一种基于计算机网络的安全认证系统的制作方法

本发明涉及计算机网络技术领域，具体为一种基于计算机网络的安全认证系统。

背景技术：

随着计算机网络的快速发展，大数据时代悄然来临，当下，大数据已经广泛应用于人们的生产生活中，为各行各业的兴旺和发展提供强大技术支持，大数据在为计算机发展提供便捷、高效的网络服务的同时，也对网络系统造成潜在威胁，引发了对计算机网络安全的广泛讨论，对于计算机网络安全潜在威胁进行分析和制定防范措施已经迫在眉睫。

大数据被运用到了各个行业，在其使用过程中也面临许多实际的网络安全问题，数据被盗用、网站遭受攻击的现象层出不穷，形势不容乐观，另外，由于人为因素在使用程序的过程中也会出现若干系统漏洞，这些缺陷和漏洞具有强大破坏性，不法分子往往会利用这些缺陷和漏洞对用户信息进行盗取，造成较大安全问题，为此我们提出了一种基于计算机网络的安全认证系统。

技术实现要素：

针对现有技术存在的上述不足，本发明提供了一种基于计算机网络的安全认证系统。

本发明提供如下技术方案：一种基于计算机网络的安全认证系统，包括安全系统、认证系统和数据库，安全系统和认证系统均与数据库通讯连接；

安全系统包括数据包捕获模块、数据分析模块和报警处理模块；

数据包捕获模块对整个网络的数据包进行收集并进行分析，以判断是否为异常行为，以ids使用原始的网络包作为信息源，对工作在混杂模式下的网卡实时监视和分析所有通过共享式网络的传输；

数据分析模块包括模式匹配模块、统计分析单元、完整性分析单元，所述模式匹配模块将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，所述统计分析单元根据系统对象创建一个统计表格，统计正常使用时的若干测量属性，测量属性的平均值将被用来与网络和系统的行为进行比较，所述完整性分析单元关注某个文件和目录的内容及属性是否被更改；

报警处理模块将分析结果记录在日志文件中，并产生相应的报告，触发警报；

认证系统包括系统管理模块、分组模块、审计控制模块、宽度管理模块，系统管理模块对局域网内ip地址和机器名进行自动搜索，分组模块根据工作需要，对机器进行分组并制定不同的控制策略，审计控制模块将网络用户按mac地址、帐号口令方式进行审计和控制，宽度管理模块将用户、用户分组或者应用类别来设定上网的带宽，保证优先级高的人员或应用在网络拥堵时优先使用带宽。

优选的，所述数据包捕获模块内设置有网络适配器，用于实时监控和分析所有通过网络进行传输的通信。

优选的，所述报警处理模块触发警报后向系统管理员发送传呼或电子邮件，并修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置。

优选的，所述数据包捕获模块主要对主机操作系统层的数据、网络数据、应用程序数据和目标机发送的数据，进行捕捉。

优选的，所述数据库内部分为两部分，一部分用于安全系统存储检测到的异常数据，另一部分用于认证系统收集的局域网内ip地址和机器名。

优选的，所述认证系统还包括加密模块，将网络中传动的信息进行数据加密保护其安全性。

优选的，所述分组模块分为ip控制单元、mac控制单元、帐号控制单元和混合控制单元，ip控制单元机器ip地址方式进行网络控制，mac控制单元以机器mac地址方式进行网络控制，帐号控制单元以上网帐号方式进行网络控制，混合控制单元以ip控制和帐号控制两种方式进行网络控制。

与现有技术对比，本发明具备以下有益效果：

该基于计算机网络的安全认证系统，通过安全系统对计算机内部的各种数据包进行收集，并利用数据分析模块对其进行收集到的有关系统、网络、数据及用户活动的状态和行为信息，被送到检测引擎，进行分析对比，当检测到数据异常，报警处理模块重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，并进行告警，如此保护个人信息安全；

认证系统中的系统管理模块对局域网内ip地址和机器名进行自动搜索，同时系统管理人员对搜索到的机器信息可以进行人工的维护和管理，从而保护用户的信息安全，且在分组模块作用下，根据工作需要，对机器进行机器分组制定不同的控制策略，使得客户在局域网内机器上网进行灵活的控制，并在审计控制模块中通过四种审计方式，对网络进行控制，从而减少个人信息暴露的缝隙，最后利用加密模块对传动的信息进行数据加密并保护其安全性，进一步提高网络的安全认证能力。

附图说明

图1为本发明结构示意图；

图2为本发明数据分析模块结构示意图。

具体实施方式

为了使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例的附图，对本公开实施例的技术方案进行清楚、完整地描述。显然，所描述的实施例是本公开的一部分实施例，而不是全部的实施例。基于所描述的本公开的实施例，本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例，都属于本公开保护的范围。

为了保持本公开实施例的以下说明清楚且简明，本公开省略了已知功能和已知部件的详细说明，以避免不必要地混淆本发明的概念。

请参阅图1-2，一种基于计算机网络的安全认证系统，包括安全系统、认证系统和数据库，安全系统和认证系统均与数据库通讯连接。

安全系统包括数据包捕获模块、数据分析模块和报警处理模块。

数据包捕获模块对整个网络的数据包进行收集并进行分析，以判断是否为异常行为，以ids使用原始的网络包作为信息源，对工作在混杂模式下的网卡实时监视和分析所有通过共享式网络的传输。

数据分析模块包括模式匹配模块、统计分析单元、完整性分析单元，模式匹配模块将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，统计分析单元根据系统对象创建一个统计表格，统计正常使用时的若干测量属性，测量属性的平均值将被用来与网络和系统的行为进行比较，完整性分析单元关注某个文件和目录的内容及属性是否被更改。

报警处理模块将分析结果记录在日志文件中，并产生相应的报告，触发警报。

认证系统包括系统管理模块、分组模块、审计控制模块、宽度管理模块，系统管理模块对局域网内ip地址和机器名进行自动搜索，分组模块根据工作需要，对机器进行分组并制定不同的控制策略，审计控制模块将网络用户按mac地址、帐号口令方式进行审计和控制，宽度管理模块将用户、用户分组或者应用类别来设定上网的带宽，保证优先级高的人员或应用在网络拥堵时优先使用带宽。

在一个可选的实施例中，数据包捕获模块内设置有网络适配器，用于实时监控和分析所有通过网络进行传输的通信。

在一个可选的实施例中，报警处理模块触发警报后向系统管理员发送传呼或电子邮件，并修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置。

在一个可选的实施例中，数据包捕获模块主要对主机操作系统层的数据、网络数据、应用程序数据和目标机发送的数据，进行捕捉。

在一个可选的实施例中，数据库内部分为两部分，一部分用于安全系统存储检测到的异常数据，另一部分用于认证系统收集的局域网内ip地址和机器名。

在一个可选的实施例中，认证系统还包括加密模块，将网络中传动的信息进行数据加密保护其安全性。

在一个可选的实施例中，分组模块分为ip控制单元、mac控制单元、帐号控制单元和混合控制单元，ip控制单元机器ip地址方式进行网络控制，mac控制单元以机器mac地址方式进行网络控制，帐号控制单元以上网帐号方式进行网络控制，混合控制单元以ip控制和帐号控制两种方式进行网络控制。

以上实施例仅为本发明的示例性实施例，不用于限制本发明，本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内，对本发明做出各种修改或同替换，这种修改或同替换也应视为落在本发明的保护范围内。