CN101826992A - 一种联动审计的方法及系统 - Google Patents
一种联动审计的方法及系统 Download PDFInfo
- Publication number
- CN101826992A CN101826992A CN201010105299A CN201010105299A CN101826992A CN 101826992 A CN101826992 A CN 101826992A CN 201010105299 A CN201010105299 A CN 201010105299A CN 201010105299 A CN201010105299 A CN 201010105299A CN 101826992 A CN101826992 A CN 101826992A
- Authority
- CN
- China
- Prior art keywords
- audit
- linkage
- control centre
- network
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种联动审计的方法及系统,涉及网络安全领域,用以解决现有网络审计系统和主机审计系统存在的缺陷。方法包括:网络审计系统进行数据分析,发现目标主机收发数据情况异常时,经由控制中心向目标主机的审计系统发送联动请求;目标主机的审计系统根据联动请求中提供的信息进行相应的联动处理,并经由控制中心向网络审计系统反馈联动结果;网络审计系统根据所述联动结果对目标主机进行控制。系统包括:控制中心,与控制中心相连并部署于主机上的主机审计系统,以及与控制中心相连的网络审计系统。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种联动审计的方法及系统。
背景技术
网络审计系统广泛应用于公共服务场所和企事业单位,主要用于对网络行为的审计,对终端的主机的上网行为(包括上网浏览、上网聊天、上网抄股、上网看电影等)进行详细记录和统计,便于管理者对员工的行为进行详细的监控,对违规行为进行警告或处罚。参见图1所示,网络审计系统一般以网关方式或旁路方式部署在网络边界,其主要工作是对网络数据包进行抓取、分析(还原各种网络协议和应用层协议)和记录以及对流量进行统计等。
主机审计系统参见图2所示,主要部署在对内网安全要求较高的内部局域网的终端主机中,由控制中心和客户端代理软件组成,主要用于对内网的主机的资源使用和行为进行细粒度的审计,对审计日志进行分类记录和统计,便于管理者对主机行为进行全面监控。
网络审计系统主要缺点是缺乏细粒度的审计,比如违规行为时缺乏对主机的控制以及异常情况时缺乏对主机详细信息(如进程信息、文件关联信息等)的定位等。
主机审计系统的主要缺点是全面监控时占用主机较大资源以及部署不方便,监控不全面(有些主机由于操作系统或环境原因无法部署)。
发明内容
本发明提供了一种联动审计的方法及系统,用以解决现有网络审计系统和主机审计系统存在的缺陷。
本发明的一种联动审计的方法,包括下列步骤:网络审计系统进行数据分析,发现目标主机收发数据情况异常时,经由控制中心向目标主机的审计系统发送联动请求;目标主机的审计系统根据联动请求中提供的信息进行相应的联动处理,并经由控制中心向网络审计系统反馈联动结果;网络审计系统根据所述联动结果对目标主机进行控制。
本发明的一种联动审计的系统,包括:控制中心,与控制中心相连并部署于主机上的主机审计系统,以及与控制中心相连的网络审计系统;网络审计系统,用于进行数据分析,发现目标主机收发数据情况异常时,经由控制中心向目标主机的审计系统发送联动请求;并且根据控制中心返回的联动结果对目标主机进行控制;目标主机的审计系统,用于根据联动请求中提供的信息进行相应的联动处理,并经由控制中心向网络审计系统反馈联动结果;控制中心,分别与网络审计系统和主机审计系统通信,用于转发网络审计系统与主机审计系统之间交互的信息。
本发明有益效果如下:
本发明中以控制中心作为桥梁,实现了网络审计系统与主机审计系统的通信和联动审计,构成一套全面、细粒度审计和控制的全网审计方案,同时具备了现有两套系统的全部优点,进而解决现有两套系统的缺点。
附图说明
图1为现有网络审计系统拓扑图;
图2为现有主机审计系统拓扑图;
图3为本发明实施例中的全网审计系统拓扑图;
图4为本发明实施例中的方法步骤流程图;
图5为本发明实施例中的网络审计系统控制流程图;
图6为本发明实施例中的代理主机的主机审计系统控制流程图;
图7为本发明实施例中的控制中心控制流程图。
具体实施方式
由于在现有技术中,网络审计系统主要缺点是缺乏细粒度的审计,主机审计系统的主要缺点是全面监控时占用主机较大资源以及部署不方便,监控不全面。经过发明人的研究,本发明的主要思路是提供一种网络审计系统和主机审计系统的联动方案,构成一套全面、细粒度审计和控制的全网审计系统及方法,同时具备了上述原始两套系统的全部优点,进而解决现有两套系统的缺点。
参见图3所示,为本发明实施例中的系统拓扑结构图,主要由审计服务器、控制中心和代理主机三部分组成,其中审计服务器和控制中心部署在网络的边界的中心交换机上;代理主机部署于内网(子网)。
审计服务器中部署有网络审计系统,网络审计系统可以通过软件或硬件实现;代理主机中部署有主机审计系统,主机审计系统可以通过软件或硬件实现。部署于代理主机上的主机审计系统以及部署于审计服务器上的网络审计系统通过控制中心相连。可通过网络审计系统和控制中心的之间的通信实现网络审计系统和主机审计系统之间的联动,以控制中心作为桥梁,将网络审计系统的请求包发送到代理主机的主机审计系统,并且控制中心将代理主机的主机审计系统返回的处理结果反馈给网络审计系统,从而构成一套功能齐全、细粒度审计的全网审计系统。
以下以控制中心与网络审计系统之间的通信方式以及控制中心与主机审计系统之间的通信方式,采用传输控制协议(TCP Transmission ControlProtocol)但不限于TCP,控制中心作为监听端,网络审计系统作为发起端,通信包类型包括请求包和响应包为例,更为具体的说明本发明实施例中系统工作原理:
网络审计系统通过抓包方式进行协议分析或/和流量监视,发现某主机发出或接收的某协议端口的数据不正常,例如80端口HTTP、20和21端口的FTP等,可能是主机被安装了本马程序,正在利用某常用端口穿透防火墙正向外网发送数据;或者发现流量有异常,则向控制中心发送查询或控制请求包(即联动请求),然后等待反馈的联动结果;
控制中心接收来自网络审计系统的请求包,把请求包转发给目标代理主机,然后等待该目标代理主机反馈的联动结果;
目标代理主机接收来自控制中心的请求包后,目标代理主机的主机审计系统进行处理,例如:如果为通信端口有异常,则查询与该端口关联的进程信息;如果为流量异常,则统计流量最大的前几个进程的信息,把查询、统计后的结果作为联动结果返回给控制中心;
控制中心将目标代理主机返回的查询、统计结果反馈给网络审计系统;
网络审计系统接收来自控制中心的联动结果,对该联动结果进行日志记录或报警等处理,例如:通知管理员对目标主机进行控制。
参见图4所示,本发明实施例中的方法包括下列主要步骤:
S1、网络审计系统进行数据分析,发现目标主机收发数据情况异常时,经由控制中心向目标主机的审计系统发送联动请求。
S2、目标主机的审计系统根据联动请求中提供的信息进行相应的联动处理,并经由控制中心向网络审计系统反馈联动结果。
S3、网络审计系统根据联动结果对目标主机进行控制。
以下以控制中心与网络审计系统之间的通信方式以及控制中心与主机审计系统之间的通信方式,采用TCP但不限于TCP,控制中心作为监听端,网络审计系统作为发起端,通信包类型包括请求包和响应包为例,更为具体的说明本发明实施例中的方法流程。
可将本发明方法的主要流程分解为网络审计系统控制流程,控制中心控制流程,以及代理主机控制流程三部分,并且该三部分流程之间存在联动关系,以下分别详述三部分流程以及其间的联动关系。
参见图5所示,为网络审计系统控制流程图,包括下列步骤:
S101、网络审计系统采集数据包;
S102、网络审计系统对采集的数据包进行缓冲;
S103、网络审计系统分析采集到的数据包,具体通过抓包方式进行协议分析和流量监视;
S104、网络审计系统判断目标主机的收发数据情况是否有异常,若有,则转入S105,例如:发现某主机发出或接收的某协议端口的数据不正常,80端口HTTP、20和21端口的FTP等,可能是主机被安装了本马程序,正在利用某常用端口穿透防火墙正向外网发送数据;或者发现流量有异常;否则转入S108;
S105、网络审计系统向目标主机的审计系统发送联动请求,具体可以是发送查询或控制请求包;
S106、网络审计系统接收反馈的联动结果;
S107、网络审计系统处理联动结果,对该联动结果进行日志记录或报警等处理,例如:通知管理员对目标主机进行控制。
S108、进行常规的审计日记记录。
参见图6所示,为代理主机的主机审计系统控制流程图,包括下列步骤:
S201、主机审计系统启动主机审计服务;
S202、主机审计系统连接控制中心;
S203、主机审计系统等待控制事件,即等待联动请求;
S204、主机审计系统收到联动请求后,进行联动处理;例如:如果为通信端口有异常,则查询与该端口关联的进程信息;如果为流量异常,则统计流量最大的前几个进程的信息;
S205、主机审计系统将查询、统计后的结果作为联动结果反馈。
参见图7所示,为控制中心控制流程图,包括下列步骤:
S301、控制中心启动主机网络监听;
S302、控制中心启动联动网络监听;
S303、控制中心等待联动请求;本步骤与上述S105接续。
S304、控制中心收到联动请求后,处理联动事件,得到主机控制事件;
S305、控制中心等待主机控制事件分析过程完成;
S306、控制中心发送主机控制事件,即发送联动请求;本步骤与上述S203接续;
S307、控制中心接收控制事件结果,即接收主机审计系统反馈的查询、统计后的结果;本步骤与上述S205接续;
S308、控制中心将控制事件结果整合为联动结果;
S309、控制中心向网络审计系统反馈联动结果;本步骤与上述S106接续。
综上,现有网络审计系统主要优点是部署方便,不影响现有网络结构,集中审计。现有主机审计系统的主要优点是审计全面,便于控制。本发明联动审计的方法及系统构成一套全面、细粒度审计和控制的全网审计方案,同时具备了上述原始两套系统的全部优点,进而解决现有两套系统的缺点。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种联动审计的方法,其特征在于,包括下列步骤:
网络审计系统进行数据分析,发现目标主机收发数据情况异常时,经由控制中心向目标主机的审计系统发送联动请求;
目标主机的审计系统根据联动请求中提供的信息进行相应的联动处理,并经由控制中心向网络审计系统反馈联动结果;
网络审计系统根据所述联动结果对目标主机进行控制。
2.如权利要求1所述的联动审计的方法,其特征在于,所述网络审计系统进行数据分析,具体为网络审计系统通过抓包方式进行协议分析或/和流量监视。
3.如权利要求2所述的联动审计的方法,其特征在于,若所述数据分析是指协议分析,并且联动请求中提供的信息为通信端口有异常,则查询与该端口关联的进程信息,并将查询结果作为联动结果。
4.如权利要求2所述的联动审计的方法,其特征在于,若所述数据分析是指流量监视,并且联动请求中提供的信息为流量异常,则按照流量从大到小的顺序,统计至少两个流量的进程信息,并以统计结果作为联动结果。
5.如权利要求1所述的联动审计的方法,其特征在于,网络审计系统与控制中心之间的交互方式以及主机审计系统与控制中心之间的交互方式采用传输控制协议。
6.一种联动审计的系统,其特征在于,包括:控制中心,与控制中心相连并部署于主机上的主机审计系统,以及与控制中心相连的网络审计系统;
网络审计系统,用于进行数据分析,发现目标主机收发数据情况异常时,经由控制中心向目标主机的审计系统发送联动请求;并且根据控制中心返回的联动结果对目标主机进行控制;
目标主机的审计系统,用于根据联动请求中提供的信息进行相应的联动处理,并经由控制中心向网络审计系统反馈联动结果;
控制中心,分别与网络审计系统和主机审计系统通信,用于转发网络审计系统与主机审计系统之间交互的信息。
7.如权利要求6所述的联动审计的系统,其特征在于,所述网络审计系统进行数据分析,具体为网络审计系统通过抓包方式进行协议分析或/和流量监视。
8.如权利要求7所述的联动审计的系统,其特征在于,若所述数据分析是指协议分析,并且联动请求中提供的信息为通信端口有异常,则查询与该端口关联的进程信息,并将查询结果作为联动结果。
9.如权利要求7所述的联动审计的系统,其特征在于,若所述数据分析是指流量监视,并且联动请求中提供的信息为流量异常,则按照流量从大到小的顺序,统计至少两个流量的进程信息,并以统计结果作为联动结果。
10.如权利要求6所述的联动审计的系统,其特征在于,控制中心与网络审计系统之间的通信方式以及控制中心与主机审计系统之间的通信方式采用传输控制协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010105299 CN101826992B (zh) | 2010-02-04 | 2010-02-04 | 一种联动审计的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010105299 CN101826992B (zh) | 2010-02-04 | 2010-02-04 | 一种联动审计的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101826992A true CN101826992A (zh) | 2010-09-08 |
| CN101826992B CN101826992B (zh) | 2012-07-04 |
Family
ID=42690710
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010105299 Active CN101826992B (zh) | 2010-02-04 | 2010-02-04 | 一种联动审计的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101826992B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973481A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算数据中心的审计系统及方法 |
| CN105978706A (zh) * | 2016-04-14 | 2016-09-28 | 丽水市睿鼎知识产权咨询有限公司 | 一种网络流量的联动审计设备和方法 |
| CN109474571A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种协同联动发现Rootkit的方法及系统 |
| CN112804225A (zh) * | 2021-01-07 | 2021-05-14 | 北京码牛科技有限公司 | 一种用户安全审计方法及系统 |
| CN114444105A (zh) * | 2022-01-28 | 2022-05-06 | 北京中友金审科技有限公司 | 一种智能审计数据报送安全方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1200340C (zh) * | 2002-04-26 | 2005-05-04 | 联想(北京)有限公司 | 一种通过网络对防火墙设备进行安全管理的方法 |
| CN100435513C (zh) * | 2005-06-30 | 2008-11-19 | 杭州华三通信技术有限公司 | 网络设备与入侵检测系统联动的方法 |
| CN101047701B (zh) * | 2006-03-27 | 2011-08-17 | 北京握奇数据系统有限公司 | 保证应用程序安全运行的系统和方法 |
-
2010
- 2010-02-04 CN CN 201010105299 patent/CN101826992B/zh active Active
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973481A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算数据中心的审计系统及方法 |
| CN105978706A (zh) * | 2016-04-14 | 2016-09-28 | 丽水市睿鼎知识产权咨询有限公司 | 一种网络流量的联动审计设备和方法 |
| CN109474571A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种协同联动发现Rootkit的方法及系统 |
| CN112804225A (zh) * | 2021-01-07 | 2021-05-14 | 北京码牛科技有限公司 | 一种用户安全审计方法及系统 |
| CN114444105A (zh) * | 2022-01-28 | 2022-05-06 | 北京中友金审科技有限公司 | 一种智能审计数据报送安全方法 |
| CN114444105B (zh) * | 2022-01-28 | 2022-09-02 | 北京中友金审科技有限公司 | 一种智能审计数据报送安全方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101826992B (zh) | 2012-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100474819C (zh) | 一种深度报文检测方法、网络设备及系统 | |
| CN101826992B (zh) | 一种联动审计的方法及系统 | |
| EP1713215B1 (en) | Special marker message for link aggregation marker protocol | |
| CN102368764B (zh) | 一种通过多点登录进行通信的方法、系统及客户端 | |
| EP1713216A1 (en) | Distribution-tuning mechanism for link aggregation group management | |
| CN100454895C (zh) | 一种通过报文处理提高网络安全性的方法 | |
| CN101291429A (zh) | 一种网络视频监控方法及系统 | |
| EP1713213A1 (en) | Purge mechanism in link aggregation group management | |
| US20030126466A1 (en) | Method for controlling an internet information security system in an IP packet level | |
| CN106302536B (zh) | 基于交换机的一体机多系统间通信的方法和装置 | |
| CN102195882A (zh) | 根据数据流应用类型选路的方法及装置 | |
| CN102438016B (zh) | 获知报文所属进程的方法、访问控制方法、装置及设备 | |
| WO2014056345A1 (zh) | 监控任务的管理方法及装置 | |
| WO2010017659A1 (zh) | 一种在通信网络中实现心跳机制的方法和装置 | |
| CN102970166A (zh) | 一种监听网元设备告警事件的方法及系统 | |
| CN102469045A (zh) | 一种提升web安全网关并发性能的方法 | |
| CN101018229A (zh) | 一种媒体业务穿越防火墙的方法及防火墙 | |
| CN102263837B (zh) | 一种域名系统dns解析方法及装置 | |
| WO2009079933A1 (fr) | Procédé et dispositif de traitement de message | |
| CN104618491B (zh) | 一种代理服务器及数据转发方法 | |
| CN101986609A (zh) | 一种实现网络流量清洗的方法及系统 | |
| US20120203885A1 (en) | Service Linkage Control System and Method | |
| CN100375557C (zh) | 利用移动台操作维护电信网设备的方法及其移动网管系统 | |
| CN1825838A (zh) | 实现企业间业务集成的系统及方法 | |
| CN101582880A (zh) | 一种基于被审计对象的报文过滤方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention |
|
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Examination on Formalities |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20220422 Granted publication date: 20120704 |
|
| PP01 | Preservation of patent right |