專利名稱:一種聯(lián)動(dòng)審計(jì)的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別是涉及一種聯(lián)動(dòng)審計(jì)的方法及系統(tǒng)����。
背景技術(shù):
網(wǎng)絡(luò)審計(jì)系統(tǒng)廣泛應(yīng)用于公共服務(wù)場所和企事業(yè)單位,主要 用于對網(wǎng)絡(luò)行為的審 計(jì)��,對終端的主機(jī)的上網(wǎng)行為(包括上網(wǎng)瀏覽�����、上網(wǎng)聊天��、上網(wǎng)抄股����、上網(wǎng)看電影等)進(jìn)行詳 細(xì)記錄和統(tǒng)計(jì),便于管理者對員工的行為進(jìn)行詳細(xì)的監(jiān)控�,對違規(guī)行為進(jìn)行警告或處罰。參 見圖1所示�����,網(wǎng)絡(luò)審計(jì)系統(tǒng)一般以網(wǎng)關(guān)方式或旁路方式部署在網(wǎng)絡(luò)邊界���,其主要工作是對 網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行抓取��、分析(還原各種網(wǎng)絡(luò)協(xié)議和應(yīng)用層協(xié)議)和記錄以及對流量進(jìn)行統(tǒng) 計(jì)等���。主機(jī)審計(jì)系統(tǒng)參見圖2所示�,主要部署在對內(nèi)網(wǎng)安全要求較高的內(nèi)部局域網(wǎng)的終 端主機(jī)中��,由控制中心和客戶端代理軟件組成���,主要用于對內(nèi)網(wǎng)的主機(jī)的資源使用和行為 進(jìn)行細(xì)粒度的審計(jì)��,對審計(jì)日志進(jìn)行分類記錄和統(tǒng)計(jì)���,便于管理者對主機(jī)行為進(jìn)行全面監(jiān) 控���。網(wǎng)絡(luò)審計(jì)系統(tǒng)主要缺點(diǎn)是缺乏細(xì)粒度的審計(jì)�,比如違規(guī)行為時(shí)缺乏對主機(jī)的控制 以及異常情況時(shí)缺乏對主機(jī)詳細(xì)信息(如進(jìn)程信息����、文件關(guān)聯(lián)信息等)的定位等。主機(jī)審計(jì)系統(tǒng)的主要缺點(diǎn)是全面監(jiān)控時(shí)占用主機(jī)較大資源以及部署不方便�����,監(jiān)控 不全面(有些主機(jī)由于操作系統(tǒng)或環(huán)境原因無法部署)。
發(fā)明內(nèi)容
本發(fā)明提供了一種聯(lián)動(dòng)審計(jì)的方法及系統(tǒng)�����,用以解決現(xiàn)有網(wǎng)絡(luò)審計(jì)系統(tǒng)和主機(jī)審 計(jì)系統(tǒng)存在的缺陷�����。本發(fā)明的一種聯(lián)動(dòng)審計(jì)的方法�����,包括下列步驟網(wǎng)絡(luò)審計(jì)系統(tǒng)進(jìn)行數(shù)據(jù)分析����,發(fā)現(xiàn) 目標(biāo)主機(jī)收發(fā)數(shù)據(jù)情況異常時(shí),經(jīng)由控制中心向目標(biāo)主機(jī)的審計(jì)系統(tǒng)發(fā)送聯(lián)動(dòng)請求���;目標(biāo) 主機(jī)的審計(jì)系統(tǒng)根據(jù)聯(lián)動(dòng)請求中提供的信息進(jìn)行相應(yīng)的聯(lián)動(dòng)處理�����,并經(jīng)由控制中心向網(wǎng)絡(luò) 審計(jì)系統(tǒng)反饋聯(lián)動(dòng)結(jié)果����;網(wǎng)絡(luò)審計(jì)系統(tǒng)根據(jù)所述聯(lián)動(dòng)結(jié)果對目標(biāo)主機(jī)進(jìn)行控制。本發(fā)明的一種聯(lián)動(dòng)審計(jì)的系統(tǒng)�,包括控制中心,與控制中心相連并部署于主機(jī)上 的主機(jī)審計(jì)系統(tǒng)�,以及與控制中心相連的網(wǎng)絡(luò)審計(jì)系統(tǒng);網(wǎng)絡(luò)審計(jì)系統(tǒng)����,用于進(jìn)行數(shù)據(jù)分 析,發(fā)現(xiàn)目標(biāo)主機(jī)收發(fā)數(shù)據(jù)情況異常時(shí)����,經(jīng)由控制中心向目標(biāo)主機(jī)的審計(jì)系統(tǒng)發(fā)送聯(lián)動(dòng)請 求;并且根據(jù)控制中心返回的聯(lián)動(dòng)結(jié)果對目標(biāo)主機(jī)進(jìn)行控制�����;目標(biāo)主機(jī)的審計(jì)系統(tǒng)��,用于 根據(jù)聯(lián)動(dòng)請求中提供的信息進(jìn)行相應(yīng)的聯(lián)動(dòng)處理�����,并經(jīng)由控制中心向網(wǎng)絡(luò)審計(jì)系統(tǒng)反饋聯(lián) 動(dòng)結(jié)果��;控制中心�,分別與網(wǎng)絡(luò)審計(jì)系統(tǒng)和主機(jī)審計(jì)系統(tǒng)通信,用于轉(zhuǎn)發(fā)網(wǎng)絡(luò)審計(jì)系統(tǒng)與主 機(jī)審計(jì)系統(tǒng)之間交互的信息�。本發(fā)明有益效果如下本發(fā)明中以控制中心作為橋梁,實(shí)現(xiàn)了網(wǎng)絡(luò)審計(jì)系統(tǒng)與主機(jī)審計(jì)系統(tǒng)的通信和聯(lián) 動(dòng)審計(jì)��,構(gòu)成一套全面�����、細(xì)粒度審計(jì)和控制的全網(wǎng)審計(jì)方案���,同時(shí)具備了現(xiàn)有兩套系統(tǒng)的全部優(yōu)點(diǎn)�,進(jìn)而解決現(xiàn)有兩套系統(tǒng)的缺點(diǎn)�。
圖1為現(xiàn)有網(wǎng)絡(luò)審計(jì)系統(tǒng)拓?fù)鋱D;圖2為現(xiàn)有主機(jī)審計(jì)系統(tǒng)拓?fù)鋱D���;圖3為本發(fā)明實(shí)施例中的全網(wǎng)審計(jì)系統(tǒng)拓?fù)鋱D�;圖4為本發(fā)明實(shí)施例中的方法步驟流程圖�����;圖5為本發(fā)明實(shí)施例中的網(wǎng)絡(luò)審計(jì)系統(tǒng)控制流程圖����;圖6為本發(fā)明實(shí)施例中的代理主機(jī)的主機(jī)審計(jì)系統(tǒng)控制流程圖��;圖7為本發(fā)明實(shí)施例中的控制中心控制流程圖����。
具體實(shí)施例方式由于在現(xiàn)有技術(shù)中�����,網(wǎng)絡(luò)審計(jì)系統(tǒng)主要缺點(diǎn)是缺乏細(xì)粒度的審計(jì)�����,主機(jī)審計(jì)系統(tǒng) 的主要缺點(diǎn)是全面監(jiān)控時(shí)占用主機(jī)較大資源以及部署不方便�����,監(jiān)控不全面����。經(jīng)過發(fā)明人的 研究,本發(fā)明的主要思路是提供一種網(wǎng)絡(luò)審計(jì)系統(tǒng)和主機(jī)審計(jì)系統(tǒng)的聯(lián)動(dòng)方案�����,構(gòu)成一套 全面����、細(xì)粒度審計(jì)和控制的全網(wǎng)審計(jì)系統(tǒng)及方法,同時(shí)具備了上述原始兩套系統(tǒng)的全部優(yōu) 點(diǎn)���,進(jìn)而解決現(xiàn)有兩套系統(tǒng)的缺點(diǎn)���。參見圖3所示,為本發(fā)明實(shí)施例中的系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖����,主要由審計(jì)服務(wù)器、控制中 心和代理主機(jī)三部分組成�,其中審計(jì)服務(wù)器和控制中心部署在網(wǎng)絡(luò)的邊界的中心交換機(jī) 上;代理主機(jī)部署于內(nèi)網(wǎng)(子網(wǎng))�����。審計(jì)服務(wù)器中部署有網(wǎng)絡(luò)審計(jì)系統(tǒng)�,網(wǎng)絡(luò)審計(jì)系統(tǒng)可以通過軟件或硬件實(shí)現(xiàn);代 理主機(jī)中部署有主機(jī)審計(jì)系統(tǒng)�,主機(jī)審計(jì)系統(tǒng)可以通過軟件或硬件實(shí)現(xiàn)。部署于代理主機(jī) 上的主機(jī)審計(jì)系統(tǒng)以及部署于審計(jì)服務(wù)器上的網(wǎng)絡(luò)審計(jì)系統(tǒng)通過控制中心相連�。可通過網(wǎng) 絡(luò)審計(jì)系統(tǒng)和控制中心的之間的通信實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)系統(tǒng)和主機(jī)審計(jì)系統(tǒng)之間的聯(lián)動(dòng),以控 制中心作為橋梁�,將網(wǎng)絡(luò)審計(jì)系統(tǒng)的請求包發(fā)送到代理主機(jī)的主機(jī)審計(jì)系統(tǒng),并且控制中 心將代理主機(jī)的主機(jī)審計(jì)系統(tǒng)返回的處理結(jié)果反饋給網(wǎng)絡(luò)審計(jì)系統(tǒng)���,從而構(gòu)成一套功能齊 全���、細(xì)粒度審計(jì)的全網(wǎng)審計(jì)系統(tǒng)。以下以控制中心與網(wǎng)絡(luò)審計(jì)系統(tǒng)之間的通信方式以及控制中心與主機(jī)審計(jì)系統(tǒng) 之間的通信方式�,采用傳輸控制協(xié)議(TCP Transmission ControlProtocol)但不限于TCP, 控制中心作為監(jiān)聽端���,網(wǎng)絡(luò)審計(jì)系統(tǒng)作為發(fā)起端��,通信包類型包括請求包和響應(yīng)包為例�,更 為具體的說明本發(fā)明實(shí)施例中系統(tǒng)工作原理網(wǎng)絡(luò)審計(jì)系統(tǒng)通過抓包方式進(jìn)行協(xié)議分析或/和流量監(jiān)視�,發(fā)現(xiàn)某主機(jī)發(fā)出或接 收的某協(xié)議端口的數(shù)據(jù)不正常,例如80端口 HTTP�、20和21端口的FTP等,可能是主機(jī)被安 裝了本馬程序�����,正在利用某常用端口穿透防火墻正向外網(wǎng)發(fā)送數(shù)據(jù)���;或者發(fā)現(xiàn)流量有異常����, 則向控制中心發(fā)送查詢或控制請求包(即聯(lián)動(dòng)請求)���,然后等待反饋的聯(lián)動(dòng)結(jié)果����;控制中心接收來自網(wǎng)絡(luò)審計(jì)系統(tǒng)的請求包�����,把請求包轉(zhuǎn)發(fā)給目標(biāo)代理主機(jī)�,然后 等待該目標(biāo)代理主機(jī)反饋的聯(lián)動(dòng)結(jié)果;目標(biāo)代理主機(jī)接收來自控制中心的請求包后�,目標(biāo)代理主機(jī)的主機(jī)審計(jì)系統(tǒng)進(jìn)行 處理,例如如果為通信端口有異常�,則查詢與該端口關(guān)聯(lián)的進(jìn)程信息;如果為流量異常��,則統(tǒng)計(jì)流量最大的前幾個(gè)進(jìn)程的信息���,把查詢�、統(tǒng)計(jì)后的結(jié)果作為聯(lián)動(dòng)結(jié)果返回給控制中 心;控制中心將目標(biāo)代理主機(jī)返回的查詢��、統(tǒng)計(jì)結(jié)果反饋給網(wǎng)絡(luò)審計(jì)系統(tǒng)�;網(wǎng)絡(luò)審計(jì)系統(tǒng)接收來自控制中心的聯(lián)動(dòng)結(jié)果,對該聯(lián)動(dòng)結(jié)果進(jìn)行日志記錄或報(bào)警 等處理�,例如通知管理員對目標(biāo)主機(jī)進(jìn)行控制。參見圖4所示��,本發(fā)明實(shí)施例中的方法包括下列主要步驟Si����、網(wǎng)絡(luò)審計(jì)系統(tǒng)進(jìn)行數(shù)據(jù)分析,發(fā)現(xiàn)目標(biāo)主機(jī)收發(fā)數(shù)據(jù)情況異常時(shí)��,經(jīng)由控制中 心向目標(biāo)主機(jī)的審計(jì)系統(tǒng)發(fā)送聯(lián)動(dòng)請求��。S2��、目標(biāo)主機(jī)的審計(jì)系統(tǒng)根據(jù)聯(lián)動(dòng)請求中提供的信息進(jìn)行相應(yīng)的聯(lián)動(dòng)處理�,并經(jīng) 由控制中心向網(wǎng)絡(luò)審計(jì)系統(tǒng)反饋聯(lián)動(dòng)結(jié)果。S3���、網(wǎng)絡(luò)審計(jì)系統(tǒng)根據(jù)聯(lián)動(dòng)結(jié)果對目標(biāo)主機(jī)進(jìn)行控制��。以下以控制中心與網(wǎng)絡(luò)審計(jì)系統(tǒng)之間的通信方式以及控制中心與主機(jī)審計(jì)系統(tǒng) 之間的通信方式��,采用TCP但不限于TCP�,控制中心作為監(jiān)聽端,網(wǎng)絡(luò)審計(jì)系統(tǒng)作為發(fā)起端�����, 通信包類型包括請求包和響應(yīng)包為例��,更為具體的說明本發(fā)明實(shí)施例中的方法流程�?���?蓪⒈景l(fā)明方法的主要流程分解為網(wǎng)絡(luò)審計(jì)系統(tǒng)控制流程,控制中心控制流程��, 以及代理主機(jī)控制流程三部分���,并且該三部分流程之間存在聯(lián)動(dòng)關(guān)系���,以下分別詳述三部 分流程以及其間的聯(lián)動(dòng)關(guān)系。參見圖5所示�����,為網(wǎng)絡(luò)審計(jì)系統(tǒng)控制流程圖,包括下列步驟S101�����、網(wǎng)絡(luò)審計(jì)系統(tǒng)采集數(shù)據(jù)包��;S102����、網(wǎng)絡(luò)審計(jì)系統(tǒng)對采集的數(shù)據(jù)包進(jìn)行緩沖;S103�、網(wǎng)絡(luò)審計(jì)系統(tǒng)分析采集到的數(shù)據(jù)包,具體通過抓包方式進(jìn)行協(xié)議分析和流 量監(jiān)視�����;S104�、網(wǎng)絡(luò)審計(jì)系統(tǒng)判斷目標(biāo)主機(jī)的收發(fā)數(shù)據(jù)情況是否有異常,若有�,則轉(zhuǎn)入 S105,例如發(fā)現(xiàn)某主機(jī)發(fā)出或接收的某協(xié)議端口的數(shù)據(jù)不正常����,80端口 HTTP、20和21端 口的FTP等���,可能是主機(jī)被安裝了本馬程序���,正在利用某常用端口穿透防火墻正向外網(wǎng)發(fā) 送數(shù)據(jù)��;或者發(fā)現(xiàn)流量有異常���;否則轉(zhuǎn)入S108 ;S105�、網(wǎng)絡(luò)審計(jì)系統(tǒng)向目標(biāo)主機(jī)的審計(jì)系統(tǒng)發(fā)送聯(lián)動(dòng)請求��,具體可以是發(fā)送查詢 或控制請求包���;S106��、網(wǎng)絡(luò)審計(jì)系統(tǒng)接收反饋的聯(lián)動(dòng)結(jié)果���;S107、網(wǎng)絡(luò)審計(jì)系統(tǒng)處理聯(lián)動(dòng)結(jié)果����,對該聯(lián)動(dòng)結(jié)果進(jìn)行日志記錄或報(bào)警等處理,例 如通知管理員對目標(biāo)主機(jī)進(jìn)行控制��。S108、進(jìn)行常規(guī)的審計(jì)日記記錄����。參見圖6所示,為代理主機(jī)的主機(jī)審計(jì)系統(tǒng)控制流程圖����,包括下列步驟S201、主機(jī)審計(jì)系統(tǒng)啟動(dòng)主機(jī)審計(jì)服務(wù)�����;S202�����、主機(jī)審計(jì)系統(tǒng)連接控制中心����;S203、主機(jī)審計(jì)系統(tǒng)等待控制事件�����,即等待聯(lián)動(dòng)請求;S204�、主機(jī)審計(jì)系統(tǒng)收到聯(lián)動(dòng)請求后,進(jìn)行聯(lián)動(dòng)處理����;例如如果為通信端口有異 常,則查詢與該端口關(guān)聯(lián)的進(jìn)程信息��;如果為流量異常����,則統(tǒng)計(jì)流量最大的前幾個(gè)進(jìn)程的信 息;
S205�����、主機(jī)審計(jì)系統(tǒng)將查詢��、統(tǒng)計(jì)后的結(jié)果作為聯(lián)動(dòng)結(jié)果反饋����。參見圖7所示����,為控制中心控制流程圖,包括下列步驟S301、控制中心啟動(dòng)主機(jī)網(wǎng)絡(luò)監(jiān)聽�;S302、控制中心啟動(dòng)聯(lián)動(dòng)網(wǎng)絡(luò)監(jiān)聽���;S303����、控制中心等待聯(lián)動(dòng)請求��;本步驟與上述S105接續(xù)�。S304、控制中心收到聯(lián)動(dòng)請求后����,處理聯(lián)動(dòng)事件,得到主機(jī)控制事件���;S305���、控制中心等待主機(jī)控制事件分析過程完成;S306�、控制中心發(fā)送主機(jī)控制事件,即發(fā)送聯(lián)動(dòng)請求����;本步驟與上述S203接續(xù)����;S307�����、控制中心接收控制事件結(jié)果�����,即接收主機(jī)審計(jì)系統(tǒng)反饋的查詢���、統(tǒng)計(jì)后的結(jié) 果�����;本步驟與上述S205接續(xù);S308����、控制中心將控制事件結(jié)果整合為聯(lián)動(dòng)結(jié)果;S309���、控制中心向網(wǎng)絡(luò)審計(jì)系統(tǒng)反饋聯(lián)動(dòng)結(jié)果�;本步驟與上述S106接續(xù)。綜上����,現(xiàn)有網(wǎng)絡(luò)審計(jì)系統(tǒng)主要優(yōu)點(diǎn)是部署方便,不影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)�,集中審計(jì)。現(xiàn)有主機(jī)審計(jì)系統(tǒng)的主要優(yōu)點(diǎn)是審計(jì)全面���,便于控制����。本發(fā)明聯(lián)動(dòng)審計(jì)的方法及系統(tǒng)構(gòu)成 一套全面���、細(xì)粒度審計(jì)和控制的全網(wǎng)審計(jì)方案�����,同時(shí)具備了上述原始兩套系統(tǒng)的全部優(yōu)點(diǎn)�, 進(jìn)而解決現(xiàn)有兩套系統(tǒng)的缺點(diǎn)�。顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精 神和范圍�����。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍 之內(nèi)�,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
一種聯(lián)動(dòng)審計(jì)的方法��,其特征在于�,包括下列步驟網(wǎng)絡(luò)審計(jì)系統(tǒng)進(jìn)行數(shù)據(jù)分析,發(fā)現(xiàn)目標(biāo)主機(jī)收發(fā)數(shù)據(jù)情況異常時(shí)���,經(jīng)由控制中心向目標(biāo)主機(jī)的審計(jì)系統(tǒng)發(fā)送聯(lián)動(dòng)請求�����;目標(biāo)主機(jī)的審計(jì)系統(tǒng)根據(jù)聯(lián)動(dòng)請求中提供的信息進(jìn)行相應(yīng)的聯(lián)動(dòng)處理����,并經(jīng)由控制中心向網(wǎng)絡(luò)審計(jì)系統(tǒng)反饋聯(lián)動(dòng)結(jié)果���;網(wǎng)絡(luò)審計(jì)系統(tǒng)根據(jù)所述聯(lián)動(dòng)結(jié)果對目標(biāo)主機(jī)進(jìn)行控制��。
2.如權(quán)利要求1所述的聯(lián)動(dòng)審計(jì)的方法,其特征在于���,所述網(wǎng)絡(luò)審計(jì)系統(tǒng)進(jìn)行數(shù)據(jù)分 析���,具體為網(wǎng)絡(luò)審計(jì)系統(tǒng)通過抓包方式進(jìn)行協(xié)議分析或/和流量監(jiān)視���。
3.如權(quán)利要求2所述的聯(lián)動(dòng)審計(jì)的方法,其特征在于���,若所述數(shù)據(jù)分析是指協(xié)議分析����, 并且聯(lián)動(dòng)請求中提供的信息為通信端口有異常�����,則查詢與該端口關(guān)聯(lián)的進(jìn)程信息�,并將查 詢結(jié)果作為聯(lián)動(dòng)結(jié)果。
4.如權(quán)利要求2所述的聯(lián)動(dòng)審計(jì)的方法�����,其特征在于�����,若所述數(shù)據(jù)分析是指流量監(jiān)視, 并且聯(lián)動(dòng)請求中提供的信息為流量異常��,則按照流量從大到小的順序���,統(tǒng)計(jì)至少兩個(gè)流量 的進(jìn)程信息��,并以統(tǒng)計(jì)結(jié)果作為聯(lián)動(dòng)結(jié)果�����。
5.如權(quán)利要求1所述的聯(lián)動(dòng)審計(jì)的方法����,其特征在于����,網(wǎng)絡(luò)審計(jì)系統(tǒng)與控制中心之間 的交互方式以及主機(jī)審計(jì)系統(tǒng)與控制中心之間的交互方式采用傳輸控制協(xié)議。
6.一種聯(lián)動(dòng)審計(jì)的系統(tǒng)����,其特征在于,包括控制中心���,與控制中心相連并部署于主機(jī) 上的主機(jī)審計(jì)系統(tǒng)�,以及與控制中心相連的網(wǎng)絡(luò)審計(jì)系統(tǒng);網(wǎng)絡(luò)審計(jì)系統(tǒng)��,用于進(jìn)行數(shù)據(jù)分析���,發(fā)現(xiàn)目標(biāo)主機(jī)收發(fā)數(shù)據(jù)情況異常時(shí),經(jīng)由控制中心 向目標(biāo)主機(jī)的審計(jì)系統(tǒng)發(fā)送聯(lián)動(dòng)請求�;并且根據(jù)控制中心返回的聯(lián)動(dòng)結(jié)果對目標(biāo)主機(jī)進(jìn)行 控制;目標(biāo)主機(jī)的審計(jì)系統(tǒng)����,用于根據(jù)聯(lián)動(dòng)請求中提供的信息進(jìn)行相應(yīng)的聯(lián)動(dòng)處理,并經(jīng)由 控制中心向網(wǎng)絡(luò)審計(jì)系統(tǒng)反饋聯(lián)動(dòng)結(jié)果����;控制中心,分別與網(wǎng)絡(luò)審計(jì)系統(tǒng)和主機(jī)審計(jì)系統(tǒng)通信����,用于轉(zhuǎn)發(fā)網(wǎng)絡(luò)審計(jì)系統(tǒng)與主機(jī) 審計(jì)系統(tǒng)之間交互的信息。
7.如權(quán)利要求6所述的聯(lián)動(dòng)審計(jì)的系統(tǒng)����,其特征在于,所述網(wǎng)絡(luò)審計(jì)系統(tǒng)進(jìn)行數(shù)據(jù)分 析,具體為網(wǎng)絡(luò)審計(jì)系統(tǒng)通過抓包方式進(jìn)行協(xié)議分析或/和流量監(jiān)視�����。
8.如權(quán)利要求7所述的聯(lián)動(dòng)審計(jì)的系統(tǒng)�,其特征在于,若所述數(shù)據(jù)分析是指協(xié)議分析�, 并且聯(lián)動(dòng)請求中提供的信息為通信端口有異常,則查詢與該端口關(guān)聯(lián)的進(jìn)程信息��,并將查 詢結(jié)果作為聯(lián)動(dòng)結(jié)果��。
9.如權(quán)利要求7所述的聯(lián)動(dòng)審計(jì)的系統(tǒng)�,其特征在于,若所述數(shù)據(jù)分析是指流量監(jiān)視���, 并且聯(lián)動(dòng)請求中提供的信息為流量異常��,則按照流量從大到小的順序�����,統(tǒng)計(jì)至少兩個(gè)流量 的進(jìn)程信息�����,并以統(tǒng)計(jì)結(jié)果作為聯(lián)動(dòng)結(jié)果����。
10.如權(quán)利要求6所述的聯(lián)動(dòng)審計(jì)的系統(tǒng),其特征在于�����,控制中心與網(wǎng)絡(luò)審計(jì)系統(tǒng)之間 的通信方式以及控制中心與主機(jī)審計(jì)系統(tǒng)之間的通信方式采用傳輸控制協(xié)議����。
全文摘要
本發(fā)明公開了一種聯(lián)動(dòng)審計(jì)的方法及系統(tǒng)��,涉及網(wǎng)絡(luò)安全領(lǐng)域�����,用以解決現(xiàn)有網(wǎng)絡(luò)審計(jì)系統(tǒng)和主機(jī)審計(jì)系統(tǒng)存在的缺陷���。方法包括網(wǎng)絡(luò)審計(jì)系統(tǒng)進(jìn)行數(shù)據(jù)分析�����,發(fā)現(xiàn)目標(biāo)主機(jī)收發(fā)數(shù)據(jù)情況異常時(shí)��,經(jīng)由控制中心向目標(biāo)主機(jī)的審計(jì)系統(tǒng)發(fā)送聯(lián)動(dòng)請求����;目標(biāo)主機(jī)的審計(jì)系統(tǒng)根據(jù)聯(lián)動(dòng)請求中提供的信息進(jìn)行相應(yīng)的聯(lián)動(dòng)處理,并經(jīng)由控制中心向網(wǎng)絡(luò)審計(jì)系統(tǒng)反饋聯(lián)動(dòng)結(jié)果��;網(wǎng)絡(luò)審計(jì)系統(tǒng)根據(jù)所述聯(lián)動(dòng)結(jié)果對目標(biāo)主機(jī)進(jìn)行控制����。系統(tǒng)包括控制中心,與控制中心相連并部署于主機(jī)上的主機(jī)審計(jì)系統(tǒng)���,以及與控制中心相連的網(wǎng)絡(luò)審計(jì)系統(tǒng)���。
文檔編號(hào)H04L29/06GK101826992SQ201010105299
公開日2010年9月8日 申請日期2010年2月4日 優(yōu)先權(quán)日2010年2月4日
發(fā)明者柯宗慶, 柯宗貴 申請人:藍(lán)盾信息安全技術(shù)股份有限公司