实现安全审计的系统及方法
【专利摘要】本发明涉及一种实现安全审计的系统,其中包括数个客户端、数个服务器和安全审计设备,本发明还涉及一种安全审计的方法,包括客户端将业务请求报文发送至安全审计设备;安全审计设备将业务请求报文转发至业务请求报文对应的服务器,并将业务请求报文镜像复制得到对应的镜像文件;安全审计设备解析镜像文件得到对应的业务操作指令;服务器响应业务请求报文,并将对应的业务操作日志发送至安全审计设备;安全审计设备对业务操作指令和所述的业务操作日志进行比较分析。采用本发明的实现安全审计的系统,具有双机热备和集群部署的功能,易于普及,稳定可靠,支持动态扩展,具有更广泛的应用范围。
【专利说明】实现安全审计的系统及方法
【技术领域】
[0001]本发明涉及信息安全领域,尤其涉及用户访问的安全审计领域,具体是指一种实现安全审计的系统及方法。
【背景技术】
[0002]随着信息技术的高速发展,互联网的安全问题日益突出。防火墙、入侵检测等传统网络安全手段,可以实现对网络异常行为的管理和监测,但不能监控网络内容和已经授权的正常内部网络访问行为,因此对正常网络访问行为导致的信息泄密、网络资源监测行为无能为力。在这种背景下产生了安全审计设备,现有的安全审计设备网络拓扑图如图1所示,安全审计设备与服务器一一对应。然而,目前各行业对信息系统的依赖性很大,需要提供不间断的服务,保证24小时不间断运行,这也要求安全审计设备提供连续可靠的服务,图1中所示的方法难以满足该要求;在现实应用中应用服务器的数量比较大并且逐日增力口,通常一个安全审计设备无法支持大量的服务器,这要求安全审计设备支持动态扩展。
【发明内容】
[0003]本发明的目的是克服了上述现有技术的缺点,提供了一种支持大量服务器,且设备之间周期性的进行数据同步,通过比较业务操作指令和业务操作日志进行选择性的报警,同时具有双机热备和集群部署,易于普及,稳定可靠,支持动态扩展的实现安全审计的系统及方法。
[0004]为了实现上述目的,本发明的实现安全审计的系统及方法具有如下构成:
[0005]该实现安全审计的系统,其主要特点是,所述的系统包括:
[0006]数个客户端,用以将业务请求报文发送至安全审计设备;
[0007]数个服务器,用以响应所述的安全审计设备转发的所述的业务请求报文,并将对应的业务操作日志发送至所述的安全审计设备;
[0008]安全审计设备,用以将所述的业务请求报文镜像复制得到对应的镜像文件,并解析所述的镜像文件得到对应的业务操作指令,和对所述的业务操作指令和所述的业务操作日志进行比较分析。
[0009]进一步地,所述的安全审计设备包括:
[0010]交换模块,用以将所述的业务请求报文转发至所述的业务请求报文对应的服务器,并对所述的业务请求报文进行镜像复制得到对应的镜像文件;
[0011]报文抓包模块,用以对所述的镜像文件进行加密并得到对应的加密文件;
[0012]协议解析模块,用以解析所述的加密文件得到所述的业务操作指令;
[0013]预警监测模块,用以对所述的业务操作指令和所述的业务操作日志进行比较分析。
[0014]更进一步地,所述的安全审计设备还包括本地存储模块,所述的本地存储模块用以存储所述的加密文件。
[0015]其中,所述的加密文件为pcap格式的加密文件,所述的交换机模块为具有STP协议的交换机,各个安全审计设备之间通过局域网连接,并且各个安全审计设备之间进行数据同步。
[0016]此外,本发明还涉及一种实现安全审计的方法,其主要特点是,所述的方法包括以下步骤:
[0017](I)所述的客户端将业务请求报文发送至安全审计设备;
[0018](2)所述的安全审计设备将所述的业务请求报文转发至所述的业务请求报文对应的服务器,并将所述的业务请求报文镜像复制得到对应的镜像文件;
[0019](3)所述的安全审计设备解析所述的镜像文件得到对应的业务操作指令;
[0020](4)所述的服务器响应所述的业务请求报文,并将对应的业务操作日志发送至所述的安全审计设备;
[0021](5)所述的安全审计设备对所述的业务操作指令和所述的业务操作日志进行比较分析。
[0022]进一步地,所述的安全审计设备包括报文抓包模块和协议解析模块,所述的安全审计设备解析所述的镜像文件得到对应的业务操作指令,包括以下步骤:
[0023](3.1)所述的报文抓包模块对所述的镜像文件进行加密并得到对应的加密文件;
[0024](3.2)所述的协议解析模块解析所述的加密文件得到所述的业务操作指令。
[0025]进一步地,所述的安全审计设备通过具有STP协议的交换模块与所述的数个服务器建立连接,所述的步骤(I)之前,还包括以下步骤:
[0026](O)所述的交换模块运行STP协议发现所述的安全审计设备与所述的数个服务器建立的网络中的环路网络结构,并将所述的环路网络结构修剪成无环路的树型网络结构。
[0027]进一步地,所述的步骤(I)和(2)之间,还包括以下步骤:
[0028](1.1)所述的交换模块通过STP协议判断所述的安全审计设备与所述的数个服务器之间的通信线路是否正常,如果是,则继续步骤(2),否则继续步骤(1.2);
[0029](1.2)所述的交换模块切换所述的安全审计设备与所述的数个服务器之间的通信线路。
[0030]进一步地,各个安全审计设备之间通过局域网连接,所述的步骤(5)之后,还包括以下步骤:
[0031](6)所述的各个安全审计设备判断是否达到定时同步时间,如果是,则继续步骤
(7),否则继续等待;
[0032](7)所述的各个安全审计设备之间进行数据同步。
[0033]采用了本发明的实现安全审计的系统及方法,具有以下积极的效益:
[0034]1、审计数据的全面性:本安全审计设备收集用户操作产生的所有报文和web服务响应用户请求产生的业务日志;
[0035]2、方便动态扩展:当需要增加web服务器时可以通过本安全审计设备的多组端口可以连接新增的web服务器,如果安全审计设备的端口被用完,只要在集群环境中新增安全审计设备并将要增加的web服务器通过交换机与安全审计设备链接即可,扩展web服务器十分方便;
[0036]3、高稳定性、高可靠性:本安全审计设备支持双机热备份,当主安全审计设备出现故障时自动启用备用安全审计设备,保障为用户提供继续、不间断、稳定、可靠地服务。
【专利附图】
【附图说明】
[0037]图1为现有的安全审计设备的网络拓扑结构图。
[0038]图2为本发明的实现安全审计的系统的网络拓扑结构图。
[0039]图3为本发明的实现安全审计的方法的流程图。
[0040]图4为本发明的实现安全审计的系统的集群部署的网络拓扑结构图。
[0041]图5为本发明的实现安全审计的系统的热备份的网络拓扑结构图。
[0042]图6为本发明的基于热备份环境实现安全审计的方法的流程图。
【具体实施方式】
[0043]为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
[0044]本发明涉及的实现安全审计的系统具有抓取业务请求报文、解析报文、业务操作指令分析、故障预警等功能,其中的安全审计设备实际为一种安全审计产品,该系统的网络拓扑结构图如图2所示。
[0045]通过安全审计设备的多组端口,安全审计设备可串接于多个客户端用户和多个提供web服务的服务器之间。该安全审计设备接收客户端向服务器发出的业务请求报文和服务器响应用户请求后产生的业务操作日志;用户访问web服务的所有http报文(即业务请求报文)都必须经过安全审计设备,大多交换机(即交换模块)都支持mirror (镜像)策略,mirror策略可以将一个端口符合指定规则的报文复制到一个或多个端口,方便使用,效果较好,因此,本安全审计设备在交换板组件上设置mirror策略,结合图3所示的方法,本发明的一个具体实施例如下:
[0046]用户访问服务器,安全审计设备将协议为HTTP协议、报文的目的地址在web服务器白名单中、目的端口为8080的报文复制到安全审计设备的主控板,利用主控板的报文抓包模块对镜像文件加密后存储在本地磁盘(即本地存储模块),主控板的协议解析模块对http报文进行协议解析以获取业务操作指令,并将业务操作指令存储在安全审计设备中;服务器响应用户的发起的业务请求产生业务操作日志,将业务操作日志上报给安全审计设备,安全审计设备的预警监测模块定期对业务操作指令和上报的用户操作日志的进行对比分析,根据设定的规则产生相应的断网、断线、无流量等预警信息。
[0047]其次,本发明涉及的安全审计设备支持集群部署,其网络拓扑结构图如图4所示:服务器通过交换机连接到不同的安全审计设备,集群中的各个安全审计设备之间通过局域网连接。集群中每个安全审计设备提供相同的业务,产生的数据存储于自身的本地磁盘;通过定时任务定时对集群中所有的安全审计设备进行数据同步,以保证集群中每台安全审计设备数据的一致性;当服务器数量增加,现有的安全审计设备难以支持新增的服务器时,只需在图3所示的集群部署环境中新增安全审计设备,将其与现有的安全审计设备接入同一局域网即可。
[0048]此外,本发明基于STP (Spanning Tree Protocol,生成树协议)协议实现双机热备份,选择支持STP协议的交换机,开启交换机设置STP协议,搭建如图5所示的双机热备份环境。STP协议具有逻辑上断开环路防止二层网络的广播风暴的产生、在线路出现故障时断开的接口被激活恢复通信的线路备份作用,实现的效果具体如下:
[0049](I)路径选择:在用户访问服务器时,STP协议会为其选择最佳的访问路径;
[0050](2)自动路径切换:在当前访问线路出现故障时,STP协议自动切换到备用线路;
[0051](3)故障预警:当图4中安全审计设备出现故障时,该安全审计设备的后台报警程序会提示报警信息;
[0052](4)数据同步:本安全审计设备采用内存同步而不是共享存储器的方式进行数据同步,通过安全审计设备的定时同步任务定时同步两台安全审计设备的数据,以保持数据的一致性。
[0053]结合上述的热备份环境与图6,本发明的另一个具体实施例如下:
[0054]按照图5所示的网络拓扑图搭建热备份工作环境,连接交换机并设置STP协议,运行STP协议的交换机通过彼此交互信息发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,在安全审计设备的交换板组件上设置mirror策略。
[0055]用户通过客户端访问web服务,交换机通过STP协议为用户选择最佳访问线路(主线路),用户发起的请求经过该线路传送到服务器,同时STP协议不断对主线路进行检测,当线路出现故障时自动启用断开的备用路线,恢复通信,同时主线路上的报警监测程序提示报警信息,提示维护人员修护故障,从而为用户提供稳定可靠的通信环境。
[0056]用户访问web服务器服务的上行通信报文(即业务请求报文)都必须通过安全审计设备,在实际应用中用户会大量、并发的访问Web服务,会不断的产生大量通信报文,如果对报文进行实时分析对安全审计设备的性能要求很高,安全审计设备的CPU使用率较高时,会产生丢包现象,因此本安全审计设备采取对报文加密后以pcap文件存储在安全审计设备的本地硬盘延后处理的方式,在保证本产品质量的同时又降低了本产品的费用。
[0057]在实际应用中,本发明的安全审计设备的协议解析模块定期对pcap文件进行解密,本安全审计设备可以支持多个厂商提供的web服务,各个服务商提供自己的数据包解析程序,安全审计设备根据报文的目的地址调用相应的解包程序对报文进行协议解析,从而获取业务操作指令。加密pcap文件和不同的服务使用不同的解包程序保证了通信报文的安全性。
[0058]预警检测设备(即预警监测模块)定期对业务操作指令和上报的用户操作日志的进行对比分析,如果安全审计设备连续12小时没有收到web服务的任务信息,则产生断线预警;在未断线前提下,连续12小时业务操作指令和上报的用户业务操作日志的数量都为零,则产生无流量报警;在未断线前提下如果业务操作指令的数量大于web服务报送的用户业务操作日志的数量,则产生报送日志异常。
[0059]本发明中主安全审计设备和备用安全审计设备收集到的审计信息都是存在各自本地硬盘中,数据同步是采用内存同步而不是共享存储器的方式进行,通过安全审计设备的数据同步模块定时对两台安全审计设备进行审计信息数据同步。
[0060]采用了本发明的实现安全审计的系统及方法,具有以下积极的效益:
[0061]1、审计数据的全面性:本安全审计设备收集用户操作产生的所有报文和web服务响应用户请求产生的业务日志;
[0062]2、方便动态扩展:当需要增加web服务器时可以通过本安全审计设备的多组端口可以连接新增的web服务器,如果安全审计设备的端口被用完,只要在集群环境中新增安全审计设备并将要增加的web服务器通过交换机与安全审计设备链接即可,扩展web服务器十分方便;
[0063]3、高稳定性、高可靠性:本安全审计设备支持双机热备份,当主安全审计设备出现故障时自动启用备用安全审计设备,保障为用户提供继续、不间断、稳定、可靠地服务。
[0064]在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。
【权利要求】
1.一种实现安全审计的系统,其特征在于,所述的系统包括: 数个客户端,用以将业务请求报文发送至安全审计设备; 数个服务器,用以响应所述的安全审计设备转发的所述的业务请求报文,并将对应的业务操作日志发送至所述的安全审计设备; 安全审计设备,用以将所述的业务请求报文镜像复制得到对应的镜像文件,并解析所述的镜像文件得到对应的业务操作指令,和对所述的业务操作指令和所述的业务操作日志进行比较分析。
2.根据权利要求1所述的实现安全审计的系统,其特征在于,所述的安全审计设备包括: 交换模块,用以将所述的业务请求报文转发至所述的业务请求报文对应的服务器,并对所述的业务请求报文进行镜像复制得到对应的镜像文件; 报文抓包模块,用以对所述的镜像文件进行加密并得到对应的加密文件; 协议解析模块,用以解析所述的加密文件得到所述的业务操作指令; 预警监测模块,用以对所述的业务操作指令和所述的业务操作日志进行比较分析。
3.根据权利要求2所述的实现安全审计的系统,其特征在于,所述的安全审计设备还包括本地存储模块,所述的本地存储模块用以存储所述的加密文件。
4.根据权利要求3所述的实现安全审计的系统,其特征在于,所述的加密文件为pcap格式的加密文件。
5.根据权利要求1至4中任一项所述的实现安全审计的系统,其特征在于,所述的交换模块为具有STP协议的交换机。
6.根据权利要求1至4中任一项所述的实现安全审计的系统,其特征在于,各个安全审计设备之间通过局域网连接,并且各个安全审计设备之间进行数据同步。
7.一种基于权利要求1至4中任一项所述的系统实现安全审计的方法,其特征在于,所述的方法包括以下步骤: (1)所述的客户端将业务请求报文发送至所述的安全审计设备; (2)所述的安全审计设备将所述的业务请求报文转发至所述的业务请求报文对应的服务器,并将所述的业务请求报文镜像复制得到对应的镜像文件; (3)所述的安全审计设备解析所述的镜像文件得到对应的业务操作指令; (4)所述的服务器响应所述的业务请求报文,并将对应的业务操作日志发送至所述的安全审计设备; (5)所述的安全审计设备对所述的业务操作指令和所述的业务操作日志进行比较分析。
8.根据权利要求7所述的实现安全审计的方法,其特征在于,所述的安全审计设备包括报文抓包模块和协议解析模块,所述的安全审计设备解析所述的镜像文件得到对应的业务操作指令,包括以下步骤: (3.1)所述的报文抓包模块对所述的镜像文件进行加密并得到对应的加密文件; (3.2)所述的协议解析模块解析所述的加密文件得到所述的业务操作指令。
9.根据权利要求7所述的实现安全审计的方法,其特征在于,所述的安全审计设备通过具有STP协议的交换模块与所述的数个服务器建立连接,所述的步骤(1)之前,还包括以下步骤: (0)所述的交换模块运行STP协议发现所述的安全审计设备与所述的数个服务器建立的网络中的环路网络结构,并将所述的环路网络结构修剪成无环路的树型网络结构。
10.根据权利要求7所述的实现安全审计的方法,其特征在于,所述的步骤(1)和(2)之间,还包括以下步骤: (1.1)所述的交换模块通过STP协议判断所述的安全审计设备与所述的数个服务器之间的通信线路是否正常,如果是,则继续步骤(2),否则继续步骤(1.2); (1.2)所述的交换模块切换所述的安全审计设备与所述的数个服务器之间的通信线路。
11.根据权利要求7所述的实现安全审计的方法,其特征在于,各个安全审计设备之间通过局域网连接,所述的步骤(5)之后,还包括以下步骤: (6)所述的各个安全审计设备判断是否达到定时同步时间,如果是,则继续步骤(7),否则继续等待; (7)所述的各个安全审计设备之间进行数据同步。
【文档编号】H04L29/06GK104468537SQ201410686636
【公开日】2015年3月25日 申请日期:2014年11月25日 优先权日:2014年11月25日
【发明者】李勋, 吴松洋, 李营那, 刘欣, 张涛, 符运辉 申请人:公安部第三研究所