CN111416724A - 一种服务器入侵检测报警设计方法 - Google Patents

一种服务器入侵检测报警设计方法 Download PDF

Info

Publication number
CN111416724A
CN111416724A CN201910010998.6A CN201910010998A CN111416724A CN 111416724 A CN111416724 A CN 111416724A CN 201910010998 A CN201910010998 A CN 201910010998A CN 111416724 A CN111416724 A CN 111416724A
Authority
CN
China
Prior art keywords
server
client
information
processing module
intrusion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910010998.6A
Other languages
English (en)
Inventor
吴江红
陈少波
李科学
赵勇翔
苏静
梁倩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianjin University of Science and Technology
Original Assignee
Tianjin University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianjin University of Science and Technology filed Critical Tianjin University of Science and Technology
Priority to CN201910010998.6A priority Critical patent/CN111416724A/zh
Publication of CN111416724A publication Critical patent/CN111416724A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Alarm Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明涉及一种服务器入侵检测报警系统及其检测报警方法,用以实现服务器的入侵报警,辅助服务器管理员对服务器安全策略的完善,提高信息安全性能。本发明提供的服务器入侵检测报警系统包括:位于客户服务器的检测处理模块,用于收集服务器的的操作行为信息;位于该套系统的中心服务器的逻辑处理模块,用于处理各个客户服务器所发过来的操作行为信息,通过中心服务器处理结果向服务器管理员发送具体的入侵信息,并直接向客户服务器发送反馈信息让客户服务器立即进行防御;位于客户端的手机和网站应用程序,服务器管理员通过登录手机应用程序或该系统网站获取详细服务器操作行为信息以做出更有效的防御策略。

Description

一种服务器入侵检测报警设计方法
技术领域
本发明属于互联网安全领域,是一种服务器入侵检测报警设计方法。
背景技术
在因特网上,存在很多提供计算服务的服务器。这些服务器会随着服务的用户数量增加而累积大量的数据信息,使得服务器的信息安全问题极为重要。现有的技术中,一般通过建立防火墙对通过的数据进行检测过滤能够有效的达到防御攻击、拦截入侵的效果。但这样也无法完全的免疫层出不穷的入侵和攻击手段。
现在存在的主要问题是,当服务器遭受入侵和攻击后服务器管理员无法得到及时准确的报警信息以对服务器的安全防御措施进行完善,比如服务器现有防火墙出现某一新型漏洞,黑客利用该漏洞来盗取服务器的数据,当服务器管理员发现该漏洞时大量的数据已经被盗走。
发明内容
本发明实施例提供了一种服务器入侵检测报警系统及其检测报警方法,用以实现服务器的入侵报警,辅助服务器管理员对服务器安全策略的完善,提高信息安全性能。
本发明实施例提供的服务器入侵检测报警系统包括:
位于客户服务器的检测处理模块,用于收集服务器的敏感的操作行为信息,并将收集到的信息传输至中心服务器,根据中心服务器处理的反馈结果对被判定为危险的入侵操作行为进行紧急防御;
位于该套系统的中心服务器的逻辑处理模块,用于处理各个客户服务器所发过来的操作行为信息,通过中心服务器所设定的判定规则对判定后不同级别的操作行为通过邮件或者短信向服务器管理员发送具体的入侵信息,直接向客户服务器发送被判定为危险入侵操作行为的反馈信息,让客户服务器立即进行防御,并提供用户接口让客户端程序访问;
位于客户端的手机和网站应用程序,服务器管理员通过登录手机应用程序或该系统网站获取详细服务器操作行为信息以做出更有效的防御策略。
本发明实施例提供的服务器入侵检测报警系统的检测报警方法包括:
通过在客户服务器端安装检测处理模块,向用户提供命令行界面,根据用户的注册和授权,收集服务器操作信息,并发送至中心服务器;
通过使用在客户服务器注册的信息登录手机应用程序或该系统网站获取更具体的信;
通过在客户服务器填写的邮件地址和短信号码,系统会及时发送报警信息给用户,帮助用户能够及时准确的对服务器进行安全防御。
本发明实施例,位于客户服务器的检测处理模块,向用户提供命令行界面,根据用户授权许可将服务器操作信息发送至位于中心服务器逻辑处理模块,中心服务器逻辑处理模块根据处理结果向客户服务器反馈危险入侵信息,向用户发送入侵报警,并允许用户登录查看更为全面和详细的检测信息。从而达到实时报警的效果,使得用户能够及时、准确、高效的进行安全防御,从而减小了数据被窃取或破坏所带来的损失。
附图说明
图1为本发明系统整体流程图;
图2为本发明处理模块结构示意图;
图3为本发明逻辑处理模块的结构示意图;
图4为本发明应用程序结构示意图。
具体实施方式
本发明实施例提供了一种服务器入侵检测报警系统及其检测报警方法,用以实现服务器的入侵报警,辅助服务器管理员对服务器安全策略的完善,提高信息安全性能。
本发明实施例提供的一种服务器入侵检测报警系统,采用分布式组件架构,即采用客户端/服务器端(C/S)架构设计,使得服务器可同时支持多用户进行并发服务。
下面结合附图对本发明实施例提供的技术方案进行说明。
参见图1,本发明实施例提供的服务器入侵检测报警系统包括:
位于客户服务器的检测处理模块,用于收集服务器的敏感的操作行为信息,并将收集到的信息传输至中心服务器,根据中心服务器处理的反馈结果对被判定为危险的入侵操作行为进行紧急防御;
位于该套系统的中心服务器的逻辑处理模块,用于处理各个客户服务器所发过来的操作行为信息,通过中心服务器所设定的判定规则对判定后不同级别的操作行为通过邮件或者短信向服务器管理员发送具体的入侵信息,直接向客户服务器发送被判定为危险入侵操作行为的反馈信息,让客户服务器立即进行防御,并提供用户接口让客户端程序访问;
位于客户端的手机和网站应用程序,服务器管理员通过登录手机应用程序或该系统网站获取详细服务器操作行为信息以做出更有效的防御策略。
三大模块通过中心服务器集中式处理连接成一体,支持高并发多用户分布式的请求响应。
参见图2,本发明实例提供的客户服务器检测处理模块包括:
Linux服务器提供的接口和检测工具调用模块,通过利用Linux服务器提供的接口和一些检测工具对服务器进行监测,如检测服务器的内存、cpu、异常活动的进程,利用如nmap 端口扫描工具对检测各开放端口所使用的服务,对于传回的的信息,例如某IP地址多次尝试登陆服务器失败,可管理服务器将该IP地址添加至hosts.deny文件中,以达到禁止该IP地址登陆目的;
数据交互模块,将Linux服务器提供的接口和检测工具调用模块传输过来的数据进行轻度过滤和格式化处理,将格式化处理后的数据项中心服务器发送,在反馈信息传回时通知服务器根据反馈信息进行管理。
参见图3,位于该套系统的中心服务器的逻辑处理模块包括逻辑处理模块,首先对服务器发送过来的数据过滤简化,再分别存入交由逻辑处理模块和数据库存入,逻辑模块可根据判定结果通知报警模块发送报警信息,如某系统重要配置文件被写入一条未知记录,逻辑处理模块立即通知报警模块,并将必要的信息传入,报警发送至用户时,用户便可获得准确的入侵信息,过滤后的数据还要分类后存入数据库,以供用户查询,以供其制定更好的安全策略。
参见图4,位于客户端的手机和网站应用程序包括数据显示和报警控制部分,数据显示部分通过中心服务器提供的接口,将各类检测信息如开放的端口、被修改的配置文件等显示至客户端图形界面,用户可直观的查看到详细的服务器信息,并且可以通过界面上的按钮调用报警控制接口,调节发送报警的级别,如果用户希望获得跟安全的报警级别。可允许一些较低安全级别的操作行为如异地登陆也发送报警信息。

Claims (5)

1.一种服务器入侵检测报警设计方法,其特征在于,该系统包括:
位于客户服务器的检测处理模块,用于收集服务器的敏感的操作行为信息,并将收集到的信息传输至中心服务器,根据中心服务器处理的反馈结果对被判定为危险的入侵操作行为进行紧急防御;
位于该套系统的中心服务器的逻辑处理模块,用于处理各个客户服务器所发过来的操作行为信息,通过中心服务器所设定的判定规则对判定后不同级别的操作行为通过邮件或者短信向服务器管理员发送具体的入侵信息,直接向客户服务器发送被判定为危险入侵操作行为的反馈信息,让客户服务器立即进行防御,并提供用户接口让客户端程序访问;
位于客户端的手机和网站应用程序,服务器管理员通过登录手机应用程序或该系统网站获取详细服务器操作行为信息以做出更有效的防御策略。
2.根据权利要求1所述系统,其特征在于,所述客户服务器的检测处理模块包括:
Linux服务器提供的接口和检测工具调用模块,用户对客户服务器操作信息收集和管理,通过数据交互模块发送至中心服务器,并根据中心服务器反馈结果对服务器进行管理;
数据交互模块,用于服务器内部与外部桥接,将服务器需要发送的操作信息发送出去,以及接收外部发送过来的数据。
3.根据权利要求1所述系统,其特征在于,所述中心服务器逻辑处理模块包括:
数据过滤模块,将客户服务器发送过来的数据进行清洗过滤后存库,向外开放API供客户端调用;
逻辑处理模块,将客户端发送过来的数据进行逻辑处理,将处理后结果向客户服务器发送反馈信息,或向用户发送报警信息。
4.根据权利要求2所述系统,其特征在于,所述的Linux服务器提供的接口和检测工具调用模块通过服务器自身提供的接口和外部检测工具对服务器的资源、接口、异常和操作行为的监控。
5.根据权利要求3所述系统,其特征在于,所诉的逻辑处理模块通过参考现实情况而设定的判定标准,处理客户端发送过来的数据处理后发送反馈和报警。
CN201910010998.6A 2019-01-04 2019-01-04 一种服务器入侵检测报警设计方法 Pending CN111416724A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910010998.6A CN111416724A (zh) 2019-01-04 2019-01-04 一种服务器入侵检测报警设计方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910010998.6A CN111416724A (zh) 2019-01-04 2019-01-04 一种服务器入侵检测报警设计方法

Publications (1)

Publication Number Publication Date
CN111416724A true CN111416724A (zh) 2020-07-14

Family

ID=71494138

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910010998.6A Pending CN111416724A (zh) 2019-01-04 2019-01-04 一种服务器入侵检测报警设计方法

Country Status (1)

Country Link
CN (1) CN111416724A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1744524A (zh) * 2005-09-02 2006-03-08 杭州华为三康技术有限公司 入侵检测装置和入侵检测系统
CN102638617A (zh) * 2012-03-30 2012-08-15 中国科学技术大学苏州研究院 用于安卓手机的基于入侵检测的主动响应系统
CN106993005A (zh) * 2017-06-14 2017-07-28 广东电力发展股份有限公司沙角A电厂 一种网络服务器的预警方法及系统
CN108683685A (zh) * 2018-06-19 2018-10-19 三江学院 一种针对xss攻击的云安全cdn系统及监测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1744524A (zh) * 2005-09-02 2006-03-08 杭州华为三康技术有限公司 入侵检测装置和入侵检测系统
CN102638617A (zh) * 2012-03-30 2012-08-15 中国科学技术大学苏州研究院 用于安卓手机的基于入侵检测的主动响应系统
CN106993005A (zh) * 2017-06-14 2017-07-28 广东电力发展股份有限公司沙角A电厂 一种网络服务器的预警方法及系统
CN108683685A (zh) * 2018-06-19 2018-10-19 三江学院 一种针对xss攻击的云安全cdn系统及监测方法

Similar Documents

Publication Publication Date Title
CA2968201C (en) Systems and methods for malicious code detection
CN104144063B (zh) 基于日志分析和防火墙安全矩阵的网站安全监控报警系统
US20100325685A1 (en) Security Integration System and Device
US20220210168A1 (en) Facilitating identification of compromised devices by network access control (nac) or unified threat management (utm) security services by leveraging context from an endpoint detection and response (edr) agent
SE524963C2 (sv) Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering
US20220166783A1 (en) Enabling enhanced network security operation by leveraging context from multiple security agents
CN105227559A (zh) 一种积极的自动检测http攻击的信息安全管理框架
US20240114060A1 (en) Remote monitoring of a security operations center (soc)
CN114826880A (zh) 一种数据安全运行在线监测的方法及系统
Caesarano et al. Network forensics for detecting SQL injection attacks using NIST method
CN114339767B (zh) 一种信令检测方法、装置、电子设备及存储介质
CN115941317A (zh) 一种网络安全综合分析及态势感知平台
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
CN113518067A (zh) 一种基于原始报文的安全分析方法
KR100607110B1 (ko) 종합 보안 상황 관리 시스템
KR101343693B1 (ko) 네트워크 보안시스템 및 그 처리방법
CN113206852B (zh) 一种安全防护方法、装置、设备及存储介质
CN111416724A (zh) 一种服务器入侵检测报警设计方法
CN109218315A (zh) 一种安全管理方法和安全管理装置
CA3122328A1 (en) A system for, and a method of creating cybersecurity situational awareness, threat detection and risk detection within the internet-of-things space
JP2020161017A (ja) セキュリティインシデント可視化システム
CN111988333B (zh) 一种代理软件工作异常检测方法、装置及介质
JP2018174444A (ja) インシデント通知装置およびインシデント通知プログラム
CN118214607B (zh) 基于大数据的安全评价管理方法、系统、设备及存储介质
US8341748B2 (en) Method and system to detect breaks in a border of a computer network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20200714

WD01 Invention patent application deemed withdrawn after publication