[发明专利]一种基于云计算环境的全信息安全取证监听方法和系统

权利要求书

1.一种基于云计算环境的全信息安全取证监听方法，其特征在于，所述方法具体包括以下步骤：

S1：基于云计算对整个分布式网络进行部署，包括监听节点、汇聚节点和监控中心，并配置参数；

S2：所述监听节点抓取网络交换设备中的数据包获取原始数据，对所述原始数据进行暂存和实时分析，并根据控制指令将所述原始数据和实时分析得到的分析结果上传给所述汇聚节点；

S3：所述汇聚节点对所述原始数据和所述分析结果进行压缩、转换和缓存，上传给所述监控中心；

S4：所述监控中心对从所述汇聚节点接收到的数据进行汇总、云存储和分析，形成监听报表，并根据所述监听报表得出安全策略。

2.如权利要求1所述的方法，其特征在于，所述步骤S1中基于云计算对整个分布式网络进行部署具体是进行分网段的部署，将整个网络分成多个网段，每个网段内设置多个监听节点；

所述监听节点的网络接口采用混杂模式，对网段内的数据包采取异步抓包进行抓取；

所述监控中心包括多个汇聚节点，隶属于所述监控中心的汇聚节点向所述监控中心进行注册，并通过所述汇聚节点获取所述监控中心发布的对汇聚节点的配置信息；

所述汇聚节点包括多个监听节点，属于所述汇聚节点的监听节点向所述汇聚节点进行注册，所述汇聚节点接收监听节点的注册后将每个注册的监听节点的地址信息反馈给所述监控中心，并获取所述监控中心发布的对监听节点的配置信息。

3.如权利要求1所述的方法，其特征在于，所述步骤S2中对所述原始数据进行暂存具体包括：判断存储空间的容量是否达到容量阈值，如果达到则发出提醒或自动删除存储时间最早的原始数据，否则进行循环存储。

4.如权利要求1所述的方法，其特征在于，所述步骤S2中对所述原始数据进行实时分析具体包括：流量分析、协议分析、告警分析和查询分析。

5.如权利要求1所述的方法，其特征在于，所述步骤S2中上传给所述汇聚节点的原始数据就是暂存在所述监听节点的数据，上传给所述汇聚节点的分析结果通过暂存再进行上传。

6.如权利要求1所述的方法，其特征在于，所述步骤S3中所述汇聚节点对接收的数据进行压缩和转换，再进行数据化格式处理，并将处理后的数据进行缓存，缓存后的数据上传给所述监控中心，当所述监控中心的存储和解析速度小于所述监听节点的抓包速度时，所述汇聚节点对数据进行本地缓存，直到网络有空闲时才将缓存的数据存储到数据库中。

7.如权利要求1所述的方法，其特征在于，所述步骤S4中对数据的云存储的同时设置访问权限，禁止无权限者的访问或修改；

对数据的分析具体包括对数据的实时查询和精确分析。

8.一种基于云计算环境的全信息安全取证监听系统，其特征在于，所述系统包括：监听节点、汇聚节点和监控中心；

其中所述监听节点包括抓包模块、暂存模块、实时分析模块和策略模块；

所述汇聚节点包括监听管理模块、上行数据处理模块、下行策略处理模块和系统配置模块；

所述监控中心包括分析检索模块、云存储模块、策略制定模块、报表导出模块、通知报告模块和参数配置模块；

所述系统还包括通信模块，用于所述监听节点与所述汇聚节点的通信、所述汇聚节点与所述监控中心的通信和所述监控中心与云计算平台的通信。

9.如权利要求8所述的系统，其特征在于，所述抓包模块用于抓取网络交换设备中的网络数据包，获取原始数据；

所述暂存模块用于对所述原始数据和所述实时分析模块分析后的分析结果进行暂存；

所述实时分析模块用于对所述原始数据进行实时分析，得到分析结果；

所述策略模块用于接收所述汇聚节点转发的配置信息，并实施相应的策略、控制其它模块的行为。

10.如权利要求9所述的系统，其特征在于，所述暂存模块具体包括判断模块、循环存储模块和删除模块；

所述判断模块用于判断存储空间的容量是否达到容量阈值，如果达到则进入所述通知报告模块或所述删除模块，否则进入所述循环存储模块；

所述删除模块用于根据接收到的所述通知报告模块发出的控制指令进行删除或自动删除存储时间最早的原始数据；

所述循环存储模块用于存储所述原始数据，并记录存储时间。