CN1905471A - 一种主动探测病毒防护系统及其防护方法 - Google Patents

Abstract

本发明涉及一种网络病毒防护领域的主动探测病毒防护系统及其防护方法，该系统包括嵌入于三层交换机中的探针模块、存储器、安全策略模块以及安装于信息监控服务器中的外部访问管理系统，本发明解决了现有局域网病毒防护系统无法防范局域网子网间病毒攻击的缺点，可广泛应用于电子政务，金融及内网安全性较高的网络环境。

Description

一种主动探测病毒防护系统及其防护方法

技术领域

本发明涉及一种主动探测病毒防护系统及其防护方法，尤其是一种基于以太网三层交换机的主动探测病毒防护系统及其防护方法。

背景技术

在网络为人们的工作和生活不断带来诸多益处的同时，也不断给网络用户带来新的烦恼。网络用户不断遭到网络黑客和病毒的入侵。黑客和病毒无孔不入的威胁着网关、服务器或上网电脑。非法入侵和计算机病毒使社会蒙受巨大损失的同时，也唤醒了人们的安全意识，加速了网络安全市场的发展。

网络安全不再单纯依赖单一设备和单一技术来实现已成为业界共识。传统的防火墙技术可以解决外网对内网的攻击，却不能防住内网中各子网间引发的攻击，特别是像内网中最易引起的病毒攻击问题。企事业/校园网络中的骨干设备是三层交换机，它们肩负着对内部子网的管理职能，且时刻处在非法入侵和病毒的包围之中，安全状况很被动，但目前市场中缺乏针对这类设备的安全产品。

目前，也有一种基于广域网的IDS技术，但广域网的IDS技术只适用于广域网，而针对局域网却无能为力，因此，急需一种有效的局域网主动探测病毒防护系统。

发明内容

本发明所要解决的技术问题在于提供一种防范局域网子网间病毒攻击的主动探测病毒防护系统及其防护方法。

为解决上述技术问题，本发明所采用的技术方案是：提供一种主动探测病毒防护系统，该系统包括嵌入于三层交换机中的探针模块、存储器、安全策略模块以及安装于信息监控服务器中的外部访问管理系统。其中，本地网络中的数据流经探针模块时，一部分信息保存于存储器中，外部访问管理系统对存储器中的数据进行分析并实现对网络运行状态的监控，探针模块按照安全策略模块的要求对数据进行判断，并根据判断结果对端口实施控制。

上述技术方案的进一步改进在于：其中外部访问管理系统进一步包括分析引擎模块、信息监控机制模块、信息日志管理模块以及监控显示模块。分析引擎模块的802.1x接入验证与RADIUS(远程用户拨号认证系统)身份认证结合特性，构成用户终端设备与使用者绑定功能，实现网络信息的可追溯性。探针模块包括主动式和被动式工作模式，主动方式是对三层交换机以下的所有二层交换机上的用户终端进行扫描，寻找潜在的安全威胁，被动方式则基于网络传输数据的驱动进行分析。

为解决上述技术问题，本发明所采用的另一技术方案是：提供一种主动探测病毒防护方法，包括以下步骤：

步骤一、本地网络数据流经探针模块，安全策略模块对其进行比较判断并根据结果对端口进行控制；

步骤二、存储器保存一部分数据，并通过分析引擎模块，产生系统分析数据，实现对网络运行状态的监控。

本发明的有益效果是：由于本发明通过外部访问管理系统对存储器中的数据进行分析并实现对网络运行状态的监控，探针模块按照安全策略模块的要求对数据进行判断，并根据判断结果对端口实施控制，使得该系统具有在局域网上横跨三层交换，入侵检测和防杀病毒三方面的功能。

附图说明

图1是本发明主动探测病毒防护系统的结构图。

具体实施方式

本发明主动探测病毒防护系统基于三层交换机平台，针对当前内网安全薄弱的现实情况，本发明主动探测病毒防护系统能够实现内网个人访问控制和访问跟踪的安全技术。它把宽带接入、安全控制和访问跟踪综合为一体，解决了以往防火墙所不能解决的问题，把出网访问安全控制前移到用户的接入点。尤其适合应用在电子政务，金融及内网安全性较高的网络环境。

如图1所示，本发明主动探测病毒防护系统主要由嵌入在三层交换机中的探针模块、存储器、安全策略模块(主要是安全策略机制库)和安装在信息监控服务器中的外部访问管理系统，外部访问管理系统主要包括分析引擎模块、信息监控模块(主要是信息监控知识库)、信息日志管理模块及监控显示模块。

安全策略模块主要为系统提供安全策略，包括策略的保存、更新、添加。分析引擎模块主要通过检查网络数据信息，检测系统中违背安全策略或危及系统安全的行为或活动，从而保护信息系统的资源不受拒绝服务攻击，防止系统数据的泄漏、篡改和破坏。信息监控模块主要对网络流量、用户运行状态动态监视。信息日志管理模块主要对操作日志、系统运行日志、故障日志进行适时记录和分类查询。监控显示模块主要以实时显示方式对终端用户进行监控。

局域网中的数据流经过探针模块时，一方面数据中的一些关键信息被保存在数据存储器中，已保存的信息通过信息监控服务器中的分析引擎模块，产生系统分析数据，实现对网络运行状态的监控。另一方面，探针模块按照安全策略模块的策略对数据进行比较判断，并根据安全策略模块要求对信息交换/路由的端口实施控制，阻断或警告提示具有病毒或垃圾邮件的端口。

探针模块工作模式分为主动方式和被动方式，主动方式是对三层交换机以下的所有二层交换机上的用户终端进行扫描，以产生网络中正在运行的终端用户极其系统潜在的安全威胁，如安全漏洞、后门端口等等。被动方式就是基于网络传输数据的驱动，不向网络发送探针，而是监听网络中的分组流来推测网络的情况，以被动方式监听网络，收集来自于所有拓扑、虚拟线路、应用和协议的统计数据，实现了数据链路层到应用层的各层分析。

信息监控服务器中的分析引擎模块是实现网络流量、用户运行状态动态监视的核心。探针模块所采集的数据通过分析引擎模块的处理，产生相应的报表或图形文件，供网络管理人员及时把握网络运行情况并实施相应的管理策略。分析引擎模块还可以控制探针模块动态抽样采集用户终端屏幕画面，以实现对网络用户使用状态的监控。

分析引擎模块中的IEEE 802.1x接入验证与RADIUS(RADIUS：Remote Authentication Dial In User Service，远程用户拨号认证系统)身份认证结合，构成用户终端设备与使用者绑定功能，实现了网络信息的可追溯性。RADIUS是一种在网络接入服务器和共享认证服务器间传输认证、授权和配置信息的协议。RADIUS使用UDP作为其传输协议。此外RADIUS也负责传送网络接入服务器和共享计费服务器间的计费信息。IEEE 802.1x是一种链路层验证机制协议，控制着对网络访问端口即网络连接点的访问，如实施在接入点的物理交换端口或逻辑端口。通过控制网络访问，用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前，网络访问权完全被禁止。得到验证之后，用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤。

本发明的优势就在于在不改变现有网络拓扑结构的情况下，将系统的安全管理功能分散在各个三层交换机上，都有自己的安全机制库，管理整个网络中的一个子网，用户数也相对有限，大大降低了信息流量，根据网络用户终端的情况分别配置管理策略。另一方面，这种分布式管理结构具有很强的可扩展性和适应性。在网络系统运行过程中，可随时加入新的子网，而不影响其它子网的正常工作。

Claims (10)

1.一种主动探测病毒防护系统，其特征在于：该系统包括嵌入于三层交换机中的探针模块、存储器、安全策略模块以及安装于信息监控服务器中的外部访问管理系统，其中，本地网络中的数据流经探针模块时，一部分信息保存于存储器中，外部访问管理系统对存储器中的数据进行分析并实现对网络运行状态的监控，探针模块按照安全策略模块的要求对数据进行判断，并根据判断结果对端口实施控制。

2.如权利要求1所述的主动探测病毒防护系统，其特征在于：该外部访问管理系统进一步包括分析引擎模块、信息监控模块、信息日志管理模块以及监控显示模块，其中，数据经分析引擎模块进行分析后，由信息监控模块实现动态监控，再经由日志管理模块和监控显示模块管理或显示。

3.如权利要求2所述的主动探测病毒防护系统，其特征在于：该分析引擎模块的802.1x接入验证与远程用户拨号认证系统身份认证结合，构成用户终端设备与使用者绑定功能，实现网络信息的可追溯性。

4、如权利要求3所述的主动探测病毒防护系统，其特征在于：该远程用户拨号认证系统是一种在网络接入服务器和共享认证服务器间传输认证、授权和配置信息的协议。

5、如权利要求4所述的主动探测病毒防护系统，其特征在于：该远程用户拨号认证系统使用UDP作为其传输协议。

6、如权利要求5所述的主动探测病毒防护系统，其特征在于：该远程用户拨号认证系统负责传送网络接入服务器和共享计费服务器间的计费信息。

7、如权利要求3所述的主动探测病毒防护系统，其特征在于：IEEE 802.1x是一种链路层验证机制协议，控制着对网络访问端口即网络连接点的访问。

8、如权利要求7所述的主动探测病毒防护系统，其特征在于：该网络访问端口为接入点的物理交换端口或逻辑端口。

9.如权利要求1所述的主动探测病毒防护系统，其特征在于：该探针模块包括主动式和被动式工作模式，主动方式是对三层交换机以下的所有二层交换机上的用户终端进行扫描，寻找潜在的安全威胁，被动方式则基于网络传输数据的驱动进行分析。

10.一种主动探测病毒防护方法，其特征在于包括以下步骤：

步骤一、本地网络数据流经探针模块，安全策略模块对其进行比较判断并根据结果对端口进行控制；

步骤二、存储器保存一部分数据，并通过分析引擎模块，产生系统分析数据，实现对网络运行状态的监控。