CN112468472A - 一种基于安全日志关联分析的安全策略自反馈方法 - Google Patents

一种基于安全日志关联分析的安全策略自反馈方法 Download PDF

Info

Publication number
CN112468472A
CN112468472A CN202011294771.8A CN202011294771A CN112468472A CN 112468472 A CN112468472 A CN 112468472A CN 202011294771 A CN202011294771 A CN 202011294771A CN 112468472 A CN112468472 A CN 112468472A
Authority
CN
China
Prior art keywords
log
information
security
event
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011294771.8A
Other languages
English (en)
Other versions
CN112468472B (zh
Inventor
田闯
王小鹏
石启良
陈昊望
高丽芬
胡章元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Information Consulting and Designing Institute Co Ltd
Original Assignee
China Information Consulting and Designing Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Information Consulting and Designing Institute Co Ltd filed Critical China Information Consulting and Designing Institute Co Ltd
Priority to CN202011294771.8A priority Critical patent/CN112468472B/zh
Publication of CN112468472A publication Critical patent/CN112468472A/zh
Application granted granted Critical
Publication of CN112468472B publication Critical patent/CN112468472B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供了一种基于安全日志关联分析的安全策略自反馈方法,包括首先创建安全日志信息采集程序、消息队列和与每个消息队列一一对应的消费服务;创建事件流处理引擎和各项规则;将安全日志信息注册后的事件的类型与规则相关联;将安全日志原始信息包装成事件输入到事件流处理引擎中,匹配日志解析规则;将解析后的日志信息输入到事件流处理引擎中,匹配日志关联分析规则,生成关联分析日志信息;将关联分析日志信息输入到事件流处理引擎中,匹配安全策略指令生成规则,生成安全策略指令信息并输出到安全策略下发指令消息队列;最终将安全策略变更指令,下发给对应的网络安全防护设备,实现安全防护策略的变更。相较于现有技术,本发明的日志解析效率更高,且实现了安全策略的自动化下发。

Description

一种基于安全日志关联分析的安全策略自反馈方法
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种基于安全日志关联分析的安全策略自反馈方法。
背景技术
在企业的网络系统中,为了确保系统的安全运行,通常会采用多种安全技术产品进行安全防护,比如入侵监测系统、防病毒系统、防火墙系统等,同时应用服务本身也会收集一些和安全防护相关的日志信息,由于各类业务防护系统日志格式不统一,且日志信息量非常大,处理不及时,这类信息通常只能作为事后分析使用,即使个别安全防护系统做到了实时的安全告警通知,但是告警通知误报率较高,大部分告警信息不是安全技术人员所关心的信息,另外,各个安全系统相互独立,日志报警信息互不关联,安全策略的配置难以实现自动化。
发明内容
为了解决上述技术问题,本发明公开了一种基于安全日志关联分析的安全策略自反馈方法,包括以下步骤:
步骤1,创建安全日志信息采集程序;
步骤2,创建消息队列,所述消息队列包括安全日志原始消息队列、日志解析消息队列、关联分析消息队列和安全策略下发指令消息队列;
步骤3,创建与每个所述消息队列一一对应的消费服务,所述消费服务包括原始信息消费服务、解析信息消费服务、关联分析信息消费服务和安全策略指令分发服务;
步骤4,通过所述安全日志信息采集程序,采集安全日志原始信息,并将所述安全日志原始信息存入安全日志原始消息队列;
步骤5,创建事件流处理引擎、日志解析规则、日志关联分析规则及安全策略指令生成规则;
步骤6,在所述事件流处理引擎中根据各类安全日志信息注册事件,将所述事件的类型与步骤5中的规则相关联,用于当所述事件发生时通过步骤5中的规则自动触发与事件相关联的自定义动作;
步骤7,通过所述原始信息消费服务,从所述安全日志原始消息队列中取出安全日志原始信息,并包装成事件输入到所述事件流处理引擎中,匹配所述日志解析规则,输出解析后的日志信息到日志解析消息队列中;
步骤8,在所述事件流引擎的监听器中定义滑动时间窗口,通过所述解析信息消费服务,从所述日志解析消息队列中取出解析后的日志信息,输入到所述事件流处理引擎中,匹配所述日志关联分析规则,生成关联分析日志信息并输出到所述关联分析消息队列;
步骤9,通过所述关联分析信息消费服务,从所述关联分析消息队列中读取关联分析日志信息,输入到事件流处理引擎中,匹配安全策略指令生成规则,生成安全策略指令信息并输出到所述安全策略下发指令消息队列;
步骤10,通过所述安全策略指令分发服务,从所述安全策略指令消息队列中获取安全策略变更指令,下发给对应的网络安全防护设备,实现安全防护策略的变更。具体的,本步骤中,所述的安全策略分发服务主要实现以下功能:
安全策略下发:通过传入设备唯一标识、安全策略信息,使得安全策略下发到对应的网络安全防护设备,下发成功后返回该安全策略的唯一编码。
查询安全策略状态:通过传入安全策略编码查询安全策略当前使用状态。
安全策略停用:通过传入安全策略编码停用该安全策略。
安全策略启用:通过传入安全策略编码启用该安全策略。
进一步地,在一种实现方式中,所述步骤1包括:
步骤1-1,创建日志接口采集子程序,用于针对提供标准协议接口的网络安全防护设备,通过所述标准协议接口获取安全日志信息,并将所述安全日志信息存入到消息队列中;具体的,针对提供SNMP Trap、Syslog等标准协议接口的网络安全防护设备。
SNMP Trap是一种简单网络管理协议,通过被管理的设备主动地向管理服务器发送设备日志信息。Syslog是一种标准的日志协议,分为客户端和服务器端,客户端是产生日志消息的一方,而服务器端负责接收客户端发送来的日志消息,并做出保存到特定的日志文件中或者其他方式的处理。
步骤1-2,创建日志文件采集子程序,用于针对将所述安全日志信息写入日志文本文件中的应用程序,具体的,通过使用Filebeat工具定期收割增量的所述安全日志信息,并将所述安全日志信息存入到消息队列中。Filebeat是用于转发和日志数据的轻量级传送工具,它通过监视指定的日志文件或位置,启动收集器,每个收集器都读取单个日志以获取新内容,采集到的日志数据发送到Filebeat配置的输出,通过将输出配置为日志原始消息队列,实现日志原始信息的采集。
进一步地,在一种实现方式中,所述步骤2包括:
创建所述安全日志原始消息队列,用于存放各种不同安全设备产生的安全日志信息;创建所述日志解析消息队列,用于存放日志解析后的日志信息;创建所述关联分析消息队列,用于存放日志关联分析后的结果信息;创建所述安全策略下发指令消息队列,用于存放安全策略下发指令信息。具体的,考虑到性能及扩展性,选择Kafka消息中间件。Kafka消息中间件是一种高吞吐量的分布式发布订阅消息系统。
进一步地,在一种实现方式中,所述步骤3包括:
针对所述安全日志原始消息队列、日志解析消息队列、关联分析消息队列、安全策略下发指令消息队列创建对应的消费服务,所述消费服务与对应的消息队列绑定,用于从对应的队列中取出消息,对所述消息进行事件包装,为后续的事件流处理做准备。
进一步地,在一种实现方式中,所述步骤5包括创建事件流处理引擎、日志解析规则、日志关联分析规则和安全策略指令生成规则;
其中,所述事件流处理引擎基于Esper创建,作为实时的日志解析框架。Esper是一种复杂事件流处理引擎,采用事件驱动的方式,配合内部数据库实现快速的事件流处理,即通过将所述日志信息包装成事件,以所述事件流处理的方式处理日志信息能够实现日志信息的快速处理。
具体的,所述中步骤5中的事件流处理引擎的创建及配置过程如下:
(1)根据各类安全日志信息创建相对应的事件,将事件类型注册到引擎中;
(2)实现日志解析规则、日志关联分析规则和安全策略指令生成规则;
(3)创建监听器,监听器按照事件类型进行创建,并与日志解析规则、日志关联分析规则和安全策略指令生成规则进行关联;
(4)接收事件流,在引擎中与事件处理条件进行规则匹配,当事件符合预先设定的事件处理条件时触发相应的监听器对日志数据进行处理。
进一步地,在一种实现方式中,所述步骤6,包括:
步骤6-1,根据各类安全日志信息创建相对应的事件,并将事件类型注册到引擎中;
在创建事件过程中,不同网络安全防护设备具有特定的安全日志字段及格式信息,通过所述特定的安全日志字段及格式信息,能够判定所述安全日志信息来自于哪个网络安全防护设备,在步骤7中包装事件时,使用能够标识所述网络安全防护设备所属类型的字符串作为事件类型,用于对所述安全日志信息进行区分;
步骤6-2,实现所述日志解析规则、日志关联分析规则和安全策略指令生成规则,即将通过EPL语言创建的日志解析规则、日志关联分析规则和安全策略指令生成规则在事件流处理引擎中进行编译,生成可执行的代码片段;
步骤6-3,根据所述事件类型创建对应的监听器,并将所述监听器与日志解析规则、日志关联分析规则和安全策略指令生成规则进行关联,其中,所述事件类型、监听器和规则均一一对应;
步骤6-4,接收事件流,在所述事件流处理引擎中与事件处理条件进行规则匹配,当事件符合预先设定的事件处理条件时,触发相应的监听器对日志数据进行处理。
具体的,所述步骤6中的事件主要分为两类事件,分别是:
日志解析规则和日志关联分析规则对应的事件是一个四元组<logId,logType,logInfo,timeStamp>,其中logId是事件的唯一标识;logType表示该事件的类型,对于不同网络安全防护设备产生的日志信息定义为不同的事件类型,事件流处理引擎通过logType属性来选择对应的日志解析规则;logInfo表示日志原始信息和解析后信息;timeStamp表示事件发生的时间戳,标识日志产生的时间。
安全策略指令生成规则对应的事件是一个四元组<associationType,attackInfo,guardInfo,timeStamp>,其中associationType是日志关联分析类型,比如针对入侵监测和防火墙关联分析、入侵监测和防病毒关联分析等,事件流处理引擎通过associationType属性来选择对应的日志关联分析规则;attackInfo表示被入侵或攻击信息;guardInfo表示入侵或攻击行为被防护或者阻断的信息;timeStamp表示事件发生的时间戳,标识关联时间发生的时间。
进一步地,在一种实现方式中,所述步骤6-4包括:
当进行日志解析时,若安全日志原始信息包装成的事件类型与事件流引擎中任一关联的事件类型一致时,则确定事件符合事件处理条件;
当进行日志关联分析时,若第一条安全日志信息和最后一条安全日志信息的时间间隔大于或等于滑动时间窗口定义的时间间隔,则确定事件符合事件处理条件。
进一步地,在一种实现方式中,所述步骤7包括:
步骤7-1,将安全日志原始信息包装为事件信息;
步骤7-2,将日志解析规则编译为可执行的程序单元,所述日志解析规则由EPL语言编写;
步骤7-3,通过调用Esper的获取运行实例的接口函数获取事件流处理引擎的运行实例;
步骤7-4,将所述步骤7-2中编译的日志解析规则可执行程序单元加载到事件流处理引擎运行实例中;
步骤7-5,将所述步骤7-1中包装完成的事件信息输入到事件流处理引擎中进行处理;
步骤7-6,输出解析后的安全日志信息。
进一步地,在一种实现方式中,所述步骤8包括:
在所述事件流引擎的监听器中定义滑动时间窗口,用于在某个时间段内对多个网络安全防护设备的安全日志信息进行关联分析;
通过对所述滑动时间窗口中的日志信息进行关联匹配,获得关联分析日志信息,即多个网络安全防护设备中在某时间段内对于同一目标进行攻击或防护的记录。
进一步地,在一种实现方式中,所述步骤9包括:
所述关联分析消息队列中记录了多个网络安全防护设备中在某时间段内对于同一目标进行攻击或防护的记录;当发现入侵监测设备记录了来自某ip地址目标的入侵或攻击记录,而防火墙中没有对应的防护记录时,根据所述入侵或攻击记录的信息生成防火墙的防护策略,并根据实际使用的防火墙设备生成防护策略的控制指令,即所述安全策略指令信息。
本发明通过将事件流处理应用在安全日志解析中,通过安全日志的解析生成安全防护策略并下发,提供了一种实时的安全日志解析及安全策略自动下发的方法。与现有技术相比,具有的有益效果是:
(1)本发明基于事件流引擎进行安全日志信息处理,把要分析的日志信息抽象为事件,当事件流处理引擎接收到事件后根据事件的输入和最初注册的处理模型得到安全日志信息的处理结果,日志解析效率更高。
(2)在日志关联分析中,根据预先定义的时间窗口或长度窗口对日志信息进行关联分析,通过关联分析的结果能够快速生成安全防护策略指令并下发,实现了自动化地安全策略下发。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例部分提供的一种基于安全日志关联分析的安全策略自反馈方法的工作流程示意图;
图2是本发明实施例部分提供的一种基于安全日志关联分析的安全策略自反馈方法中事件流处理引擎的执行工作流程示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明实施例公开一种基于安全日志关联分析的安全策略自反馈方法,本方法应用于企业内部多个网络安全防护设备协同工作的场景,通过使用本方法使得多个独立的网络安全防护设备构成具备自控制自反馈能力的网络安全防护系统,能够对外部的攻击和威胁进行自动化响应及安全策略的下发。企业内部为了做好网络安全的防护,通常会购买多个网络安全防护设备,比如入侵监测设备、防火墙、安全审计、防病毒、身份认证等设备,这些设备通常需要专业的安全维护团队逐一进行策略配置,针对一些新发现的攻击或防护行为,往往在对安全事件进行分析后通过人工的方式对安全策略进行修改和调整,这种方式下的安全策略的修改和调整往往存在一定的延时性,且无法实现自动化,通过使用本方法收集各网络安全防护设备的日志信息,通过对日志信息进行关联分析,生成相应的安全防护策略,并下发给对应的网络安全防护设备,可以实现对新发现的攻击或防护行为的快速响应及安全防护策略调整的自动化。
图1为基于安全日志关联分析的安全策略自反馈方法的实现过程,其中需要对各种不同的网络安全防护设备或系统进行日志信息的采集,采集得到的安全日志原始信息被放入到日志原始消息队列中,消费服务不断地从日志原始消息队列中取出日志数据并根据网络安全防护设备的类型将数据包装成事件对象,发送给事件流处理引擎,事件流处理引擎根据事件类型匹配日志解析规则对安全日志原始信息进行处理,得到解析后的日志信息并放入到日志解析消息队列中;消费服务从日志解析消息队列中取出解析后的日志数据再次发送给事件流处理引擎,事件流处理引擎根据预先配置的时间滑动窗口对日志信息进行关联分析,关联分析的日志信息放入关联分析消息队列中;消费服务从关联分析消息队列中取出日志关联分析数据,发送给事件流处理引擎,通过安全策略指令生成规则生成安全策略指令,并放入到安全策略指令消息队列中;安全策略指令分发服务中安全策略指令消息队列中取出安全策略指令并分发给对应的网络安全防护设备。
本实施例提供的一种基于安全日志关联分析的安全策略自反馈方法,包括以下步骤:
步骤1,创建安全日志信息采集程序;具体的,本实施例中,针对提供SNMP Trap、Syslog等标准协议接口的网络安全防护设备,通过接口获取安全日志信息并存入到消息队列中。
比如接收入侵监测设备发送的Snmp Trap信息,基于Snmp4J协议实现,通过在SnmpTrap信息发送的ip地址和端口上创建监听程序,当有日志信息发送过来时在监听程序中进行日志信息的处理;针对Syslog日志信息的采集,采用网络套接字通信的方式,创建套接字,通过轮询的方式收集日志信息并处理。
日志信息采集的接口如下:
模块作用 提供统一的日志信息采集接口
模块特点 抽象类,用于被继承
类名(对象名) LogCollector
主要接口 virtual void log_collect(String ip,String port,String type)=0;
对于应用程序的安全日志,通常写入到日志文本文件中,通过使用Filebeat工具定期收割增量的日志信息,存入到消息队列中。
步骤2,创建消息队列,所述消息队列包括安全日志原始消息队列、日志解析消息队列、关联分析消息队列和安全策略下发指令消息队列;
具体的,本实施例中,通过使用Kafka消息队列,创建不同主题的消息队列,分别存放日志原始消息、日志解析信息、关联分析信息和安全策略指令信息。
步骤3,创建与每个所述消息队列一一对应的消费服务,所述消费服务包括原始信息消费服务、解析信息消费服务、关联分析信息消费服务和安全策略指令分发服务;
具体的,本实施例中,本实施例中,四种消息队列命名不同,且分别与对应的消费服务进行绑定,对应的消费服务只能取出对应队列中的消息。
消费服务创建的过程如下:
首先,配置基本属性,包括bootstrap.servers、key.deserializer、value.deserializer和group.id,其中bootstrap.servers表示Kafka的服务端地址、key.deserializer和value.deserializer表示数据的序列化和反序列化规则,group.id代表消费者所在的消费组。
其次,创建消费者服务。
再次,消费者订阅主题,比如需要从日志原始消息队列中获取消息信息,那么需要订阅主题为安全日志原始消息的队列。
最后,循环拉取队列中的日志信息进行处理。
步骤4,通过所述安全日志信息采集程序,采集安全日志原始信息,并将所述安全日志原始信息存入安全日志原始消息队列;
步骤5,创建事件流处理引擎、日志解析规则、日志关联分析规则及安全策略指令生成规则;具体的,本实施例中,事件处理规则通过EPL语言来创建。
步骤6,在所述事件流处理引擎中根据各类安全日志信息注册事件,将所述事件的类型与步骤5中的规则相关联,用于当所述事件发生时通过步骤5中的规则自动触发与事件相关联的自定义动作;本实施例中,所述自定义动作指的是规则里面定义的一系列操作,比如根据某个安全设备特定的日志格式进行解析的操作。而日志信息注册到引擎前需要将日志包装成事件,其中有个重要的字段是事件类型,事件类型根据防护设备的类型人工进行定义。所述关联分析和对单个日志的解析除了规则不同,其余步骤完全相同。
步骤7,通过所述原始信息消费服务,从所述安全日志原始消息队列中取出安全日志原始信息,并包装成事件输入到所述事件流处理引擎中,匹配所述日志解析规则,输出解析后的日志信息到日志解析消息队列中;
步骤8,在所述事件流引擎的监听器中定义滑动时间窗口,通过所述解析信息消费服务,从所述日志解析消息队列中取出解析后的日志信息,输入到所述事件流处理引擎中,匹配所述日志关联分析规则,生成关联分析日志信息并输出到所述关联分析消息队列;
步骤9,通过所述关联分析信息消费服务,从所述关联分析消息队列中读取关联分析日志信息,输入到事件流处理引擎中,匹配安全策略指令生成规则,生成安全策略指令信息并输出到所述安全策略下发指令消息队列;
步骤10,通过所述安全策略指令分发服务,从所述安全策略指令消息队列中获取安全策略变更指令,下发给对应的网络安全防护设备,实现安全防护策略的变更。
本实施例所述的一种基于安全日志关联分析的安全策略自反馈方法中,所述步骤1包括:
步骤1-1,创建日志接口采集子程序,用于针对提供标准协议接口的网络安全防护设备,通过所述标准协议接口获取安全日志信息,并将所述安全日志信息存入到消息队列中;
步骤1-2,创建日志文件采集子程序,用于针对将所述安全日志信息写入日志文本文件中的应用程序,通过使用Filebeat工具定期收割增量的所述安全日志信息,并将所述安全日志信息存入到消息队列中。
本实施例所述的一种基于安全日志关联分析的安全策略自反馈方法中,所述步骤2包括:
创建所述安全日志原始消息队列,用于存放各种不同安全设备产生的安全日志信息;创建所述日志解析消息队列,用于存放日志解析后的日志信息;创建所述关联分析消息队列,用于存放日志关联分析后的结果信息;创建所述安全策略下发指令消息队列,用于存放安全策略下发指令信息。
本实施例所述的一种基于安全日志关联分析的安全策略自反馈方法中,所述步骤3包括:
针对所述安全日志原始消息队列、日志解析消息队列、关联分析消息队列、安全策略下发指令消息队列创建对应的消费服务,所述消费服务与对应的消息队列绑定,用于从对应的队列中取出消息,对所述消息进行事件包装,为后续的事件流处理做准备。
本实施例所述的一种基于安全日志关联分析的安全策略自反馈方法中,所述步骤5包括创建事件流处理引擎、日志解析规则、日志关联分析规则和安全策略指令生成规则;
其中,所述事件流处理引擎基于Esper创建,作为实时的日志解析框架。
事件处理规则通过EPL语言来创建,EPL语言是一种类似SQL的语言,包含了查询、条件筛选、分类、排序等子句,用事件流代替了数据库表作为数据源;
下面以WEB应用防护系统和传统防火墙日志信息为例描述日志解析规则、日志关联分析规则和安全策略指令生成规则。假设WEB应用防护系统和传统防火墙日志信息是一个多元组,其中包含字段为<x1,x2......,xn>。
所述日志解析规则实现从若干个日志信息字段中选取有用信息,假设上述安全日志原始信息中xi,xj,xk,xl分别代表攻击来源、攻击目标、攻击类型、攻击时间等信息,那么日志解析规则为select xi as AttackSource,xj as AttackTarget,xk as AttackType,xlas AttackTime from DeviceType,该规则中AttackSource,AttackTarget,AttackType,AttackTime,DeviceType分别代表攻击来源、攻击目标、攻击类型、攻击时间及安全防护设备类型,安全防护设备类型也可以理解为安全日志原始信息被包装成事件后的事件类型,不同类型对应不同的日志解析规则,通过该规则将日志信息中的攻击来源、攻击目标、攻击类型、攻击时间等信息解析出来。同理,可以从防火墙等防护设备中解析出防护日志信息xi`,xj`,xk`,xl`分别代表防护流量来源、被防护目标、类型、发生时间信息。
所述日志关联分析规则针对解析后的日志信息通过滑动时间窗口进行批量处理,关联分析规则为select a.xi,a.xj,b.xi`,b.xj`from Attack.win:length(15min)as ainner join Safeguard.win:length(15min)as b on a.xi=b.xi`and a.xj=b.xj`,通过日志关联分析规则能够从解析后的日志信息中查找出配对的攻击日志和防护日志信息,其中<a.xi,a.xj,b.xi`,b.xj`>分别表示在15分钟滑动窗口内能够匹配的攻击来源、攻击目标、防护流量来源、被防护目标信息,从而将未找到配对信息的日志信息筛选出来,假设筛选出<a.yi,a.yj>分别表示为找到攻击流量信息但是没有对应安全防护信息的攻击来源和攻击目标信息。
安全策略指令生成规则根据上述中筛选出来的<a.yi,a.yj>信息,生成防火墙策略信息,比如将a.yi作为防火墙的黑名单。
事件流处理引擎基于Esper创建,作为实时日志解析框架;
日志解析规则,针对各种不同的网络安全防护设备的日志格式实现不同的日志解析规则。比如针对网络安全防护设备1、网络安全防护设备2、...、网络安全防护设备M分别定义日志解析规则1、日志解析规则2、...、日志解析规则M,不同的日志解析规则针对不同的日志格式进行特定的处理,比如针对Snmp Trap的日志信息,提前获取设备对应的MIB库,根据MIB库中对应的信息对日志信息进行解析。其中,MIB库是TCP/IP网络管理协议标准框架的内容之一,MIB定义了受管设备必须保存的数据项、允许对每个数据项进行的操作及其含义。
日志关联分析规则,针对在实际的安全防护场景中可能存在关联或者需要进行设备安全策略联动的场景,建立关联分析规则,比如针对入侵监测系统和防火墙,有的时候需要根据入侵监测系统中目标被攻击的信息在防火墙中建立防护策略,因此可以配置入侵监测-防火墙关联分析规则,分析的内容为在某个滑动时间窗口内,入侵监测检测记录的日志信息与防火墙记录的日志信息是否有匹配的信息,当攻击目标、攻击来源等信息一致时,认为在这一攻击事件中,两个设备就该安全事件进行了响应,否则当攻击或防护信息有一方缺失时认为在这一攻击事件中两个设备未就同一安全事件进行响应。日志关联分析规则的作用是针对同一安全事件,判断出哪些防护设备进行了响应,哪些网络安全防护设备未进行相应。
安全策略指令生成规则,根据关联分析规则,可以知道在某一安全事件发生时,哪些安全设备进行了响应,哪些设备未进行响应,针对未进行响应的设备,通过攻击的详细信息,生成该设备的安全防护策略指令。
本实施例所述的一种基于安全日志关联分析的安全策略自反馈方法中,所述步骤6,包括:
步骤6-1,根据各类安全日志信息创建相对应的事件,并将事件类型注册到引擎中;
在创建事件过程中,不同网络安全防护设备具有特定的安全日志字段及格式信息,通过所述特定的安全日志字段及格式信息,能够判定所述安全日志信息来自于哪个网络安全防护设备,在步骤7中包装事件时,使用能够标识所述网络安全防护设备所属类型的字符串作为事件类型,用于对所述安全日志信息进行区分;
步骤6-2,实现所述日志解析规则、日志关联分析规则和安全策略指令生成规则,即将通过EPL语言创建的日志解析规则、日志关联分析规则和安全策略指令生成规则在事件流处理引擎中进行编译,生成可执行的代码片段;
步骤6-3,根据所述事件类型创建对应的监听器,并将所述监听器与日志解析规则、日志关联分析规则和安全策略指令生成规则进行关联,其中,所述事件类型、监听器和规则均一一对应;
步骤6-4,接收事件流,在所述事件流处理引擎中与事件处理条件进行规则匹配,当事件符合预先设定的事件处理条件时,触发相应的监听器对日志数据进行处理。
具体的,本实施例中,事件流处理引擎的创建过程,包括如下步骤:
(1)事件流处理引擎的处理对象是事件,因此事件流处理引擎中需要预先定义各种事件,在本发明中根据安全日志原始信息的解析、日志关联分析、安全策略指令生成分别定义事件,然后将各种事件类型注册到配置环境中,生成相关的配置对象;
(2)创建事件流处理引擎实例,作为事件处理的容器环境;
(3)导入事件处理规则,事件处理规则是针对各种不同事件进行处理的方法,比如针对原始日志的解析,事件处理规则实现日志的具体解析功能;针对日志关联分析,事件处理的规则实现不同设备的日志的关联分析功能;针对安全策略指令生成规则,事件处理的规则根据关联分析的结果,生成安全策略的指令。
(4)创建监听器对象,并将监听器对象与事件处理规则相关联。
(5)事件流处理引擎创建事件流处理的执行环境对象,接收事件流,在引擎中与事件处理条件进行逻辑匹配。
(6)执行环境对象负责监听来到的所有事件,当事件符合预先设定的条件时就能够触发相应的监听器对事件进行处理得到目标数据,目标数据被放入到对应的消息队列中。图2为事件流处理引擎的执行过程,事件流处理引擎接收到事件流对事件进行条件匹配,当条件符合预先设定的要求时会根据不同的事件类型分发给不同的事件处理规则对事件进行处理。
日志解析规则和日志关联分析规则对应的事件是一个四元组<logId,logType,logInfo,timeStamp>,其中logId是事件的唯一标识;logType表示该事件的类型,对于不同网络安全防护设备产生的日志信息定义为不同的事件类型,事件流处理引擎通过logType属性来选择对应的日志解析规则;logInfo表示日志原始信息和解析后信息;timeStamp表示事件发生的时间戳,标识日志产生的时间。
public class securityLog//某个设备的事件对象
{
String SecurityName;//网络安全防护设备名称
Int logId;//事件id
String logType;//事件类型
String logInfo;//日志原始信息
String timeStamp;//时间戳
public String getSecurityName()
{return SecurityName;}
......
}
上段代码表示了一个最简单的原始日志事件对象,针对不同的网络安全防护设备SecurityName被赋值为不同的标识,logId用来标识事件的唯一标识,logType为事件类型,事件类型与网络安全防护设备相对应,lonInfo为日志原始信息,timeStamp为时间戳。
安全策略指令生成规则对应的事件是一个四元组<associationType,attackInfo,guardInfo,timeStamp>,其中associationType是日志关联分析类型,比如针对入侵监测和防火墙关联分析、入侵监测和防病毒关联分析等,事件流处理引擎通过associationType属性来选择对应的日志关联分析规则;attackInfo表示被入侵或攻击信息;guardInfo表示入侵或攻击行为被防护或者阻断的信息;timeStamp表示事件发生的时间戳,标识关联时间发生的时间。
public class analysisLog//日志关联分析的事件对象
{
String analysisName;//关联分析规则名称
String associationType;//关联分析规则类型编码
String attackInfo;//攻击信息
String guardInfo;//防护或阻断信息
String timeStamp;//时间戳
public String getAnalysisName()
{return analysisName;}
......
}
上段代码表示了一个日志关联分析事件对象,针对不同的关联分析规则analysisName被赋值为不同的标识,associationType用来标识关联分析的类型编码,attackInfo为针对某一目标的攻击信息,guardInfo为对应的防护或阻断信息,timeStamp为时间戳。
本实施例所述的一种基于安全日志关联分析的安全策略自反馈方法中,所述步骤6-4包括:
当进行日志解析时,若安全日志原始信息包装成的事件类型与事件流引擎中任一关联的事件类型一致时,则确定事件符合事件处理条件;
当进行日志关联分析时,若第一条安全日志信息和最后一条安全日志信息的时间间隔大于或等于滑动时间窗口定义的时间间隔,则确定事件符合事件处理条件。
本实施例所述的一种基于安全日志关联分析的安全策略自反馈方法中,所述步骤7包括:
步骤7-1,将安全日志原始信息包装为事件信息;
具体的,所述步骤7-1通过以下接口实现:
模块作用 事件包装接口
模块特点 抽象类,用于被继承
类名(对象名) EventWrap
主要接口 virtual generateEvent(LOG_Message*&m)=0;
所述日志关联分析规则根据不同网络安全防护设备日志的格式实现,所述日志关联分析规则根据解析后日志信息实现,与所述日志关联分析规则对应的事件是一个四元组<logId,logType,logInfo,timeStamp>,其中,logId是事件的唯一标识;logType表示事件的类型,对于不同网络安全防护设备产生的日志信息定义为不同的事件类型,所述事件流处理引擎通过logType属性来选择对应的日志解析规则;logInfo表示日志原始信息和解析后信息;timeStamp表示事件发生的时间戳,标识日志产生的时间;
通过接口generateEvent(LOG_Message*&m)将安全日志原始信息包装为某个具体的事件。事件为一组xml格式文件,如下所示:
<?xml version="1.0"?>
<logId>log202005121</logId>
<logType>web-guard1</logType>
<logInfo>
<AttackSource>172.16.11.22</AttackSource>
<AttackTarget>64.153.22.64</AttackTarget>
...
<logInfo>
<timeStamp>1590050750</timeStamp>
步骤7-2,将日志解析规则编译为可执行的程序单元,所述日志解析规则由EPL语言编写;
具体的,所述步骤7-2通过以下方式实现:
针对不同类型的安全防护设备实现安全日志信息的解析。编译日志解析规则接口如下:
模块作用 日志解析规则编译
模块特点 抽象类,用于被继承
类名(对象名) BuildEPL
主要接口 virtual BuildEPL(String EPL)=0;
步骤7-3,通过调用Esper的获取运行实例的接口函数获取事件流处理引擎的运行实例;
具体的,所述步骤7-3通过以下接口实现:
模块作用 获取事件流处理引擎运行实例
模块特点 抽象类,用于被继承
类名(对象名) getRuntime
主要接口 virtual getRuntime(Configuration c)=0;
步骤7-4,将所述步骤7-2中编译的日志解析规则可执行程序单元加载到事件流处理引擎运行实例中;
具体的,所述步骤7-4通过以下接口实现:
模块作用 加载日志解析规则
模块特点 抽象类,用于被继承
类名(对象名) deploy
主要接口 virtual deploy(EPCompiled epl)=0;
步骤7-5,将所述步骤7-1中包装完成的事件信息输入到事件流处理引擎中进行处理;
具体的,所述步骤7-5通过以下接口实现:
模块作用 将事件输入到事件流处理引擎
模块特点 抽象类,用于被继承
类名(对象名) sendEventXMLDOM
主要接口 virtual sendEventXMLDOM(Event e)=0;
步骤7-6,输出解析后的安全日志信息。
本实施例所述的一种基于安全日志关联分析的安全策略自反馈方法中,所述步骤8包括:
在所述事件流引擎的监听器中定义滑动时间窗口,用于在某个时间段内对多个网络安全防护设备的安全日志信息进行关联分析;
通过对所述滑动时间窗口中的日志信息进行关联匹配,获得关联分析日志信息,即多个网络安全防护设备中在某时间段内对于同一目标进行攻击或防护的记录。
本实施例所述的一种基于安全日志关联分析的安全策略自反馈方法中,所述步骤9包括:
所述关联分析消息队列中记录了多个网络安全防护设备中在某时间段内对于同一目标进行攻击或防护的记录;当发现入侵监测设备记录了来自某ip地址目标的入侵或攻击记录,而防火墙中没有对应的防护记录时,根据所述入侵或攻击记录的信息生成防火墙的防护策略,并根据实际使用的防火墙设备生成防护策略的控制指令,即所述安全策略指令信息。
本实施例中,前面提到的原始日志的解析规则是对日志信息一条一条进行处理,而关联分析规则比较特殊,需要同时对多条解析后的日志信息进行关联解析,采用滑动窗口的目的通过定义时间段的范围来同时对这个时间段内的日志信息进行关联分析,而日志信息可能来自多个不同的防护设备。
由于日志关联分析需要对多条解析后的日志信息进行关联分析,且相互关联的日志信息中可能间隔了其他日志信息,因此通过定义滑动时间窗口,可以实现时间窗口范围内的多条日志信息关联分析。
本发明通过将事件流处理应用在安全日志解析中,通过安全日志的解析生成安全防护策略并下发,提供了一种实时的安全日志解析及安全策略自动下发的方法。与现有技术相比,具有的有益效果是:
(1)本发明基于事件流引擎进行安全日志信息处理,把要分析的日志信息抽象为事件,当事件流处理引擎接收到事件后根据事件的输入和最初注册的处理模型得到安全日志信息的处理结果,日志解析效率更高。
(2)在日志关联分析中,根据预先定义的时间窗口或长度窗口对日志信息进行关联分析,通过关联分析的结果能够快速生成安全防护策略指令并下发,实现了自动化地安全策略下发。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本发明提供的一种基于安全日志关联分析的安全策略自反馈方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory,ROM)或随机存储记忆体(random access memory,RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (10)

1.一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,包括以下步骤:
步骤1,创建安全日志信息采集程序;
步骤2,创建消息队列,所述消息队列包括安全日志原始消息队列、日志解析消息队列、关联分析消息队列和安全策略下发指令消息队列;
步骤3,创建与每个所述消息队列一一对应的消费服务,所述消费服务包括原始信息消费服务、解析信息消费服务、关联分析信息消费服务和安全策略指令分发服务;
步骤4,通过所述安全日志信息采集程序,采集安全日志原始信息,并将所述安全日志原始信息存入安全日志原始消息队列;
步骤5,创建事件流处理引擎、日志解析规则、日志关联分析规则及安全策略指令生成规则;
步骤6,在所述事件流处理引擎中根据各类安全日志信息注册事件,将所述事件的类型与步骤5中的规则相关联,用于当所述事件发生时通过步骤5中的规则自动触发与事件相关联的自定义动作;
步骤7,通过所述原始信息消费服务,从所述安全日志原始消息队列中取出安全日志原始信息,并包装成事件输入到所述事件流处理引擎中,匹配所述日志解析规则,输出解析后的日志信息到日志解析消息队列中;
步骤8,在所述事件流引擎的监听器中定义滑动时间窗口,通过所述解析信息消费服务,从所述日志解析消息队列中取出解析后的日志信息,输入到所述事件流处理引擎中,匹配所述日志关联分析规则,生成关联分析日志信息并输出到所述关联分析消息队列;
步骤9,通过所述关联分析信息消费服务,从所述关联分析消息队列中读取关联分析日志信息,输入到事件流处理引擎中,匹配安全策略指令生成规则,生成安全策略指令信息并输出到所述安全策略下发指令消息队列;
步骤10,通过所述安全策略指令分发服务,从所述安全策略指令消息队列中获取安全策略变更指令,下发给对应的网络安全防护设备,实现安全防护策略的变更。
2.根据权利要求1所述的一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,所述步骤1包括:
步骤1-1,创建日志接口采集子程序,用于针对提供标准协议接口的网络安全防护设备,通过所述标准协议接口获取安全日志信息,并将所述安全日志信息存入到消息队列中;
步骤1-2,创建日志文件采集子程序,用于针对将所述安全日志信息写入日志文本文件中的应用程序,定期收割增量的所述安全日志信息,并将所述安全日志信息存入到消息队列中。
3.根据权利要求2所述的一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,所述步骤2包括:
创建所述安全日志原始消息队列,用于存放各种不同安全设备产生的安全日志信息;创建所述日志解析消息队列,用于存放日志解析后的日志信息;创建所述关联分析消息队列,用于存放日志关联分析后的结果信息;创建所述安全策略下发指令消息队列,用于存放安全策略下发指令信息。
4.根据权利要求3所述的一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,所述步骤3包括:
针对所述安全日志原始消息队列、日志解析消息队列、关联分析消息队列、安全策略下发指令消息队列创建对应的消费服务,所述消费服务与对应的消息队列绑定,用于从对应的队列中取出消息,对所述消息进行事件包装,为后续的事件流处理做准备。
5.根据权利要求4所述的一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,所述步骤5包括创建事件流处理引擎、日志解析规则、日志关联分析规则和安全策略指令生成规则;
其中,所述事件流处理引擎基于Esper创建,作为实时的日志解析框架。
6.根据权利要求5所述的一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,所述步骤6,包括:
步骤6-1,根据各类安全日志信息创建相对应的事件,并将事件类型注册到引擎中;
在创建事件过程中,不同网络安全防护设备具有特定的安全日志字段及格式信息,通过所述特定的安全日志字段及格式信息,能够判定所述安全日志信息来自于哪个网络安全防护设备,在步骤7中包装事件时,使用能够标识所述网络安全防护设备所属类型的字符串作为事件类型,用于对所述安全日志信息进行区分;
步骤6-2,实现所述日志解析规则、日志关联分析规则和安全策略指令生成规则,即将通过EPL语言创建的日志解析规则、日志关联分析规则和安全策略指令生成规则在事件流处理引擎中进行编译,生成可执行的代码片段;
步骤6-3,根据所述事件类型创建对应的监听器,并将所述监听器与日志解析规则、日志关联分析规则和安全策略指令生成规则进行关联,其中,所述事件类型、监听器和规则均一一对应;
步骤6-4,接收事件流,在所述事件流处理引擎中与事件处理条件进行规则匹配,当事件符合预先设定的事件处理条件时,触发相应的监听器对日志数据进行处理。
7.根据权利要求6所述的一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,所述步骤6-4包括:
当进行日志解析时,若安全日志原始信息包装成的事件类型与事件流引擎中任一关联的事件类型一致时,则确定事件符合事件处理条件;
当进行日志关联分析时,若第一条安全日志信息和最后一条安全日志信息的时间间隔大于或等于滑动时间窗口定义的时间间隔,则确定事件符合事件处理条件。
8.根据权利要求7所述的一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,所述步骤7包括:
步骤7-1,将安全日志原始信息包装为事件信息;
步骤7-2,将日志解析规则编译为可执行的程序单元,所述日志解析规则由EPL语言编写;
步骤7-3,通过调用Esper的获取运行实例的接口函数获取事件流处理引擎的运行实例;
步骤7-4,将所述步骤7-2中编译的日志解析规则可执行程序单元加载到事件流处理引擎运行实例中;
步骤7-5,将所述步骤7-1中包装完成的事件信息输入到事件流处理引擎中进行处理;
步骤7-6,输出解析后的安全日志信息。
9.根据权利要求8所述的一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,所述步骤8包括:
在所述事件流引擎的监听器中定义滑动时间窗口,用于在某个时间段内对多个网络安全防护设备的安全日志信息进行关联分析;
通过对所述滑动时间窗口中的日志信息进行关联匹配,获得关联分析日志信息,即多个网络安全防护设备中在某时间段内对于同一目标进行攻击或防护的记录。
10.根据权利要求9所述的一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,所述步骤9包括:
所述关联分析消息队列中记录了多个网络安全防护设备中在某时间段内对于同一目标进行攻击或防护的记录;当发现入侵监测设备记录了来自某ip地址目标的入侵或攻击记录,而防火墙中没有对应的防护记录时,根据所述入侵或攻击记录的信息生成防火墙的防护策略,并根据实际使用的防火墙设备生成防护策略的控制指令,即所述安全策略指令信息。
CN202011294771.8A 2020-11-18 2020-11-18 一种基于安全日志关联分析的安全策略自反馈方法 Active CN112468472B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011294771.8A CN112468472B (zh) 2020-11-18 2020-11-18 一种基于安全日志关联分析的安全策略自反馈方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011294771.8A CN112468472B (zh) 2020-11-18 2020-11-18 一种基于安全日志关联分析的安全策略自反馈方法

Publications (2)

Publication Number Publication Date
CN112468472A true CN112468472A (zh) 2021-03-09
CN112468472B CN112468472B (zh) 2022-09-06

Family

ID=74837138

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011294771.8A Active CN112468472B (zh) 2020-11-18 2020-11-18 一种基于安全日志关联分析的安全策略自反馈方法

Country Status (1)

Country Link
CN (1) CN112468472B (zh)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112995229A (zh) * 2021-05-17 2021-06-18 金锐同创(北京)科技股份有限公司 网络攻击流量检测方法、装置、设备及计算机可读存储介质
CN113449290A (zh) * 2021-06-16 2021-09-28 中国工程物理研究院计算机应用研究所 一款内网多元数据关联分析引擎软件
CN113596028A (zh) * 2021-07-29 2021-11-02 南京南瑞信息通信科技有限公司 一种网络异常行为的处置方法及装置
CN113609202A (zh) * 2021-08-11 2021-11-05 湖南快乐阳光互动娱乐传媒有限公司 数据处理方法及装置
CN113609491A (zh) * 2021-08-02 2021-11-05 中通服咨询设计研究院有限公司 一种基于消息队列的插件式漏洞自动化扫描方法
CN113824686A (zh) * 2021-08-20 2021-12-21 中通服创发科技有限责任公司 Gnss授时防御系统、方法、设备和计算机可读存储介质
CN114006748A (zh) * 2021-10-28 2022-02-01 国网山东省电力公司信息通信公司 一种网络安全综合监控方法、系统、设备和存储介质
CN114745390A (zh) * 2022-06-13 2022-07-12 南京赛宁信息技术有限公司 基于微服务架构的网络目标信息采集系统与方法
CN115022055A (zh) * 2022-06-09 2022-09-06 武汉思普崚技术有限公司 一种基于动态时间窗口的网络攻击实时检测方法及装置
CN115037513A (zh) * 2022-04-27 2022-09-09 锐捷网络股份有限公司 一种安全策略的配置方法及装置
CN115129494A (zh) * 2022-08-31 2022-09-30 浙江工业大学 一种基于Windows内核的事件日志采集方法及系统
CN115277232A (zh) * 2022-07-31 2022-11-01 招商局金融科技有限公司 安全策略回收方法和装置
CN116436706A (zh) * 2023-06-14 2023-07-14 天津市天河计算机技术有限公司 数据中心环境下的网络攻击阻断方法、系统、设备及介质
CN116578534A (zh) * 2023-04-11 2023-08-11 华能信息技术有限公司 一种日志报文数据格式识别方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102035855A (zh) * 2010-12-30 2011-04-27 江苏省电力公司 网络安全事件关联分析系统
CN102158355A (zh) * 2011-03-11 2011-08-17 广州蓝科科技股份有限公司 一种可并发和断续分析的日志事件关联分析方法和装置
CN108255996A (zh) * 2017-12-29 2018-07-06 西安交大捷普网络科技有限公司 基于Apriori算法的安全日志分析方法
CN109039749A (zh) * 2018-08-10 2018-12-18 广州天予智能科技有限公司 一种远程日志采集和加密传输系统及方法
CN110262949A (zh) * 2019-04-29 2019-09-20 北京邮电大学 智能设备日志处理系统及方法
CN110300100A (zh) * 2019-05-28 2019-10-01 西安交大捷普网络科技有限公司 日志审计的关联分析方法与系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102035855A (zh) * 2010-12-30 2011-04-27 江苏省电力公司 网络安全事件关联分析系统
CN102158355A (zh) * 2011-03-11 2011-08-17 广州蓝科科技股份有限公司 一种可并发和断续分析的日志事件关联分析方法和装置
CN108255996A (zh) * 2017-12-29 2018-07-06 西安交大捷普网络科技有限公司 基于Apriori算法的安全日志分析方法
CN109039749A (zh) * 2018-08-10 2018-12-18 广州天予智能科技有限公司 一种远程日志采集和加密传输系统及方法
CN110262949A (zh) * 2019-04-29 2019-09-20 北京邮电大学 智能设备日志处理系统及方法
CN110300100A (zh) * 2019-05-28 2019-10-01 西安交大捷普网络科技有限公司 日志审计的关联分析方法与系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
周建华: "一种基于日志关联分析的取证模型", 《计算机时代》 *
杨巍: "电力内网安全事件关联分析引擎的设计", 《硅谷》 *

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112995229A (zh) * 2021-05-17 2021-06-18 金锐同创(北京)科技股份有限公司 网络攻击流量检测方法、装置、设备及计算机可读存储介质
CN113449290A (zh) * 2021-06-16 2021-09-28 中国工程物理研究院计算机应用研究所 一款内网多元数据关联分析引擎软件
CN113596028A (zh) * 2021-07-29 2021-11-02 南京南瑞信息通信科技有限公司 一种网络异常行为的处置方法及装置
CN113609491B (zh) * 2021-08-02 2024-01-26 中通服咨询设计研究院有限公司 一种基于消息队列的插件式漏洞自动化扫描方法
CN113609491A (zh) * 2021-08-02 2021-11-05 中通服咨询设计研究院有限公司 一种基于消息队列的插件式漏洞自动化扫描方法
CN113609202A (zh) * 2021-08-11 2021-11-05 湖南快乐阳光互动娱乐传媒有限公司 数据处理方法及装置
CN113824686A (zh) * 2021-08-20 2021-12-21 中通服创发科技有限责任公司 Gnss授时防御系统、方法、设备和计算机可读存储介质
CN114006748A (zh) * 2021-10-28 2022-02-01 国网山东省电力公司信息通信公司 一种网络安全综合监控方法、系统、设备和存储介质
CN114006748B (zh) * 2021-10-28 2024-04-02 国网山东省电力公司信息通信公司 一种网络安全综合监控方法、系统、设备和存储介质
CN115037513A (zh) * 2022-04-27 2022-09-09 锐捷网络股份有限公司 一种安全策略的配置方法及装置
CN115022055A (zh) * 2022-06-09 2022-09-06 武汉思普崚技术有限公司 一种基于动态时间窗口的网络攻击实时检测方法及装置
CN115022055B (zh) * 2022-06-09 2024-04-19 武汉思普崚技术有限公司 一种基于动态时间窗口的网络攻击实时检测方法及装置
CN114745390A (zh) * 2022-06-13 2022-07-12 南京赛宁信息技术有限公司 基于微服务架构的网络目标信息采集系统与方法
CN115277232A (zh) * 2022-07-31 2022-11-01 招商局金融科技有限公司 安全策略回收方法和装置
CN115277232B (zh) * 2022-07-31 2024-02-06 招商局金融科技有限公司 安全策略回收方法和装置
CN115129494A (zh) * 2022-08-31 2022-09-30 浙江工业大学 一种基于Windows内核的事件日志采集方法及系统
CN116578534A (zh) * 2023-04-11 2023-08-11 华能信息技术有限公司 一种日志报文数据格式识别方法及系统
CN116578534B (zh) * 2023-04-11 2024-06-04 华能信息技术有限公司 一种日志报文数据格式识别方法及系统
CN116436706B (zh) * 2023-06-14 2023-08-22 天津市天河计算机技术有限公司 数据中心环境下的网络攻击阻断方法、系统、设备及介质
CN116436706A (zh) * 2023-06-14 2023-07-14 天津市天河计算机技术有限公司 数据中心环境下的网络攻击阻断方法、系统、设备及介质

Also Published As

Publication number Publication date
CN112468472B (zh) 2022-09-06

Similar Documents

Publication Publication Date Title
CN112468472B (zh) 一种基于安全日志关联分析的安全策略自反馈方法
US7562388B2 (en) Method and system for implementing security devices in a network
EP1749386B1 (en) Pattern discovery in a network security system
CN103152352B (zh) 一种基于云计算环境的全信息安全取证监听方法和系统
US7921459B2 (en) System and method for managing security events on a network
US9569471B2 (en) Asset model import connector
US10110632B2 (en) Methods and systems for managing security policies
US6493756B1 (en) System and method for dynamically sensing an asynchronous network event within a modular framework for network event processing
CN101438255A (zh) 基于应用层消息检查的网络和应用攻击保护
WO2006014504A2 (en) Self configuring network management system
CN110209518A (zh) 一种多数据源日志数据集中收集存储方法及装置
US11374970B2 (en) Phishing attempt categorization/aggregation interface
US12010150B2 (en) Multi-perspective security context per actor
CN111241104A (zh) 操作审计方法、装置及电子设备和计算机可读存储介质
CN111274276A (zh) 操作审计方法、装置及电子设备和计算机可读存储介质
US10027686B2 (en) Parameter adjustment for pattern discovery
CN112529417A (zh) 一种安全事件处理方法、装置、设备及存储介质
WO2019000895A1 (zh) 一种Flash播放器异常日志管理方法及系统
CN112632044A (zh) 一种数据库安全审计方法
CN109120448A (zh) 一种告警方法及系统
Hostiadi et al. Improving Automatic Response Model System for Intrusion Detection System
CN116055118A (zh) 一种安全编排与自动化响应处理方法及系统
WO2024039787A2 (en) System and method for risk-based observability of a computing platform
CN116707892A (zh) 一种终端感染病毒的处理方法、装置以及处理系统
CN117033129A (zh) 一种清分异常数据监控及告警方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant