技術領域

本發明涉及計算機網絡安全領域，尤其涉及一種基于分布式架構的全信息記錄方法、裝置及系統。

背景技術

隨著計算機網絡安全知識的普及和人類文明的進步，越來越多的人具有一定的網絡攻擊的知識和能力，入侵個人電腦或企業與政府服務器變得越來越容易，這些潛在的威脅會對個人、企業以及政府和社會造成巨大的損失。

對于非法入侵行為，我們可以通過記錄節點的網絡行為，有效地對網絡數據、流量進行記錄存儲、深度分析，從而及時發現網絡異常和安全異常行為，得出解決對應網絡行為的安全策略，是保障網絡安全高效持續運行的有效手段。網絡監聽作為全信息記錄的一種發展比較成熟的技術，在協助網絡管理員監測網絡傳輸數據，排除網絡故障等方面具有不可替代的作用。

在實現本發明的過程中，發明人發現現有的網絡監聽系統都是獨立運行的，系統之間缺少統一管理和共享存儲。當監控的流量超過其最大存儲的時候，監聽系統的性能將受到威脅，因此當面臨大數據，多服務器集中監聽的時候，現有的監聽系統不能快速、高效的得到系統的安全策略。

發明內容

本發明的實施例提供一種全信息記錄方法、裝置及系統，實現對各全信息記錄子系統進行統一管理和共享存儲，并且實現快速、高效的得到系統的安全策略。

為達到上述目的，采用如下技術方案：

一種全信息記錄方法，包括：

安全分析控制中心對各全信息記錄子系統進行各項配置參數和文件存儲權限的設置，以使得所述各全信息記錄子系統根據所述配置參數和文件存儲權限對抓取的網絡數據包進行分析處理，其中，所述配置參數包括：抓取的網絡數據包在各全信息記錄子系統的存儲區中的存儲路徑、閾值容量、分析策略和規則、上報規則；

安全分析控制中心接收所述各全信息記錄子系統上報的分析結果數據，所述分析結果數據為所述各全信息記錄子系統根據所述配置參數和文件存儲權限對抓取的網絡數據包進行分析處理后的數據；

安全分析控制中心根據所述各全信息記錄子系統上報的分析結果數據獲取與所述各全信息記錄子系統對應的安全策略；

安全分析控制中心將所述安全策略發送給對應的各全信息記錄子系統。

一種全信息記錄方法，包括：

當全信息記錄子系統具備對抓取到的網絡數據包的存儲權限時，根據預先設置的存儲路徑將抓取的所述網絡數據包存儲在所述全信息記錄子系統的存儲區中；

對存儲在所述全信息記錄子系統的存儲區內的所述網絡數據包進行初步檢索得到與所述網絡數據包對應的檢索信息，并將與所述網絡數據包對應的檢索信息存儲在所述全信息記錄子系統的數據庫緩存表中；

所述全信息記錄子系統利用預先設置的分析策略和規則，對所述網絡數據包以及與所述網絡數據包對應的檢索信息進行分析，得到與所述網絡數據包對應的分析結果數據；

所述全信息記錄子系統將與所述網絡數據包對應的分析結果數據按照預先設置的上報規則上報給安全分析控制中心；

所述全信息記錄子系統接收安全分析控制中心發送的對應的安全策略，以便于所述全信息記錄子系統根據接收到的對應的安全策略重新進行各項配置參數和文件存儲權限的設置。

一種安全分析控制中心，包括：

參數設置單元，用于對各全信息記錄子系統進行各項配置參數和文件存儲權限的設置，以使得所述各全信息記錄子系統根據所述配置參數和文件存儲權限對抓取的網絡數據包進行分析處理，其中，所述配置參數包括：抓取的網絡數據包在各全信息記錄子系統的存儲區中的存儲路徑、閾值容量、分析策略和規則、上報規則；

接收單元，用于接收所述各全信息記錄子系統上報的分析結果數據，所述分析結果數據為所述各全信息記錄子系統根據所述配置參數和文件存儲權限對抓取的網絡數據包進行分析處理后的數據；

策略單元，用于根據所述各全信息記錄子系統上報的分析結果數據獲取與各全信息記錄子系統對應的安全策略；

發送單元，用于將所述安全策略發送給對應的各全信息記錄子系統。

一種全信息記錄子系統，包括：

存儲單元，用于當全信息記錄子系統具備對抓取到的網絡數據包的存儲權限時，根據預先設置的存儲路徑將抓取的所述網絡數據包存儲在所述全信息記錄子系統的存儲區中；

初步檢索單元，用于對存儲在所述全信息記錄子系統的存儲區內的所述網絡數據包進行初步檢索得到與所述網絡數據包對應的檢索信息，并將與所述網絡數據包對應的檢索信息存儲在所述全信息記錄子系統的數據庫緩存表中；