CN116094817A - 一种网络安全检测系统和方法 - Google Patents

一种网络安全检测系统和方法 Download PDF

Info

Publication number
CN116094817A
CN116094817A CN202310084292.0A CN202310084292A CN116094817A CN 116094817 A CN116094817 A CN 116094817A CN 202310084292 A CN202310084292 A CN 202310084292A CN 116094817 A CN116094817 A CN 116094817A
Authority
CN
China
Prior art keywords
unit
network
data
module
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310084292.0A
Other languages
English (en)
Inventor
施其明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Digital Communication Shanghai Enterprise Development Co ltd
Original Assignee
Digital Communication Shanghai Enterprise Development Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Digital Communication Shanghai Enterprise Development Co ltd filed Critical Digital Communication Shanghai Enterprise Development Co ltd
Priority to CN202310084292.0A priority Critical patent/CN116094817A/zh
Publication of CN116094817A publication Critical patent/CN116094817A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种网络安全检测系统和方法,涉及网络安全技术领域,包括网络数据监测单元、数据采集单元、数据解析单元、网络数据库、数据过滤单元、入侵检测单元、危险分析单元、数据跟踪单元、危险预警单元和数据显示单元,所述网络数据监测单元用于防止恶意网络访问给网络系统中的数据带来的破坏、更改和泄露;该发明不仅可以对木马病毒文件、异常登录和密码破解的黑客入侵行为及时进行拦截处理,同时通过防御拦截单元对进入到计算机网络中的网络数据信息进行木马文件拦截、密码破解阻断、登录行为审计、高危漏洞检测和资产组件识别处理,有效的减少计算机网络安全系统被木马文件、异常登录、密码破解行为恶意破坏,造成企业不必要的经济损失。

Description

一种网络安全检测系统和方法
技术领域
本发明涉及网络安全技术,具体涉及一种网络安全检测系统和方法。
背景技术
随着互联网技术的发展,信息网络已经成为社会发展的重要保证,有很多是敏感信息,所以难免会吸引来自世界各地的各种人为攻击,例如信息泄露、信息窃取、数据篡改、密码破解、木马病毒等,为了防止恶意网络访问给网络系统中的数据带来的破坏、更改和泄露,保证网络系统安全可靠的运行,需要对网络访问进行安全检测和上网行为管理。
目前常用的网络安全检测技术有入侵检测技术、网络行为审计技术、异常流量分析技术以及病毒检测技术等,入侵检测技术是通过收集非正常网络访问的行为特征,建立行为特征库,当检测到与行为特征库中匹配的网络访问时,就将此次网络访问定义为入侵访问,网络安全检测系统是对计算机和网络资源的恶意使用行为进行识别和相应处理的系统,现有的入侵检测系统检测功能单一,只能对入侵网络安全系统的非法访问进行警示处理,无法自主进行修复,导致企业用户电脑受到攻击无法正常使用,同时无法自主进行漏洞的更新容易导致误报和漏报,为此,我们提出了一种网络安全检测系统和方法。
发明内容
本发明的目的是提供一种网络安全检测系统和方法,以解决现有技术中的上述不足之处。
为了实现上述目的,本发明提供如下技术方案:一种网络安全检测系统和方法,包括网络数据监测单元、数据采集单元、数据解析单元、网络数据库、数据过滤单元、入侵检测单元、危险分析单元、数据跟踪单元、危险预警单元和数据显示单元;
所述网络数据监测单元用于防止恶意网络访问给网络系统中的数据带来的破坏、更改和泄露,保证网络系统安全可靠的运行;
所述数据采集单元用于对进入到设备中的网络信息进行快速采集收集,并发送给数据解析单元;
所述数据解析单元用于对计算机和网络资源的恶意使用行为进行识别和相应的系统解析处理;
所述网络数据库用于将计算机网络正常程序数据信息和安全运维数据信息进行统一保存,对计算机网络数据信息进行调取查看;
所述入侵检测单元用于对进入到计算机网络数据系统中的数据信息进行入侵检测处理;
所述危险分析单元用于对入侵到计算机内部系统中的网络数据信息进行危险指数分析处理;
所述数据过滤单元用于对进入到计算机网络内部的数据信息进行自动快速过滤处理,并将过滤后的网络数据信息发送给数据跟踪单元;
所述数据跟踪单元用于对进入到计算机内部的所有数据信息的行进轨迹进行快速跟踪处理;
所述危险预警单元用于入侵检测系统能够在入侵攻击对网络系统造成危害前,及时检测到入侵攻击的发生,并进行报警警示处理;
所述数据显示单元用于对网络数据信息进行展示处理。
进一步地,还包括防御拦截单元、事件管理单元、入侵响应单元、风险评估单元、漏洞修复单元和事件数据库;
所述防御拦截单元用于对进入到计算机网络中的网络数据信息进行木马文件拦截、密码破解阻断、登录行为审计、高危漏洞检测和资产组件识别处理,快速发现木马病毒文件、异常登录和密码破解的黑客入侵行为及时进行拦截处理,并将拦截后的危险网络数据信息分别发送给危险预警单元和时间管理单元;
所述事件管理单元用于对入侵计算机系统的网络数据信息进行事件分类与分级、事件报告、事件调查、事件整改、事件统计分析和检查与回顾处理;
所述入侵响应单元用于新入侵行为出现时,对计算机网络安全的漏洞检测功能进行第一时间评估新增漏洞对企业的影响,并提供有效的修复方案和安全技术支持响应;
所述风险评估单元用于对入侵计算机网络安全信息系统的入侵行为进行快速风险分析评估处理,并将风险评估的结果分别发送给漏洞修复单元和危险预警单元;
所述漏洞修复单元用于对入侵计算机网络安全系统的木马文件、异常登录、密码破解行为进行快速修复查杀处理,并将修复查杀后的数据信息发送给事件数据库,减少计算机网络安全系统被木马文件、异常登录和密码破解行为恶意破坏,造成企业不必要的经济损失;
所述事件数据库用于对被入侵攻击后,保存漏洞修复单元修复查杀后的漏洞数据信息,便于取证分析,用于进行以后安全网络信息系统入侵漏洞的调取和对比。
进一步地,所述防御拦截单元包括木马文件拦截模块、密码破解阻断模块、登录行为审计模块、高危漏洞检测模块和资产组件识别模块;
所述木马文件拦截模块用于木马文件病毒进行快速拦截查杀,同时进行木马文件病毒类型进行分析归类处理;
所述密码破解阻断模块用于对入侵计算机安全系统的病毒恶意破解安全防护密码的行为进行快速阻断处理;
所述登录行为审计模块用于对登录计算机网络安全系统的行为进行系统分析排查审计处理;
所述高危漏洞检测模块对高危的漏洞信息进行检测分析,通过高危漏洞检测模块进行漏洞缺陷的快速更新,并提供有效的修复方案和安全技术支持;
所述资产组件识别模块用于企业在新漏洞发生时无法及时统计业务所受影响情况,计算机的资产组件识别模块能够快速构建企业资产组件的全景图,提升应急响应效率。
进一步地,所述数据跟踪单元的输出端与木马文件拦截模块的输入端相连接,所述木马文件拦截模块的输出端与密码破解阻断模块的输入端相连接,所述密码破解阻断模块的输出端与登录行为审计模块的输入端相连接,所述登录行为审计模块的输出端与高危漏洞检测模块的输入端相连接,所述高危漏洞检测模块的输出端与资产组件识别模块的输入端相连接,所述资产组件识别模块的输出端与事件管理单元的输入端相连接。
进一步地,所述事件管理单元包括事件分类与分级模块、事件报告模块、事件调查模块、事件整治模块、事件统计分析模块和检查与回顾处理模块;
所述事件分类与分级模块用于对计算机网络安全系统本次入侵事件进行分类分级处理,所述事件分类与分级计算公式如下:
其中Pr(lp,i=k)是一个分配函数,表示网络P中的第i个节点有k个链接数,即边数的概率,Pr代表Probability,为概率,lp,i=k表示P中的i个节点有k个链接数,|Gc|表示物理网规模大小,|Gc|表示信息网规模大小,k表示该节点的链接数,网络的链接与网络节点物理网规模|Gp|,信息网规模|Gc|有关,通过定义相应节点数目和初始节点间的链接概率,随机移除|Gc|中的φ比例的节点得到Gc网络剩余的功能节点数目G′c1,G′c1计算公式如下:
|G′c1|=|Gc|×(1-φ)=|GC|×μ′1,其中μ′1代表Gc剩余功能节点占全部节点的比例;
Gc故障后的最大连通Gc1计算公式如下:
|Gc1|=|G′c1|×F(μ′1,λc)=|Gc|×μ1,其中F(μ′1,λc)为Gc节点属于最大连通集团的概率,λc为幂指数,μ1代表Gc最大连通集团占全部节点的比例;
删除Gp网络因失去链接依赖的节点数目,计算Gp中剩余的节点集G′p2与G′p2的最大连通集团的Gp2,计算公式如下:
|G′p2|=μ′1×F(μ′1,λc)×|Gp|;
|Gp2|=μ′2×F(μ′2,λp)×|Gp|,其中μ′2代表Gp网络剩余功能节点占全部节点的比例,F(μ′1,λc)为Gc节点属于最大连通集团的概率,其中Gp网络剩余功能节点占全部节点的比例计算公式如下:
μ′2=μ′1×F(μ′1,λ′c),当Gc网络失效的节点比例越小,网络幂指数λc越大,G′p2网络剩余节点比例越大,重复以上步骤,整个网络会到达最终的稳定状态;
所述事件报告模块用于对分类与分级后的事件情况进行报告生成处理;
所述事件调查模块用于对本次计算机安全系统遭受安全入侵的事件原因进行调查分析处理;
所述事件整治模块用于对此次计算机安全网络系统遭受安全入侵的起因进行系统整治处理,并提供新的有效防护安全措施;
所述事件统计分析模块用于对本次计算机网络安全系统入侵事件进行统计分析处理,并将统计结果发送给检查与回顾处理模块;
所述检查与回顾处理模块用于对事件统计分析后的事件数据信息进行系统储存,用于后期的检查取证回顾处理。
进一步地,所述防御拦截单元的输出端与事件分类与分级模块的输入端相连接,所述事件分类与分级模块的输出端与事件报告模块的输入端相连接,所述事件报告模块的输出端与事件调查模块的输入端相连接,所述事件调查模块的输出端与事件整治模块的输入端相连接,所述事件整治模块的输出端与事件统计分析模块的输入端相连接,所述事件统计分析模块的输出端与检查与回顾处理模块的输入端相连接,所述检查与回顾处理模块的输出端与入侵响应单元的输入端相连接。
进一步地,所述网络数据监测单元的输出端与数据采集单元的输入端相连接,所述数据采集单元的输出端与数据解析单元的输入端相连接,所述数据解析单元的输出端分别与入侵检测单元和网络数据库的输入端相连接,所述入侵检测单元的输出端与危险分析单元的输入端相连接,所述危险分析单元的输出端分别与网络数据库、危险预警单元和数据跟踪单元的输入端相连接,所述网络数据库的输出端与数据过滤单元的输入端相连接,所述数据过滤单元的输出端与数据跟踪单元的输入端相连接,所述数据跟踪单元的输出端与防御拦截单元的输入端相连接,所述防御拦截单元的输出端分别与危险预警单元和事件管理单元的输入端相连接,所述危险预警单元的输出端与数据显示单元的输入端相连接;
所述事件管理单元的输出端与入侵响应单元的输入端相连接,所述入侵响应单元的输出端与风险评估单元的输入端相连接,所述风险评估单元的输出端分别与漏洞修复单元和危险预警单元的输入端相连接,所述漏洞修复单元的输出端与事件数据库的输入端相连接,所述事件数据库的输出端与网络数据库的输入端相连接。
一种网络安全检测方法,其适用于上述任意所述的一种网络安全检测系统,步骤如下:
S1、实时监测处理:通过网络数据监测单元对计算机网络系统进行实时监测,并将监测数据信息发送给数据采集单元进行统一收集处理;
S2、数据解析处理:数据采集单元将网络数据监测单元实时监测采集的数据信息发送给数据解析单元对进入到计算机网络系统内部的数据信息进行解析,对恶意使用行为进行识别和相应的系统解析处理;
S3、入侵检测处理:对恶意入侵计算机网络系统的恶意行为进行快速检测,同时将检测结果发送给危险分析单元进行危险指数的分析处理,通过危险分析单元进行危险分析后的数据详细数据信息分别发送给网络数据库数据跟踪单元和危险预警单元,通过网络数据库对分析后的危险数据信息进行存储备份处理;
S4、数据跟踪处理:通过网络数据库将危险分析后的数据信息进行存储后并发送给数据过滤单元进行数据过滤处理,同时发送给数据跟踪单元对进入到计算机内部的所有数据信息的行进轨迹进行快速跟踪处理;
S5、防御拦截处理:通过数据跟踪单元对进入到计算机内部的所有数据信息的行进轨迹进行跟踪,查找恶意行为的起因和来源,同时将恶意行为的网络数据发送给防御拦截单元进行防御拦截处理;
S6、入侵响应处理:通过入侵响应单元对计算机网络安全的漏洞检测功能进行第一时间评估新增漏洞对企业的影响,并提供有效的修复方案和安全技术支持,并将入侵的恶意行为发送给风险评估单元;
S7、风险评估处理:通过风险评估单元对入侵计算机网络安全的恶意行为产生的风险进行风险评估处理,根据风险评估单元对漏洞风险进行风险等级的区分,当风险评估等级过高将数据信息发送给危险预警单元进行预警警示处理,当风险评估等级在可进行修复范围内的数据信息发送给漏洞修复单元;
S8、漏洞修复处理:通过漏洞修复单元对风险评估后风险等级较低的网络漏洞进行自动修复和系统升级处理,快速阻截木马病毒文件、异常登录和密码破解的黑客入侵行为,减少计算机网络安全系统被木马文件、异常登录、密码破解行为恶意破坏,造成企业不必要的经济损失。
与现有技术相比,本发明提供的一种网络安全检测系统和方法,本发明通过网络数据监测单元防止恶意网络访问给网络系统中的数据带来的破坏、更改和泄露,保证网络系统安全可靠的运行,同时通过数据解析单元对计算机和网络资源的恶意使用行为进行识别和相应的系统解析处理,且通过防御拦截单元对进入到计算机网络中的网络数据信息进行木马文件拦截、密码破解阻断、登录行为审计、高危漏洞检测和资产组件识别处理,快速发现木马病毒文件、异常登录和密码破解的黑客入侵行为及时进行拦截处理,利用事件管理单元对入侵计算机系统的网络数据信息进行事件分类与分级、事件报告、事件调查、事件整改、事件统计分析和检查与回顾处理,使得该发明不仅可以对木马病毒文件、异常登录和密码破解的黑客入侵行为及时进行拦截处理,同时通过防御拦截单元对进入到计算机网络中的网络数据信息进行木马文件拦截、密码破解阻断、登录行为审计、高危漏洞检测和资产组件识别处理,有效的减少计算机网络安全系统被木马文件、异常登录、密码破解行为恶意破坏,造成企业不必要的经济损失。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络安全检测系统的整体系统框图;
图2为本发明实施例提供的一种网络安全检测系统的防御拦截单元的模块框图;
图3为本发明实施例提供的一种网络安全检测系统的事件管理单元的模块框图;
图4为本发明实施例提供的一种网络安全检测方法的步骤框图。
具体实施方式
为了使本领域的技术人员更好地理解本发明的技术方案,下面将结合附图对本发明作进一步的详细介绍。
实施例一:
请参阅图1-3,一种网络安全检测系统,包括网络数据监测单元、数据采集单元、数据解析单元、网络数据库、数据过滤单元、入侵检测单元、危险分析单元、数据跟踪单元、危险预警单元和数据显示单元,网络数据监测单元用于防止恶意网络访问给网络系统中的数据带来的破坏、更改和泄露,保证网络系统安全可靠的运行,数据采集单元用于对进入到设备中的网络信息进行快速采集收集,并发送给数据解析单元,数据解析单元用于对计算机和网络资源的恶意使用行为进行识别和相应的系统解析处理,网络数据库用于将计算机网络正常程序数据信息和安全运维数据信息进行统一保存,对计算机网络数据信息进行调取查看,入侵检测单元用于对进入到计算机网络数据系统中的数据信息进行入侵检测处理,危险分析单元用于对入侵到计算机内部系统中的网络数据信息进行危险指数分析处理,数据过滤单元用于对进入到计算机网络内部的数据信息进行自动快速过滤处理,并将过滤后的网络数据信息发送给数据跟踪单元,数据跟踪单元用于对进入到计算机内部的所有数据信息的行进轨迹进行快速跟踪处理,危险预警单元用于入侵检测系统能够在入侵攻击对网络系统造成危害前,及时检测到入侵攻击的发生,并进行报警警示处理,数据显示单元用于对网络数据信息进行展示处理。
本发明中,还包括防御拦截单元、事件管理单元、入侵响应单元、风险评估单元、漏洞修复单元和事件数据库,防御拦截单元用于对进入到计算机网络中的网络数据信息进行木马文件拦截、密码破解阻断、登录行为审计、高危漏洞检测和资产组件识别处理,快速发现木马病毒文件、异常登录和密码破解的黑客入侵行为及时进行拦截处理,并将拦截后的危险网络数据信息分别发送给危险预警单元和时间管理单元,事件管理单元用于对入侵计算机系统的网络数据信息进行事件分类与分级、事件报告、事件调查、事件整改、事件统计分析和检查与回顾处理,入侵响应单元用于新入侵行为出现时,对计算机网络安全的漏洞检测功能进行第一时间评估新增漏洞对企业的影响,并提供有效的修复方案和安全技术支持响应,风险评估单元用于对入侵计算机网络安全信息系统的入侵行为进行快速风险分析评估处理,并将风险评估的结果分别发送给漏洞修复单元和危险预警单元,漏洞修复单元用于对入侵计算机网络安全系统的木马文件、异常登录、密码破解行为进行快速修复查杀处理,并将修复查杀后的数据信息发送给事件数据库,减少计算机网络安全系统被木马文件、异常登录和密码破解行为恶意破坏,造成企业不必要的经济损失,事件数据库用于对被入侵攻击后,保存漏洞修复单元修复查杀后的漏洞数据信息,便于取证分析,用于进行以后安全网络信息系统入侵漏洞的调取和对比。
本发明中,防御拦截单元包括木马文件拦截模块、密码破解阻断模块、登录行为审计模块、高危漏洞检测模块和资产组件识别模块,木马文件拦截模块用于木马文件病毒进行快速拦截查杀,同时进行木马文件病毒类型进行分析归类处理,密码破解阻断模块用于对入侵计算机安全系统的病毒恶意破解安全防护密码的行为进行快速阻断处理,登录行为审计模块用于对登录计算机网络安全系统的行为进行系统分析排查审计处理,高危漏洞检测模块对高危的漏洞信息进行检测分析,通过高危漏洞检测模块进行漏洞缺陷的快速更新,并提供有效的修复方案和安全技术支持,资产组件识别模块用于企业在新漏洞发生时无法及时统计业务所受影响情况,计算机的资产组件识别模块能够快速构建企业资产组件的全景图,提升应急响应效率。
本发明中,数据跟踪单元的输出端与木马文件拦截模块的输入端相连接,木马文件拦截模块的输出端与密码破解阻断模块的输入端相连接,密码破解阻断模块的输出端与登录行为审计模块的输入端相连接,登录行为审计模块的输出端与高危漏洞检测模块的输入端相连接,高危漏洞检测模块的输出端与资产组件识别模块的输入端相连接,资产组件识别模块的输出端与事件管理单元的输入端相连接。
本发明中,事件管理单元包括事件分类与分级模块、事件报告模块、事件调查模块、事件整治模块、事件统计分析模块和检查与回顾处理模块,事件分类与分级模块用于对计算机网络安全系统本次入侵事件进行分类分级处理,事件分类与分级计算公式如下:
其中Pr(lp,i=k)是一个分配函数,表示网络P中的第i个节点有k个链接数,即边数的概率,Pr代表Probability,为概率,lp,i=k表示P中的i个节点有k个链接数,|Gc|表示物理网规模大小,|Gc|表示信息网规模大小,k表示该节点的链接数,网络的链接与网络节点物理网规模|Gp|,信息网规模|Gc|有关,通过定义相应节点数目和初始节点间的链接概率,随机移除|Gc|中的φ比例的节点得到Gc网络剩余的功能节点数目G′c1,G′c1计算公式如下:
|G′c1|=|Gc|×(1-φ)=|GC|×μ′1,其中μ′1代表Gc剩余功能节点占全部节点的比例;
Gc故障后的最大连通Gc1计算公式如下:
|Gc1|=|G′c1|×F(μ′1,λc)=|Gc|×μ1,其中F(μ′1,λc)为Gc节点属于最大连通集团的概率,λc为幂指数,μ1代表Gc最大连通集团占全部节点的比例;
删除Gp网络因失去链接依赖的节点数目,计算Gp中剩余的节点集G′p2与G′p2的最大连通集团的Gp2,计算公式如下:
|G′p2|=μ′1×F(μ′1,λc)×|Gp|;
|Gp2|=μ′2×F(μ′2,λp)×|Gp|,其中μ′2代表Gp网络剩余功能节点占全部节点的比例,F(μ′1,λc)为Gc节点属于最大连通集团的概率,其中Gp网络剩余功能节点占全部节点的比例计算公式如下:
μ′2=μ′1×F(μ′1,λc),当Gc网络失效的节点比例越小,网络幂指数λc越大,G′p2网络剩余节点比例越大,重复以上步骤,整个网络会到达最终的稳定状态;
事件报告模块用于对分类与分级后的事件情况进行报告生成处理,事件调查模块用于对本次计算机安全系统遭受安全入侵的事件原因进行调查分析处理,事件整治模块用于对此次计算机安全网络系统遭受安全入侵的起因进行系统整治处理,并提供新的有效防护安全措施,事件统计分析模块用于对本次计算机网络安全系统入侵事件进行统计分析处理,并将统计结果发送给检查与回顾处理模块,检查与回顾处理模块用于对事件统计分析后的事件数据信息进行系统储存,用于后期的检查取证回顾处理。
本发明中,防御拦截单元的输出端与事件分类与分级模块的输入端相连接,事件分类与分级模块的输出端与事件报告模块的输入端相连接,事件报告模块的输出端与事件调查模块的输入端相连接,事件调查模块的输出端与事件整治模块的输入端相连接,事件整治模块的输出端与事件统计分析模块的输入端相连接,事件统计分析模块的输出端与检查与回顾处理模块的输入端相连接,检查与回顾处理模块的输出端与入侵响应单元的输入端相连接。
本发明中,网络数据监测单元的输出端与数据采集单元的输入端相连接,数据采集单元的输出端与数据解析单元的输入端相连接,数据解析单元的输出端分别与入侵检测单元和网络数据库的输入端相连接,入侵检测单元的输出端与危险分析单元的输入端相连接,危险分析单元的输出端分别与网络数据库、危险预警单元和数据跟踪单元的输入端相连接,网络数据库的输出端与数据过滤单元的输入端相连接,数据过滤单元的输出端与数据跟踪单元的输入端相连接,数据跟踪单元的输出端与防御拦截单元的输入端相连接,防御拦截单元的输出端分别与危险预警单元和事件管理单元的输入端相连接,危险预警单元的输出端与数据显示单元的输入端相连接,事件管理单元的输出端与入侵响应单元的输入端相连接,入侵响应单元的输出端与风险评估单元的输入端相连接,风险评估单元的输出端分别与漏洞修复单元和危险预警单元的输入端相连接,漏洞修复单元的输出端与事件数据库的输入端相连接,事件数据库的输出端与网络数据库的输入端相连接。
实施例二:
请参阅图4,本实施例在实施例一的基础上提供了一种技术方案:一种网络安全检测方法,其适用于上述任意的一种网络安全检测系统,步骤如下:
S1、实时监测处理:通过网络数据监测单元对计算机网络系统进行实时监测,并将监测数据信息发送给数据采集单元进行统一收集处理;
S2、数据解析处理:数据采集单元将网络数据监测单元实时监测采集的数据信息发送给数据解析单元对进入到计算机网络系统内部的数据信息进行解析,对恶意使用行为进行识别和相应的系统解析处理;
S3、入侵检测处理:对恶意入侵计算机网络系统的恶意行为进行快速检测,同时将检测结果发送给危险分析单元进行危险指数的分析处理,通过危险分析单元进行危险分析后的数据详细数据信息分别发送给网络数据库数据跟踪单元和危险预警单元,通过网络数据库对分析后的危险数据信息进行存储备份处理;
S4、数据跟踪处理:通过网络数据库将危险分析后的数据信息进行存储后并发送给数据过滤单元进行数据过滤处理,同时发送给数据跟踪单元对进入到计算机内部的所有数据信息的行进轨迹进行快速跟踪处理;
S5、防御拦截处理:通过数据跟踪单元对进入到计算机内部的所有数据信息的行进轨迹进行跟踪,查找恶意行为的起因和来源,同时将恶意行为的网络数据发送给防御拦截单元进行防御拦截处理;
S6、入侵响应处理:通过入侵响应单元对计算机网络安全的漏洞检测功能进行第一时间评估新增漏洞对企业的影响,并提供有效的修复方案和安全技术支持,并将入侵的恶意行为发送给风险评估单元;
S7、风险评估处理:通过风险评估单元对入侵计算机网络安全的恶意行为产生的风险进行风险评估处理,根据风险评估单元对漏洞风险进行风险等级的区分,当风险评估等级过高将数据信息发送给危险预警单元进行预警警示处理,当风险评估等级在可进行修复范围内的数据信息发送给漏洞修复单元;
S8、漏洞修复处理:通过漏洞修复单元对风险评估后风险等级较低的网络漏洞进行自动修复和系统升级处理,快速阻截木马病毒文件、异常登录和密码破解的黑客入侵行为,减少计算机网络安全系统被木马文件、异常登录、密码破解行为恶意破坏,造成企业不必要的经济损失。
以上只通过说明的方式描述了本发明的某些示范性实施例,毋庸置疑,对于本领域的普通技术人员,在不偏离本发明的精神和范围的情况下,可以用各种不同的方式对所描述的实施例进行修正。因此,上述附图和描述在本质上是说明性的,不应理解为对本发明权利要求保护范围的限制。

Claims (8)

1.一种网络安全检测系统,其特征在于,包括网络数据监测单元、数据采集单元、数据解析单元、网络数据库、数据过滤单元、入侵检测单元、危险分析单元、数据跟踪单元、危险预警单元和数据显示单元;
所述网络数据监测单元用于防止恶意网络访问给网络系统中的数据带来的破坏、更改和泄露,保证网络系统安全可靠的运行;
所述数据采集单元用于对进入到设备中的网络信息进行快速采集收集,并发送给数据解析单元;
所述数据解析单元用于对计算机和网络资源的恶意使用行为进行识别和相应的系统解析处理;
所述网络数据库用于将计算机网络正常程序数据信息和安全运维数据信息进行统一保存,对计算机网络数据信息进行调取查看;
所述数据过滤单元用于对进入到计算机网络内部的数据信息进行自动快速过滤处理,并将过滤后的网络数据信息发送给数据跟踪单元;
所述入侵检测单元用于对进入到计算机网络数据系统中的数据信息进行入侵检测处理;
所述危险分析单元用于对入侵到计算机内部系统中的网络数据信息进行危险指数分析处理;
所述数据跟踪单元用于对进入到计算机内部的所有数据信息的行进轨迹进行快速跟踪处理;
所述危险预警单元用于入侵检测系统能够在入侵攻击对网络系统造成危害前,及时检测到入侵攻击的发生,并进行报警警示处理;
所述数据显示单元用于对网络数据信息进行展示处理。
2.根据权利要求1所述的一种网络安全检测系统,其特征在于,还包括防御拦截单元、事件管理单元、入侵响应单元、风险评估单元、漏洞修复单元和事件数据库;
所述防御拦截单元用于对进入到计算机网络中的网络数据信息进行木马文件拦截、密码破解阻断、登录行为审计、高危漏洞检测和资产组件识别处理,并将拦截后的危险网络数据信息分别发送给危险预警单元和时间管理单元;
所述事件管理单元用于对入侵计算机系统的网络数据信息进行事件分类与分级、事件报告、事件调查、事件整改、事件统计分析和检查与回顾处理;
所述入侵响应单元用于新入侵行为出现时,对计算机网络安全的漏洞检测功能进行第一时间评估新增漏洞对企业的影响,并提供有效的修复方案和安全技术支持响应;
所述风险评估单元用于对入侵计算机网络安全信息系统的入侵行为进行快速风险分析评估处理,并将风险评估的结果分别发送给漏洞修复单元和危险预警单元;
所述漏洞修复单元用于对入侵计算机网络安全系统的木马文件、异常登录、密码破解行为进行快速修复查杀处理,并将修复查杀后的数据信息发送给事件数据库;
所述事件数据库用于对被入侵攻击后,保存漏洞修复单元修复查杀后的漏洞数据信息,便于取证分析,用于进行以后安全网络信息系统入侵漏洞的调取和对比。
3.根据权利要求2所述的一种网络安全检测系统,其特征在于,所述防御拦截单元包括木马文件拦截模块、密码破解阻断模块、登录行为审计模块、高危漏洞检测模块和资产组件识别模块;
所述木马文件拦截模块用于木马文件病毒进行快速拦截查杀,同时进行木马文件病毒类型进行分析归类处理;
所述密码破解阻断模块用于对入侵计算机安全系统的病毒恶意破解安全防护密码的行为进行快速阻断处理;
所述登录行为审计模块用于对登录计算机网络安全系统的行为进行系统分析排查审计处理;
所述高危漏洞检测模块对高危的漏洞信息进行检测分析,通过高危漏洞检测模块进行漏洞缺陷的快速更新,并提供有效的修复方案和安全技术支持;
所述资产组件识别模块用于企业在新漏洞发生时无法及时统计业务所受影响情况,计算机的资产组件识别模块能够快速构建企业资产组件的全景图,提升应急响应效率。
4.根据权利要求3所述的一种网络安全检测系统,其特征在于,所述数据跟踪单元的输出端与木马文件拦截模块的输入端相连接,所述木马文件拦截模块的输出端与密码破解阻断模块的输入端相连接,所述密码破解阻断模块的输出端与登录行为审计模块的输入端相连接,所述登录行为审计模块的输出端与高危漏洞检测模块的输入端相连接,所述高危漏洞检测模块的输出端与资产组件识别模块的输入端相连接,所述资产组件识别模块的输出端与事件管理单元的输入端相连接。
5.根据权利要求2所述的一种网络安全检测系统,其特征在于,所述事件管理单元包括事件分类与分级模块、事件报告模块、事件调查模块、事件整治模块、事件统计分析模块和检查与回顾处理模块;
所述事件分类与分级模块用于对计算机网络安全系统本次入侵事件进行分类分级处理;
所述事件报告模块用于对分类与分级后的事件情况进行报告生成处理;
所述事件调查模块用于对本次计算机安全系统遭受安全入侵的事件原因进行调查分析处理;
所述事件整治模块用于对此次计算机安全网络系统遭受安全入侵的起因进行系统整治处理,并提供新的有效防护安全措施;
所述事件统计分析模块用于对本次计算机网络安全系统入侵事件进行统计分析处理,并将统计结果发送给检查与回顾处理模块;
所述检查与回顾处理模块用于对事件统计分析后的事件数据信息进行系统储存,用于后期的检查取证回顾处理。
6.根据权利要求5所述的一种网络安全检测系统,其特征在于,所述防御拦截单元的输出端与事件分类与分级模块的输入端相连接,所述事件分类与分级模块的输出端与事件报告模块的输入端相连接,所述事件报告模块的输出端与事件调查模块的输入端相连接,所述事件调查模块的输出端与事件整治模块的输入端相连接,所述事件整治模块的输出端与事件统计分析模块的输入端相连接,所述事件统计分析模块的输出端与检查与回顾处理模块的输入端相连接,所述检查与回顾处理模块的输出端与入侵响应单元的输入端相连接。
7.根据权利要求2所述的一种网络安全检测系统,其特征在于,所述网络数据监测单元的输出端与数据采集单元的输入端相连接,所述数据采集单元的输出端与数据解析单元的输入端相连接,所述数据解析单元的输出端分别与入侵检测单元和网络数据库的输入端相连接,所述入侵检测单元的输出端与危险分析单元的输入端相连接,所述危险分析单元的输出端分别与网络数据库、危险预警单元和数据跟踪单元的输入端相连接,所述网络数据库的输出端与数据过滤单元的输入端相连接,所述数据过滤单元的输出端与数据跟踪单元的输入端相连接,所述数据跟踪单元的输出端与防御拦截单元的输入端相连接,所述防御拦截单元的输出端分别与危险预警单元和事件管理单元的输入端相连接,所述危险预警单元的输出端与数据显示单元的输入端相连接;
所述事件管理单元的输出端与入侵响应单元的输入端相连接,所述入侵响应单元的输出端与风险评估单元的输入端相连接,所述风险评估单元的输出端分别与漏洞修复单元和危险预警单元的输入端相连接,所述漏洞修复单元的输出端与事件数据库的输入端相连接,所述事件数据库的输出端与网络数据库的输入端相连接。
8.一种网络安全检测方法,其适用于权利要求1-7任意所述的一种网络安全检测系统,其特征在于,步骤如下:
S1、实时监测处理:通过网络数据监测单元对计算机网络系统进行实时监测,并将监测数据信息发送给数据采集单元进行统一收集处理;
S2、数据解析处理:数据采集单元将网络数据监测单元实时监测采集的数据信息发送给数据解析单元对进入到计算机网络系统内部的数据信息进行解析,对恶意使用行为进行识别和相应的系统解析处理;
S3、入侵检测处理:对恶意入侵计算机网络系统的恶意行为进行快速检测,同时将检测结果发送给危险分析单元进行危险指数的分析处理,通过危险分析单元进行危险分析后的数据详细数据信息分别发送给网络数据库数据跟踪单元和危险预警单元,通过网络数据库对分析后的危险数据信息进行存储备份处理;
S4、数据跟踪处理:通过网络数据库将危险分析后的数据信息进行存储后并发送给数据过滤单元进行数据过滤处理,同时发送给数据跟踪单元对进入到计算机内部的所有数据信息的行进轨迹进行快速跟踪处理;
S5、防御拦截处理:通过数据跟踪单元对进入到计算机内部的所有数据信息的行进轨迹进行跟踪,查找恶意行为的起因和来源,同时将恶意行为的网络数据发送给防御拦截单元进行防御拦截处理;
S6、入侵响应处理:通过入侵响应单元对计算机网络安全的漏洞检测功能进行第一时间评估新增漏洞对企业的影响,并提供有效的修复方案和安全技术支持,并将入侵的恶意行为发送给风险评估单元;
S7、风险评估处理:通过风险评估单元对入侵计算机网络安全的恶意行为产生的风险进行风险评估处理,根据风险评估单元对漏洞风险进行风险等级的区分,当风险评估等级过高将数据信息发送给危险预警单元进行预警警示处理,当风险评估等级在可进行修复范围内的数据信息发送给漏洞修复单元;
S8、漏洞修复处理:通过漏洞修复单元对风险评估后风险等级较低的网络漏洞进行自动修复和系统升级处理,快速阻截木马病毒文件、异常登录和密码破解的黑客入侵行为,减少计算机网络安全系统被木马文件、异常登录、密码破解行为恶意破坏,造成企业不必要的经济损失。
CN202310084292.0A 2023-02-09 2023-02-09 一种网络安全检测系统和方法 Pending CN116094817A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310084292.0A CN116094817A (zh) 2023-02-09 2023-02-09 一种网络安全检测系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310084292.0A CN116094817A (zh) 2023-02-09 2023-02-09 一种网络安全检测系统和方法

Publications (1)

Publication Number Publication Date
CN116094817A true CN116094817A (zh) 2023-05-09

Family

ID=86204242

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310084292.0A Pending CN116094817A (zh) 2023-02-09 2023-02-09 一种网络安全检测系统和方法

Country Status (1)

Country Link
CN (1) CN116094817A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116708157A (zh) * 2023-08-07 2023-09-05 北京鹰速光电科技有限公司 一种计算机安全运维服务系统
CN117118707A (zh) * 2023-08-25 2023-11-24 国网山东省电力公司泰安供电公司 一种变电站的恶意网络入侵检测方法、系统、设备及介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116708157A (zh) * 2023-08-07 2023-09-05 北京鹰速光电科技有限公司 一种计算机安全运维服务系统
CN117118707A (zh) * 2023-08-25 2023-11-24 国网山东省电力公司泰安供电公司 一种变电站的恶意网络入侵检测方法、系统、设备及介质

Similar Documents

Publication Publication Date Title
TWI573036B (zh) 針對威脅評估之風險評分技術
KR100838799B1 (ko) 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
US8418247B2 (en) Intrusion detection method and system
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
CN116094817A (zh) 一种网络安全检测系统和方法
Holm A large-scale study of the time required to compromise a computer system
KR20040035572A (ko) 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법
CN113542279A (zh) 一种网络安全风险评估方法、系统及装置
CN103905459A (zh) 基于云端的智能安全防御系统及防御方法
CN116827675A (zh) 一种网络信息安全分析系统
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
CN113992386A (zh) 一种防御能力的评估方法、装置、存储介质及电子设备
CN117478433A (zh) 一种网络与信息安全动态预警系统
CN114050937A (zh) 邮箱服务不可用的处理方法、装置、电子设备及存储介质
Subramanian et al. Modeling and predicting cyber hacking breaches
CN117273460A (zh) 一种等级保护安全测评方法、系统、终端设备及存储介质
CN106453235A (zh) 网络安全方法
CN115484062A (zh) 一种基于apt攻击图的威胁检测方法、装置与设备
KR102377784B1 (ko) 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템
CN106993005A (zh) 一种网络服务器的预警方法及系统
Muliński ICT security in revenue administration-incidents, security incidents-detection, response, resolve
CN113141274A (zh) 基于网络全息图实时检测敏感数据泄露的方法、系统和存储介质
Prabu et al. An Automated Intrusion Detection and Prevention Model for Enhanced Network Security and Threat Assessment
CN111740976A (zh) 一种网络安全甄别研判系统及方法
CN110750795A (zh) 一种信息安全风险的处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination