专利名称:网络安全系统及其系统负荷自动调整方法
技术领域:
本发明涉及网络安全技术,尤其是一种网络安全系统及其系统负荷自动调整方 法。
背景技术:
保护网络安全的主流安全类产品,如入侵检测系统(Intrusion DetectionSystem,IDS)、入侵保护系统(Intrusion Prevention System,IPS)、入侵侦测防 御系统(Intrusion Detection & Prevention,IDP)、多功能安全网关(USGjUTM)以及网络 审计系统等,在运行时,其运行负荷,即系统中硬件CPU(X86,MIPS架构的中央处理器,或者 其它架构的处理器)的占用率、内存的占用率、输入/输出(1/0)接口的占用率及操作系统 核心资源的占用比例,比如文件句柄等,不仅取决于这些系统所要处理的输入的数据量,比 如是100M(bytes/S)网络流量,还是IG (bytes/S),10G (bytes/S)网络流量,更取决于这些 系统所要检测威胁攻击检测模式的数量,如病毒特征的数量,要检测的内容的深度,比如是 仅检测网络报文的报文头部,还是要对报文进行碎片重组,对应用层协议各字段进行检测, 更进一步,要检测应用层协议的内容数据。另外,还要取决于对攻击检测模式,病毒特征等 威胁进行检测的算法的复杂度(空间,时间复杂度)。除此之外,上述系统的资源占用还取 决于网络数据中包含的具有威胁数据的量,或者说异常数据的量。正是由于以上的网络安全产品的数据处理的基本原理,在实际网络环境中,由于 所使用的硬件的处理能力的限制,往往无法预知安全产品的硬件资源和软件的资源是否能 够处在安全运行的范畴,一旦出现了硬件资源、软件资源超越上限的情况,就会立刻影响网 络安全产品本身的安全运行,即使人为进行监控和调整,由于响应的速度和措施有限,常导 致网络安全防御功能的中断,对于在线式网络安全系统(IPS、USG、IDP、Fireffal 1)等同时 会造成数据通讯的中断,本来是保护用户业务安全的产品,由于上述问题的存在,会导致用 户的业务和资产的安全遭到重大的损失。
发明内容
本发明要解决的技术问题是提供一种网络安全系统及其系统负荷动态调整方法, 以确保网络安全系统的系统负荷处于安全稳定的运行状态。为解决上述技术问题,本发明提供一种网络安全系统,该系统具有系统负荷自动 调整功能,包括依次连接的负载检测器、决策仲裁器及调整执行器,其中,所述负载检测器,用于检测系统负荷并向所述决策仲裁器反馈异常事件;所述决策仲裁器,用于根据异常事件生成调整决策并提供给所述调整执行器;所述调整执行器,用于根据所述调整决策进行调整以使所述网络安全系统的系统 负荷趋于正常范围。进一步地,所述系统负荷指中央处理器CPU负荷、内存负荷、网络1/0负荷、告警速 率负荷及操作系统资源负荷中的一种或多种,所述负载检测器将系统负荷检测结果与预先设置的系统负荷阈值进行比较确定是否产生所述异常事件。进一步地,所述阈值包括所述系统负荷的过载阈值、过载持续时间阈值、欠载阈值 及欠载持续时间阈值,所述负载检测器检测到所述系统负荷高于所述过载阈值且持续时间 大于所述过载持续时间阈值时,产生过载事件;所述负载检测器检测到所述系统负荷低于 所述欠载阈值且持续时间高于所述欠载持续时间阈值时,产生欠载事件。进一步地,所述异常事件是过载事件时,所述决策仲裁器生成降低攻击威胁检测 能力的调整策略,用以降低所述系统负荷;所述异常事件是欠载事件时,所述决策仲裁器生 成提高攻击威胁检测能力的调整策略,用以增加所述系统负荷。进一步地,所述调整执行器通过调整攻击检测模式或检测深度来调整所述攻击威 胁检测能力,所述攻击检测模式或检测深度分为多个级别,降低攻击威胁检测能力时通过 筛选掉最低级别的攻击检测模式或检测深度来实现,提高攻击检测能力时通过增加低一级 别的攻击检测模式或检测深度来实现。进一步地,所述系统还包括与调整执行器相连的状态报告器,所述调整执行器还 用于将执行调整决策后情况及系统状态的变化以编码形式通知所述状态报告器,所述状态 报告器用于以文字描述的形式将系统状态的变化报告给管理员或者形成日志。为解决上述技术问题,本发明还提供了一种网络安全系统的系统负荷动态调整方 法,该方法包括网络安全系统实时检测系统负荷并生成异常事件;所述网络安全系统根据所述异常事件生成调整决策;所述网络安全系统根据所述调整决策进行调整以使所述网络安全系统的系统负 荷趋于正常范围。进一步地,所述网络安全系统将系统负荷检测结果与预先设置的系统负荷阈值进 行比较以确定是否产生所述异常事件,所述阈值包括所述系统负荷的过载阈值、过载持续 时间阈值、欠载阈值及欠载持续时间阈值,所述负载检测器检测到所述系统负荷高于所述 过载阈值且持续时间大于所述过载持续时间阈值时,生成过载事件;所述负载检测器检测 到所述系统负荷低于所述欠载阈值且持续时间高于所述欠载持续时间阈值时,生成欠载事 件。进一步地,所述异常事件是过载事件时,所述网络安全系统生成降低攻击威胁检 测能力的调整策略,用以降低所述系统负荷;所述异常事件是欠载事件时,所述网络安全系 统生成的提高攻击威胁检测能力的调整策略,用以增加所述系统负荷。进一步地,所述网络安全系统通过调整攻击检测模式或检测深度来调整所述攻击 威胁检测能力,所述攻击检测模式或检测深度分为多个级别,降低攻击威胁检测能力时通 过筛选掉最低级别的攻击检测模式或检测深度来实现,提高攻击检测能力时通过增加低一 级别的攻击检测模式或检测深度来实现。相较于现有技术,本发明系统和方法通过对系统负荷的实时检测、反馈及动态生 成并执行调整决策来动态调整系统的系统负荷,该调整策略可以使针对攻击威胁检测能力 的,达到网络流量和网络安全设备的处理能力的动态匹配,使网络安全系统的硬件和软件 资源得到最有效的利用,从而避免了由于网络安全设备的超负荷而导致的数据业务中断和 安全防护的实效,使网络安全系统的系统负荷处于安全稳定的运行状态,不仅有效保护了网络安全系统自身的安全,同时也保证了在线式产品能够给用户的业务提供不间断的通讯 服务,同时最大限度地利用安全产品的硬件资源,对安全威胁进行检测,保障用户的业务不 受黑客攻击、病毒、异常数据、不合规操作等威胁,同时也能够有效利用安全设备的资源,提 供网络威胁的最大化的检测能力。
图1是本发明网络安全系统的结构示意图。图2是本发明网络安全系统的各组件运行示意图。图3是本发明网络安全系统的系统负荷自动调整方法的流程示意图。
具体实施例方式本发明网络安全系统及系统负荷自动调整方法的主要思想是,基于负荷反馈和调 整控制实现对系统负荷的自动调整,从而避免系统处理能力的波动而达到自稳定,使上述 网络安全系统始终能够处在最大限度地进行攻击威胁检测处理并处在安全可靠工作的状 态中。本发明提供一种网络安全系统,该系统具有系统负荷自动调整功能,包括依次连 接的负载检测器、决策仲裁器及调整执行器,其中,所述负载检测器,用于检测系统负荷并向所述决策仲裁器反馈异常事件;所述决策仲裁器,用于根据异常事件生成调整决策并提供给所述调整执行器;所述调整执行器,用于根据所述调整决策进行调整以使所述网络安全系统的系统 负荷趋于正常范围,还用于将执行调整决策后情况及系统状态的变化以编码形式通知所述 状态报告器;所述状态报告器用于以文字描述的形式将系统状态的变化报告给管理员或者形 成曰志。所述的网络安全系统是指入侵检测系统(简称IDS),入侵保护系统(IPS,IDP),网 络安全审计系统,综合安全网管(USG,UTM)等。以上组件以进程内或者独立进程的方式实现,都不影响本发明的思想,以下结合 图2对各组件各功能及运行情形进行详细说明1、负载检测器负载检测器检测的系统负载包括但不限于CPU(中央处理器)负荷、内存负荷、网 络1/0(输入/输出)负荷、告警速率负荷、操作系统资源负荷等影响系统稳定性的参数,所 述负载检测器将系统负荷检测结果与预先设置的系统负荷阈值进行比较确定是否产生所 述异常事件。以下着重对CPU负荷及内存负荷进行说明系统的CPU负荷如果系统分为数据层面和业务层面,这里的CPU的负荷指数据处理层面或者业务 层面的CPU负荷。其中数据层面的指用来对网络数据报文进行协议解析、碎片重组、会话数 据、对照攻击特征、病毒特征进行匹配等运算的计算机硬件子系统;而业务层面之负责管理 的子系统。
针对CPU负荷,系统预先定义CPU平均占有率的过载阀值Ocu,和过载持续时间阈 值Tcu,当CPU平均占有率> =Ocu,和持续时间> =Tcu时,该负载检测器给出CPU过载事 件Ecu ;系统预先定义CPU占用率欠载阀值Occ,和欠载持续时间阈值Tcc,当CPU平均占有 率<=Occ,和持续时间>=Tcc时,该负载检测器给出CPU欠载事件Ecr。系统预定义CPU占用率的安全且不浪费的范围为Ocn,满足Occ < Ocn < Ocu,当 系统的CPU占用率为该范围时,负载检测器认为系统处于稳定有效的状态,既不发送过载 事件Ecu也不发送欠载事件Ecr。内存负荷针对内存负荷,系统预定义内存平均占用率的过载阀值为Omu,过载持续时间阈值 为Tmu,当内存平均占用率> =Omu,和持续时间> =Tmu时,负载检测器给出内存过载事件 Emu ;系统预定义内存占用率的欠载阀值Omc,和欠载持续时间Tmc,当内存平均占有率< = Omc,和持续时间>=Tmc时,负载检测器给出内存欠载事件Emr ;系统定义内存占用率安全 且不浪费的范围为Omnd^MOmc < Omn < Omu,当系统的内存占用率为该范围时,负载检测 器认为系统内存处于稳定有效的状态,既不发送过载事件Emu也不发送欠载事件Emr。以上在进行过载或欠载事件判断时,仅仅依据过载或欠载阈值,也可以实现时间 判断及反馈的目的,本发明推荐的较佳的实施方式是,在过载或欠载阈值的基础上结合过 载或欠载持续时间,这样可使得过载或欠载事件的判断更为准确及合理,在一定程度上避 免了事件上报的频率过高,保证的系统的稳定性。本方法所述的对负载的检测和反馈不限于上述的CPU、内存的负荷,将本方法应用 于对系统的其它诸如操作系统的重要资源,1/0(输入/输出)负荷,应用软件的输出数据 等负荷的检测并作为调整系统运行策略的反馈,不违背本方法的思想。2、决策仲裁器决策仲裁器负责接收负载检测器的各种异常事件,包括CPU过载事件Ecu,CPU欠 载事件Ecr ;以及根据各种事件的反馈来决定是否给各种调整执行器发送各种攻击威胁检 测策略的调整决策,目的是增加或降低系统负载,促使系统的负载趋于正常范围。所述异常事件是过载事件时,所述决策仲裁器生成降低攻击威胁检测能力的调整 策略,用以降低所述系统负荷;所述异常事件是欠载事件时,所述决策仲裁器生成提高攻击 威胁检测能力的调整策略,用以增加所述系统负荷。比如对于CPU负载来说,如果决策仲裁器接收到了 Ecu事件,则决策仲裁器可以向 攻击检测模式调整执行器发送一条筛选攻击检测模式优先级的指令Cph,作用是命令攻击 检测模式调整执行器将预先定义好的按攻击威胁等级分类的攻击检测模式优先级1-N,临 时抛弃最低优先级的攻击检测模式N不参与检测。对于内存负载来说,如果决策仲裁器接收到了 Emu事件,则决策仲裁器可以向检 测深度模式调整执行器发送一条调整检测深度的命令Cmh,作用是命令检测深度模式调整 执行器减少一最高层次的协议的解析和检测,以减少系统内存的负荷,保证系统的正常运 行和数据业务的持续性;相反,如果决策仲裁器接收到了 Emr事件,则决策仲裁器可以向检 测深度模式调整执行器发送一条调整检测深度的命令Cml,作用是命令检测深度模式调整 执行器增加一更高层次的协议的解析和检测,以有效利用系统的资源,使系统对攻击威胁 的检测更深入准确。
本发明说阐述的决策仲裁器不限于仅接受上述的基于负载反馈的两种事件,对基 于更多的负载事件的反馈进行综合决策并命令调整执行器执行相应的调整策略(如减少 缓存的TCP会话数量,缓存的时间,重组的应用层数据量的大小)不改变本发明的思想。3、调整执行器该调整执行器负责接收决策仲裁器给出的调整决策,通过调整攻击检测模式或检 测深度来调整所述攻击威胁检测能力,所述攻击检测模式或检测深度分为多个级别,降低 攻击威胁检测能力时通过筛选掉最低级别的攻击检测模式或检测深度来实现,提高攻击检 测能力时通过增加低一级别的攻击检测模式或检测深度来实现。调整执行器具体包括但不限于以下几种攻击检测模式调整执行器接收决策仲裁器的指令Cph (提高一级攻击检测模式 优先级指令)和Cpl (降低一级攻击检测模式优先级指令);相应地,每接受到一条Cph指 令,该调整执行器将按照系统预先定义的攻击检测模式优先级分类(比如按攻击的威胁等 级分类为1至N)筛选掉最低优先级的攻击检测模式临时不参与检测,以此来减少系统的负 荷;直到系统只剩下最高优先级的攻击检测模式集合。同样,该调整执行器每收到一条Cpl 指令,将增加一类低一优先级的攻击检测模式集合参与检测,来增加系统的负荷和对更多 的攻击、病毒、威胁的检测能力。检测深度模式调整执行器该调整执行器将按TCP/IP协议的层次,从以太网链路 层到应用层,依次定义协议解析的深度级别为1-N,即如果系统定义检测深度的模式选择的 深度级别为3,只知有以太网链路层,IP层,和TCP层的协议被完全解析,并使用完全解析后 的字段数据来检测攻击威胁,而应用层的协议将不作解析,会话重组和内容检测。检测深度 模式选择器每接收到一条Cmh的指令,将减少一层协议解析的深度,并放弃相应层次协议 的威胁检测,如果接收到一条Cml的指令,将增加一层协议解析的深度,并增加相应层次协 议的威胁检测。本发明所涉及的调整执行器不限于对上述的功能策略进行调整,对缓存的TCP会 话数量,缓存的时间,重组的应用层数据量的大小等等均可以纳入本发明所阐述的调整执 行器的运行策略的调整的范畴而不违背本发明的思想。4、状态报告器状态报告器,通过系统的管理控制台,向系统的管理者报告决策仲裁器发出命令 给调整执行器之后,系统的工作状态的变化。调整执行器将接受决策仲裁器后运行策略调整情况及系统状态的变化以编码形 式通知状态报告器,报告器则以文字描述的形式将系统的状态和运行策略的变化报告给管 理员或者形成日志。本发明所属的方法通过使系统负荷趋于安全稳定区域的基于反馈调整而使系统 趋于稳定运行。基于以上系统,本发明还提供了网络安全系统进行系统负荷自动调整的方法,如 图3所示,该方法包括以下步骤步骤301 网络安全系统实时检测系统负荷并生成异常事件;所述网络安全系统将系统负荷检测结果与预先设置的系统负荷阈值进行比较以 确定是否产生所述异常事件,所述阈值包括所述系统负荷的过载阈值、过载持续时间阈值、欠载阈值及欠载持续时间阈值,所述负载检测器检测到所述系统负荷高于所述过载阈值且 持续时间大于所述过载持续时间阈值时,生成过载事件;所述负载检测器检测到所述系统 负荷低于所述欠载阈值且持续时间高于所述欠载持续时间阈值时,生成欠载事件。步骤302 所述网络安全系统根据所述异常事件生成调整决策;所述异常事件是过载事件时,所述网络安全系统生成降低攻击威胁检测能力的调 整策略,用以降低所述系统负荷;所述异常事件是欠载事件时,所述网络安全系统生成的提 高攻击威胁检测能力的调整策略,用以增加所述系统负荷。步骤303 所述网络安全系统根据所述调整决策进行调整以使所述网络安全系统 的系统负荷趋于正常范围。所述网络安全系统通过调整攻击检测模式或检测深度来调整所述攻击威胁检测 能力,所述攻击检测模式或检测深度分为多个级别,降低攻击威胁检测能力时通过筛选掉 最低级别的攻击检测模式或检测深度来实现,提高攻击检测能力时通过增加低一级别的攻 击检测模式或检测深度来实现。除了调整攻击检测模式和检测深度这些与攻击威胁检测直接相关的参数,网络安 全系统还可以通过调整缓存的TCP会话数量、缓存的时间、重组的应用层数据量的大小等 来实现对系统负荷的降低或增加。步骤304 报告系统工作状态的变化。本发明网络安全系统通过引入负载检测器来作为反馈影响系统稳定性的系统负 荷参数,并通过决策仲裁器来调度系统数据处理流程各个阶段中执行具体调整功能的各种 调整执行器来对影响系统硬件资源和软件资源的策略进行趋于可靠工作的调整,这种调整 分为两类,一类是系统负荷过高时,决策仲裁器命令调整执行器进行降低系统负荷的调整; 另一类是系统恢复为较低负荷时,命令仲裁器命令调整执行器进行增加系统负荷的调整; 并通过负载检测器的不断的反馈来达到系统负荷处于安全的范围。该系统还包括通过状态报告器通过控制台等途径向系统的管理透明报告系统的 运行策略和状态。相较于现有技术,本发明系统和方法通过对系统负荷的实时检测、反馈及动态生 成并执行调整决策来动态调整系统的系统负荷,该调整策略可以使针对攻击威胁检测能力 的,达到网络流量和网络安全设备的处理能力的动态匹配,使网络安全系统的硬件和软件 资源得到最有效的利用,从而避免了由于网络安全设备的超负荷而导致的数据业务中断和 安全防护的实效,使网络安全系统的系统负荷处于安全稳定的运行状态,不仅有效保护了 网络安全系统自身的安全,同时也保证了在线式产品能够给用户的业务提供不间断的通讯 服务,同时最大限度地利用安全产品的硬件资源,对安全威胁进行检测,保障用户的业务不 受黑客攻击、病毒、异常数据、不合规操作等威胁,同时也能够有效利用安全设备的资源,提 供网络威胁的最大化的检测能力。
权利要求
一种网络安全系统,其特征在于该系统具有系统负荷自动调整功能,包括依次连接的负载检测器、决策仲裁器及调整执行器,其中,所述负载检测器,用于检测系统负荷并向所述决策仲裁器反馈异常事件;所述决策仲裁器,用于根据异常事件生成调整决策并提供给所述调整执行器;所述调整执行器,用于根据所述调整决策进行调整以使所述网络安全系统的系统负荷趋于正常范围。
2.如权利要求1所述的系统,其特征在于所述系统负荷指中央处理器CPU负荷、内存 负荷、网络I/O负荷、告警速率负荷及操作系统资源负荷中的一种或多种,所述负载检测器 将系统负荷检测结果与预先设置的系统负荷阈值进行比较确定是否产生所述异常事件。
3.如权利要求2所述的系统,其特征在于所述阈值包括所述系统负荷的过载阈值、过 载持续时间阈值、欠载阈值及欠载持续时间阈值,所述负载检测器检测到所述系统负荷高 于所述过载阈值且持续时间大于所述过载持续时间阈值时,产生过载事件;所述负载检测 器检测到所述系统负荷低于所述欠载阈值且持续时间高于所述欠载持续时间阈值时,产生 欠载事件。
4.如权利要求3所述的系统,其特征在于所述异常事件是过载事件时,所述决策仲裁 器生成降低攻击威胁检测能力的调整策略,用以降低所述系统负荷;所述异常事件是欠载 事件时,所述决策仲裁器生成提高攻击威胁检测能力的调整策略,用以增加所述系统负荷。
5.如权利要求4所述的系统,其特征在于所述调整执行器通过调整攻击检测模式或 检测深度来调整所述攻击威胁检测能力,所述攻击检测模式或检测深度分为多个级别,降 低攻击威胁检测能力时通过筛选掉最低级别的攻击检测模式或检测深度来实现,提高攻击 检测能力时通过增加低一级别的攻击检测模式或检测深度来实现。
6.如权利要求1至5中任一项所述的系统,其特征在于所述系统还包括与调整执行 器相连的状态报告器,所述调整执行器还用于将执行调整决策后情况及系统状态的变化以 编码形式通知所述状态报告器,所述状态报告器用于以文字描述的形式将系统状态的变化 报告给管理员或者形成日志。
7.—种网络安全系统的系统负荷动态调整方法,其特征在于,该方法包括网络安全系统实时检测系统负荷并生成异常事件;所述网络安全系统根据所述异常事件生成调整决策;所述网络安全系统根据所述调整决策进行调整以使所述网络安全系统的系统负荷趋 于正常范围。
8.如权利要求7所述的方法,其特征在于所述网络安全系统将系统负荷检测结果与 预先设置的系统负荷阈值进行比较以确定是否产生所述异常事件,所述阈值包括所述系统 负荷的过载阈值、过载持续时间阈值、欠载阈值及欠载持续时间阈值,所述负载检测器检测 到所述系统负荷高于所述过载阈值且持续时间大于所述过载持续时间阈值时,生成过载事 件;所述负载检测器检测到所述系统负荷低于所述欠载阈值且持续时间高于所述欠载持续 时间阈值时,生成欠载事件。
9.如权利要求8所述的方法,其特征在于所述异常事件是过载事件时,所述网络安全 系统生成降低攻击威胁检测能力的调整策略,用以降低所述系统负荷;所述异常事件是欠 载事件时,所述网络安全系统生成的提高攻击威胁检测能力的调整策略,用以增加所述系统负荷。
10.如权利要求9所述的方法,其特征在于所述网络安全系统通过调整攻击检测模式 或检测深度来调整所述攻击威胁检测能力,所述攻击检测模式或检测深度分为多个级别, 降低攻击威胁检测能力时通过筛选掉最低级别的攻击检测模式或检测深度来实现,提高攻 击检测能力时通过增加低一级别的攻击检测模式或检测深度来实现。
全文摘要
本发明提供一种网络安全系统,该系统具有系统负荷自动调整功能,包括依次连接的负载检测器、决策仲裁器及调整执行器,其中,所述负载检测器,用于检测系统负荷并向所述决策仲裁器反馈异常事件;所述决策仲裁器,用于根据异常事件生成调整决策并提供给所述调整执行器;所述调整执行器,用于根据所述调整决策进行调整以使所述网络安全系统的系统负荷趋于正常范围。本发明网络安全系统及其系统负荷动态调整方法,可以确保网络安全系统的系统负荷处于安全稳定的运行状态。
文档编号H04L12/24GK101902348SQ20091008470
公开日2010年12月1日 申请日期2009年5月25日 优先权日2009年5月25日
发明者赵海峰 申请人:北京启明星辰信息技术股份有限公司;北京启明星辰信息安全技术有限公司