CN103749000B - 一种基于多层次信息融合的内部网络监控体系 - Google Patents

Abstract

本发明公开了一种基于多层次信息融合的内部网络监控体系，包括：数 据库安全监控系统、备用数据库安全监控子系统、内部网络信息内容监控系 统、网络动态防护系统、备用网络动态防护子系统、内部网络安全审计系统、 分布式漏洞扫描系统、内部网络安全综合管理系统、内部网络诱骗取证系统 以及针对的服务对象为内部网络环境；通过构建一个可管理、可信任和可控 制的内部网络安全环境，统一规划，综合各种内部网络安全监控系统的优势， 形成整体的多层次信息融合的内部网络监控体系。本发明各个系统之间分工 不同，层次不同，他们通过内部网络安全综合管理系统来完成对内部网络环 境的多层次数据融合管理，有效的提高了对内部网络环境的管理效率和安全 度。

Description

一种基于多层次信息融合的内部网络监控体系

技术领域

本发明涉及一种基于多层次信息融合的内部网络监控体系，属于计算机网络安全技术领域。

背景技术

随着我国信息化及其应用进程的推进，单位和部门对内部信息网络的依赖越来越高，内部网络的安全问题日益凸显，据统计，内部攻击对网络所产生的损害在所有的网络安全事件中已上升到86％，内部网络安全受到高度重视。

目前的网络安全技术大部分是基于外部网络安全威胁模型发展的。外部网络安全威胁模型假设内部网络是安全可信的，威胁来自于外部网络，只要有效地控制网络边界，就可以确保整个网络的安全。针对外部网络安全而言，其技术途径主要是控制内外网边界出口，其技术手段是在外部网络接入处，把病毒和攻击挡在内部网络外。因此，在设计理念上外网安全技术与内部网络安全技术是不同的，外网安全技术不可直接应用于解决内部网络安全问题。

内部网络是单位和部门核心数据、信息和知识产权的主要载体，内部网络信息安全的实质是对内部网络信息流和数据流进行全生命周期的有效管理，构建安全可控的信息和数据使用、存储和交换环境，实现对内部网络核心数据的保密和数字知识产权的保护。

内部网络已经成为各单位和部门的生命线，对内部网络稳定性、可靠性和可控性提出了高度的要求。内部信息网络由大量的终端、服务器和网络设备组成，形成了开放、复杂、统一有机的整体，其信息和数据的应用系统和表现方式多种多样，任何一个部分的安全漏洞或缺陷，都可能引发整个内部网络的瘫痪。

在内部网络安全中，假设任何一个终端、用户和网络都是不安全和不可信的，威胁既可能来自外网，也可能来自内部网络的任何一个节点上。相比于外网安全，内部网络安全需要：建立一种更加全面、客观和严格的信任体系和安全体系；建立更加细粒度的安全控制措施，对计算机终端、服务器、网络和使用者进行更加具有针对性的管理；对信息进行全生命周期的完善管理。

与外网安全模型相比，内部网络安全的威胁模型更加全面和细致，需要通过对所有组成节点和参与者的细致管理，实现内部网络的可管理、可控制和可信任。

信息和数据的应用系统和表现方式的多样性，要求内部网络安全技术必须具有通用性和应用无关性；内部网络组成和结构的复杂性，对内部网络各组成尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。

内部网络安全已经成为信息安全技术发展的新热点，基于内部网络安全需求，探讨内部网络安全理论和标准体系，建立内部网络安全防御体系，对推动我国信息化的发展具有重要意义。

发明内容

本发明提供了一种基于多层次信息融合的内部网络监控体系，其目的是构建一个可管理、可信任和可控制的内部网络安全环境，统一规划，综合各种内部网络安全监控系统的优势，形成整体的多层次信息融合的内部网络监控体系。

本发明包括子系统：数据库安全监控系统、备用数据库安全监控子系统、内部网络信息内容监控系统、网络动态防护系统、备用网络动态防护子系统、内部网络安全审计系统、分布式漏洞扫描系统、内部网络安全综合管理系统、内部网络诱骗取证系统以及针对的服务对象为内部网络环境。

它们之间的连接关系为：数据安全监控系统、内部网络信息内容监控系统、网络动态防护系统、内部网络安全审计系统分别于内部网络环境相连，数据安全监控系统、内部网络信息内容监控系统、网络动态防护系统、内部网络安全审计系统和内部网络环境都与分布式漏洞扫描系统相连，数据库安全监控系统与备用数据库安全监控系统相连，网络动态防护系统与备用网络动态防护系统相连。同时数据安全监控系统、内部网络信息内容监控系统、网络动态防护系统、内部网络安全审计系统、分布式漏洞扫描系统分别与内部网络安全综合管理系统相连。数据安全监控系统和网络动态防护系统又通过内部网络诱骗取证系统与安全综合管理系统相连。其中，数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统设有应急模块和安全阈值，当系统中的安全状况超过阈值时，将启动应急模块。各系统的界定为：

数据库安全监控系统

数据库安全监控系统主要部署在内部网络环境中的数据库服务器主机上，数据来源是相关的数据库事件和SQL语句。

数据库系统安全监控系统的主要功能是对数据库系统进行实时监控和保护，及时发现对数据库的违规操作，有效防止信息泄密，增强用户单位内部网络及数据库的安全性和可控性。避免由病毒、非法操作、黑客攻击、内部人员故意破坏引起的数据库信息的安全问题、敏感数据的防盗取和防篡改、误操作以及自然灾害等。将确定的安全事件上报内部网络安全综合管理系统，将不确定的安全事件送入内部网络诱骗取证系统进行进一步的确认和识别，同时启动备用数据库安全监控系统。能够根据综合管理系统的反馈信息，针对当前的安全事件进行相应的安全处理。

备用数据库安全监控系统

备用数据库安全监控系统的功能是在正常状态下并不工作，当数据库安全监控系统遭受不明异常不进行工作时，能够代替数据库安全监控系统，并完成其相应的功能。

内部网络信息内容监控系统

内部网络信息内容监控系统的数据来源是内部网络中的信息内容。其主要功能是对内部网络中的黄赌毒信息、不良舆论进行识别和过滤，从对网络信息的内容监管和控制的角度，达到有效的阻止各类违规的敏感信息在网络上传播的目的。将确定的敏感信息上报内部网络安全综合管理系统，并能够根据综合管理系统的反馈信息，针对相应的敏感信息进行相应的过滤或删除等处理。

网络动态防护系统

网络动态防护系统主要部署在网络环境中的主机上，其数据来源始内部网络中的网络活动信息。

网络动态防护系统是一种专门基于主机环境，能对网络系统的非授权使用及合法用户的滥用行为进行实时检测、识别、预警与控制的网络攻击检测系统。将确定的安全事件上报内部网络安全综合管理系统，进一步不确定的安全事件送入内部网络诱骗取证系统进行进一步的确认和识别。同时能够根据综合管理系统的反馈信息，对相应的安全事件进行相应的安全处理。

备用网络动态防护系统

备用网络动态防护系统的功能是在正常状态下并不工作，当网络动态防护系统遭受不明攻击不进行工作时，能够代替网络动态防护系统，并完成其相应的功能。

安全审计系统

安全审计是根据一定的安全策略，通过记录和分析历史操作事件及数据，发现与识别系统性能和系统安全改进因素。其数据来源包括：操作系统的内核日志、应用程序日志、网络设备日志、重要文件以及用户活动的状态与行为、以及文件系统或是内部网络中传输的敏感信息。

它的主要功能包括：完成对操作系统、应用程序或用户活动所产生的一系列的计算机安全事件进行记录和分析的过程。辅助辨识和分析未经授权的活动和攻击；帮助和保证那些实体响应行动处理这些活动；促进开发改进的损伤控制处理程序；认可与已经建立的安全策略的一致性。

分布式漏洞扫描系统

分布式漏洞扫描系统的主要功能是，对内部网络中的网络设备、安全产品、应用程序、各种操作系统进行全面扫描，将评估结果上报内部网络安全综合管理系统，根据综合管理系统的反馈信息，生成风险评估报告，起到预警的作用。

在部署分布式漏洞扫描系统时，采用自组网的策略，将漏洞扫描系统部署在内部网络中的每一个主机上，使其同时具有漏洞扫描和路由的功能。当某一主机上的漏洞扫描系统失效时，能够被部署在其他主机上的漏洞扫描系统感知，完成对主机的漏洞扫描。

内部网络诱骗取证系统

内部网络诱骗取证系统数据源主要有在数据库安全监控系统和网络动态防护系统中不确定性的安全事件。

在本内部网络安全监控体系中，内部网络诱骗系统通过对存在于内部网络中的可疑的安全事件进行分析和取证。并将分析结果上报内部网络安全综合管理系统。

在内部网络诱骗取证系统中，采用自主防护的设计理念，从而达到自我防护的功能。

内部网络安全综合管理系统

位于安全监控体系结构的顶层，负责网络安全监控与态势评估并作出战略预警和攻击决策。其中设有网络态势评估模块，根据安全评估与态势评估结果，推测或判断威胁程度以及可能的行动方案，并根据目标库、态势库与威胁估计结论，作出全局融合决策。

在综合管理系统中，数据来源有：三个监控系统的安全事件，分布式漏洞扫描系统的结果和安全审计系统的结果。

该发明的信号转换关系为：

步骤一、在内部网络环境处于运行状态时，数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统、分布式漏洞扫描系统和安全审计系统针对不同的监控目标进行实时监控；而当数据库安全监控系统或网络动态防护系统在工作时，遭到无法判断或无法防御的不明攻击时，直接转入步骤四；

步骤二、与此同时，分布式漏洞扫描系统也对数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统各系统的运行情况进行实时的漏洞扫描和监控；

步骤三、数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统、分布式漏洞扫描系统和安全审计系统将步骤一当中进行实时监控的结果传输给内部网络安全综合管理系统；拟定的传输策略为：因为分布式漏洞扫描系统为常规扫描，故将扫描结果定时发给内部网络安全综合管理系统，而数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统在监控内部网络环境处于正常状态时，只在内部网络环境处于空闲期时将记录的数据发送给内部网络安全综合管理系统，而数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统在监控内部网络环境中出现异常时，即激活放置在数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统中的应急模块，实时将异常情况时采集到的数据发给内部网络安全综合管理系统进行势态评估；

步骤四、接步骤一的数据库安全监控系统或网络动态防护系统遭到无法判断或无法防御的不明攻击时，一方面启动内部网络诱骗取证系统，将不明攻击引入内部网络诱骗取证系统中，对其进行取证和记录，另一方面启动备用数据库安全监控子系统和备用网络动态防护系统，使得在取证的同时保证数据库安全监控系统或网络动态防护系统的功能得到正常运行；

步骤五、从步骤四中，内部网络诱骗取证系统记录诱骗取证完成后，将相关数据发送给内部网络安全综合管理系统，在内部网络安全综合管理系统中对相关数据进行分析破解，并将破解后的防御手段植入数据库安全监控系统、网络动态防护系统、备用数据库安全监控子系统和备用网络动态防护系统中的防护知识库中，以此提升它们再次遭受类似攻击的抵御能力；

其中，由于系统针对的具体对象不一样，如果数据库安全监控系统和网络动态防护系统同时遭到攻击的时候，内部网络诱骗取证系统将根据具体的应用环境的不同，对数据库安全监控系统和网络动态防护系统的取证策略有所差异；

步骤六、当步骤三或步骤五将数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统、分布式漏洞扫描系统、安全审计系统和内部网络诱骗取证系统的相关数据传送给内部网络安全综合管理系统后，内部网络安全综合管理系统在网络态势评估模块中对各类数据进行加权，分析评估和预测，从而得到整个内部网络环境危险度、安全性和稳定性报告，以供管理人员参考。

其中，在步骤一的内部网络环境或步骤二中，当某一节点上的漏洞扫描系统失效时，分布式漏洞扫描系统将该情况发送给内部网络安全综合管理系统，内部网络安全综合管理系统经过评估和判断后，认为该节点的漏洞扫描系统需要修复，则发送指令给分布式漏洞扫描系统，将分布式漏洞扫描系统中的备用漏洞扫描子系统激活，并在内部网络环境内自动搜寻，直至发现漏洞扫描子系统失效的节点并替代其相应功能；

而在步骤六中，由于系统针对的具体对象不一样，传输的策略也进行相应的调整，由于数据库安全监控系统、内部网络信息内容监控系统和网络动态防护系统是分别从三个重要方面对内部网络进行安全监控的。在具体的应用环境下，三者对整体内部网络的威胁评估有着不同的作用。比如在某部门的信息内容监控应用中，主要关注于网络信息的威胁程度，此时内部网络信息内容监控系统的结果将比另外两个系统的监控结果更为重要。因此，综合管理平台能够根据不同的应用环境，对三者的重要程度进行管理，当安全事件发生时，从多层次的角度上对监控结果进行融合分析，做出全局的融合决策，并将最终决策反馈到各个监控系统，以便做出相应的处理。

有益效果：

一、本发明各个系统之间分工不同，层次不同，他们通过内部网络安全综合管理系统来完成对内部网络环境的多层次数据融合管理，有效的提高了对内部网络环境的管理效率和安全度；

二、数据库安全监控系统和网络动态防护系统设有备用数据库安全监控子系统和备用网络动态防护子系统，能够在遭到不明攻击时，保证在处理不明攻击的同时，不丧失对内部网络环境应有的监控功能；

三、本体系还拥有“自我学习”能力，即通过内部诱骗取证系统将不明攻击或不确定的因素进行取证和分析，并将分析或破解的结果重新植入数据库安全监控系统、网络动态防护系统、备用数据库安全监控子系统和备用网络动态防护子系统中，提升它们的抵御能力；

四、本体系中的分布式漏洞扫描系统中，设有自定义监控点和激活程序，能够及时的对失效监控点进行弥补，增强了监控体系的防护性；

五、在数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统、分布式漏洞扫描系统和安全审计系统中，设定有传输策略，在正常状态下，有效的利用了网络空闲期来完成多层次数据融合的任务，而无需额外增加网络负载量，同时也设立了紧急处理状态，当各系统中的数据出现异常时，及时将异常信息发送给内部网络安全综合管理系统，使得内部网络安全综合管理系统能准确、高效的完成对整个内部网络的监控任务，同时，又能形成完整的数据积累，建立评价集，最终对整个内部网络环境进行战略性评估。

附图说明：

图1为本发明涉及的一种基于多层次信息融合的内部网络监控体系框架。

图2在网络攻防对抗过程中黑客的博弈策略。

图3在网络攻防对抗过程中我方的博弈策略。

具体实施方式

下面结合附图，具体说明本发明的实施方式：

在某部门对内容监控的应用中，本发明的实施包括以下几个系统：数据库安全监控系统、备用数据库安全监控子系统、内部网络信息内容监控系统、网络动态防护系统、备用网络动态防护子系统、内部网络安全审计系统、分布式漏洞扫描系统、内部网络安全综合管理系统、内部网络诱骗取证系统以及针对的服务对象为内部网络环境。

它们之间的连接关系为：数据安全监控系统、内部网络信息内容监控系统、网络动态防护系统、内部网络安全审计系统分别于内部网络环境相连，数据安全监控系统、内部网络信息内容监控系统、网络动态防护系统、内部网络安全审计系统和内部网络环境都与分布式漏洞扫描系统相连，数据库安全监控系统与备用数据库安全监控系统相连，网络动态防护系统与备用网络动态防护系统相连。同时数据安全监控系统、内部网络信息内容监控系统、网络动态防护系统、内部网络安全审计系统、分布式漏洞扫描系统分别与内部网络安全综合管理系统相连。数据安全监控系统和网络动态防护系统又通过内部网络诱骗取证系统与安全综合管理系统相连。其中，数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统设有应急模块和安全阈值，当系统中的安全状况超过阈值时，将启动应急模块。各系统的界定为：

数据库安全监控系统

系统运行环境支持主流的操作系统，如Windows 2000 Server，Windows 2003Server，Redhat Linux等。系统运行环境支持主流的数据库，如MS SQL SERVER2000，MS SQLSERVER 2005，ORACLE 9i等。

数据库安全监控系统主要功能包括：相关信息获取、分析引擎、数据发送、应急处理和自动升级。其中相关信息获取完成：当前数据库信息(如ORACLE数据库，MS SQL SERVER数据库，MySQL数据库等以及相应的版本信息)，相关的数据库事件和SQL语句，以及当前数据库的实时状态，即连接数，登录用户数，数据库I/O数等。分析引擎完成：根据数据库安全监控系统中的规则库，对获取的相关信息，采用聚类算法、推理通道静态分析法、基于事件序列的聚类法等方法进行分析处理。数据发送完成：根据分析的结果，决定将数据送入内部网络安全综合管理系统还是送入内部网络诱骗取证系统进行进一步的分析取证，同时判定是否启动备用数据库安全监控系统。应急处理完成：激活备用数据库安全监控系统，然后切断数据库安全监控系统。自动升级：接收内部网络安全综合管理系统的反馈信息，更新数据库安全监控系统和备用数据库安全监控系统中的规则库。

备用数据库安全监控系统

备用数据库安全监控系统在正常状态下并不工作，当被激活时，能够代替数据库安全监控系统，并完成其相应的功能。

备用数据库安全监控系统和数据库安全监控系统的并不部署在内部网络环境中的同一数据库服务器的主机上。

内部网络信息内容监控系统

内部网络信息内容监控系统主要功能包括：相关信息获取、分析引擎、数据发送和自动升级。其中相关信息获取完成：当前网络信息内容的收集。分析引擎完成：根据收集到的网络内容信息，将其分为文本信息、图像信息和视频信息。根据信息种类的不同，采取不同的方法进行分析。如对图像信息的处理主要集中于裸露人体的识别和敏感部位识别；对文本信息的分析主要是结合文本的上下文环境，对语义进行判断是否属于内部网络信息内容监控系统中知识库中黄赌毒信息，或是敏感的、不良的舆论。数据发送完成：根据分析引擎的结果，将敏感信息上报内部网络安全综合管理系统。自动升级完成：接受内部网络安全综合管理系统的反馈信息，更新内部网络信息内容监控系统中的知识库。

网络动态防护系统

系统运行环境支持主流的应用服务系统，如IIS，Tomcat，Apache，Sendmail等。

网络动态防护系统主要功能包括：相关信息获取、分析引擎、数据发送、应急处理和自动升级。其中相关信息获取完成：当前网络活动的信息，数据通信的IP和指定的端口信息，网络环境中主机的CPU占用率，CPU中断速率，物理内存占用率，网卡发包率，接包速率，虚拟内存占用率，主机的连接数，匿名用户连接数等信息的收集。分析引擎完成：根据网络动态防护系统中的威胁知识库进行分析处理。数据发送完成：根据分析的结果，决定将相关数据送入内部网络安全综合管理系统还是送入内部网络诱骗取证系统进行进一步的取证分析，同时判定是否启动备用网络动态防护系统。应急处理完成：激活备用网络动态防护系统，然后切断网络动态防护系统。自动升级：接收内部网络安全综合管理系统的反馈信息，更新网络动态防护系统和备用网络动态防护系统中的威胁知识库。

备用网络动态防护系统

备用网络动态防护系统在正常状态下并不工作，当被激活时，能够代替网络动态防护系统，并完成其相应的功能。

备用网络动态防护系统和网络动态防护系统的并不部署在内部网络环境中的同一主机上。

安全审计系统

系统运行环境支持主流操作系统，如Windows 2003 Server，Windows XP等。系统运行环境支持主流的应用服务系统，如IIS等。

系统支持采集所在服务器的基本运行指标，如CPU占用率、内存占用率、当前运行进程数目，当前打开文件数，系统当前开放端口数、某一进程占用的系统资源、该应用服务器一个端口的连接数目等；系统支持对特定服务的一些运行指标进行针对性采集，如HTTP业务的访问请求数，如邮件收发队列中的邮件数等；系统支持维护正常状态下的所有指标阈值，用于和当前所采集的各种指标进行比较，判断该主机的异常状态；系统支持对所在服务器的关键数据文件的完整性进行周期性检测，发现文件的异常变化和异常修改；系统支持对所在服务器各种关键硬件的周期性状态轮询，如主板、各种类型的I/O接口、网络接口等，发现硬件设备的异常状态；系统支持在发现各种异常时，及时将异常信息上报到内部网络安全综合关系系统，同时还对内部网络安全综合关系系统的反馈进行实时的响应；系统通过提升自身的运行权限，以及运行高权限的监控进程，确保系统自身的运行不会被恶意中断或停止；可发现和采集僵尸程序、木马、RootKit等主机恶意代码的行为和样本；系统对主机系统性能的影响小于10％；虚警率小于5％，漏警率小于5％；单机信息提取时间不超过5分钟；分析机处理能力不小于50个同时回传的节点信息，分析时间不超过40秒。

分布式漏洞扫描系统

考虑到分布式系统的跨平台特点，分布式漏洞扫描系统采用Per1(Practical Extraction and Report Language，文字分析报告语言)实现。Per1对进程、文件和文字有很强的处理能力，操作灵巧方便。不但如此，Per1语言具体优点如下：

(1)系统可移植性、稳定性好：Per1是解释型的语言，多平台兼容，特别适合于分布式系统的开发；

(2)适应性强：可与操作系统无缝集成。例如在运行时可以给进程添加代码，可以达到修改程序的参数而无需重启系统；

(3)易于实现概念：Per1一直是一个面向对象的语言，由此可实现基类概念；

分布式漏洞扫描系统可分为WEB子系统、主机扫描引擎子系统和网络扫描引擎子系统。各个子系统的功能描述如下：

1)WEB子系统

WEB子系统主要有以下主要功能：

与内部网络安全综合管理系统通信，完成扫描结果的上报和对反馈信息的处理。执行一些后台服务，如定时扫描、定时根据策略漏洞数据库等。

2)网络扫描引擎子系统

该子系统通过通信模块与WEB子系统交互，其主要功能是处理从WEB子系统发送过来的扫描请求，并将扫描结果及扫描进度返回给WEB子系统，供WEB子系统进行进一步处理。

3)主机扫描引擎子系统

对内部网络中的网络设备、安全产品、应用程序、各种操作系统进行全面扫描，并将扫描结果及扫描进度返回给WEB子系统，供WEB子系统进行进一步处理。

内部网络诱骗取证系统

本系统的防火墙、诱骗主机和证据服务器都运行在linux系统上，(使用Redhat linux 7.3内核版本2.4.18)；证据服务器上的数据库系统使用MySQL数据库，版本：mysq1-4.0.14。

本系统包括两个子系统：诱骗子系统和证据数据库子系统。

诱骗主机子系统包括各种监控入侵者的探头、保护整个系统的包过滤防火墙、实时发送事件到内部网络安全综合管理系统。

策略调整模块根据用户环境的不同，动态调整诱骗主机诱骗策略，可以调整的策略包括：增加诱骗主机应用服务、网络动态配置、多重地址转换、创建组织信息欺骗等。

防火墙配置模块防火墙配置模块要实现的功能包括：保护防火墙自身安全，对基本的防火墙策略进行配置，伪装，诱骗。

系统调用监控模块系统调用监控模块用于获取用户与蜜罐主机交互时使用的命令，并记录到本地日志文件中。

网络资料监控模块网络资料监控模块获取发往诱骗主机的资料包，并根据已制定的规则对收集到的资料包进行分类。具体包括的日志文件的类型有：记录全部资料包的原文(采用tcpdump格式)、记录全部资料包的包头(采用文本方式)、记录来自某一IP的会话的(session)内容(采用文本方式)、记录达到警报级别的资料包(采用tcpdump格式)。格式根据配置文件而定。

诱骗策略诱骗策略是决定诱骗主机子系统诱骗成功与否的首要问题。在攻防过程中自始至终存在着敌我双方侦察与诱骗，识别与伪装，攻击与保护的博弈。诱骗主机子系统的诱骗策略是根据敌我双方对抗博弈的过程制定的，根据随机博弈(stochastic games)的思想，诱骗主机的每一时期的历史都可以被概括为一种“状态”(各种服务是否正常运行)。当期的收益取决于这种状态和当期的行为(黑客攻击行为，己方伪装保护措施)。例如，诱骗主机提供www服务和ftp服务，网络攻防对抗过程中双方的博弈如图2、图3所示。

证据数据库子系统由数据库管理模块、告警分析模块、证据提取模块和态势评估与分析模块等组成。

数据库管理模块数据库管理模块要实现的功能需求包括：信息传输、资料预处理、数据库访问接口、数据库维护等。

告警分析模块威胁分析模块要求实现对各种安全事件的实时分析。由威胁分析引擎调用模块根据类型调用相应的预处理模块和规则知识库，启动威胁分析引擎。经分析，若存在威胁，则得出一条威胁分析记录，一方面通过对数据库的操作将该记录存入所属日志类型的威胁分析报表中，另一方面用于实时报警。

告警综合模块告警综合模块作为证据数据库子系统的一部分，它的主要功能是运用信息融合的思想，把分散在各个信息源的告警信息进行综合分析，通过信息关联分析，提取威胁特征，将一次攻击过程完整地整理、记录，以用于取证。并通过规则匹配确定威胁类型与等级，向内部网络安全综合管理系统提供告警信息。

内部网络安全综合管理系统

由于内部网络安全监控信息源选择及不确定性，内部网络安全监控的多源性，内部网络安全监控的不确定性，如安全监控环境与处理方式的特殊性、安全监控的不确定性及其冗余与互补性和内部网络安全监控信息融合的层次性，内部网络安全综合管理系统对此信息进行多层次的信息融合，综合给出安全分析与态势评估结果，推测或判断威胁程度以及可能的行动方案，并根据目标库、态势库与威胁估计等结论，做出全局融合决策。

信号转换关系为：

步骤一、在内部网络环境处于运行状态时，数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统、分布式漏洞扫描系统和安全审计系统针对不同的监控目标进行实时监控；

步骤二、与此同时，分布式漏洞扫描系统也对数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统各系统的运行情况进行实时的漏洞扫描和监控；

步骤三、数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统、分布式漏洞扫描系统和安全审计系统将步骤一当中进行实时监控的结果传输给内部网络安全综合管理系统；传输策略为：因为分布式漏洞扫描系统为常规扫描，故将扫描结果定时24小时发给内部网络安全综合管理系统，而数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统在监控内部网络环境处于正常状态时，只在内部网络环境处于空闲期时将记录的数据发送给内部网络安全综合管理系统，而数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统在监控内部网络环境中出现异常时，即激活放置在数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统中的应急模块，实时将异常情况时采集到的数据发给内部网络安全综合管理系统；

步骤四、当数据库安全监控系统或网络动态防护系统遭到无法判断或无法防御的不明攻击时，一方面启动内部网络诱骗取证系统，将不明攻击引入内部网络诱骗取证系统中，对其进行取证，另一方面启动备用数据库安全监控子系统和备用网络动态防护系统，使得在取证的同时保证数据库安全监控系统或网络动态防护系统的功能得到正常运行；

步骤五、从步骤四中，内部网络诱骗取证系统记录诱骗取证完成后，将相关数据发送给内部网络安全综合管理系统，在内部网络安全综合管理系统中对相关数据进行分析破解，并将破解后的防御手段植入数据库安全监控系统、网络动态防护系统、备用数据库安全监控子系统和备用网络动态防护系统中的防护知识库中，以此提升它们再次遭受攻击的抵御能力；

步骤六、由于本实施例是主要针对信息内容的应用，如果数据库安全监控系统和网络动态防护系统同时遭到攻击的时候，内部网络诱骗取证系统将根据策略，优先对数据库安全监控系统进行取证分析；

步骤七、当步骤三或步骤五将数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统、分布式漏洞扫描系统、安全审计系统和内部网络诱骗取证系统的相关数据传送给内部网络安全综合管理系统后，内部网络安全综合管理系统在网络态势评估模块中对各类数据进行加权，分析评估和预测，从而得到整个内部网络环境危险度、安全性和稳定性报告，以供管理人员参考。在本实施例中，各系统的权重由高到底依次为：内部网络信息内容监控系统，安全审计系统，数据库安全监控系统，网络动态防护系统，内部网络诱骗取证系统，分布式漏洞扫描系统。

其中，在步骤一的内部网络环境或步骤二中，当某一节点上的漏洞扫描系统失效时，分布式漏洞扫描系统将该情况发送给内部网络安全综合管理系统，内部网络安全综合管理系统经过评估和判断后，认为该节点的漏洞扫描系统需要修复，则发送指令给分布式漏洞扫描系统，将分布式漏洞扫描系统中的备用漏洞扫描子系统激活，并在内部网络环境内自动搜寻，直至发现漏洞扫描子系统失效的节点并完成其相应功能；

本发明包括但不限于以上实施例，凡是在本发明的精神和原则下进行的等同替换、局部修改都将视为在本发明的保护范围之内。

Claims (6)

1. 一种基于多层次信息融合的内部网络监控体系，包括：数据库安全监控系统、备用数据库安全监控子系统、内部网络信息内容监控系统、网络动态防护系统、备用网络动态防护子系统、内部网络安全审计系统、分布式漏洞扫描系统、内部网络安全综合管理系统、内部网络诱骗取证系统以及针对的服务对象为内部网络环境；它们之间的连接关系为：数据安全监控系统、内部网络信息内容监控系统、内部动态防护系统、内部网络安全审计系统分别于内部网络环境相连，其特征在于：它们之间的连接关系还包括：数据安全监控系统、内部网络信息内容监控系统、网络动态防护系统、内部网络安全审计系统和内部网络环境都与分布式漏洞扫描系统相连，数据库安全监控系统与备用数据库安全监控系统相连，网络动态防护系统与备用网络动态防化系统相连；同时数据安全监控系统、内部网络信息内容监控系统、网络动态防护系统、内部网络安全审计系统、分布式漏洞扫描系统分别与内部网络安全综合管理系统相连；数据安全监控系统和网络动态防护系统又通过内部网络诱骗取证系统与安全综合管理系统相连；各系统的界定为：

数据库系统安全监控系统是对数据库系统进行实时监控和保护，及时发现对数据库的违规操作，有效防止信息泄密，增强用户单位内部网络及数据库的安全性和可控性；避免由病毒、非法操作、黑客攻击、内部人员故意破坏引起的数据库信息的安全问题、敏感数据的防盗取和防篡改、误操作以及自然灾害；将确定的安全事件上报内部网络安全综合管理系统，将不确定的安全事件送入内部网络诱骗取证系统进行进一步的确认和识别，同时启动备用数据库安全监控系统；能够根据综合管理系统的反馈信息，针对当前的安全事件进行相应的安全处理；

备用数据库安全监控系统是在正常状态下并不工作，当数据库安全监控系统遭受不明异常不进行工作时，能够代替数据库安全监控系统，并完成其相应的功能；

内部网络信息内容监控系统的数据来源是内部网络中的信息内容；其功能 是对内部网络中的黄赌毒信息、不良舆论进行识别和过滤，并将确定的敏感信息上报内部网络安全综合管理系统，并能够进行综合管理系统的反馈信息，针对相应的敏感信息进行相应的过滤或删除等处理；

网络动态防护系统是一种专门基于主机环境，能对网络系统的非授权使用及合法用户的滥用行为进行实时检测、识别、预警与控制的网络攻击检测系统；将确定的安全事件上报内部网络安全综合管理系统，进一步不确定的安全事件送入内部网络诱骗取证系统进行进一步的确定和识别；同时能够根据综合管理系统的反馈信息，对相应的安全事件进行相应的安全处理；

备用网络动态防护系统的功能是在正常状态下并不工作，当网络动态防护系统遭受不明攻击不进行工作时，能够代替网络动态防护系统，并完成相应的功能；

安全审计是根据指定的安全策略，通过记录和分析历史操作事件及数据，发现与识别系统性能和系统安全改进因素；它的功能包括：完成对操作系统、应用程序或用户活动所产生的一系列的计算机安全事件进行记录和分析的过程；辅助辨识和分析未经授权的活动和攻击；帮助和保证那些实体响应行动处理这些活动；促进开发改进的损伤控制处理程序；认可与已经建立的安全策略的一致性；

分布式漏洞扫描系统功能是，对内部网络中的网络设备、安全产品、应用程序、各种操作系统进行全面扫描，将评估结果上报内部网络安全综合管理系统，根据综合管理系统的反馈信息，生成风险评估报告，起到预警的作用；

内部网络诱骗取证系统数据源有在数据库安全监控系统和网络动态防护系统中不确定性的安全事件；在本内部网络安全监控体系中，内部网络诱骗系统通过对存在于内部网络中的可疑的安全事件进行分析和取证；并将分析结果上报内部网络安全综合管理系统；

内部网络安全综合管理系统位于安全监控体系结构的顶层，负责网络安全监控与态势评估并作出战略预警和攻击决策；其中设有网络态势评估模块，根据安全评估与态势评估结果，推测或判断威胁程序以及可能的行动方案，并根据目标库、态势库与威胁估计结论，作出全局融合决策；

该技术方案的信号转换关系为：

步骤一、在内部网络环境处于运行状态时，数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统、分布式漏洞扫描系统和安全审计系统针对不同的监控目标进行实时监控；而当数据库安全监控系统或网络动态防护系统在工作时，遭到无法判断或无法防御的不明攻击时，直接转入步骤四；

步骤二、与此同时，分布式漏洞扫描系统也对数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统各系统的运行情况进行实时的漏洞扫描和监控；

步骤三、数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统、分布式漏洞扫描系统和安全审计系统将步骤一当中进行实时监控的结果传输给内部网络安全综合管理系统；

步骤四、接步骤一的数据库安全监控系统或网络动态防护系统遭到无法判断或无法防御的不明攻击时，一方面启动内部网络诱骗取证系统，将不明攻击引入内部网络诱骗取证系统中，对其进行取证和记录，另一方面启动备用数据库安全监控子系统和备用网络动态防护系统，使得在取证的同时保证数据库安全监控系统或网络动态防护系统的功能得到正常运行；

步骤五、从步骤四中，内部网络诱骗取证系统记录诱骗取证完成后，将相关数据发送给内部网络安全综合管理系统，在内部网络安全综合管理系统中对相关数据进行分析破解，并将破解后的防御手段植入数据库安全监控系统、网络动态防护系统、备用数据库安全监控子系统和备用网络动态防护系统中的防护知识库中，以此提升它们再次遭受类似攻击的抵御能力；

步骤六、当步骤三或步骤五将数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统、分布式漏洞扫描系统、安全审计系统和内部网络诱骗取证系统的相关数据传送给内部网络安全综合管理系统后，内部网络安全 综合管理系统在网络态势评估模块中对各类数据进行加权，分析评估和预测，从而得到整个内部网络环境危险度、安全性和稳定性报告，以供管理人员参考。

2.根据权利要求1所述的一种基于多层次信息融合的内部网络监控体系，其特征在于：数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统设有应急模块和安全阈值，当系统中的安全状况超过阈值时，将启动应急模块。

3.根据权利要求1所述的一种基于多层次信息融合的内部网络监控体系，其特征在于：在部署分布式漏洞扫描系统时，采用自组网的策略，将漏洞扫描系统部署在内部网络中的每一个主机上，使其同时具有漏洞扫描和路由的功能；当其中一个主机上的漏洞扫描系统失效时，能够被部署在其他主机上的漏洞扫描系统感知，完成对主机的漏洞扫描。

4.根据权利要求1所述的一种基于多层次信息融合的内部网络监控体系，其特征在于：在综合管理系统中，数据来源来自三给监控系统的安全事件上传的数据，分布式漏洞扫描系统的结果和安全审计系统的结果。

5.根据权利要求1所述的一种基于多层次信息融合的内部网络监控体系，其特征在于：在步骤三中拟定的传输策略为：分布式漏洞扫描系统为常规扫描，故将扫描结果定时法发给部网络安全综合管理系统，而数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统在监控内部网络环境处于正常状态时，只在内部网络环境处于空闲期时将记录的数据发送给内部网络安全综合管理系统，而数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统在监控内部网络环境中出现异常时，即激活放置在数据库安全监控系统、网络动态防护系统、内部网络信息内容监控系统和安全审计系统中的应急模块，实时将异常情况时采集到的数据发给内部网络安全综合管理系统进行势态评估。

6.根据权利要求1所述的一种基于多层次信息融合的内部网络监控体系，其特征在于：在步骤六中，综合管理平台能够根据不同的应用环境，对数据库安全监控系统、内部网络信息内容监控系统和网络动态防护系统的重要程度进行管理，当安全事件发生时，从多层次的角度上对监控结果进行融合分析，做出全局的融合决策，并将最终决策反馈到各个监控系统，以便做出相应的处理。

Images