专利名称:分布式审计系统的制作方法
技术领域:
本发明涉及网络技术领域,尤其涉及一种适用于网络完全审计的分布式审计系统。
背景技术:
随着互联网技术的飞速发展和广泛应用,现在的网络里部署着大量的网络安全审计产品,这些网络审计产品根据其审计的业务、环境等分为不同的类别。比如在银行里有针对金融业务进行审计的金融网络审计系统,在学校、网吧里有防止用户访问非法网站、资源的绿色上网监控系统,在电信行业里有对主干网络进行审计的高速网络审计系统,在公安机关里有网络犯罪行为审计与报警系统,在企业中有针对各种企业内部业务(OA、邮件、文件共享等)进行审计的系统(如中国第200410014138.3号专利揭示的基于构件的桌面监控审计系统)等等。
然而,上述这些现有网络安全审计产品仅针对各个行业里的业务应用数据和网络环境进行审计,其保存的数据内容各不相同,而同类型产品的情况下不同的厂家的产品的数据格式也不尽相同。在这样的情况下,导致要对所有类型和格式的数据进行统一管理非常困难,而在现实需求中又往往要实现对多种业务的统一管理和分析,比如企业、学校网吧有可能需要把审计数据提供给公安的网络犯罪行为审计与报警系统进行犯罪嫌疑人的调查分析。目前还没有审计产品对各种数据进行统一处理。
其次,各个部署的审计产品之间可能存在上下级关系,比如省厅的公安机关网络犯罪行为审计与报警系统与各个地市的公安机关网络犯罪行为审计与报警系统就属于上下级关系,而上级往往需要同时对多个下级进行统一控制和管理,并发送统一的应用策略,比如公安机关经常需要对某个区域内的所有审计系统设置相同的敏感关键字过滤策略,而目前现有的审计产品还没有多级的概念,无法实现上级对下级的控制。
再次,针对各种高速网络(如电信的主干网络)的进行审计的时候,由于网络的数据量过大,现有的高速网络审计系统由于功能单一、性能有限,无法保存所有的网络数据,导致很难保证审计的正确率,难以满足审计要求。
发明内容
为了克服现有网络审计产品无法实现上级对下级的控制以及无法满足高速网络审计要求的不足,本发明提供一种分布式审计系统,其不仅可实现上级对下级的控制,而且能满足高速网络审计要求。
为解决上述技术问题,本发明所采用的技术方案是提供一种分布式审计系统,所述分布式审计系统包括多个审计单元,所述多个审计单元构建成一个向下的树形结构的分布式网络,并形成上下级关系,上级审计单元向下级审计单元传递命令和策略数据,下级审计单元向上级审计单元传递审计日志数据。
所述每个审计单元分别包括服务器通讯模组和客户端通讯模组,上级审计单元的服务器通讯模组与至少一个下级审计单元的客户端通讯模组连接通讯。
所述下级审计单元的客户端通讯模组仅与一个上级审计单元的服务器通讯模组连接通讯。
所述服务器通讯模组与客户端通讯模组的连接过程使用TCP/IP协议。
所述审计单元还包括一控制中心模组,该审计单元内部的服务器通讯模组和客户端通讯模组通过该控制中心模组连接并交换数据。
所述审计单元还包括一数据接口模组,其与客户端通讯模组连接,用于对不同业务类型审计数据进行分类并对同一类型的不同厂家的审计产品的数据格式进行统一。
所述服务器通讯模组包括一数据调度模块与其内部的控制中心模组连接,通过一公共通讯模块与下级审计单元的客户端通讯模组连接通讯,当系统初始化完毕后,服务器通讯模组建立一个监听服务,通过在线状态检测模块和公共通讯模块检测并接收来自下级审计单元的连接,接收来自下级审计单元的客户端通讯模组上传的数据,同时把控制命令、系统用户策略发送给下级客户端通讯模组。
所述客户端通讯模组包括一数据调度模块与其内部的控制中心模组连接,当系统初始化完毕后,客户端通讯模组通过在线状态通知模块和公共通讯模块与上级服务器通讯模组建立连接,公共通讯模块接收来自上级服务器通讯模组下发的控制命令、系统用户策略,同时把审计数据发送给上级服务器通讯模组。
所述控制中心模组包括相互连接的数据调度模块和本地数据库,数据调度模块对来自服务器通讯模组的数据进行处理,并判断其是否需要保存到本地数据库、是否需要转发给客户端通讯模组,数据调度模块对来自客户端通讯模组的数据进行处理,并判断其是否需要保存到本地数据库、是否需要转发给服务器通讯模组。
所述数据接口模组通过数据调度模块与客户端通讯模组连接,其包括用于对不同业务类型审计数据进行分类并对同一类型的不同厂家的审计产品的数据格式进行统一的审计分析接口模块,审计分析接口模块根据目前审计业务的类型对网络审计分类,为每类定义一个标准的数据格式,并提供标准的数据转换接口。
本发明的有益效果在于由于本发明分布式审计系统多个审计单元连接起来,建立了一个分级的分布式审计网络,实现了审计系统的上下级控制和管理,还能够通过同时控制多台网络审计单元进行工作处理高速网络里的数据,满足高速网络审计要求。
图1是本发明分布式审计系统的示意图;图2是本发明分布式审计系统的服务器通讯模块的示意图;图3是本发明分布式审计系统的客户端通讯模块的示意图;图4是本发明分布式审计系统的控制中心模块的示意图;图5是本发明分布式审计系统的数据接口模块的示意图。
具体实施例方式
请参阅图1,本发明分布式审计系统是由多个审计单元100构建的分布式网络,其是一个向下的树形结构,每个审计单元100就是这个分布式网络里的节点,每个审计单元100分别包括服务器通讯模组10、客户端通讯模组20、控制中心模组30及数据接口模组40。每个节点(即审计单元100)之间通过各自的服务器通讯模组10和客户端通讯模组20连接在一起,并形成上下级关系。可以理解,在本发明分布式审计系统的分布式网络里连接的上下级审计单元100的关系就象树根的上一级节点和下一级节点的关系,在这个网络里向下行的数据是命令和策略数据,向上行的是审计日志数据。
请一并参阅图2至图5,其中审计单元100的服务器通讯模组10通过数据调度模块11与其内部的控制中心模组30连接,通过公共通讯模块12与下级审计单元100的客户端通讯模组20连接通讯。当系统初始化完毕后,服务器通讯模组10建立一个监听服务,通过在线状态检测模块13和公共通讯模块12检测并接收来自下级审计单元100的连接(一个上级可以同时与多个下级保持连接),当公共通讯模块12与下级审计单元100的连接建立完成后,接收来自下级审计单元100的客户端通讯模组20上传的数据,同时把控制命令、系统用户策略发送给下级客户端通讯模组20。
客户端通讯模组20通过数据调度模块21与其内部的控制中心模组30连接。当系统初始化完毕后,客户端通讯模组20通过在线状态通知模块23和公共通讯模块22尝试与上级服务器通讯模组10建立连接(一个下级客户端通讯模块同时只能与一个上级服务器通讯模块保持连接),当与上级服务器通讯模组10的连接建立完成后,公共通讯模块22接收来自上级服务器通讯模组10下发的控制命令、系统用户策略,同时把审计数据发送给上级服务器通讯模组10。
可以理解,服务器通讯模组10与客户端通讯模组20的连接过程可使用TCP/IP协议,相应的分布式审计系统里需具备TCP/IP网络系统模块(图未示),同时审计单元100在硬件上需具备至少一张网卡(图未示)。
控制中心模组30包括相互连接的数据调度模块31和本地数据库32。控制中心模组30用于上下级的通讯数据调度,其只与审计单元100内部的服务器通讯模组10和客户端通讯模组20交换数据。数据调度模块31对来自服务器通讯模组10的数据进行处理,判断其是否需要保存到本地数据库32、是否需要转发给客户端通讯模组20,如果需要则把相应数据拷贝给客户端通讯模组20;数据调度模块31对来自客户端通讯模组20的数据进行处理,判断其是否需要保存到本地数据库32、是否需要转发给服务器通讯模组10,如果需要则把相应数据拷贝给服务器通讯模组10。
数据接口模组40通过数据调度模块42与客户端通讯模组20连接,其包括用于对不同业务类型审计数据进行分类并对同一类型的不同厂家的审计产品的数据格式进行统一的审计分析接口模块41,审计分析接口模块41根据目前审计业务的类型对网络审计分类,为每类定义一个标准的数据格式,并提供标准的数据转换接口。
可以理解,本发明分布式审计系统的工作原理如下所述系统初始化完成后,上级审计单元100里的服务器通讯模组10建立监听服务,等待下级审计单元100的客户端通讯模组20的连接请求。当下级审计单元100的客户端通讯模组20发出连接请求,并且建立连接后,上级审计单元100里的服务器通讯模组10等待下级审计单元100的客户端通讯模组20发送审计日志数据,下级审计单元100检查是否有需要上传的审计日志,如果有则通过数据接口模组40按照定义的标准数据格式对数据进行处理,然后把处理后的数据通过客户端通讯模组20向上发送,上级审计单元100里的服务器通讯模组10接收到上传数据后,把数据提交给自己的控制中心模组30,上级审计单元100的控制中心模组30将判断该数据是否需要保存和向上转发,如果需要向上转发,则判断是否已经与其上级建立连接,如果已经建立连接则通过客户端通讯模组20向上转发。同时上级审计单元的控制中心模组30判断是否有需要转发的控制命令、策略,如果有则通过服务器通讯模组10向下级审计单元100里的客户端通讯模组20转发该数据。
可以理解,本发明分布式审计系统通过数据接口模组为每一类的审计业务制定统一的数据格式,并为审计产品提供数据转换接口,通过把不同厂商的不同数据格式通过转换统一起来,为对不同厂商的审计单元捕获的审计日志进行分析和统一存储提供了便利;其次,通过TCP/IP协议把各个审计单元连接起来,建立一个分级的分布式审计网络,实现了审计系统的多级控制和管理,上级能够很轻松地对某个区域的审计单元设置策略,也可以同时分析多个审计单元里的审计数据;再次,通过建立分布式审计网络,能够同时控制多台网络审计单元进行工作,这样可以把高速网络里的数据通过分布式网络把原来一台审计单元无法处理的数据分给多个审计单元进行处理,每个审计单元只用处理一部分数据量,就能保证高速网络里的所有数据都能被审计系统处理。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种分布式审计系统,其特征在于所述分布式审计系统包括多个审计单元,所述多个审计单元构建成一个向下的树形结构的分布式网络,并形成上下级关系,上级审计单元向下级审计单元传递命令和策略数据,下级审计单元向上级审计单元传递审计日志数据。
2.如权利要求1所述的分布式审计系统,其特征在于所述每个审计单元分别包括服务器通讯模组和客户端通讯模组,上级审计单元的服务器通讯模组与至少一个下级审计单元的客户端通讯模组连接通讯。
3.如权利要求2所述的分布式审计系统,其特征在于所述下级审计单元的客户端通讯模组仅与一个上级审计单元的服务器通讯模组连接通讯。
4.如权利要求3所述的分布式审计系统,其特征在于所述服务器通讯模组与客户端通讯模组的连接过程使用TCP/IP协议。
5.如权利要求4所述的分布式审计系统,其特征在于所述审计单元还包括一控制中心模组,该审计单元内部的服务器通讯模组和客户端通讯模组通过该控制中心模组连接并交换数据。
6.如权利要求5所述的分布式审计系统,其特征在于所述审计单元还包括一数据接口模组,其与客户端通讯模组连接,用于对不同业务类型审计数据进行分类并对同一类型的不同厂家的审计产品的数据格式进行统一。
7.如权利要求6所述的分布式审计系统,其特征在于所述服务器通讯模组包括一数据调度模块与其内部的控制中心模组连接,通过一公共通讯模块与下级审计单元的客户端通讯模组连接通讯,当系统初始化完毕后,服务器通讯模组建立一个监听服务,通过在线状态检测模块和公共通讯模块检测并接收来自下级审计单元的连接,接收来自下级审计单元的客户端通讯模组上传的数据,同时把控制命令、系统用户策略发送给下级客户端通讯模组。
8.如权利要求7所述的分布式审计系统,其特征在于所述客户端通讯模组包括一数据调度模块与其内部的控制中心模组连接,当系统初始化完毕后,客户端通讯模组通过在线状态通知模块和公共通讯模块与上级服务器通讯模组建立连接,公共通讯模块接收来自上级服务器通讯模组下发的控制命令、系统用户策略,同时把审计数据发送给上级服务器通讯模组。
9.如权利要求8所述的分布式审计系统,其特征在于所述控制中心模组包括相互连接的数据调度模块和本地数据库,数据调度模块对来自服务器通讯模组的数据进行处理,并判断其是否需要保存到本地数据库、是否需要转发给客户端通讯模组,数据调度模块对来自客户端通讯模组的数据进行处理,并判断其是否需要保存到本地数据库、是否需要转发给服务器通讯模组。
10.如权利要求9所述的分布式审计系统,其特征在于所述数据接口模组通过数据调度模块与客户端通讯模组连接,其包括用于对不同业务类型审计数据进行分类并对同一类型的不同厂家的审计产品的数据格式进行统一的审计分析接口模块,审计分析接口模块根据目前审计业务的类型对网络审计分类,为每类定义一个标准的数据格式,并提供标准的数据转换接口。
全文摘要
本发明涉及一种分布式审计系统,所述分布式审计系统包括多个审计单元,所述多个审计单元构建成一个向下的树形结构的分布式网络,并形成上下级关系,上级审计单元向下级审计单元传递命令和策略数据,下级审计单元向上级审计单元传递审计日志数据。由于本发明分布式审计系统多个审计单元连接起来,建立了一个分级的分布式审计网络,实现了审计系统的上下级控制和管理,还能够通过同时控制多台网络审计单元进行工作处理高速网络里的数据,满足高速网络审计要求。
文档编号H04L12/28GK1996876SQ20061006140
公开日2007年7月11日 申请日期2006年6月30日 优先权日2006年6月30日
发明者申屠青春, 阮伟军, 林飞 申请人:深圳市中科新业信息科技发展有限公司