本发明涉及一种基于网络安全传感器的网络病毒预警方法。
背景技术:
现在的网络普及程度越来越高,各种政府内部办公网络规模越来越大,比如公安专网已经形成全国联网,需要对网络内部各个终端管理的压力巨大。同时,网络病毒攻击事件频频出现,病毒攻击技术手段也在持续变化更新,网络安全防范问题也就越来越突出。
过去网络安全防范的主要手段有两个:一是网络隔离,尽量防止与外部网络有链接,或者对外部链接进行认证管理,尽力避免来自外部网络的直接攻击;二是对网内终端设备进行监控管理和定期杀毒清理,尽力消除潜入网内的已知攻击病毒。但是随着病毒攻击技术手段的越来越隐蔽,以及管理中的任何漏洞,往往会造成新型攻击病毒已经潜入我们网络中的一些终端里而我们却浑然不知,进而在网络中大量传播攻击病毒并在特定条件下爆发,给我们造成巨大的数据资产损失。
本发明着重于在网络中通过网络安全传感器实时侦测可疑数据报文,并通过所连接网络上报至内网自建或外网共享网络病毒大数据分析预警平台,经网络病毒大数据分析预警平台综合分析鉴别后,对疑似病毒传播发出警告,解决对于新型攻击病毒无法提前判别预警的问题。
技术实现要素:
本发明目的是针对现有技术存在的缺陷提供一种基于网络安全传感器的网络病毒预警方法。
本发明为实现上述目的,采用如下技术方案:一种基于网络安全传感器的网络病毒预警方法,包括如下步骤:在网络架构中任意一个需要监测控制的部位设置网络安全传感器,并通过网络安全传感器采集网络传输报文,查找出可疑报文、报文发送主体和接受主体,将查找出的可疑报文、报文发送主体和接受主体通过所连接网络上报到内网自建或外网共享的网络病毒大数据分析预警平台,由网络病毒大数据分析预警平台进行综合分析识别,判断是否有疑似攻击病毒传播以及传播主体和传播范围,并根据情况产生相应预警。
进一步的方案是,所述网络安全传感器接入于网络交换设备的某一端口上或串接于任意两台网络交换设备的互联线路中。
进一步的方案是,所述网络安全传感器包括:
网络接口单元,其负责接收从其它网络设备或网络病毒大数据分析预警平台发送给本网络安全传感器的数据信息并递交给正在执行的网络安全传感器系统程序,和将正在执行的网络安全传感器系统程序发送给其它网络设备或网络病毒大数据分析预警平台的数据信息转送到网络上;
电源管理单元,其负责网络安全传感器的内部供电管理;
CPU运算单元,其负责执行网络安全传感器的嵌入式系统程序;
程序存储单元,其负责存储网络安全传感器的嵌入式系统程序和运行参数;
RAM内存单元,其负责为网络安全传感器的系统程序的运行提供运行存储空间。
进一步的方案是,所述网络安全传感器包括:
网络接口单元A、网络接口单元B,所述网络接口单元A和网络接口单元B用于负责接收从其它网络设备或网络病毒大数据分析预警平台发送给本网络安全传感器的数据信息并递交给正在执行的网络安全传感器系统程序,和将正在执行的网络安全传感器系统程序发送给其它网络设备或网络病毒大数据分析预警平台的数据信息转送到网络上;
其中,对于网络接口单元A和网络接口单元B接收到的从其它网络设备发出的目的地址为非本网络安全传感器的数据信息,在网络安全传感器正常运行状态下,除了根据本网络安全传感器的配置选择是否转发给正在执行的网络安全传感器系统程序之外,两个接口单元之间直接在网络侧相互转发,并能在任何状态下统计各自网络侧接收到的和发送出去的数据信息流量;并在接收到网络病毒大数据分析预警平台相关的网络阻断命令后,正在执行的网络安全传感器系统程序可控制阻断在网络接口单元A和网络接口单元B之间部分或者所有类型的数据的转发透传;
电源管理单元,其负责网络安全传感器的内部供电管理;
CPU运算单元,其负责执行网络安全传感器的嵌入式系统程序;
程序存储单元,其负责存储网络安全传感器的嵌入式系统程序和运行参数;
RAM内存单元,其负责为网络安全传感器的系统程序的运行提供运行存储空间。
进一步的方案是,所述网络病毒大数据分析预警平台是基于计算机或服务器的软件平台,其是根据多点网络安全传感器上报上来的大量数据进行信息类型和源IP地址与目的IP地址对比分析,并根据可人工配置的预设条件进行判断,决定最终是否产生告警;如果产生告警,则即时更新报警类型库并下发给各网络安全传感器,同时提供声光和信息提示告警,并能根据需要自动产生网络阻断命令给网络安全传感器以隔离疑似网络病毒攻击源;如果收到网络安全传感器直接上报的告警,则直接提供声光和信息提示告警,并根据需要自动产生网络阻断命令给网络安全传感器以隔离疑似网络病毒攻击源。
进一步的方案是,所述网络病毒大数据分析预警平台还可根据多点网络安全传感器上报上来的各节点的实时网络数据流量生成全网感知态势图。
本发明的有益效果:本发明可以实时监测网络中的数据传输动态,可以对疑似病毒攻击提前预警,尽力在攻击爆发前将攻击源进行定位并加于处理,最大保护网络中的数据资产。
附图说明
图1本发明的第一接入应用模式示意图;
图2本发明的第二接入应用模式示意图;
图3本发明的网络安全传感器第一结构示意图;
图4本发明的网络安全传感器第二结构示意图。
具体实施方式
网络攻击的目标一般不会是一台终端或服务器,一定是网络中的全部或者大部分关键设备,但攻击的入口一定是某一台疏于防范管理的终端设备。因此,在攻击效果爆发前,一定存在一个在网络中悄悄传播攻击病毒的阶段过程。
图1至图2所示,涉及一种基于网络安全传感器的网络病毒预警方法,其特征在于,包括如下步骤:在网络架构中任意一个需要监测控制的部位设置网络安全传感器,并通过网络安全传感器采集网络传输报文,查找出可疑报文和相关报文发送主体与接受主体,将其通过所连接网络上报到内网自建或外网共享网络病毒大数据分析预警平台,由网络病毒大数据分析预警平台进行综合分析识别,判断是否有疑似攻击病毒传播以及传播主体和传播范围,根据情况产生相应预警。
比如,网络安全传感器采集到有对自己的端口进行扫描的报文后,将该可疑报文的源IP地址和扫描的端口号通过所连接网络发送给网络病毒大数据分析预警平台,网络病毒大数据分析预警平台根据一段时间内的这类可疑报文的统计分析,如果发现大量这类报文都是由某一个或几个源IP发出,并且是对网内不同目的IP的相同一个或几个端口扫描,就会发出疑似攻击病毒传播的预警并指出疑似攻击源IP。
其中,本发明的上述网络安全传感器分为A型网络安全传感器和B型网络安全传感器。
其中,A型网络安全传感器的工作原理是将自己仿真为一台网络终端设备,可以接受来自网络内的其它终端设备发起的网络访问,并将接收到的信息进行访问类型判断,然后与自己的报警类型库(自动从网络病毒大数据分析预警平台下载更新)中的信息进行比较,如果是已有的报警类信息则直接向网络病毒大数据分析预警平台告警并上传该类告警信息发送源主机IP;如果报警类型库中没有相关信息,就直接将该信息类型及信息发送源主机IP等相关信息上报给网络病毒大数据分析预警平台,由网络病毒大数据分析预警平台利用多点网络安全传感器上报上来的大量数据进行比对分析和判断。A型网络安全传感器的逻辑结构如图3所示,A型网络安全传感器由网络接口单元、电源管理单元、CPU运算单元、程序存储单元和RAM内存单元这几个主要功能单元所组成。电源管理单元负责网络安全传感器的内部供电管理;程序存储单元负责存储网络安全传感器的嵌入式系统程序和必要的运行过程中参数(包含报警类型库);RAM内存单元负责为网络安全传感器的系统程序的运行提供运行存储空间;CPU运算单元负责执行网络安全传感器的嵌入式系统程序;网络接口单元负责接收从其它网络设备或网络病毒大数据分析预警平台发送给本网络安全传感器的数据信息并递交给正在执行的网络安全传感器系统程序,和将正在执行的网络安全传感器系统程序发送给其它网络设备或网络病毒大数据分析预警平台的数据信息转送到网络上。
B型网络安全传感器的工作原理除了具备A型网络安全传感器的全部功能外,还具备网络数据截获功能,即将两台交换机之间传输的网络数据截获后按照像自己接收到的数据一样进行分析和比对,并进行和A型网络安全传感器的工作原理所描述相同的操作过程;还具备网络阻断功能,即当网络病毒大数据分析预警平台发出报警后,可以根据网络病毒大数据分析预警平台的要求阻断某部分网络连接,对疑似网络病毒攻击源进行网络隔离;还具备网络数据流量监测功能,可以实时向网络病毒大数据分析预警平台上报本节点网络数据流量。B型网络安全传感器的逻辑结构如图4所示。
B型网络安全传感器由网络接口单元A、网络接口单元B、电源管理单元、CPU运算单元、程序存储单元和RAM内存单元这几个主要功能单元所组成。电源管理单元负责网络安全传感器的内部供电管理;程序存储单元负责存储网络安全传感器的嵌入式系统程序和必要的运行过程中参数(包含报警类型库);RAM内存单元负责为网络安全传感器的系统程序的运行提供运行存储空间;CPU运算单元负责执行网络安全传感器的嵌入式系统程序;网络接口单元A和网络接口单元B负责接收从其它网络设备或网络病毒大数据分析预警平台发送给本网络安全传感器的数据信息并递交给正在执行的网络安全传感器系统程序,和将正在执行的网络安全传感器系统程序发送给其它网络设备或网络病毒大数据分析预警平台的数据信息转送到网络上;对于网络接口单元A和网络接口单元B接收到的从其它网络设备发出的目的地址为非本网络安全传感器的数据信息,在网络安全传感器正常运行状态下,除了根据本网络安全传感器的配置选择是否转发给正在执行的网络安全传感器系统程序之外,两个接口单元之间直接在网络侧相互转发(即单元A在网络侧接收到的数据转给单元B,由单元B发送到网络上,反之亦然),并能在任何状态下统计各自网络侧接收到的和发送出去的数据信息流量。在接收到网络病毒大数据分析预警平台相关的网络阻断命令后,正在执行的网络安全传感器系统程序可以控制阻断在网络接口单元A和网络接口单元B之间部分或者所有类型的数据的转发透传(如根据数据报文的源IP地址,端口号等等)。
网络病毒大数据分析预警平台是基于计算机或服务器的软件平台,其工作原理是根据多点网络安全传感器上报上来的大量数据进行信息类型和源IP地址与目的IP地址对比分析,并根据可以人工配置的一些预设条件进行判断,决定最终是否产生告警。如果产生告警,则即时更新报警类型库并下发给各网络安全传感器之外,还要提供必要的声光和信息提示告警,并能根据需要自动产生相关网络阻断命令给相关B型网络安全传感器以隔离疑似网络病毒攻击源;如果收到网络安全传感器直接上报的告警,则直接提供必要的声光和信息提示告警,并能根据需要自动产生相关网络阻断命令给相关B型网络安全传感器以隔离疑似网络病毒攻击源。网络病毒大数据分析预警平台还可以根据多点B型网络安全传感器上报上来的各节点的实时网络数据流量生成全网感知态势图。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。