專利名稱:業(yè)務(wù)系統(tǒng)統(tǒng)一安全平臺(tái)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信安全體系領(lǐng)域��,特別是業(yè)務(wù)系統(tǒng)統(tǒng)一安全平臺(tái)���。
技術(shù)背景使用移動(dòng)通信的用戶越來(lái)越多�����,隨著使用用戶的增加�,移動(dòng)通信運(yùn)營(yíng)商內(nèi)部 的業(yè)務(wù)系統(tǒng)也隨之?dāng)U大��,那么業(yè)務(wù)系統(tǒng)不僅要注重對(duì)業(yè)務(wù)支撐能力的提高��,還應(yīng) 該對(duì)業(yè)務(wù)系統(tǒng)安全的保障也要提高��。而現(xiàn)在通常都是分散���、獨(dú)立分析各個(gè)網(wǎng)絡(luò)設(shè) 備和終端的信息���,難以做到多信息的關(guān)聯(lián)分析判斷。隨著通信產(chǎn)品�、網(wǎng)絡(luò)服務(wù)大量增加以及安全事件發(fā)生的多樣化,需要及時(shí)發(fā) 現(xiàn)�、處理安全事件,并分析發(fā)現(xiàn)當(dāng)前安全風(fēng)險(xiǎn)��,但是安全管理人員難以在海量信 息中及時(shí)發(fā)現(xiàn)安全事件����、難以在分散信息里面分析安全風(fēng)險(xiǎn)����,因此容易出現(xiàn)安全 盲區(qū)�����、安全孤島���,容易發(fā)生安全事件���,同時(shí)安全管理人員的工作非常冗余、煩累��, 安全維護(hù)的成本也教高����,這一系列問(wèn)題都是業(yè)務(wù)系統(tǒng)存在的重大問(wèn)題。 發(fā)明內(nèi)容本發(fā)明為解決上述問(wèn)題從提高業(yè)務(wù)系統(tǒng)安全保障的角度出發(fā)�����,提供了業(yè)務(wù)系 統(tǒng)統(tǒng)一安全平臺(tái)��,可以對(duì)業(yè)務(wù)系統(tǒng)本身提供統(tǒng)一的、全方位的���、細(xì)粒度的安全保 障,該平臺(tái)將多安全功能集成化�����、安全分析一體化�。本發(fā)明的技術(shù)方案如下-業(yè)務(wù)系統(tǒng)統(tǒng)一安全平臺(tái),其特征在于包括用于業(yè)務(wù)系統(tǒng)接入層網(wǎng)絡(luò)的入侵 檢測(cè)模塊��,用于業(yè)務(wù)系統(tǒng)接入層網(wǎng)絡(luò)的流量統(tǒng)計(jì)模塊��,用于業(yè)務(wù)系統(tǒng)主機(jī)設(shè)備的 漏洞掃描模塊���,用于業(yè)務(wù)系統(tǒng)服務(wù)器設(shè)備的服務(wù)器監(jiān)控模塊�����,用于業(yè)務(wù)系統(tǒng)承載 環(huán)境和系統(tǒng)本身的日志審計(jì)模塊�����,用于收集日志事件的關(guān)聯(lián)分析模塊����,用于審計(jì) 事件信息的報(bào)表呈現(xiàn)模塊,用于收集日志和審計(jì)事件信息的事件查詢模塊��,用于 審計(jì)事件信息的事件統(tǒng)計(jì)���,用于收集日志的策略審計(jì)模塊�。所述平臺(tái)還包括采集器���、管理服務(wù)器����、數(shù)據(jù)庫(kù)服務(wù)器��,可以采用多個(gè)采集器 與一個(gè)管理服務(wù)器��、 一個(gè)數(shù)據(jù)庫(kù)服務(wù)器構(gòu)成���。所述關(guān)聯(lián)分析模塊和策略審計(jì)模塊將作用于所有日志信息���,達(dá)到整體、集中 分析的目的,對(duì)于原日志信息和分析后事件信息由管理服務(wù)器提供査詢功能��,對(duì)事件信息由管理服務(wù)器提供統(tǒng)計(jì)和報(bào)表功能��。所述關(guān)聯(lián)分析模塊是將多條來(lái)源不同�����、內(nèi)容不同看似各自獨(dú)立的事件信息聯(lián) 系在一起���,分析出一個(gè)新的事件。所述關(guān)聯(lián)分析模塊采用XML關(guān)鍵字匹配技術(shù)�����,通過(guò)多條XML關(guān)鍵字匹配規(guī)則 構(gòu)建關(guān)聯(lián)規(guī)則��,采用時(shí)間窗口��、緩存后臺(tái)日志方式得出分析結(jié)果����。所述關(guān)聯(lián)規(guī)則包括原始事件信息的某些字段、超時(shí)時(shí)間���、重復(fù)次數(shù)等信息作 為元素��,即當(dāng)一條事件信息命中關(guān)聯(lián)規(guī)則中的匹配規(guī)則后����,隨即生成一條后臺(tái)曰 志,在超時(shí)時(shí)期內(nèi)當(dāng)另一條事件信息命中同一條關(guān)聯(lián)規(guī)則的另一條匹配規(guī)則��,隨 即會(huì)更新前面生成的后臺(tái)日志直至生成新的關(guān)聯(lián)事件��。例如 一臺(tái)服務(wù)器受到利 用系統(tǒng)漏洞類攻擊��,我們可將這樣服務(wù)器上的攻擊行為信息����,與漏洞掃描模塊信 息進(jìn)行關(guān)聯(lián)分析得到相應(yīng)的漏洞詳細(xì)信息;與防火墻日志信息進(jìn)行關(guān)聯(lián)分析更進(jìn) 一步跟蹤攻擊源�;與服務(wù)器監(jiān)控模塊信息進(jìn)行關(guān)聯(lián)分析得到該服務(wù)器在受到攻擊 后當(dāng)前系統(tǒng)工作狀態(tài)等等。所述平臺(tái)的工作流程為首先位于受控網(wǎng)絡(luò)分配層交換機(jī)上的釆集器通過(guò)事件査詢模塊對(duì)設(shè)備����、系統(tǒng)日志信息進(jìn)行采集,再通過(guò)入侵檢測(cè)模塊�、流量統(tǒng)計(jì)模 塊對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行入侵監(jiān)測(cè)行為分析、流量統(tǒng)計(jì)分析�����,通過(guò)漏洞掃描模塊、 服務(wù)器監(jiān)控模塊對(duì)受控網(wǎng)絡(luò)主機(jī)進(jìn)行漏洞掃描�、服務(wù)器監(jiān)控,然后將采集到的信 息進(jìn)行范式化處理后送數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行統(tǒng)一集中存儲(chǔ)��,并將范式化后的信息傳 送給關(guān)聯(lián)分析模塊�����、策略審計(jì)模塊進(jìn)行處理生成審計(jì)事件信息����,以審計(jì)事件類信 息存儲(chǔ)�����,通過(guò)報(bào)表呈現(xiàn)模塊生成相應(yīng)的事件類信息報(bào)表���。本發(fā)明的有益效果如下本發(fā)明能對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行了全方位的統(tǒng)一安全分析�����,既可將安全風(fēng)險(xiǎn)細(xì)粒度 到某一個(gè)終端��,也可對(duì)整個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行整體的安全風(fēng)險(xiǎn)分析�����,可對(duì)業(yè)務(wù)系統(tǒng)內(nèi) 部的網(wǎng)絡(luò)訪問(wèn)���、設(shè)備漏洞��、網(wǎng)絡(luò)數(shù)據(jù)量��、各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備及終端設(shè)備日志集中 統(tǒng)一分析�,評(píng)估安全風(fēng)險(xiǎn)�;集中統(tǒng)一的安全分析解決了以往安全分析分散而又復(fù) 雜的難題,將安全分析化繁為簡(jiǎn)����;采用統(tǒng)一安全平臺(tái)將安全分析整合所帶來(lái)的成 本降低;將多種安全功能整合在同一平臺(tái)當(dāng)中能夠讓這些功能組成統(tǒng)一的整體發(fā) 揮作用���,相比于單個(gè)功能的累加功效更強(qiáng)��;同時(shí)��,也減少了安全管理人員的冗余 工作�����。
圖1為本發(fā)明的工作流程示意2為本發(fā)明關(guān)聯(lián)分析模塊的流程3為本發(fā)明的系統(tǒng)結(jié)構(gòu)4為本發(fā)明的功能結(jié)構(gòu)圖具體實(shí)施方式
實(shí)施例l業(yè)務(wù)系統(tǒng)統(tǒng)一安全平臺(tái)��,包括用于業(yè)務(wù)系統(tǒng)接入層網(wǎng)絡(luò)的入侵檢測(cè)模塊��,用 于業(yè)務(wù)系統(tǒng)接入層網(wǎng)絡(luò)的流量統(tǒng)計(jì)模塊�,用于業(yè)務(wù)系統(tǒng)主機(jī)設(shè)備的漏洞掃描模塊, 用于業(yè)務(wù)系統(tǒng)服務(wù)器設(shè)備的服務(wù)器監(jiān)控模塊�����,用于業(yè)務(wù)系統(tǒng)承載環(huán)境和系統(tǒng)本身 的日志審計(jì)模塊����,用于收集日志事件的關(guān)聯(lián)分析模塊,用于審計(jì)事件信息的報(bào)表 呈現(xiàn)模塊��,用于收集日志和審計(jì)事件信息的事件查詢模塊����,用于審計(jì)事件信息的 事件統(tǒng)計(jì)�����,用于收集日志的策略審計(jì)模塊。所述平臺(tái)還包括采集器��、管理服務(wù)器��、數(shù)據(jù)庫(kù)服務(wù)器��,可以采用多個(gè)采集器 與一個(gè)管理服務(wù)器��、 一個(gè)數(shù)據(jù)庫(kù)服務(wù)器構(gòu)成���。所述關(guān)聯(lián)分析模塊和策略審計(jì)模塊將作用于所有日志信息����,達(dá)到整體�����、集中 分析的目的����,對(duì)于原日志信息和分析后事件信息由管理服務(wù)器提供查詢功能,對(duì) 事件信息由管理服務(wù)器提供統(tǒng)計(jì)和報(bào)表功能����。所述關(guān)聯(lián)分析模塊是將多條來(lái)源不同�����、內(nèi)容不同看似各自獨(dú)立的事件信息聯(lián) 系在一起�����,分析出一個(gè)新的事件����。所述平臺(tái)的工作流程為首先位于受控網(wǎng)絡(luò)分配層交換機(jī)上的采集器通過(guò)事 件査詢模塊對(duì)設(shè)備�����、系統(tǒng)日志信息進(jìn)行采集��,再通過(guò)入侵檢測(cè)模塊��、流量統(tǒng)計(jì)模 塊對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行入侵監(jiān)測(cè)行為分析�、流量統(tǒng)計(jì)分析,通過(guò)漏洞掃描模塊�、 服務(wù)器監(jiān)控模塊對(duì)受控網(wǎng)絡(luò)主機(jī)進(jìn)行漏洞掃描�、服務(wù)器監(jiān)控,然后將采集到的信 息進(jìn)行范式化處理后送數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行統(tǒng)一集中存儲(chǔ)��,并將范式化后的信息傳 送給關(guān)聯(lián)分析模塊、策略審計(jì)模塊進(jìn)行處理生成審計(jì)事件信息����,以審計(jì)事件類信 息存儲(chǔ),通過(guò)報(bào)表呈現(xiàn)模塊生成相應(yīng)的事件類信息報(bào)表�。實(shí)施例2業(yè)務(wù)系統(tǒng)統(tǒng)一安全平臺(tái),包括用于業(yè)務(wù)系統(tǒng)接入層網(wǎng)絡(luò)的入侵檢測(cè)模塊����,用 于業(yè)務(wù)系統(tǒng)接入層網(wǎng)絡(luò)的流量統(tǒng)計(jì)模塊,用于業(yè)務(wù)系統(tǒng)主機(jī)設(shè)備的漏洞掃描模塊�����, 用于業(yè)務(wù)系統(tǒng)服務(wù)器設(shè)備的服務(wù)器監(jiān)控模塊����,用于業(yè)務(wù)系統(tǒng)承載環(huán)境和系統(tǒng)本身的日志審計(jì)模塊,用于收集日志事件的關(guān)聯(lián)分析模塊���,用于審計(jì)事件信息的報(bào)表 呈現(xiàn)模塊���,用于收集日志和審計(jì)事件信息的事件查詢模塊,用于審計(jì)事件信息的 事件統(tǒng)計(jì)�����,用于收集日志的策略審計(jì)模塊。所述平臺(tái)還包括采集器��、管理服務(wù)器�、數(shù)據(jù)庫(kù)服務(wù)器,可以采用多個(gè)采集器 與一個(gè)管理服務(wù)器�����、 一個(gè)數(shù)據(jù)庫(kù)服務(wù)器構(gòu)成��。所述關(guān)聯(lián)分析模塊和策略審計(jì)模塊將作用于所有日志信息�����,達(dá)到整體���、集中 分析的目的��,對(duì)于原日志信息和分析后事件信息由管理服務(wù)器提供查詢功能���,對(duì) 事件信息由管理服務(wù)器提供統(tǒng)計(jì)和報(bào)表功能。所述關(guān)聯(lián)分析模塊是將多條來(lái)源不同、內(nèi)容不同看似各自獨(dú)立的事件信息聯(lián) 系在一起����,分析出一個(gè)新的事件��。所述關(guān)聯(lián)分析模塊采用XML關(guān)鍵字匹配技術(shù)���,通過(guò)多條XML關(guān)鍵字匹配規(guī)則 構(gòu)建關(guān)聯(lián)規(guī)則���,采用時(shí)間窗口、緩存后臺(tái)日志方式得出分析結(jié)果����。所述關(guān)聯(lián)規(guī)則包括原始事件信息的某些字段、超時(shí)時(shí)間�、重復(fù)次數(shù)等信息作 為元素,即當(dāng)一條事件信息命中關(guān)聯(lián)規(guī)則中的匹配規(guī)則后���,隨即生成一條后臺(tái)曰 志��,在超時(shí)時(shí)期內(nèi)當(dāng)另一條事件信息命中同一條關(guān)聯(lián)規(guī)則的另一條匹配規(guī)則�����,隨 即會(huì)更新前面生成的后臺(tái)日志直至生成新的關(guān)聯(lián)事件��。例如 一臺(tái)服務(wù)器受到利 用系統(tǒng)漏洞類攻擊��,我們可將這樣服務(wù)器上的攻擊行為信息��,與漏洞掃描模塊信 息進(jìn)行關(guān)聯(lián)分析得到相應(yīng)的漏洞詳細(xì)信息���;與防火墻日志信息進(jìn)行關(guān)聯(lián)分析更進(jìn) 一步跟蹤攻擊源��;與服務(wù)器監(jiān)控模塊信息進(jìn)行關(guān)聯(lián)分析得到該服務(wù)器在受到攻擊 后當(dāng)前系統(tǒng)工作狀態(tài)等等�。所述平臺(tái)的工作流程為首先位于受控網(wǎng)絡(luò)分配層交換機(jī)上的采集器通過(guò)事 件查詢模塊對(duì)設(shè)備�、系統(tǒng)日志信息進(jìn)行采集,再通過(guò)入侵檢測(cè)模塊��、流量統(tǒng)計(jì)模 塊對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行入侵監(jiān)測(cè)行為分析��、流量統(tǒng)計(jì)分析���,通過(guò)漏洞掃描模塊�����、 服務(wù)器監(jiān)控模塊對(duì)受控網(wǎng)絡(luò)主機(jī)進(jìn)行漏洞掃描��、服務(wù)器監(jiān)控����,然后將采集到的信 息進(jìn)行范式化處理后送數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行統(tǒng)一集中存儲(chǔ),并將范式化后的信息傳 送給關(guān)聯(lián)分析模塊��、策略審計(jì)模塊進(jìn)行處理生成審計(jì)事件信息�����,以審計(jì)事件類信 息存儲(chǔ)����,通過(guò)報(bào)表呈現(xiàn)模塊生成相應(yīng)的事件類信息報(bào)表��。
權(quán)利要求
1��、業(yè)務(wù)系統(tǒng)統(tǒng)一安全平臺(tái)�,其特征在于包括用于業(yè)務(wù)系統(tǒng)接入層網(wǎng)絡(luò)的入侵檢測(cè)模塊,用于業(yè)務(wù)系統(tǒng)接入層網(wǎng)絡(luò)的流量統(tǒng)計(jì)模塊��,用于業(yè)務(wù)系統(tǒng)主機(jī)設(shè)備的漏洞掃描模塊�����,用于業(yè)務(wù)系統(tǒng)服務(wù)器設(shè)備的服務(wù)器監(jiān)控模塊,用于業(yè)務(wù)系統(tǒng)承載環(huán)境和系統(tǒng)本身的日志審計(jì)模塊��,用于收集日志事件的關(guān)聯(lián)分析模塊�,用于審計(jì)事件信息的報(bào)表呈現(xiàn)模塊,用于收集日志和審計(jì)事件信息的事件查詢模塊��,用于審計(jì)事件信息的事件統(tǒng)計(jì)��,用于收集日志的策略審計(jì)模塊�。
2、 根據(jù)權(quán)利要求1所述業(yè)務(wù)系統(tǒng)統(tǒng)一安全平臺(tái)����,其特征在于還包括采集器、 管理服務(wù)器���、數(shù)據(jù)庫(kù)服務(wù)器���。
3、 根據(jù)權(quán)利要求2所述業(yè)務(wù)系統(tǒng)統(tǒng)一安全平臺(tái)�����,其特征在于所述關(guān)聯(lián)分析 模塊和策略審計(jì)模塊對(duì)原日志信息和分析后的事件信息由管理服務(wù)器提供査詢功 能��,對(duì)事件信息由管理服務(wù)器提供統(tǒng)計(jì)和報(bào)表功能。
4�、 根據(jù)權(quán)利要求l所述業(yè)務(wù)系統(tǒng)統(tǒng)一安全平臺(tái),其特征在于所述關(guān)聯(lián)分析 模塊是將多條來(lái)源不同��、內(nèi)容不同看似各自獨(dú)立的事件信息聯(lián)系在一起����,分析出 一個(gè)新的事件。
5��、 根據(jù)權(quán)利要求l所述業(yè)務(wù)系統(tǒng)統(tǒng)一安全平臺(tái)�,其特征在于所述關(guān)聯(lián)分析 模塊采用XML關(guān)鍵字匹配技術(shù)���,通過(guò)多條XML關(guān)鍵字匹配規(guī)則構(gòu)建關(guān)聯(lián)規(guī)則����,采用時(shí)間窗口�����、緩存后臺(tái)日志方式得出分析結(jié)果���。
6�����、 根據(jù)權(quán)利要求5所述業(yè)務(wù)系統(tǒng)統(tǒng)一安全平臺(tái)��,其特征在于所述關(guān)聯(lián)規(guī)則包括原始事件信息的某些字段����、超時(shí)時(shí)間、重復(fù)次數(shù)等信息作為元素���,即當(dāng)一條 事件信息命中關(guān)聯(lián)規(guī)則中的匹配規(guī)則后���,隨即生成一條后臺(tái)日志,在超時(shí)時(shí)期內(nèi) 當(dāng)另一條事件信息命中同一條關(guān)聯(lián)規(guī)則的另一條匹配規(guī)則���,隨即會(huì)更新前面生成的后臺(tái)日志直至生成新的關(guān)聯(lián)事件��。
7���、 根據(jù)權(quán)利要求l所述業(yè)務(wù)系統(tǒng)統(tǒng)一安全平臺(tái),其特征在于工作流程為首先位于受控網(wǎng)絡(luò)分配層交換機(jī)上的采集器通過(guò)事件査詢模塊對(duì)設(shè)備��、系統(tǒng)日志信 息進(jìn)行采集���,再通過(guò)入侵檢測(cè)模塊��、流量統(tǒng)計(jì)模塊對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行入侵監(jiān) 測(cè)行為分析�、流量統(tǒng)計(jì)分析,通過(guò)漏洞掃描模塊��、服務(wù)器監(jiān)控模塊對(duì)受控網(wǎng)絡(luò)主 機(jī)進(jìn)行漏洞掃描����、服務(wù)器監(jiān)控,然后將釆集到的信息進(jìn)行范式化處理后送數(shù)據(jù)庫(kù) 服務(wù)器進(jìn)行統(tǒng)一集中存儲(chǔ)���,并將范式化后的信息傳送給關(guān)聯(lián)分析模塊�、策略審計(jì)模塊進(jìn)行處理生成審計(jì)事件信息���,以審計(jì)事件類信息存儲(chǔ),通過(guò)報(bào)表呈現(xiàn)模塊生 成相應(yīng)的事件類信息報(bào)表����。
全文摘要
本發(fā)明公開(kāi)了業(yè)務(wù)系統(tǒng)統(tǒng)一安全平臺(tái),其特征在于包括用于業(yè)務(wù)系統(tǒng)接入層網(wǎng)絡(luò)的入侵檢測(cè)模塊��,用于業(yè)務(wù)系統(tǒng)接入層網(wǎng)絡(luò)的流量統(tǒng)計(jì)模塊���,用于業(yè)務(wù)系統(tǒng)主機(jī)設(shè)備的漏洞掃描模塊�����,用于業(yè)務(wù)系統(tǒng)服務(wù)器設(shè)備的服務(wù)器監(jiān)控模塊�,用于業(yè)務(wù)系統(tǒng)承載環(huán)境和系統(tǒng)本身的日志審計(jì)模塊,用于收集日志事件的關(guān)聯(lián)分析模塊�,用于審計(jì)事件信息的報(bào)表呈現(xiàn)模塊,用于收集日志和審計(jì)事件信息的事件查詢模塊���,用于審計(jì)事件信息的事件統(tǒng)計(jì)�����,用于收集日志的策略審計(jì)模塊����;本發(fā)明能對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行了全方位的統(tǒng)一安全分析����,解決了以往安全分析分散而又復(fù)雜的難題,將安全分析化繁為簡(jiǎn)��,同時(shí)還降低了成本�;同時(shí)�����,也減少了安全管理人員的冗余工作�。
文檔編號(hào)H04L12/24GK101257399SQ20071005107
公開(kāi)日2008年9月3日 申請(qǐng)日期2007年12月29日 優(yōu)先權(quán)日2007年12月29日
發(fā)明者定 盧, 周曉偉, 健 曾, 林 王 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)四川有限公司