應用級容侵系統和方法
2023-04-30 01:21:56 1
專利名稱:應用級容侵系統和方法
技術領域:
本發明屬於信息安全領域,具體涉及一種應用級容侵系統和方法。
背景技術:
應用系統軟體是一個信息的集成環境,是將分散、異構的應用和信息資源進行聚合,通過一個或多個訪問入口,實現某類特殊功能的軟體統稱。隨著網絡科技的進步,針對應用系統軟體的攻擊和反攻擊的技術在不斷發展,對於協議的分析和模式識別技術的不斷先進性,使得直接針對系統底層的攻擊得到有效的發現和防禦,而針對應用系統的攻擊事件則層出不窮,諸如SQL注入、跨站攻擊、會話劫持及Cookie中毒(cookie-poisoning)等。而針對這類的檢測和防禦手段目前主要是防火牆、IDS、IPS等,這類防護手段均為基於特徵的識別和防禦方法。基於特徵的識別和防禦方法主要起源於對早期對網絡數據包的過濾,這類識別和防禦方法對針對底層的攻擊具有很好的防禦效果,因為針對底層的攻擊通常模式單一、數據結構小,使用這類方法能夠快速的進行鑑別分析。而針對應用層的攻擊事件,往往具有複雜性,通常數據結構龐大、需要大量數據包承載、模式多樣、採用分階段處理等。針對這樣的攻擊事件,採用基於特徵的識別和防禦方法就需要維護一個極其龐大的特徵庫,並進行上下文的關聯分析,卻時常不能覆蓋所有的攻擊模式和新興的攻擊方式,最終導致網絡攻擊對系統造成影響,使其不可用、數據被篡改或被非法使用等。這就需要一種新的應用級容侵技術,以保障應用系統軟體在遭受攻擊時能夠保證其正常運行。
發明內容
為克服上述缺陷,本發明提供了一種應用級容侵系統和方法,通過將應用虛擬化為多個虛擬應用,並通過一種容侵方法,解決應用系統軟體如何有效保障網絡侵害發生時的可用性的問題。為實現上述目的,本發明提供一種應用級容侵系統,其改進之處在於,所述系統包括:依次連接的邊界判斷單元、應用單元和應用系統模塊。本發明提供的優選技術方案中,所述邊界判斷單元,用於對外部訪問進行分析、分配與入侵事件的響應。本發明提供的第二優選技術方案中,所述應用單元,包括:虛擬應用模塊、和分別與各個虛擬應用模塊進行數據交互的虛擬應用管理器。本發明提供的第三優選技術方案中,所述邊界判斷單元,包括:數據採集器、事件產生器、事件資料庫、訪問分配模塊、事件分析器模塊和事件處理單元;所述數據採集器、所述事件產生器、所述事件資料庫和所述事件處理單元依次進行通信;所述事件產生器向所述訪問分配模塊發送數據。本發明提供的第四優選技術方案中,所述數據採集器,收集外部訪問過程的數據,收集的數據包括網絡數據包、訪問地址連結和用戶動作,並將數據交給事件產生器。本發明提供的第五優選技術方案中,所述事件產生器,將數據進行一次分配,將用戶訪問動作全部轉發給訪問分配模塊,其餘數據則轉入所述事件資料庫。本發明提供的第六優選技術方案中,所述事件分析器模塊,從事件資料庫中提取數據,並進行關聯分析,確定入侵事件;所述事件分析器模塊,包括:各個並行設置的事件分析器。本發明提供的第七優選技術方案中,所述事件處理模塊,對事件分析器的分析結果進行處理,轉換成虛擬應用管理器能識別的指令控制虛擬應用管理器的動作;本發明提供的第八優選技術方案中,所述訪問分配單元,將所述事件產生器傳入的用戶訪問進行關聯性分析,將有關聯的用戶訪問轉至對應的虛擬應用模塊中運行。本發明提供的第九優選技術方案中,所述事件分析器模塊,從事件資料庫中提取數據,並進行關聯分析,確定入侵事件;入侵事件,包括:拒絕服務攻擊和SQL注入攻擊。本發明提供的第十優選技術方案中,所述虛擬應用模塊,用於提供與真實應用系統相同的功能;各個虛擬應用模塊之間相互獨立。本發明提供的較優選技術方案中,所述虛擬應用管理器,用於負責處理所述邊界判斷模塊發送的入侵事件的響應以及對各個虛擬應用模塊進行管理。本發明提供的第二較優選技術方案中,所述虛擬應用管理器,包括:數據連結和數據差異段。本發明提供的第三較優選技術方案中,所述數據連結,指向真實應用的數據,作為基礎數據;所述數據差異段,將每個虛擬應用模塊的寫入行分別作為一個虛擬對象,每個虛擬對象維持一個數據鍊表,在此數據鍊表中依次建立包含操作者、時間和記錄的節點。本發明提供的第四較優選技術方案中,所述應用系統模塊,為需要容侵保護的對象。 本發明提供的第五較優選技術方案中,一種應用級容侵方法,其改進之處在於,所述方法包括如下步驟:(I).訪問分配與分析;(2).應用系統虛擬;(3).應用行為合併和回退。本發明提供的第六較優選技術方案中,所述步驟I包括如下步驟:(1-1).數據採集器收集外部訪問過程數據,並將數據交給事件產生器;(1-2).事件產生器將收集到的數據進行一次分配,判斷是否是用戶訪問,如果是則將用戶訪問動作全部轉發給訪問分配單元進行處理並轉至步驟1-5,否則將訪問數據轉入事件資料庫;(1-3).各個事件分析器從事件資料庫中提取數據,並進行關聯分析,確定入侵事件;(1-4).事件處理單元對事件分析器的分析結果進行處理,轉換成虛擬應用管理器能識別的指令控制虛擬應用管理器的動作;(1-5).訪問分配單元則將事件產生器傳入的用戶訪問進行關聯性分析,將有關聯的用戶訪問轉至對應的虛擬應用中運行。
本發明提供的第七較優選技術方案中,在所述步驟3中,當外部訪問結束時,邊界判斷模塊向虛擬應用管理器提交外部訪問結束動作,虛擬應用管理器判別該外部訪問所使用的虛擬應用,如果該虛擬應用不包含其他外部訪問,則將其對應的虛擬對象的差異段依時間排序,寫入真實數據中;當邊界判斷模塊發現入侵行為時,虛擬應用管理器判別該外部訪問所使用的虛擬應用,撤銷所有該虛擬應用對應的虛擬對象及其差異段鍊表,同時重置虛擬應用,以分配給其他外部訪問。由於不同虛擬應用之間相互隔離,且都具有應用系統的功能,故不會影響其他外部訪問,保證發生侵害時的應用系統可用性。與現有技術比,本發明提供的一種應用級容侵系統和方法,邊界判斷模塊將外部的訪問進行分配,使得一個或多個關聯外部訪問分配給單個虛擬應用,多個虛擬應用互相獨立,使得不同外部訪問之間不會互相影響;而且,邊界判斷模塊使用獨立的事件分析器,使得與虛擬應用管理器和各虛擬應用通過不同的模塊進行數據交互,保證虛擬應用管理器與外部訪問互相隔離,不會給外部訪問影響;再者,虛擬應用管理器使用數據差異段和數據連結,實現外部訪問行為的合併與回退,確保正常的應用系統動作以及發生入侵事件時的應用系統可用。
圖1為應用級容侵系統的結構示意圖。圖2為邊界判斷邏輯圖。圖3為應用動作的合併與回退邏輯圖。圖4為應用級容侵方法的流程圖。
具體實施例方式如圖1所示,一種應用級容侵系統,包括:依次連接的邊界判斷單元、應用單元和應用系統模塊。所述邊界判斷單元,用於對外部訪問進行分析、分配與入侵事件的響應。所述應用單元,包括:虛擬應用模塊、和分別與各個虛擬應用模塊進行數據交互的虛擬應用管理器。所述邊界判斷單元,包括:數據採集器、事件產生器、事件資料庫、訪問分配模塊、事件分析器模塊和事件處理單元;所述數據採集器、所述事件產生器、所述事件資料庫和所述事件處理單元依次進行通信;所述事件產生器向所述訪問分配模塊發送數據。所述數據採集器,收集外部訪問過程的數據,收集的數據包括網絡數據包、訪問地址連結和用戶動作,並將數據交給事件產生器。所述事件產生器,將數據進行一次分配,將用戶訪問動作全部轉發給訪問分配模塊,其餘數據則轉入所述事件資料庫。所述事件分析器模塊,從事件資料庫中提取數據,並進行關聯分析,確定入侵事件;所述事件分析器模塊,包括:各個並行設置的事件分析器。所述事件處理模塊,對事件分析器的分析結果進行處理,轉換成虛擬應用管理器能識別的指令控制虛擬應用管理器的動作;
所述訪問分配單元,將所述事件產生器傳入的用戶訪問進行關聯性分析,將有關聯的用戶訪問轉至對應的虛擬應用模塊中運行。所述事件分析器模塊,從事件資料庫中提取數據,並進行關聯分析,確定入侵事件;入侵事件,包括:拒絕服務攻擊和SQL注入攻擊。所述虛擬應用模塊,用於提供與真實應用系統相同的功能;各個虛擬應用模塊之間相互獨立。所述虛擬應用管理器,用於負責處理所述邊界判斷模塊發送的入侵事件的響應以及對各個虛擬應用模塊進行管理。所述虛擬應用管理器,包括:數據連結和數據差異段。所述數據連結,指向真實應用的數據,作為基礎數據;所述數據差異段,將每個虛擬應用模塊的寫入行分別作為一個虛擬對象,每個虛擬對象維持一個數據鍊表,在此數據鍊表中依次建立包含操作者、時間和記錄的節點。所述應用系統模塊,為需要容侵保護的對象。如圖4所示,一種應用級容侵方法,包括如下步驟:(I).訪問分配與分析;(2).應用系統虛擬;(3).應用行為合併和回退。所述步驟I包括如下步驟:(1-1).數據採集器收集外部訪問過程數據,並將數據交給事件產生器;(1-2).事件產生器將收集到的數據進行一次分配,判斷是否是用戶訪問,如果是則將用戶訪問動作全部轉發給訪問分配單元進行處理並轉至步驟1-5,否則將訪問數據轉入事件資料庫;(1-3).各個事件分析器從事件資料庫中提取數據,並進行關聯分析,確定入侵事件;(1-4).事件處理單元對事件分析器的分析結果進行處理,轉換成虛擬應用管理器能識別的指令控制虛擬應用管理器的動作;(1-5).訪問分配單元則將事件產生器傳入的用戶訪問進行關聯性分析,將有關聯的用戶訪問轉至對應的虛擬應用中運行。在所述步驟3中,當外部訪問結束時,邊界判斷模塊向虛擬應用管理器提交外部訪問結束動作,虛擬應用管理器判別該外部訪問所使用的虛擬應用,如果該虛擬應用不包含其他外部訪問,則將其對應的虛擬對象的差異段依時間排序,寫入真實數據中;當邊界判斷模塊發現入侵行為時,虛擬應用管理器判別該外部訪問所使用的虛擬應用,撤銷所有該虛擬應用對應的虛擬對象及其差異段鍊表,同時重置虛擬應用,以分配給其他外部訪問。由於不同虛擬應用之間相互隔離,且都具有應用系統的功能,故不會影響其他外部訪問,保證發生侵害時的應用系統可用性。通過以下實施例對應用級容侵系統和方法做進一步描述。圖1給出了一種應用級容侵系統的技術邏輯圖,包括邊界判斷、虛擬應用、虛擬應用管理器、應用系統軟體幾個部分。下面給出具體介紹:邊界判斷單元:主要負責對外部訪問進行分析、分配與入侵事件的響應。
虛擬應用單元:真實應用的虛擬化複製,提供與真實應用系統相同的功能。各虛擬應用之間相互獨立。虛擬應用管理器:負責處理邊界判斷模塊發送的入侵事件的響應以及對所有虛擬應用的管理。應用系統模塊:需要容侵保護的對象。一種應用級容侵的技術的主要處理流程如下,圖例見圖4:訪問分配與分析邊界判斷模塊將外部的訪問進行分配,使得一個或多個關聯用戶訪問分配給單個虛擬應用,同時邊界判斷模塊對整個訪問過程進行入侵分析,邏輯見圖2:(I)數據採集器收集外部訪問過程,包括網絡數據包、訪問地址連結、用戶動作等數據,並其交給事件產生器。(2)事件產生器將收集到的數據進行一次分配,直接的用戶訪問動作全部轉發給訪問分配單元進行處理,其餘數據則轉入事件資料庫。(3)事件分析器從事件資料庫中提取數據,並進行關聯分析,確定入侵事件,可以採用的模式匹配或其他分析方法。可使用多個事件分析器並行或串行處理,提高效率或分析功能。(4)事件處理單元對事件分析器的分析結果進行處理,轉換成虛擬應用管理器能識別的指令控制虛擬應用管理器的動作。(5)訪問分配單元則將事件產生器傳入的用戶訪問進行關聯性分析,將有關聯的用戶訪問轉至對應的虛擬應用中運行。應用系統虛擬虛擬應用管理器根據真實的應用系統,模擬真實應用的動作和行為,建立虛擬應用,使得外部的對虛擬應用的訪問如同直接訪問真實應用,具有真實的反饋。應用行為合併和回退容侵的最終目標是系統可以訪問,虛擬應用的動作響應最終需要寫入真實應用中,則需要相應的合併和回退動作,其邏輯如圖3所示:(I)虛擬應用管理器使用一個數據算法保障應用行為的合併和回退動作,其包括一個數據連結,該數據連結指向真實應用的數據,作為基礎數據;還包含一個數據差異段,該差異段中將每個虛擬應用的寫入行為分別作為一個虛擬對象,每個虛擬對象維持一個數據鍊表,在此數據鍊表中依次建立包含操作者、時間和記錄的節點。(2)當某個外部訪問結束時,邊界判斷模塊向虛擬應用管理器提交外部訪問結束動作,虛擬應用管理器判別該外部訪問所使用的虛擬應用,如果該虛擬應用不包含其他外部訪問,則將其對應的虛擬對象的差異段依時間排序,寫入真實數據中。(3)當邊界判斷模塊發現入侵行為時,虛擬應用管理器判別該外部訪問所使用的虛擬應用,撤銷所有該虛擬應用對應的虛擬對象及其差異段鍊表,同時重置虛擬應用,以分配給其他外部訪問。由於不同虛擬應用之間相互隔離,且都具有應用系統的功能,故不會影響其他外部訪問,保證發生侵害時的應用系統可用性。需要聲明的是,本發明內容及具體實施方式
意在證明本發明所提供技術方案的實際應用,不應解釋為對本發明保護範圍的限定。本領域技術人員在本發明的精神和原理啟發下,可作各種修改、等同替換、或改進。但這些變更或修改均在申請待批的保護範圍內。
權利要求
1.一種應用級容侵系統,其特徵在於,所述系統包括:依次連接的邊界判斷單元、應用單元和應用系統模塊。
2.根據權利要求1所述的系統,其特徵在於,所述邊界判斷單元,用於對外部訪問進行分析、分配與入侵事件的響應。
3.根據權利要求1所述的系統,其特徵在於,所述應用單元,包括:虛擬應用模塊、和分別與各個虛擬應用模塊進行數據交互的虛擬應用管理器。
4.根據權利要求2所述的系統,其特徵在於,所述邊界判斷單元,包括:數據採集器、事件產生器、事件資料庫、訪問分配模塊、事件分析器模塊和事件處理單元;所述數據採集器、所述事件產生器、所述事件資料庫和所述事件處理單元依次進行通信;所述事件產生器向所述訪問分配模塊發送數據。
5.根據權利要求4所述的系統,其特徵在於,所述數據採集器,收集外部訪問過程的數據,收集的數據包括網絡數據包、訪問地址連結和用戶動作,並將數據交給事件產生器。
6.根據權利要求4 所述的系統,其特徵在於,所述事件產生器,將數據進行一次分配,將用戶訪問動作全部轉發給訪問分配模塊,其餘數據則轉入所述事件資料庫。
7.根據權利要求4所述的系統,其特徵在於,所述事件分析器模塊,從事件資料庫中提取數據,並進行關聯分析,確定入侵事件;所述事件分析器模塊,包括:各個並行設置的事件分析器。
8.根據權利要求4所述的系統,其特徵在於,所述事件處理模塊,對事件分析器的分析結果進行處理,轉換成虛擬應用管理器能識別的指令控制虛擬應用管理器的動作。
9.根據權利要求4所述的系統,其特徵在於,所述訪問分配單元,將所述事件產生器傳入的用戶訪問進行關聯性分析,將有關聯的用戶訪問轉至對應的虛擬應用模塊中運行。
10.根據權利要求4所述的系統,其特徵在於,所述事件分析器模塊,從事件資料庫中提取數據,並進行關聯分析,確定入侵事件;入侵事件,包括:拒絕服務攻擊和SQL注入攻擊。
11.根據權利要求4所述的系統,其特徵在於,所述虛擬應用模塊,用於提供與真實應用系統相同的功能;各個虛擬應用模塊之間相互獨立。
12.根據權利要求4所述的系統,其特徵在於,所述虛擬應用管理器,用於負責處理所述邊界判斷模塊發送的入侵事件的響應以及對各個虛擬應用模塊進行管理。
13.根據權利要求12所述的系統,其特徵在於,所述虛擬應用管理器,包括:數據連結和數據差異段。
14.根據權利要求13所述的系統,其特徵在於,所述數據連結,指向真實應用的數據,作為基礎數據;所述數據差異段,將每個虛擬應用模塊的寫入行分別作為一個虛擬對象,每個虛擬對象維持一個數據鍊表,在此數據鍊表中依次建立包含操作者、時間和記錄的節點。
15.根據權利要求1所述的系統,其特徵在於,所述應用系統模塊,為需要容侵保護的對象。
16.一種應用級容侵方法,其特徵在於,所述方法包括如下步驟: (1).訪問分配與分析; (2).應用系統虛擬; (3).應用行為合併和回退。
17.根據權利要求16所述的方法,其特徵在於,所述步驟I包括如下步驟: (1-1).數據採集器收集外部訪問過程數據,並將數據交給事件產生器; (1-2).事件產生器將收集到的數據進行一次分配,判斷是否是用戶訪問,如果是則將用戶訪問動作全部轉發給訪問分配單元進行處理並轉至步驟1-5,否則將訪問數據轉入事件資料庫; (1-3).各個事件分析器從事件資料庫中提取數據,並進行關聯分析,確定入侵事件; (1-4).事件處理單元對事件分析器的分析結果進行處理,轉換成虛擬應用管理器能識別的指令控制虛擬應用管理器的動作; (1-5).訪問分配單元則將事件產生器傳入的用戶訪問進行關聯性分析,將有關聯的用戶訪問轉至對應的虛擬應用中運行。
18.根據權利要求16所述的方法,其特徵在於,在所述步驟3中,當外部訪問結束時,邊界判斷模塊向虛擬應用管理器提交外部訪問結束動作,虛擬應用管理器判別該外部訪問所使用的虛擬應用,如果該虛擬應用不包含其他外部訪問,則將其對應的虛擬對象的差異段依時間排序,寫入真實數據中; 當邊界判斷模塊發現入侵行為時,虛擬應用管理器判別該外部訪問所使用的虛擬應用,撤銷所有該虛擬應用對應的虛擬對象及其差異段鍊表,同時重置虛擬應用,以分配給其他外部訪問。由於不同虛擬應用之間相互隔離,且都具有應用系統的功能,故不會影響其他外部訪問,保證發生侵 害時的應用系統可用性。
全文摘要
本發明提供了一種應用級容侵系統和方法,所述系統包括依次連接的邊界判斷單元、應用單元和應用系統模塊;所述方法,包括如下步驟(1).訪問分配與分析;(2).應用系統虛擬;(3).應用行為合併和回退。本發明提供的應用級容侵系統和方法,通過將應用虛擬化為多個虛擬應用,並通過一種容侵方法,解決應用系統軟體如何有效保障網絡侵害發生時的可用性的問題。
文檔編號H04L29/06GK103118021SQ201310028898
公開日2013年5月22日 申請日期2013年1月25日 優先權日2013年1月25日
發明者郭騫, 俞庚申, 馮谷, 餘勇, 範傑, 蔣誠智, 李尼格, 高鵬 申請人:中國電力科學研究院, 國家電網公司