本发明专利技术提供了一种网络安全监控的方法、系统、设备及存储介质,包括步骤:收集多个网络安全防御设备的安全日志并发送至消息缓存集群以及入侵检测服务器,通过入侵检测服务器对安全日志进行安全语义转换,并根据预设规则分析生成安全事件,将安全事件发送至消息缓存集群,当安全事件满足预设告警条件时,发送告警信息,通过集中式日志分析平台读取消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数据,通过检索前端查询索引数据,获取索引数据对应的安全日志或安全事件。本发明专利技术通过安全日志统一收集、入侵检测服务器、消息缓存集群以及集中式日志分析平台实现轻量级、多维度、安全语义标准统一、可源头追溯的安全监控。
【技术实现步骤摘要】
网络安全监控的方法、系统、设备及存储介质
本专利技术涉及网络安全领域,具体地说,涉及基于入侵检测以及数据索引的网络安全监控的方法、系统、设备及存储介质。
技术介绍
随着各种网络技术的普及化,企业的网络系统也面临着越来越多的被攻击的危险,经常遭受不同程度的入侵和破坏,严重干扰了企业网络的正常运行。为了保障基础环境和业务的安全性,企业不得不加强对网络系统的安全防护,不断追求多层次、立体化的网络安全监控系统,使用包括网络防火墙、IPS(IntrusionPreventionSystem,入侵防御系统)、WAF(WebApplicationFirewall,Web应用防火墙)、HIPS(Host-basedIntrusionPreventionSystem,基于主机型入侵防御系统)、反病毒程序等多重网络安全防御设备。然而,现有的网络安全监控系统存在以下问题:(1)日志安全语义标准不统一。由于多种网络安全防御技术来自不同的提供商,因此不同产品在对待相同安全问题的定义和日志输出上存在差异。此外,防火墙、操作系统等仅做事件记录,并没有对事件日志做全量的安全语义转换。(2)无统一入口,无法基于日志做时序分析和查询。不同网络安全防御技术所提供的入口不统一,无法为人工分析提供时序查询和原始日志查询的支持。(3)监控规则维度不足。当企业没有专业的安全团队来分析日志语义和安全场景设计时,在监控规则和维度方面会存在不足。如果基于单一因素设置监控规则,则监控误报率较高,无法定性安全事件的等级。(4)监控平台需要专业团队维护支持。在实现监控方面,主流大平台会引入专业的技术方案,如流式引擎、规则引擎、大存储环境和前端设计等,这些大而全的平台系统重且复杂,需要耗费大量的时间由专人支持和开发维护。因此,本专利技术为了解决上述技术问题,提供了一种网络安全监控的方法、系统、设备及存储介质。
技术实现思路
针对现有技术中的问题,本专利技术的目的在于提供网络安全监控的方法、系统、设备及存储介质,统一收集各类网络安全防御设备的安全日志,并对安全日志进行安全语义转换以及规则分析生成安全事件,从而进行安全事件告警,通过对安全日志以及安全事件进行统一入口的查询以及分析从而能够追溯源头,并可视化地提供分析结果。本专利技术的第一方面提供一种网络安全监控的方法,包括步骤:S101、收集多个网络安全防御设备的安全日志;S102、将安全日志发送至消息缓存集群;S103、将安全日志发送至入侵检测服务器,通过入侵检测服务器对安全日志进行安全语义转换,并根据预设规则分析生成安全事件,将安全事件发送至消息缓存集群,当安全事件满足预设告警条件时,发送告警信息;S104、配置集中式日志分析平台,通过集中式日志分析平台读取消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数据;S105、存储索引数据,配置集中式日志分析平台的检索前端,以通过检索前端查询索引数据,获取索引数据对应的安全日志或安全事件,或生成分析图表。优选地,入侵检测服务器为OSSEC服务器,集中式日志分析平台为ELK平台。优选地,步骤S101中,通过TRAP以及syslog收集安全日志。优选地,步骤S103中,入侵检测服务器按照系统内置语义解码规则对安全日志进行安全语义预转换后,按照预设的自定义安全语义解码规则对安全日志进行安全语义再转换。优选地,步骤S103中,当安全事件满足预设告警条件时,入侵检测服务器调用预设脚本对安全事件进行安全响应。本专利技术的第二方面还提供一种网络安全监控系统,网络安全监控系统对多个网络安全防御设备进行监控,网络安全监控系统包括:日志收集集群,日志收集集群用于收集多个网络安全防御设备的安全日志;入侵检测服务器,入侵检测服务器用于对安全日志进行安全语义转换,并根据预设规则分析生成安全事件,当安全事件满足预设告警条件时,发送告警信息;消息缓存集群,消息缓存集群用于存储日志收集集群发送的安全日志以及入侵检测服务器发送的安全事件;集中式日志分析平台,集中式日志分析平台包括分析模块,存储模块以及检索前端,分析模块用于读取消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数据,存储模块用于存储索引数据,检索前端与存储模块交互,检索前端用于查询索引数据,获取索引数据对应的安全日志或安全事件,或生成分析图表。优选地,入侵检测服务器为OSSEC服务器,集中式日志分析平台为ELK平台。优选地,日志收集集群通过TRAP以及syslog收集安全日志。本专利技术的第三方面还提供一种网络安全监控设备,包括:处理器;存储器,其中存储有处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述第一方面的网络安全监控的方法的步骤。本专利技术的第四方面还提供一种计算机可读存储介质,用于存储程序,程序被执行时实现上述第一方面的网络安全监控的方法的步骤。本专利技术的网络安全监控的方法、系统、设备及存储介质统一收集各类网络安全防御设备的安全日志,通过所述入侵检测服务器对安全日志进行统一的安全语义转换,从而统一全网的日志安全语义标准。通过入侵检测服务器进行规则设置,并将语义转换后的安全日志根据预设规则分析生成安全事件,从而能够简便地设置多维监控规则,从而实现轻量级的多维度监控。通过集中式日志分析平台收集安全日志以及安全事件,进行归一化处理以及字段填充以获取索引数据,通过检索前端检索索引数据从而获得对应的安全日志或安全事件,并进一步生成分析图表,实现统一入口,能够追溯源头数据,进行基于安全日志的分析。本专利技术通过入侵检测服务器实现语义转换、规则设置分析,通过集中式日志分析平台实现源头追溯以及基于安全日志的分析,使用工具简单,无需耗费专业人员或是大量时间进行开发维护。附图说明通过阅读参照以下附图对非限制性实施例所作的详细描述,本专利技术的其它特征、目的和优点将会变得更明显。图1是本专利技术一实施例的网络安全监控的方法的流程图;图2是图1中步骤S103的详细流程图;图3是本专利技术一实施例的网络安全监控系统的结构示意图;图4是本专利技术一实施例的的网络安全监控系统的数据流向示意图;图5是本专利技术一实施例的网络安全监控设备的结构示意图;以及图6是本专利技术一实施例的计算机可读存储介质的结构示意图。具体实施方式现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使得本专利技术将全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构,因而将省略对它们的重复描述。当前网络安全监控系统中存在多个网络安全防御设备,然而多个网络安全防御设备所产生的日志安全语义标准不统一,无统一入口,无法基于日志做时序分析和查询。本专利技术统一收集各类网络安全防御设备的安全日志,通过所述入侵检测服务器对安全日志进行统一的安全语义转换,根据预设规则分析生成安全事件,通过集中式日志分析平台收集安全日志以及安全事件,并处理生成索引数据,通过检索前端检索索引数据从而获得对应的安全日志或安全事件,并进一步生成分析图表,从而实现统一的安全语义标准转换,统一的入口检索,实现源头安全日志的追溯查询与分析。图1是本专利技术一实施例的网络安全监控的方法的流程图。如图1所示,本本文档来自技高网...
【技术保护点】
一种网络安全监控的方法,其特征在于,包括步骤:S101、收集多个网络安全防御设备的安全日志;S102、将所述安全日志发送至消息缓存集群;S103、将所述安全日志发送至入侵检测服务器,通过所述入侵检测服务器对所述安全日志进行安全语义转换,并根据预设规则分析生成安全事件,将所述安全事件发送至所述消息缓存集群,当所述安全事件满足预设告警条件时,发送告警信息;S104、配置集中式日志分析平台,通过所述集中式日志分析平台读取所述消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数据;S105、存储所述索引数据,配置所述集中式日志分析平台的检索前端,以通过所述检索前端查询所述索引数据,获取所述索引数据对应的所述安全日志或所述安全事件,或生成分析图表。
【技术特征摘要】
1.一种网络安全监控的方法,其特征在于,包括步骤:S101、收集多个网络安全防御设备的安全日志;S102、将所述安全日志发送至消息缓存集群;S103、将所述安全日志发送至入侵检测服务器,通过所述入侵检测服务器对所述安全日志进行安全语义转换,并根据预设规则分析生成安全事件,将所述安全事件发送至所述消息缓存集群,当所述安全事件满足预设告警条件时,发送告警信息;S104、配置集中式日志分析平台,通过所述集中式日志分析平台读取所述消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数据;S105、存储所述索引数据,配置所述集中式日志分析平台的检索前端,以通过所述检索前端查询所述索引数据,获取所述索引数据对应的所述安全日志或所述安全事件,或生成分析图表。2.根据权利要求1所述的网络安全监控的方法,其特征在于,所述入侵检测服务器为OSSEC服务器,所述集中式日志分析平台为ELK平台。3.根据权利要求1所述的网络安全监控的方法,其特征在于,所述步骤S101中,通过TRAP以及syslog收集所述安全日志。4.根据权利要求1所述的网络安全监控的方法,其特征在于,所述步骤S103中,所述入侵检测服务器按照系统内置语义解码规则对所述安全日志进行安全语义预转换后,按照预设的自定义安全语义解码规则对所述安全日志进行安全语义再转换。5.根据权利要求4所述的网络安全监控的方法,其特征在于,所述步骤S103中,当所述安全事件满足预设告警条件时,所述入侵检测服务器调用预设脚本对所述安全事件进行安全响应。6.一种网络安全监控系统,...
【专利技术属性】
技术研发人员:余本华,雷兵,凌云,
申请(专利权)人:携程旅游网络技术上海有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。