【技术实现步骤摘要】
一种安全事件分析响应方法以及系统
[0001]本专利技术涉及网络设备加固领域,具体而言,涉及一种安全事件分析响应方法以及系统。
技术介绍
[0002]近年来,网络安全逐渐发展成为互联网领域的突出问题之一,全球因网络安全引发的泄露事故呈上升趋势。有关网络攻击和数据泄露的新闻也是日益频繁。随着网络设备的增加,网络管理人员需要管理越来越庞大的IT系统、服务器主机和网络设备,信息安全监控系统的建设已经被提到了一个空前的高度上。它不仅单单是一个体系的建设,更是IT系统管理中的夯实基础。
[0003]目前网络设备的安全的运维管理只能通过工程师登陆对应服务器或设备,做临时的事后分析和审计工作,缺乏统一的管理和分析,无法做到安全事件的实时定位和安全趋势分析,更无法适应海量日志和数据报文的审计管理工作,目前传统的审计和数据分析技木巳无法适应千变万化的日志格式和报文,采用手工方式对日志信息进行审计存在诸多弊端:安全性低、审计效率低、审计不全面。
[0004]有鉴于此,特提出本专利技术。
技术实现思路
[0005]...
【技术保护点】
【技术特征摘要】
1.一种安全事件分析响应的系统,其特征在于,包括:功能开启控制模块:用于控制开启或关闭该功能,避免安全事件的信息冗余;事件规则配置模块:用于配置事件的参数及应急处理的白名单IP;原始日志采集模块:用于采集推送的操作日志,以及设备底层或上层应用产生的其他第三方日志;事件归类分析模块:用于对原始日志根据其规则配置进行归类处理,作为后续设备评分计算和下发操作的数据支持;事件应急响应模块:用于安全事件的自动告警、隔离、拦截操作;事件归档输出模块:用于安全事件的归档保存,并提供列表、图表、文件的多种展现手段。2.根据权利要求1所述的系统,其特征在于,所述事件规则配置模块包括:告警方式设置模块:用于设置在安全事件产生后的告警方式;告警参数设置模块:用于设置安全事件的威胁类型、破坏程度、告警频率、命中关键字的参数,支持用户自定义扩展和多个规则的开启或者关闭;告警白名单设置模块:用于设置不产生安全事件的白名单网络设备IP,在分析和响应时自动跳过白名单列表中的网络设备。3.根据权利要求2所述的系统,其特征在于,所述原始日志采集模块包括:代理端日志抓取模块:用于实时抓取网络设备代理端推送的应用日志,并且支持存储至多种数仓;第三方日志抓取模块:用于实时抓取多个网络设备的主机日志,拓展支持多种型号的网络设备。4.根据权利要求1
‑
3任一项所述的系统,其特征在于,所述事件归类分析模块包括:规则命中模块:定时分析聚合从未参与匹配的原始日志,轮询告警参数模块中的各项参数,决定原始日志是否能命中;临时事件模块:用于处理临时安全事件转换为正式的安全事件,根据聚合时间等待,超时处理等设置参数,对临时事件转换处理;设备风险评分模块:决定网络设备的健康度评分。5.权利要求1
‑
...
【专利技术属性】
技术研发人员:马骅,李瑞玲,王思豪,张艳萍,
申请(专利权)人:北京优炫软件股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。