大中型內部網絡安全防護系統及方法
2023-09-23 06:41:40 2
專利名稱:大中型內部網絡安全防護系統及方法
技術領域:
本發明涉及計算機網絡安全,特別是一種大中型內部網絡安全防護系統及其防護方法。
b)現有網絡安全產品主要通過安裝配置,偵聽和阻隔網絡的非法行為。沒有實時的人機配合的方式對網絡安全防護。
c)目前,大多數的網絡安全產品是應用在網際網路上的,缺乏專門針對大中型內部網絡安全防護的產品。
d)目前的防火牆產品主要是來拒絕外部的攻擊和未授權的訪問,但是對已經進入或是直接在內部的攻擊行為無能為力。
本發明目的是這樣實現的,提供的保護大中型內部網絡安全的系統是將網絡入侵檢測功能、區域網路安全功能和區域網路管理功能有機地集中於一個完整的系統中。它是立足於一個管理者、使用者的角度,從內部網絡安全和管理的實際情況出發,有效地保護和管理內部網絡。
本發明大中型內部網絡安全防護系統,包括計算機、計算機區域網,區域網包括有網絡管理中心,網絡交換機、集線器及工作計算機,網絡管理中心設置有一臺系統安全伺服器,伺服器上安裝有一套控制臺子系統,用於負責管理和控制整個系統運行、制定各種規則並檢查實施;由集線器和工作計算機組成的網段上設置有網絡監視器,其上安裝有監測入侵子系統,用於對本網段的數據進行檢測,對網絡的異常現象和入侵行為進行報警;需要保護的工作計算機上安裝有客戶端子系統,用於實時監測本機的工作狀態,防止入侵攻擊;控制臺子系統通過網絡交換機和集線器與監測入侵子系統,客戶端子系統相互連接。
本發明一種大中型內部網絡安全防護方法,包括以下步驟1).當有入侵行為時,客戶端子系統向控制臺發送報警信息,並接收和執行控制臺命令,2).監測入侵子系統同時發現入侵行為,向控制臺發送報警信息,3).控制臺子系統記錄並顯示報警信息,通知客戶端子系統斷開網絡連接,保護網絡安全。
本發明整合了目前的網絡安全技術,使其做到各種技術形成一個全方位的保護系統,客戶端子系統和監測子系統緊密相連,當有攻擊發生時,監測系統發現後,通過控制臺的管理功能,客戶端子系統就可以直接斷開攻擊路徑,避免入侵行為的繼續攻擊。
圖1為大中型內部網絡安全防護系統的配置框2為客戶端子系統,控制臺子系統,監測入侵子系統的功能模塊示意3為大中型內部網絡安全防護方法工作原理4為控制臺子系統軟體流程5為監測入侵子系統軟體流程6為客戶端子系統軟體流程圖下面結合附圖詳細說明本發明的具體實施方案本發明的一個實施是對採用二級交換方式的大型內部網絡採用本發明的安全防護系統及方法進行安全防護,可以有效地防止絕大多數的攻擊。
參見圖1,網絡管理中心有十幾臺伺服器提供不同的應用(包括存儲重要數據),全部計算機有600多臺。在網絡管理中心設置一臺系統安全伺服器,在伺服器上安裝一套控制臺子系統軟體,負責管理整個區域網內的計算機,可以定時或是不定時地對整個系統進行漏洞掃描,及時發現系統安全問題。它負責管理和控制整個系統運行、制定各種規則並檢查實施、負責系統定時與不定時的升級和更新。
由集線器和若干個工作計算機組成不同的網段,在每一個網段設置一臺網絡監視器,在上面安裝監測入侵子系統軟體,對本網段的數據進行檢測,對網絡的異常現象和黑客入侵行為產生報警並啟動相關的安全措施。
在需要保護的每一臺工作計算機上都安裝客戶端子系統軟體,開機後程序即在後臺運行,實時監測本機的工作狀態,防止黑客軟體(尤其是木馬程序)的攻擊。
參見圖2,控制臺子系統,監測入侵子系統及客戶端子系統可以設計成具有不同功能模塊的軟體。
本發明大中型內部網絡安全防護系統的控制臺子系統具有如下功能模塊系統管理,管理和控制整個系統運行,定時或是不定時地對整個系統進行漏洞掃描。
計算機管理,負責管理整個區域網內的計算機。
連接規則,用於設置計算機的連接網絡時的選擇(允許或禁止)報警規則,用於設置計算機的報警情況(一般報警或緊急報警)數據通訊,與監測入侵系統和客戶端子系統建立通訊,及時準確地傳遞命令和報警信息。
加密解密,主要任務是對通訊數據進行加密和解密,保障通訊數據的安全。
本發明大中型內部網絡安全防護系統監測入侵系統具有如下功能模塊數據捕獲,負責捕獲網絡上的傳輸數據並按照TCP/IP協議的不同層次將數據包進行解析以備後續流程使用。
數據分析,按照特徵資料庫的匹配內容和已經捕獲到的數據進行分析數據統計,根據用戶的要求,對已經捕獲的數據進行特定的檢索和統計。
報警模塊,遵守報警規則,傳輸報警數據,向控制臺發送報警信息。
數據通訊,完成和控制臺系統的相互間的數據通訊,及時準確地傳遞命令和報警信息。
加密解密,主要任務是對通訊數據進行加密和解密,保障通訊數據的安全。
本發明大中型內部網絡安全防護系統的客戶端子系統具有如下功能模塊遠程命令,執行控制臺系統對客戶端軟體下達的遠程控制功能,在緊急情況下自動完成各種操作(斷開連接、斷開網絡等)以保證系統的安全連接管理,遵守連接規則,進行允許連接和不允許連接的判斷並負責執行連接和斷開網絡。
報警模塊,遵守報警規則,對本機的報警事件進行判斷,向控制臺發送不同級別的報警信息。
加密解密,主要任務是對通訊數據進行加密和解密,保障通訊數據的安全。
數據通訊,主要是完成控制臺系統和客戶端軟體的相互間的數據通訊,及時準確地傳遞命令和報警信息控制臺子系統、監測入侵子系統及客戶端子系統之間根據TCP/IP協議,採用Winsock機制傳送數據和處理信息,內部數據採用自定義的數據結構實現。
參見圖4,為控制臺子系統軟體流程圖,控制臺子系統採用特定埠偵聽和網絡系統內輪詢相結合的方法進行數據通訊。
參見圖5,為監測入侵子系統軟體流程圖,監測入侵系統採用兩種方式特定埠偵聽,以備控制臺系統需要通訊時使用;有報警事件時,由監測入侵系統主動和控制臺進行數據通訊。
參見圖6,為客戶端子系統軟體流程圖,客戶端軟體採用兩種方式特定埠偵聽,以備控制臺系統輪詢使用;在有突發事件時,由客戶端軟體主動和控制臺進行數據通訊。
整個軟體系統採用C/S結構,由控制臺子系統、客戶端子系統及監測入侵子系統組成整個安全防護系統。安裝時,需要在每臺客戶機上運行客戶端子系統軟體,在重要的位置運行監測入侵子系統,在網絡管理中心運行控制臺子系統;軟體升級時,只需要在控制臺進行升級操作,此後客戶端軟體和監測入侵子系統將自動升級。
參見圖3,本發明對採用二級交換方式的大型內部網絡應用控制臺子系統,監測入侵子系統及客戶端子系統組成的安全防護系統,可實現對整個網絡採取全方位的防護,不論是外面的入侵行為,還是內部人員的攻擊行為,都可以被及時發現,及時報警,及時斷開入侵或是攻擊的途徑,以防護計算機網絡的安全。
現在假設有一個內部人員使用計算機A企圖越權操作計算機B,他使用某一種根據WIN9X漏洞破解共享密碼的黑客工具程序,對計算機B的合法用戶密碼進行強行破解。
在目前的計算機網絡中,這種攻擊是很危險的,它可以在很短的時間內,非法獲得用戶的登錄密碼,然後,以合法用戶的身份堂而皇之地使用計算機B的資源,而目前各種網絡安全產品是無法對計算機網絡進行有效保護的。
在安裝了本發明安全防護系統的計算機網絡中,計算機A上的客戶端軟體首先發現了它運行了黑客工具程序在企圖破解共享密碼,它在第一時間內向控制臺子系統報警;緊接著,安裝在網絡監視器上的監測入侵子系統C和D幾乎同時發現了計算機A對計算機B的攻擊行為,分別向控制臺子系統報警;這時,計算機B也確定了計算機A對它的破解共享密碼的攻擊行為,向控制臺系統報警;控制臺系統在確定了計算機A對計算機B的破解共享密碼的攻擊行為後,首先斷開計算機A和計算機B的連接路徑,使計算機A上的黑客工具程序不能對計算機B進行攻擊;然後,命令計算機A關閉黑客工具程序所使用的計算機埠,使其不能對任何計算機進行攻擊了;最後,由控制臺系統負責記錄這個事件的全部過程,填寫報警記錄,為網絡管理人員進行事後分析和審計提供詳細的數據資料。
權利要求
1.一種大中型內部網絡安全防護系統,包括計算機、計算機區域網,區域網包括有網絡管理中心、網絡交換機、集線器及工作計算機,其特徵在於網絡管理中心設置有一臺系統安全伺服器,伺服器上安裝有一套控制臺子系統,用於負責管理和控制整個系統運行、制定各種規則並檢查實施;由集線器和工作計算機組成的網段上設置有網絡監視器,其上安裝有監測入侵子系統,用於對本網段的數據進行檢測,對網絡的異常現象和入侵行為進行報警;需要保護的工作計算機上安裝有客戶端子系統,用於實時監測本機的工作狀態,防止入侵攻擊;控制臺子系統通過網絡交換機和集線器與監測入侵子系統、客戶端子系統相互連接。
2.按照權利要求1所述的大中型內部網絡安全防護系統,其特徵在於,控制臺子系統具有如下功能模塊系統管理,管理和控制整個系統運行,定時或是不定時地對整個系統進行漏洞掃描,以保障系統的安全和正常工作,計算機管理,負責管理整個區域網內的計算機,連接規則,用於設置計算機的連接網絡時的選擇(允許或禁止),報警規則,用於設置計算機的報警情況(一般報警或緊急報警),數據通訊,與監測入侵系統和客戶端子系統建立通訊,及時準確地傳遞命令和報警信息,加密解密,主要任務是對通訊數據進行加密和解密,保障通訊數據的安全。
3.按照權利要求1所述的大中型內部網絡安全防護系統,其特徵在於,監測入侵系統具有如下功能模塊數據捕獲,負責捕獲網絡上的傳輸數據並按照TCP/IP協議的不同層次將數據包進行解析以備後續流程使用,數據分析,按照特徵資料庫的匹配內容和已經捕獲到的數據進行分析數據統計,根據用戶的要求,對已經捕獲的數據進行特定的檢索和統計,報警模塊,遵守報警規則,傳輸報警數據,向控制臺發送報警信息,數據通訊,完成和控制臺系統的相互間的數據通訊,及時準確地傳遞命令和報警信息,加密解密,主要任務是對通訊數據進行加密和解密,保障通訊數據的安全。
4.按照權利要求1所述的大中型內部網絡安全防護系統,其特徵在於,客戶端子系統具有如下功能模塊遠程命令,執行控制臺系統對客戶端軟體下達的遠程控制功能,在緊急情況下自動完成各種操作(斷開連接、斷開網絡等)以保證系統的安全連接管理,遵守連接規則,進行允許連接和不允許連接的判斷並負責執行連接和斷開網絡,報警模塊,遵守報警規則,對本機的報警事件進行判斷,向控制臺發送不同級別的報警信息,加密解密,主要任務是對通訊數據進行加密和解密,保障通訊數據的安全,數據通訊,主要是完成控制臺系統和客戶端軟體的相互間的數據通訊,及時準確地傳遞命令和報警信息。
5.按照權利要求1所述的大中型內部網絡安全防護系統,其特徵在於,控制臺子系統,監測入侵子系統及客戶端子系統之間根據TCP/IP協議,採用Winsock機制傳送數據和處理信息,內部數據採用自定義的數據結構實現。
6.一種大中型內部網絡安全防護方法,包括以下步驟1).當有入侵行為時,客戶端子系統向控制臺發送報警信息,並接收和執行控制臺命令,2).監測入侵子系統同時發現入侵行為,向控制臺發送報警信息,3).控制臺子系統記錄並顯示報警信息,通知客戶端子系統斷開網絡連接,保護網絡安全。
全文摘要
本發明為一種大中型內部網絡安全防護系統及其方法。安全防護系統包括控制臺子系統,監測入侵子系統和客戶端子系統。方法是,當有入侵行為時,客戶端子系統向控制臺發送報警信息,同時,監測入侵子系統也發現有入侵行為,向控制臺發送報警信息,控制臺系統確認攻擊行為後,通知客戶端子系統斷開網絡連接,保護網絡。本發明可全方位的有效保護內部網絡安全,不論是外面的入侵行為,還是內部人員的攻擊行為,都可被及時發現,及時報警,及時斷開入侵或是攻擊的途徑。從而使企業避免遭受重大損失。
文檔編號G06F15/167GK1441365SQ0210426
公開日2003年9月10日 申請日期2002年2月28日 優先權日2002年2月28日
發明者穆世強, 何大為 申請人:北京中電網安科技有限公司