專利名稱:攔截保全服務(wù)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種攔截保全服務(wù)系統(tǒng),特別是涉及是一種依據(jù)特定預(yù)設(shè)指令將數(shù)據(jù)
封包進行攔截以進行防護服務(wù)的攔截保全服務(wù)系統(tǒng)�����。
背景技術(shù):
由于網(wǎng)絡(luò)技術(shù)的發(fā)展�����,使得網(wǎng)絡(luò)系統(tǒng)建構(gòu)的速度加快�。在網(wǎng)絡(luò)越來越普及的情況 下,使用者通過網(wǎng)絡(luò)來進行各項人類活動已經(jīng)是必然的趨勢����。 而使用者欲連接因特網(wǎng),一般必須通過因特網(wǎng)服務(wù)提供商(InternetService Provider, ISP)來進行連線��。因特網(wǎng)服務(wù)提供商就是為用戶提供導(dǎo)入因特網(wǎng)和網(wǎng)絡(luò)信息服 務(wù)的公司或機構(gòu)��,這些公司投入資金建立機房連線設(shè)備�,并租用大量線路與頻寬,再分給一 般使用者并收取費用�����。通常用戶可通過固接專線或撥號連接的方式�����,通過因特網(wǎng)服務(wù)提供 商的服務(wù)器才能和因特網(wǎng)相連。 然而����,因特網(wǎng)上充斥著大量的病毒與惡意程式,容易造成使用者端電腦設(shè)備的當 機與數(shù)據(jù)損毀�。另外,用戶端內(nèi)部的重要數(shù)據(jù)可能會有外泄或遭黑客入侵的情況發(fā)生���。因 此����,利用封包數(shù)據(jù)監(jiān)控來偵測網(wǎng)絡(luò)活動內(nèi)容是目前最重要的解決方案�。例如現(xiàn)有的Mirror 或MPLS的技術(shù)是通過網(wǎng)絡(luò)設(shè)備將特定接口或傳輸端口的封包數(shù)據(jù)轉(zhuǎn)址到保全中心,接著 再對所有封包數(shù)據(jù)進行分析并進行后續(xù)因應(yīng)動作�。 由于現(xiàn)有的Mirror或MPLS技術(shù)是利用網(wǎng)絡(luò)直接進行封包傳遞來進行防護,得以 免除上門安裝的問題���,可完全由ISP在骨干端進行設(shè)定����,且能配合多樣化的防護設(shè)備�,提供 多樣的服務(wù)。 但是上述的現(xiàn)有技術(shù)仍存在以下問題 (1)頻寬消耗?�,F(xiàn)有技術(shù)無法辨識封包內(nèi)容,只能將特定接口或傳輸端口的封包數(shù) 據(jù)全部轉(zhuǎn)移到保全中心��,由保全中心進行分析�。然而,大量封包在網(wǎng)絡(luò)上繞行的結(jié)果造成網(wǎng) 絡(luò)頻寬嚴重消耗�����。 (2)保全中心負載過重����。當全部封包均轉(zhuǎn)移到保全中心時�����,大量的分析與比對工作 將造成保全中心的服務(wù)器負載過重����。 (3)使用者自主性低。目前的封包監(jiān)控與防護服務(wù)均由ISP提供商主導(dǎo)�����,使用者并 無法自行規(guī)劃與設(shè)定監(jiān)控預(yù)設(shè)指令�����。 綜上所述,如何能提供一種可解決上述現(xiàn)有技術(shù)缺點的攔截保全服務(wù)系統(tǒng)��,遂成 為目前亟待解決的課題�。
發(fā)明內(nèi)容
為解決前述現(xiàn)有技術(shù)的缺失,本發(fā)明的目的在于提供一種攔截保全服務(wù)系統(tǒng)�����,依
據(jù)預(yù)設(shè)指令將來自用戶端裝置的數(shù)據(jù)封包進行攔截并形成事件記錄�,并由保全中心依據(jù)特 定檢索命令對儲存的事件記錄進行內(nèi)容比對以及提供防護服務(wù)。 為達前述目的及其他目的��,本發(fā)明提供一種攔截保全服務(wù)系統(tǒng)����,至少包括用戶端裝置、攔截裝置以及保全中心�,其中,該攔截裝置依據(jù)預(yù)設(shè)指令將來自該用戶端裝置的數(shù)據(jù) 封包進行攔截并形成事件記錄(log);該保全中心用以接收及儲存該事件記錄��,并提供保 全服務(wù)給該用戶端裝置�����。 在一個較佳實施例中,該攔截裝置依據(jù)該預(yù)設(shè)指令將具有特定關(guān)鍵字的數(shù)據(jù)封包 進行攔截并將該事件記錄傳輸至該保全中心�。 在另一個較佳實施例中,本發(fā)明的攔截保全服務(wù)系統(tǒng)還包括管理端裝置�,用以連 接至該攔截裝置進行預(yù)設(shè)指令設(shè)定。 相比于現(xiàn)有的技術(shù)���,本發(fā)明的攔截保全服務(wù)系統(tǒng)利用攔截裝置依據(jù)預(yù)設(shè)指令將具 有特定關(guān)鍵字的數(shù)據(jù)封包進行攔截并將事件記錄傳輸至保全中心進行比對�,大大減少了使 用現(xiàn)有技術(shù)所產(chǎn)生的封包數(shù)據(jù)量�����,因此能提高網(wǎng)絡(luò)頻寬與保全中心服務(wù)器的運作效率���。
圖1為本發(fā)明的攔截保全服務(wù)系統(tǒng)的架構(gòu)圖; 圖2為本發(fā)明的攔截保全服務(wù)系統(tǒng)具體實施例的架構(gòu)圖��; 圖3為本發(fā)明的攔截保全服務(wù)系統(tǒng)實施示意圖�。 主要元件符號說明10用戶端裝置11攔截裝置12保全中心20aA用戶端裝置20bB用戶端裝置20cc用戶端裝置21攔截裝置22接取裝置23因特網(wǎng)24保全中心25管理端裝置30用戶端裝置31攔截裝置32因特網(wǎng)33目的端裝置34保全中心
具體實施例方式
以下通過特定的具體實施例說明本發(fā)明的實施方式,本領(lǐng)域技術(shù)人員可由本說明 書所揭示的內(nèi)容輕易地了解本發(fā)明的其他優(yōu)點與功效���。本發(fā)明也可通過其他不同的具體實 施例加以施行或應(yīng)用����。 請參閱圖l,其為本發(fā)明的攔截保全服務(wù)系統(tǒng)的架構(gòu)圖�。如圖所示,本系統(tǒng)包括用 戶端裝置10���、攔截裝置11以及保全中心12�����。
4
用戶端裝置10為可存取數(shù)據(jù)并進行數(shù)據(jù)處理的電子設(shè)備�,例如臺式電腦���、筆記本 電腦���、數(shù)字電視裝置、個人數(shù)字助理及/或移動電話����。 攔截裝置11用以依據(jù)預(yù)設(shè)的預(yù)設(shè)指令將來自該用戶端裝置10的數(shù)據(jù)封包進行攔 截并形成事件記錄(log)。 保全中心12用以接收及儲存事件記錄����,并提供保全服務(wù)給該用戶端裝置10。
具體實施時,必須先將攔截裝置11設(shè)置于用戶端裝置10與保全中心12之間并設(shè) 定攔截的預(yù)設(shè)指令�,當用戶端裝置IO進行數(shù)據(jù)傳輸時,攔截裝置11依據(jù)預(yù)設(shè)指令將來自該 用戶端裝置10的數(shù)據(jù)封包進行攔截并形成事件記錄���,并將事件記錄傳輸至保全中心12�,由 保全中心12進行數(shù)據(jù)比對與分析���。通?����?衫藐P(guān)鍵字的比對與檢索來尋找目標數(shù)據(jù)�,而不 同的比對內(nèi)容產(chǎn)生不同的功效����。例如���,比對內(nèi)含'機密'文字的數(shù)據(jù)可完成機密文件偵測與 考查��,比對具有特定病毒碼的數(shù)據(jù)可達到防毒偵測功能�����,比對入侵行為則具有入侵偵測的 功能���。還有保全中心一旦接收到攔截裝置的事件記錄后可執(zhí)行預(yù)警機制�,通知用戶端裝置 IO立刻進行應(yīng)變措施�����。 在一個較佳實施例中��,保全中心12所提供的保全服務(wù)可為病毒偵測����、泄密偵測、 內(nèi)容過濾偵測�����、網(wǎng)頁中毒偵測���、郵件偵測及/或入侵偵測��。 在另一個較佳實施例中�,用戶端裝置10可為工作站���、臺式電腦����、筆記本電腦、個人
數(shù)字助理及/或移動電話�。 請參閱圖2,為本發(fā)明的攔截保全服務(wù)系統(tǒng)具體實施例的架構(gòu)圖��。如圖所示��,本實 施例中包括A用戶端裝置20a�、B用戶端裝置20b、C用戶端裝置20c��、攔截裝置21���、接取裝置 22�、因特網(wǎng)23�、保全中心24以及管理端裝置25��。其中��,接取裝置22可為ATU-R或路由器�, 管理端裝置25為ISP端具有管理攔截裝置21權(quán)限的裝置。 具體實施時,A用戶端裝置20a��、 B用戶端裝置20b及C用戶端裝置20c為具有攔 截保全服務(wù)權(quán)限的使用者�。首先,必須在用戶端配置攔截裝置21���,使用戶能通過接取裝置 22連接至因特網(wǎng)23��。接著�,由管理端裝置25依據(jù)使用者申請的服務(wù)內(nèi)容對其攔截裝置21 進行預(yù)設(shè)指令設(shè)定�。最后,在攔截裝置21發(fā)現(xiàn)與預(yù)設(shè)指令相符的數(shù)據(jù)封包時�����,執(zhí)行攔截且 形成事件記錄�,并將事件記錄傳輸至保全中心24。 舉例而言�,當A用戶端裝置20a有保密與泄密偵測的需求時,先安裝攔截裝置21�����, 并利用特定關(guān)鍵字比對作為預(yù)設(shè)指令�����。當A用戶端裝置20進行封包數(shù)據(jù)傳送時,攔截裝置 21會對具有特定關(guān)鍵字的封包進行攔截以及形成事件記錄�����,并傳送至保全中心24����。因此管 理者可在保全中心24的數(shù)據(jù)庫檢索是否A用戶端裝置20有泄密的行為。另一方面���,當保 全中心24發(fā)現(xiàn)A用戶端裝置20正在傳送有泄密可能性的封包數(shù)據(jù)時���,可主動對攔截裝置 21下達命令以阻擋封包傳送。 在一個較佳實施例中���,攔截裝置21可依據(jù)預(yù)設(shè)指令將具有特定關(guān)鍵字的數(shù)據(jù)封 包進行攔截并將事件記錄傳輸至保全中心24��,以及保全中心24可依據(jù)特定檢索命令對儲 存的事件記錄進行內(nèi)容比對�����。 在另一個較佳實施例中�����,當攔截裝置21將特定的數(shù)據(jù)封包進行攔截時���,可對數(shù)據(jù) 封包進行封鎖,另外�,保全中心24在特定條件達成時可驅(qū)動攔截裝置21解除封鎖。
請參閱圖3����,為本發(fā)明的攔截保全服務(wù)系統(tǒng)實施示意圖。如圖所示�����,本實施例中包 括用戶端裝置30�����、攔截裝置31��、因特網(wǎng)32����、目的端裝置33以及保全中心34����。
本實施例可應(yīng)用在各種產(chǎn)業(yè)界的內(nèi)控與保護機制�。 一般企業(yè)為了達到內(nèi)部數(shù)據(jù)的保護,普遍須架設(shè)多樣化的設(shè)備來進行員工行為的分析���。然而本發(fā)明可完全滿足企業(yè)需求�����,且僅須在客戶端建置攔截裝置31�����,將封包攔截到遠端的保全中心34上���,進行集中分析與處理,集中的服務(wù)器端可以有非常多樣化的分析機制�����,通過此機制可以有效降低設(shè)備布署的數(shù)量與人力的消耗����。另外本技術(shù)可以先行在端點設(shè)備進行數(shù)據(jù)的預(yù)先篩選����,通過篩選后的數(shù)據(jù)才進行攔截并傳送到服務(wù)器端�,可以快速分析并判斷出問題��,而無須將所有數(shù)據(jù)全部傳送到服務(wù)器端����,造成網(wǎng)絡(luò)的負載增加。 舉例而言����,房地產(chǎn)業(yè)的人員流動機率較大,因此造成房屋案件數(shù)據(jù)外泄的機率大增�,因此房地產(chǎn)業(yè)常發(fā)生商業(yè)間諜案或泄密案。對此�,各房地產(chǎn)業(yè)者無不盡力防止自身的機密數(shù)據(jù)遭遇銷售人員通過MSN,HTTP或是email泄漏出去�。然而,通過本技術(shù)可指定特定數(shù)據(jù)進行攔截并傳遞到遠端的保全中心并將數(shù)據(jù)與內(nèi)部預(yù)設(shè)指令進行比對��,以找出有泄密可能的裝置或銷售員����,來防止泄密情形發(fā)生��。 具體實施時��,先對攔截裝置31下達只要發(fā)現(xiàn)具有"機密"文字的郵件內(nèi)容即進行攔截的預(yù)設(shè)指令��,當用戶端裝置30通過因特網(wǎng)32將電子郵件發(fā)送至目的端裝置33時��,攔截裝置31會檢查所有電子郵件內(nèi)容�,一旦發(fā)現(xiàn)符合預(yù)設(shè)指令的電子郵件�����,即形成事件記錄并傳送至保全中心34�。 在一個較佳實施例中,用戶端裝置30具有連接保全中心34并查詢事件記錄的權(quán)限����。 在另一個較佳實施例中,用戶端裝置30及攔截裝置31可通過虛擬專線網(wǎng)絡(luò)
(VPN)�、區(qū)域網(wǎng)絡(luò)、廣域網(wǎng)絡(luò)或無線網(wǎng)絡(luò)連接保全中心34�。 綜上所述,本發(fā)明的攔截保全服務(wù)系統(tǒng)可產(chǎn)生以下的功效 (1)增加頻寬使用效率����。因現(xiàn)有技術(shù)只能將特定傳輸端口的封包數(shù)據(jù)全部轉(zhuǎn)移到保全中心���,由保全中心進行分析。因此大量封包在網(wǎng)絡(luò)上繞行的結(jié)果將造成網(wǎng)絡(luò)頻寬嚴重消耗�。然而,利用本發(fā)明可以先行在端點設(shè)備進行數(shù)據(jù)的預(yù)先篩選��,通過篩選后的數(shù)據(jù)才進行攔截并傳送到服務(wù)器端�����,可以快速分析并判斷出問題�,而無須將所有數(shù)據(jù)全部傳送到服務(wù)器端�����,因此能增加頻寬使用效率����。 (2)保全中心負擔減輕。現(xiàn)有技術(shù)將全部封包均轉(zhuǎn)移到保全中心時�,大量的分析與比對工作將造成保全中心的服務(wù)器負載過重。而本發(fā)明僅攔截符合特定預(yù)設(shè)指令的封包信息���,大大減少儲存于保全中心的數(shù)據(jù)量��,因此能減輕保全中心的負擔�。 (3)提升使用者的自主性。本發(fā)明的攔截保全系統(tǒng)除了通過ISP提供商進行架設(shè)并提供服務(wù)外���,企業(yè)用戶或法人團體也可不通過ISP提供商而建置于其內(nèi)部�,以隨時修改攔截預(yù)設(shè)指令并檢視事件記錄�。此方式也提升使用者對于數(shù)據(jù)安全與防護的自主性,使得用戶端無需受制于ISP提供商��。 上述實施例僅為例示性說明本發(fā)明的原理及其功效���,而非用于限制本發(fā)明���。任何本領(lǐng)域技術(shù)人員均可在不違背本發(fā)明的精神及范疇下,對上述實施例進行修飾與變化�。
權(quán)利要求
一種攔截保全服務(wù)系統(tǒng),其特征在于��,包括用戶端裝置��;攔截裝置�,依據(jù)預(yù)設(shè)指令將來自該用戶端裝置的數(shù)據(jù)封包進行攔截并形成事件記錄��;以及保全中心��,用以接收及儲存該事件記錄��,并提供保全服務(wù)給該用戶端裝置���。
2. 根據(jù)權(quán)利要求1所述的攔截保全服務(wù)系統(tǒng),其特征在于����,該攔截裝置依據(jù)該預(yù)設(shè)指令將具有特定關(guān)鍵字的數(shù)據(jù)封包進行攔截并將該事件記錄傳輸至該保全中心��。
3. 根據(jù)權(quán)利要求1所述的攔截保全服務(wù)系統(tǒng)��,其特征在于�����,該保全中心依據(jù)特定檢索命令對儲存的事件記錄進行內(nèi)容比對���。
4. 根據(jù)權(quán)利要求1所述的攔截保全服務(wù)系統(tǒng)���,其特征在于���,該保全中心所提供的保全服務(wù)為病毒偵測、泄密偵測��、內(nèi)容過濾偵測�����、網(wǎng)頁中毒偵測����、郵件偵測及/或入侵偵測。
5. 根據(jù)權(quán)利要求1所述的攔截保全服務(wù)系統(tǒng)���,其特征在于��,該用戶端裝置為工作站����、臺式電腦�、筆記本電腦、個人數(shù)字助理或移動電話���。
6. 根據(jù)權(quán)利要求1所述的攔截保全服務(wù)系統(tǒng)��,其特征在于�����,在該攔截裝置將特定的數(shù)據(jù)封包進行攔截時���,對該數(shù)據(jù)封包進行封鎖�����。
7. 根據(jù)權(quán)利要求6所述的攔截保全服務(wù)系統(tǒng)��,其特征在于���,該保全中心在特定條件達成時驅(qū)動該攔截裝置解除封鎖。
8. 根據(jù)權(quán)利要求1所述的攔截保全服務(wù)系統(tǒng)���,其特征在于,該用戶端裝置具有連接該保全中心并查詢事件記錄的權(quán)限��。
9. 根據(jù)權(quán)利要求1所述的攔截保全服務(wù)系統(tǒng)����,其特征在于���,該用戶端裝置及該攔截裝置通過虛擬專線網(wǎng)絡(luò)、區(qū)域網(wǎng)絡(luò)��、廣域網(wǎng)絡(luò)或無線網(wǎng)絡(luò)連接該保全中心��。
10. 根據(jù)權(quán)利要求1所述的攔截保全服務(wù)系統(tǒng)�,其特征在于,該攔截保全服務(wù)系統(tǒng)還包括管理端裝置���,用以連接至該攔截裝置進行預(yù)設(shè)指令設(shè)定����。
全文摘要
一種攔截保全服務(wù)系統(tǒng)�����,其特征在于���,包括用戶端裝置�����、攔截裝置以及保全中心��,首先�����,在用戶端裝置連接上網(wǎng)時由攔截裝置依據(jù)預(yù)設(shè)指令將來自用戶端裝置的數(shù)據(jù)封包進行攔截并形成事件記錄�,接著,將事件記錄傳至保全中心進行儲存���,最后�����,令保全中心依據(jù)特定檢索命令對儲存的事件記錄進行內(nèi)容比對并提供防護服務(wù)����。據(jù)此�,可解決現(xiàn)有的MPLS或Mirror技術(shù)中將大量封包數(shù)據(jù)進行轉(zhuǎn)址造成網(wǎng)絡(luò)頻寬消耗與保全中心的服務(wù)器負載過重的問題。
文檔編號H04L29/06GK101753522SQ20081018295
公開日2010年6月23日 申請日期2008年12月5日 優(yōu)先權(quán)日2008年12月5日
發(fā)明者徐振堃, 朱保全, 楊文和, 賴麗貞, 鐘鳴 申請人:中華電信股份有限公司