本发明专利技术公开了一种防病毒管理系统及方法,防病毒管理系统包括:搜索引擎、SOC和防病毒数据库服务器;多个防病毒数据库服务器布置于不同的区域,防病毒数据库服务器用于获取所在区域内的网络设备的病毒告警日志;病毒告警日志包括告警信息;搜索引擎用于拉取各个区域的防病毒数据库服务器中的病毒告警日志;SOC用于根据告警信息对病毒告警日志进行报警等级划分。本发明专利技术统一大型企业生产、测试、IT等各环境区域和分公司防病毒日志告警响应平台,自动化分析海量告警日志,为运维安全人员提供便捷、快速、准确的高危病毒事件处理平台,解决以往防病毒系统分散,防病毒日志繁多,无法快速检测高危病毒事件,防病毒告警日志发现滞后的问题。
【技术实现步骤摘要】
防病毒管理系统及方法
本专利技术涉及信息安全
,特别涉及一种针对大型企业的基于SOC(SecurityOperationCenter,综合性安全运营中心)管理的防病毒管理系统及方法。
技术介绍
为了确保企业内部的网络信息安全,一般会在企业内部服务器、办公电脑、虚拟终端设备等网络设备上安装防病毒和漏洞修复等安全管理软件,且各个网络设备上的安全管理软件相互独立。大型企业由于其办公设备数量庞大,量以万级甚至十万级,且企业的分公司、下属机构繁多,办公设备布置较分散,致使企业内部的防病毒告警日志数量庞大,防病毒系统部署分散,企业安全人员日常需维护多套防病毒系统。由于现有技术中缺乏针对大型企业的有效的防病毒管理系统,病毒告警日志需要人工核查。人工核查效率低,无法快速检测高危病毒事件,致使病毒告警日志滞后,无法第一时间发现严重病毒威胁事件,企业的信息安全存在隐患。
技术实现思路
本专利技术要解决的技术问题是为了克服现有技术中缺乏针对大型企业的有效的防病毒管理系统,致使病毒告警日志滞后,无法第一时间发现严重病毒威胁事件的缺陷,提供一种防病毒管理系统及方法。本专利技术是通过下述技术方案来解决上述技术问题:一种防病毒管理系统,用于对网络设备进行防病毒管理,所述防病毒管理系统包括:搜索引擎、SOC和多个防病毒数据库服务器;所述多个防病毒数据库服务器布置于不同的区域,所述防病毒数据库服务器用于获取所在区域内的网络设备的病毒告警日志;所述病毒告警日志包括告警信息;所述搜索引擎用于拉取各个区域的防病毒数据库服务器中的所述病毒告警日志;所述SOC用于根据所述告警信息对所述病毒告警日志进行报警等级划分。较佳地,所述搜索引擎还用于为每个病毒告警日志设置标签;所述SOC则根据所述标签和所述告警信息对所述病毒告警日志进行报警等级划分;所述标签包括防病毒数据库服务器的位置信息。较佳地,所述报警等级包括高危等级和严重等级;所述SOC还用于根据目标告警信息生成报警信息,并通过邮件和/或短信的方式提示报警信息;所述目标告警信息为被划分为高危等级或严重等级的病毒告警日志包含的告警信息。较佳地,所述告警信息包括以下字段中的至少一种:网络设备的名称、网络设备的IP地址、网络设备的用户账号、病毒名称、感染病毒值、威胁处理结果描述、病毒日志上传防病毒数据库服务器时间、病毒查杀时间、查杀病毒文件、查杀进程名称和查杀状态。较佳地,所述SOC还用于在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,生成设备断网请求,并在接收到设备断网指令时断开目标网络设备与其他网络设备的通信连接;或,所述防病毒管理系统还包括交换机接口;所述SOC还用于在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,调用所述交换机接口,以关闭所述目标网络设备的网络端口;所述目标网络设备为发送的病毒告警日志被划分为高危等级或感染病毒值大于病毒阈值的网络设备。本专利技术还提供一种防病毒管理方法,所述防病毒管理方法利用上述防病毒管理系统实现,所述防病毒管理方法包括以下步骤:S1、所述防病毒数据库服务器获取所在区域内的网络设备的病毒告警日志;所述病毒告警日志包括告警信息;S2、所述搜索引擎拉取各个区域的防病毒数据库服务器中的所述病毒告警日志;S3、所述SOC根据所述告警信息对所述病毒告警日志进行报警等级划分。较佳地,步骤S2还包括:所述搜索引擎为每个病毒告警日志设置标签;步骤S3用步骤S3’替代;S3’、所述SOC根据所述标签和所述告警信息对所述病毒告警日志进行报警等级划分;所述标签包括防病毒数据库服务器的位置信息。较佳地,所述报警等级包括高危等级和严重等级;所述防病毒管理方法还包括:S4、所述SOC根据目标告警信息生成报警信息,并通过邮件和/或短信的方式提示报警信息;所述目标告警信息为被划分为高危等级或严重等级的病毒告警日志包含的告警信息。较佳地,所述告警信息包括以下字段中的至少一种:网络设备的名称、网络设备的IP地址、网络设备的用户账号、病毒名称、感染病毒值、威胁处理结果描述、病毒日志上传防病毒数据库服务器时间、病毒查杀时间、查杀病毒文件、查杀进程名称和查杀状态。较佳地,所述防病毒管理方法还包括:所述SOC在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,生成设备断网请求,并在接收到设备断网指令时断开目标网络设备与其他网络设备的通信连接;或,所述SOC在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,调用所述交换机接口,以关闭所述目标网络设备的网络端口;所述目标网络设备为发送的病毒告警日志被划分为高危等级或感染病毒值大于病毒阈值的网络设备。本专利技术的积极进步效果在于:本专利技术统一大型企业生产、测试、IT等各环境区域和分公司防病毒日志告警响应平台,自动化分析海量告警日志,为运维安全人员提供便捷、快速、准确的高危病毒事件处理平台,解决以往防病毒系统分散,防病毒日志繁多,无法快速检测高危病毒事件,防病毒告警日志发现滞后的问题。附图说明图1为本专利技术实施例1的防病毒管理系统的模块示意图;图2为本专利技术实施例1的防病毒管理系统的工作流程图;图3为本专利技术实施例2的防病毒管理方法的流程图;图4为本专利技术实施例3的防病毒管理方法的流程图。具体实施方式下面通过实施例的方式进一步说明本专利技术,但并不因此将本专利技术限制在所述的实施例范围之中。实施例1本实施的防病毒管理系统用于对网络设备进行防病毒管理,网络设备包括计算机、服务器和虚拟终端等。对于大型企业来说,分公司、下属机构繁多,且可能在不同的地点,因此网络设备布置于不同的地点、区域,不同地点、区域的网络设备相互之间通过各区域汇聚层交换机通信连接,构成通信网络。网络设备上安装有防病毒软件客户端,防病毒软件客户端可对网络设备进行病毒查杀,并生成病毒告警日志。如图1-2所示,本实施例的防病毒管理系统包括:搜索引擎1、SOC2和多个防病毒数据库服务器3(AntiVirusDateBase,AVDB)。多个防病毒数据库服务器布置于不同的区域。防病毒数据库服务器3用于获取所在区域内的网络设备的病毒告警日志。其中,病毒告警日志包括告警信息,告警信息中包括多个字段。由于防病毒数据库服务器布置于不同的区域,一般在每个区域布置一台防病毒数据库服务器,获取到的数据源分别来自生产、测试、办公、云端(公有云、私有云、混合云)和分公司。搜索引擎1用于拉取(可以定时拉取,也可以实时拉取)各个区域的防病毒数据库服务器中的病毒告警日志。搜索引擎还用于为每个病毒告警日志设置标签,标签包括防病毒数据库服务器的位置信息,也即将来自于生产环境的告警日志的标签标记为OPSAV、来自测试环境的告警日志的标签为QATEAV、来自办公环境的告警日志的标签为ITAV、来自云端的告警日志的标签为CloudAV、来自分公司的告警日志的标签为BranchAV。搜索引擎具体通过ElasticSearch(大数据日志搜索引擎,ES)实现。SOC2用于实时(也可以定时)拉取ElasticSearch上的病毒告警日志,并根据告警信息(或根据告警信息和标签)对病毒告警日志进行报警等级划分,并输出等级划分结果。为了减小计算量,本文档来自技高网...
【技术保护点】
1.一种防病毒管理系统,其特征在于,用于对网络设备进行防病毒管理,所述防病毒管理系统包括:搜索引擎、SOC和多个防病毒数据库服务器;所述多个防病毒数据库服务器布置于不同的区域,所述防病毒数据库服务器用于获取所在区域内的网络设备的病毒告警日志;所述病毒告警日志包括告警信息;所述搜索引擎用于拉取各个区域的防病毒数据库服务器中的所述病毒告警日志;所述SOC用于根据所述告警信息对所述病毒告警日志进行报警等级划分。
【技术特征摘要】
1.一种防病毒管理系统,其特征在于,用于对网络设备进行防病毒管理,所述防病毒管理系统包括:搜索引擎、SOC和多个防病毒数据库服务器;所述多个防病毒数据库服务器布置于不同的区域,所述防病毒数据库服务器用于获取所在区域内的网络设备的病毒告警日志;所述病毒告警日志包括告警信息;所述搜索引擎用于拉取各个区域的防病毒数据库服务器中的所述病毒告警日志;所述SOC用于根据所述告警信息对所述病毒告警日志进行报警等级划分。2.如权利要求1所述的防病毒管理系统,其特征在于,所述搜索引擎还用于为每个病毒告警日志设置标签;所述SOC则根据所述标签和所述告警信息对所述病毒告警日志进行报警等级划分;所述标签包括防病毒数据库服务器的位置信息。3.如权利要求1或2所述的防病毒管理系统,其特征在于,所述报警等级包括高危等级和严重等级;所述SOC还用于根据目标告警信息生成报警信息,并通过邮件和/或短信的方式提示报警信息;所述目标告警信息为被划分为高危等级或严重等级的病毒告警日志包含的告警信息。4.如权利要求1所述的防病毒管理系统,其特征在于,所述告警信息包括以下字段中的至少一种:网络设备的名称、网络设备的IP地址、网络设备的用户账号、病毒名称、感染病毒值、威胁处理结果描述、病毒日志上传防病毒数据库服务器时间、病毒查杀时间、查杀病毒文件、查杀进程名称和查杀状态。5.如权利要求4所述的防病毒管理系统,其特征在于,所述SOC还用于在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,生成设备断网请求,并在接收到设备断网指令时断开目标网络设备与其他网络设备的通信连接;或,所述防病毒管理系统还包括交换机接口;所述SOC还用于在病毒告警日志的感染病毒值大于病毒阈值或病毒告警日志被划分为高危等级或严重等级时,调用所述交换机接口,以关闭所述目标网络设备的网络端口;所述目标网络设备为发送的病毒告警日志被划分为高危等级或感染病毒值大于病毒阈值的网络设备。6...
【专利技术属性】
技术研发人员:徐楷,雷兵,凌云,江榕,余本华,
申请(专利权)人:上海携程商务有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。