[发明专利]一种基于云计算环境的全信息安全取证监听方法和系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于云计算环境的全信息安全取证监听方法和系统。

背景技术

随着互联网网络技术特别是WWW（World Wide Web，万维网）技术的快速发展，互联网也越来越多的应用到各行各业之中。人类社会纷纷将各种活动迁移到了互联网上，形成了以电子政务、电子商务、电子金融、电子教学等为代表的各种应用，使得互联网的使用成为人类日常的生活习惯。在这个进程中，网络安全问题逐渐受到人们的关注，并随着安全事件的不断涌现而成为热点问题。

目前主要的网络安全问题有黑客攻击(Hacking)，恶意代码(Malware)（包括特洛伊木马Trojans、蠕虫病毒Worms、间谍软件Spyware)，流氓软件(又叫Adware)），网络欺诈(Phishing Attack)和网络攻击（Attack）(包括DDoS、僵尸网络Botnet)等。

针对这些问题，网络安全防护提出了相应的解决方案。安全威胁日益复杂多样，攻击手段日益综合。很多复合式安全攻击融合了如蠕虫病毒、木马、间谍软件等多种手段，单纯依靠以单一的防火墙为代表的传统安全解决方案已经无法奏效。而采购、部署和管理多种单独防护手段如反钓鱼、反蠕虫、IPS（Intrusion Prevention System，入侵防御系统）等安全设备往往需要企业花费巨大的经济和人力的开销，并需要专业的网络管理知识，从而给企业带来了巨大的维护成本。

网络监测可以实时地监测企业内网中网络状态，可以及时地对内部入侵或攻击行为做出判断，从而提高企业网络安全等级，网络监控作为一种发展比较成熟的技术，监听网络传输的数据，排除网络故障等方面具有不可替代的作用，因而一直倍受网络管理员的青睐。

目前市场上的网络监听装置或抓包装置种类比较少，部分监听装置侧重于提高抓包速度，在这方面做了很多改进，部分监听装置突出了抓取数据包的准确率，在接收数据的过滤技术上做了很多的工作，还有部分监控装置致力于解决现有技术中无法实时监听目标定位，还有还原监听数据内容不精确的问题。当前的主流网络监控装置都是单独运行的，装置之间缺少统一部署和协作，因此在大存储和高性能的需求上还表现得还不够完善。因此当面临大数据，多服务器集中监听的时候，传统的监控装置不能很好的适应。

随着网络的发展，网络所提供的服务越来越多，因此，在网络上提供各种服务与应用的主机也越来越多，由此带来的系统维护也变得越来越复杂；企业的运作对于IT系统的依赖性越来越强，用户对网络服务的要求越来越高，因此服务的故障甚至中断会给用户带来抱怨，也对政府、企业的信誉和形象带来损害。然而，系统的故障甚至中断是在所难免的，而如何在最短的时间内发现故障是挽回损失和解决问题的第一步，因此，主机管理、网络管理是必不可少的助手。因此需要一种网络监测系统帮助网络管理员随时随地了解整个网络系统运行情况，从而保障网络的安全。

云计算是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需提供给计算机和其他设备。云计算描述了一种基于互联网的新的IT服务增加、使用和交付模式，通过互联网来提供动态易扩展而且是虚拟化的资源。云计算一般来说包括以下几个层次的服务：基础设施即服务（Infrastructure as a Service，简称IaaS），平台即服务（Platform as a Service，简称PaaS）和软件即服务（Software as a Service，简称SaaS）。

现行的网络监听工具主要是针对单点的网络监听进行研究的，并没有对大规模、多服务的网络环境的监听进行研究，并没有注意到现在企业或政府的服务器集群越来越大、网络拓扑蔓延越来越广、对网络速度的要求越来越高，单点的网络监听及低速的监听装置越来越不适应现在企业和社会的发展需求。此外，云计算这一新兴的计算模式在IT界异军突起，由云计算带动的产品收益也成几何级数增长，作为IT领域的产品，也要与时俱进，将监听技术与云计算相结合，充分利用云计算的优点，提高监听产品的性能。

发明内容

（一）要解决的技术问题

针对上述缺陷，本发明要解决的技术问题是如何采用基于云计算环境下的分析和存储，实现了多节点全局高效快速的网络监听。

（二）技术方案

为解决上述问题，本发明提供了一种基于云计算环境的全信息安全取证监听方法，所述方法具体包括以下步骤：

S1：基于云计算对整个分布式网络进行部署，包括监听节点、汇聚节点和监控中心，并配置参数；