專利名稱:主機(jī)性能監(jiān)測及自動(dòng)反應(yīng)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計(jì)算機(jī)網(wǎng)絡(luò)的主機(jī)性能監(jiān)測及自動(dòng)反應(yīng)系統(tǒng),用于計(jì)算機(jī)網(wǎng)絡(luò)安全,屬于計(jì)算機(jī)和自動(dòng)控制技術(shù)領(lǐng)域。
主機(jī)可以進(jìn)行的監(jiān)測包括網(wǎng)絡(luò)監(jiān)測和本機(jī)監(jiān)測。
網(wǎng)絡(luò)監(jiān)測對抵達(dá)主機(jī)的數(shù)據(jù)進(jìn)行分析并試圖確認(rèn)哪些是潛在的威脅,監(jiān)測是否有未經(jīng)授權(quán)而試圖通過某些TCP或者UDP端口進(jìn)行的連接,如果有人試圖通過未開放任何服務(wù)的端口進(jìn)行連接,就往往意味著有人在尋找系統(tǒng)漏洞。
本機(jī)監(jiān)測通過監(jiān)視本機(jī)的文件系統(tǒng)、CPU占用率、內(nèi)存占用率以及檢查日志文件來發(fā)現(xiàn)異常情況的蛛絲馬跡。系統(tǒng)管理員也可以從中找到相關(guān)痕跡,還可以通過監(jiān)測本機(jī)上的特權(quán)用戶的活動(dòng)來判斷是否被入侵。一般來說一臺(tái)主機(jī)一旦被配置好后,只需要進(jìn)行少量的需要特權(quán)用戶進(jìn)行的維護(hù)工作,而且這些維護(hù)工作多數(shù)是計(jì)劃好的,有一定時(shí)間性,如果發(fā)現(xiàn)有特權(quán)用戶在一個(gè)非特定時(shí)間進(jìn)行可疑操作,則應(yīng)當(dāng)通知系統(tǒng)維護(hù)人員以確認(rèn)是否被入侵。
目前現(xiàn)有的主機(jī)監(jiān)測技術(shù)主要是基于上述的幾方面內(nèi)容來進(jìn)行的,一旦監(jiān)測出異常則通過聲光報(bào)警等形式引起管理員注意,并由管理員采取進(jìn)一步動(dòng)作。
從現(xiàn)有的主機(jī)監(jiān)測軟件駐留的位置又可以分為下面兩類基于服務(wù)器端的監(jiān)測目前,絕大多數(shù)的監(jiān)測軟件都是基于服務(wù)器端的,即用戶購買該軟件后,將其安裝在本地服務(wù)器上,對本地的服務(wù)器、數(shù)據(jù)庫等軟硬件的運(yùn)行性能進(jìn)行監(jiān)測。這種監(jiān)測軟件的好處在于用戶可以了解自己本地機(jī)器的使用效率,還可以了解本地的網(wǎng)絡(luò)連接及一些電子商務(wù)流程在本地的執(zhí)行情況。但缺點(diǎn)是不能直接反映終端用戶登錄網(wǎng)站及使用網(wǎng)站提供的電子商務(wù)服務(wù)的實(shí)際體驗(yàn)。
基于用戶端的監(jiān)測隨著Internet技術(shù)的發(fā)展以及經(jīng)營思想觀念的轉(zhuǎn)變,出現(xiàn)了一種新型的監(jiān)測服務(wù)。這種監(jiān)測服務(wù)是將軟件分布在用戶端,而不是安裝在網(wǎng)絡(luò)運(yùn)營商本地的服務(wù)器上。從終端用戶的角度對網(wǎng)絡(luò)性能進(jìn)行監(jiān)測并從終端用戶角度來進(jìn)行性能診斷、查找網(wǎng)絡(luò)瓶頸。這種監(jiān)測服務(wù)的使用原理從根本上體現(xiàn)了以用戶為中心的經(jīng)營思想,因?yàn)閷K端用戶來說,在登錄網(wǎng)絡(luò)時(shí),他們并不關(guān)心網(wǎng)絡(luò)運(yùn)營商使用的是HP還是IBM的服務(wù)器、是NT還是Unix操作平臺(tái),也不關(guān)心他們使用的是Oracle還是微軟的數(shù)據(jù)庫。用戶唯一關(guān)心的是自己在網(wǎng)絡(luò)的沖浪體驗(yàn),即登錄一個(gè)頁面或完成一項(xiàng)網(wǎng)上交易能否成功,時(shí)間是多長。
以上這些主機(jī)監(jiān)測技術(shù)主要是提供監(jiān)測的功能,而一旦發(fā)現(xiàn)異常后還需要管理員手工的干預(yù),如果異常情況發(fā)生在深夜或其他無人值守的時(shí)間段,必然會(huì)導(dǎo)致處理不及時(shí),并有可能造成損失。
為實(shí)現(xiàn)這樣的目的,本發(fā)明的技術(shù)方案中,應(yīng)用的平臺(tái)是WINDOWSNT/UNIX,通過事件收集代理在主機(jī)上運(yùn)行來收集各種信息并加以分析,并根據(jù)預(yù)定的規(guī)則判斷是否發(fā)生異常,若發(fā)現(xiàn)有異常情況則通過應(yīng)急措施執(zhí)行軟件修復(fù)主機(jī),使其恢復(fù)到正常狀態(tài),還可以通過電子郵件,BP等方式通知管理員。
本發(fā)明所說的異常事件指系統(tǒng)或設(shè)備遭受到攻擊或者是收到的服務(wù)請求過多而無法正常的提供服務(wù);也包括本機(jī)CPU占用率、內(nèi)存占用率、磁盤空間占用率或進(jìn)程數(shù)過多導(dǎo)致系統(tǒng)性能嚴(yán)重下降等事件。宿主是針對在其中植入負(fù)責(zé)狀態(tài)收集和遠(yuǎn)程控制代理的程序而言,是監(jiān)測體系中受保護(hù)的主機(jī)和設(shè)備。事件收集代理是用來收集宿主的工作狀態(tài),包括穩(wěn)定性數(shù)據(jù)和安全性數(shù)據(jù)的收集。應(yīng)急措施執(zhí)行軟件是修復(fù)宿主,將宿主恢復(fù)到可正常工作狀態(tài)的軟件。
為了實(shí)現(xiàn)規(guī)則的可配置性,本發(fā)明提供了一種集中的規(guī)則配置方式,用戶通過配置管理中心進(jìn)行規(guī)則的配置并傳送到各個(gè)被監(jiān)測的主機(jī)進(jìn)行監(jiān)測。用戶可以設(shè)定出現(xiàn)報(bào)警的種類、系統(tǒng)的處理方法,然后設(shè)定它們之間的邏輯關(guān)系。系統(tǒng)將報(bào)警信息(或者用戶要求的特定Agent的詳細(xì)信息),通過圖形界面(或是統(tǒng)一的微軟管理控制臺(tái)MMC界面)發(fā)送給用戶。為了增加系統(tǒng)的靈活性,用戶除了可以通過制定規(guī)則由系統(tǒng)自動(dòng)對報(bào)警進(jìn)行處理之外,還可以手動(dòng)執(zhí)行特定動(dòng)作,來控制遠(yuǎn)端被監(jiān)測的主機(jī)或網(wǎng)絡(luò)。由于監(jiān)測系統(tǒng)會(huì)將任何事件記錄在系統(tǒng)日志中,用戶還可以通過察看日志來確定系統(tǒng)是否正常運(yùn)行。
整個(gè)監(jiān)測系統(tǒng)還可以同外部的審計(jì)系統(tǒng)相連接,將系統(tǒng)的安全日志通過審計(jì)系統(tǒng)進(jìn)行保存,同外部的接口通過HTTP協(xié)議來實(shí)現(xiàn)并采用XML進(jìn)行通訊。本監(jiān)測系統(tǒng)還可以同防火墻系統(tǒng)建立接口,通過讀取防火墻的系統(tǒng)日志,分析其中潛在的隱患,并通過TELNET協(xié)議對防火墻的配置進(jìn)行修改,不讓潛在的危險(xiǎn)進(jìn)入主機(jī)。
本監(jiān)測系統(tǒng)內(nèi)部主要包含了配置管理中心同各個(gè)駐留在主機(jī)的事件收集代理之間的信息通訊接口,按照信息內(nèi)容和實(shí)現(xiàn)方式的不同,可以分為兩類1)系統(tǒng)數(shù)據(jù)(包括事件收集代理的報(bào)警信息和響應(yīng)信息)通過SNMP(MIB)來傳送,SNMP預(yù)先將數(shù)據(jù)表示的數(shù)據(jù)結(jié)構(gòu)定義一連串的位,每個(gè)位表示某個(gè)狀態(tài)量是否超過警戒限度或某個(gè)執(zhí)行元素是否需要執(zhí)行,由于被傳輸?shù)男畔⒑苌?,因此可以在一個(gè)IP包中傳輸,可以加快系統(tǒng)的響應(yīng)時(shí)間。
2)系統(tǒng)控制信息(配置管理中心發(fā)出的策略控制信息和事件收集代理執(zhí)行信息)通過直接的通訊接口來實(shí)現(xiàn)。
本系統(tǒng)除了提供通過配置管理中心進(jìn)行配置的自動(dòng)反應(yīng)動(dòng)作之外,還同時(shí)提供人工處理的能力,在發(fā)現(xiàn)異常時(shí)通過電子郵件或BP等形式通知管理員;系統(tǒng)提供管理員除了能夠手動(dòng)對事件收集代理發(fā)送執(zhí)行命令的功能,管理員也能夠在任何情況下,都能直接手動(dòng)控制,排除隱患。如果服務(wù)器發(fā)生問題(如死機(jī)),并且不能由系統(tǒng)對問題進(jìn)行自動(dòng)響應(yīng),需要給出提示后由管理員手動(dòng)重啟動(dòng)系統(tǒng)。
對于系統(tǒng)各種數(shù)據(jù)采集規(guī)則的設(shè)定是有層次分別的,用戶可以對整個(gè)系統(tǒng)設(shè)定規(guī)則,也可以對一個(gè)主機(jī)的組合設(shè)定規(guī)則,也可以對特定的單個(gè)主機(jī)設(shè)定規(guī)則,在執(zhí)行部件進(jìn)行數(shù)據(jù)采集形成告警的過程中,按照不同的優(yōu)先級進(jìn)行匹配,也就是說,如果對本機(jī)有特殊規(guī)則要求的,則按照該規(guī)則進(jìn)行匹配;如果不是,則查看是否屬于某個(gè)有規(guī)則限定的主機(jī)組合,如果是,則按照組合的規(guī)則進(jìn)行匹配;如果既不是特殊主機(jī),又不是主機(jī)組合中的成員,就按照整個(gè)系統(tǒng)的規(guī)則來進(jìn)行匹配。
對于系統(tǒng)中的單個(gè)設(shè)備或已經(jīng)封裝好的子系統(tǒng),由于沒有組合和集合的情況,都由系統(tǒng)設(shè)定。
本發(fā)明不僅對主機(jī)和連接到主機(jī)的網(wǎng)絡(luò)信息進(jìn)行全面的監(jiān)測,讓系統(tǒng)被入侵的可能性降到最低,還提供了發(fā)現(xiàn)異常后按照預(yù)先設(shè)定的規(guī)則自動(dòng)反應(yīng)的能力,大大簡化了系統(tǒng)管理員的負(fù)擔(dān),并能對異常事件提供最及時(shí)的處理;只有在情況十分復(fù)雜,系統(tǒng)難于判斷應(yīng)該采取什么措施時(shí),才需要系統(tǒng)管理員的介入;而不管在任何情況下,系統(tǒng)管理員都可以通過配置管理中心進(jìn)行手工干預(yù),監(jiān)測系統(tǒng)也會(huì)在發(fā)現(xiàn)異常事件后以最快的方式通知系統(tǒng)管理員,并忠實(shí)的將系統(tǒng)的一舉一動(dòng)記錄入日志以供分析。
集中設(shè)置的配置管理中心是系統(tǒng)管理員設(shè)置規(guī)則和系統(tǒng)反應(yīng)動(dòng)作的中心,管理員可以通過該中心全面監(jiān)視所有主機(jī)的情況,還可以方便的修改規(guī)則以適應(yīng)系統(tǒng)的變化。規(guī)則定義了哪些系統(tǒng)信息應(yīng)該被事件收集代理所收集,還定義了這些信息對應(yīng)的閾值,一旦收集的信息超出了設(shè)定的閾值,就認(rèn)為發(fā)生了異常事件,監(jiān)測系統(tǒng)就會(huì)按照設(shè)定的動(dòng)作自動(dòng)進(jìn)行處理并及時(shí)通知管理員。所有這些都使得本系統(tǒng)為用戶提供最靈活的配置和最及時(shí)的處理,將用戶可能的損失降到最低。
及
具體實(shí)施例方式圖1為本發(fā)明的系統(tǒng)結(jié)構(gòu)示意圖。
如圖所示,本發(fā)明采用了集中的規(guī)則配置方式,整個(gè)監(jiān)測系統(tǒng)只需配置一個(gè)應(yīng)急響應(yīng)中心,同時(shí)又作為配置管理中心,通過網(wǎng)絡(luò)與被監(jiān)測的主機(jī)相連,實(shí)現(xiàn)集中控制。管理員通過應(yīng)急響應(yīng)中心配置規(guī)則,觀察系統(tǒng)運(yùn)行和網(wǎng)絡(luò)狀態(tài),并采取相應(yīng)措施;在被監(jiān)測主機(jī)上安裝系統(tǒng)性能監(jiān)測模塊、事件收集模塊和命令執(zhí)行模塊,完成主機(jī)監(jiān)測、分析和自動(dòng)反應(yīng)的功能。
管理員通過操作界面對應(yīng)急響應(yīng)中心進(jìn)行操作,既可以配置主機(jī)監(jiān)測規(guī)則和對應(yīng)的自動(dòng)反應(yīng)動(dòng)作,也可以手工控制系統(tǒng)進(jìn)行干預(yù),以解決一些比較緊急而又難以進(jìn)行自動(dòng)處理的事件。
應(yīng)急響應(yīng)中心在管理員進(jìn)行了規(guī)則配置和自動(dòng)反應(yīng)動(dòng)作的配置之后,將規(guī)則傳給事件收集模塊。系統(tǒng)性能監(jiān)測模塊作為安裝在被監(jiān)測主機(jī)上的軟件模塊,時(shí)刻監(jiān)視系統(tǒng)性能的變化,并報(bào)告事件收集模塊。根據(jù)預(yù)先設(shè)定的規(guī)則,事件收集模塊一旦發(fā)現(xiàn)有異常事件發(fā)生,就會(huì)將相應(yīng)事件提交給應(yīng)急響應(yīng)中心。
應(yīng)急響應(yīng)中心根據(jù)事件性質(zhì)決定應(yīng)采取的動(dòng)作,并將相應(yīng)命令發(fā)給命令執(zhí)行單元,由命令執(zhí)行單元控制被監(jiān)測的主機(jī)完成自動(dòng)保護(hù)動(dòng)作。同時(shí),應(yīng)急響應(yīng)中心以醒目的方式將當(dāng)前的網(wǎng)絡(luò)狀態(tài)和可疑事件顯示在終端上,若事件難以自動(dòng)處理,還可以通過電子郵件,BP等方式通知管理員進(jìn)行手工干預(yù)。應(yīng)急響應(yīng)中心還會(huì)將系統(tǒng)內(nèi)發(fā)生的一切可疑事件和處理方式及結(jié)果記錄到系統(tǒng)日志中,以供管理員分析系統(tǒng)狀態(tài)時(shí)用。
應(yīng)急響應(yīng)中心還可以同防火墻相連接,通過分析其日志,檢測是否存在隱患;應(yīng)急響應(yīng)中心通過同審計(jì)系統(tǒng)連接,還可以將系統(tǒng)的安全日志通過審計(jì)系統(tǒng)加以保存。
為了保證對異常事件的及時(shí)處理,對監(jiān)測系統(tǒng)的自動(dòng)反應(yīng)時(shí)間應(yīng)該有一定要求,本系統(tǒng)的各項(xiàng)時(shí)間指標(biāo)如下1.響應(yīng)時(shí)間本系統(tǒng)的“事件收集代理”針對宿主發(fā)生意外情況而通知應(yīng)急反應(yīng)中心的響應(yīng)時(shí)間為<5秒。當(dāng)本系統(tǒng)的應(yīng)急反應(yīng)中心接收到事件收集代理反映上來的異常事件,而且在應(yīng)急規(guī)則中對應(yīng)的相應(yīng)操作為自動(dòng)響應(yīng)時(shí),自動(dòng)響應(yīng)部件發(fā)送出指令的時(shí)間<1秒。應(yīng)急措施執(zhí)行軟件接收到響應(yīng)指令,并開始處理的響應(yīng)時(shí)間為<1秒。2.更新處理時(shí)間事件收集代理定時(shí)發(fā)送宿主的工作狀態(tài)到應(yīng)急反應(yīng)中心的控制臺(tái)的更新周期為1-10秒(程序可控刷新頻度)。3.數(shù)據(jù)的轉(zhuǎn)換和傳送時(shí)間基于XML的通訊原語和通訊信息之間的轉(zhuǎn)換時(shí)間為<1秒。應(yīng)急反應(yīng)中心和周邊輔助軟件或設(shè)備間的數(shù)據(jù)傳送時(shí)間由當(dāng)時(shí)的網(wǎng)絡(luò)性能決定。要求網(wǎng)絡(luò)至少滿足傳送時(shí)間<1秒。4.解題時(shí)間事件收集代理根據(jù)制定的規(guī)則和宿主的工作狀態(tài)進(jìn)行匹配,以確定是否要向應(yīng)急反應(yīng)中心匯報(bào)“險(xiǎn)情”,這種匹配的處理時(shí)間為<1秒。其它對時(shí)間的要求由于應(yīng)急反應(yīng)中心針對某宿主進(jìn)行的應(yīng)急反應(yīng)可能會(huì)同時(shí)依賴審計(jì)中心匯報(bào)的情況和事件收集代理收集的情況進(jìn)行綜合判定出處理的方法。兩邊匯報(bào)數(shù)據(jù)的先后對處理的方法和結(jié)果都會(huì)有不同,因此就必須要求審計(jì)中心、事件收集代理和應(yīng)急反應(yīng)中心在時(shí)間上完全同步。這可以通過時(shí)間同步程序來實(shí)現(xiàn)。
權(quán)利要求
1.一種主機(jī)性能監(jiān)測及自動(dòng)反應(yīng)系統(tǒng),其特征在于采用集中的規(guī)則配置方式,應(yīng)急響應(yīng)中心同時(shí)作為配置管理中心,通過網(wǎng)絡(luò)與被監(jiān)測主機(jī)相連,在被監(jiān)測主機(jī)上安裝系統(tǒng)性能監(jiān)測模塊、事件收集模塊和命令執(zhí)行模塊,應(yīng)急響應(yīng)中心將管理員通過操作界面進(jìn)行的規(guī)則配置和自動(dòng)反應(yīng)動(dòng)作的配置傳給事件收集模塊,系統(tǒng)性能監(jiān)測模塊監(jiān)視系統(tǒng)性能的變化并報(bào)告事件收集模塊,由事件收集模塊將發(fā)現(xiàn)的異常事件提交給應(yīng)急響應(yīng)中心,應(yīng)急響應(yīng)中心根據(jù)事件性質(zhì)決定應(yīng)采取的動(dòng)作,并由命令執(zhí)行單元控制被保護(hù)主機(jī)完成自動(dòng)保護(hù)動(dòng)作。
2.如權(quán)利要求1所說的主機(jī)性能監(jiān)測及自動(dòng)反應(yīng)系統(tǒng),其特征在于系統(tǒng)還同外部的審計(jì)系統(tǒng)相連接,將系統(tǒng)的安全日志通過審計(jì)系統(tǒng)進(jìn)行保存,同外部的接口通過HTTP協(xié)議來實(shí)現(xiàn)并采用XML進(jìn)行通訊。
3.如權(quán)利要求1所說的主機(jī)性能監(jiān)測及自動(dòng)反應(yīng)系統(tǒng),其特征在于系統(tǒng)還同防火墻系統(tǒng)建立接口,并通過TELNET協(xié)議對防火墻的配置進(jìn)行修改而不讓潛在的危險(xiǎn)進(jìn)入主機(jī)。
全文摘要
一種主機(jī)性能監(jiān)測及自動(dòng)反應(yīng)系統(tǒng),采用集中的規(guī)則配置方式,應(yīng)急響應(yīng)中心同時(shí)作為配置管理中心通過網(wǎng)絡(luò)與被監(jiān)測主機(jī)相連,在被監(jiān)測主機(jī)上安裝系統(tǒng)性能監(jiān)測模塊、事件收集模塊和命令執(zhí)行模塊,應(yīng)急響應(yīng)中心將規(guī)則傳給事件收集模塊,系統(tǒng)性能監(jiān)測模塊監(jiān)視系統(tǒng)性能的變化并報(bào)告事件收集模塊,由事件收集模塊將發(fā)現(xiàn)的異常事件提交給應(yīng)急響應(yīng)中心,應(yīng)急響應(yīng)中心根據(jù)事件性質(zhì)決定應(yīng)采取的動(dòng)作,并由命令執(zhí)行單元控制被保護(hù)主機(jī)完成自動(dòng)保護(hù)動(dòng)作。本發(fā)明不僅對主機(jī)和連接到主機(jī)的網(wǎng)絡(luò)信息進(jìn)行全面的監(jiān)測,還提供了發(fā)現(xiàn)異常后按照預(yù)先設(shè)定的規(guī)則自動(dòng)反應(yīng)的能力,對異常事件提供及時(shí)處理,將用戶可能的損失降到最低。
文檔編號G06F11/00GK1349164SQ0113903
公開日2002年5月15日 申請日期2001年12月4日 優(yōu)先權(quán)日2001年12月4日
發(fā)明者鐘亦平, 吳杰, 吳承榮 申請人:上海復(fù)旦光華信息科技股份有限公司