[发明专利]网络安全协同联动系统及方法

说明书

技术领域

本发明属于网络安全领域，尤其涉及网络安全协同联动系统及方法。

背景技术

随着信息技术和互联网技术的快速发展，针对网络信息系统的恶意攻击变得越来越多样化和复杂化，这些安全事件极大地威胁了我国的国家安全和人民生活，网络安全形势日趋严峻。为此，学术、产业等社会各界对网络安全技术进行了深入全面的研究工作，并取得了较为成熟的研究成果，如入侵检测、漏洞扫描、僵尸网络发现、分布式拒绝服务攻击检测、垃圾邮件过滤、防病毒、防木马等等技术及系统，然而，现有的研究工作还面临着以下两个问题：一是单一技术的孤立研究已很难大幅度降低网络安全事件的误报率和漏报率，比如入侵检测；二是单一技术手段已很难满足日益复杂的应用需求，比如针对网络安全事件的深入分析与知识挖掘。因此，针对网络安全协同联动技术的研究具有重要的理论意义和实际价值。

近几年，在安全事件协同联动相关领域具有一定代表性的研究工作包括：

1)统一威胁管理(Unified Threat Management，简称UTM)，最早由Fortinet公司在2002年提出，2004年9月美国著名的IDC提出将防病毒、入侵检测和防火墙安全设备命名为统一威胁管理。也被称为多功能防火墙、多功能安全网关。该类技术能够很好的关联防病毒、入侵检测和防火墙安全设备，并构成一个标准的统一管理平台。与传统网关安全设备相比，UTM设备融合多种安全能力，具有管理方便、投入少、防御能力强的优势。然而，该技术也有自己与生俱来的劣势，可以关联和管理的设备是固定的，不可以添加新的设备进行关联。因此，UTM不灵活且扩展性差。

2)安全运营中心(Security Operation Center，简称SOC)，一般被定位为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析，风险分析，预警管理，和应急响应处理的集中安全管理系统。但是由于目前业界并没有形成一个统一的理解，各厂商之间的SOC实现并不统一，不同厂商产品之间尚缺乏协同联动能力。

发明内容

因此，本发明的目的在于克服上述现有技术的缺陷，提供一种网络安全协同联动系统，可兼容多种安全资源。

为了实现上述发明目的，一方面，本发明提供了一种网络安全协同联动系统，包括：

安全资源接口模块，用于为多个安全资源提供传输接口以便在所述协同联动系统与各个安全资源之间进行文件传输，所述安全资源是指相关的网络安全系统；

安全资源适配模块，用于将相应的安全资源提供的安全事件信息从其特定格式转换为所述协同联动系统的标准格式；

协同联动引擎模块，用于根据协同联动需求对各个安全资源提供的安全事件进行关联分析和挖掘，以得到更有价值的信息。

上述系统中，每个安全资源适配模块对应一个安全资源。

上述系统中，安全资源接口模块采用FTP或SSH作为接口传输协议。

上述系统中，所述协同联动引擎模块包括：

指令集，其包含了常用指令，为协同联动引擎提供基础的协同联动功能；

模式集，其包含了协同联动模式，所述协同联动模式是根据协同联动需求采用指令集内的指令所编写的程序；

模式执行模块，用于执行协同联动模式以完成相应的协同联动任务。

上述系统中，还包括PA集，其提供指令集内不存在的运算，所述协同联动模式是根据协同联动需求采用指令集和/或PA集内的指令所编写的程序。

上述系统中，协同联动引擎是使用C、Python或Java实现的。

上述系统中，所述安全资源接口模块使用FTP资源向量的方式标识各个安全资源的FTP资源并且将多个FTP资源向量组成了FTP资源表，所述FTP资源向量为：<NUM，SERVER，USER，PASSWORD>，其中，NUM即该FTP资源的编号；SERVER为该FTP所在主机的IP地址；USER为FTP的用户名；PASSWORD为FTP的密码。

上述系统中，所述安全资源接口模块在访问具体的FTP资源时使用FTP编号来获取连接信息，并且通过在FTP资源表添加新的FTP资源向量来添加新的安全资源。

又一方面，本发明提供了用于上述系统的网络安全协同联动方法，所述方法包括以下步骤：

步骤1)将协同联动需求中所涉及的所有安全资源挂接到协同系统中；

步骤2)根据协同联动需求编写相应的协同联动模式；