安全管理服务系统及其执行方法

专利名称：安全管理服务系统及其执行方法
技术领域：
本发明涉及一种安全管理服务系统及其执行方法，特别是应用于安全性机制(Secure Sockets Layer；SSL)虚拟私有网络(virtual Private Network；VPN)的安全架构。
背景技术：
虚拟私有网络(virtual Private Network；VPN)是一种利用现有公共通信网路来架构的私有专用网络。举例来说，当附属于总公司下的子公司或办事处需要与总公司连网时主要可通过专线的方式或是VPN。专线方式是通过铺设点到点的专用线路来达成，然而对企业来说此方法需要负担昂贵的线路铺设费、维护费及租用费。因此发展出VPN，此方法是利用于因特网(Internet)、帧中继、异步传输模式(Asynchronous Transfer Mode；ATM)等现有的公共网络中建立虚拟专用通道，如此一来不需要铺设专门线路，一样可得到一安全、可靠且可管理的私有网络。
其中，安全性机制(Secure Sockets Layer；SSL)VPN是一种新型的远程接入企业解决方案，主要系是通过数据加密与服务器(server)认证的安全机制，以于保证安全性的前提下提供简便易用的功能。与网络通讯协议安全(Internet Protocol Security；IPSec)虚拟私有网络(VPN)相较之下，其具有更高的安全性，更好的易用性及简便的管理功能。鉴于企业对内部网络隐私性的要求，因此作为企业内部网络连结的唯一入口点的VPN网关(Gateway)的安全性非常重要。
因此，目前许多SSL VPN网关产品都设置了集成防火墙。同时，为了提高VPN产品的安全性，SSL VPN网关一般都结合使用下列特性来提高安全性，这些特性包括有认证、连结控制策略、加密、日志及安全审计、入侵检测等。其中，SSL VPN网关是利用认证服务器的服务来达成认证，连结控制策略一般由包过滤防火墙、应用层代理及应用层策略配置实现，加密是通过SSL完成，而日志及安全审计则需要由系统管理员通过人工的方式完成。此外，部分SSL VPN则会设置入侵检测系统。一般而言，针对一个产品都会具备有一个或多个特性来确保其具有一定的抗攻击能力和安全性。然而，具备的特性越多，相对会严重增加产品的成本，同时，对于用户来说也会因繁杂的维护管理任务而不堪重负。
而且各个功能特性之间几乎没有任何关联存在，因此这些功能或组件都需就由系统管理员以人工方式进行配置、管理及协调。并且，当管理上稍有不慎时，就会对系统留下疏漏或产生漏洞，因而使系统存在极大的安全隐患。因此，不但浪费成本，也增加了产品的复杂度和维护难度，更增加了产品的安全隐患。最后，当这些组件所具备的日志系统产生了大量的系统日志时，系统管理员还需仔细的分析这些不同组件所生成的日志，以便找出安全漏洞或有害(bad)连结企图，最后通过增加系统的连结控制策略来缓解或消除这些安全隐患。然而，在进行这些分析所花费的时间以及其非实时性，往往使这类系统防御的效果大打折扣。针对上述的缺陷，因此需寻求一种安全管理服务系统，其能通过设置较少功能的组件来实现较高的安全性，同时提高系统响应的实时性并减轻系统管理员的管理工作。

发明内容
鉴于以上的问题，本发明的主要目的在于提供一种安全管理服务系统及其执行方法，通过事件/状态分析器收集并管理其它组件的行为或特征，自动统计和分析系统的安全事件，同时根据分析结果采取行动，对已经分析出的安全隐患采取应对措施，以降低发生安全事件的可能性。
本发明所公开的安全管理服务系统及其执行方法，增加针对特定事件的响应机制策略，增加特殊的连结控制策略等功能。
本发明所公开的安全管理服务系统及其执行方法，可提供系统较高的安全性及时效性。
本发明所公开的安全管理服务系统及其执行方法，可实时处理系统识别的安全威胁或系统威胁，以减轻系统管理员的负担。
本发明所公开的安全管理服务系统及其执行方法，可自动处理事件，以提高其精确度。由于公知的系统对于不能够识别的组合事件，是采取记录日志的方法，再由系统管理员进行日志系统的管理，然而日志系统是相当复杂的，因此以人工处理时常会存在一定的精度问题，且当疏忽大意时，很可能会漏掉部分潜在的威胁，而导致部分安全问题无法实时发现。
本发明所公开的安全管理服务系统及其执行方法，可减少系统安全分析偏差。由于日志记录的有限性且安全特性具有一定时效要求，因此当利用分析日志的方法对系统进行安全分析时，会错失许多事件发生时刻的特定系统运行信息，进而产生了分析结果的偏差，然而当在运行中即进行自动处理时，即可充分减少偏差发生。
因此，为达到上述目的，本发明所公开的安全管理服务系统，应用于虚拟私有网络，用以选择性过滤与虚拟私有网络连结的一个以上的用户和执行用户的请求，包括一系统策略表、一策略分发器、一封包过滤器、一查询分析器、一认证/会谈管理器、一策略匹配器、一状态及事件分析器和一定时处理器。
在该系统策略表中具有多个策略；而策略分发器连接至系统策略表，用以根据策略的条件分发策略；封包过滤器连接至策略分发器，根据来自策略分发器的策略过滤用户，并根据用户连结状态选择性产生一事件；其中，查询分析器，用以接收用户的一请求，并进行请求的解析和类别判断；认证/会谈管理器连接至查询分析器，用以根据请求的类别而选择性依据请求的解析结果执行认证/会谈管理功能，其中，当在执行状态异常或错误时，认证/会谈管理器产生一事件；策略匹配器，连接至策略分发器和查询分析器，用以根据请求的类别而选择性依据来自策略分发器的策略执行请求的策略匹配，并产生一策略匹配结果，其中，当策略匹配结果为异常状态或错误状态时，策略匹配器产生一事件；状态及事件分析器，连结至封包过滤器、系统策略表、认证/会谈管理器和策略匹配器，用以接收并记录事件以及进行事件分析，并根据事件的分析结果和系统策略表中的策略选择性产生一反馈策略，其中，状态及事件分析器将反馈策略输入至系统策略表中，以通过策略分发器进行反馈策略的分发；以及定时处理器，连接至状态及事件分析器，用以定时的发出请求给状态及事件分析器，以进行记录的事件的状态分析和有效性分析并根据分析结果选择性删除记录的事件、保留记录的事件和产生反馈策略。
并且，状态及事件分析器具有一异常行为特征库和一事件分析缓冲区。其中异常行为特征库用以存储一个以上的异常特征事件，而事件分析缓冲区用于记录事件序列。
另外，还有两个附加组件用户接口和策略配置文件。用户接口连接至封包过滤器和查询分析器，因此用户可通过该用户接口输入请求。策略配置文件连接至系统策略表，其中包括了许多制定的连结策略，以供系统策略表读取。
本发明所公开的安全管理服务系统的执行方法，包括下列步骤接收一请求；接着，解析请求以得一解析结果，并根据解析结果得知请求的类别，其中请求类别包括认证/会谈管理类、权限检查类和策略检查类；当请求类别为认证/会谈管理类时，根据解析结果执行认证/会谈管理功能，并产生一执行结果；当请求类别为权限检查类时，根据解析结果执行权限检查，并产生一执行结果；当请求类别为策略检查类时，根据解析结果执行策略匹配和检查，并产生一执行结果；当执行结果发生异常或错误状态时，产生一事件并记录事件；分析事件以得一分析结果，并根据分析结果选择性累加事件的发生次数、建立相应事件的一特征项目和不理会事件；最后回传执行结果。
其中，还包括下列步骤在一时间周期，执行一次记录事件的分析，包括下列步骤在到达时间周期时，取得相应记录事件的项目；依据一个以上的特定条件依序分析每一事件项目，其中特定条件为在一定时间内达到所规定的异常特征事件的发生频率或产生的一特定事件序列；当项目达到特定条件时，则产生相应特定条件和事件项目的一反馈策略；当项目为达到特定条件时，则确认事件项目的时间以得一确认结果，并根据确认结果决定删除事件项目或保留事件项目；以及根据反馈策略的匹配条件进行分发，以应用于安全管理服务系统。
此外，当安全管理服务系统在进入接收请求的状态以前，会先执行安全管理服务系统的策略初始化，即先清除系统内的所有策略；再自策略配置文件中取得多个连结策略，以作为系统策略；最后，逐一将策略中的有效策略根据匹配条件分发至策略匹配器或封包过滤器中应用。
有关本发明的特征与实际操作，现配合附图作最佳实施例详细说明如下。


图1为说明根据本发明一实施例的安全管理服务系统的系统架构图；图2为说明于图1中的安全管理服务系统对用户请求的处理流程图；图3为说明于图2中步骤308的一实施例的详细流程图；图4为说明图2和图3中的权限检查的一实施例的详细流程图；图5为说明图1中状态及事件分析器执行事件分析的详细流程图；以及图6为说明图1中定时处理器的周期触发事件的详细流程图。
图中标号说明100安全管理服务系统110查询分析器120认证/会谈管理器130策略匹配器140状态及事件分析器142异常行为特征库144事件分析缓冲区150封包过滤器160系统策略表170策略分发器180定时处理器190策略配置文件200用户接口步骤302接收用户请求步骤304用户请求解析，并分析请求类别步骤306判断请求类别步骤308根据请求执行认证/会谈管理功能步骤310根据请求执行权限的查询步骤312根据请求执行请求的策略匹配及检查步骤314将执行结果传回客户端步骤402取得请求的连结信息步骤404认证权限检查步骤406是否通过？步骤408事件记录步骤410取得用户密码步骤412进行用户认证步骤414是否通过？步骤416事件记录步骤418认证次数是否少于特定次数？步骤420建立会谈并设置会谈属性步骤502接收权限检查请求步骤504是否为认证权限检查？步骤506取得会谈标识符及属性信息步骤508取得记录的属性信息步骤510是否为有效会谈？步骤512事件记录步骤514拒绝请求步骤516比较该请求的会谈信息与记录的会谈信息步骤518是否一致？步骤520执行策略匹配步骤522是否有匹配策略？步骤524返回匹配策略所规定的动作步骤602接收事件步骤604提取事件的属性步骤606对比项目与事件的主题步骤608是否有相应事件主题的项目？步骤610比较事件是否与存在的事件项目的其它特征相符步骤612是否相符？步骤614建立特征项目步骤616累加事件出现的次数步骤618查找与该事件相关的项目步骤620是否找到？步骤702查找监视器事件序列项目步骤704分析每一项目，确认是否在一定时间内达到异常特征规定的事件发生频率或产生的特定事件序列步骤706是否达到发生频率或序列？步骤708将规定的策略加入到系统策略表步骤710是否已经超过规定的时间片断？步骤712保留项目并继续观察步骤714删除项目步骤716是否有其它项目？步骤718重新分发策略具体实施方式
以下举出具体实施例以详细说明本发明的内容，并以附图作为辅助说明。说明中提及的符号参照附图标号。
本发明主要是整合于SSL VPN上的使用系统的所有安全组件，通过一事件/状态分析器来对这些安全组件的事件和状态进行定时的汇总和分析，并根据分析的结果采取特定行动的一安全架构。
参照图1，为根据本发明一实施例的安全管理服务系统，应用于SSLVPN，其包括查询分析器110、认证/会谈(Session)管理器120、策略匹配器130、状态及事件分析器140、封包过滤器(Berkely Packet Filter；BPF)150、系统策略表160、策略分发器170，以及定时处理器180。
该查询分析器110连接至认证/会谈管理器120和策略匹配器130。此外，查询分析器110会连接至一用户接口200。用户可通过用户接口200输入一请求。查询分析器110进行用户请求解析，并根据解析结果判定请求类别。亦即判定请求类别为认证/会谈管理类请求或权限或策略检查请求。
当请求类别为认证/会谈管理类请求时，查询分析器110将解析结果传送给认证/会谈管理器120，而认证/会谈管理器120再根据解析结果执行认证/会谈管理的功能，例如会谈的建立(create)、删除、查询或属性存取等。
当请求类别为权限或策略检查请求时，查询分析器110将解析结果传送给策略匹配器130，而策略匹配器130再根据解析结果进行请求的策略匹配及检查，亦或进行权限的查询。
状态及事件分析器140连接至认证/会谈管理器120、策略匹配器130以及封包过滤器150。其用以接收来自认证/会谈管理器120、策略匹配器130和封包过滤器150的事件并检查这些事件的状态，进而对目前的动作状况和安全状况等进行分析判断。
系统策略表160，包括系统预设策略、系统管理员定义策略以及动态策略。其中，系统策略表160可自安全管理服务系统100外部的一策略配置文件190读取需要应用到安全管理服务系统100的连结策略。其中，策略配置文件190包括系统管理员的策略设定、系统预设策略以及目前有效的临时策略。
此外，状态及事件分析器140也连接至一系统策略表160。因此，状态及事件分析器140在分析完接收到的事件后，会把可能产生的结果进行汇总，并根据系统策略表160中的系统预设策略或系统管理员定义策略产生反馈，并将反馈策略输入到系统策略表160中。
策略分发器170连接至策略匹配器130、封包过滤器150和系统策略表160。策略分发器170负责决定系统策略表160中策略应用的场合和可能性。也就是，策略分发器170根据系统策略表160中的策略的策略匹配条件将策略应用于策略匹配器130或者封包过滤器150上。
其中，在状态及事件分析器140包括异常行为特征库142和事件分析缓冲区144。异常行为特征库142存储异常特征，即储存了已知的一系列异常连结请求或异常行为的序列。状态及事件分析器140根据这些序列来判断事件组合是否是为异常行为，如果是一异常行为时，则根据异常行为所规定的对应策略进行系统策略表160的修改。事件分析缓冲区144用于存储事件序列。当一事件到达后，状态及事件分析器140取得该事件的主题，与异常行为特征库142中的项目比照，若发现一项目的主题与事件的主题符合时，就将该事件存储于事件分析缓冲区144中作为一个异常项目，并记录产生该事件的其它特征，例如IP地址，端口号等等。
封包过滤器150可根据应用的策略以过滤进入、出去或通过的数据信息，再根据数据信息的属性决定数据信息(datagram)的处理方式。也就是，封包过滤器150可滤除大部分有害请求(Bad request)，即仅能通过封包过滤器150的数据信息才能进一步封装并组合为请求消息，再向策略匹配器130提出策略匹配和检查的请求。
另外，一定时处理器180用以定时的发出请求，进而引发状态及事件分析器140对事件及状态进行分析，并且根据定时处理器180中所定的时钟周期检查所有策略，以控制所有相应时间的策略的有效状态。
以下，针对实际执行状态进行各组件的详细说明。
查询分析器110连结用户接口200，以解析来自用户接口200的请求命令，即，当用户通过用户接口200而输入请求时，查询分析器110可进行请求指令的解析，然后根据解析的结果而执行认证/会谈管理器120或策略匹配器130的功能。换句话说，查询分析器110也就是安全管理服务系统100的用户服务接口，用户可通过用户接口200而通过该查询分析器110来调用安全管理服务系统100所提供的功能。
认证/会谈管理器120用以进行用户认证和会谈的管理。通过该认证/会谈管理器120而致使在SSL VPN上能够执行许多应用层(Application)的功能，例如超文本传输协议(Hypertext Transmission Protocol；HTTP)、HTTPS网站连结、档案传输协议(File Transfer Protocol；FTP)/HTTP网关、共享因特网文件系统(Common Internet File System；CIFS)/HTTP网关、邮件(Mail)/HTTP网关，远程登入(Telnet)/HTTP网关以及远程数据服务(RemoteData Service；RDS)/HTTP网关等，这些服务功能可通过身份认证而非单纯依赖以主机为主的认证方法，进而提高安全性。也就是，通过认证的用户可与SSL VPN Gateway建立会谈，通过认证/会谈管理器120安全管理服务系统100可根据会谈识别码(ID)而对用户进行管理，包括目前会谈的环境、属性、超时控制等。亦即根据用户建立会谈的过程和每一会谈的状态，可以获知目前的登录使用者信息以及一些特定的登录用户的异常行为，并将这些信息连同模块产生的信息一起输入至状态及事件分析器140。
系统策略表160为一系统策略的数据库，用以提供其它组件使用或参考。系统策略表150包括全局策略和用户/组策略，其中每类策略根据其实时性还分为系统预设策略、系统管理员定义策略以及动态策略。其中，系统预设策略系根据系统管理员定义的安全性级别所决定，也就是，不同的安全性会使用不同的系统预设策略，当安全性越高，系统预设策略的查验越严格，反之，当安全性越低，系统预设策略则越宽松。系统管理员定义策略是由系统管理员静态添加或指定，也就是，系统管理员根据系统需求添加策略或调整策略。最后，动态策略是由状态及事件分析器140根据各个组件所产生的事件及当时的状态而进行的动态增加、删除的实时反馈策略。于此，系统策略表160可依据安全管理服务系统100外部的一策略配置文件190中的需要应用于安全管理服务系统100的连结策略。因此，策略配置文件包括系统管理员的策略设定、系统预设策略以及目前有效的临时策略。
策略分发器160用以取出系统策略表150中的策略信息，再根据策略信息决定策略所应用的位置。当策略应用于应用层时(即应用于策略匹配器130)，则根据应用的策略对于进入的命令请求进行策略的匹配和检查，并根据匹配的结果对命令请求进行处理。匹配和检查的内容包括用户、组匹配(phrase match)、来源地址、目的地址、连结的服务及连结时间等，而相应匹配结果而执行的动作包括丢弃、拒绝、允许、跳跃(Jump)或记录等。另外，当应用于会谈层(Session Layer)时(即应用于封包过滤器150)，则根据应用的策略对进入的数据信息进行策略的匹配和检查，并根据匹配的结果对数据封包进行处理。匹配和检查的内容包括来源地址、目的地址、来源端口号、目的端口号、协议或通讯网卡等，相应匹配结果而执行的动作包括丢弃、拒绝或跳跃等。在此即针对来自传输控制协议(Transmission ControlProtocol；TCP)/因特网通讯协议(Internet Protocol；IP)会谈层的数据信息进行策略的匹配和检查。
策略匹配器130用以执行应用层的策略匹配与检查。也就是用以处理应用层的请求，如确定一应用层执行(如FTP/HTTP连结)请求是否合法、是否允许用户登录，以及是否允许一特定会谈连结企业内部的特定的网站等。策略匹配器130可依据存储的策略的优先级由高到低地逐一进行策略与具体请求的属性的匹配对比，当请求与一特定的策略匹配，就检查该匹配的策略所规定的动作，并反馈该规定动作。一般来说，策略所规定的动作包括有允许、拒绝或跳跃等。因此，在SSL VPN上，即可根据所储存的策略来决定一请求的执行动作结果为何，进而达到连结控制的目的。
封包过滤器150可执行网络会谈层的策略应用与检查。也就是用以执行会谈层的进入、出去或通过的数据信息，再根据数据信息的属性决定数据信息的处理方式。其中，与数据信息属性匹配的策略包括有数据信息协议(例如IP、TCP、用户数据信息协议(如User Datagram Protocol；UDP)、因特网控制信息协议(Internet Control Message Protocol；ICMP)或FTP等)、来源IP位址(Source IP Address)、目的IP位址(Destination IP Address)、来源端口号(port number)和目的端口号(当针对于TCP/UDP协议时)、通讯网卡或方向(如传入(input)、传出(output)、转递(forward)或重导(redirect)等)等。因此，通过封包过滤器150即可满足所有会谈层的安全性要求，例如防御阻断服务(Denial-of-Service；DoS)攻击或分布式阻断服务(Distributed Denial-of-Service；DDoS)攻击、防止端口扫描(PortScanning)或防止木马侵入等。换句话说，在SSL VPN上，封包过滤器150可滤除大部分会谈层的有害请求(Bad request)，即仅能通过封包过滤器150的数据信息才能进一步于应用层封装并组合为请求消息，再向应用层的策略匹配器130提出策略匹配和检查的请求。
状态及事件分析器140用以接收各组件(即，认证/会谈管理器120、策略匹配器130和封包过滤器150)所发生的事件，并组合分析各事件间的关联，以动态取得各组件的运作状态并协调各个组件的行为，也就是，结合事件分析的结果及各个组件的状态，根据系统管理员的配置，制定出下一步的动作目的。
定时处理器180用以定时的发出请求，进而引发状态及事件分析器140对事件及状态进行分析。同时，系统会根据定时处理器180中所定的时钟周期检查所有策略，以确定超时策略，并重新调整所有相应时间的策略。再根据调整结果删除部分策略或添加新策略，亦或使部分策略失效。也就是，由定时处理器180控制所有相应时间的策略的有效状态。
以下，结合附图来详细说明在图1中所示的安全管理服务系统的执行方式。
参照图2，为在图1中的安全管理服务系统对用户请求的处理流程图。
首先，用户可通过用户接口200输入请求，而查询分析器110接收来自用户接口200的用户请求(步骤302)；查询分析器110进行用户请求解析，并从解析结果分析请求类别(步骤304)；判定请求类别是为认证/会谈管理类请求、权限检查类请求或策略检查类请求(步骤306)；当请求类别是为认证/会谈管理类请求时，认证/会谈管理器120根据请求执行认证/会谈管理功能，并产生一执行结果(步骤308)；如果请求类别是为权限检查类请求时，策略匹配器130根据请求执行权限的查询，并产生一执行结果(步骤310)；如果请求类别是为策略检查类请求时，策略匹配器130根据请求执行请求的策略匹配及检查，并产生一执行结果(步骤312)；最后，将执行结果传回客户端，以显示于用户接口200上(步骤314)。这为一次用户请求的执行，当接收到下一用户请求时则依上述步骤再次执行各步骤。
其中，当请求类别是为认证/会谈管理类请求时，所执行的认证/会谈管理功能，包括会谈的建立、删除、查询或属性存取等，在此，会谈的删除、查询和属性存取过程大致上与公知技术相同，因此在此不另作说明。
而认证/会谈管理器120执行会谈的建立步骤，如下所述。参照图3，首先，从查询分析器110中取得请求的连结信息(步骤402)其中，该连结信息中包括请求的认证信息，例如认证服务器、用户名、客户端(Client)IP地址等；根据连结信息执行请求的认证权限检查(步骤404)；确认认证权限是否通过(步骤406)。
当权限未通过时，产生一事件并记录事件(步骤408)，记录后即结束会谈建立。其中，连结信息用以作为认证权限检查的匹配条件，并且当错误或异常情况发生时，这些连结信息即用以进行事件记录当权限通过时，自请求中取得用户密码(步骤410)；根据连结信息和用户密码进行用户认证(步骤412)，即通过用户名、用户密码和客户端IP地址等信息进行用户认证；确认认证是否通过(步骤414)。
当认证未通过时，产生一事件并记录事件(步骤416)；确认认证次数是否少于一特定次数(如三次)(步骤418)；当少于特定次数时则重新取得用户密码(步骤410)，并接续执行之后的步骤；当多于特定次数时，在事件记录后即结束会谈建立。
当认证通过时则建立会谈，并设置会谈属性(步骤420)。
其中，在执行请求的认证权限检查的步骤中，即步骤404中，用以检查用户是否有认证权限，也就是说，被安全管理服务系统100认证与使用安全管理服务系统100的其它服务一样，使用者都要具有权限才可执行。当一用户没被赋予使用安全管理服务系统100的其它服务的权限时，则不论该用户是为合法用户还是非法用户，安全管理服务系统100都不需要让该用户进行认证动作。如此一来，即可避免未授权的用户连结系统，并进一步尝试使用系统其它服务，并且也可避免浪费系统资源，即对于未授权用户不必要再提供认证服务，而且还可避免一获得普通用户权限的会谈进而取得其它权限的可能，也就是避免普通用户通过潜在的缓冲区超限漏洞而取得系统管理员权限。在此，认证权限检查(即步骤404)的详细步骤与图1中的权限查询(即步骤310)的执行步骤大致上相同。
此外，在建立会谈并设置会谈属性的步骤中，即步骤420中，会谈建立后，产生一会谈标识符(如会话ID)，并储存于认证/会谈管理器120中，并记录建立会谈的用户名、客户端IP地址等信息，因此，后续的所有基于会谈的权限检查或策略匹配需先确认会话的有效性；并且，回传会谈标识符给用户，且接续的请求服务均使用该会谈标识符为标识。
在此，会话建立流程中，当认证失败时将进行事件记录，而这些事件会再经由状态及事件分析器140进行事件分析并记录于日志文件中。因此，这些事件在状态及事件分析器140中累加，在一特定时间内用户的登录失败记录达到一特定次数后，状态及事件分析器140将产生反馈策略，以封锁相应这些用户登录失败记录的客户端IP或者用户的登录请求。也就是，状态及事件分析器140产生反馈策略并输入至系统策略表160中，接着策略分发器170自系统策略表160中取得该反馈策略并根据策略匹配条件将该反馈策略分发应用于策略匹配器130或封包过滤器150中。也就是，若通过客户端IP或客户端网段进行封锁时，即将该反馈策略应用于封包过滤器150，因而这些客户端将暂时无法进入SSL VPN进行登录操作，甚至是无法进入登录页面；然而若通过用户名进行封锁时，反馈策略则应用于策略匹配器130，此时，仅直接拒绝此用户名的任何登录请求，而不再进行任何登录验证。
而且，对于权限检查(即上述的步骤310或步骤404)的步骤如下。参照图4，首先，取得权限检查请求(步骤502)；确认是否为认证权限检查(步骤504)。
当认证权限检查时，则策略匹配器130执行请求的策略匹配(步骤520)；根据策略匹配的结果确认是否在策略匹配器130中找到匹配的策略(步骤522)；当无匹配策略时，则拒绝此请求(步骤514)，进而结束权限检查；当有匹配策略，则返回匹配策略所规定的动作(步骤524)，其中这些策略动作包括允许、拒绝、跳转、丢弃等。
当不认证权限检查时，则通过查询分析器110取得会谈标识符及请求的会谈的属性信息(步骤506)；根据会谈标识符从认证/会谈管理器120中取得记录的该会谈标识的属性信息(步骤508)，其中，属性信息包括用户名/客户端IP地址等信息(即在图2的步骤420中所设置的会谈属性)；根据可否取得信息来确定是否为有效会谈(步骤510)。
其中，属性信息包括客户端IP地址、需要的服务类型、服务器目标、连结客体和连结类型等，而服务类型可以是HTTP、FTP、SMB(CIFS)、Telnet、虚拟网络运算系统(Virtual Network Computer；VNC)、远程桌面通讯协议(Remote Desktop Protocol；RDP)、Web Mail等。在此，远程连结端(即客户端)使用SSL VPN提供的上述服务来连结公司内实际的服务器；服务器目标即客户端需要通过SSL VPN连结的内部网络的实际服务器；连结客体是客户端需要连结的内部网络实际服务器上的资源，例如网页(HTTP/HTTPS服务)、文件或目录(FTP/SMB(CIFS)/NFS服务)、登录用户(Telnet/VNC/RDP服务)和邮件账户(Web Mail服务)；连结类型即是连结客体的执行动作方式，例如执行、读取、修改、写入、更名、编辑等等。
当为无效会谈时，产生一事件并记录事件(步骤512)；拒绝该请求(步骤514)，进而结束权限检查。
当为有效会谈时，比较该请求的会谈信息与认证/会谈管理器120中记录的会谈信息(步骤516)；确认会谈信息是否一致(步骤518)。例如比较IP地址、进入服务器的网卡标识等。
当会谈信息不一致时，产生一事件并记录事件(步骤512)；拒绝该请求(步骤514)，进而结束权限检查。
当会谈信息一致时，则证明此为一合法的会谈，此时策略匹配器130执行请求的策略匹配(步骤520)；根据策略匹配的结果确认是否在策略匹配器130中找到匹配的策略(步骤522)；当无匹配策略时，则拒绝此请求(步骤514)，进而结束权限检查；当有匹配策略，则返回匹配策略所规定的动作(步骤524)，其中这些策略动作包括允许、拒绝、跳转、丢弃等。
其中，无效会谈的产生(即步骤512)包括无建立会话，例如随意编造的不存在的会谈标识符，此即为认证无法通过时的非法连结企图；以及会谈已过期，例如实施重放攻击等。
对于策略匹配器130执行策略匹配(即上述的步骤312或步骤520)的步骤如下。在此策略匹配器130依最高优先级预定系统策略、系统策略、最高优先级用户/群组策略、用户/群组策略、最低优先级用户/群组策略和最低优先级系统策略的顺序逐一进行策略链表中每一策略匹配对比。在此，每一类策略中包括多条策略，因而称为策略链表，其中在策略链表中的策略也是从最高(即0)优先级的策略开始。也就是，在此策略匹配器130会先对比最高优先级预定系统策略链表中每一策略，当查到匹配策略时，则进行事件记录并结束策略匹配；而当没有查到匹配策略时，则继续对比系统策略链表中每一策略，并依上述方法接续完成策略匹配动作。其中，在每一策略链表策略链中单条策略的匹配是依序对比各个属性信息，当所有属性信息均匹配时，则返回此策略匹配的结果，否则返回不匹配的结果。
状态及事件分析器140是事件驱动及定时器触发，也就是，当上述各步骤中产生事件时即会触发状态及事件分析器140进行事件分析；亦或当定时处理器180达到一特定时间时即会发出事件给状态及事件分析器140以触发状态及事件分析器140。
因此接着，事件记录处理过程和定时处理器180周期触发过程来说明发状态及事件分析器140的执行程序。
参照图5，为状态及事件分析器140的事件记录处理过程。首先，状态及事件分析器140接收到来自其它组件(如，认证/会谈管理器120、策略匹配器130或封包过滤器150)发送过来的事件(步骤602)；状态及事件分析器140提取事件的属性(步骤604)，其中，事件属性包括系统事件的主题，例如ICMP请求(Request)、TCP同步(Sync)、TCP重置(Reset)或认证错误(Authentication Failed)等等；逐条对比事件分析缓冲区144中的项目与事件的主题(步骤606)；判断事件分析缓冲区144中是否有相应事件主题的项目(步骤608)。
当有相应事件主题的项目时，比较事件与事件分析缓冲区144中存在的事件项目的其它特征(步骤610)；判断其它特征是否相符(步骤612)；当相符时，则累加事件分析缓冲区144中该事件出现的次数(步骤614)，进而结束事件处理；当不相符时，则在事件分析缓冲区144中建立相应接收到的事件的特征项目(步骤616)，进而结束事件处理。
当无相应事件主题的项目时，则在异常行为特征库142中查找与该事件相关的项目(步骤618)；确认是否找到相关项目(步骤620)；当找到时，则在事件分析缓冲区144中建立该特征项目(步骤616)；当没找到时，则表示该事件非敏感事件，而结束事件处理。
此外参照图6，为状态及事件分析器140针对周期触发的执行过程。首先，当定时处理器180达到一既定时间，则发出信号给状态及事件分析器140，此时，状态及事件分析器140进行查找在事件分析缓冲区144中监视器事件序列项目(步骤702)；依序分析每一项目是否于一定时间内达到异常特征规定的事件发生频率或产生的特定事件序列(步骤704)；判断是否达到上述的发生频率或序列(步骤706)。
举例来说，就在一定时间内是否达到异常事件规定的发生频率而言，例如，在10秒钟内发生60000次ICMP请求或在1分钟内某IP网段发出10000次TCP同步半连接，这即可能达到异常事件规定的发生频率。就在一定时间内是否产生一特定事件序列而言，例如，当在一秒钟内发生了多次的一种动作序列，即显示TCP同步后接着是TCP重置，则这可能是一入侵事件。
当达到时，则将异常行为特征库142中规定的策略加入到系统策略表160中(步骤708)。例如在10秒钟内，发生了60000次ICMP请求，则可产生反馈策略并应用，以直接将发出该请求的网段的所有请求丢弃，进而防止DoS攻击的发生。
当未达到时，则察看异常特征的项目是否已经超过规定的时间片断(步骤710)；当还没超过时间片断时，则保留异常特征的项目且设为继续观察项(步骤712)；当超过时间片断时，则删除该项目(步骤714)。
接着(即，在步骤708、步骤712或步骤714之后)，确认是否有其它异常特征的项目(步骤716)；当有其它项目时，则继续进行项目的异常特征分析，即回到步骤704；当无其它项目时，则策略分发器160重新系统策略表160中的策略分发(步骤718)，即策略分发器160依据策略匹配条件将策略分发到策略匹配器130或封包过滤器150中应用。
此外，安全管理服务系统100在启动前会先进行初始化动作，也就是，先执行初始系统策略的确认。初始化过程包括下列步骤首先清空所有安全策略，其中，包括以应用于策略匹配器130和包过滤器150中的安全策略以及储存于系统策略表160中的安全策略；系统策略表160读取策略配置文件190中的安全策略，并加载到自身缓冲区，作为系统策略；策略分发器逐一取得系统策略表160中的有效策略并将有效策略分发到策略匹配器130或包过滤器150中应用。完成后，安全管理服务系统100则进入等待状态，待接收到用户请求后，即可进行请求处理。
虽然本发明以前述的较佳实施例公开如上，然而其并非用以限定本发明，任何熟习该项技术的普通技术人员，在不脱离本发明之精神和范围内，所做的些许更动与润饰，均属于本发明的申请专利范围之内。
权利要求
1.一种安全管理服务系统，应用于一虚拟私有网络，用以选择性过滤与该虚拟私有网络连结的一个以上的用户和执行该用户的请求，包括一系统策略表，具有多个策略；一策略分发器，连接至该系统策略表，用以根据该策略的条件分发该策略；一封包过滤器，连接至该策略分发器，根据来自该策略分发器的该策略过滤该用户，并根据该用户连结状态选择性产生一事件；一查询分析器，用以接收该用户的一请求，并进行该请求的解析和类别判断；一认证/会谈管理器，连接至该查询分析器，用以根据该请求的类别而选择性依据该请求的解析结果执行认证/会谈管理功能，其中，当在执行状态异常或错误时，该认证/会谈管理器产生一事件；一策略匹配器，连接至该策略分发器和该查询分析器，用以根据该请求的类别而选择性依据来自该策略分发器的该策略执行该请求的策略匹配，并产生一策略匹配结果，其中，当该策略匹配结果为异常状态或错误状态时，该策略匹配器产生一事件；一状态及事件分析器，连结至该封包过滤器、该系统策略表、该认证/会谈管理器和该策略匹配器，用以接收并记录该事件以及进行该事件分析，并根据该事件的分析结果和该系统策略表中的该策略选择性产生一反馈策略，其中，该状态及事件分析器将该反馈策略输入至该系统策略表中，以通过该策略分发器进行该反馈策略的分发；以及一定时处理器，连接至该状态及事件分析器，用以定时的发出请求给该状态及事件分析器，以进行记录的该事件的状态分析和有效性分析并根据分析结果选择性删除该记录的事件、保留该记录的事件和产生该反馈策略。
2.如权利要求1所述的安全管理服务系统，其中该状态及事件分析器包括一异常行为特征库以及一事件分析缓冲区，其中该异常行为特征库用以存储一个以上的异常特征事件，而该事件分析缓冲区用于记录该事件序列。
3.如权利要求1所述的安全管理服务系统，其中还包括一用户接口，连接至该封包过滤器和该查询分析器，用以作为该用户的请求的输入接口。
4.如权利要求1所述的安全管理服务系统，其中还包括一策略配置文件，连接至该系统策略表，用以制定多个连结策略，以供该系统策略表读取。
5.一种安全管理服务系统的执行方法，包括下列步骤接收一请求；解析该请求以得一解析结果，并根据该解析结果得知该请求的类别，其中该请求类别包括认证/会谈管理类、权限检查类和策略检查类；当该请求类别为认证/会谈管理类时，根据该解析结果执行认证/会谈管理功能，并产生一执行结果；当该请求类别为权限检查类时，根据该解析结果执行权限检查，并产生一执行结果；当该请求类别为策略检查类时，根据该解析结果执行策略匹配和检查，并产生一执行结果；当该执行结果发生异常或错误状态时，产生一事件并记录该事件；分析该事件以得一分析结果，并根据该分析结果选择性累加该事件的发生次数、建立相应该事件的一特征项目和不理会该事件；以及回传该执行结果。
6.如权利要求5所述的安全管理服务系统的执行方法，其中分析该事件以得一分析结果，并根据该分析结果选择性累加该事件的发生次数、建立相应该事件的一特征项目和不理会该事件的步骤包括下列步骤提取该事件的属性，其中该事件属性中包括一个以上的事件主题和一个以上的事件特征；对比该事件主题和已建立的一个以上的特征项目，以得一项目对比结果；以及根据该项目对比结果选择性累加该事件的发生次数、建立相应该事件的一特征项目和不理会该事件。
7.如权利要求6所述的安全管理服务系统的执行方法，其中当对比到相应该事件主题的该已建立的特征项目时，对比该事件特征和该已建立的特征项目的特征，以得一特征对比结果，并根据该特征对比结果选择性累加该事件的发生次数和建立相应该事件的一特征项目；而当未对比到相应该事件主题的该已建立的特征项目时，则在设定的多个特征项目中查找与该事件相关的该设定的特征项目，以得一查找结果。
8.如权利要求7所述的安全管理服务系统的执行方法，其中当该事件特征和该已建立的特征项目的特征相符时，则累加该事件的发生次数；而当该事件特征和该已建立的特征项目的特征不相符时，则建立相应该事件的一特征项目。
9.如权利要求7所述的安全管理服务系统的执行方法，其中当找到与该事件相关的该设定的特征项目时，则建立相应该事件的一特征项目；当未找到与该事件相关的该设定之特征项目时，则不理会该事件。
10.如权利要求5所述的安全管理服务系统的执行方法，其中还包括下列步骤在一时间周期，执行一次该记录事件的分析，包括下列步骤在达到该时间周期时，取得相应该记录事件的项目；依据一个以上的特定条件依序分析每一该事件项目，其中该特定条件为在一定时间内达到所规定的异常特征事件的发生频率或产生的一特定事件序列；当该项目达到该特定条件时，则产生相应该特定条件和该事件项目的一反馈策略；当该项目为达到该特定条件时，则确认该事件项目的时间以得一确认结果，并根据该确认结果决定删除该事件项目或保留该事件项目；以及根据该反馈策略的匹配条件进行分发，以应用于该安全管理服务系统。
11.如权利要求10所述的安全管理服务系统的执行方法，其中当该事件项目的时间超过一既定时间片段时，则删除该事件项目；而当该事件项目的时间未超过该既定时间片段时，则保留该事件项目。
12.如权利要求5所述的安全管理服务系统的执行方法，其中还包括下列步骤在进入接收该请求的状态以前，执行该安全管理服务系统的策略初始化，包括下列步骤清除该安全管理服务系统内的所有策略；自该安全管理服务系统外部读取多个策略，其中，该策略包括一个以上的系统管理员的策略设定、一个以上的系统预设策略以及一个以上的临时策略；逐一分发该策略中一个以上的有效策略，其中根据该有效策略的匹配条件进行分发，以应用于该安全管理服务系统。
全文摘要
一种安全管理服务系统及其执行方法，应用于安全性机制(SSL)虚拟私有网络(VPN)，主要通过一事件/状态分析器收集并管理其它组件的行为或特征，并自动统计和分析系统的安全事件，同时根据分析结果采取行动，对已经分析出的安全隐患采取应对措施，以降低发生安全事件的可能性。该方法包括步骤提取该事件的属性，其中该事件属性中包括一个以上的事件主题和一个以上的事件特征；对比该事件主题和已建立的一个以上的特征项目，以得一项目对比结果；以及根据该项目对比结果选择性累加该事件的发生次数、建立相应该事件的一特征项目和不理会该事件。
文档编号H04L12/56GK1808992SQ20051000454
公开日2006年7月26日 申请日期2005年1月18日 优先权日2005年1月18日
发明者宋建福, 刘文涵, 刘宏亮 申请人:英业达股份有限公司