一种基于动态巡检的网络安全检测系统的制作方法

1.本发明涉及网络安全技术领域，特别涉及一种基于动态巡检的网络安全检测系统。


背景技术：

2.随着互联网技术的发展，网络中数据的安全性和隐私性也得到越来越多的关注，在国务院各部出台的信创相关政策中，网络安全和信息安全也受到了高度重视，维护网络安全，为公民提供一个良好的网络环境是互联网健康发展的必要条件。常见的网络安全威胁有：信息泄露、信息窃取、数据篡改、数据删添、计算机病毒等，网络安全攻击的难以预测性与其自身的隐蔽性使得攻击在整个网络中更加猖獗的进行破坏性的生存，现有的技术对常见的网络安全攻击的监测和防御有很多方法，但很难做到实时动态的巡检与监测。


技术实现要素：

3.本发明目的之一在于提供了一种基于动态巡检的网络安全检测系统，通过流量监测模块检测网络中各个网络设备的流量数据参数，当流量数据参数符合预设的触发规则时，由数据采集模块获取网络设备的上行或下行的数据包并传输至安全检测模块进行安全检测，实现了对网络安全的动态巡检，有效降低用户信息泄露的风险，为用户提供了良好的网络环境。
4.本发明实施例提供的一种基于动态巡检的网络安全检测系统，包括：
5.流量监测模块，用于监测网络中各个网络设备的流量数据参数；
6.数据采集模块，用于当网络设备的流量数据参数符合预设的触发规则时，获取网络设备的上行或下行的数据包；
7.安全检测模块，用于对获取的数据包进行安全检测。
8.优选的，安全检测模块包括：
9.解析单元，用于解析数据包，获取数据包中的数据信息；
10.安全访问检测单元，用于确定上行的数据包是否为申请访问的数据包，并对申请访问的数据包的数据信息进行安全检测；
11.入侵检测单元，用于确定下行的数据包是否为被申请访问的数据包，并对被申请访问的数据包的数据信息进行入侵检测；
12.病毒检测单元，用于确定下行的数据包是否为下载数据的数据包，并对下载数据的数据包中的数据信息进行病毒库匹配检测；
13.应用程序单元，用于对检测出的病毒进行记录、更新、可视和报警操作。
14.优选的，数据包中的数据信息包括：目的ip地址、源ip地址、净载数据。
15.优选的，安全访问检测单元执行如下操作：
16.获取申请访问的数据包的数据信息；
17.基于申请访问的数据包的数据信息确定访问目标地址的域名；
18.将访问目标地址的域名与预设的域名黑名单库中的域名进行对比；
19.若存在，中断访问请求并向网络设备发送风险提示信息；
20.若不存在，允许申请访问的数据包正常访问。
21.优选的，安全访问检测单元还包括：
22.数据获取子单元，用于定期从大数据平台中获取已存档的风险网站域名并导入预设的域名黑名单库；风险网站域名为经网络中用户举报或投诉后通过验证确定该网站存在安全风险的网站的域名。
23.优选的，入侵检测单元执行如下操作：
24.收集网络中用户的非正常网络访问的行为特征，建立行为特征库；
25.对被申请访问的数据包内的数据进行特征提取，基于提取的特征值构建数据包的行为特征；
26.将数据包的行为特征与行为特征库的行为特征进行匹配；
27.若匹配成功，定义数据包为网络入侵行为的数据包并阻止访问；
28.若匹配失败，放行数据包正常访问并对数据包添加标识。
29.优选的，入侵检测单元还包括：
30.跟踪子单元，用于根据标识跟踪进行正常访问的数据包，并获取数据包访问后预设时间段内的外发数据包发送至解析单元；
31.泄密检测子单元，用于对解析获得的外发数据包的数据信息进行泄密检测；
32.泄密检测子单元进行如下操作：
33.获取由解析模块解析的外发数据包的数据信息；
34.基于数据信息对外发数据包进行重组与还原；
35.基于还原出的外发内容，提取主题关键字；
36.将主题关键字与预设的关键字库中的关键字进行匹配；
37.若匹配成功，阻断外发数据包外发并将被申请访问数据包的行为特征更新至行为特征库；
38.若匹配失败，从外发内容中提取正文关键字；
39.将正文关键字与预设的关键字库中的关键字进行匹配；
40.若匹配成功，阻断外发数据包外发并将被申请访问数据包的行为特征更新至行为特征库；
41.若匹配失败，放行外发数据包。
42.优选的，病毒检测单元执行如下操作：
43.获取下载数据的数据包中的净载数据的数据类型；
44.基于数据类型，确定净载数据的数据结构特征信息；
45.根据预设的病毒库中的病毒特征信息对净载数据的数据结构特征信息进行病毒匹配检测并将检测结果发送至应用程序单元。
46.优选的，应用程序单元执行如下操作：
47.接收由病毒检测单元发送的检测结果；
48.若检测结果为下载数据携带病毒，则应用程序单元执行预设的第一工作指令；
49.若检测结果为下载数据未携带病毒，则应用程序单元执行预设的第二工作指令；
50.其中，第一工作指令为对下载数据携带病毒的攻击事件的类型、攻击次数、攻击时间和ip地址进行记录和可视；
51.第二工作指令为对下载数据进行正常的解压运行。
52.优选的，触发规则包括：
53.当网络设备的流量数据参数中的当前网络流量值大于预设的流量阈值，和/或，当流量数据参数中的网络流量增加速率大于预设的速率阈值；
54.其中，流量阈值和速率阈值通过如下步骤确定：
55.获取网络设备的历史流量数据；
56.解析历史流量数据，确定第一预设时间段内的平均访问网络流量值；
57.基于第一预设时间段内的平均访问网络流量值计算流量阈值，计算公式如下：
58.a＝αa
59.其中，a为流量阈值；a为第一预设时间段内的平均访问网络流量值；α为预设的第一系数；
60.解析历史流量数据确定第二预设时间段内的平均访问网络流量增加速率；
61.基于第二预设时间段内的平均访问网络流量增加速率计算速率阈值，计算公式如下：
62.b＝βb
63.其中，b为速率阈值；b为第二预设时间段内的平均访问网络流量增加速率；β预设的第二系数。
64.优选的，基于动态巡检的网络安全检测系统，还包括：巡检模块，用于对各个网络设备的数据进行巡检；
65.巡检模块执行如下操作：
66.获取每隔一预设时间获取一预设时间段内的各个网络设备的上行或下行的数据；
67.对各个网络设备对应的数据，进行特征提取，获取多个特征值；
68.基于提取的多个特征值，构建各个网络设备对应的特征向量；
69.基于各个网络设备对应的特征向量，构建特征阵列；
70.获取预设的巡检模式确定库；
71.基于特征阵列和巡检模式确定库，确定巡检模式；
72.执行巡检模式；
73.其中，巡检模式包括各个网络设备的巡检时间间隔、巡检时网络设备的流量阈值、是否进行数据采样、数据采样的采样时间长度其中一种或多种结合。
74.本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
75.下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。
附图说明
76.附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：
77.图1为本发明实施例中一种基于动态巡检的网络安全检测系统的示意图；
78.图2为本发明实施例中一种安全访问检测模块工作流程图。
具体实施方式
79.以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。
80.本发明实施例提供了一种基于动态巡检的网络安全检测系统，如图1所示，包括：
81.流量监测模块1，用于监测网络中各个网络设备的流量数据参数；
82.数据采集模块2，用于当网络设备的流量数据参数符合预设的触发规则时，获取网络设备的上行或下行的数据包；
83.安全检测模块3，用于对获取的数据包进行安全检测。
84.上述技术方案的工作原理及有益效果为：
85.流量监测模块1实时监测网络中各个网络设备的流量数据参数，当网络设备的流量数据参数符合预设的触发规则时，由数据采集模块2获取网络设备的上行或下行的数据包；然后由安全检测模块3对获取的数据包进行安全检测；其中安全检测包括安全访问检测，入侵检测和病毒检测；
86.本发明的基于动态巡检的网络安全检测系统，通过流量监测模块1实时监测各个网络设备的流量数据参数，并及时获取上行或下行的数据包进行安全检测，实现了对网络安全的动态巡检，有效降低用户信息泄露的风险，维护了用户的个人信息和财产安全，为用户提供了良好的网络环境。
87.在一个实施例中，安全检测模块3包括：解析单元，安全访问检测单元，入侵检测单元，病毒检测单元，应用程序单元。解析单元，用于解析数据包，获取数据包中的数据信息；安全访问检测单元，用于确定上行的数据包是否为申请访问的数据包，并对申请访问的数据包的数据信息进行安全检测；入侵检测单元，用于确定下行的数据包是否为被申请访问的数据包，并对被申请访问的数据包的数据信息进行入侵检测；病毒检测单元，用于确定下行的数据包是否为下载数据的数据包，并对下载数据的数据包中的数据信息进行病毒库匹配检测；应用程序单元，用于对检测出的病毒进行记录、更新、可视和报警操作。
88.在一个实施例中，数据包中的数据信息包括：目的ip地址、源ip地址、净载数据。
89.上述技术方案的工作原理及有益效果为：
90.为防止用户误点误入风险网站，造成信息泄露，由安全访问检测单元对上行的申请访问的数据包中的数据信息进行安全检测，确定访问目标地址是否为风险网站；入侵检测单元用于对下行的被申请访问的数据包中的数据信息进行入侵检测确定是否放行此次访问，减少网络设备被入侵次数；病毒检测单元用于对下载数据的数据包中的数据信息进行病毒库匹配检测，防止网络设备系统被恶意篡改；上述数据包的数据信息均由安全检测模块中的解析单元进行解析。
91.在一个实施例中，如图2所示，安全访问检测单元执行如下操作：
92.步骤s1：获取申请访问的数据包的数据信息；
93.步骤s2：基于申请访问的数据包的数据信息，确定访问目标地址的域名；
94.步骤s3：将访问目标地址的域名与域名黑名单库中的域名进行对比查询；
95.若在域名黑名单中，中断访问请求并向网络设备发送风险提示信息；
96.若不在域名黑名单中，允许数据包正常访问。
97.在一个实施例中，安全访问检测单元还包括：
98.数据获取子单元，用于定期从大数据平台中获取已存档的风险网站域名并导入预设的域名黑名单库；风险网站域名为经网络中用户举报或投诉后通过验证确定该网站存在安全风险的网站的域名。
99.上述技术方案的工作原理及有益效果为：
100.网络设备在访问网页弹窗或任意界面的链接时会生成上行的申请访问的数据包，该数据包经安全检测模块的解析单元解析，获取数据包中的数据信息；安全访问检测单元根据数据包中的数据信息确定访问目标地址的域名，将访问目标地址的域名与域名黑名单库中的域名进行对比查询，若在域名黑名单中，中断此次访问请求，并向网络设备发送风险提示信息提示用户该链接存在安全风险；若不在域名黑名单中，则允许此次申请数据包正常访问；域名黑名单由安全访问检测单元中的数据获取子单元定期从大数据平台中获取已存档的风险网站域名并导入至预设的域名黑名单库；有效地降低了用户对风险网站的访问概率，保护用户信息安全。
101.在一个实施例中，入侵检测单元执行如下操作：
102.收集网络中用户的非正常网络访问的行为特征，建立行为特征库；
103.对被申请访问的数据包内的数据进行特征提取，基于提取的特征值构建数据包的行为特征；
104.将数据包的行为特征与行为特征库的行为特征进行匹配；
105.若匹配成功，定义数据包为网络入侵行为的数据包并阻止访问；
106.若匹配失败，定义数据包为正常网络访问行为的数据包。
107.在一个实施例中，入侵检测单元还包括：
108.跟踪子单元，用于根据标识跟踪进行正常访问的数据包，并获取数据包访问后预设时间段内的外发数据包发送至解析单元；
109.泄密检测子单元，用于对解析获得的外发数据包的数据信息进行泄密检测；
110.泄密检测子单元进行如下操作：
111.获取由解析模块解析的外发数据包的数据信息；
112.基于数据信息对外发数据包进行重组与还原；
113.基于还原出的外发内容，提取主题关键字；
114.将主题关键字与预设的关键字特征库中的关键字进行匹配；
115.若匹配成功，阻断外发数据包外发并将被申请访问的数据包的行为特征更新至行为特征库；
116.若匹配失败，从外发内容中提取正文关键字；
117.将正文关键字与预设的关键字特征库中的关键字进行匹配；
118.若匹配成功，阻断外发数据包外发并将被申请访问数据包的行为特征更新至行为特征库；
119.若匹配失败，放行外发数据包。
120.上述技术方案的工作原理及有益效果为：
121.网络设备在受到网络攻击或非正常网络访问时，会有一股异常流量产生，获取导致流量数据参数异常的被申请访问的数据包，对该数据包进行特征提取并构建该数据包的行为特征，将被申请访问的数据包的行为特征与预设的行为特征库中的行为特征进行匹配，若匹配成功，则认定该数据包为网络入侵行为的数据包并阻止访问，若匹配失败，则放行该数据包正常访问并对其添加标识；
122.入侵检测单元中的跟踪子单元对带有标识的数据包进行跟踪，获取该数据包访问后预设时间段内的外发数据包；为防止此次访问对网络设备中存储的用户信息进行窃取，对访问后生成的外发数据包进行泄密检测；解析外发数据包并根据外发数据包的数据信息对外发数据包进行重组与还原，还原后得到外发内容，提取外发内容中的主题关键字与预设的关键字库中的关键字进行匹配；若匹配成功，终止该外发数据包外发并将此次被申请访问的数据包的行为特征更新至行为特征库，若匹配失败，提取外发内容中的正文关键字与预设的关键字库中的关键字进行匹配，若匹配成功，终止该外发数据包外发并将此次被申请访问的数据包的行为特征更新至行为特征库，若匹配失败，放行该外发数据包。
123.在一个实施例中，病毒检测单元执行如下操作：
124.获取下载数据的数据包中的净载数据的数据类型；
125.基于净载数据的数据类型，确定净载数据的数据结构特征信息；
126.根据预设的病毒库中的病毒特征信息对数据结构特征信息进行病毒匹配检测并将检测结果发送至应用程序单元。
127.在一个实施例中，应用程序单元执行如下操作：
128.接收由病毒检测单元发送的检测结果；
129.若检测结果为下载数据携带病毒，则应用程序单元执行预设的第一工作指令；
130.若检测结果为下载数据未携带病毒，则应用程序单元执行预设的第二工作指令；
131.其中，第一工作指令为对下载数据携带病毒的攻击事件的类型、攻击次数、攻击时间和ip地址进行记录和可视；第二工作指令为对下载数据进行正常的解压运行。
132.上述技术方案的工作原理及有益效果为：
133.为防止下载数据中携带病毒，对用户使用的网络设备带来恶意的程序修改，对下载数据的数据包进行病毒检测，获取下载数据数据包中净载数据的数据类型，基于数据类型确定净载数据的数据结构特征信息，根据预设的病毒库中的病毒特征信息对净载数据的数据结构特征信息进行病毒匹配检测，将检测结果发送至应用程序单元；若检测结果为下载数据的数据包携带病毒，由应用程序单元对下载数据携带病毒的攻击事件的类型、攻击次数、攻击时间和ip地址进行记录和可视，若检测结果为下载数据未携带病毒，则对下载数据进行正常的解压运行。
134.在一个实施例中，触发规则包括：
135.当网络设备的流量数据参数中的当前网络流量值大于预设的流量阈值，和/或，当流量数据参数中的网络流量增加速率大于预设的速率阈值；
136.其中，流量阈值和速率阈值通过如下步骤确定：
137.获取网络设备的历史流量数据；
138.解析历史流量数据，确定第一预设时间段内的平均访问网络流量值；
139.基于第一预设时间段内的平均单次访问的网络流量值计算流量阈值，计算公式如
下：
140.a＝αa
141.其中，a为流量阈值；a为第一预设时间段内的平均访问网络流量值；α为预设的第一系数(例如：1.75)；
142.解析历史流量数据确定第二预设时间段内的平均访问网络流量增加速率；
143.基于第二预设时间段内的平均访问网络流量增加速率计算速率阈值，计算公式如下：
144.b＝βb
145.其中，b为速率阈值；b为第二预设时间段内的平均访问网络流量增加速率；β预设的第二系数(例如：1.75)。
146.上述技术方案的工作原理及有益效果为：
147.为实现对网络安全的全面动态巡检，由流量检测模块实时监测网络设备的流量数据参数，设定触发规则，(例如：1.75)当网络设备的流量数据参数中的当前网络流量值大于预设的流量阈值，和/或，当流量数据参数中的网络流量增加速率大于预设的速率阈值时获取网络设备上行或下行的数据包进行安全检测；获取网络设备历史访问的流量数据，确定第一预设时间段内的平均访问网络流量值，根据平均访问网络流量值计算流量阈值；流量阈值为流量数据参数异常的参考值，若网络设备流量值高于流量阈值则获取网络设备上行或下行的数据包进行安全检测；
148.根据网络设备历史访问的流量数据，确定第二预设时间段内的平均访问网络流量增加速率，根据平均访问网络流量增加速率计算速率阈值，速率阈值为流量数据参数异常的参考值，若网络设备流量增加速率高于速率阈值则获取上行或下行的数据包进行安全检测。
149.在一个实施例中，基于动态巡检的网络安全检测系统，还包括：巡检模块，用于对各个网络设备的数据进行巡检；
150.巡检模块执行如下操作：
151.获取每隔一预设时间(例如：1小时)获取一预设时间段(例如：1分钟)内的各个网络设备的上行或下行的数据；
152.对各个网络设备对应的数据，进行特征提取，获取多个特征值；特征值包括：数据量、数据中各个在预设的关键词表中的关键词的出现次数、ip地址等；
153.基于提取的多个特征值，构建各个网络设备对应的特征向量；将各个特征值按照既定的顺序进行排列，形成特征向量；
154.基于各个网络设备对应的特征向量，构建特征阵列；将各个网络设备对应的特征向量，按照网络设备在网络中的编号顺序进行排列；例如：编号为1的网络设备对应的特征向量构成特征阵列的第一行；编号为2的网络设备对应的特征向量构成特征阵列的第二行
……
编号为n的网络设备对应的特征向量构成特征阵列的第n行；
155.获取预设的巡检模式确定库；巡检模式确定库中巡检模式与调取阵列一一对应关联；
156.基于特征阵列和巡检模式确定库，确定巡检模式；
157.执行巡检模式；
158.其中，巡检模式包括各个网络设备的巡检时间间隔、巡检时网络设备的流量阈值、是否进行数据采样、数据采样的采样时间长度其中一种或多种结合。
159.上述技术方案的工作原理及有益效果为：
160.基于特征阵列和巡检模式确定库，确定巡检模式，可以采用将特征阵列与巡检模式确定库中各个调取阵列一一匹配，获取匹配符合的调取阵列对应的巡检模式；匹配可以采取计算特征阵列与调取阵列之间的相似度，相似度为巡检模式确定库中最大时，可以确定特征阵列与调取阵列匹配；相似度计算公式如下：
[0161][0162]
其中，lim
xy
表示特征阵列与调取阵列之间的相似度；x
ij
为特征阵列第i行第j列的数据值；y
ij
为调取阵列第i行第j列的数据值；n为总行数；m为总列数；
[0163]
通过对各个网络设备的上行和下行的数据进行分析，进而确定具体的巡检模式，实现根据网络中实时情况，调整巡检的时间间隔以及巡检的具体巡检项目，做到兼顾巡检效率以及巡检的有效性，切实保证网络中的数据安全。例如：在具体实施时，当关键词表中的关键词出现的次数较多、数据量较大时，巡检时间时间间隔对应减少，即增加巡检次数；当超过流量阈值，就需要进行数据采样；超出流量阈值越大，采样的时间长度越长；将采样的数据进行病毒检测、威胁检测等。
[0164]
显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。