一種主動探測病毒防護系統及其防護方法
2023-06-08 21:35:01
專利名稱:一種主動探測病毒防護系統及其防護方法
技術領域:
本發明涉及一種主動探測病毒防護系統及其防護方法,尤其是一種基於乙太網三層交換機的主動探測病毒防護系統及其防護方法。
背景技術:
在網絡為人們的工作和生活不斷帶來諸多益處的同時,也不斷給網絡用戶帶來新的煩惱。網絡用戶不斷遭到網絡黑客和病毒的入侵。黑客和病毒無孔不入的威脅著網關、伺服器或上網電腦。非法入侵和計算機病毒使社會蒙受巨大損失的同時,也喚醒了人們的安全意識,加速了網絡安全市場的發展。
網絡安全不再單純依賴單一設備和單一技術來實現已成為業界共識。傳統的防火牆技術可以解決外網對內網的攻擊,卻不能防住內網中各子網間引發的攻擊,特別是像內網中最易引起的病毒攻擊問題。企事業/校園網絡中的骨幹設備是三層交換機,它們肩負著對內部子網的管理職能,且時刻處在非法入侵和病毒的包圍之中,安全狀況很被動,但目前市場中缺乏針對這類設備的安全產品。
目前,也有一種基於廣域網的IDS技術,但廣域網的IDS技術只適用於廣域網,而針對區域網卻無能為力,因此,急需一種有效的區域網主動探測病毒防護系統。
發明內容
本發明所要解決的技術問題在於提供一種防範區域網子網間病毒攻擊的主動探測病毒防護系統及其防護方法。
為解決上述技術問題,本發明所採用的技術方案是提供一種主動探測病毒防護系統,該系統包括嵌入於三層交換機中的探針模塊、存儲器、安全策略模塊以及安裝於信息監控伺服器中的外部訪問管理系統。其中,本地網絡中的數據流經探針模塊時,一部分信息保存於存儲器中,外部訪問管理系統對存儲器中的數據進行分析並實現對網絡運行狀態的監控,探針模塊按照安全策略模塊的要求對數據進行判斷,並根據判斷結果對埠實施控制。
上述技術方案的進一步改進在於其中外部訪問管理系統進一步包括分析引擎模塊、信息監控機制模塊、信息日誌管理模塊以及監控顯示模塊。分析引擎模塊的802.1x接入驗證與RADIUS(遠程用戶撥號認證系統)身份認證結合特性,構成用戶終端設備與使用者綁定功能,實現網絡信息的可追溯性。探針模塊包括主動式和被動式工作模式,主動方式是對三層交換機以下的所有二層交換機上的用戶終端進行掃描,尋找潛在的安全威脅,被動方式則基於網絡傳輸數據的驅動進行分析。
為解決上述技術問題,本發明所採用的另一技術方案是提供一種主動探測病毒防護方法,包括以下步驟步驟一、本地網絡數據流經探針模塊,安全策略模塊對其進行比較判斷並根據結果對埠進行控制;步驟二、存儲器保存一部分數據,並通過分析引擎模塊,產生系統分析數據,實現對網絡運行狀態的監控。
本發明的有益效果是由於本發明通過外部訪問管理系統對存儲器中的數據進行分析並實現對網絡運行狀態的監控,探針模塊按照安全策略模塊的要求對數據進行判斷,並根據判斷結果對埠實施控制,使得該系統具有在區域網上橫跨三層交換,入侵檢測和防殺病毒三方面的功能。
圖1是本發明主動探測病毒防護系統的結構圖。
具體實施例方式
本發明主動探測病毒防護系統基於三層交換機平臺,針對當前內網安全薄弱的現實情況,本發明主動探測病毒防護系統能夠實現內網個人訪問控制和訪問跟蹤的安全技術。它把寬帶接入、安全控制和訪問跟蹤綜合為一體,解決了以往防火牆所不能解決的問題,把出網訪問安全控制前移到用戶的接入點。尤其適合應用在電子政務,金融及內網安全性較高的網絡環境。
如圖1所示,本發明主動探測病毒防護系統主要由嵌入在三層交換機中的探針模塊、存儲器、安全策略模塊(主要是安全策略機制庫)和安裝在信息監控伺服器中的外部訪問管理系統,外部訪問管理系統主要包括分析引擎模塊、信息監控模塊(主要是信息監控知識庫)、信息日誌管理模塊及監控顯示模塊。
安全策略模塊主要為系統提供安全策略,包括策略的保存、更新、添加。分析引擎模塊主要通過檢查網絡數據信息,檢測系統中違背安全策略或危及系統安全的行為或活動,從而保護信息系統的資源不受拒絕服務攻擊,防止系統數據的洩漏、篡改和破壞。信息監控模塊主要對網絡流量、用戶運行狀態動態監視。信息日誌管理模塊主要對操作日誌、系統運行日誌、故障日誌進行適時記錄和分類查詢。監控顯示模塊主要以實時顯示方式對終端用戶進行監控。
區域網中的數據流經過探針模塊時,一方面數據中的一些關鍵信息被保存在數據存儲器中,已保存的信息通過信息監控伺服器中的分析引擎模塊,產生系統分析數據,實現對網絡運行狀態的監控。另一方面,探針模塊按照安全策略模塊的策略對數據進行比較判斷,並根據安全策略模塊要求對信息交換/路由的埠實施控制,阻斷或警告提示具有病毒或垃圾郵件的埠。
探針模塊工作模式分為主動方式和被動方式,主動方式是對三層交換機以下的所有二層交換機上的用戶終端進行掃描,以產生網絡中正在運行的終端用戶極其系統潛在的安全威脅,如安全漏洞、後門埠等等。被動方式就是基於網絡傳輸數據的驅動,不向網絡發送探針,而是監聽網絡中的分組流來推測網絡的情況,以被動方式監聽網絡,收集來自於所有拓撲、虛擬線路、應用和協議的統計數據,實現了數據鏈路層到應用層的各層分析。
信息監控伺服器中的分析引擎模塊是實現網絡流量、用戶運行狀態動態監視的核心。探針模塊所採集的數據通過分析引擎模塊的處理,產生相應的報表或圖形文件,供網絡管理人員及時把握網絡運行情況並實施相應的管理策略。分析引擎模塊還可以控制探針模塊動態抽樣採集用戶終端屏幕畫面,以實現對網絡用戶使用狀態的監控。
分析引擎模塊中的IEEE 802.1x接入驗證與RADIUS(RADIUSRemote Authentication Dial In User Service,遠程用戶撥號認證系統)身份認證結合,構成用戶終端設備與使用者綁定功能,實現了網絡信息的可追溯性。RADIUS是一種在網絡接入伺服器和共享認證伺服器間傳輸認證、授權和配置信息的協議。RADIUS使用UDP作為其傳輸協議。此外RADIUS也負責傳送網絡接入伺服器和共享計費伺服器間的計費信息。IEEE 802.1x是一種鏈路層驗證機制協議,控制著對網絡訪問埠即網絡連接點的訪問,如實施在接入點的物理交換埠或邏輯埠。通過控制網絡訪問,用戶可以在多層安全架構部署第一道防線。在連接設備得到驗證之前,網絡訪問權完全被禁止。得到驗證之後,用戶可以被提供第2層交換機通常提供的服務以外的附加服務。這些服務包括第3層過濾、速率限制和第4層過濾。
本發明的優勢就在於在不改變現有網絡拓撲結構的情況下,將系統的安全管理功能分散在各個三層交換機上,都有自己的安全機制庫,管理整個網絡中的一個子網,用戶數也相對有限,大大降低了信息流量,根據網絡用戶終端的情況分別配置管理策略。另一方面,這種分布式管理結構具有很強的可擴展性和適應性。在網絡系統運行過程中,可隨時加入新的子網,而不影響其它子網的正常工作。
權利要求
1.一種主動探測病毒防護系統,其特徵在於該系統包括嵌入於三層交換機中的探針模塊、存儲器、安全策略模塊以及安裝於信息監控伺服器中的外部訪問管理系統,其中,本地網絡中的數據流經探針模塊時,一部分信息保存於存儲器中,外部訪問管理系統對存儲器中的數據進行分析並實現對網絡運行狀態的監控,探針模塊按照安全策略模塊的要求對數據進行判斷,並根據判斷結果對埠實施控制。
2.如權利要求1所述的主動探測病毒防護系統,其特徵在於該外部訪問管理系統進一步包括分析引擎模塊、信息監控模塊、信息日誌管理模塊以及監控顯示模塊,其中,數據經分析引擎模塊進行分析後,由信息監控模塊實現動態監控,再經由日誌管理模塊和監控顯示模塊管理或顯示。
3.如權利要求2所述的主動探測病毒防護系統,其特徵在於該分析引擎模塊的802.1x接入驗證與遠程用戶撥號認證系統身份認證結合,構成用戶終端設備與使用者綁定功能,實現網絡信息的可追溯性。
4.如權利要求3所述的主動探測病毒防護系統,其特徵在於該遠程用戶撥號認證系統是一種在網絡接入伺服器和共享認證伺服器間傳輸認證、授權和配置信息的協議。
5.如權利要求4所述的主動探測病毒防護系統,其特徵在於該遠程用戶撥號認證系統使用UDP作為其傳輸協議。
6.如權利要求5所述的主動探測病毒防護系統,其特徵在於該遠程用戶撥號認證系統負責傳送網絡接入伺服器和共享計費伺服器間的計費信息。
7.如權利要求3所述的主動探測病毒防護系統,其特徵在於IEEE 802.1x是一種鏈路層驗證機制協議,控制著對網絡訪問埠即網絡連接點的訪問。
8.如權利要求7所述的主動探測病毒防護系統,其特徵在於該網絡訪問埠為接入點的物理交換埠或邏輯埠。
9.如權利要求1所述的主動探測病毒防護系統,其特徵在於該探針模塊包括主動式和被動式工作模式,主動方式是對三層交換機以下的所有二層交換機上的用戶終端進行掃描,尋找潛在的安全威脅,被動方式則基於網絡傳輸數據的驅動進行分析。
10.一種主動探測病毒防護方法,其特徵在於包括以下步驟步驟一、本地網絡數據流經探針模塊,安全策略模塊對其進行比較判斷並根據結果對埠進行控制;步驟二、存儲器保存一部分數據,並通過分析引擎模塊,產生系統分析數據,實現對網絡運行狀態的監控。
全文摘要
本發明涉及一種網絡病毒防護領域的主動探測病毒防護系統及其防護方法,該系統包括嵌入於三層交換機中的探針模塊、存儲器、安全策略模塊以及安裝於信息監控伺服器中的外部訪問管理系統,本發明解決了現有區域網病毒防護系統無法防範區域網子網間病毒攻擊的缺點,可廣泛應用於電子政務,金融及內網安全性較高的網絡環境。
文檔編號H04L12/24GK1905471SQ200510036269
公開日2007年1月31日 申請日期2005年7月28日 優先權日2005年7月28日
發明者沙慶宇, 潘志寶, 袁平 申請人:深圳市世紀大吉網絡通訊有限公司