专利名称:可扩展的安全信息处理方法及系统的制作方法
技术领域:
本发明涉及一种安全信息处理方法及系统,特别是涉及一种能够快速方便地对现有安全信息处理系统所处理的内容按照规则进行扩展的安全信息处理方法及系统,属于计算机信息安全领域。
背景技术:
随着人们对网络安全的逐渐重视,在网络中部署了大量诸如防火墙、入侵监测系统在内的安全设备和具备安全防护功能的应用(关键应用)。所有这些安全设备、关键应用以及支撑这些关键应用的主机系统都会产生大量的安全信息(事件),只有提供对这些安全信息进行处理、进而发现网络中潜在的安全风险的功能,才能使网络真正安全可控。
一个良好的安全信息处理系统应该能够如实、准确地反映网络当前的安全状况,同时,还必须为用户提供丰富的处理手段供用户检查当前的安全状况。例如当今业界领先的处理软件WebTrends可以为用户呈现各种Web访问的安全报表。但是,WebTrends不能让用户进行任意信息处理,而且它处理的对象局限于防火墙和VPN这两种安全设备,对于其他安全设备的处理效果不佳。还有的处理系统仅仅提供信息处理而没有丰富的报表处理。一个完整意义上的信息处理系统应该不仅能够进行信息处理,还能够进行报表处理。同时,安全处理系统应该能够支持对各种安全设备和关键应用的安全信息的处理,并且能够方便地进行扩展以适应新的安全设备和关键应用的安全信息处理需求。而这样的一个系统需要一个信息处理系统的支撑。
另一方面,目前对安全信息进行处理时面临的一个比较大的难题是安全信息内容复杂,不同种类间的差异太大。由于每种安全设备所关注的领域不同、网络中部署的具备安全防护功能的应用类型的不同和数量的差异,产生了各种格式的事件,并且,即使是同种安全设备,其产生的事件在格式和数量上也存在很大差异。因此,一个既有的信息处理系统很难在网络加入新的设备和应用后能够方便对其进行支持。正是由于上述原因,使得如何对复杂的信息进行处理成为现在研究的一个热点。这也是为什么WebTrends软件将处理对象仅仅定位在防火墙安全信息处理上的原因。如果单纯使用事件格式标准化等手段,虽然能够降低信息处理的复杂度,但是却抹杀了有些事件之间本质的区别。因此一个好的处理系统应该在维持事件某些特性的前提下抽取它们的共性,将各种事件格式统一为若干类而不是一类,进而基于这些新构造的事件类型进行安全信息处理。这样,在需要扩展支持新的安全设备和关键应用的时候就可以方便地将新的信息格式映射为那些事件格式的一种,而不必为了增加新的事件格式而重新修改整个处理系统。为此,需要一个信息处理系统来支撑。
另外,一个好的信息处理系统还应该提供定时产生处理结果和处理报表的功能,以及支持可重用的用户自定义处理和报表的功能。
目前,虽然已经提出了一些信息处理系统和信息处理系统,但是应用在安全信息的处理中都不甚理想。
美国专利《Architecture for processing search queries,retrievingdocuments identified thereby,and method for using same》(专利号5,873,076)公开了一个处理系统,但是这个架构的目的是让用户使用自然语言进行处理,内部转换过程比较复杂,最终效果很难保证。
中国专利申请《执行数据库处理的模块化方法和系统》(申请号00812612.7)公开了一种处理系统,包括数据驱动器程序库和智能数据集。数据驱动程序库可以执行预定义的数据库操作,智能数据集则可以自动识别数据驱动器程序库,并产生一个执行序列。但该发明关注的是一个通用的信息处理系统,而没有针对某个特定问题域进行优化。虽然该发明从消除或减少系统和方法相关性的角度出发,提出了模块化处理系统,在处理功能扩充时具有较好的扩展性,但是没有考虑在功能需求不变,被处理数据类型扩充时的系统可扩展性。
发明内容
本发明的目的是提供一种可扩展的安全信息处理方法,能够较为简便地对新的安全设备产生的安全信息处理提供支持,且能满足用户多方面的需求,快速方便地对网络中新产生的安全信息提供支持,从而始终准确地反映网络工作状况,使应用该方法的系统成为一个通用的安全信息处理平台。
本发明的目的是通过以下技术方案实现的一种可扩展的安全信息处理方法,对于安全设备或应用改变后产生的安全信息进行处理时,至少包括以下步骤步骤1编辑从用户处理请求到信息处理语句的转换规则并保存;步骤2根据所述的转换规则对相应的用户处理请求进行处理。
步骤2具体包括步骤21、获取用户处理请求;步骤22、读取存储的转换规则,并依据转换规则将获取的用户处理请求转换为信息处理语句;步骤23、根据信息处理语句对存储的安全设备或应用的安全信息数据进行处理,并将处理结果输出。
步骤21具体包括步骤211、定制处理条件;步骤2111、校验处理条件;步骤212、将处理条件装配为用户处理请求。
步骤22具体包括步骤221、将用户处理请求转换为规定的数据结构;步骤222、将规定的数据结构转换为信息处理语句。
步骤23具体包括步骤231、根据信息处理语句对安全信息数据进行处理;步骤232、对处理结果进行判断,是否需要再次处理,如是则根据处理结果生成信息处理语句,转到步骤231,如否则输出处理结果。
在应用方法的过程中进行通信时,用于通信的单/双向信道中至少有一个信道为加密信道;加密信道采用身份认证和/或密钥协商的方法保证通信安全。
用户处理请求采用XML语言的文件或文本文件的形式;规则数据以数据库表或文件形式存储。
一种可扩展的安全信息处理系统,该系统至少由用户界面层、处理请求转换层和数据层组成,其中用户界面层,用于将定制的用户处理请求发给处理请求转换层;处理请求转换层,根据存储的规则数据将接到的用户处理请求转换为信息处理语句发送到数据层,接收数据层发来的处理结果并输出;数据层,根据信息处理语句对存储的安全设备或应用的安全信息数据进行处理,并将处理结果输出。
处理请求转换层至少由规则编辑模块、用户处理请求转换模块和信息转换模块组成,其中规则编辑模块,用于在安全设备或应用发生改变后对从用户处理请求到信息处理语句的转换规则进行编辑,并将转换规则以规则数据的形式保存;用户处理请求转换模块,用于将处理请求条件转换为处理请求转换层规定的数据结构,并将转换后的数据结构发送给信息转换模块;信息转换模块,用于进行信息转换,将转换后生成的信息处理语句发送给数据层。
处理请求转换层还设有结果转发模块,用于接收数据层发来的处理结果,判断是否需要再次处理,如需再次处理,则将该结果发送到信息转换模块,如无需再次处理,则将该结果作为最终处理结果发送到用户界面层。
用户界面层至少由处理条件定制模块和装配模块组成,其中处理条件定制模块,用于定制处理条件;请求装配模块,用于将定制的处理条件装配为用户处理请求,并将用户处理请求发给处理请求转换层;用户界面层还设有校验模块,用于校验处理条件定制模块定制的处理条件;设有结果显示模块,用于接收处理请求转换层发来的处理结果并显示。
数据层设有数据处理模块,用于接收处理请求转换层发来的信息处理语句,根据信息处理语句对安全信息数据进行处理,并将处理结果输出。
通过上述技术方案可知,本发明有如下优点1、在信息安全领域的数据处理中易于对新的安全设备和应用产生的安全信息进行扩展支持。本发明采用用户界面层、处理请求转换层和数据层的三层结构,在处理请求转换层中设有专门针对信息安全领域设计的规则编辑模块和规则数据,处理请求转换层在转换规则的驱动下将处理请求正文映射成信息处理语句并发送给数据层,数据层将信息处理语句转换为自身的数据处理语句,进行数据处理;通过对用户特定领域的信息抽取而得到的规则集合将变化相对比较频繁的用户业务领域数据和相对稳定的处理系统数据分离开来,借助规则集合中对两个领域数据的映射关系定义,更好地体现安全领域中信息的共性,通过编辑规则数据,实现了处理系统对于新的安全设备或应用的快速有效扩展。
2、用户界面层生成的用户处理请求条件可采用XML格式,通过使用XML,可以容易地组织用户处理请求,并能够方便地扩展,同时提供给用户尽可能自然化的表述。
3、不同层之间的通信采用加密信道,加密信道采用身份验证、密钥协商等方式保证通信安全。
图1为本发明方法进行信息处理的流程图;图2为本发明实施例的系统组成原理图;图3为本发明系统进行信息处理的流程图。
具体实施例方式
以下,结合具体实施例并参照附图,对本发明做进一步的详细说明。
如图1所示,为本发明方法对于安全设备或应用改变后产生的安全信息进行处理时的总体处理流程,包括如下步骤一、编辑从用户处理请求到信息处理语句的转换规则并保存;二、定制处理条件;三、校验处理条件;四、将处理条件装配为用户处理请求;五、将用户处理请求转换为规定的数据结构;六、将规定的数据结构转换为信息处理语句;七、根据信息处理语句对安全信息数据进行处理;八、对处理结果进行判断,是否需要再次处理,如是则根据处理结果生成信息处理语句,转到步骤七,如否则输出处理结果。
用户处理请求正文采用XML语言表述。XML是万维网联盟(World Wide WebConsortium,简称W3C)提出的一个用户信息交换的开放标准,通过使用XML,可以容易地组织用户处理请求,并能够方便地扩展,同时提供给用户尽可能自然化的表述。
用户处理请求所使用的语言是一种和安全信息领域相关的中间语言,它加入了安全信息的处理规则,如果脱离了安全信息领域,该用户处理请求语言就没有意义;它不是一种跨领域通用的中间语言,正是这种特性,使得该语言可以针对信息安全领域处理进行特别优化,从而达到方便扩展的目的。
安全信息数据的格式不同、含义各异,有的相互之间还存在内在联系;数据组织的物理结构可以是简单的文件,较佳地,数据存储采用关系型数据库管理系统,而此时数据处理语言就是结构化查询语言(SQL)。
如图2所示的安全信息处理系统由三个部分,或者说由三层组成;它们分别为用户界面层、处理请求转换层和数据层。
用户界面层为用户处理意图的表达提供可视化的输入接口,对用户指定的处理条件进行显示界面上的布局、导航以及逻辑关系的校验,使得用户能够直观、方便地定制、提交处理请求。处理请求发送到处理请求转换层,处理完毕后形成的处理结果可以以平面或多维的数据组织形式映射到用户界面层,呈现给用户。
处理请求转换层部件最核心的工作就是实现用户处理请求语言到信息处理语言的映射。在预定义转换规则的驱动下,处理请求转换层通过规则映射将用户处理请求语言翻译成信息处理语言发送给数据层。处理请求转换层是整个信息处理系统的控制中枢,完成了从用户特定域到系统通用域的转换。处理请求转换层所进行的语言转换工作在应用层之上,和数据层所在具体数据库驱动器的语言转换无关。
数据层存储有网络安全信息。该层实现了数据组织的逻辑和物理结构,并提供了处理这些数据的逻辑方法——数据处理语言。通过数据处理语言,将符合用户处理条件的信息提取出来,直接或间接地返回到用户界面层。
数据层接收来自处理请求转换层的信息处理请求的语句,所述语句所用语言是一个和具体数据组织无关的语言,例如它不关心数据是存放在MS SQLSERVER中还是ORACLE中,或者是文本文件中,而和具体数据组织相关。数据层需要进行这种从抽象到具体的转换。
用户提交的处理请求可能转化成不止一次的处理请求转换层和数据层之间的交互。这就是说,数据层根据信息处理语句返回的结果可能导致处理请求转换层发送新的信息处理语句,这取决于用户处理请求的内容和转换规则的制订。
由于该系统涉及网络安全领域,需要确保结构自身的安全性,因此用户界面层在允许用户定制处理条件之前需要对用户进行身份验证。同时,用户界面层和处理请求转换层的通信以及处理请求转换层和数据层的通信都采用身份认证、密钥协商的加密方式进行。
作为对系统功能的扩展,信息处理请求转换层可以将用户处理请求保存为一个用户处理方案。以后,用户就可以反复调用以前的处理方案进行信息处理,从而大大提高工作效率。
由上述方案可以看出,本实施例是一个由用户界面层、处理请求转换层和数据层组成的系统,用户界面层生成XML格式的处理请求正文,提交到处理请求转换层,处理请求转换层在转换规则的驱动下将处理请求正文映射成信息处理语言并发送给数据层,数据层将信息处理语言转换为自身的数据处理语言,进行数据处理,将处理结果直接返回用户界面层或者通过处理请求转换层间接转发给用户界面层。
通过对用户特定领域的信息抽取而得到的规则集合将变化相对比较频繁的用户业务领域数据和相对稳定的处理系统数据分离开来,借助规则集合中对两个领域数据的映射关系定义,实现了处理系统的快速有效扩展。
如图2所示,在用户界面层布局模块和导航模块的指引下,用户指定处理条件,经过校验模块校验后由请求装配模块生成XML格式编码的用户处理请求正文;请求正文通过加密信道1发送至处理请求转换层的用户处理请求转换模块。
处理请求转换层由用户处理请求转换模块、信息转换模块、结果转发模块、规则编辑模块和规则数据组成。用户处理请求转换模块负责将接收到的用户处理请求语言装配成信息转换模块可以识别的数据结构。信息转换模块是一个信息转化系统,它在规则数据所定义的转换机制的作用下,将用户处理请求转换模块表示的处理请求转换为数据层信息处理语言所描述的信息处理语句。规则数据定义了一套从用户特定域到系统通用域的转换机制,是信息处理系统运转的驱动源。规则数据用于对信息转换模块进行转换规约,驱动处理请求转换层的运行。用户可以通过规则编辑模块对规则数据进行编辑。一旦网络环境发生变化,产生了新类型的安全信息需要处理,只需通过规则编辑模块增加、修订和删除从用户特定域到系统通用域的转换规则就能够实现处理信息的快速扩展。结果转发模块用于决定是否要进行再处理。
处理请求转换层的工作流程为用户处理请求转换模块将接收到的用户处理请求语言装配成信息转换模块可以识别的数据结构,信息转换模块以此作为输入2,在规则数据的作用下9,将用户处理请求正文转换为数据层信息处理语言所描述的信息处理语句,通过加密信道4发送至数据层。
数据层将其保存的数据分为两类(1)安全信息/事件数据,它是网络中安全设备和应用产生的各种安全信息,是建立在该系统上的安全信息处理系统所要处理的信息源。(2)信息格式,它是安全信息/事件数据的元数据,记录了这些信息的格式和每个格式字段的具体含义。
数据层的核心工作部件是数据处理模块。它负责将处理系统提交的信息处理语句转换为与数据存储相关的数据处理语句,例如MS SQL SERVER处理语句,并根据信息处理语句的约定返回处理结果给处理请求转换层。
数据层根据信息处理语句提取相关数据后即可返回结果,数据层通过信道5将结果返回给处理请求转换层的结果转发模块,结果转发模块对于处理结果进行判断,如果无需再次处理,则将该结果作为最终结果进行各式转换后通过信道6返回给用户界面层的处理结果模块;如果需要再次处理,则将该结果作为信息转换模块的输入(信道8),在规则数据的作用下(信道9),生成新的信息处理语句,通过信道4发送至数据层进行新的数据处理操作;可见,这是一个信息流循环过程,是否循环取决于规则数据所描述的具体规则。
如图3所示,系统的总体处理流程包括如下步骤一、用户利用用户界面层的布局模块和导航模块定制处理条件;二、校验模块校验处理条件;三、请求装配模块装配处理条件,并将装配的用户处理请求发给用户处理请求转换模块;四、用户处理请求转换模块转换用户处理请求,发送给信息转换模块;五、信息转换模块进行信息转换,将转换后生成的信息处理语句发送给数据处理模块;六、数据处理模块根据信息处理语句对安全信息数据进行处理;七、处理结果发送到结果转发模块;八、结果转发模块判断是否需要再次处理,如是则转到步骤五,如否则将结果发送到结果显示模块;九、结果显示模块显示最终处理结果。
综上所述,本实施例提供的规则驱动的和可快速扩展的处理系统,实现了快速方便地对网络中新产生的安全信息提供支持的目标,从而能够准确、迅速地反映网络实际安全状况。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
权利要求
1.一种可扩展的安全信息处理方法,其特征在于对于安全设备或应用改变后产生的安全信息进行处理时,至少包括以下步骤步骤1编辑从用户处理请求到信息处理语句的转换规则并保存;步骤2根据所述的转换规则对相应的用户处理请求进行处理。
2.根据权利要求1所述的可扩展的安全信息处理方法,其特征在于所述的步骤2具体包括步骤21、获取用户处理请求;步骤22、读取存储的转换规则,并依据转换规则将获取的用户处理请求转换为信息处理语句;步骤23、根据信息处理语句对存储的安全设备或应用的安全信息数据进行处理,并将处理结果输出。
3.根据权利要求2所述的可扩展的安全信息处理方法,其特征在于所述步骤21具体包括步骤211、定制处理条件;步骤212、将处理条件装配为用户处理请求。
4.根据权利要求3所述的可扩展的安全信息处理方法,其特征在于在所述步骤211和步骤212之间还进一步包括步骤2111、校验处理条件。
5.根据权利要求2所述的可扩展的安全信息处理方法,其特征在于所述步骤22具体包括步骤221、将用户处理请求转换为规定的数据结构;步骤222、将规定的数据结构转换为信息处理语句。
6.根据权利要求2所述的可扩展的安全信息处理方法,其特征在于所述步骤23具体包括步骤231、根据信息处理语句对安全信息数据进行处理;步骤232、对处理结果进行判断,是否需要再次处理,如是,则根据处理结果生成信息处理语句,转到步骤231,如否,则输出处理结果。
7.根据权利要求1-6中任一种所述的可扩展的安全信息处理方法,其特征在于用户处理请求采用XML语言的文件或文本文件的形式。
8.根据权利要求1-6中任一种所述的可扩展的安全信息处理方法,其特征在于所述规则数据以数据库表或文件形式存储。
9.一种可扩展的安全信息处理系统,其特征在于该系统至少由用户界面层、处理请求转换层和数据层组成,其中用户界面层,用于将定制的用户处理请求发给处理请求转换层;处理请求转换层,根据存储的规则数据将接到的用户处理请求转换为信息处理语句发送到数据层,接收数据层发来的处理结果并输出;数据层,根据信息处理语句对存储的安全设备或应用的安全信息数据进行处理,并将处理结果输出。
10.根据权利要求9所述的可扩展的安全信息处理系统,其特征在于所述处理请求转换层至少由规则编辑模块、用户处理请求转换模块和信息转换模块组成,其中规则编辑模块,用于在安全设备或应用发生改变后对从用户处理请求到信息处理语句的转换规则进行编辑,并将转换规则以规则数据的形式保存;用户处理请求转换模块,用于将处理请求条件转换为处理请求转换层规定的数据结构,并将转换后的数据结构发送给信息转换模块;信息转换模块,用于进行信息转换,将转换后生成的信息处理语句发送给数据层。
11.根据权利要求10所述的可扩展的安全信息处理系统,其特征在于所述处理请求转换层还设有结果转发模块,用于接收数据层发来的处理结果,判断是否需要再次处理,如需再次处理,则将该结果发送到信息转换模块,如无需再次处理,则将该结果作为最终处理结果发送到用户界面层。
12.根据权利要求9所述的可扩展的安全信息处理系统,其特征在于所述用户界面层至少由处理条件定制模块和装配模块组成,其中处理条件定制模块,用于定制处理条件;请求装配模块,用于将定制的处理条件装配为用户处理请求,并将用户处理请求发给处理请求转换层;
13.根据权利要求12所述的可扩展的安全信息处理系统,其特征在于所述用户界面层还设有校验模块,用于校验处理条件定制模块定制的处理条件。
14.根据权利要求12或13所述的可扩展的安全信息处理系统,其特征在于所述用户界面层还设有结果显示模块,用于接收处理请求转换层发来的处理结果并显示。
15.根据权利要求9所述的可扩展的安全信息处理系统,其特征在于数据层设有数据处理模块,用于接收处理请求转换层发来的信息处理语句,根据信息处理语句对安全信息数据进行处理,并将处理结果输出。
16.根据权利要求9-15中任一种所述的可扩展的安全信息处理方法,其特征在于该系统不同模块进行通信时,用于通信的单/双向信道中至少有一个信道为加密信道;加密信道采用身份认证和/或密钥协商的方法保证通信安全。
全文摘要
本发明公开了一种可扩展的安全信息处理方法及系统,该系统采用用户界面层、处理请求转换层和数据层的三层结构;在处理请求转换层中设有规则编辑模块和规则数据,该层在转换规则的驱动下将处理请求正文映射成信息处理语句并发送给数据层,借助转换规则集合中对两个领域数据的映射关系定义,更好地体现安全领域中信息的共性,通过编辑规则数据,实现了处理系统对于新的安全设备或应用的快速有效扩展。用户界面层生成的用户处理请求条件采用XML格式,很容易地组织用户处理请求,并能够方便地扩展,同时提供给用户尽可能自然化的表述。不同层之间的通信采用加密信道,加密信道采用身份验证、密钥协商等方式保证通信安全。
文档编号G06F17/21GK1549162SQ03123789
公开日2004年11月24日 申请日期2003年5月21日 优先权日2003年5月21日
发明者叶蓬, 张媛, 顾正华, 叶 蓬 申请人:联想(北京)有限公司