本发明专利技术公开了一种记录主机日志和操作记录审查系统,属于日志分析技术领域,包括日志采集模块、日志消息队列模块、日志分析模块、风险告警模块、数据可视化模块以及聚合查询算子分析模块;本发明专利技术可以实现对各类系统日志信息进行采集,减少了需要带多种设备到现场对不同系统进行采集,给现场采集数据带来便利性,同时节省了购买多种不同采集设备的成本,能够实现无需相关专业知识也可进行日志数据分析,而且不用每次收集日志都进行配置操作,节省了现场实施时间,可以实现日志信息告警的全方位、快速地展示并发现问题根源,在减少分析时间的同时减少日志分析展示的工作量,大大缩短客户现场等待时间。现场等待时间。现场等待时间。
【技术实现步骤摘要】
一种记录主机日志和操作记录审查系统
[0001]本专利技术涉及日志分析
,尤其涉及一种记录主机日志和操作记录审查系统。
技术介绍
[0002]目前随着大数据和各类安全设备的快速发展,网络流量海量化、复杂化成为常态,如何识别、监测、分析网络流量成为重要研究方向和企业重点关注方向。同时移动互联网流量大规模增长,这些流量成为各种威胁载体,致使攻防对抗形态逐渐成为局势且愈演愈烈。目前很多主机日志与操作记录审查缺少对第三方设备/系统接口对接能力、剧本编排能力以及任务管理能力,无法对不同类型的安全事件实现自动化响应,无法较好的实现企业的安全运营流程数字化管理,降低安全事件响应效率;
[0003]以往的信息系统日志分析仅仅按照时间序列排列实际的事件而掌握了系统人员的行动,但未具体公开通过怎样的规则检测出怎样的不正当行为。此外在攻击者入侵信息系统后,仅靠单纯的日志数据非常难以精确回放攻击者的具体的操作行为,无法实现日志信息告警的全方位、快速地展示并发现问题根源;为此,我们提出一种记录主机日志和操作记录审查系统。
技术实现思路
[0004]本专利技术的目的是为了解决现有技术中存在的缺陷,而提出的一种记录主机日志和操作记录审查系统。
[0005]为了实现上述目的,本专利技术采用了如下技术方案:
[0006]一种记录主机日志和操作记录审查系统,包括日志采集模块、日志消息队列模块、日志分析模块、风险告警模块、数据可视化模块以及聚合查询算子分析模块;
[0007]其中,所述日志采集模块用于采集各组日志信息以记录用户在服务器所有行为活动;
[0008]所述日志消息队列模块用于对由日志采集模块传输的日志信息进行处理存储;
[0009]所述日志分析模块用于对存储的系统日志数据进行分析判断;
[0010]所述风险告警模块用于对日志分析结果进行告警判断;
[0011]所述数据可视化模块用于对告警信息进行分类分级的展示;
[0012]所述聚合查询算子分析模块用于对所存储的日志数据的时间局部性与空间局部性的两种策略进行优化查询。
[0013]2、根据权利要求1所述的一种记录主机日志和操作记录审查系统,其特征在于,所述日志采集模块具体记录步骤如下:
[0014]步骤一:日志采集模块在不同的服务器部署相关的日志采集插件或者通过syslog服务器获取不同设备中所记录的日志信息,其中,日志信息具体包括监控信息系统日志以及应用系统日志;
[0015]步骤二:采集各组日志信息中用户在系统中的各类活动,并记录用户在服务器所有行为活动。
[0016]3、根据权利要求2所述的一种记录主机日志和操作记录审查系统,其特征在于,所述日志消息队列模块日志信息处理存储具体步骤如下:
[0017]步骤(1):日志消息队列模块使用logstash选择出满足工作人员预先设定的条件要求的日志信息;
[0018]步骤(2):将满足要求的日志信息处理为统一格式的日志信息,再将处理过后的日志信息发送至kafka进行存储。
[0019]4、根据权利要求3所述的一种记录主机日志和操作记录审查系统,其特征在于,所述日志分析模块分析判断具体步骤如下:
[0020]步骤Ⅰ:日志分析模块对日志消息队列模块存储在kafka中的系统日志数据进行提取,并顺序地对检测地日志数据执行相关处理操作;
[0021]步骤Ⅱ:之后将日志数据中记录地用户操作行为与攻击者行为特征进行匹配,并将匹配结果进行输出。
[0022]5、根据权利要求4所述的一种记录主机日志和操作记录审查系统,其特征在于,所述风险告警模块告警判断具体步骤如下:
[0023]第一步:风险告警模块用于接收日志分析模块的分析结果并进行判断,若同一设备的日志分析结果满足多个预设告警条件,或同一设备的多条日志分析结果共同满足统一预设告警条件,则进行风险告警;
[0024]第二步:之后风险告警模块生成相对应的告警信息,同时对该条告警的风险分数进行计算,并将计算结果进行输出。
[0025]6、根据权利要求5所述的一种记录主机日志和操作记录审查系统,其特征在于,所述风险分数具体计算公式如下:
[0026][0027]依据公式(1)计算出规则影响系数X
i
后,计算该所有命中规则的平均影响系数,其具体计算公式如下:
[0028][0029]之后对该资产的告警风险系数进行计算,其具体计算公式如下:
[0030][0031]将公式(1)和(2)带入公式(3)中可得如下公式:
[0032][0033]上述公式(1)
‑
(4)中,X
i
代表规则影响系数,R
i
代表规则重要程度,R
m
代表规则历史命中次数,R
n
代表命中规则数,M代表命中规则的平均影响系数,S代表告警风险系数,A
S
代表
资产重要性,V
i
代表漏洞严重程度。
[0034]相比于现有技术,本专利技术的有益效果在于:
[0035]本专利技术相较于以往记录审查系统,该系统通过日志采集模块在不同的服务器部署日志采集插件或通过syslog服务器获取不同设备中所记录的日志信息,可以实现对各类系统日志信息进行采集,减少了需要带多种设备到现场对不同系统进行采集,给现场采集数据带来便利性,同时节省了购买多种不同采集设备的成本,之后对与采集到的各组日志数据,通过日志分析模块对日志消息队列模块存储在kafka中的系统日志数据进行提取,并顺序地对检测地日志数据执行相关处理操作,再将日志数据中记录地用户操作行为与攻击者行为特征进行匹配,并将匹配结果进行输出,能够实现无需相关专业知识也可进行日志数据分析,而且不用每次收集日志都进行配置操作,节省了现场实施时间,同时,数据可视化模块可以实现日志信息告警的全方位展示,快速展示、发现问题根源,在减少分析时间的同时减少日志分析展示的工作量,大大缩短客户现场等待时间。
附图说明
[0036]附图用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与本专利技术的实施例一起用于解释本专利技术,并不构成对本专利技术的限制。
[0037]图1为本专利技术提出的一种记录主机日志和操作记录审查系统的系统框图。
具体实施方式
[0038]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。
[0039]参照图1,一种记录主机日志和操作记录审查系统,包括日志采集模块、日志消息队列模块、日志分析模块、风险告警模块、数据可视化模块以及聚合查询算子分析模块。
[0040]日志采集模块用于采集各组日志信息以记录用户在服务器所有行为活动。
[0041]具体的,日志采集模块在不同的服务器部署相关的日志采集插件或者通过syslog服务器获取不同设备中所记录的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种记录主机日志和操作记录审查系统,其特征在于,包括日志采集模块、日志消息队列模块、日志分析模块、风险告警模块、数据可视化模块以及聚合查询算子分析模块;其中,所述日志采集模块用于采集各组日志信息以记录用户在服务器所有行为活动;所述日志消息队列模块用于对由日志采集模块传输的日志信息进行处理存储;所述日志分析模块用于对存储的系统日志数据进行分析判断;所述风险告警模块用于对日志分析结果进行告警判断;所述数据可视化模块用于对告警信息进行分类分级的展示;所述聚合查询算子分析模块用于对所存储的日志数据的时间局部性与空间局部性的两种策略进行优化查询。2.根据权利要求1所述的一种记录主机日志和操作记录审查系统,其特征在于,所述日志采集模块具体记录步骤如下:步骤一:日志采集模块在不同的服务器部署相关的日志采集插件或者通过syslog服务器获取不同设备中所记录的日志信息,其中,日志信息具体包括监控信息系统日志以及应用系统日志;步骤二:采集各组日志信息中用户在系统中的各类活动,并记录用户在服务器所有行为活动。3.根据权利要求2所述的一种记录主机日志和操作记录审查系统,其特征在于,所述日志消息队列模块日志信息处理存储具体步骤如下:步骤(1):日志消息队列模块使用logstash选择出满足工作人员预先设定的条件要求的日志信息;步骤(2):将满足要求的日志信息处理为统一格式的日志信息,再将处理过后的日志信息发送至kafka进行存储。4.根据权利要求3所述的一种记录主机日志和操作记录审查系统,其特征在于,所述日志分析模块分析判断具体步骤如下:步骤Ⅰ:日志...
【专利技术属性】
技术研发人员:冯河清,莫文荣,薛佳年,
申请(专利权)人:上海犀点意象网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。