CN103748997B - 支持内部网络安全监控系统开发的通用系统 - Google Patents

Abstract

本发明公开了一种支持内部网络安全监控系统开发的通用系统，该系统 图基于AAR架构建立系统结构，该系统中包括多个可配置的处理模块，将 各类功能模块的命令处理插件集中设置在所述命令处理插件库，将各类功能 模块的数据分析模块集中设置在所述数据分析模块群，将各类功能模块的探 头集中设置在数据获取模块库，使得本发明的系统框架符合“获取——分析 ——响应”的基本功能结构，且具有的多种功能可根据需要进行开发和配置。 本系统还定义了各模块的通信过程以及通信协议，用户可以直接使用本系统 提供的网络通信等功能，将开发重点放在信息获取、信息分析、信息响应等 子系统的具体功能上，以减小内部网络安全监控系列软件的开发难度和开发 周期。

Description

支持内部网络安全监控系统开发的通用系统

技术领域

本发明涉及网络安全技术领域，具体涉及一种支持内部网络安全监控系统开发的通用系统。

背景技术

随着信息化进程的深入和互联网的快速发展，计算机网络已成为信息社会的基础设施。紧随而来的网络安全问题日渐凸出，逐渐演变为信息时代人类共同面临的挑战。为了应对这一问题，出现了众多的网络安全监控系统，如入侵检测系统、主机监控系统、网络审计系统、蜜罐系统等检测类系统。“检测类”系统从功能流程上都具有共同特点，也就是“获取数据——分析数据——响应管理”，其功能流程图如图1所示，其中，

■数据获取层：从被保护环境中获得必要的环境信息，并向系统的数据分析层提供此数据。

■数据分析层：分析从数据获取层提交来的网络环境信息，并对其进行分析，产生分析结果提管理响应层。

■管理响应层：处理从分析层提交上来的对网络环境分析的结果，对这些进行处理。并根据处理结果通知数据获取层和数据分析层进行相应的动作。

可以看出，所有“检测类”软件的功能流程基本相同，只是在具体细节方面有一定的差别，例如获取内容不同、分析方法不同，等等。

由于“检测类”软件的功能流程基本相同，因此可以考虑建立统一的系统结构体系，并根据实际需要，开发和制定不同的内容获取方法和数据分析方法，从而避免重复性开发。

但是，目前的“检测类”软件各自为营，存在很多弊端：没有形成统一 的基础框架，也没有统一的对外接口，这直接导致了系统的开发重复性高，难度大，同时使得与其它类系统联动方式不统一。

发明内容

为此，本发明提供了一种支持内部网络安全监控系统开发的通用系统，能够建立起“检测类”网络安全系统的通用框架，从而降低系统开发的重复性和开发难度，同时使得与其它类系统联动方式统一。

该系统包括信息获取系统IAS、集中分析系统CAS和控制管理系统CMS；

IAS包括SOCKET API模块、命令解释处理模块、命令处理插件库、数据发送模块、数据获取模块库；

CAS包括数据路由模块、数据分析模块库、数据库；

CMS包括基础通信模块、事件路由模块、策略管理模块、业务处理模块、Web页面显示模块和标准接口；其中，策略管理模块包括路由策略，业务处理模块包括事件响应处理模块；

该系统中包括多个可配置的处理模块，每种功能模块包括命令处理插件、数据分析模块和探头，将各类功能模块的命令处理插件集中设置在所述命令处理插件库，将各类功能模块的数据分析模块集中设置在所述数据分析模块库，将各类功能模块的探头集中设置在数据获取模块库；

SOCKET API模块建立IAS与CAS之间的socket通道；

数据获取模块库中的各个探头进行信息采集和初步分析过滤，将过滤后的数据发送给数据发送模块；

数据发送模块将所接收数据通过Socket通道发送给CAS中的数据路由模块；

数据路由模块根据所接收数据的应用层协议，把数据发送到相应的目的模块；所述目的模块包括数据分析模块库中的数据分析模块、CMS；

数据分析模块库中的数据分析模块，接收由数据路由模块传送来的数 据，根据所述数据库中存储的知识，对接收到的数据进行分析，将分析结果发送给CMS中的基础通信模块；

基础通信模块负责CMS与CAS的通信，将CAS发送来的数据发送给事件路由模块；

事件路由模块按照路由策略中的配置，将来自基础通信模块的数据向相应目的地转发，所述相应的目的地包括WEB页面显示模块、数据库、事件响应处理模块、和/或通过标准接口连接的系统外部模块；

WEB页面显示模块对所接收的数据进行实时显示；

事件响应处理模块对所接收的数据进行响应处理，响应处理结果发送至WEB页面显示模块和响应处理产生的命令经由基础通信模块、数据路由模块和Socket通道发送给IAS中的命令解释处理模块；

命令解释处理模块接收CAS传送的命令数据，并解析命令数据的内容，根据命令处理插件库提供的命令处理方式，对命令数据进行相应处理；将对命令的操作结果和反馈信息通过数据发送模块向命令来源发送。

较佳地，所述CAS进一步包括本地业务处理模块和本地处理插件库；

所述数据路由模块路由的目的模块进一步包括本地业务处理模块；

本地业务处理模块，利用本地处理插件库存储的处理策略，处理所接收的数据。

其中，所述本地业务插件库包括的本地业务插件包括本地配置业务插件、认证业务插件；或所述本地业务插件库包括的本地业务插件包括本地配置业务插件、认证业务插件和升级业务插件。

较佳地，所述IAS进一步包括备份模块；所述数据发送模块进一步将所接收数据还可以将数据发送给备份模块保存。

其中，该通用系统所采用的报文格式包括报头部分和数据部分；

所述报头部分包括标识符字段、数据长度字段和IP地址字段；

标识符字段表示唯一代表数据类型；本通用系统的内部数据和外部数据采用不重叠的数字范围；

数据长度字段表示数据部分的长度；

IP地址字段表示报文的地址；根据ID的不同，IP地址字段表示源地址或目的地址；数据源为IAS时，IP地址字段填写IAS的IP地址，数据目的地为IAS时，IP地址字段填写IAS的IP地址。

较佳地，该通用系统包括多个CAS&CMS和多个IAS；CAS&CMS表示CAS和CMS的组合；每个CAS&CMS均可以连接至少一个IAS和至少一个下一级的CAS&CMS。

其中，CAS&CMS之间通过设置在CMS中的上下级通信接口相连。

较佳地，所述上下级通信接口通过基础通信模块，将来自非本系统IAS的数据发送给数据分析模块库，数据分析模块库中的数据分析模块对本系统IAS和非本系统IAS的数据进行联合分析。

较佳地，所述上下级通信接口进一步从下级CAS获取数据通过基础通信模块发送给数据分析模块库作联合分析。

较佳地，所述上下级通信接口进一步将所在CAS&CMS的运行状况和下级CAS&CMS的运行状况发送给上级；最上级的CMS集中监控整个网络运行情况。

从以上所述可以看出，本发明具有如下有益效果：

本发明基于AAR框架，提出了一种支持内部网络安全监控系统开发的软件通用系统，该系统中包括多个可配置的处理模块，将各类功能模块的命令处理插件集中设置在所述命令处理插件库，将各类功能模块的数据分析模块集中设置在所述数据分析模块库，将各类功能模块的探头集中设置在数据获取模块库，使得本发明的系统框架符合“获取——分析——响应”的基本功能结构，即该系统具有“检测类”软件的基本功能，在一定程度上给“检测类”软件或者说是符合“获取——分析——响应”功能结构的软件提供了一种基础框架。

本系统还定义了各模块的通信过程以及通信协议，在此基础上“检测类”软件的开发人员不必再耗费精力去开发基础框架代码，可以直接使用本系统提供的网络通信等功能，从而将开发重点放在信息获取、信息分析、信息响应等子系统的功能开发上，减小内部网络安全监控系列软件的开发难度和开 发周期，增强系统的稳定性，提高软件的开发效率。

基于本发明所提供的系统结构，可以构建分布式系统。分布式系统中，每个CAS&CMS都可以连接多个IAS和下一级的CAS&CMS，这样分布式系统呈层级式展开，上级CAS可以根据多个IAS的数据，进行关联分析，从而增加了分析精度和准确性。所有CAS和CMS分上下级进行部署，可以获取所有下级CAS的数据，这样大大丰富了分析层的数据来源，使得分析更为精确。最高级CMS集中监控整个网络运行情况，减小了网络管理的复杂度，同时有利于在应急情况下对网络进行整体配置。

此框架的研究和实现在一定程度上能够促进“检测类”软件的发展。

附图说明

图1为本发明AAR通用系统框架的结构示意图。

图2为本发明内部网络安全监控通用系统框架的结构示意图。

图3为本发明分布式系统的部署图。

图4为本发明报文格式的组成示意图。

具体实施方式

下面结合附图并举实施例，对本发明进行详细描述。

本发明提供了一种支持内部网络安全监控系统开发的通用系统，该系统基于AAR(Access-Analyze-Response)框架，建立起“检测类”内部网络安全监控系统的通用系统框架，从而减小内部网络安全监控系统的重复性开发工作。

所谓AAR框架，是指通用的“获取——分析——响应”的应用软件框架，AAR的基本框架图如图1所示。

该AAR包括以下三个部分：

■信息获取系统(IAS)：信息获取系统主要功能是获取代理主机的相应信息，并通过网络通信发送到CAS进行集中数据管理；IAS的另一个功能就是接受CAS发送来的配置策略对代理主机进行管理。

■集中分析系统(CAS)：其主要功能是通过网络通信对IAS进行集中化管理，对来自IAS的信息进行分析，并把分析结果提交给CMS进行处理；同时其还接受来自CMS的命令，并且把这些命令路由到相应的目的系统。

■控制管理系统(CMS)：其主要功能是对CAS发送来的告警数据进行路由，显示到界面、存如数据库、自动响应等等，并且对外提供标准化接口，整个系统可以与其它系统进行联动等；同时还可以接受来自用户(User)的用户配置命令并对其进行处理。

AAR的主要功能是为内部网络安全监控系统提供具有基本的网络通信、系统自防护等功能的系统框架。当开发人员使用本发明提供的系统框架进行进一步开发时，可以直接使用本系统框架提供的网络通信、系统自防护等功能，从而将开发重点放在信息获取、信息分析、信息响应等子系统的功能开发上，从而减小内部网络安全监控系列软件的开发难度和开发周期，增强系统的稳定性，提高软件的开发效率。

基于上述AAR框架，本发明提出了一种内部网络安全监控通用系统框架，如图2所示。该系统框架包括IAS、CAS和CMS；其中，

IAS包括SOCKET API模块、命令解释处理模块、命令处理插件库、数据发送模块、备份模块、数据获取模块库。

CAS包括数据路由模块、数据分析模块库、数据库、本地业务处理模块和本地处理插件库。

CMS包括基础通信模块、事件路由模块、策略管理模块、业务处理模块、Web页面显示模块和标准接口；其中，策略管理模块包括路由策略，业务处理模块包括事件响应处理模块。

本系统的工作原理为：

本系统包括多种功能模块，例如入侵检测系统(IDS)、主机监控(HM)等等。每种功能模块包括命令处理插件(或称为控制台)、数据分析模块(或称为分析机)和探头(或称为获取模块)，本发明将各类功能模块的命令处理插件集中设置在命令处理插件库，将各类功能模块的数据分析模块集中设 置在数据分析模块库，将各类功能模块的探头集中设置在数据获取模块库，使得本发明的系统框架具有多种监控功能。上述插件库中的组成模块均以插件形式(windows以DLL形式，Linux/UNIX以SO形式)存在。对于可配置的功能模块均以动态连接库的形式进行开发，并采用动态加载的模式进行调用。

SOCKET API模块，用于建立IAS与CAS之间的socket通道，通过双工通信实现命令的接收与数据的发送。

数据获取模块库中的各个探头进行信息采集和初步分析过滤，将过滤后的数据发送给数据发送模块。

数据发送模块，将所接收数据通过Socket通道发送给CAS。进一步地，还可以将数据发送给备份模块。

数据路由模块的主要功能是对整个系统的应用层数据进行路由，也就是根据所接收数据的应用层协议，把数据发送到相应的目的模块。根据网络路由的概念，这个系统的数据根据目的地址可以分为以下几种：

■目的地址为数据分析模块，则数据路由到数据分析模块库中的目的模块

■目的地址为CMS，则数据路由到基础通信模块；

■目的地址为本地业务处理模块；

■目的地址为IAS，则数据通过Socket通道路由到命令解释处理模块。

数据分析模块库中的数据分析模块，接收由数据路由传送来的数据，根据数据库DB中存储的知识，对接收到的数据进行分析，将分析结果发送给CMS中的基础通信模块。具体来说，可以是通过与数据库DB储存的规则进行规则匹配，或通过异常检测等方式与数据库DB储存的历史数据进行模式匹配等方法对当前数据进行智能分析，得出分析结果。

数据库用于存储支持数据分析模块进行数据分析的知识，例如规则、历史数据等等。

本地业务处理模块，利用本地处理插件库存储的处理策略，处理所接收 的数据。该数据通常为CMS无法处理的数据。在实际中，该数据还可以包括涉及数据库的命令，比如通知DAM数据库的变更等。本地业务插件库包含一些必要的本地业务插件，如本地配置、认证、升级等，特定内部网络安全监控系统可以根据需要开发特定功能的插件。

基础通信模块，主要负责CMS与CAS的通信。基础通信模块所接收的数据包括两部分，一部分是CAS发送来的数据，这些数据可能为来自数据分析模块库的分析以后的数据，也可能为来自数据路由的未分析数据，这些数据发送给事件路由模块。另一部分是CMS发送给CAS或IAS的信息，包括事件路由模块发送给数据库的数据，还包括事件响应处理模块和事件路由模块发送给IAS的命令，该命令通过数据路由模块传至IAS。

事件路由模块，主要功能是根据接收到的事件按照路由策略中的配置进行路由转发，其路由方向包括：将CAS发送来的数据向相应的目的地进行路由，包括交给WEB页面显示、存入数据库、事件响应处理模块、通过标准接口发送告警给上级、SNMP发送联动命令给防火墙等等。

WEB页面显示模块，对所接收的数据进行实时显示。

标准接口，是CMS与外部的接口，可以包括SNMP Trap、Syslog、NSMP等接口。

事件响应处理模块，对所接收的数据进行自动响应处理。响应处理结果可以发送至WEB页面显示模块，自动响应处理产生的命令经由基础通信模块、数据路由模块和Socket通道发送给IAS中的命令解释处理模块。

命令解释处理模块，接收CAS传送的命令数据，并解析命令数据的内容(如配置命令、查询命令等)，根据命令处理插件库提供的命令处理方式，对命令数据进行相应处理，如修改注册表，向相应的功能模块转发等，并对于某些命令(如系统配置)通过数据发送模块向命令来源返回相应的操作结果或反馈信息。命令解释处理模块接收的命令可能来源于事件响应处理模块，还可以来源于系统外部。在后者情况下，标准接口将来自外部的命令发送给事件路由模块，事件路由模块根据路由策略将命令传给本地业务处理模块或IAS。

在实际中，业务处理模块还可以包括用于生成报表的报表模块。为了加强系统完整性，该系统还可以包括审计管理模块，用于记录所在系统的操作，保存下来供审计使用，防止系统用户进行非法操作和误操作。

本通用系统工作时，数据获取模块库中的探头监测并获取外部数据，将获取的数据发送给数据发送模块，数据发送模块通过Socket通道将数据发送给CAS的数据路由模块。数据路由模块例如可以将数据发送给数据分析模块进行分析，并将分析结果经由基础通信模块传至事件路由模块。事件路由模块根据一定的路由策略，将数据发送到事件响应处理模块、标准接口、WEB页面显示，或存入数据库。

事件响应处理模块对所接收数据进行自动响应，如果响应操作生成一些命令，则该命令通过基础通信模块传至数据路由模块；数据路由模块根据数据协议将数据发送给命令解释处理模块处理，或者发送给本地业务处理模块。

本通用系统还可以通过标准接口接收其他系统的命令，这些命令信息经由事件路由模块、基础通信模块和数据路由模块发至本地业务处理模块或命令解释处理模块。

命令解释处理模块对命令进行解释和相应处理。例如修改注册表，向相应的功能模块转发等。

基于本发明所提供的系统结构，可以构建分布式系统。图3为本发明分布式系统的部署图。该分布式系统包括多个CAS&CMS和多个IAS，CAS&CMS表示CAS和CMS的组合。分布式系统中，每个CAS&CMS都可以连接多个IAS和下一级的CAS&CMS。CAS&CMS和CAS&CMS通过设置在CMS中的上下级通信接口相连。

在分布式系统中，其中一个CAS可以管理多个IAS，并且可以把IAS分组、分域进行管理。CAS在管理IAS同时，还可以管理下级CAS。

分布式部署以后，具有以下优势：

■一个CAS可以获取多个IAS的数据，进行关联分析。在这种情况下，上下级通信接口通过基础通信模块，将来自非本系统IAS的数据 发送给数据分析模块库，数据分析模块库对本系统IAS和非本系统IAS的数据进行联合分析；

■所有CAS和CMS分上下级进行部署，上级可以管理下级，CAS不仅可以获取其所管理的IAS数据，还可以获取所有下级CAS的数据，这样大大丰富了分析层的数据来源，使得分析更为精确。

■用户可以直接对最高级CMS进行管理，集中监控整个网络运行情况，减小了网络管理的复杂度，同时有利于在应急情况下对网络进行整体配置。在这种情况下，上下级通信接口需要将所在CAS&CMS的运行状况和下级CAS&CMS的运行状况发送给上级，这样最高级的CMS就可以得到整个网络运行情况。运行状况可以包括探头采集的数据、事件响应处理模块的处理结果等等。

■任何一级的CMS都提供标准的上下级通信接口给外部系统，可以很好的与其他系统进行联动。比如与“防护类”软件进行联动。

在这种情况下，CMS进一步包括上下级通信接口，用于CAS&CMS之间传递信息，在业务处理模块中进一步包括上下级管理模块，用于对上下级CAS&CMS进行管理，例如管理上下级信息、向哪些上级发送本机状态、向哪些下级发送管理信息等。

策略管理模块还可以包括数据库维护策略，访问控制策略，等等。

本发明的内部网络安全监控通用系统框架所有内部通信都采用了内部网络安全监控标准通信协议。独立的内部网络安全监控通用系统框架是没有实际价值的，最终是要结合不同的业务模块才有意义，所以其要结合的业务模块协议极为重要，本发明充分研究“检测类”系统的共性，同时参考TCP/IP协议设计方式，设计并实现了内部网络安全监控框架标准协议。

本发明所采用的所有通信都采用“报头+数据”报文格式：如图4所示。报文格式包括AAR报头和AAR数据，其中AAR报头的定义如下：

可见，报头包括标识符(id)字段、数据长度(len)字段和IP地址字段；其中，各字段的解释如下。

id：六位的ID号，这个ID唯一代表内部网络安全监控系统的数据类型。ID使用规则为：

◆ID在通信中必须填写

◆id号从0000——9999

◆0000——999为框架自身使用，框架间传递的数据不能使用这些ID

◆1000——9999为框架间使用

len：内部网络安全监控数据部分长度。使用规则为：

◆len在通信中必须填写；

◆len为字符型，比如长度为100的内部网络安全监控数据在内部网络安全监控报头中的len应该为“100”；

◆atoi(len)的值不能为负(可以为零，代表只有报头没有数据)；

ip：数据的IP地址，在不同ID下，ip代表的含义不同，可能是源IP，可能是目的IP。使用规则为：

◆此值不是所有数据都需要

◆当数据源为IAS的时候此值必须填写IAS的IP地址，当数据目的地为IAS的时候此值必须填写IAS的IP地址。

内部网络安全监控通用系统框架自身具有一套完整的PKI认证体制，保证了系统之间数据的合法性。同时在此基础上通信使用了SSL进行加密，保证了数据的完整性和机密性。所有认证采用X509证书认证，认证所使用的证书分布和认证流程如下。

1、证书分布

◆IAS具有的证书包括：

thinkor.crt：证书发放机构(CA)证书

√作用：IAS与CAS进行SSL通信的时候，认证CAS的证书是否经过thikor.crt进行签名，即认证所连接的CAS的合法性。

√来源：IAS安装的时候自动拷贝到安装目录下面。

client.crt：IAS证书，从CAS申请得到

√作用：SSL通信的时候表示IAS身份合法性，CAS要进行验证。

√来源：是向所连接的CAS进行申请得到的，申请的时候要提交规定信息，此证书邦定主机的第一块网卡的MAC地址。

client.key：IAS私钥，和证书一起从CAS申请

√作用：SSL通信的时候IAS进行加解密使用。

√来源：同证书一起向CAS申请得到。

◆CAS具有的证书包括：

thinkor.crt：CA证书

√作用：CAS验证自身所使用的证书是不是经过thikor.crt进行签名，即CAS自身认证合法性。

√来源：CAS安装的时候自动拷贝到安装目录下面。

server.crt：CAS证书，从证书发放机构申请得到

√作用：SSL通信的时候表明CAS身份的证书，探头要对其进行认证。

√来源：针对于不同的CAS向证书发放机构申请证书，申请的时候要提交CAS相应参数。

server.key：CAS私钥，从证书发放机构申请得到

√作用：SSL通信的时候CAS进行加解密使用。

√来源：同证书一起向证书发放机构申请得到。

ca.crt：CAS自身CA证书，用来签署探头证书

√作用：用来对本CAS所管理的探头签署证书。

√来源：自己生成。

ca.key：CAS自身CA私钥，用来签署探头证书

√作用：用来对本CAS所管理的探头签署证书。

√来源：自己生成。

*.crt和*.key：所有申请过证书的证书文件和IAS私钥

√作用：保存历史上签署过的IAS证书。

√来源：用户提交IAS所在主机的信息，CAS作为CA签署得到。

2认证流程

◆集中分析系统CAS：

初始化检验：

√验证证书thinkor.crt的完整性

√验证证书thinkor.crt中common name是不是ThinkorCA。

√验证CAS自身证书server.crt完整性

√验证CAS自身证书server.crt中存放的MAC地址是否和本机第一块网卡相同。

√验证CAS自身证书server.crt是否经过证书发放机构证书签名。

明文通信：

√接收IAS发送的200命令和其证书中存放的MAC地址，检验其是否经过自己签名。

√发送201命令给IAS。

SSL通信：

√验证IAS证书是否由ca.crt签署。

◆信息获取系统IAS：

初始化检验

√验证证书thinkor.crt的完整性

√验证证书thinkor.crt中common name是不是ThinkorCA。

√验证IAS自身证书client.crt完整性

√验证IAS自身证书client.crt中存放的MAC地址是否和本机第 一块网卡相同。

明文通信

√发送命令200和client.crt中的MAC给CAS，分析机查看这个MAC的探头是否已经发放证书。

√接收CAS的认证结果，如果通过认证则收到201命令，否则连接被关闭。

SSL通信

√验证CAS证书是否由thinkor.crt签署。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1. 一种支持内部网络安全监控系统开发的通用系统，其特征在于，该系统包括信息获取系统IAS、集中分析系统CAS和控制管理系统CMS；

IAS包括SOCKET API模块、命令解释处理模块、命令处理插件库、数据发送模块、数据获取模块库；

CAS包括数据路由模块、数据分析模块库、数据库；

CMS包括基础通信模块、事件路由模块、策略管理模块、业务处理模块、Web页面显示模块和标准接口；其中，策略管理模块包括路由策略，业务处理模块包括事件响应处理模块；

该系统中包括多个可配置的处理模块，每种功能模块包括命令处理插件、数据分析模块和探头，将各类功能模块的命令处理插件集中设置在所述命令处理插件库，将各类功能模块的数据分析模块集中设置在所述数据分析模块库，将各类功能模块的探头集中设置在数据获取模块库；

SOCKET API模块建立IAS与CAS之间的socket通道；

数据获取模块库中的各个探头进行信息采集和初步分析过滤，将过滤后的数据发送给数据发送模块；

数据发送模块将所接收数据通过Socket通道发送给CAS中的数据路由模块；

数据路由模块根据所接收数据的应用层协议，把数据发送到相应的目的模块；所述目的模块包括数据分析模块库中的数据分析模块、CMS；

数据分析模块库中的数据分析模块，接收由数据路由模块传送来的数据，根据所述数据库中存储的知识，对接收到的数据进行分析，将分析结果发送给CMS中的基础通信模块；

基础通信模块负责CMS与CAS的通信，将CAS发送来的数据发送给事件路由模块；

事件路由模块按照路由策略中的配置，将来自基础通信模块的数据向相应目的地转发，所述相应的目的地包括WEB页面显示模块、数据库、事件响应处 理模块、和/或通过标准接口连接的系统外部模块；

WEB页面显示模块对所接收的数据进行实时显示；

事件响应处理模块对所接收的数据进行响应处理，响应处理结果发送至WEB页面显示模块，响应处理产生的命令经由基础通信模块、数据路由模块和Socket通道发送给IAS中的命令解释处理模块；

命令解释处理模块接收CAS传送的命令数据，并解析命令数据的内容，根据命令处理插件库提供的命令处理方式，对命令数据进行相应处理；将对命令的操作结果和反馈信息通过数据发送模块向命令来源发送。

2.如权利要求1所述的支持内部网络安全监控系统开发的通用系统，其特征在于，所述CAS进一步包括本地业务处理模块和本地处理插件库；

所述数据路由模块路由的目的模块进一步包括本地业务处理模块；

本地业务处理模块，利用本地处理插件库存储的处理策略，处理所接收的数据。

3.如权利要求2所述的支持内部网络安全监控系统开发的通用系统，其特征在于，所述本地业务插件库包括的本地业务插件包括本地配置业务插件、认证业务插件；或所述本地业务插件库包括的本地业务插件包括本地配置业务插件、认证业务插件和升级业务插件。

4.如权利要求1所述的支持内部网络安全监控系统开发的通用系统，其特征在于，所述IAS进一步包括备份模块；所述数据发送模块进一步将所接收数据发送给备份模块保存。

5.如权利要求1所述的支持内部网络安全监控系统开发的通用系统，其特征在于，该通用系统所采用的报文格式包括报头部分和数据部分；

所述报头部分包括标识符字段、数据长度字段和IP地址字段；

标识符字段表示唯一代表数据类型；本通用系统的内部数据和外部数据采用不重叠的数字范围；

数据长度字段表示数据部分的长度；

IP地址字段表示报文的地址；根据ID的不同，IP地址字段表示源地址或目的地址；数据源为IAS时，IP地址字段填写IAS的IP地址，数据目的地为IAS时，IP地址字段填写IAS的IP地址。

6.如权利要求1所述的支持内部网络安全监控系统开发的通用系统，其特征在于，该通用系统包括多个CAS&CMS和多个IAS；CAS&CMS表示CAS和CMS的组合；每个CAS&CMS均可以连接至少一个IAS和至少一个下一级的CAS&CMS。

7.如权利要求6所述的支持内部网络安全监控系统开发的通用系统，其特征在于，CAS&CMS之间通过设置在CMS中的上下级通信接口相连。

8.如权利要求7所述的支持内部网络安全监控系统开发的通用系统，其特征在于，所述上下级通信接口通过基础通信模块，将来自非本系统IAS的数据发送给数据分析模块库，数据分析模块库中的数据分析模块对本系统IAS和非本系统IAS的数据进行联合分析。

9.如权利要求7所述的支持内部网络安全监控系统开发的通用系统，其特征在于，所述上下级通信接口进一步从下级CAS获取数据，通过基础通信模块发送给数据分析模块库作联合分析。

10.如权利要求7或8或9所述的支持内部网络安全监控系统开发的通用系统，其特征在于，所述上下级通信接口进一步将所在CAS&CMS的运行状况和下级CAS&CMS的运行状况发送给上级；最上级的CMS集中监控整个网络运行情况。

Images