一种网络信息风险安全预警方法及服务器以及系统与流程

本发明属于信息风险预警技术领域，尤其涉及一种网络信息风险安全预警方法，本发明同时提供一种网络信息风险安全预警服务器，本发明同时还提供一种网络信息风险安全预警系统。

背景技术：

目前，在过去，网络静态连接首先预留给有限数量的昂贵的计算机，随后网络连接开始提供给企业、用户家中、移动设备，现在开始连接到大量iot设备，过去大量资源专门用于连接计算机到静态网络，但在物联网时代，这些资源已经减少，而专用于连接这些设备到网络的资源减少造成更少的资源来防止iot安全威胁，如果企业还没有受到iot攻击，这应该是企业计划要处理的事情，iot攻击最终将会到来，所以企业要学会在为时已晚之前如何最有效地防止或低于它们，现有防御系统大多数采用动态防御技术，他能够实现网络的实时信息进行监控、捕获及分析，捕获和监视潜在黑客的攻击，现有技术存在由于现有防御系统还不能掌握黑客的动机及入侵方式策略，从而导致无法对网络入侵进行分析取证，从而有效实现安全预警的问题。

技术实现要素：

本发明提供一种网络信息风险安全预警方法及服务器以及系统，以解决上述背景技术中提出了现有技术存在由于现有防御系统还不能掌握黑客的动机及入侵方式策略，从而导致无法对网络入侵进行分析取证，从而有效实现安全预警的问题。

本发明所解决的技术问题采用以下技术方案来实现：一种网络信息风险安全预警方法，包括：

在局域网的网关上实现数据控制：局域网的网关不设限制或必要限制所有进入局域网的数据包；

在局域网的网关上实现数据捕获：将进入局域网的数据包根据报警规则告警并生成告警日志，同时，对进入局域网的数据包捕获并生成流数据，再同时，监控局域网的网关的主机行为变化并形成监控日志，将告警日志、流数据及监控日志传输至局域网的网关；

在局域网的网关上实现数据分析：局域网的网关的告警日志、流数据及监控日志进行关联分析，在关联分析的基础上进行数据分析。

进一步，所述必要限制包括根据实际需要对进入局域网的数据包必要过滤或限制。

进一步，所述必要限制还包括对入侵者使用局域网向外发起的跳板攻击进行限制。

进一步，所述数据分析包括在关联分析基础上结合离线分析技术进行数据分析。

进一步，所述主机行为变化包括网络连接变化、进程变化、注册表变化、文件变化。

进一步，将告警日志、流数据及监控日志通过隐藏协议栈技术传输至局域网的网关。

同时，本发明还提供一种网络信息风险安全预警服务器，包括：安全预警服务器、局域网网关、日志服务器；

所述安全预警服务器虚拟安装相应的实际应用业务系统，所述安全预警服务器内置主机行为监控模块，所述主机行为监控模块用于监控诱导进入的威胁入侵行为；

所述局域网网关隔离主动防御系统与实际信息网络，其用于将诱导进入的威胁入侵行为控制在安全预警服务器内；

所述日志服务器用于收集告警日志、流数据及监控日志并进行关联分析，在关联分析的基础上进行数据分析。

同时，本发明还提供一种网络信息风险安全预警系统，包括数据控制模块、数据捕获模块以及离线分析模块；

所述数据控制模块用于局域网的网关不设限制或必要限制所有进入局域网的数据包；

所述数据捕获模块用于将进入局域网的数据包根据报警规则告警并生成告警日志，同时，对进入局域网的数据包捕获并生成流数据，再同时，监控局域网的网关的主机行为变化并形成监控日志，将告警日志、流数据及监控日志传输至局域网的网关；

所述离线分析模块用于局域网的网关的告警日志、流数据及监控日志进行关联分析，在关联分析的基础上进行数据分析。

进一步；

所述数据控制模块内置于安全预警服务器；

所述数据捕获模块内置于局域网网关；

所述离线分析模块内置于日志服务器；

进一步，所述局域网网关一端连接安全预警服务器，其另一端连接日志服务器，所述局域网网关连接对内连接局域网。

有益技术效果：

1、本发明采用在局域网的网关上实现数据控制：局域网的网关不设限制或必要限制所有进入局域网的数据包；在局域网的网关上实现数据捕获：将进入局域网的数据包根据报警规则告警并生成告警日志，同时，对进入局域网的数据包捕获并生成流数据，再同时，监控局域网的网关的主机行为变化并形成监控日志，将告警日志、流数据及监控日志传输至局域网的网关；在局域网的网关上实现数据分析：局域网的网关的告警日志、流数据及监控日志进行关联分析，在关联分析的基础上进行数据分析，由于采用数据控制、数据捕获以及数据分析，完成对网络风险的实时跟踪与捕获，在网关上完成数据控制，网关对所有进入局域网的数据包不设限制，或采取一定的限制措施，对主机行为进行监视，实际上是对局域网的数据包根据规则进行告警，并生成告警日志，同时，也对原始流量数据包进行捕获，并生成数据流文件，在各个风险预警主机中，安装可以自我隐藏的主机行为监控模块，对主机里面的各种变化情况，如网络连接变化、进程变化、注册表变化、文件变化等进行记录并生成日志，捕获样本文件，通过隐藏协议栈传输技术传输到网关，最后传送到日志服务器上，通过日志服务器手机各类数据和日志，包括网络日志和主机日志，以及原始流量数据包和流数据，样本文件等等，进行关联分析，并结合离线分析技术，实现网关的数据分析的需求，从而有效实现安全预警。

2、本发明通过所述必要限制包括根据实际需要对进入局域网的数据包必要过滤或限制，由于对进入局域网的数据包必要过滤或限制，实际上数据控制的本质是通过安装于主机的监控模块进行监控诱导，从而获得威胁入侵的行为，正是基于这种原理，网关中的大多数数据包是可以进入的，只是对必要的数据包加以限制，以保证安全预警主机的安全性。

3、本发明采用所述必要限制还包括对入侵者使用局域网向外发起的跳板攻击进行限制，由于采用跳板攻击的限制，有效防止入侵者利用本局域网隐藏的优势对其他局域网进行攻击。

4、本发明采用将告警日志、流数据及监控日志通过隐藏协议栈技术传输至局域网的网关，由于采用隐藏协议栈技术，隐藏协议栈技术由于没有使用连接，所以它能在os4层套接字中实现终极隐身，ids/ips也别想捕获它，因为它们不会检测数据包报头，防火墙和外围安全设备也记录不到有用的信息。对于没有权限捕获数据包的分析师眼中，一切与端口扫描无异，因此，使得网关中具有较好的隐藏特性。

5、本发明采用安全预警服务器、局域网网关、日志服务器；所述安全预警服务器虚拟安装相应的实际应用业务系统，所述安全预警服务器内置主机行为监控模块，所述主机行为监控模块用于监控诱导进入的威胁入侵行为；所述局域网网关隔离主动防御系统与实际信息网络，其用于将诱导进入的威胁入侵行为控制在安全预警服务器内；所述日志服务器用于收集告警日志、流数据及监控日志并进行关联分析，在关联分析的基础上进行数据分析，由于安全预警服务器：虚拟安装相应的实际应用业务系统，所述安全预警服务器内置主机行为监控模块，所述主机行为监控模块用于监控诱导进入的威胁入侵行为；局域网网关：隔离主动防御系统与实际信息网络，其用于将诱导进入的威胁入侵行为控制在安全预警服务器内；日志服务器：用于收集告警日志、流数据及监控日志并进行关联分析，在关联分析的基础上进行数据分析，由于采用安全预警服务器、局域网网关、日志服务器等硬件设备及服务器，该服务器结构严谨、安全稳定可控，支持虚拟业务功能多样化，维护管理简单便捷、资源分配迅速便捷的风险预警系统。

6、本发明采用所述数据控制模块内置于安全预警服务器；所述数据捕获模块内置于局域网网关；所述离线分析模块内置于日志服务器；所述局域网网关一端连接安全预警服务器，其另一端连接日志服务器，所述局域网网关连接对内连接局域网，由于风险预警系统最终是为信息网络服务的，信息网络的可靠稳定安全运行的重要保证，信息网络的主动式风险预警系统对外是一个开放式的应用系统，对内又是一个模块化的封闭式系统，它为网络实时监控系统提供接口数据，方便共享实时监控预警数据，为了充分改善和提供系统的安全防护水平，改系统尽可能多地虚拟各类生产业务系统，易实现全方位的安全防护。

附图说明

图1是本发明一种网络信息风险安全预警方法的流程图；

图2是本发明一种网络信息风险安全预警系统的模块图。

具体实施方式

以下结合附图对本发明做进一步描述：图中：

s101-在局域网的网关上实现数据控制；

s102-在局域网的网关上实现数据捕获；

s103-在局域网的网关上实现数据分析；

1-安全预警服务器、2-局域网网关、3日志服务器；

实施例：

本实施例：如图1所示，一种网络信息风险安全预警方法，包括：

在局域网的网关上实现数据控制s101：局域网的网关不设限制或必要限制所有进入局域网的数据包；

在局域网的网关上实现数据捕获s102：将进入局域网的数据包根据报警规则告警并生成告警日志，同时，对进入局域网的数据包捕获并生成流数据，再同时，监控局域网的网关的主机行为变化并形成监控日志，将告警日志、流数据及监控日志传输至局域网的网关；

在局域网的网关上实现数据分析s103：局域网的网关的告警日志、流数据及监控日志进行关联分析，在关联分析的基础上进行数据分析。

由于采用在局域网的网关上实现数据控制：局域网的网关不设限制或必要限制所有进入局域网的数据包；在局域网的网关上实现数据捕获：将进入局域网的数据包根据报警规则告警并生成告警日志，同时，对进入局域网的数据包捕获并生成流数据，再同时，监控局域网的网关的主机行为变化并形成监控日志，将告警日志、流数据及监控日志传输至局域网的网关；在局域网的网关上实现数据分析：局域网的网关的告警日志、流数据及监控日志进行关联分析，在关联分析的基础上进行数据分析，由于采用数据控制、数据捕获以及数据分析，完成对网络风险的实时跟踪与捕获，在网关上完成数据控制，网关对所有进入局域网的数据包不设限制，或采取一定的限制措施，对主机行为进行监视，实际上是对局域网的数据包根据规则进行告警，并生成告警日志，同时，也对原始流量数据包进行捕获，并生成数据流文件，在各个风险预警主机中，安装可以自我隐藏的主机行为监控模块，对主机里面的各种变化情况，如网络连接变化、进程变化、注册表变化、文件变化等进行记录并生成日志，捕获样本文件，通过隐藏协议栈传输技术传输到网关，最后传送到日志服务器上，通过日志服务器手机各类数据和日志，包括网络日志和主机日志，以及原始流量数据包和流数据，样本文件等等，进行关联分析，并结合离线分析技术，实现网关的数据分析的需求，从而有效实现安全预警。

所述必要限制包括根据实际需要对进入局域网的数据包必要过滤或限制。

由于通过所述必要限制包括根据实际需要对进入局域网的数据包必要过滤或限制，由于对进入局域网的数据包必要过滤或限制，实际上数据控制的本质是通过安装于主机的监控模块进行监控诱导，从而获得威胁入侵的行为，正是基于这种原理，网关中的大多数数据包是可以进入的，只是对必要的数据包加以限制，以保证安全预警主机的安全性。

所述必要限制还包括对入侵者使用局域网向外发起的跳板攻击进行限制。

由于采用所述必要限制还包括对入侵者使用局域网向外发起的跳板攻击进行限制，由于采用跳板攻击的限制，有效防止入侵者利用本局域网隐藏的优势对其他局域网进行攻击。

所述数据分析包括在关联分析基础上结合离线分析技术进行数据分析。

所述主机行为变化包括网络连接变化、进程变化、注册表变化、文件变化。

将告警日志、流数据及监控日志通过隐藏协议栈技术传输至局域网的网关。

由于采用将告警日志、流数据及监控日志通过隐藏协议栈技术传输至局域网的网关，由于采用隐藏协议栈技术，隐藏协议栈技术由于没有使用连接，所以它能在os4层套接字中实现终极隐身，ids/ips也别想捕获它，因为它们不会检测数据包报头，防火墙和外围安全设备也记录不到有用的信息。对于没有权限捕获数据包的分析师眼中，一切与端口扫描无异，因此，使得网关中具有较好的隐藏特性。

如图2所示，同时本发明还提供一种网络信息风险安全预警服务器，包括：安全预警服务器1、局域网网关2、日志服务器3；

所述安全预警服务器1虚拟安装相应的实际应用业务系统，所述安全预警服务器1内置主机行为监控模块，所述主机行为监控模块用于监控诱导进入的威胁入侵行为；

所述局域网网关2隔离主动防御系统与实际信息网络，其用于将诱导进入的威胁入侵行为控制在安全预警服务器1内；

所述日志服务器3用于收集告警日志、流数据及监控日志并进行关联分析，在关联分析的基础上进行数据分析。

如图2所示，同时本发明还提供一种网络信息风险安全预警系统，包括数据控制模块、数据捕获模块以及离线分析模块；

所述数据控制模块用于局域网的网关不设限制或必要限制所有进入局域网的数据包；

所述数据捕获模块用于将进入局域网的数据包根据报警规则告警并生成告警日志，同时，对进入局域网的数据包捕获并生成流数据，再同时，监控局域网的网关的主机行为变化并形成监控日志，将告警日志、流数据及监控日志传输至局域网的网关；

所述离线分析模块用于局域网的网关的告警日志、流数据及监控日志进行关联分析，在关联分析的基础上进行数据分析。

由于采用安全预警服务器、局域网网关、日志服务器；所述安全预警服务器虚拟安装相应的实际应用业务系统，所述安全预警服务器内置主机行为监控模块，所述主机行为监控模块用于监控诱导进入的威胁入侵行为；所述局域网网关隔离主动防御系统与实际信息网络，其用于将诱导进入的威胁入侵行为控制在安全预警服务器内；所述日志服务器用于收集告警日志、流数据及监控日志并进行关联分析，在关联分析的基础上进行数据分析，由于安全预警服务器：虚拟安装相应的实际应用业务系统，所述安全预警服务器内置主机行为监控模块，所述主机行为监控模块用于监控诱导进入的威胁入侵行为；局域网网关：隔离主动防御系统与实际信息网络，其用于将诱导进入的威胁入侵行为控制在安全预警服务器内；日志服务器：用于收集告警日志、流数据及监控日志并进行关联分析，在关联分析的基础上进行数据分析，由于采用安全预警服务器、局域网网关、日志服务器等硬件设备及服务器，该服务器结构严谨、安全稳定可控，支持虚拟业务功能多样化，维护管理简单便捷、资源分配迅速便捷的风险预警系统。

所述数据控制模块内置于安全预警服务器1；

所述数据捕获模块内置于局域网网关2；

所述离线分析模块内置于日志服务器3；

所述局域网网关2一端连接安全预警服务器1，其另一端连接日志服务器3，所述局域网网关2连接对内连接局域网。

由于采用所述数据控制模块内置于安全预警服务器；所述数据捕获模块内置于局域网网关；所述离线分析模块内置于日志服务器；所述局域网网关一端连接安全预警服务器，其另一端连接日志服务器，所述局域网网关连接对内连接局域网，由于风险预警系统最终是为信息网络服务的，信息网络的可靠稳定安全运行的重要保证，信息网络的主动式风险预警系统对外是一个开放式的应用系统，对内又是一个模块化的封闭式系统，它为网络实时监控系统提供接口数据，方便共享实时监控预警数据，为了充分改善和提供系统的安全防护水平，改系统尽可能多地虚拟各类生产业务系统，易实现全方位的安全防护。

工作原理：

本发明通过在局域网的网关上实现数据控制：局域网的网关不设限制或必要限制所有进入局域网的数据包；在局域网的网关上实现数据捕获：将进入局域网的数据包根据报警规则告警并生成告警日志，同时，对进入局域网的数据包捕获并生成流数据，再同时，监控局域网的网关的主机行为变化并形成监控日志，将告警日志、流数据及监控日志传输至局域网的网关；在局域网的网关上实现数据分析：局域网的网关的告警日志、流数据及监控日志进行关联分析，在关联分析的基础上进行数据分析，由于采用数据控制、数据捕获以及数据分析，完成对网络风险的实时跟踪与捕获，在网关上完成数据控制，网关对所有进入局域网的数据包不设限制，或采取一定的限制措施，对主机行为进行监视，实际上是对局域网的数据包根据规则进行告警，并生成告警日志，同时，也对原始流量数据包进行捕获，并生成数据流文件，在各个风险预警主机中，安装可以自我隐藏的主机行为监控模块，对主机里面的各种变化情况，如网络连接变化、进程变化、注册表变化、文件变化等进行记录并生成日志，捕获样本文件，通过隐藏协议栈传输技术传输到网关，最后传送到日志服务器上，通过日志服务器手机各类数据和日志，包括网络日志和主机日志，以及原始流量数据包和流数据，样本文件等等，进行关联分析，并结合离线分析技术，实现网关的数据分析的需求，本发明解决了现有技术存在由于现有防御系统还不能掌握黑客的动机及入侵方式策略，从而导致无法对网络入侵进行分析取证，从而有效实现安全预警、安全性高、隐藏特性好、维护管理简单便捷的有益技术效果。

利用本发明的技术方案，或本领域的技术人员在本发明技术方案的启发下，设计出类似的技术方案，而达到上述技术效果的，均是落入本发明的保护范围。