WO2017032288A1 - 一种安全配置变更检测方法和装置 - Google Patents

Abstract

本发明实施例提出一种安全配置变更检测方法和装置，所述方法包括：对获取的日志内容进行筛选，获得符合变更范畴的第一日志内容；对符合变更范畴的第一日志内容提取配置变更的第二日志内容；针对配置变更的第二日志内容中的变更内容，依据配置核查条目检测变更后的配置的遵从程度，确定配置核查结果。通过对设备上的日志记录进行详细分析来判断是否有变更行为，在安全配置频繁变更的情况下做到不影响企业安全。

Description

一种安全配置变更检测方法和装置 技术领域

本发明涉及网络安全领域，具体涉及一种安全配置变更检测方法和装置。

背景技术

随着网络的开放性、互联性、共享程度的扩大，企业越来越依赖信息和网络技术，随着网络安全威胁越来越大而单一的安全技术或安全设备无法满足网络对安全的要求，企业对网络安全的部署变得日趋复杂，而安全设备产品种类繁多，搭建环境具有多样性，而设备上的策略配置愈趋繁琐，这对技术人员的水平要求很高，而往往很多企业的技术人员没有足够的安全领域相关知识，导致在安全设备上进行的配置存在诸多隐患。

Skybox Security调查发现，58％企业在他们的NGFW(Next Generation Firewall，下一代防火墙)上部署了100条以上的规则，而35％的公司每月执行100次以上变更，频繁变更易导致配置错误。据Gartner统计，99％的防火墙安全事件均是由防火墙的配置错误而引起。企业需要一种自动检测安全设备配置变更的方法，将技术和管理有机的结合起来，对网络安全进行统一管理和控制，提高整体安全水平。

目前的配置变更技术只有针对变更的可行性给出核查方法，缺少对该变更行为的实时检测。

发明内容

本发明实施例提供了一种安全配置变更检测方法和装置，至少能够实现安全配置变更的自动化检测。

为了至少实现上述发明目的，本发明实施例采取的技术方案如下：

一种安全配置变更检测方法，包括：

对获取的日志内容进行筛选，获得符合变更范畴的第一日志内容；

对符合变更范畴的第一日志内容提取配置变更的第二日志内容；

针对配置变更的第二日志内容中的变更内容，依据配置核查条目检测变更后的配置的遵从程度，确定配置核查结果。

可选地，对获取的日志内容进行筛选包括：

根据日志等级分类筛选所述日志内容；或者，根据时间排序分类筛选所述日志内容。

可选地，根据日志等级分类筛选所述日志内容包括：

获取所述日志内容对应的日志信息列表中日志等级；

根据配置变更内容所属的日志等级筛选出配置变更内容所属的日志等级对应的日志内容。

可选地，根据时间排序分类筛选所述日志内容包括：

获取所述日志内容对应的日志信息列表中日志记录的时间；

筛选出日志记录的时间在预设变更时间范围内的日志内容。

可选地，对符合变更范畴的第一日志内容提取配置变更的第二日志内容包括：

将所述第一日志内容或所述第一日志内容中的描述内容与关键字列表或者关键字段列表进行匹配，当所述第一日志内容或所述第一日志内容中的描述内容存在关键字列表或者关键字段列表中的元素，则确定所述第一日志内容存在配置变更。

为至少解决上述技术问题，本发明实施例还提供一种安全配置变更检测装置，包括：

日志筛选模块，设置为对获取的日志内容进行筛选，获得符合变更范畴的第一日志内容；

变更模块，设置为对符合变更范畴的第一日志内容提取配置变更的第 二日志内容；

安全策略管控模块，设置为针对配置变更的第二日志内容中的变更内容，依据配置核查条目检测变更后的配置的遵从程度，确定配置核查结果

可选地，所述日志筛选模块包括：

等级筛选单元，设置为根据日志等级分类筛选所述日志内容；或者，

时间筛选单元，设置为根据时间排序分类筛选所述日志内容。

可选地，所述等级筛选单元根据日志等级分类筛选所述日志内容是指：

获取所述日志内容对应的日志信息列表中日志等级；

根据配置变更内容所属的日志等级筛选出配置变更内容所属的日志等级对应的日志内容。

可选地，所述时间筛选单元根据时间排序分类筛选所述日志内容是指：

获取所述日志内容对应的日志信息列表中日志记录的时间；

筛选出日志记录时间在预设变更时间范围内的日志内容。

可选地，所述变更模块对符合变更范畴的第一日志内容提取配置变更的第二日志内容是指：

将所述第一日志内容或所述第一日志内容中的描述内容与关键字列表或者关键字段列表进行匹配，当所述第一日志内容或所述第一日志内容中的描述内容存在关键字列表或者关键字段列表中的元素，则确定所述第一日志内容存在配置变更。

根据本发明的又一个实施例，还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码：

对获取的日志内容进行筛选，获得符合变更范畴的第一日志内容；

对符合变更范畴的第一日志内容提取配置变更的第二日志内容；

针对配置变更的第二日志内容中的变更内容，依据配置核查条目检测变更后的配置的遵从程度，确定配置核查结果。

本发明实施例和相关技术相比，具有如下有益效果：

本发明实施例提供的安全配置变更检测方法和装置，通过对设备上的日志记录进行详细分析来判断是否有变更行为，在安全配置频繁变更的情况下做到不影响企业安全。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明实施例的一种安全配置变更检测方法的流程图；

图2是本发明实施例的一种安全配置变更检测装置的结构示意图；

图3是本发明实施例的支持Syslog日志服务器的变更自动检测方法的流程图；

图4是本发明实施例的支持直接接收日志的变更自动检测方法的流程图；

图5是本发明实施例的支持提供建议的变更自动检测方法的流程图。

具体实施方式

为使本发明的发明目的、技术方案和有益效果更加清楚明了，下面结合附图对本发明的实施例进行说明，需要说明的是，在不冲突的情况下，本申请中的实施例和实施例中的特征可以相互任意组合。

如图1所示，本发明实施例提供一种安全配置变更检测方法，包括：

S101、对获取的日志内容进行筛选，获得符合变更范畴的第一日志内容；

S102、对符合变更范畴的第一日志内容提取配置变更的第二日志内容；

S103、针对配置变更的第二日志内容中的变更内容，依据配置核查条目检测变更后的配置的遵从程度，确定配置核查结果。

其中，日志内容既可以是直接从设备、装置或系统上获取到的日志信息，也可以是通过连接设备、装置或系统的Syslog日志服务器间接获取到的日志信息。

步骤S101中对获取的日志内容进行筛选可以根据诸如时间排序、日志等级等方法过滤掉不符合变更范畴的日志类型，以便进一步的变更内容识别：

根据日志等级分类筛选所述日志内容包括：

获取所述日志内容对应的日志信息列表中日志等级；

根据配置变更内容所属的日志等级筛选出配置变更内容所属的日志等级对应的日志内容。

根据时间排序分类筛选所述日志内容包括：

获取所述日志内容对应的日志信息列表中日志记录时间；

筛选出日志记录时间在预设变更时间范围内的日志内容。

根据日志等级分类筛选日志：以Juniper的防火墙为例，能够看到从防火墙设备上获取的日志信息列表的Level一列日志等级内容，等级分为Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging八个等级，其中配置变更内容属于Notification等级，进行日志筛选的时候只需提取出Level等级为Notification的日志以供进一步筛选。

根据时间排序方式筛选日志：同样以Juniper的防火墙为例，根据从防火墙设备上获取的日志信息列表，这里可以将进行日志等级分类筛选后的信息进行进一步筛选，根据日志中的Date/Time一列内容，按时间进行逆序排序，提取30秒内的(可以根据需求或者实际情况而决定)所有日志，30秒之外的日志信息都丢弃，从而得到时间较新的所有日志信息。

步骤S102中对符合变更范畴的第一日志内容提取配置变更的第二日志内容包括：

将所述第一日志内容或所述第一日志内容中的描述内容与关键字列 表或者关键字段列表进行匹配，当所述第一日志内容或所述第一日志内容中的描述内容存在关键字列表或者关键字段列表中的元素，则确定所述第一日志内容存在配置变更。

具体地，对上一步筛选完的日志进行进一步的识别，提取有关配置变更的日志内容，例如，可以根据配置变更中用到的关键字筛选日志，实现变更的精确定位。以Juniper防火墙为例，当发生配置变更时，日志信息中Description一列的内容里会有modified、added、changed等字段，需要提前分析出与变更相关的所有关键字，并将这些关键字存入关键字列表中。当得到筛选后的日志信息时，根据关键字列表中的元素去查找Description中是否存在，如果存在则认为识别到变更。

如图2所示，本发明实施例还提供一种安全配置变更检测装置，包括：

日志筛选模块210，设置为对获取的日志内容进行筛选，获得符合变更范畴的第一日志内容；

变更模块220，设置为对符合变更范畴的第一日志内容提取配置变更的第二日志内容；

安全策略管控模块230，设置为针对配置变更的第二日志内容中的变更内容，依据配置核查条目检测变更后的配置的遵从程度，确定配置核查结果

所述日志筛选模块210包括：

等级筛选单元，设置为根据日志等级分类筛选所述日志内容；或者，

时间筛选单元，设置为根据时间排序分类筛选所述日志内容。

所述等级筛选单元根据日志等级分类筛选所述日志内容是指：

获取所述日志内容对应的日志信息列表中日志等级；

根据配置变更内容所属的日志等级筛选出配置变更内容所属的日志等级对应的日志内容。

所述时间筛选单元根据时间排序分类筛选所述日志内容是指：

获取所述日志内容对应的日志信息列表中日志记录时间；

筛选出日志记录时间在预设变更时间范围内的日志内容。

所述变更模块220对符合变更范畴的第一日志内容提取配置变更的第二日志内容是指：

将所述第一日志内容或所述第一日志内容中的描述内容与关键字列表或者关键字段列表进行匹配，当所述第一日志内容或所述第一日志内容中的描述内容存在关键字列表或者关键字段列表中的元素，则确定所述第一日志内容存在配置变更。

如果发现日志中存在配置变更行为，便自动发送变更核查请求并附带变更的具体内容，安全策略管控模块230响应该变更核查请求并进行配置核查。例如，安全策略管控模块230会将变更后的配置信息进行配置核查，该变更配置信息可以是新采集得来也可以是提前采集得来，选择配置核查库，依据配置核查条目检测变更后配置的遵从程度，生成配置核查结果。

实施例一

此实施例中，支持接收Syslog日志服务器发来的日志信息并进行变更识别检测，如图3所示。

Syslog日志服务器处理来自设备的日志信息流。例如，设备上需要提前配置好关联的Syslog日志服务器地址和端口号，启用并将日志吐给Syslog日志服务器；同样，Syslog日志服务器上也需要配置发送属性，将接收到设备的日志信息流封装并发送给日志筛选模块210。

日志内容的筛选。将接收到的日志内容发送给日志筛选模块210，可以根据诸如时间排序、日志等级等方法过滤掉不符合变更范畴的日志类型，以便进一步的变更内容识别。例如：

1)根据日志等级分类筛选日志。以Juniper的防火墙为例，能够看到从防火墙设备上获取的日志信息列表的Level一列日志等级内容，等级分 为Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging八个等级，其中配置变更内容属于Notification等级，进行日志筛选的时候只需提取出Level等级为Notification的日志以供进一步筛选。

2)根据时间排序方式筛选日志。同样以Juniper的防火墙为例，根据从防火墙设备上获取的日志信息列表，这里可以将进行日志等级分类筛选后的信息进行进一步筛选，根据日志中的Date/Time一列内容，按时间进行逆序排序，提取30秒内的(可以根据需求或者实际情况而决定)所有日志，30秒之外的日志信息都丢弃，从而得到时间较新的所有日志信息。

变更内容识别。对上一步筛选完的日志进行进一步的识别，提取有关配置变更的日志内容，例如，可以根据配置变更中用到的关键字筛选日志，实现变更的精确定位。以Juniper防火墙为例，当发生配置变更时，日志信息中Description一列的内容里会有modified、added、changed等字段，需要提前分析出与变更相关的所有关键字，并将这些关键字存入关键字列表中。当得到筛选后的日志信息时，根据关键字列表中的元素去查找Description中是否存在，如果存在则认为识别到变更。

自动配置核查。如果发现日志中存在配置变更行为，便自动发送变更核查请求并附带变更的具体内容，安全策略管控模块230响应该变更核查请求并进行配置核查。例如，安全策略管控模块230会将变更后的配置信息进行配置核查，该变更配置信息可以是新采集得来也可以是提前采集得来，选择配置核查库，依据配置核查条目检测变更后配置的遵从程度，生成配置核查结果。

实施例二

此实施例中，支持直接接收日志的变更自动检测方法，如图4所示。

处理来自设备的日志信息流。例如，设备上需要提前配置好日志传输地址和端口号为管控设备，启用并将日志吐给管控设备，管控设备将接收到设备的日志信息流解析并发送给日志筛选模块210。

日志内容的筛选。将接收到的日志内容发送给日志筛选模块210，可以根据诸如时间排序、日志等级等方法过滤掉不符合变更范畴的日志类型，以便进一步的变更内容识别。例如：

1)根据日志等级分类筛选日志。以Juniper的防火墙为例，能够看到从防火墙设备上获取的日志信息列表的Level一列日志等级内容，等级分为Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging八个等级，其中配置变更内容属于Notification等级，进行日志筛选的时候只需提取出Level等级为Notification的日志以供进一步筛选。

2)根据时间排序方式筛选日志。同样以Juniper的防火墙为例，根据从防火墙设备上获取的日志信息列表，这里可以将进行日志等级分类筛选后的信息进行进一步筛选，根据日志中的Date/Time一列内容，按时间进行逆序排序，提取30秒内的(可以根据需求或者实际情况而决定)所有日志，30秒之外的日志信息都丢弃，从而得到时间较新的所有日志信息。

变更内容识别。对上一步筛选完的日志进行进一步的识别，提取有关配置变更的日志内容，例如，可以根据配置变更中用到的关键字筛选日志，实现变更的精确定位。以Juniper防火墙为例，当发生配置变更时，日志信息中Description一列的内容里会有modified、added、changed等字段，需要提前分析出与变更相关的所有关键字，并将这些关键字存入关键字列表中。当得到筛选后的日志信息时，根据关键字列表中的元素去查找Description中是否存在，如果存在则认为识别到变更。

自动配置核查。如果发现日志中存在配置变更行为，便自动发送变更核查请求并附带变更的具体内容，安全策略管控模块230响应该变更核查请求并进行配置核查。例如，安全策略管控模块230会将变更后的配置信息进行配置核查，该变更配置信息可以是新采集得来也可以是提前采集得来，选择配置核查库，依据配置核查条目检测变更后配置的遵从程度，生成配置核查结果。

实施例三

此实施例中，可以支持对自动配置核查提供建议方式的变更自动检测方法，如图5所示。

日志内容的筛选。将接收到的日志内容发送给日志筛选模块210，可以根据诸如时间排序、日志等级等方法过滤掉不符合变更范畴的日志类型，以便进一步的变更内容识别。例如：

1)根据日志等级分类筛选日志。以Juniper的防火墙为例，能够看到从防火墙设备上获取的日志信息列表的Level一列日志等级内容，等级分为Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging八个等级，其中配置变更内容属于Notification等级，进行日志筛选的时候只需提取出Level等级为Notification的日志以供进一步筛选。

2)根据时间排序方式筛选日志。同样以Juniper的防火墙为例，根据从防火墙设备上获取的日志信息列表，这里可以将进行日志等级分类筛选后的信息进行进一步筛选，根据日志中的Date/Time一列内容，按时间进行逆序排序，提取30秒内的(可以根据需求或者实际情况而决定)所有日志，30秒之外的日志信息都丢弃，从而得到时间较新的所有日志信息。

变更内容识别。对上一步筛选完的日志进行进一步的识别，提取有关配置变更的日志内容，例如，可以根据配置变更中用到的关键字筛选日志，实现变更的精确定位。以Juniper防火墙为例，当发生配置变更时，日志信息中Description一列的内容里会有modified、added、changed等字段，需要提前分析出与变更相关的所有关键字，并将这些关键字存入关键字列表中。当得到筛选后的日志信息时，根据关键字列表中的元素去查找Description中是否存在，如果存在则认为识别到变更。

自动配置核查。如果发现日志中存在配置变更行为，便自动发送变更核查请求并附带变更的具体内容，安全策略管控模块230响应该变更核查请求并进行配置核查。例如，安全策略管控模块230会将变更后的配置信息进行配置核查，该变更配置信息可以是新采集得来也可以是提前采集得 来，选择配置核查库，依据配置核查条目检测变更后配置的遵从程度，生成配置核查结果。

可选地，支持为用户提供变更配置核查建议。例如，根据变更行为检测后的结果进行自动化配置核查后，查看变更后配置合规项为符合的内容有哪些，不符合的内容有哪些，针对不符合条目给出修改成符合要求的配置方法，以及综合以上结果建议用户选择是否遵从该变更配置。

本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：

S101、对获取的日志内容进行筛选，获得符合变更范畴的第一日志内容；

S102、对符合变更范畴的第一日志内容提取配置变更的第二日志内容；

S103、针对配置变更的第二日志内容中的变更内容，依据配置核查条目检测变更后的配置的遵从程度，确定配置核查结果。

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

如上所述，本发明实施例提供的一种安全配置变更检测方法和装置，具有以下有益效果：通过对设备上的日志记录进行详细分析来判断是否有变更行为，在安全配置频繁变更的情况下做到不影响企业安全。

Claims (10)

1. 一种安全配置变更检测方法，包括：

   对获取的日志内容进行筛选，获得符合变更范畴的第一日志内容；

   对符合变更范畴的第一日志内容提取配置变更的第二日志内容；

   针对配置变更的第二日志内容中的变更内容，依据配置核查条目检测变更后的配置的遵从程度，确定配置核查结果。
2. 如权利要求1所述的方法，其中，对获取的日志内容进行筛选包括：

   根据日志等级分类筛选所述日志内容；或者，根据时间排序分类筛选所述日志内容。
3. 如权利要求2所述的方法，其中，根据日志等级分类筛选所述日志内容包括：

   获取所述日志内容对应的日志信息列表中日志等级；

   根据配置变更内容所属的日志等级筛选出配置变更内容所属的日志等级对应的日志内容。
4. 如权利要求2所述的方法，其中，根据时间排序分类筛选所述日志内容包括：

   获取所述日志内容对应的日志信息列表中日志记录的时间；

   筛选出日志记录的时间在预设变更时间范围内的日志内容。
5. 如权利要求1所述的方法，其中，对符合变更范畴的第一日志内容提取配置变更的第二日志内容包括：

   将所述第一日志内容或所述第一日志内容中的描述内容与关键 字列表或者关键字段列表进行匹配，当所述第一日志内容或所述第一日志内容中的描述内容存在关键字列表或者关键字段列表中的元素，则确定所述第一日志内容存在配置变更。
6. 一种安全配置变更检测装置，包括：

   日志筛选模块，设置为对获取的日志内容进行筛选，获得符合变更范畴的第一日志内容；

   变更模块，设置为对符合变更范畴的第一日志内容提取配置变更的第二日志内容；

   安全策略管控模块，设置为针对配置变更的第二日志内容中的变更内容，依据配置核查条目检测变更后的配置的遵从程度，确定配置核查结果。
7. 如权利要求6所述的装置，其中，所述日志筛选模块包括：

   等级筛选单元，设置为根据日志等级分类筛选所述日志内容；或者，

   时间筛选单元，设置为根据时间排序分类筛选所述日志内容。
8. 如权利要求7所述的装置，其中，所述等级筛选单元根据日志等级分类筛选所述日志内容是指：

   获取所述日志内容对应的日志信息列表中日志等级；

   根据配置变更内容所属的日志等级筛选出配置变更内容所属的日志等级对应的日志内容。
9. 如权利要求7所述的装置，其中，所述时间筛选单元根据时间排序分类筛选所述日志内容是指：

   获取所述日志内容对应的日志信息列表中日志记录的时间；

   筛选出日志记录时间在预设变更时间范围内的日志内容。
10. 如权利要求6所述的装置，其中，所述变更模块对符合变更范畴的第一日志内容提取配置变更的第二日志内容是指：

    将所述第一日志内容或所述第一日志内容中的描述内容与关键字列表或者关键字段列表进行匹配，当所述第一日志内容或所述第一日志内容中的描述内容存在关键字列表或者关键字段列表中的元素，则确定所述第一日志内容存在配置变更。

Images