本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域并公開(kāi)了一種分布式網(wǎng)絡(luò)安全監(jiān)控裝置及其方法；所述的用戶網(wǎng)絡(luò)安全監(jiān)控模塊與網(wǎng)絡(luò)安全事件采集模塊連接；所述的網(wǎng)絡(luò)安全事件采集模塊與分布式消息分發(fā)模塊連接；所述的分布式消息分發(fā)模塊與分布式處理模塊連接，所述的分布式處理模塊與聚合模塊連接，所述的聚合模塊與用戶網(wǎng)絡(luò)行為分析模塊、網(wǎng)絡(luò)安全事件評(píng)估模塊連接，所述的用戶網(wǎng)絡(luò)行為分析模塊、網(wǎng)絡(luò)安全事件評(píng)估模塊與評(píng)估報(bào)告形成模塊連接；本發(fā)明分布式網(wǎng)絡(luò)安全監(jiān)控裝置容易拓展，無(wú)形中降低了處理成本，同時(shí)采用并行采集、并行處理的方式提高了處理速度。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種分布式網(wǎng)絡(luò)安全監(jiān)控裝置及其方法。

背景技術(shù)

分布式系統(tǒng)(distributed system)是建立在網(wǎng)絡(luò)之上的軟件系統(tǒng)。正是因?yàn)檐浖奶匦裕苑植际较到y(tǒng)具有高度的內(nèi)聚性和透明性。因此，網(wǎng)絡(luò)和分布式系統(tǒng)之間的區(qū)別更多的在于高層軟件(特別是操作系統(tǒng))，而不是硬件。內(nèi)聚性是指每一個(gè)數(shù)據(jù)庫(kù)分布節(jié)點(diǎn)高度自治，有本地的數(shù)據(jù)庫(kù)管理系統(tǒng)。透明性是指每一個(gè)數(shù)據(jù)庫(kù)分布節(jié)點(diǎn)對(duì)用戶的應(yīng)用來(lái)說(shuō)都是透明的，看不出是本地還是遠(yuǎn)程。在分布式數(shù)據(jù)庫(kù)系統(tǒng)中，用戶感覺(jué)不到數(shù)據(jù)是分布的，即用戶不須知道關(guān)系是否分割、有無(wú)副本、數(shù)據(jù)存于哪個(gè)站點(diǎn)以及事務(wù)在哪個(gè)站點(diǎn)上執(zhí)行等。

當(dāng)前，越來(lái)越多的企業(yè)將自己的信息資產(chǎn)接入互聯(lián)網(wǎng)中，伴隨著信息資產(chǎn)接入互聯(lián)網(wǎng)而來(lái)的是企業(yè)網(wǎng)絡(luò)安全設(shè)備的增加及遭受網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的加劇。這些網(wǎng)絡(luò)安全設(shè)備每天產(chǎn)生大量的日志信息，要總體準(zhǔn)確把控企業(yè)的網(wǎng)絡(luò)安全態(tài)勢(shì)，需要一個(gè)高效、穩(wěn)定、擴(kuò)展性高的安全監(jiān)測(cè)裝置。但是，現(xiàn)有技術(shù)的方案為傳統(tǒng)串行監(jiān)測(cè)流程，數(shù)據(jù)的采集、處理中的每個(gè)部分都是單節(jié)點(diǎn)運(yùn)行。如果某個(gè)節(jié)點(diǎn)出現(xiàn)故障則整個(gè)系統(tǒng)就無(wú)法有效運(yùn)行。隨著安全設(shè)備與攻擊數(shù)量的增加，傳統(tǒng)的技術(shù)方案無(wú)法有效地對(duì)系統(tǒng)進(jìn)行擴(kuò)展以適應(yīng)安全設(shè)備生成數(shù)據(jù)量的不斷升高。

常規(guī)的網(wǎng)絡(luò)安全監(jiān)測(cè)裝置往往在單個(gè)服務(wù)器中部署采集、處理節(jié)點(diǎn)，用來(lái)采集、處理網(wǎng)絡(luò)安全設(shè)備日志，生成網(wǎng)絡(luò)安全告警信息。通過(guò)提高部署服務(wù)器的硬件配置提高數(shù)據(jù)采集與處理能力。這些裝置雖然在性能上暫時(shí)滿足需求，但隨著企業(yè)網(wǎng)絡(luò)資產(chǎn)設(shè)備的不斷增加與互聯(lián)網(wǎng)環(huán)境的日趨復(fù)雜，網(wǎng)絡(luò)安全告警會(huì)呈現(xiàn)出巨大的增長(zhǎng)趨勢(shì)。使用傳統(tǒng)方式進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè)，不僅存在后續(xù)性能難以提升的問(wèn)題，也增加了系統(tǒng)的整體成本。鑒于此，如何提供一種分布式網(wǎng)絡(luò)安全監(jiān)控裝置及其方法以適應(yīng)如今網(wǎng)絡(luò)安全告警呈現(xiàn)巨大增大趨勢(shì)的現(xiàn)狀是本領(lǐng)域技術(shù)人員需要解決的技術(shù)難題。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)中的上述不足之處，本發(fā)明提供了一種分布式網(wǎng)絡(luò)安全監(jiān)控裝置及其方法。

本發(fā)明為解決上述技術(shù)問(wèn)題，采用以下技術(shù)方案來(lái)實(shí)現(xiàn)：

設(shè)計(jì)一種分布式網(wǎng)絡(luò)安全監(jiān)控裝置，包括用戶網(wǎng)絡(luò)安全監(jiān)控模塊、網(wǎng)絡(luò)安全事件采集模塊、分布式消息分發(fā)模塊、分布式處理模塊、聚合模塊、用戶網(wǎng)絡(luò)行為分析模塊、網(wǎng)絡(luò)安全事件評(píng)估模塊以及評(píng)估報(bào)告形成模塊；所述的用戶網(wǎng)絡(luò)安全監(jiān)控模塊與所述的網(wǎng)絡(luò)安全事件采集模塊連接；所述的網(wǎng)絡(luò)安全事件采集模塊與所述的分布式消息分發(fā)模塊連接；所述的分布式消息分發(fā)模塊與所述的分布式處理模塊連接，所述的分布式處理模塊與所述的聚合模塊連接，所述的聚合模塊與所述的用戶網(wǎng)絡(luò)行為分析模塊、網(wǎng)絡(luò)安全事件評(píng)估模塊連接，所述的用戶網(wǎng)絡(luò)行為分析模塊、網(wǎng)絡(luò)安全事件評(píng)估模塊與評(píng)估報(bào)告形成模塊連接；

所述的用戶網(wǎng)絡(luò)安全監(jiān)控模塊用于監(jiān)控用戶端的網(wǎng)絡(luò)安全設(shè)備，記錄采集用戶端網(wǎng)絡(luò)安全設(shè)備的日志信息，以判斷是否有網(wǎng)絡(luò)安全事件發(fā)生；

所述的網(wǎng)絡(luò)安全事件采集模塊用于將所述用戶網(wǎng)絡(luò)安全監(jiān)控模塊監(jiān)控到的網(wǎng)絡(luò)安全事件進(jìn)行采集，并發(fā)送至所述分布式消息分發(fā)模塊；

所述的分布式消息分發(fā)模塊用于將即受到的網(wǎng)絡(luò)安全事件按照性質(zhì)進(jìn)行分發(fā)至對(duì)應(yīng)的分布式處理模塊；

所述的分布式處理模塊根據(jù)處理規(guī)則對(duì)所述網(wǎng)絡(luò)安全事件進(jìn)行處理，形成處理意見(jiàn)；