[发明专利]基于监控探针联动的网络安全事件溯源系统与方法

摘要

本发明公开了一种基于监控探针联动的网络安全事件溯源系统与方法，它能够对网络安全事件进行精确溯源。其技术方案为：该方法包括：a.根据待溯源的网络安全事件的有关信息，选择合适的监控探针并确定适用的溯源规则；b.将该些溯源规则发布至该些监控探针，收集该些监控探针依据该些溯源规则采集的监控数据，从该些监控数据中提取该网络安全事件的包含发起源IP地址的信息；c.若满足溯源结束条件，则转至步骤d，否则更新该网络安全事件的信息后转至步骤a；d.将当前的该发起源IP地址作为该网络安全事件的最终发起源IP地址提交，流程结束。本发明应用于网络安全领域。

主权项

1.一种基于监控探针联动的网络安全事件溯源系统，结合入侵检测、网络监控和安全审计软件模块对网络安全事件进行精确溯源，该系统包括一个溯源控制中心和多个与该溯源控制中心通过网络通信的监控探针，其中，该些监控探针进一步包括：溯源规则接收模块，实时接收从该溯源控制中心发布的溯源规则；溯源规则转换模块，将接收到的该些溯源规则转换成该入侵检测、网络监控和安全审计软件模块可接收的格式并以此格式提交；监控数据转换模块，将该入侵检测、网络监控和安全审计软件模块生成的数据转换成与该溯源控制中心约定的监控数据格式；监控数据上报模块，将监控数据实时上报到该溯源控制中心；总控模块，启停各个模块，检测故障及恢复；该溯源控制中心进一步包括：监控探针信息库，存储该些监控探针的信息；溯源规则库，存储该些监控探针对应的溯源规则；监控数据库，存储该些监控探针传送来的监控数据；溯源规则发布模块，连接该溯源规则库，将存储于该溯源规则库且已经形成的溯源规则向相应的监控探针发送；监控数据接收模块，连接该监控数据库，实时收集各个监控探针上报的监控数据，并存放于该监控数据库中；监控探针信息维护模块，连接该监控探针信息库，录入、更新、删除该些监控探针的信息；溯源规则生成模块，连接该监控探针信息库和该溯源规则库，根据网络安全事件的信息制定所需的溯源规则；监控探针选择模块，连接该监控探针信息库，根据监控探针的信息以及网络安全事件的相关信息选择适合进行溯源的监控探针；发起源IP地址提取模块，连接该监控探针信息库，根据监控探针的信息以及监控数据提取路由上最接近网络安全事件的发起源的源IP地址；监控数据筛选模块，连接该监控数据库，根据发布的溯源规则和截获时间，筛选出与待溯源的网络安全事件相关的监控数据；溯源总控模块，连接该溯源规则生成模块、监控探针选择模块、发起源IP地址提取模块和监控数据筛选模块，调用该些模块以实现溯源过程；用户接口模块，连接该监控探针信息维护模块和溯源总控模块，接收用户输入，定义网络安全事件的特征，向用户返回溯源结果。