【技术实现步骤摘要】
一种基于安全日志关联分析的安全策略自反馈方法
[0001]本专利技术涉及网络信息安全
,尤其涉及一种基于安全日志关联分析的安全策略自反馈方法。
技术介绍
[0002]在企业的网络系统中,为了确保系统的安全运行,通常会采用多种安全技术产品进行安全防护,比如入侵监测系统、防病毒系统、防火墙系统等,同时应用服务本身也会收集一些和安全防护相关的日志信息,由于各类业务防护系统日志格式不统一,且日志信息量非常大,处理不及时,这类信息通常只能作为事后分析使用,即使个别安全防护系统做到了实时的安全告警通知,但是告警通知误报率较高,大部分告警信息不是安全技术人员所关心的信息,另外,各个安全系统相互独立,日志报警信息互不关联,安全策略的配置难以实现自动化。
技术实现思路
[0003]为了解决上述技术问题,本专利技术公开了一种基于安全日志关联分析的安全策略自反馈方法,包括以下步骤:
[0004]步骤1,创建安全日志信息采集程序;
[0005]步骤2,创建消息队列,所述消息队列包括安全日志原始消息队列、日志解析...
【技术保护点】
【技术特征摘要】
1.一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,包括以下步骤:步骤1,创建安全日志信息采集程序;步骤2,创建消息队列,所述消息队列包括安全日志原始消息队列、日志解析消息队列、关联分析消息队列和安全策略下发指令消息队列;步骤3,创建与每个所述消息队列一一对应的消费服务,所述消费服务包括原始信息消费服务、解析信息消费服务、关联分析信息消费服务和安全策略指令分发服务;步骤4,通过所述安全日志信息采集程序,采集安全日志原始信息,并将所述安全日志原始信息存入安全日志原始消息队列;步骤5,创建事件流处理引擎、日志解析规则、日志关联分析规则及安全策略指令生成规则;步骤6,在所述事件流处理引擎中根据各类安全日志信息注册事件,将所述事件的类型与步骤5中的规则相关联,用于当所述事件发生时通过步骤5中的规则自动触发与事件相关联的自定义动作;步骤7,通过所述原始信息消费服务,从所述安全日志原始消息队列中取出安全日志原始信息,并包装成事件输入到所述事件流处理引擎中,匹配所述日志解析规则,输出解析后的日志信息到日志解析消息队列中;步骤8,在所述事件流引擎的监听器中定义滑动时间窗口,通过所述解析信息消费服务,从所述日志解析消息队列中取出解析后的日志信息,输入到所述事件流处理引擎中,匹配所述日志关联分析规则,生成关联分析日志信息并输出到所述关联分析消息队列;步骤9,通过所述关联分析信息消费服务,从所述关联分析消息队列中读取关联分析日志信息,输入到事件流处理引擎中,匹配安全策略指令生成规则,生成安全策略指令信息并输出到所述安全策略下发指令消息队列;步骤10,通过所述安全策略指令分发服务,从所述安全策略指令消息队列中获取安全策略变更指令,下发给对应的网络安全防护设备,实现安全防护策略的变更。2.根据权利要求1所述的一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,所述步骤1包括:步骤1-1,创建日志接口采集子程序,用于针对提供标准协议接口的网络安全防护设备,通过所述标准协议接口获取安全日志信息,并将所述安全日志信息存入到消息队列中;步骤1-2,创建日志文件采集子程序,用于针对将所述安全日志信息写入日志文本文件中的应用程序,定期收割增量的所述安全日志信息,并将所述安全日志信息存入到消息队列中。3.根据权利要求2所述的一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,所述步骤2包括:创建所述安全日志原始消息队列,用于存放各种不同安全设备产生的安全日志信息;创建所述日志解析消息队列,用于存放日志解析后的日志信息;创建所述关联分析消息队列,用于存放日志关联分析后的结果信息;创建所述安全策略下发指令消息队列,用于存放安全策略下发指令信息。4.根据权利要求3所述的一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,所述步骤3包括:
针对所述安全日志原始消息队列、日志解析消息队列、关联分析消息队列、安全策略下发指令消息队列创建对应的消费服务,所述消费服务与对应的消息队列绑定,用于从对应的队列中取出消息,对所述消息进行事件包装,为后续的事件流处理做准备。5.根据权利要求4所述的一种基于安全日志关联分析的安全策略自反馈方法,其特征在于,所述步骤5包括创建事件流处理引擎、日志解析规则、日志关联分析...
【专利技术属性】
技术研发人员:田闯,王小鹏,石启良,陈昊望,高丽芬,胡章元,
申请(专利权)人:中通服咨询设计研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。