專利名稱:網(wǎng)絡安全協(xié)同聯(lián)動系統(tǒng)及方法
技術領域:
本發(fā)明屬于網(wǎng)絡安全領域�,尤其涉及網(wǎng)絡安全協(xié)同聯(lián)動系統(tǒng)及方法���。
背景技術:
隨著信息技術和互聯(lián)網(wǎng)技術的快速發(fā)展����,針對網(wǎng)絡信息系統(tǒng)的惡意攻擊變得越來越多樣化和復雜化�����,這些安全事件極大地威脅了我國的國家安全和人民生活��,網(wǎng)絡安全形勢日趨嚴峻���。為此�����,學術��、產(chǎn)業(yè)等社會各界對網(wǎng)絡安全技術進行了深入全面的研究工作����,并取得了較為成熟的研究成果,如入侵檢測���、漏洞掃描、僵尸網(wǎng)絡發(fā)現(xiàn)�、分布式拒絕服務攻擊檢測、垃圾郵件過濾����、防病毒、防木馬等等技術及系統(tǒng)�����,然而��,現(xiàn)有的研究工作還面臨著以下兩個問題一是單一技術的孤立研究已很難大幅度降低網(wǎng)絡安全事件的誤報率和漏報率�����, 比如入侵檢測;二是單一技術手段已很難滿足日益復雜的應用需求�,比如針對網(wǎng)絡安全事件的深入分析與知識挖掘。因此���,針對網(wǎng)絡安全協(xié)同聯(lián)動技術的研究具有重要的理論意義和實際價值����。近幾年���,在安全事件協(xié)同聯(lián)動相關領域具有一定代表性的研究工作包括1)統(tǒng)一威脅管理(Unified Threat Management����,簡稱UTM)��,最早由 Fortinet 公司在2002年提出�����,2004年9月美國著名的IDC提出將防病毒��、入侵檢測和防火墻安全設備命名為統(tǒng)一威脅管理�。也被稱為多功能防火墻、多功能安全網(wǎng)關��。該類技術能夠很好的關聯(lián)防病毒、入侵檢測和防火墻安全設備�,并構成一個標準的統(tǒng)一管理平臺。與傳統(tǒng)網(wǎng)關安全設備相比����,UTM設備融合多種安全能力,具有管理方便��、投入少���、防御能力強的優(yōu)勢�。然而�����,該技術也有自己與生俱來的劣勢�,可以關聯(lián)和管理的設備是固定的�����,不可以添加新的設備進行關聯(lián)����。因此,UTM不靈活且擴展性差。2)安全運營中心(Security Operation Center��,簡稱S0C)��,一般被定位為以資產(chǎn)為核心����,以安全事件管理為關鍵流程,采用安全域劃分的思想����,建立一套實時的資產(chǎn)風險模型,協(xié)助管理員進行事件分析����,風險分析,預警管理���,和應急響應處理的集中安全管理系統(tǒng)�����。但是由于目前業(yè)界并沒有形成一個統(tǒng)一的理解���,各廠商之間的SOC實現(xiàn)并不統(tǒng)一�,不同廠商產(chǎn)品之間尚缺乏協(xié)同聯(lián)動能力�����。
發(fā)明內(nèi)容
因此�,本發(fā)明的目的在于克服上述現(xiàn)有技術的缺陷,提供一種網(wǎng)絡安全協(xié)同聯(lián)動系統(tǒng)��,可兼容多種安全資源����。為了實現(xiàn)上述發(fā)明目的,一方面�,本發(fā)明提供了一種網(wǎng)絡安全協(xié)同聯(lián)動系統(tǒng),包括安全資源接口模塊���,用于為多個安全資源提供傳輸接口以便在所述協(xié)同聯(lián)動系統(tǒng)與各個安全資源之間進行文件傳輸,所述安全資源是指相關的網(wǎng)絡安全系統(tǒng)����;安全資源適配模塊,用于將相應的安全資源提供的安全事件信息從其特定格式轉換為所述協(xié)同聯(lián)動系統(tǒng)的標準格式���;
協(xié)同聯(lián)動引擎模塊���,用于根據(jù)協(xié)同聯(lián)動需求對各個安全資源提供的安全事件進行
關聯(lián)分析和挖掘����,以得到更有價值的信息�����。 上述系統(tǒng)中����,每個安全資源適配模塊對應一個安全資源。上述系統(tǒng)中�����,安全資源接口模塊采用FTP或SSH作為接口傳輸協(xié)議�。上述系統(tǒng)中,所述協(xié)同聯(lián)動引擎模塊包括指令集�����,其包含了常用指令�����,為協(xié)同聯(lián)動引擎提供基礎的協(xié)同聯(lián)動功能;模式集���,其包含了協(xié)同聯(lián)動模式�,所述協(xié)同聯(lián)動模式是根據(jù)協(xié)同聯(lián)動需求采用指令集內(nèi)的指令所編寫的程序����;模式執(zhí)行模塊,用于執(zhí)行協(xié)同聯(lián)動模式以完成相應的協(xié)同聯(lián)動任務�����。上述系統(tǒng)中���,還包括PA集��,其提供指令集內(nèi)不存在的運算����,所述協(xié)同聯(lián)動模式是根據(jù)協(xié)同聯(lián)動需求采用指令集和/或PA集內(nèi)的指令所編寫的程序���。上述系統(tǒng)中,協(xié)同聯(lián)動引擎是使用C����、Python或Java實現(xiàn)的����。上述系統(tǒng)中�����,所述安全資源接口模塊使用FTP資源向量的方式標識各個安全資源的FTP資源并且將多個FTP資源向量組成了 FTP資源表��,所述FTP資源向量為<NUM�����, SERVER, USER, PASSWORD〉���,其中��,NUM即該FTP資源的編號����;SERVER為該FTP所在主機的IP 地址��;USER為FTP的用戶名���;PASSWORD為FTP的密碼��。上述系統(tǒng)中��,所述安全資源接口模塊在訪問具體的FTP資源時使用FTP編號來獲取連接信息�,并且通過在FTP資源表添加新的FTP資源向量來添加新的安全資源。又一方面��,本發(fā)明提供了用于上述系統(tǒng)的網(wǎng)絡安全協(xié)同聯(lián)動方法����,所述方法包括以下步驟步驟1)將協(xié)同聯(lián)動需求中所涉及的所有安全資源掛接到協(xié)同系統(tǒng)中;步驟2����、根據(jù)協(xié)同聯(lián)動需求編寫相應的協(xié)同聯(lián)動模式;步驟幻在協(xié)同聯(lián)動引擎中執(zhí)行所述協(xié)同聯(lián)動模式以得到所需的數(shù)據(jù)���。上述方法中����,所述步驟1)包括以下步驟為各個安全資源開發(fā)相應的安全資源適配模塊���,所述安全資源適配模塊將相應的安全資源提供的安全事件信息從其特定格式轉換為所述協(xié)同聯(lián)動系統(tǒng)的標準格式�;在安全資源接口模塊中��,為各個安全資源提供傳輸接口以用于在所述協(xié)同聯(lián)動系統(tǒng)和各個安全資源之間進行文件傳輸���。上述方法中�,所述步驟2���、包括以下步驟如果指令集中的指令可以滿足協(xié)同聯(lián)動需求���,則使用指令集來根據(jù)協(xié)同聯(lián)動需求編寫協(xié)同聯(lián)動模式;否則開發(fā)相應的PA集����,并使用指令集和相應PA集中的指令來根據(jù)協(xié)同聯(lián)動需求編寫協(xié)同聯(lián)動模式。上述方法中�����,所述步驟幻包括以下步驟根據(jù)協(xié)同聯(lián)動需求從各個安全資源獲取安全事件文件��;由協(xié)同聯(lián)動引擎按照所述協(xié)同聯(lián)動模式依次對各個安全資源提供的安全事件進行關聯(lián)分析和挖掘�,以得到更有價值的信息。與現(xiàn)有技術相比,本發(fā)明的優(yōu)點在于上述的協(xié)同聯(lián)動系統(tǒng)具備對遵循通過協(xié)商所定接口的網(wǎng)絡安全資源的協(xié)同分析和聯(lián)動控制能力�,具有更好的通用性。而且多種網(wǎng)絡安全資源可通過相應專用的安全適配模塊快速方便地加入到協(xié)同聯(lián)動系統(tǒng)中���,具有更好的可擴展性���。
以下參照附圖對本發(fā)明實施例作進一步說明,其中圖1為根據(jù)本發(fā)明實施例的網(wǎng)絡安全協(xié)同聯(lián)動系統(tǒng)結構圖���;圖2為根據(jù)本發(fā)明實施例的協(xié)同聯(lián)動引擎結構圖�;圖3為根據(jù)本發(fā)明實施例的挖掘出的惡意主機示意圖��;圖4為根據(jù)本發(fā)明實施例的挖掘出的惡意域名示意圖����;圖5為根據(jù)本發(fā)明實施例的挖掘前后受控主機對比圖。
具體實施例方式為了使本發(fā)明的目的��,技術方案及優(yōu)點更加清楚明白���,以下結合附圖通過具體實施例對本發(fā)明進一步詳細說明�����。應當理解��,此處所描述的具體實施例僅僅用以解釋本發(fā)明��, 并不用于限定本發(fā)明�����。圖1示出了網(wǎng)絡安全協(xié)同聯(lián)動系統(tǒng)的一個實施例的架構示意圖���。如圖1所示,網(wǎng)絡安全協(xié)同聯(lián)動系統(tǒng)(在下文也可簡稱為協(xié)同聯(lián)動系統(tǒng)或系統(tǒng))包括協(xié)同聯(lián)動引擎模塊��、 安全資源接口模塊�����、存儲資源模塊���、安全資源適配模塊��。協(xié)同聯(lián)動引擎模塊是協(xié)同聯(lián)動系統(tǒng)的運算單元�,負責對安全資源提供的安全事件進行關聯(lián)分析�,從而挖掘出更有價值的信息�。 其中安全資源是指相關的網(wǎng)絡安全系統(tǒng)���,如防火墻�、入侵檢測系統(tǒng)�����、入侵防御系統(tǒng)����、防病毒系統(tǒng)等等。安全資源接口模塊主要負責與存儲資源模塊以及安全資源適配模塊交換信息�, 其接口傳輸協(xié)議可以使用FTP、SSH等技術����。存儲資源模塊主要負責存儲數(shù)據(jù),協(xié)同聯(lián)動引擎模塊�、安全資源接口模塊和安全資源適配模塊的數(shù)據(jù)都可以存放在存儲資源模塊,比如內(nèi)存�、數(shù)據(jù)庫或者文件系統(tǒng)等等。安全資源適配模塊負責將各安全資源提供的安全事件文件轉換成標準格式信息�����,并通過安全資源接口模塊傳遞給其他模塊。該系統(tǒng)的基本工作流程是首先通過安全資源接口模塊和安全資源適配模塊從各個安全資源獲取安全事件文件����,比如入侵檢測系統(tǒng)提供的安全事件文件;接著將這些安全事件文件中存儲的安全事件保存到存儲資源模塊中��;然后�,按照協(xié)同聯(lián)動的具體需求(協(xié)同聯(lián)動需求即網(wǎng)絡安全事件的關聯(lián)需求)按次序從存儲資源模塊中取出事件,并經(jīng)過協(xié)同聯(lián)動引擎模塊的關聯(lián)和挖掘得到所需的數(shù)據(jù)�。更具體地�,安全資源接口模塊通過為各個安全資源提供傳輸接口以便與各個安全資源之間進行文件傳輸?��?梢圆捎肍TP�、SSH等作為接口傳輸協(xié)議���。以FTP為例����,對于每個安全資源可以有一個或者幾個FTP資源���,每個安全資源都把檢測到的安全事件文件放到自己相應的FTP資源上���,安全資源接口模塊使用FTP資源向量的方式標識特定的FTP資源���。該向量為<NUM,SERVER, USER, PASSWORD〉�,其中,NUM 即該 FTP 資源的編號����;SERVER 即該 FTP 所在主機的IP地址;USER即FTP的用戶名�����;PASSWORD即FTP的密碼����。將諸多FTP資源向量組成了 FTP資源表,這樣訪問具體的FTP資源時使用FTP編號就可以直接獲取連接信息。 而且添加新的安全資源時只需在FTP資源表添加新的FTP資源向量即可,具有很高的靈活性����。在通過安全資源接口模塊接收來自安全資源的安全事件文件后����,需要通過安全資源適配模塊將安全事件從相應的安全資源的特定格式轉換為協(xié)同聯(lián)動系統(tǒng)的標準格式 (TXT或者XML都可以作為標準格式),然后通過安全資源接口模塊將其發(fā)送到存儲資源模塊進行保存��。協(xié)同聯(lián)動系統(tǒng)可以包括多個安全資源適配模塊����。可以針對各個安全資源開發(fā)相應的安全資源適配模塊�����,可以使用任何語言進行開發(fā)����,只要能夠完成相應的格式轉換功能即可����。然后,協(xié)同聯(lián)動引擎模塊對各個安全資源提供的安全事件進行關聯(lián)分析��,從而挖掘出更有價值的信息�����。在本實施例中��,根據(jù)協(xié)同聯(lián)動需求編寫協(xié)同聯(lián)動模式。也就是說要按照協(xié)同聯(lián)動需求依次從存儲資源模塊中提取相應的安全事件����,并通過協(xié)同聯(lián)動引擎的關聯(lián)和挖掘來得到所需數(shù)據(jù)。圖2示出了協(xié)同聯(lián)動引擎模塊的結構示意圖��。如圖2所示����,該模塊包括指令集、PA 集��、模式集和模式執(zhí)行模塊��。指令集包含了全部常用指令���,為協(xié)同聯(lián)動引擎提供基礎的協(xié)同聯(lián)動功能��。PA (處理代理���,Processing Agent,簡稱PA)是指令集的補充����,PA可以提供指令集內(nèi)不存在的運算��,從而使得協(xié)同聯(lián)動引擎的能力得到進一步的提高和擴展�����;模式是由指令集和PA集內(nèi)的指令組成的程序�,該程序可以在模式執(zhí)行模塊上運行�,最后完成相應的協(xié)同聯(lián)動任務;模式執(zhí)行模塊是協(xié)同聯(lián)動引擎的執(zhí)行模塊�����,指令集和PA集的指令最后都要經(jīng)過該模塊解釋執(zhí)行��,每個具體的模式也要經(jīng)過該模塊才能完成協(xié)同聯(lián)動任務���。協(xié)同聯(lián)動引擎可以使用各種語言實現(xiàn),比如C�����、Python和Java等����。這種內(nèi)部結構使得協(xié)同聯(lián)動引擎具有很強的可擴展性�����。更具體地��,根據(jù)協(xié)同聯(lián)動需求��,使用協(xié)同聯(lián)動引擎模塊中的指令集內(nèi)的指令編寫相應的協(xié)同聯(lián)動模式�����,并運行所編寫的協(xié)同聯(lián)動模式來完成協(xié)同聯(lián)動任務�。如果指令集不能滿足協(xié)同聯(lián)動需求����,則需要開發(fā)相應PA (可以使用任意語言開發(fā))。根據(jù)協(xié)同聯(lián)動需求�, 使用指令集和相應PA編寫協(xié)同聯(lián)動模式。協(xié)同聯(lián)動模式本質上是使用指令集和/或PA集的指令有序組成的一個程序�,這個程序執(zhí)行之后就能完成某一個特定的協(xié)同聯(lián)動任務。與 UTM的協(xié)同聯(lián)動相比��,UTM的協(xié)同聯(lián)動是固定的����,不可以隨意編程改變�����,而且可以聯(lián)動的設備也是固定的�����。而本系統(tǒng)針對不同的協(xié)同聯(lián)動需求可以開發(fā)不同的協(xié)同聯(lián)動模式�,比較靈活��,具有通用性�。例如,采用了 3個安全資源安全資源1)是863-917網(wǎng)絡安全監(jiān)測平臺(系國家863計劃資助的國家網(wǎng)絡安全監(jiān)測平臺)��,該平臺實時檢測我國互聯(lián)網(wǎng)中特定安全事件�, 諸如僵尸網(wǎng)絡、木馬通信等事件�����;安全資源2)是某些省份公共核心域名服務器的域名解析記錄信息����;安全資源3)是某省份的流量監(jiān)測系統(tǒng),該系統(tǒng)能夠提供核心路由器的流記錄信肩���、ο對于上述每個安全資源�����,在系統(tǒng)中添加相應的安全資源適配模塊并在安全資源接口模塊的FTP資源表添加新的FTP資源向量���,這樣就可以將這三個安全資源掛載到協(xié)同聯(lián)動系統(tǒng)中了。對于上述3個安全資源的協(xié)同聯(lián)動需求是根據(jù)863-917網(wǎng)絡安全檢測平臺提供的惡意IP�����,在域名記錄系統(tǒng)中挖掘出惡意域名���,然后根據(jù)這些惡意域名在流記錄中挖掘出更多惡意IP和受控IP��。按照該協(xié)同聯(lián)動需求���,采用指令集中的指令來編寫相應的協(xié)同聯(lián)動模式。該協(xié)同聯(lián)動模式如下
(1)SELECT_T0_FILE (0, ‘‘ select氺from eventlog_863917 ‘‘�, ‘‘ eventlog. txt" , “ Γ )//從0號數(shù)據(jù)庫取出863-917平臺檢測的當天惡意主機信息�����,形成eventlog. txt 文件,使用〃 1〃間隔(2)L0AD_T0_TABLE(2, “ eventlog. txt"��,“ eventlog"��,“ |〃 )H將惡意主機信息eventlog. txt導入2號數(shù)據(jù)庫的eventlog表中(3)SELECT_T0_FILE(1, “ select*from dns〃���,“ dns.txt"��,“ |")H從1號數(shù)據(jù)庫取出當天的DNS記錄��,形成dns. txt文件����,使用‘‘| ‘‘間隔(4)L0AD_T0_TABLE(2, “ dns. txt"����,“ dns",“ |〃 )//將dns記錄dns. txt導入2號數(shù)據(jù)庫的dns表中(5)SELECT_T0_TABLE(2, “ some select string"��,“ zoom")//在數(shù)據(jù)庫2中經(jīng)過一系列的select查詢�,將挖掘之后的惡意主機域名信息形成 zoom 表(6)SELECT_T0_FILE(2, “ select*from zoom",“ zoom, txt"��,“ |〃 )//從2號數(shù)據(jù)庫取出zoom表中的信息形成zoom, txt文件,使用〃 |〃間隔(7)PUT_FILE(0, “ zoom, txt"���,“ zoom, txt",“ /home/ftp")H將zoom, txt文件傳動給流監(jiān)測所在的0號FTP����,流監(jiān)測會根據(jù)該文件查找相關的流信息并形成一個叫做flow, txt的文件(8)GET_FILE(0, “ flow, txt",“ flow, txt"���,“ /home/ftp")//獲取流監(jiān)測返回的包含惡意主機和被控主機信息的文件flow, txt(9)L0AD_T0_TABLE(2, “ flow, txt"���,“ flow",“ |〃 )H將flow, txt導入到數(shù)據(jù)庫2中的flow表中接著�,通過協(xié)同聯(lián)動引擎模塊中的模式執(zhí)行模塊來執(zhí)行該協(xié)同聯(lián)動模式。圖3展示了 2010-03-14到2010-03-18這五天通過執(zhí)行協(xié)同聯(lián)動挖掘出的惡意主機數(shù)���。圖4展示了 2010-03-14到2010-03-18這五天通過執(zhí)行協(xié)同聯(lián)動挖掘出惡意域名數(shù)量�����。圖5比較了 2010-03-14到2010-03-18這五天內(nèi)采用協(xié)同聯(lián)動系統(tǒng)和未采用協(xié)同聯(lián)動系統(tǒng)發(fā)現(xiàn)的受控主機的數(shù)量�。從圖5可以看出采用協(xié)同聯(lián)動系統(tǒng)的發(fā)現(xiàn)降低了漏報率��。表1-5是上述實施例中的協(xié)同聯(lián)動系統(tǒng)提供的各模塊之間交互以及執(zhí)行系統(tǒng)聯(lián)動所涉及的指令。表1數(shù)據(jù)庫操作指令
常
權利要求
1.一種網(wǎng)絡安全協(xié)同聯(lián)動系統(tǒng)���,所述協(xié)同聯(lián)動系統(tǒng)包括安全資源接口模塊�����,用于為多個安全資源提供傳輸接口以便在所述協(xié)同聯(lián)動系統(tǒng)與各個安全資源之間進行文件傳輸�����,所述安全資源是指相關的網(wǎng)絡安全系統(tǒng)�;安全資源適配模塊���,用于將相應的安全資源提供的安全事件信息從其特定格式轉換為所述協(xié)同聯(lián)動系統(tǒng)的標準格式�;協(xié)同聯(lián)動引擎模塊�,用于根據(jù)協(xié)同聯(lián)動需求對各個安全資源提供的安全事件進行關聯(lián)分析和挖掘,以得到更有價值的信息��。
2.根據(jù)權利要求1所述的系統(tǒng)��,其中��,每個安全資源適配模塊對應一個安全資源�。
3.根據(jù)權利要求1所述的系統(tǒng)���,其中,安全資源接口模塊采用FTP或SSH作為接口傳輸協(xié)議����。
4.根據(jù)權利要求1所述的系統(tǒng)���,所述協(xié)同聯(lián)動引擎模塊包括指令集���,其包含了常用指令,為協(xié)同聯(lián)動引擎提供基礎的協(xié)同聯(lián)動功能����; 模式集,其包含了協(xié)同聯(lián)動模式�,所述協(xié)同聯(lián)動模式是根據(jù)協(xié)同聯(lián)動需求采用指令集內(nèi)的指令所編寫的程序;模式執(zhí)行模塊�����,用于執(zhí)行協(xié)同聯(lián)動模式以完成相應的協(xié)同聯(lián)動任務�����。
5.根據(jù)權利要求4所述的系統(tǒng),其中還包括PA集�,其提供指令集內(nèi)不存在的運算,所述協(xié)同聯(lián)動模式是根據(jù)協(xié)同聯(lián)動需求采用指令集和/或PA集內(nèi)的指令所編寫的程序�����。
6.根據(jù)權利要求4所述的系統(tǒng)��,其中協(xié)同聯(lián)動引擎是使用C����、Python或Java實現(xiàn)的。
7.根據(jù)權利要求3所述的系統(tǒng)��,其中所述安全資源接口模塊使用FTP資源向量的方式標識各個安全資源的FTP資源并且將多個FTP資源向量組成了 FTP資源表��,所述FTP資源向量為<NUM�,SERVER, USER, PASSWORD〉,其中���,NUM 即該 FTP 資源的編號��;SERVER 為該 FTP 所在主機的IP地址�;USER為FTP的用戶名;PASSWORD為FTP的密碼��。
8.根據(jù)權利要求7所述的系統(tǒng)���,其中所述安全資源接口模塊在訪問具體的FTP資源時使用FTP編號來獲取連接信息��,并且通過在FTP資源表添加新的FTP資源向量來添加新的安全資源��。
9.一種基于上述任一權利要求所述的系統(tǒng)的網(wǎng)絡安全協(xié)同聯(lián)動方法���,所述方法包括 步驟1)將協(xié)同聯(lián)動需求中所涉及的所有安全資源掛接到協(xié)同系統(tǒng)中���;步驟幻根據(jù)協(xié)同聯(lián)動需求編寫相應的協(xié)同聯(lián)動模式���;步驟幻在協(xié)同聯(lián)動引擎中執(zhí)行所述協(xié)同聯(lián)動模式以得到所需的數(shù)據(jù)。
10.根據(jù)權利要求9所述的方法����,其中所述步驟1)包括以下步驟為各個安全資源開發(fā)相應的安全資源適配模塊,所述安全資源適配模塊將相應的安全資源提供的安全事件信息從其特定格式轉換為所述協(xié)同聯(lián)動系統(tǒng)的標準格式�;在安全資源接口模塊中,為各個安全資源提供傳輸接口以用于在所述協(xié)同聯(lián)動系統(tǒng)和各個安全資源之間進行文件傳輸�。
11.根據(jù)權利要求9所述的方法,其中,所述步驟幻包括以下步驟如果指令集中的指令可以滿足協(xié)同聯(lián)動需求�,則使用指令集來根據(jù)協(xié)同聯(lián)動需求編寫協(xié)同聯(lián)動模式;否則開發(fā)相應的PA集���,并使用指令集和相應PA集中的指令來根據(jù)協(xié)同聯(lián)動需求編寫協(xié)同聯(lián)動模式����。
12.根據(jù)權利要求9所述的方法�����,其中��,所述步驟幻根據(jù)協(xié)同聯(lián)動需求從各個安全資源獲取安全事件文件��,并由協(xié)同聯(lián)動引擎按照所述協(xié)同聯(lián)動模式依次對各個安全資源提供的安全事件進行關聯(lián)分析和挖掘�����,以得到更有價值的信息��。
全文摘要
本發(fā)明提供一種網(wǎng)絡安全協(xié)同聯(lián)動系統(tǒng)����。其中安全資源接口模塊為多個安全資源提供傳輸接口以便在所述協(xié)同聯(lián)動系統(tǒng)與各個安全資源之間進行文件傳輸?shù)模话踩Y源適配模塊將相應的安全資源提供的安全事件信息從其特定格式轉換為所述協(xié)同聯(lián)動系統(tǒng)的標準格式;協(xié)同聯(lián)動引擎模塊根據(jù)協(xié)同聯(lián)動需求對各個安全資源提供的安全事件進行關聯(lián)分析和挖掘��,以得到更有價值的信息���。該系統(tǒng)具備對遵循通過協(xié)商所定接口的網(wǎng)絡安全資源的協(xié)同分析和聯(lián)動控制能力�,具有更好的通用性���;不同的網(wǎng)絡安全資源可通過相應專用的安全適配模塊快速方便地加入到協(xié)同聯(lián)動系統(tǒng)中�,具有更好的可擴展性����。
文檔編號H04L29/06GK102377780SQ20111031557
公開日2012年3月14日 申請日期2011年10月18日 優(yōu)先權日2011年10月18日
發(fā)明者云曉春, 孫建亮, 張永錚, 臧天寧 申請人:中國科學院計算技術研究所