[发明专利]应用级容侵系统和方法

权利要求书

1.一种应用级容侵系统，其特征在于，所述系统包括：依次连接的边界判断单元、应用单元和应用系统模块。 

2.根据权利要求1所述的系统，其特征在于，所述边界判断单元，用于对外部访问进行分析、分配与入侵事件的响应。 

3.根据权利要求1所述的系统，其特征在于，所述应用单元，包括：虚拟应用模块、和分别与各个虚拟应用模块进行数据交互的虚拟应用管理器。 

4.根据权利要求2所述的系统，其特征在于，所述边界判断单元，包括：数据采集器、事件产生器、事件数据库、访问分配模块、事件分析器模块和事件处理单元；所述数据采集器、所述事件产生器、所述事件数据库和所述事件处理单元依次进行通信；所述事件产生器向所述访问分配模块发送数据。 

5.根据权利要求4所述的系统，其特征在于，所述数据采集器，收集外部访问过程的数据，收集的数据包括网络数据包、访问地址链接和用户动作，并将数据交给事件产生器。 

6.根据权利要求4所述的系统，其特征在于，所述事件产生器，将数据进行一次分配，将用户访问动作全部转发给访问分配模块，其余数据则转入所述事件数据库。 

7.根据权利要求4所述的系统，其特征在于，所述事件分析器模块，从事件数据库中提取数据，并进行关联分析，确定入侵事件；所述事件分析器模块，包括：各个并行设置的事件分析器。 

8.根据权利要求4所述的系统，其特征在于，所述事件处理模块，对事件分析器的分析结果进行处理，转换成虚拟应用管理器能识别的指令控制虚拟应用管理器的动作。 

9.根据权利要求4所述的系统，其特征在于，所述访问分配单元，将所述 事件产生器传入的用户访问进行关联性分析，将有关联的用户访问转至对应的虚拟应用模块中运行。 

10.根据权利要求4所述的系统，其特征在于，所述事件分析器模块，从事件数据库中提取数据，并进行关联分析，确定入侵事件；入侵事件，包括：拒绝服务攻击和SQL注入攻击。 

11.根据权利要求4所述的系统，其特征在于，所述虚拟应用模块，用于提供与真实应用系统相同的功能；各个虚拟应用模块之间相互独立。 

12.根据权利要求4所述的系统，其特征在于，所述虚拟应用管理器，用于负责处理所述边界判断模块发送的入侵事件的响应以及对各个虚拟应用模块进行管理。 

13.根据权利要求12所述的系统，其特征在于，所述虚拟应用管理器，包括：数据链接和数据差异段。 

14.根据权利要求13所述的系统，其特征在于，所述数据链接，指向真实应用的数据，作为基础数据；所述数据差异段，将每个虚拟应用模块的写入行分别作为一个虚拟对象，每个虚拟对象维持一个数据链表，在此数据链表中依次建立包含操作者、时间和记录的节点。 

15.根据权利要求1所述的系统，其特征在于，所述应用系统模块，为需要容侵保护的对象。 

16.一种应用级容侵方法，其特征在于，所述方法包括如下步骤： 

(1).访问分配与分析； 

(2).应用系统虚拟； 

(3).应用行为合并和回退。 

17.根据权利要求16所述的方法，其特征在于，所述步骤1包括如下步骤： 

(1-1).数据采集器收集外部访问过程数据，并将数据交给事件产生器； 

(1-2).事件产生器将收集到的数据进行一次分配，判断是否是用户访问，如果是则将用户访问动作全部转发给访问分配单元进行处理并转至步骤1-5，否则将访问数据转入事件数据库； 

(1-3).各个事件分析器从事件数据库中提取数据，并进行关联分析，确定入侵事件； 

(1-4).事件处理单元对事件分析器的分析结果进行处理，转换成虚拟应用管理器能识别的指令控制虚拟应用管理器的动作； 

(1-5).访问分配单元则将事件产生器传入的用户访问进行关联性分析，将有关联的用户访问转至对应的虚拟应用中运行。 

18.根据权利要求16所述的方法，其特征在于，在所述步骤3中，当外部访问结束时，边界判断模块向虚拟应用管理器提交外部访问结束动作，虚拟应用管理器判别该外部访问所使用的虚拟应用，如果该虚拟应用不包含其他外部访问，则将其对应的虚拟对象的差异段依时间排序，写入真实数据中； 

当边界判断模块发现入侵行为时，虚拟应用管理器判别该外部访问所使用的虚拟应用，撤销所有该虚拟应用对应的虚拟对象及其差异段链表，同时重置虚拟应用，以分配给其他外部访问。由于不同虚拟应用之间相互隔离，且都具有应用系统的功能，故不会影响其他外部访问，保证发生侵害时的应用系统可用性。