CN113783880A - 网络安全检测系统及其网络安全检测方法 - Google Patents
网络安全检测系统及其网络安全检测方法 Download PDFInfo
- Publication number
- CN113783880A CN113783880A CN202111075137.XA CN202111075137A CN113783880A CN 113783880 A CN113783880 A CN 113783880A CN 202111075137 A CN202111075137 A CN 202111075137A CN 113783880 A CN113783880 A CN 113783880A
- Authority
- CN
- China
- Prior art keywords
- data packet
- module
- data
- detection
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 218
- 241000700605 Viruses Species 0.000 claims abstract description 107
- 238000004458 analytical method Methods 0.000 claims abstract description 82
- 238000005206 flow analysis Methods 0.000 claims abstract description 28
- 230000002159 abnormal effect Effects 0.000 claims abstract description 21
- 230000006399 behavior Effects 0.000 claims description 63
- 238000005516 engineering process Methods 0.000 claims description 24
- 238000000034 method Methods 0.000 claims description 23
- 238000012544 monitoring process Methods 0.000 claims description 17
- 238000007619 statistical method Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 8
- 238000012423 maintenance Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 5
- 230000001681 protective effect Effects 0.000 claims description 5
- 238000002347 injection Methods 0.000 claims description 4
- 239000007924 injection Substances 0.000 claims description 4
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000012800 visualization Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010835 comparative analysis Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005670 electromagnetic radiation Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明提供一种网络安全检测系统,其包括:解析模块解析数据包的前四层协议,获得五元组信息;入侵检测模块给数据包进行入侵检测;跟踪模块和五元组信息给数据包添加标识;根据流对象的五元组信息和添加标识的数据包的内容利用流量分析模块确定流对象所采用的应用协议类型,统计采用相同应用协议类型的流对象的流量数据并进行流量分析;根据流对象的应用协议类型利用协议解析模块获得数据信息并进行用户网络行为记录;利用病毒检测模块对数据信息进行病毒库匹配检测。本发明还提供了一种网络安全检测方法,将入侵检测、网络行为检测、异常流量分析检测以及病毒检测集成在一个系统中,只需一个接口即能实现对网络访问的多种检测。
Description
技术领域
本申请涉及网络安全技术领域,具体地涉及一种网络安全检测系统及其网络安全检测方法。
背景技术
随着互联网技术的发展,信息网络已经成为社会发展的重要保证。有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击,例如信息泄露、信息窃取、数据篡改、数据删添、计算机病毒等。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。为了防止恶意网络访问给网络系统中的数据带来的破坏、更改和泄露,保证网络系统安全可靠的运行,需要对网络访问进行安全检测和上网行为管理。目前常用的网络安全检测技术有入侵检测技术、网络行为审计技术、异常流量分析技术以及病毒检测技术等。
入侵检测技术是通过收集非正常网络访问的行为特征,建立行为特征库,当检测到与行为特征库中匹配的网络访问时,就将此次网络访问定义为入侵访问。入侵检测技术包括系统外部的入侵和内部用户的非授权行为的检测,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,同时也是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统是对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。现有的入侵检测系统检测速度远小于网络传输速度,容易导致误报和漏报。
异常流量分析技术是通过采集网络设备和节点的流量信息,对流量信息和网络行为进行持续性统计和对比分析,通过流量和连接数的异常变化检测网络行为中的异常访问操作和攻击操作,追踪异常网络行为。异常流量分析只能分析大范围的异常流量攻击如分布式拒绝服务(Distributed Denial of Service,DDos),半开放攻击(SynchronizationFlood,Syn Flood)、挑战黑洞(Challenge Collapsar,CC)等,对于跨站脚本攻击(CrossSite Scripting,XSS)和结构化查询语言(Structured Query Language,SQL)注入等攻击无法检测,对于用户网络行为无法记录与审计。
病毒检测技术,病毒检测安全产品通常以单机或代理网关的形式接入网络中,对于文件进行扫描,检测发现病毒并告警。病毒检测不能解决网络攻击、网络行为审计问题。
对于大部分的网络设备,如交换机、路由器等,只给网络安全监测配置一个数据监听接口,只能采用上述一种方法对网络访问进行安全检测,上述几种技术对网络访问进行安全检测各有利弊,单纯依靠一种网络安全检测技术无法识别所有种类的网络攻击和入侵,无法同时实现网络安全状态的分析、用户行为的记录、攻击监测以及未知恶意代码识别的功能。而部分网络安全检测系统虽然将入侵检测、网络行为检测、异常流量分析检测以及病毒检测集成在一起,但不具备病毒匹配情况的检测分析,无法实时对入侵病毒的情况进行记录、更新、可视和报警。因此,需要提供一种将入侵检测、网络行为检测、异常流量分析检测以及病毒检测和病毒匹配情况的检测集成在一个系统中,只需一个接口即可实现对网络访问的多种检测的系统和检测方法。
发明内容
为了克服现有技术的不足,本发明的目的是提出一种网络安全检测方法和系统,其利用数据采集模块对网络设备进行数据包的抓取,并利用解析模块解析数据采集模块所抓取的数据包的前四层协议获得五元组信息;利用入侵检测模块给解析模块解析后的数据包进行入侵检测;利用跟踪模块和五元组信息给数据包添加标识;根据流对象的五元组信息和数据包的内容利用流量分析模块确定流对象所采用的应用协议类型,并根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据进行流量分析;根据流对象的应用协议类型利用协议解析模块获得数据信息并进行用户网络行为记录;利用病毒检测模块对解析的数据信息进行病毒库匹配检测,利用应用APP模块对病毒检测模块的病毒库没有匹配到入侵病毒时,进行记录、更新、可视和报警,对病毒检测模块的病毒库匹配到入侵病毒时,进行攻击事件的记录和可视。通过将入侵检测、网络行为检测、异常流量分析检测以及病毒检测集成在一个系统中,根据系统中的数据包进行分析实时监控、管理网络资源使用情况,并且只需一个接口即可实现对网络访问的多种检测。
为实现上述目的,本发明所采用的解决方案为:
一方面,本发明提供了一种网络安全检测系统,其包括:
网络设备、数据监听接口和数据采集模块,所述数据监听接口分别与所述网络设备和数据采集模块连接,所述数据采集模块用于从所述网络设备中抓取数据包;
还包括解析模块,所述解析模块与所述数据采集模块相连,用于解析所述数据采集模块所抓取的数据包的前四层协议,获得解析前四层协议后的数据包和五元组信息;
还包括入侵检测模块,所述入侵检测模块与所述解析模块相连,用于利用入侵检测方法给所述解析前四层协议后的数据包进行入侵检测;
还包括跟踪模块,所述跟踪模块分别与所述数据采集模块和所述解析模块相连,用于根据所述五元组信息给所述数据采集模块抓取的数据包添加标识,获得携带有标识的数据包;
还包括流量分析模块,所述流量分析模块与所述跟踪模块相连,用于根据流对象的五元组信息和携带有标识的数据包的内容确定流对象所采用的应用协议类型,根据所述携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析;
还包括协议解析模块,所述协议解析模块与所述流量分析模块相连,用于根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据所述解析获得的数据信息进行用户网络行为记录;
还包括病毒检测模块,所述病毒检测模块与所述协议解析模块相连,用于对解析获得的数据信息进行病毒库匹配检测;
还包括应用APP模块,所述应用APP模块分别与所述跟踪模块和所述病毒检测模块相连,用于对病毒库没有匹配到入侵病毒时,对新病毒进行记录、更新、可视和报警;对于病毒库匹配到入侵病毒时,对外部入侵病毒的攻击事件进行记录和可视。
可优选的是,所述应用APP模块包括判断单元、统计分析和警告模式,所述判断单元用于判断所述跟踪模块获得的携带有标识的数据包是否属于已建立的流对象,如果是,进入统计分析,如果否,进入警告模式;当病毒库没有匹配到入侵病毒时,所述警告模式对所述跟踪模块内的新的病毒进行记录、更新和报警,可视流量的去向,通知运维人员做出防护措施;当病毒库匹配到入侵病毒时,所述统计分析对外部入侵病毒的攻击事件的类型、攻击次数、攻击时间和IP地址进行记录和可视。
可优选的是,所述网络安全检测系统还包括泄密检测模块,所述泄密检测模块与所述协议解析模块相连,用于对所述解析获得的数据信息进行文本提取和关键字判断,通过确定所述解析获得的数据信息的源Mac地址进行泄密检测。
可优选的是,所述网络安全检测系统还包括深度入侵检测模块,所述深度入侵检测模块与所述协议解析模块相连,用于将所述解析获得的数据信息与深度检测方法基于正则表达式进行深度入侵检测,所述深度检测方法为根据检测参数检测攻击行为,所述检测参数包括SQL语句和HTTP传输参数,所述攻击行为包括SQL注入攻击行为和网站跨站攻击行为。
进一步,所述数据监听接口的数量为1;所述数据采集模块实现数据包的抓取采用的工具包括pcap技术、采集网卡、Wireshark和Fiddler;所述跟踪模块包括判断单元、第一标识单元和第二标识单元,所述判断单元用于根据五元组信息判断所抓取的数据包是否属于已建立的流对象,具体为:
根据五元组信息判断所抓取的数据包是否属于已建立的流对象,如果是,则进入第一标识单元;如果否,则进入第二标识单元。
另一方面,本发明提供了一种利用前述网络安全检测系统进行网络安全检测的方法,其包括以下步骤:
步骤1:利用数据采集模块经由数据监听接口对网络设备进行数据包的抓取;
步骤2:利用解析模块对所述步骤1抓取的数据包的前四层协议进行解析,获得解析前四层协议后的数据包和五元组信息;
步骤3:利用入侵检测模块采用入侵检测方法对所述步骤2获得的解析前四层协议后的数据包进行入侵检测;利用跟踪模块根据所述五元组信息给所述步骤1抓取的数据包添加标识,获得携带有标识的数据包;
步骤4:利用流量分析模块根据所述步骤3获得的携带有标识的数据包的内容和流对象的五元组信息确定流对象所采用的应用协议类型,根据所述携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析,检测异常流量;
步骤5:利用协议解析模块根据所述步骤4中流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据所述数据信息进行用户网络行为记录;
步骤6:利用病毒检测模块对所述步骤5解析获得的数据信息进行病毒库匹配检测;
步骤7:利用应用APP模块根据所述步骤6病毒库匹配检测的结果对所述步骤3获得的携带有标识的数据包进行新病毒的记录、更新、可视和报警以及外部入侵病毒的攻击事件进行记录和可视。
可优选的是,所述步骤3中入侵检测方法为判断数据包与入侵检测特征库中的行为特征是否匹配,如果匹配,则数据包为网络入侵行为的数据包;如果不匹配,则数据包为正常网络访问行为的数据包;采用所述入侵检测方法对所述解析前四层协议后的数据包进行入侵检测包括恶意代码、攻击行为和蠕虫的检测。
可优选的是,所述步骤4流量分析模块包括第一协议确定单元和第二协议确定单元,利用所述流量分析模块根据所述步骤3获得的携带有标识的数据包的内容和流对象的五元组信息确定流对象所采用的应用协议类型具体为:当目的端口为固定协议端口时,所述第一协议确定单元根据所述目的端口从主连接列表中查找流对象的应用协议类型;当目的端口为动态协议端口时,所述第二协议确定单元根据流对象的源IP地址、目的IP地址和从数据包内容中解析出的目的端口从期盼连接列表中查找流对象的应用协议类型。
进一步,所述步骤4中的流量分析为根据流对象的目的端口类型统计采用相同应用协议类型的流量数据,根据所述流量数据采用流量阙值和自动学习的流量基线方法进行流量分析,具体为:当流对象的目的端口为固定协议端口时,统计采用相同应用协议类型的固定协议端口的流对象收发数据包数、收发字节数和连接时长;当流对象的目的端口为动态协议端口时,统计采用相同应用协议类型的动态协议端口的流对象的收发数据包数、收发字节数和连接时长。
可优选的是,所述步骤5中解析插件包括连接建立插件、内容解析插件和连接关闭插件。
与现有技术相比,本发明的有益效果在于:
本发明的网络安全检测方法能够实时监控、管理网络资源使用情况,提高整体工作效率。本发明一方面提供了一种网络安全检测系统,只需要一个监听接口即可实现包括入侵检测技术、网络行为检测技术、异常流量分析计算以及病毒检测技术等多种网络安全检测技术的网络安全检测,网络安全检测系统中的应用APP模块根据内置告警模块,系统检测到攻击行为时发送告警信息,并根据告警策略生成周期性告警信息;本发明的另一方面基于所提供的网络安全检测系统提供了进行网络安全检测的方法,根据系统内数据可实时监控、管理网络资源使用情况,进行多种网络安全检测,提高了网络访问的安全、可靠性,提高整体工作效率。
附图说明
图1为本发明实施例一的网络安全检测系统结构示意图;
图2为本发明实施例二的网络安全检测系统结构示意图;
图3为本发明实施例三的网络安全检测系统结构示意图;
图4为基于本发明本实施例一的网络安全检测系统进行网络安全检测的方法的流程图;
图5为基于本发明本实施例三的网络安全检测系统进行网络安全检测的方法的流程图;
图6为基于本发明本实施例的应用APP模块的结构示意图。
具体实施方式
以下,参照附图对本发明的实施方式进行具体说明。
实施例一:
本发明实施例一提供了一种网络安全检测系统,能够用于电力系统、电力安全监控等系统中。如图1所示,具体包括:
网络设备、数据监听接口、数据采集模块、解析模块、入侵检测模块、跟踪模块、流量分析模块、协议解析模块、病毒检测模块和应用APP模块,其中网络设备包括交换机、路由器等,数据监听接口分别与网络设备和数据采集模块连接,数据监听接口的数量为1个。
网络安全检测系统中的数据采集模块从网络设备中的网卡中抓取数据包,数据采集模块可以采用数据包捕获(Packet Capture,pcap)技术或采集网卡实现数据包的抓取,也可以采用Wireshark或Fiddler;其中Wireshark是一个网络封包分析软件,其功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料,Wireshark使用免费的公共的网络访问系统WinPCAP(windows packet capture,WinPCAP)作为接口,直接与网卡进行数据报文交换;Fiddler是一个超文本传送协议(Hyper Text Transport Protocol,http)调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据,这里所说的数据是指小型文本文件cookie、超文本标记语言(HyperText Markup Language,html)等文件。
网络安全检测系统中的解析模块与数据采集模块连接,用于解析数据采集模块所抓取的数据包的前四层协议获得五元组信息。通过数据解析算法解析从网卡中抓取的原始数据包的前四层协议,数据解析算法可以对以太网、点对点协议等多种二层协议以及网际协议版本4(Internet Protocol version4,Ipv4)和网际协议版本6(Internet Protocolversion6,Ipv6)等三层协议进行准确解析。
对原始数据包的前四层协议进行解析后,可获得数据包的源网际协议(InternetProtocol,IP)地址、目的IP地址、源端口、目的端口以及传输协议这五元组信息。
网络安全检测系统中的入侵检测模块与解析模块连接,用于利用入侵检测方法给解析模块解析后的数据包进行入侵检测。
入侵检测一般通过三种技术手段进行分析,包括模式匹配、统计分析和完整性分析。采用模式匹配的入侵检测方法是将数据包与入侵检测的特征库中的行为特征进行匹配,当数据包与特征库中的特征匹配时,则认为这个数据包是网络入侵行为的数据包;当数据包与特征库中的特征不匹配时,则数据包是正常网络访问行为的数据包。
对解析前四层协议后的数据包采用入侵检测方法进行入侵检测,主要检测恶意代码、攻击行为以及蠕虫等网络异常事件。
入侵检测技术划分为异常检测模型和误用检测模型,其中异常检测模型检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征,当用户活动与正常行为有重大偏离时即被认为是入侵。而误用检测模型检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起报警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与特征库中的记录相匹配时,系统就认为这种行为是入侵。
Snort入侵检测技术是被snort检测软件所支持的检测规则,在1998年,MartinRoesch用C语言开发的开放源代码的入侵检测系统,随着安全领域的发展,snort规则被越来越多的安全研究人员所接受,直至今天,Snort已发展成为一个具有多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统(Network IntrusionDetection/Prevention System,NIDS/NIPS),是今使用最为广泛的入侵检测规则语法之一。
网络安全检测系统中的跟踪模块分别与解析模块和数据采集模块连接,用于根据解析模块解析数据采集模块抓取的数据包的前四层协议获得的五元组信息给数据采集模块抓取的数据包添加标识。
上述跟踪模块包括:判断单元、第一标识单元和第二标识单元,其中:
判断单元用于根据五元组信息判断数据采集模块抓取的数据包是否属于已建立的流对象,如果是,进入第一标识单元;如果否,进入第二标识单元;
源客户端向目的服务器发送网络访问请求时,建立一个连接,这个连接即为一个流对象,每一个流对象都有一个唯一对应的标识。属于一个流对象的所有的数据包都添加这个流对象唯一对应的标识,以便进行流对象的流量数据的跟踪统计。
第一标识单元用于给数据包添加与所属已建立的流对象对应的标识;
第二标识单元用于建立一个新的流对象以及与新的流对象对应的标识,给数据包添加与新的流对象对应的标识。
数据采集模块从网络设备中抓取很多个数据包,对数据包的前四层协议进行解析后得到五元组信息,五元组信息中包括数据包的源IP地址、目的IP地址、源端口、目的端口以及传输协议。根据五元组信息可以识别数据包所属的流对象,给数据包添加其所属的流对象唯一对应的标识。具体为:
根据上述五元组信息判断所抓取的数据包是否属于已建立的流对象,如果是,给数据包添加与所属已建立的流对象对应的标识;如果否,建立一个新的流对象以及与新的流对象对应的标识,给数据包添加与新的流对象对应的标识。
对数据包添加标识时,当数据包属于已建立的流对象时,给数据包添加其所属的已建立的流对象对应的标识,此时,数据包所属的已建立的流对象增加一个此数据包的统计数。当数据包不属于已建立的流对象时,建立一个新的流对象及其所对应的标识,此时,建立一个新的流对象的记录项。
网络安全检测系统中的流量分析模块与跟踪模块连接,用于根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型,根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析。
根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型包括:
当目的端口为固定协议端口时,根据目的端口从主连接列表中查找流对象的应用协议类型;具体为:先在主连接列表中查找是否有流对象的目的端口对应的应用协议类型,当主连接列表中有流对象的目的端口对应的应用协议类型时,流对象的目的端口为固定协议端口,根据流对象的目的协议端口确定流对象的应用协议类型。
当目的端口为动态协议端口时,根据流对象的源IP地址、目的IP地址以及从数据包内容中解析出的目的端口从期盼连接列表中查找流对象的应用协议类型。具体为:当主连接列表中没有流对象的目的端口对应的应用协议类型时,流对象的目的端口为动态协议端口,在期盼连接列表中查找流对象的目的端口对应的应用协议类型,若在期盼连接列表中查找到流对象的目的端口对应的应用协议类型时,流对象的目的端口为动态协议端口,根据流对象的目的端口确定流对象的应用协议类型;若在期盼列表中未查找到流对象的目的端口对应的应用协议类型时,解析流对象的数据包中的内容获取流对象的应用协议类型,并将此流对象的目的端口以及解析得到的应用协议类型更新到期盼连接列表中。
给数据包添加标识后,当流对象对应的连接关闭或到达连接最大连接时间时,可以根据标识的数据包统计用相同应用协议类型的流对象的收发数据包数、收发字节数以及连接时长等流量数据。实际上,每个数据包在添加标识的同时,会给数据包所属的流对象的流量数据进行累加,如收发数据包个数累加1,收发字节数累加此数据包的字节数,连接时长累加等,也就是说,边通过流对象接收数据包边累加统计,当流对象对应的连接关闭或到达连接最大连接时间时,获取最终的数据流量统计结果即可。
当流对象的目的端口为固定协议端口时,统计采用相同应用协议类型的流量数据为:统计此应用协议类型对应的固定协议端口的流对象收发数据包数、收发字节数以及连接时长作为此应用协议类型的流量数据;
当流对象的目的端口为动态协议端口时,统计采用相同应用协议类型的流量数据为:统计所有采用此应用协议类型的动态协议端口的流对象的收发数据包数、收发字节数以及连接时长作为流对象的流量数据。
获得采用相同应用协议类型的流对象的数据流量统计结果后,可以根据所配置的各种流量阈值和自动学习的流量基线进行流量分析,进行异常流量检测。检测异常流量的攻击类型包括:SYN flood、网络控制报文协议攻击(Internet Control MessageProtocol,ICMP flood)、用户数据报协议攻击(User Data Protocol,UDP flood)、域名服务器攻击(Domain Name Server Flood,DNS Flood),动态主机配置协议攻击(DynamicHost Configuration Protocol,DHCP flood)、带外传输攻击(Winnuke)、传输控制协议扫描(Transmission Control Protocol Scan,TcpScan)以及CC等几十种DOS/DDOS攻击行为。
上述流量分析模块包括第一协议确定单元和第二协议确定单元,其中:
第一协议确定单元用于当目的端口为固定协议端口时,根据目的端口从主连接列表中查找流对象的应用协议类型;
第二协议确定单元用于当目的端口为动态协议端口时,根据流对象的源IP地址、目的IP地址以及从数据包内容中解析出的目的端口从期盼连接列表中查找流对象的应用协议类型。
网络安全检测系统中的协议解析模块与流量分析模块连接,用于根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据数据信息进行用户网络行为记录。
确定了流对象的应用协议类型后,调用应用协议类型中的解析插件对流对象中的数据包进行解析获得数据信息。每个协议类型有三种插件,连接建立插件对数据连接建立的流对象进行处理;内容解析插件对内容解析的流对象进行处理;连接关闭插件对连接关闭进行处理。
部分解析插件还可以对多种应用协议类型的数据信息进行深度攻击检测,目前支持深度攻击检测的应用协议类型包括:http、简单邮件传输协议(Simple Mail TransferProtocol,SMTP)、邮局通讯协议版本3(Post Office Protocol version3,POP3)、文件传输协议(File Transfer Protocol,FTP)、电信网络协议(Tele communication networkprotocol,TELNET)、SMB(Server Message Block)、网络文件系统(Network Files System,NFS)、SQL服务器(SQLSERVER)、Oracle、MYSQL、PostgreSQL、达梦数据库、人大金仓等20种。
网络安全检测系统中的病毒检测模块与协议解析模块连接,用于对解析获得的数据信息进行病毒库匹配检测。将数据包解析得到的数据信息进行病毒库匹配,查看所传输的文件内容是否携带有病毒。
网络安全检测系统中的应用APP模块与跟踪模块和病毒检测模块连接,在病毒库没有匹配到入侵病毒时,对新病毒进行记录、更新、可视和报警;对于病毒库匹配到入侵病毒时,对外部入侵病毒的攻击事件进行记录和可视。
应用APP模块包括:判断单元、统计分析和警告模式,其中:
判断单元:用于判断跟踪模块获得的数据包采集信息是否属于已建立的流对象,如果数据包采集信息属于已建立的流对象,则入统计分析;如果数据包采集信息不属于已建立的流对象,则进入警告模式。
统计分析:当病毒库匹配到入侵病毒时,对来自网络WEB入侵检测到的病毒数据包进行统计分析,包括对事件的攻击类型、攻击次数、攻击时间以及IP地址等进行记录和可视。
警告模式:当病毒库没有匹配到入侵病毒时,对于跟踪模块内的新的病毒进行标识、更新和报警,可视流量的去向,并通过短信或邮件方式进行报警提示,通知运维人员做出防护措施。
网络安全检测系统中的跟踪模块与应用APP模块连接,用于根据内置告警模块,系统检测到攻击行为时发送告警信息,并根据告警策略生成周期性汇总告警至接收人,以便网站维护人员掌握网站安全状态及时采取处理。告警系统通过将设置好的包含告警内容、接收方式、接收频率的报警模板应用于告警接收人,当系统发现攻击行为时按照告警接收人使用的报警模板进行告警消息推送。
添加告警人、在报警接收人区域填写接收人姓名,手机号、邮箱等用于之后接收告警信息,填写完接收人信息后,点击“保存”按钮,保存成功后页面默认进入编辑页面,在该页面可对刚添加的接收人进行信息修改,也可进行同一模板下其他接收人的添加。
实施例二:
此外,如图2所示,本发明在实施例一提供的网络安全检测系统中还可以包括:
泄密检测模块,该模块与协议解析模块连接,用于对解析获得的数据信息进行文本提取和关键字判断,进行泄密检测。对数据包解析出来的数据信息进行文本提取和关键字判断主要是用于检测所传输的文件内容是否泄密,具体通过在源Mac地址表中确定解析获得的数据信息的源Mac地址,进行泄密检测。
实施例三:
如图3所示,本发明在实施例二提供的网络安全检测系统中还可以包括:
深度入侵检测模块,该模块与协议解析模块连接,用于将解析获得的数据信息与深度检测方法基于正则表达式进行深度入侵检测。具体为将数据信息中的统一资源定位符(Uniform Resource Locator,URL)地址或SQL语句与深度检测方法基于正则表达式进行深度入侵检测,主要根据SQL语句或HTTP传输参数监测SQL注入攻击行为或者网站跨站攻击行为。
实施例四:
本发明还提供了一种利用实施例一提供的网络安全检测系统进行网络安全检测的方法,如图4所示,具体包括以下步骤:
步骤1:利用数据采集模块经由数据监听接口对网络设备进行数据包的抓取;
步骤2:利用解析模块对步骤1抓取的数据包的前四层协议进行解析,获得解析后的数据包和五元组信息;
步骤3:采用入侵检测模块利用入侵检测方法对数据包进行入侵检测;利用跟踪模块根据五元组信息对所抓取的数据包添加标识;
步骤4:利用流量分析模块根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型,根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析;
步骤5:利用协议解析模块根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据数据信息进行用户网络行为记录;
步骤6:利用病毒检测模块对步骤5解析获得的数据信息进行病毒库匹配检测;
步骤7:利用应用APP模块根据步骤6病毒库匹配检测的结果对步骤3获得的携带有标识的数据包进行新病毒的记录、更新、可视和报警以及外部入侵病毒的攻击事件进行记录和可视,对没有匹配到入侵病毒的情况进行记录、更新、可视和报警,及时通知运维人员做出防护措施。若病毒库有相应的病毒数据,则应用APP模块内的“攻击事件”中就会记录外部入侵病毒的IP以及攻击事件的次数,为运维人员提供一个可视化的对攻击事件的类型、攻击的时间以及IP地址的记录。
实施例五:
进一步结合实施例三的网络安全检测系统,在本发明实施例四的基础上还可以进一步增加泄密检测和深度入侵检测,如图5所示,具体步骤如下:
步骤1:利用数据采集模块经由数据监听接口对网络设备进行数据包的抓取;
步骤2:利用解析模块对步骤1抓取的数据包的前四层协议进行解析,获得解析后的数据包和五元组信息;
步骤3:采用入侵检测模块利用入侵检测方法对数据包进行入侵检测;利用跟踪模块根据五元组信息对所抓取的数据包添加标识;
步骤4:利用流量分析模块根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型,根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析;
步骤5:利用协议解析模块根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据数据信息进行用户网络行为记录;
步骤6:利用病毒检测模块对步骤5解析获得的数据信息进行病毒库匹配检测;
步骤7:利用应用APP模块根据步骤6病毒库匹配检测的结果对步骤3获得的携带有标识的数据包进行新病毒的记录、更新、可视和报警以及外部入侵病毒的攻击事件进行记录和可视,对没有匹配到入侵病毒的情况进行记录、更新、可视和报警,及时通知运维人员做出防护措施。若病毒库有相应的病毒数据,则应用APP模块内的“攻击事件”中就会记录外部入侵病毒的IP以及攻击事件的次数,为运维人员提供一个可视化的对攻击事件的类型、攻击的时间以及IP地址的记录。
步骤8:利用泄密检测模块对步骤5解析获得的数据信息进行文本提取和关键字判断,通过确定解析获得的数据信息的源MAC地址进行泄密检测;利用深度入侵检测模块对步骤5解析获得的数据信息与深度检测方法基于正则表达式进行深度入侵检测。
与现有技术相比,本发明提出了一种网络安全检测系统和网络安全检测方法,将入侵检测、网络行为检测、异常流量分析检测以及病毒检测模块集成在一个系统中,只需一个接口或者非常少的接口即可实现对网络访问的多种检测,根据系统中的数据包进行分析实时监控、管理网络资源使用情况,通过应用APP模块对病毒进行实时检测,当有新病毒入侵时时,对新病毒进行记录、更新、可视和报警;对外部入侵病毒的攻击事件进行记录和可视,有效提高网络安全检测的能力,全面实现多种网络安全检测,提升和确保网络访问的安全性。
以上所述的实施例仅是对本发明的优选实施方式进行描述,并非对本发明的范围进行限定,在不脱离本发明设计精神的前提下,本领域普通技术人员对本发明的技术方案做出的各种变形和改进,均应落入本发明权利要求书确定的保护范围内。
Claims (10)
1.一种网络安全检测系统,其特征在于,其包括:
网络设备、数据监听接口和数据采集模块,所述数据监听接口分别与所述网络设备和数据采集模块连接,所述数据采集模块用于从所述网络设备中抓取数据包;
还包括解析模块,所述解析模块与所述数据采集模块相连,用于解析所述数据采集模块所抓取的数据包的前四层协议,获得解析前四层协议后的数据包和五元组信息;
还包括入侵检测模块,所述入侵检测模块与所述解析模块相连,用于利用入侵检测方法给所述解析前四层协议后的数据包进行入侵检测;
还包括跟踪模块,所述跟踪模块分别与所述数据采集模块和所述解析模块相连,用于根据所述五元组信息给所述数据采集模块抓取的数据包添加标识,获得携带有标识的数据包;
还包括流量分析模块,所述流量分析模块与所述跟踪模块相连,用于根据流对象的五元组信息和携带有标识的数据包的内容确定流对象所采用的应用协议类型,根据所述携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析;
还包括协议解析模块,所述协议解析模块与所述流量分析模块相连,用于根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据所述解析获得的数据信息进行用户网络行为记录;
还包括病毒检测模块,所述病毒检测模块与所述协议解析模块相连,用于对解析获得的数据信息进行病毒库匹配检测;
还包括应用APP模块,所述应用APP模块分别与所述跟踪模块和所述病毒检测模块相连,用于对病毒库没有匹配到入侵病毒时,对新病毒进行记录、更新、可视和报警;对于病毒库匹配到入侵病毒时,对外部入侵病毒的攻击事件进行记录和可视。
2.根据权利要求1所述的网络安全检测系统,其特征在于,所述应用APP模块包括判断单元、统计分析和警告模式,所述判断单元用于判断所述跟踪模块获得的携带有标识的数据包是否属于已建立的流对象,如果是,进入统计分析,如果否,进入警告模式;当病毒库没有匹配到入侵病毒时,所述警告模式对所述跟踪模块内的新的病毒进行记录、更新和报警,可视流量的去向,通知运维人员做出防护措施;当病毒库匹配到入侵病毒时,所述统计分析对外部入侵病毒的攻击事件的类型、攻击次数、攻击时间和IP地址进行记录和可视。
3.根据权利要求1所述的网络安全检测系统,其特征在于,所述网络安全检测系统还包括泄密检测模块,所述泄密检测模块与所述协议解析模块相连,用于对所述解析获得的数据信息进行文本提取和关键字判断,通过确定所述解析获得的数据信息的源Mac地址进行泄密检测。
4.根据权利要求1所述的网络安全检测系统,其特征在于,所述网络安全检测系统还包括深度入侵检测模块,所述深度入侵检测模块与所述协议解析模块相连,用于将所述解析获得的数据信息与深度检测方法基于正则表达式进行深度入侵检测,所述深度检测方法为根据检测参数检测攻击行为,所述检测参数包括SQL语句和HTTP传输参数,所述攻击行为包括SQL注入攻击行为和网站跨站攻击行为。
5.根据权利要求1-4任意一项所述的网络安全检测系统,其特征在于,所述数据监听接口的数量为1;所述数据采集模块实现数据包的抓取采用的工具包括pcap技术、采集网卡、Wireshark和Fiddler;所述跟踪模块包括判断单元、第一标识单元和第二标识单元,所述判断单元用于根据五元组信息判断所抓取的数据包是否属于已建立的流对象,具体为:
根据五元组信息判断所抓取的数据包是否属于已建立的流对象,如果是,则进入第一标识单元;如果否,则进入第二标识单元。
6.一种采用权利要求1至5之一所述的网络安全检测系统进行的网络安全检测方法,其特征在于,其包括以下步骤:
步骤1:利用数据采集模块经由数据监听接口对网络设备进行数据包的抓取;
步骤2:利用解析模块对所述步骤1抓取的数据包的前四层协议进行解析,获得解析前四层协议后的数据包和五元组信息;
步骤3:利用入侵检测模块采用入侵检测方法对所述步骤2获得的解析前四层协议后的数据包进行入侵检测;利用跟踪模块根据所述五元组信息给所述步骤1抓取的数据包添加标识,获得携带有标识的数据包;
步骤4:利用流量分析模块根据所述步骤3获得的携带有标识的数据包的内容和流对象的五元组信息确定流对象所采用的应用协议类型,根据所述携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析,检测异常流量;
步骤5:利用协议解析模块根据所述步骤4中流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据所述数据信息进行用户网络行为记录;
步骤6:利用病毒检测模块对所述步骤5解析获得的数据信息进行病毒库匹配检测;
步骤7:利用应用APP模块根据所述步骤6病毒库匹配检测的结果对所述步骤3获得的携带有标识的数据包进行新病毒的记录、更新、可视和报警以及外部入侵病毒的攻击事件进行记录和可视。
7.根据权利要求6所述的网络安全检测的方法,其特征在于,所述步骤3中入侵检测方法为判断数据包与入侵检测特征库中的行为特征是否匹配,如果匹配,则数据包为网络入侵行为的数据包;如果不匹配,则数据包为正常网络访问行为的数据包;采用所述入侵检测方法对所述解析前四层协议后的数据包进行入侵检测包括恶意代码、攻击行为和蠕虫的检测。
8.根据权利要求6所述的网络安全检测的方法,其特征在于,所述步骤4流量分析模块包括第一协议确定单元和第二协议确定单元,利用所述流量分析模块根据所述步骤3获得的携带有标识的数据包的内容和流对象的五元组信息确定流对象所采用的应用协议类型具体为:当目的端口为固定协议端口时,所述第一协议确定单元根据所述目的端口从主连接列表中查找流对象的应用协议类型;当目的端口为动态协议端口时,所述第二协议确定单元根据流对象的源IP地址、目的IP地址和从数据包内容中解析出的目的端口从期盼连接列表中查找流对象的应用协议类型。
9.根据权利要求8所述的网络安全检测的方法,其特征在于,所述步骤4中的流量分析为根据流对象的目的端口类型统计采用相同应用协议类型的流量数据,根据所述流量数据采用流量阙值和自动学习的流量基线方法进行流量分析,具体为:当流对象的目的端口为固定协议端口时,统计采用相同应用协议类型的固定协议端口的流对象收发数据包数、收发字节数和连接时长;当流对象的目的端口为动态协议端口时,统计采用相同应用协议类型的动态协议端口的流对象的收发数据包数、收发字节数和连接时长。
10.根据权利要求6所述的网络安全检测的方法,其特征在于,所述步骤5中解析插件包括连接建立插件、内容解析插件和连接关闭插件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111075137.XA CN113783880A (zh) | 2021-09-14 | 2021-09-14 | 网络安全检测系统及其网络安全检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111075137.XA CN113783880A (zh) | 2021-09-14 | 2021-09-14 | 网络安全检测系统及其网络安全检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113783880A true CN113783880A (zh) | 2021-12-10 |
Family
ID=78843562
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111075137.XA Pending CN113783880A (zh) | 2021-09-14 | 2021-09-14 | 网络安全检测系统及其网络安全检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113783880A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114338439A (zh) * | 2021-12-27 | 2022-04-12 | 上海观安信息技术股份有限公司 | 一种通用的网络流量解析装置和方法 |
| CN115277244A (zh) * | 2022-08-05 | 2022-11-01 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测系统及方法 |
| CN116132196A (zh) * | 2023-04-07 | 2023-05-16 | 广东企和科技有限公司 | 一种用于社保平台数据的安全传输方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080196103A1 (en) * | 2007-02-09 | 2008-08-14 | Chao-Yu Lin | Method for analyzing abnormal network behaviors and isolating computer virus attacks |
| CN103795709A (zh) * | 2013-12-27 | 2014-05-14 | 北京天融信软件有限公司 | 一种网络安全检测方法和系统 |
| CN108111503A (zh) * | 2017-12-15 | 2018-06-01 | 安徽长泰信息安全服务有限公司 | 基于访问限制的信息安全防护主机 |
| CN112671801A (zh) * | 2021-01-12 | 2021-04-16 | 哈尔滨财富通科技发展有限公司 | 一种网络安全检测方法和系统 |
-
2021
- 2021-09-14 CN CN202111075137.XA patent/CN113783880A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080196103A1 (en) * | 2007-02-09 | 2008-08-14 | Chao-Yu Lin | Method for analyzing abnormal network behaviors and isolating computer virus attacks |
| CN103795709A (zh) * | 2013-12-27 | 2014-05-14 | 北京天融信软件有限公司 | 一种网络安全检测方法和系统 |
| CN108111503A (zh) * | 2017-12-15 | 2018-06-01 | 安徽长泰信息安全服务有限公司 | 基于访问限制的信息安全防护主机 |
| CN112671801A (zh) * | 2021-01-12 | 2021-04-16 | 哈尔滨财富通科技发展有限公司 | 一种网络安全检测方法和系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114338439A (zh) * | 2021-12-27 | 2022-04-12 | 上海观安信息技术股份有限公司 | 一种通用的网络流量解析装置和方法 |
| CN114338439B (zh) * | 2021-12-27 | 2023-08-08 | 上海观安信息技术股份有限公司 | 一种通用的网络流量解析装置和方法 |
| CN115277244A (zh) * | 2022-08-05 | 2022-11-01 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测系统及方法 |
| CN115277244B (zh) * | 2022-08-05 | 2023-07-25 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测系统及方法 |
| CN116132196A (zh) * | 2023-04-07 | 2023-05-16 | 广东企和科技有限公司 | 一种用于社保平台数据的安全传输方法 |
| CN116132196B (zh) * | 2023-04-07 | 2023-06-30 | 广东企和科技有限公司 | 一种用于社保平台数据的安全传输方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103795709B (zh) | 一种网络安全检测方法和系统 | |
| Pilli et al. | Network forensic frameworks: Survey and research challenges | |
| US9860278B2 (en) | Log analyzing device, information processing method, and program | |
| KR100456635B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 방법 | |
| CN113783880A (zh) | 网络安全检测系统及其网络安全检测方法 | |
| Ganame et al. | A global security architecture for intrusion detection on computer networks | |
| US20030188189A1 (en) | Multi-level and multi-platform intrusion detection and response system | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| CN116827675A (zh) | 一种网络信息安全分析系统 | |
| Frye et al. | An ontology-based system to identify complex network attacks | |
| CN113783886A (zh) | 一种基于情报和数据的电网智慧运维方法及其系统 | |
| Alparslan et al. | BotNet detection: Enhancing analysis by using data mining techniques | |
| u Nisa et al. | Detection of slow port scanning attacks | |
| Suo et al. | Research on the application of honeypot technology in intrusion detection system | |
| Kaushik et al. | Network forensic system for ICMP attacks | |
| Özer et al. | Detection of DDoS attack via deep packet analysis in real time systems | |
| Abudalfa et al. | Evaluating performance of supervised learning techniques for developing real-time intrusion detection system | |
| Sharma | Honeypots in Network Security | |
| Badea et al. | Computer network vulnerabilities and monitoring | |
| Zhang et al. | Design and implementation of a network based intrusion detection systems | |
| Ersson et al. | Botnet detection with event-driven analysis | |
| Kaur et al. | Design & implementation of Linux based network forensic system using Honeynet | |
| CN116827698B (zh) | 一种网络关口流量安全态势感知系统及方法 | |
| Ashok et al. | Why so abnormal? Detecting domains receiving anomalous surge traffic in a monitored network | |
| Liu et al. | Discovering anomaly on the basis of flow estimation of alert feature distribution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211210 |
|
| RJ01 | Rejection of invention patent application after publication |