專利名稱:一種基于云計算環(huán)境的全信息安全取證監(jiān)聽方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,尤其涉及一種基于云計算環(huán)境的全信息安全取證監(jiān)聽方法和系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)特別是WWW (World Wide Web�,萬維網(wǎng))技術(shù)的快速發(fā)展,互聯(lián)網(wǎng)也越來越多的應(yīng)用到各行各業(yè)之中����。人類社會紛紛將各種活動遷移到了互聯(lián)網(wǎng)上,形成了以電子政務(wù)��、電子商務(wù)���、電子金融�、電子教學(xué)等為代表的各種應(yīng)用��,使得互聯(lián)網(wǎng)的使用成為人類日常的生活習(xí)慣��。在這個進程中,網(wǎng)絡(luò)安全問題逐漸受到人們的關(guān)注��,并隨著安全事件的不斷涌現(xiàn)而成為熱點問題�����。目前主要的網(wǎng)絡(luò)安全問題有黑客攻擊(Hacking)�,惡意代碼(Malware)(包括特洛伊木馬Tro jans、螺蟲病毒W(wǎng)orms��、間謀軟件Spyware),流t民軟件(又叫Adware)),網(wǎng)絡(luò)欺詐(Phishing Attack)和網(wǎng)絡(luò)攻擊(Attack)(包括 DDoS��、僵尸網(wǎng)絡(luò) Botnet)等���。針對這些問題�����,網(wǎng)絡(luò)安全防護提出了相應(yīng)的解決方案�����。安全威脅日益復(fù)雜多樣���,攻擊手段日益綜合��。很多復(fù)合式安全攻擊融合了如蠕蟲病毒��、木馬���、間諜軟件等多種手段,單純依靠以單一的防火墻為代表的傳統(tǒng)安全解決方案已經(jīng)無法奏效�。而采購、部署和管理多種單獨防護手段如反釣魚���、反螺蟲、IPS (Intrusion Prevention System,入侵防御系統(tǒng))等安全設(shè)備往往需要企業(yè)花費巨大的經(jīng)濟和人力的開銷��,并需要專業(yè)的網(wǎng)絡(luò)管理知識�����,從而給企業(yè)帶來了巨大的維護成本���。網(wǎng)絡(luò)監(jiān)測可以實時地監(jiān)測企業(yè)內(nèi)網(wǎng)中網(wǎng)絡(luò)狀態(tài)��,可以及時地對內(nèi)部入侵或攻擊行為做出判斷���,從而提高企業(yè)網(wǎng)絡(luò)安全等級��,網(wǎng)絡(luò)監(jiān)控作為一種發(fā)展比較成熟的技術(shù)�����,監(jiān)聽網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)��,排除網(wǎng)絡(luò)故障等方面具有不可替代的作用����,因而一直倍受網(wǎng)絡(luò)管理員的青睞�����。目前市場上的網(wǎng)絡(luò)監(jiān)聽裝置或抓包裝置種類比較少����,部分監(jiān)聽裝置側(cè)重于提高抓包速度,在這方面做了很多改進��,部分監(jiān)聽裝置突出了抓取數(shù)據(jù)包的準(zhǔn)確率���,在接收數(shù)據(jù)的過濾技術(shù)上做了很多的工作�����,還有部分監(jiān)控裝置致力于解決現(xiàn)有技術(shù)中無法實時監(jiān)聽目標(biāo)定位����,還有還原監(jiān)聽數(shù)據(jù)內(nèi)容不精確的問題。當(dāng)前的主流網(wǎng)絡(luò)監(jiān)控裝置都是單獨運行的����,裝置之間缺少統(tǒng)一部署和協(xié)作,因此在大存儲和高性能的需求上還表現(xiàn)得還不夠完善��。因此當(dāng)面臨大數(shù)據(jù)�,多服務(wù)器集中監(jiān)聽的時候,傳統(tǒng)的監(jiān)控裝置不能很好的適應(yīng)�。隨著網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)所提供的服務(wù)越來越多����,因此�,在網(wǎng)絡(luò)上提供各種服務(wù)與應(yīng)用的主機也越來越多,由此帶來的系統(tǒng)維護也變得越來越復(fù)雜����;企業(yè)的運作對于IT系統(tǒng)的依賴性越來越強,用戶對網(wǎng)絡(luò)服務(wù)的要求越來越高,因此服務(wù)的故障甚至中斷會給用戶帶來抱怨���,也對政府���、企業(yè)的信譽和形象帶來損害。然而�,系統(tǒng)的故障甚至中斷是在所難免的,而如何在最短的時間內(nèi)發(fā)現(xiàn)故障是挽回損失和解決問題的第一步����,因此,主機管理�、網(wǎng)絡(luò)管理是必不可少的助手。因此需要一種網(wǎng)絡(luò)監(jiān)測系統(tǒng)幫助網(wǎng)絡(luò)管理員隨時隨地了解整個網(wǎng)絡(luò)系統(tǒng)運行情況���,從而保障網(wǎng)絡(luò)的安全�。
云計算是一種基于互聯(lián)網(wǎng)的計算方式�,通過這種方式,共享的軟硬件資源和信息可以按需提供給計算機和其他設(shè)備��。云計算描述了一種基于互聯(lián)網(wǎng)的新的IT服務(wù)增加�����、使用和交付模式,通過互聯(lián)網(wǎng)來提供動態(tài)易擴展而且是虛擬化的資源����。云計算一般來說包括以下幾個層次的服務(wù):基礎(chǔ)設(shè)施即服務(wù)(Infrastructure as a Service,簡稱IaaS),平臺即服務(wù)(Platform as a Service,簡稱PaaS)和軟件即服務(wù)(Software as a Service,簡稱SbbS)o現(xiàn)行的網(wǎng)絡(luò)監(jiān)聽工具主要是針對單點的網(wǎng)絡(luò)監(jiān)聽進行研究的,并沒有對大規(guī)模��、多服務(wù)的網(wǎng)絡(luò)環(huán)境的監(jiān)聽進行研究�����,并沒有注意到現(xiàn)在企業(yè)或政府的服務(wù)器集群越來越大��、網(wǎng)絡(luò)拓撲蔓延越來越廣�����、對網(wǎng)絡(luò)速度的要求越來越高��,單點的網(wǎng)絡(luò)監(jiān)聽及低速的監(jiān)聽裝置越來越不適應(yīng)現(xiàn)在企業(yè)和社會的發(fā)展需求�。此外,云計算這一新興的計算模式在IT界異軍突起�,由云計算帶動的產(chǎn)品收益也成幾何級數(shù)增長����,作為IT領(lǐng)域的產(chǎn)品�����,也要與時俱進�,將監(jiān)聽技術(shù)與云計算相結(jié)合����,充分利用云計算的優(yōu)點,提高監(jiān)聽產(chǎn)品的性能����。
發(fā)明內(nèi)容
(一)要解決的技術(shù)問題針對上述缺陷,本發(fā)明要解決的技術(shù)問題是如何采用基于云計算環(huán)境下的分析和存儲�����,實現(xiàn)了多節(jié)點全局高效快速的網(wǎng)絡(luò)監(jiān)聽����。(二)技術(shù)方案為解決上述問題,本發(fā)明提供了一種基于云計算環(huán)境的全信息安全取證監(jiān)聽方法�����,所述方法具體包括以下步驟:S1:基于云計算對整個分布式網(wǎng)絡(luò)進行部署�,包括監(jiān)聽節(jié)點�����、匯聚節(jié)點和監(jiān)控中心,并配置參數(shù)��;S2:所述監(jiān)聽節(jié)點抓取網(wǎng)絡(luò)交換設(shè)備中的數(shù)據(jù)包獲取原始數(shù)據(jù)�,對所述原始數(shù)據(jù)進行暫存和實時分析�,并根據(jù)控制指令將所述原始數(shù)據(jù)和實時分析得到的分析結(jié)果上傳給所述匯聚節(jié)點;S3:所述匯聚節(jié)點對所述原始數(shù)據(jù)和所述分析結(jié)果進行壓縮�、轉(zhuǎn)換和緩存,上傳給所述監(jiān)控中心��;S4:所述監(jiān)控中心對從所述匯聚節(jié)點接收到的數(shù)據(jù)進行匯總�、云存儲和分析,形成監(jiān)聽報表�,并根據(jù)所述監(jiān)聽報表得出安全策略。進一步地��,所述步驟SI中基于云計算對整個分布式網(wǎng)絡(luò)進行部署具體是進行分網(wǎng)段的部署�,將整個網(wǎng)絡(luò)分成多個網(wǎng)段,每個網(wǎng)段內(nèi)設(shè)置多個監(jiān)聽節(jié)點���;所述監(jiān)聽節(jié)點的網(wǎng)絡(luò)接口采用混雜模式����,對網(wǎng)段內(nèi)的數(shù)據(jù)包采取異步抓包進行抓?�?��;所述監(jiān)控中心包括多個匯聚節(jié)點���,隸屬于所述監(jiān)控中心的匯聚節(jié)點向所述監(jiān)控中心進行注冊,并通過所述匯聚節(jié)點獲取所述監(jiān)控中心發(fā)布的對匯聚節(jié)點的配置信息�;所述匯聚節(jié)點包括多個監(jiān)聽節(jié)點,屬于所述匯聚節(jié)點的監(jiān)聽節(jié)點向所述匯聚節(jié)點進行注冊��,所述匯聚節(jié)點接收監(jiān)聽節(jié)點的注冊后將每個注冊的監(jiān)聽節(jié)點的地址信息反饋給所述監(jiān)控中心�����,并獲取所述監(jiān)控中心發(fā)布的對監(jiān)聽節(jié)點的配置信息�����。進一步地�,所述步驟S2中對所述原始數(shù)據(jù)進行暫存具體包括:判斷存儲空間的容量是否達到容量閾值,如果達到則發(fā)出提醒或自動刪除存儲時間最早的原始數(shù)據(jù)�����,否則進行循環(huán)存儲。進一步地��,所述步驟S2中對所述原始數(shù)據(jù)進行實時分析具體包括:流量分析��、協(xié)議分析�����、告警分析和查詢分析�����。進一步地��,所述步驟S2中上傳給所述匯聚節(jié)點的原始數(shù)據(jù)就是暫存在所述監(jiān)聽節(jié)點的數(shù)據(jù)����,上傳給所述匯聚節(jié)點的分析結(jié)果通過暫存再進行上傳。進一步地���,所述步驟S3中所述匯聚節(jié)點對接收的數(shù)據(jù)進行壓縮和轉(zhuǎn)換�����,再進行數(shù)據(jù)化格式處理����,并將處理后的數(shù)據(jù)進行緩存,緩存后的數(shù)據(jù)上傳給所述監(jiān)控中心�����,當(dāng)所述監(jiān)控中心的存儲和解析速度小于所述監(jiān)聽節(jié)點的抓包速度時���,所述匯聚節(jié)點對數(shù)據(jù)進行本地緩存,直到網(wǎng)絡(luò)有空閑時才將緩存的數(shù)據(jù)存儲到數(shù)據(jù)庫中���。進一步地�����,所述步驟S4中對數(shù)據(jù)的云存儲的同時設(shè)置訪問權(quán)限���,禁止無權(quán)限者的訪問或修改;對數(shù)據(jù)的分析具體包括對數(shù)據(jù)的實時查詢和精確分析����。為解決上述技術(shù)問題,本發(fā)明還提供了一種基于云計算的全信息安全取證監(jiān)聽系統(tǒng),包括:監(jiān)聽節(jié)點��、匯聚節(jié)點和監(jiān)控中心�;其中所述監(jiān)聽節(jié)點包括抓包模塊、暫存模塊�、實時分析模塊和策略模塊;所述匯聚節(jié)點包括監(jiān)聽管理模塊��、上行數(shù)據(jù)處理模塊����、下行策略處理模塊和系統(tǒng)配置模塊;所述監(jiān)控中心包括分析檢索模塊��、云存儲模塊����、策略制定模塊、報表導(dǎo)出模塊�����、通知報告模塊和參數(shù)配置模塊����;所述系統(tǒng)還包括通信模塊�,用于所述監(jiān)聽節(jié)點與所述匯聚節(jié)點的通信���、所述匯聚節(jié)點與所述監(jiān)控中心的通信和所述監(jiān)控中心與云計算平臺的通信����。進一步地���,所述抓包模塊用于抓取網(wǎng)絡(luò)交換設(shè)備中的網(wǎng)絡(luò)數(shù)據(jù)包,獲取原始數(shù)據(jù)�����;所述暫存模塊用于對所述原始數(shù)據(jù)和所述實時分析模塊分析后的分析結(jié)果進行暫存�;所述實時分析模塊用于對所述原始數(shù)據(jù)進行實時分析,得到分析結(jié)果�����;所述策略模塊用于接收所述匯聚節(jié)點轉(zhuǎn)發(fā)的配置信息����,并實施相應(yīng)的策略、控制其它模塊的行為���。更進一步地�����,暫存模塊具體包括判斷模塊��、循環(huán)存儲模塊和刪除模塊��;所述判斷模塊用于判斷存儲空間的容量是否達到容量閾值��,如果達到則進入所述通知報告模塊或所述刪除模塊���,否則進入所述循環(huán)存儲模塊���;所述刪除模塊用于根據(jù)接收到的所述通知報告模塊發(fā)出的控制指令進行刪除或自動刪除存儲時間最早的原始數(shù)據(jù);所述循環(huán)存儲模塊用于存儲所述原始數(shù)據(jù)��,并記錄存儲時間���。更進一步地�,所述實時分析模塊具體包括流量分析子模塊�、協(xié)議分析子模塊、告警分析子模塊和查詢分析子模塊����;其中所述流量分析子模塊用于分析抓取的數(shù)據(jù)包的大小���,并計算出數(shù)據(jù)包的流量;
所述協(xié)議分析子模塊用于分析抓取的數(shù)據(jù)包的協(xié)議類型,并判斷出所述協(xié)議類型不符合協(xié)議規(guī)則的數(shù)據(jù)包�;所述告警分析子模塊用于根據(jù)遠程配置策略對流量、協(xié)議和內(nèi)容進行分析�����,如果符合告警規(guī)則進行告警記錄并上報�����;所述查詢分析子模塊用于根據(jù)所述監(jiān)控中心下發(fā)的控制指令進行查詢���,將符合條件的數(shù)據(jù)導(dǎo)出到指定位置。進一步地��,所述監(jiān)聽管理模塊用于接收所述監(jiān)聽節(jié)點向所述匯聚節(jié)點的注冊��,還用于接收所述監(jiān)聽節(jié)點的心跳信息���,當(dāng)一段時間沒有接收到所述心跳信息時向所述監(jiān)控中心匯報監(jiān)聽節(jié)點的異常信息���,請求更新配置信息�;所述上行數(shù)據(jù)處理模塊用于對所述監(jiān)聽節(jié)點上傳的原始數(shù)據(jù)和分析結(jié)果進行壓縮���、轉(zhuǎn)換�����,再進行數(shù)據(jù)化格式處理���,并將處理后的數(shù)據(jù)進行緩存,緩存后的數(shù)據(jù)上傳給所述監(jiān)控中心�����;所述下行策略處理模塊用于對所述監(jiān)控中心下發(fā)的策略和控制指令的目的地址進行解析���,并轉(zhuǎn)發(fā)給與所述目的地址相應(yīng)的監(jiān)聽節(jié)點��;所述系統(tǒng)配置模塊從所述監(jiān)控中心接收配置信息���,將對所述監(jiān)聽節(jié)點的配置信息轉(zhuǎn)發(fā)給相應(yīng)的監(jiān)聽節(jié)點,并向所述監(jiān)控中心上報自身的狀態(tài)信息�。進一步地�,所述云存儲模塊用于對從所述匯聚節(jié)點接收到的數(shù)據(jù)進行匯總��,并保存到數(shù)據(jù)庫中�,同時設(shè)置訪問權(quán)限,禁止無權(quán)限者的訪問或修改���;所述分析檢索模塊用于對數(shù)據(jù)進行實時查詢和精確分析���;所述策略制定模塊用于根據(jù)所述分析結(jié)果制定所述監(jiān)聽節(jié)點、所述匯聚節(jié)點和所述監(jiān)控中心的抓包策略���、存儲策略和分析策略�����;所述報表導(dǎo)出模塊用于將所述監(jiān)聽節(jié)點和所述匯聚節(jié)點上傳的數(shù)據(jù)和分析結(jié)果整合成報表并導(dǎo)出�;所述通知報告模塊用于當(dāng)系統(tǒng)中出現(xiàn)故障或警告時進行提示����;所述參數(shù)配置模塊用于對系統(tǒng)的參數(shù)進行配置���,其中包括設(shè)置所述監(jiān)聽節(jié)點的網(wǎng)絡(luò)接口為混雜模式��,抓取數(shù)據(jù)包采用異步抓取方式����,還包括所述監(jiān)聽節(jié)點暫存數(shù)據(jù)時的存儲空間的容量閾值。(三)有益效果本發(fā)明提供了一種基于云計算環(huán)境的全信息安全取證監(jiān)聽方法和系統(tǒng)�����,主要是針對企業(yè)級用戶���,為其提供多節(jié)點監(jiān)聽�����、集中管理����、基于云計算環(huán)境下的全信息安全取證分布式監(jiān)聽方案�,在采用云存儲技術(shù)具有大容量、高性能���、高可用性和高效管理��,實現(xiàn)了文件存儲�����、時間同步���、實時全方位備份���、支持分布式存儲和網(wǎng)絡(luò)存儲的功能。本發(fā)明確保監(jiān)聽方案從全局出發(fā)���,實現(xiàn)了統(tǒng)一管理及全面分析網(wǎng)絡(luò)安全狀態(tài)等功能�。根據(jù)實際的網(wǎng)絡(luò)拓撲需求提供靈活部署方案��,依據(jù)網(wǎng)絡(luò)大小和需求�����,進行靈活部署����,實現(xiàn)內(nèi)網(wǎng)擴展����,通過控制中心進行相關(guān)查詢和操作�,從而靈活地����、全局性地實現(xiàn)計算機網(wǎng)絡(luò)安全策略的控制。
圖1為本發(fā)明實施例一中的一種基于云計算環(huán)境的全信息安全取證監(jiān)聽方法的步驟流程圖2為本發(fā)明實施例一中的一種基于云計算環(huán)境的全信息安全取證監(jiān)聽方法的實施流程圖��;圖3為本發(fā)明實施例二中的一種基于云計算環(huán)境的全信息安全取證監(jiān)聽系統(tǒng)的系統(tǒng)架構(gòu)圖���;圖4為本發(fā)明實施例二中監(jiān)聽節(jié)點的模塊架構(gòu)圖�;圖5為本發(fā)明實施例二中暫存模塊的組成示意圖����;圖6為本發(fā)明實施例二中匯聚節(jié)點的模塊架構(gòu)圖;圖7為本發(fā)明實施例二中監(jiān)控中心的模塊架構(gòu)圖����。
具體實施例方式下面結(jié)合附圖和實施例,對本發(fā)明的具體實施方式
作進一步詳細描述��。以下實施例用于說明本發(fā)明�,但不用來限制本發(fā)明的范圍。實施例一本發(fā)明實施例一中提供了種基于云計算環(huán)境的全信息安全取證監(jiān)聽方法��,步驟流程如圖1所示,具體包括以下步驟:步驟S1:基于云計算對整個分布式網(wǎng)絡(luò)進行部署�����,包括監(jiān)聽節(jié)點���、匯聚節(jié)點和監(jiān)控中心�����,并配置參數(shù)��。具體的����,基于云計算對整個分布式網(wǎng)絡(luò)進行部署具體是進行分網(wǎng)段的部署��,將整個網(wǎng)絡(luò)分成多個網(wǎng)段���,每個網(wǎng)段內(nèi)設(shè)置多個監(jiān)聽節(jié)點�����。監(jiān)控中心包括多個匯聚節(jié)點����,監(jiān)控中心啟動后�,等待匯聚節(jié)點聯(lián)系,隸屬于監(jiān)控中心的匯聚節(jié)點向監(jiān)控中心進行注冊�����,并獲取監(jiān)控中心發(fā)布的對匯聚節(jié)點的配置信息����。匯聚節(jié)點包括多個監(jiān)聽節(jié)點,匯聚節(jié)點啟動后��,屬于匯聚節(jié)點的監(jiān)聽節(jié)點向匯聚節(jié)點進行注冊��。匯聚節(jié)點接收監(jiān)聽節(jié)點的注冊后���,存儲下每個監(jiān)聽節(jié)點的地址信息�����,并將每個注冊的監(jiān)聽節(jié)點的地址信息反饋給監(jiān)控中心��,獲取監(jiān)控中心發(fā)布的對監(jiān)聽節(jié)點的配置信息��,并向監(jiān)控中心詢問是否有更新��,如果有更新及時轉(zhuǎn)發(fā)給相應(yīng)的監(jiān)聽節(jié)點����。在硬件配置上,監(jiān)聽節(jié)點要求具備兩個以上的網(wǎng)卡����,一個設(shè)置為混雜模式,負責(zé)進行網(wǎng)絡(luò)監(jiān)聽和抓取數(shù)據(jù)包���;另一個負責(zé)將數(shù)據(jù)上傳到匯聚節(jié)點和接收監(jiān)控中心下發(fā)的遠程配置信息��。計算機網(wǎng)卡工作在非混雜模式下時�����,網(wǎng)卡只接受來自網(wǎng)絡(luò)端口的目的地址指向自己的數(shù)據(jù)或者是廣播數(shù)據(jù)�����,而對于其他地址的數(shù)據(jù)幀���,網(wǎng)絡(luò)接口在驗證其目的地址不是本機的地址時���,一律選擇丟棄。在本實施例中�����,將監(jiān)聽節(jié)點的網(wǎng)絡(luò)接口設(shè)置為混雜模式����,使監(jiān)聽節(jié)點能夠抓取到其所監(jiān)聽網(wǎng)段的所有網(wǎng)絡(luò)數(shù)據(jù)信息����,每個監(jiān)聽節(jié)點將抓取到的數(shù)據(jù)信息上傳到匯聚節(jié)點。另外�,本實施例中采用異步抓包方式,將高速數(shù)據(jù)傳輸傳下的數(shù)據(jù)包抓取并保存成統(tǒng)一的通用文件格式��,然后經(jīng)過初步解析保存在當(dāng)?shù)氐拇鎯^(qū)中��,抓包和存儲不相關(guān)�����,這樣可以提高抓包速度��,當(dāng)存儲和解析速度跟不上抓包速度時候,系統(tǒng)會在匯聚節(jié)點自動緩存下來所抓取的數(shù)據(jù)包�。當(dāng)緩存區(qū)的容量不夠存放數(shù)據(jù)包時候,才自動丟棄數(shù)據(jù)包�����。在企業(yè)或機構(gòu)的內(nèi)部網(wǎng)絡(luò)中����,基于云計算環(huán)境的模式,監(jiān)聽節(jié)點通過網(wǎng)線與被監(jiān)聽網(wǎng)段的網(wǎng)絡(luò)交換設(shè)備相連接��,并且具有獨立的供電方案����,通過將網(wǎng)絡(luò)交換設(shè)備設(shè)置為混雜模式,監(jiān)聽裝置可以監(jiān)聽到通過這部交換設(shè)備的全部網(wǎng)絡(luò)數(shù)據(jù)信息����。所有監(jiān)聽裝置通過網(wǎng)線與匯聚裝置相連接,匯聚裝置再通過網(wǎng)線與監(jiān)控中心鏈接組成網(wǎng)管網(wǎng)�����。分網(wǎng)段部署����,可以做到全面的內(nèi)部網(wǎng)絡(luò)監(jiān)測�����,確保企業(yè)內(nèi)部網(wǎng)絡(luò)安全�。步驟S2:監(jiān)聽節(jié)點抓取網(wǎng)絡(luò)交換設(shè)備中的數(shù)據(jù)包獲取原始數(shù)據(jù)�,對原始數(shù)據(jù)進行暫存和實時分析,并根據(jù)控制指令將原始數(shù)據(jù)和實時分析得到的分析結(jié)果上傳給匯聚節(jié)點���。在此步驟中暫存的不僅僅是原始數(shù)據(jù),還包括經(jīng)過實時分析得到的分析結(jié)果��,并上傳給匯聚節(jié)點��。具體的��,對原始數(shù)據(jù)或分析結(jié)果進行暫存具體包括:判斷存儲空間的容量是否達到容量閾值���,如果達到則通過監(jiān)控中心發(fā)出提醒提示用戶存儲空間不足��,以便用戶可以采取刪除或暫停監(jiān)聽網(wǎng)絡(luò)的方式來處理�;或自動刪除存儲時間最早的原始數(shù)據(jù)�����,否則進行循環(huán)存儲。其中容量閾值是在參數(shù)設(shè)置上進行設(shè)置的��。因為將解析出的數(shù)據(jù)存入存儲區(qū)域的同時也記錄下每條數(shù)據(jù)的存儲時間���,所以當(dāng)超出容量閾值時會將存儲時間較早的數(shù)據(jù)刪除�。對原始數(shù)據(jù)進行實時分析具體包括:流量分析��、協(xié)議分析�、告警分析和查詢分析,其中側(cè)重對當(dāng)前流量的實時信息進行分析�,但不對網(wǎng)絡(luò)整體信息進行展現(xiàn),也不會運行復(fù)雜的分析算法進行數(shù)據(jù)挖掘等操作�����。其中流量分析�����,通過將抓取的數(shù)據(jù)包中進行分析�,能夠得到數(shù)據(jù)包的大小信息,然后通過數(shù)據(jù)庫統(tǒng)計出數(shù)據(jù)包的流量。流量分析的目的是為了分析監(jiān)測網(wǎng)絡(luò)當(dāng)中流量的分布情況�����,通過分析網(wǎng)絡(luò)當(dāng)中的流量系統(tǒng)能夠靈活的對網(wǎng)絡(luò)做出預(yù)測����,同時也能夠保障系統(tǒng)自身的有效運行。協(xié)議分析��,通過對抓取的數(shù)據(jù)包分析����,可以解析出每個數(shù)據(jù)包的協(xié)議類型,每種數(shù)據(jù)包都有自己獨特的協(xié)議類型字段和內(nèi)容字段���,通過對數(shù)據(jù)包協(xié)議的判定,可以對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進行有效的安全監(jiān)控��,當(dāng)發(fā)現(xiàn)有不符合協(xié)議規(guī)則的數(shù)據(jù)包時�,能夠有效的做出判斷,保障系統(tǒng)的安全性��。告警分析����,根據(jù)遠程配置策略����,對流量�����、協(xié)議和內(nèi)容進行分析時�����,如果發(fā)現(xiàn)數(shù)據(jù)負責(zé)配置信息中的告警策略�,則進行記錄和上報。查詢分析����,根據(jù)監(jiān)控中心下達的控制指令,以及人為操作指令���,將符合條件的暫存信息(原始流量數(shù)據(jù))導(dǎo)出到指定位置(通過網(wǎng)絡(luò)接口����、web接口或文件接口等方式)���。監(jiān)聽節(jié)點還負責(zé)接收監(jiān)控模塊下達的配置信息��,并實施相應(yīng)的策略和控制行為����,即控制其他模塊的行為,主要功能有:系統(tǒng)配置信息:例如系統(tǒng)名稱��、安全口令�����、網(wǎng)絡(luò)地址和存儲位置等��;以及心跳規(guī)則
坐寸ο抓包和存儲規(guī)則:存儲何種數(shù)據(jù)包�、放棄何種數(shù)據(jù)包;分析規(guī)則:例如數(shù)據(jù)分析的粒度和協(xié)議內(nèi)容�、關(guān)鍵字等;告警規(guī)則:何種情況下告警�,告警時觸發(fā)何種行為,以及數(shù)據(jù)上傳規(guī)則�����、數(shù)據(jù)導(dǎo)出規(guī)則等��。步驟S3:匯聚節(jié)點對原始數(shù)據(jù)和分析結(jié)果進行壓縮�、轉(zhuǎn)換和緩存,上傳給監(jiān)控中心�。匯聚節(jié)點的主要作用就是對網(wǎng)絡(luò)進行分級化控制,減少設(shè)備定位和管理上的開銷�����,也減少數(shù)據(jù)上報和策略下發(fā)的開銷����。將監(jiān)聽節(jié)點傳輸來的數(shù)據(jù)進行聚集(壓縮、轉(zhuǎn)換)和統(tǒng)一的數(shù)據(jù)格式化處理���,方便此后的存儲和解析(上傳到監(jiān)控中心)�����。同時為了提高系統(tǒng)的可靠性和有效性��,在匯聚節(jié)點設(shè)置有緩存�����。匯聚節(jié)點對接收的數(shù)據(jù)進行壓縮和轉(zhuǎn)換�����,再進行數(shù)據(jù)化格式處理����,并將處理后的數(shù)據(jù)進行緩存,緩存后的數(shù)據(jù)上傳給監(jiān)控中心���,當(dāng)監(jiān)控中心的存儲和解析速度小于監(jiān)聽節(jié)點的抓包速度時�����,匯聚節(jié)點對數(shù)據(jù)進行本地緩存���,直到網(wǎng)絡(luò)有空閑時才將緩存的數(shù)據(jù)存儲到數(shù)據(jù)庫中。當(dāng)緩存區(qū)的容量不夠存放數(shù)據(jù)包時候��,自動丟棄數(shù)據(jù)包����。步驟S4:監(jiān)控中心對從匯聚節(jié)點接收到的數(shù)據(jù)進行匯總、云存儲和分析����,形成監(jiān)聽報表,并根據(jù)監(jiān)聽報表得出安全策略����。云存儲就是分布式存儲對抓取的數(shù)據(jù)包經(jīng)過解析后的文件以及通過實時分析之后保存到數(shù)據(jù)庫中的文件。解析后的數(shù)據(jù)文件保存到開源云計算平臺分布式文件系統(tǒng)HDFS或其它類似系統(tǒng)中��。對數(shù)據(jù)的云存儲的同時設(shè)置訪問權(quán)限��,禁止無權(quán)限者的訪問或修改���,采用“一次寫入��,多次讀取”的存儲策略���,數(shù)據(jù)一旦寫入,則不能被修改��,只能供讀取��,以滿足取證和審計等需求��。對數(shù)據(jù)的分析具體包括對數(shù)據(jù)的實時查詢和精確分析�,對數(shù)據(jù)進行匯聚、數(shù)據(jù)挖掘和預(yù)測等復(fù)雜分析��,強調(diào)對海量數(shù)據(jù)進行特定的運算,以得到運算的結(jié)果�。采取HBASE、Map/reduce等開源分布式處理技術(shù),實現(xiàn)對海量數(shù)據(jù)的實時查詢和精確分析����。控制中心將監(jiān)聽節(jié)點和匯聚節(jié)點中的數(shù)據(jù)信息以及分析結(jié)果整合成報表的形式���,報表以html文件格式讓管理員在web界面中瀏覽���,或通過PDF文件格式的方式讓管理員選擇性的導(dǎo)出查看。在監(jiān)控中心還能按照管理員制定的管理策略對系統(tǒng)的分析結(jié)果做出相應(yīng)的控制操作��,操作指令以xml (可擴展標(biāo)記語言)文件形式提供給管理員���。策略定制內(nèi)容包括對監(jiān)聽節(jié)點���、匯聚節(jié)點和監(jiān)控中心本身的各種抓包策略、存儲策略和分析策略等進行定制�,管理員將策略定制好之后,下達給各個目標(biāo)設(shè)備����,各目標(biāo)設(shè)備才能進行正常工作�。根據(jù)上述步驟流程���,本發(fā)明的方法實施流程如圖2所示。通過上述方法���,提供多節(jié)點監(jiān)聽�����、集中管理�、基于云計算環(huán)境下的全信息安全取證分布式監(jiān)聽方案���,在采用云存儲技術(shù)具有大容量�����、高性能�����、高可用性和高效管理��,實現(xiàn)了文件存儲���、時間同步���、實時全方位備份、支持分布式存儲和網(wǎng)絡(luò)存儲的功能���。本發(fā)明確保監(jiān)聽方案從全局出發(fā)��,實現(xiàn)了統(tǒng)一管理及全面分析網(wǎng)絡(luò)安全狀態(tài)等功能��。根據(jù)實際的網(wǎng)絡(luò)拓撲需求提供靈活部署方案����,依據(jù)網(wǎng)絡(luò)大小和需求�����,進行靈活部署��,實現(xiàn)內(nèi)網(wǎng)擴展�����,通過控制中心進行相關(guān)查詢和操作,從而靈活地����、全局性地實現(xiàn)計算機網(wǎng)絡(luò)安全策略的控制。實施例二本發(fā)明實施例二中還提供了一種基于云計算環(huán)境的全信息安全取證監(jiān)聽系統(tǒng)����,系統(tǒng)架構(gòu)如圖3所示,具體包括:監(jiān)聽節(jié)點、匯聚節(jié)點和監(jiān)控中心���。系統(tǒng)中還包括通信模塊,用于監(jiān)聽節(jié)點與匯聚節(jié)點的通信���、匯聚節(jié)點與監(jiān)控中心的通信和監(jiān)控中心與云計算平臺的通信��。通信協(xié)議采用廣泛應(yīng)用的TCP/IP協(xié)議并使用socket (套接字)編程實現(xiàn)監(jiān)控中心與監(jiān)聽節(jié)點和匯聚節(jié)點之間的通信以及時間同步���。
管理員可以通過監(jiān)控中心對整個網(wǎng)絡(luò)監(jiān)聽環(huán)境進行控制和監(jiān)聽,而且還可以通過監(jiān)控中心對其控制下的匯聚節(jié)點和監(jiān)聽節(jié)點進行控制����,包括監(jiān)聽節(jié)點或匯聚節(jié)點的啟動或停止,以及配置監(jiān)聽節(jié)點�、匯聚節(jié)點和監(jiān)控中心自身的抓取規(guī)則、分析規(guī)則、暫存規(guī)則等�����。監(jiān)聽節(jié)點的模塊架構(gòu)圖如圖4所示�����,具體包括:抓包模塊11��、暫存模塊12����、實時分析模塊13和策略模塊14。監(jiān)聽節(jié)點在硬件配置上��,要求具備兩個以上的網(wǎng)卡�����,一個設(shè)置為混雜模式���,負責(zé)進行網(wǎng)絡(luò)監(jiān)聽和抓取數(shù)據(jù)包��;另一個負責(zé)將數(shù)據(jù)上傳到匯聚節(jié)點和接收監(jiān)控中心下發(fā)的遠程
配置信息��。抓包模塊11用于抓取網(wǎng)絡(luò)交換設(shè)備中的網(wǎng)絡(luò)數(shù)據(jù)包��,獲取原始數(shù)據(jù)��。抓包模塊11是監(jiān)聽節(jié)點的基礎(chǔ)����,所有對網(wǎng)絡(luò)安全監(jiān)測都是基于抓網(wǎng)絡(luò)數(shù)據(jù)包來進行的,抓包模塊11通過監(jiān)聽節(jié)點對網(wǎng)絡(luò)交換設(shè)備中經(jīng)過的數(shù)據(jù)包進行抓取來獲得安全數(shù)據(jù)信息�。網(wǎng)卡在混雜模式下使監(jiān)聽節(jié)點能夠抓取到其所監(jiān)聽網(wǎng)段的所有網(wǎng)絡(luò)數(shù)據(jù)信息,每個監(jiān)聽節(jié)點將抓取到的數(shù)據(jù)信息上傳到匯聚節(jié)點�����。抓包模塊11采用異步抓包方式����,現(xiàn)將高速數(shù)據(jù)傳輸傳下的數(shù)據(jù)包抓取并保存成統(tǒng)一的通用文件格式���,然后經(jīng)過初步解析保存在當(dāng)?shù)氐拇鎯^(qū)中����,抓包和存儲不相關(guān)����,這樣可以提高抓包速度���,當(dāng)存儲和解析速度跟不上抓包速度時候,系統(tǒng)會自動緩存下來所抓取的數(shù)據(jù)包�����。當(dāng)緩存區(qū)的容量不夠存放數(shù)據(jù)包時候�����,自動丟棄數(shù)據(jù)包��。暫存模塊12用于對原始數(shù)據(jù)和實時分析模塊分析后的分析結(jié)果進行暫存����。本系統(tǒng)中采用分布式存儲和集中存儲相結(jié)合的方式。在監(jiān)聽節(jié)點會對抓取數(shù)據(jù)進行暫存和分析�����,并根據(jù)策略將部分?jǐn)?shù)據(jù)和分析結(jié)果上傳到匯聚節(jié)點�,并最終上傳到監(jiān)控中心進行永久存儲。這兩種存儲的區(qū)別是:監(jiān)聽節(jié)點的暫存模塊12對原始抓包數(shù)據(jù)(以及實時分析的分析結(jié)果進行存儲)���,屬于分布式存儲��;而監(jiān)控中心的云存儲模塊32則是對匯聚節(jié)點整理��、上傳的數(shù)據(jù)進行再分析����,分析后的數(shù)據(jù)再進行存儲,屬于集中存儲����。暫存系統(tǒng)中,設(shè)置容量閾值�����,當(dāng)存儲空間的容量到達一定的閾值時��,會通過監(jiān)控中心向客戶發(fā)出警告��,提醒用戶存儲空間不夠��,用戶可以采取刪除或者是暫停監(jiān)聽網(wǎng)絡(luò)等方式來處理���。如果客戶未能采取相關(guān)的措施����,存儲系統(tǒng)自動按照日期的先后順序刪除一定容量的數(shù)據(jù)���。存儲系統(tǒng)的容量閾值可以通過監(jiān)控中心��、管理員進行設(shè)置��,刪除過程自動完成�����,確保裝置工作流的一致性��。暫存模塊12的組成示意圖如圖5所示����,具體包括判斷模塊121����、循環(huán)存儲模塊122和刪除模塊123。判斷模塊121用于判斷存儲空間的容量是否達到容量閾值����,如果達到則進入通知報告模塊或刪除模塊123����,否則進入循環(huán)存儲模塊122�����。刪除模塊123用于根據(jù)接收到的通知報告模塊35發(fā)出的控制指令進行刪除或自動刪除存儲時間最早的原始數(shù)據(jù)�;循環(huán)存儲模塊122用于存儲原始數(shù)據(jù),并記錄存儲時間���。實時分析模塊13用于對原始數(shù)據(jù)進行實時分析�,得到分析結(jié)果�。實時分析模塊13是監(jiān)聽節(jié)點的核心部分,負責(zé)對數(shù)據(jù)進行實時分析���,分析側(cè)重對當(dāng)前流量的實時信息進行分析�����,但不對網(wǎng)絡(luò)整體信息進行展現(xiàn),也不會運行復(fù)雜的分析算法進行數(shù)據(jù)挖掘等操作�����。
實時分析模塊13具有四種功能,分別由四個模塊實現(xiàn)����,具體包括流量分析子模塊131、協(xié)議分析子模塊132��、告警分析子模塊133和查詢分析子模塊134�。流量分析子模塊131用于分析抓取的數(shù)據(jù)包的大小,并計算出數(shù)據(jù)包的流量���。通過將抓取的數(shù)據(jù)包進行分析��,能夠得到數(shù)據(jù)包的大小信息���,然后通過數(shù)據(jù)庫統(tǒng)計出數(shù)據(jù)包的流量。流量分析的目的是為了分析監(jiān)測網(wǎng)絡(luò)當(dāng)中流量的分布情況�����,通過分析網(wǎng)絡(luò)當(dāng)中的流量分布情況能夠靈活的對網(wǎng)絡(luò)做出預(yù)測��,同時也能夠保障系統(tǒng)自身的有效運行��。協(xié)議分析子模塊132用于分析抓取的數(shù)據(jù)包的協(xié)議類型��,并判斷出協(xié)議類型不符合協(xié)議規(guī)則的數(shù)據(jù)包。對抓取數(shù)據(jù)包分析可以解析出每個數(shù)據(jù)包的協(xié)議類型���,每種數(shù)據(jù)包都有自己獨特的協(xié)議類型和內(nèi)容����,分別用不同的字段進行表示�。通過對數(shù)據(jù)包協(xié)議的判定,可以對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進行有效的安全監(jiān)控�����,當(dāng)發(fā)現(xiàn)有不符合協(xié)議規(guī)則的數(shù)據(jù)包時�����,能夠有效的做出判斷�����,保障系統(tǒng)的安全性��。告警分析子模塊133用于根據(jù)遠程配置策略對流量��、協(xié)議和內(nèi)容進行分析,如果符合告警規(guī)則進行告警記錄并上報����。根據(jù)遠程配置策略����,對流量、協(xié)議和內(nèi)容進行分析時�,如果發(fā)現(xiàn)數(shù)據(jù)符合配置信息中的告警策略,則進行記錄和上報�����。查詢分析子模塊134用于根據(jù)監(jiān)控中心下發(fā)的控制指令進行查詢�����,將符合條件的數(shù)據(jù)導(dǎo)出到指定位置�����。根據(jù)監(jiān)控中心根據(jù)策略分析結(jié)果下達的控制指令以及管理員通過監(jiān)控中心下發(fā)的操作指令�,將符合條件的暫存信息(原始流量數(shù)據(jù))通過網(wǎng)絡(luò)接口、web接口或文件接口等方式導(dǎo)出到指定位置����。策略模塊14用于接收匯聚節(jié)點轉(zhuǎn)發(fā)的配置信息����,并實施相應(yīng)的策略�、控制其它模塊的行為。策略模塊14負責(zé)接收監(jiān)控中心下達的且經(jīng)過匯聚節(jié)點轉(zhuǎn)達的配置信息�����,并實施相應(yīng)的策略和控制行為��,即控制其他模塊的行為����,因此主要有以下功能:系統(tǒng)配置信息:系統(tǒng)名稱、安全口令�、網(wǎng)絡(luò)地址和存儲位置等,以及心跳規(guī)則等����;抓包和存儲規(guī)則:包括存儲何種數(shù)據(jù)包,放棄何種數(shù)據(jù)包�;分析規(guī)則:例如數(shù)據(jù)分析的粒度和協(xié)議內(nèi)容、關(guān)鍵字等�����,以及數(shù)據(jù)上傳規(guī)則,數(shù)據(jù)導(dǎo)出規(guī)則等�;告警規(guī)則:何種情況下告警,告警時觸發(fā)何種行為�。匯聚節(jié)點的模塊架構(gòu)如圖6所示����,匯聚節(jié)點的主要作用在于實現(xiàn)分級化的系統(tǒng)控制,從而減少設(shè)備定位和管理上的開銷����,減少數(shù)據(jù)上報和策略下發(fā)時的開銷,匯聚節(jié)點具體包括:監(jiān)聽管理模塊21���、上行數(shù)據(jù)處理模塊22��、下行策略處理模塊23和系統(tǒng)配置模塊24�。監(jiān)聽管理模塊21用于接收監(jiān)聽節(jié)點向匯聚節(jié)點的注冊��,還用于接收監(jiān)聽節(jié)點的心跳信息�����,當(dāng)一段時間沒有接收到心跳信息時向監(jiān)控中心匯報監(jiān)聽節(jié)點的異常信息,請求更新配置信息���。上行數(shù)據(jù)處理模塊22用于對監(jiān)聽節(jié)點上傳的原始數(shù)據(jù)和分析結(jié)果進行壓縮���、轉(zhuǎn)換,再進行數(shù)據(jù)化格式處理���,同時為了提高系統(tǒng)的可靠性和有效性�,在匯聚節(jié)點設(shè)置有緩存�,將處理后的數(shù)據(jù)進行緩存,緩存后的數(shù)據(jù)再上傳給監(jiān)控中心��。當(dāng)監(jiān)聽的網(wǎng)段的數(shù)據(jù)量太大以至存儲和解析速度跟不上抓包速度時候�����,可以將數(shù)據(jù)暫時存儲在匯聚節(jié)點的緩存中�,等待網(wǎng)絡(luò)相對空閑時,再將緩存中的數(shù)據(jù)存儲到數(shù)據(jù)庫中�。當(dāng)緩存區(qū)內(nèi)不夠存放數(shù)據(jù)包時候,自動丟棄數(shù)據(jù)包����。
下行策略處理模塊23用于對監(jiān)控中心下發(fā)的策略和控制指令的目的地址進行解析�,并轉(zhuǎn)發(fā)給與目的地址相應(yīng)的監(jiān)聽節(jié)點���。系統(tǒng)配置模塊24從監(jiān)控中心接收配置信息�����,將對監(jiān)聽節(jié)點的配置信息轉(zhuǎn)發(fā)給相應(yīng)的監(jiān)聽節(jié)點���,并向監(jiān)控中心上報自身的狀態(tài)信息��。監(jiān)控中心的模塊架構(gòu)如圖7所示����,分成能力層和操作層兩層,其中能力層負責(zé)提供存儲以及計算能力(分析�����、檢索和數(shù)據(jù)挖掘等)�����,包括分析檢索模塊31�����、云存儲模塊32 ;操作層負責(zé)進行抓包、存儲��、分析和通信等策略的配置���,監(jiān)控當(dāng)前網(wǎng)絡(luò)狀態(tài)和接收通知報告(告警信息和匯總報告)�,包括策略制定模塊33�����、報表導(dǎo)出模塊34和通知報告模塊35,監(jiān)控中心還包括參數(shù)配置模塊36��。其中����,分析檢索模塊31用于對數(shù)據(jù)進行實時查詢和精確分析。分析檢索模塊31采取HBASE�、Map/reduce等開源分布式處理技術(shù),實現(xiàn)對海量數(shù)據(jù)的實時查詢和精確分析�。Map/reduce計算模型可以快速分析處理大量數(shù)據(jù)包,極大地提高分析文件的效率,同時保證文件的完整性��,節(jié)約成本����。實時查詢:通過使用編制查詢條件��,查詢數(shù)據(jù)庫當(dāng)中的特定數(shù)據(jù)信息并以web頁面的方式顯示給管理員��,使得在海量數(shù)據(jù)中����,能夠快速查到符合要求的數(shù)據(jù)����。精確分析:對數(shù)據(jù)進行匯聚、數(shù)據(jù)挖掘和預(yù)測等復(fù)雜分析�,對海量數(shù)據(jù)進行特定的運算���,以得到運算的結(jié)果��。云存儲模塊32用于對從匯聚節(jié)點接收到的數(shù)據(jù)進行匯總���,并保存到數(shù)據(jù)庫中,同時設(shè)置訪問權(quán)限�����,禁止無權(quán)限者的訪問或修改。云存儲模塊32將對超過3個月以上的相關(guān)數(shù)據(jù)進行存儲��,以實現(xiàn)安全取證和審計等操作����。對于告警數(shù)據(jù)和滿足取證策略的原始數(shù)據(jù),云存儲模塊32經(jīng)由匯聚節(jié)點從監(jiān)聽節(jié)點獲取原始證據(jù)數(shù)據(jù)���,進行安全存儲�,并設(shè)置訪問權(quán)限�����,禁止無權(quán)限者訪問或修改�。云存儲模塊32采用“一次寫入,多次讀取”的存儲策略��,數(shù)據(jù)一旦寫入�,則不能被修改,只能供讀取�����,以滿足取證和審計等需求。云存儲模塊33的主要作用是分布式存儲對抓取的數(shù)據(jù)包經(jīng)過解析后的文件以及通過分析子模塊之后保存到數(shù)據(jù)庫中的文件���。解析后的數(shù)據(jù)文件保存到開源云計算平臺分布式文件系統(tǒng)HDFS或其它類似系統(tǒng)中����。經(jīng)過分析后的數(shù)據(jù)信息保存到分布式����、面向列的開源數(shù)據(jù)庫HBASE或其它類似系統(tǒng)中,以便實現(xiàn)快速檢索和擴展���。云存儲模塊33具有可擴展性���,利用了 HDFS等分布式存儲開源軟件的特性,通過在監(jiān)控中心并行增加存儲硬件設(shè)備實現(xiàn)擴展����。策略制定模塊33用于根據(jù)分析結(jié)果制定監(jiān)聽節(jié)點�、匯聚節(jié)點和監(jiān)控中心的抓包策略、存儲策略和分析策略����。策略制定模塊33按照管理員制定的管理策略,對系統(tǒng)的分析結(jié)果做出相應(yīng)的應(yīng)對操作并發(fā)出操作指令����,結(jié)果以xml (可擴展標(biāo)記語言)文件形式提供給管理員。策略定制內(nèi)容包括對監(jiān)聽節(jié)點、匯聚節(jié)點和監(jiān)控中心本身的各種抓包策略����、存儲策略和分析策略等進行定制,管理員將策略定制好之后�,下達給各個目標(biāo)設(shè)備,各目標(biāo)設(shè)備才能進行正常工作�����。報表導(dǎo)出模塊34用于將監(jiān)聽節(jié)點和匯聚節(jié)點上傳的數(shù)據(jù)和分析結(jié)果整合成報表并導(dǎo)出���。報表導(dǎo)出模塊34的主要功能是將監(jiān)聽節(jié)點和匯聚節(jié)點中的數(shù)據(jù)信息以及功能模塊中分析的結(jié)果整合成報表的形式�����,報表可以以html文件格式讓管理員在web界面中瀏覽���,也可以通過PDF文件格式的方式讓管理員選擇性的導(dǎo)出查看。通知報告模塊35用于當(dāng)系統(tǒng)中出現(xiàn)故障或警告時進行提示����。通知報告主要包括各個功能模塊的故障�、安全告警等�����,其中的故障主要包括參數(shù)配置出現(xiàn)的故障��、功能模塊中出現(xiàn)的運行故障���、管理員的不當(dāng)操作導(dǎo)致的故障以及管理模塊中出現(xiàn)的故障等���。通知報告采用分級處理的方式,高優(yōu)先級的通知直接通過短信郵件��、系統(tǒng)彈出窗口等方式出現(xiàn)����,低優(yōu)先級通知則只會集中在警告文件中,管理員可以通過查看相關(guān)的文件來查詢���。參數(shù)配置模塊36用于對系統(tǒng)的參數(shù)進行配置�����,其中包括設(shè)置監(jiān)聽節(jié)點的網(wǎng)絡(luò)接口為混雜模式�,抓取數(shù)據(jù)包采用異步抓取方式�,還包括監(jiān)聽節(jié)點暫存數(shù)據(jù)時的存儲空間的
容量閾值。其中參數(shù)包括系統(tǒng)運行基本參數(shù)和屬性���、日志格式��、監(jiān)聽節(jié)點屬性����、匯聚節(jié)點屬性���、分析方法與時間參數(shù)����、存儲屬性���、報警過程參數(shù)�����、進程通信屬性��、視圖顯示屬性���、網(wǎng)絡(luò)代理屬性�、服務(wù)等級屬性��。參數(shù)配置的好壞將影響整個系統(tǒng)的運行�,因此系統(tǒng)有默認(rèn)的參數(shù)配置以及保證系統(tǒng)正常工作的參數(shù)范圍,方便管理員的配置與操作�。通過使用上述系統(tǒng),提供多節(jié)點監(jiān)聽��、集中管理��、基于云計算環(huán)境下的全信息安全取證分布式監(jiān)聽方案�����,在采用云存儲技術(shù)具有大容量��、高性能����、高可用性和高效管理,實現(xiàn)了文件存儲��、時間同步、實時全方位備份���、支持分布式存儲和網(wǎng)絡(luò)存儲的功能。本發(fā)明確保監(jiān)聽方案從全局出發(fā)��,實現(xiàn)了統(tǒng)一管理及全面分析網(wǎng)絡(luò)安全狀態(tài)等功能�。根據(jù)實際的網(wǎng)絡(luò)拓撲需求提供靈活部署方案,依據(jù)網(wǎng)絡(luò)大小和需求��,進行靈活部署�,實現(xiàn)內(nèi)網(wǎng)擴展,通過控制中心進行相關(guān)查詢和操作��,從而靈活地�����、全局性地實現(xiàn)計算機網(wǎng)絡(luò)安全策略的控制��。以上實施方式僅用于說明本發(fā)明��,而并非對本發(fā)明的限制�,有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員,在不脫離本發(fā)明的精神和范圍的情況下�,還可以做出各種變化和變型�����,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇�,本發(fā)明的專利保護范圍應(yīng)由權(quán)利要求限定��。
權(quán)利要求
1.一種基于云計算環(huán)境的全信息安全取證監(jiān)聽方法����,其特征在于,所述方法具體包括以下步驟: 51:基于云計算對整個分布式網(wǎng)絡(luò)進行部署�,包括監(jiān)聽節(jié)點、匯聚節(jié)點和監(jiān)控中心�����,并配置參數(shù)���; 52:所述監(jiān)聽節(jié)點抓取網(wǎng)絡(luò)交換設(shè)備中的數(shù)據(jù)包獲取原始數(shù)據(jù)�����,對所述原始數(shù)據(jù)進行暫存和實時分析�,并根據(jù)控制指令將所述原始數(shù)據(jù)和實時分析得到的分析結(jié)果上傳給所述匯聚節(jié)點��; 53:所述匯聚節(jié)點對所述原始數(shù)據(jù)和所述分析結(jié)果進行壓縮、轉(zhuǎn)換和緩存����,上傳給所述監(jiān)控中心; S4:所述監(jiān)控中心對從所述匯聚節(jié)點接收到的數(shù)據(jù)進行匯總��、云存儲和分析���,形成監(jiān)聽報表,并根據(jù)所述監(jiān)聽報表得出安全策略�����。
2.如權(quán)利要求1所述的方法���,其特征在于�����,所述步驟SI中基于云計算對整個分布式網(wǎng)絡(luò)進行部署具體是進行分網(wǎng)段的部署���,將整個網(wǎng)絡(luò)分成多個網(wǎng)段,每個網(wǎng)段內(nèi)設(shè)置多個監(jiān)聽節(jié)點���; 所述監(jiān)聽節(jié)點的網(wǎng)絡(luò)接口采用混雜模式�����,對網(wǎng)段內(nèi)的數(shù)據(jù)包采取異步抓包進行抓?����?; 所述監(jiān)控中心包括多個匯聚節(jié)點,隸屬于所述監(jiān)控中心的匯聚節(jié)點向所述監(jiān)控中心進行注冊���,并通過所述匯聚節(jié)點獲取所述監(jiān)控中心發(fā)布的對匯聚節(jié)點的配置信息���; 所述匯聚節(jié)點包括多個監(jiān)聽節(jié)點,屬于所述匯聚節(jié)點的監(jiān)聽節(jié)點向所述匯聚節(jié)點進行注冊�,所述匯聚節(jié)點接收監(jiān)聽節(jié)點的注冊后將每個注冊的監(jiān)聽節(jié)點的地址信息反饋給所述監(jiān)控中心,并獲取所述監(jiān)控中心發(fā)布的對監(jiān)聽節(jié)點的配置信息�����。
3.如權(quán)利要求 1所述的方法���,其特征在于�����,所述步驟S2中對所述原始數(shù)據(jù)進行暫存具體包括:判斷存儲空間的容量是否達到容量閾值���,如果達到則發(fā)出提醒或自動刪除存儲時間最早的原始數(shù)據(jù)��,否則進行循環(huán)存儲�����。
4.如權(quán)利要求1所述的方法,其特征在于�����,所述步驟S2中對所述原始數(shù)據(jù)進行實時分析具體包括:流量分析�����、協(xié)議分析�、告警分析和查詢分析。
5.如權(quán)利要求1所述的方法��,其特征在于,所述步驟S2中上傳給所述匯聚節(jié)點的原始數(shù)據(jù)就是暫存在所述監(jiān)聽節(jié)點的數(shù)據(jù)�����,上傳給所述匯聚節(jié)點的分析結(jié)果通過暫存再進行上傳�。
6.如權(quán)利要求1所述的方法,其特征在于���,所述步驟S3中所述匯聚節(jié)點對接收的數(shù)據(jù)進行壓縮和轉(zhuǎn)換��,再進行數(shù)據(jù)化格式處理�,并將處理后的數(shù)據(jù)進行緩存���,緩存后的數(shù)據(jù)上傳給所述監(jiān)控中心���,當(dāng)所述監(jiān)控中心的存儲和解析速度小于所述監(jiān)聽節(jié)點的抓包速度時,所述匯聚節(jié)點對數(shù)據(jù)進行本地緩存���,直到網(wǎng)絡(luò)有空閑時才將緩存的數(shù)據(jù)存儲到數(shù)據(jù)庫中��。
7.如權(quán)利要求1所述的方法�,其特征在于����,所述步驟S4中對數(shù)據(jù)的云存儲的同時設(shè)置訪問權(quán)限���,禁止無權(quán)限者的訪問或修改; 對數(shù)據(jù)的分析具體包括對數(shù)據(jù)的實時查詢和精確分析����。
8.一種基于云計算環(huán)境的全信息安全取證監(jiān)聽系統(tǒng),其特征在于��,所述系統(tǒng)包括:監(jiān)聽節(jié)點��、匯聚節(jié)點和監(jiān)控中心����; 其中所述監(jiān)聽節(jié)點包括抓包模塊��、暫存模塊��、實時分析模塊和策略模塊���; 所述匯聚節(jié)點包括監(jiān)聽管理模塊���、上行數(shù)據(jù)處理模塊、下行策略處理模塊和系統(tǒng)配置模塊; 所述監(jiān)控中心包括分析檢索模塊�����、云存儲模塊�����、策略制定模塊��、報表導(dǎo)出模塊�、通知報告模塊和參數(shù)配置模塊; 所述系統(tǒng)還包括通信模塊�����,用于所述監(jiān)聽節(jié)點與所述匯聚節(jié)點的通信�����、所述匯聚節(jié)點與所述監(jiān)控中心的通信和所述監(jiān)控中心與云計算平臺的通信�。
9.如權(quán)利要求8所述的系統(tǒng),其特征在于����,所述抓包模塊用于抓取網(wǎng)絡(luò)交換設(shè)備中的網(wǎng)絡(luò)數(shù)據(jù)包���,獲取原始數(shù)據(jù); 所述暫存模塊用于對所述原始數(shù)據(jù)和所述實時分析模塊分析后的分析結(jié)果進行暫存��; 所述實時分析模塊用于對所述原始數(shù)據(jù)進行實時分析��,得到分析結(jié)果�����; 所述策略模塊用于接收所述匯聚節(jié)點轉(zhuǎn)發(fā)的配置信息��,并實施相應(yīng)的策略����、控制其它模塊的行為。
10.如權(quán)利要求9所述的系統(tǒng)����,其特征在于����,所述暫存模塊具體包括判斷模塊、循環(huán)存儲模塊和刪除模塊�����; 所述判斷模塊用于判斷存儲空間的容量是否達到容量閾值,如果達到則進入所述通知報告模塊或所述刪除模塊�����,否則進入所述循環(huán)存儲模塊����; 所述刪除模塊用于根據(jù)接收到的所述通知報告模塊發(fā)出的控制指令進行刪除或自動刪除存儲時間最早的原始數(shù)據(jù); 所述循環(huán)存儲模塊用于存儲所述原始數(shù) 據(jù)�����,并記錄存儲時間�����。
11.如權(quán)利要求9所述的系統(tǒng)����,其特征在于,所述實時分析模塊具體包括流量分析子模塊���、協(xié)議分析子模塊����、告警分析子模塊和查詢分析子模塊; 其中所述流量分析子模塊用于分析抓取的數(shù)據(jù)包的大小����,并計算出數(shù)據(jù)包的流量;所述協(xié)議分析子模塊用于分析抓取的數(shù)據(jù)包的協(xié)議類型��,并判斷出所述協(xié)議類型不符合協(xié)議規(guī)則的數(shù)據(jù)包����; 所述告警分析子模塊用于根據(jù)遠程配置策略對流量、協(xié)議和內(nèi)容進行分析�����,如果符合告警規(guī)則進行告警記錄并上報�����; 所述查詢分析子模塊用于根據(jù)所述監(jiān)控中心下發(fā)的控制指令進行查詢�����,將符合條件的數(shù)據(jù)導(dǎo)出到指定位置��。
12.如權(quán)利要求8所述的系統(tǒng)��,其特征在于�,所述監(jiān)聽管理模塊用于接收所述監(jiān)聽節(jié)點向所述匯聚節(jié)點的注冊,還用于接收所述監(jiān)聽節(jié)點的心跳信息�����,當(dāng)一段時間沒有接收到所述心跳信息時向所述監(jiān)控中心匯報監(jiān)聽節(jié)點的異常信息�,請求更新配置信息; 所述上行數(shù)據(jù)處理模塊用于對所述監(jiān)聽節(jié)點上傳的原始數(shù)據(jù)和分析結(jié)果進行壓縮���、轉(zhuǎn)換����,再進行數(shù)據(jù)化格式處理���,并將處理后的數(shù)據(jù)進行緩存����,緩存后的數(shù)據(jù)上傳給所述監(jiān)控中心�����; 所述下行策略處理模塊用于對所述監(jiān)控中心下發(fā)的策略和控制指令的目的地址進行解析,并轉(zhuǎn)發(fā)給與所述目的地址相應(yīng)的監(jiān)聽節(jié)點�; 所述系統(tǒng)配置模塊從所述監(jiān)控中心接收配置信息,將對所述監(jiān)聽節(jié)點的配置信息轉(zhuǎn)發(fā)給相應(yīng)的監(jiān)聽節(jié)點���,并向所述監(jiān)控中心上報自身的狀態(tài)信息�����。
13.如權(quán)利要求8所述的系統(tǒng)�����,其特征在于����,所述云存儲模塊用于對從所述匯聚節(jié)點接收到的數(shù)據(jù)進行匯總����,并保存到數(shù)據(jù)庫中,同時設(shè)置訪問權(quán)限�����,禁止無權(quán)限者的訪問或修改; 所述分析檢索模塊用于對數(shù)據(jù)進行實時查詢和精確分析�����; 所述策略制定模塊用于根據(jù)所述分析結(jié)果制定所述監(jiān)聽節(jié)點����、所述匯聚節(jié)點和所述監(jiān)控中心的抓包策略����、存儲策略和分析策略; 所述報表導(dǎo)出模塊用于將所述監(jiān)聽節(jié)點和所述匯聚節(jié)點上傳的數(shù)據(jù)和分析結(jié)果整合成報表并導(dǎo)出��; 所述通知報告模塊用于當(dāng)系統(tǒng)中出現(xiàn)故障或警告時進行提示�; 所述參數(shù)配置模塊用于對系統(tǒng)的參數(shù)進行配置,其中包括設(shè)置所述監(jiān)聽節(jié)點的網(wǎng)絡(luò)接口為混雜模式�����,抓取數(shù)據(jù)包采用異步抓取方式���, 還包括所述監(jiān)聽節(jié)點暫存數(shù)據(jù)時的存儲空間的容量閾值�����。
全文摘要
本發(fā)明公開了一種基于云計算環(huán)境的全信息安全取證監(jiān)聽方法和系統(tǒng)�����,基于云計算對整個分布式網(wǎng)絡(luò)進行部署�����,包括監(jiān)聽節(jié)點���、匯聚節(jié)點和監(jiān)控中心�,并配置參數(shù)�����;監(jiān)聽節(jié)點抓取網(wǎng)絡(luò)交換設(shè)備中的數(shù)據(jù)包獲取原始數(shù)據(jù)�,進行暫存和實時分析,并根據(jù)控制指令將原始數(shù)據(jù)和實時分析得到的分析結(jié)果上傳給匯聚節(jié)點�;匯聚節(jié)點對原始數(shù)據(jù)和分析結(jié)果進行壓縮、轉(zhuǎn)換和緩存��,上傳給監(jiān)控中心��;監(jiān)控中心對從匯聚節(jié)點接收到的數(shù)據(jù)進行匯總����、云存儲和分析���,形成監(jiān)聽報表,并根據(jù)監(jiān)聽報表得出安全策略��。本發(fā)明根據(jù)實際的網(wǎng)絡(luò)拓撲需求和網(wǎng)絡(luò)大小提供靈活部署方案�����,實現(xiàn)內(nèi)網(wǎng)擴展��,通過監(jiān)控中心進行相關(guān)查詢和操作���,從而靈活地、全局性地實現(xiàn)計算機網(wǎng)絡(luò)安全策略的控制�����。
文檔編號H04L29/08GK103152352SQ20131008423
公開日2013年6月12日 申請日期2013年3月15日 優(yōu)先權(quán)日2013年3月15日
發(fā)明者劉剛, 侯賓 申請人:北京郵電大學(xué)