本发明专利技术公开了一种面向大规模网络攻击的智能安全监测及联网告警方法和系统,包括网络攻击检测、旁路阻断设备、特定网络流量阻断以及上网行为管理;其中网络攻击检测支持细粒度的网络攻击检测,并支持与网络资产的关联性分析,旁路部署,零延迟、零故障风险;系统以旁路的形式连接于交换机,接入时无需业务中断,运行中不会给网络带来任何延迟和中断,可靠性达到电信级99.99%的要求;海量带宽处理能力:系统单机处理能力可达到10Gbps,且支持网络数据报文的细粒度检测,精确阻断;系统支持30余种协议识别、支持13种文件类型检测、支持3000余种恶意代码检测,支持自定义检测规则。支持自定义检测规则。支持自定义检测规则。
【技术实现步骤摘要】
一种面向大规模网络攻击的智能安全监测及联网告警方法和系统
[0001]本专利技术涉及网络安全
,具体为一种面向大规模网络攻击的智能安全监测及联网告警方法和系统。
技术介绍
[0002]随着计算机技术的不断发展,网络安全问题变得越来越受人关注,信息网络和安全体系逐渐成为信息化健康发展的基础和保障,就目前而言,无论是操作系统、应用软件、网络设备还是业务系统都普遍存在未知的漏洞,这使得在网络军火民用化、网络攻击组织化的大背景下,网络安全面临更加严峻的挑战,对网络安全监测提出了更高的要求。
[0003]网络使用时的安全一直是公民比较担心的问题,传统的网络安全是建立了一套安全防护系统,安全防护系统是安装在电脑上或者后台服务器,当出现恶意的网络攻击行为时,通过安全防护系统进行阻拦,但电脑在运行的过程中,其安全防护系统无法进行智能自我测试以及分析,从而使得其无法更好的稳固网络的稳定性,且当安全防护系统在对恶意的网络攻击行为进行阻断时,会占用大量的网络资源,进而造成了公民在使用网络时出现上传以及下载速度较慢的网速较慢的问题,为此提出一种面向大规模网络攻击的智能安全监测及联网告警方法和系统。
技术实现思路
[0004](一)解决的技术问题
[0005]针对现有技术的不足,本专利技术提供了一种面向大规模网络攻击的智能安全监测及联网告警方法和系统,以解决上述
技术介绍
中提出的问题。
[0006](二)技术方案
[0007]为实现上述目的,本专利技术提供如下技术方案:一种面向大规模网络攻击的智能安全监测及联网告警方法,包括网络攻击检测、旁路阻断设备、特定网络流量阻断以及上网行为管理;
[0008]其中网络攻击检测支持细粒度的网络攻击检测,并支持与网络资产的关联性分析,且包括以下步骤:
[0009]S01、检测全流量中的各个信息:包括域名、URL、Referer、Post报文、Cookie以及参数;
[0010]S02、检测与资产通信的异常IP;
[0011]S03、检测与资产通信的异常域名;
[0012]S04、检测与资产交互的异常邮件;
[0013]S05、检测资产通信流量中的恶意文件:包括PDF文件、PE文件、OFFICE宏病毒;
[0014]S06、检测对网络资产的探测行为:包括Nessus、Nikto以及端口扫描;
[0015]S07、检测与资产INFO相关的攻击:包括后门和特洛伊木马;
[0016]S08、检测WEB相关攻击;
[0017]S09、检测资产感染的特种木马及其C&C服务器通联情况;
[0018]S10、检测资产相关的其他异常行为:包括蠕虫和shellcode。
[0019]优选的,根据步骤S02中所提出的异常IP,其中包括以下两个步骤:
[0020]①
、检测前:根据用户所需而对特定的IP以黑名单、白名单以及灰名单的方式进行分类;
[0021]②
、检测时:针对特定黑名单、白名单、灰名单IP列表,监测与预警异常IP的访问行为,支持非授权用户访问预警。
[0022]优选的,根据步骤S03所提出的,其检测异常域名的种类包括以下:
[0023]①
、针对恶意域名;
[0024]②
、域名DGA攻击;
[0025]③
、随机二级域名DDOS攻击;
[0026]④
、DNS反射放大攻击检测。
[0027]优选的,根据步骤S04中所提出的,其检测异常邮件风险行为的种类包括以下:
[0028]①
、木马邮件;
[0029]②
、钓鱼邮件;
[0030]③
、跨站邮件;
[0031]④
、受控邮箱。
[0032]优选的,根据步骤S08所提出的,其检测WEB相关攻击的种类包括以下:
[0033]①
、XSS跨站脚本检测;
[0034]②
、异常结构XSS检测;
[0035]③
、WebShell检测;
[0036]④
、SQL注入检测;
[0037]⑤
、Web行为分析。
[0038]优选的,方法中所提出的旁路阻断设备、特定网络流量阻断以及上网行为管理,其各自的详细内容如下:
[0039]旁路阻断设备:产品以旁路的形式连接于交换机,在不对网络稳定运行造成影响的情况下,对所检测发现的网络攻击进行实时、精准阻断;
[0040]特定网络流量阻断:支持设置细粒度的防护阻断规则,包括指定源IP、源端口、目的IP、目的端口以及指定协议,对特定网络流量的精准拦截;
[0041]上网行为管理:支持设置敏感或禁止访问的网站、URL及特殊应用,对访问此类网络目标的上网行为的监测预警或阻断。
[0042]优选的,一种面向大规模网络攻击的智能安全监测及联网告警系统:其系统包括资产攻击旁路阻断系统,其系统的功能包括以下:
[0043]1)、屏蔽IP地址和端口;资产攻击旁路阻断系统支持设置细粒度的防护规则,实现精准拦截,产品支持屏蔽指定IP地址和端口;
[0044]2)、屏蔽指定域名和URL:针对通过应用层的应用和上网行为,阻断制定的域名和URL访问通信行为;
[0045]3)、屏蔽指定TCP报文:阻断TCP通信报文,中断对应的应用层网络通信流量和数
据;
[0046]资产攻击旁路阻断系统从安装到使用,不会对网络带来任何延迟和中断;
[0047]4)、高可定制化安全规则:资产攻击旁路阻断系统提供灵活的“自定义规则”功能,支持千万级自定义规则,支持关键字过滤、参数绑定过滤,可对文件路径关键字、参数名、参数类型以及参数长度进行配置。
[0048]优选的,资产攻击旁路阻断系统的部署方式包括以下两点:
[0049]第一:资产攻击旁路阻断系统支持镜像拦截模式,将资产攻击旁路阻断系统连接到交换机的镜像口,系统通过旁注报文的方式进行网络防护;
[0050]第二:资产攻击旁路阻断系统部署在朝向外网(互联网出入口)的交换机位置进行拦截。
[0051](三)有益效果
[0052]与现有技术相比,本专利技术提供了一种面向大规模网络攻击的智能安全监测及联网告警方法和系统,具备以下有益效果:
[0053]1、旁路部署,零延迟、零故障风险;系统以旁路的形式连接于交换机,接入时无需业务中断,运行中不会给网络带来任何延迟和中断,可靠性达到电信级99.99%的要求;
[0054]2、海量带宽处理能力:系统单机处理能力可达到10Gbps,且支持网络数据报文的细粒度检测,精确阻断;
[0055]3、系统支持30余种协议识别、支持13种文件类型检测、支持3000余种恶意代码检测,支持自定义检测规则。
[0056]4、接入时无需业务中断:旁路部署的设备不会给网络带来任何延迟本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种面向大规模网络攻击的智能安全监测及联网告警方法,其特征在于:包括网络攻击检测、旁路阻断设备、特定网络流量阻断以及上网行为管理;其中网络攻击检测支持细粒度的网络攻击检测,并支持与网络资产的关联性分析,且包括以下步骤:S01、检测全流量中的各个信息:包括域名、URL、Referer、Post报文、Cookie以及参数;S02、检测与资产通信的异常IP;S03、检测与资产通信的异常域名;S04、检测与资产交互的异常邮件;S05、检测资产通信流量中的恶意文件:包括PDF文件、PE文件、OFFICE宏病毒;S06、检测对网络资产的探测行为:包括Nessus、Nikto以及端口扫描;S07、检测与资产INFO相关的攻击:包括后门和特洛伊木马;S08、检测WEB相关攻击;S09、检测资产感染的特种木马及其C&C服务器通联情况;S10、检测资产相关的其他异常行为:包括蠕虫和shellcode。2.根据权利要求1所述的一种面向大规模网络攻击的智能安全监测及联网告警方法,其特征在于:根据步骤S02中所提出的异常IP,其中包括以下两个步骤:
①
、检测前:根据用户所需而对特定的IP以黑名单、白名单以及灰名单的方式进行分类;
②
、检测时:针对特定黑名单、白名单、灰名单IP列表,监测与预警异常IP的访问行为,支持非授权用户访问预警。3.根据权利要求1所述的一种面向大规模网络攻击的智能安全监测及联网告警方法,其特征在于:根据步骤S03所提出的,其检测异常域名的种类包括以下:
①
、针对恶意域名;
②
、域名DGA攻击;
③
、随机二级域名DDOS攻击;
④
、DNS反射放大攻击检测。4.根据权利要求1所述的一种面向大规模网络攻击的智能安全监测及联网告警方法和系统,其特征在于:根据步骤S04中所提出的,其检测异常邮件风险行为的种类包括以下:
①
、木马邮件;
②
、钓鱼邮件;
③
、跨站邮件;
④
、受控邮箱。5.根据权利要求1所述的一种面向大规模网络攻击的智能安...
【专利技术属性】
技术研发人员:张玉祺,杨晓英,林明,鲁星星,周思彤,齐文宇,张浩波,明有为,
申请(专利权)人:金祺创北京技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。