專(zhuān)利名稱:一種網(wǎng)絡(luò)邊界安全監(jiān)控方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種安全監(jiān)控方法,特別涉及一種適用于計(jì)算機(jī)信息安全領(lǐng) 域的網(wǎng)絡(luò)邊界安全監(jiān)控方法。
背景技術(shù):
目前,傳統(tǒng)的網(wǎng)絡(luò)管理系統(tǒng)只關(guān)心網(wǎng)絡(luò)硬件和流量信息,而應(yīng)用系統(tǒng)自 身只關(guān)心本身業(yè)務(wù);但是,隨著各個(gè)網(wǎng)絡(luò)系統(tǒng)希望互聯(lián)互通的需求日益強(qiáng)烈, 在實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)互通的同時(shí),又要確保網(wǎng)絡(luò)信息安全。因此,網(wǎng)絡(luò)邊界的安 全對(duì)網(wǎng)絡(luò)的互聯(lián)互通就顯得尤為重要,既要確保外部網(wǎng)絡(luò)的無(wú)法入侵,又要 防止內(nèi)部信息的泄露;而且,在保證業(yè)務(wù)正常交互的同時(shí),又要有嚴(yán)密的監(jiān) 控功能。
網(wǎng)絡(luò)邊界的安全對(duì)網(wǎng)絡(luò)的互聯(lián)互通非常重要,對(duì)網(wǎng)絡(luò)邊界進(jìn)行監(jiān)控是保 證網(wǎng)絡(luò)邊界安全的一種有效方法了;在現(xiàn)有的網(wǎng)絡(luò)邊界監(jiān)控方法中,只單一 的對(duì)用戶、應(yīng)用系統(tǒng)和流量進(jìn)行單獨(dú)的監(jiān)控,只能單一的了解用戶、應(yīng)用系 統(tǒng)或者流量的監(jiān)控信息,無(wú)法準(zhǔn)確地對(duì)安全事件進(jìn)行處理和定位。
因此,特別需要一種網(wǎng)絡(luò)邊界安全監(jiān)控方法,能有效地將用戶、應(yīng)用系 統(tǒng)和流量監(jiān)控相結(jié)合,增強(qiáng)監(jiān)控的效果。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題在于提供一種網(wǎng)絡(luò)邊界安全監(jiān)控方法,對(duì)網(wǎng) 絡(luò)邊界的流量、用戶和應(yīng)用系統(tǒng)進(jìn)行關(guān)聯(lián)監(jiān)控,形成一個(gè)較完整的監(jiān)控方法; 從其中一點(diǎn)入手,就可以獲取更全的監(jiān)控信息,尤其對(duì)于安全事件處理、定
位有很大的幫助。
本發(fā)明所要解決的技術(shù)問(wèn)題可以通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn) 一種網(wǎng)絡(luò)邊界安全監(jiān)控方法,其特征在于,所述網(wǎng)絡(luò)邊界安全監(jiān)控方法通過(guò)監(jiān)控模塊分別對(duì)網(wǎng)絡(luò)邊界的流量、用戶和應(yīng)用系統(tǒng)進(jìn)行監(jiān)控,所述監(jiān)控 模塊將監(jiān)控得到的網(wǎng)絡(luò)邊界的流量、用戶和應(yīng)用系統(tǒng)信息進(jìn)行關(guān)聯(lián)分析,可 以通過(guò)流量、用戶或者應(yīng)用系統(tǒng)其中之一的信息聯(lián)系到網(wǎng)絡(luò)邊界的其它監(jiān)控 信息。
在本發(fā)明的一個(gè)實(shí)施例中,所述流量和應(yīng)用系統(tǒng)之間的關(guān)聯(lián)為將流量和 已注冊(cè)的應(yīng)用系統(tǒng)的網(wǎng)絡(luò)信息進(jìn)行比較,將流量劃分到各個(gè)應(yīng)用系統(tǒng)中去, 了解各個(gè)應(yīng)用系統(tǒng)的流量信息。
在本發(fā)明的一個(gè)實(shí)施例中,如果沒(méi)有劃分到應(yīng)用系統(tǒng)的流量,就將這些 流量統(tǒng)一劃分為未注冊(cè)流量。
在本發(fā)明的一個(gè)實(shí)施例中,所述流量和用戶之間的關(guān)聯(lián)為將流量和用戶 的原地址關(guān)聯(lián)起來(lái),定位造成該流量的用戶。
在本發(fā)明的一個(gè)實(shí)施例中,如果流量是未注冊(cè)業(yè)務(wù)流量、帶有攻擊性流 量或具有蠕蟲(chóng)特征的流量,可以通過(guò)原地址找到相關(guān)用戶。
在本發(fā)明的一個(gè)實(shí)施例中,所述用戶和應(yīng)用系統(tǒng)之間的關(guān)聯(lián)為當(dāng)用戶訪 問(wèn)資源信息時(shí),與應(yīng)用系統(tǒng)登記的網(wǎng)絡(luò)資源信息關(guān)聯(lián),確切了解用戶在訪問(wèn) 哪些應(yīng)用系統(tǒng);便于審計(jì)用戶的應(yīng)用系統(tǒng)的訪問(wèn)行為,從側(cè)面監(jiān)控了用戶訪 問(wèn)的權(quán)限限制。
本發(fā)明的網(wǎng)絡(luò)邊界安全監(jiān)控方法,針對(duì)網(wǎng)絡(luò)邊界的流量、用戶和應(yīng)用系 統(tǒng)之間進(jìn)行關(guān)聯(lián)監(jiān)控,形成一個(gè)較完整的監(jiān)控體系,通過(guò)關(guān)聯(lián)流量、用戶和 應(yīng)用系統(tǒng)之間的聯(lián)系,從流量、用戶或者應(yīng)用系統(tǒng)其中一點(diǎn)入手,就可以獲 取更全的監(jiān)控信息,尤其對(duì)于安全事件處理、定位有很大的幫助,實(shí)現(xiàn)本發(fā) 明的目的。
圖1為本發(fā)明一種網(wǎng)絡(luò)邊界安全監(jiān)控方法的系統(tǒng)應(yīng)用框圖; 圖2為本發(fā)明的安全監(jiān)管系統(tǒng)的結(jié)構(gòu)圖3為本發(fā)明的應(yīng)用系統(tǒng)、流量和用戶三者關(guān)聯(lián)的示意圖4為本發(fā)明的流量和應(yīng)用系統(tǒng)關(guān)聯(lián)的流程框圖5為本發(fā)明的流量和用戶關(guān)聯(lián)的流程框圖6為本發(fā)明的用戶和應(yīng)用系統(tǒng)關(guān)聯(lián)的流程框圖。
具體實(shí)施例方式
為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了 解,下面結(jié)合具體圖示,進(jìn)一步闡述本發(fā)明。
如圖1所示, 一種網(wǎng)絡(luò)邊界安全監(jiān)控方法,在網(wǎng)絡(luò)之間的網(wǎng)絡(luò)邊界中設(shè) 置安全監(jiān)管系統(tǒng),所述安全監(jiān)管系統(tǒng)中包括對(duì)網(wǎng)絡(luò)邊界的流量、用戶和應(yīng)用 系統(tǒng)進(jìn)行監(jiān)控的相應(yīng)的監(jiān)控模塊,將所述監(jiān)控模塊監(jiān)控得到的網(wǎng)絡(luò)邊界的流 量、用戶和應(yīng)用系統(tǒng)信息進(jìn)行關(guān)聯(lián)分析,可以通過(guò)流量、用戶或者應(yīng)用系統(tǒng) 其中之一的信息獲取網(wǎng)絡(luò)邊界的流量、用戶和應(yīng)用系統(tǒng)全部的監(jiān)控信息。
如圖2所示,在本發(fā)明的一個(gè)實(shí)施例中,所述安全監(jiān)管系統(tǒng)包括應(yīng)用注 冊(cè)管理模塊、網(wǎng)絡(luò)流量探測(cè)模塊和授權(quán)訪問(wèn)控制模塊,對(duì)網(wǎng)絡(luò)邊界的應(yīng)用系
統(tǒng)、流量和用戶進(jìn)行監(jiān)控,具體對(duì)應(yīng)如下
所述應(yīng)用注冊(cè)管理模塊對(duì)應(yīng)用系統(tǒng)進(jìn)行監(jiān)控,所述應(yīng)用注冊(cè)管理模塊登 記了每個(gè)應(yīng)用系統(tǒng)需要訪問(wèn)的資源地址、端口范圍和協(xié)議等應(yīng)用系統(tǒng)信息。
所述網(wǎng)絡(luò)流量探測(cè)模塊對(duì)流量進(jìn)行監(jiān)控,所述網(wǎng)絡(luò)流量探測(cè)模塊收集網(wǎng) 絡(luò)上的流量信息,包括源地址、目的地址、源端口、目的端口協(xié)議、字節(jié)數(shù) 和包數(shù)等流量信息。
所述授權(quán)訪問(wèn)控制模塊對(duì)用戶進(jìn)行監(jiān)控,所述授權(quán)訪問(wèn)控制模塊控制終 端用戶訪問(wèn)的信息,并記錄用戶的源地址、訪問(wèn)地址以及端口。
由于,用戶是訪問(wèn)應(yīng)用系統(tǒng)的主體,應(yīng)用系統(tǒng)是被訪問(wèn)的客體;同時(shí), 在用戶訪問(wèn)應(yīng)用系統(tǒng)的同時(shí)還形成一定的網(wǎng)絡(luò)流量,也可以說(shuō)是用戶行為引 起的客觀情況,使應(yīng)用系統(tǒng)、流量和用戶三者之間會(huì)產(chǎn)生關(guān)聯(lián)。
從用戶角度,我們可以知道用戶訪問(wèn)哪些應(yīng)用系統(tǒng),造成哪些流量;從 應(yīng)用系統(tǒng)的角度,我們可以分出那些流量是訪問(wèn)該應(yīng)用系統(tǒng)造成的,由哪些 用戶訪問(wèn)了該應(yīng)用系統(tǒng);從流量的角度,我們也可以知道這個(gè)流量和哪個(gè)用 戶和應(yīng)用系統(tǒng)有關(guān); 一旦發(fā)生了安全事件,我們可以從其中一點(diǎn)快速聯(lián)系到 相關(guān)信息,提供更多的線索,也就加快的定位的時(shí)間,為快速處置安全事件 提供方便。
如圖3所示,應(yīng)用系統(tǒng)、流量和用戶三者關(guān)聯(lián)關(guān)系如下 流量和應(yīng)用系統(tǒng)關(guān)聯(lián)
5在本發(fā)明的一個(gè)實(shí)施例中,所述流量和應(yīng)用系統(tǒng)之間的關(guān)聯(lián)為將流量和 已注冊(cè)的應(yīng)用系統(tǒng)的網(wǎng)絡(luò)信息進(jìn)行比較,將流量劃分到各個(gè)應(yīng)用系統(tǒng)中去, 了解各個(gè)應(yīng)用系統(tǒng)的流量信息。
如果沒(méi)有劃分到應(yīng)用系統(tǒng)的流量,就將這些流量統(tǒng)一劃分為未注冊(cè)流量。 網(wǎng)管人員可以重點(diǎn)關(guān)心未注冊(cè)流量的信息,是否與網(wǎng)絡(luò)異常、攻擊或病
毒蠕蟲(chóng)相關(guān)。(參見(jiàn)圖4) 流量和用戶關(guān)聯(lián)
在本發(fā)明的一個(gè)實(shí)施例中,所述流量和用戶之間的關(guān)聯(lián)為將流量和用戶 的原地址關(guān)聯(lián)起來(lái),定位造成該流量的用戶。
在本發(fā)明的一個(gè)實(shí)施例中,如果流量是未注冊(cè)業(yè)務(wù)流量、帶有攻擊性流 量或具有蠕蟲(chóng)特征的流量,可以通過(guò)原地址找到相關(guān)用戶,從源頭上處理安 全事件。(參見(jiàn)圖5)
用戶和應(yīng)用系統(tǒng)關(guān)聯(lián)
在本發(fā)明的一個(gè)實(shí)施例中,所述用戶和應(yīng)用系統(tǒng)之間的關(guān)聯(lián)為當(dāng)用戶訪 問(wèn)資源信息時(shí),與應(yīng)用系統(tǒng)登記的網(wǎng)絡(luò)資源信息關(guān)聯(lián),確切了解用戶在訪問(wèn) 哪些應(yīng)用系統(tǒng);便于審計(jì)用戶的應(yīng)用系統(tǒng)的訪問(wèn)行為,從側(cè)面監(jiān)控了用戶訪 問(wèn)的權(quán)限限制。(參見(jiàn)圖6)
以上顯示和描述了本發(fā)明的基本原理和主要特征及其優(yōu)點(diǎn)。本行業(yè)的技 術(shù)人員應(yīng)該了解,本發(fā)明不受上述實(shí)施例的限制,上述實(shí)施例和說(shuō)明書(shū)中描 述的只是說(shuō)明本發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下,本發(fā)明 還會(huì)有各種變化和改進(jìn),這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。 本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書(shū)及其等效物界定。
權(quán)利要求
1、一種網(wǎng)絡(luò)邊界安全監(jiān)控方法,其特征在于,所述網(wǎng)絡(luò)邊界安全監(jiān)控方法通過(guò)監(jiān)控模塊分別對(duì)網(wǎng)絡(luò)邊界的流量、用戶和應(yīng)用系統(tǒng)進(jìn)行監(jiān)控,所述監(jiān)控模塊將監(jiān)控得到的網(wǎng)絡(luò)邊界的流量、用戶和應(yīng)用系統(tǒng)信息進(jìn)行關(guān)聯(lián)分析,可以通過(guò)流量、用戶或者應(yīng)用系統(tǒng)其中之一的信息聯(lián)系到網(wǎng)絡(luò)邊界的其它監(jiān)控信息。
2、 如權(quán)利要求1所述的網(wǎng)絡(luò)邊界安全監(jiān)控方法,其特征在于,所述流量 和應(yīng)用系統(tǒng)之間的關(guān)聯(lián)為將流量和已注冊(cè)的應(yīng)用系統(tǒng)的網(wǎng)絡(luò)信息進(jìn)行比較, 將流量劃分到各個(gè)應(yīng)用系統(tǒng)中去,了解各個(gè)應(yīng)用系統(tǒng)的流量信息。
3、 如權(quán)利要求2所述的網(wǎng)絡(luò)邊界安全監(jiān)控方法,其特征在于,如果沒(méi)有 劃分到應(yīng)用系統(tǒng)的流量,就將這些流量統(tǒng)一劃分為未注冊(cè)流量。
4、 如權(quán)利要求1所述的網(wǎng)絡(luò)邊界安全監(jiān)控方法,其特征在于,所述流量 和用戶之間的關(guān)聯(lián)為將流量和用戶的原地址關(guān)聯(lián)起來(lái),定位造成該流量的用 戶。
5、 如權(quán)利要求4所述的網(wǎng)絡(luò)邊界安全監(jiān)控方法,其特征在于,如果流量 是未注冊(cè)業(yè)務(wù)流量、帶有攻擊性流量或具有蠕蟲(chóng)特征的流量,可以通過(guò)原地 址找到相關(guān)用戶。
6、 如權(quán)利要求1所述的網(wǎng)絡(luò)邊界安全監(jiān)控方法,其特征在于,所述用戶 和應(yīng)用系統(tǒng)之間的關(guān)聯(lián)為當(dāng)用戶訪問(wèn)資源信息時(shí),與應(yīng)用系統(tǒng)登記的網(wǎng)絡(luò)資 源信息關(guān)聯(lián),確切了解用戶在訪問(wèn)哪些應(yīng)用系統(tǒng);便于審計(jì)用戶的應(yīng)用系統(tǒng) 的訪問(wèn)行為,從惻面監(jiān)控了用戶訪問(wèn)的權(quán)限限制。
全文摘要
本發(fā)明公開(kāi)一種網(wǎng)絡(luò)邊界安全監(jiān)控方法,所述網(wǎng)絡(luò)邊界安全監(jiān)控方法通過(guò)監(jiān)控模塊分別對(duì)網(wǎng)絡(luò)邊界的流量、用戶和應(yīng)用系統(tǒng)進(jìn)行監(jiān)控,所述監(jiān)控模塊將監(jiān)控得到的網(wǎng)絡(luò)邊界的流量、用戶和應(yīng)用系統(tǒng)信息進(jìn)行關(guān)聯(lián)分析,可以通過(guò)流量、用戶或者應(yīng)用系統(tǒng)其中之一的信息聯(lián)系到網(wǎng)絡(luò)邊界的其它監(jiān)控信息;針對(duì)網(wǎng)絡(luò)邊界的流量、用戶和應(yīng)用系統(tǒng)之間進(jìn)行關(guān)聯(lián)監(jiān)控,形成一個(gè)較完整的監(jiān)控體系,通過(guò)關(guān)聯(lián)流量、用戶和應(yīng)用系統(tǒng)之間的聯(lián)系,從流量、用戶或者應(yīng)用系統(tǒng)其中一點(diǎn)入手,就可以獲取更全的監(jiān)控信息,尤其對(duì)于安全事件處理、定位有很大的幫助,實(shí)現(xiàn)本發(fā)明的目的。
文檔編號(hào)H04L12/26GK101667935SQ20081004256
公開(kāi)日2010年3月10日 申請(qǐng)日期2008年9月5日 優(yōu)先權(quán)日2008年9月5日
發(fā)明者倪力舜, 欣 劉, 周?chē)?guó)勇, 尹晚成, 朱政洪, 欣 李, 歐陽(yáng)滿, 沈寒輝, 潘志毅, 佳 王, 剛 王, 福 王, 袁藝芳, 翔 鄒 申請(qǐng)人:公安部第三研究所