CN114584365A - 一种安全事件分析响应方法以及系统 - Google Patents

Abstract

本发明提供了一种安全事件分析响应方法以及系统，所述安全事件分析响应系统包括：功能开启控制模块：用于控制开启或关闭该功能，避免安全事件的信息冗余；事件规则配置模块：用于配置事件的参数及应急处理的白名单IP；原始日志采集模块：用于采集推送的操作日志，以及设备底层或上层应用产生的其他第三方日志；事件归类分析模块：用于对原始日志根据其规则配置进行归类处理，作为后续设备评分计算和下发操作的数据支持；事件应急响应模块：用于安全事件的自动告警、隔离、拦截操作；事件归档输出模块：用于安全事件的归档保存，并提供列表、图表、文件的多种展现手段。本发明的安全事件分析响应系统发现风险之后可达到及时响应的效果。

Description

一种安全事件分析响应方法以及系统

技术领域

本发明涉及网络设备加固领域，具体而言，涉及一种安全事件分析响应方法以及系统。

背景技术

近年来，网络安全逐渐发展成为互联网领域的突出问题之一，全球因网络安全引发的泄露事故呈上升趋势。有关网络攻击和数据泄露的新闻也是日益频繁。随着网络设备的增加，网络管理人员需要管理越来越庞大的IT系统、服务器主机和网络设备，信息安全监控系统的建设已经被提到了一个空前的高度上。它不仅单单是一个体系的建设，更是IT系统管理中的夯实基础。

目前网络设备的安全的运维管理只能通过工程师登陆对应服务器或设备，做临时的事后分析和审计工作，缺乏统一的管理和分析，无法做到安全事件的实时定位和安全趋势分析，更无法适应海量日志和数据报文的审计管理工作，目前传统的审计和数据分析技木巳无法适应千变万化的日志格式和报文，采用手工方式对日志信息进行审计存在诸多弊端：安全性低、审计效率低、审计不全面。

有鉴于此，特提出本发明。

发明内容

有鉴于此，本发明公开了一种安全事件分析响应方法以及系统，所述安全事件分析响应方法以及系统可以有效改善目前网络设备日志审计的低效率、低安全性和审计不全面等问题。

具体地，本发明是通过以下技术方案实现的：

第一方面，本发明公开了一种安全事件分析响应的系统，包括：

功能开启控制模块：用于控制开启或关闭该功能，避免安全事件的信息冗余；

事件规则配置模块：用于配置事件的参数及应急处理的白名单IP；

原始日志采集模块：用于采集推送的操作日志，以及设备底层或上层应用产生的其他第三方日志；

事件归类分析模块：用于对原始日志根据其规则配置进行归类处理，作为后续设备评分计算和下发操作的数据支持；

事件应急响应模块：用于安全事件的自动告警、隔离、拦截操作；

事件归档输出模块：用于安全事件的归档保存，并提供列表、图表、文件的多种展现手段。

第二方面，本发明公开了一种安全事件分析响应的方法，包括如下步骤：

S1、存储以及采集推送原始日志，并通过功能的开启与关闭以避免安全事件的信息冗余；

S2、根据事件规则分析原始日志，根据事件的响应级别进行归类分析，归档整理输出安全事件。

第三方面，本发明公开了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如第二方面所述安全事件分析响应方法的步骤。

第四方面，本发明公开了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第二方面所述安全事件分析响应方法的步骤。

与现有技术相比，本发明具有以下优点：

1)本发明能够高效、精准地接管海量日志和数据报文的审计管理工作，并对高风险动作及时做出响应，避免集群雪崩效应；

2)可配置化的告警方式、告警频率、聚合方式、协议类型等参数提升该系统的兼容性和灵活性；

3)本发明提供了完整的设备风险值计算和交互界面，自动生成图表、报告文件，提高了运维工作的及时性、便捷性、有效性。

总之，本发明提出的安全事件分析响应方法以及系统，可以有效改善目前网络设备日志审计的低效率、低安全性和审计不全面等问题。

现有技术中的设备信息采集均是依托于各种设备的共有协议，协议种类、版本繁多，导致定制化工作复杂，本发明的技术通过采用agent采集，依靠主机设备中的探针采集信息，统一性高。另外现有技术中的大部分技术只是实现了信息采集告警，属于事后审计功能，缺失事前预警和事中响应，通过采用本发明的技术实现了对于安全事件的响应，达到发现风险可及时自动处理响应的目的。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1为本发明实施例提供的安全事件分析及响应系统体系结构示意图；

图2为本发明实施例提供的安全事件分析及响应系统的功能示意框图；

图3为本发明实施例提供的事件规则配置模块的功能模块示意图；

图4为本发明实施例提供的原始日志采集模块的功能模块示意图；

图5为本发明实施例提供的事件归类分析模块的功能模块示意图；

图6为本发明实施例提供的一种计算机设备的流程示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

在本公开使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

参照图2所示，本发明公开了一种安全事件分析响应的系统，包括：

功能开启控制模块201：用于控制开启或关闭该功能，避免安全事件的信息冗余；

事件规则配置模块202：用于配置事件的参数及应急处理的白名单IP；

原始日志采集模块203：用于采集推送的操作日志，以及设备底层或上层应用产生的其他第三方日志；

事件归类分析模块204：用于对原始日志根据其规则配置进行归类处理，作为后续设备评分计算和下发操作的数据支持；

事件应急响应模块205：用于安全事件的自动告警、隔离、拦截操作；

事件归档输出模块206：用于安全事件的归档保存，并提供列表、图表、文件的多种展现手段。

该系统主要由上述六个模块构成，通过该系统的搭建很好的有效改善目前网络设备日志审计的低效率、低安全性和审计不全面等问题。

具体实施时，以上各个模块可以作为独立的实体来实现，也可以进行任意组合，作为同一或若干个实体来实现，以上各个单元的具体实施可参见前面的方法实施例，在此不再赘述。

下文，将对上述各模块及功能单元的操作步骤进行详述：

具体地，所述事件规则配置模块在配置各种参数的过程中，主要通过以下模块完成，具体可参考图3，图3为根据本发明一个优选实施例的事件规则配置模块的功能模块示意图。如图3所示，所述系统参事件规则配置模块主要包括以下模块：

告警方式设置模块301，用于设置在安全事件产生后的告警方式，例如：邮箱告警、页面弹窗告警；

告警参数设置模块302，用于设置安全事件的威胁类型、破坏程度、告警频率、命中关键字等参数，支持用户自定义扩展和多个规则的开启或者关闭，是整个分析及响应系统的核心操作基础；

告警白名单设置模块303，用于设置不产生安全事件的白名单网络设备IP，在分析和响应时自动跳过白名单列表中的网络设备；

具体地，所述原始日志采集模块在采集原始日志过程中，主要通过以下模块完成，具体可参考图4，图4为根据本发明一个优选实施例的原始日志采集模块的功能模块示意图，如图4所示，原始日志采集模块主要包括以下模块：

代理端日志抓取模块401，默认监听系统的4122端口，用于实时抓取网络设备代理端推送的应用日志，并且支持存储至多种数仓；

第三方日志抓取模块402，用于实时抓取多个网络设备的主机日志，可拓展支持多种型号的网络设备；

具体地，所述的事件归类分析模块在进行日志聚合分类解析的过程中，主要通过以下模块完成，具体可参考图5，图5为根据本发明一个优选实施例的事件归类分析模块的功能模块示意图，如图所示，事件归类分析模块主要包括以下模块：

规则命中模块501，定时分析聚合从未参与匹配的原始日志，轮询告警参数模块中的各项参数，决定原始日志是否能命中，根据具体规则参数中发生次数大于1的原始日志处理时，只产生临时安全事件，对于命中的原始日志产生安全事件或者临时安全事件，用于后续告警分析。一条日志可命中多条具体规则。单条安全事件的风险值计算规则如下：威胁可能性*威胁破坏程度*主机重要性*0.04。

临时事件模块502，用于处理规则命中模块产生的临时安全事件转换为正式的安全事件，根据聚合时间等待，超时处理等设置参数，对临时事件转换处理。

设备评分模块503，决定网络设备的健康度评分，设备风险评分规则如下：该设备所有安全事件风险值的加权平均数。

另外，本发明还提供了一种安全事件分析响应的方法，具体包括：

S1、存储以及采集推送原始日志，并通过功能的开启与关闭以避免安全事件的信息冗余；

S2、根据事件规则分析原始日志，根据事件的响应级别进行归类分析，归档整理输出安全事件。

优选地，作为进一步可实施的方式，所述S1步骤中的存储以及采集推送原始日志的方法包括：监控整个网络段的网络设备，对新上报的应用日志进行实时存储；开启第三方日志的日志转发抓取服务，对日志警告级别以上的日志进行实时存储。

其中在建立实时监听机制时，默认默认监听系统与设备代理端的4122端口，监控整个网络段的网络设备，然后通过开启网络设备上的syslog系统服务来开启第三方日志的日志转发抓取服务。

优选地，作为进一步可实施的方式，所述S2步骤中的根据事件的响应级别进行归类分析的方法包括：

分批次读取未参与分析的多种原始日志，检测该日志的描述对于命中的原始日志产生安全事件或者临时安全事件，未命中则跳过；

提取原始日志的特定意义字符，对于符合规则的日志，根据设定的规则进行安全事件的过滤去重处理；

计算事件和设备的风险值以评估威胁可能性和威胁破坏的程度，所述风险值的计算公式为：设备重要性*威胁可能性*威胁破坏程度*权重值，其中权重值的默认值为0.04。

事件在应急响应过程中会默认有多种初始化初始化响应方案，用户也可自定义添加。当安全事件触发时，会搜寻响应方案中是否有当前或类似事件的处理机制，如果有，则对设备进行加固操作。加固操作包含：合规基线处理、恶意代码隔离、非法IP或帐户下发等操作。

优选地，作为进一步可实施的方式，归档整理输出的安全事件进行后续的告警操作，通过邮件、页面弹窗的方式提醒系统使用者有风险侵入和已经执行的操作。

本发明提供的安全事件分析及响应系统可搭建在物理机、虚拟机、云主机等多种物理设备上，支持Windows，Linux，MacOs等多种操作系统。安全事件分析及响应系统体系结构示意图请参考图1。如图1所示，系统体系结构包括4层：应用服务层、业务逻辑层、数据交互层、设备链路层。其中：

所述应用服务层主要用于提供给用户交互处理界面，包括：

1)用户管理，控制系统登录的人员，避免系统信息泄露。

2)规则管理，列表展示系统已设置的所有告警规则，提供用户自定义界面，可根据现场实际情况新建或编辑规则，体现了高扩展性。

3)事件展示，分为设备风险和事件风险两个视角展示安全事件，可对安全事件进行已读、推送、忽略等操作，并且自动生成风险图表和告警文件，提高用户操作的便捷性和提高用户的可读性。

所述业务逻辑层主要用于多模块协作处理具体的业务，包括：日志采集模块、规则判定模块、日志聚合模块、事件处理模块、风险计算模块、风险响应模块：

所述数据交互层主要作用于跟网络设备底层进行数据处理工作，包括：主机通信、日志存储、事件存储、定时清理。

所述系统的最下层是设备链路层，主要作用是对接多种网络设备和操作系统，实现跨平台操作。

图6为本发明公开的一种计算机设备的结构示意图。参考图6所示，该计算机设备400，至少包括存储器402和处理器401；所述存储器402通过通信总线403和处理器连接，用于存储所述处理器401可执行的计算机指令，所述处理器301用于从所述存储器402读取计算机指令以实现上述任一实施例所述的安全事件分析响应方法的步骤。

对于上述装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、媒介和存储器设备，例如包括半导体存储器设备(例如EPROM、EEPROM和闪存设备)、磁盘(例如内部磁盘或可移动盘)、磁光盘以及CD ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充或并入专用逻辑电路中。

最后应说明的是：虽然本说明书包含许多具体实施细节，但是这些不应被解释为限制任何发明的范围或所要求保护的范围，而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面，在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外，虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护，但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除，并且所要求保护的组合可以指向子组合或子组合的变型。

类似地，虽然在附图中以特定顺序描绘了操作，但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行，以实现期望的结果。在某些情况下，多任务和并行处理可能是有利的。此外，上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离，并且应当理解，所描述的程序组件和系统通常可以一起集成在单个软件产品中，或者封装成多个软件产品。

由此，主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下，权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外，附图中描绘的处理并非必需所示的特定顺序或顺次顺序，以实现期望的结果。在某些实现中，多任务和并行处理可能是有利的。

以上所述仅为本公开的较佳实施例而已，并不用以限制本公开，凡在本公开的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本公开保护的范围之内。

Claims (10)

1.一种安全事件分析响应的系统，其特征在于，包括：

功能开启控制模块：用于控制开启或关闭该功能，避免安全事件的信息冗余；

事件规则配置模块：用于配置事件的参数及应急处理的白名单IP；

原始日志采集模块：用于采集推送的操作日志，以及设备底层或上层应用产生的其他第三方日志；

事件归类分析模块：用于对原始日志根据其规则配置进行归类处理，作为后续设备评分计算和下发操作的数据支持；

事件应急响应模块：用于安全事件的自动告警、隔离、拦截操作；

事件归档输出模块：用于安全事件的归档保存，并提供列表、图表、文件的多种展现手段。

2.根据权利要求1所述的系统，其特征在于，所述事件规则配置模块包括：

告警方式设置模块：用于设置在安全事件产生后的告警方式；

告警参数设置模块：用于设置安全事件的威胁类型、破坏程度、告警频率、命中关键字的参数，支持用户自定义扩展和多个规则的开启或者关闭；

告警白名单设置模块：用于设置不产生安全事件的白名单网络设备IP，在分析和响应时自动跳过白名单列表中的网络设备。

3.根据权利要求2所述的系统，其特征在于，所述原始日志采集模块包括：

代理端日志抓取模块：用于实时抓取网络设备代理端推送的应用日志，并且支持存储至多种数仓；

第三方日志抓取模块：用于实时抓取多个网络设备的主机日志，拓展支持多种型号的网络设备。

4.根据权利要求1-3任一项所述的系统，其特征在于，所述事件归类分析模块包括：

规则命中模块：定时分析聚合从未参与匹配的原始日志，轮询告警参数模块中的各项参数，决定原始日志是否能命中；

临时事件模块：用于处理临时安全事件转换为正式的安全事件，根据聚合时间等待，超时处理等设置参数，对临时事件转换处理；

设备风险评分模块：决定网络设备的健康度评分。

5.权利要求1-4任一项所述系统的安全事件分析响应方法，其特征在于，包括有如下步骤：

S1、存储以及采集推送原始日志，并通过功能的开启与关闭以避免安全事件的信息冗余；

S2、根据事件规则分析原始日志，根据事件的响应级别进行归类分析，归档整理输出安全事件。

6.根据权利要求5所述的安全事件分析响应方法，其特征在于，所述S1步骤中的存储以及采集推送原始日志的方法包括：监控整个网络段的网络设备，对新上报的应用日志进行实时存储；开启第三方日志的日志转发抓取服务，对日志警告级别以上的日志进行实时存储。

7.根据权利要求5所述的安全事件分析响应方法，其特征在于，所述S2步骤中的根据事件的响应级别进行归类分析的方法包括：

分批次读取未参与分析的多种原始日志，检测该日志的描述对于命中的原始日志产生安全事件或者临时安全事件，未命中则跳过；

提取原始日志的特定意义字符，对于符合规则的日志，根据设定的规则进行安全事件的过滤去重处理；

计算事件和设备的风险值以评估威胁可能性和威胁破坏的程度，所述风险值的计算公式为：设备重要性*威胁可能性*威胁破坏程度*权重值，其中权重值的默认值为0.04。

8.根据权利要求5所述的安全事件分析响应方法，其特征在于，归档整理输出的安全事件进行后续的告警操作，通过邮件、页面弹窗的方式提醒系统使用者有风险侵入和已经执行的操作。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序执行时实现权利要求5-8任一项所述安全事件分析响应方法的步骤。

10.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求5-8任一项所述安全事件分析响应方法的步骤。

Images