专利名称:全信息记录方法、装置及系统的制作方法
技术领域:
本发明涉及计算机网络安全领域,尤其涉及一种基于分布式架构的全信息记录方法、装置及系统。
背景技术:
随着计算机网络安全知识的普及和人类文明的进步,越来越多的人具有一定的网络攻击的知识和能力,入侵个人电脑或企业与政府服务器变得越来越容易,这些潜在的威胁会对个人、企业以及政府和社会造成巨大的损失。对于非法入侵行为,我们可以通过记录节点的网络行为,有效地对网络数据、流量进行记录存储、深度分析,从而及时发现网络异常和安全异常行为,得出解决对应网络行为的安全策略,是保障网络安全高效持续运行的有效手段。网络监听作为全信息记录的一种发展比较成熟的技术,在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用。在实现本发明的过程中,发明人发现现有的网络监听系统都是独立运行的,系统之间缺少统一管理和共享存储。当监控的流量超过其最大存储的时候,监听系统的性能将受到威胁,因此当面临大数据,多服务器集中监听的时候,现有的监听系统不能快速、高效的得到系统的安全策略。
发明内容
本发明的实施例提供一种全信息记录方法、装置及系统,实现对各全信息记录子系统进行统一管理和共享存储,并且实现快速、高效的得到系统的安全策略。为达到上述目的,采用如下技术方案一种全信息记录方法,包括安全分析控制中心对各全信息记录子系统进行各项配置参数和文件存储权限的设置,以使得所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理,其中,所述配置参数包括抓取的网络数据包在各全信息记录子系统的存储区中的存储路径、阈值容量、分析策略和规则、上报规则;安全分析控制中心接收所述各全信息记录子系统上报的分析结果数据,所述分析结果数据为所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理后的数据;安全分析控制中心根据所述各全信息记录子系统上报的分析结果数据获取与所述各全信息记录子系统对应的安全策略;安全分析控制中心将所述安全策略发送给对应的各全信息记录子系统。一种全信息记录方法,包括当全信息记录子系统具备对抓取到的网络数据包的存储权限时,根据预先设置的存储路径将抓取的所述网络数据包存储在所述全信息记录子系统的存储区中;
对存储在所述全信息记录子系统的存储区内的所述网络数据包进行初步检索得到与所述网络数据包对应的检索信息,并将与所述网络数据包对应的检索信息存储在所述全信息记录子系统的数据库缓存表中;所述全信息记录子系统利用预先设置的分析策略和规则,对所述网络数据包以及与所述网络数据包对应的检索信息进行分析,得到与所述网络数据包对应的分析结果数据;所述全信息记录子系统将与所述网络数据包对应的分析结果数据按照预先设置的上报规则上报给安全分析控制中心;所述全信息记录子系统接收安全分析控制中心发送的对应的安全策略,以便于所述全信息记录子系统根据接收到的对应的安全策略重新进行各项配置参数和文件存储权限的设置。一种安全分析控制中心,包括参数设置单元,用于对各全信息记录子系统进行各项配置参数和文件存储权限的设置,以使得所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理,其中,所述配置参数包括抓取的网络数据包在各全信息记录子系统的存储区中的存储路径、阈值容量、分析策略和规则、上报规则;接收单元,用于接收所述各全信息记录子系统上报的分析结果数据,所述分析结果数据为所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理后的数据;策略单元,用于根据所述各全信息记录子系统上报的分析结果数据获取与各全信息记录子系统对应的安全策略;发送单元,用于将所述安全策略发送给对应的各全信息记录子系统。一种全信息记录子系统,包括存储单元,用于当全信息记录子系统具备对抓取到的网络数据包的存储权限时, 根据预先设置的存储路径将抓取的所述网络数据包存储在所述全信息记录子系统的存储区中;初步检索单元,用于对存储在所述全信息记录子系统的存储区内的所述网络数据包进行初步检索得到与所述网络数据包对应的检索信息,并将与所述网络数据包对应的检索信息存储在所述全信息记录子系统的数据库缓存表中;分析单元,用于所述全信息记录子系统利用预先设置的分析策略和规则,对所述网络数据包以及与所述网络数据包对应的检索信息进行分析,得到与所述网络数据包对应的分析结果数据;上报单元,用于将与所述网络数据包对应的分析结果数据按照预先设置的上报规则上报给安全分析控制中心;接收单元,用于接收安全分析控制中心发送的对应的安全策略,以便于所述全信息记录子系统根据接收到的对应的安全策略重新进行各项配置参数和文件存储权限的设置。一种全信息记录系统,所述系统包括所述的安全控制中心和所述的全信息记录子系统。
本发明实施例提供一种全信息记录方法、装置及系统,采用分布式架构的全信息记录方法、装置及系统。通过各全信息记录子系统在网络各节点抓取网络数据包,经过分析得到对应的分析结果数据上报给安全分析控制中心,安全分析控制中心根据上报的分析结果数据获取与各全信息记录子系统对应的安全策略,并发送给对应的各全信息记录子系统,以便于各全信息记录子系统根据接收到的对应的安全策略重新进行各项配置参数和文件存储权限的设置。本发明实施例解决了现有技术中,各监听系统之间不能统一管理和共享存储,当面临大数据,多服务器集中监听的时候,现有的监听系统不能快速、高效的得到系统的安全策略的问题,实现对各全信息记录子系统进行统一管理和共享存储,并且实现快速、高效的得到系统的安全策略。
图1为本发明实施例一提供的一种全信息记录方法,安全分析控制中心主要操作步骤流程图;图2为本发明实施例一提供的一种全信息记录方法,安全分析控制中心还包括故障提示的操作步骤流程图;图3为本发明实施例二提供的一种全信息记录方法,全信息记录子系统主要操作步骤流程图;图4为本发明实施例二提供的一种全信息记录方法,信息记录子系统还包括权限判断以及阈值判断的操作步骤流程图;图5为本发明实施例三提供的一种安全分析控制中心主要装置结构图;图6为本发明实施例三提供的一种安全分析控制中心还包括提示单元的装置结构图;图7为本发明实施例四提供的一种全信息记录子系统主要装置结构图;图8为本发明实施例四提供的一种全信息记录子系统中分析单元包含模块结构图;图9为本发明实施例四提供的一种全信息记录子系统还包括权限判断单元、丢包单元、容量判断单元以及删除单元的装置结构图;图10为本发明实施例五提供的一种全信息记录系统结构图;图11为本发明实施例五提供的一种全信息记录系统工作流程图。
具体实施例方式下面结合附图对本发明实施例一种全信息记录方法、装置及系统进行详细描述。实施例一本发明实施例提供一种全信息记录方法,如图1所示,操作步骤包括101、安全分析控制中心对各全信息记录子系统进行各项配置参数和文件存储权限的设置,以使得所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理,其中,所述配置参数包括抓取的网络数据包在各全信息记录子系统的存储区中的存储路径、阈值容量、分析策略和规则、上报规则。具体应用时,所述阈值容量是针对各全信息记录子系统存储区的阈值容量进行设置,例如,可定义阈值容量为1TB。所述分析策略和规则的设置包括异常流量分析和分析规则、网络流量统计和统计规则和应用层分析和分析规则。所述上报规则具体是所述全信息记录子系统上报给所述安全分析控制中心的内容和时间等。所述文件存储权限具体是所述安全分析控制中心对各全信息记录子系统进行文件存储权限的设置,用于保证所述各全信息记录子系统具有不同的权限,可存储并分析不同的网络数据包,使所述各全信息记录子系统之间不能互相访问,保证数据的独立性。102、安全分析控制中心接收所述各全信息记录子系统上报的分析结果数据,所述分析结果数据为所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理后的数据。具体地,安全分析控制中心接收所述各全信息记录子系统按照数据报表的形式上报的分析结果数据。103、安全分析控制中心根据所述各全信息记录子系统上报的分析结果数据获取与各全信息记录子系统对应的安全策略。104、安全分析控制中心将安全策略发送给对应的各全信息记录子系统。其中,发送给对应的各全信息记录子系统的安全策略为下一次各全信息记录子系统的运行提供依据。所述安全策略内容包括全信息记录子系统存储权限的变更情况;全信息记录子系统存储区的阈值容量大小的变更;分析策略和规则的变更,通过指示各全信息记录子系统根据新下发的异常流量特征,对另一种异常流量进行分析;上报策略的变更,改变各全信息记录子系统将分析数据的数据报表上报给安全分析控制中心的频次;全信息记录子系统系统参数的变更,各全信息记录子系统根据新下发的安全策略,对系统参数进行重新配置,之后各全信息记录子系统在新的配置下进行工作。本发明实施例提供一种全信息记录方法,采用分布式架构的全信息记录方法。安全分析控制中心通过对各全信息记录子系统进行各项配置参数和文件存储权限的设置,以使得所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理,得到分析结果数据,安全分析控制中心根据接收到的所述各全信息记录子系统上报的分析结果数据,获取与各全信息记录子系统对应的安全策略。本发明实施例解决了现有技术中,各监听系统之间不能统一管理和共享存储,当面临大数据,多服务器集中监听的时候,现有的监听系统不能快速、高效的得到系统的安全策略的问题,实现对各全信息记录子系统进行统一管理和共享存储,并且实现快速、高效的得到系统的安全策略。具体应用时,所述安全分析控制中心通过与各全信息记录子系统不断地通信,确保全信息记录系统的正常运行。只有不间断地通信才能进行各项参数的设置、存储权限的设置,安全策略的获得并发送给对应的各全信息记录子系统。所述安全分析控制中心对各全信息记录子系统进行各项配置参数和文件存储权限的设置,以使得所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理,除了上述所提的参数设置,所述配置参数至少还包括以下参数安全分析控制中心网络地址和访问参数,主要是各全信息记录子系统与安全分析控制中心通信的用户名和密码;抓取网络数据包的网卡参数,包括网卡名称、IP地址、工作模式等;删除规则,具体是当全信息记录子系统存储区域达到安全分析控制中心设置的阈值容量时,设置删除各全信息记录子系统存储区内规定数据量的数据,例如,设置删除全信息记录子系统存储区内最早一天的网络数据包,同时删除与所述网络数据包对应的检索信息以及与所述网络数据包对应的分析结果数据。上报接口,具体是设置分析结果数据上报给安全分析控制中心的上报接口。本发明实施例提供一种全信息记录方法,如图2所示,还包括105、在安全分析控制中心检测到所述各全信息记录子系统中任一子系统存在故障时,显示故障提示。当各全信息记录子系统中有任意一个子系统由于意外事故而产生故障时,通知管理员对故障做出判断,并及时修复故障,恢复系统正常运行。实施例二本发明实施例提供一种全信息记录方法,如图3所示,包括201、当全信息记录子系统具备对抓取到的网络数据包的存储权限时,根据预先设置的存储路径将抓取的所述网络数据包存储在所述全信息记录子系统的存储区中。具体应用时,所述全信息记录子系统采用零拷贝方式在百兆或千兆以太网下,高速抓取网络数据包,将包括媒体访问控制(Media Access Control,MAC)地址信息在内的网络数据包保存成统一的通用文件格式,一般采用数据包捕获(Packet Capture, PCAP)格式保存。202、对存储在所述全信息记录子系统的存储区内的所述网络数据包进行初步检索得到与所述网络数据包对应的检索信息,并将与所述网络数据包对应的检索信息存储在所述全信息记录子系统的数据库缓存表中。对存储在所述全信息记录子系统的存储区内的所述网络数据包进行初步检索,其中主要是对网络数据包的源地址端口和目的地址端口,数据载荷大小以及网络层、传输层协议类型进行检索,从而得到与所述网络数据包对应的检索信息,并将与所述网络数据包对应的检索信息存储在所述全信息记录子系统的数据库缓存表中。203、所述全信息记录子系统利用预先设置的分析策略和规则,对所述网络数据包以及与所述网络数据包对应的检索信息进行分析,得到与所述网络数据包对应的分析结果数据;204、所述全信息记录子系统将与所述网络数据包对应的分析结果数据按照预先设置的上报规则上报给安全分析控制中心;205、所述全信息记录子系统接收安全分析控制中心发送的对应的安全策略,以便于所述全信息记录子系统根据接收到的对应的安全策略重新进行各项配置参数和文件存储权限的设置。本发明实施例提供一种全信息记录方法,采用分布式架构的全信息记录方法。通过各全信息记录子系统在网络各节点抓取网络数据包,经过分析得到对应的分析结果数据上报给安全分析控制中心,所述各全信息记录子系统接收安全分析控制中心根据上报的分析结果数据获取的与所述各全信息记录子系统对应的安全策略,以便于所述各全信息记录子系统根据所述安全策略重新对各项配置参数和文件存储权限进行设置。本发明实施例解决了现有技术中,各监听系统之间不能统一管理和共享存储,当面临大数据,多服务器集中监听的时候,现有的监听系统不能快速、高效的得到系统的安全策略的问题,实现对各全信息记录子系统进行统一管理和共享存储,并且实现快速、高效的得到系统的安全策略。
本发明实施例提供一种全信息记录方法,如图4所示
401、全信息记录子系统抓取网络数据包。402、判断所述全信息记录子系统是否具备对抓取到的网络数据包的存储权限。判断所述全信息记录子系统是否具备对抓取到的网络数据包的存储权限,因为各全信息记录子系统具有不同的权限进行存储并分析网络数据包。403、当判断所述全信息记录子系统不具备对抓取到的网络数据包的存储权限时, 将抓取的网络数据包丢弃,所述全信息记录子系统重新抓取网络数据包。404、当全信息记录子系统具备对抓取到的网络数据包的存储权限时,根据预先设置的存储路径将抓取的所述网络数据包存储在所述全信息记录子系统的存储区中。405、对存储在所述全信息记录子系统的存储区内的所述网络数据包进行初步检索得到与所述网络数据包对应的检索信息,并将与所述网络数据包对应的检索信息存储在所述全信息记录子系统的数据库缓存表中。406、判断所述全信息记录子系统存储区是否达到预先设置的阈值容量;407、当判断所述全信息记录子系统存储区达到预先设置的阈值容量时,根据预先设置的删除规则将所述全信息记录子系统存储区中的网络数据包、与所述网络数据包对应的检索信息以及与所述网络数据包对应的分析结果数据进行删除。具体步骤是判断所述全信息记录子系统存储区是否达到预先设置的阈值容量,例如,定义阈值容量为1TB,当存储区达到ITB时,根据预先设置的删除规则,例如最早一天的数据,则将删除所述全信息记录子系统存储区内最早一天的网络数据包,同时删除与所述网络数据包对应的检索信息以及与所述网络数据包对应的分析结果数据。所述全信息记录子系统在不断抓取网络数据包,存储在所述全信息记录子系统存储区中,并将与所述网络数据包对应的检索信息存储在所述全信息记录子系统的数据库缓存表中的同时,不断判断所述全信息记录子系统存储区是否达到预先设置的阈值容量。408、所述全信息记录子系统利用预先设置的分析策略和规则,对所述网络数据包以及与所述网络数据包对应的检索信息进行分析。具体分析方式包括409、对所述网络数据包以及与所述网络数据包对应的检索信息进行异常流量分析,得出第一分析结果数据。主要是看是否有异常流量,例如是否具有拒绝服务攻击的特征。规则会指定分析何种类型的异常流量,以及相关异常流量的分析特征。410、对与所述网络数据包对应的检索信息进行分析,统计各类型网络流量,得出第二分析结果数据。规则会指定进行何种粒度、方式的网络流量统计,以及对多长时间的流量进行统计等。
411、对所述网络数据包进行应用层分析,得出第三分析结果数据。主要是分析应用层协议类型,以及应用层负载内容。规则是指定对何种应用层协议进行分析,以及这种应用层协议的判别特征,例如,发现某些网络数据包组成一个http 流,统计这个流的大小、网址等。412、由以上三个分析结果数据共同组成与所述网络数据包对应的分析结果数据, 并将所述分析结果数据存储在所述全信息记录子系统的数据库中。413、所述全信息记录子系统将与所述网络数据包对应的分析结果数据按照预先设置的上报规则上报给安全分析控制中心。其中,上报的内容和时间由安全分析控制中心设置的上报规则。414、所述全信息记录子系统接收安全分析控制中心发送的对应的安全策略,以便于所述全信息记录子系统根据接收到的对应的安全策略重新进行各项配置参数和文件存储权限的设置。415、各全信息记录子系统根据新接收的安全策略,对系统参数进行重新配置,之后各全信息记录子系统在新的配置下进行工作。实施例三本发明实施例提供一种安全分析控制中心,如图5所示,包括参数设置单元501, 接收单元502,策略单元503和发送单元504。其中,参数设置单元501,用于对各全信息记录子系统进行各项配置参数和文件存储权限的设置,以使得所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理,其中,所述配置参数包括抓取的网络数据包在各全信息记录子系统的存储区中的存储路径、阈值容量、分析策略和规则、上报规则;接收单元502,用于接收各全信息记录子系统上报的分析结果数据,所述分析结果数据为所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理后的数据;策略单元503,用于根据所述各全信息记录子系统上报的分析结果数据获取与各全信息记录子系统对应的安全策略;发送单元504,用于将所述安全策略发送给对应的各全信息记录子系统。本发明实施例提供一种安全分析控制中心,安全分析控制中心通过对各全信息记录子系统进行各项配置参数和文件存储权限的设置,以使得所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理,得到分析结果数据,安全分析控制中心根据接收到的所述各全信息记录子系统上报的分析结果数据,获取与各全信息记录子系统对应的安全策略。本发明实施例解决了现有技术中,各监听系统之间不能统一管理和共享存储,当面临大数据,多服务器集中监听的时候,现有的监听系统不能快速、高效的得到系统的安全策略的问题,实现对各全信息记录子系统进行统一管理和共享存储,并且实现快速、高效的得到系统的安全策略。具体应用时,安全分析控制中心通过通信单元与各全信息记录子系统不断地通信,确保全信息记录系统的正常运行。只有不间断地通信才能进行各项参数的设置、存储权限的设置,安全策略的获得并发送给对应的各全信息记录子系统。本发明实施例三提供一种安全分析控制中心,如图6所示,还包括提示单元505,用于在安全分析控制中心检测到所述各全信息记录子系统中任一子系统存在故障时,显示故障提示。本装置操作过程,参见实施例一的实现过程。实施例四本发明实施例提供一种全信息记录子系统,如图7所示,包括存储单元701,初步检索单元702,分析单元703,上报单元704和接收单元705。其中,存储单元701,用于当全信息记录子系统具备对抓取到的网络数据包的存储权限时,根据预先设置的存储路径将抓取的所述网络数据包存储在所述全信息记录子系统的存储区中;初步检索单元702,用于对存储在所述全信息记录子系统的存储区内的所述网络数据包进行初步检索得到与所述网络数据包对应的检索信息,并将与所述网络数据包对应的检索信息存储在所述全信息记录子系统的数据库缓存表中;分析单元703,用于所述全信息记录子系统利用预先设置的分析策略和规则,对所述网络数据包以及与所述网络数据包对应的检索信息进行分析,得到与所述网络数据包对应的分析结果数据;上报单元704,用于将与所述网络数据包对应的分析结果数据按照预先设置的上报规则上报给安全分析控制中心;接收单元705,用于接收安全分析控制中心发送的对应的安全策略,以便于所述全信息记录子系统根据接收到的对应的安全策略重新进行各项配置参数和文件存储权限的设置。本发明实施例提供一种全信息记录子系统,采用分布式架构的全信息记录子系统。通过各全信息记录子系统在网络各节点抓取网络数据包,经过分析得到对应的分析结果数据上报给安全分析控制中心,所述各全信息记录子系统接收安全分析控制中心根据上报的分析结果数据获取的与所述各全信息记录子系统对应的安全策略,以便于所述各全信息记录子系统根据所述安全策略重新对各项配置参数和文件存储权限进行设置。本发明实施例解决了现有技术中,各监听系统之间不能统一管理和共享存储,当面临大数据,多服务器集中监听的时候,现有的监听系统不能快速、高效的得到系统的安全策略的问题,实现对各全信息记录子系统进行统一管理和共享存储,并且实现快速、高效的得到系统的安全策略。本发明实施例四提供一种全信息记录子系统,如图8所示,其中,分析单元703包括异常流量分析模块811,用于对所述网络数据包以及与所述网络数据包对应的检索信息进行异常流量分析,得出第一分析结果数据;统计网络流量模块812,用于对与所述网络数据包对应的检索信息进行分析,统计各类型网络流量,得出第二分析结果数据;应用层分析模块813,用于对所述网络数据包进行应用层分析,得出第三分析结果数据,由第一分析结果数据、第二分析结果数据和第三分析结果数据共同组成与所述网络数据包对应的分析结果数据。本发明实施例四提供一种全信息记录子系统,如图9所示,还包括权限判断单元706,丢包单元707,容量判断单元708和删除单元709。其中,权限判断单元706,用于判断所述全信息记录子系统是否具备对抓取到的网络数据包的存储权限;丢包单元707,用于当判断所述全信息记录子系统不具备对抓取到的网络数据包的存储权限时,将抓取的网络数据包丢弃,所述全信息记录子系统重新抓取网络数据包。丢包单元,用于当判断所述全信息记录子系统不具备存储权限时,将抓取的网络数据包丢弃, 所述全信息记录子系统重新抓取网络数据包。容量判断单元708,用于判断所述全信息记录子系统存储区是否达到预先设置的阈值容量;删除单元709,用于当判断所述全信息记录子系统存储区达到预先设置的阈值容量时,根据预先设置的删除规则将所述全信息记录子系统存储区中的网络数据包、与所述网络数据包对应的检索信息以及与所述网络数据包对应的分析结果数据进行删除。本装置操作过程,参见实施例二的实现过程。实施例五本发明实施例提供一种全信息记录系统,如图10所示,包括安全分析控制中心和全信息记录子系统。其中,该系统应包含至少两个全信息记录子系统。本发明实施例提供一种全信息记录系统,采用分布式架构的全信息记录系统。通过各全信息记录子系统在网络各节点抓取网络数据包,经过分析得到对应的分析结果数据上报给安全分析控制中心,安全分析控制中心根据上报的分析结果数据获取与各全信息记录子系统对应的安全策略,并发送给对应的各全信息记录子系统,以便于各全信息记录子系统根据接收到的对应的安全策略重新进行各项配置参数和文件存储权限的设置。本发明实施例解决了现有技术中,各监听系统之间不能统一管理和共享存储,当面临大数据,多服务器集中监听的时候,现有的监听系统不能快速、高效的得到系统的安全策略的问题,实现对各全信息记录子系统进行统一管理和共享存储,并且实现快速、高效的得到系统的安全策略。所述全信息记录系统的工作流程如图11所示,步骤如下1101、全信息记录系统开始运行;1102、安全分析控制中心对各全信息记录子系统分别进行各项配置参数和文件存储权限的设置,以使得所述各全信息记录子系统根据所述配置参数和文件存储权限对各自抓取的网络数据包进行分析处理,其中,所述配置参数包括抓取的网络数据包在各全信息记录子系统的存储区中的存储路径、阈值容量、分析策略和规则、上报规则,还包括删除规则;1103、各全信息记录子系统采用零拷贝方式在百兆或千兆以太网下,高速抓取网络数据包,将包括媒体访问控制(Media Access Control,MAC)地址信息在内的网络数据包保存成统一的通用文件格式,一般采用数据包捕获(Packet Capture, PCAP)格式保存;1104、所述各全信息记录子系统分别判断对各自抓取到的网络数据包是否具备存储权限;1105、当所述各全信息记录子系统对各自抓取到的网络数据包不具备存储权限时,将抓取的网络数据包丢弃,所述各全信息记录子系统重新抓取网络数据包;1106、当各全信息记录子系统具备对各自抓取到的网络数据包的存储权限时,根据预先设置的存储路径将抓取的所述网络数据包分别存储在所述各全信息记录子系统的存储区中;1107、所述各全信息记录子系统对存储在所述各全信息记录子系统的存储区内的网络数据包进行初步检索,得到对应的检索信息,其中主要是对网络数据包的源地址端口和目的地址端口,数据载荷大小以及网络层、传输层协议类型进行检索,并将得到的对应的检索信息存储在所述各全信息记录子系统的数据库缓存表中;1108、所述各全信息记录子系统判断各自的存储区是否达到预先设置的阈值容量;1109、当所述各全信息记录子系统各自的存储区达到预先设置的阈值容量时,所述各全信息记录子系统根据预先设置的删除规则将所述各全信息记录子系统存储区中的网络数据包、与所述网络数据包对应的检索信息以及与所述网络数据包对应的分析结果数据进行删除;1110、所述各全信息记录子系统利用各自预先设置的分析策略和规则对所述各自网络数据包以及与所述各网络数据包对应的检索信息进行分析;1111、所述各全信息记录子系统对所述各自网络数据包以及与所述各自网络数据包对应的检索信息进行异常流量分析,得出第一分析结果数据;1112、所述各全信息记录子系统对与所述各自网络数据包对应的检索信息进行分析,统计各类型网络流量,得出第二分析结果数据;1113、所述各全信息记录子系统对所述各自网络数据包进行应用层分析,得出第三分析结果数据;1114、由第一分析结果数据、第二分析结果数据和第三分析结果数据共同组成与所述各自网络数据包对应的分析结果数据,所述各全信息记录子系统将所述分析结果数据存储在所述各全信息记录子系统的数据库中;1115、所述各全信息记录子系统将与所述各自网络数据包对应的分析结果数据按照预先设置的上报规则上报给安全分析控制中心;1116、所述安全分析控制中心根据所述各全信息记录子系统上报的分析结果数据获取与各全信息记录子系统对应的安全策略;1117、所述安全分析控制中心将与所述各全信息记录子系统对应的安全策略发送给对应的各全信息记录子系统;1118、所述各全信息记录子系统接收所述安全分析控制中心发送的对应的安全策略;1119、所述各全信息记录子系统根据接收到的对应的安全策略重新进行各项配置参数和文件存储权限的设置。本系统还提供Web界面,便于管理员对系统进行操作。Web界面还能够直观、明了的显示分析结果数据,管理员可根据协议类型,检测时间、安全等级等分类规则来查询抓取的网络数据包,将指令下达到安全分析控制中心,安全分析控制中心通过检索全信息记录子系统的存储区,导出所需要的数据。例如,如果需要导出抓取的网络数据包,则安全分析控制中心指定相应的全信息记录子系统的存储区,将数据导出。管理员也可通过Web界面统一设置一些安全策略、参数配置等。 以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
权利要求
1.一种全信息记录方法,其特征在于,包括安全分析控制中心对各全信息记录子系统进行各项配置参数和文件存储权限的设置, 以使得所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理,其中,所述配置参数包括抓取的网络数据包在各全信息记录子系统的存储区中的存储路径、阈值容量、分析策略和规则、上报规则;安全分析控制中心接收所述各全信息记录子系统上报的分析结果数据,所述分析结果数据为所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理后的数据;安全分析控制中心根据所述各全信息记录子系统上报的分析结果数据获取与所述各全信息记录子系统对应的安全策略。安全分析控制中心将所述安全策略发送给对应的各全信息记录子系统。
2.一种全信息记录方法,其特征在于,包括当全信息记录子系统具备对抓取到的网络数据包的存储权限时,根据预先设置的存储路径将抓取的所述网络数据包存储在所述全信息记录子系统的存储区中;对存储在所述全信息记录子系统的存储区内的所述网络数据包进行初步检索得到与所述网络数据包对应的检索信息,并将与所述网络数据包对应的检索信息存储在所述全信息记录子系统的数据库缓存表中;所述全信息记录子系统利用预先设置的分析策略和规则,对所述网络数据包以及与所述网络数据包对应的检索信息进行分析,得到与所述网络数据包对应的分析结果数据;所述全信息记录子系统将与所述网络数据包对应的分析结果数据按照预先设置的上报规则上报给安全分析控制中心。所述全信息记录子系统接收安全分析控制中心发送的对应的安全策略,以便于所述全信息记录子系统根据接收到的对应的安全策略重新进行各项配置参数和文件存储权限的设置。
3.根据权利要求2所述的一种全信息记录方法,其特征在于,所述全信息记录子系统利用预先设置的分析策略和规则,对所述网络数据包以及与所述网络数据包对应的检索信息进行分析,得到与所述网络数据包对应的分析结果数据,分析方式包括对所述网络数据包以及与所述网络数据包对应的检索信息进行异常流量分析,得出第一分析结果数据;对与所述网络数据包对应的检索信息进行分析,统计各类型网络流量,得出第二分析结果数据;对所述网络数据包进行应用层分析,得出第三分析结果数据,由第一分析结果数据、第二分析结果数据和第三分析结果数据共同组成与所述网络数据包对应的分析结果数据。
4.根据权利要求2所述的一种全信息记录方法,其特征在于,还包括判断所述全信息记录子系统是否具备对抓取到的网络数据包的存储权限; 当判断所述全信息记录子系统不具备对抓取到的网络数据包的存储权限时,将所述抓取的网络数据包丢弃,所述全信息记录子系统重新抓取网络数据包。
5.根据权利要求2所述的一种全信息记录方法,其特征在于,还包括 判断所述全信息记录子系统存储区是否达到预先设置的阈值容量;当判断所述全信息记录子系统存储区达到预先设置的阈值容量时,根据预先设置的删除规则将所述全信息记录子系统存储区中的网络数据包、与所述网络数据包对应的检索信息以及与所述网络数据包对应的分析结果数据进行删除。
6.一种安全分析控制中心,其特征在于,包括参数设置单元,用于对各全信息记录子系统进行各项配置参数和文件存储权限的设置,以使得所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理,其中,所述配置参数包括抓取的网络数据包在各全信息记录子系统的存储区中的存储路径、阈值容量、分析策略和规则、上报规则;接收单元,用于接收所述各全信息记录子系统上报的分析结果数据,所述分析结果数据为所述各全信息记录子系统根据所述配置参数和文件存储权限对抓取的网络数据包进行分析处理后的数据;策略单元,用于根据所述各全信息记录子系统上报的分析结果数据获取与所述各全信息记录子系统对应的安全策略。发送单元,用于将所述安全策略发送给对应的各全信息记录子系统。
7.一种全信息记录子系统,其特征在于,包括存储单元,用于当全信息记录子系统具备对抓取到的网络数据包的存储权限时,根据预先设置的存储路径将抓取的所述网络数据包存储在所述全信息记录子系统的存储区中;初步检索单元,用于对存储在所述全信息记录子系统的存储区内的所述网络数据包进行初步检索得到与所述网络数据包对应的检索信息,并将与所述网络数据包对应的检索信息存储在所述全信息记录子系统的数据库缓存表中;分析单元,用于所述全信息记录子系统利用预先设置的分析策略和规则,对所述网络数据包以及与所述网络数据包对应的检索信息进行分析,得到与所述网络数据包对应的分析结果数据;上报单元,用于将与所述网络数据包对应的分析结果数据按照预先设置的上报规则上报给安全分析控制中心。接收单元,用于接收安全分析控制中心发送的对应的安全策略,以便于所述全信息记录子系统根据接收到的对应的安全策略重新进行各项配置参数和文件存储权限的设置。
8.根据权利要求7所述的一种全信息记录子系统,其特征在于,所述分析单元包括 异常流量分析模块,用于对所述网络数据包以及与所述网络数据包对应的检索信息进行异常流量分析,得出第一分析结果数据;统计网络流量模块,用于对与所述网络数据包对应的检索信息进行分析,统计各类型网络流量,得出第二分析结果数据;应用层分析模块,用于对所述网络数据包进行应用层分析,得出第三分析结果数据,由第一分析结果数据、第二分析结果数据和第三分析结果数据共同组成与所述网络数据包对应的分析结果数据。
9.根据权利要求7所述的一种全信息记录子系统,其特征在于,还包括权限判断单元,用于判断所述全信息记录子系统是否具备对抓取到的网络数据包的存储权限;丢包单元,用于当判断所述全信息记录子系统不具备对抓取到的网络数据包的存储权限时,将所述抓取的网络数据包丢弃,所述全信息记录子系统重新抓取网络数据包。
10.根据权利要求7所述的一种全信息记录子系统,其特征在于,还包括容量判断单元,用于判断所述全信息记录子系统存储区是否达到预先设置的阈值容量;删除单元,用于当判断所述全信息记录子系统存储区达到预先设置的阈值容量时,根据预先设置的删除规则将所述全信息记录子系统存储区中的网络数据包、与所述网络数据包对应的检索信息以及与所述网络数据包对应的分析结果数据进行删除。
11.一种全信息记录系统,其特征在于,所述系统包括如权利要求6所述的安全控制中心和如权利要求7所述的全信息记录子系统。
全文摘要
本发明实施例公开了一种全信息记录方法、装置及系统,涉及计算机网络安全领域,实现对各全信息记录子系统进行统一管理和共享存储,并且实现快速、高效的得到系统的安全策略。所述方法包括安全分析控制中心对各全信息记录子系统进行各项配置参数和文件存储权限的设置;安全分析控制中心接收所述各全信息记录子系统上报的分析结果数据;安全分析控制中心根据所述各全信息记录子系统上报的分析结果数据获取与所述各全信息记录子系统对应的安全策略;安全分析控制中心将所述安全策略发送给对应的各全信息记录子系统。本发明实施例主要应用在计算机网络监控中。
文档编号H04L29/06GK102316104SQ201110256090
公开日2012年1月11日 申请日期2011年9月1日 优先权日2011年9月1日
发明者苟仲武 申请人:北京中兴网安科技有限公司