技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種SSR上主動防御日志告警方法。

背景技術(shù)

網(wǎng)絡(luò)安全愈加受到重視，主動防御是SSR（Server Security Reinforcement，操作系統(tǒng)安全增強系統(tǒng)）保護客戶端操作系統(tǒng)的一個重要安全模塊。在SSR集中管理平臺系統(tǒng)中，對主動防御的檢測結(jié)果有一個直觀的了解，既有利于網(wǎng)絡(luò)的管理，又有利與網(wǎng)絡(luò)安全的防御，后者尤為重要。

主動防御功能可以及時發(fā)現(xiàn)客戶端上進行的非法操作，比如對限定讀寫操作的文件進行讀寫操作，打開禁止的進程等。這些操作都是病毒木馬發(fā)生的常見動作，及時識別發(fā)現(xiàn)主動防御違規(guī)日志對安全管理有極重要的影響。但當(dāng)管理員管理大量客戶端時，僅僅通過主動防御模塊本身提供的狀態(tài)瀏覽功能還不夠便利。主動防御告警能及時通知管理員某臺客戶端主動防御項違規(guī)過多，使管理員能夠及時了解主動防御狀態(tài)并修復(fù)問題。可見，主動防御告警功能對SSR是極為重要的。

為了解決主動防御日志頻繁觸發(fā)且告警配置中有對時間的配置和告警等級的配置的情況下，如何觸發(fā)告警的問題，本發(fā)明提出了一種SSR上主動防御日志告警方法。

發(fā)明內(nèi)容

本發(fā)明為了彌補現(xiàn)有技術(shù)的缺陷，提供了一種簡單高效的SSR上主動防御日志告警方法。

本發(fā)明是通過如下技術(shù)方案實現(xiàn)的：

一種SSR上主動防御日志告警方法，其特征在于：結(jié)合SSR的特點利用客戶端生成主動防御違規(guī)日志，并對主動防御違規(guī)日志進行解析得到違規(guī)數(shù)量和違規(guī)時間，記錄到客戶端的告警數(shù)據(jù)緩存中，告警模塊依據(jù)主動防御告警策略定時進行實時告警判斷，發(fā)出告警信息；所述告警判斷依據(jù)除了數(shù)量還有時間點，記錄了時間點-數(shù)量這樣的鍵值對，進行告警判斷時對時間點-數(shù)量鍵值對的集合進行判斷，使告警條件滿足一定時間范圍內(nèi)的要求。

在SSR集中管理平臺中通過主動防御告警策略設(shè)置主動防御告警閾值；通過Agent實現(xiàn)主動防御功能，當(dāng)在客戶端的操作觸發(fā)主動防御規(guī)則時會生成主動防御違規(guī)日志發(fā)送到SSR集中管理平臺，SSR集中管理平臺接收到主動防御違規(guī)日志后，對其進行解析得到違規(guī)數(shù)量和違規(guī)時間，記錄到客戶端的告警數(shù)據(jù)緩存中；另有一定時任務(wù)，告警模塊依據(jù)主動防御告警策略定時將告警數(shù)據(jù)緩存與內(nèi)存中記錄的主動防御告警閾值進行比較，產(chǎn)生告警。

所述告警模塊分為三部分：第一部分是告警策略設(shè)置，對每一個客戶端設(shè)置主動防御告警條件，告警條件分為高、中、低三個等級；第二部分是，收到主動防御違規(guī)日志解析的數(shù)據(jù)后，在內(nèi)存中累計客戶端的違規(guī)日志告警數(shù)據(jù)，安裝時間、數(shù)量鍵值對記錄，以時間降序排序；第三部分是告警判斷，判斷條件是一個時間段內(nèi)數(shù)量超過多少，先通過這個時間段得到一個臨界時間點，再從內(nèi)存中記錄的數(shù)據(jù)中統(tǒng)計時間大于或等于臨界時間點的數(shù)量和，最后用所述數(shù)量和與判斷條件中的數(shù)量做比較，數(shù)量和大于或等于判斷條件中的數(shù)量時產(chǎn)生告警；當(dāng)產(chǎn)生告警條件中的高級違規(guī)日志告警時，SSR集中管理平臺會清空之前累計的數(shù)據(jù)，產(chǎn)生中級和低級告警時，則不清除。

所述告警模塊通過日志和郵件兩種方式發(fā)出告警信息。

本發(fā)明的有益效果是：該SSR上主動防御日志告警方法，解決了主動防御日志頻繁觸發(fā)且告警配置中有對時間的配置和告警等級的配置的情況下，如何觸發(fā)告警的問題，使管理員能夠及時了解主動防御狀態(tài)并修復(fù)問題。

附圖說明

附圖1為本發(fā)明SSR上主動防御日志告警方法示意圖。

具體實施方式

為了使本發(fā)明所要解決的技術(shù)問題、技術(shù)方案及有益效果更加清楚明白，以下結(jié)合附圖和實施例，對本發(fā)明進行詳細的說明。應(yīng)當(dāng)說明的是，此處所描述的具體實施例僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

該SSR上主動防御日志告警方法，結(jié)合SSR的特點利用客戶端生成主動防御違規(guī)日志，并對主動防御違規(guī)日志進行解析得到違規(guī)數(shù)量和違規(guī)時間，記錄到客戶端的告警數(shù)據(jù)緩存中，告警模塊依據(jù)主動防御告警策略定時進行實時告警判斷，發(fā)出告警信息；所述告警判斷依據(jù)除了數(shù)量還有時間點，記錄了時間點-數(shù)量這樣的鍵值對，進行告警判斷時對時間點-數(shù)量鍵值對的集合進行判斷，使告警條件滿足一定時間范圍內(nèi)的要求。