CN117349908A - 一种基于互联网的数据安全防护系统 - Google Patents
一种基于互联网的数据安全防护系统 Download PDFInfo
- Publication number
- CN117349908A CN117349908A CN202311336827.5A CN202311336827A CN117349908A CN 117349908 A CN117349908 A CN 117349908A CN 202311336827 A CN202311336827 A CN 202311336827A CN 117349908 A CN117349908 A CN 117349908A
- Authority
- CN
- China
- Prior art keywords
- data
- security
- storage
- node
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013500 data storage Methods 0.000 claims abstract description 84
- 238000001514 detection method Methods 0.000 claims description 57
- 238000000034 method Methods 0.000 claims description 50
- 230000005540 biological transmission Effects 0.000 claims description 42
- 238000012216 screening Methods 0.000 claims description 22
- 238000012545 processing Methods 0.000 claims description 20
- 238000004891 communication Methods 0.000 claims description 10
- 230000002159 abnormal effect Effects 0.000 claims description 8
- 238000007667 floating Methods 0.000 claims description 6
- 230000008054 signal transmission Effects 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims description 5
- 238000012550 audit Methods 0.000 claims description 3
- 238000011156 evaluation Methods 0.000 claims description 3
- 238000013508 migration Methods 0.000 claims description 3
- 230000005012 migration Effects 0.000 claims description 3
- 230000001105 regulatory effect Effects 0.000 claims description 3
- 230000005856 abnormality Effects 0.000 claims 1
- 241000700605 Viruses Species 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于互联网的数据安全防护系统,涉及数据安全防护技术领域,解决了现有技术中,不能够对存储数据进行安全等级划分,以至于不能够保证数据存储防护性能最大化的同时无法进行防护资源合理把控的技术问题,具体为通过对互联网存储数据进行安全等级划分,提高各个存储节点的防护强度规划合理性,保证数据存储防护性能最大化的同时进行防护资源合理把控,同时能够根据数据的安全等级准确判断安全防护预警可靠性,避免海量报警信号产生时无法准确对危害性事件进行控制;对存储节点进行风险源检测,判断当前存储节点的安全事件为内部风险还是外部风险,提高当前存储节点安全防护的准确性以及高效性。
Description
技术领域
本发明涉及数据安全防护技术领域,具体为一种基于互联网的数据安全防护系统。
背景技术
随着信息化建设的发展,需要建设相适的信息安全保障基础设施,以保障网络与信息系统的正常运行。在信息化建设的过程中,网络系统的复杂性、应用环境的动态性造成安全隐患急剧增加,但是攻击技术却在不断提高和日益普及,各种攻击日益频繁,安全问题造成的后果越来越严重。因此,用户对于网络安全产品的需求越来越迫切,对于安全产品的技术要求也越来越高。
但是在现有技术中,互联网数据存储过程中,不能够对存储数据进行安全等级划分,以至于不能够保证数据存储防护性能最大化的同时无法进行防护资源合理把控,且无法存储节点的风险源进行检测,造成存储节点的安全防护效率降低,此外,无法对当前数据存储网域进行报警智能筛分,避免海量报警信号产生时无法准确对危害性事件进行控制。
针对上述的技术缺陷,现提出一种解决方案。
发明内容
本发明的目的就在于为了解决上述提出的问题,而提出一种基于互联网的数据安全防护系统。
本发明的目的可以通过以下技术方案实现:
一种基于互联网的数据安全防护系统,包括服务器,服务器通讯连接有风险源检测单元、安全等级划分单元、报警智能筛分单元以及智能防护决策单元;
安全等级划分单元,用于对互联网实时存储数据进行安全等级划分,将互联网实时存储数据对应存储节点设置标号i,i为大于1的自然数,获取到互联网实时存储数据对应存储节点的安全等级划分系数,根据安全等级划分系数比较将存储节点划分为高等级节点和低等级节点,并将其对应编号发送至服务器;
风险源检测单元对存储节点进行风险源检测,判断当前存储节点的风险源属于外部风险或者内部风险,并在风险源确定后,通过报警智能筛分单元对当前数据存储网域进行报警智能筛分,报警信号智能筛分后,智能防护决策单元对当前安全事件处理进行决策,通过分析生成管理员防护信号或者防火墙防护信号,并将其发送至服务器。
作为本发明的一种优选实施方式,安全等级划分单元的运行过程如下:
获取到数据存储过程中存储节点设定防火墙处理不同数量的安全事件时,对应安全事件的处理速度,并将对应安全事件的处理速度标记为CVi;获取到数据存储过程中存储节点面临的安全事件接入网络时刻与安全事件被检测时刻的缓冲时长,并将数据存储过程中存储节点面临的安全事件接入网络时刻与安全事件被检测时刻的缓冲时长标记为HCi;获取到数据存储过程中安全事件检测缓冲时长内实时接入网络的安全事件对应检测速度浮动量,并将数据存储过程中安全事件检测缓冲时长内实时接入网络的安全事件对应检测速度浮动量标记为VFi;
通过公式获取到互联网实时存储数据对应存储节点的安全等级划分系数DJi,其中,a1、a2以及a3均为预设比例系数,且a1>a2>a3>1,e为自然常数;将互联网实时存储数据对应存储节点的安全等级划分系数DJi与安全等级划分系数阈值进行比较。
作为本发明的一种优选实施方式,若互联网实时存储数据对应存储节点的安全等级划分系数DJi超过安全等级划分系数阈值,则判定当前存储节点的安全等级性能低,将对应存储节点标记为低等级节点;若互联网实时存储数据对应存储节点的安全等级划分系数DJi未超过安全等级划分系数阈值,则判定当前存储节点的安全等级性能高,将对应存储节点标记为高等级节点。
作为本发明的一种优选实施方式,风险源检测单元的运行过程如下:
将当前存储节点的实时覆盖网络标记为数据存储网域,以数据存储网域为中心,外部访问终端需求数据访问时需通过外部网络为介质,与当前数据存储网域进行通讯连接,即外部网络的网络节点与数据存储网域的网络节点建立通讯,在外部网络的网络节点通过数据存储网域的安全认证,且数据存储网域的网络节点通过外部网络的数据传输性能评估,外部网络的网络节点与数据存储网域的网络节点对应数据通道打开,数据通道互通后当前数据通道所覆盖的网络标记为安全边界。
作为本发明的一种优选实施方式,数据存储网域与多个外部网络构建安全边界,若当前数据通道中数据存储网域内无访问指令的存储数据产生流量输出或者有访问指令的存储数据对应输出速度无法调控,则当前数据存储网域内部异常,数据存储网域与外部网络之间的安全边界进行信号孤岛,在设定时间阈值内安全边界网络控制内外信号传输,并在存储网域内部异常清除后安全边界恢复信号传输,并将当前数据存储网域内存储数据进行位置迁移,同时外部网络的网络节点覆盖终端的权限进行密钥更换。
作为本发明的一种优选实施方式,若当前数据通道中外部网络的网络节点访问指令审核时段内存储数据的操作执行频率超过执行频率阈值,或者当前存储数据访问指令无权限驳回后更换数据类型继续访问的频率超过继续访问频率阈值,则当前数据存储网域外部异常,将当前数据通道的外部网络节点设定为危险访问端,当前安全边界进行信号孤岛同时数据存储网域的防火墙介入,在安全边界内实时存储数据传输量以及传输路径溯源时,防火墙阻断外界网络节点与外界网络的通讯,并在实时存储数据完成溯源检测后若无数据缺失或者无病毒植入,则安全边界信号孤岛接触且当前存储数据接收且单一接收数据存储网域的数据传输指令。
作为本发明的一种优选实施方式,报警智能筛分单元的运行过程如下:
对检测出风险源的数据通道进行分析,获取到数据存储网域内同一时刻检测出风险源的数据通道对应的数据存储节点,若当前检测时刻内同类型存储数据对应高等级节点与低等级节点均出现风险源,则产生报警信号,并将当前类型存储数据对应所有的安全边界全部进行信号孤岛且防火墙介入,并将当前所有通讯连接的外部网络以及外部网络节点的访问指令进行检测,若访问指令无发起源头且执行后无接收终端均进行数据中断。
作为本发明的一种优选实施方式,若当前检测时刻内同类型存储数据对应高等级节点出现风险源且低等级节点未出现风险源,或者当前检测时刻内同类型存储数据对应高等级节点未出现风险源低等级节点出现风险源,则产生自检信号,即防火墙将对应高等级节点的安全边界进行外部指令拦截,安全边界对当前内部数据传输进行溯源,若数据传输端和接收端以及对应指令发起源头和接收终端的指令传输无偏差,则防火墙拦截停止,反之,则产生报警信号。
作为本发明的一种优选实施方式,智能防护决策单元的运行过程如下:
获取到数据存储过程中安全事件被检测耗时与历史安全事件检测平均耗时的多出量以及安全事件被检测过程中存储数据的非权限传输量的增长速度,并将数据存储过程中安全事件被检测耗时与历史安全事件检测平均耗时的多出量以及安全事件被检测过程中存储数据的非权限传输量的增长速度分别与耗时多出量阈值和传输量增长速度阈值进行比较。
作为本发明的一种优选实施方式,若数据存储过程中安全事件被检测耗时与历史安全事件检测平均耗时的多出量超过耗时多出量阈值,或者安全事件被检测过程中存储数据的非权限传输量的增长速度超过传输量增长速度阈值,则判定当前安全事件的处理难度大,生成管理员防护信号并将管理员防护信号发送至服务器;若数据存储过程中安全事件被检测耗时与历史安全事件检测平均耗时的多出量未超过耗时多出量阈值,且安全事件被检测过程中存储数据的非权限传输量的增长速度未超过传输量增长速度阈值,则判定当前安全事件的处理难度小,生成防火墙防护信号并将防火墙防护信号发送至服务器;服务器接收后根据信号类型进行防护类型决策。
与现有技术相比,本发明的有益效果是:
1、本发明中,对互联网实时存储数据进行安全等级划分,通过对互联网存储数据进行安全等级划分,提高各个存储节点的防护强度规划合理性,保证数据存储防护性能最大化的同时进行防护资源合理把控,同时能够根据数据的安全等级准确判断安全防护预警可靠性,避免海量报警信号产生时无法准确对危害性事件进行控制。
2、本发明中,对存储节点进行风险源检测,判断当前存储节点的安全事件为内部风险还是外部风险,提高当前存储节点安全防护的准确性以及高效性,便于实时存储数据的高效防护。
3、本发明中,对当前数据存储网域进行报警智能筛分,避免数据存储网域与多个外部网络通讯连接时风险源检测偏差,导致风险源报警数量增加容易造成网络数据防护不及时,同时增加了网络数据防护的成本,反而降低了网络数据的防护效率。
4、本发明中,对当前安全事件处理进行决策,通过当前安全事件产生影响分析判断当前安全事件是否执行管理员决策防护,避免防火墙单一防护类型无法高效处理安全事件,造成安全事件处理不及时,通过智能决策能够合理安排管理员操作,避免海量数据异常时增加管理员的事件处理强度,间接降低了数据安全防护效率。
附图说明
为了便于本领域技术人员理解,下面结合附图对本发明作进一步的说明。
图1为本发明的原理框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
请参阅图1所示,一种基于互联网的数据安全防护系统,包括服务器,服务器通讯连接有风险源检测单元、安全等级划分单元、报警智能筛分单元以及智能防护决策单元;
互联网数据实时更新后进行分布式存储,并对互联网覆盖的实时存储数据进行安全防护,服务器生成安全等级划分信号并将安全等级划分信号发送至安全等级划分单元,安全等级划分单元接收到安全等级划分信号后,对互联网实时存储数据进行安全等级划分,通过对互联网存储数据进行安全等级划分,提高各个存储节点的防护强度规划合理性,保证数据存储防护性能最大化的同时进行防护资源合理把控,同时能够根据数据的安全等级准确判断安全防护预警可靠性,避免海量报警信号产生时无法准确对危害性事件进行控制;
将互联网实时存储数据对应存储节点设置标号i,i为大于1的自然数,获取到数据存储过程中存储节点设定防火墙处理不同数量的安全事件时,对应安全事件的处理速度,并将对应安全事件的处理速度标记为CVi;获取到数据存储过程中存储节点面临的安全事件接入网络时刻与安全事件被检测时刻的缓冲时长,并将数据存储过程中存储节点面临的安全事件接入网络时刻与安全事件被检测时刻的缓冲时长标记为HCi;获取到数据存储过程中安全事件检测缓冲时长内实时接入网络的安全事件对应检测速度浮动量,并将数据存储过程中安全事件检测缓冲时长内实时接入网络的安全事件对应检测速度浮动量标记为VFi;其中,安全事件表示为外部网络接入数据覆盖网络的非授权访问、转载或者输送等影响数据安全的事件;
通过公式获取到互联网实时存储数据对应存储节点的安全等级划分系数DJi,其中,a1、a2以及a3均为预设比例系数,且a1>a2>a3>1,e为自然常数;
将互联网实时存储数据对应存储节点的安全等级划分系数DJi与安全等级划分系数阈值进行比较:
若互联网实时存储数据对应存储节点的安全等级划分系数DJi超过安全等级划分系数阈值,则判定当前存储节点的安全等级性能低,将对应存储节点标记为低等级节点;若互联网实时存储数据对应存储节点的安全等级划分系数DJi未超过安全等级划分系数阈值,则判定当前存储节点的安全等级性能高,将对应存储节点标记为高等级节点;并将高等级节点和低等级节点的编号一同发送至服务器;
服务器接收后对各类型存储节点进行检测,在安全事件发生时,生成风险源检测信号并将风险源检测信号发送至风险源检测单元,风险源检测单元接收到风险源检测信号后,对存储节点进行风险源检测,判断当前存储节点的安全事件为内部风险还是外部风险,提高当前存储节点安全防护的准确性以及高效性,便于实时存储数据的高效防护;
将当前存储节点的实时覆盖网络标记为数据存储网域,以数据存储网域为中心,外部访问终端需求数据访问时需通过外部网络为介质,与当前数据存储网域进行通讯连接,即外部网络的网络节点与数据存储网域的网络节点建立通讯,在外部网络的网络节点通过数据存储网域的安全认证,且数据存储网域的网络节点通过外部网络的数据传输性能评估,外部网络的网络节点与数据存储网域的网络节点对应数据通道打开,数据通道互通后当前数据通道所覆盖的网络标记为安全边界;数据存储网域与多个外部网络构建安全边界,若当前数据通道中数据存储网域内无访问指令的存储数据产生流量输出或者有访问指令的存储数据对应输出速度无法调控,则当前数据存储网域内部异常,数据存储网域与外部网络之间的安全边界进行信号孤岛,在设定时间阈值内安全边界网络控制内外信号传输,并在存储网域内部异常清除后安全边界恢复信号传输,并将当前数据存储网域内存储数据进行位置迁移,同时外部网络的网络节点覆盖终端的权限进行密钥更换;
若当前数据通道中外部网络的网络节点访问指令审核时段内存储数据的操作执行频率超过执行频率阈值,或者当前存储数据访问指令无权限驳回后更换数据类型继续访问的频率超过继续访问频率阈值,则当前数据存储网域外部异常,将当前数据通道的外部网络节点设定为危险访问端,当前安全边界进行信号孤岛同时数据存储网域的防火墙介入,在安全边界内实时存储数据传输量以及传输路径溯源时,防火墙阻断外界网络节点与外界网络的通讯,并在实时存储数据完成溯源检测后若无数据缺失或者无病毒植入,则安全边界信号孤岛接触且当前存储数据接收且单一接收数据存储网域的数据传输指令;
风险源检测单元将实时风险源发送至服务器,服务器接收后生成报警智能筛分信号并将报警智能筛分信号发送至报警智能筛分单元,报警智能筛分单元接收到报警智能筛分信号后,对当前数据存储网域进行报警智能筛分,避免数据存储网域与多个外部网络通讯连接时风险源检测偏差,导致风险源报警数量增加容易造成网络数据防护不及时,同时增加了网络数据防护的成本,反而降低了网络数据的防护效率;
对检测出风险源的数据通道进行分析,获取到数据存储网域内同一时刻检测出风险源的数据通道对应的数据存储节点,若当前检测时刻内同类型存储数据对应高等级节点与低等级节点均出现风险源,则产生报警信号,并将当前类型存储数据对应所有的安全边界全部进行信号孤岛且防火墙介入,并将当前所有通讯连接的外部网络以及外部网络节点的访问指令进行检测,若访问指令无发起源头且执行后无接收终端均进行数据中断;若当前检测时刻内同类型存储数据对应高等级节点出现风险源且低等级节点未出现风险源,或者当前检测时刻内同类型存储数据对应高等级节点未出现风险源低等级节点出现风险源,则产生自检信号,即防火墙将对应高等级节点的安全边界进行外部指令拦截,安全边界对当前内部数据传输进行溯源,若数据传输端和接收端以及对应指令发起源头和接收终端的指令传输无偏差,则防火墙拦截停止,反之,则产生报警信号;
报警信号智能筛分后,服务器生成智能防护决策信号并将智能防护决策信号发送至智能防护决策单元,智能防护决策单元接收到智能防护决策信号后,对当前安全事件处理进行决策,通过当前安全事件产生影响分析判断当前安全事件是否执行管理员决策防护,避免防火墙单一防护类型无法高效处理安全事件,造成安全事件处理不及时,通过智能决策能够合理安排管理员操作,避免海量数据异常时增加管理员的事件处理强度,间接降低了数据安全防护效率;
获取到数据存储过程中安全事件被检测耗时与历史安全事件检测平均耗时的多出量以及安全事件被检测过程中存储数据的非权限传输量的增长速度,并将数据存储过程中安全事件被检测耗时与历史安全事件检测平均耗时的多出量以及安全事件被检测过程中存储数据的非权限传输量的增长速度分别与耗时多出量阈值和传输量增长速度阈值进行比较:
若数据存储过程中安全事件被检测耗时与历史安全事件检测平均耗时的多出量超过耗时多出量阈值,或者安全事件被检测过程中存储数据的非权限传输量的增长速度超过传输量增长速度阈值,则判定当前安全事件的处理难度大,生成管理员防护信号并将管理员防护信号发送至服务器;若数据存储过程中安全事件被检测耗时与历史安全事件检测平均耗时的多出量未超过耗时多出量阈值,且安全事件被检测过程中存储数据的非权限传输量的增长速度未超过传输量增长速度阈值,则判定当前安全事件的处理难度小,生成防火墙防护信号并将防火墙防护信号发送至服务器;服务器接收后根据信号类型进行防护类型决策;
实施例2
服务器接收到高等级节点和低等级节点的编号后,对存储节点进行存储数据分析,判断当前存储节点的防护规划是否合理,采集到存储节点内实时存储数据的数据更新周期以及数据更新周期内存储节点的实时存储数据对应访问终端数量中被允许访问终端数量占比,并将存储节点内实时存储数据的数据更新周期以及数据更新周期内存储节点的实时存储数据对应访问终端数量中被允许访问终端数量占比分别与数据更新周期阈值和访问终端数量占比阈值进行比较:
若存储节点内实时存储数据的数据更新周期超过数据更新周期阈值,且数据更新周期内存储节点的实时存储数据对应访问终端数量中被允许访问终端数量占比未超过访问终端数量占比阈值,则判定对应存储节点内的实时存储数据为安全高需求数据,若当前存储节点为低等级节点,则生成低安全信号并将低安全信号发送至服务器;若当前存储节点为高等级节点,则生成高安全信号并将高安全信号发送至服务器,服务器接收后对存储节点内存储数据进行重新规划;
若存储节点内实时存储数据的数据更新周期未超过数据更新周期阈值,或者数据更新周期内存储节点的实时存储数据对应访问终端数量中被允许访问终端数量占比超过访问终端数量占比阈值,则判定对应存储节点内的实时存储数据为安全低需求数据,若当前存储节点为低等级节点,则生成高效匹配信号并将高效匹配信号发送至服务器;若当前存储节点为高等级节点,则生成低效匹配信号并将低效匹配信号发送至服务器,服务器接收后对存储节点内存储数据进行重新规划;
上述公式均是采集大量数据进行软件模拟得出且选取与真实值接近的一个公式,公式中的系数是由本领域技术人员根据实际情况进行设置;
本发明在使用时,安全等级划分单元,用于对互联网实时存储数据进行安全等级划分,将互联网实时存储数据对应存储节点设置标号i,i为大于1的自然数,获取到互联网实时存储数据对应存储节点的安全等级划分系数,根据安全等级划分系数比较将存储节点划分为高等级节点和低等级节点,并将其对应编号发送至服务器;风险源检测单元对存储节点进行风险源检测,判断当前存储节点的风险源属于外部风险或者内部风险,并在风险源确定后,通过报警智能筛分单元对当前数据存储网域进行报警智能筛分,报警信号智能筛分后,智能防护决策单元对当前安全事件处理进行决策,通过分析生成管理员防护信号或者防火墙防护信号,并将其发送至服务器。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (10)
1.一种基于互联网的数据安全防护系统,其特征在于,包括服务器,服务器通讯连接有风险源检测单元、安全等级划分单元、报警智能筛分单元以及智能防护决策单元;
安全等级划分单元,用于对互联网实时存储数据进行安全等级划分,将互联网实时存储数据对应存储节点设置标号i,i为大于1的自然数,获取到互联网实时存储数据对应存储节点的安全等级划分系数,根据安全等级划分系数比较将存储节点划分为高等级节点和低等级节点,并将其对应编号发送至服务器;
风险源检测单元对存储节点进行风险源检测,判断当前存储节点的风险源属于外部风险或者内部风险,并在风险源确定后,通过报警智能筛分单元对当前数据存储网域进行报警智能筛分,报警信号智能筛分后,智能防护决策单元对当前安全事件处理进行决策,通过分析生成管理员防护信号或者防火墙防护信号,并将其发送至服务器。
2.根据权利要求1所述的一种基于互联网的数据安全防护系统,其特征在于,安全等级划分单元的运行过程如下:
获取到数据存储过程中存储节点设定防火墙处理不同数量的安全事件时,对应安全事件的处理速度,并将对应安全事件的处理速度标记为CVi;获取到数据存储过程中存储节点面临的安全事件接入网络时刻与安全事件被检测时刻的缓冲时长,并将数据存储过程中存储节点面临的安全事件接入网络时刻与安全事件被检测时刻的缓冲时长标记为HCi;获取到数据存储过程中安全事件检测缓冲时长内实时接入网络的安全事件对应检测速度浮动量,并将数据存储过程中安全事件检测缓冲时长内实时接入网络的安全事件对应检测速度浮动量标记为VFi;
通过公式获取到互联网实时存储数据对应存储节点的安全等级划分系数DJi,其中,a1、a2以及a3均为预设比例系数,且a1>a2>a3>1,e为自然常数;将互联网实时存储数据对应存储节点的安全等级划分系数DJi与安全等级划分系数阈值进行比较。
3.根据权利要求2所述的一种基于互联网的数据安全防护系统,其特征在于,若互联网实时存储数据对应存储节点的安全等级划分系数DJi超过安全等级划分系数阈值,则判定当前存储节点的安全等级性能低,将对应存储节点标记为低等级节点;若互联网实时存储数据对应存储节点的安全等级划分系数DJi未超过安全等级划分系数阈值,则判定当前存储节点的安全等级性能高,将对应存储节点标记为高等级节点。
4.根据权利要求1所述的一种基于互联网的数据安全防护系统,其特征在于,风险源检测单元的运行过程如下:
将当前存储节点的实时覆盖网络标记为数据存储网域,以数据存储网域为中心,外部访问终端需求数据访问时需通过外部网络为介质,与当前数据存储网域进行通讯连接,即外部网络的网络节点与数据存储网域的网络节点建立通讯,在外部网络的网络节点通过数据存储网域的安全认证,且数据存储网域的网络节点通过外部网络的数据传输性能评估,外部网络的网络节点与数据存储网域的网络节点对应数据通道打开,数据通道互通后当前数据通道所覆盖的网络标记为安全边界。
5.根据权利要求4所述的一种基于互联网的数据安全防护系统,其特征在于,数据存储网域与多个外部网络构建安全边界,若当前数据通道中数据存储网域内无访问指令的存储数据产生流量输出或者有访问指令的存储数据对应输出速度无法调控,则当前数据存储网域内部异常,数据存储网域与外部网络之间的安全边界进行信号孤岛,在设定时间阈值内安全边界网络控制内外信号传输,并在存储网域内部异常清除后安全边界恢复信号传输,并将当前数据存储网域内存储数据进行位置迁移,同时外部网络的网络节点覆盖终端的权限进行密钥更换。
6.根据权利要求5所述的一种基于互联网的数据安全防护系统,其特征在于,若当前数据通道中外部网络的网络节点访问指令审核时段内存储数据的操作执行频率超过执行频率阈值,或者当前存储数据访问指令无权限驳回后更换数据类型继续访问的频率超过继续访问频率阈值,则当前数据存储网域外部异常,将当前数据通道的外部网络节点设定为危险访问端,当前安全边界进行信号孤岛同时数据存储网域的防火墙介入,在安全边界内实时存储数据传输量以及传输路径溯源时,防火墙阻断外界网络节点与外界网络的通讯,并在实时存储数据完成溯源检测后若无数据缺失或者无病毒植入,则安全边界信号孤岛接触且当前存储数据接收且单一接收数据存储网域的数据传输指令。
7.根据权利要求1所述的一种基于互联网的数据安全防护系统,其特征在于,报警智能筛分单元的运行过程如下:
对检测出风险源的数据通道进行分析,获取到数据存储网域内同一时刻检测出风险源的数据通道对应的数据存储节点,若当前检测时刻内同类型存储数据对应高等级节点与低等级节点均出现风险源,则产生报警信号,并将当前类型存储数据对应所有的安全边界全部进行信号孤岛且防火墙介入,并将当前所有通讯连接的外部网络以及外部网络节点的访问指令进行检测,若访问指令无发起源头且执行后无接收终端均进行数据中断。
8.根据权利要求7所述的一种基于互联网的数据安全防护系统,其特征在于,若当前检测时刻内同类型存储数据对应高等级节点出现风险源且低等级节点未出现风险源,或者当前检测时刻内同类型存储数据对应高等级节点未出现风险源低等级节点出现风险源,则产生自检信号,即防火墙将对应高等级节点的安全边界进行外部指令拦截,安全边界对当前内部数据传输进行溯源,若数据传输端和接收端以及对应指令发起源头和接收终端的指令传输无偏差,则防火墙拦截停止,反之,则产生报警信号。
9.根据权利要求1所述的一种基于互联网的数据安全防护系统,其特征在于,智能防护决策单元的运行过程如下:
获取到数据存储过程中安全事件被检测耗时与历史安全事件检测平均耗时的多出量以及安全事件被检测过程中存储数据的非权限传输量的增长速度,并将数据存储过程中安全事件被检测耗时与历史安全事件检测平均耗时的多出量以及安全事件被检测过程中存储数据的非权限传输量的增长速度分别与耗时多出量阈值和传输量增长速度阈值进行比较。
10.根据权利要求9所述的一种基于互联网的数据安全防护系统,其特征在于,若数据存储过程中安全事件被检测耗时与历史安全事件检测平均耗时的多出量超过耗时多出量阈值,或者安全事件被检测过程中存储数据的非权限传输量的增长速度超过传输量增长速度阈值,则判定当前安全事件的处理难度大,生成管理员防护信号并将管理员防护信号发送至服务器;若数据存储过程中安全事件被检测耗时与历史安全事件检测平均耗时的多出量未超过耗时多出量阈值,且安全事件被检测过程中存储数据的非权限传输量的增长速度未超过传输量增长速度阈值,则判定当前安全事件的处理难度小,生成防火墙防护信号并将防火墙防护信号发送至服务器;服务器接收后根据信号类型进行防护类型决策。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311336827.5A CN117349908A (zh) | 2023-10-17 | 2023-10-17 | 一种基于互联网的数据安全防护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311336827.5A CN117349908A (zh) | 2023-10-17 | 2023-10-17 | 一种基于互联网的数据安全防护系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117349908A true CN117349908A (zh) | 2024-01-05 |
Family
ID=89355421
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311336827.5A Pending CN117349908A (zh) | 2023-10-17 | 2023-10-17 | 一种基于互联网的数据安全防护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117349908A (zh) |
-
2023
- 2023-10-17 CN CN202311336827.5A patent/CN117349908A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ponomarev et al. | Industrial control system network intrusion detection by telemetry analysis | |
Skopik et al. | Dealing with advanced persistent threats in smart grid ICT networks | |
US8949668B2 (en) | Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model | |
CN114978770B (zh) | 基于大数据的物联网安全风险预警管控方法及系统 | |
JP4808703B2 (ja) | 改良型侵入検出監査およびインテリジェント・セキュリティ分析の比較を使用して関連するネットワーク・セキュリティの脅威を識別するための方法およびシステム | |
CN115767550A (zh) | 一种5g专网的网络风险评估的方法和装置 | |
Yadav et al. | Assessment of SCADA system vulnerabilities | |
CN113671909A (zh) | 一种钢铁工控设备安全监测系统和方法 | |
CN111669371B (zh) | 一种适用于电力网络的网络攻击还原系统及方法 | |
Zheng et al. | Smart grid: Cyber attacks, critical defense approaches, and digital twin | |
CN110798353B (zh) | 基于行为特征大数据分析的网络行为风险感知及防御方法 | |
CN115333849B (zh) | 一种计算机网络安全入侵检测系统 | |
CN117349908A (zh) | 一种基于互联网的数据安全防护系统 | |
Al-Madani et al. | Anomaly detection for industrial control networks using machine learning with the help from the inter-arrival curves | |
CN116170197A (zh) | 一种用户行为数据的风险控制方法及装置 | |
Abdurohman et al. | Improving distributed denial of service (DDOS) detection using entropy method in software defined network (SDN) | |
CN111447168B (zh) | 一种多维的网络安全预测方法 | |
Papa et al. | A transfer function based intrusion detection system for SCADA systems | |
Pryshchepa et al. | Modern IT problems and ways to solve them | |
Wang et al. | Industrial information security detection and protection: Monitoring and warning platform architecture design and cryptographic antitheft technology system upgrade | |
Nishiuchi et al. | Packet Analysis and Information Theory on Attack Detection for Modbus TCP | |
EP4027583A2 (en) | Method and apparatus for maintaining web application firewall based on non-face-to-face authentication | |
CN117648689B (zh) | 基于人工智能的工控主机安全事件自动响应方法 | |
Tebekaemi et al. | Detecting data manipulation attacks on the substation interlocking function using direct power feedback | |
Riahinia et al. | Cyber-Security of Protection System in Power Grids—Part 1: Vulnerabilities and Counter-Measures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |