專利名稱:一種安全信息聯(lián)動處理裝置及方法
技術領域:
本發(fā)明涉及通信技術領域�����,尤其涉及一種安全信息聯(lián)動處理裝置及方法�。
技術背景隨著網絡技術的快速發(fā)展和信息化進程的日漸深入,計算機網絡已成為 企業(yè)高效運營的重要支撐�����。工作效率的提高��、企業(yè)信譽的提升���、利潤來源的 拓展都依賴于穩(wěn)定�����、高效�����、安全的網絡環(huán)境�����。與此同時��,各種網絡攻擊技術 也變得越來越先進�、越來越普及化��,企業(yè)的網絡系統(tǒng)面臨著隨時被攻擊的危 險�,經常遭受不同程度的入侵和破壞,嚴重干擾了企業(yè)網絡的正常運行��。日 益嚴峻的安全威脅迫使企業(yè)不得不加強對網絡系統(tǒng)的安全防護��,不斷追求多層次��、立體化的安全防御體系���,逐步引入了防病毒��、防火墻���、IDS (Intrusion Detection Systems,入侵-險測系統(tǒng))��、VPN (Virtual Private Network,虛擬私有 網路)��、AAA (Authentication Authorization and Accounting, "i人i正�、授i又牙口i十 費)等大量異構的單點安全防御技術����。然而,現(xiàn)有網絡安全防御體系還是以 孤立的單點防御為主����,彼此間缺乏有效的協(xié)作,從而形成了一個個的安全孤 島����。為了解決上述問題,現(xiàn)有技術一提出了一種方案�,針對多產品的syslog (系統(tǒng)日志)信息進行告警分析,Syslog分析系統(tǒng)組網如圖1所示����,用戶終 端通過日志分析系統(tǒng)與網絡中的主要設備連接,該主要設備包括防火墻�����、VPN 網關���、IPS (IntrusionPrevention System,入侵防雄卩系統(tǒng))�、IDS�����、核心交換才凡���、 路由器����、反垃圾郵件系統(tǒng)�、病毒防護系統(tǒng),這些主要設備都可以產生syslog, syslog中包含了很多重要的網絡運行信息����,日志分析系統(tǒng)能夠提供對網絡中多 種設備基于syslog的安全事件進行集中收集與統(tǒng)一分析,對收集到的安全事 件進行聚合存儲及分析����,實時監(jiān)控全網安全事件的狀況����,并給出圖標���、報告 和報警等�����。
該方案中日志分析系統(tǒng)只能對syslog安全事件進行分析匯聚��,將安全事 件進行整理和告警����,可以根據(jù)匯聚規(guī)則減少一部分的安全事件信息量��,但仍 然需要對數(shù)據(jù)進行人工分析�����,日志分析系統(tǒng)不能提供對安全威脅源頭進行阻 斷控制的能力���。由于日志分析系統(tǒng)只能通過syslog來搜集采集網絡中的安全 信息����,對于全網安全信息的獲取量途徑比較單一,對于通過TRAP等其他的 方式發(fā)送的安全信息日志分析系統(tǒng)是無法接收的�����。另外�,日志分析系統(tǒng)的擴 展性不強����,因為缺少用戶認證資源、安全策略配置資源��、流量控制資源����,日 志分析系統(tǒng)只能對syslog中的IP (InternetProtocol,國際互聯(lián)網協(xié)議)、MAC (Medium Access Control,々某體接入控制)���、時間��、模塊等信息對進行展示�, 但無法根據(jù)IP快速定位到人���,對發(fā)起攻擊的源頭進行阻斷�、限流、權限控制 等擴展操作?�,F(xiàn)有技術二如圖2所示�,用戶通過接入層交換機連接到Internet網絡或認 證服務器,其中���,認證服務器實現(xiàn)了安全策略服務器的功能��,在全面管理網 絡用戶信息的基礎上�����,支持多種網絡認證方式�����,支持針對用戶的安全策略設 置��,以標準協(xié)議與網絡設備聯(lián)動���,實現(xiàn)對用戶接入行為的控制。用戶上網前 需要通過認證來對用戶身份進行確認���,如802.1X認證�����、Portal認證等�����,身份 確認通過的用戶才可以正常上網���,否則將被隔離到控制訪問區(qū)或不能上網。 該方案中��,雖然用戶認證系統(tǒng)可以對用戶的上網權限����、用戶的PC版本等進行 檢查并根據(jù)檢查結果下發(fā)是否可以上網的權限,但不能對用戶終端的行為進 行控制����,通過認證的用戶還是有可能會發(fā)起掃描、泛洪等攻擊行為?�,F(xiàn)有技術三提出了日志分析聯(lián)動一體化設備��,通過釆集設備的syslog進 行分析匯聚,通過分析日志中的用戶MAC����、 IP等信息推斷出攻擊者的IP、 MAC,并通過下發(fā)ACL (Access Control Lists,訪問控制列表)策略���、端口 shutdown (關閉)���、ff"改防火墻策略等來對攻擊源響應。然而����,該方案只關注syslog的分析聯(lián)動,關注的安全領域單一��,不能接 受tarp等信息�,對于無法發(fā)送syslog的安全方案無法管理。而且該方案主要 依賴自身的信息資源來分析聯(lián)動���,可利用的用戶�����、網絡資源較少�����,無法與網 絡中現(xiàn)有的網管系統(tǒng)�、認證系統(tǒng)相結合,利用現(xiàn)有的大量資源���,導致攻擊源
定位不容易準確��。另外��,該方案只能提供ACL策略�����、端口shutdown、修改防 火墻策略來對攻擊者進行控制����,控制手段不夠豐富,能力不夠精細�。對于需 要聯(lián)動的syslog事件由用戶手動選擇聯(lián)動策略,無法對某個網段����、若干安全 事件進行統(tǒng)一的策略配置�����,無法對于syslog事件自動批匹配到用戶配置好的 聯(lián)動策略�����。
發(fā)明內容
本發(fā)明實施例提供一種安全信息聯(lián)動處理裝置及方法����,以解決現(xiàn)有技術 中syslog安全管理方案不易擴展����,且不能統(tǒng)一管理、動態(tài)匹配用戶配置好的 聯(lián)動策略的缺陷��。
本發(fā)明實施例提供了 一種安全信息聯(lián)動處理方法���,應用于包括多個聯(lián)動 組件和聯(lián)動處理裝置的網絡中����,
所述方法包括以下步驟
所述聯(lián)動處理裝置從所述聯(lián)動組件獲取安全信息��,所述安全信息中包括 告警參數(shù)�����;
所述聯(lián)動處理裝置根據(jù)所述告警參數(shù)定位攻擊源設備,并查找所述告警 參數(shù)對應的聯(lián)動策略�;
所述聯(lián)動處理裝置通知對應聯(lián)動組件,根據(jù)所述聯(lián)動策略對所述源攻擊 設備進行安全控制�。
所述從聯(lián)動組件獲取安全信息之前還包括聯(lián)動組件的動態(tài)注冊。
所述動態(tài)注冊包括通過配置文件注冊或通過注冊函數(shù)注冊�����。
所述通過配置文件注冊具體包括
所述聯(lián)動處理裝置將已注冊文件復制到指定目錄���;
所述聯(lián)動處理裝置定時或實時查找新增聯(lián)動組件���,將新增聯(lián)動組件的告 警及對應的聯(lián)動策略加載到所述指定目錄的策略庫。 所述通過注冊函數(shù)方式具體包括
聯(lián)動組件檢測聯(lián)動處理裝置的進程是否運行���,如果運行��,則將可提供的 聯(lián)動動作及對應的聯(lián)動策略以函數(shù)形式注冊到聯(lián)動處理裝置的策略庫。
所述聯(lián)動組件包括但不限于網絡設備��、認證系統(tǒng)���、網管系統(tǒng)�、帶寬管理
系統(tǒng)和安全管理系統(tǒng)。所述獲取安全告警信息方式包括但不限于系統(tǒng)日志���、TRAP�����、 NetStream 和NAT日志�。所述安全控制包括但不限于下線�����、上網權限控制和點對點流量限速����。 本發(fā)明還提供了一種安全信息聯(lián)動處理網絡,包括多個聯(lián)動組件����,還包括聯(lián)動處理裝置,用于從所述聯(lián)動組件獲取包括告警參數(shù)的安全信息后��, 根據(jù)所述告警參數(shù)定位攻擊源設備��,并查找所述告警參數(shù)對應的聯(lián)動策略, 以便對應聯(lián)動系統(tǒng)根據(jù)所述聯(lián)動策略對所述源攻擊設備進行安全控制�。所述聯(lián)動處理裝置具體包括安全信息獲取單元,用于從所述聯(lián)動組件獲取安全信息����,所述安全信息 中包括告警參數(shù);聯(lián)動策略獲取單元���,與所述安全信息獲取單元連接����,用于根據(jù)所述告警 參數(shù)定位攻擊源設備��,并查找所述告警參數(shù)對應的聯(lián)動策略�����;安全控制單元��,與所述聯(lián)動策略獲取單元連接����,用于通知對應聯(lián)動組件�����, 根據(jù)所述聯(lián)動策略對所述源攻擊設備進行安全控制。所述聯(lián)動處理裝置還包括動態(tài)注冊單元��,用于所述聯(lián)動組件動態(tài)注冊到所述聯(lián)動處理裝置���。 所述動態(tài)注冊單元具體包括配置文件注冊子單元�,用于定時或實時查找新增聯(lián)動組件��,將新增聯(lián)動 組件的告警及對應的聯(lián)動策略加載到所述指定目錄的策略庫����。 所述動態(tài)注冊單元具體包括注冊函數(shù)注冊子單元,用于接收聯(lián)動組件發(fā)送的注冊函數(shù)����,所述注冊函 數(shù)中攜帶可提供的聯(lián)動動作及對應的聯(lián)動策略。所述聯(lián)動組件包括但不限于網絡設備��、認證系統(tǒng)�、網管系統(tǒng)、帶寬管理 系統(tǒng)和安全管理系統(tǒng)��。所述獲取安全告警信息方式包括但不限于系統(tǒng)日志、TRAP���、 NetStream 和NAT日志��。
本發(fā)明的實施例中�����,安全信息聯(lián)動處理裝置與日志系統(tǒng)����、網管系統(tǒng)��、認 證系統(tǒng)���、網絡設備靈活結合�,通過認證系統(tǒng)可快速定位到攻擊者����,通過網管 系統(tǒng)可向網絡設備下發(fā)安全策略配置,可快速對定位的源頭進行阻斷或控制�����, 可形成完善的內網防護方案,不再需要用戶手工登陸設備���、手工查找用戶信息來排查攻擊源;同時避免攻擊者持續(xù)不斷對設備進行攻擊��,消耗設備性能�。 另外,安全信息聯(lián)動處理裝置可以對syslog日志�����、TRAP��、 NetStream��、NAT日志等安全聯(lián)動方式均進行采集����,避免用戶使用的網絡設備只支持其中一種信息格式,上報的安全信息不全面�����。還有���,安全信息聯(lián)動處理裝置通過動態(tài)的注冊框架技術可靈活的與網管系統(tǒng)���、認證系統(tǒng)��、網絡設備相結合���,并實現(xiàn)自動匹配調用安全策略、安全聯(lián)動組件����,降低用戶的購買成本,提高易用性�����。
圖l是現(xiàn)有技術一中Syslog分析系統(tǒng)組網示意圖��; 圖2是現(xiàn)有技術二中Syslog分析系統(tǒng)組網示意圖�; 圖3是本發(fā)明提供了一種安全信息聯(lián)動處理方法流程圖; 圖4是本發(fā)明實施例一示意圖�; 圖5是本發(fā)明實施例二示意圖。
具體實施方式
下面結合具體實施例進行詳細說明�����。本發(fā)明提供了一種安全信息聯(lián)動處理網絡,包括多個聯(lián)動組件和聯(lián)動處 理裝置�。其中,聯(lián)動處理裝置用于從聯(lián)動組件獲取包括告警參數(shù)的安全信息 后��,根據(jù)告警參數(shù)定位攻擊源設備�����,并查找告警參數(shù)對應的聯(lián)動策略����,以便 對應聯(lián)動系統(tǒng)根據(jù)聯(lián)動策略對源攻擊設備進行安全控制�。聯(lián)動處理裝置具體包括安全信息獲取單元,用于從聯(lián)動組件獲取安全 信息��,安全信息中包括告警參數(shù)�;聯(lián)動策略獲取單元,與安全信息獲取單元 連接�����,用于根據(jù)告警參數(shù)定位攻擊源i殳備����,并查找告警參數(shù)對應的聯(lián)動策略; 安全控制單元�����,與聯(lián)動策略獲取單元連接�,用于通知對應聯(lián)動組件�,根據(jù)聯(lián)動策略對源攻擊設備進行安全控制;動態(tài)注冊單元�����,用于聯(lián)動組件動態(tài)注冊 到聯(lián)動處理裝置����。其中動態(tài)注冊單元具體包括配置文件注冊子單元,用于定時或實時查 找新增聯(lián)動組件�,將新增聯(lián)動組件的告警及對應的聯(lián)動策略加載到指定目錄 的策略庫;和/或注冊函數(shù)注冊子單元��,用于接收聯(lián)動組件發(fā)送的注冊函數(shù)�����, 注冊函數(shù)中攜帶可提供的聯(lián)動動作及對應的聯(lián)動策略�。以上述網絡為基礎,本發(fā)明提供了一種安全信息聯(lián)動處理方法�����,應用于 包括多個聯(lián)動組件和聯(lián)動處理裝置的網絡中,如圖3所示����,包括以下步驟步驟s301,聯(lián)動處理裝置從聯(lián)動組件獲取安全信息,安全信息中包括告 警參數(shù)�����。從聯(lián)動組件獲取安全信息之前還包括聯(lián)動組件的動態(tài)注冊�����,例如通 過配置文件注冊或通過注冊函數(shù)注冊�。通過配置文件注冊具體包括聯(lián)動處 理裝置安裝聯(lián)動組件客戶端�����;聯(lián)動處理裝置將已注冊文件復制到指定目錄��; 聯(lián)動處理裝置定時或實時查找新增聯(lián)動組件�,將新增聯(lián)動組件的告警及對應 的聯(lián)動策略加載到指定目錄的策略庫。通過注冊函數(shù)方式具體包括聯(lián)動組 件安裝聯(lián)動組件客戶端����;聯(lián)動組件檢測聯(lián)動處理裝置的進程是否運行���,如果 運行,則將可提供的聯(lián)動動作及對應的聯(lián)動策略以函數(shù)形式注冊到聯(lián)動處理 裝置的策略庫�。步驟s302,聯(lián)動處理裝置根據(jù)告警Wt定位攻擊源設備,并查找告警參 數(shù)對應的聯(lián)動策略�����。當聯(lián)動組件完成注冊后����,根據(jù)安全信息的告警參數(shù)和聯(lián) 動處理裝置策略庫中的聯(lián)動策略參數(shù)進行匹配,匹配上的動作作為該告警的 聯(lián)動策略��。步驟s303,聯(lián)動處理裝置通知對應聯(lián)動組件���,根據(jù)聯(lián)動策略對源攻擊設 備進行安全控制�。本發(fā)明的實施例 一提供了 一種安全信息聯(lián)動處理方法�,應用于包括網管 設備、網絡設備��、日志分析系統(tǒng)和聯(lián)動處理裝置的網絡中��,其中,網絡設備 包括但不限于客戶端設備���、交換機����、路由器����、防火墻、IPS等���。安全信息聯(lián)動 處理裝置可靈活的與認證系統(tǒng)���、網管系統(tǒng)�、帶寬管理系統(tǒng)、網絡設備�����、安全
方案相結合�����,靈活調用各系統(tǒng)的資源,通過各安全告警信息(syslog日志�、 TRAP、 NetStream���、 NAT日志)中的IP��、 MAC�����、端口等信息定位到網絡中真 實的用戶����,并可以通過認證系統(tǒng)���、網管系統(tǒng)���、帶寬管理系統(tǒng)來對用戶進行下 線、上網權限控制��、用戶P2P (Point to Point,點對點)流量限速等操作�。該 處理方法如圖4所示,包括以下步驟步驟s401,通過網管設備在聯(lián)動處理裝置上配置安全聯(lián)動策略����。具體來 說,就是設置安全事件與聯(lián)動策略的對應關系列表�����。其中�����,安全事件包括但 不限于DHCP仿冒�、用戶業(yè)務為攻擊業(yè)務、ARP攻擊才艮文等���;與聯(lián)動策略(包 括但不限于關閉端口����,用戶下線��、用戶隔離����、VLAN隔離等。例如當聯(lián)動 處理裝置接收到的報文為ARP攻擊報文��,則通過查找該對應關系列表���,確定 針對ARP攻擊報文的聯(lián)動策略(如關閉接收該報文的端口等)����,并將通過網 管設備執(zhí)行該聯(lián)動策略��,將相應的端口關閉�。步驟s402,通過網管設備在日志分析系統(tǒng)上配置告警策略����,用戶認為需 要(包括但不限于發(fā)現(xiàn)攻擊,地址仿冒��、限速等情況)聯(lián)動的syslog信息才 會上報給聯(lián)動處理裝置��,對海量日志中不需要上報的信息進行有效過濾����。步驟s403至步驟s405,網絡設備發(fā)現(xiàn)異常時,進行聯(lián)動處理���。其中�����,網 絡設備與聯(lián)動處理裝置的聯(lián)動方式包括兩種�����, 一種是網絡設備發(fā)現(xiàn)異常�����, 將syslog信息上報給日志分析系統(tǒng)��,日志分析系統(tǒng)根據(jù)syslog信息中的告警 策略��,上報TRAP信息給聯(lián)動處理裝置���,其中����,TRAP信息中攜帶經過日志分 析系統(tǒng)綜合分析過的告警���,例如一個包括告警類型���、告警時間等信息的列表; 另一種是網絡設備發(fā)現(xiàn)異常�����,直接通過Netstream��、 TRAP���、 NAT等信息向 聯(lián)動系統(tǒng)上報安全信息�,這種方式由于沒有經過日志分析系統(tǒng)的綜合處理�, 因此在聯(lián)動處理裝置中需要對上報安全信息進行分類等處理。步驟s406,聯(lián)動處理裝置收到相應告警信息后可進行^J^�����、拓樸展示�。步驟s407,聯(lián)動處理裝置通過日志中挾帶的攻擊源的IP����、 MAC等信息, 等同于IP等信息���,通過查找交換機的MAC表���、ARP表�、網管系統(tǒng)的MIB信 息自動查找攻擊源����。例如,對于ARP攻擊報文�����,聯(lián)動處理裝置通過監(jiān)測DHCP 報文����,記錄用戶的IP/MAC/VLAN/PORT等信息,并形成一個DHCP Snooping
綁定表��,聯(lián)動處理裝置接收到的ARP報文后�,通過查找DHCP Snooping建立 的綁定關系表,來判斷ARP應斜艮文的發(fā)送者源IP���、源MAC是否合法���,若 ARP報文中的發(fā)送者源MAC�����、IP匹配綁定表中的內容�����,則認為是合法的報文; 否則認為是欺騙攻擊報文。因此�,聯(lián)動處理裝置通過告警信息中挾帶的IP和 MAC在^^正系統(tǒng)中進行查找定位攻擊源,并定位攻擊方���,然后即可通過網管 系統(tǒng)對用戶進行控制���,這里有兩種控制方式,網管系統(tǒng)直接控制接入交換機 將用戶下線或限速����,或網管系統(tǒng)通知認證系統(tǒng)對用戶進行下線或限速等處 理。�����。本發(fā)明實施例二是安全聯(lián)動系統(tǒng)與認證系統(tǒng)�����、網管系統(tǒng)組網,在實施例 一基礎上引入了認證系統(tǒng)��,網管系統(tǒng)與認證系統(tǒng)相互配合進行安全聯(lián)動����,如 圖5所示,包括以下步驟步驟s501,用戶上網前需要安裝客戶端軟件����,通過該客戶端軟件與認證 系統(tǒng)進4亍上網iU正。步驟s502,用戶認證通過后仍可能對網絡進行攻擊���,例如掃描����、泛洪等 攻擊����。步驟s503,網絡設備的安全防御特性感知到此攻擊信息,例如�,IPS4全觀'J 安全異常時,通過syslog上報安全事件給日志分析系統(tǒng)。步驟s504,日志分析系統(tǒng)將syslog信息根據(jù)預定策略匯聚分析�����,將需要 聯(lián)動的告警通過TRAP上報給聯(lián)動處理裝置�����。當然聯(lián)動處理裝置也可以直接 接收來自客戶端�、交換機、路由器��、防火墻�����、IPS等網絡設備的安全告警信息�����。步驟s505�����,安全控制中心收到告警后��,調用網管系統(tǒng)和i人證系統(tǒng)的資源 查找攻擊源����,網管系統(tǒng)從聯(lián)動處理裝置調用聯(lián)動策略,網管系統(tǒng)控制接入交 換機將用戶下線或限速���,或通知認證系統(tǒng)對用戶進行下線或限速等處理����。通過以上的實施方式的描述���,本領域的技術人員可以清楚地了解到本 發(fā)明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)���,當然也可以通過硬 件,但很多情況下前者是更佳的實施方式�����?����;谶@樣的理解�,本發(fā)明的技 術方案本質上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產品的形式體現(xiàn)出來,該計算機軟件產品存儲在一個存儲介質中,包括若干指令用以使
得一臺計算機設備(可以是個人計算機��,服務器��,或者網絡設備等)執(zhí)行本發(fā)明各個實施例所述的方法���。以上公開的僅為本發(fā)明的幾個具體實施例�����,但是����,本發(fā)明并非局限于此����, 任何本領域的技術人員能思之的變化都應落入本發(fā)明的保護范圍����。
權利要求
1、一種安全信息聯(lián)動處理方法����,應用于包括多個聯(lián)動組件和聯(lián)動處理裝置的網絡中,其特征在于,所述方法包括以下步驟所述聯(lián)動處理裝置從所述聯(lián)動組件獲取安全信息�����,所述安全信息中包括告警參數(shù)�����;所述聯(lián)動處理裝置根據(jù)所述告警參數(shù)定位攻擊源設備��,并查找所述告警參數(shù)對應的聯(lián)動策略���;所述聯(lián)動處理裝置通知對應聯(lián)動組件�����,根據(jù)所述聯(lián)動策略對所述源攻擊設備進行安全控制����。
2����、 如權利要求1所述安全信息聯(lián)動處理方法,其特征在于�����,所述從聯(lián)動 組件獲取安全信息之前還包括聯(lián)動組件的動態(tài)注冊。
3�、 如權利要求2所述安全信息聯(lián)動處理方法,其特征在于����,所述動態(tài)注 冊包括通過配置文件注冊或通過注冊函數(shù)注冊。
4�、 如權利要求3所述安全信息聯(lián)動處理方法,其特征在于�,所述通過配 置文件注冊具體包括所述聯(lián)動處理裝置將已注冊文件復制到指定目錄; 所述聯(lián)動處理裝置定時或實時查找新增聯(lián)動組件���,將新增聯(lián)動組件的告 警及對應的聯(lián)動策略加載到所述指定目錄的策略庫����。
5���、 如權利要求3所述安全信息聯(lián)動處理方法,其特征在于�����,所述通過注 冊函數(shù)方式具體包括聯(lián)動組件;險測聯(lián)動處理裝置的進程是否運行,如果運行�,則將可提供的 聯(lián)動動作及對應的聯(lián)動策略以函數(shù)形式注冊到聯(lián)動處理裝置的策略庫。
6��、 如權利要求1至5中任一項所述安全信息聯(lián)動處理方法����,其特征在于, 所述聯(lián)動組件包括但不限于網絡設備�、認證系統(tǒng)、網管系統(tǒng)�、帶寬管理系統(tǒng) 和安全管理系統(tǒng)。
7�����、 如權利要求1至5中任一項所述安全信息聯(lián)動處理方法�,其特征在于, 所述獲取安全告警信息方式包括但不限于系統(tǒng)日志�、TRAP、 NetStream和 NAT日志�����。
8�、 如權利要求1至5中任一項所述安全信息聯(lián)動處理方法��,其特征在于��, 所述安全控制包括但不限于下線��、上網權限控制和點對點流量限速��。
9�、 一種安全信息聯(lián)動處理網絡����,包括多個聯(lián)動組件,其特征在于���,還包括聯(lián)動處理裝置��,用于從所述聯(lián)動組件獲取包括告警參數(shù)的安全信息后����, 根據(jù)所述告警參數(shù)定位攻擊源設備��,并查找所述告警參數(shù)對應的聯(lián)動策略��, 以便對應聯(lián)動系統(tǒng)根據(jù)所述聯(lián)動策略對所述源攻擊設備進行安全控制���。
10�、 如權利要求9所述安全信息聯(lián)動處理網絡�,其特征在于,所述聯(lián)動 處理裝置具體包括安全信息獲取單元��,用于從所述聯(lián)動組件獲取安全信息�����,所述安全信息 中包括告警參數(shù)�;聯(lián)動策略獲取單元,與所述安全信息獲取單元連接���,用于根據(jù)所述告警 參數(shù)定位攻擊源設備���,并查找所述告警參數(shù)對應的聯(lián)動策略;安全控制單元���,與所述聯(lián)動策略獲取單元連接����,用于通知對應聯(lián)動組件�����, 根據(jù)所述聯(lián)動策略對所述源攻擊設備進行安全控制。
11�、 如權利要求9所述安全信息聯(lián)動處理網絡,其特征在于���,所述聯(lián)動 處理裝置還包括動態(tài)注冊單元����,用于所述聯(lián)動組件動態(tài)注冊到所述聯(lián)動處理裝置����。
12、 如權利要求11所述安全信息聯(lián)動處理網絡���,其特征在于����,所述動態(tài) 注冊單元具體包括配置文件注冊子單元�,用于定時或實時查找新增聯(lián)動組件,將新增聯(lián)動 組件的告警及對應的聯(lián)動策略加載到所述指定目錄的策略庫�。
13、 如權利要求11或12所述安全信息聯(lián)動處理網絡,其特征在于����,所 述動態(tài)注冊單元具體包括注冊函數(shù)注冊子單元���,用于接收聯(lián)動組件發(fā)送的注冊函數(shù)�,所述注冊函數(shù)中攜帶可提供的聯(lián)動動作及對應的聯(lián)動策略����。
14、 如權利要求9至13中任一項所述安全信息聯(lián)動處理網絡����,其特征在 于,所述聯(lián)動組件包括但不限于網絡設備�����、認證系統(tǒng)�、網管系統(tǒng)、帶寬管理系統(tǒng)和安全管理系統(tǒng)�����。
15、如權利要求9至13中任一項所述安全信息聯(lián)動處理網絡�����,其特征在 于����,所述獲取安全告警信息方式包括但不限于系統(tǒng)日志、TRAP���、 NetStream 和NAT日志�。
全文摘要
本發(fā)明公開了一種安全信息聯(lián)動處理方法�,應用于包括多個聯(lián)動組件和聯(lián)動處理裝置的網絡中,包括從聯(lián)動組件獲取安全信息���,所述安全信息中包括告警參數(shù)��;根據(jù)所述告警參數(shù)定位攻擊源設備����,并查找所述告警參數(shù)對應的聯(lián)動策略����;通知對應聯(lián)動組件,根據(jù)所述聯(lián)動策略對所述源攻擊設備進行安全控制。本發(fā)明安全信息聯(lián)動處理裝置與日志系統(tǒng)�、網管系統(tǒng)、認證系統(tǒng)����、網絡設備靈活結合,通過認證系統(tǒng)可快速定位到攻擊者�,通過網管系統(tǒng)可向網絡設備下發(fā)安全策略配置����,可快速對定位的源頭進行阻斷或控制。
文檔編號H04L29/06GK101127594SQ20071016390
公開日2008年2月20日 申請日期2007年10月10日 優(yōu)先權日2007年10月10日
發(fā)明者斌 符, 敏 鄭 申請人:杭州華三通信技術有限公司