专利名称:网络安全协同联动系统及方法
技术领域:
本发明属于网络安全领域,尤其涉及网络安全协同联动系统及方法。
背景技术:
随着信息技术和互联网技术的快速发展,针对网络信息系统的恶意攻击变得越来越多样化和复杂化,这些安全事件极大地威胁了我国的国家安全和人民生活,网络安全形势日趋严峻。为此,学术、产业等社会各界对网络安全技术进行了深入全面的研究工作,并取得了较为成熟的研究成果,如入侵检测、漏洞扫描、僵尸网络发现、分布式拒绝服务攻击检测、垃圾邮件过滤、防病毒、防木马等等技术及系统,然而,现有的研究工作还面临着以下两个问题一是单一技术的孤立研究已很难大幅度降低网络安全事件的误报率和漏报率, 比如入侵检测;二是单一技术手段已很难满足日益复杂的应用需求,比如针对网络安全事件的深入分析与知识挖掘。因此,针对网络安全协同联动技术的研究具有重要的理论意义和实际价值。近几年,在安全事件协同联动相关领域具有一定代表性的研究工作包括1)统一威胁管理(Unified Threat Management,简称UTM),最早由 Fortinet 公司在2002年提出,2004年9月美国著名的IDC提出将防病毒、入侵检测和防火墙安全设备命名为统一威胁管理。也被称为多功能防火墙、多功能安全网关。该类技术能够很好的关联防病毒、入侵检测和防火墙安全设备,并构成一个标准的统一管理平台。与传统网关安全设备相比,UTM设备融合多种安全能力,具有管理方便、投入少、防御能力强的优势。然而,该技术也有自己与生俱来的劣势,可以关联和管理的设备是固定的,不可以添加新的设备进行关联。因此,UTM不灵活且扩展性差。2)安全运营中心(Security Operation Center,简称S0C),一般被定位为以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析,风险分析,预警管理,和应急响应处理的集中安全管理系统。但是由于目前业界并没有形成一个统一的理解,各厂商之间的SOC实现并不统一,不同厂商产品之间尚缺乏协同联动能力。
发明内容
因此,本发明的目的在于克服上述现有技术的缺陷,提供一种网络安全协同联动系统,可兼容多种安全资源。为了实现上述发明目的,一方面,本发明提供了一种网络安全协同联动系统,包括安全资源接口模块,用于为多个安全资源提供传输接口以便在所述协同联动系统与各个安全资源之间进行文件传输,所述安全资源是指相关的网络安全系统;安全资源适配模块,用于将相应的安全资源提供的安全事件信息从其特定格式转换为所述协同联动系统的标准格式;
协同联动引擎模块,用于根据协同联动需求对各个安全资源提供的安全事件进行
关联分析和挖掘,以得到更有价值的信息。 上述系统中,每个安全资源适配模块对应一个安全资源。上述系统中,安全资源接口模块采用FTP或SSH作为接口传输协议。上述系统中,所述协同联动引擎模块包括指令集,其包含了常用指令,为协同联动引擎提供基础的协同联动功能;模式集,其包含了协同联动模式,所述协同联动模式是根据协同联动需求采用指令集内的指令所编写的程序;模式执行模块,用于执行协同联动模式以完成相应的协同联动任务。上述系统中,还包括PA集,其提供指令集内不存在的运算,所述协同联动模式是根据协同联动需求采用指令集和/或PA集内的指令所编写的程序。上述系统中,协同联动引擎是使用C、Python或Java实现的。上述系统中,所述安全资源接口模块使用FTP资源向量的方式标识各个安全资源的FTP资源并且将多个FTP资源向量组成了 FTP资源表,所述FTP资源向量为<NUM, SERVER, USER, PASSWORD〉,其中,NUM即该FTP资源的编号;SERVER为该FTP所在主机的IP 地址;USER为FTP的用户名;PASSWORD为FTP的密码。上述系统中,所述安全资源接口模块在访问具体的FTP资源时使用FTP编号来获取连接信息,并且通过在FTP资源表添加新的FTP资源向量来添加新的安全资源。又一方面,本发明提供了用于上述系统的网络安全协同联动方法,所述方法包括以下步骤步骤1)将协同联动需求中所涉及的所有安全资源挂接到协同系统中;步骤2、根据协同联动需求编写相应的协同联动模式;步骤幻在协同联动引擎中执行所述协同联动模式以得到所需的数据。上述方法中,所述步骤1)包括以下步骤为各个安全资源开发相应的安全资源适配模块,所述安全资源适配模块将相应的安全资源提供的安全事件信息从其特定格式转换为所述协同联动系统的标准格式;在安全资源接口模块中,为各个安全资源提供传输接口以用于在所述协同联动系统和各个安全资源之间进行文件传输。上述方法中,所述步骤2、包括以下步骤如果指令集中的指令可以满足协同联动需求,则使用指令集来根据协同联动需求编写协同联动模式;否则开发相应的PA集,并使用指令集和相应PA集中的指令来根据协同联动需求编写协同联动模式。上述方法中,所述步骤幻包括以下步骤根据协同联动需求从各个安全资源获取安全事件文件;由协同联动引擎按照所述协同联动模式依次对各个安全资源提供的安全事件进行关联分析和挖掘,以得到更有价值的信息。与现有技术相比,本发明的优点在于上述的协同联动系统具备对遵循通过协商所定接口的网络安全资源的协同分析和联动控制能力,具有更好的通用性。而且多种网络安全资源可通过相应专用的安全适配模块快速方便地加入到协同联动系统中,具有更好的可扩展性。
以下参照附图对本发明实施例作进一步说明,其中图1为根据本发明实施例的网络安全协同联动系统结构图;图2为根据本发明实施例的协同联动引擎结构图;图3为根据本发明实施例的挖掘出的恶意主机示意图;图4为根据本发明实施例的挖掘出的恶意域名示意图;图5为根据本发明实施例的挖掘前后受控主机对比图。
具体实施例方式为了使本发明的目的,技术方案及优点更加清楚明白,以下结合附图通过具体实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明, 并不用于限定本发明。图1示出了网络安全协同联动系统的一个实施例的架构示意图。如图1所示,网络安全协同联动系统(在下文也可简称为协同联动系统或系统)包括协同联动引擎模块、 安全资源接口模块、存储资源模块、安全资源适配模块。协同联动引擎模块是协同联动系统的运算单元,负责对安全资源提供的安全事件进行关联分析,从而挖掘出更有价值的信息。 其中安全资源是指相关的网络安全系统,如防火墙、入侵检测系统、入侵防御系统、防病毒系统等等。安全资源接口模块主要负责与存储资源模块以及安全资源适配模块交换信息, 其接口传输协议可以使用FTP、SSH等技术。存储资源模块主要负责存储数据,协同联动引擎模块、安全资源接口模块和安全资源适配模块的数据都可以存放在存储资源模块,比如内存、数据库或者文件系统等等。安全资源适配模块负责将各安全资源提供的安全事件文件转换成标准格式信息,并通过安全资源接口模块传递给其他模块。该系统的基本工作流程是首先通过安全资源接口模块和安全资源适配模块从各个安全资源获取安全事件文件,比如入侵检测系统提供的安全事件文件;接着将这些安全事件文件中存储的安全事件保存到存储资源模块中;然后,按照协同联动的具体需求(协同联动需求即网络安全事件的关联需求)按次序从存储资源模块中取出事件,并经过协同联动引擎模块的关联和挖掘得到所需的数据。更具体地,安全资源接口模块通过为各个安全资源提供传输接口以便与各个安全资源之间进行文件传输。可以采用FTP、SSH等作为接口传输协议。以FTP为例,对于每个安全资源可以有一个或者几个FTP资源,每个安全资源都把检测到的安全事件文件放到自己相应的FTP资源上,安全资源接口模块使用FTP资源向量的方式标识特定的FTP资源。该向量为<NUM,SERVER, USER, PASSWORD〉,其中,NUM 即该 FTP 资源的编号;SERVER 即该 FTP 所在主机的IP地址;USER即FTP的用户名;PASSWORD即FTP的密码。将诸多FTP资源向量组成了 FTP资源表,这样访问具体的FTP资源时使用FTP编号就可以直接获取连接信息。 而且添加新的安全资源时只需在FTP资源表添加新的FTP资源向量即可,具有很高的灵活性。在通过安全资源接口模块接收来自安全资源的安全事件文件后,需要通过安全资源适配模块将安全事件从相应的安全资源的特定格式转换为协同联动系统的标准格式 (TXT或者XML都可以作为标准格式),然后通过安全资源接口模块将其发送到存储资源模块进行保存。协同联动系统可以包括多个安全资源适配模块。可以针对各个安全资源开发相应的安全资源适配模块,可以使用任何语言进行开发,只要能够完成相应的格式转换功能即可。然后,协同联动引擎模块对各个安全资源提供的安全事件进行关联分析,从而挖掘出更有价值的信息。在本实施例中,根据协同联动需求编写协同联动模式。也就是说要按照协同联动需求依次从存储资源模块中提取相应的安全事件,并通过协同联动引擎的关联和挖掘来得到所需数据。图2示出了协同联动引擎模块的结构示意图。如图2所示,该模块包括指令集、PA 集、模式集和模式执行模块。指令集包含了全部常用指令,为协同联动引擎提供基础的协同联动功能。PA (处理代理,Processing Agent,简称PA)是指令集的补充,PA可以提供指令集内不存在的运算,从而使得协同联动引擎的能力得到进一步的提高和扩展;模式是由指令集和PA集内的指令组成的程序,该程序可以在模式执行模块上运行,最后完成相应的协同联动任务;模式执行模块是协同联动引擎的执行模块,指令集和PA集的指令最后都要经过该模块解释执行,每个具体的模式也要经过该模块才能完成协同联动任务。协同联动引擎可以使用各种语言实现,比如C、Python和Java等。这种内部结构使得协同联动引擎具有很强的可扩展性。更具体地,根据协同联动需求,使用协同联动引擎模块中的指令集内的指令编写相应的协同联动模式,并运行所编写的协同联动模式来完成协同联动任务。如果指令集不能满足协同联动需求,则需要开发相应PA (可以使用任意语言开发)。根据协同联动需求, 使用指令集和相应PA编写协同联动模式。协同联动模式本质上是使用指令集和/或PA集的指令有序组成的一个程序,这个程序执行之后就能完成某一个特定的协同联动任务。与 UTM的协同联动相比,UTM的协同联动是固定的,不可以随意编程改变,而且可以联动的设备也是固定的。而本系统针对不同的协同联动需求可以开发不同的协同联动模式,比较灵活,具有通用性。例如,采用了 3个安全资源安全资源1)是863-917网络安全监测平台(系国家863计划资助的国家网络安全监测平台),该平台实时检测我国互联网中特定安全事件, 诸如僵尸网络、木马通信等事件;安全资源2)是某些省份公共核心域名服务器的域名解析记录信息;安全资源3)是某省份的流量监测系统,该系统能够提供核心路由器的流记录信肩、ο对于上述每个安全资源,在系统中添加相应的安全资源适配模块并在安全资源接口模块的FTP资源表添加新的FTP资源向量,这样就可以将这三个安全资源挂载到协同联动系统中了。对于上述3个安全资源的协同联动需求是根据863-917网络安全检测平台提供的恶意IP,在域名记录系统中挖掘出恶意域名,然后根据这些恶意域名在流记录中挖掘出更多恶意IP和受控IP。按照该协同联动需求,采用指令集中的指令来编写相应的协同联动模式。该协同联动模式如下
(1)SELECT_T0_FILE (0, ‘‘ select氺from eventlog_863917 ‘‘, ‘‘ eventlog. txt" , “ Γ )//从0号数据库取出863-917平台检测的当天恶意主机信息,形成eventlog. txt 文件,使用〃 1〃间隔(2)L0AD_T0_TABLE(2, “ eventlog. txt",“ eventlog",“ |〃 )H将恶意主机信息eventlog. txt导入2号数据库的eventlog表中(3)SELECT_T0_FILE(1, “ select*from dns〃,“ dns.txt",“ |")H从1号数据库取出当天的DNS记录,形成dns. txt文件,使用‘‘| ‘‘间隔(4)L0AD_T0_TABLE(2, “ dns. txt",“ dns",“ |〃 )//将dns记录dns. txt导入2号数据库的dns表中(5)SELECT_T0_TABLE(2, “ some select string",“ zoom")//在数据库2中经过一系列的select查询,将挖掘之后的恶意主机域名信息形成 zoom 表(6)SELECT_T0_FILE(2, “ select*from zoom",“ zoom, txt",“ |〃 )//从2号数据库取出zoom表中的信息形成zoom, txt文件,使用〃 |〃间隔(7)PUT_FILE(0, “ zoom, txt",“ zoom, txt",“ /home/ftp")H将zoom, txt文件传动给流监测所在的0号FTP,流监测会根据该文件查找相关的流信息并形成一个叫做flow, txt的文件(8)GET_FILE(0, “ flow, txt",“ flow, txt",“ /home/ftp")//获取流监测返回的包含恶意主机和被控主机信息的文件flow, txt(9)L0AD_T0_TABLE(2, “ flow, txt",“ flow",“ |〃 )H将flow, txt导入到数据库2中的flow表中接着,通过协同联动引擎模块中的模式执行模块来执行该协同联动模式。图3展示了 2010-03-14到2010-03-18这五天通过执行协同联动挖掘出的恶意主机数。图4展示了 2010-03-14到2010-03-18这五天通过执行协同联动挖掘出恶意域名数量。图5比较了 2010-03-14到2010-03-18这五天内采用协同联动系统和未采用协同联动系统发现的受控主机的数量。从图5可以看出采用协同联动系统的发现降低了漏报率。表1-5是上述实施例中的协同联动系统提供的各模块之间交互以及执行系统联动所涉及的指令。表1数据库操作指令
常
权利要求
1.一种网络安全协同联动系统,所述协同联动系统包括安全资源接口模块,用于为多个安全资源提供传输接口以便在所述协同联动系统与各个安全资源之间进行文件传输,所述安全资源是指相关的网络安全系统;安全资源适配模块,用于将相应的安全资源提供的安全事件信息从其特定格式转换为所述协同联动系统的标准格式;协同联动引擎模块,用于根据协同联动需求对各个安全资源提供的安全事件进行关联分析和挖掘,以得到更有价值的信息。
2.根据权利要求1所述的系统,其中,每个安全资源适配模块对应一个安全资源。
3.根据权利要求1所述的系统,其中,安全资源接口模块采用FTP或SSH作为接口传输协议。
4.根据权利要求1所述的系统,所述协同联动引擎模块包括指令集,其包含了常用指令,为协同联动引擎提供基础的协同联动功能; 模式集,其包含了协同联动模式,所述协同联动模式是根据协同联动需求采用指令集内的指令所编写的程序;模式执行模块,用于执行协同联动模式以完成相应的协同联动任务。
5.根据权利要求4所述的系统,其中还包括PA集,其提供指令集内不存在的运算,所述协同联动模式是根据协同联动需求采用指令集和/或PA集内的指令所编写的程序。
6.根据权利要求4所述的系统,其中协同联动引擎是使用C、Python或Java实现的。
7.根据权利要求3所述的系统,其中所述安全资源接口模块使用FTP资源向量的方式标识各个安全资源的FTP资源并且将多个FTP资源向量组成了 FTP资源表,所述FTP资源向量为<NUM,SERVER, USER, PASSWORD〉,其中,NUM 即该 FTP 资源的编号;SERVER 为该 FTP 所在主机的IP地址;USER为FTP的用户名;PASSWORD为FTP的密码。
8.根据权利要求7所述的系统,其中所述安全资源接口模块在访问具体的FTP资源时使用FTP编号来获取连接信息,并且通过在FTP资源表添加新的FTP资源向量来添加新的安全资源。
9.一种基于上述任一权利要求所述的系统的网络安全协同联动方法,所述方法包括 步骤1)将协同联动需求中所涉及的所有安全资源挂接到协同系统中;步骤幻根据协同联动需求编写相应的协同联动模式;步骤幻在协同联动引擎中执行所述协同联动模式以得到所需的数据。
10.根据权利要求9所述的方法,其中所述步骤1)包括以下步骤为各个安全资源开发相应的安全资源适配模块,所述安全资源适配模块将相应的安全资源提供的安全事件信息从其特定格式转换为所述协同联动系统的标准格式;在安全资源接口模块中,为各个安全资源提供传输接口以用于在所述协同联动系统和各个安全资源之间进行文件传输。
11.根据权利要求9所述的方法,其中,所述步骤幻包括以下步骤如果指令集中的指令可以满足协同联动需求,则使用指令集来根据协同联动需求编写协同联动模式;否则开发相应的PA集,并使用指令集和相应PA集中的指令来根据协同联动需求编写协同联动模式。
12.根据权利要求9所述的方法,其中,所述步骤幻根据协同联动需求从各个安全资源获取安全事件文件,并由协同联动引擎按照所述协同联动模式依次对各个安全资源提供的安全事件进行关联分析和挖掘,以得到更有价值的信息。
全文摘要
本发明提供一种网络安全协同联动系统。其中安全资源接口模块为多个安全资源提供传输接口以便在所述协同联动系统与各个安全资源之间进行文件传输的;安全资源适配模块将相应的安全资源提供的安全事件信息从其特定格式转换为所述协同联动系统的标准格式;协同联动引擎模块根据协同联动需求对各个安全资源提供的安全事件进行关联分析和挖掘,以得到更有价值的信息。该系统具备对遵循通过协商所定接口的网络安全资源的协同分析和联动控制能力,具有更好的通用性;不同的网络安全资源可通过相应专用的安全适配模块快速方便地加入到协同联动系统中,具有更好的可扩展性。
文档编号H04L29/06GK102377780SQ20111031557
公开日2012年3月14日 申请日期2011年10月18日 优先权日2011年10月18日
发明者云晓春, 孙建亮, 张永铮, 臧天宁 申请人:中国科学院计算技术研究所