CN106897614A - 一种ssr上主动防御日志告警方法 - Google Patents
一种ssr上主动防御日志告警方法 Download PDFInfo
- Publication number
- CN106897614A CN106897614A CN201710107664.1A CN201710107664A CN106897614A CN 106897614 A CN106897614 A CN 106897614A CN 201710107664 A CN201710107664 A CN 201710107664A CN 106897614 A CN106897614 A CN 106897614A
- Authority
- CN
- China
- Prior art keywords
- alarm
- initiative defense
- daily record
- ssr
- violation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Alarm Systems (AREA)
Abstract
本发明特别涉及一种SSR上主动防御日志告警方法。该SSR上主动防御日志告警方法,结合SSR的特点利用客户端生成主动防御违规日志,并对主动防御违规日志进行解析得到违规数量和违规时间,记录到客户端的告警数据缓存中,告警模块依据主动防御告警策略定时进行实时告警判断,发出告警信息;所述告警判断依据除了数量还有时间点,记录了时间点‑数量这样的键值对,进行告警判断时对时间点‑数量键值对的集合进行判断,使告警条件满足一定时间范围内的要求。该SSR上主动防御日志告警方法,解决了主动防御日志频繁触发且告警配置中有对时间的配置和告警等级的配置的情况下,如何触发告警的问题,使管理员能够及时了解主动防御状态并修复问题。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种SSR上主动防御日志告警方法。
背景技术
网络安全愈加受到重视,主动防御是SSR(Server Security Reinforcement,操作系统安全增强系统)保护客户端操作系统的一个重要安全模块。在SSR集中管理平台系统中,对主动防御的检测结果有一个直观的了解,既有利于网络的管理,又有利与网络安全的防御,后者尤为重要。
主动防御功能可以及时发现客户端上进行的非法操作,比如对限定读写操作的文件进行读写操作,打开禁止的进程等。这些操作都是病毒木马发生的常见动作,及时识别发现主动防御违规日志对安全管理有极重要的影响。但当管理员管理大量客户端时,仅仅通过主动防御模块本身提供的状态浏览功能还不够便利。主动防御告警能及时通知管理员某台客户端主动防御项违规过多,使管理员能够及时了解主动防御状态并修复问题。可见,主动防御告警功能对SSR是极为重要的。
为了解决主动防御日志频繁触发且告警配置中有对时间的配置和告警等级的配置的情况下,如何触发告警的问题,本发明提出了一种SSR上主动防御日志告警方法。
发明内容
本发明为了弥补现有技术的缺陷,提供了一种简单高效的SSR上主动防御日志告警方法。
本发明是通过如下技术方案实现的:
一种SSR上主动防御日志告警方法,其特征在于:结合SSR的特点利用客户端生成主动防御违规日志,并对主动防御违规日志进行解析得到违规数量和违规时间,记录到客户端的告警数据缓存中,告警模块依据主动防御告警策略定时进行实时告警判断,发出告警信息;所述告警判断依据除了数量还有时间点,记录了时间点-数量这样的键值对,进行告警判断时对时间点-数量键值对的集合进行判断,使告警条件满足一定时间范围内的要求。
在SSR集中管理平台中通过主动防御告警策略设置主动防御告警阈值;通过Agent实现主动防御功能,当在客户端的操作触发主动防御规则时会生成主动防御违规日志发送到SSR集中管理平台,SSR集中管理平台接收到主动防御违规日志后,对其进行解析得到违规数量和违规时间,记录到客户端的告警数据缓存中;另有一定时任务,告警模块依据主动防御告警策略定时将告警数据缓存与内存中记录的主动防御告警阈值进行比较,产生告警。
所述告警模块分为三部分:第一部分是告警策略设置,对每一个客户端设置主动防御告警条件,告警条件分为高、中、低三个等级;第二部分是,收到主动防御违规日志解析的数据后,在内存中累计客户端的违规日志告警数据,安装时间、数量键值对记录,以时间降序排序;第三部分是告警判断,判断条件是一个时间段内数量超过多少,先通过这个时间段得到一个临界时间点,再从内存中记录的数据中统计时间大于或等于临界时间点的数量和,最后用所述数量和与判断条件中的数量做比较,数量和大于或等于判断条件中的数量时产生告警;当产生告警条件中的高级违规日志告警时,SSR集中管理平台会清空之前累计的数据,产生中级和低级告警时,则不清除。
所述告警模块通过日志和邮件两种方式发出告警信息。
本发明的有益效果是:该SSR上主动防御日志告警方法,解决了主动防御日志频繁触发且告警配置中有对时间的配置和告警等级的配置的情况下,如何触发告警的问题,使管理员能够及时了解主动防御状态并修复问题。
附图说明
附图1为本发明SSR上主动防御日志告警方法示意图。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图和实施例,对本发明进行详细的说明。应当说明的是,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
该SSR上主动防御日志告警方法,结合SSR的特点利用客户端生成主动防御违规日志,并对主动防御违规日志进行解析得到违规数量和违规时间,记录到客户端的告警数据缓存中,告警模块依据主动防御告警策略定时进行实时告警判断,发出告警信息;所述告警判断依据除了数量还有时间点,记录了时间点-数量这样的键值对,进行告警判断时对时间点-数量键值对的集合进行判断,使告警条件满足一定时间范围内的要求。
在SSR集中管理平台中通过主动防御告警策略设置主动防御告警阈值;通过Agent实现主动防御功能,当在客户端的操作触发主动防御规则时会生成主动防御违规日志发送到SSR集中管理平台,SSR集中管理平台接收到主动防御违规日志后,对其进行解析得到违规数量和违规时间,记录到客户端的告警数据缓存中;另有一定时任务,告警模块依据主动防御告警策略定时将告警数据缓存与内存中记录的主动防御告警阈值进行比较,产生告警。
所述告警模块分为三部分:第一部分是告警策略设置,对每一个客户端设置主动防御告警条件,告警条件分为高、中、低三个等级;
例如高级告警条件示例为:在10分钟内,主动防御违规日志达到10条告警。
中级告警条件示例为:在10分钟内,主动防御违规日志达到6条告警。
低级告警条件示例为:在10分钟内,主动防御违规日志达到3条告警。
第二部分是,收到主动防御违规日志解析的数据后,在内存中累计客户端的违规日志告警数据,安装时间、数量键值对记录,以时间降序排序;
第三部分是告警判断,判断条件是一个时间段内数量超过多少,先通过这个时间段得到一个临界时间点(例如一个小时内,测用当天时间的时间戳减去一个小时的秒数,得到一个临界时间点),再从内存中记录的数据中统计时间大于或等于临界时间点的数量和,最后用所述数量和与判断条件中的数量做比较,数量和大于或等于判断条件中的数量时产生告警。
当产生告警条件中的高级违规日志告警时,SSR集中管理平台会清空之前累计的数据,产生中级和低级告警时,则不清除。
所述告警模块通过日志和邮件两种方式发出告警信息。日志告警是肯定是触发的,既有提示的作用,也有保存告警记录的作用。邮件告警需要在告警策略中进行配置,当触发告警时通过邮件给谁发送告警邮件。邮件告警提示性更高,可关闭。
Claims (4)
1.一种SSR上主动防御日志告警方法,其特征在于:结合SSR的特点利用客户端生成主动防御违规日志,并对主动防御违规日志进行解析得到违规数量和违规时间,记录到客户端的告警数据缓存中,告警模块依据主动防御告警策略定时进行实时告警判断,发出告警信息;所述告警判断依据除了数量还有时间点,记录了时间点-数量这样的键值对,进行告警判断时对时间点-数量键值对的集合进行判断,使告警条件满足一定时间范围内的要求。
2.根据权利要求1所述的SSR上主动防御日志告警方法,其特征在于:在SSR集中管理平台中通过主动防御告警策略设置主动防御告警阈值;通过Agent实现主动防御功能,当在客户端的操作触发主动防御规则时会生成主动防御违规日志发送到SSR集中管理平台,SSR集中管理平台接收到主动防御违规日志后,对其进行解析得到违规数量和违规时间,记录到客户端的告警数据缓存中;另有一定时任务,告警模块依据主动防御告警策略定时将告警数据缓存与内存中记录的主动防御告警阈值进行比较,产生告警。
3.根据权利要求2所述的SSR上主动防御日志告警方法,其特征在于,所述告警模块分为三部分:第一部分是告警策略设置,对每一个客户端设置主动防御告警条件,告警条件分为高、中、低三个等级;第二部分是,收到主动防御违规日志解析的数据后,在内存中累计客户端的违规日志告警数据,安装时间、数量键值对记录,以时间降序排序;第三部分是告警判断,判断条件是一个时间段内数量超过多少,先通过这个时间段得到一个临界时间点,再从内存中记录的数据中统计时间大于或等于临界时间点的数量和,最后用所述数量和与判断条件中的数量做比较,数量和大于或等于判断条件中的数量时产生告警;当产生告警条件中的高级违规日志告警时,所述SSR集中管理平台会清空之前累计的数据,产生中级和低级告警时,则不清除。
4.根据权利要求1-3任意一项所述的SSR上主动防御日志告警方法,其特征在于,所述告警模块通过日志和邮件两种方式发出告警信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710107664.1A CN106897614A (zh) | 2017-02-27 | 2017-02-27 | 一种ssr上主动防御日志告警方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710107664.1A CN106897614A (zh) | 2017-02-27 | 2017-02-27 | 一种ssr上主动防御日志告警方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106897614A true CN106897614A (zh) | 2017-06-27 |
Family
ID=59184769
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710107664.1A Pending CN106897614A (zh) | 2017-02-27 | 2017-02-27 | 一种ssr上主动防御日志告警方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106897614A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107437037A (zh) * | 2017-07-31 | 2017-12-05 | 郑州云海信息技术有限公司 | 一种基于安全软件实现信息防泄露的方法 |
| CN107562892A (zh) * | 2017-09-06 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种提高ssr违规日志统计性能的方法及装置 |
| CN107704522A (zh) * | 2017-09-11 | 2018-02-16 | 郑州云海信息技术有限公司 | 一种违规日志分级管理方法与系统 |
| CN107992398A (zh) * | 2017-12-22 | 2018-05-04 | 宜人恒业科技发展(北京)有限公司 | 一种业务系统的监控方法和监控系统 |
| CN108536520A (zh) * | 2018-04-02 | 2018-09-14 | 郑州云海信息技术有限公司 | 一种基于告警提示的应用程序管控方法 |
| CN108809724A (zh) * | 2018-06-14 | 2018-11-13 | 郑州云海信息技术有限公司 | 云数据系统中告警管理方法和装置 |
| CN109639504A (zh) * | 2019-01-04 | 2019-04-16 | 平安科技(深圳)有限公司 | 一种基于云平台的告警信息处理方法和装置 |
| CN116861419A (zh) * | 2023-09-05 | 2023-10-10 | 国网江西省电力有限公司信息通信分公司 | 一种ssr上主动防御日志告警方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101651577A (zh) * | 2009-08-28 | 2010-02-17 | 曙光信息产业(北京)有限公司 | 用于集群监控的告警通知系统和方法 |
| CN102981943A (zh) * | 2012-10-29 | 2013-03-20 | 新浪技术(中国)有限公司 | 监控应用日志的方法及系统 |
-
2017
- 2017-02-27 CN CN201710107664.1A patent/CN106897614A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101651577A (zh) * | 2009-08-28 | 2010-02-17 | 曙光信息产业(北京)有限公司 | 用于集群监控的告警通知系统和方法 |
| CN102981943A (zh) * | 2012-10-29 | 2013-03-20 | 新浪技术(中国)有限公司 | 监控应用日志的方法及系统 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107437037A (zh) * | 2017-07-31 | 2017-12-05 | 郑州云海信息技术有限公司 | 一种基于安全软件实现信息防泄露的方法 |
| CN107562892A (zh) * | 2017-09-06 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种提高ssr违规日志统计性能的方法及装置 |
| CN107704522A (zh) * | 2017-09-11 | 2018-02-16 | 郑州云海信息技术有限公司 | 一种违规日志分级管理方法与系统 |
| CN107992398A (zh) * | 2017-12-22 | 2018-05-04 | 宜人恒业科技发展(北京)有限公司 | 一种业务系统的监控方法和监控系统 |
| CN107992398B (zh) * | 2017-12-22 | 2021-04-27 | 宜人恒业科技发展(北京)有限公司 | 一种业务系统的监控方法和监控系统 |
| CN108536520A (zh) * | 2018-04-02 | 2018-09-14 | 郑州云海信息技术有限公司 | 一种基于告警提示的应用程序管控方法 |
| CN108809724A (zh) * | 2018-06-14 | 2018-11-13 | 郑州云海信息技术有限公司 | 云数据系统中告警管理方法和装置 |
| CN109639504A (zh) * | 2019-01-04 | 2019-04-16 | 平安科技(深圳)有限公司 | 一种基于云平台的告警信息处理方法和装置 |
| CN109639504B (zh) * | 2019-01-04 | 2023-09-12 | 平安科技(深圳)有限公司 | 一种基于云平台的告警信息处理方法和装置 |
| CN116861419A (zh) * | 2023-09-05 | 2023-10-10 | 国网江西省电力有限公司信息通信分公司 | 一种ssr上主动防御日志告警方法 |
| CN116861419B (zh) * | 2023-09-05 | 2023-12-08 | 国网江西省电力有限公司信息通信分公司 | 一种ssr上主动防御日志告警方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106897614A (zh) | 一种ssr上主动防御日志告警方法 | |
| CN108881194B (zh) | 企业内部用户异常行为检测方法和装置 | |
| US11349873B2 (en) | User model-based data loss prevention | |
| CN108923972B (zh) | 一种去重流量提示方法、装置、服务器及存储介质 | |
| WO2005125190A3 (en) | System and method of anonymous settop event collection and processing in a multimedia network | |
| US20100042448A1 (en) | Apparatus, and associated method, for evaluating organization behavior using organization electronic communication | |
| CN105827706A (zh) | 消息推送装置及方法 | |
| CN107370655A (zh) | 一种短信过滤方法和系统 | |
| CN113223558B (zh) | 音频数据消音方法、装置、电子设备和存储介质 | |
| CN109214908A (zh) | 一种监控方法和相关装置 | |
| CN107172058A (zh) | 一种基于流数据分析的Web 攻击实时在线检测系统 | |
| CN107171834A (zh) | 基于网关预警池的短信网关服务平台监控预警系统及方法 | |
| CN103368963A (zh) | 内容分发网络中的http报文防篡改方法 | |
| CN109409113A (zh) | 一种电网数据安全防护方法和分布式电网数据安全防护系统 | |
| CN116932656B (zh) | 基于区块链的数据血缘存储方法、系统、设备及介质 | |
| US20130145289A1 (en) | Real-time duplication of a chat transcript between a person of interest and a correspondent of the person of interest for use by a law enforcement agent | |
| CN109918921A (zh) | 一种网络通信数据涉密检测方法 | |
| CN108923967A (zh) | 一种去重流量记录方法、装置、服务器及存储介质 | |
| US20160009303A1 (en) | System and Method for Monitoring Mobile Vehicles | |
| CN114157553B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN108536520A (zh) | 一种基于告警提示的应用程序管控方法 | |
| US20220156397A1 (en) | Business official email box based b2b service security verification method, apparatus, and server | |
| Kerr | The Fourth Amendment Limits of Internet Content Preservation | |
| Laboreiro et al. | Identifying automatic posting systems in microblogs | |
| Eryilmaz | Life behavior of a system under discrete shock model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170627 |