基于实时监测网络安全的内核设计方法及其系统与流程

本发明涉及内核设计方法，更具体地说是指基于实时监测网络安全的内核设计方法及其系统。

背景技术：

内核是操作系统最基本的部分，它负责管理系统的进程、内存、设备驱动程序、文件和网络系统，决定着系统的性能和稳定性。一般内核在设计的过程中，会涉及到网络信息系统的安全，网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署：网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备，并且在各个设备或系统之间，能够实现系统功能互补和协调动作。

目前，大部分内核在设计的过程中，很难做到实时检测网络安全，因此，容易遭遇类似syn/ackflood供给，内核所配备普通防火墙难以抵御此中攻击，绝大多数的攻击难以被阻止在攻击目标之前而导致内核遭受重大创伤而崩溃等危害。

因此，有必要设计一种基于实时监测网络安全的内核设计方法，实现针对特殊的字符进行拦截，将攻击阻止在攻击目前之前，避免内核遭受损坏，提高内核的安全性能。

技术实现要素：

本发明的目的在于克服现有技术的缺陷，提供基于实时监测网络安全的内核设计方法及其系统。

为实现上述目的，本发明采用以下技术方案：基于实时监测网络安全的内核设计方法，所述方法包括：

设置和缓存安全隐患字符以及请求时间间隔；

访问时，获取并处理安全隐患字符；

获取访问请求ip；

判断访问请求是否为恶意攻击；

若是，则进行限制性访问；

若不是，则响应访问请求。

其进一步技术方案为：设置和缓存安全隐患字符以及请求时间间隔的步骤，包括以下具体步骤：

定时且动态设置安全隐患字符和请求时间间隔；

加载安全隐患字符；

缓存安全隐患字符。

其进一步技术方案为：加载安全隐患字符的步骤，所述安全隐患字符包括跨站点脚本以及sql注入脚本中至少一个。

其进一步技术方案为：访问时，获取并处理安全隐患字符的步骤，包括以下具体步骤：

访问时，从缓存中获取安全隐患字符；

过滤访问请求中的特殊字符；

拦截与安全隐患字符相关的特殊字符；

替换拦截的特殊字符。

其进一步技术方案为：替换拦截的特殊字符的步骤，具体是采用正则表达式对特拦截的特殊字符进行查找匹配。

其进一步技术方案为：判断访问请求是否为恶意攻击的步骤，包括以下具体步骤：

记录访问请求的请求时间间隔；

获取预先设置的请求时间间隔；

比较访问请求的请求时间间隔与预先设置的请求间隔时间，判断访问请求的请求时间是否短于预先设置的请求间隔时间内；

若是，则访问请求为恶意攻击；

若不是，则访问请求不是恶意攻击。

本发明还提供了基于实时监测网络安全的内核设计系统，包括字符设置单元、处理单元、ip获取单元以及判断单元；

所述字符设置单元，用于设置和缓存安全隐患字符以及请求时间间隔；

所述处理单元，用于访问时，获取并处理安全隐患字符；

所述ip获取单元，用于获取访问请求ip；

所述判断单元，用于判断访问请求是否为恶意攻击；若是，则进行限制性访问；若不是，则响应访问请求。

其进一步技术方案为：所述字符设置单元包括设置模块、加载模块以及缓存模块；

所述设置模块，用于定时且动态设置安全隐患字符和请求时间间隔；

所述加载模块，用于加载安全隐患字符；

所述缓存模块，用于缓存安全隐患字符。

其进一步技术方案为：所述处理单元包括字符获取模块、过滤模块、拦截模块以及替换模块；

所述字符获取模块，用于访问时，从缓存中获取安全隐患字符；

所述过滤模块，用于过滤访问请求中的特殊字符；

所述拦截模块，用于拦截与安全隐患字符相关的特殊字符；

所述替换模块，用于替换拦截的特殊字符。

其进一步技术方案为：所述判断单元包括间隔记录模块、间隔获取模块以及比较模块；

所述间隔记录模块，用于记录访问请求的请求时间间隔；

所述间隔获取模块，用于获取预先设置的请求时间间隔；

所述比较模块，用于比较访问请求的请求时间间隔与预先设置的请求间隔时间，判断访问请求的请求时间是否短于预先设置的请求间隔时间内；若是，则访问请求为恶意攻击；若不是，则访问请求不是恶意攻击。

本发明与现有技术相比的有益效果是：本发明的基于实时检测网络安全的内核设计方法，通过设置安全隐患字符以及请求时间间隔，针对传递特殊字符进行过滤、拦截、转义或者替换，从发送请求的时间间隔与原先设定的请求时间间隔进行比较，对不符合要求的访问行限制访问处理，实现针对特殊的字符进行拦截，将攻击阻止在攻击目前之前，避免内核遭受损坏，提高内核的安全性能。

下面结合附图和具体实施例对本发明作进一步描述。

附图说明

图1为本发明具体实施例提供的基于实时监测网络安全的内核设计方法的流程图；

图2为本发明具体实施例提供的设置和缓存安全隐患字符以及请求时间间隔的具体流程图；

图3为本发明具体实施例提供的获取并处理安全隐患字符的具体流程图；

图4为本发明具体实施例提供的判断访问请求是否为恶意攻击的具体流程图；

图5为本发明具体实施例提供的基于实时监测网络安全的内核设计系统的结构框图；

图6为本发明具体实施例提供的字符设置单元的结构框图；

图7为本发明具体实施例提供的处理单元的结构框图；

图8为本发明具体实施例提供的判断单元。

具体实施方式

为了更充分理解本发明的技术内容，下面结合具体实施例对本发明的技术方案进一步介绍和说明，但不局限于此。

如图1～8所示的具体实施例，本实施例提供的基于实时监测网络安全的内核设计方法，可以运用在安全内核管理设计的过程中，实现针对特殊的字符进行拦截，将攻击阻止在攻击目前之前，避免内核遭受损坏，提高内核的安全性能。

如图1所示，本实施例提供了基于实时监测网络安全的内核设计方法，该方法包括：

s1、设置和缓存安全隐患字符以及请求时间间隔；

s2、访问时，获取并处理安全隐患字符；

s3、获取访问请求ip；

s4、判断访问请求是否为恶意攻击；

s5、若是，则进行限制性访问；

s6、若不是，则响应访问请求。

更进一步的，上述的s1步骤，设置和缓存安全隐患字符以及请求时间间隔的步骤，包括以下具体步骤：

s11、定时且动态设置安全隐患字符和请求时间间隔；

s12、加载安全隐患字符；

s13、缓存安全隐患字符。

上述的s11步骤，在不同的访问请求、不同的时间段等参数影响情况下，动态设置安全隐患字符和请求时间间隔，比如，在8:30am至17:30pm的这段时间内，设置的安全隐患字符和请求时间间隔与其他时间段设置的不同，针对特定网段、服务进行设置，也就是可以动态调节以及定时设置，以便于针对不同的访问请求进行不同程度的判断和限制，在本实施例中，采用zxsysparam进行设置。

上述的s12步骤以及s13步骤，在系统启动的过程中，加载安全隐患字符，将所有设定的安全隐患字符加载至系统，对安全隐患字符缓存，在本实施例中，采用loaddefaultvalue进行设置。

另外，对于上述的s12步骤，加载安全隐患字符的步骤，所述安全隐患字符包括跨站点脚本以及sql注入脚本中至少一个，以便于预防跨站点脚本、sql注入脚本而导致的安全隐患，较大程度的提高内核设计过程中的安全性能。

更进一步的，对于上述的s2步骤，访问时，获取并处理安全隐患字符的步骤，包括以下具体步骤：

s21、访问时，从缓存中获取安全隐患字符；

s22、过滤访问请求中的特殊字符；

s23、拦截与安全隐患字符相关的特殊字符；

s24、替换拦截的特殊字符。

上述的s21步骤，当有访问请求发送至内核时，先请求从缓存中获取安全隐患字符，利用安全隐患字符先对访问请求的内容进行预先处理，以使其满足访问内核的条件。

对于上述的s22步骤，获取到安全隐患字符后，利用安全隐患字符对访问请求内的字符进行过滤筛选，分类出特殊字符。

上述的s23步骤，对分类出的特殊字符中与安全隐患字符相关的字符进行拦截，其中包括与设定的安全隐患字符相似程度高于设定值的特殊字符，对这些字符进行拦截，有利于减少带攻击性的访问请求对内核进行攻击，也有利于减少内核的损坏。

对于上述的s24步骤，具体是采用正则表达式对特拦截的特殊字符进行查找匹配，对拦截的特殊字符进行替换，一是能使请求完整地发送至内核，请求内核做出对应的正确的响应，二是不会对内核造成攻击性的损坏。

上述的s21步骤至s24步骤，通过拦截特殊字符，配置特殊攻击字符，针对传递特殊字符进行拦截、转义或者替换，实现针对特殊的字符进行拦截，将攻击阻止在攻击目前之前，避免内核遭受损坏，提高内核的安全性能。

对于上述的s3步骤，获取请求的ip，具体是为了实现动态实时监控，根据ip检测访问请求是否为恶意攻击。

更进一步的，对于上述的s4步骤，判断访问请求是否为恶意攻击的步骤，包括以下具体步骤：

s41、记录访问请求的请求时间间隔；

s42、获取预先设置的请求时间间隔；

s43、比较访问请求的请求时间间隔与预先设置的请求间隔时间，判断访问请求的请求时间是否短于预先设置的请求间隔时间内；

s44、若是，则访问请求为恶意攻击；

s45、若不是，则访问请求不是恶意攻击。

对于上述的s41步骤，记录访问请求的请求时间间隔，也就是记录请求ip所发送的请求规律和访问的次数，以此计算平均访问次数。

对于上述的s42步骤，获取设定的请求时间间隔，可以将预先设置的请求时间间隔转化为设定的访问基数，以此与记录请求ip访问的次数进行比较。

对于上述的s43步骤，判断访问请求的请求时间是否短于预先设置的请求间隔时间内，也就是判断平均访问次数与设置访问基数的大小，若平均访问次数大于设定基数，则访问请求为恶意攻击，对其进行限制访问处理，反之，则访问请求不是恶意攻击，一般恶意攻击的特点在于短时间内多次攻击，以达到攻击入侵的效果，从短时间内访问的次数，断定其是否为恶意攻击，较为方便和实用。

上述的s5步骤，进行限制性访问，主要通过断开网络连接、记录攻击过程、跟踪攻击源等方式进行限制性访问。

上述的s6步骤，具体是通过代理服务响应访问请求，避免直接攻击服务器。

另外，上述的基于实时检测网络安全的内核设计方法还包括：对安全漏洞的周期检查；通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。

上述的基于实时检测网络安全的内核设计方法还包括：用户口令鉴别、用户存取权限控制、数据存取权限和方式控制、安全审计、安全问题跟踩、计算机病毒防治、数据加密，从而做到保证网络信息的安全。

上述的基于实时检测网络安全的内核设计方法，通过设置安全隐患字符以及请求时间间隔，针对传递特殊字符进行过滤、拦截、转义或者替换，从发送请求的时间间隔与原先设定的请求时间间隔进行比较，对不符合要求的访问行限制访问处理，实现针对特殊的字符进行拦截，将攻击阻止在攻击目前之前，避免内核遭受损坏，提高内核的安全性能。

如图5所示，本实施例还提供了基于实时监测网络安全的内核设计系统，其包括字符设置单元1、处理单元2、ip获取单元3以及判断单元4。

字符设置单元1，用于设置和缓存安全隐患字符以及请求时间间隔。

处理单元2，用于访问时，获取并处理安全隐患字符。

ip获取单元3，用于获取访问请求ip。

判断单元4，用于判断访问请求是否为恶意攻击；若是，则进行限制性访问；若不是，则响应访问请求。

更进一步的，上述的字符设置单元1包括设置模块11、加载模块12以及缓存模块13。

设置模块11，用于定时且动态设置安全隐患字符和请求时间间隔。

加载模块12，用于加载安全隐患字符。

缓存模块13，用于缓存安全隐患字符。

设置模块11在不同的访问请求、不同的时间段等参数影响情况下，动态设置安全隐患字符和请求时间间隔，比如，在8:30am至17:30pm的这段时间内，设置的安全隐患字符和请求时间间隔与其他时间段设置的不同，针对特定网段、服务进行设置，也就是可以动态调节以及定时设置，以便于针对不同的访问请求进行不同程度的判断和限制，在本实施例中，采用zxsysparam进行设置。

在系统启动的过程中，加载模块12加载安全隐患字符，将所有设定的安全隐患字符加载至系统，缓存模块13对安全隐患字符缓存，在本实施例中，采用loaddefaultvalue进行设置。

加载模块12加载安全隐患字符，具体加载的安全隐患字符包括跨站点脚本以及sql注入脚本中至少一个，以便于预防跨站点脚本、sql注入脚本而导致的安全隐患，较大程度的提高内核设计过程中的安全性能。

更进一步的，上述的处理单元2包括字符获取模块21、过滤模块22、拦截模块23以及替换模块24。

字符获取模块21，用于访问时，从缓存中获取安全隐患字符。

过滤模块22，用于过滤访问请求中的特殊字符。

拦截模块23，用于拦截与安全隐患字符相关的特殊字符。

替换模块24，用于替换拦截的特殊字符。

当有访问请求发送至内核时，字符获取模块21先请求从缓存中获取安全隐患字符，利用安全隐患字符先对访问请求的内容进行预先处理，以使其满足访问内核的条件。

获取到安全隐患字符后，过滤模块22利用安全隐患字符对访问请求内的字符进行过滤筛选，分类出特殊字符。

拦截模块23对分类出的特殊字符中与安全隐患字符相关的字符进行拦截，其中包括与设定的安全隐患字符相似程度高于设定值的特殊字符，对这些字符进行拦截，有利于减少带攻击性的访问请求对内核进行攻击，也有利于减少内核的损坏。

替换模块24具体是采用正则表达式对特拦截的特殊字符进行查找匹配，对拦截的特殊字符进行替换，一是能使请求完整地发送至内核，请求内核做出对应的正确的响应，二是不会对内核造成攻击性的损坏。

通过拦截特殊字符，配置特殊攻击字符，针对传递特殊字符进行拦截、转义或者替换，实现针对特殊的字符进行拦截，将攻击阻止在攻击目前之前，避免内核遭受损坏，提高内核的安全性能。

更进一步的，上述的判断单元4包括间隔记录模块41、间隔获取模块42以及比较模块43。

间隔记录模块41，用于记录访问请求的请求时间间隔。

间隔获取模块42，用于获取预先设置的请求时间间隔。

比较模块43，用于比较访问请求的请求时间间隔与预先设置的请求间隔时间，判断访问请求的请求时间是否短于预先设置的请求间隔时间内；若是，则访问请求为恶意攻击；若不是，则访问请求不是恶意攻击。

间隔记录模块41记录访问请求的请求时间间隔，也就是记录请求ip所发送的请求规律和访问的次数，以此计算平均访问次数。

间隔获取模块42获取设定的请求时间间隔，可以将预先设置的请求时间间隔转化为设定的访问基数，以此与记录请求ip访问的次数进行比较。

比较模块43判断访问请求的请求时间是否短于预先设置的请求间隔时间内，也就是判断平均访问次数与设置访问基数的大小，若平均访问次数大于设定基数，则访问请求为恶意攻击，对其进行限制访问处理，反之，则访问请求不是恶意攻击，一般恶意攻击的特点在于短时间内多次攻击，以达到攻击入侵的效果，从短时间内访问的次数，断定其是否为恶意攻击，较为方便和实用。

进行限制性访问，主要通过断开网络连接、记录攻击过程、跟踪攻击源等方式进行限制性访问。

具体是通过代理服务响应访问请求，避免直接攻击服务器。

另外，上述的基于实时检测网络安全的内核设计系统还包括：检查单元，用于对安全漏洞的周期检查；通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。

上述的基于实时检测网络安全的内核设计系统还包括：安全检测单元，用于用户口令鉴别、用户存取权限控制、数据存取权限和方式控制、安全审计、安全问题跟踩、计算机病毒防治、数据加密，从而做到保证网络信息的安全。

上述的基于实时检测网络安全的内核设计系统，通过设置安全隐患字符以及请求时间间隔，针对传递特殊字符进行过滤、拦截、转义或者替换，从发送请求的时间间隔与原先设定的请求时间间隔进行比较，对不符合要求的访问行限制访问处理，实现针对特殊的字符进行拦截，将攻击阻止在攻击目前之前，避免内核遭受损坏，提高内核的安全性能。

上述仅以实施例来进一步说明本发明的技术内容，以便于读者更容易理解，但不代表本发明的实施方式仅限于此，任何依本发明所做的技术延伸或再创造，均受本发明的保护。本发明的保护范围以权利要求书为准。