專利名稱:一種安全掃描構(gòu)件機制實現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種安全掃描構(gòu)件機制的實現(xiàn)方法��,屬于信息安全技術(shù)領(lǐng)域�。
背景技術(shù):
當(dāng)前�,為應(yīng)對復(fù)雜的�����、動態(tài)的����、多維的網(wǎng)絡(luò)安全威脅,人們提出了網(wǎng)絡(luò)安全綜合管理平臺的技術(shù)理念���,即在一個統(tǒng)一的管理平臺上實現(xiàn)對不同安全產(chǎn)品和設(shè)備的統(tǒng)一管理和部署����,在一個整體的控制和調(diào)度框架下有機協(xié)同不同產(chǎn)品進(jìn)行共同防護(hù)�,這樣將會在極大降低安全管理成本的同時大大提高安全防護(hù)機制的強度。但是�,由于不同的安全產(chǎn)品系統(tǒng)結(jié)構(gòu)和管理接口沒有統(tǒng)一的標(biāo)準(zhǔn),現(xiàn)有的網(wǎng)絡(luò)安全管理平臺所做的管理配置只能是淺層次的����,平臺所管理的不同產(chǎn)品之間是松散耦合的關(guān)系,不同產(chǎn)品之間的協(xié)同也只停留在對幾種產(chǎn)品的日志信息進(jìn)行統(tǒng)計分析的層面上�,沒有更深入有效的有機協(xié)同機制。
要實現(xiàn)對不同安全產(chǎn)品的深層次管理和有效協(xié)同����,必須從系統(tǒng)架構(gòu)和產(chǎn)品引擎的層次對不同安全產(chǎn)品和系統(tǒng)進(jìn)行耦合�����、協(xié)同和管理�����,我們稱這類在產(chǎn)品架構(gòu)和系統(tǒng)引擎級進(jìn)行深度耦合的管理平臺為緊耦合結(jié)構(gòu)安全管理平臺�。在實現(xiàn)緊耦合結(jié)構(gòu)安全管理平臺的過程中�����,仍然存在一系列技術(shù)問題需要解決��。
另一方面����,在現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)如IDS等的工程開發(fā)中��,由于開發(fā)����、實用歷史尚短�,且代碼大多涉及底層��,專門化太強�����,開發(fā)人員多以個人編程能力見長�����,而軟件工程方法學(xué)的系統(tǒng)化應(yīng)用不夠����,缺乏統(tǒng)一科學(xué)的工程設(shè)計與質(zhì)量控制,直接影響著安全系統(tǒng)自身的可靠性和可信性����。同時,不同的系統(tǒng)都是由專門的開發(fā)人員隊伍進(jìn)行獨立開發(fā)���,不僅浪費了大量的人力���、物力,也導(dǎo)致代碼質(zhì)量���、執(zhí)行效率不一����,增大了系統(tǒng)代碼管理和維護(hù)的難度。
經(jīng)研究發(fā)現(xiàn)��,在不同的分析與掃描類網(wǎng)絡(luò)安全系統(tǒng)中�,系統(tǒng)執(zhí)行的關(guān)鍵分析操作所處理的信息數(shù)據(jù)結(jié)構(gòu)類型有極大的共同特征,對于它們的分析操作也有很大的共同特點�,如果能夠?qū)⑦@些特定的分析操作從分析過程中抽象、分離出來���,并作為公共資源供分析引擎按照分析場景的需要進(jìn)行激活��、調(diào)度和組織�����,并裝配成更高層次的分析資源的話�,將能夠極大促進(jìn)現(xiàn)有分析��、掃描類安全系統(tǒng)體系結(jié)構(gòu)的優(yōu)化�����。
發(fā)明內(nèi)容
針對上述的實際需求���,本發(fā)明的目的在于提供一種安全掃描構(gòu)件機制的實現(xiàn)方法��。該方法可以提供一種容易實現(xiàn)復(fù)用的掃描構(gòu)件機制���,利于工程開發(fā)。
為實現(xiàn)上述的發(fā)明目的�,本發(fā)明采用下述的技術(shù)方案一種安全掃描構(gòu)件機制的實現(xiàn)方法,用于廣譜安全掃描分析系統(tǒng)之中���,其特征在于將至少一個對一類數(shù)據(jù)信息結(jié)構(gòu)執(zhí)行單項掃描分析操作并給出單元級分析結(jié)果的原子掃描構(gòu)件置于構(gòu)件池中����;所述原子掃描構(gòu)件由調(diào)度引擎進(jìn)行激活����,并與一個安全掃描分析知識點進(jìn)行信息綁定,以實現(xiàn)實例化�����;若干個實例化的所述原子掃描構(gòu)件以序列化的方式完成對包括多個安全掃描分析知識點的檢測規(guī)則的分析,從而形成一個基本掃描構(gòu)件���。
所述原子掃描構(gòu)件實例化的過程中�,所述調(diào)度引擎根據(jù)掃描場景上下文確定與之綁定的安全掃描分析知識點��。
所述原子掃描構(gòu)件與分析的數(shù)據(jù)結(jié)構(gòu)類型有關(guān)�����,與掃描的上下文場景無關(guān)����。
所述基本掃描構(gòu)件在構(gòu)件池中體現(xiàn)為一個安全掃描算法。
其中��,將所述基本掃描構(gòu)件所對應(yīng)的安全掃描算法封裝起來�,通過所述調(diào)度引擎確定與待掃描的數(shù)據(jù)源和與待分析的任務(wù)數(shù)據(jù)的接口,在執(zhí)行算法所確定的分析動作之后通過安全掃描信息總線向所述調(diào)度引擎輸出規(guī)定格式的分析結(jié)果���。
在廣譜安全掃描分析系統(tǒng)之中���,所述調(diào)度引擎連接所述原子掃描構(gòu)件,通過調(diào)用所述原子掃描構(gòu)件進(jìn)行工作�。
本發(fā)明所提供的安全掃描構(gòu)件具有如下的優(yōu)點1.將安全分析�����、掃描類產(chǎn)品中對不同信息數(shù)據(jù)結(jié)構(gòu)的分析掃描操作在單元操作級進(jìn)行抽象和整合,能夠在不同的場景下按照需要的邏輯實例化并裝配為能夠完成復(fù)雜分析掃描操作的完整掃描構(gòu)件�����,執(zhí)行需要的掃描功能�;2.將共性分析操作和算法在單元級抽象為可復(fù)用資產(chǎn),利于工程開發(fā)���;當(dāng)需要擴展分析知識描述機制時�,只需在掃描規(guī)則中配置需要提供支持的構(gòu)件類別即可��,不需要重新開發(fā)掃描算法���,使系統(tǒng)具有可擴展性和廣泛的適應(yīng)性�;3.對分析算法的優(yōu)化只需在構(gòu)件庫中替換相應(yīng)的構(gòu)件即可�����,使得系統(tǒng)易于維護(hù)和升級���。
下面結(jié)合附圖和具體實施方式
對本發(fā)明作進(jìn)一步的說明�。
圖1為安全掃描構(gòu)件的運行原理示意圖。
圖2為采用安全掃描構(gòu)件機制的安全管理平臺的技術(shù)邏輯架構(gòu)圖�����。
具體實施例方式
前已述及����,由于不同的網(wǎng)絡(luò)安全系統(tǒng)中,系統(tǒng)所處理的信息數(shù)據(jù)結(jié)構(gòu)類型有較多的共同特征�����,對它們的分析操作也具有較多的共同點�。基于這一特點����,本發(fā)明人認(rèn)為可以將某些特定的分析操作從分析過程中抽象、分離出來���,并作為公共資源供分析引擎按照分析場景的需要進(jìn)行激活����、調(diào)度和組織。這就是本發(fā)明的基本思路所在����。
基于上述的發(fā)明思路,并借鑒軟件工程研究中的相關(guān)方法���,我們首先將在一個源數(shù)據(jù)信息結(jié)構(gòu)內(nèi)完成一條知識規(guī)則的掃描并給出掃描結(jié)果的過程稱為一個基本掃描任務(wù)。由于一條檢測規(guī)則由若干知識點(此處知識點的定義與KAM模型中的知識點定義相同)構(gòu)成����,我們將在一個源數(shù)據(jù)信息結(jié)構(gòu)內(nèi)完成一個知識點的掃描并給出掃描結(jié)果的過程稱為一個原子掃描任務(wù)。上述的原子掃描任務(wù)和基本掃描任務(wù)是一個與掃描業(yè)務(wù)場景相關(guān)的動態(tài)的概念�,是在調(diào)度引擎執(zhí)行分析掃描動作的過程中根據(jù)掃描的上下文場景確定的,在系統(tǒng)運行的不同時刻����,調(diào)度引擎分析的安全知識不同,對應(yīng)的掃描任務(wù)也是不同的�。
進(jìn)一步地,我們將對一類數(shù)據(jù)信息結(jié)構(gòu)執(zhí)行單項掃描分析操作并給出單元級分析結(jié)果的掃描功能單元稱為原子掃描構(gòu)件��。將待掃描的數(shù)據(jù)源記作Ds����,待分析的任務(wù)數(shù)據(jù)記作Do��,執(zhí)行的分析動作為Action����,分析結(jié)果記作Result�,則原子掃描構(gòu)件是一個四元組<Ds,Do����,Action,Result>����。原子掃描構(gòu)件與上面的原子掃描任務(wù)和基本掃描任務(wù)無關(guān),它是一個靜態(tài)的功能組件���,只與分析的數(shù)據(jù)結(jié)構(gòu)類型有關(guān)�,能夠提供針對特定數(shù)據(jù)結(jié)構(gòu)的特定分析功能��。當(dāng)一個原子掃描構(gòu)件被調(diào)度引擎激活并與一個分析知識點的信息綁定��,以完成一個原子掃描任務(wù)時���,我們稱之為一個原子掃描構(gòu)件實例��。它與任務(wù)的綁定是在實例化時由調(diào)度引擎根據(jù)掃描場景上下文完成的�����。多個原子掃描構(gòu)件實例可以序列化并組成一個復(fù)合構(gòu)件��。當(dāng)一個復(fù)合構(gòu)件完成的原子掃描任務(wù)序列恰好構(gòu)成一個基本掃描任務(wù)�,即完成對一條檢測規(guī)則的分析時,該復(fù)合構(gòu)件稱為一個基本掃描構(gòu)件���。
在安全分析、掃描類系統(tǒng)的掃描分析操作執(zhí)行過程中�����,由調(diào)度引擎根據(jù)分析場景上下文觸發(fā)相應(yīng)的原子掃描構(gòu)件���,每個原子掃描構(gòu)件與分析知識點信息綁定后成為一個原子掃描構(gòu)件實例����,多個原子掃描構(gòu)件實例序列化成為一個基本掃描構(gòu)件����,完成一個基本掃描任務(wù)�,即完成一條安全檢測規(guī)則的場景分析�。對于這種在安全分析、掃描類系統(tǒng)中使用的基本掃描構(gòu)件��,由于其執(zhí)行的掃描任務(wù)是對安全知識規(guī)則的分析��,我們將之稱為安全掃描構(gòu)件���。
圖1即為上述過程的說明��。若干個原子掃描構(gòu)件1�、2�、3……n位于原子掃描構(gòu)件池中,它在實例化過程中�����,通過調(diào)度引擎與知識規(guī)則庫中的分析知識點進(jìn)行綁定���,形成實例化的原子掃描構(gòu)件實例1���、2、3……n��。多個原子掃描構(gòu)件實例序列化并組成一個復(fù)合構(gòu)件。當(dāng)一個復(fù)合構(gòu)件完成一個基本掃描任務(wù)���,即完成對一條檢測規(guī)則的分析時�,即構(gòu)成一個基本掃描構(gòu)件��。實踐表明��,在IDS��、安全審計���、漏洞掃描等常見的安全系統(tǒng)分析操作中����,處理的數(shù)據(jù)結(jié)構(gòu)類型是非常有限的�,針對這些數(shù)據(jù)信息類型的單項掃描操作形成的安全掃描構(gòu)件���,在不同的分析過程中具有非常高的可復(fù)用度���。
下面列舉一些安全掃描構(gòu)件的具體實施例。在構(gòu)件池中�,一個安全掃描構(gòu)件體現(xiàn)為一個掃描算法�。將安全掃描分析動作所對應(yīng)的掃描算法封裝起來�����,通過調(diào)度引擎確定與待掃描的數(shù)據(jù)源和與待分析的任務(wù)數(shù)據(jù)的接口�����,在執(zhí)行算法所確定的分析動作之后通過安全掃描信息總線向調(diào)度引擎輸出規(guī)定格式的分析結(jié)果�����。根據(jù)掃描操作處理的不同數(shù)據(jù)結(jié)構(gòu)類型�,我們抽象出如下幾類安全掃描構(gòu)件,它們可以為病毒掃描��、入侵檢測���、安全審計�、漏洞掃描等安全分析掃描功能提供支持��。
●IP地址類該類安全掃描構(gòu)件所實施的操作為判斷兩個IP地址和子網(wǎng)掩碼是否相等��。其對應(yīng)的函數(shù)名稱為AnalyseIP,此函數(shù)提供在給定的IP地址鏈表中查找指定的IP地址的功能���。其實現(xiàn)機制為int AnalyseIP(void*cmpiplist��,void*flagset)輸入?yún)?shù)void*cmpiplist=>ip地址鏈表結(jié)構(gòu)���。
void*flagset=>存放全局非標(biāo)志的結(jié)構(gòu)。
輸出參數(shù)無返回值1=>匹配成功
0=>匹配失敗●字符串類該類安全掃描構(gòu)件實施的操作為檢查兩個字符串是否匹配���。其對應(yīng)的函數(shù)名稱為AnalyseStringEq�����,實現(xiàn)機制為int AnalyseStringEq(void*cmpstr���,void*objstr)輸入?yún)?shù)void*cmpstr=>傳入作為比較基準(zhǔn)的字符串。
void*objstr=>傳入待比較的字符串����。
輸出參數(shù)無返回值1=>兩字符串相等0=>兩字符串不等●二進(jìn)制位向量類該類安全掃描構(gòu)件實施的操作為按照某種匹配模式匹配給定二進(jìn)制向量的特定位的值����。函數(shù)名為AnalyseBits,其實現(xiàn)機制為int AnalyseBits(void*cmpvalue,void*objvalue)輸入?yún)?shù)char*cmpvalue=>傳入作為比較基準(zhǔn)的標(biāo)志結(jié)構(gòu)���。
char*objvalue=>傳入待比較的標(biāo)志結(jié)構(gòu)�。
輸出參數(shù)無返回值1=>匹配成功0=>匹配失敗●整數(shù)類該類安全掃描構(gòu)件實施的操作為檢測整數(shù)之間的大于�、小于、等于��、不等關(guān)系���。函數(shù)名為AnalyseDigitalInt����,其實現(xiàn)機制為int AnalyseDigitalInt(void*cmpvalue�����,void*objvalue)輸入?yún)?shù)void*cmpvalue=>傳入作為比較基準(zhǔn)的數(shù)值串���。
void*objvalue=>傳入待比較的數(shù)值串�。
輸出參數(shù)無返回值1=>匹配成功0=>匹配失敗該函數(shù)解析cmpvalue和objvalue首先檢查字符串中是否包含非法字符��,如有�,返回出錯信息�����,否則從兩個參數(shù)中得到需要的基準(zhǔn)數(shù)值和待比較的數(shù)值及相應(yīng)的運算符��,根據(jù)運算符進(jìn)行相應(yīng)的比較和計算�����。當(dāng)傳入的參數(shù)格式不符合既定的格式時��,返回出錯信息�����。
●整數(shù)列表類該類安全掃描構(gòu)件所實施的操作為檢測一個整數(shù)列表中是否包括一個特定的整數(shù)�。函數(shù)名為AnalyseDigital InArray��,其實現(xiàn)機制為int AnalyseDigital IntArray(void*cmpvalue����,void*objvalue)輸入?yún)?shù)void*cmpvalue=>指定的數(shù)值。
void*objvalue=>包含數(shù)值串?dāng)?shù)組和any_flag標(biāo)志的結(jié)構(gòu)����。
輸出參數(shù)無返回值1=>找到0=>未找到當(dāng)objvalue
中存放的標(biāo)志any_flag置位時,不進(jìn)行任何查找�,直接返回1。意即任何objvalue數(shù)組中的值都滿足條件��。
以上只是列舉了一些安全掃描構(gòu)件實際實施的例子��。另外�,為了滿足系統(tǒng)整體運行的需要,我們還可以設(shè)計實現(xiàn)信息獲取和消息傳遞等輔助功能的微構(gòu)件��,如下面將要提到的信息獲取微構(gòu)件等�。它們雖然不直接完成掃描分析的功能,但對不同信息數(shù)據(jù)施加某種單項操作的定義與安全掃描構(gòu)件是相同的����。這些微構(gòu)件的具體編程實現(xiàn)是計算機領(lǐng)域的一般技術(shù)人員都能輕易做到的,在此不贅述了�����。
下面�,結(jié)合圖2進(jìn)一步介紹安全掃描構(gòu)件機制在緊耦合結(jié)構(gòu)的安全管理平臺中的應(yīng)用。圖2所示為一個具有緊耦合結(jié)構(gòu)特征的安全管理平臺的技術(shù)邏輯架構(gòu)圖����。該平臺具有調(diào)度引擎���、掃描規(guī)則庫、協(xié)同規(guī)則庫和分析知識庫�,其中所述調(diào)度引擎中包括調(diào)度器、協(xié)同規(guī)則解析引擎�����、掃描規(guī)則解析引擎�、分析知識解析引擎以及對象信息獲取代理,由所述調(diào)度器進(jìn)行統(tǒng)一調(diào)度����;協(xié)同規(guī)則解析引擎連接所述協(xié)同規(guī)則庫,掃描規(guī)則解析引擎連接掃描規(guī)則庫�����,分析知識解析引擎連接分析知識庫���;調(diào)度引擎通過對象信息獲取代理獲取分析對象的信息�����,執(zhí)行特定的分析掃描操作并將分析結(jié)果放入結(jié)果庫中����。
如圖2所示,調(diào)度引擎通過信息獲取微構(gòu)件與對象獲取代理進(jìn)行連接��,分析知識庫連接分析知識解析引擎�����,該分析知識解析引擎連接知識樹�。知識樹也通過另一個信息獲取微構(gòu)件與調(diào)度引擎相連接�。掃描規(guī)則解析引擎從掃描規(guī)則庫中獲取掃描規(guī)則,并將之分配給構(gòu)件池中的多個原子掃描構(gòu)件��,從而形成安全掃描構(gòu)件��。多個該原子掃描構(gòu)件與調(diào)度引擎直接相連��。調(diào)度引擎則通過多個掃描構(gòu)件連接掃描信息總線���,上述的兩個信息獲取微構(gòu)件也與掃描信息總線相連接�。
在上述的緊耦合結(jié)構(gòu)安全管理平臺中��,調(diào)度引擎連接原子掃描構(gòu)件�,通過調(diào)用原子掃描構(gòu)件進(jìn)行工作��。
上面雖然通過實施例描繪了本發(fā)明��,但本領(lǐng)域普通技術(shù)人員知道��,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神����,所附的權(quán)利要求將包括這些變形和變化�。
權(quán)利要求
1.一種安全掃描構(gòu)件機制的實現(xiàn)方法,用于廣譜安全掃描分析系統(tǒng)之中�����,其特征在于將至少一個對一類數(shù)據(jù)信息結(jié)構(gòu)執(zhí)行單項掃描分析操作并給出單元級分析結(jié)果的原子掃描構(gòu)件置于構(gòu)件池中��;所述原子掃描構(gòu)件由調(diào)度引擎進(jìn)行激活����,并與一個安全掃描分析知識點進(jìn)行信息綁定,以實現(xiàn)實例化����;若干個實例化的所述原子掃描構(gòu)件以序列化的方式完成對包括多個安全掃描分析知識點的檢測規(guī)則的分析,從而形成一個基本掃描構(gòu)件。
2.如權(quán)利要求1所述的安全掃描構(gòu)件機制的實現(xiàn)方法�,其特征在于所述原子掃描構(gòu)件實例化的過程中,所述調(diào)度引擎根據(jù)掃描場景上下文確定與之綁定的安全掃描分析知識點�。
3.如權(quán)利要求1所述的安全掃描構(gòu)件機制的實現(xiàn)方法,其特征在于所述原子掃描構(gòu)件與分析的數(shù)據(jù)結(jié)構(gòu)類型有關(guān)�,與掃描的上下文場景無關(guān)。
4.如權(quán)利要求1所述的安全掃描構(gòu)件機制的實現(xiàn)方法���,其特征在于所述基本掃描構(gòu)件在構(gòu)件池中體現(xiàn)為一個安全掃描算法���。
5.如權(quán)利要求4所述的安全掃描構(gòu)件機制的實現(xiàn)方法����,其特征在于將所述基本掃描構(gòu)件所對應(yīng)的安全掃描算法封裝起來,通過所述調(diào)度引擎確定與待掃描的數(shù)據(jù)源和與待分析的任務(wù)數(shù)據(jù)的接口�,在執(zhí)行算法所確定的分析動作之后通過安全掃描信息總線向所述調(diào)度引擎輸出規(guī)定格式的分析結(jié)果。
6.如權(quán)利要求1所述的安全掃描構(gòu)件機制的實現(xiàn)方法���,其特征在于在廣譜安全掃描分析系統(tǒng)之中�,所述調(diào)度引擎連接所述原子掃描構(gòu)件��,通過調(diào)用所述原子掃描構(gòu)件進(jìn)行工作���。
全文摘要
本發(fā)明公開了一種安全掃描構(gòu)件機制的實現(xiàn)方法�,用于廣譜安全掃描分析系統(tǒng)之中。該安全掃描構(gòu)件將安全分析���、掃描類產(chǎn)品中對不同信息數(shù)據(jù)結(jié)構(gòu)的分析掃描操作在單元操作級進(jìn)行抽象和整合�����,能夠在不同的場景下按照需要的邏輯實例化并裝配為能夠完成復(fù)雜分析掃描操作的完整掃描構(gòu)件���,以執(zhí)行需要的掃描功能。對其分析算法的優(yōu)化只需在構(gòu)件庫中替換相應(yīng)的構(gòu)件即可�,使得系統(tǒng)體系結(jié)構(gòu)更加清晰,易于維護(hù)和升級�����。
文檔編號H04L9/00GK1694393SQ20041010295
公開日2005年11月9日 申請日期2004年12月30日 優(yōu)先權(quán)日2004年10月29日
發(fā)明者懷進(jìn)鵬, 劉利軍, 張文燚, 劉旭東, 劉慶云, 楊超峰, 張玉東 申請人:北京航空航天大學(xué)