CN111147486A - 一种精细化安全防护系统和方法及其应用 - Google Patents
一种精细化安全防护系统和方法及其应用 Download PDFInfo
- Publication number
- CN111147486A CN111147486A CN201911360261.3A CN201911360261A CN111147486A CN 111147486 A CN111147486 A CN 111147486A CN 201911360261 A CN201911360261 A CN 201911360261A CN 111147486 A CN111147486 A CN 111147486A
- Authority
- CN
- China
- Prior art keywords
- application
- authentication
- refined
- module
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000001914 filtration Methods 0.000 claims abstract description 23
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 8
- 238000012545 processing Methods 0.000 claims description 12
- 238000007689 inspection Methods 0.000 claims description 10
- 239000013598 vector Substances 0.000 claims description 8
- 238000013475 authorization Methods 0.000 claims description 7
- 238000001514 detection method Methods 0.000 claims description 5
- 238000012706 support-vector machine Methods 0.000 claims description 4
- 238000003491 array Methods 0.000 claims description 3
- 238000005070 sampling Methods 0.000 claims description 3
- 230000003595 spectral effect Effects 0.000 claims description 3
- 238000007670 refining Methods 0.000 claims 3
- 238000005516 engineering process Methods 0.000 abstract description 6
- 238000012795 verification Methods 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 19
- 238000004458 analytical method Methods 0.000 description 10
- 230000002829 reductive effect Effects 0.000 description 6
- 230000004044 response Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011217 control strategy Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 241000283086 Equidae Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000005764 inhibitory process Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种精细化安全防护系统和方法及其应用,该系统包括:协议引擎与应用过滤模块、WEB认证和域控制认证模块、统计报表和策略管理模块。本发明通过智能应用识别技术,能够高速、准确地识别出通过动态端口或者智能隧道中使用的真正应用;能够免打扰的实现身份识别,增强用户接入验证的灵活性、安全性和准确性;采用内网应用资产风险识别方法,通过制定策略,发现内网易受攻击资产并进行风险提前评估和预警,实现双向安全和双向保障。
Description
技术领域
本发明涉及网络安全技术领域,更具体地说,涉及一种基于Web应用识别的精细化安全防护系统和方法及其应用。
背景技术
目前,业内常用的现有技术是这样的:现有电网防火墙只能对网络流量进行静态的、基于端口或协议的过滤,而对目前大量应用端口复用的情况(比如80端口已不再专属HTTP,而是可被P2P使用)束手无策,更无法实现精确管控,比如,允许访问80端口的策略很可能会让P2P通过,甚至让黑客程序借此漏洞发动网络攻击,如果直接禁止80端口则会殃及Web应用,导致正常的网页访问无法进行。同样,流量控制和管理也到了对应用种类进行细分的管理粒度,传统的基于端口的粗放型流量管理不仅会“误伤”应该保证的良性应用,更可能会“助长”不良应用的入侵。
现有防火墙通过IP地址对各安全区域进行访问控制,对威胁和应用来源进行跟踪审计的做法也存在隐患,除了固定的IP接入方案,随着无线设备的飞速发展,电网内部移动设备快速增多。在多网多终端接入环境下,IP地址分配具有极强的随机性和不唯一性,IP地址本身对用户身份信息的传递已经越来越不具有代表性,因此,传统的通过IP地址来进行用户访问控制已不再完全有效。
现有防火墙目前基于UTM架构,在架构上,UTM设备只是将各个安全模块串在一起,各模块间彼此分离,虽比单一防火墙提供了更全面的安全防护能力,但其性能却始终存在问题。例如对数据包的重复解码会导致性能随着模块的逐个开启而大幅递减。
同时现有技术中以IP和端口来辨别应用的传统管控已失效;大量应用可以占用知名端口,或直接承载在标准协议中;同一应用,通信端口和协议会动态跳变;需要通过网络应用进行有效的识别和管控的手段。
移动设备接入,无线网络接入,访问临时IP的使用促使网络边界越来越复杂和模糊;入网地址和身份的变换使传统边界设备捉襟见肘;如何有效应用身份识别从而精细化的执行接入控制,是急需解决的问题。
传统的WAF、IPS对内部攻击无能为力,而这些攻击的破坏性不亚于外部攻击。利用WEB应用漏洞,已成为0-day攻击、APT攻击的常用方式,造成的危害很大。如何通过异常web应用识别来定位内部资产风险,从而建立应用-身份-资产的管控策略也是一个新的课题。
传统UTM模式只是将各个安全模块类似“糖葫芦”串在一起。这种模式下,各模块间实际彼此分离,并重复对数据包解码,安全性能随着模块的逐个开启而逐级大幅递减。如何改变安全防护模式,从而提升安全防护效率也是一个新的挑战。
综上所述,现有技术存在的问题是:(1)网络复杂化使得网络管控艰难,基于传统IP及端口的网络管控已失效,现有安全防护模式处理性能低下,应用漏洞攻击使得防范困难。(2)数据包分析不准确且效率低。(3)复杂过滤器或应用特征码的串过长会影响实际分析中的效率。
发明内容
(一)要解决的技术问题
为解决现有技术存在的问题,本发明提供一种基于Web应用识别的精细化安全防护系统和方法及其应用。
(二)技术方案
为了达到上述目的,本发明采用的主要技术方案包括:
设计一种精细化安全防护系统,该系统包括:
协议引擎与应用过滤模块,用于进行协议处理、应用过滤、安全策略管理、流量管控、实时统计相关数据并生成历史报表;
WEB认证和域控制认证模块,通过支持IKE、IPSec G-G、IPSec G-C、PSK,证书认证支持、IPSec NAT穿越、SSL VPN WEB代理、SSL VPN L3VPN隧道、L2TP协议,用于对协议引擎与应用过滤模块生成的历史报表进行认证与授权;
统计报表和策略管理模块,用于统计协议引擎与应用过滤模块生成的历史报表以及进行策略管理。
在上述方案中,所述WEB认证和域控制认证模块通过证书,USB-key证书,RADIUS,本地认证,LDAP,SSL资源授权方式进行认证与授权。
在上述方案中,所述统计报表和策略管理模块包括统计报表模块和策略管理模块,其中,统计报表模块,用于按照用户信息输出应用统计,按用户记录网络访问事件,根据用户名生成统计报表;策略管理模块,用于管理Local,Radius,LDAP,AD相关认证策略,进行AD域自动同步,单点登录以及按用户信息做相应策略放行。
本发明还提供一种精细化安全防护方法,应用上述精细化安全防护系统,该方法包括以下步骤:
步骤S101,进行协议处理及应用过滤;
步骤S102,从域控服务器实时获取身份账号与IP地址的对应关系,在未部署域控服务器的环境中,通过Web认证页面进行身份识别,并建立应用特征库;
步骤S103,采用内网应用资产风险识别方法,通过制定策略,进行内网易受攻击资产并进行风险提前评估和预警;
步骤S104,形成精细化的安全防护策略,依据应用、人、设备的关系,通过定制防护措施,实现基于Web应用识别的精细化安全防护。
优选地,在所述步骤S101中,通过智能应用识别技术,利用应用深度包检测、双向流检测、会话关联检测动态分析网络报文中包含的协议特征,确认所用协议;并将所用协议利用协议引擎进行分析处理,准确识别通过动态端口或者智能隧道中使用的真正应用,进行应用过滤。
优选地,在所述步骤S102中,通过Web认证页面进行身份识别,具体包括以下步骤:管理员指定认证策略,并于策略中指定认证方式,进行身份识别与认证。
优选地,在所述步骤S103中,内网应用资产风险识别方法具体包括以下步骤:
步骤S103-1,域控服务器完成对身份账号信号和IP地址信号的采集,采集到的身份账号信号通过蓝牙发送到计算机,采集到的IP地址信号通过串口发送到计算机,由计算机进行处理;
步骤S103-2,对采集到的信号进行受攻击检测,并对正常信号进行剔除;
步骤S103-3,从分割出的受攻击信号中提取出一组能表现其特征的数据,提取出的特征作为下一步分类器的输入,提取的特征包括中值频率、标准差、均值;
步骤S103-4,在提取信号的有效特征向量后,对特征向量进行分类,形成分类器模型,用于对不同的受攻击程度进行区别;将提取到的受攻击信号的特征作为支持向量机分类器的输入,构造分类器模型,使用构造的分类器模型对受攻击状态进行分类识别。
进一步地,在所述步骤S103-1中,身份账号信号的采样率是200HZ,然后经蓝牙发送至电脑;在所述步骤S103-2中,将多个通道的身份账号数据和多个通道的IP地址数据分别存储在两个一维数组中,通过身份账号信号的幅值来提取受攻击信号;在所述步骤S103-3中,选择IP地址信号的均值X和标准差SD表示IP地址信号的特征,选择身份账号信号的中值频率MF和标准差SD表示身份账号信号的特征;根据公式(1)~公式(3)计算
SD和MF,
公式(1)~公式(3)中,Xi表示当前采集到的信号,PSD(x)为身份账号信号的功率谱密度。
本发明还提供一种实现上述精细化安全防护方法的信息数据处理终端。
本发明还提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行上述精细化安全防护方法。
(三)有益效果
本发明的优点及积极效果为:本发明采用多线程并发的方式分析提升效率;调用数通引擎进行数据包过滤,采用尽量精简的应用特征码,同时避免使用过于复杂的过滤器,尽量用过滤器的组合方式来进行数据包的安全过滤。
本发明基于协议分析引擎和数通引擎实现了对数据包的分析解码,结合本地域控制服务器的用户信息和应用特征库,实现了基于用户和应用的识别,并对目前常用的文件传输工具、远程访问、音视频应用等可能存在安全问题的应用建立了应用特征库。同时,本发明能够进行协议分析引擎、域控制服务器中用户信息与IP的读取、WEB认证(本地认证)、应用特征库(远程桌面、ssh、数据库等)、应用过滤器、反向安全识别、多线程并发分析架构、WEB呈现框架以及基本报表框架。
本发明能够实现防止网站入侵、进行Web服务器/插件漏洞防护、进行Web服务器/插件漏洞防护、进行Web通用防护(SQL注入/命令注入)、进行非法上传防护、进行严格的访问控制策略、进行网络层访问控制、进行URL访问控制:限制敏感路径的访问,对数据库文件、密码文件、管理员账户严格限制HTTP访问权限。同时,本发明也能够防止用户敏感信息通过Web途径泄露、限制非法下载,进行Webshell防护,进行敏感信息(信用卡、身份证号等)过滤以及暴力破解防护。
本发明在应用识别上,通过智能应用识别技术,通过动态分析网络报文中包含的协议特征,发现其所用协议,然后递交给相应的协议分析引擎进行处理,高速、准确地识别出通过动态端口或者智能隧道中使用的真正应用。在身份识别上,从域控服务器实时获取身份账号与IP地址的对应关系,从而免打扰的实现身份识别。在未部署域控服务器的环境中,通过Web认证页面来完成身份识别,支持管理员指定认证策略,并于策略中指定认证方式(包括本地认证、Radius、AD、LDAP等),增强了用户接入验证的灵活性、安全性和准确性。在应用漏洞识别上,采用内网应用资产风险识别技术,通过制定策略,发现内网易受攻击资产并进行风险提前评估和预警,双向安全,双向保障。既可以事中安全拦截,又作为事前风险防范。最后,形成一套精细化的安全防护策略和系统,依据应用-人-设备的关系,准确的定制防护措施,提升安全防护能力。
本发明通过内网应用资产风险识别,进行域控服务器完成对身份账号信号和IP地址信号的采集,采集到的身份账号信号通过蓝牙发送到计算机,采集到的IP地址信号通过串口发送到计算机;对采集到的信号进行受攻击检测,并对正常信号进行剔除;从分割出的受攻击信号中提取出一组能表现其特征的数据,并且聚类性较好;做到类间距离较大,即可分性较好;提取出的特征作为下一步分类器的输入,提取的特征包括中值频率、标准差、均值;在提取信号的有效特征向量后,对特征向量进行分类,形成分类器模型,用以对不同的受攻击程度进行区别;将提取到的受攻击信号的特征作为支持向量机分类器的输入,构造分类器模型,使用构造的分类器模型对受攻击状态进行分类识别。
在具体应用中,利用本发明开启蠕虫、挂马阻断,不仅防护能力大大增强,大大减少了误报率,杜绝了数据泄露的风险;同时缓解了网页篡改/网页挂马风险,降低了用户数据泄漏风险,减低了误报率。
附图说明
图1是本发明实施例提供的一种基于Web应用识别的精细化安全防护系统的结构示意图;
图2是本发明实施例提供的一种基于Web应用识别的精细化安全防护方法的流程图;
图3是本发明实施例提供的应用过滤示意图;
图4是本发明实施例提供的开启蠕虫、挂马阻断示意图。
图中:1-协议引擎与应用过滤模块;2-WEB认证和域控制认证模块;3-统计报表和策略管理模块。
具体实施方式
为了更好的解释本发明,以便于理解,下面结合附图,通过具体实施方式,对本发明作详细描述。
现有技术中,网络复杂化使得网络管控艰难;基于传统IP及端口的网络管控已失效;现有安全防护模式处理性能低下,应用漏洞攻击使得防范困难;数据包分析不准确且效率低;复杂过滤器或应用特征码的串过长会影响实际分析中的效率。为解决上述技术问题,本发明提供一种基于Web应用识别的精细化安全防护系统,如图1所示,该系统包括:
协议引擎与应用过滤模块1,用于进行协议处理、应用过滤、安全策略管理、流量管控、实时统计相关数据并生成历史报表。
WEB认证和域控制认证模块2,与协议引擎与应用过滤模块1连接,支持IKE、IPSecG-G、IPSec G-C、PSK,证书认证支持、IPSec NAT穿越、SSL VPN WEB代理、SSL VPN L3VPN隧道、L2TP协议,用于对于不同的安全区域采用不同的用户认证策略,结合第三方认证方式通过WEB认证进行认证与授权。WEB认证和域控制认证模块2可以通过证书,USB-key证书,RADIUS,本地认证,LDAP,SSL资源授权相关方式进行认证与授权。
统计报表和策略管理模块3,与协议引擎与应用过滤模块1连接,用于统计历史报表、进行策略管理。其中,统计报表模块按照用户信息输出应用统计,按用户记录网络访问事件,根据用户名生成统计报表;策略管理模块,管理Local、Radius、LDAP、AD相关认证策略,进行AD域自动同步,单点登录以及按用户信息做相应策略放行。
如图2和图3所示,本发明还提供一种基于Web应用识别的精细化安全防护方法,该方法具体包括以下步骤:
步骤S101,通过智能应用识别技术,基于应用深度包检测、双向流检测、会话关联检测动态分析网络报文中包含的协议特征,确认所用协议;并将所用协议利用协议引擎进行分析处理,准确识别通过动态端口或者智能隧道中使用的真正应用,进行应用过滤。
步骤S102,从域控服务器实时获取身份账号与IP地址的对应关系,在未部署域控服务器的环境中,通过Web认证页面,由管理员指定认证策略,并于策略中指定认证方式,进行身份识别与认证,并建立应用特征库。
步骤S103,采用内网应用资产风险识别技术,通过制定策略,明确内网易受攻击资产并进行风险提前评估和预警。
步骤S104,形成精细化的安全防护策略,依据应用-人-设备的关系,准确的定制防护措施,实现基于Web应用识别的精细化安全防护。
其中,在所述步骤S103中,内网应用资产风险识别方法具体包括以下步骤:
步骤S103-1,域控服务器完成对身份账号信号和IP地址信号的采集,采集到的身份账号信号通过蓝牙发送到计算机,采集到的IP地址信号通过串口发送到计算机,由计算机进行处理。其中,身份账号信号的采样率是200HZ。
步骤S103-2,对采集到的信号进行受攻击检测,并对正常信号进行剔除。其中,将多个通道的身份账号数据和多个通道的IP地址数据分别存储在两个一维数组中,通过身份账号信号的幅值来提取受攻击信号。
步骤S103-3,从分割出的受攻击信号中提取出一组能表现其特征的数据,并且聚类性较好;做到类间距离较大,即可分性较好;提取出的特征作为下一步分类器的输入,提取的特征包括中值频率、标准差、均值。在本发明实施例中,选择IP地址信号的均值
和标准差SD表示IP地址信号的特征,选择身份账号信号的中值频率MF和标准差SD表示身份账号信号的特征;根据公式(1)~公式(3)计算
SD和MF,
公式(1)~公式(3)中Xi表示当前采集到的信号,PSD(x)为身份账号信号的功率谱密度。
步骤S103-4,在提取信号的有效特征向量后,对特征向量进行分类,形成分类器模型,用于对不同的受攻击程度进行区别;将提取到的受攻击信号的特征作为支持向量机分类器的输入,构造分类器模型,使用构造的分类器模型对受攻击状态进行分类识别。
下面结合具体实施例对本发明作进一步说明。
实施例1:开启蠕虫、挂马阻断。
如图4所示,利用本发明开启蠕虫、挂马阻断,开启双向防护,系统对蠕虫病毒、网页挂马、SQL注入等防护能力大大增强,一方面大大减少了误报率,另一方面也杜绝了数据泄露的风险;缓解了网页篡改/网页挂马风险,降低了用户数据泄漏风险,减低了误报率。
实施例2:数据库防护。
网站数据安全防护,主要有三个方面需要考虑:一方面是要防止拖库攻击,拖库攻击就是指攻击者利用网站的漏洞对网站进行攻击,从而获取网站的数据库。一方面是撞库攻击,撞库攻击就是指黑客利用其它网站泄露的数据库中的账号密码,利用很多用户在多个网站的账号密码相同,进行批量尝试,最终得到网站注册用户的权限。一方面是敏感信息泄露防护,网站可能存在一些漏洞被人获取敏感信息。本发明的基于Web应用识别的精细化安全防护系统针对以上攻击均能起到较好的防护效果。
实施例3:依托平台的应急响应方案。
第一,紧急事件检测:检测防火墙日志、系统日志、Web服务器日志、Web精细化防护日志、可疑的用户、管理员报告;
第二,初始响应:初步判定事件类型、定义事件级别;准备相关资源;为紧急事件的处理取得管理方面的支持;组建事件处理小组;制定安全事件响应策略。
第三,事件分级:决定什么最重要;为紧急事件确定优先级,更有效的利用资源;不是每个紧急事件都需要平等对待。
本发明在应急响应方案的具体实施步骤如下:
调查:首先进行事件起因分析、事件取证追查、系统后门检查、漏洞分析、数据收集、数据分析,然后从日志中发现机房中一台办公主机有嫌网站托疑;
抑制、消除和恢复:首先恢复系统正常,确认系统是否已经完全恢复正常,修补系统漏洞,安全性增强,部署安全措施,设置过滤策略,然后及时对此办公用主机进行调查,发现线索。
追踪:首先提交事件处理报告,根据情况查找事件来源,然后教育:完善应急处理知识库、流程和规范、教育、培训,传播经验,最后经过追踪,托管机房,找出“僵尸网络(BotNet)”,找到元凶,发现更多隐藏的BotNet。
在上述实施例中,本发明可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现,所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,例如软盘、硬盘、磁带,或者光介质,例如DVD,或者半导体介质,例如固态硬盘SolidState Disk(SSD)等。
附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (10)
1.一种精细化安全防护系统,其特征在于,该系统包括:
协议引擎与应用过滤模块,用于进行协议处理、应用过滤、安全策略管理、流量管控、实时统计相关数据并生成历史报表;
WEB认证和域控制认证模块,通过支持IKE、IPSec G-G、IPSec G-C、PSK,证书认证支持、IPSec NAT穿越、SSL VPN WEB代理、SSL VPN L3VPN隧道、L2TP协议,用于对协议引擎与应用过滤模块生成的历史报表进行认证与授权;
统计报表和策略管理模块,用于统计协议引擎与应用过滤模块生成的历史报表以及进行策略管理。
2.如权利要求1所述的一种精细化安全防护系统,其特征在于,所述WEB认证和域控制认证模块通过证书,USB-key证书,RADIUS,本地认证,LDAP,SSL资源授权方式进行认证与授权。
3.如权利要求1所述的一种精细化安全防护系统,其特征在于,所述统计报表和策略管理模块包括统计报表模块和策略管理模块,其中,
统计报表模块,用于按照用户信息输出应用统计,按用户记录网络访问事件,根据用户名生成统计报表;
策略管理模块,用于管理Local,Radius,LDAP,AD相关认证策略,进行AD域自动同步,单点登录以及按用户信息做相应策略放行。
4.一种精细化安全防护方法,其特征在于,应用如权利要求1~3任意一项所述的精细化安全防护系统,该方法包括以下步骤:
步骤S101,进行协议处理及应用过滤;
步骤S102,从域控服务器实时获取身份账号与IP地址的对应关系,在未部署域控服务器的环境中,通过Web认证页面进行身份识别,并建立应用特征库;
步骤S103,采用内网应用资产风险识别方法,通过制定策略,进行内网易受攻击资产并进行风险提前评估和预警;
步骤S104,形成精细化的安全防护策略,依据应用、人、设备的关系,通过定制防护措施,实现基于Web应用识别的精细化安全防护。
5.如权利要求4所述的一种精细化安全防护方法,其特征在于,在所述步骤S101中,通过智能应用识别技术,利用应用深度包检测、双向流检测、会话关联检测动态分析网络报文中包含的协议特征,确认所用协议;并将所用协议利用协议引擎进行分析处理,准确识别通过动态端口或者智能隧道中使用的真正应用,进行应用过滤。
6.如权利要求4所述的一种精细化安全防护方法,其特征在于,在所述步骤S102中,通过Web认证页面进行身份识别,具体包括以下步骤:管理员指定认证策略,并于策略中指定认证方式,进行身份识别与认证。
7.如权利要求4所述的一种精细化安全防护方法,其特征在于,在所述步骤S103中,内网应用资产风险识别方法具体包括以下步骤:
步骤S103-1,域控服务器完成对身份账号信号和IP地址信号的采集,采集到的身份账号信号通过蓝牙发送到计算机,采集到的IP地址信号通过串口发送到计算机,由计算机进行处理;
步骤S103-2,对采集到的信号进行受攻击检测,并对正常信号进行剔除;
步骤S103-3,从分割出的受攻击信号中提取出一组能表现其特征的数据,提取出的特征作为下一步分类器的输入,提取的特征包括中值频率、标准差、均值;
步骤S103-4,在提取信号的有效特征向量后,对特征向量进行分类,形成分类器模型,用于对不同的受攻击程度进行区别;将提取到的受攻击信号的特征作为支持向量机分类器的输入,构造分类器模型,使用构造的分类器模型对受攻击状态进行分类识别。
8.如权利要求7所述的一种精细化安全防护方法,其特征在于,
在所述步骤S103-1中,身份账号信号的采样率是200HZ,然后经蓝牙发送至电脑;
在所述步骤S103-2中,将多个通道的身份账号数据和多个通道的IP地址数据分别存储在两个一维数组中,通过身份账号信号的幅值来提取受攻击信号;
在所述步骤S103-3中,选择IP地址信号的均值
和标准差SD表示IP地址信号的特征,选择身份账号信号的中值频率MF和标准差SD表示身份账号信号的特征;根据公式(1)~公式(3)计算
SD和MF,
公式(1)~公式(3)中,Xi表示当前采集到的信号,PSD(x)为身份账号信号的功率谱密度。
9.一种实现权利要求4~8任意一项所述精细化安全防护方法的信息数据处理终端。
10.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求4~8任意一项所述的精细化安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911360261.3A CN111147486B (zh) | 2019-12-25 | 2019-12-25 | 一种精细化安全防护系统和方法及其应用 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911360261.3A CN111147486B (zh) | 2019-12-25 | 2019-12-25 | 一种精细化安全防护系统和方法及其应用 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111147486A true CN111147486A (zh) | 2020-05-12 |
| CN111147486B CN111147486B (zh) | 2022-06-07 |
Family
ID=70520209
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911360261.3A Expired - Fee Related CN111147486B (zh) | 2019-12-25 | 2019-12-25 | 一种精细化安全防护系统和方法及其应用 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111147486B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113904800A (zh) * | 2021-09-02 | 2022-01-07 | 成都仁达至信科技有限公司 | 内部网络风险资产侦测分析系统 |
| CN114745166A (zh) * | 2022-03-29 | 2022-07-12 | 烽台科技(北京)有限公司 | 工业资产风险感知方法、装置及电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741745A (zh) * | 2009-12-29 | 2010-06-16 | 苏州融通科技有限公司 | 识别对等网络应用流量的方法及其系统 |
| CN109871683A (zh) * | 2019-01-24 | 2019-06-11 | 深圳昂楷科技有限公司 | 一种数据库防护系统及方法 |
-
2019
- 2019-12-25 CN CN201911360261.3A patent/CN111147486B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741745A (zh) * | 2009-12-29 | 2010-06-16 | 苏州融通科技有限公司 | 识别对等网络应用流量的方法及其系统 |
| CN109871683A (zh) * | 2019-01-24 | 2019-06-11 | 深圳昂楷科技有限公司 | 一种数据库防护系统及方法 |
Non-Patent Citations (8)
| Title |
|---|
| SUNG-HOON LEE 等: ""Appwrapping Providing Fine-Grained Security Policy Enforcement Per Method Unit in Android"", 《2017 IEEE INTERNATIONAL SYMPOSIUM ON SOFTWARE RELIABILITY ENGINEERING WORKSHOPS (ISSREW)》 * |
| 刘建波等: "论用分布式防火墙构造网络安全体系", 《教育现代化》 * |
| 吕维新: "网络准入系统在供电局终端安全管理中的应用", 《电力信息化》 * |
| 宋维龙: "数字图书馆网络入侵检测策略研究", 《数字与缩微影像》 * |
| 张宏斌等: "工控网络安全检测与防护体系研究", 《信息技术与网络安全》 * |
| 王振铎等: "互联网+环境下内部威胁实时检测与防护中间件模型", 《计算机与应用化学》 * |
| 肖云等: "基于网络安全知识库的入侵检测模型", 《计算机应用研究》 * |
| 薛利军等: "基于模式匹配的Windows主机入侵检测系统研究", 《辽宁工程技术大学学报》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113904800A (zh) * | 2021-09-02 | 2022-01-07 | 成都仁达至信科技有限公司 | 内部网络风险资产侦测分析系统 |
| CN113904800B (zh) * | 2021-09-02 | 2024-01-26 | 成都仁达至信科技有限公司 | 内部网络风险资产侦测分析系统 |
| CN114745166A (zh) * | 2022-03-29 | 2022-07-12 | 烽台科技(北京)有限公司 | 工业资产风险感知方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111147486B (zh) | 2022-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220210173A1 (en) | Contextual zero trust network access (ztna) based on dynamic security posture insights | |
| CN107872456A (zh) | 网络入侵防御方法、装置、系统及计算机可读存储介质 | |
| US10341350B2 (en) | Actively identifying and neutralizing network hot spots | |
| Mualfah et al. | Network forensics for detecting flooding attack on web server | |
| Innab et al. | Hybrid system between anomaly based detection system and honeypot to detect zero day attack | |
| Park et al. | Network log-based SSH brute-force attack detection model. | |
| JP2008508805A (ja) | 電子トラフィックを特徴づけ、管理するシステムおよび方法 | |
| Ndichu et al. | A remote access security model based on vulnerability management | |
| CN111147486B (zh) | 一种精细化安全防护系统和方法及其应用 | |
| Saputra et al. | Network forensics analysis of man in the middle attack using live forensics method | |
| Souley et al. | A captcha–based intrusion detection model | |
| Basholli et al. | Possibility of protection against unauthorized interference in telecommunication systems | |
| Ramakrishnan et al. | Pandora: An IOT Based Intrusion Detection Honeypot with Real-time Monitoring | |
| Farook et al. | Implementation of Intrusion Detection Systems for High Performance Computing Environment Applications | |
| CN116723048A (zh) | 一种局域网内的通信系统及方法 | |
| Nasution et al. | Analysis and implementation of honeyd as a low-interaction honeypot in enhancing security systems | |
| Kandan et al. | Network attacks and prevention techniques-a study | |
| Volarević et al. | Network forensics | |
| Jakić | The overview of intrusion detection system methods and techniques | |
| Asokan et al. | A Case Study Using National e-Government Portals to Investigate the Deployment of the Nmap Tool for Network Vulnerability Assessment | |
| Sitorus et al. | Nunukan State Court's Computer Network Security Improvement Using Centralized Next-Generation Firewall | |
| Jayasekara | Security operations & incident management: Case study analysis | |
| Singh et al. | A review on intrusion detection system | |
| Agrawal et al. | Proposed multi-layers intrusion detection system (MLIDS) model | |
| Jeganathan et al. | Secure the cloud computing environment from attackers using intrusion detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20220607 |