專利名稱:全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法
全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)與計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,尤其涉及計(jì)算機(jī)網(wǎng)絡(luò)安全一體化 協(xié)同防御的網(wǎng)絡(luò)協(xié)同防御方法�����。
背景技術(shù):
計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展���,給人們的生產(chǎn)和生活帶來極大的便利����,使各行業(yè)和企業(yè) 的信息化程度迅速提高�。我們?cè)诘靡嬗谟?jì)算機(jī)網(wǎng)絡(luò)迅速發(fā)展所帶來的巨大機(jī)遇的同時(shí),也 不得不面臨著各種網(wǎng)絡(luò) 安全問題的挑戰(zhàn)病毒����,蠕蟲��,木馬�����,惡意攻擊����,非授權(quán)接入,非法外 聯(lián)����,垃圾郵件等��。這些網(wǎng)絡(luò)安全威脅不僅給個(gè)人的工作和生活帶來很大的不便和損失����,更給 企業(yè)���,對(duì)政府帶來巨大的影響�。面對(duì)這些威脅����,人們提出了多種防護(hù)措施防火墻,防病毒�,入侵檢測(cè),虛擬專用 網(wǎng)����,反垃圾郵件等。但這些網(wǎng)絡(luò)安全系統(tǒng)在功能上孤立單一�,大多只能對(duì)抗已知攻擊,缺少 對(duì)網(wǎng)絡(luò)系統(tǒng)故障和人為操作失誤等因素的處理����。這種傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)是基于靜態(tài)安全 技術(shù)建立的被動(dòng)防御模型,沒有依據(jù)統(tǒng)一的安全防御策略對(duì)網(wǎng)絡(luò)系統(tǒng)各個(gè)層面進(jìn)行系統(tǒng)全 面的防御��,消極反應(yīng)和事后修補(bǔ)完善外在附加,被動(dòng)的防御�����,未能解決脆弱的本源問題���,更 無法應(yīng)對(duì)具有多樣���、隨機(jī)、隱蔽和傳播等特點(diǎn)的攻擊和破壞行為�����,而且安全系統(tǒng)自身的安全 可靠沒有保證�。這種防御體制已不能適應(yīng)當(dāng)今復(fù)雜多變的網(wǎng)絡(luò)環(huán)境安全需求?,F(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)安全產(chǎn)品的多樣化使得整個(gè)系統(tǒng)的相互協(xié)作與管理成為難點(diǎn), 設(shè)備管理�����、運(yùn)行管理帶來的管理成本與難度直接制約了安全防御體系的有效性���。為了解 決各種網(wǎng)絡(luò)設(shè)備的協(xié)作和管理問題����,近年來提出了統(tǒng)一威脅管理(Unified Treatment Management, UTM)的方式,將多種網(wǎng)絡(luò)安全控制能力融合在一起��,進(jìn)行統(tǒng)一管理��,實(shí)現(xiàn)防御 一體化�。該種防御方式為簡化安全解決方案,規(guī)避設(shè)備兼容性問題提供了有效途徑�。但現(xiàn) 今的解決方案要么是將獨(dú)立的軟件和硬件模塊嵌入到一個(gè)系統(tǒng)或機(jī)箱中實(shí)現(xiàn)功能的堆砌, 要么是對(duì)某一功能進(jìn)行特殊的處理��,不能做到從體系結(jié)構(gòu)層面對(duì)網(wǎng)絡(luò)各層進(jìn)行有效整合和 簡化處理��,UTM設(shè)備和系統(tǒng)并不成熟��,且防御措施是“個(gè)人自掃門前雪”的孤立方式���,S卩�,只 是在單點(diǎn)進(jìn)行被動(dòng)防御��。然而事實(shí)表明�,計(jì)算機(jī)網(wǎng)絡(luò)的不安全因素在網(wǎng)絡(luò)安全事件中,都不 是孤立和分離的���,而且越來越成群體化趨勢(shì)�,現(xiàn)有技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)的孤立 的被動(dòng)防御理念顯然無法對(duì)群體性網(wǎng)絡(luò)安全事件進(jìn)行防御(如病毒擴(kuò)散,分布式DDoS攻擊 等)���,也不能從根本上解決網(wǎng)絡(luò)安全問題��。
發(fā)明內(nèi)容本發(fā)明提供一種全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法����,提供全局式網(wǎng)絡(luò)一 體化安全協(xié)同解決方案���,實(shí)現(xiàn)全局性的網(wǎng)絡(luò)一體化協(xié)同安全防御��。為了解決上述的技術(shù)問題��,本發(fā)明提供一種全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防 御方法,所述全程全網(wǎng)安全協(xié)同防御系統(tǒng)包括安全分析控制中心�����、設(shè)置于計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn) 外端口處的流量數(shù)據(jù)探測(cè)子系統(tǒng)和設(shè)置于計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)的協(xié)同防御設(shè)備��,所述的協(xié)同防御方法包括如下步驟(1)流量數(shù)據(jù)探測(cè)子系統(tǒng)持續(xù)接收預(yù)進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量�����,采集流量數(shù)據(jù)并將其發(fā)送至協(xié)同防御設(shè)備,協(xié)同防御設(shè)備將分析確認(rèn)不包含異?�;顒?dòng)和異常內(nèi)容的流量數(shù)據(jù)傳 送到計(jì)算機(jī)內(nèi)部系統(tǒng)����;(2)當(dāng)協(xié)同防御設(shè)備檢測(cè)到有異常的數(shù)據(jù)包或者異常流量安全事件時(shí),則通知流 量數(shù)據(jù)探測(cè)子系統(tǒng)將異常流量數(shù)據(jù)后續(xù)包傳送給協(xié)同防御設(shè)備����,協(xié)同防御設(shè)備對(duì)異常流量 數(shù)據(jù)進(jìn)行分析,依據(jù)原有的預(yù)設(shè)策略或形成的新策略或安全分析中心發(fā)送過來的安全策略 對(duì)安全事件進(jìn)行處理�;(3)協(xié)同防御設(shè)備將安全事件、策略�、事件處理結(jié)果及其日記傳送給安全分析控制 中心;(4)安全分析控制中心接收并傳送事件相關(guān)信息至安全分析控制內(nèi)置的數(shù)據(jù)中 心�,經(jīng)安全分析控制中心進(jìn)行統(tǒng)一分析后做出管理決策,查看各協(xié)同防御設(shè)備并分析全程 全網(wǎng)安全協(xié)同防御系統(tǒng)的運(yùn)行狀況��,然后更新各協(xié)同防御設(shè)備的協(xié)同防御策略���,對(duì)協(xié)同防 御設(shè)備的各功能組件進(jìn)行統(tǒng)一部署�����,并通過審核日記對(duì)安全事件進(jìn)行源頭控制����;(5)安全分析控制中心記錄整個(gè)安全事件處理時(shí)間,結(jié)果等�����,以備追蹤查詢�。所述的步驟(2)中,當(dāng)原有安全策略可以處理安全事件時(shí)僅利用其原有的預(yù)設(shè)策 略響應(yīng)����;當(dāng)原有的預(yù)設(shè)策略無法處理安全事件時(shí),協(xié)同防御設(shè)備利用自身的策略和網(wǎng)絡(luò)資 源���,或反映給管理員制定新的可執(zhí)行策略���,并將策略分發(fā)至其他協(xié)同防御設(shè)備;當(dāng)協(xié)同防御 設(shè)備自身無法制定相應(yīng)的策略時(shí)����,發(fā)送報(bào)告給安全分析控制中心,安全分析控制中心結(jié)合 數(shù)據(jù)中心制定策略�����,并分發(fā)給其他協(xié)同防御設(shè)備�。所述全程全網(wǎng)安全協(xié)同防御系統(tǒng)基于服務(wù)器-代理的模式,安全分析控制中心通 過部署在協(xié)同防御設(shè)備上的代理程序與協(xié)同防御設(shè)備進(jìn)行安全通信���,代理程序中的本地監(jiān) 控插件根據(jù)安全分析控制中心的指令����,指示協(xié)同防御設(shè)備完成相應(yīng)的協(xié)同策略管理動(dòng)作��。所述協(xié)同防御設(shè)備完成的協(xié)同策略管理動(dòng)作包括返回當(dāng)前各協(xié)同防御設(shè)備的狀 態(tài)信息和性能數(shù)據(jù)�;指示各協(xié)同防御設(shè)備在特定的情況下篩選某一時(shí)間段內(nèi)的安全組件日 志信息,并將這些信息匯總到安全分析控制中心�����;對(duì)協(xié)同防御設(shè)備中的各個(gè)網(wǎng)絡(luò)安全組件 進(jìn)行統(tǒng)一更新和控制��,調(diào)動(dòng)多臺(tái)協(xié)同防御設(shè)備中的安全組件協(xié)同工作����;升級(jí)更新協(xié)同防御 設(shè)備安全組件��、安全策略和協(xié)同策略���。所述安全分析控制中心與各協(xié)同防御設(shè)備呈樹型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。所述的各協(xié)同防御設(shè)備包括第一級(jí)協(xié)同防御設(shè)備和第二級(jí)協(xié)同防御設(shè)備����,所述第 一級(jí)協(xié)同防御設(shè)備分別與安全分析控制中心連接,所述的第一級(jí)協(xié)同防御設(shè)備分別與多個(gè) 第二級(jí)協(xié)同防御設(shè)備連接����。所述的步驟(2)中還包括(2. 1)當(dāng)所述第二級(jí)CTM設(shè)備發(fā)現(xiàn)新的安全事件后,直接向其所屬的上一級(jí)的第 一級(jí)CTM設(shè)備報(bào)告����;(2. 2)第一級(jí)CTM設(shè)備收到報(bào)告后,如果該第一級(jí)CTM設(shè)備依據(jù)所預(yù)先設(shè)定的安全 策略和數(shù)據(jù)庫�����,應(yīng)對(duì)處理該安全事件��,進(jìn)入下一步驟��,若該第一級(jí)CTM設(shè)備依據(jù)所設(shè)定的安 全策略和數(shù)據(jù)庫不能應(yīng)對(duì)處理該安全事件�����,進(jìn)入步驟4)(2. 3)該第一級(jí)CTM設(shè)備生成響應(yīng)策略并分發(fā)給所屬的各CTM設(shè)備子域����,再將該第一級(jí)CTM設(shè)備的處理結(jié)果的摘要信息向安全分析控制中心報(bào)告;(2. 4)該第一級(jí)CTM設(shè)備將該安全事件向安全分析控制中心報(bào)告�,由安全分析控 制中心進(jìn)行分析處理后并將響應(yīng)策略并轉(zhuǎn)發(fā)給各個(gè)第一級(jí)CTM設(shè)備,并統(tǒng)一調(diào)控各個(gè)第一 級(jí)�����、第二級(jí)CTM設(shè)備的功能組件和更新各第一�����、第二級(jí)CTM設(shè)備的策略數(shù)據(jù)���。所述的安全分析控制中心與各協(xié)同防御設(shè)備之間呈星型拓?fù)浣Y(jié)構(gòu)����,各協(xié)同防御設(shè) 備之間呈對(duì)等網(wǎng)格型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�����。 所述的任一協(xié)同防御設(shè)備監(jiān)控到新的安全事件的信息后與其它協(xié)同防御設(shè)備之 間的信息同步包括兩種方式一是該協(xié)同防御設(shè)備將信息發(fā)送給安全分析控制中心,由安 全分析控制中心轉(zhuǎn)發(fā)給其他協(xié)同防御設(shè)備���;二是該協(xié)同防御設(shè)備向其他協(xié)同防御設(shè)備發(fā)送 通報(bào)內(nèi)容�,通報(bào)內(nèi)容包括安全事件的相關(guān)信息以及該協(xié)同防御設(shè)備自身的應(yīng)對(duì)策略信息���, 并向安全分析控制中心發(fā)送通報(bào)內(nèi)容的信息的摘要��。所述的安全分析控制中心與各協(xié)同防御設(shè)備之間呈對(duì)等網(wǎng)格型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)��。本發(fā)明的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的系統(tǒng)防御方法通過流量數(shù)據(jù)探測(cè)子系統(tǒng) 監(jiān)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)的流量數(shù)據(jù)�����,依據(jù)安全分析控制中心的分析的記過��,控制各協(xié)同防御設(shè)備 處理并發(fā)送安全策略進(jìn)行協(xié)同防御��,增加利用網(wǎng)絡(luò)的整體性防御和協(xié)作性防御���,便于網(wǎng)絡(luò) 部署和管理,適用于對(duì)網(wǎng)絡(luò)安全要求嚴(yán)格的政府部門�����、電子商務(wù)和銀行,并提供安全可靠的 網(wǎng)絡(luò)安全防御系統(tǒng)��。
圖1是計(jì)算機(jī)網(wǎng)絡(luò)安全協(xié)同防御系統(tǒng)的防御功能的原理框圖���。圖2是計(jì)算機(jī)網(wǎng)絡(luò)安全協(xié)同防御系統(tǒng)的協(xié)同策略管理的原理框圖。圖3是分層結(jié)構(gòu)模式的計(jì)算機(jī)網(wǎng)絡(luò)安全協(xié)同防御系統(tǒng)的結(jié)構(gòu)圖��。圖4是混合結(jié)構(gòu)模式的計(jì)算機(jī)網(wǎng)絡(luò)安全協(xié)同防御系統(tǒng)的結(jié)構(gòu)圖�����。圖5是對(duì)等結(jié)構(gòu)模式的計(jì)算機(jī)網(wǎng)絡(luò)安全協(xié)同防御系統(tǒng)的結(jié)構(gòu)圖��。
具體實(shí)施方式為進(jìn)一步闡述本發(fā)明達(dá)成預(yù)定目的所采取的技術(shù)手段及功效����,以下結(jié)合附圖及實(shí) 施例,對(duì)本發(fā)明全程全網(wǎng)安全協(xié)同防御系統(tǒng)及協(xié)同防御的方法的具體實(shí)施方式
�、結(jié)構(gòu)特征 及其功效,詳細(xì)說明如下���。本發(fā)明的計(jì)算機(jī)網(wǎng)絡(luò)協(xié)同防御(Collabatative Threat Management����,CTM,協(xié)同防 御)系統(tǒng)基于現(xiàn)有UTM(Unified Treatment Management��,統(tǒng)一威脅管理)的統(tǒng)一防御威脅 管理的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)��,在UTM的基礎(chǔ)上增加協(xié)同防控功能���。本發(fā)明通過在網(wǎng)絡(luò)上運(yùn)用以“攝像頭+紅綠燈+統(tǒng)一監(jiān)控管理中心”為基本思想 的協(xié)同統(tǒng)一管理機(jī)制進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)一體化的協(xié)同防御�����。本發(fā)明包括安全分析控制中心�, 協(xié)同防御設(shè)備(協(xié)同防御設(shè)備��,為描述簡便���,下面簡稱CTM設(shè)備)和流量數(shù)據(jù)探測(cè)系統(tǒng)����,流 量數(shù)據(jù)探測(cè)系統(tǒng)置于計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)外端口���,對(duì)預(yù)進(jìn)入網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)流量進(jìn)行捕捉���,協(xié) 同防御設(shè)備設(shè)置在計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)等關(guān)鍵位置�����,每一協(xié)同防御設(shè)備內(nèi)置流量數(shù)據(jù)探 測(cè)子系統(tǒng)以探測(cè)流量數(shù)據(jù)并可進(jìn)行分析��,同時(shí)還設(shè)置管理控制組件和協(xié)同防御組件����,流量 數(shù)據(jù)探測(cè)子系統(tǒng)捕捉和CTM分析記錄的安全事件(起到相當(dāng)于“攝像頭”作用)被并傳送給安全分析控制中心����,安全分析控制中心接收各協(xié)同防御設(shè)備的信息進(jìn)行統(tǒng)一分析后�,生 成防御決策,并統(tǒng)一發(fā)送給各網(wǎng)絡(luò)節(jié)點(diǎn)的CTM設(shè)備(相當(dāng)于“統(tǒng)一調(diào)度”)���,更新各網(wǎng)絡(luò)節(jié)點(diǎn) 的CTM設(shè)備的防御策略����,實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的整體網(wǎng)絡(luò)安全事件的協(xié)同防御(相當(dāng)于“紅綠 燈”控制)���。本發(fā)明的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的CTM設(shè)備的協(xié)同防控組件提供CTM設(shè)備連 接到安全分析控制中心的接口���,以便實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)通過安全分析控制中心統(tǒng)一管理和 配置多臺(tái)CTM設(shè)備����,及時(shí)查看和監(jiān)控每一臺(tái)CTM設(shè)備網(wǎng)關(guān)的安全狀態(tài)和運(yùn)行信息����。各CTM 設(shè)備的協(xié)同防控功能開啟之后,通過計(jì)算機(jī)網(wǎng)絡(luò)連接到遠(yuǎn)端的安全分析控制中心���,安全分 析控制中心通過內(nèi)置在CTM設(shè)備中的協(xié)同防控功能組件獲取各CTM設(shè)備的系統(tǒng)狀態(tài)信息�、 流量信息和版本信息�����,用于進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)備狀態(tài)顯示��。同樣��,在不不會(huì)素獨(dú)立的安全 分析控制中心的情況�,CTM設(shè)備之間可以利用協(xié)同防控組件完成CTM設(shè)備之間策略生成、分 發(fā)和相互之間各功能模塊的調(diào)整�。 同時(shí),計(jì)算機(jī)網(wǎng)絡(luò)的各CTM設(shè)備可以以分組的方式管理��, 以組為單位進(jìn)行遠(yuǎn)程統(tǒng)一配置、升級(jí)等操作�����,并可以將管理的CTM設(shè)備按照一定的策略進(jìn) 行組織成協(xié)同結(jié)構(gòu)�����,實(shí)現(xiàn)設(shè)備之間的協(xié)同作戰(zhàn),使安全事件的威脅在源頭得到控制。本發(fā)明的流量數(shù)據(jù)探測(cè)子系統(tǒng)��,設(shè)置于網(wǎng)絡(luò)節(jié)點(diǎn)外,監(jiān)測(cè)預(yù)進(jìn)入網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò) 的流量數(shù)據(jù)����,并將監(jiān)測(cè)的數(shù)據(jù)發(fā)送給協(xié)同防御設(shè)備����。本發(fā)明的協(xié)同防御設(shè)備(Collabatative Threat Management,CTM�,協(xié)同防御),設(shè) 置于網(wǎng)絡(luò)節(jié)點(diǎn)等關(guān)鍵部位����,內(nèi)置防火墻等多種安全功能組件,對(duì)探測(cè)系統(tǒng)獲取的流量進(jìn)行 監(jiān)控組件和協(xié)同防控功能組件。協(xié)同防御設(shè)備分析探測(cè)系統(tǒng)送過來的流量數(shù)據(jù)��,記錄異常 流量等安全事件�����,并將安全事件傳送給安全分析控制中心�����。協(xié)同防御設(shè)備更新安全分析控 制中心分發(fā)的策略��,并執(zhí)行控制中心對(duì)其各功能組件的重新部署�,并可以實(shí)現(xiàn)其與其他CTM 設(shè)備之間信息傳遞與功能組件調(diào)節(jié)。部分CTM設(shè)備還加載數(shù)據(jù)中心和分析控制中心���,做分 析控制使用���,從而增加系統(tǒng)整體協(xié)調(diào)能力,減少分析控制中心的負(fù)擔(dān)�。CTM設(shè)備是針對(duì)惡意 攻擊、非法活動(dòng)和網(wǎng)絡(luò)資源濫用等威脅���,實(shí)現(xiàn)協(xié)同防御的高可靠�、高性能、易管理的網(wǎng)關(guān)安 全設(shè)備����。本發(fā)明的安全分析控制中心,是管理和配置各協(xié)同防御設(shè)備并進(jìn)行數(shù)據(jù)處理的監(jiān) 控中心�����。CTM設(shè)備檢測(cè)到的安全事件信息傳輸?shù)狡鋬?nèi)置的數(shù)據(jù)中心后���,經(jīng)過分析控制中心統(tǒng) 一分析�,生成相應(yīng)應(yīng)對(duì)策略�,分發(fā)給各CTM設(shè)備。同時(shí)還可以辨別分析出各CTM設(shè)備監(jiān)測(cè)的 具有共性的安全事件進(jìn)行報(bào)警����,并生成配置建議,分別對(duì)各CTM設(shè)備進(jìn)行配置更新����。管理員 也可以設(shè)置按照分析結(jié)果手動(dòng)更新各CTM設(shè)備配置�。分析控制中心內(nèi)置的數(shù)據(jù)中心是海量 信息的后臺(tái)處理中心,主要完成CTM設(shè)備的網(wǎng)關(guān)日志和流量信息的存儲(chǔ)�、分析����、審計(jì)和處理 功能�,實(shí)現(xiàn)必要時(shí)的信息取證功能。本發(fā)明的全程全網(wǎng)安全協(xié)同防御系統(tǒng)執(zhí)行協(xié)同防御方法��,包括如下的步驟(1) 設(shè)置于計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)外端口處的流量數(shù)據(jù)探測(cè)子系統(tǒng)�����,捕捉預(yù)進(jìn)入節(jié)點(diǎn)內(nèi)的流量 數(shù)據(jù)���,并將數(shù)據(jù)發(fā)送給協(xié)同防御設(shè)備���;(2)設(shè)置于計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)處的協(xié)同防御設(shè)備分析 所采集數(shù)據(jù)流量并記錄異常流量等安全事件,依據(jù)原有策略或形成的新策略或安全分析中 心發(fā)送過來的策略對(duì)安全事件進(jìn)行處理����,并將安全事件、策略���、事件處理結(jié)果及其日記等傳 送給安全分析控制中心��;(3)控制中心接收并傳送事件相關(guān)信息至安全分析控制內(nèi)部的數(shù) 據(jù)中心����,經(jīng)分析控制中心進(jìn)行統(tǒng)一分析后做出管理決策,查看各協(xié)同防御設(shè)備了解系統(tǒng)運(yùn)行狀況�����,然后更新各協(xié)同防御設(shè)備的協(xié)同防御策略����,對(duì)協(xié)同防御設(shè)備的各功能組件進(jìn)行統(tǒng) 一部署,并通過審核日記對(duì)安全事件進(jìn)行源頭控制���,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的一體化協(xié)同安 全防御�。本發(fā)明可以實(shí)際使用需要部署為星型�����、樹狀等拓?fù)浣Y(jié)構(gòu)���,并可以進(jìn)行任意局域網(wǎng)�, 城域網(wǎng)和廣域網(wǎng)拓展��,建立以安全分析控制中心�����、各協(xié)同防御設(shè)備和流量數(shù)據(jù)探測(cè)子系統(tǒng) 為基礎(chǔ)的可進(jìn)行全局網(wǎng)絡(luò)的安全防御和管理的多層次網(wǎng)絡(luò)安全策略控制體系�,有效提高計(jì) 算機(jī)網(wǎng)絡(luò)整體安全防御強(qiáng)度和管理靈活性。本發(fā)明的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防控功能提供安全分析控制中心的 IP地址��,在各CTM設(shè)備協(xié)同防控功能開啟模式下�,各CTM設(shè)備自動(dòng)連接到遠(yuǎn)端的安全分析控 制中心,將當(dāng)前CTM設(shè)備的每個(gè)安全應(yīng)用和服務(wù)模塊的運(yùn)行狀態(tài)和其他安全信息傳輸?shù)桨?全分析控制中心���,以集中顯示��,同時(shí)各CTM設(shè)備接受安全分析控制中心發(fā)回的配置指令�����,進(jìn) 行相應(yīng)的配置����。 本發(fā)明的全程全網(wǎng)安全協(xié)同防御系統(tǒng)在安全分析控制中心和CTM設(shè)備中分別預(yù) 設(shè)多種安全策略管理動(dòng)作�����,能夠應(yīng)對(duì)多種網(wǎng)絡(luò)安全威脅���,并且通過各CTM設(shè)備的程序的更 新����,加入新的插件程序,即可實(shí)現(xiàn)協(xié)同策略管理動(dòng)作的擴(kuò)展�����,使得用戶可以方便地根據(jù)網(wǎng)絡(luò) 情況訂制自己需要的協(xié)同策略管理動(dòng)作�,更好地保護(hù)本地網(wǎng)絡(luò)。為了保證安全分析控制中 心與各CTM設(shè)備的通信安全���,整個(gè)通信過程采用SSL (Security Socket Layer�,)加密����,同 時(shí)各CTM設(shè)備的代理程序?qū)Ⅱ?yàn)證安全分析控制中心的身份,只有來自特定IP地址的協(xié)同策 略管理命令才會(huì)得到執(zhí)行�,可以通過管理員權(quán)限設(shè)置參與協(xié)同策略管理的各CTM設(shè)備,通 過打開或者關(guān)閉CTM設(shè)備上的協(xié)同策略管理組件開關(guān)��,實(shí)現(xiàn)靈活可訂制的網(wǎng)絡(luò)安全協(xié)同管 理�����。本發(fā)明的計(jì)算機(jī)協(xié)同防御管理系統(tǒng)可以設(shè)置單機(jī)管理機(jī)制,即可依據(jù)每一 CTM設(shè) 備設(shè)定的管理機(jī)制或在管理員的調(diào)配下對(duì)安全事件進(jìn)行防御并調(diào)整安全防御策略���,也可以 適用于在大型的網(wǎng)絡(luò)中分布式的部署安全分析控制中心和CTM設(shè)備,配置網(wǎng)絡(luò)安全的管理 控制能力��,提供強(qiáng)大的數(shù)據(jù)分析能力����。本發(fā)明的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的防御功能的原理如圖1所示,圖1中安全 分析控制中心1通過流量數(shù)據(jù)探測(cè)子系統(tǒng)3對(duì)預(yù)進(jìn)入網(wǎng)絡(luò)內(nèi)部的流量數(shù)據(jù)進(jìn)行采集��;CTM 設(shè)備2對(duì)流量數(shù)據(jù)探測(cè)子系統(tǒng)3的監(jiān)測(cè)結(jié)果和探測(cè)流量進(jìn)行控制和管理����。本發(fā)明可以采用 分組的方式管理各CTM設(shè)備2,以組為單位進(jìn)行遠(yuǎn)程統(tǒng)一配置�、升級(jí)等操作,并可以將管理 的各CTM設(shè)備按照一定的策略進(jìn)行組織成協(xié)同結(jié)構(gòu)�����,實(shí)現(xiàn)設(shè)備之間的協(xié)同作戰(zhàn)�����,使網(wǎng)絡(luò)安 全威脅在源頭得到控制。流量數(shù)據(jù)探測(cè)子系統(tǒng)3及各CTM設(shè)備2主要通過協(xié)同防控功能組 件21和流量監(jiān)控功能組件22負(fù)責(zé)網(wǎng)絡(luò)信息截取和安全事件處理�����,安全分析控制中心1內(nèi) 置分析引擎11��、策略引擎12����、特征引擎13和備份模塊14,安全分析控制中心1負(fù)責(zé)信息和 安全事件分析�����,實(shí)施對(duì)各CTM設(shè)備2的調(diào)控���、策略處理��,并進(jìn)行更新及重要信息備份���。CTM設(shè) 備2設(shè)置的流量監(jiān)控功能組件組件21設(shè)置的接口,方便網(wǎng)絡(luò)管理員對(duì)所部署的CTM設(shè)備2 進(jìn)行集中式的高效監(jiān)視���,包括當(dāng)前網(wǎng)絡(luò)環(huán)境和安全組件狀態(tài)信息���、性能數(shù)據(jù)等��,CTM設(shè)備2 設(shè)置網(wǎng)絡(luò)安全事件和日志信息查詢功能和協(xié)同策略管理控制功能��,使得管理員能夠掌握當(dāng) 前網(wǎng)絡(luò)安全狀況���,并對(duì)網(wǎng)絡(luò)安全威脅進(jìn)行快速響應(yīng)和處理�����。本發(fā)明的全程全網(wǎng)安全協(xié)同防御系統(tǒng)建立了各CTM設(shè)備作為單機(jī)進(jìn)行獨(dú)立管理 的同時(shí)���,還通過將各CTM設(shè)備之間連接進(jìn)行協(xié)同管理相結(jié)合的雙重管理機(jī)制�,為用戶提供了集中式的CTM設(shè)備性能與狀態(tài)監(jiān)視�、統(tǒng)一的安全組件管理以及網(wǎng)絡(luò)事件日志的匯總分析機(jī)制,在此基礎(chǔ)上實(shí)現(xiàn)了多臺(tái)CTM設(shè)備的協(xié)同策略管理�。本發(fā)明的計(jì)算機(jī)網(wǎng)絡(luò)協(xié)同管理系統(tǒng)對(duì)管理員進(jìn)行管理認(rèn)證,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全 網(wǎng)關(guān)通常都可以通過網(wǎng)絡(luò)進(jìn)行策略配置�����,因此使用安全的身份認(rèn)證,避免非授權(quán)用戶擅自 進(jìn)入安全功能系統(tǒng)��,篡改甚至破壞計(jì)算機(jī)網(wǎng)絡(luò)的安全策略�����。各CTM設(shè)備提供了基于角色的 認(rèn)證管理���,安全分析控制中心以及CTM設(shè)備的系統(tǒng)管理員可以靈活地定義各類管理員角 色��,如某角色可以進(jìn)行日志信息的查看�����,但不能進(jìn)行安全策略的修改等�,對(duì)于管理員的任何 行為�,CTM設(shè)備均進(jìn)行日志審計(jì),保證各CTM設(shè)備自身的管理安全�����。本發(fā)明的計(jì)算機(jī)協(xié)同防御管理系統(tǒng)的協(xié)同管理策略的原理如圖2所示�。本發(fā)明的 全程全網(wǎng)安全協(xié)同防御系統(tǒng)采用服務(wù)器_代理工作模式,代理工作模式的代理就是使CTM 設(shè)備具有一定的計(jì)算資源和局部的行為控制機(jī)制����,能夠在沒有外界直接操縱的情況下�����,根 據(jù)其內(nèi)部狀態(tài)和網(wǎng)絡(luò)環(huán)境信息���,決定和控制自身行為。安全分析控制中心1通過部署在每 臺(tái)CTM設(shè)備2上的代理程序與每臺(tái)CTM設(shè)備2進(jìn)行安全通信��,CTM設(shè)備的代理程序中的本地 監(jiān)控插件程序模塊根據(jù)安全分析控制中心的指令��,指示CTM設(shè)備完成相應(yīng)的協(xié)同策略管理 動(dòng)作包括返回當(dāng)前各CTM設(shè)備的狀態(tài)信息和性能數(shù)據(jù)���,使得網(wǎng)絡(luò)管理員能夠掌握當(dāng)前的 網(wǎng)絡(luò)狀況;指示各CTM設(shè)備按照設(shè)定條件���,例如���,設(shè)定檢測(cè)到大量異常流量作為設(shè)定條件, 篩選某一時(shí)間段內(nèi)的安全組件日志信息�,并將這些信息匯總到安全分析控制中心的數(shù)據(jù)中 心,使得網(wǎng)絡(luò)管理員能夠針對(duì)某種網(wǎng)絡(luò)安全威脅進(jìn)行快速響應(yīng)���;或者對(duì)CTM設(shè)備中的各個(gè) 網(wǎng)絡(luò)安全組件進(jìn)行統(tǒng)一更新和控制����,使得多臺(tái)CTM設(shè)備中的安全組件能夠協(xié)同化地進(jìn)行工 作;或者實(shí)現(xiàn)CTM設(shè)備的安全組件的程序版本升級(jí)和安全策略庫更新�、協(xié)同策略管理動(dòng)作 的更新。本發(fā)明的全程全網(wǎng)安全協(xié)同防御系統(tǒng)將所有參與協(xié)同防御管理的CTM設(shè)備的狀 態(tài)和性能數(shù)據(jù)�、網(wǎng)絡(luò)事件以及日志信息匯總到安全分析控制中心,存入安全分析控制中心 的數(shù)據(jù)庫�,方便網(wǎng)絡(luò)進(jìn)行統(tǒng)一的數(shù)據(jù)分析和網(wǎng)絡(luò)日志查詢與管理。在發(fā)生入侵事件時(shí)��,安全 分析控制中心根據(jù)CTM設(shè)備匯總的數(shù)據(jù)找到源頭��,進(jìn)行源頭控制����,對(duì)接入的CTM設(shè)備進(jìn)行策 略重組,徹底切斷傳輸通道��,在被攻擊端�,主動(dòng)關(guān)閉相關(guān)通道,同時(shí)通過協(xié)同協(xié)議向安全分 析控制中心發(fā)送被攻擊信息���,從而實(shí)現(xiàn)在源頭�����、傳輸通道和目標(biāo)端多點(diǎn)控制����,實(shí)現(xiàn)計(jì)算機(jī)網(wǎng) 絡(luò)的平穩(wěn)和有序運(yùn)行。本發(fā)明的全程全網(wǎng)安全協(xié)同防御系統(tǒng)建立軟件升級(jí)機(jī)制�,從升級(jí)內(nèi)容上分為軟件 版本升級(jí)、入侵防御特征庫升級(jí)和防病毒特征庫升級(jí)�����;從升級(jí)方式上分為自動(dòng)升級(jí)和手動(dòng) 升級(jí)�。自動(dòng)升級(jí)是指在本發(fā)明的協(xié)同防御管理系統(tǒng)中指定升級(jí)服務(wù)器的地址,當(dāng)所有 CTM設(shè)備的病毒等特征庫存在可用更新時(shí)或達(dá)到用戶指定的升級(jí)時(shí)間時(shí)�����,升級(jí)引擎自動(dòng)進(jìn) 行更新下載�����、更新驗(yàn)證和更新升級(jí)的操作���,保證該體系的特征庫始終保持最新���。自動(dòng)升級(jí)主 要應(yīng)用于該體系網(wǎng)關(guān)部署在因特網(wǎng)的情況,通過因特網(wǎng)與指定升級(jí)服務(wù)器進(jìn)行通信��。手動(dòng)升級(jí)是指用戶定期從指定的升級(jí)服務(wù)器下載升級(jí)文件����,由用戶通過手動(dòng)的方 式對(duì)本發(fā)明的協(xié)同防御管理系統(tǒng)的CTM設(shè)備進(jìn)行軟件主體、入侵防御特征庫和防病毒特征 庫升級(jí)的一種模式�。手動(dòng)升級(jí)主要應(yīng)用于當(dāng)本發(fā)明的協(xié)同防御管理系統(tǒng)的CTM設(shè)備部署在 企業(yè)內(nèi)網(wǎng)或?qū)?shí)時(shí)性要求非常高的應(yīng)用環(huán)境。
本發(fā)明的協(xié)同防御管理系統(tǒng)的軟件升級(jí)功能設(shè)置升級(jí)前文件正確性檢查和升級(jí) 后的自恢復(fù)能力功能模塊�����,即在升級(jí)前對(duì)升級(jí)文件進(jìn)行完整性���、正確性校驗(yàn)���,只有校驗(yàn)合 格才開始進(jìn)行升級(jí),如果當(dāng)前的系統(tǒng)防御管理系統(tǒng)不能兼容此種格式的升級(jí)或升級(jí)文件受 損����,則自動(dòng)提示給用戶并指明錯(cuò)誤類型。升級(jí)失敗���,例如升級(jí)過程中遇到掉電或網(wǎng)絡(luò)連接失 敗或升級(jí)后系統(tǒng)加載失敗�����,系統(tǒng)保留并默認(rèn)原版本的正常運(yùn)行�����,不會(huì)因升級(jí)錯(cuò)誤失敗而導(dǎo) 致計(jì)算機(jī)網(wǎng)絡(luò)的各設(shè)備無法使用�����。為具體說明本發(fā)明的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的結(jié)構(gòu)和原理�����,下面結(jié)合具體的 實(shí)施例和附圖進(jìn)行詳細(xì)的說明��。圖3為本發(fā)明的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的層次結(jié)構(gòu)模式圖�。本實(shí)施例的安全 分析控制中心1連接并管理若干個(gè)第一級(jí)CTM設(shè)備,每個(gè)CTM設(shè)備又管理若干個(gè)第二級(jí)CTM 設(shè)備�����。因此�����,本具體實(shí)施例中��,安全分析控制中心和第一��、第二級(jí)CTM設(shè)備之間的網(wǎng)絡(luò)拓?fù)?結(jié)構(gòu)呈樹型拓?fù)浣Y(jié)構(gòu)����。在本具體實(shí)施例中,安全分析控制中心1可以連接并管理多個(gè)層級(jí) 的CTM設(shè)備����,形成層級(jí)管理的樹型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。本具體實(shí)施例的協(xié)同防御系統(tǒng)的協(xié)同防 御方法包括如下步驟1)����、任一第二級(jí)CTM設(shè)備發(fā)現(xiàn)新的安全事件后,直接向其所屬的上一級(jí)的第一級(jí) CTM設(shè)備報(bào)告�;2)、第一級(jí)CTM設(shè)備收到報(bào)告后��,如果該第一級(jí)CTM設(shè)備依據(jù)所預(yù)先設(shè)定的安全策 略和數(shù)據(jù)庫��,能夠處理該安全事件,則進(jìn)入步驟3�,若該第一級(jí)CTM設(shè)備(主域)依據(jù)自身所 預(yù)先設(shè)定的安全策略和數(shù)據(jù)庫不能處理該安全事件,進(jìn)入步驟4)3)該第一級(jí)CTM設(shè)備生成響應(yīng)策略并分發(fā)給所屬的各CTM設(shè)備子域��,再將該第一 級(jí)CTM設(shè)備的處理結(jié)果的摘要信息向安全分析控制中心報(bào)告�,進(jìn)入步驟5 ;4)該第一級(jí)CTM設(shè)備將該安全事件向安全分析控制中心報(bào)告�����,由安全分析控制中 心進(jìn)行分析處理后并將響應(yīng)策略并轉(zhuǎn)發(fā)給各個(gè)第一級(jí)CTM設(shè)備�,并統(tǒng)一調(diào)控各個(gè)第一級(jí)、 第二級(jí)CTM設(shè)備的功能組件和更新各第一���、第二級(jí)CTM設(shè)備的策略數(shù)據(jù)����。5)結(jié)束�。本具體實(shí)施例中,根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)的規(guī)模大小�,安全分析控制中心并不限于所設(shè) 置的第一、第二級(jí)CTM設(shè)備兩個(gè)層級(jí)的CTM設(shè)備����,還可以設(shè)置多個(gè)層級(jí)的CTM設(shè)備域�����,例如, 可以在每一第二級(jí)CTM設(shè)備向下設(shè)置多個(gè)第三級(jí)CTM設(shè)備��,每一第三級(jí)CTM設(shè)備向下設(shè)置 多個(gè)第四級(jí)CTM設(shè)備�,依次往下類推,根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)的規(guī)模大小和需要而設(shè)置多個(gè)層級(jí) 的CTM設(shè)備�。本方案的適應(yīng)范圍較廣,主要應(yīng)用于需集中管理的���,各級(jí)設(shè)備管理層級(jí)明顯的 網(wǎng)絡(luò)管理系統(tǒng)�。圖4為本發(fā)明的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的混合結(jié)構(gòu)模式圖�。本具體實(shí)施例中 的系統(tǒng)結(jié)構(gòu)包括一個(gè)分析控制中心和多個(gè)CTM設(shè)備。安全分析控制中心與CTM設(shè)備之間呈 星型結(jié)構(gòu)�����,各CTM設(shè)備之間呈對(duì)等關(guān)系��,構(gòu)成網(wǎng)格狀網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�。本具體實(shí)施例的協(xié)同防 御管理系統(tǒng)的協(xié)同防御方法包括如下步驟,當(dāng)任一 CTM設(shè)備發(fā)生新的安全事件后�,CTM設(shè)備 進(jìn)行信息同步包括如下兩種方式一是CTM設(shè)備將安全事件的信息發(fā)送給安全分析控制中 心,由安全分析控制中心轉(zhuǎn)發(fā)給其他CTM設(shè)備;二是CTM設(shè)備將 安全事件地信息向其他CTM 發(fā)送通報(bào)����,通報(bào)內(nèi)容包括安全事件的相關(guān)信息以及該發(fā)現(xiàn)新的安全事件的CTM設(shè)備自身的 應(yīng)對(duì)策略信息,實(shí)現(xiàn)各CTM安全策略的同步共享���,同時(shí)CTM設(shè)備將通報(bào)內(nèi)容的信息以摘要形式向安全分析控制中心匯報(bào)�。為了保護(hù)CTM設(shè)備的安全����,CTM設(shè)備的策略部署、所在網(wǎng)關(guān)流 量狀況及其基本狀態(tài)信息由安全分析控制中心統(tǒng)一維護(hù)����,各CTM設(shè)備可以通過安全分析控 制中心獲得其他CTM設(shè)備的有關(guān)信息。同時(shí)�����,因?yàn)榘踩治隹刂浦行某钟腥肿钚碌陌踩?策略信息�,各CTM設(shè)備可以以P2P (Peer-to-Peer,點(diǎn)對(duì)點(diǎn)分散式網(wǎng)絡(luò)架構(gòu))的方式主動(dòng)從其 他CTM設(shè)備獲得最新的安全策略,實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的全局同步�����。本具體實(shí)施例的方案主要 針對(duì)大型網(wǎng)絡(luò)安全部署。圖5為全程全網(wǎng)安全協(xié)同防御系統(tǒng)的對(duì)等結(jié)構(gòu)管理模式示意圖���。本具體實(shí)施例 的網(wǎng)絡(luò)結(jié)構(gòu)管理模式不需要部署獨(dú)立的安全分析控制中心�����,安全分析控制中心為最高管理 權(quán)限級(jí)別的CTM設(shè)備,可以由該最高管理權(quán)限級(jí)別的CTM設(shè)備執(zhí)行安全分析控制中心的分 析處理和統(tǒng)一協(xié)同管理功能����。在本具體實(shí)施例中,所有的CTM設(shè)備以對(duì)等的方式存在���,每個(gè) CTM設(shè)備都可以進(jìn)行自身的安全信息捕捉和處理以及安全事件的通報(bào)���,同時(shí)還可以接收其 他CTM設(shè)備通報(bào)給它的安全事件信息和應(yīng)對(duì)策略信息,并依據(jù)自身(存儲(chǔ))數(shù)據(jù)中心對(duì)接 收到的事件進(jìn)行分析控制處理�����,或通過管理員進(jìn)行相關(guān)策略分析運(yùn)籌后��,將CTM處理生成 的安全策略發(fā)送給其他CTM設(shè)備�����,并同時(shí)對(duì)其他CTM設(shè)備各功能組件進(jìn)行調(diào)控,從而實(shí)現(xiàn)各 CTM設(shè)備的全方位協(xié)同防控�����。因此����,本具體實(shí)施例的各CTM設(shè)備之間呈對(duì)等的網(wǎng)絡(luò)網(wǎng)格型 拓?fù)浣Y(jié)構(gòu),任一 CTM設(shè)備檢測(cè)到新的安全事件并處理生成安全策略��, 可以將其生成的安全 策略通過網(wǎng)絡(luò)傳輸給其他的CTM設(shè)備以增強(qiáng)其他CTM設(shè)備的安全策略應(yīng)對(duì)��,由此��,使得整個(gè) 計(jì)算機(jī)網(wǎng)絡(luò)的各CTM設(shè)備之間能協(xié)同防御應(yīng)對(duì)安全事件����。本具體實(shí)施例的方案針對(duì)小型網(wǎng) 絡(luò),或大型網(wǎng)絡(luò)部署�。本具體實(shí)施例中的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的各CTM設(shè)備之間進(jìn)行協(xié)同防御 的方法包括如下步驟1)部署在計(jì)算機(jī)網(wǎng)絡(luò)的外端口的流量數(shù)據(jù)子探測(cè)系統(tǒng)持續(xù)接收并采集預(yù)進(jìn)入計(jì) 算機(jī)內(nèi)部網(wǎng)絡(luò)的流量,將這些數(shù)據(jù)流量交送CTM設(shè)備分析����,經(jīng)檢查確認(rèn)不包含異?��;顒?dòng)和 異常內(nèi)容的流量,再通過另外一個(gè)端口將流量數(shù)據(jù)傳送到計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部系統(tǒng)�����;2當(dāng)CTM設(shè)備分析流量數(shù)據(jù)探測(cè)子系統(tǒng)所發(fā)送的檢測(cè)結(jié)果����,若發(fā)現(xiàn)流量數(shù)據(jù)有異 常����,則執(zhí)行步驟3操作;3) CTM設(shè)備接收到數(shù)據(jù)后���,依據(jù)預(yù)先設(shè)定的策略和分析機(jī)制進(jìn)行分析處理���,例如可 以對(duì)檢測(cè)到的病毒直接刪除;4)若CTM設(shè)備分析發(fā)現(xiàn)其流量數(shù)據(jù)沒有異常�����,則對(duì)接收的數(shù)據(jù)流繼續(xù)監(jiān)控�����,并將 處理結(jié)果送與策略中心;5)若CTM設(shè)備分析發(fā)現(xiàn)所接收的數(shù)據(jù)流量有異常��,依據(jù)自身所設(shè)定的分析機(jī)制可 以處理���,則響應(yīng)該數(shù)據(jù)流量并記錄事件����,同時(shí)更新其處理生成的安全策略�,并將生成的安全 策略發(fā)送其他CTM設(shè)備,以使得其他的CTM設(shè)備可以進(jìn)行各自的功能組件的調(diào)整����;6)若CTM設(shè)備發(fā)現(xiàn)所接收的數(shù)據(jù)流量異常,依據(jù)預(yù)先設(shè)定的分析處理機(jī)制所設(shè)定 的分析機(jī)制無法處理��,給其他的CTM設(shè)備發(fā)送請(qǐng)求報(bào)告���,請(qǐng)求其他CTM設(shè)備及其管理員協(xié)同 處理���;7)其他CTM設(shè)備或管理員接收最先偵測(cè)到數(shù)據(jù)流量的安全事件的CTM設(shè)備發(fā)送的 信息并分析處理,然后將生成的處理策略分發(fā)給其他CTM設(shè)備���,并統(tǒng)一調(diào)控其它CTM設(shè)備的 功能組件和流量控制�����,實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)中的所有CTM設(shè)備的全局統(tǒng)籌和協(xié)同控制�����。本具體實(shí)施例的方案主要針對(duì)小型網(wǎng)絡(luò)安全部署��。 綜上所述����,本發(fā)明的全程全網(wǎng)安全協(xié)同防御系統(tǒng)協(xié)調(diào)管理部署于計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn) 等關(guān)鍵位置的CTM設(shè)備���,通過流量數(shù)據(jù)探測(cè)子系統(tǒng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量的采集�����,協(xié)同防御設(shè)備 和安全分析控制中心對(duì)采集的數(shù)據(jù)流量分析�、處理����,運(yùn)用多層策略分析和協(xié)同管理機(jī)制�,運(yùn) 用協(xié)同管理和分析機(jī)制�,構(gòu)建全方位多層次的網(wǎng)絡(luò)安全防御體系,增加計(jì)算機(jī)網(wǎng)絡(luò)的整體 網(wǎng)絡(luò)安全防御性���,提高計(jì)算機(jī)網(wǎng)絡(luò)的安全和防病毒及防攻擊性���。本發(fā)明的全程全網(wǎng)安全協(xié) 同防御系統(tǒng)包括安全分析控制中心,協(xié)同防御設(shè)備和流量數(shù)據(jù)探測(cè)子系統(tǒng)���,協(xié)同防御設(shè)備 包括對(duì)探測(cè)系統(tǒng)所探測(cè)流量分析管理和協(xié)同防控功能�,安全分析控制中心內(nèi)部關(guān)聯(lián)數(shù)據(jù)中 心��,流量探測(cè)系統(tǒng)對(duì)預(yù)進(jìn)入網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)流量進(jìn)行捕捉�����,后送與協(xié)同管理設(shè)備�����。流量數(shù)據(jù) 探測(cè)系統(tǒng)置于計(jì)算機(jī)網(wǎng)絡(luò)邊緣���,對(duì)預(yù)進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行捕捉���,協(xié)同防御設(shè)備設(shè)置在 計(jì)算機(jī)網(wǎng)絡(luò)關(guān)鍵部位�,每一協(xié)同防御設(shè)備內(nèi)置流量數(shù)據(jù)探測(cè)監(jiān)控系統(tǒng)以探測(cè)流量數(shù)據(jù)并可 進(jìn)行分析�,同時(shí)還設(shè)置管理控制組件和協(xié)同防御組件,流量數(shù)據(jù)探測(cè)子系統(tǒng)捕捉和CTM分 析記錄的安全事件 被傳送給安全分析控制中心��,安全分析控制中心接收各協(xié)同防御設(shè)備的 信息進(jìn)行統(tǒng)一分析后����,生成防御決策,并統(tǒng)一發(fā)送給各網(wǎng)絡(luò)節(jié)點(diǎn)的CTM設(shè)備��,更新各網(wǎng)絡(luò)節(jié) 點(diǎn)的CTM設(shè)備的防御策略��,并通過審核日記對(duì)安全事件進(jìn)行源頭控制����,還可以通過與各級(jí) 別的管理員協(xié)同處理�����,實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的整體網(wǎng)絡(luò)安全事件的協(xié)同防御��。
權(quán)利要求
一種全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法,所述全程全網(wǎng)安全協(xié)同防御系統(tǒng)包括安全分析控制中心��、設(shè)置于計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)外端口處的流量數(shù)據(jù)探測(cè)子系統(tǒng)和設(shè)置于計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)的協(xié)同防御設(shè)備�,所述的協(xié)同防御方法包括如下步驟(1)流量數(shù)據(jù)探測(cè)子系統(tǒng)持續(xù)接收預(yù)進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量,采集流量數(shù)據(jù)并將其發(fā)送至協(xié)同防御設(shè)備���,協(xié)同防御設(shè)備將分析確認(rèn)不包含異?�;顒?dòng)和異常內(nèi)容的流量數(shù)據(jù)傳送到計(jì)算機(jī)內(nèi)部系統(tǒng)����;(2)當(dāng)協(xié)同防御設(shè)備檢測(cè)到有異常的數(shù)據(jù)包或者異常流量安全事件時(shí)��,則通知流量數(shù)據(jù)探測(cè)子系統(tǒng)將異常流量數(shù)據(jù)后續(xù)包傳送給協(xié)同防御設(shè)備�����,協(xié)同防御設(shè)備對(duì)異常流量數(shù)據(jù)進(jìn)行分析����,依據(jù)原有的預(yù)設(shè)策略或形成的新策略或安全分析中心發(fā)送過來的安全策略對(duì)安全事件進(jìn)行處理;(3)協(xié)同防御設(shè)備將安全事件���、策略�、事件處理結(jié)果及其日記傳送給安全分析控制中心;(4)安全分析控制中心接收并傳送事件相關(guān)信息至安全分析控制內(nèi)置的數(shù)據(jù)中心��,經(jīng)安全分析控制中心進(jìn)行統(tǒng)一分析后做出管理決策���,查看各協(xié)同防御設(shè)備并分析全程全網(wǎng)安全協(xié)同防御系統(tǒng)的運(yùn)行狀況�,然后更新各協(xié)同防御設(shè)備的協(xié)同防御策略��,對(duì)協(xié)同防御設(shè)備的各功能組件進(jìn)行統(tǒng)一部署���,并通過審核日記對(duì)安全事件進(jìn)行源頭控制�;(5)安全分析控制中心記錄整個(gè)安全事件處理時(shí)間���,結(jié)果等�����,以備追蹤查詢���。
2.如權(quán)利要求1所述的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法,其特征在于����,所 述的步驟(2)中,當(dāng)原有安全策略可以處理安全事件時(shí)僅利用其原有的預(yù)設(shè)策略響應(yīng)���;當(dāng) 原有的預(yù)設(shè)策略無法處理安全事件時(shí)���,協(xié)同防御設(shè)備利用自身的策略和網(wǎng)絡(luò)資源,或反映 給管理員制定新的可執(zhí)行策略���,并將策略分發(fā)至其他協(xié)同防御設(shè)備�����;當(dāng)協(xié)同防御設(shè)備自身 無法制定相應(yīng)的策略時(shí)��,發(fā)送報(bào)告給安全分析控制中心�,安全分析控制中心結(jié)合數(shù)據(jù)中心 制定策略���,并分發(fā)給其他協(xié)同防御設(shè)備���。
3.如權(quán)利要求1所述的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法,其特征在于���,所 述全程全網(wǎng)安全協(xié)同防御系統(tǒng)基于服務(wù)器-代理的模式��,安全分析控制中心通過部署在協(xié) 同防御設(shè)備上的代理程序與協(xié)同防御設(shè)備進(jìn)行安全通信�����,代理程序中的本地監(jiān)控插件根據(jù) 安全分析控制中心的指令�����,指示協(xié)同防御設(shè)備完成相應(yīng)的協(xié)同策略管理動(dòng)作�。
4.如權(quán)利要求3所述的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法,其特征在于�,所 述協(xié)同防御設(shè)備完成的協(xié)同策略管理動(dòng)作包括返回當(dāng)前各協(xié)同防御設(shè)備的狀態(tài)信息和性 能數(shù)據(jù);指示各協(xié)同防御設(shè)備在特定的情況下篩選某一時(shí)間段內(nèi)的安全組件日志信息����,并 將這些信息匯總到安全分析控制中心;對(duì)協(xié)同防御設(shè)備中的各個(gè)網(wǎng)絡(luò)安全組件進(jìn)行統(tǒng)一更 新和控制�,調(diào)動(dòng)多臺(tái)協(xié)同防御設(shè)備中的安全組件協(xié)同工作;升級(jí)更新協(xié)同防御設(shè)備安全組 件���、安全策略和協(xié)同策略���。
5.如權(quán)利要求1所述的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法,其特征在于���,所 述安全分析控制中心與各協(xié)同防御設(shè)備呈樹型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)����。
6.如權(quán)利要求5所述的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法�����,其特征在于��,所 述的各協(xié)同防御設(shè)備包括第一級(jí)協(xié)同防御設(shè)備和第二級(jí)協(xié)同防御設(shè)備����,所述第一級(jí)協(xié)同防 御設(shè)備分別與安全分析控制中心連接,所述的第一級(jí)協(xié)同防御設(shè)備分別與多個(gè)第二級(jí)協(xié)同 防御設(shè)備連接��。
7.如權(quán)利要求6所述的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法���,其特征在于���,所 述的步驟⑵中還包括(2. 1)當(dāng)所述第二級(jí)CTM設(shè)備發(fā)現(xiàn)新的安全事件后,直接向其所屬的上一級(jí)的第一級(jí) CTM設(shè)備報(bào)告�����;(2. 2)第一級(jí)CTM設(shè)備收到報(bào)告后,如果該第一級(jí)CTM設(shè)備依據(jù)所預(yù)先設(shè)定的安全策略 和數(shù)據(jù)庫����,應(yīng)對(duì)處理該安全事件,進(jìn)入下一步驟��,若該第一級(jí)CTM設(shè)備依據(jù)所設(shè)定的安全策 略和數(shù)據(jù)庫不能應(yīng)對(duì)處理該安全事件����,進(jìn)入步驟4)(2. 3)該第一級(jí)CTM設(shè)備生成響應(yīng)策略并分發(fā)給所屬的各CTM設(shè)備子域,再將該第一級(jí) CTM設(shè)備的處理結(jié)果的摘要信息向安全分析控制中心報(bào)告����;(2. 4)該第一級(jí)CTM設(shè)備將該安全事件向安全分析控制中心報(bào)告,由安全分析控制中 心進(jìn)行分析處理后并將響應(yīng)策略并轉(zhuǎn)發(fā)給各個(gè)第一級(jí)CTM設(shè)備�����,并統(tǒng)一調(diào)控各個(gè)第一級(jí)�、 第二級(jí)CTM設(shè)備的功能組件和更新各第一、第二級(jí)CTM設(shè)備的策略數(shù)據(jù)�。
8.如權(quán)利要求1所述的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法,其特征在于�����,所 述的安全分析控制中心與各協(xié)同防御設(shè)備之間呈星型拓?fù)浣Y(jié)構(gòu),各協(xié)同防御設(shè)備之間呈對(duì) 等網(wǎng)格型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)����。
9.如權(quán)利要求8所述的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法,其特征在于���,所 述的任一協(xié)同防御設(shè)備監(jiān)控到新的安全事件的信息后與其它協(xié)同防御設(shè)備之間的信息同 步包括兩種方式一是該協(xié)同防御設(shè)備將信息發(fā)送給安全分析控制中心,由安全分析控制 中心轉(zhuǎn)發(fā)給其他協(xié)同防御設(shè)備�����;二是該協(xié)同防御設(shè)備向其他協(xié)同防御設(shè)備發(fā)送通報(bào)內(nèi)容�, 通報(bào)內(nèi)容包括安全事件的相關(guān)信息以及該協(xié)同防御設(shè)備自身的應(yīng)對(duì)策略信息,并向安全分 析控制中心發(fā)送通報(bào)內(nèi)容的信息的摘要��。
10.如權(quán)利要求1所述的全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法�,其特征在于,所 述的安全分析控制中心與各協(xié)同防御設(shè)備之間呈對(duì)等網(wǎng)格型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�����。全文摘要
本發(fā)明公開一種全程全網(wǎng)安全協(xié)同防御系統(tǒng)的協(xié)同防御方法����,網(wǎng)絡(luò)中多節(jié)點(diǎn)布控����,統(tǒng)一分析管理節(jié)點(diǎn)設(shè)備�����,實(shí)現(xiàn)系統(tǒng)全局性協(xié)同防御�����。其具體方法設(shè)置于計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)外端口處的流量數(shù)據(jù)探測(cè)子系統(tǒng)�,捕捉預(yù)進(jìn)入節(jié)點(diǎn)內(nèi)的流量數(shù)據(jù),并將數(shù)據(jù)發(fā)送給協(xié)同防御設(shè)備�;設(shè)置于計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)處的協(xié)同防御設(shè)備分析所采集數(shù)據(jù)流量并記錄異常流量等安全事件,并對(duì)安全事件進(jìn)行處理��,將安全事件相關(guān)信息傳送給安全分析控制中心�����;經(jīng)分析控制中心進(jìn)行統(tǒng)一分析后做出管理決策�����,查看各協(xié)同防御設(shè)備了解系統(tǒng)運(yùn)行狀況,然后更新各協(xié)同防御設(shè)備的協(xié)同防御策略��,對(duì)協(xié)同防御設(shè)備的各功能組件進(jìn)行統(tǒng)一部署�,并通過審核日記對(duì)安全事件進(jìn)行源頭控制,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的一體化協(xié)同安全防御�����。
文檔編號(hào)H04L29/06GK101938460SQ20101020574
公開日2011年1月5日 申請(qǐng)日期2010年6月22日 優(yōu)先權(quán)日2010年6月22日
發(fā)明者茍仲武 申請(qǐng)人:北京豪訊美通科技有限公司