两个人的电影免费视频_国产精品久久久久久久久成人_97视频在线观看播放_久久这里只有精品777_亚洲熟女少妇二三区_4438x8成人网亚洲av_内谢国产内射夫妻免费视频_人妻精品久久久久中国字幕

易擴(kuò)展型網(wǎng)絡(luò)入侵檢測與安全審計系統(tǒng)的制作方法

文檔序號:7960803閱讀:427來源:國知局
專利名稱:易擴(kuò)展型網(wǎng)絡(luò)入侵檢測與安全審計系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及的是一種網(wǎng)絡(luò)安全系統(tǒng),特別是一種易擴(kuò)展型網(wǎng)絡(luò)入侵檢測于安全審計系統(tǒng),屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域。
背景技術(shù)
最新的eTrust Intrusion Detection產(chǎn)品的企業(yè)版增加了集中化地監(jiān)控多個分布式產(chǎn)品的功能,并可以遠(yuǎn)程管理,將所選擇的信息合并到一個公用的關(guān)系型數(shù)據(jù)庫中。Central使網(wǎng)絡(luò)管理員可以監(jiān)視和控制一個或多個運(yùn)行IDS的節(jié)點(diǎn)。這可以通過在網(wǎng)絡(luò)的不同分區(qū)(本地或遠(yuǎn)程)安裝SW3 agent來實(shí)現(xiàn),中央節(jié)點(diǎn)可以對其它節(jié)點(diǎn)進(jìn)行監(jiān)控,并可以在不同Agent所收集的信息進(jìn)行合并的基礎(chǔ)上查看和生成報表。該產(chǎn)品在網(wǎng)絡(luò)入侵檢測與安全審計產(chǎn)品上是一個里程碑式的產(chǎn)品,極大的簡化了產(chǎn)品的布置、安裝及操作維護(hù)工作,使產(chǎn)品可以自由組合,組成一個產(chǎn)品系統(tǒng),相互之間的信息充分共享,達(dá)到監(jiān)控整個目標(biāo)網(wǎng)絡(luò)系統(tǒng)的目的。但該產(chǎn)品也有不可克服有問題。首先,該產(chǎn)品是一個純軟件的產(chǎn)品,需要依賴于一個操作系統(tǒng),一般是Windows NT系統(tǒng),由于操作系統(tǒng)本身的網(wǎng)絡(luò)執(zhí)行效率存在瓶頸,必然帶來的后果就是產(chǎn)品也有信息丟失問題,這一點(diǎn)在根本上難以解決。其次,產(chǎn)品系統(tǒng)管理級別不多,本地操作者與中心的操作者具備相同的管理權(quán)限,與產(chǎn)品在實(shí)際中使用情況不符。另外,產(chǎn)品不具備遠(yuǎn)程管理功能,雖然管理者可以通過Intranet等操作遠(yuǎn)程的數(shù)據(jù)記錄,但不能讓操作者遠(yuǎn)離Central機(jī)器,這就要求使用者要有不間斷的執(zhí)班制度保證系統(tǒng)運(yùn)行,產(chǎn)品的操作維護(hù)成本相應(yīng)就比較高。

發(fā)明內(nèi)容
本發(fā)明針對現(xiàn)有技術(shù)擴(kuò)展性不強(qiáng)及其他的不足,提供一種易擴(kuò)展型網(wǎng)絡(luò)入侵檢測于安全審計系統(tǒng),實(shí)現(xiàn)對計算機(jī)網(wǎng)絡(luò)系統(tǒng)全面的審計,并具備靈活的易擴(kuò)展的特點(diǎn),適應(yīng)不同環(huán)境的需要,主要是10/100M和1000M的乙太網(wǎng)環(huán)境。對于保障我國重要網(wǎng)絡(luò)的安全性是十分有益的。本發(fā)明由審計Agent,審計中心和審計控制臺三部分組成,各部分的硬件設(shè)備上各裝有一個用于通訊網(wǎng)卡,使用10/100M乙太網(wǎng)聯(lián)接,保證彼此間的通訊暢通。
1.審計Agent包括裝載在特殊硬件或者通用服務(wù)器和PC機(jī)上的Agent軟件,這些Agent通過網(wǎng)絡(luò)接入和系統(tǒng)嵌入的方式和實(shí)際運(yùn)行的系統(tǒng)連接。它們采用被動或者主動的方式獲取信息,根據(jù)配置進(jìn)行分析后將重要的數(shù)據(jù)報送到審計中心,并且在某些情況下還將作用于實(shí)際運(yùn)行系統(tǒng)配合響應(yīng)機(jī)制的完成。這些審計Agent是獨(dú)立運(yùn)行的軟件或模塊,根據(jù)不同的需求安裝在不同的系統(tǒng)中,完成不同的功能。
2、審計中心審計中心根據(jù)實(shí)際的需求構(gòu)成分層的結(jié)構(gòu)和備份結(jié)構(gòu)對整個審計管理系統(tǒng)的Agent進(jìn)行管理,并收集各個Agent上報的審計事件,對審計事件進(jìn)行高層次的分析,提供用戶界面,管理審計數(shù)據(jù),控制自動響應(yīng)機(jī)制等。它是整個審計管理系統(tǒng)的核心。
3、審計控制臺審計控制臺是對整個審計系統(tǒng)進(jìn)行操控的界面,審計控制臺通過連接審計中心來實(shí)現(xiàn)對全局審計系統(tǒng)的控制和監(jiān)視,多個審計控制臺可以同時運(yùn)轉(zhuǎn),并且有權(quán)限的劃分,主要實(shí)現(xiàn)對整個審計系統(tǒng)所有部件的管理,對各種審計規(guī)則進(jìn)行設(shè)置,對審計數(shù)據(jù)進(jìn)行瀏覽和管理,進(jìn)行管理員身份驗證,進(jìn)行聲音報警,對系統(tǒng)運(yùn)行情況進(jìn)行監(jiān)視等。
本發(fā)明具有實(shí)質(zhì)性特點(diǎn)和顯著進(jìn)步,主要體現(xiàn)在以下幾個方面1體系架構(gòu)優(yōu)越本系統(tǒng)的體系架構(gòu)采用靈活的三層結(jié)構(gòu),因此可以在這個系統(tǒng)上擴(kuò)充多種不同類型的Agent,可以實(shí)現(xiàn)多個管理控制臺同時進(jìn)行操作和系統(tǒng)監(jiān)視。系統(tǒng)可以進(jìn)行的審計不但包括入侵檢測功能,還能夠讓用戶自主設(shè)定需要保護(hù)的資源進(jìn)行重點(diǎn)審計,并且采用審計API并約定審計類型號的情況下還能夠?qū)崿F(xiàn)一定的應(yīng)用層審計。這樣的體系結(jié)構(gòu)在目前來看十分完整和全面的。
對eTrust Intrusion Detection產(chǎn)品而言,它只實(shí)現(xiàn)了兩層的體系架構(gòu),因此還不能充分靈活地完成在復(fù)雜網(wǎng)絡(luò)中應(yīng)用與布置。
2使用硬件檢測,效率高目前在業(yè)界領(lǐng)先的,帶有內(nèi)容還原功能的IDS軟件有ISS公司的Realsecure和CA公司的eTrust Intrusion Detector(以前的SessionWall),這些軟件對于在入侵監(jiān)測功能上和本系統(tǒng)基本相似,但是這些軟件在檢測效率方面落后于本系統(tǒng)。
Realsecure和Sessionwall均是運(yùn)行于NT系統(tǒng)上的軟件,功能相當(dāng)于本系統(tǒng)中的網(wǎng)絡(luò)監(jiān)聽型的入侵檢測Agent,但是其檢測效率很低,可能是受到NT系統(tǒng)的制約。經(jīng)過比較Sessionwall在實(shí)際流量超過10M時反應(yīng)已經(jīng)非常緩慢,而且出現(xiàn)大量漏檢,realsecure在網(wǎng)絡(luò)流量超過50M情況下有漏包現(xiàn)象。本系統(tǒng)中采用經(jīng)過優(yōu)化的專門硬件作為網(wǎng)絡(luò)監(jiān)聽型的Agent的載體,檢測效率特別高,經(jīng)過實(shí)測,100M的網(wǎng)探設(shè)備在70M實(shí)際流量情況下不漏包,遠(yuǎn)遠(yuǎn)超過預(yù)定地指標(biāo)。此外還提供1000M網(wǎng)探設(shè)備,可以達(dá)到600M的無漏包檢測。
3系統(tǒng)提供網(wǎng)絡(luò)資源使用審計realsecure和sessionwall軟件對于網(wǎng)絡(luò)資源使用審計方面的功能較差,要設(shè)定針對某個資源的使用行為進(jìn)行記錄相當(dāng)麻煩,而且也不能完全實(shí)現(xiàn)本系統(tǒng)中的某些功能。本系統(tǒng)中典型應(yīng)用審計Agent和文件共享審計Agent提供豐富的網(wǎng)絡(luò)資源審計設(shè)置規(guī)則,可以有效地實(shí)現(xiàn)內(nèi)部人員使用關(guān)鍵資源的審計。
4遠(yuǎn)程管理和多人管理方面功能強(qiáng)由于本系統(tǒng)使用了三層的結(jié)構(gòu),審計控制臺和審計中心可以分離,這樣可以實(shí)現(xiàn)遠(yuǎn)程控制臺對審計中心的操作,并且可以實(shí)現(xiàn)多人的同時管理。這個功能和自動尋呼機(jī)相應(yīng)的功能結(jié)合在一齊具備很強(qiáng)的實(shí)用性。而realsecure和sessionwall均是兩層結(jié)構(gòu),遠(yuǎn)程控制能力較差。
5系統(tǒng)易擴(kuò)展性考慮充分本系統(tǒng)具備良好的可擴(kuò)展性,主要體現(xiàn)在以下幾個方面(1)Agent的可擴(kuò)展性系統(tǒng)定義了Agent與審計中心之間的規(guī)范接口,可以遵照這個接口規(guī)范的開發(fā)Agent都可以接入系統(tǒng)。這樣,隨著Agent種類的不斷增多,審計管理系統(tǒng)對整個運(yùn)行系統(tǒng)的管理也越來越全面。本系統(tǒng)還將提供一些開發(fā)Agent用的API,便于今后擴(kuò)展新的Agent。
(2)審計管理中心的可擴(kuò)展性審計管理中心本身隨著系統(tǒng)的壯大可以構(gòu)造成分層的格式。
審計管理中心將提供客戶自定義的新的審計事件類型和Agent類型,便于用戶對應(yīng)用層Agent的管理審計管理中心對于高層數(shù)據(jù)分析采用plugin接口方式,可以添加新的分析模塊,實(shí)現(xiàn)特殊日志和數(shù)據(jù)的分析,提供豐富的決策支持。
對于收集上來的審計事件,系統(tǒng)提供標(biāo)準(zhǔn)接口以插入新的特殊事件處理模塊,對入庫前的事件進(jìn)行預(yù)處理。
審計管理中心對于新擴(kuò)充的特殊Agent的配置采用plugin模塊的方式,可以配合新Agent加入系統(tǒng)。
(3)定制規(guī)則的易擴(kuò)展性審計管理中心可以采用多控制臺的運(yùn)行方式,便于多操作員運(yùn)作方式。定義運(yùn)行某個特定程序,加上特定參數(shù)(可以采用審計管理系統(tǒng)中預(yù)定義的變量)定義采用telnet連接執(zhí)行預(yù)定義命令,命令參數(shù)可以采用審計管理系統(tǒng)中預(yù)定義的變量來動態(tài)生成。所有新的響應(yīng)手段都將有獨(dú)立的標(biāo)識和編號,以便定義規(guī)則。


圖1本發(fā)明結(jié)構(gòu)示意圖
具體實(shí)施例方式如圖1所示,本發(fā)明由審計Agent,審計中心和審計控制臺三部分組成。各部分的硬件設(shè)備上各裝有一個用于通訊網(wǎng)卡,使用10/100M乙太網(wǎng)聯(lián)接,保證彼此間的通訊暢通。
1.審計Agent包括裝載在特殊硬件或者通用服務(wù)器和PC機(jī)上的Agent軟件,這些Agent通過網(wǎng)絡(luò)接入和系統(tǒng)嵌入的方式和實(shí)際運(yùn)行的系統(tǒng)連接。它們采用被動或者主動的方式獲取信息,根據(jù)配置進(jìn)行分析后將重要的數(shù)據(jù)報送到審計中心,并且在某些情況下還將作用于實(shí)際運(yùn)行系統(tǒng)配合響應(yīng)機(jī)制的完成。
這些審計Agent是獨(dú)立運(yùn)行的軟件或模塊,根據(jù)不同的需求安裝在不同的系統(tǒng)中,完成不同的功能。大致分為5類網(wǎng)絡(luò)監(jiān)聽式審計Agent安裝在專用審計設(shè)備硬件、linux系統(tǒng)上,或者通用PC Server的NT操作系統(tǒng)上,通過對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包進(jìn)行截獲和分析的方式運(yùn)行。如入侵檢測審計代理,流量監(jiān)視審計Agent,惡意代碼和病毒檢測審計Agent,資源訪問審計Agent,內(nèi)部違規(guī)操作審計Agent等。
主機(jī)操作系統(tǒng)嵌入型審計Agent安裝服務(wù)器上,在UNIX或者NT操作系統(tǒng)中,通過收集操作系統(tǒng)日志和內(nèi)部安全事件的方式運(yùn)行。如NT操作系統(tǒng)審計代理,Solaris操作系統(tǒng)審計,HP_UX操作系統(tǒng)審計代理,AIX操作系統(tǒng)審計等。
客戶端審計Agent運(yùn)行在客戶端的PC機(jī)上,通常是Win98,Win95操作系統(tǒng),通過收集用戶的窗口操作事件來運(yùn)作。如撥號后門審計代理,病毒查殺審計Agent,屏幕備案審計Agent。
主動獲取式審計代理通過主動向預(yù)定的目標(biāo)以標(biāo)準(zhǔn)格式發(fā)送請求,接受回應(yīng),然后判斷的方式運(yùn)行。如網(wǎng)絡(luò)設(shè)備MIB采樣審計Agent,漏洞掃描審計Agent。
應(yīng)用型審計Agent本身是一個應(yīng)用,但能夠調(diào)用審計API向?qū)徲嬛行陌l(fā)送審計消息,進(jìn)行報警或通報日常數(shù)據(jù)。這些審計代理需要在別的應(yīng)用上開發(fā),如屏幕備案系統(tǒng)的控制中心本身是一個應(yīng)用型審計代理,再如網(wǎng)頁維護(hù)審計代理,OA登錄系統(tǒng)審計代理,CA發(fā)證審計代理等。這些審計Agent需要和應(yīng)用結(jié)合。
2、審計中心審計中心根據(jù)實(shí)際的需求構(gòu)成分層的結(jié)構(gòu)和備份結(jié)構(gòu)對整個審計管理系統(tǒng)的Agent進(jìn)行管理,并收集各個Agent上報的審計事件,對審計事件進(jìn)行高層次的分析,提供用戶界面,管理審計數(shù)據(jù),控制自動響應(yīng)機(jī)制等。它是整個審計管理系統(tǒng)的核心。
3、審計控制臺審計控制臺是對整個審計系統(tǒng)進(jìn)行操控的界面,審計控制臺通過連接審計中心來實(shí)現(xiàn)對全局審計系統(tǒng)的控制和監(jiān)視,多個審計控制臺可以同時運(yùn)轉(zhuǎn),并且有權(quán)限的劃分,主要實(shí)現(xiàn)對整個審計系統(tǒng)所有部件的管理,對各種審計規(guī)則進(jìn)行設(shè)置,對審計數(shù)據(jù)進(jìn)行瀏覽和管理,進(jìn)行管理員身份驗證,進(jìn)行聲音報警,對系統(tǒng)運(yùn)行情況進(jìn)行監(jiān)視等。
多審計Agent結(jié)構(gòu)的入侵檢測與安全審計系統(tǒng),它在結(jié)構(gòu)上具備可伸縮,易擴(kuò)展的特點(diǎn),Agent是直接同被審計網(wǎng)絡(luò)和系統(tǒng)連接的部件,不同的Agent完成不同的功能。Agent將報警數(shù)據(jù)和需要記錄的數(shù)據(jù)自動報送到中心,并由中心進(jìn)行統(tǒng)一的調(diào)度管理。中心是對整個審計系統(tǒng)的數(shù)據(jù)進(jìn)行集中存儲和管理,并進(jìn)行應(yīng)急響應(yīng)的專用軟件系統(tǒng),它基于數(shù)據(jù)庫平臺,采用數(shù)據(jù)庫方式進(jìn)行審計數(shù)據(jù)管理和系統(tǒng)控制,并在無人看守情況下長期運(yùn)行。控制臺是提供給管理員用于對審計數(shù)據(jù)進(jìn)行查閱,對審計系統(tǒng)進(jìn)行規(guī)則設(shè)置,實(shí)現(xiàn)報警功能的界面,系統(tǒng)設(shè)計成可以有多個控制臺軟件同時運(yùn)行。
權(quán)利要求
1.一種易擴(kuò)展型網(wǎng)絡(luò)入侵檢測與安全審計系統(tǒng),其特征在于由審計Agent,審計中心和審計控制臺三部分組成,各部分的硬件設(shè)備上各裝有一個用于通訊網(wǎng)卡,使用10/100M乙太網(wǎng)聯(lián)接。
2.根據(jù)權(quán)利要求1所述的這種易擴(kuò)展型網(wǎng)絡(luò)入侵檢測與安全審計系統(tǒng),其特征是審計Agent包括裝載在特殊硬件或者通用服務(wù)器和PC機(jī)上的Agent軟件,這些Agent通過網(wǎng)絡(luò)接入和系統(tǒng)嵌入的方式和實(shí)際運(yùn)行的系統(tǒng)連接。
3.根據(jù)權(quán)利要求1或2所述的這種易擴(kuò)展型網(wǎng)絡(luò)入侵檢測與安全審計系統(tǒng),其特征是審計Agent是獨(dú)立運(yùn)行的軟件或模塊。
4.根據(jù)權(quán)利要求1所述的這種易擴(kuò)展型網(wǎng)絡(luò)入侵檢測與安全審計系統(tǒng),其特征是審計中心根據(jù)實(shí)際的需求構(gòu)成分層的結(jié)構(gòu)和備份結(jié)構(gòu)對整個審計管理系統(tǒng)的Agent進(jìn)行管理,并收集各個Agent上報的審計事件,對審計事件進(jìn)行高層次的分析,提供用戶界面,管理審計數(shù)據(jù),控制自動響應(yīng)機(jī)制等。
5.根據(jù)權(quán)利要求1所述的這種易擴(kuò)展型網(wǎng)絡(luò)入侵檢測與安全審計系統(tǒng),其特征是審計控制臺是對整個審計系統(tǒng)進(jìn)行操控的界面。
全文摘要
易擴(kuò)展型網(wǎng)絡(luò)入侵檢測與安全審計系統(tǒng)由審計Agent,審計中心和審計控制臺三部分組成,各部分的硬件設(shè)備上各裝有一個用于通訊網(wǎng),使用10/100M乙太網(wǎng)聯(lián)接,本發(fā)明具有實(shí)質(zhì)性特點(diǎn)和顯著進(jìn)步,主要體現(xiàn)在以下幾個方面:1、體系架構(gòu)優(yōu)越;2、使用硬件檢測,效率高;3、系統(tǒng)提供網(wǎng)絡(luò)資源使用審計;4、遠(yuǎn)程管理和多人管理方面功能強(qiáng);5、系統(tǒng)易擴(kuò)展性考慮充分。
文檔編號H04L12/26GK1349328SQ01139038
公開日2002年5月15日 申請日期2001年12月4日 優(yōu)先權(quán)日2001年12月4日
發(fā)明者張世永, 田朝陽, 吳承榮 申請人:上海復(fù)旦光華信息科技股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1
松滋市| 宁远县| 台中市| 江西省| 丹巴县| 灵丘县| 庆城县| 常州市| 资阳市| 河东区| 巴彦县| 澳门| 甘洛县| 年辖:市辖区| 云安县| 绵竹市| 巴青县| 昭通市| 宝鸡市| 耒阳市| 将乐县| 翼城县| 青海省| 凤冈县| 乌什县| 黑龙江省| 怀仁县| 龙山县| 吉首市| 乌拉特中旗| 南宁市| 黎平县| 泾源县| 洮南市| 宝应县| 榆树市| 武隆县| 苗栗县| 沅陵县| 德令哈市| 巴彦县|