对邮件进行安全检测并判定是否有害,若安全则继续获取;不安全则将发送人ip地址上传数据库;
标记受攻击人mac地址,并长时间对其进行流量监测。
优选的,所述的检测局用户流量上传包括:
检测局域网中每个用户的流量上传;
判定是否为重点监测对象,若是则忽略白名单;
判定流量是否正常,无异常则继续检测,若出现异常则分级别预警,若是高级别则屏蔽网络上传;
管理员联系用户判断是否有害;
确定无害后解除预警后执行用户操作将其加入白名单;
确定有害后上传攻击者接受服务器ip并将其屏蔽要求受攻击者对电脑进行杀毒。
本发明的有益效果是:本发明利用消息传播机制对任务和过程进行调度、协调、并发控制和信息交流,实现了信息采集、存储、管理、维护、加工利用的一体化;数据交换模型将系统按数据区域划分,系统依托数据交换区实现各个设备之间的互联互通和数据交换,使系统数据的安全性和完整性得到充分的保证;管理模型将系统部件按分布式方式管理,每个组成部件都可以分担系统的计算和传输任务,使系统运行效率高,而且易于扩展。
附图说明
图1为一种面向内容的网络安全监控系统框架图;
图2为一种面向内容的网络安全监控方法流程图;
图3为对邮件进行安全检测流程图;
图4为对检测局用户流量上传检测流程图。
具体实施方式
下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
如图1所示,面向内容的网络安全监控系统,它包括:流量抓包模块、邮件安全检测模块、流量上传检测模块、数据库和人际交互模块;流量抓包模块分别与邮件安全检测模块和流量上传检测模块相连,邮件安全检测模块与数据库相连,流量上传检测模块与数据库相连,数据库与人机交互模块互联。
所述的邮件安全检测模块还包括信息获取及还原单元、安全性判定单元和标记单元;信息获取及还原单元与安全性判定单元相连,安全性判定单元与标记单元相连标记单元与数据库相连。
所述的流量上传检测模块还包括检测对象判定单元、流量异常判定单元、安全性判定单元和预警单元;检测对象判定单元分别与流量异常判定单元和数据库相连,流量异常判定单元和预警单元相连,预警单元与安全性判定单元相连。
所述的预警单元在流量出现异常上传时分级别预警若是高级别屏蔽网络上传。
如图2所示,面向内容的网络安全监控方法,包括以下步骤:
s1对局域网流量进行抓包;
如图3所示,s2对邮件进行安全检测,包括以下步骤:
s21获取用户邮件信息并还原;
s22在服务器中对邮件进行安全检测并判定是否有害,若安全,则继续获取;不安全,则将发送人ip地址上传数据库;
s23标记受攻击人mac地址,并长时间内对其进行流量监测分析,并重复上述步骤。
如图4所示,s3检测局用户流量上传包括:
s31检测局域网中每个用户的流量上传;
s32判定是否为重点监测对象,若是则忽略白名单;
s33判定流量是否正常,无异常则继续检测;若出现异常则分级别预警,若是高级别则屏蔽网络上传;
s34出现预警时管理员联系用户判断是否有害;
s35确定无害后解除预警并执行用户操作将其加入白名单;
s36确定有害后上传攻击者接受服务器ip并将其屏蔽要求受攻击者对电脑进行杀毒。
s4将所有检测数据上传至数据库。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。