本發(fā)明提供了一種網(wǎng)絡(luò)安全監(jiān)控的方法、系統(tǒng)、設(shè)備及存儲(chǔ)介質(zhì)，包括步驟：收集多個(gè)網(wǎng)絡(luò)安全防御設(shè)備的安全日志并發(fā)送至消息緩存集群以及入侵檢測服務(wù)器，通過入侵檢測服務(wù)器對(duì)安全日志進(jìn)行安全語義轉(zhuǎn)換，并根據(jù)預(yù)設(shè)規(guī)則分析生成安全事件，將安全事件發(fā)送至消息緩存集群，當(dāng)安全事件滿足預(yù)設(shè)告警條件時(shí)，發(fā)送告警信息，通過集中式日志分析平臺(tái)讀取消息緩存集群中的存儲(chǔ)數(shù)據(jù)并進(jìn)行歸一化處理以及字段填充以獲取索引數(shù)據(jù)，通過檢索前端查詢索引數(shù)據(jù)，獲取索引數(shù)據(jù)對(duì)應(yīng)的安全日志或安全事件。本發(fā)明通過安全日志統(tǒng)一收集、入侵檢測服務(wù)器、消息緩存集群以及集中式日志分析平臺(tái)實(shí)現(xiàn)輕量級(jí)、多維度、安全語義標(biāo)準(zhǔn)統(tǒng)一、可源頭追溯的安全監(jiān)控。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，具體地說，涉及基于入侵檢測以及數(shù)據(jù)索引的網(wǎng)絡(luò)安全監(jiān)控的方法、系統(tǒng)、設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

隨著各種網(wǎng)絡(luò)技術(shù)的普及化，企業(yè)的網(wǎng)絡(luò)系統(tǒng)也面臨著越來越多的被攻擊的危險(xiǎn)，經(jīng)常遭受不同程度的入侵和破壞，嚴(yán)重干擾了企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。為了保障基礎(chǔ)環(huán)境和業(yè)務(wù)的安全性，企業(yè)不得不加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)，不斷追求多層次、立體化的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)，使用包括網(wǎng)絡(luò)防火墻、IPS(Intrusion Prevention System，入侵防御系統(tǒng))、WAF(Web Application Firewall，Web應(yīng)用防火墻)、HIPS(Host-based IntrusionPrevention System，基于主機(jī)型入侵防御系統(tǒng))、反病毒程序等多重網(wǎng)絡(luò)安全防御設(shè)備。然而，現(xiàn)有的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)存在以下問題：

(1)日志安全語義標(biāo)準(zhǔn)不統(tǒng)一。由于多種網(wǎng)絡(luò)安全防御技術(shù)來自不同的提供商，因此不同產(chǎn)品在對(duì)待相同安全問題的定義和日志輸出上存在差異。此外，防火墻、操作系統(tǒng)等僅做事件記錄，并沒有對(duì)事件日志做全量的安全語義轉(zhuǎn)換。

(2)無統(tǒng)一入口，無法基于日志做時(shí)序分析和查詢。不同網(wǎng)絡(luò)安全防御技術(shù)所提供的入口不統(tǒng)一，無法為人工分析提供時(shí)序查詢和原始日志查詢的支持。

(3)監(jiān)控規(guī)則維度不足。當(dāng)企業(yè)沒有專業(yè)的安全團(tuán)隊(duì)來分析日志語義和安全場景設(shè)計(jì)時(shí)，在監(jiān)控規(guī)則和維度方面會(huì)存在不足。如果基于單一因素設(shè)置監(jiān)控規(guī)則，則監(jiān)控誤報(bào)率較高，無法定性安全事件的等級(jí)。

(4)監(jiān)控平臺(tái)需要專業(yè)團(tuán)隊(duì)維護(hù)支持。在實(shí)現(xiàn)監(jiān)控方面，主流大平臺(tái)會(huì)引入專業(yè)的技術(shù)方案，如流式引擎、規(guī)則引擎、大存儲(chǔ)環(huán)境和前端設(shè)計(jì)等，這些大而全的平臺(tái)系統(tǒng)重且復(fù)雜，需要耗費(fèi)大量的時(shí)間由專人支持和開發(fā)維護(hù)。

因此，本發(fā)明為了解決上述技術(shù)問題，提供了一種網(wǎng)絡(luò)安全監(jiān)控的方法、系統(tǒng)、設(shè)備及存儲(chǔ)介質(zhì)。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)中的問題，本發(fā)明的目的在于提供網(wǎng)絡(luò)安全監(jiān)控的方法、系統(tǒng)、設(shè)備及存儲(chǔ)介質(zhì)，統(tǒng)一收集各類網(wǎng)絡(luò)安全防御設(shè)備的安全日志，并對(duì)安全日志進(jìn)行安全語義轉(zhuǎn)換以及規(guī)則分析生成安全事件，從而進(jìn)行安全事件告警，通過對(duì)安全日志以及安全事件進(jìn)行統(tǒng)一入口的查詢以及分析從而能夠追溯源頭，并可視化地提供分析結(jié)果。

本發(fā)明的第一方面提供一種網(wǎng)絡(luò)安全監(jiān)控的方法，包括步驟：S101、收集多個(gè)網(wǎng)絡(luò)安全防御設(shè)備的安全日志；S102、將安全日志發(fā)送至消息緩存集群；S103、將安全日志發(fā)送至入侵檢測服務(wù)器，通過入侵檢測服務(wù)器對(duì)安全日志進(jìn)行安全語義轉(zhuǎn)換，并根據(jù)預(yù)設(shè)規(guī)則分析生成安全事件，將安全事件發(fā)送至消息緩存集群，當(dāng)安全事件滿足預(yù)設(shè)告警條件時(shí)，發(fā)送告警信息；S104、配置集中式日志分析平臺(tái)，通過集中式日志分析平臺(tái)讀取消息緩存集群中的存儲(chǔ)數(shù)據(jù)并進(jìn)行歸一化處理以及字段填充以獲取索引數(shù)據(jù)；S105、存儲(chǔ)索引數(shù)據(jù)，配置集中式日志分析平臺(tái)的檢索前端，以通過檢索前端查詢索引數(shù)據(jù)，獲取索引數(shù)據(jù)對(duì)應(yīng)的安全日志或安全事件，或生成分析圖表。

優(yōu)選地，入侵檢測服務(wù)器為OSSEC服務(wù)器，集中式日志分析平臺(tái)為ELK平臺(tái)。

優(yōu)選地，步驟S101中，通過TRAP以及syslog收集安全日志。