基于日志分析和防火墻安全矩陣的網(wǎng)站安全監(jiān)控報警系統(tǒng)的制作方法
【專利摘要】為了及時發(fā)現(xiàn)和阻止針對網(wǎng)站的各類安全攻擊,本發(fā)明以網(wǎng)站的安全管理員在實際安全運維中最依賴的兩項工作為基礎(chǔ),發(fā)明了基于日志分析和防火墻安全矩陣的網(wǎng)站安全監(jiān)控報警系統(tǒng)。其中日志監(jiān)控的創(chuàng)新是通過對Apache/Tomcat/IIS的訪問/錯誤日志及其他環(huán)境日志進行關(guān)鍵字/正則表達式過濾來自動發(fā)現(xiàn)已知和未知攻擊,同時通過網(wǎng)站業(yè)務(wù)代碼中的日志定制及時發(fā)現(xiàn)黑客攻擊在早期引起的業(yè)務(wù)處理錯誤。另一創(chuàng)新是通過定義防火墻安全矩陣,然后采用直接或間接的網(wǎng)絡(luò)連通性檢測技術(shù)來驗證矩陣的有效性,一旦發(fā)現(xiàn)安全矩陣被破壞則觸發(fā)報警。該系統(tǒng)提供給管理員簡單而有效的定制方式,可持續(xù)地增強對任何攻擊或可疑行為的偵測能力。
【專利說明】基于日志分析和防火墻安全矩陣的網(wǎng)站安全監(jiān)控報警系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明的【技術(shù)領(lǐng)域】是信息安全領(lǐng)域的網(wǎng)站安全防護和監(jiān)控報警系統(tǒng)。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)應(yīng)用的高速發(fā)展,各種Web網(wǎng)站以幾何級數(shù)的速度高速增長,但層出 不窮的黑客攻擊對Web網(wǎng)站的可用性和安全性造成了巨大的威脅。目前主流的安全防護包 括多種類的系統(tǒng):入侵檢測系統(tǒng),Web應(yīng)用防火墻,遠程安全掃描等。但上述幾類安全產(chǎn)品 尚不足以保證網(wǎng)站的安全,原因如下:
[0003] >入侵檢測系統(tǒng):依賴的機制是對網(wǎng)絡(luò)報文的檢查,因其不了解用戶網(wǎng)站應(yīng)用的 業(yè)務(wù)邏輯,只能對已知的典型的漏洞利用方式、攻擊特征進行匹配式的檢查,而不能檢測新 類型的或是對特定目標的攻擊,實際有效率就很低。有一些廠商會研發(fā)啟發(fā)式規(guī)則,但限于 在網(wǎng)絡(luò)層來觀察流量/報文,一來對正常業(yè)務(wù)性能影響較大,二來未知的正常/非正常訪問 方式非常之多,從而導(dǎo)致誤判率太高。
[0004] > Web應(yīng)用防火墻(WAF):主要針對0WASP組織發(fā)布的十大Web典型攻擊方式來進 行http報文解析和檢查,發(fā)現(xiàn)并阻止攻擊。WAF有其特定價值,但它的機制也是基于對已知 的攻擊方式進行匹配,因此很難對不斷涌現(xiàn)的新漏洞/新攻擊方式作有效的發(fā)現(xiàn)。
[0005] >遠程安全掃描:由于掃描的檢測基礎(chǔ)是只能檢查遠程訪問/調(diào)用返回的結(jié)果,與 已知結(jié)果作匹配,因此有很大的局限性,主要用于發(fā)現(xiàn)網(wǎng)站組件的安全漏洞,并不能及時地 發(fā)現(xiàn)攻擊和可疑行為。
[0006] 對于網(wǎng)站安全來說,最重要的是及時發(fā)現(xiàn)并阻止攻擊和可疑行為,而上述幾種防 護系統(tǒng)因為缺乏對客戶業(yè)務(wù)系統(tǒng)的了解,也未提供足夠強大的對未知和特定攻擊的檢測方 法,因此尚不能達到理想的安全效果。
[0007] 本發(fā)明以網(wǎng)站的安全管理員在實際安全運維中最依賴的兩項工作為基礎(chǔ),發(fā)明了 基于日志監(jiān)控和防火墻安全矩陣監(jiān)控的一套監(jiān)控報警系統(tǒng)。該系統(tǒng)提供給管理員簡單而有 效的定制方式,可持續(xù)地增強對任何攻擊或可疑行為的偵測能力,通過在實際運維工作中 的有效性驗證,效果顯著,能彌補現(xiàn)有的其他網(wǎng)站安全防護系統(tǒng)的不足。
[0008] 本發(fā)明基礎(chǔ)之一的日志監(jiān)控,是很多安全管理員已經(jīng)使用的一種監(jiān)控手段,把各 種日志文件存檔到一起,分類、按關(guān)鍵字作檢查,發(fā)現(xiàn)可疑的問題就報警。但是管理員一般 將日志監(jiān)控用于系統(tǒng)/服務(wù)的可用性監(jiān)控,而不是安全監(jiān)控,而不用于安全監(jiān)控,就沒有積 累黑客攻擊的日志特征。即使有對訪問日志作安全監(jiān)控,主要都是防DD0S和防流量攻擊, 而從未有針對網(wǎng)站內(nèi)容的異常訪問的檢測,比如漏洞利用的訪問,SQL注入等。也正因為沒 有把日志監(jiān)控作為一種安全防護的解決方案,也就從沒有人提出過對網(wǎng)站應(yīng)用的日志進行 定制化要求,比如J2EE后臺任何異常都要寫日志,對請求參數(shù)作特殊字符過濾并記錄可疑 事件,對用戶的未授權(quán)訪問錯誤必須記日志等。有了這種網(wǎng)站業(yè)務(wù)代碼中的日志定制,再與 全面的日志監(jiān)控和其他子系統(tǒng)共同構(gòu)成一個解決方案,就是本發(fā)明的首要創(chuàng)新點。
[0009] 本發(fā)明基礎(chǔ)之二的防火墻安全矩陣監(jiān)控,是此前從未有人提出的概念。作為網(wǎng)站 安全防護的基礎(chǔ),最基本的防火墻只要配置全面,就能把除SQL注入、跨站攻擊等Web端口 (80/443端口)攻擊之外的其他安全威脅都擋在外面。而大多數(shù)被攻陷的網(wǎng)站,都是黑客獲 得外層的主機/服務(wù)器權(quán)限后,遠程登陸/自動下載來實施進一步的內(nèi)容篡改和破壞,這一 過程就必然會破壞原先系統(tǒng)定義的安全矩陣。本發(fā)明首創(chuàng)的第二個子系統(tǒng)就是采用直接或 間接的網(wǎng)絡(luò)連通性檢測技術(shù),來驗證某些IP區(qū)域及端口范圍彼此之間的連通性要求,如果 在安全矩陣中是要求阻斷的,一旦發(fā)現(xiàn)其變成連通狀態(tài),就說明某個點已被黑客攻破。
【發(fā)明內(nèi)容】
[0010] 本發(fā)明建立了一套基于日志分析和防火墻安全矩陣的Web網(wǎng)站安全監(jiān)控報警系 統(tǒng),它包括兩個子系統(tǒng):基于日志分析的安全監(jiān)控子系統(tǒng)和防火墻安全矩陣監(jiān)控子系統(tǒng)。
[0011] 基于日志分析的安全監(jiān)控子系統(tǒng)是對網(wǎng)站所有相關(guān)環(huán)境的日志監(jiān)控,它應(yīng)包括但 不限于對以下幾方面的日志進行監(jiān)控:
[0012] > Apache/Tomcat/IIS的訪問日志/錯誤日志/安全日志:通過訪問日志,可發(fā)現(xiàn) 請求地址和參數(shù)中包含已知攻擊的嘗試,比如GET/config. php ? relative_script_path =http://xxxxxxx,或是 SQL 注入的嘗試:/print. php ? what = article&id =,;通過錯誤 日志,同樣可發(fā)現(xiàn)對一些不存在的文件/目錄的可疑訪問,比如client denied by server configuration, File does not exist, Invalid URI in request 等;通過安全日志監(jiān)控, 比如Apache的mod_security記錄的可疑問題,還可進行定制的二次過濾以發(fā)現(xiàn)確定的攻 擊行為。通過對所有已知的Web攻擊所對應(yīng)的日志中的錯誤信息作分析積累,即可構(gòu)造一 系列由關(guān)鍵字/正則表達式組成的檢測規(guī)則,基于這個規(guī)則集即可對各類攻擊進行實時的 監(jiān)控和偵測。
[0013] >網(wǎng)站應(yīng)用日志中的錯誤/可疑事件:通常對網(wǎng)站的攻擊或滲透會起始于對某 些URL和參數(shù)的組合進行滲透性的訪問嘗試,因此在初期都會導(dǎo)致后臺的業(yè)務(wù)邏輯發(fā)生錯 誤。這里是本發(fā)明的一個創(chuàng)新點,系統(tǒng)將指導(dǎo)用戶在網(wǎng)站的業(yè)務(wù)邏輯代碼中針對以下三類 錯誤打印出對應(yīng)的日志:1)任何非正常使用情況下的錯誤處理,都需要打印日志以包括出 錯的原因,導(dǎo)致的請求/參數(shù),類/方法/代碼行等,比如J2EE的代碼就需要對非預(yù)期的 Exception都打印日志。這里的非正常使用并不包括普通用戶可能的非法輸入,或是其客戶 端環(huán)境原因?qū)е碌某鲥e。2)對所有http請求作參數(shù)過濾,包含不應(yīng)出現(xiàn)的特殊字符的要記 日志,包含不在合法參數(shù)值集合中的請求要記日志,比如某個參數(shù)是傳入手機號作查詢,則 不應(yīng)出現(xiàn)任何字符。3)對某個用戶ID/Session訪問了他無權(quán)訪問的某個后臺接口 /Action 時要記日志,以發(fā)現(xiàn)某個用戶試圖尋找系統(tǒng)漏洞的可疑行為。除了給出指導(dǎo)外,系統(tǒng)還可以 對用戶上傳的代碼作靜態(tài)掃描,以給出明確的需要添加安全審計日志的代碼位置。當(dāng)上述 步驟完成并部署到生產(chǎn)環(huán)境之后,本發(fā)明系統(tǒng)將提供給管理員一個對安全日志進行配置的 管理界面,可通過關(guān)鍵字/正則表達式對系統(tǒng)要監(jiān)控的事件進行定義,并采用多種策略進 行事件的關(guān)聯(lián)和報警條件定制,比如對指定時間段內(nèi)某個客戶端IP的可疑事件作加權(quán)累 計,達到閥值后啟動短信/郵件/Web等多種方式報警。
[0014] >安全設(shè)備報警日志:如果該網(wǎng)站已經(jīng)部署了例如防火墻/入侵檢測/Web應(yīng)用防 火墻等設(shè)備,則可以通過配置將它們的安全日志或SNMP消息收集到本系統(tǒng)的日志收集服 務(wù)器上,同樣地進行日志監(jiān)控。這樣一方面方便了管理員集中管理日志監(jiān)控,同時還可以配 置分析引擎對前述日志中發(fā)現(xiàn)的可疑事件與此處安全設(shè)備的報警進行關(guān)聯(lián),增加報警的準 確率。
[0015] >防火墻安全矩陣監(jiān)控的日志:后面會闡述安全矩陣的監(jiān)控機制,其產(chǎn)生的日志 也會被實時收集并監(jiān)控,在發(fā)現(xiàn)某個節(jié)點或訪問不符合安全矩陣時報警。
[0016] >網(wǎng)站所有主機的登錄/用戶操作日志/系統(tǒng)實時狀態(tài)日志:本發(fā)明系統(tǒng)將包括 Linux和Windows系統(tǒng)上的Agent代理程序,通過監(jiān)控上述日志(Linux上可通過修改用戶 登錄腳本和安全審計配置,Windows上調(diào)用安全審計服務(wù))及時發(fā)現(xiàn)入侵行為。比如管理 員賬號在夜間的登錄,系統(tǒng)對外的流量異常增長等。
[0017] >非網(wǎng)站合法進程發(fā)起的數(shù)據(jù)庫連接日志:此類監(jiān)控可發(fā)現(xiàn)前端或后端管理的任 何主機上的非法數(shù)據(jù)庫訪問。
[0018] 上述日志監(jiān)控系統(tǒng)在部署上是由遍布網(wǎng)站各個服務(wù)器節(jié)點的監(jiān)控客戶端代理和 一個中心管理節(jié)點組成的。中心管理節(jié)點包括了監(jiān)控與報警服務(wù),日志分析引擎,日志收集 服務(wù)和管理控制臺四個組件。而物理上該管理節(jié)點可以是一臺或多臺部署本發(fā)明系統(tǒng)的主 機/服務(wù)器集群,管理節(jié)點既可以在本地也可以在遠程。上述四個組件及監(jiān)控代理的功能 簡述如下:
[0019] 監(jiān)控代理:接受并執(zhí)行來自中心管理節(jié)點的檢查命令,按關(guān)鍵字/正則表達式作 過濾并返回監(jiān)控到的事件給管理節(jié)點。同時當(dāng)管理節(jié)點確定某個訪問/連接為非法時,監(jiān) 控代理根據(jù)要求在本地采取阻斷訪問和保護措施。
[0020] 日志收集服務(wù):接受監(jiān)控代理和系統(tǒng)外節(jié)點如安全設(shè)備上傳的經(jīng)過首次過濾的日 志關(guān)鍵內(nèi)容,并分類存檔和做關(guān)聯(lián)合并。
[0021] 日志分析引擎:按管理員配置的規(guī)則進行二次過濾和分析,產(chǎn)生報警事件送給監(jiān) 控與報警服務(wù)。
[0022] 監(jiān)控與報警服務(wù):可擴展的監(jiān)控系統(tǒng)主框架,可靈活地加載各種監(jiān)控命令,提供短 信/郵件/Web等多樣化報警功能,并按配置發(fā)送阻斷/防護命令給監(jiān)控代理采取保護措 施。
[0023] 管理控制臺:提供管理界面,定義或調(diào)整可疑事件的關(guān)鍵字/正則表達式,配置事 件的關(guān)聯(lián)規(guī)則/策略,設(shè)置報警條件和保護命令,察看報警的日志內(nèi)容及相關(guān)信息等。
[0024] 本發(fā)明的第二個子系統(tǒng)是防火墻安全矩陣監(jiān)控子系統(tǒng)。首先管理員需要定義一個 如附圖3的安全矩陣,就是將所有區(qū)域的IP地址范圍按不同的安全屬性分成若干的命名區(qū) 域,然后如附圖4所示定義這些區(qū)域兩兩之間的安全策略,簡單的策略就是哪些端口可訪 問而哪些不可,高級的可以是網(wǎng)絡(luò)報文的類型,內(nèi)容的關(guān)鍵元素等。例如一個三層架構(gòu)的網(wǎng) 站,最外層的Apache服務(wù)器所在網(wǎng)段,只允許訪問外網(wǎng)的NTP和SMTP服務(wù),外網(wǎng)只允許訪 問它的80/443端口;中間業(yè)務(wù)層的Tomcat所在網(wǎng)段,只有Apache主機能訪問它的8009端 口,它也只能訪問第三層的數(shù)據(jù)庫的指定端口,其他所有訪問都是非法的。
[0025] 有了上面這個防火墻安全矩陣,或者說訪問控制列表,本發(fā)明系統(tǒng)就可以直接/ 間接地執(zhí)行監(jiān)控任務(wù)來驗證這個矩陣的有效性,一旦發(fā)現(xiàn)不符合的就說明某個節(jié)點已被攻 破,觸發(fā)報警。直接監(jiān)控指的是通過部署在各節(jié)點的監(jiān)控代理,定時發(fā)起訪問的嘗試(比如 telnet)來檢查連通性的要求;間接監(jiān)控則是由監(jiān)控代理在節(jié)點上抓取網(wǎng)絡(luò)報文(或加載 內(nèi)核模塊/驅(qū)動模塊來接受系統(tǒng)返回的網(wǎng)絡(luò)報文信息)與允許的訪問列表進行對比檢查。 該子系統(tǒng)的部署只需在第一個子系統(tǒng)的監(jiān)控代理上增加上述安全矩陣監(jiān)控的功能,將可疑 事件發(fā)送到中心管理節(jié)點,即可沿用前面闡述的監(jiān)控報警流程及時地通知到管理員。
[0026] 綜上所述,本發(fā)明將兩個子系統(tǒng)結(jié)合,一方面防火墻安全矩陣監(jiān)控保證了網(wǎng)絡(luò)層 沒有違反安全策略的非法訪問,另一方面結(jié)合網(wǎng)站業(yè)務(wù)代碼改造的日志監(jiān)控系統(tǒng)能檢查出 造成網(wǎng)站某個邏輯異常/出錯的任何訪問,從而確保黑客攻擊能在早期階段被有效地發(fā)現(xiàn) 和阻止。
【專利附圖】
【附圖說明】
[0027] 圖1 :該系統(tǒng)的結(jié)構(gòu)示意圖
[0028] 圖2 :日志監(jiān)控子系統(tǒng)的工作流程圖
[0029] 圖3 :防火墻安全矩陣示例圖,以一個虛擬的互聯(lián)網(wǎng)金融網(wǎng)站"投資網(wǎng)"來示例
[0030] 圖4 :安全矩陣中各個安全區(qū)域彼此間的安全策略示例圖
【具體實施方式】
[0031] 本系統(tǒng)的【具體實施方式】如下:
[0032] 1、在網(wǎng)站的所有相關(guān)主機節(jié)點上部署監(jiān)控代理,同時在本地內(nèi)網(wǎng)或遠程部署管理 中心服務(wù)器。
[0033] 2、網(wǎng)站安全管理員按照本系統(tǒng)的指導(dǎo),設(shè)計整個網(wǎng)站的防火墻安全矩陣,并在網(wǎng) 站相關(guān)環(huán)境的防火墻設(shè)備和主機上按矩陣要求進行配置。
[0034] 3、管理員在本系統(tǒng)的管理節(jié)點上配置安全矩陣的監(jiān)控參數(shù),管理節(jié)點將監(jiān)控要求 下發(fā)給各監(jiān)控代理。監(jiān)控代理則采取直接和間接兩種方式執(zhí)行監(jiān)控任務(wù)來驗證這個矩陣的 有效性,一旦發(fā)現(xiàn)不符合的就向管理節(jié)點報警。直接監(jiān)控方式將定時發(fā)起訪問的嘗試(比 如telnet)來檢查連通性的要求,間接監(jiān)控方式則是抓取網(wǎng)絡(luò)報文(或加載內(nèi)核模塊/驅(qū) 動模塊來接受系統(tǒng)返回的網(wǎng)絡(luò)報文信息)與允許的訪問列表進行對比檢查。
[0035] 4、管理員按照本系統(tǒng)的指導(dǎo),設(shè)計確定要監(jiān)控的日志類型。對于網(wǎng)站應(yīng)用日志中 的錯誤/可疑事件,系統(tǒng)將指導(dǎo)用戶在網(wǎng)站的業(yè)務(wù)邏輯代碼中針對以下三類錯誤打印出對 應(yīng)的日志:1)任何非正常使用情況下的錯誤處理,都需要打印日志。2)對所有http請求作 參數(shù)過濾,包含不應(yīng)出現(xiàn)的特殊字符的要記日志,包含不在合法參數(shù)值集合中的請求要記 日志。3)對某個用戶ID/Session試圖訪問他無權(quán)訪問的某個后臺接口 /Action時要記日 志。除了給出指導(dǎo)外,系統(tǒng)還可以對用戶上傳的代碼作靜態(tài)掃描,明確給出需要添加安全審 計日志的代碼位置。
[0036] 5、當(dāng)上述步驟完成并將日志增強的代碼部署到生產(chǎn)環(huán)境之后,本系統(tǒng)將提供給管 理員一個對安全日志進行配置的管理界面,可通過關(guān)鍵字/正則表達式對系統(tǒng)要監(jiān)控的事 件進行定義,并采用多種策略進行事件的關(guān)聯(lián)和報警條件定制,比如對指定時間段內(nèi)某個 客戶端IP的可疑事件作加權(quán)累計,達到閥值后啟動短信/郵件/Web等多種方式報警。
[0037] 6、所有監(jiān)控配置被下發(fā)到各個監(jiān)控代理。監(jiān)控代理將持續(xù)運行對其關(guān)注的日志進 行實時監(jiān)控,一旦發(fā)現(xiàn)匹配某個報警事件定義則通知管理節(jié)點,同時將相關(guān)的日志片斷發(fā) 送給管理節(jié)點。
[0038] 7、管理節(jié)點會再根據(jù)全局策略與其他方面的報警事件相關(guān)聯(lián),確定此事件的嚴重 程度,并在觸發(fā)報警條件時通過短信/郵件/Web等多種方式報警,同時按預(yù)先配置規(guī)則發(fā) 送保護措施如阻斷連接命令給監(jiān)控代理。
[0039] 8、監(jiān)控代理執(zhí)行保護命令并阻斷連接。
[0040] 9、各種類型的日志還可以統(tǒng)一收集到管理節(jié)點的日志收集服務(wù)組件,通過分類關(guān) 聯(lián)分析作二次過濾,以提供給管理員更高級的日志分析和展示功能。
【權(quán)利要求】
1. 一種基于日志分析和防火墻安全矩陣的Web網(wǎng)站安全監(jiān)控報警系統(tǒng)包含: 基于日志分析的安全監(jiān)控子系統(tǒng):基于對網(wǎng)站相關(guān)環(huán)境的所有日志的監(jiān)控與關(guān)聯(lián)分 析,來及時發(fā)現(xiàn)對網(wǎng)站的網(wǎng)絡(luò)攻擊和可疑的非法訪問行為,并采取報警和防護措施; 防火墻安全矩陣監(jiān)控子系統(tǒng):通過對防火墻安全矩陣的監(jiān)控來發(fā)現(xiàn)在網(wǎng)絡(luò)層違反安全 策略的非法訪問,并采取報警和防護措施。
2. 權(quán)利要求1中,對日志文件的監(jiān)控方法指的是持續(xù)地,實時地或定時地對文件新增 的內(nèi)容進行檢查,如果與預(yù)先配置的一個由若干個關(guān)鍵字或正則表達式或加權(quán)計算公式組 成的表達式集合中的某一項或多項匹配,則認為檢測到一個可疑事件。
3. 權(quán)利要求1中,對日志文件的監(jiān)控和關(guān)聯(lián)分析指的是在監(jiān)控子系統(tǒng)發(fā)現(xiàn)可疑事件 后,按照預(yù)先配置的策略和規(guī)則將該可疑事件與其他日志監(jiān)控報告的可疑事件進行關(guān)聯(lián)和 基于加權(quán)表達式的計算,如果結(jié)果超過策略或規(guī)則中定義的閥值則判定為一次攻擊事件或 非法訪問行為。
4. 權(quán)利要求1中,基于對網(wǎng)站相關(guān)環(huán)境的所有日志的監(jiān)控包含但不限于對以下方面內(nèi) 容的監(jiān)控: Apache/Tomcat/IIS的訪問日志/錯誤日志/安全日志; 網(wǎng)站應(yīng)用日志中的錯誤/可疑事件; 安全設(shè)備報警日志; 防火墻安全矩陣監(jiān)控日志; 網(wǎng)站所有主機的登錄/用戶操作日志/系統(tǒng)實時狀態(tài)日志; 非網(wǎng)站合法進程發(fā)起的數(shù)據(jù)庫連接日志。
5. 權(quán)利要求4中,對Apache/Tomcat/IIS的訪問日志/錯誤日志/安全日志的監(jiān)控方 法指的是通過對所有已知的Web攻擊所對應(yīng)的日志中的錯誤信息作分析積累,進而構(gòu)造一 系列由關(guān)鍵字/正則表達式組成的檢測規(guī)則,基于這個規(guī)則集即可對各類攻擊進行實時的 監(jiān)控和偵測。
6. 權(quán)利要求4中,對網(wǎng)站應(yīng)用日志中的錯誤/可疑事件的監(jiān)控方法指的是指導(dǎo)用戶在 網(wǎng)站的業(yè)務(wù)邏輯代碼中針對以下三類錯誤打印出對應(yīng)的日志:1)任何非正常使用情況下 的錯誤處理;2)對所有http請求作參數(shù)過濾,包含不應(yīng)出現(xiàn)的特殊字符或包含不在合法參 數(shù)值集合中的請求要記日志;3)對某個用戶ID/Session試圖訪問它無權(quán)訪問的某個后臺 接口或Action時要記日志。網(wǎng)站應(yīng)用日志的格式除了給出指導(dǎo)外,系統(tǒng)可以對用戶上傳的 代碼作靜態(tài)掃描,以給出明確的需要添加安全審計日志的代碼位置。然后通過關(guān)鍵字/正 則表達式對要監(jiān)控的網(wǎng)站應(yīng)用日志中的事件進行定義并啟動監(jiān)控。
7. 權(quán)利要求1中,防火墻安全矩陣指的是將所有區(qū)域的IP地址范圍按不同的安全屬性 分成若干的命名區(qū)域,然后定義這些區(qū)域兩兩之間的安全策略,包括簡單策略就是哪些端 口可訪問而哪些不可,以及高級策略如允許網(wǎng)絡(luò)報文的類型,內(nèi)容的關(guān)鍵元素等。
8. 權(quán)利要求1中,對防火墻安全矩陣的監(jiān)控指的是采取直接和間接兩種方式執(zhí)行監(jiān)控 任務(wù)來驗證這個矩陣的有效性,一旦發(fā)現(xiàn)不符合的就報警;直接方式監(jiān)控指定時發(fā)起訪問 的嘗試來檢查連通性的要求,間接方式監(jiān)控則是抓取網(wǎng)絡(luò)報文,或加載內(nèi)核模塊/驅(qū)動模 塊來接受系統(tǒng)返回的網(wǎng)絡(luò)報文信息,來與允許的訪問列表進行對比檢查。
9. 權(quán)利要求1中,基于日志分析的安全監(jiān)控子系統(tǒng)包含 監(jiān)控客戶端代理:部署在網(wǎng)站各個服務(wù)器節(jié)點上,接受并執(zhí)行來自中心管理節(jié)點的檢 查命令,按關(guān)鍵字/正則表達式作過濾并返回監(jiān)控到的事件給管理節(jié)點,同時當(dāng)管理節(jié)點 確定某個訪問/連接為非法時,監(jiān)控代理根據(jù)要求在本地采取阻斷訪問和保護措施; 中心管理節(jié)點:既可以部署在本地也可以部署在遠程,可以是單臺服務(wù)器或虛擬機, 也可以是多臺服務(wù)器或虛擬機組成的集群,與監(jiān)控客戶端代理進行通信收集日志和發(fā)布命 令、進行日志分析、觸發(fā)報警機制。
10.權(quán)利要求9中,中心管理節(jié)點包含 日志收集服務(wù)組件:接受監(jiān)控代理和系統(tǒng)外節(jié)點如安全設(shè)備上傳的經(jīng)過首次過濾的日 志關(guān)鍵內(nèi)容,并分類存檔和做關(guān)聯(lián)合并; 日志分析引擎組件:按管理員配置的規(guī)則進行二次過濾和分析,產(chǎn)生報警事件送給監(jiān) 控與報警服務(wù); 監(jiān)控與報警服務(wù)組件:可擴展的監(jiān)控系統(tǒng)主框架,可靈活地加載各種監(jiān)控命令,提供短 信/郵件/Web等多樣化報警功能,并按配置發(fā)送阻斷/防護命令給監(jiān)控代理采取保護措 施; 管理控制臺組件:提供管理界面,定義或調(diào)整可疑事件的關(guān)鍵字/正則表達式,配置事 件的關(guān)聯(lián)規(guī)則/策略,設(shè)置報警條件和保護命令,察看報警的日志內(nèi)容及相關(guān)信息等。
【文檔編號】H04L29/06GK104144063SQ201310165880
【公開日】2014年11月12日 申請日期:2013年5月8日 優(yōu)先權(quán)日:2013年5月8日
【發(fā)明者】朱燁, 袁曉東 申請人:朱燁, 袁曉東