專利名稱:網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種關(guān)聯(lián)分析系統(tǒng)����,具體講是一種涉及計算機網(wǎng)絡(luò)系統(tǒng)中IT資源運 行的實時監(jiān)控����、安全的實時監(jiān)控、風(fēng)險的實時監(jiān)控�����,實現(xiàn)對企業(yè)和組織的計算機網(wǎng)絡(luò)中復(fù)雜 IT資源及其安全防御設(shè)施運行過程中不斷產(chǎn)生的各類安全日志和事件進行統(tǒng)一采集���、傳 輸�����、分析���、發(fā)布等全方位的實時監(jiān)控。
背景技術(shù):
當今的企業(yè)和組織在IT信息安全領(lǐng)域面臨比以往更為復(fù)雜的局面��,這既有來自 于企業(yè)和組織外部的層出不窮的入侵和攻擊����,也有來自于企業(yè)和組織內(nèi)部的違規(guī)和泄漏�����。 為了不斷應(yīng)對新的安全挑戰(zhàn)����,企業(yè)和組織先后部署了防病毒系統(tǒng)�����、防火墻��、入侵檢測系統(tǒng)�、 漏洞掃描系統(tǒng)、UTM等等����。這種被動的安全建設(shè)過程就像是在開放的區(qū)域下砌墻,為了抵御 某一方面的安全威脅�����,不斷地把墻加高�,不斷地砌出新墻。通過這種方法建立的安全系統(tǒng)一 般僅能防堵來自某個方面的安全威脅�,從而形成了一個個安全防御孤島,無法產(chǎn)生協(xié)同效 應(yīng)�。另一方面,企業(yè)和組織日益迫切的信息系統(tǒng)審計�、內(nèi)控以及不斷增強的業(yè)務(wù)持續(xù)性需 求,也對當前企業(yè)信息安全管理提出了嚴峻的挑戰(zhàn)����。這些內(nèi)因外因合起來,都要求企業(yè)和組 織建立一套橫向貫穿孤立安全防線的整體安全管理平臺�����,通過獲取防病毒系統(tǒng)�、防火墻、入 侵檢測系統(tǒng)�����、漏洞掃描系統(tǒng)�����、UTM�����、運行主機、交換機�、路由器、數(shù)據(jù)庫系統(tǒng)�、中間件等日志事 件、狀態(tài)事件和網(wǎng)絡(luò)數(shù)據(jù)包信息���,進行選擇采集�、綜合評價和網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析��,實現(xiàn) 對來自外部攻擊的安全審計和對來自內(nèi)部攻擊的安全審計����,為網(wǎng)絡(luò)管理維護人員提供一個 監(jiān)控整個網(wǎng)絡(luò)的軟件和硬件設(shè)備運行狀況、分析挖掘異常入侵信息�、審計業(yè)務(wù)系統(tǒng)關(guān)鍵數(shù) 據(jù)、發(fā)出各種方式網(wǎng)絡(luò)安全事件告警的手段���,真正讓企業(yè)和組織的管理者把握網(wǎng)絡(luò)信息整 體安全態(tài)勢����,實現(xiàn)有效地協(xié)同防御��。發(fā)明內(nèi)容
本發(fā)明的目的是運用事件流時空窗過濾���、日志串前導(dǎo)匹配快速動態(tài)解析��、多維度 海量事件強勁算法�、事件服務(wù)器���、現(xiàn)代通訊等先進技術(shù)��,以快速進行超過每秒十萬個網(wǎng)絡(luò)安 全事件級別以上的關(guān)聯(lián)分析���,實時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全隱患和狀態(tài)異常并及時告警和阻 止為主要目的,通過對計算機網(wǎng)絡(luò)中復(fù)雜IT資源及其安全防御設(shè)施運行過程中不斷產(chǎn)生 的各類安全日志和事件進行統(tǒng)一采集���、傳輸���、分析、發(fā)布等全過程的數(shù)字化管理��,建立一個 跨地域的�、多個計算機網(wǎng)絡(luò)中復(fù)雜IT資源的安全性實施有效、長效管理與決策提供服務(wù) 的����、具有先進水平的關(guān)聯(lián)分析系統(tǒng)��。
為了實現(xiàn)上述的目的�,本發(fā)明是采取以下的技術(shù)方案來實現(xiàn)的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)是一套基于分布式實時采集�、多點協(xié)同工作、事件流與歷 史事件數(shù)據(jù)庫混合關(guān)聯(lián)模式�����、腳本驅(qū)動引擎的事中與事前實時關(guān)聯(lián)分析和事后歷史事件關(guān) 聯(lián)分析的計算機網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)���,用以提高網(wǎng)絡(luò)運行維護管理部門對所轄網(wǎng)絡(luò)實時運行 狀況真實了解程度��,強化網(wǎng)絡(luò)安全故障快速應(yīng)激反應(yīng)能力�,為建設(shè)集業(yè)務(wù)系統(tǒng)安全防護��、用戶網(wǎng)上操作行為分析���、與現(xiàn)有網(wǎng)絡(luò)安全設(shè)備組成一個“聯(lián)合防御”體系的新型網(wǎng)絡(luò)安全監(jiān)控 平臺奠定基礎(chǔ)�。
本發(fā)明的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)����,包含網(wǎng)絡(luò)安全事件采集層�����、通訊網(wǎng)絡(luò)層�����、關(guān) 聯(lián)分析層及管理展示層,其中所述的(1)網(wǎng)絡(luò)安全事件采集層包含網(wǎng)絡(luò)安全設(shè)備���、網(wǎng)絡(luò)設(shè)備����、主機服務(wù)器設(shè)備�����、操作系統(tǒng)��、數(shù)據(jù)庫��、中間件的狀態(tài)���、日 志和網(wǎng)絡(luò)數(shù)據(jù)包等數(shù)據(jù)源采集的采集設(shè)備��,負責(zé)采集所需的網(wǎng)絡(luò)安全事件信息����;網(wǎng)絡(luò)安全設(shè)備包括防火墻、IPS (Intrusion Prevention System��,即入侵預(yù)防系統(tǒng))����、 IDS (Intrusion Detection System即入侵檢測系統(tǒng))等,網(wǎng)絡(luò)設(shè)備包含交換機���、路由器等�。
(2)通訊網(wǎng)絡(luò)層包含通訊組件����;負責(zé)完成對各種不同的網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)設(shè)備��、主機服務(wù)器設(shè)備�����、 操作系統(tǒng)、數(shù)據(jù)庫���、中間件的日志進行日志串前導(dǎo)匹配快速動態(tài)解析����,對解析后的日志和 狀態(tài)�、網(wǎng)絡(luò)數(shù)據(jù)包按照通訊規(guī)約進行封裝,通過網(wǎng)絡(luò)將各種網(wǎng)絡(luò)安全事件傳輸至關(guān)聯(lián)分析 層���;(3)關(guān)聯(lián)分析層本層是整個系統(tǒng)的核心部分。主要包括關(guān)聯(lián)分析引擎服務(wù)器�����、關(guān)聯(lián)分析腳本�、事件服務(wù) 器、歷史數(shù)據(jù)庫服務(wù)器�����,相互之間通過數(shù)據(jù)線進行聯(lián)接�;所述的關(guān)聯(lián)分析引擎服務(wù)器負責(zé)對 內(nèi)存事件流和數(shù)據(jù)庫歷史事件流進行時空窗過濾、以自身的多維度海量事件強勁算法處理 超過每秒100�����,000個網(wǎng)絡(luò)安全事件、實現(xiàn)多個網(wǎng)絡(luò)安全事件復(fù)雜關(guān)聯(lián)關(guān)系的分析與保存�����, 所述的關(guān)聯(lián)分析腳本負責(zé)對網(wǎng)絡(luò)安全事件之間的告警關(guān)聯(lián)關(guān)系進行定義���、關(guān)聯(lián)分析流程的 描述�����、參與關(guān)聯(lián)分析的網(wǎng)絡(luò)安全事件界定����,所述的事件服務(wù)器負責(zé)進行各種網(wǎng)絡(luò)安全事件 的內(nèi)存形式流和數(shù)據(jù)庫形式流的存儲�,所述的歷史數(shù)據(jù)庫服務(wù)器進行關(guān)聯(lián)分析結(jié)果數(shù)據(jù)、 關(guān)聯(lián)分析過程使用網(wǎng)絡(luò)安全事件等相關(guān)數(shù)據(jù)的存儲記憶����。
(4)管理展示層本層是整個系統(tǒng)的管理、分析結(jié)果展示部分����。主要包括歷史數(shù)據(jù)庫服務(wù)器����、WEB服務(wù)器�、 應(yīng)用服務(wù)器、核心交換機�、工作站及其他各種相關(guān)設(shè)備和軟件,相互之間通過數(shù)據(jù)線進行聯(lián) 接��;所述的歷史數(shù)據(jù)庫服務(wù)器提供關(guān)聯(lián)分析結(jié)果數(shù)據(jù)和關(guān)聯(lián)分析過程詳細數(shù)據(jù)�����,所述的應(yīng) 用服務(wù)器完成各種相關(guān)的應(yīng)用功能的實現(xiàn)�,WEB服務(wù)器負責(zé)最終的數(shù)據(jù)展現(xiàn)。各相關(guān)部門 可以通過hternet以瀏覽器方式根據(jù)自己的權(quán)限獲得各自的數(shù)據(jù)信息����。
前述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)�����,數(shù)據(jù)來自網(wǎng)絡(luò)安全設(shè)備(防火墻��、IPS���、IDS 等)���、網(wǎng)絡(luò)設(shè)備(交換機���、路由器等)、主機服務(wù)器設(shè)備����、操作系統(tǒng)、數(shù)據(jù)庫�����、中間件的狀態(tài)�����、日 志和網(wǎng)絡(luò)數(shù)據(jù)包等數(shù)據(jù)源��。
前述的通訊網(wǎng)絡(luò)層���,基于TCP/IP網(wǎng)絡(luò)傳輸協(xié)議���。
前述的事件服務(wù)器�、關(guān)聯(lián)分析引擎服務(wù)器和應(yīng)用服務(wù)器都采用集群方式�����,保證系 統(tǒng)的高性能和高可用性�。
前述的關(guān)聯(lián)分析層除了可以進行正在發(fā)生的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析,還可以將正 在發(fā)生的網(wǎng)絡(luò)安全事件與已經(jīng)發(fā)生過的歷史網(wǎng)絡(luò)安全事件結(jié)合進行關(guān)聯(lián)分析�,同時還可以 對未來可能發(fā)生的網(wǎng)絡(luò)安全事件進行預(yù)測告警。
前述的管理展示層不但可以用文本形式列表展示關(guān)聯(lián)分析結(jié)果和相關(guān)發(fā)生的事件信息��,而且可以用網(wǎng)絡(luò)設(shè)備拓撲圖的形式進行圖形化展示關(guān)聯(lián)分析結(jié)果和相關(guān)發(fā)生的事 件fe息����。
所述關(guān)聯(lián)分析層和管理展示層中包含的歷史數(shù)據(jù)庫是公用的服務(wù)器,由于數(shù)據(jù)采 集量很大���,而關(guān)聯(lián)分析的精度要求與事件發(fā)生的時間范圍成正比����,為了兼顧效率與正確性 采取了歷史數(shù)據(jù)庫的形式�。
本發(fā)明的有益效果是由于大多數(shù)網(wǎng)絡(luò)安全問題的發(fā)生不是由單一的網(wǎng)絡(luò)安全事 件決定�����,而是由多個網(wǎng)絡(luò)安全事件以不同時間、不同發(fā)生源相互作用來決定的����,因此僅對單 一網(wǎng)絡(luò)安全事件的記錄和簡單分析已無法滿足網(wǎng)絡(luò)安全的需要,本發(fā)明針對網(wǎng)絡(luò)安全問題 分析�����、判斷的難點�,設(shè)計了網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng);在項目實施過程中根據(jù)一般網(wǎng)絡(luò)安 全事件分析系統(tǒng)設(shè)計過程中經(jīng)常出現(xiàn)的實時性���、穩(wěn)定性���、擴展性等主要問題,采用了技術(shù)手 段進行了良好的解決��,用于對計算機網(wǎng)絡(luò)中復(fù)雜IT資源的安全性實施有效�����、長效管理�����,能 真實、準確地反映了計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)信息安全及業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全狀況���,為計算機網(wǎng)絡(luò) 的信息安全等級考核提供了量化標尺����。
(1)����、本發(fā)明的系統(tǒng)借鑒復(fù)雜網(wǎng)絡(luò)安全事件處理、網(wǎng)絡(luò)安全事件流處理和日志處理 算法等專業(yè)知識����,對網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)設(shè)備�����、主機服務(wù)器設(shè)備�、操作系統(tǒng)、數(shù)據(jù)庫��、中間件 運行過程中產(chǎn)生的狀態(tài)數(shù)據(jù)����、日志數(shù)據(jù)、網(wǎng)絡(luò)信息交互的網(wǎng)絡(luò)數(shù)據(jù)包進行健康特征樣本分 析�,通過對網(wǎng)絡(luò)安全事件所含信息進行關(guān)聯(lián)分析,為網(wǎng)絡(luò)安全防護提供了量化標尺�����。
O)�����、利用采集端部署的日志串前導(dǎo)匹配快速動態(tài)解析器能迅速地分析不同廠家 設(shè)備的日志的數(shù)據(jù)�,然后通過網(wǎng)絡(luò)將數(shù)據(jù)傳輸至事件服務(wù)器。
(3)���、可實時圖形化展示關(guān)聯(lián)分析結(jié)果工具���,對不同的關(guān)聯(lián)分析需求,展示不同的 拓撲圖畫面�����,且可現(xiàn)場調(diào)整顯示布局和信息顯示細節(jié)�����。圖形化展示工具基于頁面技術(shù),在瀏 覽器工作模式下使用�����,完全支持可視化功能的圖形布局編輯器�����,可以完成任何復(fù)雜的關(guān)聯(lián) 分析場景的拓撲圖布局的制作���。
圖1是本發(fā)明的網(wǎng)絡(luò)安全事件采集原理圖�����; 圖2是本發(fā)明的關(guān)聯(lián)分析引擎工作原理圖��。
具體實施方式
以下結(jié)合附圖對本發(fā)明作具體的介紹本發(fā)明的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)���,包括網(wǎng)絡(luò)安全事件采集層、通訊網(wǎng)絡(luò)層�、關(guān)聯(lián)分 析層及管理展示層四層。
網(wǎng)絡(luò)安全事件采集層作為系統(tǒng)最基本的部分�����,如圖1是本發(fā)明的網(wǎng)絡(luò)安全事件采 集原理圖。安裝于各計算機網(wǎng)絡(luò)關(guān)鍵監(jiān)測點現(xiàn)場的網(wǎng)絡(luò)系統(tǒng)核心交換設(shè)備旁����,它包括狀態(tài) 采集設(shè)備�、日志采集設(shè)備、網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備���。在現(xiàn)場安裝狀態(tài)采集設(shè)備����、日志采集設(shè)備�����、 網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備��,進行相關(guān)的配置后即可獲取網(wǎng)絡(luò)安全事件的數(shù)據(jù)����,分析、整理���、格式 化后傳至隊列緩沖池�����。
通訊網(wǎng)絡(luò)層通過Hessian接口機完成把隊列緩沖池中的各個不同網(wǎng)絡(luò)安全事件 進行實時組包��,日志數(shù)據(jù)在組包前進行日志串前導(dǎo)匹配快速動態(tài)解析���,組包后的網(wǎng)絡(luò)安全事件上傳至事件服務(wù)器�。接口機與事件服務(wù)器采用一對多的傳輸模式����,可以將一次采集獲 取的網(wǎng)絡(luò)安全事件數(shù)據(jù)同時上傳到多個事件服務(wù)器。該服務(wù)基于TCP/IP網(wǎng)絡(luò)傳輸協(xié)議�,封 裝了通訊規(guī)約。
關(guān)聯(lián)分析層是整個系統(tǒng)的核心部分�。由事件處理層和分析邏輯層構(gòu)成,事件處理 層負責(zé)內(nèi)存事件流和數(shù)據(jù)庫歷史事件流的時空窗過濾�����,分析邏輯層核心是關(guān)聯(lián)分析引擎���, 如圖2所示是本發(fā)明的關(guān)聯(lián)分析引擎工作原理圖�����,負責(zé)過濾后的網(wǎng)絡(luò)安全事件根據(jù)關(guān)聯(lián)分 析腳本要求進行關(guān)聯(lián)分析�。關(guān)聯(lián)分析結(jié)果連同與之相關(guān)的數(shù)個網(wǎng)絡(luò)安全事件保存于歷史數(shù) 據(jù)庫中。關(guān)聯(lián)分析引擎具備以下功能特點1.與其它分析網(wǎng)絡(luò)安全事件的產(chǎn)品不同���,在關(guān)聯(lián)分析出組合事件告警后,增加了引起 組合事件告警的源頭追溯���;2.參與分析的網(wǎng)絡(luò)安全事件可以是網(wǎng)絡(luò)安全事件內(nèi)存流�,也可以是存于數(shù)據(jù)庫的歷史 網(wǎng)絡(luò)安全事件��,甚至可以是網(wǎng)絡(luò)安全事件內(nèi)存流與存于數(shù)據(jù)庫的歷史網(wǎng)絡(luò)安全事件混合�;3.關(guān)聯(lián)分析的方法和條件由外部關(guān)聯(lián)分析腳本控制,增加了關(guān)聯(lián)分析的寬度和深度�;4.分析結(jié)果按單項事件為最小顆粒度保存,方便用戶觀察到網(wǎng)絡(luò)安全告警發(fā)生的細節(jié) fn息����;5.分析結(jié)果按圖形化數(shù)據(jù)結(jié)構(gòu)方式存儲�����,可以實現(xiàn)快速的網(wǎng)絡(luò)異常攻擊和用戶訪問行 為的圖形效果生動展示�����;6.合理的關(guān)聯(lián)分析算法確保引擎能夠具備處理每秒超過十萬個網(wǎng)絡(luò)安全事件級別的 能力�。
管理展示層是整個系統(tǒng)的管理、分析結(jié)果展示部分��。由網(wǎng)絡(luò)安全事件管理��、關(guān)聯(lián)分 析腳本管理�����、關(guān)聯(lián)分析引擎管理和關(guān)聯(lián)分析結(jié)果展示四個部分組成���。網(wǎng)絡(luò)安全事件管理包 括網(wǎng)絡(luò)安全事件定義、網(wǎng)絡(luò)安全事件更改���、網(wǎng)絡(luò)安全事件發(fā)布�����。關(guān)聯(lián)分析腳本管理包括關(guān)聯(lián) 分析腳本定義�����、關(guān)聯(lián)分析腳本更改�����、關(guān)聯(lián)分析腳本啟動����。關(guān)聯(lián)分析引擎管理包括關(guān)聯(lián)分析引 擎初始化、關(guān)聯(lián)分析引擎工況監(jiān)測�����。關(guān)聯(lián)分析結(jié)果展示包括列表展示和圖形化展示。各相關(guān) 網(wǎng)絡(luò)運維管理部門可通過瀏覽器管理關(guān)聯(lián)分析腳本和關(guān)聯(lián)分析引擎工作范圍��,查詢各種關(guān) 聯(lián)分析結(jié)果數(shù)據(jù)��。管理展示層的設(shè)備保證本系統(tǒng)可以正常運行并留有發(fā)展余地�。包括歷史 數(shù)據(jù)庫服務(wù)器、WEB服務(wù)器���、應(yīng)用服務(wù)器��、核心交換機����、工作站、監(jiān)控專用計算機�、通訊設(shè)備、 不間斷電源���、打印機以及相關(guān)設(shè)備等。
以上所述僅是本發(fā)明的優(yōu)選實施方式�����,應(yīng)當指出�,對于本技術(shù)領(lǐng)域的普通技術(shù)人 員來說,在不脫離本發(fā)明技術(shù)原理的前提下�,還可以做出若干改進和變形,這些改進和變形 也應(yīng)視為本發(fā)明的保護范圍����。
權(quán)利要求
1.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),其特征在于�,包括網(wǎng)絡(luò)安全事件采集層、通訊網(wǎng)絡(luò)層、 關(guān)聯(lián)分析層及管理展示層���,(1)網(wǎng)絡(luò)安全事件采集層由數(shù)據(jù)源采集的采集設(shè)備采集所需的網(wǎng)絡(luò)安全事件信息�,其安裝于各計算機網(wǎng)絡(luò)關(guān)鍵 監(jiān)測點現(xiàn)場的網(wǎng)絡(luò)系統(tǒng)核心交換設(shè)備旁����;(2)通訊網(wǎng)絡(luò)層完成對各種不同的采集設(shè)備采集的日志進行日志串前導(dǎo)匹配快速動態(tài)解析��,對解析后 的日志和狀態(tài)����、網(wǎng)絡(luò)數(shù)據(jù)包按照通訊規(guī)約進行封裝,通過網(wǎng)絡(luò)將各種網(wǎng)絡(luò)安全事件傳輸至 關(guān)聯(lián)分析層��;(3)關(guān)聯(lián)分析層對網(wǎng)絡(luò)安全事件關(guān)聯(lián)關(guān)系進行分析�、存儲����;(4)管理展示層將關(guān)聯(lián)分析層分析的數(shù)據(jù)進行管理和展現(xiàn);各相關(guān)部門根據(jù)自己的權(quán)限獲得需要的展現(xiàn)數(shù)據(jù)信息���。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)���,其特征在于�,所述采集設(shè)備采 集的數(shù)據(jù)源包括網(wǎng)絡(luò)安全設(shè)備�、網(wǎng)絡(luò)設(shè)備、主機服務(wù)器設(shè)備���、操作系統(tǒng)��、數(shù)據(jù)庫�、中間件的狀 態(tài)���、日志和網(wǎng)絡(luò)數(shù)據(jù)包��。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)�,其特征在于�,所述網(wǎng)絡(luò)安全設(shè) 備包括防火墻、IPS����、IDS,所述網(wǎng)絡(luò)設(shè)備包括交換機���、路由器�。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),其特征在于��,所述通訊網(wǎng)絡(luò)層 包含通訊組件���。
5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)�,其特征在于��,所述關(guān)聯(lián)分析層 包括關(guān)聯(lián)分析引擎服務(wù)器���、關(guān)聯(lián)分析腳本�����、事件服務(wù)器���、歷史數(shù)據(jù)庫服務(wù)器,相互之間通過 數(shù)據(jù)線進行聯(lián)接���;所述的關(guān)聯(lián)分析引擎服務(wù)器負責(zé)對內(nèi)存事件流和數(shù)據(jù)庫歷史事件流進行 時空窗過濾���、多維度海量事件強勁算法處理網(wǎng)絡(luò)安全事件����、實現(xiàn)多個網(wǎng)絡(luò)安全事件復(fù)雜關(guān) 聯(lián)關(guān)系的分析與保存���,所述的關(guān)聯(lián)分析腳本負責(zé)對網(wǎng)絡(luò)安全事件之間的告警關(guān)聯(lián)關(guān)系進行 定義、關(guān)聯(lián)分析流程的描述�����、參與關(guān)聯(lián)分析的網(wǎng)絡(luò)安全事件界定���,所述的事件服務(wù)器負責(zé)進 行各種網(wǎng)絡(luò)安全事件的內(nèi)存形式流和數(shù)據(jù)庫形式流的存儲���,所述的歷史數(shù)據(jù)庫服務(wù)器進行 關(guān)聯(lián)分析結(jié)果數(shù)據(jù)、關(guān)聯(lián)分析過程使用網(wǎng)絡(luò)安全事件相關(guān)數(shù)據(jù)的存儲記憶����。
6.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),其特征在于����,所述管理展示層 包括歷史數(shù)據(jù)庫服務(wù)器、WEB服務(wù)器�、應(yīng)用服務(wù)器、核心交換機����、工作站及與這些設(shè)備相關(guān)的 軟件���,設(shè)備相互之間通過數(shù)據(jù)線進行聯(lián)接;所述的歷史數(shù)據(jù)庫服務(wù)器提供關(guān)聯(lián)分析結(jié)果數(shù) 據(jù)和關(guān)聯(lián)分析過程詳細數(shù)據(jù)��,所述的應(yīng)用服務(wù)器完成各種相關(guān)的應(yīng)用功能的實現(xiàn)��,WEB服務(wù) 器負責(zé)最終的數(shù)據(jù)展現(xiàn)����。
7.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),其特征在于����,所述的通訊網(wǎng)絡(luò) 層,基于TCP/IP網(wǎng)絡(luò)傳輸協(xié)議���,對各種不同的網(wǎng)絡(luò)安全設(shè)備���、網(wǎng)絡(luò)設(shè)備、主機服務(wù)器設(shè)備��、 操作系統(tǒng)��、數(shù)據(jù)庫��、中間件的日志進行日志串前導(dǎo)匹配快速動態(tài)解析���,對解析后的日志和狀 態(tài)�����、網(wǎng)絡(luò)數(shù)據(jù)包按照通訊規(guī)約進行封裝���,通過Hessian方式完成網(wǎng)絡(luò)安全事件傳輸。
8.根據(jù)權(quán)利要求5或6所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)�����,其特征在于���,所述的事件服 務(wù)器����、關(guān)聯(lián)分析弓I擎服務(wù)器和應(yīng)用服務(wù)器都采用集群方式��。
9.根據(jù)權(quán)利要求1或5所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)��,其特征在于,所述的關(guān)聯(lián)分析層可進行正在發(fā)生的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析�����,還可將正在發(fā)生的網(wǎng)絡(luò)安全事件與已經(jīng)發(fā) 生過的歷史網(wǎng)絡(luò)安全事件結(jié)合進行關(guān)聯(lián)分析��,還可對未來可能發(fā)生的網(wǎng)絡(luò)安全事件進行預(yù)測告警���。
10.根據(jù)權(quán)利要求1或6所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)�,其特征在于��,所述的管理 展示層可用文本形式列表展示關(guān)聯(lián)分析結(jié)果和相關(guān)發(fā)生的事件信息�,還可用網(wǎng)絡(luò)設(shè)備拓撲 圖的形式進行圖形化展示關(guān)聯(lián)分析結(jié)果和相關(guān)發(fā)生的事件信息。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)��,包括網(wǎng)絡(luò)安全事件采集層�、通訊網(wǎng)絡(luò)層、關(guān)聯(lián)分析層及管理展示層�,其通過對計算機網(wǎng)絡(luò)中復(fù)雜IT資源及其安全防御設(shè)施運行過程中不斷產(chǎn)生的各類安全日志和事件進行統(tǒng)一采集、傳輸�����、分析�����、發(fā)布等全過程的數(shù)字化管理,運用事件相關(guān)性預(yù)測原理���,結(jié)合事件流時空窗過濾、日志串前導(dǎo)匹配快速動態(tài)解析和多維度海量事件強勁算法對網(wǎng)絡(luò)安全事件進行事前��、事中���、事后關(guān)聯(lián)分析�����,構(gòu)建一套分布式網(wǎng)絡(luò)安全事件采集�、多點實施關(guān)聯(lián)分析����、中心綜合判斷的基于Web結(jié)構(gòu)、實時通訊的在關(guān)聯(lián)分析���、監(jiān)控系統(tǒng)��。本發(fā)明用于對計算機網(wǎng)絡(luò)中復(fù)雜IT資源的安全性實施有效���、長效管理���,能真實、準確地反映了計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)信息安全及業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全狀況���,為計算機網(wǎng)絡(luò)的信息安全等級考核提供了量化標尺���。
文檔編號H04L12/26GK102035855SQ20101061375
公開日2011年4月27日 申請日期2010年12月30日 優(yōu)先權(quán)日2010年12月30日
發(fā)明者吳玉林, 孫大雁, 官國飛, 尹飛, 李匯群, 祝永晉, 霍雪松, 黃強 申請人:江蘇方天電力技術(shù)有限公司, 江蘇省電力公司