專利名稱:網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域��,尤其涉及網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)系統(tǒng)及方法����。
背景技術(shù):
隨著信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,針對網(wǎng)絡(luò)信息系統(tǒng)的惡意攻擊變得越來越多樣化和復(fù)雜化�����,這些安全事件極大地威脅了我國的國家安全和人民生活����,網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻。為此����,學(xué)術(shù)�����、產(chǎn)業(yè)等社會(huì)各界對網(wǎng)絡(luò)安全技術(shù)進(jìn)行了深入全面的研究工作����,并取得了較為成熟的研究成果���,如入侵檢測�、漏洞掃描����、僵尸網(wǎng)絡(luò)發(fā)現(xiàn)、分布式拒絕服務(wù)攻擊檢測�、垃圾郵件過濾、防病毒���、防木馬等等技術(shù)及系統(tǒng)����,然而�,現(xiàn)有的研究工作還面臨著以下兩個(gè)問題一是單一技術(shù)的孤立研究已很難大幅度降低網(wǎng)絡(luò)安全事件的誤報(bào)率和漏報(bào)率, 比如入侵檢測����;二是單一技術(shù)手段已很難滿足日益復(fù)雜的應(yīng)用需求��,比如針對網(wǎng)絡(luò)安全事件的深入分析與知識挖掘��。因此�,針對網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)技術(shù)的研究具有重要的理論意義和實(shí)際價(jià)值����。近幾年,在安全事件協(xié)同聯(lián)動(dòng)相關(guān)領(lǐng)域具有一定代表性的研究工作包括1)統(tǒng)一威脅管理(Unified Threat Management��,簡稱UTM)���,最早由 Fortinet 公司在2002年提出,2004年9月美國著名的IDC提出將防病毒�、入侵檢測和防火墻安全設(shè)備命名為統(tǒng)一威脅管理。也被稱為多功能防火墻���、多功能安全網(wǎng)關(guān)��。該類技術(shù)能夠很好的關(guān)聯(lián)防病毒�����、入侵檢測和防火墻安全設(shè)備�����,并構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)���。與傳統(tǒng)網(wǎng)關(guān)安全設(shè)備相比�,UTM設(shè)備融合多種安全能力��,具有管理方便��、投入少�����、防御能力強(qiáng)的優(yōu)勢�。然而,該技術(shù)也有自己與生俱來的劣勢���,可以關(guān)聯(lián)和管理的設(shè)備是固定的��,不可以添加新的設(shè)備進(jìn)行關(guān)聯(lián)�����。因此���,UTM不靈活且擴(kuò)展性差���。2)安全運(yùn)營中心(Security Operation Center,簡稱S0C)����,一般被定位為以資產(chǎn)為核心,以安全事件管理為關(guān)鍵流程�,采用安全域劃分的思想,建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型���,協(xié)助管理員進(jìn)行事件分析,風(fēng)險(xiǎn)分析���,預(yù)警管理����,和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)����。但是由于目前業(yè)界并沒有形成一個(gè)統(tǒng)一的理解�����,各廠商之間的SOC實(shí)現(xiàn)并不統(tǒng)一���,不同廠商產(chǎn)品之間尚缺乏協(xié)同聯(lián)動(dòng)能力。
發(fā)明內(nèi)容
因此����,本發(fā)明的目的在于克服上述現(xiàn)有技術(shù)的缺陷,提供一種網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)系統(tǒng)�����,可兼容多種安全資源��。為了實(shí)現(xiàn)上述發(fā)明目的��,一方面����,本發(fā)明提供了一種網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)系統(tǒng),包括安全資源接口模塊���,用于為多個(gè)安全資源提供傳輸接口以便在所述協(xié)同聯(lián)動(dòng)系統(tǒng)與各個(gè)安全資源之間進(jìn)行文件傳輸�,所述安全資源是指相關(guān)的網(wǎng)絡(luò)安全系統(tǒng);安全資源適配模塊��,用于將相應(yīng)的安全資源提供的安全事件信息從其特定格式轉(zhuǎn)換為所述協(xié)同聯(lián)動(dòng)系統(tǒng)的標(biāo)準(zhǔn)格式�����;
協(xié)同聯(lián)動(dòng)引擎模塊��,用于根據(jù)協(xié)同聯(lián)動(dòng)需求對各個(gè)安全資源提供的安全事件進(jìn)行
關(guān)聯(lián)分析和挖掘�,以得到更有價(jià)值的信息。 上述系統(tǒng)中��,每個(gè)安全資源適配模塊對應(yīng)一個(gè)安全資源���。上述系統(tǒng)中�,安全資源接口模塊采用FTP或SSH作為接口傳輸協(xié)議���。上述系統(tǒng)中���,所述協(xié)同聯(lián)動(dòng)引擎模塊包括指令集��,其包含了常用指令,為協(xié)同聯(lián)動(dòng)引擎提供基礎(chǔ)的協(xié)同聯(lián)動(dòng)功能�����;模式集���,其包含了協(xié)同聯(lián)動(dòng)模式�,所述協(xié)同聯(lián)動(dòng)模式是根據(jù)協(xié)同聯(lián)動(dòng)需求采用指令集內(nèi)的指令所編寫的程序�����;模式執(zhí)行模塊���,用于執(zhí)行協(xié)同聯(lián)動(dòng)模式以完成相應(yīng)的協(xié)同聯(lián)動(dòng)任務(wù)����。上述系統(tǒng)中�����,還包括PA集���,其提供指令集內(nèi)不存在的運(yùn)算���,所述協(xié)同聯(lián)動(dòng)模式是根據(jù)協(xié)同聯(lián)動(dòng)需求采用指令集和/或PA集內(nèi)的指令所編寫的程序��。上述系統(tǒng)中�,協(xié)同聯(lián)動(dòng)引擎是使用C�����、Python或Java實(shí)現(xiàn)的����。上述系統(tǒng)中,所述安全資源接口模塊使用FTP資源向量的方式標(biāo)識各個(gè)安全資源的FTP資源并且將多個(gè)FTP資源向量組成了 FTP資源表���,所述FTP資源向量為<NUM�����, SERVER, USER, PASSWORD〉�����,其中�,NUM即該FTP資源的編號����;SERVER為該FTP所在主機(jī)的IP 地址;USER為FTP的用戶名��;PASSWORD為FTP的密碼���。上述系統(tǒng)中��,所述安全資源接口模塊在訪問具體的FTP資源時(shí)使用FTP編號來獲取連接信息����,并且通過在FTP資源表添加新的FTP資源向量來添加新的安全資源��。又一方面����,本發(fā)明提供了用于上述系統(tǒng)的網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)方法,所述方法包括以下步驟步驟1)將協(xié)同聯(lián)動(dòng)需求中所涉及的所有安全資源掛接到協(xié)同系統(tǒng)中����;步驟2、根據(jù)協(xié)同聯(lián)動(dòng)需求編寫相應(yīng)的協(xié)同聯(lián)動(dòng)模式���;步驟幻在協(xié)同聯(lián)動(dòng)引擎中執(zhí)行所述協(xié)同聯(lián)動(dòng)模式以得到所需的數(shù)據(jù)�。上述方法中,所述步驟1)包括以下步驟為各個(gè)安全資源開發(fā)相應(yīng)的安全資源適配模塊�,所述安全資源適配模塊將相應(yīng)的安全資源提供的安全事件信息從其特定格式轉(zhuǎn)換為所述協(xié)同聯(lián)動(dòng)系統(tǒng)的標(biāo)準(zhǔn)格式;在安全資源接口模塊中�,為各個(gè)安全資源提供傳輸接口以用于在所述協(xié)同聯(lián)動(dòng)系統(tǒng)和各個(gè)安全資源之間進(jìn)行文件傳輸。上述方法中���,所述步驟2�、包括以下步驟如果指令集中的指令可以滿足協(xié)同聯(lián)動(dòng)需求��,則使用指令集來根據(jù)協(xié)同聯(lián)動(dòng)需求編寫協(xié)同聯(lián)動(dòng)模式��;否則開發(fā)相應(yīng)的PA集���,并使用指令集和相應(yīng)PA集中的指令來根據(jù)協(xié)同聯(lián)動(dòng)需求編寫協(xié)同聯(lián)動(dòng)模式���。上述方法中,所述步驟幻包括以下步驟根據(jù)協(xié)同聯(lián)動(dòng)需求從各個(gè)安全資源獲取安全事件文件�;由協(xié)同聯(lián)動(dòng)引擎按照所述協(xié)同聯(lián)動(dòng)模式依次對各個(gè)安全資源提供的安全事件進(jìn)行關(guān)聯(lián)分析和挖掘,以得到更有價(jià)值的信息��。與現(xiàn)有技術(shù)相比�����,本發(fā)明的優(yōu)點(diǎn)在于上述的協(xié)同聯(lián)動(dòng)系統(tǒng)具備對遵循通過協(xié)商所定接口的網(wǎng)絡(luò)安全資源的協(xié)同分析和聯(lián)動(dòng)控制能力,具有更好的通用性��。而且多種網(wǎng)絡(luò)安全資源可通過相應(yīng)專用的安全適配模塊快速方便地加入到協(xié)同聯(lián)動(dòng)系統(tǒng)中�����,具有更好的可擴(kuò)展性����。
以下參照附圖對本發(fā)明實(shí)施例作進(jìn)一步說明����,其中圖1為根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)系統(tǒng)結(jié)構(gòu)圖;圖2為根據(jù)本發(fā)明實(shí)施例的協(xié)同聯(lián)動(dòng)引擎結(jié)構(gòu)圖����;圖3為根據(jù)本發(fā)明實(shí)施例的挖掘出的惡意主機(jī)示意圖;圖4為根據(jù)本發(fā)明實(shí)施例的挖掘出的惡意域名示意圖��;圖5為根據(jù)本發(fā)明實(shí)施例的挖掘前后受控主機(jī)對比圖���。
具體實(shí)施例方式為了使本發(fā)明的目的�,技術(shù)方案及優(yōu)點(diǎn)更加清楚明白����,以下結(jié)合附圖通過具體實(shí)施例對本發(fā)明進(jìn)一步詳細(xì)說明����。應(yīng)當(dāng)理解�,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明, 并不用于限定本發(fā)明��。圖1示出了網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)系統(tǒng)的一個(gè)實(shí)施例的架構(gòu)示意圖�。如圖1所示,網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)系統(tǒng)(在下文也可簡稱為協(xié)同聯(lián)動(dòng)系統(tǒng)或系統(tǒng))包括協(xié)同聯(lián)動(dòng)引擎模塊�、 安全資源接口模塊、存儲(chǔ)資源模塊��、安全資源適配模塊�。協(xié)同聯(lián)動(dòng)引擎模塊是協(xié)同聯(lián)動(dòng)系統(tǒng)的運(yùn)算單元,負(fù)責(zé)對安全資源提供的安全事件進(jìn)行關(guān)聯(lián)分析�����,從而挖掘出更有價(jià)值的信息�。 其中安全資源是指相關(guān)的網(wǎng)絡(luò)安全系統(tǒng),如防火墻�����、入侵檢測系統(tǒng)、入侵防御系統(tǒng)�、防病毒系統(tǒng)等等。安全資源接口模塊主要負(fù)責(zé)與存儲(chǔ)資源模塊以及安全資源適配模塊交換信息�����, 其接口傳輸協(xié)議可以使用FTP����、SSH等技術(shù)�����。存儲(chǔ)資源模塊主要負(fù)責(zé)存儲(chǔ)數(shù)據(jù)��,協(xié)同聯(lián)動(dòng)引擎模塊�、安全資源接口模塊和安全資源適配模塊的數(shù)據(jù)都可以存放在存儲(chǔ)資源模塊,比如內(nèi)存��、數(shù)據(jù)庫或者文件系統(tǒng)等等�。安全資源適配模塊負(fù)責(zé)將各安全資源提供的安全事件文件轉(zhuǎn)換成標(biāo)準(zhǔn)格式信息,并通過安全資源接口模塊傳遞給其他模塊��。該系統(tǒng)的基本工作流程是首先通過安全資源接口模塊和安全資源適配模塊從各個(gè)安全資源獲取安全事件文件����,比如入侵檢測系統(tǒng)提供的安全事件文件�;接著將這些安全事件文件中存儲(chǔ)的安全事件保存到存儲(chǔ)資源模塊中��;然后��,按照協(xié)同聯(lián)動(dòng)的具體需求(協(xié)同聯(lián)動(dòng)需求即網(wǎng)絡(luò)安全事件的關(guān)聯(lián)需求)按次序從存儲(chǔ)資源模塊中取出事件����,并經(jīng)過協(xié)同聯(lián)動(dòng)引擎模塊的關(guān)聯(lián)和挖掘得到所需的數(shù)據(jù)。更具體地��,安全資源接口模塊通過為各個(gè)安全資源提供傳輸接口以便與各個(gè)安全資源之間進(jìn)行文件傳輸����。可以采用FTP����、SSH等作為接口傳輸協(xié)議。以FTP為例�����,對于每個(gè)安全資源可以有一個(gè)或者幾個(gè)FTP資源,每個(gè)安全資源都把檢測到的安全事件文件放到自己相應(yīng)的FTP資源上�����,安全資源接口模塊使用FTP資源向量的方式標(biāo)識特定的FTP資源����。該向量為<NUM,SERVER, USER, PASSWORD〉�,其中,NUM 即該 FTP 資源的編號�;SERVER 即該 FTP 所在主機(jī)的IP地址;USER即FTP的用戶名�;PASSWORD即FTP的密碼����。將諸多FTP資源向量組成了 FTP資源表,這樣訪問具體的FTP資源時(shí)使用FTP編號就可以直接獲取連接信息��。 而且添加新的安全資源時(shí)只需在FTP資源表添加新的FTP資源向量即可����,具有很高的靈活性。在通過安全資源接口模塊接收來自安全資源的安全事件文件后�����,需要通過安全資源適配模塊將安全事件從相應(yīng)的安全資源的特定格式轉(zhuǎn)換為協(xié)同聯(lián)動(dòng)系統(tǒng)的標(biāo)準(zhǔn)格式 (TXT或者XML都可以作為標(biāo)準(zhǔn)格式),然后通過安全資源接口模塊將其發(fā)送到存儲(chǔ)資源模塊進(jìn)行保存�����。協(xié)同聯(lián)動(dòng)系統(tǒng)可以包括多個(gè)安全資源適配模塊��?����?梢葬槍Ω鱾€(gè)安全資源開發(fā)相應(yīng)的安全資源適配模塊�,可以使用任何語言進(jìn)行開發(fā),只要能夠完成相應(yīng)的格式轉(zhuǎn)換功能即可���。然后��,協(xié)同聯(lián)動(dòng)引擎模塊對各個(gè)安全資源提供的安全事件進(jìn)行關(guān)聯(lián)分析��,從而挖掘出更有價(jià)值的信息���。在本實(shí)施例中,根據(jù)協(xié)同聯(lián)動(dòng)需求編寫協(xié)同聯(lián)動(dòng)模式����。也就是說要按照協(xié)同聯(lián)動(dòng)需求依次從存儲(chǔ)資源模塊中提取相應(yīng)的安全事件����,并通過協(xié)同聯(lián)動(dòng)引擎的關(guān)聯(lián)和挖掘來得到所需數(shù)據(jù)�。圖2示出了協(xié)同聯(lián)動(dòng)引擎模塊的結(jié)構(gòu)示意圖。如圖2所示�����,該模塊包括指令集���、PA 集��、模式集和模式執(zhí)行模塊�。指令集包含了全部常用指令���,為協(xié)同聯(lián)動(dòng)引擎提供基礎(chǔ)的協(xié)同聯(lián)動(dòng)功能。PA (處理代理�����,Processing Agent���,簡稱PA)是指令集的補(bǔ)充��,PA可以提供指令集內(nèi)不存在的運(yùn)算��,從而使得協(xié)同聯(lián)動(dòng)引擎的能力得到進(jìn)一步的提高和擴(kuò)展����;模式是由指令集和PA集內(nèi)的指令組成的程序,該程序可以在模式執(zhí)行模塊上運(yùn)行��,最后完成相應(yīng)的協(xié)同聯(lián)動(dòng)任務(wù)��;模式執(zhí)行模塊是協(xié)同聯(lián)動(dòng)引擎的執(zhí)行模塊��,指令集和PA集的指令最后都要經(jīng)過該模塊解釋執(zhí)行���,每個(gè)具體的模式也要經(jīng)過該模塊才能完成協(xié)同聯(lián)動(dòng)任務(wù)����。協(xié)同聯(lián)動(dòng)引擎可以使用各種語言實(shí)現(xiàn)�����,比如C��、Python和Java等。這種內(nèi)部結(jié)構(gòu)使得協(xié)同聯(lián)動(dòng)引擎具有很強(qiáng)的可擴(kuò)展性����。更具體地,根據(jù)協(xié)同聯(lián)動(dòng)需求�����,使用協(xié)同聯(lián)動(dòng)引擎模塊中的指令集內(nèi)的指令編寫相應(yīng)的協(xié)同聯(lián)動(dòng)模式���,并運(yùn)行所編寫的協(xié)同聯(lián)動(dòng)模式來完成協(xié)同聯(lián)動(dòng)任務(wù)��。如果指令集不能滿足協(xié)同聯(lián)動(dòng)需求���,則需要開發(fā)相應(yīng)PA (可以使用任意語言開發(fā))。根據(jù)協(xié)同聯(lián)動(dòng)需求�����, 使用指令集和相應(yīng)PA編寫協(xié)同聯(lián)動(dòng)模式���。協(xié)同聯(lián)動(dòng)模式本質(zhì)上是使用指令集和/或PA集的指令有序組成的一個(gè)程序,這個(gè)程序執(zhí)行之后就能完成某一個(gè)特定的協(xié)同聯(lián)動(dòng)任務(wù)����。與 UTM的協(xié)同聯(lián)動(dòng)相比���,UTM的協(xié)同聯(lián)動(dòng)是固定的,不可以隨意編程改變����,而且可以聯(lián)動(dòng)的設(shè)備也是固定的。而本系統(tǒng)針對不同的協(xié)同聯(lián)動(dòng)需求可以開發(fā)不同的協(xié)同聯(lián)動(dòng)模式����,比較靈活,具有通用性���。例如�,采用了 3個(gè)安全資源安全資源1)是863-917網(wǎng)絡(luò)安全監(jiān)測平臺(tái)(系國家863計(jì)劃資助的國家網(wǎng)絡(luò)安全監(jiān)測平臺(tái))���,該平臺(tái)實(shí)時(shí)檢測我國互聯(lián)網(wǎng)中特定安全事件�����, 諸如僵尸網(wǎng)絡(luò)�、木馬通信等事件����;安全資源2)是某些省份公共核心域名服務(wù)器的域名解析記錄信息�;安全資源3)是某省份的流量監(jiān)測系統(tǒng)�����,該系統(tǒng)能夠提供核心路由器的流記錄信肩�����、ο對于上述每個(gè)安全資源���,在系統(tǒng)中添加相應(yīng)的安全資源適配模塊并在安全資源接口模塊的FTP資源表添加新的FTP資源向量�,這樣就可以將這三個(gè)安全資源掛載到協(xié)同聯(lián)動(dòng)系統(tǒng)中了�。對于上述3個(gè)安全資源的協(xié)同聯(lián)動(dòng)需求是根據(jù)863-917網(wǎng)絡(luò)安全檢測平臺(tái)提供的惡意IP,在域名記錄系統(tǒng)中挖掘出惡意域名�,然后根據(jù)這些惡意域名在流記錄中挖掘出更多惡意IP和受控IP。按照該協(xié)同聯(lián)動(dòng)需求�����,采用指令集中的指令來編寫相應(yīng)的協(xié)同聯(lián)動(dòng)模式�����。該協(xié)同聯(lián)動(dòng)模式如下
(1)SELECT_T0_FILE (0, ‘‘ select氺from eventlog_863917 ‘‘��, ‘‘ eventlog. txt" ����, “ Γ )//從0號數(shù)據(jù)庫取出863-917平臺(tái)檢測的當(dāng)天惡意主機(jī)信息,形成eventlog. txt 文件��,使用〃 1〃間隔(2)L0AD_T0_TABLE(2, “ eventlog. txt"�����,“ eventlog"����,“ |〃 )H將惡意主機(jī)信息eventlog. txt導(dǎo)入2號數(shù)據(jù)庫的eventlog表中(3)SELECT_T0_FILE(1, “ select*from dns〃,“ dns.txt"���,“ |")H從1號數(shù)據(jù)庫取出當(dāng)天的DNS記錄�,形成dns. txt文件���,使用‘‘| ‘‘間隔(4)L0AD_T0_TABLE(2, “ dns. txt"��,“ dns"��,“ |〃 )//將dns記錄dns. txt導(dǎo)入2號數(shù)據(jù)庫的dns表中(5)SELECT_T0_TABLE(2, “ some select string"�,“ zoom")//在數(shù)據(jù)庫2中經(jīng)過一系列的select查詢,將挖掘之后的惡意主機(jī)域名信息形成 zoom 表(6)SELECT_T0_FILE(2, “ select*from zoom"��,“ zoom, txt"�����,“ |〃 )//從2號數(shù)據(jù)庫取出zoom表中的信息形成zoom, txt文件��,使用〃 |〃間隔(7)PUT_FILE(0, “ zoom, txt"��,“ zoom, txt"�����,“ /home/ftp")H將zoom, txt文件傳動(dòng)給流監(jiān)測所在的0號FTP��,流監(jiān)測會(huì)根據(jù)該文件查找相關(guān)的流信息并形成一個(gè)叫做flow, txt的文件(8)GET_FILE(0, “ flow, txt"���,“ flow, txt"��,“ /home/ftp")//獲取流監(jiān)測返回的包含惡意主機(jī)和被控主機(jī)信息的文件flow, txt(9)L0AD_T0_TABLE(2, “ flow, txt"��,“ flow"�,“ |〃 )H將flow, txt導(dǎo)入到數(shù)據(jù)庫2中的flow表中接著,通過協(xié)同聯(lián)動(dòng)引擎模塊中的模式執(zhí)行模塊來執(zhí)行該協(xié)同聯(lián)動(dòng)模式���。圖3展示了 2010-03-14到2010-03-18這五天通過執(zhí)行協(xié)同聯(lián)動(dòng)挖掘出的惡意主機(jī)數(shù)���。圖4展示了 2010-03-14到2010-03-18這五天通過執(zhí)行協(xié)同聯(lián)動(dòng)挖掘出惡意域名數(shù)量����。圖5比較了 2010-03-14到2010-03-18這五天內(nèi)采用協(xié)同聯(lián)動(dòng)系統(tǒng)和未采用協(xié)同聯(lián)動(dòng)系統(tǒng)發(fā)現(xiàn)的受控主機(jī)的數(shù)量。從圖5可以看出采用協(xié)同聯(lián)動(dòng)系統(tǒng)的發(fā)現(xiàn)降低了漏報(bào)率����。表1-5是上述實(shí)施例中的協(xié)同聯(lián)動(dòng)系統(tǒng)提供的各模塊之間交互以及執(zhí)行系統(tǒng)聯(lián)動(dòng)所涉及的指令。表1數(shù)據(jù)庫操作指令
常
權(quán)利要求
1.一種網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)系統(tǒng)����,所述協(xié)同聯(lián)動(dòng)系統(tǒng)包括安全資源接口模塊,用于為多個(gè)安全資源提供傳輸接口以便在所述協(xié)同聯(lián)動(dòng)系統(tǒng)與各個(gè)安全資源之間進(jìn)行文件傳輸�����,所述安全資源是指相關(guān)的網(wǎng)絡(luò)安全系統(tǒng)����;安全資源適配模塊����,用于將相應(yīng)的安全資源提供的安全事件信息從其特定格式轉(zhuǎn)換為所述協(xié)同聯(lián)動(dòng)系統(tǒng)的標(biāo)準(zhǔn)格式�;協(xié)同聯(lián)動(dòng)引擎模塊,用于根據(jù)協(xié)同聯(lián)動(dòng)需求對各個(gè)安全資源提供的安全事件進(jìn)行關(guān)聯(lián)分析和挖掘�����,以得到更有價(jià)值的信息�����。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)��,其中���,每個(gè)安全資源適配模塊對應(yīng)一個(gè)安全資源���。
3.根據(jù)權(quán)利要求1所述的系統(tǒng),其中����,安全資源接口模塊采用FTP或SSH作為接口傳輸協(xié)議����。
4.根據(jù)權(quán)利要求1所述的系統(tǒng)����,所述協(xié)同聯(lián)動(dòng)引擎模塊包括指令集,其包含了常用指令�,為協(xié)同聯(lián)動(dòng)引擎提供基礎(chǔ)的協(xié)同聯(lián)動(dòng)功能; 模式集�,其包含了協(xié)同聯(lián)動(dòng)模式,所述協(xié)同聯(lián)動(dòng)模式是根據(jù)協(xié)同聯(lián)動(dòng)需求采用指令集內(nèi)的指令所編寫的程序�;模式執(zhí)行模塊���,用于執(zhí)行協(xié)同聯(lián)動(dòng)模式以完成相應(yīng)的協(xié)同聯(lián)動(dòng)任務(wù)����。
5.根據(jù)權(quán)利要求4所述的系統(tǒng)�,其中還包括PA集,其提供指令集內(nèi)不存在的運(yùn)算���,所述協(xié)同聯(lián)動(dòng)模式是根據(jù)協(xié)同聯(lián)動(dòng)需求采用指令集和/或PA集內(nèi)的指令所編寫的程序��。
6.根據(jù)權(quán)利要求4所述的系統(tǒng)���,其中協(xié)同聯(lián)動(dòng)引擎是使用C�、Python或Java實(shí)現(xiàn)的����。
7.根據(jù)權(quán)利要求3所述的系統(tǒng),其中所述安全資源接口模塊使用FTP資源向量的方式標(biāo)識各個(gè)安全資源的FTP資源并且將多個(gè)FTP資源向量組成了 FTP資源表�,所述FTP資源向量為<NUM,SERVER, USER, PASSWORD〉�����,其中��,NUM 即該 FTP 資源的編號���;SERVER 為該 FTP 所在主機(jī)的IP地址���;USER為FTP的用戶名;PASSWORD為FTP的密碼�����。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)���,其中所述安全資源接口模塊在訪問具體的FTP資源時(shí)使用FTP編號來獲取連接信息�,并且通過在FTP資源表添加新的FTP資源向量來添加新的安全資源。
9.一種基于上述任一權(quán)利要求所述的系統(tǒng)的網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)方法����,所述方法包括 步驟1)將協(xié)同聯(lián)動(dòng)需求中所涉及的所有安全資源掛接到協(xié)同系統(tǒng)中;步驟幻根據(jù)協(xié)同聯(lián)動(dòng)需求編寫相應(yīng)的協(xié)同聯(lián)動(dòng)模式�;步驟幻在協(xié)同聯(lián)動(dòng)引擎中執(zhí)行所述協(xié)同聯(lián)動(dòng)模式以得到所需的數(shù)據(jù)。
10.根據(jù)權(quán)利要求9所述的方法���,其中所述步驟1)包括以下步驟為各個(gè)安全資源開發(fā)相應(yīng)的安全資源適配模塊���,所述安全資源適配模塊將相應(yīng)的安全資源提供的安全事件信息從其特定格式轉(zhuǎn)換為所述協(xié)同聯(lián)動(dòng)系統(tǒng)的標(biāo)準(zhǔn)格式;在安全資源接口模塊中�,為各個(gè)安全資源提供傳輸接口以用于在所述協(xié)同聯(lián)動(dòng)系統(tǒng)和各個(gè)安全資源之間進(jìn)行文件傳輸�。
11.根據(jù)權(quán)利要求9所述的方法,其中�,所述步驟幻包括以下步驟如果指令集中的指令可以滿足協(xié)同聯(lián)動(dòng)需求,則使用指令集來根據(jù)協(xié)同聯(lián)動(dòng)需求編寫協(xié)同聯(lián)動(dòng)模式�;否則開發(fā)相應(yīng)的PA集,并使用指令集和相應(yīng)PA集中的指令來根據(jù)協(xié)同聯(lián)動(dòng)需求編寫協(xié)同聯(lián)動(dòng)模式�����。
12.根據(jù)權(quán)利要求9所述的方法,其中�,所述步驟幻根據(jù)協(xié)同聯(lián)動(dòng)需求從各個(gè)安全資源獲取安全事件文件,并由協(xié)同聯(lián)動(dòng)引擎按照所述協(xié)同聯(lián)動(dòng)模式依次對各個(gè)安全資源提供的安全事件進(jìn)行關(guān)聯(lián)分析和挖掘��,以得到更有價(jià)值的信息�。
全文摘要
本發(fā)明提供一種網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)系統(tǒng)。其中安全資源接口模塊為多個(gè)安全資源提供傳輸接口以便在所述協(xié)同聯(lián)動(dòng)系統(tǒng)與各個(gè)安全資源之間進(jìn)行文件傳輸?shù)?�;安全資源適配模塊將相應(yīng)的安全資源提供的安全事件信息從其特定格式轉(zhuǎn)換為所述協(xié)同聯(lián)動(dòng)系統(tǒng)的標(biāo)準(zhǔn)格式�;協(xié)同聯(lián)動(dòng)引擎模塊根據(jù)協(xié)同聯(lián)動(dòng)需求對各個(gè)安全資源提供的安全事件進(jìn)行關(guān)聯(lián)分析和挖掘,以得到更有價(jià)值的信息����。該系統(tǒng)具備對遵循通過協(xié)商所定接口的網(wǎng)絡(luò)安全資源的協(xié)同分析和聯(lián)動(dòng)控制能力,具有更好的通用性��;不同的網(wǎng)絡(luò)安全資源可通過相應(yīng)專用的安全適配模塊快速方便地加入到協(xié)同聯(lián)動(dòng)系統(tǒng)中�����,具有更好的可擴(kuò)展性��。
文檔編號H04L29/06GK102377780SQ20111031557
公開日2012年3月14日 申請日期2011年10月18日 優(yōu)先權(quán)日2011年10月18日
發(fā)明者云曉春, 孫建亮, 張永錚, 臧天寧 申請人:中國科學(xué)院計(jì)算技術(shù)研究所