本发明专利技术公开了一种网络安全设备监测的安全事件分析方法,包括如下步骤:根据日志报文中某个关键字,辨别该日志报文是应用日志、系统日志、还是安全日志,将上述日志分成普通事件、异常事件和安全事件,从普通事件的集合中通过异常识别方法寻找出异常事件,从异常事件的集合中通过识别违规操作行为和威胁行为寻找出安全事件;本发明专利技术通过识别网络环境中各类设备产生的日志,用事件详细分类解释网络状况,针对所有事件集合,明确地给出了事件的详细分类情况,便于管理人员理解网络中实时发生的事件状态。
【技术实现步骤摘要】
本专利技术属于计算机信息安全
, 特别是涉及一种面向电子政务内网的综合网络监测的安全事件分析方法。
技术介绍
随着电子政务内网的规模日渐庞大,对网络进行全面监控、保障信息安全的工作日益复杂。为了能够真正做到全面感知内网发生的情况,尤其是安全状况,相关管理部门采用了众多网络管理工具对网络进行监控与管理。对于目前实施保护的重要信息系统均借助多种类多厂商安全设备,这些设备与被保护对象共同构成多源异构高并发数据环境。为了有效地完成对数据环境的安全感知,需要一种通用事件采集设备,对采集事件知识化与体系化。在网络监测的应用场景里,网络安全管理工具会直接或者间接地借助各类网络安全设备,通过综合各方面采集得到的日志信息,管理员能够充分理解网络安全态势。目前,网络安全监管存在一定的问题。其中,最关键的是如何理解采集的日志信息集合。针对不同厂商的不同设备,如何衡量日志信息的信息量与内容是理解网络安全态势的基础。另外,针对电子政务内网的应用场景,如何针对重要事件进行分类缺乏有效规范及技术实现方案。
技术实现思路
本专利技术的目的在于提供一种适用于网络安全设备监测的安全事件分析方法,从而满足对网络中采集日志信息的高效融合的要求,进而解释网络中发生的各种态势。本专利技术解决其技术问题所采用的技术方案是:一种网络安全设备监测的安全事件分析方法,包括如下步骤a),日志的识别根据日志报文中某个关键字,辨别该日志报文是应用日志、系统日志、还是安全日志;所述的应用日志为安全设备与其系统的主要功能组件对外提供服务所产生的日志;所述的系统日志为安全设备与其系统的硬/软部件、组件的状态发生改变所产生的日志,包括系统更新,硬/软部件、组件的开启、关闭、不可用或发生故障等所产生的日志;所述的安全日志为安全设备在其系统自身的安全机制运行中产生的日志,以及管理员登入、登出系统、进行系统配置管理、进行授权管理所产生的日志;b),日志的分类将上述日志分成普通事件、异常事件和安全事件;所述的普通事件代表正常的网络记录;所述的异常事件代表违反网络管理规则或者明显与正常行为存在差异的事件;所述的安全事件代表通过网络安全设备或者其它技术手段捕获到网络中危害信息安全与系统安全的事件;c),异常事件的转化从普通事件的集合中通过异常识别方法寻找出异常事件,将找到的异常事件与从网络中直接搜集到的异常事件组成异常事件的集合,即将所有异常事件以规格化的方式存放在一起;d),安全事件的转化从异常事件的集合中通过识别违规操作行为和威胁行为寻找出安全事件,即可将找到的安全事件与从网络直接搜集到的安全事件组成安全事件的集合。进一步,所述的步骤b)中,计算机设备在运行过程中产生的正常性能采样点数据被分类为普通事件,产生的异常性能采样点数据被分类为异常事件。进一步,所述的步骤b)中,计算机设备在运行过程中将产生的正常流量采样点数据被分类为普通事件,产生的异常流量采样点数据被分类为异常事件。进一步,所述步骤d)中的安全事件的集合由直接取证过程与间接取证过程得到的结果集合组成;所述的间接取证过程为通过威胁行为模型与违规操作行为模型进行安全事件识别的过程,所述的安全事件间接取证部分包括异常事件集合与安全事件集合的交集部分;所述的直接取证过程为直接从网络安全设备中读取安全事件的过程。所述的一种网络安全设备监测的安全事件分析方法,其安全设备包括入侵检测类设备、病毒检测类设备、防火墙类设备、安全审计类设备、计算机及网络设备。进一步,所述的入侵检测类设备包括网络IDS、主机IDS和IPS。进一步,所述的病毒检测类设备包括防毒墙和病毒扫描主机。进一步,所述的防火墙类设备包括软硬件防火墙、单一主机防火墙、路由器集成防火墙和分布式防火墙。进一步,所述的安全审计类设备包括统一用户管理模块、统一授权管理模块、统一访问控制管理摸、主机监控审计模块、网络行为审计模块和数据库审计。进一步,所述的计算机及网络设备包括Windows服务器、Linux服务器和三层交换机。本专利技术的有益效果是:通过识别网络环境中各类设备产生的日志,用事件详细分类解释网络状况,针对所有事件集合,明确地给出了事件的详细分类情况,便于管理人员理解网络中实时发生的事件状态,对网络中各类事态有通用的衡量标准;对纳入事件体系的事态有进一步量化的基础;事件体系的动态性能弥补安全监管过程中被管理员忽视的重要安全事实;具体详细的事件分类易于完成信息的识别。附图说明图1为本专利技术事件体系动态调整过程;图2为本专利技术各事件集合间的关系;图3为本专利技术异常事件集合与安全事件集合的关系;图4为本专利技术普通事件的集合;图5为本专利技术异常事件的集合;图6为本专利技术威胁行为的分类;图7为本专利技术违规操作行为的分类;图8为本专利技术安全事件的集合。具体实施方式下面结合附图对本专利技术作进一步详细说明。参照图1所示,本专利技术公开了一种面向电子政务内网、适用于网络安全监测的事件分析方法,其基本适用环境中,应该包括以下安全设备:(1)入侵检测类设备,包括网络IDS(入侵检测系统)、主机IDS、IPS等设备。(2)病毒检测类设备,包括防毒墙、主机病毒扫描等。(3)防火墙类设备,包括软硬件防火墙、单一主机防火墙、路由器集成防火墙、分布式防火墙等。(4)安全审计类设备,包括统一用户管理、统一授权管理、统一访问控制管理、主机监控审计、网络行为审计、数据库审计等。(5)计算机及网络设备,包括Windows服务器、Linux服务器、三层交换机等。上述提到的设备类型均能够产生以下三类日志:(1)应用日志:安全设备与系统的主要功能组件对外提供服务所产生的日志。(2)系统日志:安全设备与系统的硬/软部件、组件的状态发生改变所产生的日志,包括系统更新,硬/软部件、组件的开启、关闭、不可用或发生故障等所产生的日志。计算机设备在运行过程中将会产生系统日志。系统日志根据异常识别模型(异常识别模型是为了检测安全设备工作产生的日志是否违背正常工作状态而设计的模型。该模型根据实际需求可以简化,例如利用关键字识别异常日志,也可以用学术界讨论中的复杂模型)分为正常的系统日志和异常系统日志。(3)安全日志:安全设备与系统自身的安全机制运行中产生的日志,以及管理员登入、登出系统,进行系统配置管理,进行授权管理所产生的日志。以上五类安全设备共产生十五种不同类型的日志。其中,系统日志根据异常识别模型分为正常的系统日志和异常系统日志。同时,计算机设备在运行过程中将产生性能数据。根据性能异常识别模型分为异常状态与正常状态,其中正常性能采样点数据(当该时间点被异常识别模型识别为正常的时候,在该时间点与主机性能相关的数值将被记录下来,作为事件,下同)被分类为普通事件,异常性能采样点数据被分类为异常事件。其中,性能异常识别模型是根据历史数据或正常状态下性能状态,寻找出与正常状态相差过大的数据。性能异常识别模型能够很简单,如设定阈值来判断异常与否;也能够用比较复杂的数学模型。另外,计算机设备在运行过程中将产生流量数据。根据流量异常识别模型分为异常状态与正常状态。其中正常流量采样点数据被分类为普通事件,异常流量采样点数据被分类为异常事件。首先,将所有正常的安全日志合并为一份安全日志。然后,各类安全设备的异常日志合并成一份该类设备的异常日志,即:入本文档来自技高网...
【技术保护点】
一种网络安全设备监测的安全事件分析方法,其特征在于:包括如下步骤a),日志的识别根据日志报文中某个关键字,辨别该日志报文是应用日志、系统日志、还是安全日志;所述的应用日志为安全设备与其系统的主要功能组件对外提供服务所产生的日志;所述的系统日志为安全设备与其系统的硬/软部件、组件的状态发生改变所产生的日志,包括系统更新,硬/软部件、组件的开启、关闭、不可用或发生故障等所产生的日志;所述的安全日志为安全设备在其系统自身的安全机制运行中产生的日志,以及管理员登入、登出系统、进行系统配置管理、进行授权管理所产生的日志;b),日志的分类将上述日志分成普通事件、异常事件和安全事件;所述的普通事件代表正常的网络记录;所述的异常事件代表违反网络管理规则或者明显与正常行为存在差异的事件;所述的安全事件代表通过网络安全设备或者其它技术手段捕获到网络中危害信息安全与系统安全的事件;c),异常事件的转化从普通事件的集合中通过异常识别方法寻找出异常事件,将找到的异常事件与从网络中直接搜集到的异常事件组成异常事件的集合;d),安全事件的转化从异常事件的集合中通过识别违规操作行为和威胁行为寻找出安全事件,即可将找到的安全事件与从网络直接搜集到的安全事件组成安全事件的集合。...
【技术特征摘要】
1.一种网络安全设备监测的安全事件分析方法,其特征在于:包括如下步骤a),日志的识别根据日志报文中某个关键字,辨别该日志报文是应用日志、系统日志、还是安全日志;所述的应用日志为安全设备与其系统的主要功能组件对外提供服务所产生的日志;所述的系统日志为安全设备与其系统的硬/软部件、组件的状态发生改变所产生的日志,包括系统更新,硬/软部件、组件的开启、关闭、不可用或发生故障等所产生的日志;所述的安全日志为安全设备在其系统自身的安全机制运行中产生的日志,以及管理员登入、登出系统、进行系统配置管理、进行授权管理所产生的日志;b),日志的分类将上述日志分成普通事件、异常事件和安全事件;所述的普通事件代表正常的网络记录;所述的异常事件代表违反网络管理规则或者明显与正常行为存在差异的事件;所述的安全事件代表通过网络安全设备或者其它技术手段捕获到网络中危害信息安全与系统安全的事件;c),异常事件的转化从普通事件的集合中通过异常识别方法寻找出异常事件,将找到的异常事件与从网络中直接搜集到的异常事件组成异常事件的集合;d),安全事件的转化从异常事件的集合中通过识别违规操作行为和威胁行为寻找出安全事件,即可将找到的安全事件与从网络直接搜集到的安全事件组成安全事件的集合。2.根据权利要求1所述的一种网络安全设备监测的安全事件分析方法,其特征在于,所述的步骤b)中,计算机设备在运行过程中产生的正常性能采样点数据被分类为普通事件,产生的异常性能采样点数据被分类为异常事件。3.根据权利要求1所述的一种网络安全设备监测的安全事件分析方法,其特征在于,所述的步骤b)中,计算机设备在运行过程中将产生...
【专利技术属性】
技术研发人员:刘毅,李渊,吴峥,肖霄,周洁,
申请(专利权)人:瑞达信息安全产业股份有限公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。