CN102148827A - 安全事件管理方法、装置及安全管理平台 - Google Patents
安全事件管理方法、装置及安全管理平台 Download PDFInfo
- Publication number
- CN102148827A CN102148827A CN2011100360963A CN201110036096A CN102148827A CN 102148827 A CN102148827 A CN 102148827A CN 2011100360963 A CN2011100360963 A CN 2011100360963A CN 201110036096 A CN201110036096 A CN 201110036096A CN 102148827 A CN102148827 A CN 102148827A
- Authority
- CN
- China
- Prior art keywords
- security incident
- security
- incident
- server
- agency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本发明提供安全事件管理方法、装置及安全管理平台。该安全事件管理方法包括:服务器向用于采集安全事件的代理发送安全事件格式化标准,以使所述代理根据所述安全事件格式化标准对采集的安全事件进行格式化;所述服务器从所述代理获取经格式化的安全事件,对所述安全事件进行关联分析并产生安全告警。本发明的安全事件管理方法、装置及安全管理平台能够实现具有较低的安全告警延迟、且具有较高的安全监控性能的安全事件管理。
Description
技术领域
本发明涉及网络安全防护,尤其涉及安全事件管理方法、装置及安全管理平台。
背景技术
随着信息化进程的逐步推进,IT系统越来越多地应用于业务中,网络的安全性成为企业信息化建设关注的重点问题。为了保障企业网络的安全畅通,企业一般都在自己的信息网络中配置防火墙、防病毒、入侵检测、终端管理、漏洞扫描、行为审计等一系列安全系统和设备,这些专业的安全系统在各自关注领域对企业的IT系统进行了强有力的安全防护,使企业的安全得到了一定的提升。但是,这些安全设备之间缺少信息层互通能力,不能从全局去把控安全问题,即各安全设备、系统之间形成了信息安全孤岛,不能够综合反映整个网络的安全情况。而且安全产品在运行的过程中会出现大量的安全事件,一个标准的网络入侵监测系统采用缺省的策略,在一个百兆的链接上每天可能产生超过千万数量的事件,真正与安全相关的有约600条报警,急需用户解决的严重威胁有2个。这种海量的数据直接导致了安全产品的低效甚至无效。虽然可通过采用适当的策略,对安全事件的数据进行调整和优化,但由于有些无效数据是由安全产品的机制自身导致的,所以无法彻底解决该问题。
安全管理平台(Security Operations Center,SOC)是对与网络安全相关的设备和系统进行统一安全管理和综合分析,实现安全事件集中管理和监控的技术支撑平台。
图1是SOC的系统架构示意图。如图1所示,SOC包括用于集中收集安全事件的代理(Agent)、对Agent所收集的安全事件进行处理和关联分析的服务器(Server),以及根据服务器的分析结果向用户提供安全告警事件的安全告警展示界面(Web)。SOC处理安全事件的流程为:由不同Agent采集不同网络安全设备和系统的安全事件,然后将安全事件直接发送给Server;Server接收安全事件,并对这些原始安全事件进行格式化处理,统一成Server可识别的事件格式;Server根据用户需要对格式化后的数据进行归并或过滤,然后做关联分析处理,生成安全告警事件,从而完成整个安全事件的处理过程。
在这种SOC中,一方面,由于所有Agent采集的安全事件,都由Server统一进行格式化,海量事件的格式化会占用系统大量中央处理器(CPU)资源和内存资源,影响了Server的性能和处理能力,特别是影响Server的关联分析性能,造成安全告警延时,不利于发现安全风险;另一方面,在大规模的网络环境中,分布部署多台Server时,由于每台Server都是独立地对安全进行格式化,使得相同的安全事件在不同的Server中被格式化处理多次,导致了整体SOC系统的性能下降。
发明内容
针对上述缺陷,本发明提供安全事件管理方法、装置及安全管理平台,用以实现具有较低的安全告警延迟、且具有较高的安全监控性能的安全事件管理。
本发明提供的安全事件管理方法,包括:
服务器向用于采集安全事件的代理发送安全事件格式化标准,以使所述代理根据所述安全事件格式化标准对采集的安全事件进行格式化;
所述服务器从所述代理获取经格式化的安全事件,对所述安全事件进行关联分析并产生安全告警。
根据本发明的另一方面,还提供一种安全事件管理服务器,包括:
发送模块,用于向代理发送所述安全事件格式化标准,以使所述代理根据所述安全事件格式化标准对采集的安全事件进行格式化;
事件接收模块,用于从所述代理获取经格式化的安全事件;
关联分析模块,与所述事件接收模块连接,用于对所述安全事件进行关联分析并产生安全告警;
告警响应模块,与所述关联分析模块连接,用于将所述安全告警发送至安全告警展示界面,并存储所述安全告警。
根据本发明的又一方面,还提供另一种安全事件管理方法,包括:
代理从网络设备采集安全事件并从服务器获取安全事件格式化标准;
所述代理根据所述安全事件格式化标准对采集的安全事件进行格式化;
所述代理将经格式化的安全事件发送至所述服务器,以由所述服务器对所述安全事件进行关联分析并产生安全告警。
根据本发明的又一方面,还提供一种安全事件管理代理,包括:
事件采集模块,用于从网络设备采集安全事件并从服务器获取安全事件格式化标准;
事件格式化模块,与所述事件采集模块连接,用于根据所述安全事件格式化标准对采集的安全事件进行格式化;
事件发送模块,用于将经格式化的安全事件发送至所述服务器,以由所述服务器对所述安全事件进行关联分析并产生安全告警。
根据本发明的又一方面,还提供一种安全管理平台,包括:至少一个本发明提供的安全事件管理服务器、至少一个本发明提供的安全事件管理代理,以及与安全事件管理服务器连接的用于显示安全告警的安全告警展示界面。
根据本发明的安全事件管理方法、服务器、代理及安全管理平台,通过由服务器将安全事件格式化标准下发给代理,由采集安全事件的代理根据安全事件格式化标准对安全事件进行格式化,避免了由服务器对全部安全事件进行格式化所造成的安全告警延迟的问题,极大地提高了安全监控性能;而且当包含多台服务器时,还能够避免由不同的服务器对相同的安全事件进行多次格式化处理的问题,实现了一次格式化、多次应用,提高了监控效率,及时发现安全风险,极大提高了整体安全管理平台的性能。
附图说明
图1是SOC的系统架构示意图。
图2为本发明安全事件管理方法的流程图。
图3为在SOC中应用本发明安全事件管理方法的流程图。
图4为本发明另一安全事件管理方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图,对本发明的技术方案进行清楚、完整地描述。
图2为本发明安全事件管理方法的流程图。如图2所示,该安全事件管理方法包括以下步骤:
步骤S100,服务器向用于采集安全事件的代理发送安全事件格式化标准,以使代理根据安全事件格式化标准对采集的安全事件进行格式化;
具体地,上述步骤S100例如通过以下步骤实现:
步骤S101,Sever定制一套或多套安全事件格式化字段集,并根据安全事件格式化字段生成用于表征安全事件格式化标准的安全事件格式化插件。安全事件格式化标准用于将各种不同格式的安全事件统一为Server可识别的事件格式,以便Server对安全事件进行关联分析。其中,安全事件格式化插件是采用特定的语言、特定的格式、用于对安全事件进行格式化的语句的集合,例如,在数据结构中预先定义一个标识插件的ID号,该ID号和安全事件格式化插件ID号相同,例如123,一类设备的安全事件的识别语句可组合一个插件,多种类型的设备安全事件可按统一标准格式化,也可按不同标准格式化,并且每一个安全事件格式化插件只使用一套字段集,且多个安全事件格式化插件可共用一套字段集;
步骤S102,Sever部署Agent时,根据Agent需要采集的设备类型,向Agent下发与设备类型相对应的安全事件格式化插件,其中,一类设备类型可对应一个插件,一个Agent可采集多种类型的安全事件,且不同类型的Agent可采集不同类型的安全事件;例如与同一Server连接的多个不同的Agent分别采集以下安全事件:第一Agent采集边界和网络安全的安全事件,例如包括防火墙/虚拟专用网,路由器和交换器,网络入侵检测/入侵防御设备;第二Agent采集桌面、网关和服务器安全的安全事件,例如包括防病毒、间谍软件,广告软件,邮件和插件安全,反垃圾邮件和内容,服务器、主机入侵检测和防火墙;第三Agent采集策略贯彻和漏洞管理的安全事件,例如包括主机和网络策略协议,主机和网络漏洞,及资产发现;第四Agent采集其他应用的安全事件,例如包括Web应用,邮件和业务应用。
步骤S103,Agent接收到安全事件格式化插件后,将其存放至本地磁盘;
步骤S104,Agent通过简单网络管理协议(Simple Network ManagementProtocol,SNMP)、Syslog协议、其中,Syslog协议是一种工业标准的协议,允许一个设备通过IP网络把通告信息传递给事件信息接收者,另外,可以采用的协议还包括有FILE协议、开放数据库互联(Open Database Connectivity,ODBC)、可扩展标识语言(Extensible Markup Language,XML)和文件传输协议(File Transfer Protocol,FTP)等方式,以便于Agent采集到不同厂家、不同类型的网络安全设备和系统的安全事件;
步骤S105,Agent采集到安全事件后,依据步骤S103中接收到的安全事件格式化插件对步骤S104中采集到的安全事件进行格式化;
步骤S 106,Agent将格式化后的安全事件发送至Server。
步骤S200,Server从Agent获取经格式化的安全事件,对安全事件进行关联分析并产生安全告警。
具体地,上述步骤S200例如通过以下步骤实现:
步骤S201,Server接收到安全事件后,将安全事件存储至数据库中;
步骤S202,Server进行关联分析时,根据关联规则设定的事件类型,从数据库中读取相应的安全事件,然后进行关联分析处理,生成安全告警事件,并将安全告警事件发送至安全告警展示界面(Web),例如为浏览器;
步骤S203,Web接收安全告警事件并显示该安全告警事件,Web还可提供查询界面,以根据输入的查询条件检索历史安全告警事件并显示。
根据上述实施例的安全事件管理方法,通过由Server将安全事件格式化标准下发至Agent,由Agent根据安全事件格式化标准对采集的安全事件进行格式化,并将格式化后的安全事件发送至Server,以由Server进行关联分析、产生安全告警,避免了由Server对全部安全事件进行格式化所造成的安全告警延迟的问题,极大地提高了安全监控性能;而且当包含多台Server时,还能够避免由不同的Server对相同的安全事件进行多次格式化处理的问题,实现了一次格式化、多次应用,提高了监控效率,及时发现安全风险,极大提高了整体安全管理平台的性能。
进一步地,在上述实施例的安全事件管理方法中,Server从Agent获取经格式化的安全事件,对安全事件进行关联分析并产生安全告警的步骤包括:
Server从代理获取经格式化的安全事件,将安全事件存储至预置的对应于安全事件格式化标准的数据库表中;
Server根据设定的关联规则对应的安全事件类型,从与安全事件类型对应的数据库表中读取安全事件,进行关联分析,并生成安全告警事件;
Server将安全告警事件发送至Web。
具体地,Server的数据库根据不同格式化字段集创建不同的数据库表,当Agent根据安全事件格式化插件对安全事件进行格式化时,为安全事件标记上对应于所依据的安全事件格式化插件的标识,所述标识作为安全事件的标识,以使Server接收到安全事件后,根据所述安全事件的标识,确定格式化该安全事件所使用的格式化插件,并将该安全事件存储到相应的数据库表中,即Server将使用不同字段集的格式化的安全事件存储到不同的数据库表中。当Server关联分析时,不需遍历所有数据库表,依据关联规则设定的事件类型,直接从相应的数据库表中读取事件。
根据上述实施例的安全事件管理方法,由于为数据库分配对应于不同字段集的数据库表,将Server接收到的格式化后的安全事件存储到对应的数据库表中,从而使得在进行关联分析读取安全事件时,可以通过查找与进行关联分析所需的事件类型对应的数据库表、并读取数据库表中存储的安全事件,来获取进行关联分析所需的安全事件,而无需遍历所有数据库表,有利于提高读取安全事件的速度,从而提高SOC的关联分析性能。
进一步地,在上述实施例的安全事件管理方法中,Server从Agent获取经格式化的安全事件,将安全事件存储至预置的对应于安全事件格式化标准的数据库表中的步骤包括:
Server从代理获取经格式化的安全事件,根据预置的、与代理对应的过滤规则和/或合并规则对安全事件进行过滤和/或合并;
Server将经过滤或合并的安全事件存储至预置的对应于安全事件格式化标准的数据库表中。
具体地,可根据用户的需要,针对从Agent接收的安全事件设置过滤规则和/或合并规则,以使得Server从Agent接收安全事件时,能够对用户不关注的安全事件进行过滤或对重复的安全事件进行合并。更具体地,该过滤规则例如为滤除源端口为某一指定端口的安全事件,该合并规则例如为对目的IP为某一指定IP的安全事件进行合并,即在展示安全事件时并不分别展示目的IP为该指定IP的多条安全事件,而仅展示一条安全事件并在该条安全事件后注明重复的次数。
每一个过滤或合并规则只对一个Agent有效,即各过滤规则或合并规则仅与一个Agent相对应,例如Server根据针对第一Agent设置的过滤规则和/或合并规则对从第一Agent接收的安全事件进行过滤和/或合并时,该过滤规则和/或合并规则并不适用于Server从第二Agent接收的安全事件。
进一步地,在上述实施例的安全事件管理方法中,Server从Agent获取经格式化的安全事件,对安全事件进行关联分析并产生安全告警的步骤之前还包括:
Server从Agent获取安全事件,若判断获知所获取的安全事件为未经格式化的安全事件(即携带有未经格式化的标识的安全事件),则将安全事件存储至原始安全事件数据库表。
具体地,数据库中除包含对应于各安全事件字段集的数据库表之外,还包含一个用于存储没有格式化的原始安全事件数据库表。当Agent采集到安全事件后,其根据安全事件类型查找相应的安全事件格式化插件,若找到相应的安全事件格式化插件,则依据上述实施例对安全事件进行格式化;若未找到相应的安全事件格式化插件,则不对该安全事件进行格式化,而是给该安全事件标记上未经格式化的标识,并将该携带有标识的安全事件发送至Server。其中,该未经格式化的标识可以为Agent与Server相约定的任意标识,
一般的,对于未经格式化的标识,ID号默认为0。
用于在Agent未对某个或某些安全事件进行格式化并发送至Server时,Server能够通过Agent在相应的安全事件上所标记的标识识别出该安全事件未经格式化。Server从Agent接收安全事件后,首先识别安全事件所携带的标识,若获知所接收的安全事件携带的标识为未经格式化的标识,则将该安全事件存储至原始安全事件数据库表中。
通过检测存储在原始安全事件数据库表中的安全事件,可确定Agent中未包含的安全事件格式化插件或Server中未包含的安全事件格式化插件,从而对Server和Agent进行开发或更新。
进一步地,在上述实施例的安全事件管理方法中,数据库表中还可包含一个用于存储关联分析产生的安全告警的安全告警表。
通过将产生的安全告警存储在安全告警表中,能够经由Web为用户提供安全告警查询服务。
进一步地,在上述实施例的安全事件管理方法中,Agent通常为多个,在大规模的网络环境中,Server的数量也可以为多个。
图3为在SOC中应用本发明安全事件管理方法的流程图。如图3所示,包括以下步骤:
步骤S1,Agent事件采集模块实时采集安全事件;
步骤S2,Agent事件格式化模块实时格式化安全事件,格式化完毕后,在经格式化的安全事件上标记上用于标识该安全事件是依据何种格式化插件进行格式化的标识并将安全事件交至事件发送模块,以使Server接收安全事件后可通过识别其所携带的标识确定该安全事件所对应的格式化插件类型,从而将该格式化后的安全事件存放至对应的数据库表中;对于由于未查找到与安全事件的类型对应的安全事件格式化插件而无法对其进行格式化的安全事件,则标记上未经格式化的标识并直接交至发送模块,以使Server接收安全事件后可通过识别其所携带的标识确定该安全事件为未经格式化的安全事件,从而将该安全事件存储至原始安全事件数据库表;
步骤S3,Agent事件发送模块将所有安全事件发送至Server;
步骤S4,Server事件接收模块接收到安全事件;
步骤S5,Server过滤和归并模块过滤或归并事件;
步骤S6,Server事件存储模块将事件存储到数据库中;
步骤S7,Server关联分析模块从数据库中读取事件,关联分析事件;
步骤S8,Server关联分析模块产生安全告警;
步骤S9,Server告警响应模块响应安全告警,发送安全告警事件,并将安全告警事件存储到数据库;
步骤S10,告警响应服务器的接收模块接收安全告警事件,并由该告警响应服务器的安全告警展示界面(例如为WEB界面)展示该安全告警事件;该展示例如为通过网页或弹出对话框的方式向用户展示产生该安全告警事件的时间及该安全告警事件的名称等;其中,该告警响应服务器可以为单独设置的、与Server连接的服务器,也可以是设置在Server内部的一个模块。
步骤S11、告警响应服务器还可包括查询模块,以根据用户请求检索历史安全告警事件并通过安全告警展示界面向用户展示查询结果。
根据本发明的另一方面,还提供一种安全事件管理服务器,包括:
发送模块,用于向代理发送安全事件格式化标准,以使代理根据安全事件格式化标准对采集的安全事件进行格式化;
事件接收模块,用于从代理获取经格式化的安全事件;
关联分析模块,与事件接收模块连接,用于对安全事件进行关联分析并产生安全告警;
告警响应模块,与关联分析模块连接,用于将安全告警发送至安全告警展示界面,并存储安全告警。
上述实施例的安全事件管理服务器执行安全事件管理的流程与上述安全事件管理方法相同,故此处不再赘述。
根据上述实施例的安全事件管理服务器,由于通过发送模块向代理发送安全事件格式化标准,以使代理根据安全事件格式化标准对采集的安全事件进行格式化,通过事件接收模块获取经Agent格式化后的安全事件,并通过关联分析模块对安全事件进行关联分析并产生安全告警,从而避免了由Server对全部安全事件进行格式化所造成的安全告警延迟的问题,极大地提高了安全监控性能;而且当同一网络中应用多台Server时,还能够避免由不同的Server对相同的安全事件进行多次格式化处理的问题,实现了一次格式化、多次应用,提高了监控效率,及时发现安全风险,极大提高了整体安全管理平台的性能。
进一步地,在上述实施例的安全事件管理服务器中,还包括:
数据库,用于存储安全事件格式化标准和安全事件;
判断模块,用于判断从代理获取的安全事件是否为经格式化的安全事件,若判断获知所获取的安全事件为未经格式化的安全事件,则将安全事件存储至原始安全事件数据库表。
进一步地,在上述实施例的安全事件管理服务器中,还包括:
过滤和归并模块,用于存储过滤规则和合并规则,并根据与代理对应的过滤规则和合并规则对从代理获取的安全事件进行过滤和/或合并。
进一步地,在上述实施例的安全事件管理服务器中,还包括:
判断模块,用于判断从代理获取的安全事件是否为经格式化的安全事件,若判断获知所获取的安全事件为未经格式化的安全事件,则将安全事件存储至原始安全事件数据库表。
根据本发明的又一方面,还提供另一种安全事件管理方法。图4为本发明另一安全事件管理方法的流程图,如图4所示,该安全事件管理方法包括以下步骤:
步骤S100’,代理从网络设备采集安全事件并从服务器获取安全事件格式化标准;
步骤S200’,代理根据安全事件格式化标准对采集的安全事件进行格式化;
步骤S300’,代理将经格式化的安全事件发送至服务器,以由服务器对安全事件进行关联分析并产生安全告警。
上述实施例的安全事件管理方法适用与前述安全事件管理方法相同的流程,故此处不再赘述。
根据上述实施例的安全事件管理方法,由于通过代理从服务器获取安全事件格式化标准,对采集的安全事件进行格式化,并将格式化后的安全事件发送至服务器以由服务器对安全事件进行关联分析并产生安全告警,从而避免了由Server对全部安全事件进行格式化所造成的安全告警延迟的问题,极大地提高了安全监控性能;而且当同一网络中包括多台Server时,还能够避免由不同的Server对相同的安全事件进行多次格式化处理的问题,实现了一次格式化、多次应用,提高了监控效率,及时发现安全风险,极大提高了整体安全管理平台的性能。
进一步地,在上述实施例的安全事件管理方法,代理根据安全事件格式化标准对采集的安全事件进行格式化的步骤包括:
查找与安全事件对应的安全事件格式化标准;
若查找到与安全事件对应的安全事件格式化标准,依据对应的安全事件格式化标准对采集的安全事件进行格式化;
若未查找到与安全事件对应的安全事件格式化标准,则将安全事件标识为未格式化安全事件,并将携带有未格式化安全事件标识的安全事件发送至服务器,以由服务器将安全事件存储至原始安全事件数据库表。
根据本发明的又一方面,还提供另一种安全事件管理代理,包括:
事件采集模块,用于从网络设备采集安全事件并从服务器获取安全事件格式化标准;
事件格式化模块,与所述事件采集模块连接,用于根据安全事件格式化标准对采集的安全事件进行格式化;
事件发送模块,用于将经格式化的安全事件发送至服务器,以由服务器对安全事件进行关联分析并产生安全告警。
上述实施例的安全事件管理代理执行安全事件管理的流程与上述安全事件管理方法相同,故此处不现赘述。
根据上述实施例的安全事件管理代理,由于通过事件采集模块从网络设备采集安全事件并从服务器获取安全事件格式化标准,由事件格式化模块根据所述安全事件格式化标准对采集的安全事件进行格式化,并由事件发送模块将经格式化的安全事件发送至服务器以由服务器对安全事件进行关联分析并产生安全告警,从而避免了由Server对全部安全事件进行格式化所造成的安全告警延迟的问题,极大地提高了安全监控性能;而且当同一网络中包括多台Server时,还能够避免由不同的Server对相同的安全事件进行多次格式化处理的问题,实现了一次格式化、多次应用,提高了监控效率,及时发现安全风险,极大提高了整体安全管理平台的性能。
进一步地,在上述实施例的安全事件管理代理中,事件格式化模块包括:
查找单元,用于查找与安全事件对应的安全事件格式化标准;
格式化单元,用于若查找到与安全事件对应的安全事件格式化标准,依据对应的安全事件格式化标准对采集的安全事件进行格式化;
标识单元,用于若未查找到与安全事件对应的安全事件格式化标准,则将安全事件标识为未格式化安全事件,并将携带有未格式化安全事件标识的安全事件通过事件发送模块转发至服务器,以由服务器将安全事件存储至原始安全事件数据库表。
根据本发明的又一方面,还提供一种安全管理平台,包括至少一个上述任一实施例的安全事件管理服务器,至少一个上述任一实施例的安全事件管理代理以及与安全事件管理服务器连接的、用于显示安全告警的安全告警展示界面。
根据上述实施例的安全管理平台,能够避免由Server对全部安全事件进行格式化所造成的安全告警延迟的问题,极大地提高了安全监控性能并且当包括多个安全事件管理服务器时,适用于大规模、复杂的网络安全系统,能够避免由不同的Server对相同的安全事件进行多次格式化处理的问题,实现了一次格式化、多次应用,提高了监控效率,及时发现安全风险,极大提高了整体安全管理平台的性能。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种安全事件管理方法,其特征在于,包括:
服务器向用于采集安全事件的代理发送安全事件格式化标准,以使所述代理根据所述安全事件格式化标准对采集的安全事件进行格式化;
所述服务器从所述代理获取经格式化的安全事件,对所述安全事件进行关联分析并产生安全告警。
2.根据权利要求1所述的安全事件管理方法,其特征在于,所述服务器从所述代理获取经格式化的安全事件,对所述安全事件进行关联分析并产生安全告警的步骤包括:
所述服务器从所述代理获取经格式化的安全事件,将所述安全事件存储至预置的对应于所述安全事件格式化标准的数据库表中;
所述服务器根据设定的关联规则对应的安全事件类型,从与所述安全事件类型对应的数据库表中读取所述安全事件,进行关联分析,并生成安全告警事件;
所述服务器将所述安全告警事件发送至安全告警展示界面。
3.根据权利要求2所述的安全事件管理方法,其特征在于,所述服务器从所述代理获取经格式化的安全事件,将所述安全事件存储至预置的对应于所述安全事件格式化标准的数据库表中的步骤包括:
所述服务器从所述代理获取经格式化的安全事件,根据预置的、与所述代理对应的过滤规则和/或合并规则对所述安全事件进行过滤和/或合并;
所述服务器将经过滤或合并的安全事件存储至预置的对应于所述安全事件格式化标准的数据库表中。
4.根据权利要求3所述的安全事件管理方法,其特征在于,所述服务器从所述代理获取经格式化的安全事件,对所述安全事件进行关联分析并产生安全告警的步骤之前还包括:
所述服务器从所述代理获取安全事件,若判断获知所获取的安全事件为未经格式化的安全事件,则将所述安全事件存储至原始安全事件数据库表。
5.一种安全事件管理服务器,其特征在于,包括:
发送模块,用于向代理发送所述安全事件格式化标准,以使所述代理根据所述安全事件格式化标准对采集的安全事件进行格式化;
事件接收模块,用于从所述代理获取经格式化的安全事件;
关联分析模块,与所述事件接收模块连接,用于对所述安全事件进行关联分析并产生安全告警;
告警响应模块,与所述关联分析模块连接,用于将所述安全告警发送至安全告警展示界面,并存储所述安全告警。
6.根据权利要求5所述的安全事件管理服务器,其特征在于,还包括:
数据库,用于存储所述安全事件格式化标准和所述安全事件;
判断模块,用于判断从所述代理获取的安全事件是否为经格式化的安全事件,若判断获知所获取的安全事件为未经格式化的安全事件,则将所述安全事件存储至所述数据库中的原始安全事件数据库表。
7.根据权利要求5或6所述的安全事件管理服务器,其特征在于,还包括:
过滤和归并模块,用于存储过滤规则和合并规则,并根据与所述代理对应的过滤规则和合并规则对从所述代理获取的安全事件进行过滤和/或合并。
8.一种安全事件管理方法,其特征在于,包括:
代理从网络设备采集安全事件并从服务器获取安全事件格式化标准;
所述代理根据所述安全事件格式化标准对采集的安全事件进行格式化;
所述代理将经格式化的安全事件发送至所述服务器,以由所述服务器对所述安全事件进行关联分析并产生安全告警。
9.根据权利要求8所述的安全事件管理方法,其特征在于,所述代理根据所述安全事件格式化标准对采集的安全事件进行格式化的步骤包括:
查找与所述安全事件对应的安全事件格式化标准;
若查找到与所述安全事件对应的安全事件格式化标准,依据所述对应的安全事件格式化标准对采集的安全事件进行格式化;
若未查找到与所述安全事件对应的安全事件格式化标准,则将所述安全事件标识为未格式化安全事件,并将携带有所述未格式化安全事件标识的安全事件发送至所述服务器,以由所述服务器将所述安全事件存储至原始安全事件数据库表。
10.一种安全事件管理代理,其特征在于,包括:
事件采集模块,用于从网络设备采集安全事件并从服务器获取安全事件格式化标准;
事件格式化模块,与所述事件采集模块连接,用于根据所述安全事件格式化标准对采集的安全事件进行格式化;
事件发送模块,用于将经格式化的安全事件发送至所述服务器,以由所述服务器对所述安全事件进行关联分析并产生安全告警。
11.根据权利要求10所述的安全事件管理代理,其特征在于,所述事件格式化模块包括:
查找单元,用于查找与所述安全事件对应的安全事件格式化标准;
格式化单元,用于若查找到与所述安全事件对应的安全事件格式化标准,依据所述对应的安全事件格式化标准对采集的安全事件进行格式化;
标识单元,用于若未查找到与所述安全事件对应的安全事件格式化标准,则将所述安全事件标识为未格式化安全事件,并将携带有所述未格式化安全事件标识的安全事件通过所述事件发送模块转发至所述服务器,以由所述服务器将所述安全事件存储至原始安全事件数据库表。
12.一种安全管理平台,其特征在于,包括至少一个如权利要求5~7任一所述的安全事件管理服务器、至少一个如权利要求10或11所述的安全事件管理代理以及与所述安全事件管理服务器连接的用于显示安全告警的安全告警展示界面。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110036096 CN102148827B (zh) | 2011-02-11 | 2011-02-11 | 安全事件管理方法、装置及安全管理平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110036096 CN102148827B (zh) | 2011-02-11 | 2011-02-11 | 安全事件管理方法、装置及安全管理平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102148827A true CN102148827A (zh) | 2011-08-10 |
| CN102148827B CN102148827B (zh) | 2013-12-18 |
Family
ID=44422821
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110036096 Expired - Fee Related CN102148827B (zh) | 2011-02-11 | 2011-02-11 | 安全事件管理方法、装置及安全管理平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102148827B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103117884A (zh) * | 2011-09-13 | 2013-05-22 | 日本电气株式会社 | 安全事件监视设备、方法和程序 |
| CN104079430A (zh) * | 2014-06-09 | 2014-10-01 | 汉柏科技有限公司 | 一种基于信息的安全管理平台、系统及方法 |
| CN104144077A (zh) * | 2014-06-30 | 2014-11-12 | 汉柏科技有限公司 | 带有绿色节能功能的安全管理方法及安全管理平台 |
| CN104427539A (zh) * | 2013-08-21 | 2015-03-18 | 中国移动通信集团公司 | 确定网关状态的方法及网关设备 |
| CN105071946A (zh) * | 2015-07-03 | 2015-11-18 | 北京奇虎科技有限公司 | 一种系统监控方法和装置 |
| CN105629924A (zh) * | 2014-11-21 | 2016-06-01 | 费希尔-罗斯蒙特系统公司 | 具有受保护的外部访问的过程工厂网络 |
| CN106201831A (zh) * | 2016-06-28 | 2016-12-07 | 浪潮(北京)电子信息产业有限公司 | 基于linux中PCIE错误事件的收集方法及系统 |
| CN106330909A (zh) * | 2016-08-24 | 2017-01-11 | 华青融天(北京)技术股份有限公司 | 安全事件处理方法 |
| CN106446008A (zh) * | 2016-08-12 | 2017-02-22 | 中国南方电网有限责任公司 | 数据库安全事件的管理方法及分析系统 |
| CN106789967A (zh) * | 2016-12-05 | 2017-05-31 | 国网浙江省电力公司电力科学研究院 | 一种多源网络安全事件的采集与同步方法 |
| CN107409140A (zh) * | 2015-02-06 | 2017-11-28 | 霍尼韦尔国际公司 | 用于收集工业过程控制和自动化系统风险数据的基础设施监视工具 |
| CN110545276A (zh) * | 2019-09-03 | 2019-12-06 | 新华三信息安全技术有限公司 | 威胁事件告警方法、装置、告警设备及机器可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7076241B1 (en) * | 1999-01-15 | 2006-07-11 | International Business Machines Corporation | System and method for selectively transmitting electronic messages |
| CN101127454A (zh) * | 2006-08-18 | 2008-02-20 | 北京国智恒电力管理科技有限公司 | 电力监管信息安全接入设备 |
-
2011
- 2011-02-11 CN CN 201110036096 patent/CN102148827B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7076241B1 (en) * | 1999-01-15 | 2006-07-11 | International Business Machines Corporation | System and method for selectively transmitting electronic messages |
| CN101127454A (zh) * | 2006-08-18 | 2008-02-20 | 北京国智恒电力管理科技有限公司 | 电力监管信息安全接入设备 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103117884A (zh) * | 2011-09-13 | 2013-05-22 | 日本电气株式会社 | 安全事件监视设备、方法和程序 |
| CN103117884B (zh) * | 2011-09-13 | 2018-03-23 | 日本电气株式会社 | 安全事件监视设备、方法和程序 |
| CN104427539A (zh) * | 2013-08-21 | 2015-03-18 | 中国移动通信集团公司 | 确定网关状态的方法及网关设备 |
| CN104427539B (zh) * | 2013-08-21 | 2018-05-11 | 中国移动通信集团公司 | 确定网关状态的方法及网关设备 |
| CN104079430A (zh) * | 2014-06-09 | 2014-10-01 | 汉柏科技有限公司 | 一种基于信息的安全管理平台、系统及方法 |
| CN104144077A (zh) * | 2014-06-30 | 2014-11-12 | 汉柏科技有限公司 | 带有绿色节能功能的安全管理方法及安全管理平台 |
| CN104144077B (zh) * | 2014-06-30 | 2018-01-12 | 汉柏科技有限公司 | 带有绿色节能功能的安全管理方法及安全管理平台 |
| US11073805B2 (en) | 2014-11-21 | 2021-07-27 | Fisher-Rosemount Systems, Inc. | Process plant network with secured external access |
| CN105629924A (zh) * | 2014-11-21 | 2016-06-01 | 费希尔-罗斯蒙特系统公司 | 具有受保护的外部访问的过程工厂网络 |
| CN107409140A (zh) * | 2015-02-06 | 2017-11-28 | 霍尼韦尔国际公司 | 用于收集工业过程控制和自动化系统风险数据的基础设施监视工具 |
| CN107409140B (zh) * | 2015-02-06 | 2020-11-03 | 霍尼韦尔国际公司 | 用于收集工业过程控制和自动化系统风险数据的基础设施监视工具 |
| CN105071946A (zh) * | 2015-07-03 | 2015-11-18 | 北京奇虎科技有限公司 | 一种系统监控方法和装置 |
| CN106201831A (zh) * | 2016-06-28 | 2016-12-07 | 浪潮(北京)电子信息产业有限公司 | 基于linux中PCIE错误事件的收集方法及系统 |
| CN106201831B (zh) * | 2016-06-28 | 2019-08-02 | 浪潮(北京)电子信息产业有限公司 | 基于linux中PCIE错误事件的收集方法及系统 |
| CN106446008A (zh) * | 2016-08-12 | 2017-02-22 | 中国南方电网有限责任公司 | 数据库安全事件的管理方法及分析系统 |
| CN106330909A (zh) * | 2016-08-24 | 2017-01-11 | 华青融天(北京)技术股份有限公司 | 安全事件处理方法 |
| CN106330909B (zh) * | 2016-08-24 | 2019-07-26 | 华青融天(北京)技术股份有限公司 | 安全事件处理方法 |
| CN106789967A (zh) * | 2016-12-05 | 2017-05-31 | 国网浙江省电力公司电力科学研究院 | 一种多源网络安全事件的采集与同步方法 |
| CN106789967B (zh) * | 2016-12-05 | 2019-01-11 | 国网浙江省电力有限公司电力科学研究院 | 一种多源网络安全事件的采集与同步方法 |
| CN110545276A (zh) * | 2019-09-03 | 2019-12-06 | 新华三信息安全技术有限公司 | 威胁事件告警方法、装置、告警设备及机器可读存储介质 |
| CN110545276B (zh) * | 2019-09-03 | 2022-06-21 | 新华三信息安全技术有限公司 | 威胁事件告警方法、装置、告警设备及机器可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102148827B (zh) | 2013-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102148827B (zh) | 安全事件管理方法、装置及安全管理平台 | |
| CN103152352B (zh) | 一种基于云计算环境的全信息安全取证监听方法和系统 | |
| US10104095B2 (en) | Automatic stability determination and deployment of discrete parts of a profile representing normal behavior to provide fast protection of web applications | |
| CN103870297B (zh) | 云计算环境中虚拟机的性能数据采集系统和方法 | |
| CN103942210B (zh) | 海量日志信息的处理方法、装置与系统 | |
| CN104618343B (zh) | 一种基于实时日志的网站威胁检测的方法及系统 | |
| CN104065532B (zh) | 一种基于多路数据接入方式的未备案网站探寻方法及系统 | |
| CN101212338B (zh) | 基于监控探针联动的网络安全事件溯源系统与方法 | |
| CN102238023B (zh) | 一种生成网络管理系统的告警数据的方法及装置 | |
| CN114143203B (zh) | 一种基于动态服务拓扑映射的Kubernetes容器网络数据包指标采集的方法及系统 | |
| CN104852927A (zh) | 基于多源异构的信息安全综合管理系统 | |
| IL136219A (en) | Network accounting and billing system and method | |
| CN101702656B (zh) | 一种基于snmp的mpls-vpn网络拓扑发现方法及系统 | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| CN107403005A (zh) | 一种网站监控方法及装置 | |
| CN101005510A (zh) | 一种综合漏洞的网络实时风险评估方法 | |
| CN102820993A (zh) | 网络资源监控系统和网络资源监控方法 | |
| CN108632111A (zh) | 一种基于日志的服务链路监控方法 | |
| CN107025222A (zh) | 一种分布式日志采集方法及装置 | |
| CN111930886A (zh) | 日志处理方法、系统、存储介质及计算机设备 | |
| CN101662393A (zh) | 域间前缀劫持检测与定位方法 | |
| CN101145944B (zh) | 一种实现告警处理的方法 | |
| CN106446008A (zh) | 数据库安全事件的管理方法及分析系统 | |
| CN108156017A (zh) | 一种输变电设备状态告警管理方法 | |
| CN107733941A (zh) | 一种基于大数据的数据采集平台的实现方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant before: Chengdu Huawei Symantec Technologies Co., Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. TO: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131218 Termination date: 20210211 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |