CN110881034A - 一种基于虚拟化技术的计算机网络安全系统 - Google Patents

Abstract

本发明属于计算机网络安全技术领域，公开了一种基于虚拟化技术的计算机网络安全系统，所述基于虚拟化技术的计算机网络安全系统包括：入侵检测模块、漏洞检测模块、主控模块、虚拟隔离模块、加密模块、防护模块、安全评估模块、安全预警模块、显示模块。本发明通过虚拟隔离模块实现了对虚拟局网内虚拟机之间的安全隔离，提高了网络安全性；同时，通过安全评估模块提高安全评估准确性，能够实时反映外部网络攻击状况，标识中长期防御重点，分级度量信息系统稳健度，以及趋势分析全局和各级安全保障能力。

Description

一种基于虚拟化技术的计算机网络安全系统

技术领域

本发明属于计算机网络安全技术领域，尤其涉及一种基于虚拟化技术的计算机网络安全系统。

背景技术

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面，即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。然而，现有网络安全中虚拟机之间无法实现安全隔离；同时，不能对网络安全进行准确的评估。

综上所述，现有技术存在的问题是：现有网络安全中虚拟机之间无法实现安全隔离；同时，不能对网络安全进行准确的评估。

发明内容

针对现有技术存在的问题，本发明提供了一种基于虚拟化技术的计算机网络安全系统。

本发明是这样实现的，一种基于虚拟化技术的计算机网络安全系统包括：

入侵检测模块、漏洞检测模块、主控模块、虚拟隔离模块、加密模块、防护模块、安全评估模块、安全预警模块、显示模块；

入侵检测模块，与主控模块连接，用于通过入侵检测程序检测网络入侵信息；

漏洞检测模块，与主控模块连接，用于通过漏洞检测程序检测网络漏洞信息；

主控模块，与入侵检测模块、漏洞检测模块、虚拟隔离模块、加密模块、防护模块、安全评估模块、安全预警模块、显示模块连接，用于通过主控机控制各个模块正常工作；

虚拟隔离模块，与主控模块连接，用于通过隔离程序对网络进行隔离操作；

加密模块，与主控模块连接，用于通过加密程序对网络信息进行加密；

防护模块，与主控模块连接，用于通过防护程序对网络进行安全防护；

安全评估模块，与主控模块连接，用于通过评估程序对网络安全进行评估；

安全预警模块，与主控模块连接，用于通过预警程序对网络安全危险状态进行预警；

显示模块，与主控模块连接，用于通过显示器显示入侵检测信息、漏洞检测信息、隔离信息、评估信息、预警信息。

进一步，所述虚拟隔离模块隔离方法如下：

(1)通过监测程序监测虚拟局域网内虚拟机的安全状态信息；

(2)判断所述安全状态信息是否存在异常，若是，则生成所述虚拟机对应的安全风险信息，包括：获取发起访问统一资源定位符请求的源IP地址和源端口以及所述统一资源定位符中携带的目的IP地址和目的端口，通过所述源IP地址和源端口确定所述存在异常的虚拟机，并根据所述源IP地址、源端口、目的IP地址和目的端口生成所述虚拟机对应的安全风险信息；

(3)根据预设的安全风险处理方式对所述安全风险信息进行处理，并生成隔离所述虚拟机的访问控制列表配置信息，所述访问控制列表配置信息包括IP地址、源端口和目的端口，或者包括IP地址范围、源端口和目的端口的配置信息；

(4)发送携带有所述访问控制列表配置信息的隔离命令至所述虚拟局域网对应的访问控制列表模块，所述访问控制列表模块执行所述隔离命令，并根据访问控制列表配置信息对访问控制列表进行配置。

进一步，所述判断所述安全状态信息是否存在异常的步骤，包括：

获取所述虚拟机发送或接收到的数据包所对应的数据流量；

判断所述数据流是否符合预设的行为特征，若是，则虚拟机的安全状态信息存在异常。

进一步，所述判断所述安全状态信息是否存在异常的步骤，还包括：

检测虚拟机内的文件内容；

提取文件内容中用来确定所述文件内容是否存在异常的特征信息；

通过预置安全风险识别库对所述特征信息进行识别，若识别出存在与所述特征信息相匹配的信息，则虚拟机的安全状态信息存在异常。

进一步，所述判断所述安全状态信息是否存在异常的步骤，还包括：

获取虚拟机对资源的占有率；

判断所述资源占用率是否超过预设阈值，若是，则虚拟机的安全状态信息存在异常；和/或，

获取用户对虚拟机的操作行为信息；

通过预置的安全风险识别库识别所述操作行为信息，若识别出存在与所述操作行为信息相匹配的信息，则虚拟机的安全状态信息存在异常。

进一步，所述安全评估模块评估方法如下：

1)通过评估程序采集各个二级评价指标的量化数据；

2)依据各个二级评价指标的量化数据以及预设的各个二级评价指标的权重，计算得到各个一级评价指标的量化数据，其中一个一级评价指标对应至少一个二级评价指标；

3)依据计算得到各个一级评价指标的量化数据以及预设的各个一级评价指标的权重，计算得到各个维度的安全态势总分，其中一个维度对应至少一个一级评价指标；

4)依据计算得到各个维度的安全态势总分以及预设的各个维度的权重，计算得到各个监测领域的安全态势总分，其中一个监测领域对应至少一个维度；

5)依据计算得到各个监测领域的安全态势总分以及预设的各个监测领域的权重，计算得到用于表征网络安全情况的总体安全态势得分；

6)依据得到的所述总体安全态势得分判断当前网络安全情况。

进一步，所述采集各个二级评价指标的量化数据包括：

通过预设的获取渠道，获取各个二级评价指标数据；

依据各个二级评价指标的类别，采用预设的与类别对应的指标量化方法，得到各个二级评价指标的量化数据。

进一步，所述在采集到各个二级评价指标的量化数据之后，所述网络安全评估方法还包括：

对采集到的各个二级评价指标的量化数据进行预设处理，以清除量纲影响。

进一步，所述网络安全评估方法还包括以下至少之一：

依据采集到的各个二级评价指标的量化数据，确定各个二级评价指标的网络安全情况；

依据计算得到的各个一级评价指标的量化数据，确定各个一级评价指标的网络安全情况；

依据计算得到的各个维度的安全态势总分，确定各个维度的网络安全情况；

依据计算得到的各个监测领域的安全态势总分，确定各个监测领域的网络安全情况。

本发明的优点及积极效果为：本发明通过虚拟隔离模块对虚拟局域网对应的访问控制列表的重新配置，可以将虚拟局域网内存在异常的虚拟机进行逻辑隔离，由于隔离后的虚拟机不能跟虚拟局域网内的其它虚拟机进行通信，安全风险被锁定在存在异常的虚拟机内无法向虚拟局域网内扩散，因此实现了对虚拟局网内虚拟机之间的安全隔离，提高了网络安全性；同时，通过安全评估模块根据信息安全工作实践，首创以安全防御技术为主视角，从安全威胁监测，安全威胁响应、处置、调查全流程，安全漏洞发现、确认、修复、验证全生命周期，威胁情报收集等多维度综合考量应对网络攻击的安全保障能力，提高安全评估准确性，能够实时反映外部网络攻击状况，标识中长期防御重点，分级度量信息系统稳健度，以及趋势分析全局和各级安全保障能力。

附图说明

图1是本发明实施例提供的基于虚拟化技术的计算机网络安全系统结构框图。

图中：1、入侵检测模块；2、漏洞检测模块；3、主控模块；4、虚拟隔离模块；5、加密模块；6、防护模块；7、安全评估模块；8、安全预警模块；9、显示模块。

具体实施方式

为能进一步了解本发明的发明内容、特点及功效，兹例举以下实施例，并配合附图详细说明如下。

下面结合附图对本发明的结构作详细的描述。

如图1所示，本发明实施例提供的基于虚拟化技术的计算机网络安全系统包括：入侵检测模块1、漏洞检测模块2、主控模块3、虚拟隔离模块4、加密模块5、防护模块6、安全评估模块7、安全预警模块8、显示模块9。

入侵检测模块1，与主控模块3连接，用于通过入侵检测程序检测网络入侵信息；

漏洞检测模块2，与主控模块3连接，用于通过漏洞检测程序检测网络漏洞信息；

主控模块3，与入侵检测模块1、漏洞检测模块2、虚拟隔离模块4、加密模块5、防护模块6、安全评估模块7、安全预警模块8、显示模块9连接，用于通过主控机控制各个模块正常工作；

虚拟隔离模块4，与主控模块3连接，用于通过隔离程序对网络进行隔离操作；

加密模块5，与主控模块3连接，用于通过加密程序对网络信息进行加密；

防护模块6，与主控模块3连接，用于通过防护程序对网络进行安全防护；

安全评估模块7，与主控模块3连接，用于通过评估程序对网络安全进行评估；

安全预警模块8，与主控模块3连接，用于通过预警程序对网络安全危险状态进行预警；

显示模块9，与主控模块3连接，用于通过显示器显示入侵检测信息、漏洞检测信息、隔离信息、评估信息、预警信息。

本发明提供的虚拟隔离模块4隔离方法如下：

(1)通过监测程序监测虚拟局域网内虚拟机的安全状态信息；

(2)判断所述安全状态信息是否存在异常，若是，则生成所述虚拟机对应的安全风险信息，包括：获取发起访问统一资源定位符请求的源IP地址和源端口以及所述统一资源定位符中携带的目的IP地址和目的端口，通过所述源IP地址和源端口确定所述存在异常的虚拟机，并根据所述源IP地址、源端口、目的IP地址和目的端口生成所述虚拟机对应的安全风险信息；

(3)根据预设的安全风险处理方式对所述安全风险信息进行处理，并生成隔离所述虚拟机的访问控制列表配置信息，所述访问控制列表配置信息包括IP地址、源端口和目的端口，或者包括IP地址范围、源端口和目的端口的配置信息；

(4)发送携带有所述访问控制列表配置信息的隔离命令至所述虚拟局域网对应的访问控制列表模块，所述访问控制列表模块执行所述隔离命令，并根据访问控制列表配置信息对访问控制列表进行配置。

本发明提供的判断所述安全状态信息是否存在异常的步骤，包括：

获取所述虚拟机发送或接收到的数据包所对应的数据流量；

判断所述数据流是否符合预设的行为特征，若是，则虚拟机的安全状态信息存在异常。

本发明提供的判断所述安全状态信息是否存在异常的步骤，还包括：

检测虚拟机内的文件内容；

提取文件内容中用来确定所述文件内容是否存在异常的特征信息；

通过预置安全风险识别库对所述特征信息进行识别，若识别出存在与所述特征信息相匹配的信息，则虚拟机的安全状态信息存在异常。

本发明提供的判断所述安全状态信息是否存在异常的步骤，还包括：

获取虚拟机对资源的占有率；

判断所述资源占用率是否超过预设阈值，若是，则虚拟机的安全状态信息存在异常；和/或，

获取用户对虚拟机的操作行为信息；

通过预置的安全风险识别库识别所述操作行为信息，若识别出存在与所述操作行为信息相匹配的信息，则虚拟机的安全状态信息存在异常。

本发明提供的安全评估模块7评估方法如下：

1)通过评估程序采集各个二级评价指标的量化数据；

2)依据各个二级评价指标的量化数据以及预设的各个二级评价指标的权重，计算得到各个一级评价指标的量化数据，其中一个一级评价指标对应至少一个二级评价指标；

3)依据计算得到各个一级评价指标的量化数据以及预设的各个一级评价指标的权重，计算得到各个维度的安全态势总分，其中一个维度对应至少一个一级评价指标；

4)依据计算得到各个维度的安全态势总分以及预设的各个维度的权重，计算得到各个监测领域的安全态势总分，其中一个监测领域对应至少一个维度；

5)依据计算得到各个监测领域的安全态势总分以及预设的各个监测领域的权重，计算得到用于表征网络安全情况的总体安全态势得分；

6)依据得到的所述总体安全态势得分判断当前网络安全情况。

本发明提供的采集各个二级评价指标的量化数据包括：

通过预设的获取渠道，获取各个二级评价指标数据；

依据各个二级评价指标的类别，采用预设的与类别对应的指标量化方法，得到各个二级评价指标的量化数据。

本发明提供的在采集到各个二级评价指标的量化数据之后，所述网络安全评估方法还包括：

对采集到的各个二级评价指标的量化数据进行预设处理，以清除量纲影响。

本发明提供的网络安全评估方法还包括以下至少之一：

依据采集到的各个二级评价指标的量化数据，确定各个二级评价指标的网络安全情况；

依据计算得到的各个一级评价指标的量化数据，确定各个一级评价指标的网络安全情况；

依据计算得到的各个维度的安全态势总分，确定各个维度的网络安全情况；

依据计算得到的各个监测领域的安全态势总分，确定各个监测领域的网络安全情况。

本发明工作时，首先，通过入侵检测模块1利用入侵检测程序检测网络入侵信息；通过漏洞检测模块2利用漏洞检测程序检测网络漏洞信息；其次，主控模块3通过虚拟隔离模块4利用隔离程序对网络进行隔离操作；通过加密模块5利用加密程序对网络信息进行加密；通过防护模块6利用防护程序对网络进行安全防护；通过安全评估模块7利用评估程序对网络安全进行评估；然后，通过安全预警模块8利用预警程序对网络安全危险状态进行预警；最后，通过显示模块9利用显示器显示入侵检测信息、漏洞检测信息、隔离信息、评估信息、预警信息。

以上所述仅是对本发明的较佳实施例而已，并非对本发明作任何形式上的限制，凡是依据本发明的技术实质对以上实施例所做的任何简单修改，等同变化与修饰，均属于本发明技术方案的范围内。

Claims (9)

1.一种基于虚拟化技术的计算机网络安全系统，其特征在于，所述基于虚拟化技术的计算机网络安全系统包括：

入侵检测模块、漏洞检测模块、主控模块、虚拟隔离模块、加密模块、防护模块、安全评估模块、安全预警模块、显示模块；

入侵检测模块，与主控模块连接，用于通过入侵检测程序检测网络入侵信息；

漏洞检测模块，与主控模块连接，用于通过漏洞检测程序检测网络漏洞信息；

主控模块，与入侵检测模块、漏洞检测模块、虚拟隔离模块、加密模块、防护模块、安全评估模块、安全预警模块、显示模块连接，用于通过主控机控制各个模块正常工作；

虚拟隔离模块，与主控模块连接，用于通过隔离程序对网络进行隔离操作；

加密模块，与主控模块连接，用于通过加密程序对网络信息进行加密；

防护模块，与主控模块连接，用于通过防护程序对网络进行安全防护；

安全评估模块，与主控模块连接，用于通过评估程序对网络安全进行评估；

安全预警模块，与主控模块连接，用于通过预警程序对网络安全危险状态进行预警；

显示模块，与主控模块连接，用于通过显示器显示入侵检测信息、漏洞检测信息、隔离信息、评估信息、预警信息。

2.如权利要求1所述基于虚拟化技术的计算机网络安全系统，其特征在于，所述虚拟隔离模块隔离方法如下：

(1)通过监测程序监测虚拟局域网内虚拟机的安全状态信息；

(2)判断所述安全状态信息是否存在异常，若是，则生成所述虚拟机对应的安全风险信息，包括：获取发起访问统一资源定位符请求的源IP地址和源端口以及所述统一资源定位符中携带的目的IP地址和目的端口，通过所述源IP地址和源端口确定所述存在异常的虚拟机，并根据所述源IP地址、源端口、目的IP地址和目的端口生成所述虚拟机对应的安全风险信息；

(3)根据预设的安全风险处理方式对所述安全风险信息进行处理，并生成隔离所述虚拟机的访问控制列表配置信息，所述访问控制列表配置信息包括IP地址、源端口和目的端口，或者包括IP地址范围、源端口和目的端口的配置信息；

(4)发送携带有所述访问控制列表配置信息的隔离命令至所述虚拟局域网对应的访问控制列表模块，所述访问控制列表模块执行所述隔离命令，并根据访问控制列表配置信息对访问控制列表进行配置。

3.如权利要求2所述基于虚拟化技术的计算机网络安全系统，其特征在于，所述判断所述安全状态信息是否存在异常的步骤，包括：

获取所述虚拟机发送或接收到的数据包所对应的数据流量；

判断所述数据流是否符合预设的行为特征，若是，则虚拟机的安全状态信息存在异常。

4.如权利要求2所述基于虚拟化技术的计算机网络安全系统，其特征在于，所述判断所述安全状态信息是否存在异常的步骤，还包括：

检测虚拟机内的文件内容；

提取文件内容中用来确定所述文件内容是否存在异常的特征信息；

通过预置安全风险识别库对所述特征信息进行识别，若识别出存在与所述特征信息相匹配的信息，则虚拟机的安全状态信息存在异常。

5.如权利要求2所述基于虚拟化技术的计算机网络安全系统，其特征在于，所述判断所述安全状态信息是否存在异常的步骤，还包括：

获取虚拟机对资源的占有率；

判断所述资源占用率是否超过预设阈值，若是，则虚拟机的安全状态信息存在异常；和/或，

获取用户对虚拟机的操作行为信息；

通过预置的安全风险识别库识别所述操作行为信息，若识别出存在与所述操作行为信息相匹配的信息，则虚拟机的安全状态信息存在异常。

6.如权利要求1所述基于虚拟化技术的计算机网络安全系统，其特征在于，所述安全评估模块评估方法如下：

1)通过评估程序采集各个二级评价指标的量化数据；

2)依据各个二级评价指标的量化数据以及预设的各个二级评价指标的权重，计算得到各个一级评价指标的量化数据，其中一个一级评价指标对应至少一个二级评价指标；

3)依据计算得到各个一级评价指标的量化数据以及预设的各个一级评价指标的权重，计算得到各个维度的安全态势总分，其中一个维度对应至少一个一级评价指标；

4)依据计算得到各个维度的安全态势总分以及预设的各个维度的权重，计算得到各个监测领域的安全态势总分，其中一个监测领域对应至少一个维度；

5)依据计算得到各个监测领域的安全态势总分以及预设的各个监测领域的权重，计算得到用于表征网络安全情况的总体安全态势得分；

6)依据得到的所述总体安全态势得分判断当前网络安全情况。

7.如权利要求6所述基于虚拟化技术的计算机网络安全系统，其特征在于，所述采集各个二级评价指标的量化数据包括：

通过预设的获取渠道，获取各个二级评价指标数据；

依据各个二级评价指标的类别，采用预设的与类别对应的指标量化方法，得到各个二级评价指标的量化数据。

8.如权利要求6所述基于虚拟化技术的计算机网络安全系统，其特征在于，所述在采集到各个二级评价指标的量化数据之后，所述网络安全评估方法还包括：

对采集到的各个二级评价指标的量化数据进行预设处理，以清除量纲影响。

9.如权利要求6所述基于虚拟化技术的计算机网络安全系统，其特征在于，所述网络安全评估方法还包括以下至少之一：

依据采集到的各个二级评价指标的量化数据，确定各个二级评价指标的网络安全情况；

依据计算得到的各个一级评价指标的量化数据，确定各个一级评价指标的网络安全情况；

依据计算得到的各个维度的安全态势总分，确定各个维度的网络安全情况；

依据计算得到的各个监测领域的安全态势总分，确定各个监测领域的网络安全情况。

Images