一種安全事件監測方法、系統及裝置的製作方法

2023-05-29 23:11:01 1

專利名稱：一種安全事件監測方法、系統及裝置的製作方法
技術領域：
本發明涉及網絡安全領域，特別是涉及一種安全事件監測方法、系統及裝置。
背景技術：
信息網絡的發展為社會生產、生活帶來極大的方便，也引發了不少問題，一是計算 機病毒和木馬傳播感染嚴重。2009年全國半年內有1. 95億網民遇到過病毒和木馬的攻擊， 1. 1億網民在上網過程中遇到過病毒和木馬的攻擊，1. 1億網民遇到過帳號或密碼被盜問 題。二是網絡攻擊活動頻繁，2009年6月以來，土耳其某黑客組織攻破我國境內200多個網 站，其中我省網站有多家，造成不良的社會影響。為了應對信息安全威脅，信息網絡運營、使用單位採取了安裝防火牆、入侵檢測、 防病毒、防掛馬、防網頁篡改等安全系統。但是，由於未建立起整體的安全監測和預警體系， 對信息安全事件進行及時監測和預警，監管部門對安全事件總體定位、預防、實時反應還存 在很多不足。部分安全廠家已經針對自身的安全產品開發了相應的日誌收集器及日誌分析系 統，但是存在如下問題各廠家安全產品技術不盡相同，功能參差不齊，日誌格式、接口程序也有自己的規 格，且已經在市面上部署多年，無法互相兼容；如果直接修改各設備的接口程序與安全事件 監測中心直接對接，工程浩大；大量日誌湧向中心伺服器，對伺服器的處理性能和網絡帶寬 都會有很大的壓力；安全產品與中心直接對接的方式在安全性保障方面也有很大隱患，可 能發生中途數據遭「劫持」，更嚴重者由於安全系統自身安全漏洞被黑客利用，惡意破壞監 測中心；採用廠家自有接口程序，未來接口的升級存在一定困難。綜上，現有網絡信息安全事件監測技術的通用性較差。

發明內容
本發明提供了一種安全事件監測方法、系統及裝置，用以解決現有網絡信息安全 事件監測技術的通用性較差的問題。本發明的一種安全事件監測方法，包括下列步驟採集步驟事件採集客戶端對 節點的事件日誌進行實時採集；上傳步驟事件採集客戶端向安全事件監測中心上傳採集 到事件日誌數據；整理步驟安全事件監測中心對所述上傳的事件日誌數據進行收集，並 整理為統一格式。本發明的一種安全事件監測系統，包括節點日誌伺服器，部署於節點日誌伺服器 上的事件採集客戶端，以及與事件採集客戶端相互通信的安全事件監測中心；其中，節點日 志伺服器，用於收集本節點的事件日誌；事件採集客戶端，用於對其所屬的節點日誌伺服器 收集的事件日誌進行實時採集，並向安全事件監測中心上傳採集到事件日誌數據；安全事 件監測中心，用於對所述上傳的事件日誌數據進行收集，並整理為統一格式。本發明的一種事件採集客戶端，包括採集單元，用於對其所屬節點的事件日誌進行實時採集；上傳單元，用於向安全事件監測中心上傳採集到事件日誌數據。本發明有益效果如下本發明通過事件採集客戶端採集各節點中的事件日誌，並上傳到安全事件監測中心，之後由安全事件監測中心整理為統一格式的事件日誌數據，從而提高了網絡信息安全 事件監測技術的通用性。


圖1為本發明實施例中的系統架構圖；圖2為本發明實施例中的事件採集客戶端的模塊化邏輯結構圖；圖3為本發明實施例中事件採集客戶端部署於節點日誌伺服器的架構圖；圖4為本發明實施例中安全事件監測中心SERVER端的架構圖；圖5為本發明實施例中的方法步驟流程圖。
具體實施例方式為了解決現有網絡信息安全事件監測技術的通用性較差的問題，本發明提供了一 種通用型安全事件監測方案。參見圖1所示，為本發明實施例中的系統架構圖，其採用分層處理及事件採集客 戶端(代理Agent軟體)插件的方式設計。數據採集方式採用分層處理，首先按廠家、地區、行業劃分，由各個廠家自行收集 部署的邊界安全產品日誌到廠家、地區、行業日誌收集分析中心中，具體由節點日誌伺服器 收集邊界安全產品日誌(即本節點管轄的安全產品的事件日誌)，並存儲於節點日誌數據 庫中。在節點日誌伺服器上部署事件採集客戶端(可為插件方式)，對其所屬的節點日 志伺服器收集的事件日誌進行實時採集，並通過加密傳送方式向安全事件監測中心上傳採 集到事件日誌數據。安全事件監測中心(SERVER端)的中心事件伺服器組對上傳的事件日誌數據進行 收集，並整理為統一格式，存儲於中心事件資料庫組中，並可進一步進行實時處理、通過網 頁或簡訊等方式告警、報表、備份存儲、管理等操作。以下分別描述組成本發明系統的事件採集客戶端以及安全事件監測中心。參見圖2所示，本發明實施例中的事件採集客戶端包括如下邏輯單元採集單元，用於對其所屬節點的事件日誌進行實時採集。上傳單元，用於向安全事件監測中心上傳採集到事件日誌數據。進一步還可選擇性包括加密單元，用於以安全事件監測中心下發的密鑰對事件 日誌數據加密。過濾單元，用於根據安全事件監測中心下發的日誌過濾指令，控制採集單元 有選擇的採集事件日誌。參見圖3所示，為本發明實施例中事件採集客戶端部署於節點日誌伺服器的架構 圖。事件採集客戶端是個跨平臺軟體，可安裝在廠家、地區、行業日誌收集分析中心 的伺服器主機(以下稱為「節點」)上，對節點的節點日誌伺服器收集並儲存於節點日誌資料庫中的事件日誌進行實時採集。由於節點已經是匯聚了所管轄邊界安全設備的日誌，滿足《MSTL_JGF_04-0190101-2006信息安全技術安全管理平臺產品檢驗規範》，支持 SNMP (Simple Network ManagementProtocol，簡單網絡管理協議)、SYSLOG (系統日誌或系 統記錄)格式以及ODBC (Open Database Connectivity，開放資料庫互連)。通過事件採集 客戶端(可為Agent程序，以下不再贅述)直接讀取SNMP、SYSLOG或資料庫的事件日誌信 息進行事件日誌採集。採集到事件日誌數據後，經過打包壓縮和數據格式整理成為數據流， 並通過數據收發接口加密傳送到安全事件監測中心SERVER端。具體可以是實時上傳、定時 上傳或按需上傳。在傳輸過程中，由於日誌來源在日誌體中是一個非常重要的信息，因此，對應每一 個事件採集客戶端，安全事件監測中心需要分配一個識別ID，同時需要為每個事件採集客 戶端分配一個傳輸密鑰用於加密傳輸。由於各種日誌格式和表現形式的不同，單一的事件 採集客戶端無法完成在同一臺節點伺服器上採集多種日誌的任務，因而，將事件採集客戶 端做成獨立運行的一個守護進程，在節點主機上，利用守護進程調用不同的採集模塊(程 序或協議)來採集不同格式的日誌。例如在Windows上，將採集模塊做成動態連結庫，在 類Unix上，將採集模塊做成module的形式，即.so文件。這樣做還可以達到動態升級的目 的，即當需要採集新類型的事件日誌或改變採集方式時，只需要下載更新包，更新包會自動 升級Agent程序。除此之外，事件採集客戶端可以具有日誌過濾功能，即通過安全事件監測中心下 達的日誌過濾指令，有選擇的採集事件日誌，可以有效減輕中心層的事件日誌收集負載。參見圖4所示，為本發明實施例中安全事件監測中心SERVER端的架構圖。通過數據收發接口對外收發數據；通過中心事件伺服器組收集事件日誌數據，並 由中心事件資料庫組進行存儲。之後，還可實現若干功能，具體如下。安全事件監測中心的主要功能包括標識分配及節點驗證如上所述為每一事件採集客戶端分配一個識別ID ；安全事 件監測中心先對通過數據收發接口傳來的事件日誌數據的事件採集客戶端進行ID驗證， 驗證通過後再收集所述事件日誌數據。下發事件收集規則、收集指令或日誌過濾指令例如安全事件監測中心向事件採 集客戶端下發日誌過濾指令，事件採集客戶端根據日誌過濾指令有選擇的採集事件日誌。密鑰分配及解密如上所述為每一事件採集客戶端分配一個傳輸密鑰；安全事件 監測中心需對通過數據收發接口傳來的事件日誌數據進行解密。日誌收集通過部署在廠家、地區、行業日誌收集分析中心的伺服器主機上事件採 集客戶端(Agent軟體)對節點上傳的日誌進行收集，並整理為統一格式。實時處理對採集到的事件日誌進行實時處理分析，然後根據規則庫產生相應警 告，交由安全事件監管人員進行後續處理。更為具體的，實時審計處理引擎通過加載規則 庫，並在內存中建立規則樹，向安全事件監測中心提供過濾接口。日誌過濾接口將每一條日 志在規則樹中匹配，當安全事件監測中心接收到的日誌數據命中規則樹中的某條規則，則 根據規則中定義的動作或者產生告警或者跳轉至另一條規則，如果需要產生告警，則通過 用戶選擇的告警手段(簡訊、E-MAIL或MSN、QQ等方式)向指定告警組發送告警消息，並形 成文檔。
報表對採集到的日誌進行數據挖掘、關聯分析處理，並產生周期性報表。更為具 體的，報表生成為系統的後臺任務，與後臺查詢相同，需要在用戶提交請求後的一定時間內 返回結果，用戶無須再登錄時等待結果，可在一定時間後登錄系統來獲得報表。存儲對採集到的日誌進行定時備份存儲，並支持各種日誌格式導入導出。主要用 於維護安全事件監測中心的中心事件資料庫，並提供導入導出數據的接口，例如SAMBA接 口，可將日誌數據導出到Windows伺服器上存儲備份。同時，為中心事件伺服器組接收到的 每一條日誌進行統一編號，確保每一條日誌擁有不同的編號。管理為用戶提供管理界面，採用B/S架構，因此用戶可以直接通過瀏覽器來管理配置系統，並支持高效的組合條件查詢庫存日誌。具體包括系統管理提供用戶管理整個系 統的接口，其中包括系統用戶管理，主要用於安全事件系統用戶的管理；Agent管理主要 用於配置Agent客戶端的各項參數，例如Agent的添加、更新，Agent優先級設定和參數設 定等；應用配置管理主要用於管理日誌源；規則管理主要用於編輯系統的規則庫。事件日誌分類事件日誌種類可分為4大類，包括原始事件日誌、重要事件日誌、 告警事件日誌和安全接入設備自身狀態日誌。當安全事件監測中心接收到Agent加密傳輸 來的日誌數據流，立即將其解密並還原為日誌結構體，並同時根據安全事件監測中心的規 則庫對其進行過濾，再根據過濾的結果將他們分別錄入中心事件資料庫組中的原始事件日 志庫、重要事件日誌庫、告警事件日誌庫及安全接入設備狀態日誌庫。數據查詢接口 此接口緩存一部分日誌數據，緩存的標準為近期錄入的數據和 經常被用戶查詢的數據。同時，此接口需要給用戶高效檢索日誌庫的接口。查詢分為前臺 查詢和後臺查詢，前臺查詢是指用戶查詢的數據已經全部緩存在界面管理服務，而後臺查 詢是指用戶查詢的數據在界面管理伺服器上沒有緩存，需要到日誌資料庫上去請求。前臺 查詢在用戶提交查詢請求後可立即將結果返回給用戶，而後臺查詢需要在用戶提交查詢請 求後在一定時間內返回結果，在這種情況下，用戶無須在登錄時等待結果，可在一定時間之 後來查看結果。系統其他接口 包括告警接口，此接口主要用於當系統產生告警時，通過E-mail、 MSN、QQ或簡訊向告警組成員發送告警消息；備份接口，由於在一段時間過後，日誌的數量 會非常巨大，因此可能需要將日誌數據導出備份。同時，當用戶需要查詢歷史數據時，可能 需要將已經備份到其他介質上的日誌數據導入到中心伺服器。參見圖5所示，本發明實施例中的方法包括下列主要步驟Si、事件採集客戶端對節點的事件日誌進行實時採集；S2、事件採集客戶端向安全事件監測中心上傳採集到事件日誌數據；S3、安全事件監測中心對所述上傳的事件日誌數據進行收集，並整理為統一格式。更為具體的，Sl中，事件採集客戶端以獨立運行的守護進程的方式調用不同的程 序或協議來採集不同格式的事件日誌。Sl中在上傳之前安全事件監測中心可為事件採集客戶端分配密鑰；事件採集客 戶端對採集到事件日誌數據打包成為數據流，並以該密鑰對數據流加密。為了進一步加大安全保障力度，安全事件監測中心可為每一事件採集客戶端分配 唯一對應的標識，S3中安全事件監測中心先對上傳事件日誌數據的事件採集客戶端進行標 識驗證，驗證通過後再收集所述事件日誌數據。
S3中對上傳的事件日誌數據進行收集的過程中，安全事件監測中心可根據規則庫 對上傳的事件日誌數據進行過濾。安全事件監測中心向事件採集客戶端下發日誌過濾指令，則Sl中事件採集客戶 端根據日誌過濾指令有選擇的採集事件日誌。方法實施例中的其它細節內容可從上述已詳述的系統、事件採集客戶端、安全事 件監測中心的內容中提取或導出，可用以解釋本發明的方法，在此不再贅述。綜上，本發明方案採取分層處理，有效解決監測中心的性能和帶寬壓力；採用插 件方式，無需在各廠家邊界產品上做更改，具有良好的兼容性；插件以Agent形式安裝到 廠家或地區日誌中心(節點)的伺服器上或廠家產品上；Agent是個獨立運行的程序，無 需修改節點伺服器上的數據結構，可以動態對儲存在節點上的事件日誌進行查詢、格式調 整、數據壓縮、安全通道傳送等功能；通過本系統獨立對每個Agent的傳輸日誌進行獨立加 解密，可以避免由於某個廠家的傳輸協議外洩而產生的信息洩漏或中途劫持等問題；通過 Agent-Server方式，可以很容易實現雙向通訊，實時傳送、定時傳送、按需查詢傳送等靈活 的通訊方式；Agent方式可以支持各廠家、地區部署的節點伺服器，不需要節點伺服器做任 何修改；無論Agent和Server都可以動態升級，而不會影響到業已部署的各廠家安全設備 及節點伺服器的功能。可見，本發明是一套分布式、跨平臺的通用型網絡信息安全事件監測方案。依託互 聯網接收各重點單位安裝的入侵檢測系統、防火牆系統、漏洞掃描系統、計算機病毒防治系 統等專用安全產品自動發送的網絡攻擊、木馬、病毒、漏洞等安全事件信息，為信息安全系 統的全面分析和預警提供依據。它支持對網際網路上各種網絡安全設備在運行過程中產生的 日誌、消息、狀態等信息進行實時及定時收集，在實時分析的基礎上，監測各種網絡安全事 件，及時發現可能進一步擴展的網絡安全事件，進行預警，實行「一點發現，啟動全網防範」； 對存儲的日誌數據進行數據挖掘和關聯分析，向監管部門(如網絡警察)提供準確、詳盡的 統計分析數據和異常分析報告，協助管理人員及時發現安全漏洞，採取有效措施，提高各單 位的安全等級。顯然，本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精 神和範圍。這樣，倘若本發明的這些修改和變型屬於本發明權利要求及其等同技術的範圍 之內，則本發明也意圖包含這些改動和變型在內。
權利要求
一種安全事件監測方法，其特徵在於，包括下列步驟採集步驟事件採集客戶端對節點的事件日誌進行實時採集；上傳步驟事件採集客戶端向安全事件監測中心上傳採集到事件日誌數據；整理步驟安全事件監測中心對所述上傳的事件日誌數據進行收集，並整理為統一格式。
2.如權利要求1所述的安全事件監測方法，其特徵在於，所述上傳步驟中在上傳之前 還包括安全事件監測中心為事件採集客戶端分配密鑰； 對採集到事件日誌數據打包成為數據流；以及 以所述密鑰對數據流加密。
3.如權利要求1所述的安全事件監測方法，其特徵在於，安全事件監測中心為每一事 件採集客戶端分配唯一對應的標識；在整理步驟中還包括安全事件監測中心先對上傳事件日誌數據的事件採集客戶端進 行驗證，驗證通過後再收集所述事件日誌數據。
4.如權利要求1所述的安全事件監測方法，其特徵在於，所述採集步驟中，事件採集客 戶端以獨立運行的守護進程的方式調用不同的程序或協議來採集不同格式的事件日誌。
5.如權利要求1所述的安全事件監測方法，其特徵在於，整理步驟中所述對上傳的事 件日誌數據進行收集的過程包括安全事件監測中心根據規則庫對上傳的事件日誌數據進 行過濾。
6.如權利要求1所述的安全事件監測方法，其特徵在於，安全事件監測中心向事件採 集客戶端下發日誌過濾指令；在所述採集步驟中還包括事件採集客戶端根據所述日誌過濾指令有選擇的採集事件日誌ο
7.一種安全事件監測系統，其特徵在於，包括節點日誌伺服器，部署於節點日誌服務 器上的事件採集客戶端，以及與事件採集客戶端相互通信的安全事件監測中心；其中，節點日誌伺服器，用於收集本節點的事件日誌；事件採集客戶端，用於對其所屬的節點日誌伺服器收集的事件日誌進行實時採集，並 向安全事件監測中心上傳採集到事件日誌數據；安全事件監測中心，用於對所述上傳的事件日誌數據進行收集，並整理為統一格式。
8.一種事件採集客戶端，其特徵在於，包括採集單元，用於對其所屬節點的事件日誌進行實時採集； 上傳單元，用於向安全事件監測中心上傳採集到事件日誌數據。
9.如權利要求8所述的事件採集客戶端，其特徵在於，還包括加密單元，用於以安全事件監測中心下發的密鑰對所述事件日誌數據加密。
10.如權利要求8所述的事件採集客戶端，其特徵在於，還包括過濾單元，用於根據安全事件監測中心下發的日誌過濾指令，控制採集單元有選擇的 採集事件日誌。
全文摘要
本發明公開了一種安全事件監測方法、系統及裝置，涉及網絡安全領域，用以解決現有網絡信息安全事件監測技術的通用性較差的問題。方法包括事件採集客戶端對節點的事件日誌進行實時採集；事件採集客戶端向安全事件監測中心上傳採集到事件日誌數據；安全事件監測中心對所述上傳的事件日誌數據進行收集，並整理為統一格式。系統包括節點日誌伺服器，部署於節點日誌伺服器上的事件採集客戶端，以及與事件採集客戶端相互通信的安全事件監測中心。事件採集客戶端包括採集單元和上傳單元。
文檔編號H04L29/06GK101826993SQ20101010530
公開日2010年9月8日 申請日期2010年2月4日 優先權日2010年2月4日
發明者柯宗慶, 柯宗貴 申請人:藍盾信息安全技術股份有限公司