專利名稱:網(wǎng)絡(luò)違法行為偵知監(jiān)控追蹤取證應(yīng)急反應(yīng)系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于廣泛監(jiān)控并制止不同計算機(jī)網(wǎng)絡(luò)間非授權(quán)的網(wǎng)絡(luò)通信和非正常的訪問嘗試的安全系統(tǒng)及方法�����。特別是監(jiān)控并制止一個專用的計算機(jī)網(wǎng)絡(luò)受來自公用網(wǎng)絡(luò)的非法訪問的安全系統(tǒng)及方法��。
近來���,網(wǎng)絡(luò)和網(wǎng)絡(luò)技術(shù)的普及已經(jīng)使得越來越多的敏感信息在與公用網(wǎng)絡(luò)連接的計算機(jī)系統(tǒng)中存儲和處理����,這些敏感信息包括個人隱私��、商務(wù)數(shù)據(jù)�、機(jī)密文件、重要指令等���。如何保護(hù)這些信息不被未經(jīng)授權(quán)的外界互聯(lián)網(wǎng)用戶利用網(wǎng)絡(luò)存在的缺陷非法獲取�����、破壞����,如何保護(hù)專用計算機(jī)網(wǎng)絡(luò)系統(tǒng)不被外界互聯(lián)網(wǎng)用戶非法進(jìn)入��,已經(jīng)成為一個重大挑戰(zhàn)�����。如何在專用計算機(jī)網(wǎng)絡(luò)受到外來入侵和攻擊時迅速發(fā)現(xiàn)并制止����,以減少損失,也是網(wǎng)絡(luò)安全防護(hù)的重要課題�。
目前用于保護(hù)網(wǎng)絡(luò)安全的產(chǎn)品主要包括防火墻、入侵檢測系統(tǒng)(IDS)等���。這些網(wǎng)絡(luò)安全防護(hù)產(chǎn)品在用來保護(hù)網(wǎng)絡(luò)安全的過程中仍有一些缺點(diǎn)����,表現(xiàn)在1.單一網(wǎng)絡(luò)安全產(chǎn)品防護(hù)技術(shù)單一�����,不同網(wǎng)絡(luò)安全產(chǎn)品產(chǎn)生的信息不能進(jìn)行綜合�����。
2.缺乏對人工參與的支持?���,F(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品主要通過正確安裝配置后,網(wǎng)絡(luò)安全產(chǎn)品的軟件或者固化在硬件內(nèi)的程序偵知和阻隔網(wǎng)絡(luò)違法行為提供網(wǎng)絡(luò)安全防護(hù)��。網(wǎng)絡(luò)安全產(chǎn)品偵知和對抗網(wǎng)絡(luò)入侵事件時一般不支持人工參與����,很少通過實時人機(jī)配合的方式對網(wǎng)絡(luò)提供安全防護(hù)����。
3.第三方無法獲得產(chǎn)生的相關(guān)信息?����,F(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品偵知網(wǎng)絡(luò)違法行為后將產(chǎn)生相關(guān)信息�,如日志,但這些信息的產(chǎn)生和保存都在用戶使用的產(chǎn)品上進(jìn)行���,用戶可以進(jìn)行查閱�����,但是與第三方(如政府部門)相關(guān)系統(tǒng)之間沒有聯(lián)系����,不能作為證據(jù)����。
4.沒有追蹤功能。現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品偵知網(wǎng)絡(luò)違法行為時����,可以從相關(guān)數(shù)據(jù)包的中獲知來源地址。但是現(xiàn)在的網(wǎng)絡(luò)犯罪分子經(jīng)常對自己的地址進(jìn)行偽裝�����,或者通過代理服務(wù)器或者已經(jīng)被控制的服務(wù)器進(jìn)行中轉(zhuǎn)�����,隱藏自己的真實網(wǎng)絡(luò)地址�����。如果網(wǎng)絡(luò)攻擊者從其他服務(wù)器進(jìn)行中轉(zhuǎn)�����,數(shù)據(jù)包中的來源地址就是中轉(zhuǎn)服務(wù)器地址�,不是攻擊者的初始網(wǎng)絡(luò)地址,無法追蹤攻擊者(如圖一)�。
5.信息來源不廣泛。現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品只對本地信息進(jìn)行分析��,不能綜合其他相關(guān)網(wǎng)絡(luò)中網(wǎng)絡(luò)安全產(chǎn)品產(chǎn)生的數(shù)據(jù)進(jìn)行分析���,也不能引入其他系統(tǒng)的有關(guān)信息進(jìn)行分析�。進(jìn)一步?jīng)Q定了現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品無法對網(wǎng)絡(luò)違法行為的真正來源進(jìn)行有效追蹤和分析。例如現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品不支持引入ISP的有關(guān)記錄信息���,從而不能將撥號上網(wǎng)的網(wǎng)絡(luò)違法行為與撥號使用者直接聯(lián)系起來����。
6.對于單一用戶來說���,使用現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品的用戶數(shù)量增加并不能使其網(wǎng)絡(luò)得到更好的保護(hù)���,因為現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品只依靠單一產(chǎn)品本身。
本發(fā)明的目的是提供一種安全系統(tǒng)及方法���,可以隨時將一個或多個專用計算機(jī)網(wǎng)絡(luò)內(nèi)的多個相同或不同網(wǎng)絡(luò)安全產(chǎn)生的信息進(jìn)行收集處理���,在一個中心及時的綜合顯示這個或這些專用計算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全狀態(tài),通過該安全系統(tǒng)對這些網(wǎng)絡(luò)安全產(chǎn)品實現(xiàn)遠(yuǎn)程監(jiān)控�����。
本發(fā)明的另一個目的是提供一種安全系統(tǒng)及方法����,其用來檢測網(wǎng)絡(luò)入侵和提供防護(hù)的主要組成單元可以是能從多來源得到的一般的網(wǎng)絡(luò)安全產(chǎn)品�,而無須采用高成本的特殊網(wǎng)絡(luò)安全產(chǎn)品���。
本發(fā)明的另一個目的是提供一種安全系統(tǒng)及方法�,在系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全產(chǎn)品檢測和防止網(wǎng)絡(luò)入侵時���,有關(guān)技術(shù)人員可以利用本安全系統(tǒng)進(jìn)行人工參與。
本發(fā)明的另一個目的是提供一種安全系統(tǒng)及方法����,系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全產(chǎn)品產(chǎn)生的信息可以有選擇的部分或者無選擇的全部向第三方實時或非實時的進(jìn)行傳遞。
本發(fā)明的另一個目的是提供一種安全系統(tǒng)及方法���,可以隨時查詢該系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全產(chǎn)品所處的狀態(tài)�����,如��;正常工作�、無應(yīng)答�、報警等����。
本發(fā)明的另一個目的是提供一種安全系統(tǒng)及方法�����,該安全系統(tǒng)可以利用系統(tǒng)獲得的和存儲的信息進(jìn)行計算���,嘗試獲得網(wǎng)絡(luò)攻擊的初始網(wǎng)絡(luò)來源�。
本發(fā)明的另一個目的是提供一種安全系統(tǒng)及方法��,該安全系統(tǒng)可以作為技術(shù)平臺����,當(dāng)技術(shù)人員追查網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)來源時提供數(shù)據(jù)和計算等方面的支持。
本發(fā)明的另一個目的是提供一種安全系統(tǒng)及方法�,該安全系統(tǒng)不僅可以收集處理網(wǎng)絡(luò)安全產(chǎn)品產(chǎn)生的信息,而且可以利用其他非網(wǎng)絡(luò)來源的不同性質(zhì)的信息�����,提高該系統(tǒng)的性能�。
本發(fā)明的另一個目的是提供一種安全系統(tǒng)及方法,該安全系統(tǒng)可以利用其收集的信息進(jìn)行自學(xué)習(xí)���,發(fā)現(xiàn)新的網(wǎng)絡(luò)攻擊模式或新的網(wǎng)絡(luò)漏洞�����。
本發(fā)明的另一個目的是提供一種安全系統(tǒng)及方法���,該安全系統(tǒng)在處理一個專用計算機(jī)網(wǎng)絡(luò)的非法入侵事件時�,如果涉及該系統(tǒng)監(jiān)控的其他專用計算機(jī)網(wǎng)絡(luò)�,該系統(tǒng)可以自動采集其他相關(guān)專用計算機(jī)網(wǎng)絡(luò)的信息���,輔助分析處理��。
本發(fā)明所述的網(wǎng)絡(luò)違法行為偵知監(jiān)控追蹤取證應(yīng)急反應(yīng)系統(tǒng)由客戶端和網(wǎng)絡(luò)安全監(jiān)控中心設(shè)備組成��;其特征在于所述客戶端由依次串接的客戶端安全設(shè)備����、客戶端信息轉(zhuǎn)換設(shè)備和客戶端信息傳輸設(shè)備組成��;所述客戶端安全設(shè)備為可以產(chǎn)生與網(wǎng)絡(luò)狀況���、網(wǎng)絡(luò)傳輸內(nèi)容有關(guān)的信息的軟硬件產(chǎn)品或模塊�����,其產(chǎn)生的對安全系統(tǒng)有用的信息被客戶端信息轉(zhuǎn)換設(shè)備采集處理���,將網(wǎng)絡(luò)安全相關(guān)信息轉(zhuǎn)換成網(wǎng)絡(luò)安全監(jiān)控中心可以識別的統(tǒng)一格式���,再送客戶端信息傳輸設(shè)備,所述客戶端信息傳輸設(shè)備為雙向傳送��,可向所述網(wǎng)絡(luò)安全監(jiān)控中心設(shè)備提供安全系統(tǒng)有用的信息和接收反控信息��;所述網(wǎng)絡(luò)安全監(jiān)控中心設(shè)備包括中心信息傳輸設(shè)備���、中心操作平臺設(shè)備����、信息存儲設(shè)備����、信息分析設(shè)備和人工支持設(shè)備;所述中心操作平臺包括標(biāo)準(zhǔn)計算機(jī)�、顯示設(shè)備,并且通過中心信息傳輸設(shè)備與各用戶端相連接,同時與信息存儲設(shè)備�����、信息分析設(shè)備和人工支持設(shè)備相連接�����;所述中心信息傳輸設(shè)備可與其他區(qū)域中心設(shè)備或其他相關(guān)系統(tǒng)建立VPN通道或其他加密傳輸通道�;所述信息分析設(shè)備由標(biāo)準(zhǔn)計算機(jī)設(shè)備構(gòu)成;所述人工支持設(shè)備是供中心操作平臺設(shè)備訪問資料存儲庫存系統(tǒng)��。
如上所述的系統(tǒng)���,其特征在于客戶端中�����,可以一個客戶端信息轉(zhuǎn)換設(shè)備采集處理多個客戶端安全設(shè)備產(chǎn)生的信息,也可以是每一個客戶端安全設(shè)備有一個客戶端信息轉(zhuǎn)換設(shè)備負(fù)責(zé)采集處理����;一個客戶端信息傳輸設(shè)備可以負(fù)責(zé)一個或多個客戶端信息轉(zhuǎn)換設(shè)備與網(wǎng)絡(luò)安全監(jiān)控中心之間的加密傳輸。
如上所述的系統(tǒng)���,其特征在于網(wǎng)絡(luò)安全監(jiān)控中心可以是由總中心和多個下屬分中心連接組成分級中心結(jié)構(gòu)��,也可是多個平級的總中心或多級中心連接結(jié)構(gòu)�。
本發(fā)明所述網(wǎng)絡(luò)違法行為偵知監(jiān)控追蹤取證應(yīng)急反應(yīng)方法,其特征在于利用現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品收集客戶端網(wǎng)絡(luò)安全發(fā)生事件的各種要素��;對所收集的不同格式的信息進(jìn)行自動識別并生成標(biāo)準(zhǔn)格式的信息�,在客戶端信息傳輸設(shè)備與網(wǎng)絡(luò)安全監(jiān)控中心相應(yīng)設(shè)備之間建立VPN通道或其他加密傳輸通道,保證網(wǎng)絡(luò)安全監(jiān)控中心下傳給客戶端安全設(shè)備的反控指令和客戶端信息轉(zhuǎn)換設(shè)備上傳給網(wǎng)絡(luò)安全監(jiān)控中心的采集處理的信息在傳輸過程中不被第三方非法獲取或篡改�;所述反控信息包括反控指令、設(shè)備升級更新程序和查詢指令��;網(wǎng)絡(luò)安全監(jiān)控中心可以與其他相關(guān)系統(tǒng)建立加密傳輸通道�����,并且可存儲傳入的信息����;該中心進(jìn)行整個監(jiān)控區(qū)域的調(diào)控和重要數(shù)據(jù)備份與處理。所述監(jiān)控中心可以是多個分級式或平級式管理模式�����;所述信息在存儲前將進(jìn)行分級和加密��,并設(shè)定保留時限及到期處理方式。
本發(fā)明利用各種技術(shù)手段偵知網(wǎng)絡(luò)違法行為�����,使網(wǎng)絡(luò)由單點(diǎn)防護(hù)發(fā)展到系統(tǒng)防護(hù)����,具體地說,本發(fā)明可實現(xiàn)如下效果1.使用全面的技術(shù)手段偵知網(wǎng)絡(luò)違法行為并進(jìn)行防護(hù)�。采用多種網(wǎng)絡(luò)安全產(chǎn)品,如防火墻�����、IDS��。利用客戶端程序采集這些網(wǎng)絡(luò)安全產(chǎn)品的日志��、報警信息和原始數(shù)據(jù)包等相關(guān)信息�,轉(zhuǎn)換成統(tǒng)一格式,與監(jiān)控應(yīng)急中心建立加密通道后傳遞到所屬監(jiān)控應(yīng)急中心�。在建立加密通道時還需要通過預(yù)置電子證書或者密碼對等方式進(jìn)行身份認(rèn)證���。
2.能充分支持人工輔助處理���,人工輔助是本體系的重要組成分����,計算機(jī)與人工有機(jī)結(jié)合可以有效提高網(wǎng)絡(luò)違法行為識別率���,進(jìn)行及時有效地處理���。與人工結(jié)合的方式包括系統(tǒng)對采集的數(shù)據(jù)進(jìn)行初步分析發(fā)出報警后,人工進(jìn)行再次分析����,減少誤報,提高準(zhǔn)確性����;包括對確認(rèn)的網(wǎng)絡(luò)違法行為進(jìn)行人工處理,向受到網(wǎng)絡(luò)違法行為損害的用戶提供技術(shù)支持和服務(wù)���。
3.可以進(jìn)行取證���。客戶端自動存儲偵知網(wǎng)絡(luò)違法行為時段的原始數(shù)據(jù)包��,并上傳中心。在必要時可以傳遞給國家有關(guān)機(jī)構(gòu)存檔����,如公安部門、公證部門等�����,事后作為追查攻擊者的依據(jù)和追究責(zé)任的證據(jù)����。
4.可以充分利用能夠獲知的其他信息通過數(shù)據(jù)挖掘和模式匹配分析追蹤網(wǎng)絡(luò)攻擊者的真實網(wǎng)絡(luò)地址。這些信息包括被攻擊用戶客戶端采集到的信息�����,包括其他關(guān)聯(lián)客戶端采集到的信息��,包括第三方提供的信息��。所謂其他關(guān)聯(lián)客戶端是指如果網(wǎng)絡(luò)攻擊者用于中轉(zhuǎn)的服務(wù)器也屬于系統(tǒng)客戶端之一監(jiān)控范圍����,則監(jiān)控該服務(wù)器的客戶端為關(guān)聯(lián)客戶端。所謂第三方包括其他政府部門和網(wǎng)絡(luò)相關(guān)公司���。
5.可以接收存儲多種來源的數(shù)據(jù)信息��,并利用這些數(shù)據(jù)采用數(shù)據(jù)挖掘技術(shù)獲取特定用途的結(jié)果��。所謂多種來源的數(shù)據(jù)信息包括不同網(wǎng)絡(luò)安全產(chǎn)品��、不同網(wǎng)絡(luò)設(shè)備����、網(wǎng)絡(luò)服務(wù)提供商和其他非網(wǎng)絡(luò)途徑采集的信息����,如居民住址、城市地理信息�����、電話號碼登記資料��。
6.在對單點(diǎn)進(jìn)行防護(hù)時�,充分調(diào)動整個系統(tǒng)中的有用信息。
圖面說明
圖1是本發(fā)明的客戶端組成示意圖�。
圖2是本發(fā)明的網(wǎng)絡(luò)安全監(jiān)控中心示意圖。
圖3是本發(fā)明的跳轉(zhuǎn)主機(jī)示意圖���。
圖4是本發(fā)明的整體系統(tǒng)結(jié)構(gòu)示意圖����。
圖5是本發(fā)明的客戶端安全設(shè)備為軟件,與客戶端信息轉(zhuǎn)換設(shè)備安裝在同一臺設(shè)備上的實施例圖���。
圖6是本發(fā)明的客戶端安全設(shè)備為硬件���,不可與客戶端信息轉(zhuǎn)換設(shè)備安裝在同一臺設(shè)備上的實施例圖。
圖7是本發(fā)明的客戶端信息轉(zhuǎn)換設(shè)備與客戶端安全設(shè)備原服務(wù)器的連接示意圖��。
圖8是本發(fā)明所述方法的信息處理流程示意圖�。
圖9是本發(fā)明所述設(shè)備及方法的一種應(yīng)用實施例示意圖。
本發(fā)明的具體結(jié)構(gòu)及方法的實施例說明如下此安全系統(tǒng)包括網(wǎng)絡(luò)安全監(jiān)控中心和客戶端兩部分����。
所謂客戶端安裝在專用計算機(jī)網(wǎng)絡(luò)中,包括客戶端安全設(shè)備��、客戶端信息轉(zhuǎn)換設(shè)備和客戶端信息傳輸設(shè)備�����,如圖1所示。
其中設(shè)備1(客戶端安全設(shè)備)可以是市場上普通的IDS�、防火墻、網(wǎng)絡(luò)傳輸內(nèi)容監(jiān)控軟件和其他可以產(chǎn)生與網(wǎng)絡(luò)狀況��、網(wǎng)絡(luò)傳輸內(nèi)容有關(guān)的信息的軟硬件產(chǎn)品或模塊�����。這些客戶端安全設(shè)備可以獨(dú)立用來對網(wǎng)絡(luò)進(jìn)行一定的保護(hù)��,如偵知網(wǎng)絡(luò)攻擊���、過濾規(guī)則不允許的網(wǎng)絡(luò)傳輸數(shù)據(jù)包、找出網(wǎng)絡(luò)中傳輸?shù)奶囟ㄐ畔?如機(jī)密��、黃色����、非法文字或圖片)。
在本安全系統(tǒng)中使用時不影響這些客戶端安全設(shè)備原有功能的實現(xiàn)�。該設(shè)備提供軟件檢測網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包產(chǎn)生相應(yīng)信息并做出動作。根據(jù)該設(shè)備提供軟件的不同�,可以安裝在專用計算機(jī)網(wǎng)絡(luò)中的不同位置。
設(shè)備1(客戶端安全設(shè)備)也可以是具有某種特殊功能的特別設(shè)備����,其主要特征是可以產(chǎn)生對安全系統(tǒng)有用的信息���,并可以被設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)采集處理。
設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)提供軟件實現(xiàn)兩個功能�,其一是采集設(shè)備1(客戶端安全設(shè)備)產(chǎn)生的與網(wǎng)絡(luò)安全相關(guān)信息,并將網(wǎng)絡(luò)安全相關(guān)信息轉(zhuǎn)換成網(wǎng)絡(luò)安全監(jiān)控中心可以識別的統(tǒng)一格式���,然后交給設(shè)備3(客戶端信息傳輸設(shè)備)傳遞給網(wǎng)絡(luò)安全監(jiān)控中心����。其二是把從設(shè)備3(客戶端信息傳輸設(shè)備)接收的來自網(wǎng)絡(luò)安全監(jiān)控中心的反控信息轉(zhuǎn)換成設(shè)備1(客戶端安全設(shè)備)可以識別的格式���,然后傳遞給設(shè)備1(客戶端安全設(shè)備)��,實現(xiàn)網(wǎng)絡(luò)安全監(jiān)控中心對設(shè)備1(客戶端安全設(shè)備)的反控�。
所謂反控信息包括反控指令��、設(shè)備升級更新程序��、查詢指令等����。
如網(wǎng)絡(luò)安全領(lǐng)域技術(shù)人員所知,現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品一般分單點(diǎn)式和客戶端/服務(wù)器(或稱探頭模塊/控制臺)形式。軟件單點(diǎn)式產(chǎn)品一般安裝在普通計算機(jī)上�����,在產(chǎn)生網(wǎng)絡(luò)安全日志信息后���,該日志信息可以被讀取和分析�。硬件單點(diǎn)式產(chǎn)品使用專門硬件�����,一般有外接控制端口供用戶管理系統(tǒng)����?����?蛻舳?服務(wù)器(或稱探頭模塊/控制臺)式產(chǎn)品的客戶端(探頭模塊)產(chǎn)生的網(wǎng)絡(luò)安全相關(guān)信息可以被實時傳送到服務(wù)器(控制臺)��。該方法使用安裝軟件程序的方式獲取軟件單點(diǎn)式網(wǎng)絡(luò)安全產(chǎn)品產(chǎn)生的信息��,利用外接接口獲取硬件單點(diǎn)式產(chǎn)品的安全信息�����。用模擬服務(wù)器(控制臺)接收并轉(zhuǎn)發(fā)客戶端(探頭模塊)信息或者網(wǎng)絡(luò)監(jiān)聽截取的方式獲取客戶端/服務(wù)器(探頭模塊/控制臺)式產(chǎn)品的安全信息。上述用于獲取網(wǎng)絡(luò)安全產(chǎn)品產(chǎn)生信息的部分(軟件或者硬件)統(tǒng)一稱為信息采集模塊��。信息采集方式示意圖見圖5����、6、7��。
這樣進(jìn)行信息采集的好處是不影響用戶原有客戶端安全設(shè)備的正常運(yùn)行���。
如網(wǎng)絡(luò)安全領(lǐng)域技術(shù)人員所知�,網(wǎng)絡(luò)安全產(chǎn)品產(chǎn)生的信息主要包括描述網(wǎng)絡(luò)安全發(fā)生事件的各種要素�����,如時間��、源IP��、目的IP�、端口、網(wǎng)絡(luò)協(xié)議��、事件分類(如非法請求、不正確口令或用戶的登錄失敗�、網(wǎng)絡(luò)攻擊、非法信息傳遞等)��、事件安全級別(高中低級或數(shù)字量化分級)���、事件發(fā)生后安全產(chǎn)品自動采取了何種措施等����。不同網(wǎng)絡(luò)安全產(chǎn)品產(chǎn)生的信息內(nèi)容���、協(xié)議、編碼等不盡相同����,同種網(wǎng)絡(luò)安全產(chǎn)品產(chǎn)生的信息內(nèi)容、協(xié)議��、編碼等相同�����,信息采集模塊采集信息后信息處理模塊對采集到的信息進(jìn)行轉(zhuǎn)換�����,轉(zhuǎn)換為協(xié)議、編碼等符合統(tǒng)一格式標(biāo)準(zhǔn)的信息��。
格式轉(zhuǎn)換的一種參考方式如下為了最大限度利用信息���,取盡量多的網(wǎng)絡(luò)安全產(chǎn)品��,對其產(chǎn)生的信息內(nèi)容項目進(jìn)行分類�,以這些內(nèi)容項目的類型全集為標(biāo)準(zhǔn)格式的內(nèi)容項目分類����,并對各種網(wǎng)絡(luò)安全產(chǎn)品建立映射關(guān)系表。設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)可以自動識別不同設(shè)備1(客戶端安全設(shè)備)的信息�,使用對應(yīng)的協(xié)議接受后按映射表讀取并生成標(biāo)準(zhǔn)格式的信息。自動識別不同設(shè)備1(客戶端安全設(shè)備)的功能也可以通過在安裝設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)時根據(jù)使用的設(shè)備1(客戶端安全設(shè)備)設(shè)定人工實現(xiàn)�����。
上述格式轉(zhuǎn)換方式不是唯一的��,只可以被視為一種可能的舉例��,不可以視為對本發(fā)明的限制�����。例如可以采用固定內(nèi)容項目分類,丟棄其他內(nèi)容項目的轉(zhuǎn)換方式�。
設(shè)備3(客戶端信息傳輸設(shè)備)提供VPN軟件或其他類似可建立邏輯安全通道的軟件,在客戶端信息傳輸設(shè)備與網(wǎng)絡(luò)安全監(jiān)控中心相應(yīng)設(shè)備之間建立VPN通道或其他加密傳輸通道�,保證網(wǎng)絡(luò)安全監(jiān)控中心下傳給設(shè)備1(客戶端安全設(shè)備)的反控指令和設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)上傳給網(wǎng)絡(luò)安全監(jiān)控中心的采集處理的信息在傳輸過程中不被第三方非法獲取或篡改。
為了保證信息本身的可靠性��,還需要對信息做進(jìn)一步的安全處理��。例如為了防止接收到偽造�����、篡改或者失真的信息����,需要進(jìn)行發(fā)送方和接收方身份的認(rèn)證����、完整性校驗、防重放攻擊等處理�。
如信息安全領(lǐng)域技術(shù)人員所知,在信息傳遞過程中進(jìn)行安全處理的手段有很多成型的技術(shù)處理手段�����,在此進(jìn)行部分舉例。
數(shù)據(jù)加密對于將在通道中傳送的信息���,將采用密鑰長度為64bits到128bits的高強(qiáng)度分組加密算法進(jìn)行加密處理��,以保證信息內(nèi)容的保密性��。
數(shù)字文摘為了保證信息在傳輸過程中沒有被加以篡改�����,發(fā)送方將使用單向變換函數(shù)(即哈希函數(shù))對信息進(jìn)行處理��,得到信息的數(shù)字文摘MD1����,連同信息本身一起發(fā)送給接收方�����。接收方對收到的信息做同樣的處理����,得到另外一個數(shù)字文摘MD2���,對比MD1和MD2,如果二者不一致即認(rèn)為該信息是無效的�。
時戳為了防止第三方在網(wǎng)絡(luò)上截獲傳輸?shù)臄?shù)據(jù)包后重復(fù)大量發(fā)送(重放攻擊),從而導(dǎo)致不能正常處理真實的客戶信息請求��,發(fā)送方發(fā)送時將每個信息都加上時戳�����,以保證每個信息的唯一性�����。
一個可能的信息傳送過程如下發(fā)送方首先向接收方證實自己身份����,取得向其發(fā)送信息的資格;將數(shù)據(jù)采集模塊產(chǎn)生的標(biāo)準(zhǔn)信息M(明文)加上當(dāng)時的時戳Tclock���,做單向哈希變換,得到該信息的數(shù)字文摘MD1����;用高強(qiáng)度分組密碼算法對信息(明文)M和MD1進(jìn)行加密處理�����,得到密文結(jié)果C�;將密文C和當(dāng)時時戳Tclock一起傳送給接收方一側(cè)�����;接收方驗證向自己發(fā)起請求的發(fā)送方的身份���,驗證通過后才進(jìn)行下一步的處理根據(jù)和密文C同時到達(dá)的時戳Tclock判斷該信息是否已經(jīng)被處理過�;如果該信息還未被處理�,則對密文C進(jìn)行解密處理,用得到的信息明文M和時戳Tclock做單向哈希變換���,將得到的文摘結(jié)果MD2和信息中自帶的文摘MD1進(jìn)行對比����,如果二者相同���,則認(rèn)為本次信息有效�����;將信息明文M傳送給后臺系統(tǒng)做進(jìn)一步處理��;信息處理流程示意圖見圖8����。
設(shè)備3(客戶端信息傳輸設(shè)備)可以通過所在的專用計算機(jī)網(wǎng)絡(luò)利用公用網(wǎng)絡(luò)(如互聯(lián)網(wǎng))與網(wǎng)絡(luò)安全監(jiān)控中心建立加密通道,也可以利用專線方式與網(wǎng)絡(luò)安全監(jiān)控中心建立通道�。
設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)和設(shè)備3(客戶端信息傳輸設(shè)備)可以組合為一個設(shè)備。
一個專用計算機(jī)網(wǎng)絡(luò)中可以有多個設(shè)備1(客戶端安全設(shè)備)��、設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)和設(shè)備3(客戶端信息傳輸設(shè)備)���。
根據(jù)情況�����,可以一個設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)采集處理多個設(shè)備1(客戶端安全設(shè)備)產(chǎn)生的信息�,也可以每個設(shè)備1(客戶端安全設(shè)備)有一個設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)負(fù)責(zé)采集處理�。
根據(jù)情況,一個設(shè)備3(客戶端信息傳輸設(shè)備)可以負(fù)責(zé)一個或多個設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)與網(wǎng)絡(luò)安全監(jiān)控中心之間的加密傳輸�����。
網(wǎng)絡(luò)安全監(jiān)控(分)中心本網(wǎng)絡(luò)安全系統(tǒng)可以采取分級中心結(jié)構(gòu)。所謂分級中心結(jié)構(gòu)���,是指系統(tǒng)可以包括總中心和多個下屬分中心。每個分中心負(fù)責(zé)接收一定地理或者網(wǎng)絡(luò)范圍內(nèi)客戶端安全設(shè)備產(chǎn)生的信息并進(jìn)行處理�。總中心負(fù)責(zé)接收所屬分中心上傳的信息���,進(jìn)行整個監(jiān)控區(qū)域的調(diào)控和重要數(shù)據(jù)備份與處理����?��?梢灾挥幸粋€總中心����,也可以設(shè)立多個平級的總中心���。也可以采用一級���、二級、三級……的多級中心結(jié)構(gòu)����。
分中心負(fù)責(zé)處理所屬用戶處的網(wǎng)絡(luò)安全事件�,當(dāng)分中心由于技術(shù)力量�、地域等限制不能完全處理該網(wǎng)絡(luò)安全事件時,可以將該網(wǎng)絡(luò)安全事件的有關(guān)信息上傳總中心���?���?傊行牡膶<覅f(xié)助分中心處理��,或者由總中心向涉及該網(wǎng)絡(luò)安全事件的分中心下達(dá)指令��,征集該網(wǎng)絡(luò)安全事件相關(guān)信息����,指令其他分中心進(jìn)行配合協(xié)助。
總中心的另一個作用是����,總中心可以指令各分中心將所屬網(wǎng)絡(luò)事件信息或者符合某一特定條件(如同一時間段內(nèi))的網(wǎng)絡(luò)安全事件信息上傳到總中心,總中心對匯集的信息進(jìn)行綜合分析挖掘�����,以獲得從單一信息很難看出的規(guī)律或其他潛在的有價值的信息,(如網(wǎng)絡(luò)攻擊者的網(wǎng)絡(luò)跳轉(zhuǎn)路線��,追查出網(wǎng)絡(luò)攻擊的真實來源IP)向相關(guān)分中心下達(dá)指令���,分中心采取行動協(xié)助處理。
網(wǎng)絡(luò)安全監(jiān)控(分)中心系統(tǒng)包括中心信息傳輸設(shè)備�����、信息存儲設(shè)備���、中心操作平臺設(shè)備�、信息分析設(shè)備����、人工支持設(shè)備五部分,如圖2所示�����。
設(shè)備4(中心信息傳輸設(shè)備)與設(shè)備3(客戶端信息傳輸設(shè)備)的功能類似����,也提供VPN軟件或其他類似軟件��,建立VPN通道或其他加密傳輸通道���,保證信息傳輸安全。設(shè)備3(客戶端信息傳輸設(shè)備)和設(shè)備4(中心信息傳輸設(shè)備)的主要區(qū)別在于設(shè)備4(中心信息傳輸設(shè)備)提供的軟件可以同時與多個設(shè)備3(客戶端信息傳輸設(shè)備)建立加密傳輸通道��,向各設(shè)備1(客戶端安全設(shè)備)反控信息����,接收各設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)上傳的信息;而且設(shè)備4(中心信息傳輸設(shè)備)提供的軟件還可以與其他中心設(shè)備4(中心信息傳輸設(shè)備)建立加密傳輸通道���,傳遞各種中心間信息���;而且設(shè)備4(中心信息傳輸設(shè)備)還可以與其他相關(guān)系統(tǒng)(如公安部門相關(guān)系統(tǒng))建立加密傳輸通道。
設(shè)備5(中心操作平臺設(shè)備)可以包括標(biāo)準(zhǔn)計算機(jī)�����、顯示設(shè)備等組成���,并提供相應(yīng)軟件以處理顯示其他設(shè)備產(chǎn)生的信息���,如設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)從用戶處轉(zhuǎn)發(fā)來的信息�����,設(shè)備7(信息分析設(shè)備)產(chǎn)生的分析結(jié)果等�����。
設(shè)備5(中心操作平臺設(shè)備)同時還提供軟件以允許中心值班操作人員發(fā)出查詢�、反控�、刪改����、復(fù)制等操作指令給其他設(shè)備。
設(shè)備5(中心操作平臺設(shè)備)同時還提供軟件以允許中心值班操作人員進(jìn)行發(fā)送電子郵件等日常網(wǎng)絡(luò)應(yīng)用�。
設(shè)備5(中心操作平臺設(shè)備)同時還提供軟件以允許中心值班操作人員在處理顯示從設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)獲得的信息時,通過設(shè)備4(中心信息傳輸設(shè)備)傳遞給其他相關(guān)部門�。
設(shè)備6(信息存儲設(shè)備)可以由物理存儲設(shè)施和相應(yīng)軟件構(gòu)成,用于存儲中心接收到的信息以及處理過程中各階段的結(jié)果����,存儲錄入的信息(如用戶資料),存儲其他途徑獲取的資料(如從公安�����、電信等部門獲取的網(wǎng)絡(luò)、人員信息�;從書籍、報刊�����、網(wǎng)絡(luò)獲取的背景信息和知識等�����。
設(shè)備6(信息存儲設(shè)備)還提供軟件以允許這些信息在存儲前可以被分級和加密����,防止非授權(quán)的訪問和篡改。
設(shè)備7(信息分析設(shè)備)可以由標(biāo)準(zhǔn)計算設(shè)備構(gòu)成�。
設(shè)備7(信息分析設(shè)備)同時提供軟件允許中心值班操作人員通過設(shè)備5(中心操作平臺設(shè)備)向設(shè)備7(信息分析設(shè)備)發(fā)出指令,對收集到的全部或者部分指定信息進(jìn)行分析�����,或者為了達(dá)到指定的目的自動對所有數(shù)據(jù)進(jìn)行篩選和分析����。為了達(dá)到這個目的,設(shè)備7(信息分析設(shè)備)同時提供軟件以允許設(shè)備7(信息分析設(shè)備)查詢訪問設(shè)備6(信息存儲設(shè)備)�����。
為了達(dá)到這個目的,設(shè)備7(信息分析設(shè)備)提供的軟件中可以采用的技術(shù)手段包括采用數(shù)據(jù)挖掘技術(shù)通過找出信息間的關(guān)聯(lián)達(dá)到發(fā)現(xiàn)趨勢���、追尋網(wǎng)絡(luò)違法行為來源��、發(fā)現(xiàn)新型攻擊手段等目的��。
如計算機(jī)領(lǐng)域技術(shù)人員所知�����,所謂數(shù)據(jù)挖掘就是從大量的、不完全的��、模糊的����、隨機(jī)的數(shù)據(jù)中提取隱含在其中的,人們事先不知道的����,但有是潛在有用的信息和知識的過程。包括對數(shù)據(jù)庫中的大量業(yè)務(wù)數(shù)據(jù)進(jìn)行抽取��、轉(zhuǎn)換、分析和其他模型花處理���,從中獲取輔助商業(yè)決策的關(guān)鍵性數(shù)據(jù)�。
數(shù)據(jù)挖掘的目的是從數(shù)據(jù)庫��、文件系統(tǒng)或者其他組織在一起的數(shù)據(jù)集合中提取人們感興趣的知識�����。提取的知識表示為概念����、規(guī)則、規(guī)律���、模式等形式���。
數(shù)據(jù)挖掘的技術(shù)方法包括統(tǒng)計、關(guān)聯(lián)規(guī)則���、基于歷史的分析�����、遺傳算法��、聚集檢測����、連接分析、決策樹��、神經(jīng)元網(wǎng)絡(luò)等��。
設(shè)備8(人工支持設(shè)備)用于彌補(bǔ)計算機(jī)智能的不足��。設(shè)備8(人工支持設(shè)備)提供軟件允許技術(shù)專家對設(shè)備7(信息分析設(shè)備)分析處理過的信息進(jìn)行進(jìn)一步分析�,利用專家的經(jīng)驗加快分析過程,減少失誤����。
設(shè)備8(人工支持設(shè)備)提供軟件允許專家根據(jù)經(jīng)驗提供各種網(wǎng)絡(luò)違法行為的特點(diǎn)���、案例��、處理方式��,這些資料分類整理建庫存儲�,形成專家?guī)欤试S設(shè)備5(中心操作平臺設(shè)備)進(jìn)行訪問��。
應(yīng)用舉例為了更好的闡述本發(fā)明����,下面進(jìn)行應(yīng)用舉例(見圖9),本例子不可以被視為對本發(fā)明的限制��。
甲地用戶A要求將自己納入本網(wǎng)絡(luò)安全系統(tǒng)的監(jiān)控范圍����。該用戶處安裝有某公司的IDS產(chǎn)品,該IDS產(chǎn)品是本網(wǎng)絡(luò)安全系統(tǒng)可以兼容的產(chǎn)品類型���,可以作為客戶端安全設(shè)備使用��。為了節(jié)省投資�����,用戶A要求不再加裝其他模塊或產(chǎn)品作為客戶端安全設(shè)備�。
負(fù)責(zé)甲地網(wǎng)絡(luò)安全監(jiān)控的甲分中心接到用戶A請求后派技術(shù)人員前往安裝客戶端其他設(shè)備�����。由于該IDS系統(tǒng)是硬件客戶端/服務(wù)器模式的,技術(shù)人員在該IDS系統(tǒng)的服務(wù)器前端安裝了設(shè)備2客戶端信息轉(zhuǎn)換設(shè)備和設(shè)備3客戶端信息傳輸模塊�,并利用客戶端信息轉(zhuǎn)換設(shè)備提供的軟件進(jìn)行了配置。安裝完畢后�����,甲分中心值班操作人員利用設(shè)備5(中心操作平臺設(shè)備)錄入用戶A的有關(guān)信息并通過設(shè)備4(中心信息傳輸設(shè)備)上傳總中心�,用戶A正式受到本網(wǎng)絡(luò)安全系統(tǒng)的監(jiān)護(hù)。
某日���,用戶A受到不明來源的“淚滴”網(wǎng)絡(luò)攻擊�,IDS系統(tǒng)的客戶端檢測到并產(chǎn)生報警信息�。設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)模擬成IDS系統(tǒng)的服務(wù)器接收到IDS客戶端上傳的信息,然后模擬成IDS系統(tǒng)客戶端轉(zhuǎn)發(fā)給IDS系統(tǒng)服務(wù)器����,把IDS系統(tǒng)服務(wù)器返回的信息返回給IDS系統(tǒng)客戶端。在這過程中��,設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)獲得了IDS系統(tǒng)產(chǎn)生的網(wǎng)絡(luò)安全有關(guān)信息�����。該IDS系統(tǒng)產(chǎn)生的信息(msgO)內(nèi)容為事件發(fā)生時間Tattack����、網(wǎng)絡(luò)安全事件分類代碼27(淚滴攻擊在該IDS系統(tǒng)網(wǎng)絡(luò)安全事件分類代碼表中的代碼)、攻擊來源IP2���、攻擊目的IPm���。設(shè)備2(客戶端信息轉(zhuǎn)換設(shè)備)將上述內(nèi)容讀出后重新生成統(tǒng)一格式的信息(msg1)用戶A、事件發(fā)生時間Tattack��、網(wǎng)絡(luò)安全事件分類代碼39(淚滴攻擊在本網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)安全事件分類代碼表中的代碼)�、攻擊來源IPn、攻擊目的IPm��。設(shè)備3(客戶端信息傳輸設(shè)備)采用SSL協(xié)議與預(yù)先設(shè)定的甲地分中心建立聯(lián)系���,并利用預(yù)置的RSA公私密鑰對證明自己和分中心的身份����。將信息明文msg1做單向哈希變換����,得到該信息的數(shù)字文摘MD1�,用1024位DES加密算法對信息(明文)M和MD1進(jìn)行加密處理���,得到密文結(jié)果C�����;將密文C和當(dāng)時時戳Tclock一起傳送給甲分中心��。
甲分中心根據(jù)和密文C同時到達(dá)的時戳Tclock判斷該報警信息還未被處理�����;對密文C進(jìn)行解密處理���,用得到的信息明文msg1和時戳Tclock做單向哈希變換,將得到的文摘結(jié)果MD2和信息中自帶的文摘MD1進(jìn)行對比���,發(fā)現(xiàn)二者相同�,認(rèn)為本次信息有效�����;將信息明文msg1傳送給設(shè)備6(信息存儲設(shè)備)���,信息傳輸過程結(jié)束���。
在信息傳輸過程中,有人企圖進(jìn)行破壞活動���,將截獲的用戶A處發(fā)出的報警數(shù)據(jù)包再次發(fā)出����。甲分中心收到后���,發(fā)現(xiàn)Tclock表明該信息已經(jīng)被處理過了����,丟棄該信息�,同時將該情況報告設(shè)備5(中心操作平臺設(shè)備)。
設(shè)備6(信息存儲設(shè)備)接收到msg1后���,根據(jù)msg1的內(nèi)容進(jìn)行分類����、分級處理����,以便于查詢和管理���。查詢的方式可以包括以時間、用戶名稱����、攻擊方式代碼、攻擊所屬級別���、目標(biāo)IP�、來源IP等為查詢關(guān)鍵字�。不同級別的信息可以被擁有不同權(quán)限的中心人員進(jìn)行查閱等操作。
信息在分類處理后采用1024位DES進(jìn)行加密�,然后將加密生成的密文進(jìn)行存儲,防止非法閱讀修改���。
設(shè)備6(信息存儲設(shè)備)接收分類分級處理后����,信息被存儲的同時�����,報警信息msg1在設(shè)備5(中心操作平臺設(shè)備)上顯示出來T時間,A用戶受到39號攻擊���,攻擊最終來源IP2���,目的IPm等���。操作人員可以查詢設(shè)備6(信息存儲設(shè)備)中存儲的所有與msg1相關(guān)的信息�����,如A用戶的信息�、有關(guān)39號攻擊的有關(guān)資料���、IP相關(guān)信息等�����。操作人員根據(jù)資料認(rèn)為攻擊最終來源IP2不在甲分中心職權(quán)范圍����,于是操作人員在設(shè)備5(中心操作平臺設(shè)備)上進(jìn)行操作����,將該攻擊的有關(guān)信息和背景資料傳遞給本地(甲分中心)的設(shè)備8(人工支持設(shè)備)和外地的總中心���。在甲分中心設(shè)備8(人工支持設(shè)備)值班的智能專家在設(shè)備8(人工支持設(shè)備)上看到這次攻擊的有關(guān)資料,認(rèn)為這是一次較嚴(yán)重的攻擊����,需要立即采取行動阻止攻擊造成損害。專家立即通過電話和電子郵件與A用戶的有關(guān)人員進(jìn)行聯(lián)系�����,通報這次攻擊�����,同時根據(jù)自己的專業(yè)知識和設(shè)備6(信息存儲設(shè)備)中保存的有關(guān)39號攻擊的參考處理方案�,遠(yuǎn)程指導(dǎo)用戶A處的網(wǎng)絡(luò)管理人員采取應(yīng)急措施,并派專人前往用戶A處現(xiàn)場協(xié)助用戶處理�����。由于該攻擊的嚴(yán)重性���,甲分中心同時把信息傳遞給甲地有關(guān)公安部門備案����。
總中心與分中心之間、分中心與有關(guān)公安部門之間網(wǎng)絡(luò)傳輸?shù)男畔⒁餐ㄟ^信息傳輸設(shè)備傳輸�����。
總中心接收到甲分中心傳來的報警信息后��,解密還原���,獲得的信息包括信息級別高、信息類型實時求助����、用戶上報的信息msg1、用戶A的有關(guān)資料等�。總中心的設(shè)備5(中心操作平臺設(shè)備)上立刻顯示該信息��,值班人員判斷后轉(zhuǎn)交總中心設(shè)備8(人工支持設(shè)備)���??傊行脑O(shè)備8(人工支持設(shè)備)值班的專家接到報警后,利用自身專業(yè)知識和總中心設(shè)備6(信息存儲設(shè)備)中資料判斷該警情需要注意的處理細(xì)節(jié)����,通過電話或者網(wǎng)絡(luò)與甲分中心專家進(jìn)行指導(dǎo),必要時直接與用戶聯(lián)系��。
同時��,總中心專家根據(jù)總中心設(shè)備6(信息存儲設(shè)備)中來自電信的IP地址信息確認(rèn)IP2屬于乙地乙分中心監(jiān)控范圍���,于是將該報警信息轉(zhuǎn)發(fā)到乙分中心�����,指令乙分中心密切監(jiān)控IP2��,并將該有關(guān)IP2的信息上傳總中心����。乙分中心接收到總中心指令后���,查找到IP2屬于用戶B的網(wǎng)絡(luò)�����,于是通過網(wǎng)絡(luò)向負(fù)責(zé)監(jiān)控用戶B的設(shè)備1(客戶端安全設(shè)備)隨時上報用戶B的有關(guān)信息作為回應(yīng),并將來自用戶B的回應(yīng)信息上傳總中心。用戶B的回應(yīng)信息包括用戶B網(wǎng)絡(luò)中服務(wù)器的登錄日志等。
總中心專家利用設(shè)備8(人工支持設(shè)備)對來自用戶B的回應(yīng)信息和用戶A的報警信息進(jìn)行分析���,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者將用戶B的服務(wù)器作為跳轉(zhuǎn)主機(jī)���,以達(dá)到隱藏自己真實IP來源的目的���,其登錄跳轉(zhuǎn)主機(jī)時使用的IP1屬于丙分中心監(jiān)控范圍�����,于是指令丙分中心協(xié)助調(diào)查�。
丙分中心發(fā)現(xiàn)IP1所屬單位C不是本系統(tǒng)的用戶��,于是派專人前往該單位請求協(xié)助。經(jīng)同意�,丙分中心專家在C單位的網(wǎng)絡(luò)上實時人工操作搜尋有關(guān)信息���,并安裝了臨時設(shè)備1(客戶端安全設(shè)備)等模塊。經(jīng)努力�����,發(fā)現(xiàn)單位C的服務(wù)器也成為了跳轉(zhuǎn)主機(jī)����。經(jīng)總中心分析����,獲取其登錄跳轉(zhuǎn)主機(jī)時使用的IPO。
再次查詢電信提供的IP資料����,發(fā)現(xiàn)IPO為一ISP提供給撥號用戶使用的IP��。于是將這一情況通知了該ISP��,ISP根據(jù)自己的系統(tǒng)記錄��,證實事件發(fā)生時使用IPO的用戶上網(wǎng)使用的電話的號碼為87654321,于是將這一情況反饋給網(wǎng)絡(luò)安全監(jiān)控應(yīng)急總中心����,并將該情況通知有關(guān)部門��。
有關(guān)部門根據(jù)總中心���、電信部門、ISP等單位提供的信息�����,采取進(jìn)一步行動����。
總中心在征求事件有關(guān)各方的意見后���,將上述情況中的部分內(nèi)容通知用戶A、B�、C,并根據(jù)其網(wǎng)絡(luò)在該次事件中表現(xiàn)出來的網(wǎng)絡(luò)安全問題提出網(wǎng)絡(luò)安全建議�����,協(xié)助用戶實施�。
權(quán)利要求
1.一種網(wǎng)絡(luò)違法行為偵知監(jiān)控追蹤取證應(yīng)急反應(yīng)系統(tǒng),它由客戶端和網(wǎng)絡(luò)安全監(jiān)控中心設(shè)備組成其特征在于所述客戶端由依次串接的客戶端安全設(shè)備����、客戶端信息轉(zhuǎn)換設(shè)備和客戶端信息傳輸設(shè)備組成;所述客戶端安全設(shè)備為可以產(chǎn)生與網(wǎng)絡(luò)狀況�����、網(wǎng)絡(luò)傳輸內(nèi)容有關(guān)的信息的軟硬件產(chǎn)品或模塊�����,其產(chǎn)生的對安全系統(tǒng)有用的信息被客戶端信息轉(zhuǎn)換設(shè)備采集處理,將網(wǎng)絡(luò)安全相關(guān)信息轉(zhuǎn)換成網(wǎng)絡(luò)安全監(jiān)控中心可以識別的統(tǒng)一格式����,再送客戶端信息傳輸設(shè)備�����,所述客戶端信息傳輸設(shè)備為雙向傳送����,可向所述網(wǎng)絡(luò)安全監(jiān)控中心設(shè)備提供安全系統(tǒng)有用的信息和接收反控信息;所述網(wǎng)絡(luò)安全監(jiān)控中心設(shè)備包括中心信息傳輸設(shè)備、中心操作平臺設(shè)備��、信息存儲設(shè)備、信息分析設(shè)備和人工支持設(shè)備�����;所述中心操作平臺包括標(biāo)準(zhǔn)計算機(jī)、顯示設(shè)備,并且通過中心信息傳輸設(shè)備與各用戶端相連接�,同時與信息存儲設(shè)備��、信息分析設(shè)備和人工支持設(shè)備相連接�;所述中心信息傳輸設(shè)備可與其他區(qū)域中心設(shè)備或其他相關(guān)系統(tǒng)建立VPN通道或其他加密傳輸通道;所述信息分析設(shè)備由標(biāo)準(zhǔn)計算機(jī)設(shè)備構(gòu)成�;所述人工支持設(shè)備是供中心操作平臺設(shè)備訪問資料存儲庫存系統(tǒng)。
2.如權(quán)利要求1所述的一種網(wǎng)絡(luò)違法行為偵知監(jiān)控追蹤取證應(yīng)急反應(yīng)系統(tǒng)����,其特征在于客戶端中��,可以一個客戶端信息轉(zhuǎn)換設(shè)備采集處理多個客戶端安全設(shè)備產(chǎn)生的信息���,也可以是每一個客戶端安全設(shè)備有一個客戶端信息轉(zhuǎn)換設(shè)備負(fù)責(zé)采集處理��;一個客戶端信息傳輸設(shè)備可以負(fù)責(zé)一個或多個客戶端信息轉(zhuǎn)換設(shè)備與網(wǎng)絡(luò)安全監(jiān)控中心之間的加密傳輸���。
3.如權(quán)利要求1所述的一種網(wǎng)絡(luò)違法行為偵知監(jiān)控追蹤取證應(yīng)急反應(yīng)系統(tǒng)�,其特征在于網(wǎng)絡(luò)安全監(jiān)控中心可以是由總中心和多個下屬分中心連接組成分級中心結(jié)構(gòu),也可是多個平級的總中心或多級中心連接結(jié)構(gòu)�。
4.一種網(wǎng)絡(luò)違法行為偵知監(jiān)控追蹤取證應(yīng)急反應(yīng)方法��,其特征在于�;利用現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品收集客戶端網(wǎng)絡(luò)安全發(fā)生事件的各種要素對所收集的不同格式的信息進(jìn)行自動識別并生成標(biāo)準(zhǔn)格式的信息�,在客戶端信息傳輸設(shè)備與網(wǎng)絡(luò)安全監(jiān)控中心相應(yīng)設(shè)備之間建立VPN通道或其他加密傳輸通道����,保證網(wǎng)絡(luò)安全監(jiān)控中心下傳給客戶端安全設(shè)備的反控指令和客戶端信息轉(zhuǎn)換設(shè)備上傳給網(wǎng)絡(luò)安全監(jiān)控中心的采集處理的信息在傳輸過程中不被第三方非法獲取或篡改��;所述反控信息包括反控指令�、設(shè)備升級更新程序和查詢指令����;網(wǎng)絡(luò)安全監(jiān)控中心可以與其他相關(guān)系統(tǒng)建立加密傳輸通道�,并且可存儲傳入的信息�����;該中心進(jìn)行整個監(jiān)控區(qū)域的調(diào)控和重要數(shù)據(jù)備份與處理���。所述監(jiān)控中心可以是多個分級式或平級式管理模式���;所述信息在存儲前將進(jìn)行分級和加密,并設(shè)定保留時限及到期處理方式����。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)系統(tǒng)安全防護(hù)裝置和方法。它包括依次連接的客戶端安全信息轉(zhuǎn)換和信息傳輸?shù)仍O(shè)備;一個或多個網(wǎng)絡(luò)安全控制中心�。本發(fā)明利用現(xiàn)有網(wǎng)絡(luò)安防產(chǎn)品收集網(wǎng)絡(luò)安全相關(guān)信息,并生成標(biāo)準(zhǔn)格式信息,與網(wǎng)絡(luò)監(jiān)控中心建立VPN通道或加密通道,向上傳輸采集的信息,監(jiān)控中心向下傳給客戶端反控指令。本發(fā)明可使網(wǎng)絡(luò)由單點(diǎn)防護(hù)發(fā)展到系統(tǒng)防護(hù),可支持人工輔助處理,同時可獲取和保存網(wǎng)絡(luò)安全事件相關(guān)資料,并可利用系統(tǒng)上溯查找網(wǎng)絡(luò)非法攻擊來源IP(網(wǎng)絡(luò)地址)���。
文檔編號H04B17/00GK1310526SQ0111029
公開日2001年8月29日 申請日期2001年4月6日 優(yōu)先權(quán)日2001年4月6日
發(fā)明者俞強(qiáng), 孫衛(wèi)平, 趙三華 申請人:北京網(wǎng)警創(chuàng)新信息安全技術(shù)有限公司