CN110225065A - 一种网络安全预警系统 - Google Patents

一种网络安全预警系统 Download PDF

Info

Publication number
CN110225065A
CN110225065A CN201910639182.XA CN201910639182A CN110225065A CN 110225065 A CN110225065 A CN 110225065A CN 201910639182 A CN201910639182 A CN 201910639182A CN 110225065 A CN110225065 A CN 110225065A
Authority
CN
China
Prior art keywords
module
information
server
network security
warning system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910639182.XA
Other languages
English (en)
Inventor
李泽峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Shenli Information Engineering Co Ltd
Original Assignee
Guangdong Shenli Information Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Shenli Information Engineering Co Ltd filed Critical Guangdong Shenli Information Engineering Co Ltd
Priority to CN201910639182.XA priority Critical patent/CN110225065A/zh
Publication of CN110225065A publication Critical patent/CN110225065A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种网络安全预警系统,由日志服务器、信息处理模块、对照模块、匹配模块、归并关联模块、分析模块、告警模块、评价模块、病毒处理模块、策略服务器组成,其中,日志服务器用于收集和获取不同厂商网络设备的日志信息和告警信息;信息处理模块用于对日志服务器采集的信息进行统一格式化处理,并将处理后的数据与策略服务器中预设知识库的数据,通过对照模块进行对照,通过匹配模块进行匹配;本发明中rsyslog是标准协议,可以与不同厂商设备进行兼容;可扩展性好,可以通过不断扩充策略服务器中的预设知识库,来增加系统可识别和处理的网络类型模型;主动性高,能够及时发现并警告网络威胁,降低其对网络安全和性能的影响。

Description

一种网络安全预警系统
技术领域
本发明属于网络安全技术领域,具体涉及一种网络安全预警系统。
背景技术
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
随着网络规模的不断扩大和网络应用的不断增多,网络中也越来越多的面临各种安全威胁的困扰,传统的依靠单一设备或人工管理的方式已不能应对日益复杂的网络威胁的挑战,不能及时发现和准确定位网络安全事件,也不能对安全事件可能造成的后果进行准确评估。
为了提高预警的准确性,实用性,从而更加主动实时的发现并有效处理日益繁多的网络威胁,为此我们提出一种网络安全预警系统。
发明内容
本发明的目的在于提供一种网络安全预警系统,提高预警的准确性,实用性,从而更加主动实时的发现并有效处理日益繁多的网络威胁。
为实现上述目的,本发明提供如下技术方案:一种网络安全预警系统,由日志服务器、信息处理模块、对照模块、匹配模块、归并关联模块、分析模块、告警模块、评价模块、病毒处理模块、策略服务器组成,其中,
日志服务器用于收集和获取不同厂商网络设备的日志信息和告警信息;
信息处理模块用于对日志服务器采集的信息进行统一格式化处理,并将处理后的数据与策略服务器中预设知识库的数据,通过对照模块进行对照,通过匹配模块进行匹配,消除其中无关信息和冗余信息,对处理后的信息通过归并关联模块进行归并和关联;
分析模块由策略服务器中的安全策略中心对网络安全事件进行分析,根据预设规则,向病毒处理模块发出信息;
评价模块用于网络病毒数据进行安全等级评估,并将所评估的结果发送至策略服务器;
病毒处理模块用于对入侵病毒进行处理;
策略服务器用于对所采集的信息进行处理,分析判断下一步的告警决定。
作为本发明的一种优选的技术方案,所述日志服务器采用rsyslog协议。
作为本发明的一种优选的技术方案,所述病毒处理模块用于对入侵病毒进行处理,具体方式包括杀毒、安装补丁。
作为本发明的一种优选的技术方案,所述信息处理模块的型号为CP341。
作为本发明的一种优选的技术方案,所述分析模块的型号为TDS3AAM。
作为本发明的一种优选的技术方案,所述评价模块的型号为INA199EVM。
作为本发明的一种优选的技术方案,各模块和服务器通过有线或无线传输的方式连接。
与现有技术相比,本发明的有益效果是:
(1)实时性强,能够迅速感知网络安全事件;
(2)开放性和兼容性好,rsyslog是标准协议,可以与不同厂商设备进行兼容;
(3)可扩展性好,可以通过不断扩充策略服务器中的预设知识库,来增加系统可识别和处理的网络类型模型;
(4)主动性高,能够及时发现并警告网络威胁,降低其对网络安全和性能的影响。
具体实施方式
一种网络安全预警系统,由日志服务器、信息处理模块、对照模块、匹配模块、归并关联模块、分析模块、告警模块、评价模块、病毒处理模块、策略服务器组成,各模块和服务器通过有线或无线传输的方式连接,其中,
日志服务器用于收集和获取不同厂商网络设备的日志信息和告警信息;日志服务器采用rsyslog协议;rsyslog是比syslog功能更强大的日志记录系统,可以将日志输出到文件,数据库和其它程序,rsyslog日志收集器:
rsyslogd的进程名:rsyslogd
rsyslog的配置文件:/etc/rsyslog.conf
rsyslog的特性:
1、多线程;
2、UDP,TCP,SSL;
3、存储日志信息与MYSQL、PGSQL等数据库管理系统;
4、强大的过滤器,实现过滤日志信息中任何部分的内容;
5、自定义输出格式;
rsyslog日志收集器重要术语:
facility:设施,从功能或程序上对日志进行分类:
auth,authpriv,cron,daemon,kern,Ipr,mail,mark,news,security,user,uucp,local0-local7,syslog
这一部分主要在/etc/rsyslog.conf文件中的"RULES"部分;
priority:优先级,这里理解为日志级别:
debug、info、notice、warn(warning)、error,crit(critical),alert,emerg(panic)
  指定级别:
      * :所有级别
      none:没有级别
      priority:此级别以高于此级别的所有级别;
      =priority:仅此级别
      .............
信息处理模块用于对日志服务器采集的信息进行统一格式化处理,并将处理后的数据与策略服务器中预设知识库的数据,通过对照模块进行对照,通过匹配模块进行匹配,消除其中无关信息和冗余信息,对处理后的信息通过归并关联模块进行归并和关联;信息处理模块的型号为CP341;
分析模块由策略服务器中的安全策略中心对网络安全事件进行分析,根据预设规则,向病毒处理模块发出信息;分析模块的型号为TDS3AAM;
评价模块用于网络病毒数据进行安全等级评估,并将所评估的结果发送至策略服务器;评价模块的型号为INA199EVM;
病毒处理模块用于对入侵病毒进行处理;具体方式包括杀毒、安装补丁;杀毒时需要对插入系统的病毒进程进行查找,按照手工杀毒时的不同处理方式,被插进程大致可分为以下几类:
1、系统核心进程,系统核心进程不能结束,否则,系统崩溃,
具体例子如下:
正在运行的进程
[PID: 668][\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation,5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\E5CEBDF.DLL] [Microsoft Corporation, ]
这段日志提示:系统核心进程C:\WINDOWS\system32\csrss.exe被病毒模块插入了,插入此进程的病毒模块是C:\WINDOWS\system32\E5CEBDF.DLL;
如果不采取相应措施卸掉csrss.exe进程中的E5CEBDF.DLL,病毒文件C:\WINDOWS\system32\E5CEBDF.DLL无法删除;
除了csrss.exe以外,属于系统核心进程的还有:
SystemRoot\System32\smss.exe
SystemRoot\System32\winlogon.exe
SystemRoot\System32\lsass.exe
SystemRoot\System32\services.exe
SystemRoot\System32\svchost.exe
处理这些进程中的病毒,
(1)用IceSword禁止进程创建,然后,强制卸除,有时可以成功卸除,有时卸除失败(系统崩溃,重启);
(2)如果(1)失败,可以尝试“禁止进程创建”后,强制删除病毒模块文件,有时也可达到目的(如木马Keygen.exe的处理);
(3)如果(1)、(2)均失败,可以尝试用SSM解决问题:将病毒录入SSM的规则中,禁止病毒加载,将SSM设置为“启动加载”,然后,重启系统;
(4)将病毒录入Tiny的黑名单,重启系统;
(5)在安全模式下尝试删除病毒;
2、explorer.exe(资源管理器)进程,这种进程插入比较常见;
explorer.exe进程可以结束(不会导致系统崩溃);
插入了explorer.exe进程的病毒,用IceSword禁止进程创建后,一般可以顺利卸除;
3、一般应用程序进程;
这种情形最容易处理,用IceSword禁止进程创建,然后,找到相应进程,结束;
4、比较“掉轨”的情形:
用IceSword,预先设置了禁止进程创,然后,根据SRENG日志提供的信息,所有被插进程都处理干净了,但病毒文件依然无法删除!
导致这种情形的原因常被忽视: 遇到了“动态插入”(即:中毒后,用户运行哪个程序,病毒模块随即插入其进程中);很可能是—运行IceSword时,病毒插入了IceSword进程,这时,应检查IceSword进程的“模块信息”,找到其中的病毒模块,强制卸除。
将所有被插进程处理干净后,即可开始删除病毒文件;
注意:如果前面用IceSword处理进程时一切顺利,删除病毒文件时,请不要更换工具,继续用IceSword操作;
删净病毒文件后,还要删除病毒添加的注册表项(根据日志);
策略服务器用于对所采集的信息进行处理,分析判断下一步的告警决定。
使用服务器管理器安装 NPS:
在NPS1上,在 “服务器管理器”中,单击“管理”,然后单击“添加角色和功能”,将打开“添加角色和功能向导”。
在“开始之前”中单击“下一步”。
在“选择安装类型”中,确保选中“基于角色或基于功能的安装”,然后单击“下一步”。
在“选择目标服务器”中,确保选中“从服务器池中选择一个服务器”,在“服务器池”中,确保选中了本地计算机,单击“下一步”。
在中选择服务器角色,在角色,选择网络策略和 Access Services,会打开一个对话框,要求将应添加所需的网络策略和访问服务的功能,单击添加功能,然后单击下一步。
在选择功能中,单击 “下一步”,然后在 “网络策略和访问服务” 中查看提供的信息,然后单击 “下一步”。
在选择角色服务中,单击 “网络策略服务器”。 在添加“网络策略服务器”需要的功能中,单击 “添加功能”,单击“下一步”。
在“确认安装选择” 中,单击“如果需要,自动重启目标服务器”。 当提示你确认这一选择时,单击 “是”,然后单击 “安装”。在安装进程期间,安装进度页显示状态;当进程完毕时,消息"上的安装已成功ComputerName"会显示,其中ComputerName是在其安装网络策略服务器的计算机的名称。 单击 “关闭”。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (7)

1.一种网络安全预警系统,其特征在于,由日志服务器、信息处理模块、对照模块、匹配模块、归并关联模块、分析模块、告警模块、评价模块、病毒处理模块、策略服务器组成,其中,
日志服务器用于收集和获取不同厂商网络设备的日志信息和告警信息;
信息处理模块用于对日志服务器采集的信息进行统一格式化处理,并将处理后的数据与策略服务器中预设知识库的数据,通过对照模块进行对照,通过匹配模块进行匹配,消除其中无关信息和冗余信息,对处理后的信息通过归并关联模块进行归并和关联;
分析模块由策略服务器中的安全策略中心对网络安全事件进行分析,根据预设规则,向病毒处理模块发出信息;
评价模块用于网络病毒数据进行安全等级评估,并将所评估的结果发送至策略服务器;
病毒处理模块用于对入侵病毒进行处理;
策略服务器用于对所采集的信息进行处理,分析判断下一步的告警决定。
2.根据权利要求1所述的一种网络安全预警系统,其特征在于:所述日志服务器采用rsyslog协议。
3.根据权利要求1所述的一种网络安全预警系统,其特征在于:所述病毒处理模块用于对入侵病毒进行处理,具体方式包括杀毒、安装补丁。
4.根据权利要求1所述的一种网络安全预警系统,其特征在于:所述信息处理模块的型号为CP341。
5.根据权利要求1所述的一种网络安全预警系统,其特征在于:所述分析模块的型号为TDS3AAM。
6.根据权利要求1所述的一种网络安全预警系统,其特征在于:所述评价模块的型号为INA199EVM。
7.根据权利要求1-6任一项所述的一种网络安全预警系统,其特征在于:各模块和服务器通过有线或无线传输的方式连接。
CN201910639182.XA 2019-07-16 2019-07-16 一种网络安全预警系统 Pending CN110225065A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910639182.XA CN110225065A (zh) 2019-07-16 2019-07-16 一种网络安全预警系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910639182.XA CN110225065A (zh) 2019-07-16 2019-07-16 一种网络安全预警系统

Publications (1)

Publication Number Publication Date
CN110225065A true CN110225065A (zh) 2019-09-10

Family

ID=67812421

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910639182.XA Pending CN110225065A (zh) 2019-07-16 2019-07-16 一种网络安全预警系统

Country Status (1)

Country Link
CN (1) CN110225065A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113193977A (zh) * 2021-03-12 2021-07-30 工业云制造(四川)创新中心有限公司 一种基于区块链技术的安全可信系统
CN113965406A (zh) * 2021-11-04 2022-01-21 杭州安恒信息技术股份有限公司 网络阻断方法、装置、电子装置和存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统
CN103824069A (zh) * 2014-03-19 2014-05-28 北京邮电大学 一种基于多主机日志关联的入侵检测方法
CN104378365A (zh) * 2014-10-30 2015-02-25 广东电子工业研究院有限公司 一种能够进行协同分析的安全管理中心
CN108494727A (zh) * 2018-02-06 2018-09-04 成都清华永新网络科技有限公司 一种用于网络安全管理的安全事件闭环处理方法
CN109005168A (zh) * 2018-07-25 2018-12-14 安徽三实信息技术服务有限公司 一种网络安全预警系统以及预警方法
CN109379374A (zh) * 2018-11-23 2019-02-22 四川长虹电器股份有限公司 基于事件分析的威胁识别预警方法和系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统
CN103824069A (zh) * 2014-03-19 2014-05-28 北京邮电大学 一种基于多主机日志关联的入侵检测方法
CN104378365A (zh) * 2014-10-30 2015-02-25 广东电子工业研究院有限公司 一种能够进行协同分析的安全管理中心
CN108494727A (zh) * 2018-02-06 2018-09-04 成都清华永新网络科技有限公司 一种用于网络安全管理的安全事件闭环处理方法
CN109005168A (zh) * 2018-07-25 2018-12-14 安徽三实信息技术服务有限公司 一种网络安全预警系统以及预警方法
CN109379374A (zh) * 2018-11-23 2019-02-22 四川长虹电器股份有限公司 基于事件分析的威胁识别预警方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
MICROSOFT 文档: "" 步骤 4. 安装和配置网络策略服务器 (NPS) "", 《MICROSOFT ;原文链接:HTTPS://DOCS.MICROSOFT.COM/ZH-CN/WINDOWS-SERVER/REMOTE/REMOTE-ACCESS/VPN/ALWAYS-ON-VPN/DEPLOY/VPN-DEPLOY-NPS》 *
STARGER: "关于病毒模块插入系统、应用程序进程的问题", 《 51CTO博客,原文链接:HTTP://BLOG.51CTO.COM/STARGER/22559》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113193977A (zh) * 2021-03-12 2021-07-30 工业云制造(四川)创新中心有限公司 一种基于区块链技术的安全可信系统
CN113965406A (zh) * 2021-11-04 2022-01-21 杭州安恒信息技术股份有限公司 网络阻断方法、装置、电子装置和存储介质

Similar Documents

Publication Publication Date Title
US8578490B2 (en) System and method for using timestamps to detect attacks
US7085936B1 (en) System and method for using login correlations to detect intrusions
US7954151B1 (en) Partial document content matching using sectional analysis
US6826697B1 (en) System and method for detecting buffer overflow attacks
US7523301B2 (en) Inferring content sensitivity from partial content matching
Provos Improving Host Security with System Call Policies.
US8806650B2 (en) Methods and apparatus providing automatic signature generation and enforcement
US20100313269A1 (en) Method and apparatus for automatically protecting a computer against a harmful program
EP1621957A2 (en) A method for protecting a computer from suspicious objects
US8516586B1 (en) Classification of unknown computer network traffic
US20110289583A1 (en) Correlation engine for detecting network attacks and detection method
WO2001017162A1 (en) Extensible intrusion detection system
US20060156380A1 (en) Methods and apparatus providing security to computer systems and networks
US10728267B2 (en) Security system using transaction information collected from web application server or web server
KR101951730B1 (ko) 지능형 지속위협 환경에서의 통합 보안 시스템
CN111092910B (zh) 数据库安全访问方法、装置、设备、系统及可读存储介质
US9444830B2 (en) Web server/web application server security management apparatus and method
CN109800571B (zh) 事件处理方法和装置、以及存储介质和电子装置
KR100475311B1 (ko) 위험도 점수를 이용한 악성실행코드 탐지 장치 및 그 방법
CN110225065A (zh) 一种网络安全预警系统
CN100557545C (zh) 一种区分有害程序行为的方法
EP2584488B1 (en) System and method for detecting computer security threats based on verdicts of computer users
CN109284636B (zh) 一种网页防篡改系统及方法
RU2481633C2 (ru) Система и способ автоматического расследования инцидентов безопасности
CN117527298A (zh) 一种基于dns解析的恶意域名检测系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20190910