資料庫安全事件的管理方法及分析系統與流程
2023-10-21 06:50:52
本發明公開一種資料庫安全事件的管理方法及分析系統,屬於網絡入侵檢測技術領域。
背景技術:
現在網絡入侵越來越複雜,在網絡應用層的漏洞成為了黑客的重點攻擊目標,利用網絡應用層的漏洞進行攻擊時,攻擊者的數據(攻擊腳本)千奇百怪,想方設法繞過各種安全監管系統,要將這些帶有非常規內容的安全事件,準確清晰分門別類保存到各種關係資料庫中,也是一件繁瑣細緻而且重要的工作。針對入庫工作環節,傳統安全監管系統將遇到以下二個問題:首先攻擊方式正在動態變化,安全產品能夠識別出來的安全事件類型也必須進一步細分,而且變更周期越來越短,導致程序代碼頻繁更新修改,造成應用系統不穩定性;其次對關係資料庫支持比較單一,無法同時支持多種關係資料庫,從而無法滿足複雜的客戶生產環境,就算能滿足也需要進行較多的定製化開發。採用動態入庫方法可以很好解決上述問題,從而提高系統的靈活性、穩定性和擴展性。
當前,網絡信息安全領域中既有來自於外部的入侵和攻擊,也有來自內部的違規和洩露。常見的信息安全系統包括防病毒系統、防火牆、入侵檢測系統、漏洞掃描系統、UTM等。但這些安全系統一般只能防堵來自某個特定方面的安全威脅,不具備協同效應。CN201010613751介紹了一種能夠避免形成安全孤島的網絡安全事件關聯分析系統,但只是提出了該系統的架構模型,對於網絡安全事件的採集、關聯分析的效率和準確性以及系統操作等方面都有進一步提升的空間。
技術實現要素:
針對上述提到的現有技術中的資料庫安全問題,本發明提供一種資料庫安全事件的管理方法及分析系統,用以實現具有較低的安全告警延遲、且具有較高的安全監控性能的安全事件管理及安全分析。
本發明解決其技術問題採用的技術方案是:一種資料庫安全事件的管理方法,管理方法包括下述步驟:
步驟1,伺服器向用於採集安全事件的代理髮送安全事件格式化標準,以使代理根據安全事件格式化標準對採集的安全事件進行格式化;
步驟2,Server從Agent獲取經格式化的安全事件,對安全事件進行關聯分析並產生安全告警。
一種實現如上述的資料庫安全事件的管理方法的分析系統,分析系統包括數據採集層、集群資料庫系統、分析決策層和界面顯示層,數據採集層、集群資料庫系統、分析決策層和界面顯示層通過有線或無線網絡連接。
本發明解決其技術問題採用的技術方案進一步還包括:
所述的步驟1包括下述子步驟:
步驟1A,Sever定製一套或多套安全事件格式化欄位集,並根據安全事件格式化欄位生成用於表徵安全事件格式化標準的安全事件格式化插件;
步驟1B,Sever部署Agent時,根據Agent需要採集的設備類型,向Agent下發與設備類型相對應的安全事件格式化插件,其中,一類設備類型可對應一個插件,一個Agent可採集多種類型的安全事件,且不同類型的Agent可採集不同類型的安全事件;
步驟1C,Agent接收到安全事件格式化插件後,將其存放至本地磁碟;
步驟1D,Agent通過簡單網絡管理協議、Syslog協議、FILE協議、開放資料庫互聯、可擴展標識語言或文件傳輸協議的方式採集到不同廠家、不同類型的網絡安全設備和系統的安全事件;
步驟1E,Agent採集到安全事件後,依據步驟1C中接收到的安全事件格式化插件對步驟1D中採集到的安全事件進行格式化;
步驟1F,Agent將格式化後的安全事件發送至Server。
所述的步驟2包括下述子步驟:
步驟2A,Server接收到安全事件後,將安全事件存儲至資料庫中;
步驟2B,Server進行關聯分析時,根據關聯規則設定的事件類型,從資料庫中讀取相應的安全事件,然後進行關聯分析處理,生成安全告警事件,並將安全告警事件發送至安全告警展示界面;
步驟2C,Web接收安全告警事件並顯示該安全告警事件。
所述的數據採集層包括多個狀態採集設備、多個網絡數據包採集設備和封裝處理器,狀態採集設備,實現為傳感器或自動化儀表採集參數,網絡數據包採集設備,實現為運行監控腳本,包括但不僅限於安裝在伺服器上的監控腳本,封裝處理器,用於將狀態採集設備和網絡數據包採集設備所獲取的網絡安全事件數據進行預處理和封裝,並將封裝好的網絡安全事件數據傳至決策層。
所述的分析決策層包括關聯分析模塊和關聯分析策略模塊,關聯分析模塊用於分析數據採集層的封裝處理器傳輸來的實時安全事件和安全事件樣本數據所存儲的樣本安全事件之間的關聯度,關聯分析策略模塊用於操作操作關聯分析策略資料庫。
本發明的有益效果是:根據本發明的安全事件管理方法、伺服器、代理及安全管理平臺,通過由伺服器將安全事件格式化標準下發給代理,由採集安全事件的代理根據安全事件格式化標準對安全事件進行格式化,避免了由伺服器對全部安全事件進行格式化所造成的安全告警延遲的問題,極大地提高了安全監控性能;而且當包含多臺伺服器時,還能夠避免由不同的伺服器對相同的安全事件進行多次格式化處理的問題,實現了一次格式化、多次應用,提高了監控效率,及時發現安全風險,極大提高了整體安全管理平臺的性能。
下面將結合附圖和具體實施方式對本發明做進一步說明。
附圖說明
圖1為本發明安全事件管理方法的流程圖。
圖2為本發明的分析系統方框圖。
具體實施方式
本實施例為本發明優選實施方式,其他凡其原理和基本結構與本實施例相同或近似的,均在本發明保護範圍之內。
請參看附圖1,本發明中的安全事件管理方法包括下述步驟:
步驟1,伺服器向用於採集安全事件的代理髮送安全事件格式化標準,以使代理根據安全事件格式化標準對採集的安全事件進行格式化;
本實施例中,具體地,上述步驟1例如通過以下步驟實現:
步驟1A,Sever定製一套或多套安全事件格式化欄位集,並根據安全事件格式化欄位生成用於表徵安全事件格式化標準的安全事件格式化插件。安全事件格式化標準用於將各種不同格式的安全事件統一為Server可識別的事件格式,以便Server對安全事件進行關聯分析。其中,安全事件格式化插件是採用特定的語言、特定的格式、用於對安全事件進行格式化的語句的集合,例如,在數據結構中預先定義一個標識插件的ID號,該ID號和安全事件格式化插件ID號相同,例如123,一類設備的安全事件的識別語句可組合一個插件,多種類型的設備安全事件可按統一標準格式化,也可按不同標準格式化,並且每一個安全事件格式化插件只使用一套欄位集,且多個安全事件格式化插件可共用一套欄位集;
步驟1B,Sever部署Agent時,根據Agent需要採集的設備類型,向Agent下發與設備類型相對應的安全事件格式化插件,其中,一類設備類型可對應一個插件,一個Agent可採集多種類型的安全事件,且不同類型的Agent可採集不同類型的安全事件;例如與同一Server連接的多個不同的Agent分別採集以下安全事件:第一Agent採集邊界和網絡安全的安全事件,例如包括防火牆/虛擬專用網,路由器和交換器,網絡入侵檢測/入侵防禦設備;第二Agent採集桌面、網關和伺服器安全的安全事件,例如包括防病毒、間諜軟體,廣告軟體,郵件和插件安全,反垃圾郵件和內容,伺服器、主機入侵檢測和防火牆;第三Agent採集策略貫徹和漏洞管理的安全事件,例如包括主機和網絡策略協議,主機和網絡漏洞,及資產發現;第四Agent採集其他應用的安全事件,例如包括Web應用,郵件和業務應用。
步驟1C,Agent接收到安全事件格式化插件後,將其存放至本地磁碟;
步驟1D,Agent通過簡單網絡管理協議(SimpleNetworkManagementProtocol,SNMP)、Syslog協議、其中,Syslog協議是一種工業標準的協議,允許一個設備通過IP網絡把通告信息傳遞給事件信息接收者,另外,可以採用的協議還包括有FILE協議、開放資料庫互聯(OpenDatabaseConnectivity,ODBC)、可擴展標識語言(ExtensibleMarkupLanguage,XML)和文件傳輸協議(FileTransferProtocol,FTP)等方式,以便於Agent採集到不同廠家、不同類型的網絡安全設備和系統的安全事件;
步驟1E,Agent採集到安全事件後,依據步驟1C中接收到的安全事件格式化插件對步驟1D中採集到的安全事件進行格式化;
步驟1F,Agent將格式化後的安全事件發送至Server。
步驟2,Server從Agent獲取經格式化的安全事件,對安全事件進行關聯分析並產生安全告警。
具體地,上述步驟2例如通過以下步驟實現:
步驟2A,Server接收到安全事件後,將安全事件存儲至資料庫中;
步驟2B,Server進行關聯分析時,根據關聯規則設定的事件類型,從資料庫中讀取相應的安全事件,然後進行關聯分析處理,生成安全告警事件,並將安全告警事件發送至安全告警展示界面(Web),例如為瀏覽器;
步驟2C,Web接收安全告警事件並顯示該安全告警事件,Web還可提供查詢界面,以根據輸入的查詢條件檢索歷史安全告警事件並顯示。
根據上述實施例的安全事件管理方法,通過由Server將安全事件格式化標準下發至Agent,由Agent根據安全事件格式化標準對採集的安全事件進行格式化,並將格式化後的安全事件發送至Server,以由Server進行關聯分析、產生安全告警,避免了由Server對全部安全事件進行格式化所造成的安全告警延遲的問題,極大地提高了安全監控性能;而且當包含多臺Server時,還能夠避免由不同的Server對相同的安全事件進行多次格式化處理的問題,實現了一次格式化、多次應用,提高了監控效率,及時發現安全風險,極大提高了整體安全管理平臺的性能。
本實施例中,在上述實施例的安全事件管理方法中,Server從Agent獲取經格式化的安全事件,對安全事件進行關聯分析並產生安全告警的步驟包括:Server從代理獲取經格式化的安全事件,將安全事件存儲至預置的對應於安全事件格式化標準的資料庫表中;Server根據設定的關聯規則對應的安全事件類型,從與安全事件類型對應的資料庫表中讀取安全事件,進行關聯分析,並生成安全告警事件;Server將安全告警事件發送至Web。
Server的資料庫根據不同格式化欄位集創建不同的資料庫表,當Agent根據安全事件格式化插件對安全事件進行格式化時,為安全事件標記上對應於所依據的安全事件格式化插件的標識,所述標識作為安全事件的標識,以使Server接收到安全事件後,根據所述安全事件的標識,確定格式化該安全事件所使用的格式化插件,並將該安全事件存儲到相應的資料庫表中,即Server將使用不同欄位集的格式化的安全事件存儲到不同的資料庫表中。當Server關聯分析時,不需遍歷所有資料庫表,依據關聯規則設定的事件類型,直接從相應的資料庫表中讀取事件。根據上述實施例的安全事件管理方法,由於為資料庫分配對應於不同欄位集的資料庫表,將Server接收到的格式化後的安全事件存儲到對應的資料庫表中,從而使得在進行關聯分析讀取安全事件時,可以通過查找與進行關聯分析所需的事件類型對應的資料庫表、並讀取資料庫表中存儲的安全事件,來獲取進行關聯分析所需的安全事件,而無需遍歷所有資料庫表,有利於提高讀取安全事件的速度,從而提高SOC的關聯分析性能。在上述實施例的安全事件管理方法中,Server從Agent獲取經格式化的安全事件,將安全事件存儲至預置的對應於安全事件格式化標準的資料庫表中的步驟包括:Server從代理獲取經格式化的安全事件,根據預置的、與代理對應的過濾規則和/或合併規則對安全事件進行過濾和/或合併;Server將經過濾或合併的安全事件存儲至預置的對應於安全事件格式化標準的資料庫表中。具體地,可根據用戶的需要,針對從Agent接收的安全事件設置過濾規則和/或合併規則,以使得Server從Agent接收安全事件時,能夠對用戶不關注的安全事件進行過濾或對重複的安全事件進行合併。更具體地,該過濾規則例如為濾除源埠為某一指定埠的安全事件,該合併規則例如為對目的IP為某一指定IP的安全事件進行合併,即在展示安全事件時並不分別展示目的IP為該指定IP的多條安全事件,而僅展示一條安全事件並在該條安全事件後註明重複的次數。
每一個過濾或合併規則只對一個Agent有效,即各過濾規則或合併規則僅與一個Agent相對應,例如Server根據針對第一Agent設置的過濾規則和/或合併規則對從第一Agent接收的安全事件進行過濾和/或合併時,該過濾規則和/或合併規則並不適用於Server從第二Agent接收的安全事件。
在上述實施例的安全事件管理方法中,Server從Agent獲取經格式化的安全事件,對安全事件進行關聯分析並產生安全告警的步驟之前還包括:Server從Agent獲取安全事件,若判斷獲知所獲取的安全事件為未經格式化的安全事件(即攜帶有未經格式化的標識的安全事件),則將安全事件存儲至原始安全事件資料庫表。具體地,資料庫中除包含對應於各安全事件欄位集的資料庫表之外,還包含一個用於存儲沒有格式化的原始安全事件資料庫表。當Agent採集到安全事件後,其根據安全事件類型查找相應的安全事件格式化插件,若找到相應的安全事件格式化插件,則依據上述實施例對安全事件進行格式化;若未找到相應的安全事件格式化插件,則不對該安全事件進行格式化,而是給該安全事件標記上未經格式化的標識,並將該攜帶有標識的安全事件發送至Server。其中,該未經格式化的標識可以為Agent與Server相約定的任意標識。一般的,對於未經格式化的標識,ID號默認為0。用於在Agent未對某個或某些安全事件進行格式化並發送至Server時,Server能夠通過Agent在相應的安全事件上所標記的標識識別出該安全事件未經格式化。Server從Agent接收安全事件後,首先識別安全事件所攜帶的標識,若獲知所接收的安全事件攜帶的標識為未經格式化的標識,則將該安全事件存儲至原始安全事件資料庫表中。通過檢測存儲在原始安全事件資料庫表中的安全事件,可確定Agent中未包含的安全事件格式化插件或Server中未包含的安全事件格式化插件,從而對Server和Agent進行開發或更新。在上述實施例的安全事件管理方法中,資料庫表中還可包含一個用於存儲關聯分析產生的安全告警的安全告警表。通過將產生的安全告警存儲在安全告警表中,能夠經由Web為用戶提供安全告警查詢服務。在上述實施例的安全事件管理方法中,Agent通常為多個,在大規模的網絡環境中,Server的數量也可以為多個。
請參看附圖2,本發明的網絡安全事件關聯分析系統,包括相互連接的數據採集層、集群資料庫系統、分析決策層和界面顯示層。連接方式可以為乙太網線、數據線、光纖等有線形式連接,也可以使用包括WIFI在內的無線方式連接。
數據採集層主要包括多個狀態採集設備、多個網絡數據包採集設備和封裝處理器。狀態採集設備,主要實現為傳感器或自動化儀表,包括但不僅限於部署在乙太網接口的傳感器,可以採集乙太網口的網絡速度、帶寬;部署在遠程網絡安全設備、網絡設備、主機伺服器I/O口的自動化儀表,可以採集遠程設備的主板電壓、電流等性能參數。網絡數據包採集設備,主要實現為運行監控腳本,包括但不僅限於安裝在伺服器上的監控腳本,實時監測伺服器的CPU使用率、內存使用率、硬碟使用率、磁碟IO速度、緩衝區大小、線程數量、隊列長度等性能參數。封裝處理器,用於將狀態採集設備和網絡數據包採集設備所獲取的網絡安全事件數據進行預處理和封裝,並將封裝好的網絡安全事件數據傳至決策層。對採集設備所採集到的數據進行預處理包括但不限於剔除明顯錯誤的數據、設定採集設備分類標誌,規範時間等操作。封裝處理器的封裝操作通過簡單的封裝協議進行。封裝協議包括數據包頭和採集數據兩個部分。數據包頭包括三組內容:第一組為採集設備分類標誌碼,1bit,用以區分狀態採集設備和網絡數據包採集設備;第二組表示採集數據的時間,精確到秒,8Byte,如果數據採集層採集的數據時間精確到毫秒,則封裝處理器在預處理時將其規範化為秒;第三部分表示數據來源設備的MAC地址。由於狀態採集設備和網絡數據包採集設備分布在整個網絡中,因此封裝處理器被設計為支持TCP/IP、HTTP、FTP、UDP、藍牙、802.11等多種網絡傳輸協議,從而能夠完成和狀態採集設備、網絡數據包採集設備的交互,避免異構網絡造成的信息傳輸隔閡。另外,由於封裝處理器對網絡事件數據進行了封裝,因此也簡化了分析決策層,使之不必處理各種網絡協議,決策效率更加高效。
集群資料庫系統包括監控資料庫、關聯分析策略資料庫、關聯分析結果資料庫、安全事件樣本資料庫。監控資料庫用於存儲數據採集層所採集到的性能參數相關的數據,例如狀態採集設備所採集的主板電壓、電流等性能參數,網絡數據包採集設備採集的CPU使用率、內存使用率、硬碟使用率、磁碟IO速度、緩衝區大小、線程數量、隊列長度等性能參數。關聯分析策略資料庫220用於存儲用來進行關聯分析的策略,分為固定策略和用戶配置策略兩部分。關聯分析結果資料庫用於存儲關聯分析的歷史結果,包括判定為有關聯的報警安全事件、綠色安全事件和最新三天內分析的安全事件。安全事件樣本資料庫用於存儲樣本報警安全事件和樣本綠色安全事件的名稱、安全事件的性能參數,包括但不僅限於網速、帶寬、CPU使用率、內存使用率、硬碟空間使用率、磁碟IO速度、緩衝區大小、線程數量、隊列長度等。
分析決策層包括關聯分析模塊和關聯分析策略模塊。關聯分析模塊用於分析數據採集層的封裝處理器傳輸來的實時安全事件和安全事件樣本數據所存儲的樣本安全事件之間的關聯度。關聯分析策略模塊用於操作操作關聯分析策略資料庫,包括關聯分析策略導入、配置、修改、保存等功能。