專利名稱:可擴(kuò)展廣譜安全掃描分析系統(tǒng)及其實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種安全掃描分析系統(tǒng)���,尤其涉及一種具備可擴(kuò)展性的廣譜安全掃描分析系統(tǒng)��,也涉及到該安全掃描分析系統(tǒng)的實(shí)現(xiàn)方法����,屬于信息安全技術(shù)領(lǐng)域���。
背景技術(shù):
為了解決網(wǎng)絡(luò)信息安全的問(wèn)題,人們陸續(xù)研發(fā)出防火墻���、入侵監(jiān)測(cè)����、漏洞掃描�����、認(rèn)證及審計(jì)等多項(xiàng)安全技術(shù)措施����。這些安全技術(shù)措施能在一定程度上保證信息網(wǎng)絡(luò)的安全��。但是���,信息安全領(lǐng)域的技術(shù)發(fā)展一日千里,沒(méi)有任何一種單獨(dú)的技術(shù)措施能夠完全解決信息安全領(lǐng)域的所有問(wèn)題��。
為此���,人們往往會(huì)同時(shí)采取多種技術(shù)措施來(lái)應(yīng)對(duì)復(fù)雜����、動(dòng)態(tài)�、多維的網(wǎng)絡(luò)安全威脅。但是��,不同安全技術(shù)措施之間存在防護(hù)盲區(qū)�,無(wú)法有機(jī)管理和協(xié)同,同時(shí)還極大增大了管理成本和管理負(fù)擔(dān)����,并會(huì)給網(wǎng)絡(luò)系統(tǒng)引入了新的安全隱患。因此��,僅僅通過(guò)幾種信息安全產(chǎn)品的各自為戰(zhàn)或簡(jiǎn)單堆砌早已不適應(yīng)信息安全的客觀要求。
針對(duì)上述的不足�����,人們提出了網(wǎng)絡(luò)安全綜合管理平臺(tái)的技術(shù)理念�����,即在一個(gè)統(tǒng)一的管理平臺(tái)上實(shí)現(xiàn)對(duì)不同安全產(chǎn)品和設(shè)備的統(tǒng)一管理和部署�����,在一個(gè)整體的控制和調(diào)度框架下有機(jī)協(xié)同不同產(chǎn)品進(jìn)行共同防護(hù)�,這樣將會(huì)在極大降低安全管理成本的同時(shí)大大提高安全防護(hù)機(jī)制的強(qiáng)度。近年來(lái)����,已有一些著名的安全廠商推出各具特色的網(wǎng)絡(luò)安全管理平臺(tái)產(chǎn)品�,如賽門鐵克(Symantec)的集中開(kāi)放式安全管理系統(tǒng)(SESA)、IBM的Tivoli等����、啟明星辰的網(wǎng)絡(luò)安全資源管理平臺(tái)等。
但是��,現(xiàn)有的網(wǎng)絡(luò)安全管理平臺(tái)基本上是以對(duì)幾種自己開(kāi)發(fā)的或第三方的核心功能產(chǎn)品進(jìn)行統(tǒng)一管理配置作為基礎(chǔ)功能,由于不同的安全產(chǎn)品系統(tǒng)結(jié)構(gòu)和管理接口沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)��,這種管理配置也只能是淺層次的�,平臺(tái)所管理的不同產(chǎn)品之間是松散耦合的關(guān)系,不同產(chǎn)品之間的協(xié)同也只停留在對(duì)幾種產(chǎn)品的日志信息進(jìn)行統(tǒng)計(jì)分析的層面上�,沒(méi)有更深入有效的有機(jī)協(xié)同機(jī)制。概括來(lái)講����,現(xiàn)有的網(wǎng)絡(luò)安全管理平臺(tái)存在以下幾方面的缺陷第一,僅僅注重不同安全產(chǎn)品的集中配置和管理���,對(duì)產(chǎn)品的管理通常是松散和淺層次的��,不能完全滿足對(duì)產(chǎn)品進(jìn)行全面管理配置的需要��,開(kāi)放性和可擴(kuò)展性較差�;第二���,處于平臺(tái)管理之下的不同產(chǎn)品之間是一種松散耦合的關(guān)系����,不同產(chǎn)品之間沒(méi)有有機(jī)的協(xié)同機(jī)制�����,不能有效利用不同安全產(chǎn)品進(jìn)行協(xié)同防護(hù);第三��,每增加對(duì)一個(gè)新產(chǎn)品的管理都要做大量的開(kāi)發(fā)工作��,使得平臺(tái)不能與安全技術(shù)和產(chǎn)品的快速發(fā)展保持同步�����,無(wú)法提供最好的服務(wù)���。
要實(shí)現(xiàn)對(duì)不同安全產(chǎn)品的深層次管理和有效協(xié)同�����,必須從系統(tǒng)架構(gòu)和產(chǎn)品引擎的層次對(duì)不同安全產(chǎn)品和系統(tǒng)進(jìn)行耦合���、協(xié)同和管理。這類在產(chǎn)品架構(gòu)和系統(tǒng)引擎級(jí)進(jìn)行深度耦合的管理平臺(tái)為緊耦合結(jié)構(gòu)安全管理平臺(tái)����。但到目前為止��,現(xiàn)有技術(shù)中還沒(méi)有符合深度耦合要求的安全管理平臺(tái)出現(xiàn)。
發(fā)明內(nèi)容
本發(fā)明的目的在于針對(duì)上述現(xiàn)有技術(shù)的不足�,提供一種具有緊耦合結(jié)構(gòu)的安全管理平臺(tái),我們稱之為可擴(kuò)展廣譜安全掃描分析系統(tǒng)���。該系統(tǒng)能夠?qū)Σ煌陌踩a(chǎn)品在產(chǎn)品架構(gòu)和系統(tǒng)引擎層面進(jìn)行深度耦合��。
本發(fā)明的另外一個(gè)目的在于提供該安全掃描分析系統(tǒng)的實(shí)現(xiàn)方法��。
為實(shí)現(xiàn)上述的發(fā)明目的��,本發(fā)明采用下述的技術(shù)方案一種可擴(kuò)展廣譜安全掃描分析系統(tǒng)���,其特征在于所述系統(tǒng)具有調(diào)度引擎、掃描規(guī)則庫(kù)�、協(xié)同規(guī)則庫(kù)和分析知識(shí)庫(kù),其中所述調(diào)度引擎中包括調(diào)度器�����、協(xié)同規(guī)則解析引擎�����、掃描規(guī)則解析引擎���、分析知識(shí)解析引擎以及對(duì)象信息獲取代理����,由所述調(diào)度器進(jìn)行統(tǒng)一調(diào)度;所述協(xié)同規(guī)則解析引擎連接所述協(xié)同規(guī)則庫(kù)�,所述掃描規(guī)則解析引擎連接所述掃描規(guī)則庫(kù),所述分析知識(shí)解析引擎連接所述分析知識(shí)庫(kù)�����;所述調(diào)度引擎通過(guò)所述對(duì)象信息獲取代理獲取分析對(duì)象的信息����,并將結(jié)果放入結(jié)果庫(kù)中。
所述調(diào)度引擎獨(dú)立于所述掃描規(guī)則庫(kù)���、協(xié)同規(guī)則庫(kù)和分析知識(shí)庫(kù)���。
所述調(diào)度引擎通過(guò)調(diào)用原子掃描構(gòu)件進(jìn)行工作。
所述調(diào)度引擎通過(guò)信息獲取微構(gòu)件與對(duì)象獲取代理進(jìn)行連接����。
所述調(diào)度引擎通過(guò)另一個(gè)信息獲取微構(gòu)件連接知識(shí)樹(shù),所述知識(shí)樹(shù)與所述分析知識(shí)解析引擎�。
所述掃描規(guī)則解析引擎從掃描規(guī)則庫(kù)中獲取掃描規(guī)則,并將之分配給構(gòu)件池中的至少一個(gè)原子掃描構(gòu)件��,所述原子掃描構(gòu)件與所述調(diào)度引擎直接相連�。
所述調(diào)度引擎通過(guò)至少一個(gè)掃描構(gòu)件連接掃描信息總線,所述信息獲取微構(gòu)件與所述掃描信息總線連接����。
所述調(diào)度引擎有多個(gè),彼此之間通過(guò)內(nèi)部安全通信協(xié)議進(jìn)行通信�����。
一種實(shí)現(xiàn)上述可擴(kuò)展廣譜安全掃描分析系統(tǒng)的方法�,其特征在于包括如下步驟將掃描機(jī)制和協(xié)同機(jī)制從分析引擎中分離,分離了所述掃描機(jī)制和協(xié)同機(jī)制的所述分析引擎為調(diào)度引擎��,所述調(diào)度引擎根據(jù)掃描規(guī)則庫(kù)和分析知識(shí)庫(kù)的有關(guān)內(nèi)容處理分析對(duì)象���,并通過(guò)統(tǒng)一的對(duì)象代理處理不同的分析對(duì)象所述調(diào)度引擎按照所述協(xié)同機(jī)制實(shí)現(xiàn)與其它調(diào)度引擎的協(xié)作����。
本發(fā)明所提供的可擴(kuò)展廣譜安全掃描分析系統(tǒng)是一種緊耦合結(jié)構(gòu)的安全管理平臺(tái)�����,該平臺(tái)將分析引擎中的掃描規(guī)則剝離出來(lái),使之成為純粹的調(diào)度引擎���,再配合協(xié)同規(guī)則���,從而能夠通過(guò)協(xié)同不同安全產(chǎn)品來(lái)共同完成單項(xiàng)技術(shù)無(wú)法完成的安全防護(hù)功能。它能夠有效支持安全隱患發(fā)現(xiàn)機(jī)制和應(yīng)急響應(yīng)機(jī)制的建立�,從而構(gòu)建高強(qiáng)度的人機(jī)協(xié)同信息安全維護(hù)體系,加強(qiáng)信息安全保障強(qiáng)度���。
下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步的說(shuō)明��。
圖1為一個(gè)現(xiàn)有的安全掃描分析系統(tǒng)的系統(tǒng)邏輯架構(gòu)圖���。
圖2為不同的分析引擎之間進(jìn)行協(xié)同時(shí)的邏輯架構(gòu)圖。
圖3為本發(fā)明所述的可擴(kuò)展廣譜安全掃描分析系統(tǒng)的抽象結(jié)構(gòu)圖�����。
圖4為本發(fā)明所述的可擴(kuò)展廣譜安全掃描分析系統(tǒng)的體系結(jié)構(gòu)圖����。
圖5為本發(fā)明所述的可擴(kuò)展廣譜安全掃描分析系統(tǒng)的技術(shù)邏輯架構(gòu)圖。
圖6為不同調(diào)度引擎協(xié)同工作時(shí)的系統(tǒng)運(yùn)行部署架構(gòu)圖。
具體實(shí)施例方式
從安全防護(hù)機(jī)制的角度來(lái)講��,所有的安全產(chǎn)品從本質(zhì)上可以劃分為兩類�����,一類是基于系統(tǒng)自身結(jié)構(gòu)保證安全的���,如加密設(shè)備和防火墻等,這類設(shè)備部署在網(wǎng)絡(luò)系統(tǒng)中將會(huì)改變系統(tǒng)的自身運(yùn)行結(jié)構(gòu)以增強(qiáng)安全防護(hù)強(qiáng)度���;另一類是基于人機(jī)協(xié)同機(jī)制保證安全的�����,如入侵檢測(cè)�、漏洞掃描���、病毒掃描等���,這類產(chǎn)品的主要功能是獲取和分析各種安全相關(guān)的信息并為安全管理人員提供決策支持信息,通過(guò)人機(jī)的共同協(xié)作完成入侵的消除�����、安全隱患的彌補(bǔ)、病毒信息的隔離等���。
當(dāng)前����,以密碼機(jī)和防泄漏為核心技術(shù)構(gòu)造的鏈路層防范體系較為成熟�����,其安全強(qiáng)度很高��,但不適于在開(kāi)放網(wǎng)絡(luò)環(huán)境中部署�;以防火墻和密碼協(xié)議為核心技術(shù)構(gòu)造的傳輸層防范體系適合于在開(kāi)放網(wǎng)絡(luò)環(huán)境中部署,但是由于技術(shù)產(chǎn)品自身的局限性�����,傳輸層防范體系安全強(qiáng)度較低�;在實(shí)際應(yīng)用中,傳輸層防范體系和相關(guān)技術(shù)產(chǎn)品都需要借助人機(jī)協(xié)同信息安全維護(hù)體系提高其安全強(qiáng)度�����。
然而,維護(hù)體系的構(gòu)造遠(yuǎn)比防范體系更為復(fù)雜��,因?yàn)榉婪扼w系執(zhí)行有限確知的任務(wù)�����,而維護(hù)體系是在不確知的環(huán)境中發(fā)現(xiàn)安全隱患并給出相應(yīng)的應(yīng)急策略���。身份識(shí)別、入侵檢測(cè)��、病毒掃描�、漏洞評(píng)估、安全審計(jì)���、協(xié)議分析等���,服務(wù)于維護(hù)體系建設(shè)的產(chǎn)品層出不窮,卻沒(méi)有支持完整構(gòu)造維護(hù)體系的技術(shù)和產(chǎn)品���。事實(shí)上���,支持完整構(gòu)造人機(jī)協(xié)同信息安全維護(hù)體系的核心技術(shù)和產(chǎn)品是信息安全所急需的,本發(fā)明所述的廣譜安全掃描分析系統(tǒng)就是為滿足這類需求研制開(kāi)發(fā)的。
為了便于理解本廣譜安全掃描分析系統(tǒng)的體系結(jié)構(gòu)��,首先介紹該系統(tǒng)的抽象概念模型��。
如圖1所示�����,一個(gè)通常的安全掃描分析系統(tǒng)的邏輯架構(gòu)是這樣的該系統(tǒng)以分析引擎為中心���,分析知識(shí)庫(kù)和待分析數(shù)據(jù)分別與分析引擎連接��,分析引擎根據(jù)分析數(shù)據(jù)庫(kù)和分析數(shù)據(jù)所提供的信息進(jìn)行分析����,所得到的分析決策傳送給結(jié)果庫(kù)?,F(xiàn)有分析系統(tǒng)的掃描算法是硬編碼到分析引擎內(nèi)部的。因此����,當(dāng)需要調(diào)整或優(yōu)化掃描算法時(shí),需要直接對(duì)系統(tǒng)的分析引擎代碼進(jìn)行修改���。
當(dāng)不同產(chǎn)品需要有機(jī)協(xié)同完成某些工作時(shí)��,比如入侵檢測(cè)引擎需要和漏洞掃描引擎以及審計(jì)分析引擎進(jìn)行協(xié)同工作時(shí)����,就需要設(shè)定單獨(dú)的協(xié)同算法和協(xié)同機(jī)制,并在需要協(xié)同的引擎中對(duì)協(xié)同算法和機(jī)制進(jìn)行硬編碼��,其邏輯架構(gòu)如圖2所示���。上述協(xié)同機(jī)制的概念在現(xiàn)有松散耦合的安全管理平臺(tái)中也有體現(xiàn)����,其具體內(nèi)容因參與協(xié)同的引擎的不同而有所區(qū)別�����。作為現(xiàn)有技術(shù)�,在此就不詳細(xì)解釋了�。
在協(xié)同工作的情況下中,各分析引擎之間的協(xié)同機(jī)制是通過(guò)硬編碼到需要進(jìn)行協(xié)同的分析引擎內(nèi)部來(lái)實(shí)現(xiàn)的���。除非對(duì)分析引擎代碼進(jìn)行直接修改�,否則無(wú)法調(diào)整和改變協(xié)同機(jī)制�。
在圖1和圖2所描述的技術(shù)內(nèi)容基礎(chǔ)上����,本發(fā)明人提出了如下的技術(shù)解決方案用掃描規(guī)則表述掃描算法����,將硬編碼的掃描算法從分析引擎中分離出來(lái);用協(xié)同規(guī)則表達(dá)不同引擎間的協(xié)同語(yǔ)義����,將硬編碼的協(xié)同機(jī)制也從分析引擎中分離出來(lái)。此時(shí)���,分析引擎的功能被拆解����,掃描算法和協(xié)同機(jī)制從分析引擎中析出���,僅僅剩下進(jìn)行協(xié)調(diào)調(diào)度的功能�����。因此�����,我們將上述經(jīng)過(guò)功能拆解后的分析引擎改稱為調(diào)度引擎��。該調(diào)度引擎用統(tǒng)一的對(duì)象代理處理不同分析對(duì)象的數(shù)據(jù)����,使之可以適應(yīng)不同種類的掃描。于是一個(gè)安全掃描分析系統(tǒng)可以演化為圖3所示的邏輯架構(gòu)該系統(tǒng)以調(diào)度引擎為中心�����,分析知識(shí)庫(kù)��、分析對(duì)象庫(kù)�����、協(xié)同規(guī)則庫(kù)��、掃描規(guī)則庫(kù)共同服務(wù)于該調(diào)度引擎����,調(diào)度引擎所獲得的結(jié)果送入結(jié)果庫(kù)之中����。
將圖3所示的概念模型映射到常見(jiàn)的安全掃描分析類系統(tǒng)如入侵檢測(cè)�����、安全審計(jì)�、病毒掃描等����,并進(jìn)行進(jìn)一步歸納,就可以得到本發(fā)明所述的廣譜安全掃描分析系統(tǒng)的體系架構(gòu)���。
該體系架構(gòu)如圖4所示����,它以調(diào)度引擎為中心��。該調(diào)度引擎中包括調(diào)度器���、協(xié)同規(guī)則解析引擎���、掃描規(guī)則解析引擎、分析知識(shí)解析引擎以及對(duì)象知識(shí)獲取代理�����。協(xié)同規(guī)則解析引擎則負(fù)責(zé)解析各條協(xié)同規(guī)則的內(nèi)容。掃描規(guī)則解析引擎則按照掃描規(guī)則的規(guī)定���,負(fù)責(zé)進(jìn)行對(duì)病毒����、網(wǎng)絡(luò)攻擊���、掃描刺探�、系統(tǒng)漏洞����、協(xié)議漏洞等網(wǎng)絡(luò)安全漏洞的掃描和防范。分析知識(shí)解析引擎負(fù)責(zé)從包含病毒��、網(wǎng)絡(luò)攻擊�����、掃描刺探��、系統(tǒng)漏洞�、協(xié)議漏洞在內(nèi)的分析知識(shí)庫(kù)中獲取有關(guān)網(wǎng)絡(luò)安全的知識(shí)��。對(duì)象知識(shí)獲取代理作為調(diào)度引擎與分析對(duì)象的接口,負(fù)責(zé)將作為分析對(duì)象的程序����、文件、日志�����、報(bào)文��、進(jìn)程等內(nèi)容提供給調(diào)度器����。調(diào)度器實(shí)際上是本系統(tǒng)所確定的調(diào)度算法的邏輯抽象,它作為整個(gè)調(diào)度引擎的中心�����,首先負(fù)責(zé)從對(duì)象知識(shí)獲取代理處獲得有關(guān)對(duì)象的信息����,并按照協(xié)同規(guī)則解析引擎解析得到的協(xié)同規(guī)則,結(jié)合分析知識(shí)庫(kù)的有關(guān)知識(shí)�,利用掃描規(guī)則解析引擎進(jìn)行安全掃描與分析。安全掃描的分析結(jié)果放入結(jié)果庫(kù)中。
作為一個(gè)實(shí)用的廣譜安全掃描分析系統(tǒng)����,在上述調(diào)度引擎之上還具有人機(jī)交互接口和應(yīng)急響應(yīng)輔助工具。其中人機(jī)交互接口負(fù)責(zé)進(jìn)行系統(tǒng)管理��、策略分配��、規(guī)則管理和信息處理等方面的工作����。
通過(guò)上述知識(shí)、規(guī)則及對(duì)象邏輯分離的多層次體系結(jié)構(gòu)�����,本系統(tǒng)實(shí)現(xiàn)了調(diào)度引擎和掃描規(guī)則及分析知識(shí)的完全分離���,使得系統(tǒng)可以通過(guò)修改掃描規(guī)則庫(kù)和分析知識(shí)庫(kù)的方式進(jìn)行靈活的功能擴(kuò)展和生長(zhǎng)��,并以統(tǒng)一的體系架構(gòu)提供了對(duì)入侵檢測(cè)�、安全審計(jì)����、漏洞掃描�、病毒掃描等常見(jiàn)的掃描與分析類網(wǎng)絡(luò)安全系統(tǒng)的完全支持��。這就是本系統(tǒng)被稱為可擴(kuò)展廣譜安全掃描分析系統(tǒng)的原因所在�。另外�,將掃描規(guī)則和協(xié)同規(guī)則從系統(tǒng)中分離出來(lái),一方面可以使得調(diào)度引擎功能更加單一���、系統(tǒng)的整體結(jié)構(gòu)更加清晰�����,另一方面����,由于系統(tǒng)的掃描算法和協(xié)同機(jī)制可以通過(guò)規(guī)則管理和配置的方式進(jìn)行動(dòng)態(tài)調(diào)整和控制���,使得管理員可以通過(guò)靈活���、可定制的方式對(duì)系統(tǒng)的關(guān)鍵行為進(jìn)行調(diào)整和深層次配置,充分體現(xiàn)了緊耦合安全平臺(tái)的優(yōu)點(diǎn)�。
本系統(tǒng)在實(shí)際實(shí)施的過(guò)程中,是通過(guò)調(diào)用各個(gè)不同的原子掃描構(gòu)件進(jìn)行工作的�。所謂原子掃描構(gòu)件是對(duì)一類數(shù)據(jù)信息結(jié)構(gòu)執(zhí)行單項(xiàng)掃描分析操作并給出單元級(jí)分析結(jié)果的掃描功能單元。它是一個(gè)靜態(tài)的功能組件,與一個(gè)原子任務(wù)綁定后形成一個(gè)原子掃描構(gòu)件實(shí)例�����,能夠提供針對(duì)特定數(shù)據(jù)結(jié)構(gòu)的特定分析掃描功能�����。它與任務(wù)的綁定是在實(shí)例化時(shí)由調(diào)度引擎根據(jù)掃描場(chǎng)景上下文完成的��。在系統(tǒng)的掃描分析操作執(zhí)行過(guò)程中�,由調(diào)度引擎根據(jù)分析場(chǎng)景上下文激活相應(yīng)的原子掃描構(gòu)件,每個(gè)原子掃描構(gòu)件與分析知識(shí)點(diǎn)信息綁定后實(shí)例化為一個(gè)原子掃描構(gòu)件實(shí)例���,多個(gè)原子掃描構(gòu)件序列化成為一個(gè)復(fù)合構(gòu)件���,當(dāng)一個(gè)復(fù)合構(gòu)件完成的原子掃描任務(wù)序列恰好構(gòu)成一個(gè)基本掃描任務(wù),即完成對(duì)一條檢測(cè)規(guī)則的分析時(shí)���,該復(fù)合構(gòu)件稱為一個(gè)基本掃描構(gòu)件���。
參照?qǐng)D5,調(diào)度引擎通過(guò)信息獲取微構(gòu)件與對(duì)象獲取代理進(jìn)行連接��,該對(duì)象獲取代理具有網(wǎng)絡(luò)報(bào)文適配器、系統(tǒng)信息適配器和其他的信息適配器��。另一方面�����,分析知識(shí)庫(kù)連接分析知識(shí)解析引擎���,該分析知識(shí)解析引擎連接知識(shí)樹(shù)。知識(shí)樹(shù)也通過(guò)另一個(gè)信息獲取微構(gòu)件與調(diào)度引擎相連接��。掃描規(guī)則解析引擎從掃描規(guī)則庫(kù)中獲取掃描規(guī)則��,并將之分配給構(gòu)件池中的多個(gè)原子掃描構(gòu)件��,該多個(gè)原子掃描構(gòu)件與調(diào)度引擎直接相連�。調(diào)度引擎通過(guò)多個(gè)掃描構(gòu)件連接掃描信息總線,上述的兩個(gè)信息獲取微構(gòu)件也與掃描信息總線相連接����。上述掃描信息總線是一種格式化信息存儲(chǔ)線性邏輯結(jié)構(gòu),用于動(dòng)態(tài)儲(chǔ)存系統(tǒng)運(yùn)行過(guò)程中需要在不同部分系統(tǒng)間傳遞和交換的數(shù)據(jù)信息��,以有效支持各種基于掃描相關(guān)信息的協(xié)作與交換�����。
在上述的邏輯體系架構(gòu)中,由于掃描規(guī)則��、協(xié)同規(guī)則和分析知識(shí)從系統(tǒng)中完全分離出來(lái)�,調(diào)度引擎在執(zhí)行分析功能時(shí),不需要掌握任何關(guān)于特定安全知識(shí)����、掃描算法和對(duì)象數(shù)據(jù)的具體信息,只需要獲取掃描構(gòu)件對(duì)應(yīng)的函數(shù)指針�����、知識(shí)和對(duì)象信息對(duì)應(yīng)的數(shù)據(jù)指針�,并按照固定的方式進(jìn)行執(zhí)行操作即可完成獨(dú)立的掃描分析功能。這樣���,調(diào)度引擎可以在不了解任何具體安全場(chǎng)景知識(shí)的情況下普適性地適合于不同安全掃描與分析系統(tǒng)的核心功能執(zhí)行����。我們將之稱為零知識(shí)調(diào)度引擎���。所謂“零知識(shí)”是指調(diào)度引擎不需了解關(guān)于分析知識(shí)���、掃描算法����、協(xié)同機(jī)制和待處理對(duì)象的任何信息���,只要按照統(tǒng)一���、固定的調(diào)度模式調(diào)用和操作由不同的模塊經(jīng)過(guò)解析和構(gòu)建處理后提供的數(shù)據(jù)結(jié)構(gòu)��,即可準(zhǔn)確地完成對(duì)應(yīng)的安全掃描與分析功能���。上述零知識(shí)調(diào)度引擎是本廣譜安全掃描分析系統(tǒng)的核心技術(shù)理念所在�。它使得平臺(tái)的技術(shù)邏輯架構(gòu)更加清晰�,增強(qiáng)了不同技術(shù)層次的內(nèi)聚性、弱化了層次之間的耦合度���,使得平臺(tái)技術(shù)架構(gòu)具備高度的靈活性和可擴(kuò)展性��。
為滿足整個(gè)系統(tǒng)在分布式網(wǎng)絡(luò)環(huán)境下的部署和對(duì)各安全子系統(tǒng)的有效控制管理����,系統(tǒng)必須有一個(gè)統(tǒng)一����、有效的分布式通信機(jī)制,同時(shí)必須保證系統(tǒng)內(nèi)部控制���、通信的高度安全性����,防止監(jiān)控平臺(tái)的部署為網(wǎng)絡(luò)引入新的安全隱患�����。為此我們?cè)O(shè)計(jì)了專用的安全通信協(xié)議���。該協(xié)議應(yīng)用在具有管理中心和多數(shù)個(gè)監(jiān)控子系統(tǒng)的分布式網(wǎng)絡(luò)中��,管理中心控制各監(jiān)控子系統(tǒng)的協(xié)調(diào)����,管理中心和監(jiān)控子系統(tǒng)都包括調(diào)度器����、消息處理子系統(tǒng)����、安全子系統(tǒng)���、監(jiān)控信息更新/獲取子系統(tǒng)�、上層應(yīng)用和傳輸映射組件�,具有如下技術(shù)特點(diǎn)1)當(dāng)發(fā)送消息時(shí),應(yīng)用將要發(fā)送的消息類型�����、消息載荷和目標(biāo)系統(tǒng)的編碼傳遞給調(diào)度器��,調(diào)度器請(qǐng)求消息處理子系統(tǒng)準(zhǔn)備一條消息����,消息處理器準(zhǔn)備好消息的除加密���、鑒別參數(shù)外的頭部字段以及原始的載荷字段部分��,并調(diào)用安全子系統(tǒng)��,安全子系統(tǒng)根據(jù)消息處理器傳來(lái)的消息相關(guān)字段對(duì)消息進(jìn)行加密和鑒別處理�,將加密和鑒別參數(shù)返給消息處理子系統(tǒng),消息處理子系統(tǒng)準(zhǔn)備好消息發(fā)送給調(diào)度器��,調(diào)度器將準(zhǔn)備好的發(fā)送消息映射到傳輸映射組件進(jìn)行發(fā)送����;2)當(dāng)接收消息時(shí),傳輸映射組件將接收到的消息和地址信息��,傳遞給調(diào)度器��,調(diào)度器調(diào)用消息處理器對(duì)消息進(jìn)行分析�,恢復(fù)出不同的字段,消息處理器調(diào)用安全處理子系統(tǒng)對(duì)鑒別信息進(jìn)行驗(yàn)證����,對(duì)加密的信息進(jìn)行解密操作,消息處理器將恢復(fù)后的消息返回給調(diào)度器�,調(diào)度器傳遞給需要接收該消息的應(yīng)用。
上述協(xié)議可以提供三方面的功能1)為管理中心和各安全子系統(tǒng)及安全子系統(tǒng)之間的管理�、控制��、協(xié)同和其它通信提供豐富����、準(zhǔn)確的消息編碼支持�;2)提供高強(qiáng)度的加密和認(rèn)證機(jī)制����,保證平臺(tái)運(yùn)行的內(nèi)部安全性,避免平臺(tái)的部署為網(wǎng)絡(luò)系統(tǒng)引入新的安全隱患���;3)提供維護(hù)平臺(tái)自身健壯運(yùn)行的自動(dòng)維護(hù)機(jī)制�,如心跳檢查�、密鑰更新等����。
如圖6所示,以零知識(shí)調(diào)度引擎和多層次邏輯分離的體系結(jié)構(gòu)為核心�,以安全通信協(xié)議為基礎(chǔ)通信設(shè)施����,本廣譜安全掃描分析系統(tǒng)在實(shí)踐中可以采用下述的結(jié)構(gòu)部署完成不同分析與掃描功能的子調(diào)度引擎如病毒掃描子調(diào)度引擎��、入侵檢測(cè)子調(diào)度引擎�、漏洞掃描子調(diào)度引擎等分別運(yùn)行在不同的主機(jī)上,管理中心的中央調(diào)度引擎通過(guò)內(nèi)部安全通信協(xié)議對(duì)子引擎實(shí)例進(jìn)行統(tǒng)一調(diào)度與控制管理,從而形成一個(gè)分布式部署����、集中式管理的主機(jī)群落��。通過(guò)上述的結(jié)構(gòu)部署���,該系統(tǒng)實(shí)現(xiàn)了一種深度耦合的新型安全管理平臺(tái),并以靈活���、可擴(kuò)展的體系架構(gòu)對(duì)安全掃描與分析類功能產(chǎn)品提供了完全開(kāi)放式支持��,實(shí)現(xiàn)了對(duì)病毒掃描�����、入侵檢測(cè)、漏洞掃描��、安全審計(jì)等多種安全掃描分析功能組件的深層次控制管理和有機(jī)協(xié)同����。
上面雖然通過(guò)實(shí)施例描繪了本發(fā)明��,但本領(lǐng)域普通技術(shù)人員知道����,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神�����,所附的權(quán)利要求將包括這些變形和變化����。
權(quán)利要求
1.一種可擴(kuò)展廣譜安全掃描分析系統(tǒng),其特征在于所述系統(tǒng)具有調(diào)度引擎����、掃描規(guī)則庫(kù)、協(xié)同規(guī)則庫(kù)和分析知識(shí)庫(kù)�����,其中所述調(diào)度引擎中包括調(diào)度器�、協(xié)同規(guī)則解析引擎、掃描規(guī)則解析引擎�����、分析知識(shí)解析引擎以及對(duì)象信息獲取代理�����,由所述調(diào)度器進(jìn)行統(tǒng)一調(diào)度�;所述協(xié)同規(guī)則解析引擎連接所述協(xié)同規(guī)則庫(kù),所述掃描規(guī)則解析引擎連接所述掃描規(guī)則庫(kù)���,所述分析知識(shí)解析引擎連接所述分析知識(shí)庫(kù)����;所述調(diào)度引擎通過(guò)所述對(duì)象信息獲取代理獲取分析對(duì)象的信息�,并將結(jié)果放入結(jié)果庫(kù)中。
2.如權(quán)利要求1所述的可擴(kuò)展廣譜安全掃描分析系統(tǒng)�����,其特征在于所述調(diào)度引擎獨(dú)立于所述掃描規(guī)則庫(kù)����、協(xié)同規(guī)則庫(kù)和分析知識(shí)庫(kù)����。
3.如權(quán)利要求1所述的可擴(kuò)展廣譜安全掃描分析系統(tǒng)���,其特征在于所述調(diào)度引擎通過(guò)調(diào)用原子掃描構(gòu)件進(jìn)行工作。
4.如權(quán)利要求3所述的可擴(kuò)展廣譜安全掃描分析系統(tǒng)�,其特征在于所述調(diào)度引擎通過(guò)信息獲取微構(gòu)件與對(duì)象獲取代理進(jìn)行連接。
5.如權(quán)利要求4所述的可擴(kuò)展廣譜安全掃描分析系統(tǒng)�����,其特征在于所述調(diào)度引擎通過(guò)另一個(gè)信息獲取微構(gòu)件連接知識(shí)樹(shù)��,所述知識(shí)樹(shù)與所述分析知識(shí)解析引擎���。
6.如權(quán)利要求3所述的可擴(kuò)展廣譜安全掃描分析系統(tǒng)�,其特征在于所述掃描規(guī)則解析引擎從掃描規(guī)則庫(kù)中獲取掃描規(guī)則���,并將之分配給構(gòu)件池中的至少一個(gè)原子掃描構(gòu)件�,所述原子掃描構(gòu)件與所述調(diào)度引擎直接相連����。
7.如權(quán)利要求3所述的可擴(kuò)展廣譜安全掃描分析系統(tǒng),其特征在于所述調(diào)度引擎通過(guò)至少一個(gè)掃描構(gòu)件連接掃描信息總線��,所述信息獲取微構(gòu)件與所述掃描信息總線連接����。
8.如權(quán)利要求1所述的可擴(kuò)展廣譜安全掃描分析系統(tǒng),其特征在于所述調(diào)度引擎有多個(gè)���,彼此之間通過(guò)內(nèi)部安全通信協(xié)議進(jìn)行通信�。
9.一種實(shí)現(xiàn)如權(quán)利要求1所述的可擴(kuò)展廣譜安全掃描分析系統(tǒng)的方法�����,其特征在于包括如下步驟將掃描機(jī)制和協(xié)同機(jī)制從分析引擎中分離���,分離了所述掃描機(jī)制和協(xié)同機(jī)制的所述分析引擎為調(diào)度引擎����,所述調(diào)度引擎根據(jù)掃描規(guī)則庫(kù)和分析知識(shí)庫(kù)的有關(guān)內(nèi)容處理分析對(duì)象���,并通過(guò)統(tǒng)一的對(duì)象代理處理不同的分析對(duì)象�����。
10.如權(quán)利要求9所述的實(shí)現(xiàn)可擴(kuò)展廣譜安全掃描分析系統(tǒng)的方法���,其特征在于所述調(diào)度引擎按照所述協(xié)同機(jī)制實(shí)現(xiàn)與其它調(diào)度引擎的協(xié)作���。
全文摘要
本發(fā)明公開(kāi)了一種可擴(kuò)展廣譜安全掃描分析系統(tǒng)。該系統(tǒng)具有調(diào)度引擎��、掃描規(guī)則庫(kù)����、協(xié)同規(guī)則庫(kù)和分析知識(shí)庫(kù),調(diào)度引擎中不包含掃描規(guī)則����、協(xié)同規(guī)則和分析知識(shí)的內(nèi)容,因此稱之為“零知識(shí)調(diào)度引擎”����。調(diào)度引擎中包括調(diào)度器、協(xié)同規(guī)則解析引擎�����、掃描規(guī)則解析引擎��、分析知識(shí)解析引擎以及對(duì)象信息獲取代理�,由調(diào)度器進(jìn)行統(tǒng)一調(diào)度;協(xié)同規(guī)則解析引擎連接協(xié)同規(guī)則庫(kù),掃描規(guī)則解析引擎連接掃描規(guī)則庫(kù)����,所述分析知識(shí)解析引擎連接分析知識(shí)庫(kù);調(diào)度引擎通過(guò)對(duì)象信息獲取代理獲取分析對(duì)象的信息��,并將結(jié)果放入結(jié)果庫(kù)中�����。本系統(tǒng)通過(guò)對(duì)各安全產(chǎn)品的深度耦合���、協(xié)同和管理,能夠通過(guò)協(xié)同不同安全產(chǎn)品共同完成單項(xiàng)技術(shù)無(wú)法完成的安全防護(hù)功能��。
文檔編號(hào)H04L12/24GK1694413SQ20041010295
公開(kāi)日2005年11月9日 申請(qǐng)日期2004年12月30日 優(yōu)先權(quán)日2004年10月29日
發(fā)明者懷進(jìn)鵬, 劉利軍, 張文燚, 劉旭東, 劉慶云, 楊超峰, 馬玲 申請(qǐng)人:北京航空航天大學(xué)