本發明公開了一種多源網絡安全事件的采集與同步方法。目前多源網絡安全事件采集過程中，存在各設備本地時間不同步的問題。本發明的步驟包括：1)多源網絡安全事件采集，事件采集端實時采集網絡安全設備產生的事件并存儲至ehcache緩存框架中；2)事件源時間同步校對，每個事件源均以服務端的時間為基準進行同步；3)ehcache緩存框架中的節點采用遠程方法調用RMI機制與ehcache緩存框架的其他節點進行事件同步；4)服務端從ehcache緩存框架中實時讀取事件信息，并進行處理。本發明采用發送同步數據包、計算網絡延遲和本地時間差的方式，實時、準確得出各設備與服務端的時間差值，來對事件源進行同步，具有易于實現、精確同步的優點。

技術領域

本發明涉及網絡安全技術領域，具體地說是一種多源網絡安全事件的采集與同步方法。

背景技術

隨著網絡的快速發展，網絡安全問題面臨著極大的挑戰。信息技術的不斷進步，使得攻擊手段與攻擊時效也在不斷提高，大量存在的系統漏洞被發現和利用，網絡安全問題變得十分脆弱，網絡安全防御更顯重要。

很多企業為了應對網絡面臨的安全威脅，在信息化過程中部署了防火墻、行為管理設備、防病毒軟件、入侵檢測系統以及其他一些安全基礎設施。這些安全基礎設施均會在監控或防御的過程中產生一些與安全防護相關的日志數據，這些數據通常能夠反映出網絡設備的行為，例如一些惡意攻擊行為以及網絡的安全狀況，那么對這些日志數據進行一定處理和分析就能夠對網絡狀況進行更準確的評估和預測，然而，各個安全設備上的安全日志是離散地存儲在各個安全設備的機器上，并且由于功能以及生產廠商的不同這些日志數據是異構的，導致不能利用統一的采集方式對不同的數據源進行采集。如何使用統一的采集框架又要應對不同的數據存儲系統成了當前難以解決的問題。

經對現有文獻的檢索發現，浪潮通信信息系統有限公司的趙宏在2016年的發明專利《一種實時監控分析大量日志的系統及方法》中提出三層的日志采集及處理架構，其日志采集模塊采用Flume-ng技術，以應對大數據量的安全日志。北京郵電大學的桑柏嵩在《Agent的網絡安全日志收集系統設計與實現》中，提出采集代理端通過采用臨時文件的方法來暫存事件信息，然后再將事件存儲到Redis隊列中等。這些文獻中提到的安全事件采集方法并沒有考慮到各采集代理之間、各采集代理與中央服務器之間的時間不同步問題，造成中央服務器在收到多源事件后會出現事件亂序的情況，在各Agent時間差異較大、網絡延遲較大的情況下，嚴重影響事件分析端的分析結果。

發明內容

本發明所要解決的技術問題是克服上述現有技術存在的不足，提供一種多源網絡安全事件的采集與同步方法，其利用時間同步校對、共享優先級隊列緩沖區、動態內存增長等技術，在多種安全設備產生的安全事件格式各異的實際工程中，保證事件采集過程的高效、事件的同步。

為實現上述目的，本發明采用如下的技術方案：一種多源網絡安全事件的采集與同步方法，其特征在于，首先對各個事件源的時間進行同步，各事件源均以服務端的時間為標準時間，通過發送時間同步數據包來計算網絡延遲、事件源與服務端的本地時間差，從而得出實時、準確的時間差值；隨后事件采集端根據此時間差值對事件進行同步后通過socket通信存儲至ehcache緩存框架中，該ehcache緩存框架中的節點采用遠程方法調用RMI機制與ehcache緩存框架中的其他節點進行事件同步；Server端從ehcache緩存框架中實時讀取事件信息，并進行處理。

進一步地，本發明包括以下具體步驟：

1)多源網絡安全事件采集

采集端采用采集代理方式，負責實時采集各個事件源的網絡安全事件；基于不同源事件采集的正則表達式，對其網絡安全進行規范化和去冗余預處理操作，網絡安全事件具有時間戳、源IP地址、目的IP地址、源端口、目的端口和協議信息；采集端將采集到的事件以socket通信方式存儲在ehcache緩存框架中；

2)事件源時間同步校對