一種基於雲計算環境的全信息安全取證監聽方法和系統的製作方法

2023-05-16 09:06:56 2

專利名稱：一種基於雲計算環境的全信息安全取證監聽方法和系統的製作方法
技術領域：
本發明涉及網絡安全技術領域，尤其涉及一種基於雲計算環境的全信息安全取證監聽方法和系統。
背景技術：
隨著網際網路網絡技術特別是WWW (World Wide Web，全球資訊網)技術的快速發展，網際網路也越來越多的應用到各行各業之中。人類社會紛紛將各種活動遷移到了網際網路上，形成了以電子政務、電子商務、電子金融、電子教學等為代表的各種應用，使得網際網路的使用成為人類日常的生活習慣。在這個進程中，網絡安全問題逐漸受到人們的關注，並隨著安全事件的不斷湧現而成為熱點問題。目前主要的網絡安全問題有黑客攻擊(Hacking)，惡意代碼(Malware)(包括特洛伊木馬Tro jans、螺蟲病毒Worms、間謀軟體Spyware),流t民軟體(又叫Adware)),網絡欺詐(Phishing Attack)和網絡攻擊(Attack)(包括 DDoS、殭屍網絡 Botnet)等。針對這些問題，網絡安全防護提出了相應的解決方案。安全威脅日益複雜多樣，攻擊手段日益綜合。很多複合式安全攻擊融合了如蠕蟲病毒、木馬、間諜軟體等多種手段，單純依靠以單一的防火牆為代表的傳統安全解決方案已經無法奏效。而採購、部署和管理多種單獨防護手段如反釣魚、反螺蟲、IPS (Intrusion Prevention System,入侵防禦系統)等安全設備往往需要企業花費巨大的經濟和人力的開銷，並需要專業的網絡管理知識，從而給企業帶來了巨大的維護成本。網絡監測可以實時地監測企業內網中網絡狀態，可以及時地對內部入侵或攻擊行為做出判斷，從而提高企業網絡安全等級，網絡監控作為一種發展比較成熟的技術，監聽網絡傳輸的數據，排除網絡故障等方面具有不可替代的作用，因而一直倍受網絡管理員的青睞。目前市場上的網絡監聽裝置或抓包裝置種類比較少，部分監聽裝置側重於提高抓包速度，在這方面做了很多改進，部分監聽裝置突出了抓取數據包的準確率，在接收數據的過濾技術上做了很多的工作，還有部分監控裝置致力於解決現有技術中無法實時監聽目標定位，還有還原監聽數據內容不精確的問題。當前的主流網絡監控裝置都是單獨運行的，裝置之間缺少統一部署和協作，因此在大存儲和高性能的需求上還表現得還不夠完善。因此當面臨大數據，多伺服器集中監聽的時候，傳統的監控裝置不能很好的適應。隨著網絡的發展，網絡所提供的服務越來越多，因此，在網絡上提供各種服務與應用的主機也越來越多，由此帶來的系統維護也變得越來越複雜；企業的運作對於IT系統的依賴性越來越強，用戶對網絡服務的要求越來越高，因此服務的故障甚至中斷會給用戶帶來抱怨，也對政府、企業的信譽和形象帶來損害。然而，系統的故障甚至中斷是在所難免的，而如何在最短的時間內發現故障是挽回損失和解決問題的第一步，因此，主機管理、網絡管理是必不可少的助手。因此需要一種網絡監測系統幫助網絡管理員隨時隨地了解整個網絡系統運行情況，從而保障網絡的安全。
雲計算是一種基於網際網路的計算方式，通過這種方式，共享的軟硬體資源和信息可以按需提供給計算機和其他設備。雲計算描述了一種基於網際網路的新的IT服務增加、使用和交付模式，通過網際網路來提供動態易擴展而且是虛擬化的資源。雲計算一般來說包括以下幾個層次的服務:基礎設施即服務(Infrastructure as a Service,簡稱IaaS),平臺即服務(Platform as a Service,簡稱PaaS)和軟體即服務(Software as a Service,簡稱SbbS)o現行的網絡監聽工具主要是針對單點的網絡監聽進行研究的，並沒有對大規模、多服務的網絡環境的監聽進行研究，並沒有注意到現在企業或政府的伺服器集群越來越大、網絡拓撲蔓延越來越廣、對網絡速度的要求越來越高，單點的網絡監聽及低速的監聽裝置越來越不適應現在企業和社會的發展需求。此外，雲計算這一新興的計算模式在IT界異軍突起，由雲計算帶動的產品收益也成幾何級數增長，作為IT領域的產品，也要與時俱進，將監聽技術與雲計算相結合，充分利用雲計算的優點，提高監聽產品的性能。

發明內容
(一)要解決的技術問題針對上述缺陷，本發明要解決的技術問題是如何採用基於雲計算環境下的分析和存儲，實現了多節點全局高效快速的網絡監聽。(二)技術方案為解決上述問題，本發明提供了一種基於雲計算環境的全信息安全取證監聽方法，所述方法具體包括以下步驟:S1:基於雲計算對整個分布式網絡進行部署，包括監聽節點、匯聚節點和監控中心,並配置參數；S2:所述監聽節點抓取網絡交換設備中的數據包獲取原始數據，對所述原始數據進行暫存和實時分析，並根據控制指令將所述原始數據和實時分析得到的分析結果上傳給所述匯聚節點；S3:所述匯聚節點對所述原始數據和所述分析結果進行壓縮、轉換和緩存，上傳給所述監控中心；S4:所述監控中心對從所述匯聚節點接收到的數據進行匯總、雲存儲和分析，形成監聽報表，並根據所述監聽報表得出安全策略。進一步地，所述步驟SI中基於雲計算對整個分布式網絡進行部署具體是進行分網段的部署，將整個網絡分成多個網段，每個網段內設置多個監聽節點；所述監聽節點的網絡接口採用混雜模式，對網段內的數據包採取異步抓包進行抓取；所述監控中心包括多個匯聚節點，隸屬於所述監控中心的匯聚節點向所述監控中心進行註冊，並通過所述匯聚節點獲取所述監控中心發布的對匯聚節點的配置信息；所述匯聚節點包括多個監聽節點，屬於所述匯聚節點的監聽節點向所述匯聚節點進行註冊，所述匯聚節點接收監聽節點的註冊後將每個註冊的監聽節點的地址信息反饋給所述監控中心，並獲取所述監控中心發布的對監聽節點的配置信息。進一步地，所述步驟S2中對所述原始數據進行暫存具體包括:判斷存儲空間的容量是否達到容量閾值，如果達到則發出提醒或自動刪除存儲時間最早的原始數據，否則進行循環存儲。進一步地，所述步驟S2中對所述原始數據進行實時分析具體包括:流量分析、協議分析、告警分析和查詢分析。進一步地，所述步驟S2中上傳給所述匯聚節點的原始數據就是暫存在所述監聽節點的數據，上傳給所述匯聚節點的分析結果通過暫存再進行上傳。進一步地，所述步驟S3中所述匯聚節點對接收的數據進行壓縮和轉換，再進行數據化格式處理，並將處理後的數據進行緩存，緩存後的數據上傳給所述監控中心，當所述監控中心的存儲和解析速度小於所述監聽節點的抓包速度時，所述匯聚節點對數據進行本地緩存，直到網絡有空閒時才將緩存的數據存儲到資料庫中。進一步地，所述步驟S4中對數據的雲存儲的同時設置訪問權限，禁止無權限者的訪問或修改；對數據的分析具體包括對數據的實時查詢和精確分析。為解決上述技術問題，本發明還提供了一種基於雲計算的全信息安全取證監聽系統，包括:監聽節點、匯聚節點和監控中心；其中所述監聽節點包括抓包模塊、暫存模塊、實時分析模塊和策略模塊；所述匯聚節點包括監聽管理模塊、上行數據處理模塊、下行策略處理模塊和系統配置模塊；所述監控中心包括分析檢索模塊、雲存儲模塊、策略制定模塊、報表導出模塊、通知報告模塊和參數配置模塊；所述系統還包括通信模塊，用於所述監聽節點與所述匯聚節點的通信、所述匯聚節點與所述監控中心的通信和所述監控中心與雲計算平臺的通信。進一步地，所述抓包模塊用於抓取網絡交換設備中的網絡數據包，獲取原始數據；所述暫存模塊用於對所述原始數據和所述實時分析模塊分析後的分析結果進行暫存；所述實時分析模塊用於對所述原始數據進行實時分析，得到分析結果；所述策略模塊用於接收所述匯聚節點轉發的配置信息，並實施相應的策略、控制其它模塊的行為。更進一步地，暫存模塊具體包括判斷模塊、循環存儲模塊和刪除模塊；所述判斷模塊用於判斷存儲空間的容量是否達到容量閾值，如果達到則進入所述通知報告模塊或所述刪除模塊，否則進入所述循環存儲模塊；所述刪除模塊用於根據接收到的所述通知報告模塊發出的控制指令進行刪除或自動刪除存儲時間最早的原始數據；所述循環存儲模塊用於存儲所述原始數據，並記錄存儲時間。更進一步地，所述實時分析模塊具體包括流量分析子模塊、協議分析子模塊、告警分析子模塊和查詢分析子模塊；其中所述流量分析子模塊用於分析抓取的數據包的大小，並計算出數據包的流量;
所述協議分析子模塊用於分析抓取的數據包的協議類型，並判斷出所述協議類型不符合協議規則的數據包；所述告警分析子模塊用於根據遠程配置策略對流量、協議和內容進行分析，如果符合告警規則進行告警記錄並上報；所述查詢分析子模塊用於根據所述監控中心下發的控制指令進行查詢，將符合條件的數據導出到指定位置。進一步地，所述監聽管理模塊用於接收所述監聽節點向所述匯聚節點的註冊，還用於接收所述監聽節點的心跳信息，當一段時間沒有接收到所述心跳信息時向所述監控中心匯報監聽節點的異常信息，請求更新配置信息；所述上行數據處理模塊用於對所述監聽節點上傳的原始數據和分析結果進行壓縮、轉換，再進行數據化格式處理，並將處理後的數據進行緩存，緩存後的數據上傳給所述監控中心；所述下行策略處理模塊用於對所述監控中心下發的策略和控制指令的目的地址進行解析，並轉發給與所述目的地址相應的監聽節點；所述系統配置模塊從所述監控中心接收配置信息，將對所述監聽節點的配置信息轉發給相應的監聽節點，並向所述監控中心上報自身的狀態信息。進一步地，所述雲存儲模塊用於對從所述匯聚節點接收到的數據進行匯總，並保存到資料庫中，同時設置訪問權限，禁止無權限者的訪問或修改；所述分析檢索模塊用於對數據進行實時查詢和精確分析；所述策略制定模塊用於根據所述分析結果制定所述監聽節點、所述匯聚節點和所述監控中心的抓包策略、存儲策略和分析策略；所述報表導出模塊用於將所述監聽節點和所述匯聚節點上傳的數據和分析結果整合成報表並導出；所述通知報告模塊用於當系統中出現故障或警告時進行提示；所述參數配置模塊用於對系統的參數進行配置，其中包括設置所述監聽節點的網絡接口為混雜模式，抓取數據包採用異步抓取方式，還包括所述監聽節點暫存數據時的存儲空間的容量閾值。(三)有益效果本發明提供了一種基於雲計算環境的全信息安全取證監聽方法和系統，主要是針對企業級用戶，為其提供多節點監聽、集中管理、基於雲計算環境下的全信息安全取證分布式監聽方案，在採用雲存儲技術具有大容量、高性能、高可用性和高效管理，實現了文件存儲、時間同步、實時全方位備份、支持分布式存儲和網絡存儲的功能。本發明確保監聽方案從全局出發，實現了統一管理及全面分析網絡安全狀態等功能。根據實際的網絡拓撲需求提供靈活部署方案，依據網絡大小和需求，進行靈活部署，實現內網擴展，通過控制中心進行相關查詢和操作，從而靈活地、全局性地實現計算機網絡安全策略的控制。


圖1為本發明實施例一中的一種基於雲計算環境的全信息安全取證監聽方法的步驟流程圖2為本發明實施例一中的一種基於雲計算環境的全信息安全取證監聽方法的實施流程圖；圖3為本發明實施例二中的一種基於雲計算環境的全信息安全取證監聽系統的系統架構圖；圖4為本發明實施例二中監聽節點的模塊架構圖；圖5為本發明實施例二中暫存模塊的組成示意圖；圖6為本發明實施例二中匯聚節點的模塊架構圖；圖7為本發明實施例二中監控中心的模塊架構圖。
具體實施例方式下面結合附圖和實施例，對本發明的具體實施方式
作進一步詳細描述。以下實施例用於說明本發明，但不用來限制本發明的範圍。實施例一本發明實施例一中提供了種基於雲計算環境的全信息安全取證監聽方法，步驟流程如圖1所示，具體包括以下步驟:步驟S1:基於雲計算對整個分布式網絡進行部署，包括監聽節點、匯聚節點和監控中心，並配置參數。具體的，基於雲計算對整個分布式網絡進行部署具體是進行分網段的部署，將整個網絡分成多個網段，每個網段內設置多個監聽節點。監控中心包括多個匯聚節點，監控中心啟動後，等待匯聚節點聯繫，隸屬於監控中心的匯聚節點向監控中心進行註冊，並獲取監控中心發布的對匯聚節點的配置信息。匯聚節點包括多個監聽節點，匯聚節點啟動後，屬於匯聚節點的監聽節點向匯聚節點進行註冊。匯聚節點接收監聽節點的註冊後，存儲下每個監聽節點的地址信息，並將每個註冊的監聽節點的地址信息反饋給監控中心，獲取監控中心發布的對監聽節點的配置信息，並向監控中心詢問是否有更新，如果有更新及時轉發給相應的監聽節點。在硬體配置上，監聽節點要求具備兩個以上的網卡，一個設置為混雜模式，負責進行網絡監聽和抓取數據包；另一個負責將數據上傳到匯聚節點和接收監控中心下發的遠程配置信息。計算機網卡工作在非混雜模式下時，網卡只接受來自網絡埠的目的地址指向自己的數據或者是廣播數據，而對於其他地址的數據幀，網絡接口在驗證其目的地址不是本機的地址時，一律選擇丟棄。在本實施例中，將監聽節點的網絡接口設置為混雜模式，使監聽節點能夠抓取到其所監聽網段的所有網絡數據信息，每個監聽節點將抓取到的數據信息上傳到匯聚節點。另外，本實施例中採用異步抓包方式，將高速數據傳輸傳下的數據包抓取並保存成統一的通用文件格式，然後經過初步解析保存在當地的存儲區中，抓包和存儲不相關，這樣可以提高抓包速度，當存儲和解析速度跟不上抓包速度時候，系統會在匯聚節點自動緩存下來所抓取的數據包。當緩存區的容量不夠存放數據包時候，才自動丟棄數據包。在企業或機構的內部網絡中，基於雲計算環境的模式，監聽節點通過網線與被監聽網段的網絡交換設備相連接，並且具有獨立的供電方案，通過將網絡交換設備設置為混雜模式，監聽裝置可以監聽到通過這部交換設備的全部網絡數據信息。所有監聽裝置通過網線與匯聚裝置相連接，匯聚裝置再通過網線與監控中心連結組成網管網。分網段部署，可以做到全面的內部網絡監測，確保企業內部網絡安全。步驟S2:監聽節點抓取網絡交換設備中的數據包獲取原始數據，對原始數據進行暫存和實時分析，並根據控制指令將原始數據和實時分析得到的分析結果上傳給匯聚節點。在此步驟中暫存的不僅僅是原始數據，還包括經過實時分析得到的分析結果，並上傳給匯聚節點。具體的，對原始數據或分析結果進行暫存具體包括:判斷存儲空間的容量是否達到容量閾值，如果達到則通過監控中心發出提醒提示用戶存儲空間不足，以便用戶可以採取刪除或暫停監聽網絡的方式來處理；或自動刪除存儲時間最早的原始數據，否則進行循環存儲。其中容量閾值是在參數設置上進行設置的。因為將解析出的數據存入存儲區域的同時也記錄下每條數據的存儲時間，所以當超出容量閾值時會將存儲時間較早的數據刪除。對原始數據進行實時分析具體包括:流量分析、協議分析、告警分析和查詢分析，其中側重對當前流量的實時信息進行分析，但不對網絡整體信息進行展現，也不會運行複雜的分析算法進行數據挖掘等操作。其中流量分析，通過將抓取的數據包中進行分析，能夠得到數據包的大小信息，然後通過資料庫統計出數據包的流量。流量分析的目的是為了分析監測網絡當中流量的分布情況，通過分析網絡當中的流量系統能夠靈活的對網絡做出預測，同時也能夠保障系統自身的有效運行。協議分析，通過對抓取的數據包分析，可以解析出每個數據包的協議類型，每種數據包都有自己獨特的協議類型欄位和內容欄位，通過對數據包協議的判定，可以對網絡中傳輸的數據進行有效的安全監控，當發現有不符合協議規則的數據包時，能夠有效的做出判斷，保障系統的安全性。告警分析，根據遠程配置策略，對流量、協議和內容進行分析時，如果發現數據負責配置信息中的告警策略，則進行記錄和上報。查詢分析，根據監控中心下達的控制指令，以及人為操作指令，將符合條件的暫存信息(原始流量數據)導出到指定位置(通過網絡接口、web接口或文件接口等方式)。監聽節點還負責接收監控模塊下達的配置信息，並實施相應的策略和控制行為，即控制其他模塊的行為，主要功能有:系統配置信息:例如系統名稱、安全口令、網絡地址和存儲位置等；以及心跳規則
坐寸ο抓包和存儲規則:存儲何種數據包、放棄何種數據包；分析規則:例如數據分析的粒度和協議內容、關鍵字等；告警規則:何種情況下告警，告警時觸發何種行為，以及數據上傳規則、數據導出規則等。步驟S3:匯聚節點對原始數據和分析結果進行壓縮、轉換和緩存，上傳給監控中心。匯聚節點的主要作用就是對網絡進行分級化控制，減少設備定位和管理上的開銷，也減少數據上報和策略下發的開銷。將監聽節點傳輸來的數據進行聚集(壓縮、轉換)和統一的數據格式化處理，方便此後的存儲和解析(上傳到監控中心)。同時為了提高系統的可靠性和有效性，在匯聚節點設置有緩存。匯聚節點對接收的數據進行壓縮和轉換，再進行數據化格式處理，並將處理後的數據進行緩存，緩存後的數據上傳給監控中心，當監控中心的存儲和解析速度小於監聽節點的抓包速度時，匯聚節點對數據進行本地緩存，直到網絡有空閒時才將緩存的數據存儲到資料庫中。當緩存區的容量不夠存放數據包時候，自動丟棄數據包。步驟S4:監控中心對從匯聚節點接收到的數據進行匯總、雲存儲和分析，形成監聽報表，並根據監聽報表得出安全策略。雲存儲就是分布式存儲對抓取的數據包經過解析後的文件以及通過實時分析之後保存到資料庫中的文件。解析後的數據文件保存到開源雲計算平臺分布式文件系統HDFS或其它類似系統中。對數據的雲存儲的同時設置訪問權限，禁止無權限者的訪問或修改，採用「一次寫入，多次讀取」的存儲策略，數據一旦寫入，則不能被修改，只能供讀取，以滿足取證和審計等需求。對數據的分析具體包括對數據的實時查詢和精確分析，對數據進行匯聚、數據挖掘和預測等複雜分析，強調對海量數據進行特定的運算，以得到運算的結果。採取HBASE、Map/reduce等開源分布式處理技術,實現對海量數據的實時查詢和精確分析。控制中心將監聽節點和匯聚節點中的數據信息以及分析結果整合成報表的形式，報表以html文件格式讓管理員在web界面中瀏覽，或通過PDF文件格式的方式讓管理員選擇性的導出查看。在監控中心還能按照管理員制定的管理策略對系統的分析結果做出相應的控制操作，操作指令以xml (可擴展標記語言)文件形式提供給管理員。策略定製內容包括對監聽節點、匯聚節點和監控中心本身的各種抓包策略、存儲策略和分析策略等進行定製，管理員將策略定製好之後，下達給各個目標設備，各目標設備才能進行正常工作。根據上述步驟流程，本發明的方法實施流程如圖2所示。通過上述方法，提供多節點監聽、集中管理、基於雲計算環境下的全信息安全取證分布式監聽方案，在採用雲存儲技術具有大容量、高性能、高可用性和高效管理，實現了文件存儲、時間同步、實時全方位備份、支持分布式存儲和網絡存儲的功能。本發明確保監聽方案從全局出發，實現了統一管理及全面分析網絡安全狀態等功能。根據實際的網絡拓撲需求提供靈活部署方案，依據網絡大小和需求，進行靈活部署，實現內網擴展，通過控制中心進行相關查詢和操作，從而靈活地、全局性地實現計算機網絡安全策略的控制。實施例二本發明實施例二中還提供了一種基於雲計算環境的全信息安全取證監聽系統，系統架構如圖3所示,具體包括:監聽節點、匯聚節點和監控中心。系統中還包括通信模塊，用於監聽節點與匯聚節點的通信、匯聚節點與監控中心的通信和監控中心與雲計算平臺的通信。通信協議採用廣泛應用的TCP/IP協議並使用socket (套接字)編程實現監控中心與監聽節點和匯聚節點之間的通信以及時間同步。
管理員可以通過監控中心對整個網絡監聽環境進行控制和監聽，而且還可以通過監控中心對其控制下的匯聚節點和監聽節點進行控制，包括監聽節點或匯聚節點的啟動或停止，以及配置監聽節點、匯聚節點和監控中心自身的抓取規則、分析規則、暫存規則等。監聽節點的模塊架構圖如圖4所示，具體包括:抓包模塊11、暫存模塊12、實時分析模塊13和策略模塊14。監聽節點在硬體配置上，要求具備兩個以上的網卡，一個設置為混雜模式，負責進行網絡監聽和抓取數據包；另一個負責將數據上傳到匯聚節點和接收監控中心下發的遠程
配置信息。抓包模塊11用於抓取網絡交換設備中的網絡數據包，獲取原始數據。抓包模塊11是監聽節點的基礎，所有對網絡安全監測都是基於抓網絡數據包來進行的，抓包模塊11通過監聽節點對網絡交換設備中經過的數據包進行抓取來獲得安全數據信息。網卡在混雜模式下使監聽節點能夠抓取到其所監聽網段的所有網絡數據信息，每個監聽節點將抓取到的數據信息上傳到匯聚節點。抓包模塊11採用異步抓包方式，現將高速數據傳輸傳下的數據包抓取並保存成統一的通用文件格式，然後經過初步解析保存在當地的存儲區中，抓包和存儲不相關，這樣可以提高抓包速度，當存儲和解析速度跟不上抓包速度時候，系統會自動緩存下來所抓取的數據包。當緩存區的容量不夠存放數據包時候，自動丟棄數據包。暫存模塊12用於對原始數據和實時分析模塊分析後的分析結果進行暫存。本系統中採用分布式存儲和集中存儲相結合的方式。在監聽節點會對抓取數據進行暫存和分析，並根據策略將部分數據和分析結果上傳到匯聚節點，並最終上傳到監控中心進行永久存儲。這兩種存儲的區別是:監聽節點的暫存模塊12對原始抓包數據(以及實時分析的分析結果進行存儲)，屬於分布式存儲；而監控中心的雲存儲模塊32則是對匯聚節點整理、上傳的數據進行再分析，分析後的數據再進行存儲，屬於集中存儲。暫存系統中，設置容量閾值，當存儲空間的容量到達一定的閾值時，會通過監控中心向客戶發出警告，提醒用戶存儲空間不夠，用戶可以採取刪除或者是暫停監聽網絡等方式來處理。如果客戶未能採取相關的措施，存儲系統自動按照日期的先後順序刪除一定容量的數據。存儲系統的容量閾值可以通過監控中心、管理員進行設置，刪除過程自動完成，確保裝置工作流的一致性。暫存模塊12的組成示意圖如圖5所示，具體包括判斷模塊121、循環存儲模塊122和刪除模塊123。判斷模塊121用於判斷存儲空間的容量是否達到容量閾值，如果達到則進入通知報告模塊或刪除模塊123，否則進入循環存儲模塊122。刪除模塊123用於根據接收到的通知報告模塊35發出的控制指令進行刪除或自動刪除存儲時間最早的原始數據；循環存儲模塊122用於存儲原始數據，並記錄存儲時間。實時分析模塊13用於對原始數據進行實時分析，得到分析結果。實時分析模塊13是監聽節點的核心部分，負責對數據進行實時分析，分析側重對當前流量的實時信息進行分析，但不對網絡整體信息進行展現，也不會運行複雜的分析算法進行數據挖掘等操作。
實時分析模塊13具有四種功能，分別由四個模塊實現，具體包括流量分析子模塊131、協議分析子模塊132、告警分析子模塊133和查詢分析子模塊134。流量分析子模塊131用於分析抓取的數據包的大小，並計算出數據包的流量。通過將抓取的數據包進行分析，能夠得到數據包的大小信息，然後通過資料庫統計出數據包的流量。流量分析的目的是為了分析監測網絡當中流量的分布情況，通過分析網絡當中的流量分布情況能夠靈活的對網絡做出預測，同時也能夠保障系統自身的有效運行。協議分析子模塊132用於分析抓取的數據包的協議類型，並判斷出協議類型不符合協議規則的數據包。對抓取數據包分析可以解析出每個數據包的協議類型，每種數據包都有自己獨特的協議類型和內容，分別用不同的欄位進行表示。通過對數據包協議的判定，可以對網絡中傳輸的數據進行有效的安全監控，當發現有不符合協議規則的數據包時，能夠有效的做出判斷，保障系統的安全性。告警分析子模塊133用於根據遠程配置策略對流量、協議和內容進行分析，如果符合告警規則進行告警記錄並上報。根據遠程配置策略，對流量、協議和內容進行分析時，如果發現數據符合配置信息中的告警策略，則進行記錄和上報。查詢分析子模塊134用於根據監控中心下發的控制指令進行查詢，將符合條件的數據導出到指定位置。根據監控中心根據策略分析結果下達的控制指令以及管理員通過監控中心下發的操作指令，將符合條件的暫存信息(原始流量數據)通過網絡接口、web接口或文件接口等方式導出到指定位置。策略模塊14用於接收匯聚節點轉發的配置信息，並實施相應的策略、控制其它模塊的行為。策略模塊14負責接收監控中心下達的且經過匯聚節點轉達的配置信息，並實施相應的策略和控制行為，即控制其他模塊的行為，因此主要有以下功能:系統配置信息:系統名稱、安全口令、網絡地址和存儲位置等，以及心跳規則等；抓包和存儲規則:包括存儲何種數據包，放棄何種數據包；分析規則:例如數據分析的粒度和協議內容、關鍵字等，以及數據上傳規則，數據導出規則等；告警規則:何種情況下告警，告警時觸發何種行為。匯聚節點的模塊架構如圖6所示，匯聚節點的主要作用在於實現分級化的系統控制，從而減少設備定位和管理上的開銷，減少數據上報和策略下發時的開銷，匯聚節點具體包括:監聽管理模塊21、上行數據處理模塊22、下行策略處理模塊23和系統配置模塊24。監聽管理模塊21用於接收監聽節點向匯聚節點的註冊，還用於接收監聽節點的心跳信息，當一段時間沒有接收到心跳信息時向監控中心匯報監聽節點的異常信息，請求更新配置信息。上行數據處理模塊22用於對監聽節點上傳的原始數據和分析結果進行壓縮、轉換，再進行數據化格式處理，同時為了提高系統的可靠性和有效性，在匯聚節點設置有緩存，將處理後的數據進行緩存，緩存後的數據再上傳給監控中心。當監聽的網段的數據量太大以至存儲和解析速度跟不上抓包速度時候，可以將數據暫時存儲在匯聚節點的緩存中，等待網絡相對空閒時，再將緩存中的數據存儲到資料庫中。當緩存區內不夠存放數據包時候，自動丟棄數據包。
下行策略處理模塊23用於對監控中心下發的策略和控制指令的目的地址進行解析，並轉發給與目的地址相應的監聽節點。系統配置模塊24從監控中心接收配置信息，將對監聽節點的配置信息轉發給相應的監聽節點，並向監控中心上報自身的狀態信息。監控中心的模塊架構如圖7所示，分成能力層和操作層兩層，其中能力層負責提供存儲以及計算能力(分析、檢索和數據挖掘等)，包括分析檢索模塊31、雲存儲模塊32 ;操作層負責進行抓包、存儲、分析和通信等策略的配置，監控當前網絡狀態和接收通知報告(告警信息和匯總報告)，包括策略制定模塊33、報表導出模塊34和通知報告模塊35,監控中心還包括參數配置模塊36。其中，分析檢索模塊31用於對數據進行實時查詢和精確分析。分析檢索模塊31採取HBASE、Map/reduce等開源分布式處理技術，實現對海量數據的實時查詢和精確分析。Map/reduce計算模型可以快速分析處理大量數據包,極大地提高分析文件的效率，同時保證文件的完整性，節約成本。實時查詢:通過使用編制查詢條件，查詢資料庫當中的特定數據信息並以web頁面的方式顯示給管理員，使得在海量數據中，能夠快速查到符合要求的數據。精確分析:對數據進行匯聚、數據挖掘和預測等複雜分析，對海量數據進行特定的運算，以得到運算的結果。雲存儲模塊32用於對從匯聚節點接收到的數據進行匯總，並保存到資料庫中，同時設置訪問權限，禁止無權限者的訪問或修改。雲存儲模塊32將對超過3個月以上的相關數據進行存儲，以實現安全取證和審計等操作。對於告警數據和滿足取證策略的原始數據，雲存儲模塊32經由匯聚節點從監聽節點獲取原始證據數據，進行安全存儲，並設置訪問權限，禁止無權限者訪問或修改。雲存儲模塊32採用「一次寫入，多次讀取」的存儲策略，數據一旦寫入，則不能被修改，只能供讀取，以滿足取證和審計等需求。雲存儲模塊33的主要作用是分布式存儲對抓取的數據包經過解析後的文件以及通過分析子模塊之後保存到資料庫中的文件。解析後的數據文件保存到開源雲計算平臺分布式文件系統HDFS或其它類似系統中。經過分析後的數據信息保存到分布式、面向列的開源資料庫HBASE或其它類似系統中，以便實現快速檢索和擴展。雲存儲模塊33具有可擴展性，利用了 HDFS等分布式存儲開源軟體的特性，通過在監控中心並行增加存儲硬體設備實現擴展。策略制定模塊33用於根據分析結果制定監聽節點、匯聚節點和監控中心的抓包策略、存儲策略和分析策略。策略制定模塊33按照管理員制定的管理策略，對系統的分析結果做出相應的應對操作並發出操作指令，結果以xml (可擴展標記語言)文件形式提供給管理員。策略定製內容包括對監聽節點、匯聚節點和監控中心本身的各種抓包策略、存儲策略和分析策略等進行定製，管理員將策略定製好之後，下達給各個目標設備，各目標設備才能進行正常工作。報表導出模塊34用於將監聽節點和匯聚節點上傳的數據和分析結果整合成報表並導出。報表導出模塊34的主要功能是將監聽節點和匯聚節點中的數據信息以及功能模塊中分析的結果整合成報表的形式，報表可以以html文件格式讓管理員在web界面中瀏覽，也可以通過PDF文件格式的方式讓管理員選擇性的導出查看。通知報告模塊35用於當系統中出現故障或警告時進行提示。通知報告主要包括各個功能模塊的故障、安全告警等，其中的故障主要包括參數配置出現的故障、功能模塊中出現的運行故障、管理員的不當操作導致的故障以及管理模塊中出現的故障等。通知報告採用分級處理的方式，高優先級的通知直接通過簡訊郵件、系統彈出窗口等方式出現，低優先級通知則只會集中在警告文件中，管理員可以通過查看相關的文件來查詢。參數配置模塊36用於對系統的參數進行配置，其中包括設置監聽節點的網絡接口為混雜模式，抓取數據包採用異步抓取方式，還包括監聽節點暫存數據時的存儲空間的
容量閾值。其中參數包括系統運行基本參數和屬性、日誌格式、監聽節點屬性、匯聚節點屬性、分析方法與時間參數、存儲屬性、報警過程參數、進程通信屬性、視圖顯示屬性、網絡代理屬性、服務等級屬性。參數配置的好壞將影響整個系統的運行，因此系統有默認的參數配置以及保證系統正常工作的參數範圍，方便管理員的配置與操作。通過使用上述系統，提供多節點監聽、集中管理、基於雲計算環境下的全信息安全取證分布式監聽方案，在採用雲存儲技術具有大容量、高性能、高可用性和高效管理，實現了文件存儲、時間同步、實時全方位備份、支持分布式存儲和網絡存儲的功能。本發明確保監聽方案從全局出發，實現了統一管理及全面分析網絡安全狀態等功能。根據實際的網絡拓撲需求提供靈活部署方案，依據網絡大小和需求，進行靈活部署，實現內網擴展，通過控制中心進行相關查詢和操作，從而靈活地、全局性地實現計算機網絡安全策略的控制。以上實施方式僅用於說明本發明，而並非對本發明的限制，有關技術領域的普通技術人員，在不脫離本發明的精神和範圍的情況下，還可以做出各種變化和變型，因此所有等同的技術方案也屬於本發明的範疇，本發明的專利保護範圍應由權利要求限定。
權利要求
1.一種基於雲計算環境的全信息安全取證監聽方法，其特徵在於，所述方法具體包括以下步驟: 51:基於雲計算對整個分布式網絡進行部署，包括監聽節點、匯聚節點和監控中心，並配置參數； 52:所述監聽節點抓取網絡交換設備中的數據包獲取原始數據，對所述原始數據進行暫存和實時分析，並根據控制指令將所述原始數據和實時分析得到的分析結果上傳給所述匯聚節點； 53:所述匯聚節點對所述原始數據和所述分析結果進行壓縮、轉換和緩存，上傳給所述監控中心； S4:所述監控中心對從所述匯聚節點接收到的數據進行匯總、雲存儲和分析，形成監聽報表，並根據所述監聽報表得出安全策略。
2.如權利要求1所述的方法，其特徵在於，所述步驟SI中基於雲計算對整個分布式網絡進行部署具體是進行分網段的部署，將整個網絡分成多個網段，每個網段內設置多個監聽節點； 所述監聽節點的網絡接口採用混雜模式，對網段內的數據包採取異步抓包進行抓取； 所述監控中心包括多個匯聚節點，隸屬於所述監控中心的匯聚節點向所述監控中心進行註冊，並通過所述匯聚節點獲取所述監控中心發布的對匯聚節點的配置信息； 所述匯聚節點包括多個監聽節點，屬於所述匯聚節點的監聽節點向所述匯聚節點進行註冊，所述匯聚節點接收監聽節點的註冊後將每個註冊的監聽節點的地址信息反饋給所述監控中心，並獲取所述監控中心發布的對監聽節點的配置信息。
3.如權利要求 1所述的方法，其特徵在於，所述步驟S2中對所述原始數據進行暫存具體包括:判斷存儲空間的容量是否達到容量閾值，如果達到則發出提醒或自動刪除存儲時間最早的原始數據，否則進行循環存儲。
4.如權利要求1所述的方法，其特徵在於，所述步驟S2中對所述原始數據進行實時分析具體包括:流量分析、協議分析、告警分析和查詢分析。
5.如權利要求1所述的方法，其特徵在於，所述步驟S2中上傳給所述匯聚節點的原始數據就是暫存在所述監聽節點的數據，上傳給所述匯聚節點的分析結果通過暫存再進行上傳。
6.如權利要求1所述的方法，其特徵在於，所述步驟S3中所述匯聚節點對接收的數據進行壓縮和轉換，再進行數據化格式處理，並將處理後的數據進行緩存，緩存後的數據上傳給所述監控中心，當所述監控中心的存儲和解析速度小於所述監聽節點的抓包速度時，所述匯聚節點對數據進行本地緩存，直到網絡有空閒時才將緩存的數據存儲到資料庫中。
7.如權利要求1所述的方法，其特徵在於，所述步驟S4中對數據的雲存儲的同時設置訪問權限，禁止無權限者的訪問或修改； 對數據的分析具體包括對數據的實時查詢和精確分析。
8.一種基於雲計算環境的全信息安全取證監聽系統，其特徵在於，所述系統包括:監聽節點、匯聚節點和監控中心； 其中所述監聽節點包括抓包模塊、暫存模塊、實時分析模塊和策略模塊； 所述匯聚節點包括監聽管理模塊、上行數據處理模塊、下行策略處理模塊和系統配置模塊； 所述監控中心包括分析檢索模塊、雲存儲模塊、策略制定模塊、報表導出模塊、通知報告模塊和參數配置模塊； 所述系統還包括通信模塊，用於所述監聽節點與所述匯聚節點的通信、所述匯聚節點與所述監控中心的通信和所述監控中心與雲計算平臺的通信。
9.如權利要求8所述的系統，其特徵在於，所述抓包模塊用於抓取網絡交換設備中的網絡數據包，獲取原始數據； 所述暫存模塊用於對所述原始數據和所述實時分析模塊分析後的分析結果進行暫存； 所述實時分析模塊用於對所述原始數據進行實時分析，得到分析結果； 所述策略模塊用於接收所述匯聚節點轉發的配置信息，並實施相應的策略、控制其它模塊的行為。
10.如權利要求9所述的系統，其特徵在於，所述暫存模塊具體包括判斷模塊、循環存儲模塊和刪除模塊； 所述判斷模塊用於判斷存儲空間的容量是否達到容量閾值，如果達到則進入所述通知報告模塊或所述刪除模塊，否則進入所述循環存儲模塊； 所述刪除模塊用於根據接收到的所述通知報告模塊發出的控制指令進行刪除或自動刪除存儲時間最早的原始數據； 所述循環存儲模塊用於存儲所述原始數 據，並記錄存儲時間。
11.如權利要求9所述的系統，其特徵在於，所述實時分析模塊具體包括流量分析子模塊、協議分析子模塊、告警分析子模塊和查詢分析子模塊； 其中所述流量分析子模塊用於分析抓取的數據包的大小，並計算出數據包的流量；所述協議分析子模塊用於分析抓取的數據包的協議類型，並判斷出所述協議類型不符合協議規則的數據包； 所述告警分析子模塊用於根據遠程配置策略對流量、協議和內容進行分析，如果符合告警規則進行告警記錄並上報； 所述查詢分析子模塊用於根據所述監控中心下發的控制指令進行查詢，將符合條件的數據導出到指定位置。
12.如權利要求8所述的系統，其特徵在於，所述監聽管理模塊用於接收所述監聽節點向所述匯聚節點的註冊，還用於接收所述監聽節點的心跳信息，當一段時間沒有接收到所述心跳信息時向所述監控中心匯報監聽節點的異常信息，請求更新配置信息； 所述上行數據處理模塊用於對所述監聽節點上傳的原始數據和分析結果進行壓縮、轉換，再進行數據化格式處理，並將處理後的數據進行緩存，緩存後的數據上傳給所述監控中心； 所述下行策略處理模塊用於對所述監控中心下發的策略和控制指令的目的地址進行解析，並轉發給與所述目的地址相應的監聽節點； 所述系統配置模塊從所述監控中心接收配置信息，將對所述監聽節點的配置信息轉發給相應的監聽節點，並向所述監控中心上報自身的狀態信息。
13.如權利要求8所述的系統，其特徵在於，所述雲存儲模塊用於對從所述匯聚節點接收到的數據進行匯總，並保存到資料庫中，同時設置訪問權限，禁止無權限者的訪問或修改； 所述分析檢索模塊用於對數據進行實時查詢和精確分析； 所述策略制定模塊用於根據所述分析結果制定所述監聽節點、所述匯聚節點和所述監控中心的抓包策略、存儲策略和分析策略； 所述報表導出模塊用於將所述監聽節點和所述匯聚節點上傳的數據和分析結果整合成報表並導出； 所述通知報告模塊用於當系統中出現故障或警告時進行提示； 所述參數配置模塊用於對系統的參數進行配置，其中包括設置所述監聽節點的網絡接口為混雜模式，抓取數據包採用異步抓取方式， 還包括所述監聽節點暫存數據時的存儲空間的容量閾值。
全文摘要
本發明公開了一種基於雲計算環境的全信息安全取證監聽方法和系統，基於雲計算對整個分布式網絡進行部署，包括監聽節點、匯聚節點和監控中心，並配置參數；監聽節點抓取網絡交換設備中的數據包獲取原始數據，進行暫存和實時分析，並根據控制指令將原始數據和實時分析得到的分析結果上傳給匯聚節點；匯聚節點對原始數據和分析結果進行壓縮、轉換和緩存，上傳給監控中心；監控中心對從匯聚節點接收到的數據進行匯總、雲存儲和分析，形成監聽報表，並根據監聽報表得出安全策略。本發明根據實際的網絡拓撲需求和網絡大小提供靈活部署方案，實現內網擴展，通過監控中心進行相關查詢和操作，從而靈活地、全局性地實現計算機網絡安全策略的控制。
文檔編號H04L29/08GK103152352SQ20131008423
公開日2013年6月12日 申請日期2013年3月15日 優先權日2013年3月15日
發明者劉剛, 侯賓 申請人:北京郵電大學