CN114006748A - 一种网络安全综合监控方法、系统、设备和存储介质 - Google Patents
一种网络安全综合监控方法、系统、设备和存储介质 Download PDFInfo
- Publication number
- CN114006748A CN114006748A CN202111267185.9A CN202111267185A CN114006748A CN 114006748 A CN114006748 A CN 114006748A CN 202111267185 A CN202111267185 A CN 202111267185A CN 114006748 A CN114006748 A CN 114006748A
- Authority
- CN
- China
- Prior art keywords
- alarm information
- alarm
- system log
- equipment
- safety monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 106
- 238000000034 method Methods 0.000 title claims abstract description 87
- 238000012545 processing Methods 0.000 claims abstract description 63
- 230000000903 blocking effect Effects 0.000 claims abstract description 39
- 230000010365 information processing Effects 0.000 claims abstract description 17
- 230000015654 memory Effects 0.000 claims description 32
- 238000010606 normalization Methods 0.000 claims description 32
- 230000014509 gene expression Effects 0.000 claims description 30
- 230000008569 process Effects 0.000 claims description 18
- 238000012806 monitoring device Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 14
- 230000003044 adaptive effect Effects 0.000 claims description 12
- 238000012098 association analyses Methods 0.000 claims description 10
- 238000004891 communication Methods 0.000 claims description 6
- 238000010219 correlation analysis Methods 0.000 claims description 6
- 230000008570 general process Effects 0.000 description 9
- 210000001503 joint Anatomy 0.000 description 8
- 238000012423 maintenance Methods 0.000 description 8
- 238000002955 isolation Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 230000001360 synchronised effect Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000007789 sealing Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000000737 periodic effect Effects 0.000 description 3
- 238000012216 screening Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种网络安全综合监控方法、系统、设备和存储介质,该方法包括:采集安全监控设备的系统日志,并对系统日志范式化处理;根据安全监控设备的类型配置系统日志中告警信息的关联策略;通过匹配范式化处理后的系统日志和关联策略,生成安全事件和高危告警事件;封禁安全监控设备发送的高危告警事件地址并共享所述高危告警信息。基于该方法,还提出了一种网络安全综合监控系统、设备和存储介质。本发明首先利用syslog采集安全设备告警,通过网络安全告警智能分析将告警汇总关联分析,对告警进行范式化处理,制定统一告警信息处理格式标准,联动防火墙实现一键封禁或者批量解封,提高了网络攻击预警的及时性。
Description
技术领域
本发明属于网络安全技术领域,特别涉及一种网络安全综合监控方法、系统、设备和存储介质。
背景技术
当前,网络攻击层出不穷,运维人员如果不能第一时间阻断、第一时间预警、第一时间处置将给公司和个人信息安全带来巨大危害。为此,传统技术中为解决上述问题,通常是依托各类安全设备,实现网络攻击的预警、处置,从而实现网络安全防护。
但传统技术中,运维人员需要访问各类安全设备,耗费大量精力去对每一台设备的告警信息进行分析,同时各类安全设备的告警存在重复、安全设备告警标准不统一、情报共享不及时等问题,严重影响告警分析、研判、处置的及时性。
发明内容
为了解决上述技术问题,本发明提出了一种网络安全综合监控方法、系统、设备和存储介质。通过对各类安全设备实现告警信息汇集分析,对于高危IP通过联动封禁模块,联动防火墙实现一键封禁或者批量解封,提高了网络攻击预警的及时性。
为实现上述目的,本发明采用以下技术方案:
一种网络安全综合监控方法,包括以下步骤:
采集安全监控设备的系统日志,并对所述系统日志范式化处理;
根据安全监控设备的类型配置系统日志中告警信息的关联策略;通过匹配范式化处理后的系统日志和关联策略,生成安全事件和高危告警事件;
封禁安全监控设备发送的高危告警事件地址并共享所述高危告警信息。
进一步的,所述采集安全监控设备的系统日志的方法包括:
判断所述安全监控设备是否具有发送告警信息的能力,如果无法发送告警信息,则在所述安全监控设备安装代理端,通过所述代理端发送告警信息;
配置安全监控设备和/或代理端的地址;
建立安全监控设备和/或代理端与服务器的通信连接,获取安全监控设备的系统日志,并将告警信息发送至服务器。
进一步的,所述对所述系统日志范式化处理的方法包括:
制定告警信息处理格式标准,获取安全监控设备告警信息中的内容,并将所述告警信息计若干种解析正则表达式
当告警信息达到服务器之后,通过匹配设备类型字段加载对应的正则化表达式;
通过配置的适配正则化表达式提取告警信息关键字段,填充到标准格式,并将所述原始告警信息和范式化处理后的告警信息分别保存于不同的数据库中。
进一步的,所述将所述原始告警信息和范式化处理后的告警信息分别保存于不同的数据库中包括:将原始告警信息成功匹配相应正则表达式后存储于MongoDB数据库中;将范式化处理后的告警信息在经过正则表达式的适配解析后,存储于Redis数据库中。
进一步的,所述根据安全监控设备的类型配置系统日志中告警信息的关联策略的方法包括:根据特定的设备类型、日志类型配置关联策略,并将所述关联策略保存至数据库中。
进一步的,所述通过匹配范式化处理后的系统日志和关联策略,生成安全事件和高危告警事件的方法包括:周期性的读取所述关联策略,将范式化处理后的系统日志和关联策略进行匹配,成功匹配的系统日志生成安全事件和高危告警事件。
进一步的,所述高危告警事件匹配的过程包括:
查询系统日志目的IP对应的第一设备ID和第一系统日志类型SID;
查询设备名称对应的第二设备ID;
根据第一系统日志类型SID和第二设备ID查询出相关联的第三设备ID和第二日志类型SID;
将所述第三设备ID与第一设备ID进行对比,以及将所述第二日志类型SID与第一日志类型SID进行对比;如果任意一个不同,则认定为高危告警事件。
本发明还提出了一种网络安全综合监控系统,包括范式化处理模块、关联分析模块、联动封禁模块和共享模块;
所述范式化处理模块用于采集安全监控设备的系统日志,并对所述系统日志范式化处理;
所述关联分析模块用于根据安全监控设备的类型配置系统日志中告警信息的关联策略;通过匹配范式化处理后的系统日志和关联策略,生成安全事件和高危告警事件;
所述联动封禁模块用于封禁安全监控设备发送的高危告警事件地址;
所述共享模块用于共享所述高危告警信息。
本发明还提出了一种设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现所述的方法步骤。
本发明还提出了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现所述的方法步骤。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
本发明提出了一种网络安全综合监控方法、系统、设备和存储介质,该方法包括以下步骤:采集安全监控设备的系统日志,并对所述系统日志范式化处理;根据安全监控设备的类型配置系统日志中告警信息的关联策略;通过匹配范式化处理后的系统日志和关联策略,生成安全事件和高危告警事件;封禁安全监控设备发送的高危告警事件地址并共享所述高危告警信息。基于一种网络安全综合监控方法,还提出了一种网络安全综合监控系统、设备和存储介质。本发明首先利用syslog采集各类安全设备告警,通过网络安全告警智能分析将告警汇总关联分析,对告警进行范式化处理,制定统一告警信息处理格式标准。对于高危IP通过联动封禁模块,联动防火墙实现一键封禁或者批量解封。将收集的告警信息或者威胁情报上报或者共享,实现了安全设备“即接即用”、恶意IP“一键封禁”、安全情报“一键上报”、预警信息“一键下发”。联动防火墙实现一键封禁或者批量解封,提高了网络攻击预警的及时性。
附图说明
如图1为本发明实施例1一种网络安全综合监控方法流程图;
如图2为本发明实施例2一种网络安全综合监控系统示意图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
实施例1
本发明实施例1提出了一种网络安全综合监控方法,如图1给出了本发明实施例1一种网络安全综合监控方法流程图。
在步骤S101中,采集安全监控设备的系统日志,并对所述系统日志范式化处理;
采集安全监控设备的syslog并对其进行范式化处理,根据公司实际和实战经验,制定统一告警信息处理格式标准,将各厂商自定义的syslog进行统一。
采集安全监控设备syslog的一般过程为:
依据网络、日志形式等,判断安全监控设备是否具备主动发送告警信息的条件,针对无法主动发送的安全监控设备安装Agent端;
对安全监控设备和Agent端进行syslog服务器地址配置;
安全监控设备或Agent端通过三次握手与服务器端建立连接,syslog通过TCP/IP协议进行传输,将告警信息发送到服务器端。
syslog范式化处理的一般过程为:
根据公司实际和实战经验,制定统一告警信息处理格式标准,包含多少字段,每字段的存储类型和长度;
获取市面主流安全监控设备的设备信息以及设备原始日志格式,提取各安全监控设备告警信息中的各项内容;
根据上述信息设计若干种解析正则表达式;
当原始告警信息到达服务器后,通过匹配设备类型字段加载对应的正则化表达式;
通过配置的适配正则化表达式提取告警信息关键字段,填充到标准格式中;
原始告警信息成功匹配相应正则表达式后直接存储于MongoDB数据库中,范式化处理后的告警信息在经过正则表达式的适配解析后,存储于Redis数据库中。
在步骤S102中,根据安全监控设备的类型配置系统日志中告警信息的关联策略;通过匹配范式化处理后的系统日志和关联策略,生成安全事件和高危告警事件。
对所有接入设备的告警信息进行统一的汇总关联分析,利用自研的网络安全告警智能分析模块,结合公司网络架构、告警类型、告警设备数量多少等信息对告警日志进行综合研判,采取对于引发多台设备告警和单台设备告警设置不同权重的方法,有效筛选出高危告警信息后,在web监控页面以醒目的方式置顶标红展视,让监控人员能够更及时有效地处理高危告警,实现对高危安全告警信息的“提前预判”。
其中对告警日志进行综合研判的过程包括:
由安全运维人员配置关联策略,根据不同的设备类型配置关联策略,针对特定的设备类型、日志类型,根据安全运维经验配置生成策略,策略生成后入库存储;
策略配置生效后,日志分析模块启动日志分析,读取关联策略缓存到内存队列中,并通过周期任务判断策略是否读取完毕;
当日志采集器将设备日志范式化处理完成后,进行关联分析,将日志与统计关联策略进行比对;失败的日志专有其他关联分析继续处理,成功匹配的日志进行安全事件生成及告警。
选高危告警信息的一般过程包括:
查询系统日志目的IP对应的第一设备ID和第一系统日志类型SID;
查询设备名称对应的第二设备ID;
根据第一系统日志类型SID和第二设备ID查询出相关联的第三设备ID和第二日志类型SID;
将所述第三设备ID与第一设备ID进行对比,以及将所述第二日志类型SID与第一日志类型SID进行对比;如果任意一个不同,则认定为高危告警事件。
在步骤S103中,封禁安全监控设备发送的高危告警事件地址。网络安全综合监控平台与防火墙直接联动,对接安全设备发来的每一条信息中的恶意IP直接封禁,也对S6000和其他情报来源的恶意IP进行批量封禁,对已封禁的IP进行一键解封或批量一键解封,实现了境外攻击封禁、外联恶意域名终端封禁、专用封禁设备对接等功能,解决了漏封、误封、封禁不及时或重复操作等问题。
在步骤S104中,共享高危告警信息。S6000共享模块通过将隔离装置和S6000的API接口结合,把告警信息直接同步到上报至S6000,有效提升情报共享效率的同时,也实现本地攻击情报向国网实时共享,打通“国网-省”情报通道,做到情报“一键上报”。利用钉钉API搭建了钉钉告警机器人,及时将告警信息发送到全省各单位预警,打通“省-市-县”预警通道,做到预警“一键下发”。通过情报共享模块,最终实现了国网-省-市-县的四级联动的情报共享及预警体系,能够对恶意攻击迅速联动响应。
本发明首先利用syslog采集各类安全设备告警,通过网络安全告警智能分析模块将告警汇总关联分析,对告警进行范式化处理,制定统一告警信息处理格式标准。对于高危IP通过联动封禁模块,联动防火墙实现一键封禁或者批量解封。将收集的告警信息或者威胁情报上报S6000或者通过钉钉下发至各单位。
实施例2
基于本发明实施例1提出的一种网络安全综合监控方法,本发明实施例2还提出了一种网络安全综合监控系统。
一种网络安全综合监控平台的应用环境,包括:
外网安全设备,被配置为:天眼、睿眼、WAF、防火墙等各类安全设备。
监控平台,被配置为:服务器的配置参数,用于实现数据采集、数据过滤。
内外网隔离装置,被配置为:根据现场实际工作环境,需要将数据从局域外网传输到局域内网,隔离装置用于内外网隔离,实现物理强隔离。
内网接收器,被配置为:接收来自外网采集的日志信息,备份到目录下,启用ftp功能
终端设备,被配置为:访问Ftp中日志信息,写到S6000。
本发明提出了一种网络安全综合监控平台,需要在局域网内配置一台服务器,该服务器能与其它安全设备进行通信。
如图2为本发明实施例2一种网络安全综合监控系统示意图。该系统包括范式化处理模块、关联分析模块、联动封禁模块和共享模块;
范式化处理模块用于采集安全监控设备的系统日志,并对系统日志范式化处理;
关联分析模块用于根据安全监控设备的类型配置系统日志中告警信息的关联策略;通过匹配范式化处理后的系统日志和关联策略,生成安全事件和高危告警事件;
联动封禁模块用于封禁安全监控设备发送的高危告警事件地址;
共享模块用于共享所述高危告警信息。
本发明中范式化处理模块中采集安全监控设备的系统日志的方法包括:
判断安全监控设备是否具有发送告警信息的能力,如果无法发送告警信息,则在所述安全监控设备安装代理端,通过所述代理端发送告警信息;
配置安全监控设备和/或代理端的地址;
建立安全监控设备和/或代理端与服务器的通信连接,获取安全监控设备的系统日志,并将告警信息发送至服务器。
对所述系统日志范式化处理的方法包括:
制定告警信息处理格式标准,获取安全监控设备告警信息中的内容,并将所述告警信息计若干种解析正则表达式
当告警信息达到服务器之后,通过匹配设备类型字段加载对应的正则化表达式;
通过配置的适配正则化表达式提取告警信息关键字段,填充到标准格式,并将所述原始告警信息和范式化处理后的告警信息分别保存于不同的数据库中。
将原始告警信息成功匹配相应正则表达式后存储于MongoDB数据库中;将范式化处理后的告警信息在经过正则表达式的适配解析后,存储于Redis数据库中。
关联分析模块实现的过程为:根据特定的设备类型、日志类型配置关联策略,并将所述关联策略保存至数据库中。
周期性的读取所述关联策略,将范式化处理后的系统日志和关联策略进行匹配,成功匹配的系统日志生成安全事件和高危告警事件。
高危告警事件匹配的过程包括:
查询系统日志目的IP对应的第一设备ID和第一系统日志类型SID;
查询设备名称对应的第二设备ID;
根据第一系统日志类型SID和第二设备ID查询出相关联的第三设备ID和第二日志类型SID;
将所述第三设备ID与第一设备ID进行对比,以及将所述第二日志类型SID与第一日志类型SID进行对比;如果任意一个不同,则认定为高危告警事件。
联动封禁模块实现的过程为:封禁安全监控设备发送的高危告警事件地址。网络安全综合监控平台与防火墙直接联动,对接安全设备发来的每一条信息中的恶意IP直接封禁,也对S6000和其他情报来源的恶意IP进行批量封禁,对已封禁的IP进行一键解封或批量一键解封,实现了境外攻击封禁、外联恶意域名终端封禁、专用封禁设备对接等功能,解决了漏封、误封、封禁不及时或重复操作等问题。
共享模块实现的过程为:共享高危告警信息。S6000共享模块通过将隔离装置和S6000的API接口结合,把告警信息直接同步到上报至S6000,有效提升情报共享效率的同时,也实现本地攻击情报向国网实时共享,打通“国网-省”情报通道,做到情报“一键上报”。利用钉钉API搭建了钉钉告警机器人,及时将告警信息发送到全省各单位预警,打通“省-市-县”预警通道,做到预警“一键下发”。通过情报共享模块,最终实现了国网-省-市-县的四级联动的情报共享及预警体系,能够对恶意攻击迅速联动响应。
实施例3
本发明还提出了一种设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现方法步骤如下:
如图1给出了本发明实施例1一种网络安全综合监控方法流程图。
在步骤S101中,采集安全监控设备的系统日志,并对所述系统日志范式化处理;
采集安全监控设备的syslog并对其进行范式化处理,根据公司实际和实战经验,制定统一告警信息处理格式标准,将各厂商自定义的syslog进行统一。
采集安全监控设备syslog的一般过程为:
依据网络、日志形式等,判断安全监控设备是否具备主动发送告警信息的条件,针对无法主动发送的安全监控设备安装Agent端;
对安全监控设备和Agent端进行syslog服务器地址配置;
安全监控设备或Agent端通过三次握手与服务器端建立连接,syslog通过TCP/IP协议进行传输,将告警信息发送到服务器端。
syslog范式化处理的一般过程为:
根据公司实际和实战经验,制定统一告警信息处理格式标准,包含多少字段,每字段的存储类型和长度;
获取市面主流安全监控设备的设备信息以及设备原始日志格式,提取各安全监控设备告警信息中的各项内容;
根据上述信息设计若干种解析正则表达式;
当原始告警信息到达服务器后,通过匹配设备类型字段加载对应的正则化表达式;
通过配置的适配正则化表达式提取告警信息关键字段,填充到标准格式中;
原始告警信息成功匹配相应正则表达式后直接存储于MongoDB数据库中,范式化处理后的告警信息在经过正则表达式的适配解析后,存储于Redis数据库中。
在步骤S102中,根据安全监控设备的类型配置系统日志中告警信息的关联策略;通过匹配范式化处理后的系统日志和关联策略,生成安全事件和高危告警事件。
对所有接入设备的告警信息进行统一的汇总关联分析,利用自研的网络安全告警智能分析模块,结合公司网络架构、告警类型、告警设备数量多少等信息对告警日志进行综合研判,采取对于引发多台设备告警和单台设备告警设置不同权重的方法,有效筛选出高危告警信息后,在web监控页面以醒目的方式置顶标红展视,让监控人员能够更及时有效地处理高危告警,实现对高危安全告警信息的“提前预判”。
其中对告警日志进行综合研判的过程包括:
由安全运维人员配置关联策略,根据不同的设备类型配置关联策略,针对特定的设备类型、日志类型,根据安全运维经验配置生成策略,策略生成后入库存储;
策略配置生效后,日志分析模块启动日志分析,读取关联策略缓存到内存队列中,并通过周期任务判断策略是否读取完毕;
当日志采集器将设备日志范式化处理完成后,进行关联分析,将日志与统计关联策略进行比对;失败的日志专有其他关联分析继续处理,成功匹配的日志进行安全事件生成及告警。
选高危告警信息的一般过程包括:
查询系统日志目的IP对应的第一设备ID和第一系统日志类型SID;
查询设备名称对应的第二设备ID;
根据第一系统日志类型SID和第二设备ID查询出相关联的第三设备ID和第二日志类型SID;
将所述第三设备ID与第一设备ID进行对比,以及将所述第二日志类型SID与第一日志类型SID进行对比;如果任意一个不同,则认定为高危告警事件。
在步骤S103中,封禁安全监控设备发送的高危告警事件地址。网络安全综合监控平台与防火墙直接联动,对接安全设备发来的每一条信息中的恶意IP直接封禁,也对S6000和其他情报来源的恶意IP进行批量封禁,对已封禁的IP进行一键解封或批量一键解封,实现了境外攻击封禁、外联恶意域名终端封禁、专用封禁设备对接等功能,解决了漏封、误封、封禁不及时或重复操作等问题。
在步骤S104中,共享高危告警信息。S6000共享模块通过将隔离装置和S6000的API接口结合,把告警信息直接同步到上报至S6000,有效提升情报共享效率的同时,也实现本地攻击情报向国网实时共享,打通“国网-省”情报通道,做到情报“一键上报”。利用钉钉API搭建了钉钉告警机器人,及时将告警信息发送到全省各单位预警,打通“省-市-县”预警通道,做到预警“一键下发”。通过情报共享模块,最终实现了国网-省-市-县的四级联动的情报共享及预警体系,能够对恶意攻击迅速联动响应。
本发明首先利用syslog采集各类安全设备告警,通过网络安全告警智能分析模块将告警汇总关联分析,对告警进行范式化处理,制定统一告警信息处理格式标准。对于高危IP通过联动封禁模块,联动防火墙实现一键封禁或者批量解封。将收集的告警信息或者威胁情报上报S6000或者通过钉钉下发至各单位。
需要说明:本发明技术方案还提供了一种电子设备,包括:通信接口,能够与其它设备比如网络设备等进行信息交互;处理器,与通信接口连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的一种网络安全综合监控方法,而所述计算机程序存储在存储器上。当然,实际应用时,电子设备中的各个组件通过总线系统耦合在一起。可理解,总线系统用于实现这些组件之间的连接通信。总线系统除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。本申请实施例中的存储器用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括:用于在电子设备上操作的任何计算机程序。可以理解,存储器可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,ReadOnly Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,RandomAccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random AccessMemory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random AccessMemory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。上述本申请实施例揭示的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、DSP(Digital Signal Processing,即指能够实现数字信号处理技术的芯片),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器,处理器读取存储器中的程序,结合其硬件完成前述方法的步骤。处理器执行所述程序时实现本申请实施例的各个方法中的相应流程,为了简洁,在此不再赘述。
实施例4
本发明还提出了一种可读存储介质,可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现方法步骤如下:
如图1给出了本发明实施例1一种网络安全综合监控方法流程图。
在步骤S101中,采集安全监控设备的系统日志,并对所述系统日志范式化处理;
采集安全监控设备的syslog并对其进行范式化处理,根据公司实际和实战经验,制定统一告警信息处理格式标准,将各厂商自定义的syslog进行统一。
采集安全监控设备syslog的一般过程为:
依据网络、日志形式等,判断安全监控设备是否具备主动发送告警信息的条件,针对无法主动发送的安全监控设备安装Agent端;
对安全监控设备和Agent端进行syslog服务器地址配置;
安全监控设备或Agent端通过三次握手与服务器端建立连接,syslog通过TCP/IP协议进行传输,将告警信息发送到服务器端。
syslog范式化处理的一般过程为:
根据公司实际和实战经验,制定统一告警信息处理格式标准,包含多少字段,每字段的存储类型和长度;
获取市面主流安全监控设备的设备信息以及设备原始日志格式,提取各安全监控设备告警信息中的各项内容;
根据上述信息设计若干种解析正则表达式;
当原始告警信息到达服务器后,通过匹配设备类型字段加载对应的正则化表达式;
通过配置的适配正则化表达式提取告警信息关键字段,填充到标准格式中;
原始告警信息成功匹配相应正则表达式后直接存储于MongoDB数据库中,范式化处理后的告警信息在经过正则表达式的适配解析后,存储于Redis数据库中。
在步骤S102中,根据安全监控设备的类型配置系统日志中告警信息的关联策略;通过匹配范式化处理后的系统日志和关联策略,生成安全事件和高危告警事件。
对所有接入设备的告警信息进行统一的汇总关联分析,利用自研的网络安全告警智能分析模块,结合公司网络架构、告警类型、告警设备数量多少等信息对告警日志进行综合研判,采取对于引发多台设备告警和单台设备告警设置不同权重的方法,有效筛选出高危告警信息后,在web监控页面以醒目的方式置顶标红展视,让监控人员能够更及时有效地处理高危告警,实现对高危安全告警信息的“提前预判”。
其中对告警日志进行综合研判的过程包括:
由安全运维人员配置关联策略,根据不同的设备类型配置关联策略,针对特定的设备类型、日志类型,根据安全运维经验配置生成策略,策略生成后入库存储;
策略配置生效后,日志分析模块启动日志分析,读取关联策略缓存到内存队列中,并通过周期任务判断策略是否读取完毕;
当日志采集器将设备日志范式化处理完成后,进行关联分析,将日志与统计关联策略进行比对;失败的日志专有其他关联分析继续处理,成功匹配的日志进行安全事件生成及告警。
选高危告警信息的一般过程包括:
查询系统日志目的IP对应的第一设备ID和第一系统日志类型SID;
查询设备名称对应的第二设备ID;
根据第一系统日志类型SID和第二设备ID查询出相关联的第三设备ID和第二日志类型SID;
将所述第三设备ID与第一设备ID进行对比,以及将所述第二日志类型SID与第一日志类型SID进行对比;如果任意一个不同,则认定为高危告警事件。
在步骤S103中,封禁安全监控设备发送的高危告警事件地址。网络安全综合监控平台与防火墙直接联动,对接安全设备发来的每一条信息中的恶意IP直接封禁,也对S6000和其他情报来源的恶意IP进行批量封禁,对已封禁的IP进行一键解封或批量一键解封,实现了境外攻击封禁、外联恶意域名终端封禁、专用封禁设备对接等功能,解决了漏封、误封、封禁不及时或重复操作等问题。
在步骤S104中,共享高危告警信息。S6000共享模块通过将隔离装置和S6000的API接口结合,把告警信息直接同步到上报至S6000,有效提升情报共享效率的同时,也实现本地攻击情报向国网实时共享,打通“国网-省”情报通道,做到情报“一键上报”。利用钉钉API搭建了钉钉告警机器人,及时将告警信息发送到全省各单位预警,打通“省-市-县”预警通道,做到预警“一键下发”。通过情报共享模块,最终实现了国网-省-市-县的四级联动的情报共享及预警体系,能够对恶意攻击迅速联动响应。
本发明首先利用syslog采集各类安全设备告警,通过网络安全告警智能分析模块将告警汇总关联分析,对告警进行范式化处理,制定统一告警信息处理格式标准。对于高危IP通过联动封禁模块,联动防火墙实现一键封禁或者批量解封。将收集的告警信息或者威胁情报上报S6000或者通过钉钉下发至各单位。
本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器,上述计算机程序可由处理器执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请实施例提供的一种网络安全综合监控处理设备和存储介质中相关部分的说明可以参见本申请实施例1提供的一种网络安全综合监控方法中对应部分的详细说明,在此不再赘述。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制。对于所属领域的技术人员来说,在上述说明的基础上还可以做出其它不同形式的修改或变形。这里无需也无法对所有的实施方式予以穷举。在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (10)
1.一种网络安全综合监控方法,其特征在于,包括以下步骤:
采集安全监控设备的系统日志,并对所述系统日志范式化处理;
根据安全监控设备的类型配置系统日志中告警信息的关联策略;通过匹配范式化处理后的系统日志和关联策略,生成安全事件和高危告警事件;
封禁安全监控设备发送的高危告警事件地址并共享所述高危告警信息。
2.根据权利要求1所述的一种网络安全综合监控方法,其特征在于,所述采集安全监控设备的系统日志的方法包括:
判断所述安全监控设备是否具有发送告警信息的能力,如果无法发送告警信息,则在所述安全监控设备安装代理端,通过所述代理端发送告警信息;
配置安全监控设备和/或代理端的地址;
建立安全监控设备和/或代理端与服务器的通信连接,获取安全监控设备的系统日志,并将告警信息发送至服务器。
3.根据权利要求2所述的一种网络安全综合监控方法,其特征在于,所述对所述系统日志范式化处理的方法包括:
制定告警信息处理格式标准,获取安全监控设备告警信息中的内容,并将所述告警信息计若干种解析正则表达式
当告警信息达到服务器之后,通过匹配设备类型字段加载对应的正则化表达式;
通过配置的适配正则化表达式提取告警信息关键字段,填充到标准格式,并将所述原始告警信息和范式化处理后的告警信息分别保存于不同的数据库中。
4.根据权利要求3所述的一种网络安全综合监控方法,其特征在于,所述将所述原始告警信息和范式化处理后的告警信息分别保存于不同的数据库中包括:将原始告警信息成功匹配相应正则表达式后存储于MongoDB数据库中;将范式化处理后的告警信息在经过正则表达式的适配解析后,存储于Redis数据库中。
5.根据权利要求1所述的一种网络安全综合监控方法,其特征在于,所述根据安全监控设备的类型配置系统日志中告警信息的关联策略的方法包括:根据特定的设备类型、日志类型配置关联策略,并将所述关联策略保存至数据库中。
6.根据权利要求5所述的一种网络安全综合监控方法,其特征在于,所述通过匹配范式化处理后的系统日志和关联策略,生成安全事件和高危告警事件的方法包括:周期性的读取所述关联策略,将范式化处理后的系统日志和关联策略进行匹配,成功匹配的系统日志生成安全事件和高危告警事件。
7.根据权利要求6所述的一种网络安全综合监控方法,其特征在于,所述高危告警事件匹配的过程包括:
查询系统日志目的IP对应的第一设备ID和第一系统日志类型SID;
查询设备名称对应的第二设备ID;
根据第一系统日志类型SID和第二设备ID查询出相关联的第三设备ID和第二日志类型SID;
将所述第三设备ID与第一设备ID进行对比,以及将所述第二日志类型SID与第一日志类型SID进行对比;如果任意一个不同,则认定为高危告警事件。
8.一种网络安全综合监控系统,其特征在于,包括范式化处理模块、关联分析模块、联动封禁模块和共享模块;
所述范式化处理模块用于采集安全监控设备的系统日志,并对所述系统日志范式化处理;
所述关联分析模块用于根据安全监控设备的类型配置系统日志中告警信息的关联策略;通过匹配范式化处理后的系统日志和关联策略,生成安全事件和高危告警事件;
所述联动封禁模块用于封禁安全监控设备发送的高危告警事件地址;
所述共享模块用于共享所述高危告警信息。
9.一种设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任意一项所述的方法步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任意一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111267185.9A CN114006748B (zh) | 2021-10-28 | 2021-10-28 | 一种网络安全综合监控方法、系统、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111267185.9A CN114006748B (zh) | 2021-10-28 | 2021-10-28 | 一种网络安全综合监控方法、系统、设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114006748A true CN114006748A (zh) | 2022-02-01 |
| CN114006748B CN114006748B (zh) | 2024-04-02 |
Family
ID=79924750
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111267185.9A Active CN114006748B (zh) | 2021-10-28 | 2021-10-28 | 一种网络安全综合监控方法、系统、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114006748B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584365A (zh) * | 2022-03-01 | 2022-06-03 | 北京优炫软件股份有限公司 | 一种安全事件分析响应方法以及系统 |
| CN114598525A (zh) * | 2022-03-09 | 2022-06-07 | 中国医学科学院阜外医院 | 一种针对网络攻击的ip自动封禁的方法和装置 |
| CN114844765A (zh) * | 2022-03-03 | 2022-08-02 | 厦门服云信息科技有限公司 | 一种网络安全监测方法、终端设备及存储介质 |
| CN115150261A (zh) * | 2022-06-29 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 告警分析的方法、装置、电子设备及存储介质 |
| CN115242608A (zh) * | 2022-07-12 | 2022-10-25 | 广东润联信息技术有限公司 | 告警信息的生成方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101237326A (zh) * | 2008-02-29 | 2008-08-06 | 华为技术有限公司 | 设备日志实时解析的方法、装置和系统 |
| CN105119945A (zh) * | 2015-09-24 | 2015-12-02 | 西安未来国际信息股份有限公司 | 一种用于安全管理中心的日志关联分析方法 |
| US20190098027A1 (en) * | 2016-12-14 | 2019-03-28 | Ping An Technology(Shenzhen) Co., Ltd. | Joint defence method and apparatus for network security, and server and storage medium |
| CN110620790A (zh) * | 2019-10-10 | 2019-12-27 | 国网山东省电力公司信息通信公司 | 一种网络安全设备联动处置方法及装置 |
| CN110929896A (zh) * | 2019-12-04 | 2020-03-27 | 全球能源互联网研究院有限公司 | 一种系统设备的安全分析方法及装置 |
| CN112468472A (zh) * | 2020-11-18 | 2021-03-09 | 中通服咨询设计研究院有限公司 | 一种基于安全日志关联分析的安全策略自反馈方法 |
-
2021
- 2021-10-28 CN CN202111267185.9A patent/CN114006748B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101237326A (zh) * | 2008-02-29 | 2008-08-06 | 华为技术有限公司 | 设备日志实时解析的方法、装置和系统 |
| CN105119945A (zh) * | 2015-09-24 | 2015-12-02 | 西安未来国际信息股份有限公司 | 一种用于安全管理中心的日志关联分析方法 |
| US20190098027A1 (en) * | 2016-12-14 | 2019-03-28 | Ping An Technology(Shenzhen) Co., Ltd. | Joint defence method and apparatus for network security, and server and storage medium |
| CN110620790A (zh) * | 2019-10-10 | 2019-12-27 | 国网山东省电力公司信息通信公司 | 一种网络安全设备联动处置方法及装置 |
| CN110929896A (zh) * | 2019-12-04 | 2020-03-27 | 全球能源互联网研究院有限公司 | 一种系统设备的安全分析方法及装置 |
| CN112468472A (zh) * | 2020-11-18 | 2021-03-09 | 中通服咨询设计研究院有限公司 | 一种基于安全日志关联分析的安全策略自反馈方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李东;: "网络安全监测设备告警日志分析系统设计和实现", 网络安全技术与应用, no. 02 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584365A (zh) * | 2022-03-01 | 2022-06-03 | 北京优炫软件股份有限公司 | 一种安全事件分析响应方法以及系统 |
| CN114844765A (zh) * | 2022-03-03 | 2022-08-02 | 厦门服云信息科技有限公司 | 一种网络安全监测方法、终端设备及存储介质 |
| CN114844765B (zh) * | 2022-03-03 | 2023-10-17 | 厦门服云信息科技有限公司 | 一种网络安全监测方法、终端设备及存储介质 |
| CN114598525A (zh) * | 2022-03-09 | 2022-06-07 | 中国医学科学院阜外医院 | 一种针对网络攻击的ip自动封禁的方法和装置 |
| CN115150261A (zh) * | 2022-06-29 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 告警分析的方法、装置、电子设备及存储介质 |
| CN115150261B (zh) * | 2022-06-29 | 2024-04-19 | 北京天融信网络安全技术有限公司 | 告警分析的方法、装置、电子设备及存储介质 |
| CN115242608A (zh) * | 2022-07-12 | 2022-10-25 | 广东润联信息技术有限公司 | 告警信息的生成方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114006748B (zh) | 2024-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114006748A (zh) | 一种网络安全综合监控方法、系统、设备和存储介质 | |
| Milajerdi et al. | Holmes: real-time apt detection through correlation of suspicious information flows | |
| EP2566130B1 (en) | Automatic analysis of security related incidents in computer networks | |
| Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
| US9876813B2 (en) | System and method for web-based log analysis | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
| Taveras | SCADA live forensics: real time data acquisition process to detect, prevent or evaluate critical situations | |
| CN104468632A (zh) | 防御漏洞攻击的方法、设备及系统 | |
| CN103391216A (zh) | 一种违规外联报警及阻断方法 | |
| CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
| CN103746992B (zh) | 基于逆向的入侵检测系统及其方法 | |
| CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| CN107273748A (zh) | 一种基于漏洞poc实现安卓系统漏洞检测的方法 | |
| CN113872965B (zh) | 一种基于Snort引擎的SQL注入检测方法 | |
| CN109587122A (zh) | 基于WAF系统功能实现自我保障Web子系统安全的系统及方法 | |
| CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
| CN113329017A (zh) | 网络安全风险的检测系统及方法 | |
| CN108183901B (zh) | 基于fpga的主机安全防护物理卡及其数据处理方法 | |
| CN111262875B (zh) | 服务器安全监测方法、装置、系统及存储介质 | |
| US11496508B2 (en) | Centralized security package and security threat management system | |
| US11763004B1 (en) | System and method for bootkit detection | |
| CN111090855A (zh) | 一种基于Linux主机的入侵检测方法及装置 | |
| CN111464516B (zh) | 一种有效阻击来自内部网络系统攻击的安全网络计算机 | |
| TWI761122B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |