[发明专利]应用级容侵系统和方法

说明书

技术领域

本发明属于信息安全领域，具体涉及一种应用级容侵系统和方法。

背景技术

应用系统软件是一个信息的集成环境，是将分散、异构的应用和信息资源进行聚合，通过一个或多个访问入口，实现某类特殊功能的软件统称。

随着网络科技的进步，针对应用系统软件的攻击和反攻击的技术在不断发展，对于协议的分析和模式识别技术的不断先进性，使得直接针对系统底层的攻击得到有效的发现和防御，而针对应用系统的攻击事件则层出不穷，诸如SQL注入、跨站攻击、会话劫持及Cookie中毒(cookie-poisoning)等。而针对这类的检测和防御手段目前主要是防火墙、IDS、IPS等，这类防护手段均为基于特征的识别和防御方法。基于特征的识别和防御方法主要起源于对早期对网络数据包的过滤，这类识别和防御方法对针对底层的攻击具有很好的防御效果，因为针对底层的攻击通常模式单一、数据结构小，使用这类方法能够快速的进行鉴别分析。

而针对应用层的攻击事件，往往具有复杂性，通常数据结构庞大、需要大量数据包承载、模式多样、采用分阶段处理等。针对这样的攻击事件，采用基于特征的识别和防御方法就需要维护一个极其庞大的特征库，并进行上下文的关联分析，却时常不能覆盖所有的攻击模式和新兴的攻击方式，最终导致网络攻击对系统造成影响，使其不可用、数据被篡改或被非法使用等。这就需要一种新的应用级容侵技术，以保障应用系统软件在遭受攻击时能够保证其正常运行。

发明内容

为克服上述缺陷，本发明提供了一种应用级容侵系统和方法，通过将应用虚拟化为多个虚拟应用，并通过一种容侵方法，解决应用系统软件如何有效保障网络侵害发生时的可用性的问题。

为实现上述目的，本发明提供一种应用级容侵系统，其改进之处在于，所述系统包括：依次连接的边界判断单元、应用单元和应用系统模块。

本发明提供的优选技术方案中，所述边界判断单元，用于对外部访问进行分析、分配与入侵事件的响应。

本发明提供的第二优选技术方案中，所述应用单元，包括：虚拟应用模块、和分别与各个虚拟应用模块进行数据交互的虚拟应用管理器。

本发明提供的第三优选技术方案中，所述边界判断单元，包括：数据采集器、事件产生器、事件数据库、访问分配模块、事件分析器模块和事件处理单元；所述数据采集器、所述事件产生器、所述事件数据库和所述事件处理单元依次进行通信；所述事件产生器向所述访问分配模块发送数据。

本发明提供的第四优选技术方案中，所述数据采集器，收集外部访问过程的数据，收集的数据包括网络数据包、访问地址链接和用户动作，并将数据交给事件产生器。

本发明提供的第五优选技术方案中，所述事件产生器，将数据进行一次分配，将用户访问动作全部转发给访问分配模块，其余数据则转入所述事件数据库。

本发明提供的第六优选技术方案中，所述事件分析器模块，从事件数据库中提取数据，并进行关联分析，确定入侵事件；所述事件分析器模块，包括：各个并行设置的事件分析器。

本发明提供的第七优选技术方案中，所述事件处理模块，对事件分析器的分析结果进行处理，转换成虚拟应用管理器能识别的指令控制虚拟应用管理器的动作；

本发明提供的第八优选技术方案中，所述访问分配单元，将所述事件产生器传入的用户访问进行关联性分析，将有关联的用户访问转至对应的虚拟应用模块中运行。

本发明提供的第九优选技术方案中，所述事件分析器模块，从事件数据库中提取数据，并进行关联分析，确定入侵事件；入侵事件，包括：拒绝服务攻击和SQL注入攻击。

本发明提供的第十优选技术方案中，所述虚拟应用模块，用于提供与真实应用系统相同的功能；各个虚拟应用模块之间相互独立。

本发明提供的较优选技术方案中，所述虚拟应用管理器，用于负责处理所述边界判断模块发送的入侵事件的响应以及对各个虚拟应用模块进行管理。

本发明提供的第二较优选技术方案中，所述虚拟应用管理器，包括：数据链接和数据差异段。

本发明提供的第三较优选技术方案中，所述数据链接，指向真实应用的数据，作为基础数据；所述数据差异段，将每个虚拟应用模块的写入行分别作为一个虚拟对象，每个虚拟对象维持一个数据链表，在此数据链表中依次建立包含操作者、时间和记录的节点。

本发明提供的第四较优选技术方案中，所述应用系统模块，为需要容侵保护的对象。

本发明提供的第五较优选技术方案中，一种应用级容侵方法，其改进之处在于，所述方法包括如下步骤：

(1).访问分配与分析；