技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種安全信息聯(lián)動(dòng)處理裝置及方法。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和信息化進(jìn)程的日漸深入，計(jì)算機(jī)網(wǎng)絡(luò)已成為企業(yè)高效運(yùn)營的重要支撐。工作效率的提高、企業(yè)信譽(yù)的提升、利潤來源的拓展都依賴于穩(wěn)定、高效、安全的網(wǎng)絡(luò)環(huán)境。與此同時(shí)，各種網(wǎng)絡(luò)攻擊技術(shù)也變得越來越先進(jìn)、越來越普及化，企業(yè)的網(wǎng)絡(luò)系統(tǒng)面臨著隨時(shí)被攻擊的危險(xiǎn)，經(jīng)常遭受不同程度的入侵和破壞，嚴(yán)重干擾了企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。日益嚴(yán)峻的安全威脅迫使企業(yè)不得不加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)，不斷追求多層次、立體化的安全防御體系，逐步引入了防病毒、防火墻、IDS(IntrusionDetection?Systems，入侵檢測(cè)系統(tǒng))、VPN(Virtual?Private?Network，虛擬私有網(wǎng)路)、AAA(Authentication、Authorization?and?Accounting，認(rèn)證、授權(quán)和計(jì)費(fèi))等大量異構(gòu)的單點(diǎn)安全防御技術(shù)。然而，現(xiàn)有網(wǎng)絡(luò)安全防御體系還是以孤立的單點(diǎn)防御為主，彼此間缺乏有效的協(xié)作，從而形成了一個(gè)個(gè)的安全孤島。

為了解決上述問題，現(xiàn)有技術(shù)一提出了一種方案，針對(duì)多產(chǎn)品的syslog(系統(tǒng)日志)信息進(jìn)行告警分析，Syslog分析系統(tǒng)組網(wǎng)如圖1所示，用戶終端通過日志分析系統(tǒng)與網(wǎng)絡(luò)中的主要設(shè)備連接，該主要設(shè)備包括防火墻、VPN網(wǎng)關(guān)、IPS(Intrusion?Prevention?System，入侵防御系統(tǒng))、IDS、核心交換機(jī)、路由器、反垃圾郵件系統(tǒng)、病毒防護(hù)系統(tǒng)，這些主要設(shè)備都可以產(chǎn)生syslog，syslog中包含了很多重要的網(wǎng)絡(luò)運(yùn)行信息，日志分析系統(tǒng)能夠提供對(duì)網(wǎng)絡(luò)中多種設(shè)備基于syslog的安全事件進(jìn)行集中收集與統(tǒng)一分析，對(duì)收集到的安全事件進(jìn)行聚合存儲(chǔ)及分析，實(shí)時(shí)監(jiān)控全網(wǎng)安全事件的狀況，并給出圖標(biāo)、報(bào)告和報(bào)警等。

該方案中日志分析系統(tǒng)只能對(duì)syslog安全事件進(jìn)行分析匯聚，將安全事件進(jìn)行整理和告警，可以根據(jù)匯聚規(guī)則減少一部分的安全事件信息量，但仍然需要對(duì)數(shù)據(jù)進(jìn)行人工分析，日志分析系統(tǒng)不能提供對(duì)安全威脅源頭進(jìn)行阻斷控制的能力。由于日志分析系統(tǒng)只能通過syslog來搜集采集網(wǎng)絡(luò)中的安全信息，對(duì)于全網(wǎng)安全信息的獲取量途徑比較單一，對(duì)于通過TRAP等其他的方式發(fā)送的安全信息日志分析系統(tǒng)是無法接收的。另外，日志分析系統(tǒng)的擴(kuò)展性不強(qiáng)，因?yàn)槿鄙儆脩粽J(rèn)證資源、安全策略配置資源、流量控制資源，日志分析系統(tǒng)只能對(duì)syslog中的IP(Internet?Protocol，國際互聯(lián)網(wǎng)協(xié)議)、MAC(Medium?Access?Control，媒體接入控制)、時(shí)間、模塊等信息對(duì)進(jìn)行展示，但無法根據(jù)IP快速定位到人，對(duì)發(fā)起攻擊的源頭進(jìn)行阻斷、限流、權(quán)限控制等擴(kuò)展操作。

現(xiàn)有技術(shù)二如圖2所示，用戶通過接入層交換機(jī)連接到Internet網(wǎng)絡(luò)或認(rèn)證服務(wù)器，其中，認(rèn)證服務(wù)器實(shí)現(xiàn)了安全策略服務(wù)器的功能，在全面管理網(wǎng)絡(luò)用戶信息的基礎(chǔ)上，支持多種網(wǎng)絡(luò)認(rèn)證方式，支持針對(duì)用戶的安全策略設(shè)置，以標(biāo)準(zhǔn)協(xié)議與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)用戶接入行為的控制。用戶上網(wǎng)前需要通過認(rèn)證來對(duì)用戶身份進(jìn)行確認(rèn)，如802.1X認(rèn)證、Portal認(rèn)證等，身份確認(rèn)通過的用戶才可以正常上網(wǎng)，否則將被隔離到控制訪問區(qū)或不能上網(wǎng)。該方案中，雖然用戶認(rèn)證系統(tǒng)可以對(duì)用戶的上網(wǎng)權(quán)限、用戶的PC版本等進(jìn)行檢查并根據(jù)檢查結(jié)果下發(fā)是否可以上網(wǎng)的權(quán)限，但不能對(duì)用戶終端的行為進(jìn)行控制，通過認(rèn)證的用戶還是有可能會(huì)發(fā)起掃描、泛洪等攻擊行為。

現(xiàn)有技術(shù)三提出了日志分析聯(lián)動(dòng)一體化設(shè)備，通過采集設(shè)備的syslog進(jìn)行分析匯聚，通過分析日志中的用戶MAC、IP等信息推斷出攻擊者的IP、MAC，并通過下發(fā)ACL(Access?Control?Lists，訪問控制列表)策略、端口shutdown(關(guān)閉)、修改防火墻策略等來對(duì)攻擊源響應(yīng)。

然而，該方案只關(guān)注syslog的分析聯(lián)動(dòng)，關(guān)注的安全領(lǐng)域單一，不能接受tarp等信息，對(duì)于無法發(fā)送syslog的安全方案無法管理。而且該方案主要依賴自身的信息資源來分析聯(lián)動(dòng)，可利用的用戶、網(wǎng)絡(luò)資源較少，無法與網(wǎng)絡(luò)中現(xiàn)有的網(wǎng)管系統(tǒng)、認(rèn)證系統(tǒng)相結(jié)合，利用現(xiàn)有的大量資源，導(dǎo)致攻擊源定位不容易準(zhǔn)確。另外，該方案只能提供ACL策略、端口shutdown、修改防火墻策略來對(duì)攻擊者進(jìn)行控制，控制手段不夠豐富，能力不夠精細(xì)。對(duì)于需要聯(lián)動(dòng)的syslog事件由用戶手動(dòng)選擇聯(lián)動(dòng)策略，無法對(duì)某個(gè)網(wǎng)段、若干安全事件進(jìn)行統(tǒng)一的策略配置，無法對(duì)于syslog事件自動(dòng)批匹配到用戶配置好的聯(lián)動(dòng)策略。

發(fā)明內(nèi)容