技術領域

本發明屬于網絡安全領域，尤其涉及網絡安全協同聯動系統及方法。

背景技術

隨著信息技術和互聯網技術的快速發展，針對網絡信息系統的惡意攻擊變得越來越多樣化和復雜化，這些安全事件極大地威脅了我國的國家安全和人民生活，網絡安全形勢日趨嚴峻。為此，學術、產業等社會各界對網絡安全技術進行了深入全面的研究工作，并取得了較為成熟的研究成果，如入侵檢測、漏洞掃描、僵尸網絡發現、分布式拒絕服務攻擊檢測、垃圾郵件過濾、防病毒、防木馬等等技術及系統，然而，現有的研究工作還面臨著以下兩個問題：一是單一技術的孤立研究已很難大幅度降低網絡安全事件的誤報率和漏報率，比如入侵檢測；二是單一技術手段已很難滿足日益復雜的應用需求，比如針對網絡安全事件的深入分析與知識挖掘。因此，針對網絡安全協同聯動技術的研究具有重要的理論意義和實際價值。

近幾年，在安全事件協同聯動相關領域具有一定代表性的研究工作包括：

1)統一威脅管理(Unified?Threat?Management，簡稱UTM)，最早由Fortinet公司在2002年提出，2004年9月美國著名的IDC提出將防病毒、入侵檢測和防火墻安全設備命名為統一威脅管理。也被稱為多功能防火墻、多功能安全網關。該類技術能夠很好的關聯防病毒、入侵檢測和防火墻安全設備，并構成一個標準的統一管理平臺。與傳統網關安全設備相比，UTM設備融合多種安全能力，具有管理方便、投入少、防御能力強的優勢。然而，該技術也有自己與生俱來的劣勢，可以關聯和管理的設備是固定的，不可以添加新的設備進行關聯。因此，UTM不靈活且擴展性差。

2)安全運營中心(Security?Operation?Center，簡稱SOC)，一般被定位為：以資產為核心，以安全事件管理為關鍵流程，采用安全域劃分的思想，建立一套實時的資產風險模型，協助管理員進行事件分析，風險分析，預警管理，和應急響應處理的集中安全管理系統。但是由于目前業界并沒有形成一個統一的理解，各廠商之間的SOC實現并不統一，不同廠商產品之間尚缺乏協同聯動能力。

發明內容

因此，本發明的目的在于克服上述現有技術的缺陷，提供一種網絡安全協同聯動系統，可兼容多種安全資源。

為了實現上述發明目的，一方面，本發明提供了一種網絡安全協同聯動系統，包括：

安全資源接口模塊，用于為多個安全資源提供傳輸接口以便在所述協同聯動系統與各個安全資源之間進行文件傳輸，所述安全資源是指相關的網絡安全系統；

安全資源適配模塊，用于將相應的安全資源提供的安全事件信息從其特定格式轉換為所述協同聯動系統的標準格式；

協同聯動引擎模塊，用于根據協同聯動需求對各個安全資源提供的安全事件進行關聯分析和挖掘，以得到更有價值的信息。

上述系統中，每個安全資源適配模塊對應一個安全資源。

上述系統中，安全資源接口模塊采用FTP或SSH作為接口傳輸協議。

上述系統中，所述協同聯動引擎模塊包括：

指令集，其包含了常用指令，為協同聯動引擎提供基礎的協同聯動功能；

模式集，其包含了協同聯動模式，所述協同聯動模式是根據協同聯動需求采用指令集內的指令所編寫的程序；

模式執行模塊，用于執行協同聯動模式以完成相應的協同聯動任務。

上述系統中，還包括PA集，其提供指令集內不存在的運算，所述協同聯動模式是根據協同聯動需求采用指令集和/或PA集內的指令所編寫的程序。

上述系統中，協同聯動引擎是使用C、Python或Java實現的。

上述系統中，所述安全資源接口模塊使用FTP資源向量的方式標識各個安全資源的FTP資源并且將多個FTP資源向量組成了FTP資源表，所述FTP資源向量為：<NUM，SERVER，USER，PASSWORD>，其中，NUM即該FTP資源的編號；SERVER為該FTP所在主機的IP地址；USER為FTP的用戶名；PASSWORD為FTP的密碼。

上述系統中，所述安全資源接口模塊在訪問具體的FTP資源時使用FTP編號來獲取連接信息，并且通過在FTP資源表添加新的FTP資源向量來添加新的安全資源。

又一方面，本發明提供了用于上述系統的網絡安全協同聯動方法，所述方法包括以下步驟：

步驟1)將協同聯動需求中所涉及的所有安全資源掛接到協同系統中；

步驟2)根據協同聯動需求編寫相應的協同聯動模式；