專(zhuān)利名稱(chēng):一種遠(yuǎn)程審計(jì)分流系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于安全監(jiān)控技術(shù)��,涉及一種遠(yuǎn)程審計(jì)分流系統(tǒng)���,特別涉及一種分布式虛擬網(wǎng)絡(luò)環(huán)境下的多元安全審計(jì)監(jiān)控系統(tǒng)�����。
背景技術(shù):
隨著信息技術(shù)的發(fā)展與普及,如何提高基于虛擬化技術(shù)的網(wǎng)絡(luò)環(huán)境安全就成為一個(gè)迫在眉睫的問(wèn)題��。目前��,已經(jīng)有很多關(guān)于網(wǎng)絡(luò)環(huán)境安全應(yīng)用類(lèi)產(chǎn)品存在�����,但存在比較多的問(wèn)題���。以代理方式部署在目標(biāo)應(yīng)用系統(tǒng)內(nèi)部獲取安全態(tài)勢(shì)的技術(shù)方法����,通常為鎖定單一的目標(biāo)應(yīng)用系統(tǒng)的安全態(tài)勢(shì)����,無(wú)法同時(shí)監(jiān)控多個(gè)目標(biāo)應(yīng)用系統(tǒng)的安全態(tài)勢(shì);以串聯(lián)接入業(yè)務(wù)網(wǎng)絡(luò)核心交換設(shè)備的方式獲取網(wǎng)絡(luò)數(shù)據(jù)包以進(jìn)一步進(jìn)行安全態(tài)勢(shì)分析的技術(shù)方法����,雖然能同時(shí)監(jiān)控多個(gè)目標(biāo)應(yīng)用系統(tǒng)的安全態(tài)勢(shì),但會(huì)出現(xiàn)運(yùn)維��、計(jì)算�����、耗電等資源浪費(fèi)以及由于網(wǎng)絡(luò)通信延時(shí)而導(dǎo)致的正常業(yè)務(wù)操作被影響的情況?���,F(xiàn)有技術(shù)中,在保證正常業(yè)務(wù)不被影響且不浪費(fèi)資源的情況下��,尚沒(méi)有同時(shí)監(jiān)控多個(gè)目標(biāo)應(yīng)用系統(tǒng)的安全態(tài)勢(shì)的技術(shù)�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明·的主要目的在于提供一種在保證正常業(yè)務(wù)不被影響且不浪費(fèi)資源的情況下同時(shí)監(jiān)控多個(gè)目標(biāo)應(yīng)用系統(tǒng)的安全態(tài)勢(shì)的遠(yuǎn)程審計(jì)分流系統(tǒng)��。為了達(dá)到上述目的���,本發(fā)明提出的技術(shù)方案為一種遠(yuǎn)程審計(jì)分流系統(tǒng)�����,在各虛擬化平臺(tái)或由虛擬化平臺(tái)構(gòu)成的云平臺(tái)中裝設(shè)有應(yīng)用系統(tǒng)���,所述遠(yuǎn)程審計(jì)分流系統(tǒng)包括采集器模塊��、接收器模塊�����、分流器模塊��、通訊接口、策略管理模塊����、審計(jì)存儲(chǔ)查詢(xún)模塊;其中���,采集器模塊包括分布在各應(yīng)用系統(tǒng)所屬網(wǎng)絡(luò)中的采集器���;采集器模塊通過(guò)一個(gè)以上的支持RSPAN VLAN的交換機(jī)與接收器模塊進(jìn)行信息交互;接收器模塊�����、分流器模塊�、策略管理模塊集成于同一物理設(shè)備中;采集器模塊����,用于以旁路監(jiān)聽(tīng)方式采集各應(yīng)用系統(tǒng)的原始安全信息�����;根據(jù)策略管理模塊發(fā)送的采集策略���,對(duì)各原始安全信息進(jìn)行匹配,并對(duì)匹配成功的原始安全信息進(jìn)行策略標(biāo)記后���,將得到的標(biāo)記安全信息發(fā)送至接收器模塊�����。接收器模塊�����,用于在所述接收器模塊所屬物理設(shè)備的內(nèi)存中對(duì)采集器模塊發(fā)送的標(biāo)記安全信息進(jìn)行地址映射后�����,將映射地址發(fā)送至分流器模塊�����。分流器模塊�,用于根據(jù)接收器模塊發(fā)送的映射地址從所述分流器模塊所屬物理設(shè)備的內(nèi)存中獲取標(biāo)記安全信息后,根據(jù)標(biāo)記安全信息中的策略標(biāo)記�����、從策略管理模塊獲取的分流策略�,建立安全審計(jì)記錄根據(jù)分流策略、從策略管理模塊讀取的策略整合映射表獲取與分流策略匹配的安全應(yīng)用集合��,再根據(jù)安全應(yīng)用集合中的每個(gè)安全應(yīng)用的策略標(biāo)記���、從策略管理模塊讀取的原始策略記錄表獲取安全態(tài)勢(shì)感知級(jí)別后,構(gòu)建安全態(tài)勢(shì)信息���;將安全態(tài)勢(shì)信息發(fā)送至通訊接口�,將安全審計(jì)記錄發(fā)送至審計(jì)存儲(chǔ)查詢(xún)模塊���。通訊接口�,用于將從外部的已有安全應(yīng)用的原始策略從對(duì)應(yīng)的端口轉(zhuǎn)發(fā)至策略管理模塊���;將分流器模塊發(fā)送的安全態(tài)勢(shì)信息轉(zhuǎn)發(fā)至外部的已有安全應(yīng)用����;策略管理模塊,用于對(duì)通訊接口轉(zhuǎn)發(fā)的原始策略進(jìn)行預(yù)處理��,得到原始策略記錄���、策略應(yīng)用映射表�;從原始策略記錄進(jìn)行整合后更新的策略整合映射表中提取分采集策略與分流策略�����,并將采集策略發(fā)送至采集器模塊�����,將分流策略發(fā)送至分流器模塊��。審計(jì)存儲(chǔ)查詢(xún)模塊���,用于存儲(chǔ)�����、查詢(xún)分流器模塊發(fā)送的安全審計(jì)記錄���。綜上所述�,本發(fā)明所述遠(yuǎn)程審計(jì)分流系統(tǒng)對(duì)分布在云平臺(tái)各網(wǎng)絡(luò)中的節(jié)點(diǎn)主機(jī)上的應(yīng)用系統(tǒng)進(jìn)行分流安全審計(jì)采集器模塊中的采集器根據(jù)策略管理模塊提供的采集策略采集各應(yīng)用系統(tǒng)的通訊數(shù)據(jù)�,分流器模塊根據(jù)策略管理模塊提供的分流策略建立安全審計(jì)記錄,通過(guò)審計(jì)存儲(chǔ)查詢(xún)模塊對(duì)存儲(chǔ)的安全審計(jì)記錄進(jìn)行查詢(xún)����。本發(fā)明系統(tǒng)中,采集器模塊����、接收器模塊、分流器模塊實(shí)現(xiàn)了物理獨(dú)立�����,實(shí)現(xiàn)了遠(yuǎn)程分析應(yīng)用系統(tǒng)的安全態(tài)勢(shì)���;分流器模塊對(duì)已有安全策略進(jìn)行整合,按照分流策略建立安全審計(jì)記錄���,使得審計(jì)過(guò)程不會(huì)影響正常業(yè)務(wù)的進(jìn)行且提高了資源利用率��;另外����,本發(fā)明基于采集策略與分流策略可以同時(shí)遠(yuǎn)程監(jiān)控多個(gè)目標(biāo)應(yīng)用系統(tǒng)。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見(jiàn)地����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講���,在不付出創(chuàng)造性勞動(dòng)性的前提下����,還可以根據(jù)這些附圖獲得其他的附圖�����。圖1為本發(fā)明所述遠(yuǎn)程審計(jì)分流系統(tǒng)的組成結(jié)構(gòu)示意圖��;圖2為本發(fā)明所述策略管理模塊的組成結(jié)構(gòu)示意圖;圖3為本發(fā)明 所述策略部署單元的組成結(jié)構(gòu)示意圖����。
具體實(shí)施例方式下面將結(jié)合本發(fā)明的附圖,對(duì)本發(fā)明的技術(shù)方案進(jìn)行清楚�����、完整地描述��,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例�����?����;诒景l(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍�。圖1為本發(fā)明所述遠(yuǎn)程審計(jì)分流系統(tǒng)的組成結(jié)構(gòu)示意圖。如圖1所示��,本發(fā)明所述遠(yuǎn)程審計(jì)分流系統(tǒng)���,在各虛擬化平臺(tái)或由虛擬化平臺(tái)構(gòu)成的云平臺(tái)中裝設(shè)有應(yīng)用系統(tǒng)�,所述遠(yuǎn)程審計(jì)分流系統(tǒng)包括采集器模塊1�、接收器模塊2、分流器模塊3���、通訊接口 4�、策略管理模塊5�、審計(jì)存儲(chǔ)查詢(xún)模塊6 ;其中,采集器模塊I包括分布在各應(yīng)用系統(tǒng)所屬網(wǎng)絡(luò)中的采集器��;采集器模塊I通過(guò)一個(gè)以上的支持RSPAN VLAN的交換機(jī)與接收器模塊2進(jìn)行信息交互�;接收器模塊2、分流器模塊3����、策略管理模塊5集成于同一物理設(shè)備中�����;采集器模塊1�,用于以旁路監(jiān)聽(tīng)方式采集各應(yīng)用系統(tǒng)的原始安全信息����;根據(jù)策略管理模塊5發(fā)送的采集策略,對(duì)各原始安全信息進(jìn)行匹配�����,并對(duì)匹配成功的原始安全信息進(jìn)行策略標(biāo)記后�����,將得到的標(biāo)記安全信息發(fā)送至接收器模塊2���。 接收器模塊2��,用于在所述接收器模塊2所屬物理設(shè)備的內(nèi)存中對(duì)采集器模塊I發(fā)送的標(biāo)記安全信息進(jìn)行地址映射后����,將映射地址發(fā)送至分流器模塊3�。
分流器模塊3,用于根據(jù)接收器模塊2發(fā)送的映射地址從所述分流器模塊3所屬物理設(shè)備的內(nèi)存中獲取標(biāo)記安全信息后��,根據(jù)標(biāo)記安全信息中的策略標(biāo)記�、從策略管理模塊5獲取的分流策略,建立安全審計(jì)記錄根據(jù)分流策略����、從策略管理模塊5讀取的策略整合映射表獲取與分流策略匹配的安全應(yīng)用集合,再根據(jù)安全應(yīng)用集合中的每個(gè)安全應(yīng)用的策略標(biāo)記�、從策略管理模塊5讀取的原始策略記錄表獲取安全態(tài)勢(shì)感知級(jí)別后,構(gòu)建安全態(tài)勢(shì)信息����;將安全態(tài)勢(shì)信息發(fā)送至通訊接口 4,將安全審計(jì)記錄發(fā)送至審計(jì)存儲(chǔ)查詢(xún)模塊6��。通訊接口 4�,用于將從外部的已有安全應(yīng)用的原始策略從對(duì)應(yīng)的端口轉(zhuǎn)發(fā)至策略管理模塊5 ;將分流器模塊3發(fā)送的安全態(tài)勢(shì)信息轉(zhuǎn)發(fā)至外部的已有安全應(yīng)用。策略管理模塊5���,用于對(duì)通訊接口轉(zhuǎn)發(fā)的原始策略進(jìn)行預(yù)處理�����,得到原始策略記錄�、策略應(yīng)用映射表;從原始策略記錄進(jìn)行整合后更新的策略整合映射表中提取分采集策略與分流策略��,并將采集策略發(fā)送至采集器模塊I��,將分流策略發(fā)送至分流器模塊3���。審計(jì)存儲(chǔ)查詢(xún)模塊6��,用于存儲(chǔ)��、查詢(xún)分流器模塊3發(fā)送的安全審計(jì)記錄�����?���?傊?���,本發(fā)明所述遠(yuǎn)程審計(jì)分流系統(tǒng)對(duì)分布在云平臺(tái)各網(wǎng)絡(luò)中的節(jié)點(diǎn)主機(jī)上的應(yīng)用系統(tǒng)進(jìn)行分流安全審計(jì)采 集器模塊中的采集器根據(jù)策略管理模塊提供的采集策略采集各應(yīng)用系統(tǒng)的通訊數(shù)據(jù),分流器模塊根據(jù)策略管理模塊提供的分流策略建立安全審計(jì)記錄,通過(guò)審計(jì)存儲(chǔ)查詢(xún)模塊對(duì)存儲(chǔ)的安全審計(jì)記錄進(jìn)行查詢(xún)���。本發(fā)明系統(tǒng)中�,采集器模塊�����、接收器模塊�、分流器模塊實(shí)現(xiàn)了物理獨(dú)立�����,實(shí)現(xiàn)了遠(yuǎn)程分析應(yīng)用系統(tǒng)的安全態(tài)勢(shì)���;分流器模塊對(duì)已有安全策略進(jìn)行整合��,按照分流策略建立安全審計(jì)記錄�,使得審計(jì)過(guò)程不會(huì)影響正常業(yè)務(wù)的進(jìn)行且提高了資源利用率�����;另外�����,本發(fā)明基于采集策略與分流策略可以同時(shí)遠(yuǎn)程監(jiān)控多個(gè)目標(biāo)應(yīng)用系統(tǒng)。本發(fā)明中����,所述安全態(tài)勢(shì)信息包括關(guān)于標(biāo)記安全信息的數(shù)據(jù)包摘要與數(shù)據(jù)包全文;數(shù)據(jù)包摘要為數(shù)據(jù)包包頭全部信息���,數(shù)據(jù)包全文為數(shù)據(jù)包全部信息�。所述安全態(tài)勢(shì)感知級(jí)別包括摘要級(jí)別與明細(xì)級(jí)別�。數(shù)據(jù)包摘要與摘要級(jí)別一一對(duì)應(yīng),數(shù)據(jù)包全文與明細(xì)級(jí)別
--對(duì)應(yīng)��。圖2為本發(fā)明所述策略管理模塊的組成結(jié)構(gòu)示意圖�。如圖2所示,本發(fā)明所述策略管理模塊5包括原策略接入單元51����、策略整合單元52、策略部署單元53 ;其中����,原策略接入單元51,用于對(duì)從已有安全應(yīng)用導(dǎo)入原始策略進(jìn)行標(biāo)識(shí)���、安全態(tài)勢(shì)感知級(jí)別定義后�����,生成原始策略記錄���,并將原始策略記錄寫(xiě)入原始策略記錄表���;建立原始策略與原始策略記錄之間的映射關(guān)系���,并將該映射關(guān)系寫(xiě)入策略應(yīng)用映射表��;將原始策略記錄發(fā)送至整合單元52����。策略整合單元52,用于從原策略接入單元51發(fā)送的原始策略記錄識(shí)別策略應(yīng)用特征�、可整合特征屬性;判斷所述策略整合單元52是否存在未使用過(guò)的已整合策略記錄如果存在���,則對(duì)未使用過(guò)的已整合策略記錄中的已整合特征屬性與可整合特征屬性進(jìn)行比較如果已整合特征屬性與可整合特征屬性相同����,則將可整合特征屬性作為當(dāng)前策略應(yīng)用特征記錄加入策略特征記錄表,并為原始策略記錄與已整合策略記錄創(chuàng)建策略整合映射后�,更新策略整合映射表;如果已整合特征屬性與可整合特征屬性相似�,則確定已整合特征屬性的安全態(tài)勢(shì)感知級(jí)別與可整合特征屬性的安全態(tài)勢(shì)感知級(jí)別后,將可整合特征屬性作為當(dāng)前策略應(yīng)用特征記錄加入策略特征記錄表��,并為原始策略記錄與已整合策略記錄創(chuàng)建策略整合映射后���,更新策略整合映射表�����;如果已整合特征屬性與可整合特征屬性沖突����,則對(duì)可整合特征屬性的應(yīng)用范圍操作調(diào)整后作為當(dāng)前策略應(yīng)用特征記錄加入策略特征記錄表�����,并為原始策略記錄與已整合策略記錄創(chuàng)建策略整合映射后�����,更新策略整合映射表����;如果不存在�,則為原始策略記錄建立當(dāng)前策略應(yīng)用特征記錄后��,加入策略特征記錄表���,并為原始策略記錄與已整合策略記錄創(chuàng)建策略整合映射后����,更新策略整合映射表���;之后��,向策略部署單元53發(fā)送策略部署指令。策略部署單元53���,用于在收到策略整合單元52發(fā)送的策略部署指令后���,根據(jù)從策略整合單元52查詢(xún)到的策略整合映射表,更新所述策略部署單元53的有效策略記錄�����;根據(jù)有效策略記錄的標(biāo)識(shí)信息從策略整合單元52的策略特征記錄表中查詢(xún)到的采集策略與分流策略分別替換原有的采集策略與分流策略,并將替換后的采集策略與分流策略分別發(fā)送至采集器模塊I與分流器模塊3�。本發(fā)明中,所述策略應(yīng)用特征包括原始策略特征與策略匹配后操作�;所述已整合特征屬性、可整合特征屬性均包括網(wǎng)絡(luò)特征屬性�、策略匹配后操作、策略應(yīng)用有效期�。本發(fā)明中,所述已整合特征屬性與可整合特征屬性相同為所述已整合特征屬性中的已整合策略的網(wǎng)絡(luò)特征屬性�、策略匹配后操作、策略應(yīng)用有效期與所述可整合特征屬性中的原始策略的網(wǎng)絡(luò)特征屬性���、策略匹配后操作��、策略應(yīng)用有效期對(duì)應(yīng)相同��。本發(fā)明中�����,所述已整合特征屬性與可整合特征屬性相似為所述已整合特征屬性中的已整合策略的網(wǎng)絡(luò)特征屬性�����、策略應(yīng)用有效期與所述可整合特征屬性中的原始策略的網(wǎng)絡(luò)特征屬性�����、策略應(yīng)用有效期對(duì)應(yīng)相同����;所述已整合特征屬性中的策略匹配后操作與所述可整合特征屬性中的策略匹配后操作不同。本發(fā)明中�,所述已整合特征屬性與可整合特征屬性沖突為所述已整合特征屬性中的已整合策略的網(wǎng)絡(luò)特征屬性、策略匹配后操作與所述可整合特征屬性中的原始策略的網(wǎng)絡(luò)特征屬性�����、策略匹配后操作對(duì)應(yīng)相同��;所述已整合特征屬性中的策略應(yīng)用有效期與所述可整合特征屬性中的策略應(yīng)用有效期不同����。
本發(fā)明中,所述應(yīng)用范圍操作為所述已整合特征屬性中的策略應(yīng)用有效期與所述可整合特征屬性中的策略應(yīng)用有效期的最小時(shí)間范圍�����。圖3為本發(fā)明所述策略部署單元的組成結(jié)構(gòu)示意圖�。如圖3所示��,本發(fā)明所述策略管理模塊53包括監(jiān)聽(tīng)元件531、采集策略部署元件532��、分流策略部署元件533 ;其中��,監(jiān)聽(tīng)元件531����,用于在收到所述策略整合單元52發(fā)送的策略部署指令后,根據(jù)從策略整合單元52查詢(xún)到的策略整合映射表��,更新所述監(jiān)聽(tīng)元件531的有效策略記錄后�,將更新后的有效策略記錄發(fā)送至采集策略部署元件532、分流策略部署元件533;同時(shí)����,分別向采集策略部署元件532、分流策略部署元件533發(fā)送采集策略更新指令��、分流策略更新指令��。采集策略部署元件532��,用于根據(jù)監(jiān)聽(tīng)元件531發(fā)送的采集策略更新指令�,替換所述采集策略部署元件532原有的采集策略,并將替換后的采集策略發(fā)送至采集器模塊I��。分流策略部署元件533,用于根據(jù)監(jiān)聽(tīng)元件531發(fā)送的分流策略更新指令��,替換所述分流策略部署元件533原有的分流策略��,并將替換后的分流策略發(fā)送至分流器模塊3����。以上所述,僅為本發(fā)明的具體實(shí)施方式
�,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)���,可輕易想到變化或替換����,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)��。因此���,本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)��。
權(quán)利要求
1.ー種遠(yuǎn)程審計(jì)分流系統(tǒng),在各虛擬化平臺(tái)或由虛擬化平臺(tái)構(gòu)成的云平臺(tái)中裝設(shè)有應(yīng)用系統(tǒng)����,其特征在于���,所述遠(yuǎn)程審計(jì)分流系統(tǒng)包括采集器模塊、接收器模塊��、分流器模塊��、通訊接ロ�����、策略管理模塊�、審計(jì)存儲(chǔ)查詢(xún)模塊;其中��,采集器模塊包括分布在各應(yīng)用系統(tǒng)所屬網(wǎng)絡(luò)中的采集器��;采集器模塊通過(guò)ー個(gè)以上的支持RSPAN VLAN的交換機(jī)與接收器模塊進(jìn)行信息交互�����;接收器模塊���、分流器模塊�����、策略管理模塊集成于同一物理設(shè)備中�����; 采集器模塊�����,用于以旁路監(jiān)聽(tīng)方式采集各應(yīng)用系統(tǒng)的原始安全信息�;根據(jù)策略管理模塊發(fā)送的采集策略,對(duì)各原始安全信息進(jìn)行匹配����,并對(duì)匹配成功的原始安全信息進(jìn)行策略標(biāo)記后,將得到的標(biāo)記安全信息發(fā)送至接收器模塊�; 接收器模塊,用于在所述接收器模塊所屬物理設(shè)備的內(nèi)存中對(duì)采集器模塊發(fā)送的標(biāo)記安全信息進(jìn)行地址映射后��,將映射地址發(fā)送至分流器模塊�����; 分流器模塊,用于根據(jù)接收器模塊發(fā)送的映射地址從所述分流器模塊所屬物理設(shè)備的內(nèi)存中獲取標(biāo)記安全信息后�����,根據(jù)標(biāo)記安全信息中的策略標(biāo)記��、從策略管理模塊獲取的分流策略��,建立安全審計(jì)記錄根據(jù)分流策略����、從策略管理模塊讀取的策略整合映射表獲取與分流策略匹配的安全應(yīng)用集合�����,再根據(jù)安全應(yīng)用集合中的每個(gè)安全應(yīng)用的策略標(biāo)記�����、從策略管理模塊讀取的原始策略記錄表獲取安全態(tài)勢(shì)感知級(jí)別后�,構(gòu)建安全態(tài)勢(shì)信息;將安全態(tài)勢(shì)信息發(fā)送至通訊接ロ��,將安全審計(jì)記錄發(fā)送至審計(jì)存儲(chǔ)查詢(xún)模塊�����; 通訊接ロ,用于將從外部的已有安全應(yīng)用的原始策略從對(duì)應(yīng)的端ロ轉(zhuǎn)發(fā)至策略管理模塊�;將分流器模塊發(fā)送的安全態(tài)勢(shì)信息轉(zhuǎn)發(fā)至外部的已有安全應(yīng)用; 策略管理模塊��,用于對(duì)通訊接ロ轉(zhuǎn)發(fā)的原始策略進(jìn)行預(yù)處理��,得到原始策略記錄��、策略應(yīng)用映射表�����;從原始策略記錄進(jìn)行整合后更新的策略整合映射表中提取分采集策略與分流策略�,并將采集策略發(fā)送至采集器模塊,將分流策略發(fā)送至分流器模塊�����; 審計(jì)存儲(chǔ)查詢(xún)模塊�����,用于存儲(chǔ)��、查詢(xún)分流器模塊發(fā)送的安全審計(jì)記錄。
2.根據(jù)權(quán)利要求1所述的遠(yuǎn)程審計(jì)分流系統(tǒng)����,其特征在于,所述安全態(tài)勢(shì)信息包括關(guān)于標(biāo)記安全信息的數(shù)據(jù)包摘要與數(shù)據(jù)包全文�;數(shù)據(jù)包摘要為數(shù)據(jù)包包頭全部信息,數(shù)據(jù)包全文為數(shù)據(jù)包全部信息����; 所述安全態(tài)勢(shì)感知級(jí)別包括摘要級(jí)別與明細(xì)級(jí)別���; 數(shù)據(jù)包摘要與摘要級(jí)別一一對(duì)應(yīng)���,數(shù)據(jù)包全文與明細(xì)級(jí)別一一對(duì)應(yīng)。
3.根據(jù)權(quán)利要求1所述的遠(yuǎn)程審計(jì)分流系統(tǒng)����,其特征在于,所述策略管理模塊包括原策略接入?yún)g元���、策略整合単元���、策略部署単元��;其中�����, 原策略接入?yún)g元�����,用于對(duì)從已有安全應(yīng)用導(dǎo)入原始策略進(jìn)行標(biāo)識(shí)�����、安全態(tài)勢(shì)感知級(jí)別定義后����,生成原始策略記錄�,并將原始策略記錄寫(xiě)入原始策略記錄表;建立原始策略與原始策略記錄之間的映射關(guān)系�����,并將該映射關(guān)系寫(xiě)入策略應(yīng)用映射表�;將原始策略記錄發(fā)送至整合單元; 策略整合単元�,用于從原策略接入單元發(fā)送的原始策略記錄識(shí)別策略應(yīng)用特征�����、可整合特征屬性��;判斷所述策略整合單元是否存在未使用過(guò)的已整合策略記錄如果存在��,則對(duì)未使用過(guò)的已整合策略記錄中的已整合特征屬性與可整合特征屬性進(jìn)行比較如果已整合特征屬性與可整合特征屬性相同�����,則將可整合特征屬性作為當(dāng)前策略應(yīng)用特征記錄加入策略特征記錄表,并為原始策略記錄與已整合策略記錄創(chuàng)建策略整合映射后�,更新策略整合映射表;如果已整合特征屬性與可整合特征屬性相似�,則確定已整合特征屬性的安全態(tài)勢(shì)感知級(jí)別與可整合特征屬性的安全態(tài)勢(shì)感知級(jí)別后,將可整合特征屬性作為當(dāng)前策略應(yīng)用特征記錄加入策略特征記錄表����,并為原始策略記錄與已整合策略記錄創(chuàng)建策略整合映射后,更新策略整合映射表����;如果已整合特征屬性與可整合特征屬性沖突,則對(duì)可整合特征屬性的應(yīng)用范圍操作調(diào)整后作為當(dāng)前策略應(yīng)用特征記錄加入策略特征記錄表����,并為原始策略記錄與已整合策略記錄創(chuàng)建策略整合映射后�,更新策略整合映射表��;如果不存在�,則為原始策略記錄建立當(dāng)前策略應(yīng)用特征記錄后,加入策略特征記錄表���,并為原始策略記錄與已整合策略記錄創(chuàng)建策略整合映射后�����,更新策略整合映射表����;之后�,向策略部署單元發(fā)送策略部署指令; 策略部署単元���,用于在收到策略整合單元發(fā)送的策略部署指令后�,根據(jù)從策略整合單元查詢(xún)到的策略整合映射表,更新所述策略部署單元的有效策略記錄����;根據(jù)有效策略記錄的標(biāo)識(shí)信息從策略整合単元的策略特征記錄表中查詢(xún)到的采集策略與分流策略分別替換原有的采集策略與分流策略���,并將替換后的采集策略與分流策略分別發(fā)送至所述采集器模塊與所述分流器模塊。
4.根據(jù)權(quán)利要求3所述的遠(yuǎn)程審計(jì)分流系統(tǒng)���,其特征在于��,所述策略應(yīng)用特征包括原始策略特征與策略匹配后操作���; 所述已整合特征屬性、可整合特征屬性均包括網(wǎng)絡(luò)特征屬性�、策略匹配后操作、策略應(yīng)用有效期����。
5.根據(jù)權(quán)利要求4所述的遠(yuǎn)程審計(jì)分流系統(tǒng)���,其特征在干�,所述已整合特征屬性與可整合特征屬性相同為所述已整合特征屬性中的已整合策略的網(wǎng)絡(luò)特征屬性�����、策略匹配后操作��、策略應(yīng)用有效期與所述可整合特征屬性中的原始策略的網(wǎng)絡(luò)特征屬性、策略匹配后操作����、策略應(yīng)用有效期對(duì)應(yīng)相同; 所述已整合特征屬性與可整合特征屬性相似為所述已整合特征屬性中的已整合策略的網(wǎng)絡(luò)特征屬性�����、策略應(yīng)用有效期與所述可整合特征屬性中的原始策略的網(wǎng)絡(luò)特征屬性�����、策略應(yīng)用有效期對(duì)應(yīng)相同��;所述已整合特征屬性中的策略匹配后操作與所述可整合特征屬性中的策略匹配后操作不同����; 所述已整合特征屬性與可整合特征屬性沖突為所述已整合特征屬性中的已整合策略的網(wǎng)絡(luò)特征屬性、策略匹配后操作與所述可整合特征屬性中的原始策略的網(wǎng)絡(luò)特征屬性�、策略匹配后操作對(duì)應(yīng)相同;所述已整合特征屬性中的策略應(yīng)用有效期與所述可整合特征屬性中的策略應(yīng)用有效期不同�����; 所述應(yīng)用范圍操作為所述已整合特征屬性中的策略應(yīng)用有效期與所述可整合特征屬性中的策略應(yīng)用有效期的最小時(shí)間范圍。
6.根據(jù)權(quán)利要求3所述的遠(yuǎn)程審計(jì)分流系統(tǒng)��,其特征在干��,所述策略管理模塊包括監(jiān)聽(tīng)元件�����、采集策略部署元件���、分流策略部署元件���;其中, 監(jiān)聽(tīng)元件��,用于在收到所述策略整合單元發(fā)送的策略部署指令后����,根據(jù)從所述策略整合単元查詢(xún)到的策略整合映射表,更新所述監(jiān)聽(tīng)元件的有效策略記錄后���,將更新后的有效策略記錄發(fā)送至采集策略部署元件、分流策略部署元件����;同時(shí)�,分別向采集策略部署元件����、分流策略部署元件發(fā)送采集策略更新指令、分流策略更新指令�����; 采集策略部署元件���,用于根據(jù)監(jiān)聽(tīng)元件發(fā)送的采集策略更新指令����,替換所述采集策略部署元件原有的采集策略���,并將替換后的采集策略發(fā)送至所述采集器模塊�;分流策略部署元件��,用于根據(jù)監(jiān)聽(tīng)元件發(fā)送的分流策略更新指令����,替換所述分流策略部署元 件原有的分流策略,并將替換后的分流策略發(fā)送至所述分流器模塊。
全文摘要
本發(fā)明公開(kāi)了一種遠(yuǎn)程審計(jì)分流系統(tǒng)��,在各虛擬化平臺(tái)或由虛擬化平臺(tái)構(gòu)成的云平臺(tái)中裝設(shè)有應(yīng)用系統(tǒng)��,該遠(yuǎn)程審計(jì)分流系統(tǒng)包括采集器模塊�����、接收器模塊�、分流器模塊、通訊接口�����、策略管理模塊�、審計(jì)存儲(chǔ)查詢(xún)模塊;其中�,采集器模塊包括分布在各應(yīng)用系統(tǒng)所屬網(wǎng)絡(luò)中的采集器;采集器模塊通過(guò)一個(gè)以上的支持RSPAN VLAN的交換機(jī)與接收器模塊進(jìn)行信息交互�;接收器模塊、分流器模塊��、策略管理模塊集成于同一物理設(shè)備中���。本發(fā)明具有在保證正常業(yè)務(wù)不被影響且不損失信息的情況下,同時(shí)監(jiān)控多個(gè)目標(biāo)應(yīng)用系統(tǒng)的安全態(tài)勢(shì)等優(yōu)點(diǎn),可廣泛應(yīng)用于網(wǎng)絡(luò)通訊系統(tǒng)中�。
文檔編號(hào)H04L29/08GK103051727SQ20131000274
公開(kāi)日2013年4月17日 申請(qǐng)日期2013年1月5日 優(yōu)先權(quán)日2013年1月5日
發(fā)明者董文英, 徐亞非, 王雪萍, 陳浙一, 俞晶晶 申請(qǐng)人:國(guó)都興業(yè)信息審計(jì)系統(tǒng)技術(shù)(北京)有限公司