本发明涉及网络安全实施系统技术领域,具体为基于大数据平台的网络安全实施系统及方法。
背景技术:
随着电子信息技术的发展,人们使用网络的频率越来越高,大数据提出的同时,人们也逐渐体会到信息高速发展带来的隐患,安全问题成为网络浏览的重要问题,隐私泄露、财产被骗等等,没有一个安全的网络环境对于使用者的影响非常大。
现有中国专利(公开号:cn106790088a)公开了网络安全技术领域的一种基于大数据平台的网络安全实施系统,包括:内网检测系统、客户端、局域网、访客验证系统、交换机、企业路由器、防火墙、反馈系统、敏感信息过滤系统、访问流量控制系统、行为日志库、云端服务器和大数据存储器;所述内网检测系统检测客户端所在的网络分布和网络环境,所述内网检测系统将客户端所在网络系统存在的问题和不安全隐患进行排除和警示,所述内网检测系统与客户端连接,该基于大数据平台的网络安全实施系统通过多层安全监测系统进行访问检测,对于网络平台提供一个安全的使用环境。
上述专利中网络安全实施系统在使用时,不能够发现网络安全攻击事件,难以查找攻击源,且每次出现攻击事件就进行系统重装,浪费资源,对系统进行的完善性较差,网络平台的使用环境较差,降低该系统的安全使用性能。
基于此,本发明设计了基于大数据平台的网络安全实施系统及方法以解决上述问题。
技术实现要素:
本发明的目的在于提供基于大数据平台的网络安全实施系统及方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:基于大数据平台的网络安全实施系统及方法,包括系统快照、应急工具包、检测系统与跟进系统,系统快照、应急工具包、检测系统与跟进系统依次通过局域网连接,系统快照连接主机系统、网络设备与数据库系统,系统快照用于对信息网络系统进行初始化快照方便后续判断该系统是否被攻击,应急工具包连接有抑制模块、根除模块与恢复模块,应急工具包用于提前预设相应的应急响应处理方式,恢复模块用于将该系统恢复到正常业务状态,跟进系统包括审计模块、执行模块与记录模块;
检测系统包括系统维护人员、检测模块、应急处理方案与选择模块,且系统维护人员、检测模块、设计模块与选择模块之间依次通过信号连接,应急处理方案包括实施方案应变单元与回退单元,恢复模块包括备份单元、删除单元、重装系统提示单元、加固单元与恢复单元,且备份单元、删除单元、重装系统提示单元、加固单元与恢复单元之间依次通过信号连接,备份单元用于备份未被攻击者改变的资料,加固单元用于对系统进行安全加固工作,加固内容包括对引发安全事件的漏洞的修复和加固的处理与对手册进行的及时更新,检测模块包括客户端、验证模块、检测单元与响应单元,且客户端、验证模块、检测单元与响应单元之间依次通过网络信号连接,验证模块包括密码输入、指纹识别、面部识别与验证码确认,检测单元包括防火墙、网络入侵检测系统与入侵防御系统,且防火墙、网络入侵检测系统与入侵防御系统之间依次通过网络信号连接,响应单元用于对系统中检测出的网络安全攻击事件进行判断并作出反应,同时从应急响应工具包中选取响应的应急响应处理方式。
优选的,主机系统包括系统进程、关键文件签名、对外服务端口、系统资源利用率、注册表与系统账号;网络设备包括路由器、设备账号与系统资源利用率;数据库系统包括开启的服务、所有客户端具有的角色与权限、概要条件、数据参数与所有初始化参数。
优选的,系统快照留存的时间点分为以下几种:系统初始化安装完成后、系统重要配置文件发生更改后、系统进行软件升级后与系统发生过安全入侵事件并恢复后。
优选的,检测单元用于检测网络安全攻击事件,网络安全攻击事件包括拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击与数据库sql注入类攻击中的一种或几种。
优选的,抑制模块是对网络攻击所影响的范围、程度进行扼制,抑制模块是针对检测模块发现的攻击特征,采取有针对性的安全补救工作;根除模块用于对引起该类安全问题的原因进行避免,并对这类安全问题所造成的后果进行弥补和消除,另外在进入抑制和根除阶段之前,需形成安全事件应急响应方案,并对方案的实施获取必要的管理授权。
优选的,攻击特征包括攻击利用的端口、服务、攻击源与攻击利用系统漏洞。
优选的,恢复单元的恢复方式分为两种,一种是在应急处理方案中列明所有系统变化的情况下,直接删除并恢复所有变化;另一种是在应急处理方案中未列明所有系统变化的情况下,重装系统。
优选的,跟进系统用于通过对该系统的审计,确认系统是否被再入侵攻击,同时回顾、总结并整合发生应急响应事件过程中的相关信息,并采用记录模块记录整个应急响应的报告。
优选的,记录的报告的内容包括安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围。
基于大数据平台的网络安全实施方法,包括以下步骤:
s1:对信息网络系统进行初始化快照,信息网络系统包括主机系统、网络设备与数据库系统,并在应急工具包中提前预设相应的应急响应处理方式;
s2:采用检测模块对访问信息进行检测,客户端访问该网络系统,并通过密码输入、指纹验证、面部识别与验证码确认进行安全登录,采用防火墙、网络入侵检测系统与入侵防御系统对访问信息的安全性质进行判定,并对访问的安全信息进行快照,使其与系统初始化的快照进行比较;
s3:判断访问信息是否具有网路安全攻击事件,当检测出网络安全攻击事件时,响应单元发出警示,并作出响应的应急处理方案,同时从应急工具包中选取相对应的应急响应处理方式,对网络安全攻击事件进行处理,当应急响应处理方式出现问题时,则立刻通过实施方案问题应变,若始终未解决,则退回应急工具包,重新选取相应的应急响应处理方案,根据相应的网络安全攻击事件,选取是进行抑制、根除或者恢复,选择恢复时,在应急处理方案中列明所有系统变化的情况下,采用备份单元对未被攻击者改变的资料进行备份,对入侵的网络攻击事件进行删除并恢复所有变化,在应急处理方案中未列明所有系统变化的情况下,采用重装系统提示单元提示维护人员对系统进行重装,再进行恢复过程后,采用加固单元对系统进行加固,并对系统进行初始化快照;
s4:对系统进行跟进,采用审计模块确认加固后的系统是否被再入侵攻击,同时回顾、总结并整合发生应急响应事件过程中的相关信息,并采用记录模块记录整个应急响应中安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围,提高网络的安全使用环境。
与现有技术相比,本发明的有益效果是:在检测的时候将保存的快照与信息系统当前状态进行对比,便于使用者发现网络安全攻击事件,且方便查找攻击源,根据网络安全攻击事件的严重程度,选取抑制、根除或者恢复对其进行处理,防止每次出现攻击事件就进行系统重装的情况,在保证网络安全使用的情况下,节约资源,并对被攻击的系统进行整合审计与记录,确认系统有没有被再次入侵,同时对系统进行更好的完善,减少以后相同情况时需要进行重装系统的情况,对于网络平台提供一个安全的使用环境。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的整体结构示意图;
图2为本发明的检测系统的结构框图;
图3为本发明的应急处理方案的结构框图;
图4为本发明的恢复模块的结构框图;
图5为本发明的检测模块的结构框图;
图6为本发明的检测单元的结构框图;
图7为本发明的实施方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1至图7,本发明提供基于大数据平台的网络安全实施系统及方法技术方案:基于大数据平台的网络安全实施系统及方法,包括系统快照、应急工具包、检测系统与跟进系统,系统快照、应急工具包、检测系统与跟进系统依次通过局域网连接,系统快照连接主机系统、网络设备与数据库系统,系统快照用于对信息网络系统进行初始化快照方便后续判断该系统是否被攻击,应急工具包连接有抑制模块、根除模块与恢复模块,应急工具包用于提前预设相应的应急响应处理方式,恢复模块用于将该系统恢复到正常业务状态,跟进系统包括审计模块、执行模块与记录模块;
检测系统包括系统维护人员、检测模块、应急处理方案与选择模块,且系统维护人员、检测模块、设计模块与选择模块之间依次通过信号连接,应急处理方案包括实施方案应变单元与回退单元,恢复模块包括备份单元、删除单元、重装系统提示单元、加固单元与恢复单元,且备份单元、删除单元、重装系统提示单元、加固单元与恢复单元之间依次通过信号连接,备份单元用于备份未被攻击者改变的资料,加固单元用于对系统进行安全加固工作,加固内容包括对引发安全事件的漏洞的修复和加固的处理与对手册进行的及时更新,检测模块包括客户端、验证模块、检测单元与响应单元,且客户端、验证模块、检测单元与响应单元之间依次通过网络信号连接,验证模块包括密码输入、指纹识别、面部识别与验证码确认,检测单元包括防火墙、网络入侵检测系统与入侵防御系统,且防火墙、网络入侵检测系统与入侵防御系统之间依次通过网络信号连接,响应单元用于对系统中检测出的网络安全攻击事件进行判断并作出反应,同时从应急响应工具包中选取响应的应急响应处理方式。
优选的,主机系统包括系统进程、关键文件签名、对外服务端口、系统资源利用率、注册表与系统账号;网络设备包括路由器、设备账号与系统资源利用率;数据库系统包括开启的服务、所有客户端具有的角色与权限、概要条件、数据参数与所有初始化参数。
优选的,系统快照留存的时间点分为以下几种:系统初始化安装完成后、系统重要配置文件发生更改后、系统进行软件升级后与系统发生过安全入侵事件并恢复后。
优选的,检测单元用于检测网络安全攻击事件,网络安全攻击事件包括拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击与数据库sql注入类攻击中的一种或几种。
优选的,抑制模块是对网络攻击所影响的范围、程度进行扼制,抑制模块是针对检测模块发现的攻击特征,采取有针对性的安全补救工作;根除模块用于对引起该类安全问题的原因进行避免,并对这类安全问题所造成的后果进行弥补和消除,另外在进入抑制和根除阶段之前,需形成安全事件应急响应方案,并对方案的实施获取必要的管理授权。
优选的,攻击特征包括攻击利用的端口、服务、攻击源与攻击利用系统漏洞。
优选的,恢复单元的恢复方式分为两种,一种是在应急处理方案中列明所有系统变化的情况下,直接删除并恢复所有变化;另一种是在应急处理方案中未列明所有系统变化的情况下,重装系统。
优选的,跟进系统用于通过对该系统的审计,确认系统是否被再入侵攻击,同时回顾、总结并整合发生应急响应事件过程中的相关信息,并采用记录模块记录整个应急响应的报告。
优选的,记录的报告的内容包括安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围。
基于大数据平台的网络安全实施方法,包括以下步骤:
s1:对信息网络系统进行初始化快照,信息网络系统包括主机系统、网络设备与数据库系统,并在应急工具包中提前预设相应的应急响应处理方式;
s2:采用检测模块对访问信息进行检测,客户端访问该网络系统,并通过密码输入、指纹验证、面部识别与验证码确认进行安全登录,采用防火墙、网络入侵检测系统与入侵防御系统对访问信息的安全性质进行判定,并对访问的安全信息进行快照,使其与系统初始化的快照进行比较;
s3:判断访问信息是否具有网路安全攻击事件,当检测出网络安全攻击事件时,响应单元发出警示,并作出响应的应急处理方案,同时从应急工具包中选取相对应的应急响应处理方式,对网络安全攻击事件进行处理,当应急响应处理方式出现问题时,则立刻通过实施方案问题应变,若始终未解决,则退回应急工具包,重新选取相应的应急响应处理方案,根据相应的网络安全攻击事件,选取是进行抑制、根除或者恢复,选择恢复时,在应急处理方案中列明所有系统变化的情况下,采用备份单元对未被攻击者改变的资料进行备份,对入侵的网络攻击事件进行删除并恢复所有变化,在应急处理方案中未列明所有系统变化的情况下,采用重装系统提示单元提示维护人员对系统进行重装,再进行恢复过程后,采用加固单元对系统进行加固,并对系统进行初始化快照;
s4:对系统进行跟进,采用审计模块确认加固后的系统是否被再入侵攻击,同时回顾、总结并整合发生应急响应事件过程中的相关信息,并采用记录模块记录整个应急响应中安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围,提高网络的安全使用环境。
本系统在检测的时候将保存的快照与信息系统当前状态进行对比,便于使用者发现网络安全攻击事件,且方便查找攻击源,根据网络安全攻击事件的严重程度,选取抑制、根除或者恢复对其进行处理,防止每次出现攻击事件就进行系统重装的情况,在保证网络安全使用的情况下,节约资源,并对被攻击的系统进行整合审计与记录,确认系统有没有被再次入侵,同时对系统进行更好的完善,减少以后相同情况时需要进行重装系统的情况。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
1.基于大数据平台的网络安全实施系统,其特征在于,包括系统快照、应急工具包、检测系统与跟进系统,所述系统快照、应急工具包、检测系统与跟进系统依次通过局域网连接,所述系统快照连接主机系统、网络设备与数据库系统,所述系统快照用于对信息网络系统进行初始化快照方便后续判断该系统是否被攻击,所述应急工具包连接有抑制模块、根除模块与恢复模块,所述应急工具包用于提前预设相应的应急响应处理方式,所述恢复模块用于将该系统恢复到正常业务状态,所述跟进系统包括审计模块、执行模块与记录模块;
所述检测系统包括系统维护人员、检测模块、应急处理方案与选择模块,且系统维护人员、检测模块、设计模块与选择模块之间依次通过信号连接,所述应急处理方案包括实施方案应变单元与回退单元,所述检测模块包括客户端、验证模块、检测单元与响应单元,且客户端、验证模块、检测单元与响应单元之间依次通过网络信号连接,所述验证模块包括密码输入、指纹识别、面部识别与验证码确认,所述检测单元包括防火墙、网络入侵检测系统与入侵防御系统,且防火墙、网络入侵检测系统与入侵防御系统之间依次通过网络信号连接,所述响应单元用于对系统中检测出的网络安全攻击事件进行判断并作出反应,同时从应急响应工具包中选取响应的应急响应处理方式;
所述恢复模块包括备份单元、删除单元、重装系统提示单元、加固单元与恢复单元,且备份单元、删除单元、重装系统提示单元、加固单元与恢复单元之间依次通过信号连接,所述备份单元用于备份未被攻击者改变的资料,所述加固单元用于对系统进行安全加固工作,加固内容包括对引发安全事件的漏洞的修复和加固的处理与对手册进行的及时更新。
2.根据权利要求1所述的基于大数据平台的网络安全实施系统,其特征在于:所述主机系统包括系统进程、关键文件签名、对外服务端口、系统资源利用率、注册表与系统账号;所述网络设备包括路由器、设备账号与系统资源利用率;所述数据库系统包括开启的服务、所有客户端具有的角色与权限、概要条件、数据参数与所有初始化参数。
3.根据权利要求1所述的基于大数据平台的网络安全实施系统,其特征在于:所述系统快照留存的时间点分为以下几种:系统初始化安装完成后、系统重要配置文件发生更改后、系统进行软件升级后与系统发生过安全入侵事件并恢复后。
4.根据权利要求1所述的基于大数据平台的网络安全实施系统,其特征在于:所述检测单元用于检测网络安全攻击事件,所述网络安全攻击事件包括拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击与数据库sql注入类攻击中的一种或几种。
5.根据权利要求1所述的基于大数据平台的网络安全实施系统,其特征在于:所述抑制模块是对网络攻击所影响的范围、程度进行扼制,抑制模块是针对检测模块发现的攻击特征,采取有针对性的安全补救工作;所述根除模块用于对引起该类安全问题的原因进行避免,并对这类安全问题所造成的后果进行弥补和消除,另外在进入抑制和根除阶段之前,需形成安全事件应急响应方案,并对方案的实施获取必要的管理授权。
6.根据权利要求1所述的基于大数据平台的网络安全实施系统,其特征在于:所述攻击特征包括攻击利用的端口、服务、攻击源与攻击利用系统漏洞。
7.根据权利要求1所述的基于大数据平台的网络安全实施系统,其特征在于:所述恢复单元的恢复方式分为两种,一种是在应急处理方案中列明所有系统变化的情况下,直接删除并恢复所有变化;另一种是在应急处理方案中未列明所有系统变化的情况下,重装系统。
8.根据权利要求1所述的基于大数据平台的网络安全实施系统,其特征在于:所述跟进系统用于通过对该系统的审计,确认系统是否被再入侵攻击,同时回顾、总结并整合发生应急响应事件过程中的相关信息,并采用记录模块记录整个应急响应的报告。
9.根据权利要求8所述的基于大数据平台的网络安全实施系统,其特征在于:所述记录的报告的内容包括安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围。
10.根据权利要求1-9任一所述的基于大数据平台的网络安全实施方法,其特征在于,包括以下步骤:
s1:对信息网络系统进行初始化快照,信息网络系统包括主机系统、网络设备与数据库系统,并在应急工具包中提前预设相应的应急响应处理方式;
s2:采用检测模块对访问信息进行检测,客户端访问该网络系统,并通过密码输入、指纹验证、面部识别与验证码确认进行安全登录,采用防火墙、网络入侵检测系统与入侵防御系统对访问信息的安全性质进行判定,并对访问的安全信息进行快照,使其与系统初始化的快照进行比较;
s3:判断访问信息是否具有网路安全攻击事件,当检测出网络安全攻击事件时,响应单元发出警示,并作出响应的应急处理方案,同时从应急工具包中选取相对应的应急响应处理方式,对网络安全攻击事件进行处理,当应急响应处理方式出现问题时,则立刻通过实施方案问题应变,若始终未解决,则退回应急工具包,重新选取相应的应急响应处理方案,根据相应的网络安全攻击事件,选取是进行抑制、根除或者恢复,选择恢复时,在应急处理方案中列明所有系统变化的情况下,采用备份单元对未被攻击者改变的资料进行备份,对入侵的网络攻击事件进行删除并恢复所有变化,在应急处理方案中未列明所有系统变化的情况下,采用重装系统提示单元提示维护人员对系统进行重装,再进行恢复过程后,采用加固单元对系统进行加固,并对系统进行初始化快照;
s4:对系统进行跟进,采用审计模块确认加固后的系统是否被再入侵攻击,同时回顾、总结并整合发生应急响应事件过程中的相关信息,并采用记录模块记录整个应急响应中安全事件的类型、时间、检测方法、抑制方法、根除方法、事件影响范围,提高网络的安全使用环境。
技术总结