CN101938460B - 全程全网安全协同防御系统的协同防御方法 - Google Patents
全程全网安全协同防御系统的协同防御方法 Download PDFInfo
- Publication number
- CN101938460B CN101938460B CN201010205742.XA CN201010205742A CN101938460B CN 101938460 B CN101938460 B CN 101938460B CN 201010205742 A CN201010205742 A CN 201010205742A CN 101938460 B CN101938460 B CN 101938460B
- Authority
- CN
- China
- Prior art keywords
- equipment
- ctm
- ctm equipment
- network
- control centre
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开一种全程全网安全协同防御系统的协同防御方法,网络中多节点布控,统一分析管理节点设备,实现系统全局性协同防御。其具体方法:设置于计算机网络的网络节点外端口处的流量数据探测子系统,捕捉预进入节点内的流量数据,并将数据发送给协同防御设备;设置于计算机网络节点处的协同防御设备分析所采集数据流量并记录异常流量等安全事件,并对安全事件进行处理,将安全事件相关信息传送给安全分析控制中心;经分析控制中心进行统一分析后做出管理决策,查看各协同防御设备了解系统运行状况,然后更新各协同防御设备的协同防御策略,对协同防御设备的各功能组件进行统一部署,并通过审核日记对安全事件进行源头控制,实现对网络安全事件的一体化协同安全防御。
Description
【技术领域】
本发明涉及互联网与计算机网络安全技术领域,尤其涉及计算机网络安全一体化协同防御的网络协同防御方法。
【背景技术】
计算机网络的飞速发展,给人们的生产和生活带来极大的便利,使各行业和企业的信息化程度迅速提高。我们在得益于计算机网络迅速发展所带来的巨大机遇的同时,也不得不面临着各种网络安全问题的挑战:病毒,蠕虫,木马,恶意攻击,非授权接入,非法外联,垃圾邮件等。这些网络安全威胁不仅给个人的工作和生活带来很大的不便和损失,更给企业,对政府带来巨大的影响。
面对这些威胁,人们提出了多种防护措施:防火墙,防病毒,入侵检测,虚拟专用网,反垃圾邮件等。但这些网络安全系统在功能上孤立单一,大多只能对抗已知攻击,缺少对网络系统故障和人为操作失误等因素的处理。这种传统的网络安全系统是基于静态安全技术建立的被动防御模型,没有依据统一的安全防御策略对网络系统各个层面进行系统全面的防御,消极反应和事后修补完善外在附加,被动的防御,未能解决脆弱的本源问题,更无法应对具有多样、随机、隐蔽和传播等特点的攻击和破坏行为,而且安全系统自身的安全可靠没有保证。这种防御体制已不能适应当今复杂多变的网络环境安全需求。
现有计算机网络安全产品的多样化使得整个系统的相互协作与管理成为难点,设备管理、运行管理带来的管理成本与难度直接制约了安全防御体系的有效性。为了解决各种网络设备的协作和管理问题,近年来提出了统一威胁管理(Unified Treatment Management,UTM)的方式,将多种网络安全控制能力融合在一起,进行统一管理,实现防御一体化。该种防御方式为简化安全解决方案,规避设备兼容性问题提供了有效途径。但现今的解决方案要么是将独立的软件和硬件模块嵌入到一个系统或机箱中实现功能的堆砌,要么是对某一功能进行特殊的处理,不能做到从体系结构层面对网络各层进行有效整合和简化处理,UTM设备和系统并不成熟,且防御措施是“个人自扫门前雪”的孤立方式,即,只是在单点进行被动防御。然而事实表明,计算机网络的不安全因素在网络安全事件中,都不是孤立和分离的,而且越来越成群体化趋势,现有技术的计算机网络安全防御系统的孤立的被动防御理念显然无法对群体性网络安全事件进行防御(如病毒扩散,分布式DDoS攻击等),也不能从根本上解决网络安全问题。
【发明内容】
本发明提供一种全程全网安全协同防御系统的协同防御方法,提供全局式网络一体化安全协同解决方案,实现全局性的网络一体化协同安全防御。
为了解决上述的技术问题,本发明提供一种全程全网安全协同防御系统的协同防御方法,所述全程全网安全协同防御系统包括安全分析控制中心、设置于计算机网络节点外端口处的流量数据探测子系统和设置于计算机网络节点的协同防御设备,所述的协同防御方法包括如下步骤:
(1)流量数据探测子系统持续接收预进入内部网络的流量,采集流量数据并将其发送至协同防御设备,协同防御设备将分析确认不包含异常活动和异常内容的流量数据传送到计算机内部系统;
(2)当协同防御设备检测到有异常的数据包或者异常流量安全事件时,则通知流量数据探测子系统将异常流量数据后续包传送给协同防御设备,协同防御设备对异常流量数据进行分析,依据原有的预设策略或形成的新策略或安全分析中心发送过来的安全策略对安全事件进行处理;
(3)协同防御设备将安全事件、策略、事件处理结果及其日记传送给安全分析控制中心;
(4)安全分析控制中心接收并传送事件相关信息至安全分析控制内置的数据中心,经安全分析控制中心进行统一分析后做出管理决策,查看各协同防御设备并分析全程全网安全协同防御系统的运行状况,然后更新各协同防御设备的协同防御策略,对协同防御设备的各功能组件进行统一部署,并通过审核日记对安全事件进行源头控制;
(5)安全分析控制中心记录整个安全事件处理时间,结果等,以备追踪查询。
所述的步骤(2)中,当原有安全策略可以处理安全事件时仅利用其原有的预设策略响应;当原有的预设策略无法处理安全事件时,协同防御设备利用自身的策略和网络资源,或反映给管理员制定新的可执行策略,并将策略分发至其他协同防御设备;当协同防御设备自身无法制定相应的策略时,发送报告给安全分析控制中心,安全分析控制中心结合数据中心制定策略,并分发给其他协同防御设备。
所述全程全网安全协同防御系统基于服务器-代理的模式,安全分析控制中心通过部署在协同防御设备上的代理程序与协同防御设备进行安全通信,代理程序中的本地监控插件根据安全分析控制中心的指令,指示协同防御设备完成相应的协同策略管理动作。
所述协同防御设备完成的协同策略管理动作包括:返回当前各协同防御设备的状态信息和性能数据;指示各协同防御设备在特定的情况下筛选某一时间段内的安全组件日志信息,并将这些信息汇总到安全分析控制中心;对协同防御设备中的各个网络安全组件进行统一更新和控制,调动多台协同防御设备中的安全组件协同工作;升级更新协同防御设备安全组件、安全策略和协同策略。
所述安全分析控制中心与各协同防御设备呈树型网络拓扑结构。
所述的各协同防御设备包括第一级协同防御设备和第二级协同防御设备,所述第一级协同防御设备分别与安全分析控制中心连接,所述的第一级协同防御设备分别与多个第二级协同防御设备连接。
所述的步骤(2)中还包括:
(2.1)当所述第二级CTM设备发现新的安全事件后,直接向其所属的上一级的第一级CTM设备报告;
(2.2)第一级CTM设备收到报告后,如果该第一级CTM设备依据所预先设定的安全策略和数据库,应对处理该安全事件,进入下一步骤,若该第一级CTM设备依据所设定的安全策略和数据库不能应对处理该安全事件,进入步骤4):
(2.3)该第一级CTM设备生成响应策略并分发给所属的各CTM设备子域,再将该第一级CTM设备的处理结果的摘要信息向安全分析控制中心报告;
(2.4)该第一级CTM设备将该安全事件向安全分析控制中心报告,由安全分析控制中心进行分析处理后并将响应策略并转发给各个第一级CTM设备,并统一调控各个第一级、第二级CTM设备的功能组件和更新各第一、第二级CTM设备的策略数据。
所述的安全分析控制中心与各协同防御设备之间呈星型拓扑结构,各协同防御设备之间呈对等网格型网络拓扑结构。
所述的任一协同防御设备监控到新的安全事件的信息后与其它协同防御设备之间的信息同步包括两种方式:一是该协同防御设备将信息发送给安全分析控制中心,由安全分析控制中心转发给其他协同防御设备;二是该协同防御设备向其他协同防御设备发送通报内容,通报内容包括安全事件的相关信息以及该协同防御设备自身的应对策略信息,并向安全分析控制中心发送通报内容的信息的摘要。
所述的安全分析控制中心与各协同防御设备之间呈对等网格型网络拓扑结构。
本发明的全程全网安全协同防御系统的系统防御方法通过流量数据探测子系统监测计算机网络的流量数据,依据安全分析控制中心的分析的记过,控制各协同防御设备处理并发送安全策略进行协同防御,增加利用网络的整体性防御和协作性防御,便于网络部署和管理,适用于对网络安全要求严格的政府部门、电子商务和银行,并提供安全可靠的网络安全防御系统。
【附图说明】
图1是计算机网络安全协同防御系统的防御功能的原理框图。
图2是计算机网络安全协同防御系统的协同策略管理的原理框图。
图3是分层结构模式的计算机网络安全协同防御系统的结构图。
图4是混合结构模式的计算机网络安全协同防御系统的结构图。
图5是对等结构模式的计算机网络安全协同防御系统的结构图。
【具体实施方式】
为进一步阐述本发明达成预定目的所采取的技术手段及功效,以下结合附图及实施例,对本发明全程全网安全协同防御系统及协同防御的方法的具体实施方式、结构特征及其功效,详细说明如下。
本发明的计算机网络协同防御(Collabatative Threat Management,CTM,协同防御)系统基于现有UTM(Unified Treatment Management,统一威胁管理)的统一防御威胁管理的计算机网络安全技术,在UTM的基础上增加协同防控功能。
本发明通过在网络上运用以“摄像头+红绿灯+统一监控管理中心”为基本思想的协同统一管理机制进行计算机网络一体化的协同防御。本发明包括安全分析控制中心,协同防御设备(协同防御设备,为描述简便,下面简称CTM设备)和流量数据探测系统,流量数据探测系统置于计算机网络节点外端口,对预进入网络节点的数据流量进行捕捉,协同防御设备设置在计算机网络的网络节点等关键位置,每一协同防御设备内置流量数据探测子系统以探测流量数据并可进行分析,同时还设置管理控制组件和协同防御组件,流量数据探测子系统捕捉和CTM分析记录的安全事件(起到相当于“摄像头”作用)被并传送给安全分析控制中心,安全分析控制中心接收各协同防御设备的信息进行统一分析后,生成防御决策,并统一发送给各网络节点的CTM设备(相当于“统一调度”),更新各网络节点的CTM设备的防御策略,实现计算机网络的整体网络安全事件的协同防御(相当于“红绿灯”控制)。
本发明的全程全网安全协同防御系统的CTM设备的协同防控组件提供CTM设备连接到安全分析控制中心的接口,以便实现计算机网络内通过安全分析控制中心统一管理和配置多台CTM设备,及时查看和监控每一台CTM设备网关的安全状态和运行信息。各CTM设备的协同防控功能开启之后,通过计算机网络连接到远端的安全分析控制中心,安全分析控制中心通过内置在CTM设备中的协同防控功能组件获取各CTM设备的系统状态信息、流量信息和版本信息,用于进行计算机网络的设备状态显示。同样,在不不会素独立的安全分析控制中心的情况,CTM设备之间可以利用协同防控组件完成CTM设备之间策略生成、分发和相互之间各功能模块的调整。同时,计算机网络的各CTM设备可以以分组的方式管理,以组为单位进行远程统一配置、升级等操作,并可以将管理的CTM设备按照一定的策略进行组织成协同结构,实现设备之间的协同作战,使安全事件的威胁在源头得到控制。
本发明的流量数据探测子系统,设置于网络节点外,监测预进入网络节点的网络的流量数据,并将监测的数据发送给协同防御设备。
本发明的协同防御设备(Collabatative Threat Management,CTM,协同防御),设置于网络节点等关键部位,内置防火墙等多种安全功能组件,对探测系统获取的流量进行监控组件和协同防控功能组件。协同防御设备分析探测系统送过来的流量数据,记录异常流量等安全事件,并将安全事件传送给安全分析控制中心。协同防御设备更新安全分析控制中心分发的策略,并执行控制中心对其各功能组件的重新部署,并可以实现其与其他CTM设备之间信息传递与功能组件调节。部分CTM设备还加载数据中心和分析控制中心,做分析控制使用,从而增加系统整体协调能力,减少分析控制中心的负担。CTM设备是针对恶意攻击、非法活动和网络资源滥用等威胁,实现协同防御的高可靠、高性能、易管理的网关安全设备。
本发明的安全分析控制中心,是管理和配置各协同防御设备并进行数据处理的监控中心。CTM设备检测到的安全事件信息传输到其内置的数据中心后,经过分析控制中心统一分析,生成相应应对策略,分发给各CTM设备。同时还可以辨别分析出各CTM设备监测的具有共性的安全事件进行报警,并生成配置建议,分别对各CTM设备进行配置更新。管理员也可以设置按照分析结果手动更新各CTM设备配置。分析控制中心内置的数据中心是海量信息的后台处理中心,主要完成CTM设备的网关日志和流量信息的存储、分析、审计和处理功能,实现必要时的信息取证功能。
本发明的全程全网安全协同防御系统执行协同防御方法,包括如下的步骤:(1)设置于计算机网络的网络节点外端口处的流量数据探测子系统,捕捉预进入节点内的流量数据,并将数据发送给协同防御设备;(2)设置于计算机网络节点处的协同防御设备分析所采集数据流量并记录异常流量等安全事件,依据原有策略或形成的新策略或安全分析中心发送过来的策略对安全事件进行处理,并将安全事件、策略、事件处理结果及其日记等传送给安全分析控制中心;(3)控制中心接收并传送事件相关信息至安全分析控制内部的数据中心,经分析控制中心进行统一分析后做出管理决策,查看各协同防御设备了解系统运行状况,然后更新各协同防御设备的协同防御策略,对协同防御设备的各功能组件进行统一部署,并通过审核日记对安全事件进行源头控制,实现对网络安全事件的一体化协同安全防御。本发明可以实际使用需要部署为星型、树状等拓扑结构,并可以进行任意局域网,城域网和广域网拓展,建立以安全分析控制中心、各协同防御设备和流量数据探测子系统为基础的可进行全局网络的安全防御和管理的多层次网络安全策略控制体系,有效提高计算机网络整体安全防御强度和管理灵活性。
本发明的全程全网安全协同防御系统的协同防控功能提供安全分析控制中心的IP地址,在各CTM设备协同防控功能开启模式下,各CTM设备自动连接到远端的安全分析控制中心,将当前CTM设备的每个安全应用和服务模块的运行状态和其他安全信息传输到安全分析控制中心,以集中显示,同时各CTM设备接受安全分析控制中心发回的配置指令,进行相应的配置。
本发明的全程全网安全协同防御系统在安全分析控制中心和CTM设备中分别预设多种安全策略管理动作,能够应对多种网络安全威胁,并且通过各CTM设备的程序的更新,加入新的插件程序,即可实现协同策略管理动作的扩展,使得用户可以方便地根据网络情况订制自己需要的协同策略管理动作,更好地保护本地网络。为了保证安全分析控制中心与各CTM设备的通信安全,整个通信过程采用SSL(Security Socket Layer,)加密,同时各CTM设备的代理程序将验证安全分析控制中心的身份,只有来自特定IP地址的协同策略管理命令才会得到执行,可以通过管理员权限设置参与协同策略管理的各CTM设备,通过打开或者关闭CTM设备上的协同策略管理组件开关,实现灵活可订制的网络安全协同管理。
本发明的计算机协同防御管理系统可以设置单机管理机制,即可依据每一CTM设备设定的管理机制或在管理员的调配下对安全事件进行防御并调整安全防御策略,也可以适用于在大型的网络中分布式的部署安全分析控制中心和CTM设备,配置网络安全的管理控制能力,提供强大的数据分析能力。
本发明的全程全网安全协同防御系统的防御功能的原理如图1所示,图1中安全分析控制中心1通过流量数据探测子系统3对预进入网络内部的流量数据进行采集;CTM设备2对流量数据探测子系统3的监测结果和探测流量进行控制和管理。本发明可以采用分组的方式管理各CTM设备2,以组为单位进行远程统一配置、升级等操作,并可以将管理的各CTM设备按照一定的策略进行组织成协同结构,实现设备之间的协同作战,使网络安全威胁在源头得到控制。流量数据探测子系统3及各CTM设备2主要通过协同防控功能组件21和流量监控功能组件22负责网络信息截取和安全事件处理,安全分析控制中心1内置分析引擎11、策略引擎12、特征引擎13和备份模块14,安全分析控制中心1负责信息和安全事件分析,实施对各CTM设备2的调控、策略处理,并进行更新及重要信息备份。CTM设备2设置的流量监控功能组件组件21设置的接口,方便网络管理员对所部署的CTM设备2进行集中式的高效监视,包括当前网络环境和安全组件状态信息、性能数据等,CTM设备2设置网络安全事件和日志信息查询功能和协同策略管理控制功能,使得管理员能够掌握当前网络安全状况,并对网络安全威胁进行快速响应和处理。
本发明的全程全网安全协同防御系统建立了各CTM设备作为单机进行独立管理的同时,还通过将各CTM设备之间连接进行协同管理相结合的双重管理机制,为用户提供了集中式的CTM设备性能与状态监视、统一的安全组件管理以及网络事件日志的汇总分析机制,在此基础上实现了多台CTM设备的协同策略管理。
本发明的计算机网络协同管理系统对管理员进行管理认证,对计算机网络的安全网关通常都可以通过网络进行策略配置,因此使用安全的身份认证,避免非授权用户擅自进入安全功能系统,篡改甚至破坏计算机网络的安全策略。各CTM设备提供了基于角色的认证管理,安全分析控制中心以及CTM设备的系统管理员可以灵活地定义各类管理员角色,如某角色可以进行日志信息的查看,但不能进行安全策略的修改等,对于管理员的任何行为,CTM设备均进行日志审计,保证各CTM设备自身的管理安全。
本发明的计算机协同防御管理系统的协同管理策略的原理如图2所示。本发明的全程全网安全协同防御系统采用服务器-代理工作模式,代理工作模式的代理就是使CTM设备具有一定的计算资源和局部的行为控制机制,能够在没有外界直接操纵的情况下,根据其内部状态和网络环境信息,决定和控制自身行为。安全分析控制中心1通过部署在每台CTM设备2上的代理程序与每台CTM设备2进行安全通信,CTM设备的代理程序中的本地监控插件程序模块根据安全分析控制中心的指令,指示CTM设备完成相应的协同策略管理动作包括:返回当前各CTM设备的状态信息和性能数据,使得网络管理员能够掌握当前的网络状况;指示各CTM设备按照设定条件,例如,设定检测到大量异常流量作为设定条件,筛选某一时间段内的安全组件日志信息,并将这些信息汇总到安全分析控制中心的数据中心,使得网络管理员能够针对某种网络安全威胁进行快速响应;或者对CTM设备中的各个网络安全组件进行统一更新和控制,使得多台CTM设备中的安全组件能够协同化地进行工作;或者实现CTM设备的安全组件的程序版本升级和安全策略库更新、协同策略管理动作的更新。
本发明的全程全网安全协同防御系统将所有参与协同防御管理的CTM设备的状态和性能数据、网络事件以及日志信息汇总到安全分析控制中心,存入安全分析控制中心的数据库,方便网络进行统一的数据分析和网络日志查询与管理。在发生入侵事件时,安全分析控制中心根据CTM设备汇总的数据找到源头,进行源头控制,对接入的CTM设备进行策略重组,彻底切断传输通道,在被攻击端,主动关闭相关通道,同时通过协同协议向安全分析控制中心发送被攻击信息,从而实现在源头、传输通道和目标端多点控制,实现计算机网络的平稳和有序运行。
本发明的全程全网安全协同防御系统建立软件升级机制,从升级内容上分为软件版本升级、入侵防御特征库升级和防病毒特征库升级;从升级方式上分为自动升级和手动升级。
自动升级是指在本发明的协同防御管理系统中指定升级服务器的地址,当所有CTM设备的病毒等特征库存在可用更新时或达到用户指定的升级时间时,升级引擎自动进行更新下载、更新验证和更新升级的操作,保证该体系的特征库始终保持最新。自动升级主要应用于该体系网关部署在因特网的情况,通过因特网与指定升级服务器进行通信。
手动升级是指用户定期从指定的升级服务器下载升级文件,由用户通过手动的方式对本发明的协同防御管理系统的CTM设备进行软件主体、入侵防御特征库和防病毒特征库升级的一种模式。手动升级主要应用于当本发明的协同防御管理系统的CTM设备部署在企业内网或对实时性要求非常高的应用环境。
本发明的协同防御管理系统的软件升级功能设置升级前文件正确性检查和升级后的自恢复能力功能模块,即在升级前对升级文件进行完整性、正确性校验,只有校验合格才开始进行升级,如果当前的系统防御管理系统不能兼容此种格式的升级或升级文件受损,则自动提示给用户并指明错误类型。升级失败,例如升级过程中遇到掉电或网络连接失败或升级后系统加载失败,系统保留并默认原版本的正常运行,不会因升级错误失败而导致计算机网络的各设备无法使用。
为具体说明本发明的全程全网安全协同防御系统的结构和原理,下面结合具体的实施例和附图进行详细的说明。
图3为本发明的全程全网安全协同防御系统的层次结构模式图。本实施例的安全分析控制中心1连接并管理若干个第一级CTM设备,每个CTM设备又管理若干个第二级CTM设备。因此,本具体实施例中,安全分析控制中心和第一、第二级CTM设备之间的网络拓扑结构呈树型拓扑结构。在本具体实施例中,安全分析控制中心1可以连接并管理多个层级的CTM设备,形成层级管理的树型网络拓扑结构。本具体实施例的协同防御系统的协同防御方法包括如下步骤:
1)、任一第二级CTM设备发现新的安全事件后,直接向其所属的上一级的第一级CTM设备报告;
2)、第一级CTM设备收到报告后,如果该第一级CTM设备依据所预先设定的安全策略和数据库,能够处理该安全事件,则进入步骤3,若该第一级CTM设备(主域)依据自身所预先设定的安全策略和数据库不能处理该安全事件,进入步骤4):
3)该第一级CTM设备生成响应策略并分发给所属的各CTM设备子域,再将该第一级CTM设备的处理结果的摘要信息向安全分析控制中心报告,进入步骤5;
4)该第一级CTM设备将该安全事件向安全分析控制中心报告,由安全分析控制中心进行分析处理后并将响应策略并转发给各个第一级CTM设备,并统一调控各个第一级、第二级CTM设备的功能组件和更新各第一、第二级CTM设备的策略数据。
5)结束。
本具体实施例中,根据计算机网络的规模大小,安全分析控制中心并不限于所设置的第一、第二级CTM设备两个层级的CTM设备,还可以设置多个层级的CTM设备域,例如,可以在每一第二级CTM设备向下设置多个第三级CTM设备,每一第三级CTM设备向下设置多个第四级CTM设备,依次往下类推,根据计算机网络的规模大小和需要而设置多个层级的CTM设备。本方案的适应范围较广,主要应用于需集中管理的,各级设备管理层级明显的网络管理系统。
图4为本发明的全程全网安全协同防御系统的混合结构模式图。本具体实施例中的系统结构包括一个分析控制中心和多个CTM设备。安全分析控制中心与CTM设备之间呈星型结构,各CTM设备之间呈对等关系,构成网格状网络拓扑结构。本具体实施例的协同防御管理系统的协同防御方法包括如下步骤,当任一CTM设备发生新的安全事件后,CTM设备进行信息同步包括如下两种方式:一是CTM设备将安全事件的信息发送给安全分析控制中心,由安全分析控制中心转发给其他CTM设备;二是CTM设备将安全事件地信息向其他CTM发送通报,通报内容包括安全事件的相关信息以及该发现新的安全事件的CTM设备自身的应对策略信息,实现各CTM安全策略的同步共享,同时CTM设备将通报内容的信息以摘要形式向安全分析控制中心汇报。为了保护CTM设备的安全,CTM设备的策略部署、所在网关流量状况及其基本状态信息由安全分析控制中心统一维护,各CTM设备可以通过安全分析控制中心获得其他CTM设备的有关信息。同时,因为安全分析控制中心持有全局最新的安全策略信息,各CTM设备可以以P2P(Peer-to-Peer,点对点分散式网络架构)的方式主动从其他CTM设备获得最新的安全策略,实现计算机网络的全局同步。本具体实施例的方案主要针对大型网络安全部署。
图5为全程全网安全协同防御系统的对等结构管理模式示意图。本具体实施例的网络结构管理模式不需要部署独立的安全分析控制中心,安全分析控制中心为最高管理权限级别的CTM设备,可以由该最高管理权限级别的CTM设备执行安全分析控制中心的分析处理和统一协同管理功能。在本具体实施例中,所有的CTM设备以对等的方式存在,每个CTM设备都可以进行自身的安全信息捕捉和处理以及安全事件的通报,同时还可以接收其他CTM设备通报给它的安全事件信息和应对策略信息,并依据自身(存储)数据中心对接收到的事件进行分析控制处理,或通过管理员进行相关策略分析运筹后,将CTM处理生成的安全策略发送给其他CTM设备,并同时对其他CTM设备各功能组件进行调控,从而实现各CTM设备的全方位协同防控。因此,本具体实施例的各CTM设备之间呈对等的网络网格型拓扑结构,任一CTM设备检测到新的安全事件并处理生成安全策略,可以将其生成的安全策略通过网络传输给其他的CTM设备以增强其他CTM设备的安全策略应对,由此,使得整个计算机网络的各CTM设备之间能协同防御应对安全事件。本具体实施例的方案针对小型网络,或大型网络部署。
本具体实施例中的全程全网安全协同防御系统的各CTM设备之间进行协同防御的方法包括如下步骤:
1)部署在计算机网络的外端口的流量数据子探测系统持续接收并采集预进入计算机内部网络的流量,将这些数据流量交送CTM设备分析,经检查确认不包含异常活动和异常内容的流量,再通过另外一个端口将流量数据传送到计算机网络内部系统;
2当CTM设备分析流量数据探测子系统所发送的检测结果,若发现流量数据有异常,则执行步骤3操作;
3)CTM设备接收到数据后,依据预先设定的策略和分析机制进行分析处理,例如可以对检测到的病毒直接删除;
4)若CTM设备分析发现其流量数据没有异常,则对接收的数据流继续监控,并将处理结果送与策略中心;
5)若CTM设备分析发现所接收的数据流量有异常,依据自身所设定的分析机制可以处理,则响应该数据流量并记录事件,同时更新其处理生成的安全策略,并将生成的安全策略发送其他CTM设备,以使得其他的CTM设备可以进行各自的功能组件的调整;
6)若CTM设备发现所接收的数据流量异常,依据预先设定的分析处理机制所设定的分析机制无法处理,给其他的CTM设备发送请求报告,请求其他CTM设备及其管理员协同处理;
7)其他CTM设备或管理员接收最先侦测到数据流量的安全事件的CTM设备发送的信息并分析处理,然后将生成的处理策略分发给其他CTM设备,并统一调控其它CTM设备的功能组件和流量控制,实现计算机网络中的所有CTM设备的全局统筹和协同控制。本具体实施例的方案主要针对小型网络安全部署。
综上所述,本发明的全程全网安全协同防御系统协调管理部署于计算机网络节点等关键位置的CTM设备,通过流量数据探测子系统对网络数据流量的采集,协同防御设备和安全分析控制中心对采集的数据流量分析、处理,运用多层策略分析和协同管理机制,运用协同管理和分析机制,构建全方位多层次的网络安全防御体系,增加计算机网络的整体网络安全防御性,提高计算机网络的安全和防病毒及防攻击性。本发明的全程全网安全协同防御系统包括安全分析控制中心,协同防御设备和流量数据探测子系统,协同防御设备包括对探测系统所探测流量分析管理和协同防控功能,安全分析控制中心内部关联数据中心,流量探测系统对预进入网络节点的数据流量进行捕捉,后送与协同管理设备。流量数据探测系统置于计算机网络边缘,对预进入网络的数据流量进行捕捉,协同防御设备设置在计算机网络关键部位,每一协同防御设备内置流量数据探测监控系统以探测流量数据并可进行分析,同时还设置管理控制组件和协同防御组件,流量数据探测子系统捕捉和CTM分析记录的安全事件被传送给安全分析控制中心,安全分析控制中心接收各协同防御设备的信息进行统一分析后,生成防御决策,并统一发送给各网络节点的CTM设备,更新各网络节点的CTM设备的防御策略,并通过审核日记对安全事件进行源头控制,还可以通过与各级别的管理员协同处理,实现计算机网络的整体网络安全事件的协同防御。
Claims (8)
1.一种全程全网安全协同防御系统的协同防御方法,所述全程全网安全协同防御系统包括安全分析控制中心、设置于计算机网络节点外端口处的流量数据探测子系统和设置于计算机网络节点的协同防御CTM设备,所述的协同防御方法包括如下步骤:
步骤(1)流量数据探测子系统持续接收预进入内部网络的流量,采集流量数据并将其发送至CTM设备,CTM设备将分析确认不包含异常活动和异常内容的流量数据传送到计算机内部系统;
步骤(2)当CTM设备检测到有异常的数据包或者异常流量安全事件时,则通知流量数据探测子系统将异常流量数据后续包传送给CTM设备,CTM设备对异常流量数据进行分析,依据原有的预设策略或形成的新策略或安全分析控制中心发送过来的安全策略对安全事件进行处理;
步骤(3)CTM设备将安全事件、策略、事件处理结果及其日记传送给安全分析控制中心;
步骤(4)安全分析控制中心接收并传送事件相关信息至安全分析控制中心内置的数据中心,经安全分析控制中心进行统一分析后,查看并分析各CTM设备的运行状况并做出管理策略,然后更新各CTM设备的协同防御策略,对CTM设备的各功能组件进行统一部署,并通过审核日记对安全事件进行源头控制;
步骤(5)安全分析控制中心记录整个安全事件处理时间,结果,以备追踪查询;
其中,所述的各CTM设备包括第一级CTM设备和第二级CTM设备,所述第一级CTM设备分别与安全分析控制中心连接,所述的第一级CTM设备分别与多个第二级CTM设备连接;
其中,所述的步骤(2)还包括:
步骤(2.1)当所述第二级CTM设备发现新的安全事件后,直接向其所属的上一级的第一级CTM设备报告;
步骤(2.2)第一级CTM设备收到报告后,如果该第一级CTM设备依据所预先设定的安全策略和数据库,应对处理该安全事件,进入下一步骤,若该第一级CTM设备依据所设定的安全策略和数据库不能应对处理该安全事件,进入步骤4):
步骤(2.3)该第一级CTM设备生成响应策略并分发给所属的各CTM设备子域,再将该第一级CTM设备的处理结果的摘要信息向安全分析控制中心报告;
步骤(2.4)该第一级CTM设备将该安全事件向安全分析控制中心报告,由安全分析控制中心进行分析处理后并将响应策略并转发给各个第一级CTM设备,并统一调控各个第一级、第二级CTM设备的功能组件和更新各第一、第二级CTM设备的策略数据;
其中,计算机网络的各CTM设备以分组的方式管理,以组为单位进行远程统一配置、升级操作。
2.如权利要求1所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所述的步骤(2)中,当原有安全策略可以处理安全事件时仅利用其原有的预设策略响应;当原有的预设策略无法处理安全事件时,CTM设备利用自身的策略和网络资源,或反映给管理员制定新的可执行策略,并将策略分发至其他CTM设备;当CTM设备自身无法制定相应的策略时,发送报告给安全分析控制中心,安全分析控制中心结合数据中心制定策略,并分发给其他CTM设备。
3.如权利要求1所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所述全程全网安全协同防御系统基于服务器-代理的模式,安全分析控制中心通过部署在CTM设备上的代理程序与CTM设备进行安全通信,代理程序中的本地监控插件根据安全分析控制中心的指令,指示CTM设备完成相应的协同策略管理动作。
4.如权利要求3所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所述CTM设备完成的协同策略管理动作包括:返回当前各CTM设备的状态信息和性能数据;指示各CTM设备在特定的情况下筛选某一时间段内的安全组件日志信息,并将这些信息汇总到安全分析控制中心;对CTM设备中的各个网络安全组件进行统一更新和控制,调动多台CTM设备中的安全组件协同工作;升级更新CTM设备安全组件、安全策略和协同策略。
5.如权利要求1所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所述安全分析控制中心与各CTM设备呈树型网络拓扑结构。
6.如权利要求1所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所述的安全分析控制中心与各CTM设备之间呈星型拓扑结构,各CTM设备之间呈对等网格型网络拓扑结构。
7.如权利要求6所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所述的任一CTM设备监控到新的安全事件的信息后与其它CTM设备之间的信息同步包括两种方式:一是该CTM设备将信息发送给安全分析控制中心,由安全分析控制中心转发给其他CTM设备;二是该CTM设备向其他CTM设备发送通报内容,通报内容包括安全事件的相关信息以及该CTM设备自身的应对策略信息,并向安全分析控制中心发送通报内容的信息的摘要。
8.如权利要求1所述的全程全网安全协同防御系统的协同防御方法,其特征在于,所述的安全分析控制中心与各CTM设备之间呈对等网格型网络拓扑结构。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010205742.XA CN101938460B (zh) | 2010-06-22 | 2010-06-22 | 全程全网安全协同防御系统的协同防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010205742.XA CN101938460B (zh) | 2010-06-22 | 2010-06-22 | 全程全网安全协同防御系统的协同防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101938460A CN101938460A (zh) | 2011-01-05 |
| CN101938460B true CN101938460B (zh) | 2014-04-09 |
Family
ID=43391595
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010205742.XA Expired - Fee Related CN101938460B (zh) | 2010-06-22 | 2010-06-22 | 全程全网安全协同防御系统的协同防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101938460B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104348660B (zh) * | 2013-08-08 | 2018-08-21 | 华为技术有限公司 | 防火墙设备中检测引擎的升级方法及装置 |
| CN104639504B (zh) | 2013-11-12 | 2018-09-21 | 华为技术有限公司 | 网络协同防御方法、装置和系统 |
| CN103795713A (zh) * | 2014-01-20 | 2014-05-14 | 中国建设银行股份有限公司 | 适用于防控电信诈骗的系统以及系统间消息交互方法 |
| CN104378364B (zh) * | 2014-10-30 | 2018-02-27 | 广东电子工业研究院有限公司 | 一种信息安全管理中心的协同分析方法 |
| CN106817268B (zh) * | 2015-11-30 | 2020-04-07 | 上海安畅网络科技股份有限公司 | 一种ddos攻击的检测方法及系统 |
| CN105553958A (zh) * | 2015-12-10 | 2016-05-04 | 国网四川省电力公司信息通信公司 | 一种新型网络安全联动系统及方法 |
| CN106357685A (zh) * | 2016-10-28 | 2017-01-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种防御分布式拒绝服务攻击的方法及装置 |
| CN107835177B (zh) * | 2017-11-10 | 2020-04-21 | 上海携程商务有限公司 | 病毒防护的方法、系统、设备及存储介质 |
| CN111787038B (zh) * | 2019-04-04 | 2022-05-17 | 华为云计算技术有限公司 | 一种提供边缘服务的方法、系统及计算设备 |
| CN109995794B (zh) * | 2019-04-15 | 2021-09-17 | 深信服科技股份有限公司 | 一种安全防护系统、方法、设备及存储介质 |
| CN110191118B (zh) * | 2019-05-28 | 2021-06-01 | 哈尔滨工程大学 | 一种面向网络安全设备的统一指控方法及系统 |
| CN110505243A (zh) * | 2019-09-18 | 2019-11-26 | 浙江大华技术股份有限公司 | 网络攻击的处理方法及装置、存储介质、电子装置 |
| CN110677472B (zh) * | 2019-09-24 | 2022-08-23 | 杭州安恒信息技术股份有限公司 | 基于ioc智能提取及共享的协同防御方法 |
| CN111327601B (zh) * | 2020-01-21 | 2022-08-30 | 广东电网有限责任公司广州供电局 | 异常数据响应方法、系统、装置、计算机设备和存储介质 |
| CN112039895B (zh) * | 2020-08-31 | 2023-01-17 | 绿盟科技集团股份有限公司 | 一种网络协同攻击方法、装置、系统、设备及介质 |
| CN112766672A (zh) * | 2021-01-07 | 2021-05-07 | 深圳市永达电子信息股份有限公司 | 一种基于全面评估的网络安全保障方法及系统 |
| CN114844715B (zh) * | 2022-05-25 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 一种网络安全防御策略优化方法、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1384639A (zh) * | 2002-06-11 | 2002-12-11 | 华中科技大学 | 分布式网络动态安全保护系统 |
| CN1949720A (zh) * | 2006-09-08 | 2007-04-18 | 中山大学 | 一种分布式网络入侵检测系统 |
| CN101714990A (zh) * | 2009-10-30 | 2010-05-26 | 清华大学 | 一种网络安全防护集成系统及其控制方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4232499B2 (ja) * | 2003-03-24 | 2009-03-04 | 富士ゼロックス株式会社 | 指示データ生成装置、指示データ生成方法及び指示データ生成プログラム |
-
2010
- 2010-06-22 CN CN201010205742.XA patent/CN101938460B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1384639A (zh) * | 2002-06-11 | 2002-12-11 | 华中科技大学 | 分布式网络动态安全保护系统 |
| CN1949720A (zh) * | 2006-09-08 | 2007-04-18 | 中山大学 | 一种分布式网络入侵检测系统 |
| CN101714990A (zh) * | 2009-10-30 | 2010-05-26 | 清华大学 | 一种网络安全防护集成系统及其控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101938460A (zh) | 2011-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101938460B (zh) | 全程全网安全协同防御系统的协同防御方法 | |
| CN101938459A (zh) | 全程全网安全协同防御系统 | |
| CN208227074U (zh) | 电力监控系统网络安全监测终端 | |
| CN105139139B (zh) | 用于运维审计的数据处理方法和装置及系统 | |
| US20170068563A1 (en) | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets | |
| CN109729180A (zh) | 全体系智慧社区平台 | |
| CN109831327A (zh) | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 | |
| CN103166794A (zh) | 一种具有一体化安全管控功能的信息安全管理方法 | |
| CN105119750A (zh) | 一种基于大数据的分布式信息安全运维管理平台 | |
| CN110445827A (zh) | 基于分布式账本技术的传感网的安全管理方法及安全系统 | |
| CN103227797A (zh) | 分布式电力企业信息网络安全管理系统 | |
| CN103338128A (zh) | 一种具有一体化安全管控功能的信息安全管理系统 | |
| CN105430000A (zh) | 云计算安全管理系统 | |
| CN103718170A (zh) | 用于事件的分布式基于规则的相关的系统和方法 | |
| CN104378365A (zh) | 一种能够进行协同分析的安全管理中心 | |
| US10296182B2 (en) | Managed access graphical user interface | |
| CN111476171A (zh) | 分布式对象识别系统、方法及边缘计算设备 | |
| CN113115315B (zh) | 一种基于区块链的iot设备行为可信监管方法 | |
| CN106779485A (zh) | 基于soa架构的综合管理系统及数据处理方法 | |
| CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
| Wang et al. | A centralized HIDS framework for private cloud | |
| CN106027476A (zh) | 一种身份证云认证系统及读卡系统 | |
| CN106131054A (zh) | 基于安全云的网络入侵协同检测方法 | |
| Miloslavskaya | Network Security Intelligence Center as a combination of SIC and NOC | |
| WO2004051929A1 (fr) | Systeme de plate-forme de verification pour processus d'application base sur des composantes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: BEIJING NETINORDER TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: BEIJING HOSUN TECH. CO., LTD. Effective date: 20120613 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100013 HAIDIAN, BEIJING TO: 100013 DAXING, BEIJING |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20120613 Address after: 305, room 100013, block B, 14 Zhonghe street, Beijing economic and Technological Development Zone, Beijing, China Applicant after: Beijing Netinorder Technology Co.,Ltd. Address before: 100013, room 5, floor 511, Xinzhou business building, 58 Fu Cheng Road, Beijing, Haidian District Applicant before: Beijing Hosun Science and Technology Co., Ltd. |
|
| DD01 | Delivery of document by public notice |
Addressee: Beijing Netinorder Technology Co.,Ltd. Document name: Notification to Go Through Formalities of Registration |
|
| DD01 | Delivery of document by public notice |
Addressee: Beijing Netinorder Technology Co.,Ltd. Document name: Notification that Entitlement to Patent Deemed Abandoned |
|
| DD01 | Delivery of document by public notice | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| DD01 | Delivery of document by public notice |
Addressee: Beijing Netinorder Technology Co.,Ltd. Document name: Notification of Decision on Request for Restoration of Right |
|
| C56 | Change in the name or address of the patentee | ||
| CP02 | Change in the address of a patent holder |
Address after: 100013, Room 102, B, International Business Incubation Park, No. 14, Zhonghe street, Yizhuang Economic Development Zone, Beijing, China Patentee after: Beijing Netinorder Technology Co.,Ltd. Address before: 305, room 100013, block B, 14 Zhonghe street, Beijing economic and Technological Development Zone, Beijing, China Patentee before: Beijing Netinorder Technology Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140409 Termination date: 20150622 |
|
| EXPY | Termination of patent right or utility model |