可擴展廣譜安全掃描分析系統及其實現方法

2023-08-08 04:45:56

專利名稱：可擴展廣譜安全掃描分析系統及其實現方法
技術領域：
本發明涉及一種安全掃描分析系統，尤其涉及一種具備可擴展性的廣譜安全掃描分析系統，也涉及到該安全掃描分析系統的實現方法，屬於信息安全技術領域。
背景技術：
為了解決網絡信息安全的問題，人們陸續研發出防火牆、入侵監測、漏洞掃描、認證及審計等多項安全技術措施。這些安全技術措施能在一定程度上保證信息網絡的安全。但是，信息安全領域的技術發展一日千裡，沒有任何一種單獨的技術措施能夠完全解決信息安全領域的所有問題。
為此，人們往往會同時採取多種技術措施來應對複雜、動態、多維的網絡安全威脅。但是，不同安全技術措施之間存在防護盲區，無法有機管理和協同，同時還極大增大了管理成本和管理負擔，並會給網絡系統引入了新的安全隱患。因此，僅僅通過幾種信息安全產品的各自為戰或簡單堆砌早已不適應信息安全的客觀要求。
針對上述的不足，人們提出了網絡安全綜合管理平臺的技術理念，即在一個統一的管理平臺上實現對不同安全產品和設備的統一管理和部署，在一個整體的控制和調度框架下有機協同不同產品進行共同防護，這樣將會在極大降低安全管理成本的同時大大提高安全防護機制的強度。近年來，已有一些著名的安全廠商推出各具特色的網絡安全管理平臺產品，如賽門鐵克(Symantec)的集中開放式安全管理系統(SESA)、IBM的Tivoli等、啟明星辰的網絡安全資源管理平臺等。
但是，現有的網絡安全管理平臺基本上是以對幾種自己開發的或第三方的核心功能產品進行統一管理配置作為基礎功能，由於不同的安全產品系統結構和管理接口沒有統一的標準，這種管理配置也只能是淺層次的，平臺所管理的不同產品之間是鬆散耦合的關係，不同產品之間的協同也只停留在對幾種產品的日誌信息進行統計分析的層面上，沒有更深入有效的有機協同機制。概括來講，現有的網絡安全管理平臺存在以下幾方面的缺陷第一，僅僅注重不同安全產品的集中配置和管理，對產品的管理通常是鬆散和淺層次的，不能完全滿足對產品進行全面管理配置的需要，開放性和可擴展性較差；第二，處於平臺管理之下的不同產品之間是一種鬆散耦合的關係，不同產品之間沒有有機的協同機制，不能有效利用不同安全產品進行協同防護；第三，每增加對一個新產品的管理都要做大量的開發工作，使得平臺不能與安全技術和產品的快速發展保持同步，無法提供最好的服務。
要實現對不同安全產品的深層次管理和有效協同，必須從系統架構和產品引擎的層次對不同安全產品和系統進行耦合、協同和管理。這類在產品架構和系統引擎級進行深度耦合的管理平臺為緊耦合結構安全管理平臺。但到目前為止，現有技術中還沒有符合深度耦合要求的安全管理平臺出現。

發明內容
本發明的目的在於針對上述現有技術的不足，提供一種具有緊耦合結構的安全管理平臺，我們稱之為可擴展廣譜安全掃描分析系統。該系統能夠對不同的安全產品在產品架構和系統引擎層面進行深度耦合。
本發明的另外一個目的在於提供該安全掃描分析系統的實現方法。
為實現上述的發明目的，本發明採用下述的技術方案一種可擴展廣譜安全掃描分析系統，其特徵在於所述系統具有調度引擎、掃描規則庫、協同規則庫和分析知識庫，其中所述調度引擎中包括調度器、協同規則解析引擎、掃描規則解析引擎、分析知識解析引擎以及對象信息獲取代理，由所述調度器進行統一調度；所述協同規則解析引擎連接所述協同規則庫，所述掃描規則解析引擎連接所述掃描規則庫，所述分析知識解析引擎連接所述分析知識庫；所述調度引擎通過所述對象信息獲取代理獲取分析對象的信息，並將結果放入結果庫中。
所述調度引擎獨立於所述掃描規則庫、協同規則庫和分析知識庫。
所述調度引擎通過調用原子掃描構件進行工作。
所述調度引擎通過信息獲取微構件與對象獲取代理進行連接。
所述調度引擎通過另一個信息獲取微構件連接知識樹，所述知識樹與所述分析知識解析引擎。
所述掃描規則解析引擎從掃描規則庫中獲取掃描規則，並將之分配給構件池中的至少一個原子掃描構件，所述原子掃描構件與所述調度引擎直接相連。
所述調度引擎通過至少一個掃描構件連接掃描信息總線，所述信息獲取微構件與所述掃描信息總線連接。
所述調度引擎有多個，彼此之間通過內部安全通信協議進行通信。
一種實現上述可擴展廣譜安全掃描分析系統的方法，其特徵在於包括如下步驟將掃描機制和協同機制從分析引擎中分離，分離了所述掃描機制和協同機制的所述分析引擎為調度引擎，所述調度引擎根據掃描規則庫和分析知識庫的有關內容處理分析對象，並通過統一的對象代理處理不同的分析對象所述調度引擎按照所述協同機制實現與其它調度引擎的協作。
本發明所提供的可擴展廣譜安全掃描分析系統是一種緊耦合結構的安全管理平臺，該平臺將分析引擎中的掃描規則剝離出來，使之成為純粹的調度引擎，再配合協同規則，從而能夠通過協同不同安全產品來共同完成單項技術無法完成的安全防護功能。它能夠有效支持安全隱患發現機制和應急響應機制的建立，從而構建高強度的人機協同信息安全維護體系，加強信息安全保障強度。


下面結合附圖和具體實施方式
對本發明作進一步的說明。
圖1為一個現有的安全掃描分析系統的系統邏輯架構圖。
圖2為不同的分析引擎之間進行協同時的邏輯架構圖。
圖3為本發明所述的可擴展廣譜安全掃描分析系統的抽象結構圖。
圖4為本發明所述的可擴展廣譜安全掃描分析系統的體系結構圖。
圖5為本發明所述的可擴展廣譜安全掃描分析系統的技術邏輯架構圖。
圖6為不同調度引擎協同工作時的系統運行部署架構圖。
具體實施例方式
從安全防護機制的角度來講，所有的安全產品從本質上可以劃分為兩類，一類是基於系統自身結構保證安全的，如加密設備和防火牆等，這類設備部署在網絡系統中將會改變系統的自身運行結構以增強安全防護強度；另一類是基於人機協同機制保證安全的，如入侵檢測、漏洞掃描、病毒掃描等，這類產品的主要功能是獲取和分析各種安全相關的信息並為安全管理人員提供決策支持信息，通過人機的共同協作完成入侵的消除、安全隱患的彌補、病毒信息的隔離等。
當前，以密碼機和防洩漏為核心技術構造的鏈路層防範體系較為成熟，其安全強度很高，但不適於在開放網絡環境中部署；以防火牆和密碼協議為核心技術構造的傳輸層防範體系適合於在開放網絡環境中部署，但是由於技術產品自身的局限性，傳輸層防範體系安全強度較低；在實際應用中，傳輸層防範體系和相關技術產品都需要藉助人機協同信息安全維護體系提高其安全強度。
然而，維護體系的構造遠比防範體系更為複雜，因為防範體系執行有限確知的任務，而維護體系是在不確知的環境中發現安全隱患並給出相應的應急策略。身份識別、入侵檢測、病毒掃描、漏洞評估、安全審計、協議分析等，服務於維護體系建設的產品層出不窮，卻沒有支持完整構造維護體系的技術和產品。事實上，支持完整構造人機協同信息安全維護體系的核心技術和產品是信息安全所急需的，本發明所述的廣譜安全掃描分析系統就是為滿足這類需求研製開發的。
為了便於理解本廣譜安全掃描分析系統的體系結構，首先介紹該系統的抽象概念模型。
如圖1所示，一個通常的安全掃描分析系統的邏輯架構是這樣的該系統以分析引擎為中心，分析知識庫和待分析數據分別與分析引擎連接，分析引擎根據分析資料庫和分析數據所提供的信息進行分析，所得到的分析決策傳送給結果庫。現有分析系統的掃描算法是硬編碼到分析引擎內部的。因此，當需要調整或優化掃描算法時，需要直接對系統的分析引擎代碼進行修改。
當不同產品需要有機協同完成某些工作時，比如入侵檢測引擎需要和漏洞掃描引擎以及審計分析引擎進行協同工作時，就需要設定單獨的協同算法和協同機制，並在需要協同的引擎中對協同算法和機制進行硬編碼，其邏輯架構如圖2所示。上述協同機制的概念在現有鬆散耦合的安全管理平臺中也有體現，其具體內容因參與協同的引擎的不同而有所區別。作為現有技術，在此就不詳細解釋了。
在協同工作的情況下中，各分析引擎之間的協同機制是通過硬編碼到需要進行協同的分析引擎內部來實現的。除非對分析引擎代碼進行直接修改，否則無法調整和改變協同機制。
在圖1和圖2所描述的技術內容基礎上，本發明人提出了如下的技術解決方案用掃描規則表述掃描算法，將硬編碼的掃描算法從分析引擎中分離出來；用協同規則表達不同引擎間的協同語義，將硬編碼的協同機制也從分析引擎中分離出來。此時，分析引擎的功能被拆解，掃描算法和協同機制從分析引擎中析出，僅僅剩下進行協調調度的功能。因此，我們將上述經過功能拆解後的分析引擎改稱為調度引擎。該調度引擎用統一的對象代理處理不同分析對象的數據，使之可以適應不同種類的掃描。於是一個安全掃描分析系統可以演化為圖3所示的邏輯架構該系統以調度引擎為中心，分析知識庫、分析對象庫、協同規則庫、掃描規則庫共同服務於該調度引擎，調度引擎所獲得的結果送入結果庫之中。
將圖3所示的概念模型映射到常見的安全掃描分析類系統如入侵檢測、安全審計、病毒掃描等，並進行進一步歸納，就可以得到本發明所述的廣譜安全掃描分析系統的體系架構。
該體系架構如圖4所示，它以調度引擎為中心。該調度引擎中包括調度器、協同規則解析引擎、掃描規則解析引擎、分析知識解析引擎以及對象知識獲取代理。協同規則解析引擎則負責解析各條協同規則的內容。掃描規則解析引擎則按照掃描規則的規定，負責進行對病毒、網絡攻擊、掃描刺探、系統漏洞、協議漏洞等網絡安全漏洞的掃描和防範。分析知識解析引擎負責從包含病毒、網絡攻擊、掃描刺探、系統漏洞、協議漏洞在內的分析知識庫中獲取有關網絡安全的知識。對象知識獲取代理作為調度引擎與分析對象的接口，負責將作為分析對象的程序、文件、日誌、報文、進程等內容提供給調度器。調度器實際上是本系統所確定的調度算法的邏輯抽象，它作為整個調度引擎的中心，首先負責從對象知識獲取代理處獲得有關對象的信息，並按照協同規則解析引擎解析得到的協同規則，結合分析知識庫的有關知識，利用掃描規則解析引擎進行安全掃描與分析。安全掃描的分析結果放入結果庫中。
作為一個實用的廣譜安全掃描分析系統，在上述調度引擎之上還具有人機互動接口和應急響應輔助工具。其中人機互動接口負責進行系統管理、策略分配、規則管理和信息處理等方面的工作。
通過上述知識、規則及對象邏輯分離的多層次體系結構，本系統實現了調度引擎和掃描規則及分析知識的完全分離，使得系統可以通過修改掃描規則庫和分析知識庫的方式進行靈活的功能擴展和生長，並以統一的體系架構提供了對入侵檢測、安全審計、漏洞掃描、病毒掃描等常見的掃描與分析類網絡安全系統的完全支持。這就是本系統被稱為可擴展廣譜安全掃描分析系統的原因所在。另外，將掃描規則和協同規則從系統中分離出來，一方面可以使得調度引擎功能更加單一、系統的整體結構更加清晰，另一方面，由於系統的掃描算法和協同機制可以通過規則管理和配置的方式進行動態調整和控制，使得管理員可以通過靈活、可定製的方式對系統的關鍵行為進行調整和深層次配置，充分體現了緊耦合安全平臺的優點。
本系統在實際實施的過程中，是通過調用各個不同的原子掃描構件進行工作的。所謂原子掃描構件是對一類數據信息結構執行單項掃描分析操作並給出單元級分析結果的掃描功能單元。它是一個靜態的功能組件，與一個原子任務綁定後形成一個原子掃描構件實例，能夠提供針對特定數據結構的特定分析掃描功能。它與任務的綁定是在實例化時由調度引擎根據掃描場景上下文完成的。在系統的掃描分析操作執行過程中，由調度引擎根據分析場景上下文激活相應的原子掃描構件，每個原子掃描構件與分析知識點信息綁定後實例化為一個原子掃描構件實例，多個原子掃描構件序列化成為一個複合構件，當一個複合構件完成的原子掃描任務序列恰好構成一個基本掃描任務，即完成對一條檢測規則的分析時，該複合構件稱為一個基本掃描構件。
參照圖5，調度引擎通過信息獲取微構件與對象獲取代理進行連接，該對象獲取代理具有網絡報文適配器、系統信息適配器和其他的信息適配器。另一方面，分析知識庫連接分析知識解析引擎，該分析知識解析引擎連接知識樹。知識樹也通過另一個信息獲取微構件與調度引擎相連接。掃描規則解析引擎從掃描規則庫中獲取掃描規則，並將之分配給構件池中的多個原子掃描構件，該多個原子掃描構件與調度引擎直接相連。調度引擎通過多個掃描構件連接掃描信息總線，上述的兩個信息獲取微構件也與掃描信息總線相連接。上述掃描信息總線是一種格式化信息存儲線性邏輯結構，用於動態儲存系統運行過程中需要在不同部分系統間傳遞和交換的數據信息，以有效支持各種基於掃描相關信息的協作與交換。
在上述的邏輯體系架構中，由於掃描規則、協同規則和分析知識從系統中完全分離出來，調度引擎在執行分析功能時，不需要掌握任何關於特定安全知識、掃描算法和對象數據的具體信息，只需要獲取掃描構件對應的函數指針、知識和對象信息對應的數據指針，並按照固定的方式進行執行操作即可完成獨立的掃描分析功能。這樣，調度引擎可以在不了解任何具體安全場景知識的情況下普適性地適合於不同安全掃描與分析系統的核心功能執行。我們將之稱為零知識調度引擎。所謂「零知識」是指調度引擎不需了解關於分析知識、掃描算法、協同機制和待處理對象的任何信息，只要按照統一、固定的調度模式調用和操作由不同的模塊經過解析和構建處理後提供的數據結構，即可準確地完成對應的安全掃描與分析功能。上述零知識調度引擎是本廣譜安全掃描分析系統的核心技術理念所在。它使得平臺的技術邏輯架構更加清晰，增強了不同技術層次的內聚性、弱化了層次之間的耦合度，使得平臺技術架構具備高度的靈活性和可擴展性。
為滿足整個系統在分布式網絡環境下的部署和對各安全子系統的有效控制管理，系統必須有一個統一、有效的分布式通信機制，同時必須保證系統內部控制、通信的高度安全性，防止監控平臺的部署為網絡引入新的安全隱患。為此我們設計了專用的安全通信協議。該協議應用在具有管理中心和多數個監控子系統的分布式網絡中，管理中心控制各監控子系統的協調，管理中心和監控子系統都包括調度器、消息處理子系統、安全子系統、監控信息更新/獲取子系統、上層應用和傳輸映射組件，具有如下技術特點1)當發送消息時，應用將要發送的消息類型、消息載荷和目標系統的編碼傳遞給調度器，調度器請求消息處理子系統準備一條消息，消息處理器準備好消息的除加密、鑑別參數外的頭部欄位以及原始的載荷欄位部分，並調用安全子系統，安全子系統根據消息處理器傳來的消息相關欄位對消息進行加密和鑑別處理，將加密和鑑別參數返給消息處理子系統，消息處理子系統準備好消息發送給調度器，調度器將準備好的發送消息映射到傳輸映射組件進行發送；2)當接收消息時，傳輸映射組件將接收到的消息和地址信息，傳遞給調度器，調度器調用消息處理器對消息進行分析，恢復出不同的欄位，消息處理器調用安全處理子系統對鑑別信息進行驗證，對加密的信息進行解密操作，消息處理器將恢復後的消息返回給調度器，調度器傳遞給需要接收該消息的應用。
上述協議可以提供三方面的功能1)為管理中心和各安全子系統及安全子系統之間的管理、控制、協同和其它通信提供豐富、準確的消息編碼支持；2)提供高強度的加密和認證機制，保證平臺運行的內部安全性，避免平臺的部署為網絡系統引入新的安全隱患；3)提供維護平臺自身健壯運行的自動維護機制，如心跳檢查、密鑰更新等。
如圖6所示，以零知識調度引擎和多層次邏輯分離的體系結構為核心，以安全通信協議為基礎通信設施，本廣譜安全掃描分析系統在實踐中可以採用下述的結構部署完成不同分析與掃描功能的子調度引擎如病毒掃描子調度引擎、入侵檢測子調度引擎、漏洞掃描子調度引擎等分別運行在不同的主機上，管理中心的中央調度引擎通過內部安全通信協議對子引擎實例進行統一調度與控制管理，從而形成一個分布式部署、集中式管理的主機群落。通過上述的結構部署，該系統實現了一種深度耦合的新型安全管理平臺，並以靈活、可擴展的體系架構對安全掃描與分析類功能產品提供了完全開放式支持，實現了對病毒掃描、入侵檢測、漏洞掃描、安全審計等多種安全掃描分析功能組件的深層次控制管理和有機協同。
上面雖然通過實施例描繪了本發明，但本領域普通技術人員知道，本發明有許多變形和變化而不脫離本發明的精神，所附的權利要求將包括這些變形和變化。
權利要求
1.一種可擴展廣譜安全掃描分析系統，其特徵在於所述系統具有調度引擎、掃描規則庫、協同規則庫和分析知識庫，其中所述調度引擎中包括調度器、協同規則解析引擎、掃描規則解析引擎、分析知識解析引擎以及對象信息獲取代理，由所述調度器進行統一調度；所述協同規則解析引擎連接所述協同規則庫，所述掃描規則解析引擎連接所述掃描規則庫，所述分析知識解析引擎連接所述分析知識庫；所述調度引擎通過所述對象信息獲取代理獲取分析對象的信息，並將結果放入結果庫中。
2.如權利要求1所述的可擴展廣譜安全掃描分析系統，其特徵在於所述調度引擎獨立於所述掃描規則庫、協同規則庫和分析知識庫。
3.如權利要求1所述的可擴展廣譜安全掃描分析系統，其特徵在於所述調度引擎通過調用原子掃描構件進行工作。
4.如權利要求3所述的可擴展廣譜安全掃描分析系統，其特徵在於所述調度引擎通過信息獲取微構件與對象獲取代理進行連接。
5.如權利要求4所述的可擴展廣譜安全掃描分析系統，其特徵在於所述調度引擎通過另一個信息獲取微構件連接知識樹，所述知識樹與所述分析知識解析引擎。
6.如權利要求3所述的可擴展廣譜安全掃描分析系統，其特徵在於所述掃描規則解析引擎從掃描規則庫中獲取掃描規則，並將之分配給構件池中的至少一個原子掃描構件，所述原子掃描構件與所述調度引擎直接相連。
7.如權利要求3所述的可擴展廣譜安全掃描分析系統，其特徵在於所述調度引擎通過至少一個掃描構件連接掃描信息總線，所述信息獲取微構件與所述掃描信息總線連接。
8.如權利要求1所述的可擴展廣譜安全掃描分析系統，其特徵在於所述調度引擎有多個，彼此之間通過內部安全通信協議進行通信。
9.一種實現如權利要求1所述的可擴展廣譜安全掃描分析系統的方法，其特徵在於包括如下步驟將掃描機制和協同機制從分析引擎中分離，分離了所述掃描機制和協同機制的所述分析引擎為調度引擎，所述調度引擎根據掃描規則庫和分析知識庫的有關內容處理分析對象，並通過統一的對象代理處理不同的分析對象。
10.如權利要求9所述的實現可擴展廣譜安全掃描分析系統的方法，其特徵在於所述調度引擎按照所述協同機制實現與其它調度引擎的協作。
全文摘要
本發明公開了一種可擴展廣譜安全掃描分析系統。該系統具有調度引擎、掃描規則庫、協同規則庫和分析知識庫，調度引擎中不包含掃描規則、協同規則和分析知識的內容，因此稱之為「零知識調度引擎」。調度引擎中包括調度器、協同規則解析引擎、掃描規則解析引擎、分析知識解析引擎以及對象信息獲取代理，由調度器進行統一調度；協同規則解析引擎連接協同規則庫，掃描規則解析引擎連接掃描規則庫，所述分析知識解析引擎連接分析知識庫；調度引擎通過對象信息獲取代理獲取分析對象的信息，並將結果放入結果庫中。本系統通過對各安全產品的深度耦合、協同和管理，能夠通過協同不同安全產品共同完成單項技術無法完成的安全防護功能。
文檔編號H04L12/24GK1694413SQ20041010295
公開日2005年11月9日 申請日期2004年12月30日 優先權日2004年10月29日
發明者懷進鵬, 劉利軍, 張文燚, 劉旭東, 劉慶雲, 楊超峰, 馬玲 申請人:北京航空航天大學