CN113596008A

CN113596008A - 一种基于微传感器技术的网络安全常态监控系统

Info

Publication number: CN113596008A
Application number: CN202110834773.XA
Authority: CN
Inventors: 汪文杰; 许凡强; 王涛; 张玉兵; 徐玲
Original assignee: Tongling Power Supply Co of State Grid Anhui Electric Power Co Ltd
Current assignee: Tongling Power Supply Co of State Grid Anhui Electric Power Co Ltd
Priority date: 2021-07-23
Filing date: 2021-07-23
Publication date: 2021-11-02

Abstract

本发明公开了一种基于微传感器技术的网络安全常态监控系统，所述系统包括微DNS传感器、微流量传感器和微无线传感器，所述微DNS传感器、微流量传感器和微无线传感器分别安装在独立的树莓派上，所述微DNS传感器、微流量传感器和微无线传感器均与数据中心连接；所述微DNS传感器用于区域的DNS流量监听；所述微流量传感器用于网络异常行为分析；所述微无线传感器用于区域的WiFi/蓝牙监听。本发明采用微边界思想，在供电所、变电站等小规模网络部署轻量级威胁监测传感器，通过系统微分域动态监测与分析技术，对终端设备行为进行安全监测与分析，无论是变化多样的攻击方式、病毒变种，还是利用零日漏洞进行的攻击行为，都能够精准有效地识别并实时监测。

Description

一种基于微传感器技术的网络安全常态监控系统

技术领域

本发明属于网络安全技术领域，特别涉及一种基于微传感器技术的网络安全常态监控系统。

背景技术

传统的安全防护思路和技术手段，较多的是在网络中心节点部署IDS，在边界位置和关口位置部署网络防火墙，对经过的流量进行监控和分析。但是目前网络规模不断扩大、结构日趋复杂，网络数据信息传输距离远，通信范围广，传输途径会经过各种不同的网络，网络呈现无边界的特点。在网络信息交换方面，网络层功能本身的实现中需要的技术与协议(网络存储、异构网络技术等)存在安全缺陷，特别在异构网络信息交换方面，易受到异步、合谋攻击等。拒绝服务攻击是因为网络终端数量巨大且防御能力薄弱，攻击者可依靠联网终端，向网络发起拒绝服务攻击，导致核心网络拥塞。假冒基站攻击即攻击者通过假冒基站骗取终端驻留其上，并通过后续信息交互窃取用户信息。攻击者在攻破网络之间的通信后，窃取用户隐私及敏感信息造成隐私泄露。网络层这些安全威胁可能使网络通信无法正常运行，使网络服务中断，甚至陷于瘫痪状态，传统的IDS、边界防火墙难以应对管控网络内部问题。

因此，亟需一种基于微传感器技术的网络安全常态监控系统来解决上述技术问题。

发明内容

针对上述问题，本发明提供了一种基于微传感器技术的网络安全常态监控系统，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种基于微传感器技术的网络安全常态监控系统，所述系统包括微DNS传感器、微流量传感器和微无线传感器，所述微DNS传感器、微流量传感器和微无线传感器分别安装在独立的树莓派上，所述微DNS传感器、微流量传感器和微无线传感器均与数据中心连接；

所述微DNS传感器用于区域的DNS流量监听；

所述微流量传感器用于网络异常行为分析；

所述微无线传感器用于区域的WiFi/蓝牙监听。

进一步的，所述微DNS传感器、微流量传感器和微无线传感器均通过https协议或syslog协议与数据中心连接。

进一步的，所述微DNS传感器用于区域的DNS流量监听包括恶意域名监测与分析，具体为：

微DNS传感器根据主机请求恶意域名特征建立数学模型，以机器学习的方式监测发现DNS层面异常行为，持续补充恶意程序域名黑名单库，建立恶意域名识别能力；

微DNS传感器通过记录的恶意域名请求终端IP，与防火墙联动，及时阻隔感染主机。

进一步的，所述微DNS传感器对恶意域名进行动态评估和防御，包括设计威胁情报源、设计威胁策略规则、设计策略同步和设计统计报表。

进一步的，所述设计威胁情报源包括：

新建威胁情报源；

配置默认触发和动作；

启用情报源；

判断情报源类型：

若为第三方安全产品，则继续判断是否已配置默认触发和动作：

若未配置默认触发和动作，则返回配置默认触发和动作；

若已配置默认触发和动作，则下载情报策略，并判断情报源下发状态；

若为其他情报源类型，则下载情报策略，并判断情报源下发状态；

若为自定义情报源类型，则判断情报源下发状态；

若情报源未下发，则DNS全量下发；

若情报源已下发，则DNS下发情报源启用。

进一步的，所述设计策略同步包括：

自动下发威胁策略；

获取待下发列表；

判断威胁策略状态：

若为正常，则DNS下发策略新增；

若为删除/禁用，则DNS下发策略删除。

进一步的，所述设计统计报表包括：

每日拦截排行、拦截明细查询、威胁拦截曲线、威胁情报源信息统计。

进一步的，所述微流量传感器用于网络异常行为分析，具体为：

微流量传感器通过实时采集和分析网络原始数据包，建立完整的流量索引和网络元数据信息，结合网络威胁模型，及时发现终端异常行为。

进一步的，所述微无线传感器用于区域的WiFi/蓝牙监听包括对可疑http/https通讯检测，具体为：

微无线传感器通过对网络中的http/https通讯数据流进行分析，若检测到可疑的http以及https传输行为，则产生告警。

本发明的技术效果和优点：

1、本发明通过对网络边缘数据进行分类，将部分数据放在边缘处理，减少延迟，从而实现实时和更高效的数据处理。

2、本发明采用微边界思想，在供电所、变电站等小规模网络部署轻量级威胁监测传感器，通过系统微分域动态监测与分析技术，对终端设备行为进行安全监测与分析，无论是变化多样的攻击方式、病毒变种，还是利用零日漏洞进行的攻击行为，都能够精准有效地识别并实时监测。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书以及附图中所指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明实施例的系统整体结构示意图；

图2示出了本发明实施例的设计威胁情报源流程图；

图3示出了本发明实施例的设计策略同步流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地说明，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前，电力信息网泛终端设备种类繁多，功能、业务和处理能力也差异很大，要想通过传统安全解决方案，如安装传统安全软件或者架设安全硬件的方式来提供安全防护能力，是无法实现的。同时许多泛终端的存储、计算能力都极为有限，在上面实施安全保护功能而不影响终端业务运行是业内的难题，并且移动化使得传统网络边界“消失”，依托于网络边界的安全软、硬件产品也无法发挥作用。

本发明提供了一种基于微传感器技术的网络安全常态监控系统，示例性的，如图1所示，所述系统采用ARM架构嵌入式设备作为底层硬件，配备Kali2.0 for ARM light操作系统，基于python 2.7.16/scapy组件开发，数据库系统为sqlite3数据库，主要包括三个模块部分，即微DNS传感器、微流量传感器和微无线传感器，其中，微DNS传感器、微流量传感器和微无线传感器分别安装在一个树莓派上且相互独立，通过树莓派采用https协议或者syslog协议向数据中心发送数据信息。本发明实施例采用此种架构，使得功能和部署非常灵活，成本造价非常低。

本发明实施例中，所述微DNS传感器用于区域的DNS流量监听，包括恶意域名监测与分析。具体的，微DNS传感器根据主机请求恶意域名特征建立数学模型，以机器学习的方式监测发现DNS层面异常行为，持续补充恶意程序域名黑名单库，建立恶意域名识别能力；

同时，微DNS传感器通过记录的恶意域名请求终端IP，与防火墙联动，及时阻隔感染主机。

本发明实施例中，所述微DNS传感器还可用于对恶意域名进行动态评估和防御，包括设计威胁情报源、设计威胁策略规则、设计策略同步和设计统计报表，具体如下：

设计威胁情报源，示例性的，如图2所示：

通过管理页面新建威胁情报源；

通过点击其中一条情报源进入配置页面；

点击其中一条情报源的启用按钮；

在后台判断情报源的类型；

若为第三方安全产品，则在后台判断情报源是否已配置默认触发和动作；

若未配置默认触发和动作，则返回配置默认触发和动作；

若已配置默认触发和动作，则下载情报策略，并判断当前情报源是否已经下发过；

若为其他情报源类型，根据配置的地址和授权从情报源下载情报策略，并判断当前情报源是否已经下发过；

若为自定义情报源类型，判断当前情报源是否已经下发过；

若情报源未下发，调用远程接口实现全量下发；

若情报源已下发，调用远程接口启用该情报源。

设计策略同步，示例性的，如图3所示：

定时任务调度，自动下发威胁策略；

查询状态为未下发的策略列表；

判断威胁策略是正常还是删除/禁用状态：

若为正常，则调用远程接口新增策略；

若为删除/禁用，则调用远程接口删除策略。

设计统计报表：

包括每日拦截排行、拦截明细查询、威胁拦截曲线、威胁情报源信息统计，便于管理员实时统计和查询恶意域名的访问情况，并可通过客户端IP，定位感染源。

本发明实施例中，所述微流量传感器用于网络异常行为分析，微流量传感器通过实时采集和分析网络原始数据包，建立完整的流量索引和网络元数据信息，结合网络威胁模型，及时发现终端异常行为。

本发明实施例中，所述微无线传感器用于区域的WiFi/蓝牙监听包括对可疑http/https通讯检测，微无线传感器通过对网络中的http/https通讯数据流进行分析，若检测到可疑的http以及https传输行为，则产生告警，用户可通过告警数据进行深入的挖掘分析，应用场景可根据实际需要灵活部署。

本发明实施例还具备其他功能：

多维度报表统计：汇总周期内恶意域名、终端用户总体活动情况，包括所有受影响的桌面办公终端和服务器IP数量、影响排名靠前的网络异常行为等分析数据，方便管理员统计；

自定义监控告警：支持根据用户需求，自定义添加受监控的网络协议、端口，支持对网络请求进行统计分析，支持告警级别自定义；

安全事件回查：提供基于IP、域名、流量特征值、DNS解析记录、行为建模的检索功能，可从不同维度的数据特征及网络行为模式进行数据回查，迅速定位各类已知和未知安全事件。

本发明实施例通过对网络边缘数据进行分类，将部分数据放在边缘处理，减少延迟，从而实现实时和更高效的数据处理。并且，本发明实施例采用微边界思想，在供电所、变电站等小规模网络部署轻量级威胁监测传感器，通过系统微分域动态监测与分析技术，对终端设备行为进行安全监测与分析，无论是变化多样的攻击方式、病毒变种，还是利用零日漏洞进行的攻击行为，都能够精准有效地识别并实时监测。

尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种基于微传感器技术的网络安全常态监控系统，其特征在于，所述系统包括微DNS传感器、微流量传感器和微无线传感器，所述微DNS传感器、微流量传感器和微无线传感器分别安装在独立的树莓派上，所述微DNS传感器、微流量传感器和微无线传感器均与数据中心连接；

所述微DNS传感器用于区域的DNS流量监听；

所述微流量传感器用于网络异常行为分析；

所述微无线传感器用于区域的WiFi/蓝牙监听。

2.根据权利要求1所述的基于微传感器技术的网络安全常态监控系统，其特征在于，所述微DNS传感器、微流量传感器和微无线传感器均通过https协议或syslog协议与数据中心连接。

3.根据权利要求1所述的基于微传感器技术的网络安全常态监控系统，其特征在于，所述微DNS传感器用于区域的DNS流量监听包括恶意域名监测与分析，具体为：

4.根据权利要求1所述的基于微传感器技术的网络安全常态监控系统，其特征在于，所述微DNS传感器对恶意域名进行动态评估和防御，包括设计威胁情报源、设计威胁策略规则、设计策略同步和设计统计报表。

5.根据权利要求4所述的基于微传感器技术的网络安全常态监控系统，其特征在于，所述设计威胁情报源包括：

新建威胁情报源；

配置默认触发和动作；

启用情报源；

判断情报源类型：

若未配置默认触发和动作，则返回配置默认触发和动作；

若为自定义情报源类型，则判断情报源下发状态；

若情报源未下发，则DNS全量下发；

若情报源已下发，则DNS下发情报源启用。

6.根据权利要求4所述的基于微传感器技术的网络安全常态监控系统，其特征在于，所述设计策略同步包括：

自动下发威胁策略；

获取待下发列表；

判断威胁策略状态：

若为正常，则DNS下发策略新增；

若为删除/禁用，则DNS下发策略删除。

7.根据权利要求4所述的基于微传感器技术的网络安全常态监控系统，其特征在于，所述设计统计报表包括：

8.根据权利要求1所述的基于微传感器技术的网络安全常态监控系统，其特征在于，所述微流量传感器用于网络异常行为分析，具体为：

9.根据权利要求1所述的基于微传感器技术的网络安全常态监控系统，其特征在于，所述微无线传感器用于区域的WiFi/蓝牙监听包括对可疑http/https通讯检测，具体为：