專利名稱:網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種關(guān)聯(lián)分析系統(tǒng)�����,具體講是一種涉及計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中IT資源運(yùn) 行的實(shí)時(shí)監(jiān)控���、安全的實(shí)時(shí)監(jiān)控、風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)控�,實(shí)現(xiàn)對(duì)企業(yè)和組織的計(jì)算機(jī)網(wǎng)絡(luò)中復(fù)雜 IT資源及其安全防御設(shè)施運(yùn)行過(guò)程中不斷產(chǎn)生的各類安全日志和事件進(jìn)行統(tǒng)一采集、傳 輸���、分析��、發(fā)布等全方位的實(shí)時(shí)監(jiān)控����。
背景技術(shù):
當(dāng)今的企業(yè)和組織在IT信息安全領(lǐng)域面臨比以往更為復(fù)雜的局面��,這既有來(lái)自 于企業(yè)和組織外部的層出不窮的入侵和攻擊,也有來(lái)自于企業(yè)和組織內(nèi)部的違規(guī)和泄漏�。 為了不斷應(yīng)對(duì)新的安全挑戰(zhàn),企業(yè)和組織先后部署了防病毒系統(tǒng)�、防火墻、入侵檢測(cè)系統(tǒng)�、 漏洞掃描系統(tǒng)、UTM等等��。這種被動(dòng)的安全建設(shè)過(guò)程就像是在開放的區(qū)域下砌墻�,為了抵御 某一方面的安全威脅,不斷地把墻加高����,不斷地砌出新墻。通過(guò)這種方法建立的安全系統(tǒng)一 般僅能防堵來(lái)自某個(gè)方面的安全威脅���,從而形成了一個(gè)個(gè)安全防御孤島���,無(wú)法產(chǎn)生協(xié)同效 應(yīng)。另一方面����,企業(yè)和組織日益迫切的信息系統(tǒng)審計(jì)、內(nèi)控以及不斷增強(qiáng)的業(yè)務(wù)持續(xù)性需 求,也對(duì)當(dāng)前企業(yè)信息安全管理提出了嚴(yán)峻的挑戰(zhàn)����。這些內(nèi)因外因合起來(lái),都要求企業(yè)和組 織建立一套橫向貫穿孤立安全防線的整體安全管理平臺(tái)����,通過(guò)獲取防病毒系統(tǒng)、防火墻����、入 侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)�����、UTM�、運(yùn)行主機(jī)����、交換機(jī)、路由器����、數(shù)據(jù)庫(kù)系統(tǒng)、中間件等日志事 件、狀態(tài)事件和網(wǎng)絡(luò)數(shù)據(jù)包信息�����,進(jìn)行選擇采集��、綜合評(píng)價(jià)和網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析��,實(shí)現(xiàn) 對(duì)來(lái)自外部攻擊的安全審計(jì)和對(duì)來(lái)自內(nèi)部攻擊的安全審計(jì)��,為網(wǎng)絡(luò)管理維護(hù)人員提供一個(gè) 監(jiān)控整個(gè)網(wǎng)絡(luò)的軟件和硬件設(shè)備運(yùn)行狀況�、分析挖掘異常入侵信息、審計(jì)業(yè)務(wù)系統(tǒng)關(guān)鍵數(shù) 據(jù)��、發(fā)出各種方式網(wǎng)絡(luò)安全事件告警的手段����,真正讓企業(yè)和組織的管理者把握網(wǎng)絡(luò)信息整 體安全態(tài)勢(shì),實(shí)現(xiàn)有效地協(xié)同防御���。發(fā)明內(nèi)容
本發(fā)明的目的是運(yùn)用事件流時(shí)空窗過(guò)濾�����、日志串前導(dǎo)匹配快速動(dòng)態(tài)解析����、多維度 海量事件強(qiáng)勁算法、事件服務(wù)器����、現(xiàn)代通訊等先進(jìn)技術(shù),以快速進(jìn)行超過(guò)每秒十萬(wàn)個(gè)網(wǎng)絡(luò)安 全事件級(jí)別以上的關(guān)聯(lián)分析�����,實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全隱患和狀態(tài)異常并及時(shí)告警和阻 止為主要目的���,通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中復(fù)雜IT資源及其安全防御設(shè)施運(yùn)行過(guò)程中不斷產(chǎn)生 的各類安全日志和事件進(jìn)行統(tǒng)一采集����、傳輸����、分析、發(fā)布等全過(guò)程的數(shù)字化管理�����,建立一個(gè) 跨地域的�、多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中復(fù)雜IT資源的安全性實(shí)施有效、長(zhǎng)效管理與決策提供服務(wù) 的�����、具有先進(jìn)水平的關(guān)聯(lián)分析系統(tǒng)����。
為了實(shí)現(xiàn)上述的目的,本發(fā)明是采取以下的技術(shù)方案來(lái)實(shí)現(xiàn)的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)是一套基于分布式實(shí)時(shí)采集����、多點(diǎn)協(xié)同工作、事件流與歷 史事件數(shù)據(jù)庫(kù)混合關(guān)聯(lián)模式���、腳本驅(qū)動(dòng)引擎的事中與事前實(shí)時(shí)關(guān)聯(lián)分析和事后歷史事件關(guān) 聯(lián)分析的計(jì)算機(jī)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)�,用以提高網(wǎng)絡(luò)運(yùn)行維護(hù)管理部門對(duì)所轄網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行 狀況真實(shí)了解程度�,強(qiáng)化網(wǎng)絡(luò)安全故障快速應(yīng)激反應(yīng)能力,為建設(shè)集業(yè)務(wù)系統(tǒng)安全防護(hù)����、用戶網(wǎng)上操作行為分析、與現(xiàn)有網(wǎng)絡(luò)安全設(shè)備組成一個(gè)“聯(lián)合防御”體系的新型網(wǎng)絡(luò)安全監(jiān)控 平臺(tái)奠定基礎(chǔ)�。
本發(fā)明的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),包含網(wǎng)絡(luò)安全事件采集層��、通訊網(wǎng)絡(luò)層、關(guān) 聯(lián)分析層及管理展示層�����,其中所述的(1)網(wǎng)絡(luò)安全事件采集層包含網(wǎng)絡(luò)安全設(shè)備��、網(wǎng)絡(luò)設(shè)備�、主機(jī)服務(wù)器設(shè)備、操作系統(tǒng)�、數(shù)據(jù)庫(kù)、中間件的狀態(tài)���、日 志和網(wǎng)絡(luò)數(shù)據(jù)包等數(shù)據(jù)源采集的采集設(shè)備�����,負(fù)責(zé)采集所需的網(wǎng)絡(luò)安全事件信息�����;網(wǎng)絡(luò)安全設(shè)備包括防火墻�����、IPS (Intrusion Prevention System���,即入侵預(yù)防系統(tǒng))、 IDS (Intrusion Detection System即入侵檢測(cè)系統(tǒng))等�����,網(wǎng)絡(luò)設(shè)備包含交換機(jī)��、路由器等����。
(2)通訊網(wǎng)絡(luò)層包含通訊組件;負(fù)責(zé)完成對(duì)各種不同的網(wǎng)絡(luò)安全設(shè)備����、網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)器設(shè)備�����、 操作系統(tǒng)�、數(shù)據(jù)庫(kù)、中間件的日志進(jìn)行日志串前導(dǎo)匹配快速動(dòng)態(tài)解析�����,對(duì)解析后的日志和 狀態(tài)、網(wǎng)絡(luò)數(shù)據(jù)包按照通訊規(guī)約進(jìn)行封裝���,通過(guò)網(wǎng)絡(luò)將各種網(wǎng)絡(luò)安全事件傳輸至關(guān)聯(lián)分析 層���;(3)關(guān)聯(lián)分析層本層是整個(gè)系統(tǒng)的核心部分。主要包括關(guān)聯(lián)分析引擎服務(wù)器��、關(guān)聯(lián)分析腳本���、事件服務(wù) 器�、歷史數(shù)據(jù)庫(kù)服務(wù)器�����,相互之間通過(guò)數(shù)據(jù)線進(jìn)行聯(lián)接���;所述的關(guān)聯(lián)分析引擎服務(wù)器負(fù)責(zé)對(duì) 內(nèi)存事件流和數(shù)據(jù)庫(kù)歷史事件流進(jìn)行時(shí)空窗過(guò)濾�����、以自身的多維度海量事件強(qiáng)勁算法處理 超過(guò)每秒100����,000個(gè)網(wǎng)絡(luò)安全事件、實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)安全事件復(fù)雜關(guān)聯(lián)關(guān)系的分析與保存��, 所述的關(guān)聯(lián)分析腳本負(fù)責(zé)對(duì)網(wǎng)絡(luò)安全事件之間的告警關(guān)聯(lián)關(guān)系進(jìn)行定義���、關(guān)聯(lián)分析流程的 描述、參與關(guān)聯(lián)分析的網(wǎng)絡(luò)安全事件界定��,所述的事件服務(wù)器負(fù)責(zé)進(jìn)行各種網(wǎng)絡(luò)安全事件 的內(nèi)存形式流和數(shù)據(jù)庫(kù)形式流的存儲(chǔ)�,所述的歷史數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行關(guān)聯(lián)分析結(jié)果數(shù)據(jù)、 關(guān)聯(lián)分析過(guò)程使用網(wǎng)絡(luò)安全事件等相關(guān)數(shù)據(jù)的存儲(chǔ)記憶��。
(4)管理展示層本層是整個(gè)系統(tǒng)的管理�����、分析結(jié)果展示部分����。主要包括歷史數(shù)據(jù)庫(kù)服務(wù)器、WEB服務(wù)器���、 應(yīng)用服務(wù)器�����、核心交換機(jī)���、工作站及其他各種相關(guān)設(shè)備和軟件���,相互之間通過(guò)數(shù)據(jù)線進(jìn)行聯(lián) 接;所述的歷史數(shù)據(jù)庫(kù)服務(wù)器提供關(guān)聯(lián)分析結(jié)果數(shù)據(jù)和關(guān)聯(lián)分析過(guò)程詳細(xì)數(shù)據(jù)���,所述的應(yīng) 用服務(wù)器完成各種相關(guān)的應(yīng)用功能的實(shí)現(xiàn)����,WEB服務(wù)器負(fù)責(zé)最終的數(shù)據(jù)展現(xiàn)�����。各相關(guān)部門 可以通過(guò)hternet以瀏覽器方式根據(jù)自己的權(quán)限獲得各自的數(shù)據(jù)信息�。
前述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),數(shù)據(jù)來(lái)自網(wǎng)絡(luò)安全設(shè)備(防火墻���、IPS�、IDS 等)���、網(wǎng)絡(luò)設(shè)備(交換機(jī)�����、路由器等)�、主機(jī)服務(wù)器設(shè)備、操作系統(tǒng)��、數(shù)據(jù)庫(kù)��、中間件的狀態(tài)��、日 志和網(wǎng)絡(luò)數(shù)據(jù)包等數(shù)據(jù)源�����。
前述的通訊網(wǎng)絡(luò)層��,基于TCP/IP網(wǎng)絡(luò)傳輸協(xié)議��。
前述的事件服務(wù)器�、關(guān)聯(lián)分析引擎服務(wù)器和應(yīng)用服務(wù)器都采用集群方式����,保證系 統(tǒng)的高性能和高可用性。
前述的關(guān)聯(lián)分析層除了可以進(jìn)行正在發(fā)生的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析,還可以將正 在發(fā)生的網(wǎng)絡(luò)安全事件與已經(jīng)發(fā)生過(guò)的歷史網(wǎng)絡(luò)安全事件結(jié)合進(jìn)行關(guān)聯(lián)分析��,同時(shí)還可以 對(duì)未來(lái)可能發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行預(yù)測(cè)告警��。
前述的管理展示層不但可以用文本形式列表展示關(guān)聯(lián)分析結(jié)果和相關(guān)發(fā)生的事件信息���,而且可以用網(wǎng)絡(luò)設(shè)備拓?fù)鋱D的形式進(jìn)行圖形化展示關(guān)聯(lián)分析結(jié)果和相關(guān)發(fā)生的事 件fe息��。
所述關(guān)聯(lián)分析層和管理展示層中包含的歷史數(shù)據(jù)庫(kù)是公用的服務(wù)器�,由于數(shù)據(jù)采 集量很大�,而關(guān)聯(lián)分析的精度要求與事件發(fā)生的時(shí)間范圍成正比,為了兼顧效率與正確性 采取了歷史數(shù)據(jù)庫(kù)的形式�����。
本發(fā)明的有益效果是由于大多數(shù)網(wǎng)絡(luò)安全問(wèn)題的發(fā)生不是由單一的網(wǎng)絡(luò)安全事 件決定�,而是由多個(gè)網(wǎng)絡(luò)安全事件以不同時(shí)間、不同發(fā)生源相互作用來(lái)決定的��,因此僅對(duì)單 一網(wǎng)絡(luò)安全事件的記錄和簡(jiǎn)單分析已無(wú)法滿足網(wǎng)絡(luò)安全的需要���,本發(fā)明針對(duì)網(wǎng)絡(luò)安全問(wèn)題 分析���、判斷的難點(diǎn)�,設(shè)計(jì)了網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)�����;在項(xiàng)目實(shí)施過(guò)程中根據(jù)一般網(wǎng)絡(luò)安 全事件分析系統(tǒng)設(shè)計(jì)過(guò)程中經(jīng)常出現(xiàn)的實(shí)時(shí)性����、穩(wěn)定性、擴(kuò)展性等主要問(wèn)題���,采用了技術(shù)手 段進(jìn)行了良好的解決�,用于對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中復(fù)雜IT資源的安全性實(shí)施有效���、長(zhǎng)效管理,能 真實(shí)���、準(zhǔn)確地反映了計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)信息安全及業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全狀況�,為計(jì)算機(jī)網(wǎng)絡(luò) 的信息安全等級(jí)考核提供了量化標(biāo)尺�����。
(1)���、本發(fā)明的系統(tǒng)借鑒復(fù)雜網(wǎng)絡(luò)安全事件處理���、網(wǎng)絡(luò)安全事件流處理和日志處理 算法等專業(yè)知識(shí)����,對(duì)網(wǎng)絡(luò)安全設(shè)備�����、網(wǎng)絡(luò)設(shè)備��、主機(jī)服務(wù)器設(shè)備����、操作系統(tǒng)、數(shù)據(jù)庫(kù)�、中間件 運(yùn)行過(guò)程中產(chǎn)生的狀態(tài)數(shù)據(jù)、日志數(shù)據(jù)���、網(wǎng)絡(luò)信息交互的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行健康特征樣本分 析�,通過(guò)對(duì)網(wǎng)絡(luò)安全事件所含信息進(jìn)行關(guān)聯(lián)分析���,為網(wǎng)絡(luò)安全防護(hù)提供了量化標(biāo)尺�����。
O)�����、利用采集端部署的日志串前導(dǎo)匹配快速動(dòng)態(tài)解析器能迅速地分析不同廠家 設(shè)備的日志的數(shù)據(jù)�����,然后通過(guò)網(wǎng)絡(luò)將數(shù)據(jù)傳輸至事件服務(wù)器����。
(3)、可實(shí)時(shí)圖形化展示關(guān)聯(lián)分析結(jié)果工具���,對(duì)不同的關(guān)聯(lián)分析需求�,展示不同的 拓?fù)鋱D畫面��,且可現(xiàn)場(chǎng)調(diào)整顯示布局和信息顯示細(xì)節(jié)�����。圖形化展示工具基于頁(yè)面技術(shù)����,在瀏 覽器工作模式下使用,完全支持可視化功能的圖形布局編輯器���,可以完成任何復(fù)雜的關(guān)聯(lián) 分析場(chǎng)景的拓?fù)鋱D布局的制作�。
圖1是本發(fā)明的網(wǎng)絡(luò)安全事件采集原理圖����; 圖2是本發(fā)明的關(guān)聯(lián)分析引擎工作原理圖。
具體實(shí)施方式
以下結(jié)合附圖對(duì)本發(fā)明作具體的介紹本發(fā)明的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)�,包括網(wǎng)絡(luò)安全事件采集層、通訊網(wǎng)絡(luò)層�、關(guān)聯(lián)分 析層及管理展示層四層。
網(wǎng)絡(luò)安全事件采集層作為系統(tǒng)最基本的部分��,如圖1是本發(fā)明的網(wǎng)絡(luò)安全事件采 集原理圖����。安裝于各計(jì)算機(jī)網(wǎng)絡(luò)關(guān)鍵監(jiān)測(cè)點(diǎn)現(xiàn)場(chǎng)的網(wǎng)絡(luò)系統(tǒng)核心交換設(shè)備旁,它包括狀態(tài) 采集設(shè)備���、日志采集設(shè)備�����、網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備����。在現(xiàn)場(chǎng)安裝狀態(tài)采集設(shè)備、日志采集設(shè)備���、 網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備�,進(jìn)行相關(guān)的配置后即可獲取網(wǎng)絡(luò)安全事件的數(shù)據(jù)�,分析、整理��、格式 化后傳至隊(duì)列緩沖池�。
通訊網(wǎng)絡(luò)層通過(guò)Hessian接口機(jī)完成把隊(duì)列緩沖池中的各個(gè)不同網(wǎng)絡(luò)安全事件 進(jìn)行實(shí)時(shí)組包,日志數(shù)據(jù)在組包前進(jìn)行日志串前導(dǎo)匹配快速動(dòng)態(tài)解析�,組包后的網(wǎng)絡(luò)安全事件上傳至事件服務(wù)器。接口機(jī)與事件服務(wù)器采用一對(duì)多的傳輸模式��,可以將一次采集獲 取的網(wǎng)絡(luò)安全事件數(shù)據(jù)同時(shí)上傳到多個(gè)事件服務(wù)器���。該服務(wù)基于TCP/IP網(wǎng)絡(luò)傳輸協(xié)議�,封 裝了通訊規(guī)約�����。
關(guān)聯(lián)分析層是整個(gè)系統(tǒng)的核心部分�。由事件處理層和分析邏輯層構(gòu)成,事件處理 層負(fù)責(zé)內(nèi)存事件流和數(shù)據(jù)庫(kù)歷史事件流的時(shí)空窗過(guò)濾���,分析邏輯層核心是關(guān)聯(lián)分析引擎�����, 如圖2所示是本發(fā)明的關(guān)聯(lián)分析引擎工作原理圖�,負(fù)責(zé)過(guò)濾后的網(wǎng)絡(luò)安全事件根據(jù)關(guān)聯(lián)分 析腳本要求進(jìn)行關(guān)聯(lián)分析�����。關(guān)聯(lián)分析結(jié)果連同與之相關(guān)的數(shù)個(gè)網(wǎng)絡(luò)安全事件保存于歷史數(shù) 據(jù)庫(kù)中�����。關(guān)聯(lián)分析引擎具備以下功能特點(diǎn)1.與其它分析網(wǎng)絡(luò)安全事件的產(chǎn)品不同����,在關(guān)聯(lián)分析出組合事件告警后,增加了引起 組合事件告警的源頭追溯��;2.參與分析的網(wǎng)絡(luò)安全事件可以是網(wǎng)絡(luò)安全事件內(nèi)存流�����,也可以是存于數(shù)據(jù)庫(kù)的歷史 網(wǎng)絡(luò)安全事件,甚至可以是網(wǎng)絡(luò)安全事件內(nèi)存流與存于數(shù)據(jù)庫(kù)的歷史網(wǎng)絡(luò)安全事件混合����;3.關(guān)聯(lián)分析的方法和條件由外部關(guān)聯(lián)分析腳本控制,增加了關(guān)聯(lián)分析的寬度和深度���;4.分析結(jié)果按單項(xiàng)事件為最小顆粒度保存��,方便用戶觀察到網(wǎng)絡(luò)安全告警發(fā)生的細(xì)節(jié) fn息�����;5.分析結(jié)果按圖形化數(shù)據(jù)結(jié)構(gòu)方式存儲(chǔ)��,可以實(shí)現(xiàn)快速的網(wǎng)絡(luò)異常攻擊和用戶訪問(wèn)行 為的圖形效果生動(dòng)展示���;6.合理的關(guān)聯(lián)分析算法確保引擎能夠具備處理每秒超過(guò)十萬(wàn)個(gè)網(wǎng)絡(luò)安全事件級(jí)別的 能力。
管理展示層是整個(gè)系統(tǒng)的管理����、分析結(jié)果展示部分。由網(wǎng)絡(luò)安全事件管理、關(guān)聯(lián)分 析腳本管理�、關(guān)聯(lián)分析引擎管理和關(guān)聯(lián)分析結(jié)果展示四個(gè)部分組成����。網(wǎng)絡(luò)安全事件管理包 括網(wǎng)絡(luò)安全事件定義、網(wǎng)絡(luò)安全事件更改�����、網(wǎng)絡(luò)安全事件發(fā)布�。關(guān)聯(lián)分析腳本管理包括關(guān)聯(lián) 分析腳本定義、關(guān)聯(lián)分析腳本更改���、關(guān)聯(lián)分析腳本啟動(dòng)����。關(guān)聯(lián)分析引擎管理包括關(guān)聯(lián)分析引 擎初始化����、關(guān)聯(lián)分析引擎工況監(jiān)測(cè)。關(guān)聯(lián)分析結(jié)果展示包括列表展示和圖形化展示�。各相關(guān) 網(wǎng)絡(luò)運(yùn)維管理部門可通過(guò)瀏覽器管理關(guān)聯(lián)分析腳本和關(guān)聯(lián)分析引擎工作范圍,查詢各種關(guān) 聯(lián)分析結(jié)果數(shù)據(jù)�����。管理展示層的設(shè)備保證本系統(tǒng)可以正常運(yùn)行并留有發(fā)展余地。包括歷史 數(shù)據(jù)庫(kù)服務(wù)器����、WEB服務(wù)器、應(yīng)用服務(wù)器��、核心交換機(jī)����、工作站、監(jiān)控專用計(jì)算機(jī)��、通訊設(shè)備�、 不間斷電源、打印機(jī)以及相關(guān)設(shè)備等�����。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人 員來(lái)說(shuō)�����,在不脫離本發(fā)明技術(shù)原理的前提下,還可以做出若干改進(jìn)和變形�,這些改進(jìn)和變形 也應(yīng)視為本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)�����,其特征在于��,包括網(wǎng)絡(luò)安全事件采集層���、通訊網(wǎng)絡(luò)層、 關(guān)聯(lián)分析層及管理展示層�,(1)網(wǎng)絡(luò)安全事件采集層由數(shù)據(jù)源采集的采集設(shè)備采集所需的網(wǎng)絡(luò)安全事件信息,其安裝于各計(jì)算機(jī)網(wǎng)絡(luò)關(guān)鍵 監(jiān)測(cè)點(diǎn)現(xiàn)場(chǎng)的網(wǎng)絡(luò)系統(tǒng)核心交換設(shè)備旁�;(2)通訊網(wǎng)絡(luò)層完成對(duì)各種不同的采集設(shè)備采集的日志進(jìn)行日志串前導(dǎo)匹配快速動(dòng)態(tài)解析,對(duì)解析后 的日志和狀態(tài)����、網(wǎng)絡(luò)數(shù)據(jù)包按照通訊規(guī)約進(jìn)行封裝,通過(guò)網(wǎng)絡(luò)將各種網(wǎng)絡(luò)安全事件傳輸至 關(guān)聯(lián)分析層����;(3)關(guān)聯(lián)分析層對(duì)網(wǎng)絡(luò)安全事件關(guān)聯(lián)關(guān)系進(jìn)行分析、存儲(chǔ)���;(4)管理展示層將關(guān)聯(lián)分析層分析的數(shù)據(jù)進(jìn)行管理和展現(xiàn)����;各相關(guān)部門根據(jù)自己的權(quán)限獲得需要的展現(xiàn)數(shù)據(jù)信息。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)�����,其特征在于�����,所述采集設(shè)備采 集的數(shù)據(jù)源包括網(wǎng)絡(luò)安全設(shè)備�����、網(wǎng)絡(luò)設(shè)備��、主機(jī)服務(wù)器設(shè)備����、操作系統(tǒng)、數(shù)據(jù)庫(kù)����、中間件的狀 態(tài)����、日志和網(wǎng)絡(luò)數(shù)據(jù)包�。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),其特征在于�,所述網(wǎng)絡(luò)安全設(shè) 備包括防火墻、IPS����、IDS����,所述網(wǎng)絡(luò)設(shè)備包括交換機(jī)、路由器�。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),其特征在于��,所述通訊網(wǎng)絡(luò)層 包含通訊組件�。
5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),其特征在于�����,所述關(guān)聯(lián)分析層 包括關(guān)聯(lián)分析引擎服務(wù)器�、關(guān)聯(lián)分析腳本���、事件服務(wù)器、歷史數(shù)據(jù)庫(kù)服務(wù)器�����,相互之間通過(guò) 數(shù)據(jù)線進(jìn)行聯(lián)接�����;所述的關(guān)聯(lián)分析引擎服務(wù)器負(fù)責(zé)對(duì)內(nèi)存事件流和數(shù)據(jù)庫(kù)歷史事件流進(jìn)行 時(shí)空窗過(guò)濾�����、多維度海量事件強(qiáng)勁算法處理網(wǎng)絡(luò)安全事件�����、實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)安全事件復(fù)雜關(guān) 聯(lián)關(guān)系的分析與保存�,所述的關(guān)聯(lián)分析腳本負(fù)責(zé)對(duì)網(wǎng)絡(luò)安全事件之間的告警關(guān)聯(lián)關(guān)系進(jìn)行 定義、關(guān)聯(lián)分析流程的描述�、參與關(guān)聯(lián)分析的網(wǎng)絡(luò)安全事件界定,所述的事件服務(wù)器負(fù)責(zé)進(jìn) 行各種網(wǎng)絡(luò)安全事件的內(nèi)存形式流和數(shù)據(jù)庫(kù)形式流的存儲(chǔ)��,所述的歷史數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行 關(guān)聯(lián)分析結(jié)果數(shù)據(jù)�、關(guān)聯(lián)分析過(guò)程使用網(wǎng)絡(luò)安全事件相關(guān)數(shù)據(jù)的存儲(chǔ)記憶���。
6.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),其特征在于�����,所述管理展示層 包括歷史數(shù)據(jù)庫(kù)服務(wù)器�、WEB服務(wù)器、應(yīng)用服務(wù)器���、核心交換機(jī)����、工作站及與這些設(shè)備相關(guān)的 軟件����,設(shè)備相互之間通過(guò)數(shù)據(jù)線進(jìn)行聯(lián)接�����;所述的歷史數(shù)據(jù)庫(kù)服務(wù)器提供關(guān)聯(lián)分析結(jié)果數(shù) 據(jù)和關(guān)聯(lián)分析過(guò)程詳細(xì)數(shù)據(jù)����,所述的應(yīng)用服務(wù)器完成各種相關(guān)的應(yīng)用功能的實(shí)現(xiàn)���,WEB服務(wù) 器負(fù)責(zé)最終的數(shù)據(jù)展現(xiàn)。
7.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)�����,其特征在于��,所述的通訊網(wǎng)絡(luò) 層�,基于TCP/IP網(wǎng)絡(luò)傳輸協(xié)議,對(duì)各種不同的網(wǎng)絡(luò)安全設(shè)備�、網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)器設(shè)備�����、 操作系統(tǒng)����、數(shù)據(jù)庫(kù)、中間件的日志進(jìn)行日志串前導(dǎo)匹配快速動(dòng)態(tài)解析����,對(duì)解析后的日志和狀 態(tài)、網(wǎng)絡(luò)數(shù)據(jù)包按照通訊規(guī)約進(jìn)行封裝,通過(guò)Hessian方式完成網(wǎng)絡(luò)安全事件傳輸����。
8.根據(jù)權(quán)利要求5或6所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),其特征在于�,所述的事件服 務(wù)器、關(guān)聯(lián)分析弓I擎服務(wù)器和應(yīng)用服務(wù)器都采用集群方式���。
9.根據(jù)權(quán)利要求1或5所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)�����,其特征在于�,所述的關(guān)聯(lián)分析層可進(jìn)行正在發(fā)生的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析�����,還可將正在發(fā)生的網(wǎng)絡(luò)安全事件與已經(jīng)發(fā) 生過(guò)的歷史網(wǎng)絡(luò)安全事件結(jié)合進(jìn)行關(guān)聯(lián)分析�����,還可對(duì)未來(lái)可能發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行預(yù)測(cè)告警��。
10.根據(jù)權(quán)利要求1或6所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)�,其特征在于��,所述的管理 展示層可用文本形式列表展示關(guān)聯(lián)分析結(jié)果和相關(guān)發(fā)生的事件信息,還可用網(wǎng)絡(luò)設(shè)備拓?fù)?圖的形式進(jìn)行圖形化展示關(guān)聯(lián)分析結(jié)果和相關(guān)發(fā)生的事件信息���。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)����,包括網(wǎng)絡(luò)安全事件采集層�����、通訊網(wǎng)絡(luò)層�、關(guān)聯(lián)分析層及管理展示層,其通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中復(fù)雜IT資源及其安全防御設(shè)施運(yùn)行過(guò)程中不斷產(chǎn)生的各類安全日志和事件進(jìn)行統(tǒng)一采集�、傳輸、分析�����、發(fā)布等全過(guò)程的數(shù)字化管理�,運(yùn)用事件相關(guān)性預(yù)測(cè)原理,結(jié)合事件流時(shí)空窗過(guò)濾���、日志串前導(dǎo)匹配快速動(dòng)態(tài)解析和多維度海量事件強(qiáng)勁算法對(duì)網(wǎng)絡(luò)安全事件進(jìn)行事前���、事中�����、事后關(guān)聯(lián)分析�����,構(gòu)建一套分布式網(wǎng)絡(luò)安全事件采集����、多點(diǎn)實(shí)施關(guān)聯(lián)分析�、中心綜合判斷的基于Web結(jié)構(gòu)、實(shí)時(shí)通訊的在關(guān)聯(lián)分析�、監(jiān)控系統(tǒng)。本發(fā)明用于對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中復(fù)雜IT資源的安全性實(shí)施有效���、長(zhǎng)效管理�,能真實(shí)����、準(zhǔn)確地反映了計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)信息安全及業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全狀況,為計(jì)算機(jī)網(wǎng)絡(luò)的信息安全等級(jí)考核提供了量化標(biāo)尺���。
文檔編號(hào)H04L12/26GK102035855SQ20101061375
公開日2011年4月27日 申請(qǐng)日期2010年12月30日 優(yōu)先權(quán)日2010年12月30日
發(fā)明者吳玉林, 孫大雁, 官國(guó)飛, 尹飛, 李匯群, 祝永晉, 霍雪松, 黃強(qiáng) 申請(qǐng)人:江蘇方天電力技術(shù)有限公司, 江蘇省電力公司