一种校园网安全风险终端拦截溯源系统

本发明涉及校园网安全防护，具体为一种校园网安全风险终端拦截溯源系统。

背景技术：

1、随着信息化转型发展的不断深入，尤其随着iot物联网、ipv6等技术的飞速发展，校园内部网络面临的安全挑战日益严峻。木马病毒是新形势下内网威胁的代表，其大规模爆发恰恰说明了内网安全是现今校园网信息化建设的盲点，传统防火墙、waf等多是针对网络外部边界进行防护，而内部网络出口边界安全防御手段普遍不足。

2、本系统的开发建设就是为了增强校园网纵向安全防御能力，阻止病毒木马在校园网横向的传播，实现对风险主机的识别定位，筑牢网络边界防护墙、打造内部终端安全栏，全方位提升校园网终端安全防护能力。

技术实现思路

1、本发明提供了一种校园网安全风险终端拦截溯源系统，以解决上述背景技术所提出的问题。

2、本发明提供如下技术方案：一种校园网安全风险终端拦截溯源系统，包括以下模块，

3、出口识别拦截系统：用户请求拦截提示系统、后端数据分析管理系统；

4、出口识别拦截系统：由出口边界安全设备进行防护并便于后台分析管理系统可以快速与安全设备传输数据；

5、用户提示拦截提示系统：用于告知终端用户疑似感染病毒，并及时查杀；

6、后端数据分析管理系统：用于对恶意请求被拦截次数进行数据统计，从而重定向至用户拦截提示系统。

7、作为本发明的一种优选技术方案，所述出口识别拦截系统包括流量识别功能和黑白名单功能以及api接口功能，所述流量识别功能是网络监控的关键环节，要对网络进行监控首先要识别，否则监控就无从下手，流量是网络中传输数据的重要载体，只有针对流量进行识别，才能根据不同的流量采取不同的监控策略，或是拒绝，或是优化，或是打标，进行优先级分类等等，所有这一切工作的前提都是先要对流量进行识别。

8、作为本发明的一种优选技术方案，所述黑白名单功能可对特定的网址或ip进行访问控制设置，提高安全性，减少误报率，所述黑白名单功能分为网址黑白名单和ipv4黑白名单以及ipv6黑白名单，且均默认支持添加100条黑白名单记录，用户可按需设置使用。

9、作为本发明的一种优选技术方案，所述api接口功能能够实现不同平台和应用之间数据的交换和共享，扩展和定制应用功能，提高效率和自动化以及实现集成和协作。

10、作为本发明的一种优选技术方案，所述出口识别拦截系统主要由出口安全设备来实现，使用设备中的僵尸网络安全防御功能，定期自动更新风险地址库或自定义添加恶意网址和ip，在校园网出口安全域中配置开启僵尸网络防御，当校园网终端请求互联网地址时，如果请求内容包含风险信息，会被出口安全设备拦截重置连接，并在设备日志中心记录相关威胁日志信息，以供后台管理系统读取分析。

11、作为本发明的一种优选技术方案，所述出口识别拦截系统包括防火墙、ips、日志审计系统、数据库审计系统以及漏洞扫描，所述防火墙用于网络边界间的隔离和对网络中数据交互的控制，在典型的网络环境中的主要作用是防范外部网络对内部网络的非法访问行为和恶意攻击行为等安全威胁，防火墙最基础的功能是策略控制流入流出ip及端口、nat、端口映射。

12、作为本发明的一种优选技术方案，所述ips用于防御网络中的攻击和入侵等行为的网关型安全设备，在安全功能上是对防火墙的一个补充，它能够比防火墙更深入地对数据进行检测和控制，进而提升网络对于入侵攻击等威胁的防范水平，本质是增强入侵行为库，检测出后自动进行防御。

13、作为本发明的一种优选技术方案，所述日志审计系统通过收集存储网络上所有软硬件设备产生的日志、审计信息，根据策略进行存储，为事后取证提供依据，对所收集的信息进行汇总、分析、报警，对安全问题进行挖掘，提供各种报表，帮助管理员更好地掌握网络情况，所述数据库审计系统通过对被内部人员的数据库操作及运维操作等网络行为进行解析、分析、记录、汇报，可以帮助用户进行事前规划预防、事中实时监视、事后合规报告、事故追踪溯源，加强内外部网络行为监管，所述漏洞扫描用于发现存在于网络系统的各个角落，交换机路由器、服务器、pc机、应用系统等的漏洞，和协助修补漏洞。

14、作为本发明的一种优选技术方案，所述用户提示拦截提示系统用于当某台终端被定义为风险终端时，出口安全设备会拦截此终端所有的对外请求，并对http请求进行重定向操作，重向页面主要包含提示信息，告知终端用户疑似感染计算机病毒，请及时进行查杀，并展示终端恶意请求的内容，及解除封禁时间，当风险终端用户打开网页并跳转到提示页面时，会查看到提醒信息，同时会向后台管理系统发送已读信息，后台将标记用户已经收到通知信息，可以方便安全管理人员在后台筛选出无人管理的风险终端，及时进行处理。

15、作为本发明的一种优选技术方案，所述后端数据分析管理系统包括收集安全日志威胁信息以及分析统计ip恶意请求类型及请求次数，所述后端数据分析管理系统包括后台管理服务器，所述后台管理服务器中配置有计划任务，脚本程序定时通过出口安全设备的api接口获取威胁日志信息，程序读取日志的同时，通过数据分析统计，将恶意请求被拦截次数达到系统定义阈值的终端定义为风险终端，并将终端对应ip地址通过安全设备api接口导入特定地址组，该地址组内的终端将会被限制与外部网络进行通信，同时终端在打开http服务时，系统会重定向至用户拦截提示系统，以便通知终端用户及时进行安全检测、病毒扫描查杀，安全管理人员在后台控制界面，可以查看当前所有风险终端信息：风险终端ip地址、当前认证用户、拦截时间、解封时间、恶意请求内容、恶意级别、终端用户是否已收到通知等信息，管理人员可以通过终端ip、认证信息，快速定位风险终端具体位置，以实现快速处理，管理人员可以在后台对终端进行临时解封，可以把需要放行的终端临时加入白名单，也可以手动拉黑某个ip，此时对应ip的终端将在出口安全设备被拦截，无法与互联网进行通信，后台分析系统主要用于收集安全日志威胁信息，分析统计ip恶意请求类型及请求次数，当终端请求达到系统定义阈值时会自动记录风险级别为1级，并在出口安全设备拉黑终端1小时，1小时后，系统会自动放行用户请求，当终端恶意请求次数再次达到阈值时，风险级别会累计，拉黑时间同时也会递增，主要是为了督促终端用户及时进行病毒查杀，以免影响正常使用，用户拦截提示系统及后台分析管理系统主要以php语言为开发语言，php作为开放源代码，所有的php代码都能看到，php是运行在服务器端的脚本，具有很强的跨平台操作性；管理中心获取安全设备日志分析使用php及shell程序开发，定时自动通过安全设备接口读取日志信息，shell是一个用c语言编写的程序，通过shell用户可以访问操作系统内核服务，shell既是一种命令语言，又是一种程序设计语言。

16、本发明具备以下有益效果：

17、1、该校园网安全风险终端拦截溯源系统，通过网络安全管理人员通过后台分析管理系统可以在线查看风险终端信息，实现快速定位，可以主动对恶意终端进行实时拦截，并能够在风险终端打开任意网页时跳转到安全提示页面，以便终端用户快速知悉安全风险，进行终端安全检测、病毒查杀。

18、2、该校园网安全风险终端拦截溯源系统，当校园网终端请求互联网地址时，如果请求内容包含风险信息，会被出口安全设备拦截重置连接，并在设备日志中心记录相关威胁日志信息，以供后台管理系统读取分析。

19、3、该校园网安全风险终端拦截溯源系统，当终端恶意请求次数再次达到阈值时，风险级别会累计，拉黑时间同时也会递增，主要是为了督促终端用户及时进行病毒查杀，以免影响正常使用。

20、4、该校园网安全风险终端拦截溯源系统，当风险终端用户打开网页并跳转到提示页面时，会查看到提醒信息，同时会向后台管理系统发送已读信息，后台将标记用户已经收到通知信息，可以方便安全管理人员在后台筛选出无人管理的风险终端，及时进行处理。