專利名稱:網(wǎng)絡(luò)行為審計訪問規(guī)則定義方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域中的一項重要應(yīng)用一一網(wǎng)絡(luò)行為審計訪問規(guī)則定 義方法及系統(tǒng)。
背景技術(shù):
網(wǎng)絡(luò)行為審計系統(tǒng)是通過定義好用戶對系統(tǒng)服務(wù)的訪問規(guī)則,審計引擎將網(wǎng) 絡(luò)中傳輸?shù)臄?shù)據(jù)包進行協(xié)議解析,再根據(jù)這些訪問規(guī)則進行用戶的操作行為審 計。通常此類產(chǎn)品都支持多種常用的應(yīng)用層協(xié)議,可以實現(xiàn)業(yè)務(wù)用戶通過網(wǎng)絡(luò) 訪問相關(guān)服務(wù)的細粒度審計,是企業(yè)實現(xiàn)業(yè)務(wù)安全的必選方案。此類系統(tǒng)的一 個核心功能單元就是用戶訪問規(guī)則的制訂,規(guī)則能否高效準確地被匹配對規(guī)則 的定義方式提出了很高的要求,并且系統(tǒng)支持的協(xié)議種類越多,訪問規(guī)則之間 的差異就會越大,審計引擎的處理負擔也會越大。因此,如何以統(tǒng)一的格式制 訂出不同協(xié)議的用戶訪問規(guī)則是構(gòu)建高效的網(wǎng)絡(luò)安全審計系統(tǒng)的首要問題。
傳統(tǒng)的規(guī)則定義方式中,大多采用直接定義用戶操作內(nèi)容的方法,即指定用 戶的操作命令或語句中包含了哪些關(guān)鍵字,而在審計引擎中不對應(yīng)用層協(xié)議進 行解析,只是簡單地通過在數(shù)據(jù)包中匹配査找關(guān)鍵字來實現(xiàn)審計效果。
這種方式存在著下列局限性
1. 匹配效率低,審計引擎為了匹配關(guān)鍵字需要從頭遍歷網(wǎng)絡(luò)數(shù)據(jù)包中的所 有內(nèi)容;
2. 匹配準確率低,審計引擎并不進行應(yīng)用層協(xié)議解析,所以目標數(shù)據(jù)中無 關(guān)內(nèi)容比較多,降低了匹配的準確度。
發(fā)明內(nèi)容
本發(fā)明的目的是設(shè)計一種網(wǎng)絡(luò)行為審計訪問規(guī)則的定義方法,通過分析各 種應(yīng)用層協(xié)議,將每種協(xié)議中需要關(guān)注的部分定義為協(xié)議變量,通過指定這些 協(xié)議變量的值來預(yù)期用戶可能通過網(wǎng)絡(luò)來進行的操作進而達到定義用戶訪問規(guī)則的目的。
實現(xiàn)本發(fā)明的技術(shù)方案是這樣的, 一種網(wǎng)絡(luò)安全審計訪問規(guī)則的定義方 法,包括如下步驟
(1) 定義協(xié)議變量分析每種可審計的應(yīng)用層協(xié)議并抽取關(guān)注部分,將 這些部分以協(xié)議變量的形式體現(xiàn);
(2) 定義訪問規(guī)則模版將每種協(xié)議的協(xié)議變量按一定格式組合成規(guī)則 模版,作為承載用戶輸入的容器;
(3) 將規(guī)則模版中內(nèi)容組織到用戶界面,供用戶輸入預(yù)期值;
(4) 提取訪問規(guī)則模版中的內(nèi)容并按一定格式進行組織,然后發(fā)送給審 計引擎進行規(guī)則匹配。
一種網(wǎng)絡(luò)安全審計的訪問規(guī)則定義系統(tǒng),該系統(tǒng)包括一計算機主機, 一網(wǎng) 絡(luò)服務(wù)器,多個終端服務(wù)器,數(shù)據(jù)存儲裝置,網(wǎng)卡,以及數(shù)據(jù)輸入裝置和輸出 裝置,還包括
用于存儲預(yù)定義協(xié)議變量和用戶定義訪問規(guī)則的規(guī)則存儲單元; 用于解析訪問規(guī)則模版內(nèi)容的訪問規(guī)則模版操作單元; 用于將訪問規(guī)則模版內(nèi)容映射到用戶操作界面的界面展現(xiàn)單元; 用于將用戶定義訪問規(guī)則發(fā)送到審計引擎的訪問規(guī)則發(fā)送單元。 以上幾個邏輯處理單元之間的關(guān)系是首先由規(guī)則存儲單元加載訪問規(guī)則 模版信息,再將訪問規(guī)則模版信息傳遞給訪問規(guī)則模版操作單元解析,解析后 的內(nèi)容(包括協(xié)議變量、描述信息等)由界面展現(xiàn)單元顯示在用戶界面上,用 戶定義完規(guī)則后再由訪問規(guī)則操作單元將用戶定義的規(guī)則信息寫回規(guī)則存儲單 元。訪問規(guī)則發(fā)送單元直接將規(guī)則信息從規(guī)則存儲單元按照一定格式組織成文 件發(fā)送到審計引擎。
該方法的先進之處在于
1. 通過協(xié)議變量定義規(guī)則,匹配效率高。
2. 應(yīng)用層協(xié)議解析,匹配準確性高。
3. 規(guī)則定義格式統(tǒng)一,易于理解和操作。
圖1為本發(fā)明處理流程圖。
圖2為本發(fā)明系統(tǒng)結(jié)構(gòu)圖。 下面結(jié)合附圖和實施例對本發(fā)明進一步說明。
具體實施例方式
實施例l: 如圖1所示,
一種網(wǎng)絡(luò)行為審計訪問規(guī)則的定義方法,包括如下步驟
(1) 定義協(xié)議變量分析每種可審計的應(yīng)用層協(xié)議并抽取關(guān)注部分,將這些 部分以協(xié)議變量的形式體現(xiàn);
(2) 定義訪問規(guī)則模版將每種協(xié)議的協(xié)議變量按一定格式組合成規(guī)則模版, 作為承載用戶輸入的容器;
(3) 將規(guī)則模版中內(nèi)容組織到用戶界面,供用戶輸入預(yù)期值。
(4) 提取訪問規(guī)則模版中的內(nèi)容并按一定格式進行組織,然后發(fā)送給審計引擎 進行規(guī)則匹配。
上述步驟(1)中的協(xié)議變量,是在各種應(yīng)用層協(xié)議中抽象出來的感念,也
就是將需要進行審計的部分定義成變量。如telnet協(xié)議定義了兩個協(xié)議變量 telnetjnput表示"輸入內(nèi)容";telnet—user表示"登錄用戶名"。
上述步驟(2)中的訪問規(guī)則模版,是按照一定的格式將協(xié)議變量組織起來
作為提供用戶輸入的模版。 一個協(xié)議變量對應(yīng)著一個模版,其格式如下 "協(xié)議變量"{"界面描述"I "協(xié)議變量"I "運算符列表"}{"返回說明"} 它由三部分組成,其中第一個"協(xié)議變量"標識了模版的身份;第二部分 中的"界面描述"是用戶在界面上進行定義時看到的描述信息。當用戶輸入定 義值后,"協(xié)議變量"和"運算符列表"用來組合成型如"協(xié)議變量+運算符+ 值"的表達式。另一方面,運算符會在界面上展現(xiàn)供用戶選擇,可能包括"包含"、 "等于"或"正則表達式"等;最后一部分"返回說明"是規(guī)則匹配后審計引 擎應(yīng)該返回的說明信息。
上述步驟(3)中的將規(guī)則模版中內(nèi)容組織到用戶界面,是將模版中與界面相關(guān)的各個元素反應(yīng)到用戶界面,接受用戶輸入。模版中的"界面描述"是作
為文本輸入框的描述部分;"運算符列表"放入選擇框中供用戶選擇。
上述步驟(4)中提取訪問規(guī)則模版中的內(nèi)容并按一定格式進行組織,是將
模版中的元素及用戶定義的內(nèi)容按下面的格式寫入文件"協(xié)議變量"[〃nocase] "運算符""內(nèi)容";
其中[〃nocase]是可選項表示匹配時大小寫是否敏感。寫入文件后將文件 發(fā)送到審計引擎進行處理。
基于上述方法的一種網(wǎng)絡(luò)行為審計的訪問規(guī)則定義系統(tǒng),該系統(tǒng)包括一計 算機主機, 一網(wǎng)絡(luò)服務(wù)器,多個終端服務(wù)器,數(shù)據(jù)存儲裝置,網(wǎng)卡,以及數(shù)據(jù)
輸入裝置和輸出裝置,還包括一協(xié)議變量存儲單元;訪問規(guī)則模版操作單元;界 面展現(xiàn)單元;訪問規(guī)則發(fā)送單元。
實施例2:
下面以telnet協(xié)議為例說明這種方法的實施方式。 首先定義出telnet的協(xié)議變量,如下
telnetjnput表示"輸入的內(nèi)容";
telnet—user表示"登錄的用戶名"。
它們基本可以滿足需要審計的所有內(nèi)容。接下來需要決定要審計用戶什么 操作。假定要審計用戶root刪除所有后綴為"sys"的文件操作,那么可以這 樣使用協(xié)議變量,也就是
telnet—in put包含rm *.sys;
telnet—user等于root;
有了這些信息以后規(guī)則模版就可以按如下的方式定義
telnet—input{用戶輸入|telnet—input| A=r}{:Te|net用戶輸入 =telnet_input };
禾口
telnet—user{ 登錄名 |telnet—user|A=r}{:Telnet 登錄名 =telnet_user};
7其中A二r定義了三個運算符;
'A'表示包含;
表示等于; ,表示正則表達式。 定義好規(guī)則模版后可以將其存儲在數(shù)據(jù)庫表中,其中的這些信息可供訪問 規(guī)則定義的應(yīng)用程序讀取解析。
規(guī)則定義應(yīng)用程序應(yīng)該先將模版中的各部分分離,分別存放在不同的變量
中;然后將模版中"用戶輸入"和"登錄名"分別作為界面文本輸入框的描述;
將三個運算符分別轉(zhuǎn)換成中文描述寫入界面選擇框中作為選擇項;將rm *.sys 作為"用戶輸入";root作為"登錄名"分別寫入界面輸入框中;
將 表 達 式 telnetJnput[〃nocase]Arm *.sys 和 telnet—user[,,nocase]=root分別寫入數(shù)據(jù)庫中。這樣用戶訪問規(guī)則就定義好 了,接下來將這些信息以及規(guī)則模版中定義的"返回說明"寫入文件并發(fā)送到 審計引擎進行規(guī)則匹配。當引擎發(fā)現(xiàn)用戶root進行刪除任何后綴為"sys"的 文件操作時,就會返回":Telnet用戶輸入二rm filename.sys "和"Telnet 登錄名=「00〖"這樣的信息
8
權(quán)利要求
1. 一種網(wǎng)絡(luò)行為審計的訪問規(guī)則定義系統(tǒng),包括一計算機主機,一網(wǎng)絡(luò)服務(wù)器,多個終端服務(wù)器,數(shù)據(jù)存儲裝置,網(wǎng)卡,以及數(shù)據(jù)輸入裝置和輸出裝置,其特征在于包括用于存儲預(yù)定義協(xié)議變量和用戶定義訪問規(guī)則的規(guī)則存儲單元;用于解析訪問規(guī)則模版內(nèi)容的訪問規(guī)則模版操作單元;用于將訪問規(guī)則模版內(nèi)容映射到用戶操作界面的界面展現(xiàn)單元;用于將用戶定義訪問規(guī)則發(fā)送到審計引擎的訪問規(guī)則發(fā)送單元;由規(guī)則存儲單元加載訪問規(guī)則模版信息,再將訪問規(guī)則模版信息傳遞給訪問規(guī)則模版操作單元解析,解析后的內(nèi)容包括協(xié)議變量、描述信息,由界面展現(xiàn)單元顯示在用戶界面上,用戶定義完規(guī)則后再由訪問規(guī)則操作單元將定義的規(guī)則信息寫回規(guī)則存儲單元;訪問規(guī)則發(fā)送單元直接將信息從規(guī)則存儲單元按照一定格式組織成文件發(fā)送到審計引擎。
2. 根據(jù)權(quán)利要求l所述的一種網(wǎng)絡(luò)行為審計的訪問規(guī)則定義系統(tǒng),其特征 在于分析每種可審計的應(yīng)用層協(xié)議,定義協(xié)議變量。
3. 根據(jù)權(quán)利要求l所述的一種網(wǎng)絡(luò)行為審計的訪問規(guī)則定義系統(tǒng),其特征 在于以模版的形式存儲協(xié)議變量,將模版作為承載用戶輸入的容器;模版格式如下"協(xié)議變量"{"描述"I "協(xié)議變量"I "運算符列表"}{"返回說明"}。
4. 根據(jù)權(quán)利要求l所述的一種網(wǎng)絡(luò)行為審計的用戶訪問規(guī)則定義系統(tǒng),其 特征在于將規(guī)則模版中定義的信息以下面的格式發(fā)送給審計單元進行匹配;"協(xié)議變量"[〃nocase]"運算符""內(nèi)容"; 其中[〃nocase]是可選項表示匹配時大小寫是否敏感。
5.—種網(wǎng)絡(luò)行為審計的訪問規(guī)則定義方法,其特征在于包括如下步驟(1) 定義協(xié)議變量分析每種可審計的應(yīng)用層協(xié)議并抽取關(guān)注部分, 將這些部分以協(xié)議變量的形式體現(xiàn);(2) 定義訪問規(guī)則模版將每種協(xié)議的協(xié)議變量按一定格式組合成規(guī) 則模版,作為承載用戶輸入的容器;(3) 將規(guī)則模版中內(nèi)容組織到用戶界面,供用戶輸入預(yù)期值;(4) 提取訪問規(guī)則模版中的內(nèi)容并按一定格式進行組織,然后發(fā)送給 審計引擎進行規(guī)則匹配。
全文摘要
本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域中的一項重要應(yīng)用——網(wǎng)絡(luò)行為審計訪問規(guī)則定義方法,該方法通過分析每種應(yīng)用層協(xié)議,將每種協(xié)議中需要關(guān)注的部分定義為協(xié)議變量,通過指定這些協(xié)議變量的值來預(yù)期用戶可能通過網(wǎng)絡(luò)來進行的操作進而達到定義用戶訪問規(guī)則的目的。
文檔編號H04L29/06GK101471926SQ20071030398
公開日2009年7月1日 申請日期2007年12月24日 優(yōu)先權(quán)日2007年12月24日
發(fā)明者孫海波, 輝 張, 李一博, 趙振東 申請人:北京啟明星辰信息技術(shù)股份有限公司