CN107682351A - 网络安全监控的方法、系统、设备及存储介质 - Google Patents
网络安全监控的方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN107682351A CN107682351A CN201710985812.XA CN201710985812A CN107682351A CN 107682351 A CN107682351 A CN 107682351A CN 201710985812 A CN201710985812 A CN 201710985812A CN 107682351 A CN107682351 A CN 107682351A
- Authority
- CN
- China
- Prior art keywords
- security
- log
- intrusion detection
- network security
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种网络安全监控的方法、系统、设备及存储介质,包括步骤:收集多个网络安全防御设备的安全日志并发送至消息缓存集群以及入侵检测服务器,通过入侵检测服务器对安全日志进行安全语义转换,并根据预设规则分析生成安全事件,将安全事件发送至消息缓存集群,当安全事件满足预设告警条件时,发送告警信息,通过集中式日志分析平台读取消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数据,通过检索前端查询索引数据,获取索引数据对应的安全日志或安全事件。本发明通过安全日志统一收集、入侵检测服务器、消息缓存集群以及集中式日志分析平台实现轻量级、多维度、安全语义标准统一、可源头追溯的安全监控。
Description
技术领域
本发明涉及网络安全领域,具体地说,涉及基于入侵检测以及数据索 引的网络安全监控的方法、系统、设备及存储介质。
背景技术
随着各种网络技术的普及化,企业的网络系统也面临着越来越多的被 攻击的危险,经常遭受不同程度的入侵和破坏,严重干扰了企业网络的正 常运行。为了保障基础环境和业务的安全性,企业不得不加强对网络系统 的安全防护,不断追求多层次、立体化的网络安全监控系统,使用包括网 络防火墙、IPS(Intrusion Prevention System,入侵防御系统)、WAF (Web Application Firewall,Web应用防火墙)、HIPS(Host-based IntrusionPrevention System,基于主机型入侵防御系统)、反病毒程序 等多重网络安全防御设备。然而,现有的网络安全监控系统存在以下问题:
(1)日志安全语义标准不统一。由于多种网络安全防御技术来自不同 的提供商,因此不同产品在对待相同安全问题的定义和日志输出上存在差 异。此外,防火墙、操作系统等仅做事件记录,并没有对事件日志做全量 的安全语义转换。
(2)无统一入口,无法基于日志做时序分析和查询。不同网络安全防 御技术所提供的入口不统一,无法为人工分析提供时序查询和原始日志查 询的支持。
(3)监控规则维度不足。当企业没有专业的安全团队来分析日志语义 和安全场景设计时,在监控规则和维度方面会存在不足。如果基于单一因 素设置监控规则,则监控误报率较高,无法定性安全事件的等级。
(4)监控平台需要专业团队维护支持。在实现监控方面,主流大平台 会引入专业的技术方案,如流式引擎、规则引擎、大存储环境和前端设计 等,这些大而全的平台系统重且复杂,需要耗费大量的时间由专人支持和 开发维护。
因此,本发明为了解决上述技术问题,提供了一种网络安全监控的方 法、系统、设备及存储介质。
发明内容
针对现有技术中的问题,本发明的目的在于提供网络安全监控的方 法、系统、设备及存储介质,统一收集各类网络安全防御设备的安全日志, 并对安全日志进行安全语义转换以及规则分析生成安全事件,从而进行安 全事件告警,通过对安全日志以及安全事件进行统一入口的查询以及分析 从而能够追溯源头,并可视化地提供分析结果。
本发明的第一方面提供一种网络安全监控的方法,包括步骤:S101、 收集多个网络安全防御设备的安全日志;S102、将安全日志发送至消息 缓存集群;S103、将安全日志发送至入侵检测服务器,通过入侵检测服 务器对安全日志进行安全语义转换,并根据预设规则分析生成安全事件, 将安全事件发送至消息缓存集群,当安全事件满足预设告警条件时,发送 告警信息;S104、配置集中式日志分析平台,通过集中式日志分析平台 读取消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取 索引数据;S105、存储索引数据,配置集中式日志分析平台的检索前端, 以通过检索前端查询索引数据,获取索引数据对应的安全日志或安全事 件,或生成分析图表。
优选地,入侵检测服务器为OSSEC服务器,集中式日志分析平台为 ELK平台。
优选地,步骤S101中,通过TRAP以及syslog收集安全日志。
优选地,步骤S103中,入侵检测服务器按照系统内置语义解码规则 对安全日志进行安全语义预转换后,按照预设的自定义安全语义解码规则 对安全日志进行安全语义再转换。
优选地,步骤S103中,当安全事件满足预设告警条件时,入侵检测 服务器调用预设脚本对安全事件进行安全响应。
本发明的第二方面还提供一种网络安全监控系统,网络安全监控系统 对多个网络安全防御设备进行监控,网络安全监控系统包括:日志收集集 群,日志收集集群用于收集多个网络安全防御设备的安全日志;入侵检测 服务器,入侵检测服务器用于对安全日志进行安全语义转换,并根据预设 规则分析生成安全事件,当安全事件满足预设告警条件时,发送告警信息; 消息缓存集群,消息缓存集群用于存储日志收集集群发送的安全日志以及 入侵检测服务器发送的安全事件;集中式日志分析平台,集中式日志分析 平台包括分析模块,存储模块以及检索前端,分析模块用于读取消息缓存 集群中的存储数据并进行归一化处理以及字段填充以获取索引数据,存储 模块用于存储索引数据,检索前端与存储模块交互,检索前端用于查询索 引数据,获取索引数据对应的安全日志或安全事件,或生成分析图表。
优选地,入侵检测服务器为OSSEC服务器,集中式日志分析平台为 ELK平台。
优选地,日志收集集群通过TRAP以及syslog收集安全日志。
本发明的第三方面还提供一种网络安全监控设备,包括:处理器;存 储器,其中存储有处理器的可执行指令;其中,处理器配置为经由执行可 执行指令来执行上述第一方面的网络安全监控的方法的步骤。
本发明的第四方面还提供一种计算机可读存储介质,用于存储程序, 程序被执行时实现上述第一方面的网络安全监控的方法的步骤。
本发明的网络安全监控的方法、系统、设备及存储介质统一收集各类 网络安全防御设备的安全日志,通过所述入侵检测服务器对安全日志进行 统一的安全语义转换,从而统一全网的日志安全语义标准。
通过入侵检测服务器进行规则设置,并将语义转换后的安全日志根据 预设规则分析生成安全事件,从而能够简便地设置多维监控规则,从而实 现轻量级的多维度监控。
通过集中式日志分析平台收集安全日志以及安全事件,进行归一化处 理以及字段填充以获取索引数据,通过检索前端检索索引数据从而获得对 应的安全日志或安全事件,并进一步生成分析图表,实现统一入口,能够 追溯源头数据,进行基于安全日志的分析。
本发明通过入侵检测服务器实现语义转换、规则设置分析,通过集中 式日志分析平台实现源头追溯以及基于安全日志的分析,使用工具简单, 无需耗费专业人员或是大量时间进行开发维护。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的 其它特征、目的和优点将会变得更明显。
图1是本发明一实施例的网络安全监控的方法的流程图;
图2是图1中步骤S103的详细流程图;
图3是本发明一实施例的网络安全监控系统的结构示意图;
图4是本发明一实施例的的网络安全监控系统的数据流向示意图;
图5是本发明一实施例的网络安全监控设备的结构示意图;以及
图6是本发明一实施例的计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能 够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提 供这些实施方式使得本发明将全面和完整,并将示例实施方式的构思全面 地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结 构,因而将省略对它们的重复描述。
当前网络安全监控系统中存在多个网络安全防御设备,然而多个网络 安全防御设备所产生的日志安全语义标准不统一,无统一入口,无法基于 日志做时序分析和查询。本发明统一收集各类网络安全防御设备的安全日 志,通过所述入侵检测服务器对安全日志进行统一的安全语义转换,根据 预设规则分析生成安全事件,通过集中式日志分析平台收集安全日志以及 安全事件,并处理生成索引数据,通过检索前端检索索引数据从而获得对 应的安全日志或安全事件,并进一步生成分析图表,从而实现统一的安全 语义标准转换,统一的入口检索,实现源头安全日志的追溯查询与分析。
图1是本发明一实施例的网络安全监控的方法的流程图。如图1所示, 本发明的网络安全监控的方法,包括以下步骤:
S101、收集多个网络安全防御设备的安全日志。
在本实施例中,通过TRAP以及syslog收集多个网络安全防御设备 的安全日志。syslog(系统日志)是一种用来在互联网协议(TCP/IP)的 网络中传递记录档讯息的工业标准协议,syslog协议允许一个设备通过网 络把事件信息传递给事件信息接受者。TRAP即指SNMP TRAP,是建立 在简单网络管理协议SNMP上的网络管理,通常使用SNMP TRAP机制 进行日志数据采集。生成TRAP消息的事件由TRAP代理内部定义,而 不是通用格式定义。本实施例中的网络安全防御设备包括路由器、网络防 火墙、IDS/IPS、WAF、HIDS/HIPS、反病毒程序等多种组合。
在本示例中,具体而言,配置日志收集集群,该日志收集集群安装了 syslog软件系统以及TRAP代理。在通过syslog收集安全日志时,网络 安全防御设备使用UDP作为传输协议,通过目的端口将其安全日志管理 配置发送到日志收集集群,从而使得日志收集集群自动接收安全日志数据 并写到日志文件中。网络安全防御设备的部分安全日志信息由SNMP TRAP进行报告,日志收集集群通过获取SNMP数据报文,并对SNMP 数据报文中TRAP字段值的解释就可以获得该网络安全防御设备的安全 日志信息。
S102、将安全日志发送至消息缓存集群。
具体而言,预先配置消息缓存集群,本实施例中的消息缓存集群例如 可以采用Redis集群。Redis是一个开源的支持网络、可基于内存亦可持 久化的日志型、Key-Value数据库。日志收集集群将收集的安全日志发送 至消息缓存集群,由消息缓存集群进行存储。
S103、入侵检测服务器分析安全日志生成安全事件。
本发明使用OSSEC服务器作为入侵检测服务器进行安全日志告警。 OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux,OpenBSD/FreeBSD,以及MacOS等操作系统中,将OSSEC 安装在服务器端,配置形成入侵检测服务器。
图2是图1中步骤S103的详细流程图。如图2所示,如步骤S1031, 安装OSSEC服务器,并将OSSEC服务器配置为接收消息缓存集群的安 全日志,从而OSSEC服务器获取消息缓存集群存储的安全日志。
如步骤S1032,OSSEC服务器对安全日志进行安全语义预转换。OSSEC服务器中内置有语义解码规则。内置的语义解码规则通常针对现 有的业内常用的安全日志的编码规则。在安全语义预转换步骤中,将安全 日志通过内置的语义解码规则进行初步的安全语义转换。针对部分网络安 全防御设备的安全日志不符合常用编码规则的情况,通过步骤S1033进 行解码。如步骤S1033,对安全日志进行安全语义再转换。OSSEC服务 器支持语义解码规则的自定义,因此,针对特殊的安全日志编码规则,可 以自定义语义解码规则进行解码。通过步骤S1032以及步骤S1033实现 对于各种类型的安全日志进行安全语义转换,从而实现安全日志解析的统 一化、标准化,从而有利于后续步骤中对安全日志的分析以及监控。
继续参考图2,如步骤S1034,OSSEC服务器根据预设规则分析安 全语义转换后的安全日志,并生成安全事件。预设规则即为监控规则,可 以使用OSSEC服务器中内置的监控规则对语义转换后的安全日志进行 分析,从而生产安全事件。预设规则也可以预先按照监控维度需求而自定 义设置,从而实现对特定网络安全日志的特异性分析,实现多维度监控, 准确定义安全事件等级。
如步骤S1035,对于所有生成的安全事件,OSSEC服务器将其发送 至消息缓存集群,由消息缓存集群进行存储。如步骤S1036,判断安全事 件是否满足预设告警条件。当满足预设告警条件时,OSSEC服务器执行 步骤S1037发送告警信息,例如将告警信息发送至预设的电子邮件地址 或是终端显示地址。进一步地,如步骤S1038,预先设置处理脚本,当步骤S1036判断安全事件满足预设告警条件时,OSSEC服务器调用预设脚 本,通过对预设脚本的执行而对安全事件进行安全响应,从而减少人工处 理的数量以及保障对于紧急安全事件的及时处理。这里的安全响应例如可 以是使防火墙对特定ip地址的访问数据包进行屏蔽等措施。需要注意的 是,步骤S1037与步骤S1038中的预设告警条件可以根据实际情况而差 异化设置。
通过使用入侵检测服务器,实现了对多个网络安全防御设备的安全日 志进行标准统一的安全语义转换,从而实现统一管理与监控。通过入侵检 测服务器方便地进行多维安全规则的设定,从而在没有专业团队的情况下 也能实现对全网进行监控维护,准确定性安全事件登记,降低监控误报率。
步骤S104与步骤S105通过集中式日志分析平台完成,实现了当出 现了告警或是接收到安全事件时,可以通过集中式日志分析平台查找原 因,寻找发生问题的痕迹。
S104、配置集中式日志分析平台,通过集中式日志分析平台读取消 息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数 据。
具体而言,集中式日志分析平台获取消息缓存集群中的存储数据,存 储数据包括安全日志以及安全事件。集中式日志分析平台对获取的存储数 据进行归一化处理,以使得数据之间的统计接口统一具有可比性。针对存 储数据进行字段填充处理,例如根据源IP地址以及目的IP地址填充该条 存储数据所属于的业务类型。将存储数据经过归一化处理以及字段填充处 理后,生成可进行检索分析的索引数据。
S105、存储索引数据,配置集中式日志分析平台的检索前端。集中 式日志分析平台存储S105中获取的索引数据。配置集中式日志分析平台 的检索前端,以使得通过检索平台的检索前端能够查询到索引数据,并通 过索引数据获取对应的原始的安全日志或安全事件,从而实现源头数据追 溯。通过索引数据同时能够生成分析图表,从而对进行更为直观地分析展 示。
现有的集中式日志分析平台包括商业化的Splunk,FaceBook公司的 Scribe,Apache的Chukwa,Linkedin的Kafak,Cloudera的Fluentd 等等。本实施例中,集中式日志分析平台采用ELK平台。ELK由 ElasticSearch、Logstash和Kiabana三个开源工具组成。Elasticsearch 是个开源分布式搜索引擎,它可以用于全文搜索,结构化搜索以及分析。Logstash可以对日志进行收集、分析。kibana是一款基于Apache开源 协议,使用JavaScript语言编写,可以为Logstash和ElasticSearch 提供的日志分析友好的Web界面,可以进行汇总、分析和搜索重要数据 日志。
因此,通过本发明的步骤S104以及S105实现对于安全日志检索入 口的统一,提供基于安全日志的时序分析以及查询。
图3是本发明一实施例的网络安全监控系统的结构示意图。如图3 所示,本发明的实施例还提供一种网络安全监控系统,用于实现上述的网 络安全监控的方法,网络安全监控系统10对多个网络安全防御设备进行 监控,网络安全监控系统10包括:日志收集集群101、入侵检测服务器 103、消息缓存集群102以及集中式日志分析平台104。
日志收集集群101用于收集多个网络安全防御设备的安全日志。具 体而言,日志收集集群101通过TRAP以及syslog收集安全日志,即日 志收集集群101安装了syslog软件系统以及TRAP代理,通过存储网络 安全防御设备的安全日志管理配置自动接收安全日志数据并写到日志文 件中,通过获取SNMP数据报文,并对SNMP数据报文中TRAP字段 值的解释获得网络安全防御设备的安全日志信息。
入侵检测服务器103用于获取日志收集集群101收集的安全日志, 并对安全日志进行安全语义转换,并根据预设规则分析生成安全事件,当 安全事件满足预设告警条件时,发送告警信息。本实施例中使用OSSEC 服务器作为入侵检测服务器103,从而能够基于开源系统,全面、便捷且 轻量级地实现日志分析与告警。
消息缓存集群102用于存储日志收集集群101发送的安全日志以及 入侵检测服务器103发送的安全事件。
集中式日志分析平台104包括分析模块1041、存储模块1042以及 检索前端1043。分析模块1041用于读取消息缓存集群102中的存储数 据并进行归一化处理以及字段填充以获取索引数据。存储模块1042用于 存储索引数据。检索前端1043与存储模块1042交互,检索前端1043 用于查询索引数据,获取索引数据对应的安全日志或所述安全事件,或生成分析图表。
本实施例中集中式日志分析平台104为ELK平台,分析模块1041 为ELK平台中的Logstash工具,存储模块1042为ELK平台中的 ElasticSearch工具,检索前端1043为ELK平台中的kibana工具。
图4是本发明一实施例的的网络安全监控系统的数据流向示意图,通 过图4进一步说明本发明的网络安全监控系统10的工作方式。
网络中包括多个网络安全防御设备20,对多个网络安全防御设备20 进行设置,使其与日志收集集群101连接。日志收集集群101通过TRAP 以及syslog收集多个网络安全防御设备20产生的安全日志301。
日志收集集群101将收集的安全日志301分别发送至消息缓存集群 102进行存储,至入侵检测服务器103进行安全语义解码以及监控预警。
入侵检测服务器103对安全日志301进行安全语义转换,并根据预 设规则分析生成安全事件302。安全语义转换包括预转换以及再转换,其 中预转换根据入侵检测服务器103内置的语义解码规则进行,适用于通 常标准的安全日志,再转换根据自定义安全语义解码规则进行,适用于不 符合常用编码规则的安全日志,从而保障了安全日志能够被全面地按照统 一的安全语义标准进行语义转换。入侵检测服务器103对于安全语义转 换后的安全日志根据预设规则分析生成安全事件302,并将安全事件302 发送至消息缓存集群102,并由消息缓存集群102存储。当安全事件302 满足预设告警条件时,发送告警信息。预先在入侵检测服务器103中设 置处理脚本,当安全事件满足预设告警条件时,入侵检测服务器103调 用预设脚本,通过对预设脚本的执行而对安全事件进行安全响应。
集中式日志分析平台104的分析模块1041获取消息缓存集群102中 存储的安全日志301以及安全事件302,对安全日志301以及安全事件 302进行归一化处理以及字段填充以获取索引数据303,存储模块1042 存储索引数据303,配置集中式日志分析平台104的检索前端1043,以 通过检索前端1043查询索引数据303,获取索引数据303对应的安全日 志301或安全事件302,或生成分析图表。
因此本发明所提供的网络安全监控系统通过安全日志统一收集、入侵 检测服务器、消息缓存集群以及集中式日志分析平台实现轻量级、多维度、 安全语义标准统一、可源头追溯的安全监控。
本发明实施例还提供一种网络安全监控设备,包括处理器。存储器, 其中存储有处理器的可执行指令。其中,处理器配置为经由执行可执行指 令来执行的网络安全监控的方法的步骤。
如上,该实施例通过网络安全监控设备对入侵检测服务器进行规则设 置,从而入侵检测服务器将语义转换后的安全日志根据预设规则分析生成 安全事件,从而能够简便地设置多维监控规则,从而实现轻量级的多维度 监控。
网络安全监控设备通过集中式日志分析平台收集安全日志以及安全 事件,进行归一化处理以及字段填充以获取索引数据,通过检索前端检索 索引数据从而获得对应的安全日志或安全事件,并进一步生成分析图表, 实现统一入口,能够追溯源头数据,进行基于安全日志的分析。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系 统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式, 即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等), 或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块” 或“平台”。
图5是本发明一实施例的网络安全监控设备的结构示意图。下面参照 图5来描述根据本发明的这种实施方式的网络安全监控设备600。图3显 示的网络安全监控设备600仅仅是一个示例,不应对本发明实施例的功 能和使用范围带来任何限制。
如图5所示,网络安全监控设备600以通用计算设备的形式表现。 网络安全监控设备600的组件可以包括但不限于:至少一个处理单元 610、至少一个存储单元620、连接不同平台组件(包括存储单元620和 处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执 行,使得处理单元610执行本说明书上述电子处方流转处理方法部分中 描述的根据本发明各种示例性实施方式的步骤。例如,处理单元610可 以执行如图1中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机 存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一 步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程 序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一 个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个 或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元 总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用 多种总线结构中的任意总线结构的局域总线。
网络安全监控设备600也可以与一个或多个外部设备700(例如键 盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该 网络安全监控设备600交互的设备通信,和/或与使得该网络安全监控设 备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、 调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进 行。并且,网络安全监控设备600还可以通过网络适配器660与一个或 者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例 如因特网)通信。网络适配器660可以通过总线630与网络安全监控设 备600的其它模块通信。应当明白,尽管图中未示出,可以结合网络安 全监控设备600使用其它硬件和/或软件模块,包括但不限于:微代码、 设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动 器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,程序 被执行时实现网络安全监控的方法的步骤。在一些可能的实施方式中,本 发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当 程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上 述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式 的步骤。
如上所示,该实施例的计算机可读存储介质的程序在执行时,通过对 入侵检测服务器进行规则设置,从而入侵检测服务器将语义转换后的安全 日志根据预设规则分析生成安全事件,从而能够简便地设置多维监控规 则,从而实现轻量级的多维度监控。
通过集中式日志分析平台收集安全日志以及安全事件,进行归一化处 理以及字段填充以获取索引数据,通过检索前端检索索引数据从而获得对 应的安全日志或安全事件,并进一步生成分析图表,实现统一入口,能够 追溯源头数据,进行基于安全日志的分析。
图6是本发明一实施例的计算机可读存储介质的结构示意图。参考图 6所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品 800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码, 并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限 于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质, 该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是 可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、 磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的 组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或 多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、 便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者 上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的 数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种 形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存 储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发 送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合 使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传 输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的 组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明 操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如 Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类 似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地 在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上 部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。 在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络, 包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者, 可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连 接)。
本发明的网络安全监控的方法是统一收集安全日志,通过入侵检测服 务器实现标准统一的安全语义转换,以及多维监控规则设置。通过集中式 日志分析平台实现源头数据追溯,进行基于安全日志的分析和查询。本发 明的目的是解决日志安全语义标准不统一,无法基于日志做时序分析和查 询,监控规则维度不足,需要大量人力物力进行监控平台维持。
综上,本发明的网络安全监控的方法、系统、设备及存储介质通过对 入侵检测服务器进行规则设置,入侵检测服务器将语义转换后的安全日志 根据预设规则分析生成安全事件,从而能够简便地设置多维监控规则,从 而实现轻量级的多维度监控。
通过集中式日志分析平台收集安全日志以及安全事件,进行归一化处 理以及字段填充以获取索引数据,通过检索前端检索索引数据从而获得对 应的安全日志或安全事件,并进一步生成分析图表,实现统一入口,能够 追溯源头数据,进行基于安全日志的分析。
本发明通过入侵检测服务器实现语义转换、规则设置分析,通过集中 式日志分析平台实现源头追溯以及基于安全日志的分析,使用工具简单, 无需耗费专业人员或是大量时间进行开发维护。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说 明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术 领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若 干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种网络安全监控的方法,其特征在于,包括步骤:
S101、收集多个网络安全防御设备的安全日志;
S102、将所述安全日志发送至消息缓存集群;
S103、将所述安全日志发送至入侵检测服务器,通过所述入侵检测服务器对所述安全日志进行安全语义转换,并根据预设规则分析生成安全事件,将所述安全事件发送至所述消息缓存集群,当所述安全事件满足预设告警条件时,发送告警信息;
S104、配置集中式日志分析平台,通过所述集中式日志分析平台读取所述消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数据;
S105、存储所述索引数据,配置所述集中式日志分析平台的检索前端,以通过所述检索前端查询所述索引数据,获取所述索引数据对应的所述安全日志或所述安全事件,或生成分析图表。
2.根据权利要求1所述的网络安全监控的方法,其特征在于,
所述入侵检测服务器为OSSEC服务器,所述集中式日志分析平台为ELK平台。
3.根据权利要求1所述的网络安全监控的方法,其特征在于,
所述步骤S101中,通过TRAP以及syslog收集所述安全日志。
4.根据权利要求1所述的网络安全监控的方法,其特征在于,
所述步骤S103中,所述入侵检测服务器按照系统内置语义解码规则对所述安全日志进行安全语义预转换后,按照预设的自定义安全语义解码规则对所述安全日志进行安全语义再转换。
5.根据权利要求4所述的网络安全监控的方法,其特征在于,
所述步骤S103中,当所述安全事件满足预设告警条件时,所述入侵检测服务器调用预设脚本对所述安全事件进行安全响应。
6.一种网络安全监控系统,所述网络安全监控系统对多个网络安全防御设备进行监控,其特征在于所述网络安全监控系统包括:
日志收集集群,所述日志收集集群用于收集所述多个网络安全防御设备的安全日志;
入侵检测服务器,所述入侵检测服务器用于对所述安全日志进行安全语义转换,并根据预设规则分析生成安全事件,当所述安全事件满足预设告警条件时,发送告警信息;
消息缓存集群,所述消息缓存集群用于存储所述日志收集集群发送的所述安全日志以及所述入侵检测服务器发送的所述安全事件;
集中式日志分析平台,所述集中式日志分析平台包括分析模块,存储模块以及检索前端,所述分析模块用于读取所述消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数据,所述存储模块用于存储所述索引数据,所述检索前端与所述存储模块交互,所述检索前端用于查询所述索引数据,获取所述索引数据对应的所述安全日志或所述安全事件,或生成分析图表。
7.如权利要求6所述的网络安全监控系统,其特征在于,
所述入侵检测服务器为OSSEC服务器,所述集中式日志分析平台为ELK平台。
8.如权利要求6所述的网络安全监控系统,其特征在于,
所述日志收集集群通过TRAP以及syslog收集所述安全日志。
9.一种网络安全监控设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至5中任意一项所述网络安全监控的方法的步骤。
10.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被执行时实现权利要求1至5中任意一项所述网络安全监控的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710985812.XA CN107682351B (zh) | 2017-10-20 | 2017-10-20 | 网络安全监控的方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710985812.XA CN107682351B (zh) | 2017-10-20 | 2017-10-20 | 网络安全监控的方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107682351A true CN107682351A (zh) | 2018-02-09 |
| CN107682351B CN107682351B (zh) | 2020-03-31 |
Family
ID=61140421
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710985812.XA Active CN107682351B (zh) | 2017-10-20 | 2017-10-20 | 网络安全监控的方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107682351B (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109376532A (zh) * | 2018-10-31 | 2019-02-22 | 云南电网有限责任公司 | 基于elk日志采集分析的电力网络安全监测方法及系统 |
| CN109376531A (zh) * | 2018-09-28 | 2019-02-22 | 杭州电子科技大学 | 基于语义重编码与特征空间分离的Web入侵检测方法 |
| CN109614553A (zh) * | 2018-12-21 | 2019-04-12 | 北京博明信德科技有限公司 | 用于日志收集的PaaS平台 |
| CN109660523A (zh) * | 2018-12-03 | 2019-04-19 | 顺丰科技有限公司 | Waf导流装置、系统和方法 |
| CN110213238A (zh) * | 2019-05-06 | 2019-09-06 | 北京奇安信科技有限公司 | 数据的威胁检测方法及装置、存储介质、计算机设备 |
| CN110719194A (zh) * | 2019-09-12 | 2020-01-21 | 中国联合网络通信集团有限公司 | 一种网络数据的分析方法及装置 |
| CN110929896A (zh) * | 2019-12-04 | 2020-03-27 | 全球能源互联网研究院有限公司 | 一种系统设备的安全分析方法及装置 |
| CN111125728A (zh) * | 2019-12-04 | 2020-05-08 | 深圳昂楷科技有限公司 | 一种治理数据库安全问题的方法、装置及治理设备 |
| CN111367762A (zh) * | 2020-02-28 | 2020-07-03 | 京东方科技集团股份有限公司 | 设备入侵检测方法、系统及电子设备 |
| CN111881011A (zh) * | 2020-07-31 | 2020-11-03 | 网易(杭州)网络有限公司 | 日志管理方法、平台、服务器及存储介质 |
| CN112463553A (zh) * | 2020-12-18 | 2021-03-09 | 杭州立思辰安科科技有限公司 | 一种基于普通告警关联分析智能告警的系统与方法 |
| CN112543127A (zh) * | 2019-09-23 | 2021-03-23 | 北京轻享科技有限公司 | 一种微服务架构的监控方法及装置 |
| CN112769593A (zh) * | 2020-12-11 | 2021-05-07 | 观脉科技(北京)有限公司 | 一种网络监控系统和网络监控方法 |
| CN113138891A (zh) * | 2020-01-19 | 2021-07-20 | 上海臻客信息技术服务有限公司 | 一种基于日志的业务监控系统 |
| CN113242218A (zh) * | 2021-04-23 | 2021-08-10 | 葛崇振 | 一种网络安全监控方法及系统 |
| CN113381883A (zh) * | 2021-05-31 | 2021-09-10 | 北京网藤科技有限公司 | 一种基于工业网络安全事件日志监测的系统 |
| CN113608964A (zh) * | 2021-08-09 | 2021-11-05 | 宁畅信息产业(北京)有限公司 | 一种集群自动化监控方法、装置、电子设备及存储介质 |
| CN113965397A (zh) * | 2021-10-28 | 2022-01-21 | 公诚管理咨询有限公司 | 信创网络安全管理方法、装置、计算机设备以及存储介质 |
| CN114584365A (zh) * | 2022-03-01 | 2022-06-03 | 北京优炫软件股份有限公司 | 一种安全事件分析响应方法以及系统 |
| CN115118754A (zh) * | 2022-08-29 | 2022-09-27 | 中国汽车技术研究中心有限公司 | 针对电动汽车的远程监控测试系统和监控测试方法 |
| CN115378793A (zh) * | 2022-08-19 | 2022-11-22 | 北京航空航天大学 | 一种基于系统审计日志的hids告警溯源方法 |
| CN117411732A (zh) * | 2023-12-15 | 2024-01-16 | 国网四川省电力公司技能培训中心 | 网络安全事件的监测方法及其系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
| CN104038466A (zh) * | 2013-03-05 | 2014-09-10 | 中国银联股份有限公司 | 用于云计算环境的入侵检测系统、方法及设备 |
| CN104901960A (zh) * | 2015-05-26 | 2015-09-09 | 汉柏科技有限公司 | 一种基于告警策略的网络安全管理设备及方法 |
| CN106446008A (zh) * | 2016-08-12 | 2017-02-22 | 中国南方电网有限责任公司 | 数据库安全事件的管理方法及分析系统 |
-
2017
- 2017-10-20 CN CN201710985812.XA patent/CN107682351B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104038466A (zh) * | 2013-03-05 | 2014-09-10 | 中国银联股份有限公司 | 用于云计算环境的入侵检测系统、方法及设备 |
| CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
| CN104901960A (zh) * | 2015-05-26 | 2015-09-09 | 汉柏科技有限公司 | 一种基于告警策略的网络安全管理设备及方法 |
| CN106446008A (zh) * | 2016-08-12 | 2017-02-22 | 中国南方电网有限责任公司 | 数据库安全事件的管理方法及分析系统 |
Non-Patent Citations (1)
| Title |
|---|
| 于静: "《基于Web应用的日志采集与分析系统的设计与实现》", 《中国优秀硕士论文辑》 * |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109376531A (zh) * | 2018-09-28 | 2019-02-22 | 杭州电子科技大学 | 基于语义重编码与特征空间分离的Web入侵检测方法 |
| CN109376531B (zh) * | 2018-09-28 | 2021-06-01 | 杭州电子科技大学 | 基于语义重编码与特征空间分离的Web入侵检测方法 |
| CN109376532A (zh) * | 2018-10-31 | 2019-02-22 | 云南电网有限责任公司 | 基于elk日志采集分析的电力网络安全监测方法及系统 |
| CN109660523A (zh) * | 2018-12-03 | 2019-04-19 | 顺丰科技有限公司 | Waf导流装置、系统和方法 |
| CN109614553A (zh) * | 2018-12-21 | 2019-04-12 | 北京博明信德科技有限公司 | 用于日志收集的PaaS平台 |
| CN110213238A (zh) * | 2019-05-06 | 2019-09-06 | 北京奇安信科技有限公司 | 数据的威胁检测方法及装置、存储介质、计算机设备 |
| CN110719194A (zh) * | 2019-09-12 | 2020-01-21 | 中国联合网络通信集团有限公司 | 一种网络数据的分析方法及装置 |
| CN110719194B (zh) * | 2019-09-12 | 2022-04-12 | 中国联合网络通信集团有限公司 | 一种网络数据的分析方法及装置 |
| CN112543127A (zh) * | 2019-09-23 | 2021-03-23 | 北京轻享科技有限公司 | 一种微服务架构的监控方法及装置 |
| CN110929896A (zh) * | 2019-12-04 | 2020-03-27 | 全球能源互联网研究院有限公司 | 一种系统设备的安全分析方法及装置 |
| CN111125728A (zh) * | 2019-12-04 | 2020-05-08 | 深圳昂楷科技有限公司 | 一种治理数据库安全问题的方法、装置及治理设备 |
| CN113138891A (zh) * | 2020-01-19 | 2021-07-20 | 上海臻客信息技术服务有限公司 | 一种基于日志的业务监控系统 |
| CN111367762A (zh) * | 2020-02-28 | 2020-07-03 | 京东方科技集团股份有限公司 | 设备入侵检测方法、系统及电子设备 |
| CN111367762B (zh) * | 2020-02-28 | 2024-04-23 | 京东方科技集团股份有限公司 | 设备入侵检测方法、系统及电子设备 |
| CN111881011A (zh) * | 2020-07-31 | 2020-11-03 | 网易(杭州)网络有限公司 | 日志管理方法、平台、服务器及存储介质 |
| CN112769593A (zh) * | 2020-12-11 | 2021-05-07 | 观脉科技(北京)有限公司 | 一种网络监控系统和网络监控方法 |
| CN112463553A (zh) * | 2020-12-18 | 2021-03-09 | 杭州立思辰安科科技有限公司 | 一种基于普通告警关联分析智能告警的系统与方法 |
| CN113242218A (zh) * | 2021-04-23 | 2021-08-10 | 葛崇振 | 一种网络安全监控方法及系统 |
| CN113381883A (zh) * | 2021-05-31 | 2021-09-10 | 北京网藤科技有限公司 | 一种基于工业网络安全事件日志监测的系统 |
| CN113608964A (zh) * | 2021-08-09 | 2021-11-05 | 宁畅信息产业(北京)有限公司 | 一种集群自动化监控方法、装置、电子设备及存储介质 |
| CN113965397B (zh) * | 2021-10-28 | 2024-02-02 | 公诚管理咨询有限公司 | 信创网络安全管理方法、装置、计算机设备以及存储介质 |
| CN113965397A (zh) * | 2021-10-28 | 2022-01-21 | 公诚管理咨询有限公司 | 信创网络安全管理方法、装置、计算机设备以及存储介质 |
| CN114584365A (zh) * | 2022-03-01 | 2022-06-03 | 北京优炫软件股份有限公司 | 一种安全事件分析响应方法以及系统 |
| CN115378793B (zh) * | 2022-08-19 | 2023-05-16 | 北京航空航天大学 | 一种基于系统审计日志的hids告警溯源方法 |
| CN115378793A (zh) * | 2022-08-19 | 2022-11-22 | 北京航空航天大学 | 一种基于系统审计日志的hids告警溯源方法 |
| CN115118754B (zh) * | 2022-08-29 | 2022-11-25 | 中国汽车技术研究中心有限公司 | 针对电动汽车的远程监控测试系统和监控测试方法 |
| CN115118754A (zh) * | 2022-08-29 | 2022-09-27 | 中国汽车技术研究中心有限公司 | 针对电动汽车的远程监控测试系统和监控测试方法 |
| CN117411732A (zh) * | 2023-12-15 | 2024-01-16 | 国网四川省电力公司技能培训中心 | 网络安全事件的监测方法及其系统 |
| CN117411732B (zh) * | 2023-12-15 | 2024-03-22 | 国网四川省电力公司技能培训中心 | 网络安全事件的监测方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107682351B (zh) | 2020-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107682351A (zh) | 网络安全监控的方法、系统、设备及存储介质 | |
| CN112291232B (zh) | 一种基于租户的安全能力和安全服务链管理平台 | |
| US11336670B2 (en) | Secure communication platform for a cybersecurity system | |
| JP7544738B2 (ja) | ロギングによる機密データの暴露の検出 | |
| US20210273961A1 (en) | Apparatus and method for a cyber-threat defense system | |
| CN105119750B (zh) | 一种基于大数据的分布式信息安全运维管理平台系统 | |
| CN110740141A (zh) | 一体化网络安全态势感知方法、装置及计算机设备 | |
| CN108833397A (zh) | 一种基于网络安全的大数据安全分析平台系统 | |
| CN107592309B (zh) | 安全事件检测和处理方法、系统、设备及存储介质 | |
| CN107451476A (zh) | 基于云平台的网页后门检测方法、系统、设备及存储介质 | |
| CN103561012A (zh) | 一种基于关联树的web后门检测方法及系统 | |
| CN108924084A (zh) | 一种网络设备安全评估方法及装置 | |
| CN114548706A (zh) | 一种业务风险的预警方法以及相关设备 | |
| Wang et al. | A centralized HIDS framework for private cloud | |
| CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
| CN110049015B (zh) | 网络安全态势感知系统 | |
| CN112925805B (zh) | 基于网络安全的大数据智能分析应用方法 | |
| CN109657462A (zh) | 数据检测方法、系统、电子设备和存储介质 | |
| Frankowski et al. | Application of the Complex Event Processing system for anomaly detection and network monitoring | |
| CN110830416A (zh) | 网络入侵检测方法和装置 | |
| CN109587130B (zh) | 一种基于rti时空一致的集成运行支撑系统 | |
| Jin et al. | An adaptive analysis framework for correlating cyber-security-related data | |
| CN115277472A (zh) | 一种多维工控系统网络安全风险预警系统及方法 | |
| ÖZÇELİK et al. | Center energy: A secure testbed infrastructure proposal for electricity power grid | |
| Polozhentsev et al. | Novel Cyber Incident Management System for 5G-based Critical Infrastructures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |