CN117914511A - 一种基于数据交换、日志分析的安全审计系统 - Google Patents
一种基于数据交换、日志分析的安全审计系统 Download PDFInfo
- Publication number
- CN117914511A CN117914511A CN202311359797.XA CN202311359797A CN117914511A CN 117914511 A CN117914511 A CN 117914511A CN 202311359797 A CN202311359797 A CN 202311359797A CN 117914511 A CN117914511 A CN 117914511A
- Authority
- CN
- China
- Prior art keywords
- data
- log
- audit system
- security
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012550 audit Methods 0.000 title claims abstract description 82
- 230000005540 biological transmission Effects 0.000 claims description 16
- 238000012800 visualization Methods 0.000 claims description 10
- 230000000694 effects Effects 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 8
- 238000001914 filtration Methods 0.000 claims description 7
- 238000013507 mapping Methods 0.000 claims description 6
- 238000013500 data storage Methods 0.000 claims description 5
- 241000700605 Viruses Species 0.000 claims description 3
- 239000012634 fragment Substances 0.000 claims description 2
- 230000011218 segmentation Effects 0.000 claims description 2
- 239000004020 conductor Substances 0.000 claims 1
- 230000001186 cumulative effect Effects 0.000 claims 1
- 238000010606 normalization Methods 0.000 claims 1
- 206010000117 Abnormal behaviour Diseases 0.000 abstract description 4
- 230000001960 triggered effect Effects 0.000 abstract description 4
- 230000009471 action Effects 0.000 abstract description 3
- 238000007689 inspection Methods 0.000 abstract description 3
- 230000007246 mechanism Effects 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000008676 import Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000000034 method Methods 0.000 description 3
- 238000002955 isolation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- PCTMTFRHKVHKIS-BMFZQQSSSA-N (1s,3r,4e,6e,8e,10e,12e,14e,16e,18s,19r,20r,21s,25r,27r,30r,31r,33s,35r,37s,38r)-3-[(2r,3s,4s,5s,6r)-4-amino-3,5-dihydroxy-6-methyloxan-2-yl]oxy-19,25,27,30,31,33,35,37-octahydroxy-18,20,21-trimethyl-23-oxo-22,39-dioxabicyclo[33.3.1]nonatriaconta-4,6,8,10 Chemical compound C1C=C2C[C@@H](OS(O)(=O)=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H]([C@H](C)CCCC(C)C)[C@@]1(C)CC2.O[C@H]1[C@@H](N)[C@H](O)[C@@H](C)O[C@H]1O[C@H]1/C=C/C=C/C=C/C=C/C=C/C=C/C=C/[C@H](C)[C@@H](O)[C@@H](C)[C@H](C)OC(=O)C[C@H](O)C[C@H](O)CC[C@@H](O)[C@H](O)C[C@H](O)C[C@](O)(C[C@H](O)[C@H]2C(O)=O)O[C@H]2C1 PCTMTFRHKVHKIS-BMFZQQSSSA-N 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Abstract
本发明提出了一种基于数据交换、日志分析的安全审计系统,应用在数据交换场景中,通过将安全审计系统分别布置在外网服务器和内网服务器中,通过数据同步模块进行节点日志数据的同步,完成数据交换全生命周期的记录与分析;安全事件溯源模块在单向或双单向场景下,仍可汇总各节点的安全检查及敏感操作记录进行溯源分析,快速准确定位安全事件及其起源节点;预警模块,通过设置的多个安全规则,能够精确地检测出各种异常行为,一旦安全规则被触发,会立即产生警报通知,这使得审计人员能够在第一时间采取行动,有效地应对潜在威胁,从而减轻潜在损害。
Description
技术领域
本发明属于数据审计相关技术领域,尤其涉及一种基于数据交换、日志分析的安全审计系统。
背景技术
本部分的陈述仅仅是提供了与本发明相关的背景技术信息,不必然构成在先技术。
在数据交换场景中,通常由各节点分别存储数据传输和操作活动的记录,审计人员通过登录到各节点的管理端中进行相关业务及日志的审计,即查询当前节点的数据传输、安全检查情况及敏感操作,辨别是否存在恶意代码攻击、异常网络流量、数据篡改、异常访问、审计日志修改等安全事件。一旦发现,则进一步人工介入向上追溯定位安全事件起源。然而随着数据规模和复杂性的增加,以及链路中节点数的扩展,现有的审计方式不再可行。在数据交换场景中涉及的主要节点包括但不限于网络安全隔离与信息单向导入系统、数据安全交换平台。
数据安全交换平台是基于网络安全隔离与信息单向导入系统(简称“单导”)的多形态信息交换系统,其基本形态是部署在前后置服务器上配合单导,可实现单向/双单向终端文件、数据库、文件服务器数据的交换和同步以及协议代理、接口交换、邮件代理、音视频代理等功能,保障网间信息交换的安全高效和可管可控。
在整个数据交换传输链路中,由于单向传输无反馈的特性,且存在多个传输节点,当前缺乏对数据交换链路全生命周期的实时监控机制,无法迅速察觉和响应数据交换所出现的异常情况。同时,安全事件溯源能力不足,无法快速准确定位安全事件及其起源节点;此外,未提供安全威胁预警机制,无法及时快速有效地识别潜在威胁。
发明内容
为克服上述现有技术的不足,本发明提供了一种基于数据交换、日志分析的安全审计系统,应用于数据交换场景中,实现对数据交换链路全生命周期的实时监控,并迅速察觉和响应数据交换所出现的异常情况,及时快速有效地识别潜在威胁。
为实现上述目的,本发明的第一个方面提供一种基于数据交换、日志分析的安全审计系统,应用于数据交换场景中,所述安全审计系统分别布置在外网服务器和内网服务器中,所述安全审计系统包括:数据接收模块、数据同步模块、可视化模块、安全事件溯源模块和预警模块;
所述数据接收模块,用于接收各个节点的日志数据,并将接收的日志数据进行处理和存储;
所述数据同步模块,用于将外网服务器/内网服务器的日志数据由单向传输通道同步到内网服务器/外网服务器,完成数据交换全生命周期的记录和分析;
所述可视化模块,用于显示节点日志数据的交换活动;
所述安全事件溯源模块,用于对所存储的各节点的日志数据进行分析,根据分析结果进行安全事件的溯源;
所述预警模块,用于对多个节点的日志数据基于多个安全规则进行对比,在所述日志数据触发安全规则时进行预警通知。
以上一个或多个技术方案存在以下有益效果:
在本发明中,通过将安全审计系统分别布置在外网服务器和内网服务器中,通过数据同步模块进行节点日志数据的同步,完成数据交换全生命周期的记录与分析;安全事件溯源模块在单向或双单向场景下,仍可汇总各节点的安全检查及敏感操作记录进行溯源分析,快速准确定位安全事件及其起源节点;预警模块,通过设置的多个安全规则,能够精确地检测出各种异常行为,一旦安全规则被触发,会立即产生警报通知,这使得审计人员能够在第一时间采取行动,有效地应对潜在威胁,从而减轻潜在损害。
在本发明中,基于日志收集客户端及安全审计系统这种C/S架构,可以方便地应对传输节点的动态扩展,对于新增的传输节点只需进行日志收集客户端的部署,而无需重启安全审计系统,避免对其他节点造成影响。
本发明附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为本发明实施例一中基于数据交换、日志分析的安全审计系统单向传输拓扑图;
图2为本发明实施例一中基于数据交换、日志分析的安全审计系统流程框图。
具体实施方式
应该指出,以下详细说明都是示例性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。
在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
实施例一
本实施例公开了一种基于数据交换、日志分析的安全审计系统,应用于数据交换场景中,所述安全审计系统分别布置在外网服务器和内网服务器中,包括:数据接收模块、数据同步模块、可视化模块、安全事件溯源模块和预警模块;
所述数据接收模块,用于接收各个节点的日志数据,并将接收的日志数据进行处理和存储;
所述数据同步模块,用于将外网服务器/内网服务器的日志数据由单向传输通道同步到内网服务器/外网服务器,完成数据交换全生命周期的记录和分析;
所述可视化模块,用于显示节点日志数据的交换活动;
所述安全事件溯源模块,用于对所存储的各节点的日志数据进行分析,根据分析结果进行安全事件的溯源;
所述预警模块,用于对多个节点的日志数据基于多个安全规则进行对比,在所述日志数据触发安全规则时进行预警通知。
在本实施例中,各节点上安装日志收集客户端,各节点包括了:数据安全交换平台、外网服务器、单导、内网服务器。日志收集客户端专门用于收集和提取数据交换过程中产生的日志数据(传输日志、安全检查日志、操作日志等)。通过建立的TCP加密通道,将过滤后的日志数据推送到安全审计系统。
由安全审计系统的数据接收模块接收来自各节点的日志数据,通过将结构化、半结构化和非结构化日志数据以JSON文档的形式导入到数据存储与处理模块,由数据存储与处理模块统一解析这些数据并将其转换为内部的半结构化格式(索引、字段数据、文档映射等)。
在数据存储与处理模块中,首先对文本数据进行分词、标准化和过滤等处理,然后根据节点、文档的结构、安全事件类型定义文档映射,包括字段的名称、数据类型和属性等,最后将处理后的文档分配到一个或多个索引中进行分片存储。同时,建立多种缓存机制(字段数据缓存、过滤缓存、请求缓存等),以便后续的查询、溯源及审计。
具体的,基于Elasticsearch进行扩展的(涉及转换过程及缓存机制),通过定义动态模块映射,通过模板包含匹配条件,基于节点属性、安全事件类型、文档结构类型来匹配映射。
通过前置安全审计系统的数据同步模块,将前置的分析数据经由单向传输通道同步到后置安全审计系统,便于分析数据的汇总,完成数据交换全生命周期的记录与分析。
具体的,通过数据同步模块,外网的安全审计系统(与外网服务器在同一网域)与单导建立TCP连接,将数据推送到内网的安全审计系统。
在单向场景下(只有1个导入单导),由于单向无反馈特性,外网的安全审计系统只能获取并使用到外网侧的日志数据;内网侧安全审计系统可以获取外网侧单向传递过来的日志数据,所以是最全的,可进行数据的全生命周期的审计。
在双单向场景下(1个导入单导,1个导出单导),则外网的安全审计系统可以将外网的日志数据给到内网的安全审计系统;而内网的安全审计系统也可以将内网的日志数据给到外网的安全审计系统,这样相互补全的话,两侧都是全生命周期的审计。
通过安全审计系统的可视化模块实时展示数据交换活动,包括累计交换文件量、累计交换文件量、安全检查次数、交换任务类型统计、实时流量趋势、异常数量排行、异常操作频率、最近交换文件、文件发送人员排行等。
由安全审计系统的安全事件溯源模块聚合存储数据中各节点的数据检查结果及操作活动元数据。元数据包括事件类型、时间戳、源IP、节点IP等。通过对比分析各节点的同属元数据,系统能够追溯安全事件的来源、传播路径和影响范围,为安全事件的调查和解决提供了有力支持。
假设现有节点ABCD,A可理解为前置、B为单导外网发送侧,C为单导内网接收侧,D为后置,通过内网的安全审计系统发现了某个节点如D节点有安全事件如数据包含了病毒,则可向前追溯分析各节点(CBA)中涉及该数据的日志,是否有该安全事件,以此定位安全事件的起源。同理,在C发现,则追溯BA,以此类推。
利用安全审计系统的预警模块,在其Web管理端中设置多个安全规则,明确指定各安全事件的预警阈值,预置的可配项包括:登录失败次数、病毒过滤次数、恶意代码识别命中次数、关键字命中次数、文件格式篡改次数、加密文件命中次数、协议过滤次数等,用于甄别异常行为。在对存储数据进行审计时一旦触发了以上安全规则,系统会发出警报通知,同时记录事件详情供进一步分析,及时发现潜在的安全威胁。
可以理解的是,可视化模块、安全事件溯源模块和预警模块所获取的日志数据都是基于数据同步模块中的数据,例如在单向场景下,外网的安全审计系统只能获取并使用到外网侧的日志数据,则外网侧的安全审计系统的数据同步模块同步的日志数据是外网侧安全审计系统的数据接收模块所接收的节点日志数据,则外网侧的安全审计系统的可视化模块、安全事件溯源模块和预警模块所针对的日志数据是基于外网侧的安全审计系统的数据同步模块中的日志数据,也就是外网侧的安全审计系统的数据接收模块接收的日志数据;内网侧安全审计系统可以获取外网侧单向传递过来的日志数据,则内网侧安全审计系统的数据同步模块同步的日志数据包括内网侧节点的日志数据和外网侧传递过来的日志数据,则此时内网侧的安全审计系统的可视化模块、安全事件溯源模块和预警模块所针对的日志数据是通过内网侧安全审计系统的数据同步模块获取的,即不仅包括内网侧审计系统的数据接收模块接收的内网侧节点的日志数据,还包括外网侧传递过来的日志数据。
1.文件全生命周期检索:能够从数据交换开始到结束,对涉及的文件进行检索和追溯。这有助于在需要的时候迅速定位文件,支持安全审计和调查。
2.安全事件溯源:在单向或双单向场景下,仍可汇总各节点的安全检查及敏感操作记录进行溯源分析,快速准确定位安全事件及其起源节点。
3.安全威胁预警:基于设置的多个安全规则,系统能够精确地检测出各种异常行为。一旦安全规则被触发,系统会立即产生警报通知。这使得审计人员能够在第一时间采取行动,有效地应对潜在威胁,从而减轻潜在损害。
4.交换场景中节点的可伸缩:基于日志收集客户端及安全审计系统这种C/S架构,可以方便地应对传输节点的动态扩展,对于新增的传输节点只需进行日志收集客户端的部署,而无需重启安全审计系统,避免对其他节点造成影响。
本实施方案为及时感知基于日志的数据交换活动中的全生命周期情况,快速定位安全事件及其起源节点,深入了解事件的发生。同时,根据多个安全规则的设置对多种安全威胁进行预警,便于及时介入采取措施。
上述基于数据交换、日志分析的安全审计系统的方案中,节点的数量可根据实际情况进行增减,同时在非涉密的场景下,若有导出单导则也支持安全审计系统分析数据的双向同步。因此,此替代方案也在本专利保护范围内。
本领域技术人员应该明白,上述本发明的各模块或各步骤可以用通用的计算机装置来实现,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。本发明不限制于任何特定的硬件和软件的结合。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (10)
1.一种基于数据交换、日志分析的安全审计系统,其特征在于,应用于数据交换场景中,所述安全审计系统分别布置在外网服务器和内网服务器中,所述安全审计系统包括:数据接收模块、数据同步模块、可视化模块、安全事件溯源模块和预警模块;
所述数据接收模块,用于接收各个节点的日志数据,并将接收的日志数据进行处理和存储;
所述数据同步模块,用于将外网服务器/内网服务器的日志数据由单向传输通道同步到内网服务器/外网服务器,完成数据交换全生命周期的记录和分析;
所述可视化模块,用于显示节点日志数据的交换活动;
所述安全事件溯源模块,用于对所存储的各节点的日志数据进行分析,根据分析结果进行安全事件的溯源;
所述预警模块,用于对多个节点的日志数据基于多个安全规则进行对比,在所述日志数据触发安全规则时进行预警通知。
2.如权利要求1所述的一种基于数据交换、日志分析的安全审计系统,其特征在于,还包括设置在各节点的日志收集客户端,所述日志收集客户端用于收集和提取数据交换过程中日志数据,并通过TCP加密通道将所述日志数据传输给所述数据接收模块。
3.如权利要求1所述的一种基于数据交换、日志分析的安全审计系统,其特征在于,还包括数据存储和处理模块,所述数据接收模块通过将结构化、半结构化和非结构化的日志数据以文档形式传输给所述数据存储和处理模块,所述数据存储和处理模块将接收到的文档形式的日志数据转换为半结构化格式。
4.如权利要求3所述的一种基于数据交换、日志分析的安全审计系统,其特征在于,在所述数据存储和处理模块中,对文档形式的日志数据进行分词、标准化和过滤处理;根据节点、文档的结构、安全事件类型定义文档映射;将处理后的文档分配到一个或多个索引中进行分片存储。
5.如权利要求1所述的一种基于数据交换、日志分析的安全审计系统,其特征在于,在所述可视化模块中,所展示的交换活动包括累积交换文件量、安全检查次数、交换任务类型统计、实时流量趋势、异常数据排行、异常操作频率和文件发送人员排行。
6.如权利要求1所述的一种基于数据交换、日志分析的安全审计系统,其特征在于,在所述预警模块中,所述安全规则的预制的可配项包括:登录失败次数、病毒过滤次数、恶意代码识别命中次数、关键字命中次数、文件格式篡改次数、加密文件命中次数和协议过滤次数。
7.如权利要求1所述的一种基于数据交换、日志分析的安全审计系统,其特征在于,所述日志数据包括传输日志、安全检查日志和操作日志。
8.如权利要求1所述的一种基于数据交换、日志分析的安全审计系统,其特征在于,在Web管理端中设置多个安全规则。
9.如权利要求1所述的一种基于数据交换、日志分析的安全审计系统,其特征在于,通过数据同步模块,设置在外网服务器的安全审计系统与单导建立TCP连接,将日志数据发送到设置在内网服务器的安全审计系统,。
10.如权利要求9所述的一种基于数据交换、日志分析的安全审计系统,其特征在于,在单向场景下,设置在外网服务器的安全审计系统只能获取并使用到外网服务器的日志数据;设置在内网服务器的安全审计系统获取设置在外网服务器的安全审计系统单向传递过来的日志数据,进行数据的全生命周期的审计;
在双单向场景下,设置在外网服务器的安全审计系统将外网服务器的日志数据发送到设置在内网服务器的安全审计系统;而设置在内网服务器的安全审计系统也将内网服务器的日志数据给到设置在外网服务器的安全审计系统,外网服务器的安全审计系统和内网服务器的安全审计系统都进行日志数据的全生命周期的审计。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311359797.XA CN117914511A (zh) | 2023-10-19 | 2023-10-19 | 一种基于数据交换、日志分析的安全审计系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311359797.XA CN117914511A (zh) | 2023-10-19 | 2023-10-19 | 一种基于数据交换、日志分析的安全审计系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117914511A true CN117914511A (zh) | 2024-04-19 |
Family
ID=90695555
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311359797.XA Pending CN117914511A (zh) | 2023-10-19 | 2023-10-19 | 一种基于数据交换、日志分析的安全审计系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117914511A (zh) |
-
2023
- 2023-10-19 CN CN202311359797.XA patent/CN117914511A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10867034B2 (en) | Method for detecting a cyber attack | |
| CN112651006B (zh) | 一种电网安全态势感知系统 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN104063473B (zh) | 一种数据库审计监测系统及其方法 | |
| KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
| US20160191549A1 (en) | Rich metadata-based network security monitoring and analysis | |
| US10915626B2 (en) | Graph model for alert interpretation in enterprise security system | |
| CN109379390B (zh) | 一种基于全流量的网络安全基线生成方法 | |
| CN102918534A (zh) | 查询管道 | |
| CN113157994A (zh) | 一种多源异构平台数据处理方法 | |
| CN112905548B (zh) | 一种安全审计系统及方法 | |
| CN110209518A (zh) | 一种多数据源日志数据集中收集存储方法及装置 | |
| CN111740868B (zh) | 告警数据的处理方法和装置及存储介质 | |
| CN109962927B (zh) | 基于威胁情报的防攻击方法 | |
| CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
| CN111930886A (zh) | 日志处理方法、系统、存储介质及计算机设备 | |
| US20150358292A1 (en) | Network security management | |
| CN115883236A (zh) | 电网智能终端协同攻击监测系统 | |
| CN111526109B (zh) | 自动检测web威胁识别防御系统的运行状态的方法及装置 | |
| CN112714118B (zh) | 网络流量检测方法和装置 | |
| US11914495B1 (en) | Evaluating machine and process performance in distributed system | |
| Tellenbach | Detection, classification and visualization of anomalies using generalized entropy metrics | |
| CN112528325B (zh) | 一种数据信息的安全处理方法及系统 | |
| CN117914511A (zh) | 一种基于数据交换、日志分析的安全审计系统 | |
| CN113595958B (zh) | 一种物联网设备的安全检测系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination |