专利名称:一种安全信息联动处理装置及方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种安全信息联动处理装置及方法。
技术背景随着网络技术的快速发展和信息化进程的日渐深入,计算机网络已成为 企业高效运营的重要支撑。工作效率的提高、企业信誉的提升、利润来源的 拓展都依赖于稳定、高效、安全的网络环境。与此同时,各种网络攻击技术 也变得越来越先进、越来越普及化,企业的网络系统面临着随时被攻击的危 险,经常遭受不同程度的入侵和破坏,严重干扰了企业网络的正常运行。日 益严峻的安全威胁迫使企业不得不加强对网络系统的安全防护,不断追求多层次、立体化的安全防御体系,逐步引入了防病毒、防火墙、IDS (Intrusion Detection Systems,入侵-险测系统)、VPN (Virtual Private Network,虚拟私有 网路)、AAA (Authentication Authorization and Accounting, "i人i正、授i又牙口i十 费)等大量异构的单点安全防御技术。然而,现有网络安全防御体系还是以 孤立的单点防御为主,彼此间缺乏有效的协作,从而形成了一个个的安全孤 岛。为了解决上述问题,现有技术一提出了一种方案,针对多产品的syslog (系统日志)信息进行告警分析,Syslog分析系统组网如图1所示,用户终 端通过日志分析系统与网络中的主要设备连接,该主要设备包括防火墙、VPN 网关、IPS (IntrusionPrevention System,入侵防雄卩系统)、IDS、核心交换才凡、 路由器、反垃圾邮件系统、病毒防护系统,这些主要设备都可以产生syslog, syslog中包含了很多重要的网络运行信息,日志分析系统能够提供对网络中多 种设备基于syslog的安全事件进行集中收集与统一分析,对收集到的安全事 件进行聚合存储及分析,实时监控全网安全事件的状况,并给出图标、报告 和报警等。
该方案中日志分析系统只能对syslog安全事件进行分析汇聚,将安全事 件进行整理和告警,可以根据汇聚规则减少一部分的安全事件信息量,但仍 然需要对数据进行人工分析,日志分析系统不能提供对安全威胁源头进行阻 断控制的能力。由于日志分析系统只能通过syslog来搜集采集网络中的安全 信息,对于全网安全信息的获取量途径比较单一,对于通过TRAP等其他的 方式发送的安全信息日志分析系统是无法接收的。另外,日志分析系统的扩 展性不强,因为缺少用户认证资源、安全策略配置资源、流量控制资源,日 志分析系统只能对syslog中的IP (InternetProtocol,国际互联网协议)、MAC (Medium Access Control,々某体接入控制)、时间、模块等信息对进行展示, 但无法根据IP快速定位到人,对发起攻击的源头进行阻断、限流、权限控制 等扩展操作。现有技术二如图2所示,用户通过接入层交换机连接到Internet网络或认 证服务器,其中,认证服务器实现了安全策略服务器的功能,在全面管理网 络用户信息的基础上,支持多种网络认证方式,支持针对用户的安全策略设 置,以标准协议与网络设备联动,实现对用户接入行为的控制。用户上网前 需要通过认证来对用户身份进行确认,如802.1X认证、Portal认证等,身份 确认通过的用户才可以正常上网,否则将被隔离到控制访问区或不能上网。 该方案中,虽然用户认证系统可以对用户的上网权限、用户的PC版本等进行 检查并根据检查结果下发是否可以上网的权限,但不能对用户终端的行为进 行控制,通过认证的用户还是有可能会发起扫描、泛洪等攻击行为。现有技术三提出了日志分析联动一体化设备,通过釆集设备的syslog进 行分析汇聚,通过分析日志中的用户MAC、 IP等信息推断出攻击者的IP、 MAC,并通过下发ACL (Access Control Lists,访问控制列表)策略、端口 shutdown (关闭)、ff"改防火墙策略等来对攻击源响应。然而,该方案只关注syslog的分析联动,关注的安全领域单一,不能接 受tarp等信息,对于无法发送syslog的安全方案无法管理。而且该方案主要 依赖自身的信息资源来分析联动,可利用的用户、网络资源较少,无法与网 络中现有的网管系统、认证系统相结合,利用现有的大量资源,导致攻击源
定位不容易准确。另外,该方案只能提供ACL策略、端口shutdown、修改防 火墙策略来对攻击者进行控制,控制手段不够丰富,能力不够精细。对于需 要联动的syslog事件由用户手动选择联动策略,无法对某个网段、若干安全 事件进行统一的策略配置,无法对于syslog事件自动批匹配到用户配置好的 联动策略。
发明内容
本发明实施例提供一种安全信息联动处理装置及方法,以解决现有技术 中syslog安全管理方案不易扩展,且不能统一管理、动态匹配用户配置好的 联动策略的缺陷。
本发明实施例提供了 一种安全信息联动处理方法,应用于包括多个联动 组件和联动处理装置的网络中,
所述方法包括以下步骤
所述联动处理装置从所述联动组件获取安全信息,所述安全信息中包括 告警参数;
所述联动处理装置根据所述告警参数定位攻击源设备,并查找所述告警 参数对应的联动策略;
所述联动处理装置通知对应联动组件,根据所述联动策略对所述源攻击 设备进行安全控制。
所述从联动组件获取安全信息之前还包括联动组件的动态注册。
所述动态注册包括通过配置文件注册或通过注册函数注册。
所述通过配置文件注册具体包括
所述联动处理装置将已注册文件复制到指定目录;
所述联动处理装置定时或实时查找新增联动组件,将新增联动组件的告 警及对应的联动策略加载到所述指定目录的策略库。 所述通过注册函数方式具体包括
联动组件检测联动处理装置的进程是否运行,如果运行,则将可提供的 联动动作及对应的联动策略以函数形式注册到联动处理装置的策略库。
所述联动组件包括但不限于网络设备、认证系统、网管系统、带宽管理
系统和安全管理系统。所述获取安全告警信息方式包括但不限于系统日志、TRAP、 NetStream 和NAT日志。所述安全控制包括但不限于下线、上网权限控制和点对点流量限速。 本发明还提供了一种安全信息联动处理网络,包括多个联动组件,还包括联动处理装置,用于从所述联动组件获取包括告警参数的安全信息后, 根据所述告警参数定位攻击源设备,并查找所述告警参数对应的联动策略, 以便对应联动系统根据所述联动策略对所述源攻击设备进行安全控制。所述联动处理装置具体包括安全信息获取单元,用于从所述联动组件获取安全信息,所述安全信息 中包括告警参数;联动策略获取单元,与所述安全信息获取单元连接,用于根据所述告警 参数定位攻击源设备,并查找所述告警参数对应的联动策略;安全控制单元,与所述联动策略获取单元连接,用于通知对应联动组件, 根据所述联动策略对所述源攻击设备进行安全控制。所述联动处理装置还包括动态注册单元,用于所述联动组件动态注册到所述联动处理装置。 所述动态注册单元具体包括配置文件注册子单元,用于定时或实时查找新增联动组件,将新增联动 组件的告警及对应的联动策略加载到所述指定目录的策略库。 所述动态注册单元具体包括注册函数注册子单元,用于接收联动组件发送的注册函数,所述注册函 数中携带可提供的联动动作及对应的联动策略。所述联动组件包括但不限于网络设备、认证系统、网管系统、带宽管理 系统和安全管理系统。所述获取安全告警信息方式包括但不限于系统日志、TRAP、 NetStream 和NAT日志。
本发明的实施例中,安全信息联动处理装置与日志系统、网管系统、认 证系统、网络设备灵活结合,通过认证系统可快速定位到攻击者,通过网管 系统可向网络设备下发安全策略配置,可快速对定位的源头进行阻断或控制, 可形成完善的内网防护方案,不再需要用户手工登陆设备、手工查找用户信息来排查攻击源;同时避免攻击者持续不断对设备进行攻击,消耗设备性能。 另外,安全信息联动处理装置可以对syslog日志、TRAP、 NetStream、NAT日志等安全联动方式均进行采集,避免用户使用的网络设备只支持其中一种信息格式,上报的安全信息不全面。还有,安全信息联动处理装置通过动态的注册框架技术可灵活的与网管系统、认证系统、网络设备相结合,并实现自动匹配调用安全策略、安全联动组件,降低用户的购买成本,提高易用性。
图l是现有技术一中Syslog分析系统组网示意图; 图2是现有技术二中Syslog分析系统组网示意图; 图3是本发明提供了一种安全信息联动处理方法流程图; 图4是本发明实施例一示意图; 图5是本发明实施例二示意图。
具体实施方式
下面结合具体实施例进行详细说明。本发明提供了一种安全信息联动处理网络,包括多个联动组件和联动处 理装置。其中,联动处理装置用于从联动组件获取包括告警参数的安全信息 后,根据告警参数定位攻击源设备,并查找告警参数对应的联动策略,以便 对应联动系统根据联动策略对源攻击设备进行安全控制。联动处理装置具体包括安全信息获取单元,用于从联动组件获取安全 信息,安全信息中包括告警参数;联动策略获取单元,与安全信息获取单元 连接,用于根据告警参数定位攻击源i殳备,并查找告警参数对应的联动策略; 安全控制单元,与联动策略获取单元连接,用于通知对应联动组件,根据联动策略对源攻击设备进行安全控制;动态注册单元,用于联动组件动态注册 到联动处理装置。其中动态注册单元具体包括配置文件注册子单元,用于定时或实时查 找新增联动组件,将新增联动组件的告警及对应的联动策略加载到指定目录 的策略库;和/或注册函数注册子单元,用于接收联动组件发送的注册函数, 注册函数中携带可提供的联动动作及对应的联动策略。以上述网络为基础,本发明提供了一种安全信息联动处理方法,应用于 包括多个联动组件和联动处理装置的网络中,如图3所示,包括以下步骤步骤s301,联动处理装置从联动组件获取安全信息,安全信息中包括告 警参数。从联动组件获取安全信息之前还包括联动组件的动态注册,例如通 过配置文件注册或通过注册函数注册。通过配置文件注册具体包括联动处 理装置安装联动组件客户端;联动处理装置将已注册文件复制到指定目录; 联动处理装置定时或实时查找新增联动组件,将新增联动组件的告警及对应 的联动策略加载到指定目录的策略库。通过注册函数方式具体包括联动组 件安装联动组件客户端;联动组件检测联动处理装置的进程是否运行,如果 运行,则将可提供的联动动作及对应的联动策略以函数形式注册到联动处理 装置的策略库。步骤s302,联动处理装置根据告警Wt定位攻击源设备,并查找告警参 数对应的联动策略。当联动组件完成注册后,根据安全信息的告警参数和联 动处理装置策略库中的联动策略参数进行匹配,匹配上的动作作为该告警的 联动策略。步骤s303,联动处理装置通知对应联动组件,根据联动策略对源攻击设 备进行安全控制。本发明的实施例 一提供了 一种安全信息联动处理方法,应用于包括网管 设备、网络设备、日志分析系统和联动处理装置的网络中,其中,网络设备 包括但不限于客户端设备、交换机、路由器、防火墙、IPS等。安全信息联动 处理装置可灵活的与认证系统、网管系统、带宽管理系统、网络设备、安全
方案相结合,灵活调用各系统的资源,通过各安全告警信息(syslog日志、 TRAP、 NetStream、 NAT日志)中的IP、 MAC、端口等信息定位到网络中真 实的用户,并可以通过认证系统、网管系统、带宽管理系统来对用户进行下 线、上网权限控制、用户P2P (Point to Point,点对点)流量限速等操作。该 处理方法如图4所示,包括以下步骤步骤s401,通过网管设备在联动处理装置上配置安全联动策略。具体来 说,就是设置安全事件与联动策略的对应关系列表。其中,安全事件包括但 不限于DHCP仿冒、用户业务为攻击业务、ARP攻击才艮文等;与联动策略(包 括但不限于关闭端口,用户下线、用户隔离、VLAN隔离等。例如当联动 处理装置接收到的报文为ARP攻击报文,则通过查找该对应关系列表,确定 针对ARP攻击报文的联动策略(如关闭接收该报文的端口等),并将通过网 管设备执行该联动策略,将相应的端口关闭。步骤s402,通过网管设备在日志分析系统上配置告警策略,用户认为需 要(包括但不限于发现攻击,地址仿冒、限速等情况)联动的syslog信息才 会上报给联动处理装置,对海量日志中不需要上报的信息进行有效过滤。步骤s403至步骤s405,网络设备发现异常时,进行联动处理。其中,网 络设备与联动处理装置的联动方式包括两种, 一种是网络设备发现异常, 将syslog信息上报给日志分析系统,日志分析系统根据syslog信息中的告警 策略,上报TRAP信息给联动处理装置,其中,TRAP信息中携带经过日志分 析系统综合分析过的告警,例如一个包括告警类型、告警时间等信息的列表; 另一种是网络设备发现异常,直接通过Netstream、 TRAP、 NAT等信息向 联动系统上报安全信息,这种方式由于没有经过日志分析系统的综合处理, 因此在联动处理装置中需要对上报安全信息进行分类等处理。步骤s406,联动处理装置收到相应告警信息后可进行^J^、拓朴展示。步骤s407,联动处理装置通过日志中挟带的攻击源的IP、 MAC等信息, 等同于IP等信息,通过查找交换机的MAC表、ARP表、网管系统的MIB信 息自动查找攻击源。例如,对于ARP攻击报文,联动处理装置通过监测DHCP 报文,记录用户的IP/MAC/VLAN/PORT等信息,并形成一个DHCP Snooping
绑定表,联动处理装置接收到的ARP报文后,通过查找DHCP Snooping建立 的绑定关系表,来判断ARP应斜艮文的发送者源IP、源MAC是否合法,若 ARP报文中的发送者源MAC、IP匹配绑定表中的内容,则认为是合法的报文; 否则认为是欺骗攻击报文。因此,联动处理装置通过告警信息中挟带的IP和 MAC在^^正系统中进行查找定位攻击源,并定位攻击方,然后即可通过网管 系统对用户进行控制,这里有两种控制方式,网管系统直接控制接入交换机 将用户下线或限速,或网管系统通知认证系统对用户进行下线或限速等处 理。。本发明实施例二是安全联动系统与认证系统、网管系统组网,在实施例 一基础上引入了认证系统,网管系统与认证系统相互配合进行安全联动,如 图5所示,包括以下步骤步骤s501,用户上网前需要安装客户端软件,通过该客户端软件与认证 系统进4亍上网iU正。步骤s502,用户认证通过后仍可能对网络进行攻击,例如扫描、泛洪等 攻击。步骤s503,网络设备的安全防御特性感知到此攻击信息,例如,IPS4全观'J 安全异常时,通过syslog上报安全事件给日志分析系统。步骤s504,日志分析系统将syslog信息根据预定策略汇聚分析,将需要 联动的告警通过TRAP上报给联动处理装置。当然联动处理装置也可以直接 接收来自客户端、交换机、路由器、防火墙、IPS等网络设备的安全告警信息。步骤s505,安全控制中心收到告警后,调用网管系统和i人证系统的资源 查找攻击源,网管系统从联动处理装置调用联动策略,网管系统控制接入交 换机将用户下线或限速,或通知认证系统对用户进行下线或限速等处理。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本 发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬 件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技 术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使
得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此, 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种安全信息联动处理方法,应用于包括多个联动组件和联动处理装置的网络中,其特征在于,所述方法包括以下步骤所述联动处理装置从所述联动组件获取安全信息,所述安全信息中包括告警参数;所述联动处理装置根据所述告警参数定位攻击源设备,并查找所述告警参数对应的联动策略;所述联动处理装置通知对应联动组件,根据所述联动策略对所述源攻击设备进行安全控制。
2、 如权利要求1所述安全信息联动处理方法,其特征在于,所述从联动 组件获取安全信息之前还包括联动组件的动态注册。
3、 如权利要求2所述安全信息联动处理方法,其特征在于,所述动态注 册包括通过配置文件注册或通过注册函数注册。
4、 如权利要求3所述安全信息联动处理方法,其特征在于,所述通过配 置文件注册具体包括所述联动处理装置将已注册文件复制到指定目录; 所述联动处理装置定时或实时查找新增联动组件,将新增联动组件的告 警及对应的联动策略加载到所述指定目录的策略库。
5、 如权利要求3所述安全信息联动处理方法,其特征在于,所述通过注 册函数方式具体包括联动组件;险测联动处理装置的进程是否运行,如果运行,则将可提供的 联动动作及对应的联动策略以函数形式注册到联动处理装置的策略库。
6、 如权利要求1至5中任一项所述安全信息联动处理方法,其特征在于, 所述联动组件包括但不限于网络设备、认证系统、网管系统、带宽管理系统 和安全管理系统。
7、 如权利要求1至5中任一项所述安全信息联动处理方法,其特征在于, 所述获取安全告警信息方式包括但不限于系统日志、TRAP、 NetStream和 NAT日志。
8、 如权利要求1至5中任一项所述安全信息联动处理方法,其特征在于, 所述安全控制包括但不限于下线、上网权限控制和点对点流量限速。
9、 一种安全信息联动处理网络,包括多个联动组件,其特征在于,还包括联动处理装置,用于从所述联动组件获取包括告警参数的安全信息后, 根据所述告警参数定位攻击源设备,并查找所述告警参数对应的联动策略, 以便对应联动系统根据所述联动策略对所述源攻击设备进行安全控制。
10、 如权利要求9所述安全信息联动处理网络,其特征在于,所述联动 处理装置具体包括安全信息获取单元,用于从所述联动组件获取安全信息,所述安全信息 中包括告警参数;联动策略获取单元,与所述安全信息获取单元连接,用于根据所述告警 参数定位攻击源设备,并查找所述告警参数对应的联动策略;安全控制单元,与所述联动策略获取单元连接,用于通知对应联动组件, 根据所述联动策略对所述源攻击设备进行安全控制。
11、 如权利要求9所述安全信息联动处理网络,其特征在于,所述联动 处理装置还包括动态注册单元,用于所述联动组件动态注册到所述联动处理装置。
12、 如权利要求11所述安全信息联动处理网络,其特征在于,所述动态 注册单元具体包括配置文件注册子单元,用于定时或实时查找新增联动组件,将新增联动 组件的告警及对应的联动策略加载到所述指定目录的策略库。
13、 如权利要求11或12所述安全信息联动处理网络,其特征在于,所 述动态注册单元具体包括注册函数注册子单元,用于接收联动组件发送的注册函数,所述注册函数中携带可提供的联动动作及对应的联动策略。
14、 如权利要求9至13中任一项所述安全信息联动处理网络,其特征在 于,所述联动组件包括但不限于网络设备、认证系统、网管系统、带宽管理系统和安全管理系统。
15、如权利要求9至13中任一项所述安全信息联动处理网络,其特征在 于,所述获取安全告警信息方式包括但不限于系统日志、TRAP、 NetStream 和NAT日志。
全文摘要
本发明公开了一种安全信息联动处理方法,应用于包括多个联动组件和联动处理装置的网络中,包括从联动组件获取安全信息,所述安全信息中包括告警参数;根据所述告警参数定位攻击源设备,并查找所述告警参数对应的联动策略;通知对应联动组件,根据所述联动策略对所述源攻击设备进行安全控制。本发明安全信息联动处理装置与日志系统、网管系统、认证系统、网络设备灵活结合,通过认证系统可快速定位到攻击者,通过网管系统可向网络设备下发安全策略配置,可快速对定位的源头进行阻断或控制。
文档编号H04L29/06GK101127594SQ20071016390
公开日2008年2月20日 申请日期2007年10月10日 优先权日2007年10月10日
发明者斌 符, 敏 郑 申请人:杭州华三通信技术有限公司