专利名称:全程全网安全协同防御系统的协同防御方法
全程全网安全协同防御系统的协同防御方法
技术领域:
本发明涉及互联网与计算机网络安全技术领域,尤其涉及计算机网络安全一体化 协同防御的网络协同防御方法。
背景技术:
计算机网络的飞速发展,给人们的生产和生活带来极大的便利,使各行业和企业 的信息化程度迅速提高。我们在得益于计算机网络迅速发展所带来的巨大机遇的同时,也 不得不面临着各种网络 安全问题的挑战病毒,蠕虫,木马,恶意攻击,非授权接入,非法外 联,垃圾邮件等。这些网络安全威胁不仅给个人的工作和生活带来很大的不便和损失,更给 企业,对政府带来巨大的影响。面对这些威胁,人们提出了多种防护措施防火墙,防病毒,入侵检测,虚拟专用 网,反垃圾邮件等。但这些网络安全系统在功能上孤立单一,大多只能对抗已知攻击,缺少 对网络系统故障和人为操作失误等因素的处理。这种传统的网络安全系统是基于静态安全 技术建立的被动防御模型,没有依据统一的安全防御策略对网络系统各个层面进行系统全 面的防御,消极反应和事后修补完善外在附加,被动的防御,未能解决脆弱的本源问题,更 无法应对具有多样、随机、隐蔽和传播等特点的攻击和破坏行为,而且安全系统自身的安全 可靠没有保证。这种防御体制已不能适应当今复杂多变的网络环境安全需求。现有计算机网络安全产品的多样化使得整个系统的相互协作与管理成为难点, 设备管理、运行管理带来的管理成本与难度直接制约了安全防御体系的有效性。为了解 决各种网络设备的协作和管理问题,近年来提出了统一威胁管理(Unified Treatment Management, UTM)的方式,将多种网络安全控制能力融合在一起,进行统一管理,实现防御 一体化。该种防御方式为简化安全解决方案,规避设备兼容性问题提供了有效途径。但现 今的解决方案要么是将独立的软件和硬件模块嵌入到一个系统或机箱中实现功能的堆砌, 要么是对某一功能进行特殊的处理,不能做到从体系结构层面对网络各层进行有效整合和 简化处理,UTM设备和系统并不成熟,且防御措施是“个人自扫门前雪”的孤立方式,S卩,只 是在单点进行被动防御。然而事实表明,计算机网络的不安全因素在网络安全事件中,都不 是孤立和分离的,而且越来越成群体化趋势,现有技术的计算机网络安全防御系统的孤立 的被动防御理念显然无法对群体性网络安全事件进行防御(如病毒扩散,分布式DDoS攻击 等),也不能从根本上解决网络安全问题。
发明内容本发明提供一种全程全网安全协同防御系统的协同防御方法,提供全局式网络一 体化安全协同解决方案,实现全局性的网络一体化协同安全防御。为了解决上述的技术问题,本发明提供一种全程全网安全协同防御系统的协同防 御方法,所述全程全网安全协同防御系统包括安全分析控制中心、设置于计算机网络节点 外端口处的流量数据探测子系统和设置于计算机网络节点的协同防御设备,所述的协同防御方法包括如下步骤(1)流量数据探测子系统持续接收预进入内部网络的流量,采集流量数据并将其发送至协同防御设备,协同防御设备将分析确认不包含异常活动和异常内容的流量数据传 送到计算机内部系统;(2)当协同防御设备检测到有异常的数据包或者异常流量安全事件时,则通知流 量数据探测子系统将异常流量数据后续包传送给协同防御设备,协同防御设备对异常流量 数据进行分析,依据原有的预设策略或形成的新策略或安全分析中心发送过来的安全策略 对安全事件进行处理;(3)协同防御设备将安全事件、策略、事件处理结果及其日记传送给安全分析控制 中心;(4)安全分析控制中心接收并传送事件相关信息至安全分析控制内置的数据中 心,经安全分析控制中心进行统一分析后做出管理决策,查看各协同防御设备并分析全程 全网安全协同防御系统的运行状况,然后更新各协同防御设备的协同防御策略,对协同防 御设备的各功能组件进行统一部署,并通过审核日记对安全事件进行源头控制;(5)安全分析控制中心记录整个安全事件处理时间,结果等,以备追踪查询。所述的步骤(2)中,当原有安全策略可以处理安全事件时仅利用其原有的预设策 略响应;当原有的预设策略无法处理安全事件时,协同防御设备利用自身的策略和网络资 源,或反映给管理员制定新的可执行策略,并将策略分发至其他协同防御设备;当协同防御 设备自身无法制定相应的策略时,发送报告给安全分析控制中心,安全分析控制中心结合 数据中心制定策略,并分发给其他协同防御设备。所述全程全网安全协同防御系统基于服务器-代理的模式,安全分析控制中心通 过部署在协同防御设备上的代理程序与协同防御设备进行安全通信,代理程序中的本地监 控插件根据安全分析控制中心的指令,指示协同防御设备完成相应的协同策略管理动作。所述协同防御设备完成的协同策略管理动作包括返回当前各协同防御设备的状 态信息和性能数据;指示各协同防御设备在特定的情况下筛选某一时间段内的安全组件日 志信息,并将这些信息汇总到安全分析控制中心;对协同防御设备中的各个网络安全组件 进行统一更新和控制,调动多台协同防御设备中的安全组件协同工作;升级更新协同防御 设备安全组件、安全策略和协同策略。所述安全分析控制中心与各协同防御设备呈树型网络拓扑结构。所述的各协同防御设备包括第一级协同防御设备和第二级协同防御设备,所述第 一级协同防御设备分别与安全分析控制中心连接,所述的第一级协同防御设备分别与多个 第二级协同防御设备连接。所述的步骤(2)中还包括(2. 1)当所述第二级CTM设备发现新的安全事件后,直接向其所属的上一级的第 一级CTM设备报告;(2. 2)第一级CTM设备收到报告后,如果该第一级CTM设备依据所预先设定的安全 策略和数据库,应对处理该安全事件,进入下一步骤,若该第一级CTM设备依据所设定的安 全策略和数据库不能应对处理该安全事件,进入步骤4)(2. 3)该第一级CTM设备生成响应策略并分发给所属的各CTM设备子域,再将该第一级CTM设备的处理结果的摘要信息向安全分析控制中心报告;(2. 4)该第一级CTM设备将该安全事件向安全分析控制中心报告,由安全分析控 制中心进行分析处理后并将响应策略并转发给各个第一级CTM设备,并统一调控各个第一 级、第二级CTM设备的功能组件和更新各第一、第二级CTM设备的策略数据。所述的安全分析控制中心与各协同防御设备之间呈星型拓扑结构,各协同防御设 备之间呈对等网格型网络拓扑结构。 所述的任一协同防御设备监控到新的安全事件的信息后与其它协同防御设备之 间的信息同步包括两种方式一是该协同防御设备将信息发送给安全分析控制中心,由安 全分析控制中心转发给其他协同防御设备;二是该协同防御设备向其他协同防御设备发送 通报内容,通报内容包括安全事件的相关信息以及该协同防御设备自身的应对策略信息, 并向安全分析控制中心发送通报内容的信息的摘要。所述的安全分析控制中心与各协同防御设备之间呈对等网格型网络拓扑结构。本发明的全程全网安全协同防御系统的系统防御方法通过流量数据探测子系统 监测计算机网络的流量数据,依据安全分析控制中心的分析的记过,控制各协同防御设备 处理并发送安全策略进行协同防御,增加利用网络的整体性防御和协作性防御,便于网络 部署和管理,适用于对网络安全要求严格的政府部门、电子商务和银行,并提供安全可靠的 网络安全防御系统。
图1是计算机网络安全协同防御系统的防御功能的原理框图。图2是计算机网络安全协同防御系统的协同策略管理的原理框图。图3是分层结构模式的计算机网络安全协同防御系统的结构图。图4是混合结构模式的计算机网络安全协同防御系统的结构图。图5是对等结构模式的计算机网络安全协同防御系统的结构图。
具体实施方式为进一步阐述本发明达成预定目的所采取的技术手段及功效,以下结合附图及实 施例,对本发明全程全网安全协同防御系统及协同防御的方法的具体实施方式
、结构特征 及其功效,详细说明如下。本发明的计算机网络协同防御(Collabatative Threat Management,CTM,协同防 御)系统基于现有UTM(Unified Treatment Management,统一威胁管理)的统一防御威胁 管理的计算机网络安全技术,在UTM的基础上增加协同防控功能。本发明通过在网络上运用以“摄像头+红绿灯+统一监控管理中心”为基本思想 的协同统一管理机制进行计算机网络一体化的协同防御。本发明包括安全分析控制中心, 协同防御设备(协同防御设备,为描述简便,下面简称CTM设备)和流量数据探测系统,流 量数据探测系统置于计算机网络节点外端口,对预进入网络节点的数据流量进行捕捉,协 同防御设备设置在计算机网络的网络节点等关键位置,每一协同防御设备内置流量数据探 测子系统以探测流量数据并可进行分析,同时还设置管理控制组件和协同防御组件,流量 数据探测子系统捕捉和CTM分析记录的安全事件(起到相当于“摄像头”作用)被并传送给安全分析控制中心,安全分析控制中心接收各协同防御设备的信息进行统一分析后,生 成防御决策,并统一发送给各网络节点的CTM设备(相当于“统一调度”),更新各网络节点 的CTM设备的防御策略,实现计算机网络的整体网络安全事件的协同防御(相当于“红绿 灯”控制)。本发明的全程全网安全协同防御系统的CTM设备的协同防控组件提供CTM设备连 接到安全分析控制中心的接口,以便实现计算机网络内通过安全分析控制中心统一管理和 配置多台CTM设备,及时查看和监控每一台CTM设备网关的安全状态和运行信息。各CTM 设备的协同防控功能开启之后,通过计算机网络连接到远端的安全分析控制中心,安全分 析控制中心通过内置在CTM设备中的协同防控功能组件获取各CTM设备的系统状态信息、 流量信息和版本信息,用于进行计算机网络的设备状态显示。同样,在不不会素独立的安全 分析控制中心的情况,CTM设备之间可以利用协同防控组件完成CTM设备之间策略生成、分 发和相互之间各功能模块的调整。 同时,计算机网络的各CTM设备可以以分组的方式管理, 以组为单位进行远程统一配置、升级等操作,并可以将管理的CTM设备按照一定的策略进 行组织成协同结构,实现设备之间的协同作战,使安全事件的威胁在源头得到控制。本发明的流量数据探测子系统,设置于网络节点外,监测预进入网络节点的网络 的流量数据,并将监测的数据发送给协同防御设备。本发明的协同防御设备(Collabatative Threat Management,CTM,协同防御),设 置于网络节点等关键部位,内置防火墙等多种安全功能组件,对探测系统获取的流量进行 监控组件和协同防控功能组件。协同防御设备分析探测系统送过来的流量数据,记录异常 流量等安全事件,并将安全事件传送给安全分析控制中心。协同防御设备更新安全分析控 制中心分发的策略,并执行控制中心对其各功能组件的重新部署,并可以实现其与其他CTM 设备之间信息传递与功能组件调节。部分CTM设备还加载数据中心和分析控制中心,做分 析控制使用,从而增加系统整体协调能力,减少分析控制中心的负担。CTM设备是针对恶意 攻击、非法活动和网络资源滥用等威胁,实现协同防御的高可靠、高性能、易管理的网关安 全设备。本发明的安全分析控制中心,是管理和配置各协同防御设备并进行数据处理的监 控中心。CTM设备检测到的安全事件信息传输到其内置的数据中心后,经过分析控制中心统 一分析,生成相应应对策略,分发给各CTM设备。同时还可以辨别分析出各CTM设备监测的 具有共性的安全事件进行报警,并生成配置建议,分别对各CTM设备进行配置更新。管理员 也可以设置按照分析结果手动更新各CTM设备配置。分析控制中心内置的数据中心是海量 信息的后台处理中心,主要完成CTM设备的网关日志和流量信息的存储、分析、审计和处理 功能,实现必要时的信息取证功能。本发明的全程全网安全协同防御系统执行协同防御方法,包括如下的步骤(1) 设置于计算机网络的网络节点外端口处的流量数据探测子系统,捕捉预进入节点内的流量 数据,并将数据发送给协同防御设备;(2)设置于计算机网络节点处的协同防御设备分析 所采集数据流量并记录异常流量等安全事件,依据原有策略或形成的新策略或安全分析中 心发送过来的策略对安全事件进行处理,并将安全事件、策略、事件处理结果及其日记等传 送给安全分析控制中心;(3)控制中心接收并传送事件相关信息至安全分析控制内部的数 据中心,经分析控制中心进行统一分析后做出管理决策,查看各协同防御设备了解系统运行状况,然后更新各协同防御设备的协同防御策略,对协同防御设备的各功能组件进行统 一部署,并通过审核日记对安全事件进行源头控制,实现对网络安全事件的一体化协同安 全防御。本发明可以实际使用需要部署为星型、树状等拓扑结构,并可以进行任意局域网, 城域网和广域网拓展,建立以安全分析控制中心、各协同防御设备和流量数据探测子系统 为基础的可进行全局网络的安全防御和管理的多层次网络安全策略控制体系,有效提高计 算机网络整体安全防御强度和管理灵活性。本发明的全程全网安全协同防御系统的协同防控功能提供安全分析控制中心的 IP地址,在各CTM设备协同防控功能开启模式下,各CTM设备自动连接到远端的安全分析控 制中心,将当前CTM设备的每个安全应用和服务模块的运行状态和其他安全信息传输到安 全分析控制中心,以集中显示,同时各CTM设备接受安全分析控制中心发回的配置指令,进 行相应的配置。 本发明的全程全网安全协同防御系统在安全分析控制中心和CTM设备中分别预 设多种安全策略管理动作,能够应对多种网络安全威胁,并且通过各CTM设备的程序的更 新,加入新的插件程序,即可实现协同策略管理动作的扩展,使得用户可以方便地根据网络 情况订制自己需要的协同策略管理动作,更好地保护本地网络。为了保证安全分析控制中 心与各CTM设备的通信安全,整个通信过程采用SSL (Security Socket Layer,)加密,同 时各CTM设备的代理程序将验证安全分析控制中心的身份,只有来自特定IP地址的协同策 略管理命令才会得到执行,可以通过管理员权限设置参与协同策略管理的各CTM设备,通 过打开或者关闭CTM设备上的协同策略管理组件开关,实现灵活可订制的网络安全协同管 理。本发明的计算机协同防御管理系统可以设置单机管理机制,即可依据每一 CTM设 备设定的管理机制或在管理员的调配下对安全事件进行防御并调整安全防御策略,也可以 适用于在大型的网络中分布式的部署安全分析控制中心和CTM设备,配置网络安全的管理 控制能力,提供强大的数据分析能力。本发明的全程全网安全协同防御系统的防御功能的原理如图1所示,图1中安全 分析控制中心1通过流量数据探测子系统3对预进入网络内部的流量数据进行采集;CTM 设备2对流量数据探测子系统3的监测结果和探测流量进行控制和管理。本发明可以采用 分组的方式管理各CTM设备2,以组为单位进行远程统一配置、升级等操作,并可以将管理 的各CTM设备按照一定的策略进行组织成协同结构,实现设备之间的协同作战,使网络安 全威胁在源头得到控制。流量数据探测子系统3及各CTM设备2主要通过协同防控功能组 件21和流量监控功能组件22负责网络信息截取和安全事件处理,安全分析控制中心1内 置分析引擎11、策略引擎12、特征引擎13和备份模块14,安全分析控制中心1负责信息和 安全事件分析,实施对各CTM设备2的调控、策略处理,并进行更新及重要信息备份。CTM设 备2设置的流量监控功能组件组件21设置的接口,方便网络管理员对所部署的CTM设备2 进行集中式的高效监视,包括当前网络环境和安全组件状态信息、性能数据等,CTM设备2 设置网络安全事件和日志信息查询功能和协同策略管理控制功能,使得管理员能够掌握当 前网络安全状况,并对网络安全威胁进行快速响应和处理。本发明的全程全网安全协同防御系统建立了各CTM设备作为单机进行独立管理 的同时,还通过将各CTM设备之间连接进行协同管理相结合的双重管理机制,为用户提供了集中式的CTM设备性能与状态监视、统一的安全组件管理以及网络事件日志的汇总分析机制,在此基础上实现了多台CTM设备的协同策略管理。本发明的计算机网络协同管理系统对管理员进行管理认证,对计算机网络的安全 网关通常都可以通过网络进行策略配置,因此使用安全的身份认证,避免非授权用户擅自 进入安全功能系统,篡改甚至破坏计算机网络的安全策略。各CTM设备提供了基于角色的 认证管理,安全分析控制中心以及CTM设备的系统管理员可以灵活地定义各类管理员角 色,如某角色可以进行日志信息的查看,但不能进行安全策略的修改等,对于管理员的任何 行为,CTM设备均进行日志审计,保证各CTM设备自身的管理安全。本发明的计算机协同防御管理系统的协同管理策略的原理如图2所示。本发明的 全程全网安全协同防御系统采用服务器_代理工作模式,代理工作模式的代理就是使CTM 设备具有一定的计算资源和局部的行为控制机制,能够在没有外界直接操纵的情况下,根 据其内部状态和网络环境信息,决定和控制自身行为。安全分析控制中心1通过部署在每 台CTM设备2上的代理程序与每台CTM设备2进行安全通信,CTM设备的代理程序中的本地 监控插件程序模块根据安全分析控制中心的指令,指示CTM设备完成相应的协同策略管理 动作包括返回当前各CTM设备的状态信息和性能数据,使得网络管理员能够掌握当前的 网络状况;指示各CTM设备按照设定条件,例如,设定检测到大量异常流量作为设定条件, 筛选某一时间段内的安全组件日志信息,并将这些信息汇总到安全分析控制中心的数据中 心,使得网络管理员能够针对某种网络安全威胁进行快速响应;或者对CTM设备中的各个 网络安全组件进行统一更新和控制,使得多台CTM设备中的安全组件能够协同化地进行工 作;或者实现CTM设备的安全组件的程序版本升级和安全策略库更新、协同策略管理动作 的更新。本发明的全程全网安全协同防御系统将所有参与协同防御管理的CTM设备的状 态和性能数据、网络事件以及日志信息汇总到安全分析控制中心,存入安全分析控制中心 的数据库,方便网络进行统一的数据分析和网络日志查询与管理。在发生入侵事件时,安全 分析控制中心根据CTM设备汇总的数据找到源头,进行源头控制,对接入的CTM设备进行策 略重组,彻底切断传输通道,在被攻击端,主动关闭相关通道,同时通过协同协议向安全分 析控制中心发送被攻击信息,从而实现在源头、传输通道和目标端多点控制,实现计算机网 络的平稳和有序运行。本发明的全程全网安全协同防御系统建立软件升级机制,从升级内容上分为软件 版本升级、入侵防御特征库升级和防病毒特征库升级;从升级方式上分为自动升级和手动 升级。自动升级是指在本发明的协同防御管理系统中指定升级服务器的地址,当所有 CTM设备的病毒等特征库存在可用更新时或达到用户指定的升级时间时,升级引擎自动进 行更新下载、更新验证和更新升级的操作,保证该体系的特征库始终保持最新。自动升级主 要应用于该体系网关部署在因特网的情况,通过因特网与指定升级服务器进行通信。手动升级是指用户定期从指定的升级服务器下载升级文件,由用户通过手动的方 式对本发明的协同防御管理系统的CTM设备进行软件主体、入侵防御特征库和防病毒特征 库升级的一种模式。手动升级主要应用于当本发明的协同防御管理系统的CTM设备部署在 企业内网或对实时性要求非常高的应用环境。
本发明的协同防御管理系统的软件升级功能设置升级前文件正确性检查和升级 后的自恢复能力功能模块,即在升级前对升级文件进行完整性、正确性校验,只有校验合 格才开始进行升级,如果当前的系统防御管理系统不能兼容此种格式的升级或升级文件受 损,则自动提示给用户并指明错误类型。升级失败,例如升级过程中遇到掉电或网络连接失 败或升级后系统加载失败,系统保留并默认原版本的正常运行,不会因升级错误失败而导 致计算机网络的各设备无法使用。为具体说明本发明的全程全网安全协同防御系统的结构和原理,下面结合具体的 实施例和附图进行详细的说明。图3为本发明的全程全网安全协同防御系统的层次结构模式图。本实施例的安全 分析控制中心1连接并管理若干个第一级CTM设备,每个CTM设备又管理若干个第二级CTM 设备。因此,本具体实施例中,安全分析控制中心和第一、第二级CTM设备之间的网络拓扑 结构呈树型拓扑结构。在本具体实施例中,安全分析控制中心1可以连接并管理多个层级 的CTM设备,形成层级管理的树型网络拓扑结构。本具体实施例的协同防御系统的协同防 御方法包括如下步骤1)、任一第二级CTM设备发现新的安全事件后,直接向其所属的上一级的第一级 CTM设备报告;2)、第一级CTM设备收到报告后,如果该第一级CTM设备依据所预先设定的安全策 略和数据库,能够处理该安全事件,则进入步骤3,若该第一级CTM设备(主域)依据自身所 预先设定的安全策略和数据库不能处理该安全事件,进入步骤4)3)该第一级CTM设备生成响应策略并分发给所属的各CTM设备子域,再将该第一 级CTM设备的处理结果的摘要信息向安全分析控制中心报告,进入步骤5 ;4)该第一级CTM设备将该安全事件向安全分析控制中心报告,由安全分析控制中 心进行分析处理后并将响应策略并转发给各个第一级CTM设备,并统一调控各个第一级、 第二级CTM设备的功能组件和更新各第一、第二级CTM设备的策略数据。5)结束。本具体实施例中,根据计算机网络的规模大小,安全分析控制中心并不限于所设 置的第一、第二级CTM设备两个层级的CTM设备,还可以设置多个层级的CTM设备域,例如, 可以在每一第二级CTM设备向下设置多个第三级CTM设备,每一第三级CTM设备向下设置 多个第四级CTM设备,依次往下类推,根据计算机网络的规模大小和需要而设置多个层级 的CTM设备。本方案的适应范围较广,主要应用于需集中管理的,各级设备管理层级明显的 网络管理系统。图4为本发明的全程全网安全协同防御系统的混合结构模式图。本具体实施例中 的系统结构包括一个分析控制中心和多个CTM设备。安全分析控制中心与CTM设备之间呈 星型结构,各CTM设备之间呈对等关系,构成网格状网络拓扑结构。本具体实施例的协同防 御管理系统的协同防御方法包括如下步骤,当任一 CTM设备发生新的安全事件后,CTM设备 进行信息同步包括如下两种方式一是CTM设备将安全事件的信息发送给安全分析控制中 心,由安全分析控制中心转发给其他CTM设备;二是CTM设备将 安全事件地信息向其他CTM 发送通报,通报内容包括安全事件的相关信息以及该发现新的安全事件的CTM设备自身的 应对策略信息,实现各CTM安全策略的同步共享,同时CTM设备将通报内容的信息以摘要形式向安全分析控制中心汇报。为了保护CTM设备的安全,CTM设备的策略部署、所在网关流 量状况及其基本状态信息由安全分析控制中心统一维护,各CTM设备可以通过安全分析控 制中心获得其他CTM设备的有关信息。同时,因为安全分析控制中心持有全局最新的安全 策略信息,各CTM设备可以以P2P (Peer-to-Peer,点对点分散式网络架构)的方式主动从其 他CTM设备获得最新的安全策略,实现计算机网络的全局同步。本具体实施例的方案主要 针对大型网络安全部署。图5为全程全网安全协同防御系统的对等结构管理模式示意图。本具体实施例 的网络结构管理模式不需要部署独立的安全分析控制中心,安全分析控制中心为最高管理 权限级别的CTM设备,可以由该最高管理权限级别的CTM设备执行安全分析控制中心的分 析处理和统一协同管理功能。在本具体实施例中,所有的CTM设备以对等的方式存在,每个 CTM设备都可以进行自身的安全信息捕捉和处理以及安全事件的通报,同时还可以接收其 他CTM设备通报给它的安全事件信息和应对策略信息,并依据自身(存储)数据中心对接 收到的事件进行分析控制处理,或通过管理员进行相关策略分析运筹后,将CTM处理生成 的安全策略发送给其他CTM设备,并同时对其他CTM设备各功能组件进行调控,从而实现各 CTM设备的全方位协同防控。因此,本具体实施例的各CTM设备之间呈对等的网络网格型 拓扑结构,任一 CTM设备检测到新的安全事件并处理生成安全策略, 可以将其生成的安全 策略通过网络传输给其他的CTM设备以增强其他CTM设备的安全策略应对,由此,使得整个 计算机网络的各CTM设备之间能协同防御应对安全事件。本具体实施例的方案针对小型网 络,或大型网络部署。本具体实施例中的全程全网安全协同防御系统的各CTM设备之间进行协同防御 的方法包括如下步骤1)部署在计算机网络的外端口的流量数据子探测系统持续接收并采集预进入计 算机内部网络的流量,将这些数据流量交送CTM设备分析,经检查确认不包含异常活动和 异常内容的流量,再通过另外一个端口将流量数据传送到计算机网络内部系统;2当CTM设备分析流量数据探测子系统所发送的检测结果,若发现流量数据有异 常,则执行步骤3操作;3) CTM设备接收到数据后,依据预先设定的策略和分析机制进行分析处理,例如可 以对检测到的病毒直接删除;4)若CTM设备分析发现其流量数据没有异常,则对接收的数据流继续监控,并将 处理结果送与策略中心;5)若CTM设备分析发现所接收的数据流量有异常,依据自身所设定的分析机制可 以处理,则响应该数据流量并记录事件,同时更新其处理生成的安全策略,并将生成的安全 策略发送其他CTM设备,以使得其他的CTM设备可以进行各自的功能组件的调整;6)若CTM设备发现所接收的数据流量异常,依据预先设定的分析处理机制所设定 的分析机制无法处理,给其他的CTM设备发送请求报告,请求其他CTM设备及其管理员协同 处理;7)其他CTM设备或管理员接收最先侦测到数据流量的安全事件的CTM设备发送的 信息并分析处理,然后将生成的处理策略分发给其他CTM设备,并统一调控其它CTM设备的 功能组件和流量控制,实现计算机网络中的所有CTM设备的全局统筹和协同控制。本具体实施例的方案主要针对小型网络安全部署。 综上所述,本发明的全程全网安全协同防御系统协调管理部署于计算机网络节点 等关键位置的CTM设备,通过流量数据探测子系统对网络数据流量的采集,协同防御设备 和安全分析控制中心对采集的数据流量分析、处理,运用多层策略分析和协同管理机制,运 用协同管理和分析机制,构建全方位多层次的网络安全防御体系,增加计算机网络的整体 网络安全防御性,提高计算机网络的安全和防病毒及防攻击性。本发明的全程全网安全协 同防御系统包括安全分析控制中心,协同防御设备和流量数据探测子系统,协同防御设备 包括对探测系统所探测流量分析管理和协同防控功能,安全分析控制中心内部关联数据中 心,流量探测系统对预进入网络节点的数据流量进行捕捉,后送与协同管理设备。流量数据 探测系统置于计算机网络边缘,对预进入网络的数据流量进行捕捉,协同防御设备设置在 计算机网络关键部位,每一协同防御设备内置流量数据探测监控系统以探测流量数据并可 进行分析,同时还设置管理控制组件和协同防御组件,流量数据探测子系统捕捉和CTM分 析记录的安全事件 被传送给安全分析控制中心,安全分析控制中心接收各协同防御设备的 信息进行统一分析后,生成防御决策,并统一发送给各网络节点的CTM设备,更新各网络节 点的CTM设备的防御策略,并通过审核日记对安全事件进行源头控制,还可以通过与各级 别的管理员协同处理,实现计算机网络的整体网络安全事件的协同防御。
权利要求
一种全程全网安全协同防御系统的协同防御方法,所述全程全网安全协同防御系统包括安全分析控制中心、设置于计算机网络节点外端口处的流量数据探测子系统和设置于计算机网络节点的协同防御设备,所述的协同防御方法包括如下步骤(1)流量数据探测子系统持续接收预进入内部网络的流量,采集流量数据并将其发送至协同防御设备,协同防御设备将分析确认不包含异常活动和异常内容的流量数据传送到计算机内部系统;(2)当协同防御设备检测到有异常的数据包或者异常流量安全事件时,则通知流量数据探测子系统将异常流量数据后续包传送给协同防御设备,协同防御设备对异常流量数据进行分析,依据原有的预设策略或形成的新策略或安全分析中心发送过来的安全策略对安全事件进行处理;(3)协同防御设备将安全事件、策略、事件处理结果及其日记传送给安全分析控制中心;(4)安全分析控制中心接收并传送事件相关信息至安全分析控制内置的数据中心,经安全分析控制中心进行统一分析后做出管理决策,查看各协同防御设备并分析全程全网安全协同防御系统的运行状况,然后更新各协同防御设备的协同防御策略,对协同防御设备的各功能组件进行统一部署,并通过审核日记对安全事件进行源头控制;(5)安全分析控制中心记录整个安全事件处理时间,结果等,以备追踪查询。
2.如权利要求1所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所 述的步骤(2)中,当原有安全策略可以处理安全事件时仅利用其原有的预设策略响应;当 原有的预设策略无法处理安全事件时,协同防御设备利用自身的策略和网络资源,或反映 给管理员制定新的可执行策略,并将策略分发至其他协同防御设备;当协同防御设备自身 无法制定相应的策略时,发送报告给安全分析控制中心,安全分析控制中心结合数据中心 制定策略,并分发给其他协同防御设备。
3.如权利要求1所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所 述全程全网安全协同防御系统基于服务器-代理的模式,安全分析控制中心通过部署在协 同防御设备上的代理程序与协同防御设备进行安全通信,代理程序中的本地监控插件根据 安全分析控制中心的指令,指示协同防御设备完成相应的协同策略管理动作。
4.如权利要求3所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所 述协同防御设备完成的协同策略管理动作包括返回当前各协同防御设备的状态信息和性 能数据;指示各协同防御设备在特定的情况下筛选某一时间段内的安全组件日志信息,并 将这些信息汇总到安全分析控制中心;对协同防御设备中的各个网络安全组件进行统一更 新和控制,调动多台协同防御设备中的安全组件协同工作;升级更新协同防御设备安全组 件、安全策略和协同策略。
5.如权利要求1所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所 述安全分析控制中心与各协同防御设备呈树型网络拓扑结构。
6.如权利要求5所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所 述的各协同防御设备包括第一级协同防御设备和第二级协同防御设备,所述第一级协同防 御设备分别与安全分析控制中心连接,所述的第一级协同防御设备分别与多个第二级协同 防御设备连接。
7.如权利要求6所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所 述的步骤⑵中还包括(2. 1)当所述第二级CTM设备发现新的安全事件后,直接向其所属的上一级的第一级 CTM设备报告;(2. 2)第一级CTM设备收到报告后,如果该第一级CTM设备依据所预先设定的安全策略 和数据库,应对处理该安全事件,进入下一步骤,若该第一级CTM设备依据所设定的安全策 略和数据库不能应对处理该安全事件,进入步骤4)(2. 3)该第一级CTM设备生成响应策略并分发给所属的各CTM设备子域,再将该第一级 CTM设备的处理结果的摘要信息向安全分析控制中心报告;(2. 4)该第一级CTM设备将该安全事件向安全分析控制中心报告,由安全分析控制中 心进行分析处理后并将响应策略并转发给各个第一级CTM设备,并统一调控各个第一级、 第二级CTM设备的功能组件和更新各第一、第二级CTM设备的策略数据。
8.如权利要求1所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所 述的安全分析控制中心与各协同防御设备之间呈星型拓扑结构,各协同防御设备之间呈对 等网格型网络拓扑结构。
9.如权利要求8所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所 述的任一协同防御设备监控到新的安全事件的信息后与其它协同防御设备之间的信息同 步包括两种方式一是该协同防御设备将信息发送给安全分析控制中心,由安全分析控制 中心转发给其他协同防御设备;二是该协同防御设备向其他协同防御设备发送通报内容, 通报内容包括安全事件的相关信息以及该协同防御设备自身的应对策略信息,并向安全分 析控制中心发送通报内容的信息的摘要。
10.如权利要求1所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所 述的安全分析控制中心与各协同防御设备之间呈对等网格型网络拓扑结构。全文摘要
本发明公开一种全程全网安全协同防御系统的协同防御方法,网络中多节点布控,统一分析管理节点设备,实现系统全局性协同防御。其具体方法设置于计算机网络的网络节点外端口处的流量数据探测子系统,捕捉预进入节点内的流量数据,并将数据发送给协同防御设备;设置于计算机网络节点处的协同防御设备分析所采集数据流量并记录异常流量等安全事件,并对安全事件进行处理,将安全事件相关信息传送给安全分析控制中心;经分析控制中心进行统一分析后做出管理决策,查看各协同防御设备了解系统运行状况,然后更新各协同防御设备的协同防御策略,对协同防御设备的各功能组件进行统一部署,并通过审核日记对安全事件进行源头控制,实现对网络安全事件的一体化协同安全防御。
文档编号H04L29/06GK101938460SQ20101020574
公开日2011年1月5日 申请日期2010年6月22日 优先权日2010年6月22日
发明者苟仲武 申请人:北京豪讯美通科技有限公司