CN113691501A - 一种网络安全系统及安全方法 - Google Patents
一种网络安全系统及安全方法 Download PDFInfo
- Publication number
- CN113691501A CN113691501A CN202110878159.3A CN202110878159A CN113691501A CN 113691501 A CN113691501 A CN 113691501A CN 202110878159 A CN202110878159 A CN 202110878159A CN 113691501 A CN113691501 A CN 113691501A
- Authority
- CN
- China
- Prior art keywords
- protocol
- network
- strategy
- security
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000001914 filtration Methods 0.000 claims abstract description 38
- 230000005540 biological transmission Effects 0.000 claims abstract description 10
- 238000013461 design Methods 0.000 claims abstract description 4
- 230000006399 behavior Effects 0.000 claims description 28
- 238000001514 detection method Methods 0.000 claims description 16
- 230000006854 communication Effects 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 7
- 230000001066 destructive effect Effects 0.000 claims description 5
- 230000007246 mechanism Effects 0.000 claims description 4
- 230000004048 modification Effects 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 3
- 238000000605 extraction Methods 0.000 abstract description 2
- 238000005516 engineering process Methods 0.000 description 7
- 241000700605 Viruses Species 0.000 description 3
- 230000010485 coping Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明网络安全技术领域,尤其涉及一种网络安全系统及安全方法。包括防火墙安全系统,防火墙安全系统包括安全策略、高层认证、包过滤、应用网关,安全策略包含的内容是:扩展性策略、服务‑访问策略、防火墙设计策略、信息策略、插入‑拔出策略,包过滤是在IP层实现,根据源IP地址、目的IP地址、协议类型、源端口、目的端口包头信息的安全及数据包传输方向的安全来判断数据被允许通过。本发明提出了一种具有保证信息的安全、避免信息丢失和被窃取特点的网络安全系统及安全方法。
Description
技术领域
本发明网络安全技术领域,尤其涉及一种网络安全系统及安全方法。
背景技术
随着互联网产业和技术的高速发展,全球已经进入一个“全球互联”的互联网信息时代,网络信息化系统以及相关系统间的通信网络已经成为一种提供公共服务的基础设施。互联网以及所带来的应用已经深入社会的各个层面,网络安全已经成为与国家、社会和每个个体都紧密相关的问题。对一个国家来说,网络安全已经成为国防安全、经济安全之上的第一安全。对于整个社会而言,网络安全是社会正常运行的重要保障。对于个人来说,网络安全是个人隐私和尊严、个人财产和人身安全的安全保护伞。近两年来,随着移动互联网的飞速发展,网络安全形势日趋严峻。互联网系统存在安全问题的主要原因有:系统本身存在缺陷和漏洞、互联网的开放性、网络上大量的黑客攻击行为。目前,针对网络安全的防控技术主要有:病毒防护技术、入侵检测技术、VPN技术、PKI(公钥)技术、防火墙技术。在现有技术中,连接网络的计算机,经常因为受到来自网络的信号、程序,或接收包含病毒的网络数据,或遭遇非法入侵而导致系统受到干扰,更有甚者造成系统的崩溃,且现有的网络安全系统无法保证信息的安全,经常出现病毒导致的信息丢失和被窃取的问题。
发明内容
本发明的目的在于提出了一种具有保证信息的安全、避免信息丢失和被窃取特点的网络安全系统及安全方法。
本发明所采用的技术方案为:一种网络安全系统,其特征在于:包括防火墙安全系统,所述防火墙安全系统包括安全策略、高层认证、包过滤、应用网关,所述安全策略包含的内容是:扩展性策略、服务-访问策略、防火墙设计策略、信息策略、插入-拔出策略,所述包过滤是在IP层实现,根据源IP地址、目的IP地址、协议类型、源端口、目的端口包头信息的安全及数据包传输方向的安全来判断数据被允许通过。
所述协议类型包括网络层和传输层协议、应用层协议,所述网络层和传输层协议包括IP协议、TCP协议、UDP协议、ICMP协议,所述应用层协议包括HTTP协议与FTP协议。
所述防火墙安全系统通过协议过滤策略,结合应用层协议,建立应用协议模式数据库。
所述防火墙安全系统中,在修改重要信息时,要结合重要信息文件数据库对重要文件进行审查,并对修改的重要文件记录其修改日志。
所述协议过滤策略通过应用层协议的数据格式及通信过程,根据协议模式会话进行过滤,所述通信过程包括用户请求、服务器应答、断开连接。
一种网络安全方法,其特征在于:包括以下步骤:
步骤一:监视计算机中重要信息文件,对重要信息的文件进行定期检查和排查;
步骤二:通过入侵检测系统,观察合法用户的合法历史行为来建立其行为模式,明显偏离此模式的行为会被检测出来,计算机上设有警报灯和蜂鸣器,当计算机收到非法入侵时会发出闪光和蜂鸣声;
步骤三:对计算机进行非法入侵的攻击手段进行记录,把非法入侵的攻击途径和破坏行为到记录到日志,并产生对于这些非法入侵行为的抵抗力;
步骤四:在计算机被非法入侵时进行控制计算机的网络通信,构建一种应对网络攻击的安全方法。
所述入侵检测系统是由网络检测器、主机检测器、分析控制台、事件数据库构成,所述入侵检测系统的检测方法是根据统计异常与系统规则进行检测并判断。
所述防火墙安全方法是指增强系统的过滤机制,建立攻击过滤过滤数据包、协议过滤过滤数据包、包过滤数据包,将其过滤数据记录到日志。
本发明的有益效果:
本发明提供了一种防火墙安全系统,包括安全策略、高层认证、包过滤、应用关网,安全策略又分为扩展性策略、服务-访问策略、防火墙策略、信息策略、插入-拔出策略,使用正确的程序及服务-访问策略可以保证网站防火墙的有效性;协议类型更多指应用层协议:HTTP协议与FTP协议,可以建立一个较大范围的安全环境,构建一个高强度的网络安全环境;所述防火墙安全系统的安全方法可以实现监视、检测、产生抵抗力、控制网络通信的功能,可以保证信息的安全、避免信息丢失和被窃取。
附图说明
图1是本发明一种网络安全系统及安全方法的防火墙系统安全图;
图2是本发明一种网络安全系统及安全方法的防火墙安全策略图。
具体实施方式
本发明不受下述实施例的限制,可根据本发明的技术方案与实际情况来确定具体的实施方式。
一种网络安全系统,其特征在于:包括防火墙安全系统,所述防火墙安全系统包括安全策略、高层认证、包过滤、应用网关,所述安全策略包含的内容是:扩展性策略、服务-访问策略、防火墙设计策略、信息策略、插入-拔出策略,所述包过滤是在IP层实现,根据源IP地址、目的IP地址、协议类型、源端口、目的端口包头信息的安全及数据包传输方向的安全来判断数据被允许通过。
所述协议类型包括网络层和传输层协议、应用层协议,所述网络层和传输层协议包括IP协议、TCP协议、UDP协议、ICMP协议,所述应用层协议包括HTTP协议与FTP协议。
所述防火墙安全系统通过协议过滤策略,结合应用层协议,建立应用协议模式数据库。
所述防火墙安全系统中,在修改重要信息时,要结合重要信息文件数据库对重要文件进行审查,并对修改的重要文件记录其修改日志。
所述协议过滤策略通过应用层协议的数据格式及通信过程,根据协议模式会话进行过滤,所述通信过程包括用户请求、服务器应答、断开连接。
一种网络安全方法,其特征在于:包括以下步骤:
步骤一:监视计算机中重要信息文件,对重要信息的文件进行定期检查和排查;
步骤二:通过入侵检测系统,观察合法用户的合法历史行为来建立其行为模式,明显偏离此模式的行为会被检测出来,计算机上设有警报灯和蜂鸣器,当计算机收到非法入侵时会发出闪光和蜂鸣声;
步骤三:对计算机进行非法入侵的攻击手段进行记录,把非法入侵的攻击途径和破坏行为到记录到日志,并产生对于这些非法入侵行为的抵抗力;
步骤四:在计算机被非法入侵时进行控制计算机的网络通信,构建一种应对网络攻击的安全方法。
所述入侵检测系统是由网络检测器、主机检测器、分析控制台、事件数据库构成,所述入侵检测系统的检测方法是根据统计异常与系统规则进行检测并判断。
所述防火墙安全策略是指增强系统的过滤机制,建立攻击过滤过滤数据包、协议过滤过滤数据包、包过滤数据包,将其过滤数据记录到日志。
实施例1:一种网络安全方法,包括以下步骤:
步骤一:通过防火墙安全系统监视计算机中重要信息文件;
步骤二:通过入侵检测系统,观察合法用户的合法历史行为来建立其行为模式,明显偏离此模式的行为会被检测出来;
步骤三:对计算机进行非法入侵的攻击手段进行记录并产生抵抗力;
步骤四:在计算机被非法入侵时进行控制计算机的网络通信。
实施例2:一种网络安全方法,包括以下步骤:
步骤一:通过防火墙安全系统监视计算机中重要信息文件;
步骤二:通过入侵检测系统,观察合法用户的合法历史行为来建立其行为模式,明显偏离此模式的行为会被检测出来;
步骤三:对计算机进行非法入侵的攻击手段进行记录,把非法入侵的攻击途径和破坏行为到记录到日志;
步骤四:在计算机被非法入侵时进行控制计算机的网络通信。
实施例3:一种网络安全方法,包括以下步骤:
步骤一:监视计算机中重要信息文件,对重要信息的文件进行定期检查和排查;
步骤二:通过入侵检测系统,观察合法用户的合法历史行为来建立其行为模式,明显偏离此模式的行为会被检测出来,计算机上设有警报灯和蜂鸣器,当计算机收到非法入侵时会发出闪光和蜂鸣声;
步骤三:对计算机进行非法入侵的攻击手段进行记录,把非法入侵的攻击途径和破坏行为到记录到日志,并产生对于这些非法入侵行为的抵抗力;
步骤四:在计算机被非法入侵时进行控制计算机的网络通信,构建一种应对网络攻击的安全方法,增强系统的过滤机制,建立攻击过滤过滤数据包、协议过滤过滤数据包、包过滤数据包,将其过滤数据记录到日志。
经过上述实施例的对比,可以发现实施例3的防火墙安全系统更加完善,可以有效的监视重要信息文件的动态,并可以对计算机上的一些非法入侵进行检测,当发现为非法入侵时记录到日志并进行防御抵制,计算机上设的警报灯会发出闪光,蜂鸣器发出警报,保证计算机的网络通信,可以在一个较大范围的安全环境,构建一个高强度的网络安全环境,保证信息的安全、避免信息丢失和被窃取。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。
Claims (8)
1.一种网络安全系统,其特征在于:包括防火墙安全系统,所述防火墙安全系统包括安全策略、高层认证、包过滤、应用网关,所述安全策略包含的内容是:扩展性策略、服务-访问策略、防火墙设计策略、信息策略、插入-拔出策略,所述包过滤是在IP层实现,根据源IP地址、目的IP地址、协议类型、源端口、目的端口包头信息的安全及数据包传输方向的安全来判断数据被允许通过。
2.根据权利要求1所述的一种网络安全系统,其特征在于:所述协议类型包括网络层和传输层协议、应用层协议,所述网络层和传输层协议包括IP协议、TCP协议、UDP协议、ICMP协议,所述应用层协议包括HTTP协议与FTP协议。
3.根据权利要求1所述的一种网络安全系统,其特征在于:所述防火墙安全系统通过协议过滤策略,结合应用层协议,建立应用协议模式数据库。
4.根据权利要求1所述的一种网络安全系统,其特征在于:所述防火墙安全系统中,在修改重要信息时,要结合重要信息文件数据库对重要文件进行审查,并对修改的重要文件记录其修改日志。
5.根据权利要求3所述的一种网络安全系统,其特征在于:所述协议过滤策略通过应用层协议的数据格式及通信过程,根据协议模式会话进行过滤,所述通信过程包括用户请求、服务器应答、断开连接。
6.一种网络安全方法,其特征在于:包括以下步骤:
步骤一:监视计算机中重要信息文件,对重要信息的文件进行定期检查和排查;
步骤二:通过入侵检测系统,观察合法用户的合法历史行为来建立其行为模式,明显偏离此模式的行为会被检测出来,计算机上设有警报灯和蜂鸣器,当计算机收到非法入侵时会发出闪光和蜂鸣声;
步骤三:对计算机进行非法入侵的攻击手段进行记录,把非法入侵的攻击途径和破坏行为到记录到日志,并产生对于这些非法入侵行为的抵抗力;
步骤四:在计算机被非法入侵时进行控制计算机的网络通信,构建一种应对网络攻击的防火墙安全方法。
7.根据权利要求6所述的一种网络安全方法,其特征在于:所述入侵检测系统是由网络检测器、主机检测器、分析控制台、事件数据库构成,所述入侵检测系统的检测方法是根据统计异常与系统规则进行检测并判断。
8.根据权利要求6所述的一种网络安全方法,其特征在于:所述防火墙安全方法是指增强系统的过滤机制,建立攻击过滤过滤数据包、协议过滤过滤数据包、包过滤数据包,将其过滤数据记录到日志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110878159.3A CN113691501A (zh) | 2021-07-30 | 2021-07-30 | 一种网络安全系统及安全方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110878159.3A CN113691501A (zh) | 2021-07-30 | 2021-07-30 | 一种网络安全系统及安全方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113691501A true CN113691501A (zh) | 2021-11-23 |
Family
ID=78578540
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110878159.3A Pending CN113691501A (zh) | 2021-07-30 | 2021-07-30 | 一种网络安全系统及安全方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113691501A (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1384639A (zh) * | 2002-06-11 | 2002-12-11 | 华中科技大学 | 分布式网络动态安全保护系统 |
CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
CN110311908A (zh) * | 2019-06-28 | 2019-10-08 | 淄博职业学院 | 一种企业内部经济管理信息安全加密方法 |
-
2021
- 2021-07-30 CN CN202110878159.3A patent/CN113691501A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1384639A (zh) * | 2002-06-11 | 2002-12-11 | 华中科技大学 | 分布式网络动态安全保护系统 |
CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
CN110311908A (zh) * | 2019-06-28 | 2019-10-08 | 淄博职业学院 | 一种企业内部经济管理信息安全加密方法 |
Non-Patent Citations (1)
Title |
---|
胥琼丹: "入侵检测技术在计算机网络安全维护中的应用", 《电脑知识与技术》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100443910C (zh) | 主动网络防护系统与方法 | |
US6715084B2 (en) | Firewall system and method via feedback from broad-scope monitoring for intrusion detection | |
US20010052014A1 (en) | Systems and methods for distributed network protection | |
WO2000054458A1 (en) | Intrusion detection system | |
CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
WO2006049814A2 (en) | Intrusion detection in a data center environment | |
KR20200130968A (ko) | 커넥티드 차량의 네트워크 이상징후 탐지 시스템 및 방법 | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及系统 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN101453363A (zh) | 网络入侵检测系统 | |
CN111464551A (zh) | 一种网络安全分析系统 | |
JP2005134972A (ja) | ファイアウォール装置 | |
CN113411296B (zh) | 态势感知虚拟链路防御方法、装置及系统 | |
US10419480B1 (en) | System, method, and computer program for real-time cyber intrusion detection and intruder identity analysis | |
CN113691501A (zh) | 一种网络安全系统及安全方法 | |
Mishra et al. | Artificial intelligent firewall | |
Singh et al. | A review on intrusion detection system | |
Ahmed et al. | Characterizing strengths of snort-based IDPS | |
Kishore et al. | Intrusion Detection System a Need | |
Agrawal et al. | Proposed multi-layers intrusion detection system (MLIDS) model | |
KR100862321B1 (ko) | 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 | |
Ahmed | Intrusion detection system: A survey and taxonomy | |
KR20030087583A (ko) | 개인용 컴퓨터의 침입탐지시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211123 |