CN114301616A - 基于elg实现防火墙安全日志统计分析方法 - Google Patents
基于elg实现防火墙安全日志统计分析方法 Download PDFInfo
- Publication number
- CN114301616A CN114301616A CN202111152854.8A CN202111152854A CN114301616A CN 114301616 A CN114301616 A CN 114301616A CN 202111152854 A CN202111152854 A CN 202111152854A CN 114301616 A CN114301616 A CN 114301616A
- Authority
- CN
- China
- Prior art keywords
- attack
- name
- firewall
- log
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于ELG实现防火墙安全日志统计分析方法,属于安全网络技术领域,根据不同厂家的防火墙安全日志格式进行不同的配置处理,获取用于安全统计的关键信息并以json格式存储至elasticsearch,结合grafana支持elasticsearch数据源接入并有丰富的插件功能,根据实际的需求统计外部环境对内网攻击的信息,协助网络管理员有针对性的加强内网防护,提升内网的安全。本发明通过分析统计防火墙的安全日志,从多个维度获取外网非法用户对内网计算机攻击的详细信息,根据实际的需求统计外部环境对内网攻击的信息,协助网络管理员有针对性的加强内网防护,提升内网计算机的安全。
Description
技术领域
本发明涉及安全网络技术领域,尤其涉及基于ELG实现防火墙安全日志统计分析方法。
背景技术
防火墙代是一种结合硬件和软件的情况下,对内部和外部网络之间形成一种保护的屏障,从而实现外网对内网计算机不安全网络因素的阻断,以保护内网计算机的信息安全。当外部网络有非法用户对内网计算机进行攻击时,防火墙会产生相应的安全日志,为了更好的加强内网计算机的防护,网络管理员需要通过防火墙的安全日志进行分析攻击信息,从而帮助网络管理员有针对性的加强内网防护,把经常被攻击的内网计算机加强安全防护,安装杀毒软件、更新杀毒软件规则库、升级操作系统的补丁、减少不必要开放的端口等措施。但防火墙的原始日记无法提供这些需求的统计数据,这就不能帮助网络管理员有效的应对外部的非法攻击。
发明内容
本发明的目的在于提供基于ELG实现防火墙安全日志统计分析方法,解决背景技术中提到的技术问题。统计分析防火墙的原始安全日志,从多个维度统计外部环境对内网攻击的详细信息,协助网络管理员有针对性的加强内网防护,提升内网的安全。
为了实现上述目的,本发明采用的技术方案如下:
基于ELG实现防火墙安全日志统计分析方法,所述方法包括如下步骤,
步骤1:在防火墙的日志服务器配置选项中配置日志服务器地址、服务器端口、传输协议和传输类型;
步骤2:使用Logstash启用监听日志端口,接收防火墙日志;
步骤3:Logstash接收到的防火墙原始安全日志,并确定防火墙原始安全日志的格式;
步骤4:使用Logstash的grok插件和mutate插件处理防火墙的原始安全日志,提取原始安全日志的关键信息,并以json格式输出;
步骤5:使用logstash的geoip插件对安全日志的攻击源地址名称"src"进行处理,获取源地址的地理信息,输出json的日志格式;
步骤6:将json格式的安全日志保存至elasticsearch;
步骤7:根据grafana的BarGauge插件统计攻击源IP的攻击信息;
步骤8:使用grafana的Bar Gauge插件、worldmap panel插件、table插件和Piechart插件对安全日志进行统计分析并图形化展示。
进一步地,步骤3中防火墙原始安全日志的数据包括攻击时间、源地址、目标地址、目标端口、攻击类型、攻击动作的攻击等级的安全信息。
进一步地,步骤4中提取原始安全日志的关键信息包括
攻击时间名称time,值为2021-05-0617:01:47;
攻击日志类型名称logtype,值为waf;
攻击源地址名称src,值为171.110.131.181;
攻击目标地址名称dst,值为172.19.3.187;
攻击目标端口名称dport,值为9999;
攻击类型名称attack_type,值为Web服务器漏洞攻击;
攻击等级名称severity,值为高;
攻击信息名称rule_msg,值为Http头Host攻击;
防火墙动作名称action,值为阻断;
协议名称为protoname,值为HTTP。
进一步地,步骤4中json格式为json格式的数据为名称或者值的集合。
进一步地,步骤5中地理信息包括攻击源地址名称、攻击源国家名称、攻击源省份名称、攻击源城市名称、攻击源经度名称和攻击源纬度名称。
进一步地,步骤6中安全日志保存至elasticsearch的过程为,先确定elasticsearch的地址和端口,然后确定存储在elasticsearch的索引名称,最后把用户名和用户密码一起存在,并设置关联。
进一步地,步骤7的具体过程为,选择elasticsearch数据源,使用攻击信息名称"rule_msg"做统计,统计TOP5的攻击信息数量。
进一步地,步骤8中图形化展示的内容包括攻击源IP地址来自哪个国家、地区、城市,攻击源IP地址的攻击次数、攻击危险等级、攻击手段,以及内网被攻击计算机的IP地址和端口的统计信息。
防火墙的原始安全日志是不能直接使用来做统计分析的,这就要求对防火墙的原始日志进行处理,使用logstash的grok、mutate和geoip插件功能,根据不同厂家的防火墙安全日志格式进行不同的配置处理,获取用于安全统计的关键信息并以json格式存储至elasticsearch,结合grafana支持elasticsearch 数据源接入并有丰富的插件功能,根据实际的需求统计外部环境对内网攻击的信息,协助网络管理员有针对性的加强内网防护,提升内网的安全。
ELG为Elasticsearch、Logstash和Grafana三个工具的简称。
Elasticsearch是一个分布式、高扩展、高实时的搜索与数据分析引擎,具有大量数据搜索、存储和分析的能力。
Logstash能够动态地采集、转换和传输数据,不受格式或复杂度的影响。利用grok和mutate插件从非结构化数据中派生出结构,利用geiop插件从IP 地址解码出地理坐标,匿名化或排除敏感字段,并简化整体处理过程。
Grafana为开源的数据可视化工具,提供多种插件和支持多种数据源接入,提供监控数据可视化展示。
防火墙的原始安全日志是不能直接使用来做统计分析的,这就要求对防火墙的原始日志进行处理,使用logstash的grok、mutate和geoip等插件功能,根据不同厂家的防火墙安全日志格式进行不同的配置处理,获取用于安全统计的关键信息并以json格式存储至elasticsearch,结合grafana支持elasticsearch 数据源接入并有丰富的插件功能,根据实际的需求统计外部环境对内网攻击的信息,协助网络管理员有针对性的对内网业务系统进行相应的安全防护。
本发明由于采用了上述技术方案,具有以下有益效果:
本发明通过分析统计防火墙的安全日志,从多个维度获取外网非法用户对内网计算机攻击的详细信息,根据实际的需求统计外部环境对内网攻击的信息,协助网络管理员有针对性的加强内网防护,提升内网计算机的安全。
附图说明
图1是本发明方法流程图;
图2是本发明统计攻击源IP的攻击信息图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举出优选实施例,对本发明进一步详细说明。然而,需要说明的是,说明书中列出的许多细节仅仅是为了使读者对本发明的一个或多个方面有一个透彻的理解,即便没有这些特定的细节也可以实现本发明的这些方面。
如图1-3所示,基于ELG实现防火墙安全日志统计分析方法,包括如下步骤,
步骤1:在防火墙的日志服务器配置选项,配置日志服务器地址、服务器端口、传输协议和传输类型;
步骤2:Logstash启用监听日志端口,接收防火墙日志:
注释:监听UDP 514端口。
步骤3:以天融信防火墙的原始安全日志为例,Logstash接收到的防火墙原始安全日志格式为:
"ngtos""V3.2242.22106_NGFW.1""2021-05-0617:01:47""TopsecOS""4""waf" "TOPWAFEVENT""2150""0"vsys_name="root_vsys"protoname="HTTP" src="171.110.131.181"sport="41639"dst="172.19.3.187"dport="9999" smac="60:12:3c:5b:ee:cb"dmac="08:94:ef:91:52:3a"rule="1030040" rule_msg="Http头Host攻击"action="阻断"cve="NULL"attack_type="Web服务器漏洞攻击"severity="高"accurate="高"fw_name="OA应用系统访问".
原始的防火墙安全日志数据包括攻击时间、源地址、目标地址、目标端口、攻击类型、攻击动作、攻击等级等安全信息,但不能直接用做统计分析,需要使用logstash的grok、mutate和geoip插件对原始安全日志进行json格式化处理,json格式的数据为“名称/值”的集合。
步骤4:使用grok和mutate处理防火墙的原始安全日志,提取原始安全日志的关键信息,并与json格式输出:
注释:
攻击时间名称"time",值"2021-05-0617:01:47";
攻击日志类型名称"logtype",值"waf";
攻击源地址名称"src",值"171.110.131.181";
攻击目标地址名称"dst",值"172.19.3.187";
攻击目标端口名称"dport",值"9999";
攻击类型名称"attack_type",值"Web服务器漏洞攻击";
攻击等级名称"severity",值"高";
攻击信息名称"rule_msg",值"Http头Host攻击";
防火墙动作名称"action",值"阻断";
协议名称为"protoname",值"HTTP"。
步骤5:使用logstash的geoip插件对安全日志的攻击源地址名称"src"进行处理,获取源地址的地理信息,输出json的日志格式:
注释:
攻击源地址名称:"geoip.ip",值"171.110.131.181";
攻击源国家名称:"geoip.country_name",值"China";
攻击源省份名称:"geoip.region_name","Guangxi";
攻击源城市名称:"geoip.city_name",值"Taiping";
攻击源经度名称:"geoip.lon",值"107.3609";
攻击源纬度名称:"geoip.lat",值"22.4096"。
步骤6:Logstash经过对防火墙原始的安全日志进行json格式处理后,保存至elasticsearch:
output{
elasticsearch{
hosts=>["172.20.101.9:9200"]
index=>"logstash-fwlog-%{+YYYY.MM.dd}"
user=>"elastic"
password=>"elastic"
注释:
hosts:elasticsearch的地址和端口;
Index:存储在elasticsearch的索引名称;
user:elasticsearch的用户名;
password:elasticsearch的密码;
步骤7:根据grafana的Bar Gauge统计攻击源IP的攻击信息,如图2所示:
步骤7.1:选择elasticsearch数据源;
步骤7.2:使用攻击信息名称"rule_msg"做统计;
步骤7.3:统计TOP5的攻击信息数量。
步骤8:根据实际的需求使用grafana的Bar Gauge、worldmap panel、table、 Piechart等插件对安全日志进行统计分析并图形化展示:攻击源IP地址来自哪个国家、地区、城市,攻击源IP地址的攻击次数、攻击危险等级、攻击手段,以及内网被攻击计算机的IP地址和端口等统计信息,从而帮助网络管理员有效的应对外部环境的非法攻击行为,提升内网计算机的安全性。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.基于ELG实现防火墙安全日志统计分析方法,其特征在于:所述方法包括如下步骤,
步骤1:在防火墙的日志服务器配置选项中配置日志服务器地址、服务器端口、传输协议和传输类型;
步骤2:使用Logstash启用监听日志端口,接收防火墙日志;
步骤3:Logstash接收到的防火墙原始安全日志,并确定防火墙原始安全日志的格式;
步骤4:使用Logstash的grok插件和mutate插件处理防火墙的原始安全日志,提取原始安全日志的关键信息,并以json格式输出;
步骤5:使用logstash的geoip插件对安全日志的攻击源地址名称"src"进行处理,获取源地址的地理信息,输出json的日志格式;
步骤6:将json格式的安全日志保存至elasticsearch;
步骤7:根据grafana的BarGauge插件统计攻击源IP的攻击信息;
步骤8:使用grafana的Bar Gauge插件、worldmap panel插件、table插件和Pie chart插件对安全日志进行统计分析并图形化展示。
2.根据权利要求1所述的基于ELG实现防火墙安全日志统计分析方法,其特征在于:步骤3中防火墙原始安全日志的数据包括攻击时间、源地址、目标地址、目标端口、攻击类型、攻击动作的攻击等级的安全信息。
3.根据权利要求2所述的基于ELG实现防火墙安全日志统计分析方法,其特征在于:步骤4中提取原始安全日志的关键信息包括
攻击时间名称time,值为2021-05-0617:01:47;
攻击日志类型名称logtype,值为waf;
攻击源地址名称src,值为171.110.131.181;
攻击目标地址名称dst,值为172.19.3.187;
攻击目标端口名称dport,值为9999;
攻击类型名称attack_type,值为Web服务器漏洞攻击;
攻击等级名称severity,值为高;
攻击信息名称rule_msg,值为Http头Host攻击;
防火墙动作名称action,值为阻断;
协议名称为protoname,值为HTTP。
4.根据权利要求3所述的基于ELG实现防火墙安全日志统计分析方法,其特征在于:步骤4中json格式为json格式的数据为名称或者值的集合。
5.根据权利要求4所述的基于ELG实现防火墙安全日志统计分析方法,其特征在于:步骤5中地理信息包括攻击源地址名称、攻击源国家名称、攻击源省份名称、攻击源城市名称、攻击源经度名称和攻击源纬度名称。
6.根据权利要求5所述的基于ELG实现防火墙安全日志统计分析方法,其特征在于:步骤6中安全日志保存至elasticsearch的过程为,先确定elasticsearch的地址和端口,然后确定存储在elasticsearch的索引名称,最后把用户名和用户密码一起存在,并设置关联。
7.根据权利要求6所述的基于ELG实现防火墙安全日志统计分析方法,其特征在于:步骤7的具体过程为,选择elasticsearch数据源,使用攻击信息名称"rule_msg"做统计,统计TOP5的攻击信息数量。
8.根据权利要求7所述的基于ELG实现防火墙安全日志统计分析方法,其特征在于:步骤8中图形化展示的内容包括攻击源IP地址来自哪个国家、地区、城市,攻击源IP地址的攻击次数、攻击危险等级、攻击手段,以及内网被攻击计算机的IP地址和端口的统计信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111152854.8A CN114301616A (zh) | 2021-09-29 | 2021-09-29 | 基于elg实现防火墙安全日志统计分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111152854.8A CN114301616A (zh) | 2021-09-29 | 2021-09-29 | 基于elg实现防火墙安全日志统计分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114301616A true CN114301616A (zh) | 2022-04-08 |
Family
ID=80964315
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111152854.8A Pending CN114301616A (zh) | 2021-09-29 | 2021-09-29 | 基于elg实现防火墙安全日志统计分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301616A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080209541A1 (en) * | 2005-06-06 | 2008-08-28 | International Business Machines Corporation | Computer Network Intrusion Detection System and Method |
| CN109376532A (zh) * | 2018-10-31 | 2019-02-22 | 云南电网有限责任公司 | 基于elk日志采集分析的电力网络安全监测方法及系统 |
| CN111651318A (zh) * | 2020-04-30 | 2020-09-11 | 中国平安财产保险股份有限公司 | 基于prometheus的接口监控方法、装置、计算机设备及存储介质 |
| CN112181929A (zh) * | 2020-09-24 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 云管平台日志处理方法、装置、电子装置和存储介质 |
-
2021
- 2021-09-29 CN CN202111152854.8A patent/CN114301616A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080209541A1 (en) * | 2005-06-06 | 2008-08-28 | International Business Machines Corporation | Computer Network Intrusion Detection System and Method |
| CN109376532A (zh) * | 2018-10-31 | 2019-02-22 | 云南电网有限责任公司 | 基于elk日志采集分析的电力网络安全监测方法及系统 |
| CN111651318A (zh) * | 2020-04-30 | 2020-09-11 | 中国平安财产保险股份有限公司 | 基于prometheus的接口监控方法、装置、计算机设备及存储介质 |
| CN112181929A (zh) * | 2020-09-24 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 云管平台日志处理方法、装置、电子装置和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109587179B (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
| US10530796B2 (en) | Graph database analysis for network anomaly detection systems | |
| US8019865B2 (en) | Method and apparatus for visualizing network security state | |
| CN108111487B (zh) | 一种安全监控方法及系统 | |
| JP2015076863A (ja) | ログ分析装置、方法およびプログラム | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| CN111083157B (zh) | 报文过滤规则的处理方法和装置 | |
| CN111859374B (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN111404956A (zh) | 一种风险信息获取方法、装置、电子设备及存储介质 | |
| US10963562B2 (en) | Malicious event detection device, malicious event detection method, and malicious event detection program | |
| CN114301616A (zh) | 基于elg实现防火墙安全日志统计分析方法 | |
| CN117220994A (zh) | 一种基于网络安全服务的数据处理方法及系统 | |
| CN114124551B (zh) | 一种WireGuard协议下基于多粒度特征提取的恶意加密流量识别的方法 | |
| CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
| CN113904843B (zh) | 一种终端异常dns行为的分析方法和装置 | |
| CN112640392B (zh) | 一种木马检测方法、装置和设备 | |
| KR101401168B1 (ko) | Ip 주소를 이용한 네트워크 보안 방법 및 장치 | |
| CN115603974A (zh) | 一种网络安全防护方法、装置、设备及介质 | |
| CN111680294A (zh) | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 | |
| CN116527323B (zh) | 一种动态威胁分析方法 | |
| CN112953911B (zh) | 网络安全分析处置方法及系统 | |
| CN113726799B (zh) | 针对应用层攻击的处理方法、装置、系统和设备 | |
| Chen et al. | An analysis of anomalous user agent strings in network traffic | |
| Yang et al. | Snort-based Campus Network Security Intrusion Detection System | |
| KR20120058670A (ko) | Db 보안을 제공하는 통합 게이트웨이 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |