CN106453346A - 一种基于多维信息关联的应用系统变更监测方法 - Google Patents

一种基于多维信息关联的应用系统变更监测方法 Download PDF

Info

Publication number
CN106453346A
CN106453346A CN201610924631.1A CN201610924631A CN106453346A CN 106453346 A CN106453346 A CN 106453346A CN 201610924631 A CN201610924631 A CN 201610924631A CN 106453346 A CN106453346 A CN 106453346A
Authority
CN
China
Prior art keywords
file
unit
monitoring
alarm
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610924631.1A
Other languages
English (en)
Other versions
CN106453346B (zh
Inventor
付云生
殷明勇
苏靖峰
刘渊
杨润
陈志文
胡腾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
COMPUTER APPLICATION INST CHINA ENGINEERING PHYSICS ACADEMY
Original Assignee
COMPUTER APPLICATION INST CHINA ENGINEERING PHYSICS ACADEMY
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by COMPUTER APPLICATION INST CHINA ENGINEERING PHYSICS ACADEMY filed Critical COMPUTER APPLICATION INST CHINA ENGINEERING PHYSICS ACADEMY
Priority to CN201610924631.1A priority Critical patent/CN106453346B/zh
Publication of CN106453346A publication Critical patent/CN106453346A/zh
Application granted granted Critical
Publication of CN106453346B publication Critical patent/CN106453346B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于多维信息关联的应用系统变更监测方法,所述的方法依次包括步骤:A、自动更新单元;B、自保护单元;C、实时监测单元;D、关联分析单元;E、数据通信单元;F、数据处理单元;G、结果呈现单元;H、监测管理单元。采用本发明的方法,能够有效监测应用系统的安全状态,对违规行为进行告警并帮助管理员对安全事件进行溯源取证。

Description

一种基于多维信息关联的应用系统变更监测方法
技术领域
本发明属于网络安全监测技术领域,具体涉及一种基于多维信息关联的应用系统变更监测方法。
背景技术
随着信息技术的不断发展,企业在越来越多的方面通过应用系统来完成信息的收集、管理、处置等。但在应用系统不断普及的同时,其面临的安全威胁也与日俱增,特别是针对一些军工、政府单位的APT攻击或特权人员违规操作,以目前的技术手段很难有效的发现异常并进行取证溯源。
传统的监测方法只通过采集单一信息来判断文件的变更情况,重点在于对变更操作的动作进行捕获后输出相关操作信息。随着APT攻击的出现,基于单一信息的监测方法难以有效的判断攻击是否发生,本发明提出的基于多维信息关联的监测方法能够对异常操作进行捕获,帮助安全分析人员快速准确的定位异常,为取证溯源提供帮助。
发明内容
本发明要解决的技术问题是提供一种基于多维信息关联的应用系统变更监测方法。
本发明的应用系统变更监测方法,依次包括如下内容:
A、监测代理、监测策略的自动更新,定时从服务端获取代理更新文件、策略更新文件;
B、对监测代理的安装目录及运行进程进行自保护,防止安装目录文件被篡改和运行进程被终止;
C、实时监测系统源文件变更情况,当出现文件增删、修改、替换、重命名等操作时,对变更前后的文件指纹进行比较,记录操作详细信息和结果,进入步骤D;
D、在步骤C之后,获取当前操作账户、操作进程及网络信息,对所获得的信息进行关联以确认其合规性。若违背安全策略,则输出告警,进入步骤E;
E、通过Webservice接口将步骤D中输出的告警传输至数据处理单元,进入步骤F;
F、接收监测代理传输的告警日志,对所接收到的数据进行格式归一化后,进入步骤G;
G、通过多种视图对监测结果进行呈现,包括告警数量统计、告警级别统计、告警资产统计、实时告警统计与显示等;
H、提供对资产、策略、基准库等信息的管理功能。
本发明的方法中步骤C对文件操作进行实时的触发式监测,监测到变更操作时比较变更前后的文件指纹。当发现变更成功后精确监测变更操作的类型,如新增、删除、修改、替换、重命名等,并进行详细记录。
本发明的方法中步骤D在监测到文件发生变更后,实时获取引起变更的账户、进程和网络信息,通过关联分析及同基准库数据的比对来确认操作的合规性,能够有效的为异常违规的溯源取证提供技术支持。
采用本发明能够有效对上线运行的应用系统完整性进行监测,在发现系统文件变更的时候及时告警并提供取证溯源信息。
附图说明
图1为本发明的基于多维信息关联的应用系统变更监测方法的结构框图;
图2为本发明的基于多维信息关联的应用系统变更监测方法的流程图;
图3为本发明进行多维信息关联分析的流程图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加简明易懂,下面结合附图和具体实施方式对本发明进行进一步的说明。
实施例1
图1为本发明的基于多维信息关联的应用系统变更监测方法的结构框图,从图1中可以看出。
本发明的结构框图中,自动更新单元101用于监测代理的软件升级、监测策略更新,其通过定时查询的方式从服务器端获取相关文件。自保护单元102对监测代理的安装目录和运行进程进行保护,防止其他进程非法修改。实时监测单元103用于对应用系统源文件进行监测,若文件发生变化,则对操作结果进行记录。关联分析单元104在实时监测单元发现系统源文件发生变更后,采集当前账户、操作进程、网络通信的信息,通过关联分析输出告警日志。数据通信单元105用于完成监测代理与服务端系统之间的数据通信,对于结构化数据通过WebService接口调用的方式完成,非结构化数据采用Socket进行数据传输。数据处理单元106用于对监测代理产生的日志进行处理,包括序列化、预处理及数据存储。结果呈现单元107用于对监测结果进行呈现,包括对监测告警的统计展示、应用系统安全状态显示等。监测管理单元108用于对基准库、应用系统信息、人员等进行管理。
实施例2
图2为本发明专利申请的基于多维信息关联的应用系统变更监测方法的流程图,本发明的基于多维信息关联的应用系统变更监测方法的流程包括以下步骤:
步骤201:启动更新与防护程序,实时监测代理是否启动以及是否需要更新。
步骤202:步骤201中,若监测代理未启动,则执行步骤205;若监测代理已启动,则定时监测启动状态。
步骤203:步骤201中,若有文件需要更新,则执行步骤204;若没有文件需要更新,则定时检测更新情况。
步骤204:关闭代理并暂停监测代理开启,下载更新文件,更新完成后执行步骤205。
步骤205:启动监测代理。
步骤206:从本地加载策略文件和基准文件。
步骤207:判断是否需要上传基准文件
步骤208:步骤207中,若需要上传基准文件,则对应用系统进行扫描,建立基准文件数据并上传至数据库。
步骤209:步骤207中,若不需要上传基准文件或步骤208已经完成,则实时监控应用系统文件。
步骤210:步骤209执行过程中,定时建立运行日志并上传至数据库。
步骤211:步骤209执行过程中,若发生文件变更事件,执行步骤212;若没有发生文件变更事件,则重复步骤209。
步骤212:生成报警日志并上传至数据库,完成后重复步骤209。
实施例3
图3为本发明的本发明进行多维信息关联分析的流程图,从图3中可以看出,本发明进行多维信息关联分析的流程包括
步骤301:执行对文件状态的监测,包括对文件的新增、打开、读取、重命名、修改、删除等;
步骤302:判断文件状态是否变更,如变更则执行步骤303,否则执行步骤301;
步骤303:若文件状态发生变更,则获取当前账户信息;
步骤304:判断当前账户是否为非授权账户,如果是非授权账户则进入步骤305,否则进入步骤306;
步骤305:产生告警信息,并增加告警级别;
步骤306:获取当前对文件进行操作的进程信息;
步骤307:判断当前进程是否为非法进程,如果是非法进程则执行步骤308,否则执行步骤309;
步骤308:增加操作进程信息,增加告警级别;
步骤309:获取当前操作进程的网络通信情况;
步骤310:判断当前进程是否发生网络通信,若存在网络通信则执行步骤311,否则执行步骤312;
步骤311:增加操作进行的网络通信情况,包括连接的IP、端口、协议等信息,同时增加告警级别。
步骤312:输出关联告警信息。
需要说明的是,对于前述的各方法实施例,为了便于理解,将其表述为一系列动作的组合,但是本领域技术人员应该知悉,本发明并不完全受到所描述动作顺序的限制,某些步骤可以同时进行。
以上对本发明所提供的一种基于多维信息关联的应用系统变更监测方法进行了详细的介绍,本发明的优点在于,能够有效监测应用系统的安全状态,对违规行为进行告警并帮助管理员对安全事件进行溯源取证,故可用于实际的软件或系统中。综上所述,以上具体实施方式仅用于说明本发明,而不应该被理解为对本发明的限制。

Claims (3)

1.一种基于多维信息关联的应用系统变更监测方法,其特征在于,所述的方法依次包括如下步骤:
A、自动更新单元:监测代理、监测策略的自动更新,定时从服务端获取代理更新文件、策略更新文件;
B、自保护单元:对监测代理的安装目录及运行进程进行自保护,防止安装目录文件被篡改和运行进程被终止;
C、实时监测单元:实时监测系统源文件变更情况,当出现文件增删、修改、替换、重命名操作时,对变更前后的文件指纹进行比较,记录操作详细信息和结果,进入步骤D;
D、关联分析单元:在步骤C之后,获取当前操作账户、操作进程及网络信息,对所获得的信息进行关联以确认其合规性;若违背安全策略,则输出告警,进入步骤E;
E、数据通信单元:通过Webservice接口将步骤D中输出的告警传输至数据处理单元,进入步骤F;
F、数据处理单元:接收监测代理传输的告警日志,对所接收到的数据进行格式归一化后,进入步骤G;
G、结果呈现单元:通过多种视图对监测结果进行呈现,包括告警数量统计、告警级别统计、告警资产统计、实时告警统计与显示;
H、监测管理单元:提供对资产、策略、基准库信息的管理功能。
2.根据权利要求1所述的方法,其特征在于:步骤C中对文件操作进行实时的触发式监测,监测到变更操作时比较变更前后的文件指纹;当发现变更成功后精确监测变更操作的类型,如新增、删除、修改、替换、重命名,并进行详细记录。
3.根据权利要求1所述的方法,其特征在于:步骤D中在监测到文件发生变更后,实时获取引起变更的账户、进程和网络信息,通过关联分析及基准库数据的比对来确认操作的合规性。
CN201610924631.1A 2016-10-24 2016-10-24 一种基于多维信息关联的应用系统变更监测装置 Expired - Fee Related CN106453346B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610924631.1A CN106453346B (zh) 2016-10-24 2016-10-24 一种基于多维信息关联的应用系统变更监测装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610924631.1A CN106453346B (zh) 2016-10-24 2016-10-24 一种基于多维信息关联的应用系统变更监测装置

Publications (2)

Publication Number Publication Date
CN106453346A true CN106453346A (zh) 2017-02-22
CN106453346B CN106453346B (zh) 2019-04-26

Family

ID=58175884

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610924631.1A Expired - Fee Related CN106453346B (zh) 2016-10-24 2016-10-24 一种基于多维信息关联的应用系统变更监测装置

Country Status (1)

Country Link
CN (1) CN106453346B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108768997A (zh) * 2018-05-23 2018-11-06 郑州信大天瑞信息技术有限公司 一种应用操作安全预警处理方法
CN110830519A (zh) * 2020-01-08 2020-02-21 浙江乾冠信息安全研究院有限公司 攻击溯源方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101789991A (zh) * 2009-12-30 2010-07-28 中兴通讯股份有限公司 获取变更数据信息的方法、装置及移动终端
CN101895578A (zh) * 2010-07-06 2010-11-24 国都兴业信息审计系统技术(北京)有限公司 基于综合安全审计的文档监控管理系统
CN102902926A (zh) * 2012-10-11 2013-01-30 长春理工大学 基于分布式文件同步技术的网站文件防篡改方法
US20150096024A1 (en) * 2013-09-30 2015-04-02 Fireeye, Inc. Advanced persistent threat (apt) detection center

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101789991A (zh) * 2009-12-30 2010-07-28 中兴通讯股份有限公司 获取变更数据信息的方法、装置及移动终端
CN101895578A (zh) * 2010-07-06 2010-11-24 国都兴业信息审计系统技术(北京)有限公司 基于综合安全审计的文档监控管理系统
CN102902926A (zh) * 2012-10-11 2013-01-30 长春理工大学 基于分布式文件同步技术的网站文件防篡改方法
US20150096024A1 (en) * 2013-09-30 2015-04-02 Fireeye, Inc. Advanced persistent threat (apt) detection center

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
朱平 等: "基于文件、进程和网络的APT检测模型", 《信息安全与通信保密》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108768997A (zh) * 2018-05-23 2018-11-06 郑州信大天瑞信息技术有限公司 一种应用操作安全预警处理方法
CN110830519A (zh) * 2020-01-08 2020-02-21 浙江乾冠信息安全研究院有限公司 攻击溯源方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN106453346B (zh) 2019-04-26

Similar Documents

Publication Publication Date Title
CN110460594B (zh) 威胁情报数据采集处理方法、装置及存储介质
CN103763124A (zh) 一种互联网用户行为分析预警系统及方法
US20120311562A1 (en) Extendable event processing
Spyridopoulos et al. Incident analysis & digital forensics in SCADA and industrial control systems
CN109120428B (zh) 一种用于风控分析的方法及系统
WO2003081433A1 (en) Method and apparatus for compressing log record information
KR101256507B1 (ko) 사용자 행위 분석을 통한 자료유출 탐지 시스템 및 그 방법
CN116226894B (zh) 一种基于元仓的数据安全治理系统及方法
CN112416872A (zh) 一种基于大数据的云平台日志管理系统
CN109388949B (zh) 一种数据安全集中管控方法和系统
CN111915331A (zh) 一种基于区块链的企业征信数据管理方法及系统
CN113034028A (zh) 一种责任溯源的认定系统
CN116362772A (zh) 一种基于区块链的溯源处理方法及区块链分布式溯源系统
CN112039858A (zh) 一种区块链服务安全加固系统与方法
CN106453346A (zh) 一种基于多维信息关联的应用系统变更监测方法
CN110716973A (zh) 基于大数据的安全事件上报平台及方法
CN117312290A (zh) 一种提高异构系统数据质量的方法
CN104376254A (zh) 一种日志审计方法及系统
CN116614258A (zh) 一种安全态势感知系统的网络危险预测模型
CN114091033A (zh) 一种面向全生命周期的数据安全异常检测方法及系统
CN113344322A (zh) 用于企业诚信度监控的大数据处理系统及方法
CN112615812A (zh) 一种信息网络统一漏洞多维度安全情报收集分析管理系统
CN111131334A (zh) 一种基于区块链的网络安全预警方法及系统
CN114154160B (zh) 容器集群监测方法、装置、电子设备及存储介质
CN103177221A (zh) 一种收银系统数据保护及分析方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20190426

Termination date: 20211024