本發(fā)明公開了一種基于監(jiān)控探針聯(lián)動的網(wǎng)絡(luò)安全事件溯源系統(tǒng)與方法，它能夠?qū)W(wǎng)絡(luò)安全事件進(jìn)行精確溯源。其技術(shù)方案為：該方法包括：a.根據(jù)待溯源的網(wǎng)絡(luò)安全事件的有關(guān)信息，選擇合適的監(jiān)控探針并確定適用的溯源規(guī)則；b.將該些溯源規(guī)則發(fā)布至該些監(jiān)控探針，收集該些監(jiān)控探針依據(jù)該些溯源規(guī)則采集的監(jiān)控數(shù)據(jù)，從該些監(jiān)控數(shù)據(jù)中提取該網(wǎng)絡(luò)安全事件的包含發(fā)起源IP地址的信息；c.若滿足溯源結(jié)束條件，則轉(zhuǎn)至步驟d，否則更新該網(wǎng)絡(luò)安全事件的信息后轉(zhuǎn)至步驟a；d.將當(dāng)前的該發(fā)起源IP地址作為該網(wǎng)絡(luò)安全事件的最終發(fā)起源IP地址提交，流程結(jié)束。本發(fā)明應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域。

1.一種基于監(jiān)控探針聯(lián)動的網(wǎng)絡(luò)安全事件溯源系統(tǒng)，結(jié)合入侵檢測、網(wǎng)絡(luò)監(jiān)
控和安全審計(jì)軟件模塊對網(wǎng)絡(luò)安全事件進(jìn)行精確溯源，該系統(tǒng)包括一個溯源控制中
心和多個與該溯源控制中心通過網(wǎng)絡(luò)通信的監(jiān)控探針，其中，
該些監(jiān)控探針進(jìn)一步包括：
溯源規(guī)則接收模塊，實(shí)時接收從該溯源控制中心發(fā)布的溯源規(guī)則；
溯源規(guī)則轉(zhuǎn)換模塊，將接收到的該些溯源規(guī)則轉(zhuǎn)換成該入侵檢測、網(wǎng)絡(luò)
監(jiān)控和安全審計(jì)軟件模塊可接收的格式并以此格式提交；
監(jiān)控數(shù)據(jù)轉(zhuǎn)換模塊，將該入侵檢測、網(wǎng)絡(luò)監(jiān)控和安全審計(jì)軟件模塊生成
的數(shù)據(jù)轉(zhuǎn)換成與該溯源控制中心約定的監(jiān)控數(shù)據(jù)格式；
監(jiān)控數(shù)據(jù)上報模塊，將監(jiān)控數(shù)據(jù)實(shí)時上報到該溯源控制中心；
總控模塊，啟停各個模塊，檢測故障及恢復(fù)；
該溯源控制中心進(jìn)一步包括：
監(jiān)控探針信息庫，存儲該些監(jiān)控探針的信息；
溯源規(guī)則庫，存儲該些監(jiān)控探針對應(yīng)的溯源規(guī)則；
監(jiān)控數(shù)據(jù)庫，存儲該些監(jiān)控探針傳送來的監(jiān)控數(shù)據(jù)；
溯源規(guī)則發(fā)布模塊，連接該溯源規(guī)則庫，將存儲于該溯源規(guī)則庫且已經(jīng)
形成的溯源規(guī)則向相應(yīng)的監(jiān)控探針發(fā)送；
監(jiān)控數(shù)據(jù)接收模塊，連接該監(jiān)控數(shù)據(jù)庫，實(shí)時收集各個監(jiān)控探針上報的
監(jiān)控數(shù)據(jù)，并存放于該監(jiān)控數(shù)據(jù)庫中；
監(jiān)控探針信息維護(hù)模塊，連接該監(jiān)控探針信息庫，錄入、更新、刪除該
些監(jiān)控探針的信息；
溯源規(guī)則生成模塊，連接該監(jiān)控探針信息庫和該溯源規(guī)則庫，根據(jù)網(wǎng)絡(luò)
安全事件的信息制定所需的溯源規(guī)則；
監(jiān)控探針選擇模塊，連接該監(jiān)控探針信息庫，根據(jù)監(jiān)控探針的信息以及
網(wǎng)絡(luò)安全事件的相關(guān)信息選擇適合進(jìn)行溯源的監(jiān)控探針；
發(fā)起源IP地址提取模塊，連接該監(jiān)控探針信息庫，根據(jù)監(jiān)控探針的信息
以及監(jiān)控數(shù)據(jù)提取路由上最接近網(wǎng)絡(luò)安全事件的發(fā)起源的源IP地址；
監(jiān)控數(shù)據(jù)篩選模塊，連接該監(jiān)控數(shù)據(jù)庫，根據(jù)發(fā)布的溯源規(guī)則和截獲時間，
篩選出與待溯源的網(wǎng)絡(luò)安全事件相關(guān)的監(jiān)控數(shù)據(jù)；
溯源總控模塊，連接該溯源規(guī)則生成模塊、監(jiān)控探針選擇模塊、發(fā)起源IP
地址提取模塊和監(jiān)控數(shù)據(jù)篩選模塊，調(diào)用該些模塊以實(shí)現(xiàn)溯源過程；
用戶接口模塊，連接該監(jiān)控探針信息維護(hù)模塊和溯源總控模塊，接收用戶
輸入，定義網(wǎng)絡(luò)安全事件的特征，向用戶返回溯源結(jié)果。
2.根據(jù)權(quán)利要求1所述的基于監(jiān)控探針聯(lián)動的網(wǎng)絡(luò)安全事件溯源系統(tǒng)，其特
征在于，該溯源總控模塊中還設(shè)有一迭代單元，迭代溯源過程。
3.根據(jù)權(quán)利要求1所述的基于監(jiān)控探針聯(lián)動的網(wǎng)絡(luò)安全事件溯源系統(tǒng)，其特
征在于，該些監(jiān)控探針部署于網(wǎng)絡(luò)的主要通道并采取旁路式監(jiān)聽，包括企業(yè)網(wǎng)的網(wǎng)
絡(luò)出口、NAT后端網(wǎng)絡(luò)通道、互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)出口、省/市網(wǎng)絡(luò)出口以及國際出
口。
4.根據(jù)權(quán)利要求1所述的基于監(jiān)控探針聯(lián)動的網(wǎng)絡(luò)安全事件溯源系統(tǒng)，其特
征在于，該些監(jiān)控探針的描述信息至少包括：監(jiān)控探針標(biāo)識、對外IP地址范圍、
內(nèi)部IP地址范圍和溯源規(guī)則，其中對外IP地址范圍是可能被其他部署于監(jiān)控網(wǎng)絡(luò)
外部的監(jiān)控探針?biāo)孬@的源IP地址的集合，內(nèi)部IP地址范圍是通過該監(jiān)控探針?biāo)?br/>監(jiān)控的網(wǎng)絡(luò)通道訪問互聯(lián)網(wǎng)的所有IP地址的集合。
5.根據(jù)權(quán)利要求1所述的基于監(jiān)控探針聯(lián)動的網(wǎng)絡(luò)安全事件溯源系統(tǒng)，其特
征在于，該溯源規(guī)則至少包括溯源規(guī)則標(biāo)識、網(wǎng)絡(luò)安全事件的源IP地址、網(wǎng)絡(luò)安
全事件的目標(biāo)IP地址、網(wǎng)絡(luò)安全事件相關(guān)的傳輸層協(xié)議、源端口、目的端口和事
件匹配特征描述。
6.根據(jù)權(quán)利要求1所述的基于監(jiān)控探針聯(lián)動的網(wǎng)絡(luò)安全事件溯源系統(tǒng)，其特
征在于，該監(jiān)控數(shù)據(jù)至少包括監(jiān)控探針標(biāo)識、截獲時間、溯源規(guī)則標(biāo)識、網(wǎng)絡(luò)安全
事件的源IP地址、網(wǎng)絡(luò)安全事件的目的IP地址、網(wǎng)絡(luò)安全事件相關(guān)的傳輸層協(xié)議、
源端口、目的端口和事件匹配特征描述。
7.一種基于監(jiān)控探針聯(lián)動的網(wǎng)絡(luò)安全事件溯源方法，對網(wǎng)絡(luò)安全事件進(jìn)行精
確溯源，該方法包括：
a.根據(jù)待溯源的網(wǎng)絡(luò)安全事件的有關(guān)信息，選擇合適的監(jiān)控探針并確定適用
的溯源規(guī)則；
b.將該些溯源規(guī)則發(fā)布至該些監(jiān)控探針，收集該些監(jiān)控探針依據(jù)該些溯源規(guī)
則采集的監(jiān)控數(shù)據(jù)，從該些監(jiān)控數(shù)據(jù)中提取該網(wǎng)絡(luò)安全事件的包含發(fā)起源IP地址
的信息；
c.若滿足溯源結(jié)束條件，則轉(zhuǎn)至步驟d，否則更新該網(wǎng)絡(luò)安全事件的信息后
轉(zhuǎn)至步驟a；
d.將當(dāng)前的該發(fā)起源IP地址作為該網(wǎng)絡(luò)安全事件的最終發(fā)起源IP地址提交，
流程結(jié)束。
8.根據(jù)權(quán)利要求7所述的基于監(jiān)控探針聯(lián)動的網(wǎng)絡(luò)安全事件溯源方法，其特
征在于，步驟a確定合適的監(jiān)控探針的過程進(jìn)一步包括：
(1.1)查找所有對外IP地址范圍包含該網(wǎng)絡(luò)安全事件的源IP地址的監(jiān)控探
針，如果存在，則以上述的監(jiān)控探針形成第一監(jiān)控探針列表，其余的監(jiān)控探針形成
第二監(jiān)控探針列表，轉(zhuǎn)至步驟(1.2)；否則再查找所有內(nèi)部IP地址范圍包含該網(wǎng)
絡(luò)安全事件的源IP地址的監(jiān)控探針，如果存在則以上述的監(jiān)控探針形成第一監(jiān)控
探針列表，其余的探針形成第二監(jiān)控探針列表，再轉(zhuǎn)至步驟(1.2)；否則再轉(zhuǎn)至
步驟(1.4)；其中對外IP地址范圍指有可能被其他部署于監(jiān)控網(wǎng)絡(luò)外部的監(jiān)控探
針?biāo)孬@的源IP地址的集合，內(nèi)部IP地址范圍是通過該監(jiān)控探針?biāo)O(jiān)控的網(wǎng)絡(luò)通
道訪問互聯(lián)網(wǎng)的所有IP地址的集合；
(1.2)在該第一監(jiān)控探針列表中，比對各個監(jiān)控探針的對外IP地址范圍，如
果某個監(jiān)控探針的對外IP地址范圍完全包含在另一個監(jiān)控探針的對外IP地址范圍
中，則淘汰后者，重復(fù)以上淘汰操作直到?jīng)]有可淘汰的監(jiān)控探針；然后再比對各個
監(jiān)控探針的內(nèi)部IP地址范圍，如果某個監(jiān)控探針的內(nèi)部IP地址范圍完全包含在另
一個監(jiān)控探針的內(nèi)部IP地址范圍中，則淘汰后者，形成第三監(jiān)控探針列表；
(1.3)在該第二監(jiān)控探針列表中，尋找對外IP地址范圍完全包含于形成該
第三監(jiān)控探針列表中的監(jiān)控探針的對外IP地址范圍的監(jiān)控探針，加入到該第三監(jiān)
控探針列表；然后再次在該第一監(jiān)控探針列表中尋找內(nèi)部IP地址范圍完全包含于
形成該第三監(jiān)控探針列表中的監(jiān)控探針的內(nèi)部IP地址范圍的監(jiān)控探針，加入到該
第三監(jiān)控探針列表中，形成第四監(jiān)控探針列表，轉(zhuǎn)到步驟(1.5)；
(1.4)在所有監(jiān)控探針中，比對各個監(jiān)控探針的對外IP地址范圍，如果某
個監(jiān)控探針的對外IP地址范圍完全包含在另一個監(jiān)控探針的對外IP地址范圍中，
則淘汰前者，重復(fù)以上淘汰操作直到?jīng)]有可淘汰的監(jiān)控探針，形成第四監(jiān)控探針列
表；
(1.5)該第四監(jiān)控探針列表中的監(jiān)控探針即為合適的監(jiān)控探針；
步驟a確定適用的溯源規(guī)則的過程進(jìn)一步包括：
(2.1)針對對外IP地址范圍與內(nèi)部IP地址范圍不同的監(jiān)控探針，如果該網(wǎng)
絡(luò)安全事件的源IP地址屬于該監(jiān)控探針的內(nèi)部IP地址范圍，則將該溯源規(guī)則的目
的IP地址置為該網(wǎng)絡(luò)安全事件的源IP地址，否則將該溯源規(guī)則的目的IP地址置
為該網(wǎng)絡(luò)安全事件的目的IP地址；
(2.2)針對對外IP地址范圍與內(nèi)部IP地址范圍相同的監(jiān)控探針，將該溯源
規(guī)則的目的IP地址置為該網(wǎng)絡(luò)安全事件的源IP地址；
(2.3)根據(jù)該網(wǎng)絡(luò)安全事件本身在網(wǎng)上傳輸數(shù)據(jù)包的特征，設(shè)定該網(wǎng)絡(luò)安全
事件的事件匹配特征描述，直接復(fù)制該網(wǎng)絡(luò)安全事件的最初的事件匹配特征描述；
(2.4)根據(jù)需要增加對上述所設(shè)定的目標(biāo)IP地址的遠(yuǎn)程操控協(xié)議服務(wù)端口
規(guī)則；
(2.5)所得到的溯源規(guī)則即為適用的溯源規(guī)則。
9.根據(jù)權(quán)利要求7所述的基于監(jiān)控探針聯(lián)動的網(wǎng)絡(luò)安全事件溯源方法，其特
征在于，步驟b確定該網(wǎng)絡(luò)安全事件的包含發(fā)起源IP地址的信息的過程進(jìn)一步包
括：
(1)選擇溯源規(guī)則和截獲時間均匹配的監(jiān)控數(shù)據(jù)作后續(xù)處理；
(2)針對該監(jiān)控數(shù)據(jù)進(jìn)行以下操作以確定該發(fā)起源IP地址：
(I)一條監(jiān)控數(shù)據(jù)記錄的源IP地址等于另一條監(jiān)控數(shù)據(jù)記錄的目的
IP地址，淘汰前者的源IP地址；
(II)當(dāng)一個監(jiān)控探針上報的監(jiān)控數(shù)據(jù)中，源IP地址屬于另一條監(jiān)控
數(shù)據(jù)記錄所屬的監(jiān)控探針的對外IP地址范圍，則淘汰前者提供
的監(jiān)控數(shù)據(jù)中的源IP地址；
(III)當(dāng)一個監(jiān)控探針上報的監(jiān)控數(shù)據(jù)中，源IP地址不屬于其內(nèi)部IP
地址范圍，而存在另一個監(jiān)控探針上報的監(jiān)控數(shù)據(jù)中，源IP地
址屬于其內(nèi)部IP地址范圍，則淘汰前者提供的源IP地址；
(IV)如果兩個監(jiān)控探針上報的監(jiān)控數(shù)據(jù)中，源IP地址均屬于其內(nèi)部
IP地址范圍，而其中的一個監(jiān)控探針的內(nèi)部IP地址范圍包含于
另一個監(jiān)控探針的內(nèi)部IP地址范圍，則淘汰后者提供的源IP地
址；
(V)如果存在兩條監(jiān)控數(shù)據(jù)記錄，其中一條監(jiān)控數(shù)據(jù)記錄的源IP地
址為境外地址，目的地址為境內(nèi)地址，另一條監(jiān)控數(shù)據(jù)記錄的源
IP地址為境內(nèi)地址，目的地址為境外地址，則淘汰前者包含的
源IP地址；
(VI)經(jīng)過以上淘汰過程，剩下的IP地址為所述發(fā)起源IP地址。
10.根據(jù)權(quán)利要求7所述的基于監(jiān)控探針聯(lián)動的網(wǎng)絡(luò)安全事件溯源方法，其
特征在于，步驟c中的結(jié)束條件是預(yù)先設(shè)定的溯源次數(shù)和溯源時間已經(jīng)到達(dá)、沒有
收集到該網(wǎng)絡(luò)安全事件的相關(guān)監(jiān)控數(shù)據(jù)、沒有更新該網(wǎng)絡(luò)安全事件的相關(guān)信息或其
任意組合；且步驟d中的最終發(fā)起源IP地址為單個IP地址或由多個IP地址構(gòu)成
的一個地址列表。