本发明专利技术提供一种基于RASP的SIEM日志管理方法、装置、设备及介质,通过在web容器中加载RASP探针,配置SIEM安全漏洞信息分析模块,采用SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测,采用RASP处理规则对安全攻击事件进行处理,得到安全攻击事件处理信息,将安全攻击事件处理信息发送至Portal端。即本技术方案在进行实施时,基于RASP技术与SIEM安全漏洞信息分析模块进行有机的结合,从而实现对安全攻击事件的实时防护和追踪,进而更加高效的获取安全漏洞攻击的详细信息,从而能够确保安全漏洞防护的准确性,减少误报,从而有效的提高系统的安全漏洞防护效率。并且通过RASP技术用来对生产环境上的应用进行实时的保护,适用场景更符合实际,不会受到局限。不会受到局限。不会受到局限。
【技术实现步骤摘要】
基于RASP的SIEM日志管理方法、装置、设备及介质
[0001]本专利技术涉及网络安全
,具体涉及基于RASP(Runtime application self
‑
protection,运行时应用程序自我保护)的SIEM(Security Information and Event Management,安全、信息和事件管理)日志管理方法、装置、设备及介质。
技术介绍
[0002]现在的web应用安全防护基本上都是发现安全漏洞后进行处理,很少能进行安全攻击事前防御。最近RASP技术被引入到应用软件安全的保护中来,目前的基于RASP形成的专利基本上都是使用传统硬件的,如WAF(Web Application Fire ware)的规则匹配和硬件相结合,如云Waf等。但是这些技术大部分是基于硬件相结合,在web服务器的前端架设相关的硬件进行安全漏洞的防御,没有真正的深入到应用的代码级别对web服务器进行深层次的安全防御,缺点如下:部署复杂,成本高,普适性差;无法进行安全攻击的实时预警和防御;无法进行Web服务器深层次的安全防御;无法实现系统升级导致的防护滞后;没法解决用户的个性化安全防御的需求;防护效率低;适用场景有所局限。
[0003]因此,现有技术有待于改善。
技术实现思路
[0004]本专利技术的主要目的在于提出一种基于RASP的SIEM日志管理方法、装置、设备及介质,以至少解决相关技术中web应用的防护方式存在的防护效率低的技术问题。
[0005]本专利技术的第一方面,提供了一种基于RASP的SIEM日志管理方法,包括:
[0006]在web容器中加载RASP探针,通过所述RASP探针配置SIEM安全漏洞信息分析模块;
[0007]采用所述SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测;
[0008]当检测到安全攻击事件时,采用预设的RASP处理规则对所述安全攻击事件进行处理,得到安全攻击事件处理信息;
[0009]将所述安全攻击事件处理信息发送至Portal端;其中,所述Portal端用于将所述安全攻击事件处理信息显示于预设用户界面。
[0010]本专利技术的第二方面提供了一种应用升级装置,包括:
[0011]加载模块,用于在web容器中加载RASP探针,通过所述RASP探针配置SIEM安全漏洞信息分析模块;
[0012]检测模块,用于采用所述SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测;
[0013]处理模块,用于当检测到安全攻击事件时,采用预设的RASP处理规则对所述安全攻击事件进行处理,得到安全攻击事件处理信息;
[0014]发送模块,用于将所述安全攻击事件处理信息发送至Portal端;其中,所述Portal端用于将所述安全攻击事件处理信息显示于预设用户界面。
[0015]本专利技术的第三方面,提供了一种电子设备,包括存储器、处理器及总线;
[0016]所述总线用于实现所述存储器、处理器之间的连接通信;
[0017]所述处理器用于执行存储在所述存储器上的计算机程序;
[0018]所述处理器执行所述计算机程序时,实现第一方面提供的基于RASP的SIEM日志管理方法中的步骤。
[0019]本专利技术的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现第一方面提供的基于RASP的SIEM日志管理方法中的步骤。
[0020]本专利技术提供了一种基于RASP的SIEM日志管理方法、装置、设备及介质,通过在web容器中加载RASP探针,通过RASP探针配置SIEM安全漏洞信息分析模块,采用SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测,当检测到安全攻击事件时,采用预设的RASP处理规则对安全攻击事件进行处理,得到安全攻击事件处理信息,将安全攻击事件处理信息发送至Portal端,Portal端用于将安全攻击事件处理信息显示于预设用户界面。即本技术方案在进行实施时,基于RASP技术与SIEM安全漏洞信息分析模块进行有机的结合,从而实现对安全攻击事件的实时防护和追踪,进而更加高效的获取安全漏洞攻击的详细信息,从而能够确保安全漏洞防护的准确性,减少误报,从而有效的提高系统的安全漏洞防护效率。并且通过RASP技术用来对生产环境上的应用进行实时的保护,可以在产线上为应用进行实时防护,适用场景更符合实际,不会受到局限。
附图说明
[0021]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0022]图1为本申请第一实施例提供的基于RASP的SIEM日志管理方法的基本流程示意图;
[0023]图2为本申请第二实施例提供的基于RASP的SIEM日志管理方法的细化流程示意图;
[0024]图3为本申请第三实施例提供的应用升级装置的程序模块示意图;
[0025]图4为本申请第四实施例提供的电子设备的结构示意图。
[0026]本专利技术目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
[0027]应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。
[0028]需要注意的是,相关术语如“第一”、“第二”等可以用于描述各种组件,但是这些术语并不限制该组件。这些术语仅用于区分一个组件和另一组件。例如,不脱离本专利技术的范围,第一组件可以被称为第二组件,并且第二组件类似地也可以被称为第一组件。术语“和/或”是指相关项和描述项的任何一个或多个的组合。
[0029]请参阅图1,图1示出了本专利技术实施例所提供的一种基于RASP的SIEM日志管理方法,其包括以下步骤:
[0030]步骤S101,在web容器中加载RASP探针,通过RASP探针配置SIEM安全漏洞信息分析模块。
[0031]具体的,web容器为一种服务程序,在服务器一个端口就有一个提供相应服务的程序,而这个程序就是处理从客户端发出的请求,如JAVA中的Tomcat容器,ASP的IIS或PWS都是这样的容器。一般来说,一个服务器可以有多个容器,即web容器会处于一个服务器中。
[0032]应当理解的是,RASP探针为基于实时应用程序自我保护(RASP,Runtime Application Self
‑
Protection)技术的安全检测探针,RASP是一种新型应用安全保护技术,它将保护程序像“疫苗”一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。RASP技术本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于RASP的SIEM日志管理方法,其特征在于,包括:在web容器中加载RASP探针,通过所述RASP探针配置SIEM安全漏洞信息分析模块;采用所述SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测;当检测到安全攻击事件时,采用预设的RASP处理规则对所述安全攻击事件进行处理,得到安全攻击事件处理信息;将所述安全攻击事件处理信息发送至Portal端;其中,所述Portal端用于将所述安全攻击事件处理信息显示于预设用户界面。2.如权利要求1所述基于RASP的SIEM日志管理方法,其特征在于,所述通过所述RASP探针配置SIEM安全漏洞信息分析模块的步骤,具体包括:通过所述RASP探针向Portal端发送模块配置指令;其中,所述Portal端为存储有SIEM安全漏洞信息分析模块的加载信息;接收所述Portal端发送的加载信息,并根据所述加载信息配置SIEM安全漏洞信息分析模块。3.如权利要求1所述基于RASP的SIEM日志管理方法,其特征在于,所述采用所述SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测的步骤,具体包括:采用Syslog集成模块、Logstash模块和Splunk模块分别对web容器中访问流量进行第一安全检测;其中,所述Syslog集成模块、Logstash模块和Splunk模块组成SIEM安全漏洞信息分析模块,并分别配置有不同的安全检测策略。4.如权利要求3所述基于RASP的SIEM日志管理方法,其特征在于,在所述采用Syslog集成模块、Logstash模块和Splunk模块分别对web容器中访问流量进行第一安全检测的步骤之后,还包括:对所检测出的安全攻击事件进行第二安全检测,得到所述安全攻击事件的攻击频率、攻击位置、严重程度及攻击类型;根据所述攻击频率、攻击位置、严重程度及攻击类型计算web容器的当前安全有效值;当所述web容器的当前安全有效值小于预设安全阈值时,执行所述采用预设的RASP处理规则对所述安全攻击事件进行处理的步骤。5.如权利要求3所述基于RASP的SIEM日志管理方法,其特征在于,所述采用预设的RASP处理规则对所述安全攻击事件进行处理,得到安全攻击事件处理信息的步骤,具体包括:通过所述RASP处理规则分析所述安全攻...
【专利技术属性】
技术研发人员:何成刚,万振华,王颉,李华,董燕,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。