【技术实现步骤摘要】
基于五加一元组日志溯源业务数据安全事件方法及系统
[0001]本专利技术涉及计算机网络安全
,具体为一种基于五加一元组日志溯源业务数据安全事件方法及系统。
技术介绍
[0002]在企业网中,应用分为两大类:一类是基础设施应用,比如,交换机服务,路由器服务,防火墙服务,DHCP服务,企业用户登录认证服务,等等。这一类应用主要确保网络服务的可用性和可靠性;和另一类企业业务应用,比如文件服务系统,电子邮件系统,OA系统,数据库系统,等等。这一类应用主要关注企业业务逻辑和业务数据。
[0003]根据上述分类,基础设施应用主要是保证网络链接和运行,企业业务应用主要是进行企业业务逻辑和数据处理。因此企业数据安全事故都与企业业务应用有关。事实上,企业数据安全事故溯源都很容易追溯到特定的企业应用和设备的源IP上。一旦知道了数据安全事件的内容,就知道数据来自哪个企业应用。在那个企业应用的日志里找出与其事件有关的日志,每条日志里都会有事件的源IP信息。
[0004]但是,要想找出与安全数据事件有关的企业用户,这个溯源任务就艰巨了。企业目前安全数据事件溯源都是依赖专业的SIEM软件。SIEM软件系统必须处理海量日志来解决各种事件时间同步的问题才能关联到企业用户。因此,SIEM系统即庞大又昂贵。
技术实现思路
[0005]本专利技术的目的在于提供一种基于五加一元组日志溯源业务数据安全事件方法及系统,以解决上述
技术介绍
中提出的问题。
[0006]为实现上述目的,本专利技术提供如下技术方案:>[0007]一种基于五加一元组日志溯源业务数据安全事件方法,包括:
[0008]构建实时源IP与企业用户名对应关系;
[0009]实时处理基础设施应用流量时额外提取企业用户信息;
[0010]实时处理业务应用流量时额外增加企业用户信息;
[0011]安全事件溯源,输出结果。
[0012]优选的,构建实时源IP与企业用户名对应关采用通过搭建key
‑
value数据库,用于插入和查询源IP到企业用户的对应关系。
[0013]优选的,构建实时源IP与企业用户名对应关采用使用哈希映射表来储存实时源IP和企业用户名的对应关系,其中源IP是key,用户名是value,根据源IP用于找到用户名。
[0014]优选的,实时处理基础设施应用流量时额外提取企业用户信息包括实时采集企业的认证流量以收集企业的员工上网认证日志,包括Windows域认证服务流量和日志,把其中的源IP和用户名信息提取出来插入到搭建的数据库。
[0015]优选的,实时处理业务应用流量时额外增加企业用户信息包括:日志收集、日志加工以及日志储存。
[0016]优选的,日志收集包括:
[0017]从业务流量里采集业务的事件日志;
[0018]日志加工包括用原始事件日志里的源IP作为关键值通过搭建的数据库获取企业用户信息,并把企业用户信息填加到日志内容里,把常见五元组日志变为五加一元组日志,
[0019]日志储存包括把加工好的五加一元组日志储存到统一的日志数据库。
[0020]优选的,当某一个具体的安全产品报出安全事件时,根据其五元组信息到五加一元组日志数据库查询相关日志找到对应的企业员工。
[0021]为实现上述目的,本专利技术还提供如下技术方案:
[0022]一种基于五加一元组日志溯源业务数据安全事件系统,包括:
[0023]构建模块,用于构建实时源IP与企业用户名对应关系;
[0024]提取模块,用于实时处理基础设施应用流量时额外提取企业用户信息;
[0025]增加模块,用于实时处理业务应用流量时额外增加企业用户信息;以及
[0026]溯源模块,用于安全事件溯源,输出结果。
[0027]与现有技术相比,本专利技术的有益效果是:
[0028]每个业务日志相对独立,溯源时不需要其它日志支持。业务安全事故溯源到企业用户快速准确,一步到位。企业用户关联利用实时时间同步原理,不像SIEM产品需要用复杂算法来做时间同步。企业用户关联采用现代边缘计算理论,在采集器上进行。这样的结果是,企业用户关联只计算一次,不像SIEM产品那样对每一个安全事件都要重新做一次关联计算。利用企业业务系统的五加一元组日志快速准确地把业务安全事件溯源到企业用户头上。
附图说明
[0029]图1为本专利技术的方法框图;
[0030]图2为本专利技术的系统框图。
具体实施方式
[0031]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0032]实施例:
[0033]请参阅图1至图2,本专利技术提供一种技术方案:
[0034]本专利技术是使用网络数据采集器5+1元组日志溯源业务数据安全事件的方法,解决了:在网络业务安全事故溯源时,基于业务系统的五元组日志,要想从事故对应的日志追溯到企业员工,是件非常复杂费时的工作。目前企业主要借助昂贵的SIEM产品来实现。本专利技术从数据采集器入手,在采集业务应用网络五元组数据时,利用企业基础设施的流量帮助,实时把业务日志关联到企业用户上,转换成5+1元组数据信息,为后续企业安全事件溯源到企业用户提供简单快捷的分析手段。
[0035]本专利技术利用采集器实时处理流量来解决各种事件时间同步的问题。利用实时的特
性保证多个系统事件之间的时间同步,同时记载谁是哪个源IP上的企业用户。
[0036]其次,在采集到业务流量的五元组等信息后,在输出业务日志的过程中,把当时此五元组里源IP所对应的企业用户信息插入到日志里再输出。这样,企业业务日志除原来的五元组信息,也包含了企业用户信息。
[0037]在业务数据事故溯源时,用事件内容很快就可以找出与事故相关的业务日志,日志里不仅包括源IP,还直接包含有企业用户的信息,根本不需要使用SIEM使用来溯源找出企业用户了。
[0038]在针对网络业务日志是基于业务流量的五元组信息和事件内容,在日志里没有企业用户信息。这给后续的安全事件溯源定位到企业用户头上带来很多问题,不仅费时,而且需要复杂的专业溯源工具(比如SIEM软件)。这是因为这些专业溯源软件必须在海量的日志里把不同时间的基础设施应用日志和企业业务应用日志进行同步处理才能通过设备源IP准确地把企业用户关联到业务系统的日志上。本专利技术的目的是采用边缘计算理念,把在SIEM平台上离线关联的计算在采集器上实时进行,让网络业务日志直接包括企业用户信息,大大地简化了后续安全事件溯源的复杂程度。当出现业务数据安全事件后,不使用复杂工具也可以快速准确地把安全事故定位到企业用户头上。
[0039]本专利技术的核心是在采集器上检测业务流量时产生一种“混合”日志,日志的内本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于五加一元组日志溯源业务数据安全事件方法,其特征在于,包括:构建实时源IP与企业用户名对应关系;实时处理基础设施应用流量时额外提取企业用户信息;实时处理业务应用流量时额外增加企业用户信息;安全事件溯源,输出结果。2.根据权利要求1所述的一种基于五加一元组日志溯源业务数据安全事件方法,其特征在于,构建实时源IP与企业用户名对应关采用通过搭建key
‑
value数据库,用于插入和查询源IP到企业用户的对应关系。3.根据权利要求1所述的一种基于五加一元组日志溯源业务数据安全事件方法,其特征在于,构建实时源IP与企业用户名对应关采用使用哈希映射表来储存实时源IP和企业用户名的对应关系,其中源IP是key,用户名是value,根据源IP用于找到用户名。4.根据权利要求2所述的一种基于五加一元组日志溯源业务数据安全事件方法,其特征在于,实时处理基础设施应用流量时额外提取企业用户信息包括实时采集企业的认证流量以收集企业的员工上网认证日志,包括Windows域认证服务流量和日志,把其中的源IP和用户名信息提取出来插入到搭建的数据库。5.根据权利...
【专利技术属性】
技术研发人员:成春庆,
申请(专利权)人:合肥全息网御科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。