CN111695118A - 一种网络威胁识别系统 - Google Patents
一种网络威胁识别系统 Download PDFInfo
- Publication number
- CN111695118A CN111695118A CN202010554365.4A CN202010554365A CN111695118A CN 111695118 A CN111695118 A CN 111695118A CN 202010554365 A CN202010554365 A CN 202010554365A CN 111695118 A CN111695118 A CN 111695118A
- Authority
- CN
- China
- Prior art keywords
- threat
- data
- detection
- host
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 claims abstract description 71
- 230000002159 abnormal effect Effects 0.000 claims abstract description 31
- 238000000034 method Methods 0.000 claims abstract description 8
- 238000007726 management method Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 4
- 238000012550 audit Methods 0.000 claims description 3
- 238000004140 cleaning Methods 0.000 claims description 3
- 238000013480 data collection Methods 0.000 claims 4
- 241000700605 Viruses Species 0.000 abstract description 20
- 230000006855 networking Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络威胁识别系统,属于网络安全技术领域,包括数据采集子系统,通过布置各个采集节点,采集网络中的异常数据,其采集的数据包括实时流量异常数据和主机日志异常数据;威胁检测子系统,接收所述数据采集子系统发送的异常数据进行威胁检测,所述威胁检测子系统包括:实时流量威胁检测,用于对实时流量中的异常数据进行检测,并将检测结果发送给计算机;主机威胁检测,用于对主机日志中的异常数据进行检测,并将检测结果发送给计算机。通过对网络实时流量和主机日志异常数据进行威胁识别,不仅可有效地防止互联网终端设备在联网时被流量携带的病毒威胁,还可以防止主机日志中的病毒攻击到该终端设备,防护更全面。
Description
技术领域
本发明属于网络安全技术领域,特别涉及一种网络威胁识别系统。
背景技术
计算机网络的飞速发展大大改变了人们的生活方式,人类进入了信息时代。通过计算机网络人们可以方便地存储、交换及搜索信息,给工作、生活、娱乐带来了极大的方便。然而因为计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,由此使得网络安全问题日渐突出而且情况也越来越复杂。
传统的网络安全防护一般只能在主机设备下载或者通过U盘保存文件时,检测到该文件是否存在病毒威胁,但是这种类型的病毒威胁已经入侵到主机系统中,很容易因为杀毒软件的杀毒不彻底,导致病毒依旧跟随主机系统,从而影响主机使用的安全性。
发明内容
本发明的目的就在于为了解决上述网络安全防护单一,很容易导致病毒残留的问题提出一种网络威胁识别系统,具有在网络数据交换过程中进行病毒威胁识别,与主机日志病毒识别相结合,防护更全面,效果更佳的优点。
本发明通过以下技术方案来实现上述目的,一种网络威胁识别系统,包括:
数据采集子系统,通过布置各个采集节点,采集网络中的异常数据,其采集的数据包括实时流量异常数据和主机日志异常数据;
威胁检测子系统,接收所述数据采集子系统发送的异常数据进行威胁检测,所述威胁检测子系统包括:
实时流量威胁检测,用于对实时流量中的异常数据进行检测,并将检测结果发送给计算机;
主机威胁检测,用于对主机日志中的异常数据进行检测,并将检测结果发送给计算机。
优选的,所述实时流量威胁检测包括事件生成器、事件队列生成器、事件响应器和威胁状态记录器,其中事件响应器连接流量威胁模式库,通过对比流量威胁模式库与流量异常数据,标记出相似的威胁数据并转发给威胁状态记录器进行记录,威胁状态记录器再将记录的威胁数据发送给计算机。
优选的,所述实时流量威胁检测还包括事件数据库、事件队列数据库和威胁状态表数据库,事件数据库用于保存事件生成器生成的事件数据,事件队列数据库保存事件队列生成器和事件响应器生成的事件队列数据,威胁状态表数据库将威胁状态记录器记录的威胁数据以报表形式存储。
优选的,所述流量威胁模式库连接威胁模式加载器,用于加载不同中类的威胁模式。
优选的,所述主机威胁检测包括主机威胁模式库和入侵检测器,入侵检测器将采集到的系统日志数据和审计记录数据与主机威胁模式库中保存的威胁模式进行对比,从而检测出数据中包含的威胁数据,并将检测结果发送给计算机。
优选的,所述主机威胁检测还包括应急措施,用于连接被检测主机系统,应急措施通过入侵检测器发出的威胁报警信号对主机系统进行清理操作。
优选的,所述数据采集子系统包括数据采集卡,数据采集卡与代理程序和传感器连接,实时流量和主机日志数据,且采集方式分为集中式采集和分布式采集。
优选的,所述威胁检测子系统还包括检测部署模块,该模块包括时间部署,用于部署检测的时间,其中包括检测时间管理、间隔粒度管理和检测响应管理。
与现有技术相比,本发明的有益效果是:
通过对网络实时流量和主机日志异常数据进行威胁识别,不仅可有效地防止互联网终端设备在联网时被流量携带的病毒威胁,还可以防止主机日志中的病毒攻击到该终端设备,通过两种检测模式可以提高网络安全防护的全面性。
附图说明
图1为本发明的整体系统结构示意图。
图2为本发明的实时流量威胁检测组成模块示意图。
图3为本发明的主机威胁检测组成模块示意图。
图4为本发明的数据采集子系统组成模块示意图。
图5为本发明的检测部署模块功能模块示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,一种网络威胁识别系统,包括:数据采集子系统,通过布置各个采集节点,采集网络中的异常数据,其采集的数据包括实时流量异常数据和主机日志异常数据;威胁检测子系统,接收所述数据采集子系统发送的异常数据进行威胁检测,所述威胁检测子系统包括:实时流量威胁检测,用于对实时流量中的异常数据进行检测,并将检测结果发送给计算机;主机威胁检测,用于对主机日志中的异常数据进行检测,并将检测结果发送给计算机。通过实时流量威胁检测来识别主机设备进行网络数据交换过程中产生的病毒威胁,通过主机威胁检测对主机设备日志中的数据进行病毒威胁识别,二者结合可以有效地防止主机设备在数据交换过程中以及过程后不被病毒攻击,从根本上解决网络安全问题。
如图2所示,所述实时流量威胁检测包括事件生成器、事件队列生成器、事件响应器和威胁状态记录器,其中事件响应器连接流量威胁模式库,通过对比流量威胁模式库与流量异常数据,标记出相似的威胁数据并转发给威胁状态记录器进行记录,威胁状态记录器再将记录的威胁数据发送给计算机。事件生成器用来生产网络流量识别事件,通过事件队列生成器根据流量传输顺序进行检测顺序排列,事件响应器依次对获取的异常数据进行对比,从而保证被检测数据不会遗漏,事件响应器识别病毒威胁的方式如下:先获取异常数据,并将异常数据放入流量威胁模式库中进行比对,找出流量数据中包含的与模式库中相同的威胁模式,并对其进行标记,最后发送给威胁状态记录器,再由威胁状态记录器进行记录和清除,最终结果上传给计算机。
所述实时流量威胁检测还包括事件数据库、事件队列数据库和威胁状态表数据库,事件数据库用于保存事件生成器生成的事件数据,事件队列数据库保存事件队列生成器和事件响应器生成的事件队列数据,威胁状态表数据库将威胁状态记录器记录的威胁数据以报表形式存储。
所述流量威胁模式库连接威胁模式加载器,用于加载不同中类的威胁模式,通过威胁模式加载器可以保证流量威胁模式库中的威胁模式持续更新,保存多种类病毒威胁模式。
如图3所示,所述主机威胁检测包括主机威胁模式库和入侵检测器,入侵检测器将采集到的系统日志数据和审计记录数据与主机威胁模式库中保存的威胁模式进行对比,从而检测出数据中包含的威胁数据,并将检测结果发送给计算机。所述主机威胁检测还包括应急措施,用于连接被检测主机系统,应急措施通过入侵检测器发出的威胁报警信号对主机系统进行清理操作。
如图4所示,所述数据采集子系统包括数据采集卡,数据采集卡与代理程序和传感器连接,实时流量和主机日志数据,且采集方式分为集中式采集和分布式采集。
如图5所示,所述威胁检测子系统还包括检测部署模块,该模块包括时间部署,用于部署检测的时间,其中包括检测时间管理、间隔粒度管理和检测响应管理,检测时间管理用来分配病毒威胁检测的时间,如:在线检测还是离线检测,可根据主机的使用状态来配置;
间隔粒度管理用来配置检测的周期,如:持续检测或周期性检测,可根据主机的使用状态来配置;
检测响应管理用来配置威胁检测后的结果上传给计算机的效率,如:
被动通知计算机,或者计算机主动激活数据推送,可根据主机的使用状态来配置。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (8)
1.一种网络威胁识别系统,其特征在于,包括:
数据采集子系统,通过布置各个采集节点,采集网络中的异常数据,其采集的数据包括实时流量异常数据和主机日志异常数据;
威胁检测子系统,接收所述数据采集子系统发送的异常数据进行威胁检测,所述威胁检测子系统包括:
实时流量威胁检测,用于对实时流量中的异常数据进行检测,并将检测结果发送给计算机;
主机威胁检测,用于对主机日志中的异常数据进行检测,并将检测结果发送给计算机。
2.根据权利要求1所述的一种网络威胁识别系统,其特征在于,所述实时流量威胁检测包括事件生成器、事件队列生成器、事件响应器和威胁状态记录器,其中事件响应器连接流量威胁模式库,通过对比流量威胁模式库与流量异常数据,标记出相似的威胁数据并转发给威胁状态记录器进行记录,威胁状态记录器再将记录的威胁数据发送给计算机。
3.根据权利要求2所述的一种网络威胁识别系统,其特征在于,所述实时流量威胁检测还包括事件数据库、事件队列数据库和威胁状态表数据库,事件数据库用于保存事件生成器生成的事件数据,事件队列数据库保存事件队列生成器和事件响应器生成的事件队列数据,威胁状态表数据库将威胁状态记录器记录的威胁数据以报表形式存储。
4.根据权利要求2所述的一种网络威胁识别系统,其特征在于,所述流量威胁模式库连接威胁模式加载器,用于加载不同中类的威胁模式。
5.根据权利要求1所述的一种网络威胁识别系统,其特征在于,所述主机威胁检测包括主机威胁模式库和入侵检测器,入侵检测器将采集到的系统日志数据和审计记录数据与主机威胁模式库中保存的威胁模式进行对比,从而检测出数据中包含的威胁数据,并将检测结果发送给计算机。
6.根据权利要求5所述的一种网络威胁识别系统,其特征在于,所述主机威胁检测还包括应急措施,用于连接被检测主机系统,应急措施通过入侵检测器发出的威胁报警信号对主机系统进行清理操作。
7.根据权利要求1所述的一种网络威胁识别系统,其特征在于,所述数据采集子系统包括数据采集卡,数据采集卡与代理程序和传感器连接,实时流量和主机日志数据,且采集方式分为集中式采集和分布式采集。
8.根据权利要求1所述的一种网络威胁识别系统,其特征在于,所述威胁检测子系统还包括检测部署模块,该模块包括时间部署,用于部署检测的时间,其中包括检测时间管理、间隔粒度管理和检测响应管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010554365.4A CN111695118A (zh) | 2020-06-17 | 2020-06-17 | 一种网络威胁识别系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010554365.4A CN111695118A (zh) | 2020-06-17 | 2020-06-17 | 一种网络威胁识别系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111695118A true CN111695118A (zh) | 2020-09-22 |
Family
ID=72481696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010554365.4A Pending CN111695118A (zh) | 2020-06-17 | 2020-06-17 | 一种网络威胁识别系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111695118A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108494806A (zh) * | 2018-05-29 | 2018-09-04 | 广西电网有限责任公司 | 基于人工智能的网络威胁预警监测系统 |
| CN109309649A (zh) * | 2017-07-27 | 2019-02-05 | 苏宁云商集团股份有限公司 | 一种攻击预警方法及系统 |
| CN110113348A (zh) * | 2019-05-14 | 2019-08-09 | 四川长虹电器股份有限公司 | 一种基于机器学习进行物联网威胁检测的方法 |
-
2020
- 2020-06-17 CN CN202010554365.4A patent/CN111695118A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109309649A (zh) * | 2017-07-27 | 2019-02-05 | 苏宁云商集团股份有限公司 | 一种攻击预警方法及系统 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108494806A (zh) * | 2018-05-29 | 2018-09-04 | 广西电网有限责任公司 | 基于人工智能的网络威胁预警监测系统 |
| CN110113348A (zh) * | 2019-05-14 | 2019-08-09 | 四川长虹电器股份有限公司 | 一种基于机器学习进行物联网威胁检测的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王春莲等 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104283889B (zh) | 基于网络架构的电力系统内部apt攻击检测及预警系统 | |
| CN110175451A (zh) | 一种基于电力云的安全监控方法和系统 | |
| TW200530805A (en) | Database user behavior monitor system and method | |
| Barrus et al. | A distributed autonomous-agent network-intrusion detection and response system | |
| IL257849B1 (en) | Systems and methods for detecting and scoring anomalies | |
| CN103563302A (zh) | 网络资产信息管理 | |
| CN108462714A (zh) | 一种基于系统弹性的apt防御系统及其防御方法 | |
| CN104871171B (zh) | 分布式模式发现 | |
| CN110912884A (zh) | 一种检测方法、设备及计算机存储介质 | |
| CN108259202A (zh) | 一种ca监测预警方法和ca监测预警系统 | |
| KR101444308B1 (ko) | 정보 유출 조기 경보 시스템 | |
| CN109150869A (zh) | 一种交换机信息采集分析系统及方法 | |
| CN109992961A (zh) | 用于数据库系统防黑客入侵的检测系统和方法 | |
| CN110618977B (zh) | 登录异常检测方法、装置、存储介质和计算机设备 | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| Suo et al. | Research on the application of honeypot technology in intrusion detection system | |
| CN116112211A (zh) | 一种基于知识图谱的网络攻击链还原方法 | |
| CN111695118A (zh) | 一种网络威胁识别系统 | |
| KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
| Fessi et al. | Data collection for information security system | |
| CN117220961B (zh) | 一种基于关联规则图谱的入侵检测方法、装置及存储介质 | |
| CN117609990B (zh) | 一种基于场景关联分析引擎的自适应安全防护方法及装置 | |
| Onashoga et al. | An Event Management System For Detecting Brute Force Attack | |
| He | Big-data analysis of multi-source logs for network anomaly detection | |
| CN115514582B (zh) | 基于att&ck的工业互联网攻击链关联方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200922 |