【技术实现步骤摘要】
一种服务器异常溯源方法、系统及存储介质
本专利技术涉及一种服务器异常溯源方法、系统及存储介质,属于网络安全
技术介绍
随着企业网络安全意识的日益增强,企业采购大量不同厂商的安全设备如WAF、IPS、IDS等,这些安全设备为企业的网络安全员在安全分析过程提供了重要依据。但是针对这些设备对产生的流量异常告警,并没有溯源到具体服务器或者终端。同时由于企业内部的日常管理需要,其内部的服务器网络拓扑无时无刻不在发生变化,所以针对网络告警如何溯源到具体服务器则是个重要课题。传统的网络异常告警溯源是流量的溯源,由于其结构特点,无法满足对具体服务器的溯源定位。综上所述,对于不同网络拓扑环境、不同厂商中的网络异常告警数据,使用传统的异常溯源处理方法并不能定位服务器位置,这样对网络安全员在处置网络安全事件时,会大大影响响应处置时间,容易导致安全事件影响扩大,造成更多不必要的安全风险。
技术实现思路
本专利技术的目的在于克服现有技术中的不足,提供一种服务器异常溯源方法、系统及存储介质,解决了传统的网络安全分析...
【技术保护点】
1.一种服务器异常溯源方法,其特征在于,所述方法包括:/n采集服务器信息,并对采集的服务器信息进行解码分析以及范式化处理,得到服务器数据;/n采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,并得到异常告警日志索引;/n对所述服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,确定发生异常的服务器。/n
【技术特征摘要】
1.一种服务器异常溯源方法,其特征在于,所述方法包括:
采集服务器信息,并对采集的服务器信息进行解码分析以及范式化处理,得到服务器数据;
采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志,并得到异常告警日志索引;
对所述服务器数据进行去冗余处理,得到去冗余后的服务器数据索引,将异常告警日志索引和服务器数据索引进行关联分析,确定发生异常的服务器。
2.根据权利要求1所述的服务器异常溯源方法,其特征在于,采集服务器信息,并对采集信息进行解码分析以及范式化处理的方法包括:
通过Agent采集服务器信息,并加密上传到后台服务端;
后台服务端对接收到的服务器信息进行解密;
对解密后的服务器信息按照采集的信息类型进行分类识别;
对识别后的服务器信息进行按规则解析,得到需要的数据字段,进行范式化处理。
3.根据权利要求2所述的服务器异常溯源方法,其特征在于,通过Agent采集的服务器信息包括下述中至少一种:服务器资产数据;API调用;系统日志;事件日志;命令行;插件。
4.根据权利要求1所述的服务器异常溯源方法,其特征在于,采集服务器涉及的网络镜像流量,对采集的镜像流量进行处理并得到异常告警日志的方法包括:
获取服务器网络镜像流量;
对采集的镜像流量进行分片重组、协议识别、协议分析,得到还原后的会话流;
对还原后的会话流进行异常检测处理、异常告警并生成异常告警审计日志。
5.根据权利要求4所述的服务器异常溯源方法,其特征在于,所述异常告警日志包括下述中的至少一种:对攻击方;受攻击方;事件发生时...
【专利技术属性】
技术研发人员:林学峰,李冬,常英贤,于晓文,蒋甜,沈伟,陈剑飞,廖鹏,吴超,李唱,葛国栋,刘新,王文婷,马雷,赵子岩,闫龙川,陈智雨,
申请(专利权)人:国网电力科学研究院有限公司,南京南瑞信息通信科技有限公司,国家电网有限公司,国网山东省电力公司,国家电网有限公司信息通信分公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。