一种网络信息风险安全预警方法及服务器以及系统技术方案

本发明专利技术属于信息风险预警技术领域，尤其涉及一种网络信息风险安全预警方法，本发明专利技术同时提供一种网络信息风险安全预警服务器，本发明专利技术同时还提供一种网络信息风险安全预警系统，在局域网的网关上实现数据控制：局域网的网关不设限制或必要限制所有进入局域网的数据包，本发明专利技术解决了现有技术存在由于现有防御系统还不能掌握黑客的动机及入侵方式策略，从而导致无法对网络入侵进行分析取证，从而有效实现安全预警、安全性高、隐藏特性好、维护管理简单便捷的效果。

A Network Information Risk Security Early Warning Method and Server and System

The invention belongs to the field of information risk early warning technology, especially relates to a method of network information risk early warning. The invention also provides a network information risk early warning server. The invention also provides a network information risk early warning system, which realizes data control on the gateway of the local area network: the gateway of the local area network has no restrictions or necessary restrictions on all access bureaus. The present invention solves the problem that the existing technology can't analyze and collect evidence of network intrusion because the existing defense system can't grasp the motive of hacker and the strategy of intrusion mode, thus effectively realizing the effect of security early warning, high security, good hiding characteristics, simple maintenance and convenient management.

【技术实现步骤摘要】
一种网络信息风险安全预警方法及服务器以及系统
本专利技术属于信息风险预警
，尤其涉及一种网络信息风险安全预警方法，本专利技术同时提供一种网络信息风险安全预警服务器，本专利技术同时还提供一种网络信息风险安全预警系统。
技术介绍
目前，在过去，网络静态连接首先预留给有限数量的昂贵的计算机，随后网络连接开始提供给企业、用户家中、移动设备，现在开始连接到大量IoT设备，过去大量资源专门用于连接计算机到静态网络，但在物联网时代，这些资源已经减少，而专用于连接这些设备到网络的资源减少造成更少的资源来防止IoT安全威胁，如果企业还没有受到IoT攻击，这应该是企业计划要处理的事情，IoT攻击最终将会到来，所以企业要学会在为时已晚之前如何最有效地防止或低于它们，现有防御系统大多数采用动态防御技术，他能够实现网络的实时信息进行监控、捕获及分析，捕获和监视潜在黑客的攻击，现有技术存在由于现有防御系统还不能掌握黑客的动机及入侵方式策略，从而导致无法对网络入侵进行分析取证，从而有效实现安全预警的问题。
技术实现思路
本专利技术提供一种网络信息风险安全预警方法及服务器以及系统，以解决上述
技术介绍
中提出了现有技术存在由于现有防御系统还不能掌握黑客的动机及入侵方式策略，从而导致无法对网络入侵进行分析取证，从而有效实现安全预警的问题。本专利技术所解决的技术问题采用以下技术方案来实现：一种网络信息风险安全预警方法，包括：在局域网的网关上实现数据控制：局域网的网关不设限制或必要限制所有进入局域网的数据包；在局域网的网关上实现数据捕获：将进入局域网的数据包根据报警规则告警并生成告警日志，同时，对进入局域网的数据包捕获并生成流数据，再同时，监控局域网的网关的主机行为变化并形成监控日志，将告警日志、流数据及监控日志传输至局域网的网关；在局域网的网关上实现数据分析：局域网的网关的告警日志、流数据及监控日志进行关联分析，在关联分析的基础上进行数据分析。进一步，所述必要限制包括根据实际需要对进入局域网的数据包必要过滤或限制。进一步，所述必要限制还包括对入侵者使用局域网向外发起的跳板攻击进行限制。进一步，所述数据分析包括在关联分析基础上结合离线分析技术进行数据分析。进一步，所述主机行为变化包括网络连接变化、进程变化、注册表变化、文件变化。进一步，将告警日志、流数据及监控日志通过隐藏协议栈技术传输至局域网的网关。同时，本专利技术还提供一种网络信息风险安全预警服务器，包括：安全预警服务器、局域网网关、日志服务器；所述安全预警服务器虚拟安装相应的实际应用业务系统，所述安全预警服务器内置主机行为监控模块，所述主机行为监控模块用于监控诱导进入的威胁入侵行为；所述局域网网关隔离主动防御系统与实际信息网络，其用于将诱导进入的威胁入侵行为控制在安全预警服务器内；所述日志服务器用于收集告警日志、流数据及监控日志并进行关联分析，在关联分析的基础上进行数据分析。同时，本专利技术还提供一种网络信息风险安全预警系统，包括数据控制模块、数据捕获模块以及离线分析模块；所述数据控制模块用于局域网的网关不设限制或必要限制所有进入局域网的数据包；所述数据捕获模块用于将进入局域网的数据包根据报警规则告警并生成告警日志，同时，对进入局域网的数据包捕获并生成流数据，再同时，监控局域网的网关的主机行为变化并形成监控日志，将告警日志、流数据及监控日志传输至局域网的网关；所述离线分析模块用于局域网的网关的告警日志、流数据及监控日志进行关联分析，在关联分析的基础上进行数据分析。进一步；所述数据控制模块内置于安全预警服务器；所述数据捕获模块内置于局域网网关；所述离线分析模块内置于日志服务器；进一步，所述局域网网关一端连接安全预警服务器，其另一端连接日志服务器，所述局域网网关连接对内连接局域网。有益技术效果：1、本专利技术采用在局域网的网关上实现数据控制：局域网的网关不设限制或必要限制所有进入局域网的数据包；在局域网的网关上实现数据捕获：将进入局域网的数据包根据报警规则告警并生成告警日志，同时，对进入局域网的数据包捕获并生成流数据，再同时，监控局域网的网关的主机行为变化并形成监控日志，将告警日志、流数据及监控日志传输至局域网的网关；在局域网的网关上实现数据分析：局域网的网关的告警日志、流数据及监控日志进行关联分析，在关联分析的基础上进行数据分析，由于采用数据控制、数据捕获以及数据分析，完成对网络风险的实时跟踪与捕获，在网关上完成数据控制，网关对所有进入局域网的数据包不设限制，或采取一定的限制措施，对主机行为进行监视，实际上是对局域网的数据包根据规则进行告警，并生成告警日志，同时，也对原始流量数据包进行捕获，并生成数据流文件，在各个风险预警主机中，安装可以自我隐藏的主机行为监控模块，对主机里面的各种变化情况，如网络连接变化、进程变化、注册表变化、文件变化等进行记录并生成日志，捕获样本文件，通过隐藏协议栈传输技术传输到网关，最后传送到日志服务器上，通过日志服务器手机各类数据和日志，包括网络日志和主机日志，以及原始流量数据包和流数据，样本文件等等，进行关联分析，并结合离线分析技术，实现网关的数据分析的需求，从而有效实现安全预警。2、本专利技术通过所述必要限制包括根据实际需要对进入局域网的数据包必要过滤或限制，由于对进入局域网的数据包必要过滤或限制，实际上数据控制的本质是通过安装于主机的监控模块进行监控诱导，从而获得威胁入侵的行为，正是基于这种原理，网关中的大多数数据包是可以进入的，只是对必要的数据包加以限制，以保证安全预警主机的安全性。3、本专利技术采用所述必要限制还包括对入侵者使用局域网向外发起的跳板攻击进行限制，由于采用跳板攻击的限制，有效防止入侵者利用本局域网隐藏的优势对其他局域网进行攻击。4、本专利技术采用将告警日志、流数据及监控日志通过隐藏协议栈技术传输至局域网的网关，由于采用隐藏协议栈技术，隐藏协议栈技术由于没有使用连接，所以它能在OS4层套接字中实现终极隐身，IDS/IPS也别想捕获它，因为它们不会检测数据包报头，防火墙和外围安全设备也记录不到有用的信息。对于没有权限捕获数据包的分析师眼中，一切与端口扫描无异，因此，使得网关中具有较好的隐藏特性。5、本专利技术采用安全预警服务器、局域网网关、日志服务器；所述安全预警服务器虚拟安装相应的实际应用业务系统，所述安全预警服务器内置主机行为监控模块，所述主机行为监控模块用于监控诱导进入的威胁入侵行为；所述局域网网关隔离主动防御系统与实际信息网络，其用于将诱导进入的威胁入侵行为控制在安全预警服务器内；所述日志服务器用于收集告警日志、流数据及监控日志并进行关联分析，在关联分析的基础上进行数据分析，由于安全预警服务器：虚拟安装相应的实际应用业务系统，所述安全预警服务器内置主机行为监控模块，所述主机行为监控模块用于监控诱导进入的威胁入侵行为；局域网网关：隔离主动防御系统与实际信息网络，其用于将诱导进入的威胁入侵行为控制在安全预警服务器内；日志服务器：用于收集告警日志、流数据及监控日志并进行关联分析，在关联分析的基础上进行数据分析，由于采用安全预警服务器、局域网网关、日志服务器等硬件设备及服务器，该服务器结构严谨、安全稳定可控，支持虚拟业务功能多样化，维护管理简单便捷、资源分配迅速便捷的风险预警系本文档来自技高网...

【技术保护点】
1.一种网络信息风险安全预警方法，其特征在于，包括：在局域网的网关上实现数据控制：局域网的网关不设限制或必要限制所有进入局域网的数据包；在局域网的网关上实现数据捕获：将进入局域网的数据包根据报警规则告警并生成告警日志，同时，对进入局域网的数据包捕获并生成流数据，再同时，监控局域网的网关的主机行为变化并形成监控日志，将告警日志、流数据及监控日志传输至局域网的网关；在局域网的网关上实现数据分析：局域网的网关的告警日志、流数据及监控日志进行关联分析，在关联分析的基础上进行数据分析。

【技术特征摘要】
1.一种网络信息风险安全预警方法，其特征在于，包括：在局域网的网关上实现数据控制：局域网的网关不设限制或必要限制所有进入局域网的数据包；在局域网的网关上实现数据捕获：将进入局域网的数据包根据报警规则告警并生成告警日志，同时，对进入局域网的数据包捕获并生成流数据，再同时，监控局域网的网关的主机行为变化并形成监控日志，将告警日志、流数据及监控日志传输至局域网的网关；在局域网的网关上实现数据分析：局域网的网关的告警日志、流数据及监控日志进行关联分析，在关联分析的基础上进行数据分析。2.根据权利要求1所述的一种网络信息风险安全预警方法，其特征在于，所述必要限制包括根据实际需要对进入局域网的数据包必要过滤或限制。3.根据权利要求2所述的一种网络信息风险安全预警方法，其特征在于，所述必要限制还包括对入侵者使用局域网向外发起的跳板攻击进行限制。4.根据权利要求1所述的一种网络信息风险安全预警方法，其特征在于，所述数据分析包括在关联分析基础上结合离线分析技术进行数据分析。5.根据权利要求1所述的一种网络信息风险安全预警方法，其特征在于，所述主机行为变化包括网络连接变化、进程变化、注册表变化、文件变化。6.根据权利要求1所述的一种网络信息风险安全预警方法，其特征在于，将告警日志、流数据及监控日志通过隐藏协议栈技术传输至局域网的网关。7.一种网络信息风险安全预警服务器，其特征在于，包括：安全预警服...

【专利技术属性】
技术研发人员：王学宇，阚志刚，杨林，陈彪，武剑，
申请(专利权)人：常熟理工学院，北京梆梆安全科技有限公司，
类型：发明
国别省市：江苏,32