專利名稱:安全事件管理方法、裝置及安全管理平臺的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全防護(hù)�,尤其涉及安全事件管理方法、裝置及安全管理平臺�。
背景技術(shù):
隨著信息化進(jìn)程的逐步推進(jìn),IT系統(tǒng)越來越多地應(yīng)用于業(yè)務(wù)中��,網(wǎng)絡(luò)的安全性成 為企業(yè)信息化建設(shè)關(guān)注的重點(diǎn)問題�����。為了保障企業(yè)網(wǎng)絡(luò)的安全暢通����,企業(yè)一般都在自己的 信息網(wǎng)絡(luò)中配置防火墻、防病毒�����、入侵檢測、終端管理��、漏洞掃描���、行為審計(jì)等一系列安全系 統(tǒng)和設(shè)備,這些專業(yè)的安全系統(tǒng)在各自關(guān)注領(lǐng)域?qū)ζ髽I(yè)的IT系統(tǒng)進(jìn)行了強(qiáng)有力的安全防 護(hù)����,使企業(yè)的安全得到了一定的提升。但是���,這些安全設(shè)備之間缺少信息層互通能力���,不能 從全局去把控安全問題,即各安全設(shè)備�����、系統(tǒng)之間形成了信息安全孤島��,不能夠綜合反映整 個(gè)網(wǎng)絡(luò)的安全情況��。而且安全產(chǎn)品在運(yùn)行的過程中會(huì)出現(xiàn)大量的安全事件�,一個(gè)標(biāo)準(zhǔn)的網(wǎng) 絡(luò)入侵監(jiān)測系統(tǒng)采用缺省的策略�����,在一個(gè)百兆的鏈接上每天可能產(chǎn)生超過千萬數(shù)量的事 件���,真正與安全相關(guān)的有約600條報(bào)警,急需用戶解決的嚴(yán)重威脅有2個(gè)��。這種海量的數(shù)據(jù) 直接導(dǎo)致了安全產(chǎn)品的低效甚至無效�。雖然可通過采用適當(dāng)?shù)牟呗裕瑢Π踩录臄?shù)據(jù)進(jìn) 行調(diào)整和優(yōu)化����,但由于有些無效數(shù)據(jù)是由安全產(chǎn)品的機(jī)制自身導(dǎo)致的,所以無法徹底解決 該問題���。安全管理平臺(Security Operations Center, S0C)是對與網(wǎng)絡(luò)安全相關(guān)的設(shè)備 和系統(tǒng)進(jìn)行統(tǒng)一安全管理和綜合分析����,實(shí)現(xiàn)安全事件集中管理和監(jiān)控的技術(shù)支撐平臺��。圖1是SOC的系統(tǒng)架構(gòu)示意圖�。如圖1所示,SOC包括用于集中收集安全事件的 代理(Agent)、對Agent所收集的安全事件進(jìn)行處理和關(guān)聯(lián)分析的服務(wù)器(Server)���,以及根 據(jù)服務(wù)器的分析結(jié)果向用戶提供安全告警事件的安全告警展示界面(Web)�。SOC處理安全 事件的流程為由不同Agent采集不同網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)的安全事件���,然后將安全事件 直接發(fā)送給Server ;Server接收安全事件���,并對這些原始安全事件進(jìn)行格式化處理���,統(tǒng)一 成Server可識別的事件格式;Server根據(jù)用戶需要對格式化后的數(shù)據(jù)進(jìn)行歸并或過濾���,然 后做關(guān)聯(lián)分析處理��,生成安全告警事件��,從而完成整個(gè)安全事件的處理過程����。在這種SOC中����,一方面����,由于所有Agent采集的安全事件���,都由Server統(tǒng)一進(jìn)行 格式化��,海量事件的格式化會(huì)占用系統(tǒng)大量中央處理器(CPU)資源和內(nèi)存資源���,影響了 Server的性能和處理能力,特別是影響Server的關(guān)聯(lián)分析性能��,造成安全告警延時(shí)���,不利 于發(fā)現(xiàn)安全風(fēng)險(xiǎn)�����;另一方面��,在大規(guī)模的網(wǎng)絡(luò)環(huán)境中��,分布部署多臺Server時(shí)���,由于每臺 Server都是獨(dú)立地對安全進(jìn)行格式化��,使得相同的安全事件在不同的Server中被格式化 處理多次���,導(dǎo)致了整體SOC系統(tǒng)的性能下降。
發(fā)明內(nèi)容
針對上述缺陷����,本發(fā)明提供安全事件管理方法、裝置及安全管理平臺��,用以實(shí)現(xiàn)具 有較低的安全告警延遲�、且具有較高的安全監(jiān)控性能的安全事件管理���。本發(fā)明提供的安全事件管理方法���,包括
服務(wù)器向用于采集安全事件的代理發(fā)送安全事件格式化標(biāo)準(zhǔn),以使所述代理根據(jù) 所述安全事件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化�;所述服務(wù)器從所述代理獲取經(jīng)格式化的安全事件,對所述安全事件進(jìn)行關(guān)聯(lián)分析
并產(chǎn)生安全告警����。根據(jù)本發(fā)明的另一方面,還提供一種安全事件管理服務(wù)器,包括發(fā)送模塊����,用于向代理發(fā)送所述安全事件格式化標(biāo)準(zhǔn),以使所述代理根據(jù)所述安 全事件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化��;事件接收模塊�,用于從所述代理獲取經(jīng)格式化的安全事件;關(guān)聯(lián)分析模塊�����,與所述事件接收模塊連接�����,用于對所述安全事件進(jìn)行關(guān)聯(lián)分析并 產(chǎn)生安全告警�;告警響應(yīng)模塊,與所述關(guān)聯(lián)分析模塊連接�,用于將所述安全告警發(fā)送至安全告警 展示界面,并存儲(chǔ)所述安全告警���。根據(jù)本發(fā)明的又一方面���,還提供另一種安全事件管理方法�,包括代理從網(wǎng)絡(luò)設(shè)備采集安全事件并從服務(wù)器獲取安全事件格式化標(biāo)準(zhǔn)���;所述代理根據(jù)所述安全事件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化�;所述代理將經(jīng)格式化的安全事件發(fā)送至所述服務(wù)器��,以由所述服務(wù)器對所述安全 事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警���。根據(jù)本發(fā)明的又一方面�����,還提供一種安全事件管理代理�����,包括事件采集模塊,用于從網(wǎng)絡(luò)設(shè)備采集安全事件并從服務(wù)器獲取安全事件格式化標(biāo) 準(zhǔn)����;事件格式化模塊,與所述事件采集模塊連接����,用于根據(jù)所述安全事件格式化標(biāo)準(zhǔn) 對采集的安全事件進(jìn)行格式化�����;事件發(fā)送模塊���,用于將經(jīng)格式化的安全事件發(fā)送至所述服務(wù)器,以由所述服務(wù)器 對所述安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警�。根據(jù)本發(fā)明的又一方面,還提供一種安全管理平臺���,包括至少一個(gè)本發(fā)明提供的 安全事件管理服務(wù)器�、至少一個(gè)本發(fā)明提供的安全事件管理代理����,以及與安全事件管理服 務(wù)器連接的用于顯示安全告警的安全告警展示界面。根據(jù)本發(fā)明的安全事件管理方法��、服務(wù)器�、代理及安全管理平臺,通過由服務(wù)器將 安全事件格式化標(biāo)準(zhǔn)下發(fā)給代理�����,由采集安全事件的代理根據(jù)安全事件格式化標(biāo)準(zhǔn)對安全 事件進(jìn)行格式化���,避免了由服務(wù)器對全部安全事件進(jìn)行格式化所造成的安全告警延遲的問 題���,極大地提高了安全監(jiān)控性能��;而且當(dāng)包含多臺服務(wù)器時(shí)��,還能夠避免由不同的服務(wù)器對 相同的安全事件進(jìn)行多次格式化處理的問題���,實(shí)現(xiàn)了一次格式化、多次應(yīng)用�����,提高了監(jiān)控效 率���,及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)���,極大提高了整體安全管理平臺的性能���。
圖1是SOC的系統(tǒng)架構(gòu)示意圖�。圖2為本發(fā)明安全事件管理方法的流程圖����。圖3為在SOC中應(yīng)用本發(fā)明安全事件管理方法的流程圖�����。圖4為本發(fā)明另一安全事件管理方法的流程圖�。
具體實(shí)施例方式為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面將結(jié)合附圖,對本發(fā)明的技術(shù) 方案進(jìn)行清楚���、完整地描述�。圖2為本發(fā)明安全事件管理方法的流程圖�。如圖2所示,該安全事件管理方法包 括以下步驟步驟S100��,服務(wù)器向用于采集安全事件的代理發(fā)送安全事件格式化標(biāo)準(zhǔn)��,以使代 理根據(jù)安全事件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化��;具體地,上述步驟SlOO例如通過以下步驟實(shí)現(xiàn)步驟S101���,Sever定制一套或多套安全事件格式化字段集�,并根據(jù)安全事件格式 化字段生成用于表征安全事件格式化標(biāo)準(zhǔn)的安全事件格式化插件����。安全事件格式化標(biāo)準(zhǔn)用 于將各種不同格式的安全事件統(tǒng)一為Server可識別的事件格式,以便Server對安全事件 進(jìn)行關(guān)聯(lián)分析����。其中,安全事件格式化插件是采用特定的語言���、特定的格式����、用于對安全事 件進(jìn)行格式化的語句的集合����,例如,在數(shù)據(jù)結(jié)構(gòu)中預(yù)先定義一個(gè)標(biāo)識插件的ID號�,該ID號 和安全事件格式化插件ID號相同����,例如123��,一類設(shè)備的安全事件的識別語句可組合一個(gè) 插件����,多種類型的設(shè)備安全事件可按統(tǒng)一標(biāo)準(zhǔn)格式化�����,也可按不同標(biāo)準(zhǔn)格式化����,并且每一個(gè) 安全事件格式化插件只使用一套字段集,且多個(gè)安全事件格式化插件可共用一套字段集���;步驟S102���,Sever部署Agent時(shí),根據(jù)Agent需要采集的設(shè)備類型�����,向Agent下發(fā)與 設(shè)備類型相對應(yīng)的安全事件格式化插件,其中���,一類設(shè)備類型可對應(yīng)一個(gè)插件����,一個(gè)Agent 可采集多種類型的安全事件���,且不同類型的Agent可采集不同類型的安全事件��;例如與同 一 Server連接的多個(gè)不同的Agent分別采集以下安全事件第一 Agent采集邊界和網(wǎng)絡(luò)安 全的安全事件�,例如包括防火墻/虛擬專用網(wǎng)����,路由器和交換器,網(wǎng)絡(luò)入侵檢測/入侵防御 設(shè)備���;第二 Agent采集桌面�����、網(wǎng)關(guān)和服務(wù)器安全的安全事件�����,例如包括防病毒����、間諜軟件��,廣 告軟件�,郵件和插件安全,反垃圾郵件和內(nèi)容�,服務(wù)器、主機(jī)入侵檢測和防火墻�;第三Agent 采集策略貫徹和漏洞管理的安全事件,例如包括主機(jī)和網(wǎng)絡(luò)策略協(xié)議��,主機(jī)和網(wǎng)絡(luò)漏洞�,及 資產(chǎn)發(fā)現(xiàn);第四Agent采集其他應(yīng)用的安全事件�����,例如包括Web應(yīng)用�����,郵件和業(yè)務(wù)應(yīng)用��。步驟S103,Agent接收到安全事件格式化插件后����,將其存放至本地磁盤;步驟S104�����,Agent通過簡單網(wǎng)絡(luò)管理協(xié)議(SimpleNetwork ManagementProtocol, SNMP)�、Syslog協(xié)議、其中����,Syslog協(xié)議是一種工業(yè)標(biāo)準(zhǔn)的協(xié)議,允許一個(gè)設(shè)備通過IP網(wǎng) 絡(luò)把通告信息傳遞給事件信息接收者����,另外,可以采用的協(xié)議還包括有FILE協(xié)議�、開放數(shù) 據(jù)庫互聯(lián)(Open Database Connectivity,ODBC)�����、可擴(kuò)展標(biāo)i只語言(Extensible Markup Language,XML)和文件傳輸協(xié)議(File Transfer Protocol,FTP)等方式�,以便于 Agent 采 集到不同廠家�、不同類型的網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)的安全事件�����;步驟S105�,Agent采集到安全事件后,依據(jù)步驟S103中接收到的安全事件格式化 插件對步驟S104中采集到的安全事件進(jìn)行格式化�;步驟S 106�����,Agent將格式化后的安全事件發(fā)送至Server����。步驟S200,Server從Agent獲取經(jīng)格式化的安全事件�,對安全事件進(jìn)行關(guān)聯(lián)分析
并產(chǎn)生安全告警。具體地���,上述步驟S200例如通過以下步驟實(shí)現(xiàn)
6
步驟S201��,Server接收到安全事件后�����,將安全事件存儲(chǔ)至數(shù)據(jù)庫中���;步驟S202����,Server進(jìn)行關(guān)聯(lián)分析時(shí)�,根據(jù)關(guān)聯(lián)規(guī)則設(shè)定的事件類型,從數(shù)據(jù)庫中 讀取相應(yīng)的安全事件�,然后進(jìn)行關(guān)聯(lián)分析處理,生成安全告警事件��,并將安全告警事件發(fā)送 至安全告警展示界面(Web)���,例如為瀏覽器�;步驟S203����,Web接收安全告警事件并顯示該安全告警事件,Web還可提供查詢界 面��,以根據(jù)輸入的查詢條件檢索歷史安全告警事件并顯示�����。根據(jù)上述實(shí)施例的安全事件管理方法,通過由Server將安全事件格式化標(biāo)準(zhǔn)下 發(fā)至Agent����,由Agent根據(jù)安全事件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化,并將格式化 后的安全事件發(fā)送至Server���,以由Server進(jìn)行關(guān)聯(lián)分析��、產(chǎn)生安全告警���,避免了由Server 對全部安全事件進(jìn)行格式化所造成的安全告警延遲的問題�,極大地提高了安全監(jiān)控性能; 而且當(dāng)包含多臺Server時(shí),還能夠避免由不同的Server對相同的安全事件進(jìn)行多次格式 化處理的問題��,實(shí)現(xiàn)了一次格式化��、多次應(yīng)用���,提高了監(jiān)控效率��,及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)����,極大提 高了整體安全管理平臺的性能。進(jìn)一步地���,在上述實(shí)施例的安全事件管理方法中�����,Server從Agent獲取經(jīng)格式化 的安全事件�����,對安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警的步驟包括Server從代理獲取經(jīng)格式化的安全事件��,將安全事件存儲(chǔ)至預(yù)置的對應(yīng)于安全事 件格式化標(biāo)準(zhǔn)的數(shù)據(jù)庫表中��;Server根據(jù)設(shè)定的關(guān)聯(lián)規(guī)則對應(yīng)的安全事件類型���,從與安全事件類型對應(yīng)的數(shù)據(jù) 庫表中讀取安全事件,進(jìn)行關(guān)聯(lián)分析���,并生成安全告警事件���;Server將安全告警事件發(fā)送至Web。具體地��,Server的數(shù)據(jù)庫根據(jù)不同格式化字段集創(chuàng)建不同的數(shù)據(jù)庫表,當(dāng)Agent 根據(jù)安全事件格式化插件對安全事件進(jìn)行格式化時(shí)����,為安全事件標(biāo)記上對應(yīng)于所依據(jù)的安 全事件格式化插件的標(biāo)識,所述標(biāo)識作為安全事件的標(biāo)識�,以使Server接收到安全事件 后,根據(jù)所述安全事件的標(biāo)識���,確定格式化該安全事件所使用的格式化插件����,并將該安全事 件存儲(chǔ)到相應(yīng)的數(shù)據(jù)庫表中�,即Server將使用不同字段集的格式化的安全事件存儲(chǔ)到不 同的數(shù)據(jù)庫表中。當(dāng)Server關(guān)聯(lián)分析時(shí)���,不需遍歷所有數(shù)據(jù)庫表,依據(jù)關(guān)聯(lián)規(guī)則設(shè)定的事 件類型�,直接從相應(yīng)的數(shù)據(jù)庫表中讀取事件。根據(jù)上述實(shí)施例的安全事件管理方法���,由于為數(shù)據(jù)庫分配對應(yīng)于不同字段集的數(shù) 據(jù)庫表����,將Server接收到的格式化后的安全事件存儲(chǔ)到對應(yīng)的數(shù)據(jù)庫表中,從而使得在進(jìn) 行關(guān)聯(lián)分析讀取安全事件時(shí)��,可以通過查找與進(jìn)行關(guān)聯(lián)分析所需的事件類型對應(yīng)的數(shù)據(jù)庫 表�����、并讀取數(shù)據(jù)庫表中存儲(chǔ)的安全事件��,來獲取進(jìn)行關(guān)聯(lián)分析所需的安全事件�����,而無需遍歷 所有數(shù)據(jù)庫表���,有利于提高讀取安全事件的速度����,從而提高SOC的關(guān)聯(lián)分析性能��。進(jìn)一步地�,在上述實(shí)施例的安全事件管理方法中,Server從Agent獲取經(jīng)格式化 的安全事件��,將安全事件存儲(chǔ)至預(yù)置的對應(yīng)于安全事件格式化標(biāo)準(zhǔn)的數(shù)據(jù)庫表中的步驟包 括Server從代理獲取經(jīng)格式化的安全事件,根據(jù)預(yù)置的����、與代理對應(yīng)的過濾規(guī)則和 /或合并規(guī)則對安全事件進(jìn)行過濾和/或合并;Server將經(jīng)過濾或合并的安全事件存儲(chǔ)至預(yù)置的對應(yīng)于安全事件格式化標(biāo)準(zhǔn)的 數(shù)據(jù)庫表中�。
7
具體地,可根據(jù)用戶的需要���,針對從Agent接收的安全事件設(shè)置過濾規(guī)則和/或合 并規(guī)則��,以使得krver從Agent接收安全事件時(shí)����,能夠?qū)τ脩舨魂P(guān)注的安全事件進(jìn)行過濾 或?qū)χ貜?fù)的安全事件進(jìn)行合并�����。更具體地���,該過濾規(guī)則例如為濾除源端口為某一指定端口 的安全事件�,該合并規(guī)則例如為對目的IP為某一指定IP的安全事件進(jìn)行合并�����,即在展示安 全事件時(shí)并不分別展示目的IP為該指定IP的多條安全事件�,而僅展示一條安全事件并在 該條安全事件后注明重復(fù)的次數(shù)。每一個(gè)過濾或合并規(guī)則只對一個(gè)Agent有效�����,即各過濾規(guī)則或合并規(guī)則僅與一個(gè) Agent相對應(yīng)���,例如krver根據(jù)針對第一 Agent設(shè)置的過濾規(guī)則和/或合并規(guī)則對從第 一 Agent接收的安全事件進(jìn)行過濾和/或合并時(shí)�,該過濾規(guī)則和/或合并規(guī)則并不適用于 Server從第二 Agent接收的安全事件�����。進(jìn)一步地��,在上述實(shí)施例的安全事件管理方法中�,krver從Agent獲取經(jīng)格式化 的安全事件,對安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警的步驟之前還包括krver從Agent獲取安全事件�,若判斷獲知所獲取的安全事件為未經(jīng)格式化的安 全事件(即攜帶有未經(jīng)格式化的標(biāo)識的安全事件),則將安全事件存儲(chǔ)至原始安全事件數(shù) 據(jù)庫表�。具體地,數(shù)據(jù)庫中除包含對應(yīng)于各安全事件字段集的數(shù)據(jù)庫表之外�,還包含一個(gè) 用于存儲(chǔ)沒有格式化的原始安全事件數(shù)據(jù)庫表。當(dāng)Agent采集到安全事件后�,其根據(jù)安全 事件類型查找相應(yīng)的安全事件格式化插件,若找到相應(yīng)的安全事件格式化插件,則依據(jù)上 述實(shí)施例對安全事件進(jìn)行格式化��;若未找到相應(yīng)的安全事件格式化插件�,則不對該安全事 件進(jìn)行格式化,而是給該安全事件標(biāo)記上未經(jīng)格式化的標(biāo)識�,并將該攜帶有標(biāo)識的安全事 件發(fā)送至krver。其中���,該未經(jīng)格式化的標(biāo)識可以為Agent與krver相約定的任意標(biāo)識����,一般的�����,對于未經(jīng)格式化的標(biāo)識����,ID號默認(rèn)為0。用于在Agent未對某個(gè)或某些安全事件進(jìn)行格式化并發(fā)送至krver時(shí)��,Server能 夠通過Agent在相應(yīng)的安全事件上所標(biāo)記的標(biāo)識識別出該安全事件未經(jīng)格式化����。Server從 Agent接收安全事件后�,首先識別安全事件所攜帶的標(biāo)識�,若獲知所接收的安全事件攜帶的 標(biāo)識為未經(jīng)格式化的標(biāo)識��,則將該安全事件存儲(chǔ)至原始安全事件數(shù)據(jù)庫表中����。通過檢測存儲(chǔ)在原始安全事件數(shù)據(jù)庫表中的安全事件,可確定Agent中未包含的 安全事件格式化插件或krver中未包含的安全事件格式化插件��,從而對krver和Agent 進(jìn)行開發(fā)或更新����。進(jìn)一步地,在上述實(shí)施例的安全事件管理方法中���,數(shù)據(jù)庫表中還可包含一個(gè)用于 存儲(chǔ)關(guān)聯(lián)分析產(chǎn)生的安全告警的安全告警表�。通過將產(chǎn)生的安全告警存儲(chǔ)在安全告警表中�����,能夠經(jīng)由Web為用戶提供安全告警 查詢服務(wù)��。進(jìn)一步地��,在上述實(shí)施例的安全事件管理方法中,Agent通常為多個(gè)���,在大規(guī)模的 網(wǎng)絡(luò)環(huán)境中����,Server的數(shù)量也可以為多個(gè)���。圖3為在SOC中應(yīng)用本發(fā)明安全事件管理方法的流程圖���。如圖3所示,包括以下 步驟步驟Si�����,Agent事件采集模塊實(shí)時(shí)采集安全事件��;步驟S2��,Agent事件格式化模塊實(shí)時(shí)格式化安全事件���,格式化完畢后�����,在經(jīng)格式化的安全事件上標(biāo)記上用于標(biāo)識該安全事件是依據(jù)何種格式化插件進(jìn)行格式化的標(biāo)識并將 安全事件交至事件發(fā)送模塊��,以使^rver接收安全事件后可通過識別其所攜帶的標(biāo)識確 定該安全事件所對應(yīng)的格式化插件類型����,從而將該格式化后的安全事件存放至對應(yīng)的數(shù)據(jù) 庫表中����;對于由于未查找到與安全事件的類型對應(yīng)的安全事件格式化插件而無法對其進(jìn)行 格式化的安全事件,則標(biāo)記上未經(jīng)格式化的標(biāo)識并直接交至發(fā)送模塊�����,以使krver接收安 全事件后可通過識別其所攜帶的標(biāo)識確定該安全事件為未經(jīng)格式化的安全事件�����,從而將該 安全事件存儲(chǔ)至原始安全事件數(shù)據(jù)庫表���;步驟S3���,Agent事件發(fā)送模塊將所有安全事件發(fā)送至krver ;步驟S4�����,Server事件接收模塊接收到安全事件;步驟S5����,Server過濾和歸并模塊過濾或歸并事件;步驟S6�����,Server事件存儲(chǔ)模塊將事件存儲(chǔ)到數(shù)據(jù)庫中�����;步驟S7, Server關(guān)聯(lián)分析模塊從數(shù)據(jù)庫中讀取事件��,關(guān)聯(lián)分析事件�;步驟S8,Server關(guān)聯(lián)分析模塊產(chǎn)生安全告警����;步驟S9,Server告警響應(yīng)模塊響應(yīng)安全告警�,發(fā)送安全告警事件,并將安全告警 事件存儲(chǔ)到數(shù)據(jù)庫;步驟S10���,告警響應(yīng)服務(wù)器的接收模塊接收安全告警事件�,并由該告警響應(yīng)服務(wù) 器的安全告警展示界面(例如為WEB界面)展示該安全告警事件����;該展示例如為通過網(wǎng) 頁或彈出對話框的方式向用戶展示產(chǎn)生該安全告警事件的時(shí)間及該安全告警事件的名稱 等;其中�����,該告警響應(yīng)服務(wù)器可以為單獨(dú)設(shè)置的����、與krver連接的服務(wù)器��,也可以是設(shè)置在 Server內(nèi)部的一個(gè)模塊��。步驟S11���、告警響應(yīng)服務(wù)器還可包括查詢模塊�,以根據(jù)用戶請求檢索歷史安全告警 事件并通過安全告警展示界面向用戶展示查詢結(jié)果�����。根據(jù)本發(fā)明的另一方面,還提供一種安全事件管理服務(wù)器��,包括發(fā)送模塊�����,用于向代理發(fā)送安全事件格式化標(biāo)準(zhǔn)�����,以使代理根據(jù)安全事件格式化 標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化�;事件接收模塊,用于從代理獲取經(jīng)格式化的安全事件����;關(guān)聯(lián)分析模塊,與事件接收模塊連接�����,用于對安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全
告警�����;告警響應(yīng)模塊,與關(guān)聯(lián)分析模塊連接��,用于將安全告警發(fā)送至安全告警展示界面���, 并存儲(chǔ)安全告警���。上述實(shí)施例的安全事件管理服務(wù)器執(zhí)行安全事件管理的流程與上述安全事件管 理方法相同,故此處不再贅述��。根據(jù)上述實(shí)施例的安全事件管理服務(wù)器����,由于通過發(fā)送模塊向代理發(fā)送安全事件 格式化標(biāo)準(zhǔn),以使代理根據(jù)安全事件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化����,通過事件 接收模塊獲取經(jīng)Agent格式化后的安全事件���,并通過關(guān)聯(lián)分析模塊對安全事件進(jìn)行關(guān)聯(lián)分 析并產(chǎn)生安全告警���,從而避免了由krver對全部安全事件進(jìn)行格式化所造成的安全告警 延遲的問題,極大地提高了安全監(jiān)控性能�;而且當(dāng)同一網(wǎng)絡(luò)中應(yīng)用多臺krver時(shí),還能夠 避免由不同Wkrver對相同的安全事件進(jìn)行多次格式化處理的問題,實(shí)現(xiàn)了一次格式化�、 多次應(yīng)用,提高了監(jiān)控效率��,及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)����,極大提高了整體安全管理平臺的性能。
進(jìn)一步地��,在上述實(shí)施例的安全事件管理服務(wù)器中�����,還包括數(shù)據(jù)庫��,用于存儲(chǔ)安全事件格式化標(biāo)準(zhǔn)和安全事件��;判斷模塊����,用于判斷從代理獲取的安全事件是否為經(jīng)格式化的安全事件,若判斷 獲知所獲取的安全事件為未經(jīng)格式化的安全事件����,則將安全事件存儲(chǔ)至原始安全事件數(shù)據(jù) 庫表�����。進(jìn)一步地��,在上述實(shí)施例的安全事件管理服務(wù)器中�,還包括過濾和歸并模塊����,用于存儲(chǔ)過濾規(guī)則和合并規(guī)則,并根據(jù)與代理對應(yīng)的過濾規(guī)則 和合并規(guī)則對從代理獲取的安全事件進(jìn)行過濾和/或合并�����。進(jìn)一步地����,在上述實(shí)施例的安全事件管理服務(wù)器中,還包括判斷模塊�����,用于判斷從代理獲取的安全事件是否為經(jīng)格式化的安全事件�,若判斷 獲知所獲取的安全事件為未經(jīng)格式化的安全事件�����,則將安全事件存儲(chǔ)至原始安全事件數(shù)據(jù) 庫表。根據(jù)本發(fā)明的又一方面��,還提供另一種安全事件管理方法��。圖4為本發(fā)明另一安 全事件管理方法的流程圖�,如圖4所示,該安全事件管理方法包括以下步驟步驟S100’���,代理從網(wǎng)絡(luò)設(shè)備采集安全事件并從服務(wù)器獲取安全事件格式化標(biāo) 準(zhǔn)�;步驟S200’���,代理根據(jù)安全事件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化����;步驟S300’�,代理將經(jīng)格式化的安全事件發(fā)送至服務(wù)器,以由服務(wù)器對安全事件進(jìn) 行關(guān)聯(lián)分析并產(chǎn)生安全告警��。上述實(shí)施例的安全事件管理方法適用與前述安全事件管理方法相同的流程�,故此 處不再贅述。根據(jù)上述實(shí)施例的安全事件管理方法��,由于通過代理從服務(wù)器獲取安全事件格式 化標(biāo)準(zhǔn),對采集的安全事件進(jìn)行格式化�����,并將格式化后的安全事件發(fā)送至服務(wù)器以由服務(wù) 器對安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警�,從而避免了由krver對全部安全事件進(jìn)行 格式化所造成的安全告警延遲的問題,極大地提高了安全監(jiān)控性能��;而且當(dāng)同一網(wǎng)絡(luò)中包 括多臺krver時(shí)����,還能夠避免由不同的krver對相同的安全事件進(jìn)行多次格式化處理的 問題,實(shí)現(xiàn)了一次格式化��、多次應(yīng)用�,提高了監(jiān)控效率,及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)��,極大提高了整體 安全管理平臺的性能�。進(jìn)一步地,在上述實(shí)施例的安全事件管理方法����,代理根據(jù)安全事件格式化標(biāo)準(zhǔn)對 采集的安全事件進(jìn)行格式化的步驟包括查找與安全事件對應(yīng)的安全事件格式化標(biāo)準(zhǔn)�;若查找到與安全事件對應(yīng)的安全事件格式化標(biāo)準(zhǔn)����,依據(jù)對應(yīng)的安全事件格式化標(biāo) 準(zhǔn)對采集的安全事件進(jìn)行格式化����;若未查找到與安全事件對應(yīng)的安全事件格式化標(biāo)準(zhǔn),則將安全事件標(biāo)識為未格式 化安全事件����,并將攜帶有未格式化安全事件標(biāo)識的安全事件發(fā)送至服務(wù)器,以由服務(wù)器將 安全事件存儲(chǔ)至原始安全事件數(shù)據(jù)庫表����。根據(jù)本發(fā)明的又一方面,還提供另一種安全事件管理代理�����,包括事件采集模塊��,用于從網(wǎng)絡(luò)設(shè)備采集安全事件并從服務(wù)器獲取安全事件格式化標(biāo) 準(zhǔn)����;
事件格式化模塊,與所述事件采集模塊連接��,用于根據(jù)安全事件格式化標(biāo)準(zhǔn)對采 集的安全事件進(jìn)行格式化;事件發(fā)送模塊����,用于將經(jīng)格式化的安全事件發(fā)送至服務(wù)器,以由服務(wù)器對安全事 件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警��。上述實(shí)施例的安全事件管理代理執(zhí)行安全事件管理的流程與上述安全事件管理 方法相同����,故此處不現(xiàn)贅述。根據(jù)上述實(shí)施例的安全事件管理代理����,由于通過事件采集模塊從網(wǎng)絡(luò)設(shè)備采集安 全事件并從服務(wù)器獲取安全事件格式化標(biāo)準(zhǔn),由事件格式化模塊根據(jù)所述安全事件格式化 標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化�,并由事件發(fā)送模塊將經(jīng)格式化的安全事件發(fā)送至服務(wù) 器以由服務(wù)器對安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警,從而避免了由krver對全部安 全事件進(jìn)行格式化所造成的安全告警延遲的問題���,極大地提高了安全監(jiān)控性能����;而且當(dāng)同 一網(wǎng)絡(luò)中包括多臺krver時(shí)���,還能夠避免由不同的krver對相同的安全事件進(jìn)行多次格 式化處理的問題���,實(shí)現(xiàn)了一次格式化、多次應(yīng)用�,提高了監(jiān)控效率,及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)�����,極大 提高了整體安全管理平臺的性能�。進(jìn)一步地,在上述實(shí)施例的安全事件管理代理中����,事件格式化模塊包括查找單元,用于查找與安全事件對應(yīng)的安全事件格式化標(biāo)準(zhǔn)����;格式化單元,用于若查找到與安全事件對應(yīng)的安全事件格式化標(biāo)準(zhǔn)�����,依據(jù)對應(yīng)的 安全事件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化��;標(biāo)識單元,用于若未查找到與安全事件對應(yīng)的安全事件格式化標(biāo)準(zhǔn)�����,則將安全事 件標(biāo)識為未格式化安全事件�����,并將攜帶有未格式化安全事件標(biāo)識的安全事件通過事件發(fā)送 模塊轉(zhuǎn)發(fā)至服務(wù)器�,以由服務(wù)器將安全事件存儲(chǔ)至原始安全事件數(shù)據(jù)庫表。根據(jù)本發(fā)明的又一方面����,還提供一種安全管理平臺,包括至少一個(gè)上述任一實(shí)施 例的安全事件管理服務(wù)器�����,至少一個(gè)上述任一實(shí)施例的安全事件管理代理以及與安全事件 管理服務(wù)器連接的��、用于顯示安全告警的安全告警展示界面��。根據(jù)上述實(shí)施例的安全管理平臺�,能夠避免由krver對全部安全事件進(jìn)行格式 化所造成的安全告警延遲的問題,極大地提高了安全監(jiān)控性能并且當(dāng)包括多個(gè)安全事件管 理服務(wù)器時(shí)�����,適用于大規(guī)模、復(fù)雜的網(wǎng)絡(luò)安全系統(tǒng)��,能夠避免由不同Wkrver對相同的安 全事件進(jìn)行多次格式化處理的問題����,實(shí)現(xiàn)了一次格式化����、多次應(yīng)用,提高了監(jiān)控效率�����,及時(shí) 發(fā)現(xiàn)安全風(fēng)險(xiǎn)�,極大提高了整體安全管理平臺的性能。最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案��,而非對其限制��;盡 管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明���,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然 可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改�,或者對其中部分技術(shù)特征進(jìn)行等同替 換;而這些修改或者替換��,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精 神和范圍��。
權(quán)利要求
1.一種安全事件管理方法�����,其特征在于�,包括服務(wù)器向用于采集安全事件的代理發(fā)送安全事件格式化標(biāo)準(zhǔn),以使所述代理根據(jù)所述 安全事件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化�;所述服務(wù)器從所述代理獲取經(jīng)格式化的安全事件,對所述安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警�����。
2.根據(jù)權(quán)利要求1所述的安全事件管理方法��,其特征在于�����,所述服務(wù)器從所述代理獲 取經(jīng)格式化的安全事件����,對所述安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警的步驟包括所述服務(wù)器從所述代理獲取經(jīng)格式化的安全事件����,將所述安全事件存儲(chǔ)至預(yù)置的對應(yīng) 于所述安全事件格式化標(biāo)準(zhǔn)的數(shù)據(jù)庫表中��;所述服務(wù)器根據(jù)設(shè)定的關(guān)聯(lián)規(guī)則對應(yīng)的安全事件類型�����,從與所述安全事件類型對應(yīng)的 數(shù)據(jù)庫表中讀取所述安全事件���,進(jìn)行關(guān)聯(lián)分析,并生成安全告警事件���; 所述服務(wù)器將所述安全告警事件發(fā)送至安全告警展示界面�����。
3.根據(jù)權(quán)利要求2所述的安全事件管理方法����,其特征在于���,所述服務(wù)器從所述代理獲 取經(jīng)格式化的安全事件�,將所述安全事件存儲(chǔ)至預(yù)置的對應(yīng)于所述安全事件格式化標(biāo)準(zhǔn)的 數(shù)據(jù)庫表中的步驟包括所述服務(wù)器從所述代理獲取經(jīng)格式化的安全事件,根據(jù)預(yù)置的����、與所述代理對應(yīng)的過 濾規(guī)則和/或合并規(guī)則對所述安全事件進(jìn)行過濾和/或合并;所述服務(wù)器將經(jīng)過濾或合并的安全事件存儲(chǔ)至預(yù)置的對應(yīng)于所述安全事件格式化標(biāo) 準(zhǔn)的數(shù)據(jù)庫表中����。
4.根據(jù)權(quán)利要求3所述的安全事件管理方法,其特征在于���,所述服務(wù)器從所述代理獲 取經(jīng)格式化的安全事件���,對所述安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警的步驟之前還包 括所述服務(wù)器從所述代理獲取安全事件,若判斷獲知所獲取的安全事件為未經(jīng)格式化的 安全事件�,則將所述安全事件存儲(chǔ)至原始安全事件數(shù)據(jù)庫表。
5.一種安全事件管理服務(wù)器��,其特征在于���,包括發(fā)送模塊��,用于向代理發(fā)送所述安全事件格式化標(biāo)準(zhǔn)����,以使所述代理根據(jù)所述安全事 件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化;事件接收模塊��,用于從所述代理獲取經(jīng)格式化的安全事件����;關(guān)聯(lián)分析模塊,與所述事件接收模塊連接����,用于對所述安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警;告警響應(yīng)模塊�����,與所述關(guān)聯(lián)分析模塊連接�����,用于將所述安全告警發(fā)送至安全告警展示 界面���,并存儲(chǔ)所述安全告警。
6.根據(jù)權(quán)利要求5所述的安全事件管理服務(wù)器���,其特征在于����,還包括 數(shù)據(jù)庫,用于存儲(chǔ)所述安全事件格式化標(biāo)準(zhǔn)和所述安全事件�����;判斷模塊����,用于判斷從所述代理獲取的安全事件是否為經(jīng)格式化的安全事件,若判斷 獲知所獲取的安全事件為未經(jīng)格式化的安全事件����,則將所述安全事件存儲(chǔ)至所述數(shù)據(jù)庫中 的原始安全事件數(shù)據(jù)庫表。
7.根據(jù)權(quán)利要求5或6所述的安全事件管理服務(wù)器��,其特征在于�����,還包括過濾和歸并模塊�,用于存儲(chǔ)過濾規(guī)則和合并規(guī)則,并根據(jù)與所述代理對應(yīng)的過濾規(guī)則和合并規(guī)則對從所述代理獲取的安全事件進(jìn)行過濾和/或合并����。
8.一種安全事件管理方法�����,其特征在于��,包括代理從網(wǎng)絡(luò)設(shè)備采集安全事件并從服務(wù)器獲取安全事件格式化標(biāo)準(zhǔn)����; 所述代理根據(jù)所述安全事件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化���; 所述代理將經(jīng)格式化的安全事件發(fā)送至所述服務(wù)器�����,以由所述服務(wù)器對所述安全事件 進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警�。
9.根據(jù)權(quán)利要求8所述的安全事件管理方法����,其特征在于����,所述代理根據(jù)所述安全事 件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化的步驟包括查找與所述安全事件對應(yīng)的安全事件格式化標(biāo)準(zhǔn);若查找到與所述安全事件對應(yīng)的安全事件格式化標(biāo)準(zhǔn)��,依據(jù)所述對應(yīng)的安全事件格式 化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化;若未查找到與所述安全事件對應(yīng)的安全事件格式化標(biāo)準(zhǔn)����,則將所述安全事件標(biāo)識為未 格式化安全事件,并將攜帶有所述未格式化安全事件標(biāo)識的安全事件發(fā)送至所述服務(wù)器�, 以由所述服務(wù)器將所述安全事件存儲(chǔ)至原始安全事件數(shù)據(jù)庫表。
10.一種安全事件管理代理����,其特征在于,包括事件采集模塊�,用于從網(wǎng)絡(luò)設(shè)備采集安全事件并從服務(wù)器獲取安全事件格式化標(biāo)準(zhǔn); 事件格式化模塊����,與所述事件采集模塊連接,用于根據(jù)所述安全事件格式化標(biāo)準(zhǔn)對采 集的安全事件進(jìn)行格式化�;事件發(fā)送模塊,用于將經(jīng)格式化的安全事件發(fā)送至所述服務(wù)器�����,以由所述服務(wù)器對所 述安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警�����。
11.根據(jù)權(quán)利要求10所述的安全事件管理代理,其特征在于����,所述事件格式化模塊包括查找單元,用于查找與所述安全事件對應(yīng)的安全事件格式化標(biāo)準(zhǔn)�����; 格式化單元�,用于若查找到與所述安全事件對應(yīng)的安全事件格式化標(biāo)準(zhǔn),依據(jù)所述對 應(yīng)的安全事件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化���;標(biāo)識單元�,用于若未查找到與所述安全事件對應(yīng)的安全事件格式化標(biāo)準(zhǔn)��,則將所述安 全事件標(biāo)識為未格式化安全事件��,并將攜帶有所述未格式化安全事件標(biāo)識的安全事件通過 所述事件發(fā)送模塊轉(zhuǎn)發(fā)至所述服務(wù)器��,以由所述服務(wù)器將所述安全事件存儲(chǔ)至原始安全事 件數(shù)據(jù)庫表���。
12.—種安全管理平臺,其特征在于,包括至少一個(gè)如權(quán)利要求5 7任一所述的安全 事件管理服務(wù)器�����、至少一個(gè)如權(quán)利要求10或11所述的安全事件管理代理以及與所述安全 事件管理服務(wù)器連接的用于顯示安全告警的安全告警展示界面�。
全文摘要
本發(fā)明提供安全事件管理方法、裝置及安全管理平臺���。該安全事件管理方法包括服務(wù)器向用于采集安全事件的代理發(fā)送安全事件格式化標(biāo)準(zhǔn)�,以使所述代理根據(jù)所述安全事件格式化標(biāo)準(zhǔn)對采集的安全事件進(jìn)行格式化�����;所述服務(wù)器從所述代理獲取經(jīng)格式化的安全事件��,對所述安全事件進(jìn)行關(guān)聯(lián)分析并產(chǎn)生安全告警��。本發(fā)明的安全事件管理方法���、裝置及安全管理平臺能夠?qū)崿F(xiàn)具有較低的安全告警延遲�����、且具有較高的安全監(jiān)控性能的安全事件管理�。
文檔編號H04L12/24GK102148827SQ20111003609
公開日2011年8月10日 申請日期2011年2月11日 優(yōu)先權(quán)日2011年2月11日
發(fā)明者羅朝根 申請人:成都市華為賽門鐵克科技有限公司