专利名称:主机性能监测及自动反应系统的制作方法
技术领域:
本发明涉及一种计算机网络的主机性能监测及自动反应系统,用于计算机网络安全,属于计算机和自动控制技术领域。
主机可以进行的监测包括网络监测和本机监测。
网络监测对抵达主机的数据进行分析并试图确认哪些是潜在的威胁,监测是否有未经授权而试图通过某些TCP或者UDP端口进行的连接,如果有人试图通过未开放任何服务的端口进行连接,就往往意味着有人在寻找系统漏洞。
本机监测通过监视本机的文件系统、CPU占用率、内存占用率以及检查日志文件来发现异常情况的蛛丝马迹。系统管理员也可以从中找到相关痕迹,还可以通过监测本机上的特权用户的活动来判断是否被入侵。一般来说一台主机一旦被配置好后,只需要进行少量的需要特权用户进行的维护工作,而且这些维护工作多数是计划好的,有一定时间性,如果发现有特权用户在一个非特定时间进行可疑操作,则应当通知系统维护人员以确认是否被入侵。
目前现有的主机监测技术主要是基于上述的几方面内容来进行的,一旦监测出异常则通过声光报警等形式引起管理员注意,并由管理员采取进一步动作。
从现有的主机监测软件驻留的位置又可以分为下面两类基于服务器端的监测目前,绝大多数的监测软件都是基于服务器端的,即用户购买该软件后,将其安装在本地服务器上,对本地的服务器、数据库等软硬件的运行性能进行监测。这种监测软件的好处在于用户可以了解自己本地机器的使用效率,还可以了解本地的网络连接及一些电子商务流程在本地的执行情况。但缺点是不能直接反映终端用户登录网站及使用网站提供的电子商务服务的实际体验。
基于用户端的监测随着Internet技术的发展以及经营思想观念的转变,出现了一种新型的监测服务。这种监测服务是将软件分布在用户端,而不是安装在网络运营商本地的服务器上。从终端用户的角度对网络性能进行监测并从终端用户角度来进行性能诊断、查找网络瓶颈。这种监测服务的使用原理从根本上体现了以用户为中心的经营思想,因为对终端用户来说,在登录网络时,他们并不关心网络运营商使用的是HP还是IBM的服务器、是NT还是Unix操作平台,也不关心他们使用的是Oracle还是微软的数据库。用户唯一关心的是自己在网络的冲浪体验,即登录一个页面或完成一项网上交易能否成功,时间是多长。
以上这些主机监测技术主要是提供监测的功能,而一旦发现异常后还需要管理员手工的干预,如果异常情况发生在深夜或其他无人值守的时间段,必然会导致处理不及时,并有可能造成损失。
为实现这样的目的,本发明的技术方案中,应用的平台是WINDOWSNT/UNIX,通过事件收集代理在主机上运行来收集各种信息并加以分析,并根据预定的规则判断是否发生异常,若发现有异常情况则通过应急措施执行软件修复主机,使其恢复到正常状态,还可以通过电子邮件,BP等方式通知管理员。
本发明所说的异常事件指系统或设备遭受到攻击或者是收到的服务请求过多而无法正常的提供服务;也包括本机CPU占用率、内存占用率、磁盘空间占用率或进程数过多导致系统性能严重下降等事件。宿主是针对在其中植入负责状态收集和远程控制代理的程序而言,是监测体系中受保护的主机和设备。事件收集代理是用来收集宿主的工作状态,包括稳定性数据和安全性数据的收集。应急措施执行软件是修复宿主,将宿主恢复到可正常工作状态的软件。
为了实现规则的可配置性,本发明提供了一种集中的规则配置方式,用户通过配置管理中心进行规则的配置并传送到各个被监测的主机进行监测。用户可以设定出现报警的种类、系统的处理方法,然后设定它们之间的逻辑关系。系统将报警信息(或者用户要求的特定Agent的详细信息),通过图形界面(或是统一的微软管理控制台MMC界面)发送给用户。为了增加系统的灵活性,用户除了可以通过制定规则由系统自动对报警进行处理之外,还可以手动执行特定动作,来控制远端被监测的主机或网络。由于监测系统会将任何事件记录在系统日志中,用户还可以通过察看日志来确定系统是否正常运行。
整个监测系统还可以同外部的审计系统相连接,将系统的安全日志通过审计系统进行保存,同外部的接口通过HTTP协议来实现并采用XML进行通讯。本监测系统还可以同防火墙系统建立接口,通过读取防火墙的系统日志,分析其中潜在的隐患,并通过TELNET协议对防火墙的配置进行修改,不让潜在的危险进入主机。
本监测系统内部主要包含了配置管理中心同各个驻留在主机的事件收集代理之间的信息通讯接口,按照信息内容和实现方式的不同,可以分为两类1)系统数据(包括事件收集代理的报警信息和响应信息)通过SNMP(MIB)来传送,SNMP预先将数据表示的数据结构定义一连串的位,每个位表示某个状态量是否超过警戒限度或某个执行元素是否需要执行,由于被传输的信息很少,因此可以在一个IP包中传输,可以加快系统的响应时间。
2)系统控制信息(配置管理中心发出的策略控制信息和事件收集代理执行信息)通过直接的通讯接口来实现。
本系统除了提供通过配置管理中心进行配置的自动反应动作之外,还同时提供人工处理的能力,在发现异常时通过电子邮件或BP等形式通知管理员;系统提供管理员除了能够手动对事件收集代理发送执行命令的功能,管理员也能够在任何情况下,都能直接手动控制,排除隐患。如果服务器发生问题(如死机),并且不能由系统对问题进行自动响应,需要给出提示后由管理员手动重启动系统。
对于系统各种数据采集规则的设定是有层次分别的,用户可以对整个系统设定规则,也可以对一个主机的组合设定规则,也可以对特定的单个主机设定规则,在执行部件进行数据采集形成告警的过程中,按照不同的优先级进行匹配,也就是说,如果对本机有特殊规则要求的,则按照该规则进行匹配;如果不是,则查看是否属于某个有规则限定的主机组合,如果是,则按照组合的规则进行匹配;如果既不是特殊主机,又不是主机组合中的成员,就按照整个系统的规则来进行匹配。
对于系统中的单个设备或已经封装好的子系统,由于没有组合和集合的情况,都由系统设定。
本发明不仅对主机和连接到主机的网络信息进行全面的监测,让系统被入侵的可能性降到最低,还提供了发现异常后按照预先设定的规则自动反应的能力,大大简化了系统管理员的负担,并能对异常事件提供最及时的处理;只有在情况十分复杂,系统难于判断应该采取什么措施时,才需要系统管理员的介入;而不管在任何情况下,系统管理员都可以通过配置管理中心进行手工干预,监测系统也会在发现异常事件后以最快的方式通知系统管理员,并忠实的将系统的一举一动记录入日志以供分析。
集中设置的配置管理中心是系统管理员设置规则和系统反应动作的中心,管理员可以通过该中心全面监视所有主机的情况,还可以方便的修改规则以适应系统的变化。规则定义了哪些系统信息应该被事件收集代理所收集,还定义了这些信息对应的阈值,一旦收集的信息超出了设定的阈值,就认为发生了异常事件,监测系统就会按照设定的动作自动进行处理并及时通知管理员。所有这些都使得本系统为用户提供最灵活的配置和最及时的处理,将用户可能的损失降到最低。
及
具体实施例方式图1为本发明的系统结构示意图。
如图所示,本发明采用了集中的规则配置方式,整个监测系统只需配置一个应急响应中心,同时又作为配置管理中心,通过网络与被监测的主机相连,实现集中控制。管理员通过应急响应中心配置规则,观察系统运行和网络状态,并采取相应措施;在被监测主机上安装系统性能监测模块、事件收集模块和命令执行模块,完成主机监测、分析和自动反应的功能。
管理员通过操作界面对应急响应中心进行操作,既可以配置主机监测规则和对应的自动反应动作,也可以手工控制系统进行干预,以解决一些比较紧急而又难以进行自动处理的事件。
应急响应中心在管理员进行了规则配置和自动反应动作的配置之后,将规则传给事件收集模块。系统性能监测模块作为安装在被监测主机上的软件模块,时刻监视系统性能的变化,并报告事件收集模块。根据预先设定的规则,事件收集模块一旦发现有异常事件发生,就会将相应事件提交给应急响应中心。
应急响应中心根据事件性质决定应采取的动作,并将相应命令发给命令执行单元,由命令执行单元控制被监测的主机完成自动保护动作。同时,应急响应中心以醒目的方式将当前的网络状态和可疑事件显示在终端上,若事件难以自动处理,还可以通过电子邮件,BP等方式通知管理员进行手工干预。应急响应中心还会将系统内发生的一切可疑事件和处理方式及结果记录到系统日志中,以供管理员分析系统状态时用。
应急响应中心还可以同防火墙相连接,通过分析其日志,检测是否存在隐患;应急响应中心通过同审计系统连接,还可以将系统的安全日志通过审计系统加以保存。
为了保证对异常事件的及时处理,对监测系统的自动反应时间应该有一定要求,本系统的各项时间指标如下1.响应时间本系统的“事件收集代理”针对宿主发生意外情况而通知应急反应中心的响应时间为<5秒。当本系统的应急反应中心接收到事件收集代理反映上来的异常事件,而且在应急规则中对应的相应操作为自动响应时,自动响应部件发送出指令的时间<1秒。应急措施执行软件接收到响应指令,并开始处理的响应时间为<1秒。2.更新处理时间事件收集代理定时发送宿主的工作状态到应急反应中心的控制台的更新周期为1-10秒(程序可控刷新频度)。3.数据的转换和传送时间基于XML的通讯原语和通讯信息之间的转换时间为<1秒。应急反应中心和周边辅助软件或设备间的数据传送时间由当时的网络性能决定。要求网络至少满足传送时间<1秒。4.解题时间事件收集代理根据制定的规则和宿主的工作状态进行匹配,以确定是否要向应急反应中心汇报“险情”,这种匹配的处理时间为<1秒。其它对时间的要求由于应急反应中心针对某宿主进行的应急反应可能会同时依赖审计中心汇报的情况和事件收集代理收集的情况进行综合判定出处理的方法。两边汇报数据的先后对处理的方法和结果都会有不同,因此就必须要求审计中心、事件收集代理和应急反应中心在时间上完全同步。这可以通过时间同步程序来实现。
权利要求
1.一种主机性能监测及自动反应系统,其特征在于采用集中的规则配置方式,应急响应中心同时作为配置管理中心,通过网络与被监测主机相连,在被监测主机上安装系统性能监测模块、事件收集模块和命令执行模块,应急响应中心将管理员通过操作界面进行的规则配置和自动反应动作的配置传给事件收集模块,系统性能监测模块监视系统性能的变化并报告事件收集模块,由事件收集模块将发现的异常事件提交给应急响应中心,应急响应中心根据事件性质决定应采取的动作,并由命令执行单元控制被保护主机完成自动保护动作。
2.如权利要求1所说的主机性能监测及自动反应系统,其特征在于系统还同外部的审计系统相连接,将系统的安全日志通过审计系统进行保存,同外部的接口通过HTTP协议来实现并采用XML进行通讯。
3.如权利要求1所说的主机性能监测及自动反应系统,其特征在于系统还同防火墙系统建立接口,并通过TELNET协议对防火墙的配置进行修改而不让潜在的危险进入主机。
全文摘要
一种主机性能监测及自动反应系统,采用集中的规则配置方式,应急响应中心同时作为配置管理中心通过网络与被监测主机相连,在被监测主机上安装系统性能监测模块、事件收集模块和命令执行模块,应急响应中心将规则传给事件收集模块,系统性能监测模块监视系统性能的变化并报告事件收集模块,由事件收集模块将发现的异常事件提交给应急响应中心,应急响应中心根据事件性质决定应采取的动作,并由命令执行单元控制被保护主机完成自动保护动作。本发明不仅对主机和连接到主机的网络信息进行全面的监测,还提供了发现异常后按照预先设定的规则自动反应的能力,对异常事件提供及时处理,将用户可能的损失降到最低。
文档编号G06F11/00GK1349164SQ0113903
公开日2002年5月15日 申请日期2001年12月4日 优先权日2001年12月4日
发明者钟亦平, 吴杰, 吴承荣 申请人:上海复旦光华信息科技股份有限公司