CN114944930A - 基于高集聚场景下的内网安全通信方法 - Google Patents

基于高集聚场景下的内网安全通信方法 Download PDF

Info

Publication number
CN114944930A
CN114944930A CN202210306052.6A CN202210306052A CN114944930A CN 114944930 A CN114944930 A CN 114944930A CN 202210306052 A CN202210306052 A CN 202210306052A CN 114944930 A CN114944930 A CN 114944930A
Authority
CN
China
Prior art keywords
virus
blocking
terminal
management platform
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210306052.6A
Other languages
English (en)
Inventor
钱锦
徐李冰
徐汉麟
倪夏冰
李强强
徐晓华
杜猛俊
向新宇
陈元中
周昕悦
熊凯骅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd filed Critical Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority to CN202210306052.6A priority Critical patent/CN114944930A/zh
Publication of CN114944930A publication Critical patent/CN114944930A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了基于高集聚场景下的内网安全通信方法,所述内网安全通信方法具体为先通过管理平台进行病毒确诊阻断配置,并在终端上线时,通过病毒确诊检测设备对上线终端的终端流量进行病毒检测,并在检测到病毒存在时,先将检测出的病毒进行分类,再根据分解结果向管理平台发送对应病毒确诊类型的安全日志,管理平台根据安全日志对上线终端内存在的病毒进行等级判断,并判断上线终端的日志病毒级别是否属于病毒确诊阻断配置内容,在判断结果为上线终端的日志病毒级别属于病毒确诊阻断配置内容时,对上线终端进行阻断。本发明在管理平台上进行相关配置,能够简化配置操作,面对高集聚场景下的配置需求,也能够快速且高效地完成配置工作。

Description

基于高集聚场景下的内网安全通信方法
技术领域
本发明涉及,尤其是指一种基于高集聚场景下的内网安全通信方法。
背景技术
当前,随着网络技术的不断提升,互联网也充斥到各行各业,给人们带来更快捷、更便利、更高效的学习和办公环境。但是,随之而来的是网络环境安全形式也变得更加严峻。各种网络安全问题和网络病毒也是层出不穷。尤其是像学校、企业、部门、医院等部署有多台设备的网络环境,更是网络病毒爆发的重灾区。在这样的环境下,为了保证用户网络安全,以及尽可能避免网络病毒造成的用户利益受损,提高网络安全设备的保障功能是势在必行的。现有技术中常利用交换机来对网络中的上线终端进行病毒检测,交换机虽然能够自主检查发现病毒并进行阻断,但是随着现在网络技术的提高,病毒逐渐变得越来越复杂,越来越隐蔽,破坏性也越来越大,造成的损失也是传统病毒所不能比的。现有交换机的病毒确诊功能已经不能满足网络安全的需求,对于一些更加隐蔽的病毒还会存在检测不到的状况,且利用交换机进行病毒阻断,需要在交换机设备页面上进行相应的操作,如果存在多台交换机,就会大大增加操作人员的工作量,对病毒检测阻断的工作效率也会造成影响。
发明内容
本发明的目的是克服现有技术中的缺点,提供一种基于高集聚场景下的内网安全通信方法,能够有效解决设备高集聚场景下,交换机病毒检测能力不够,操作设置要求高,操作人员的工作量大大增加的问题。
本发明的目的是通过下述技术方案予以实现:
基于高集聚场景下的内网安全通信方法,包括以下步骤:
步骤一,通过管理平台进行病毒确诊阻断配置,并实时检测所有终端的在线状态,在检测到其中一个终端上线后,将上线终端通过交换机接入终端控制设备;
步骤二,终端控制设备接收上线终端的终端流量,并复制接收到的终端流量,将复制的终端流量发送至病毒确诊检测设备,并通过病毒确诊检测设备根据终端流量进行病毒检测,若病毒确诊检测设备未检测到终端流量内有病毒存在,则向管理平台发送未存在病毒的安全日志,上线终端正常接入安全网络进行通信;若病毒确诊检测设备检测到终端流量内有病毒存在,则执行步骤三;
步骤三,病毒确诊检测设备将检测出的病毒进行分类,根据分类结果向管理平台发送对应病毒确诊类型的安全日志,管理平台接收到病毒确诊类型的安全日志后,根据接收到的安全日志对上线终端内存在的病毒进行等级判断,获取上线终端的日志病毒级别;
步骤四,管理平台调取病毒确诊阻断配置,判断上线终端的日志病毒级别是否属于病毒确诊阻断配置内容,若不属于病毒确诊阻断配置内容,则管理平台不对上线终端做出处理,上线终端正常接入安全网络进行通信;若属于病毒确诊阻断配置内容,则管理平台向上线终端对应的交换机发送阻断报文,交换机接收到阻断报文后,对上线终端进行阻断。
进一步的,所述病毒确诊阻断配置包括阻断级别配置和阻断设备选择,通过阻断设备选择获取管理平台的阻断列表。
进一步的,步骤四中在管理平台判断上线终端的日志病毒级别属于病毒确诊阻断配置内容,并向上线终端对应的交换机发送阻断报文后,还将此次的阻断信息加入管理平台的阻断列表。
进一步的,在确定管理平台的阻断列表后,向管理平台的阻断列表内每个阻断设备对应接入的交换机发送停止发送安全日志的报文,接收到停止发送安全日志的报文后,阻断设备对应接入的交换机不再发送阻断设备对应病毒检测结果的安全日志至管理平台。
进一步的,步骤三中根据接收到的安全日志对上线终端内存在的病毒进行等级判断的具体过程为:设置病毒等级划分的影响因素,根据每个影响因素对病毒危害程度的影响设置对应权重,根据接收到的安全日志获取上线终端的病毒信息,提取病毒信息中对应的影响因素,并根据提取的影响因素以及设置的权重计算上线终端内存在的病毒对应的病毒危害程度,并将计算得到的病毒危害程度与预设等级区间阈值进行比较,根据比较结果确定上线终端内存在的病毒的日志病毒等级。
进一步的,所述影响因素包括病毒类型、病毒传播途径、传染方式和传播速度。
进一步的,步骤四中管理平台向上线终端对应的交换机发送阻断报文时,通过读取上线终端的IP确定发送阻断报文的对象交换机。
本发明的有益效果是:
在管理平台上进行病毒确诊阻断的配置,能够简化操作人员的配置操作,即使面对高集聚场景下的配置需求,仍旧可以快速且高效地完成配置工作。且通过病毒确诊检测设备进行病毒确诊检测,有效提高病毒确诊的准确性。
附图说明
图1是本发明的一种流程示意图。
具体实施方式
下面结合附图和实施例对本发明进一步描述。
实施例:
基于高集聚场景下的内网安全通信方法,如图1所示,包括以下步骤:
步骤一,通过管理平台进行病毒确诊阻断配置,并实时检测所有终端的在线状态,在检测到其中一个终端上线后,将上线终端通过交换机接入终端控制设备;
步骤二,终端控制设备接收上线终端的终端流量,并复制接收到的终端流量,将复制的终端流量发送至病毒确诊检测设备,并通过病毒确诊检测设备根据终端流量进行病毒检测,若病毒确诊检测设备未检测到终端流量内有病毒存在,则向管理平台发送未存在病毒的安全日志,上线终端正常接入安全网络进行通信;若病毒确诊检测设备检测到终端流量内有病毒存在,则执行步骤三;
步骤三,病毒确诊检测设备将检测出的病毒进行分类,根据分类结果向管理平台发送对应病毒确诊类型的安全日志,管理平台接收到病毒确诊类型的安全日志后,根据接收到的安全日志对上线终端内存在的病毒进行等级判断,获取上线终端的日志病毒级别;
步骤四,管理平台调取病毒确诊阻断配置,判断上线终端的日志病毒级别是否属于病毒确诊阻断配置内容,若不属于病毒确诊阻断配置内容,则管理平台不对上线终端做出处理,上线终端正常接入安全网络进行通信;若属于病毒确诊阻断配置内容,则管理平台向上线终端对应的交换机发送阻断报文,交换机接收到阻断报文后,对上线终端进行阻断。
具体的,本实施例中采用iNAC(自安全园区网解决方案)设备作为终端控制设备,iNAC-X设备作为病毒确诊检测设备,iNAC-X设备的主要功能即为病毒确诊,而iNAC设备则能够实时监测用户现网业务的传输情况以及用户终端的上线与下线情况,监测内容包括了终端的IP地址、MAC地址、上下线时间,也可以用来查询终端访问资源历史和当前记录,能够监测内网用户行为,并针对异常行为及用户访问情况自动生成日志。
所述病毒确诊阻断配置包括阻断级别配置和阻断设备选择,通过阻断设备选择获取管理平台的阻断列表。
步骤四中在管理平台判断上线终端的日志病毒级别属于病毒确诊阻断配置内容,并向上线终端对应的交换机发送阻断报文后,还将此次的阻断信息加入管理平台的阻断列表。
在后续操作人员确定阻断列表内的某个阻断设备不再存在病毒威胁后,能够通过管理平台将该阻断设备从阻断列表内去除,并在该阻断设备重新上线后,该阻断设备能够继续正常接入到安全网络。
在进行病毒确诊阻断配置前,当iNAC-X设备判断出上线终端存在病毒时,由于未确定具体的阻断级别配置,也就无法确定是否属于阻断设备,是否进行进一步的病毒阻断,iNAC-X设备会向管理平台发送疑似病毒类型的安全日志。在完成病毒确诊阻断配置后,确定了管理平台的阻断列表后,再向管理平台的阻断列表内每个阻断设备对应接入的交换机发送停止发送安全日志的报文,接收到停止发送安全日志的报文后,阻断设备对应接入的交换机不再发送疑似病毒类型的安全日志至管理平台。
步骤三中根据接收到的安全日志对上线终端内存在的病毒进行等级判断的具体过程为:设置病毒等级划分的影响因素,根据每个影响因素对病毒危害程度的影响设置对应权重,根据接收到的安全日志获取上线终端的病毒信息,提取病毒信息中对应的影响因素,并根据提取的影响因素以及设置的权重计算上线终端内存在的病毒对应的病毒危害程度,并将计算得到的病毒危害程度与预设等级区间阈值进行比较,根据比较结果确定上线终端内存在的病毒的日志病毒等级。
阻断级别配置内配置的日志病毒等级包括一般、重要和严重,处于一般等级的病毒,其主要危害包括了对于软件系统造成干扰、窃取信息、修改系统信息,不会造成硬件损坏和数据丢失。处于重要等级的病毒则会对计算机的系统造成影响,无法正常启动,且硬盘中数据存在无法读取的风险。处于严重等级的病毒则会不仅会对软件造成破坏,还会对硬盘、主板等硬件造成破坏。在进行等级判断后,根据不同的日志病毒级别来确定后续的阻断报文。
除了以上三类等级的病毒以外,还存在有良性等级病毒,此等级的病毒不会造成系统破坏,影响很小,因此若检测出的病毒判断处于良性等级时,管理平台不对其进行处理,对应终端能够正常接入安全网络。
所述影响因素包括病毒类型、病毒传播途径、传染方式和传播速度。
步骤四中管理平台向上线终端对应的交换机发送阻断报文时,通过读取上线终端的IP确定发送阻断报文的对象交换机。
iNAC设备能够监测上线终端的IP地址,在需要通过交换机实现阻断时,通过IP地址能够确定需要进行阻断的上线终端位置,从而向其接入的交换机发送阻断报文。
以上所述的实施例只是本发明的一种较佳的方案,并非对本发明作任何形式上的限制,在不超出权利要求所记载的技术方案的前提下还有其它的变体及改型。

Claims (7)

1.基于高集聚场景下的内网安全通信方法,其特征在于,包括以下步骤:
步骤一,通过管理平台进行病毒确诊阻断配置,并实时检测所有终端的在线状态,在检测到其中一个终端上线后,将上线终端通过交换机接入终端控制设备;
步骤二,终端控制设备接收上线终端的终端流量,并复制接收到的终端流量,将复制的终端流量发送至病毒确诊检测设备,并通过病毒确诊检测设备根据终端流量进行病毒检测,若病毒确诊检测设备未检测到终端流量内有病毒存在,则向管理平台发送未存在病毒的安全日志,上线终端正常接入安全网络进行通信;若病毒确诊检测设备检测到终端流量内有病毒存在,则执行步骤三;
步骤三,病毒确诊检测设备将检测出的病毒进行分类,根据分类结果向管理平台发送对应病毒确诊类型的安全日志,管理平台接收到病毒确诊类型的安全日志后,根据接收到的安全日志对上线终端内存在的病毒进行等级判断,获取上线终端的日志病毒级别;
步骤四,管理平台调取病毒确诊阻断配置,判断上线终端的日志病毒级别是否属于病毒确诊阻断配置内容,若不属于病毒确诊阻断配置内容,则管理平台不对上线终端做出处理,上线终端正常接入安全网络进行通信;若属于病毒确诊阻断配置内容,则管理平台向上线终端对应的交换机发送阻断报文,交换机接收到阻断报文后,对上线终端进行阻断。
2.根据权利要求1所述的基于高集聚场景下的内网安全通信方法,其特征在于,所述病毒确诊阻断配置包括阻断级别配置和阻断设备选择,通过阻断设备选择获取管理平台的阻断列表。
3.根据权利要求2所述的基于高集聚场景下的内网安全通信方法,其特征在于,步骤四中在管理平台判断上线终端的日志病毒级别属于病毒确诊阻断配置内容,并向上线终端对应的交换机发送阻断报文后,还将此次的阻断信息加入管理平台的阻断列表。
4.根据权利要求2所述的基于高集聚场景下的内网安全通信方法,其特征在于,在确定管理平台的阻断列表后,向管理平台的阻断列表内每个阻断设备对应接入的交换机发送停止发送安全日志的报文,接收到停止发送安全日志的报文后,阻断设备对应接入的交换机不再发送阻断设备对应病毒检测结果的安全日志至管理平台。
5.根据权利要求1所述的基于高集聚场景下的内网安全通信方法,其特征在于,步骤三中根据接收到的安全日志对上线终端内存在的病毒进行等级判断的具体过程为:设置病毒等级划分的影响因素,根据每个影响因素对病毒危害程度的影响设置对应权重,根据接收到的安全日志获取上线终端的病毒信息,提取病毒信息中对应的影响因素,并根据提取的影响因素以及设置的权重计算上线终端内存在的病毒对应的病毒危害程度,并将计算得到的病毒危害程度与预设等级区间阈值进行比较,根据比较结果确定上线终端内存在的病毒的日志病毒等级。
6.根据权利要求5所述的基于高集聚场景下的内网安全通信方法,其特征在于,所述影响因素包括病毒类型、病毒传播途径、传染方式和传播速度。
7.根据权利要求1所述的基于高集聚场景下的内网安全通信方法,其特征在于,步骤四中管理平台向上线终端对应的交换机发送阻断报文时,通过读取上线终端的IP确定发送阻断报文的对象交换机。
CN202210306052.6A 2022-03-25 2022-03-25 基于高集聚场景下的内网安全通信方法 Pending CN114944930A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210306052.6A CN114944930A (zh) 2022-03-25 2022-03-25 基于高集聚场景下的内网安全通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210306052.6A CN114944930A (zh) 2022-03-25 2022-03-25 基于高集聚场景下的内网安全通信方法

Publications (1)

Publication Number Publication Date
CN114944930A true CN114944930A (zh) 2022-08-26

Family

ID=82906055

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210306052.6A Pending CN114944930A (zh) 2022-03-25 2022-03-25 基于高集聚场景下的内网安全通信方法

Country Status (1)

Country Link
CN (1) CN114944930A (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040205419A1 (en) * 2003-04-10 2004-10-14 Trend Micro Incorporated Multilevel virus outbreak alert based on collaborative behavior
KR20080040257A (ko) * 2006-11-02 2008-05-08 한국전자통신연구원 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치
JP2009176137A (ja) * 2008-01-25 2009-08-06 Sky Co Ltd ウィルス被害範囲予測システム
US20120151559A1 (en) * 2009-08-28 2012-06-14 International Business Machines Corporation Threat Detection in a Data Processing System
CN108551449A (zh) * 2018-04-13 2018-09-18 上海携程商务有限公司 防病毒管理系统及方法
CN108574676A (zh) * 2017-03-13 2018-09-25 北京格勤科技有限公司 网络安全共享服务一体机
US20200007586A1 (en) * 2018-06-29 2020-01-02 Peter J. Seeber Integrated security and threat prevention and detection platform
CN112769849A (zh) * 2021-01-19 2021-05-07 杭州迪普科技股份有限公司 一种病毒确诊与阻断的方法、系统、设备及存储介质
CN114124552A (zh) * 2021-11-29 2022-03-01 恒安嘉新(北京)科技股份公司 一种网络攻击的威胁等级获取方法、装置和存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040205419A1 (en) * 2003-04-10 2004-10-14 Trend Micro Incorporated Multilevel virus outbreak alert based on collaborative behavior
KR20080040257A (ko) * 2006-11-02 2008-05-08 한국전자통신연구원 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치
JP2009176137A (ja) * 2008-01-25 2009-08-06 Sky Co Ltd ウィルス被害範囲予測システム
US20120151559A1 (en) * 2009-08-28 2012-06-14 International Business Machines Corporation Threat Detection in a Data Processing System
CN108574676A (zh) * 2017-03-13 2018-09-25 北京格勤科技有限公司 网络安全共享服务一体机
CN108551449A (zh) * 2018-04-13 2018-09-18 上海携程商务有限公司 防病毒管理系统及方法
US20200007586A1 (en) * 2018-06-29 2020-01-02 Peter J. Seeber Integrated security and threat prevention and detection platform
CN112769849A (zh) * 2021-01-19 2021-05-07 杭州迪普科技股份有限公司 一种病毒确诊与阻断的方法、系统、设备及存储介质
CN114124552A (zh) * 2021-11-29 2022-03-01 恒安嘉新(北京)科技股份公司 一种网络攻击的威胁等级获取方法、装置和存储介质

Similar Documents

Publication Publication Date Title
CN101201786B (zh) 一种故障日志监控方法及装置
CN112866185B (zh) 网络流量监控设备和异常流量检测方法
CN107508831B (zh) 一种基于总线的入侵检测方法
CN109033813B (zh) Linux操作日志的审计系统和方法
CN112787992A (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
CN108551449B (zh) 防病毒管理系统及方法
CN111669371B (zh) 一种适用于电力网络的网络攻击还原系统及方法
CN105373460A (zh) 监控消息的告警方法和系统
CN103378991A (zh) 一种在线服务异常监测方法及其监测系统
CN113438249B (zh) 一种基于策略的攻击溯源方法
CN111786986B (zh) 一种数控系统网络入侵防范系统及方法
CN111212035A (zh) 一种主机失陷确认及自动修复方法及基于此的系统
CN109474510A (zh) 一种邮箱安全交叉审计方法、系统及存储介质
CN106982141A (zh) Weblogic实例监控方法及装置
CN114944930A (zh) 基于高集聚场景下的内网安全通信方法
CN116668078A (zh) 一种互联网入侵安全防御系统
CN112839029B (zh) 一种僵尸网络活跃度的分析方法与系统
CN112769849A (zh) 一种病毒确诊与阻断的方法、系统、设备及存储介质
CN103310147B (zh) 工厂用安全管理装置及管理方法
CN109286605B (zh) 一种基于大数据的业务行为路径监控方法及装置
CN117648689B (zh) 基于人工智能的工控主机安全事件自动响应方法
CN112565221B (zh) 漏洞检测方法、装置、系统及平台
RU2800739C1 (ru) Система и способ определения уровня опасности событий информационной безопасности
CN117176387A (zh) 一种网络资产安全管理方法和设备
CN113965348A (zh) 一种综合电子系统的入侵检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination