专利名称:网络安全事件关联分析系统的制作方法
技术领域:
本发明涉及一种关联分析系统,具体讲是一种涉及计算机网络系统中IT资源运 行的实时监控、安全的实时监控、风险的实时监控,实现对企业和组织的计算机网络中复杂 IT资源及其安全防御设施运行过程中不断产生的各类安全日志和事件进行统一采集、传 输、分析、发布等全方位的实时监控。
背景技术:
当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面,这既有来自 于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。 为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、 漏洞扫描系统、UTM等等。这种被动的安全建设过程就像是在开放的区域下砌墙,为了抵御 某一方面的安全威胁,不断地把墙加高,不断地砌出新墙。通过这种方法建立的安全系统一 般仅能防堵来自某个方面的安全威胁,从而形成了一个个安全防御孤岛,无法产生协同效 应。另一方面,企业和组织日益迫切的信息系统审计、内控以及不断增强的业务持续性需 求,也对当前企业信息安全管理提出了严峻的挑战。这些内因外因合起来,都要求企业和组 织建立一套横向贯穿孤立安全防线的整体安全管理平台,通过获取防病毒系统、防火墙、入 侵检测系统、漏洞扫描系统、UTM、运行主机、交换机、路由器、数据库系统、中间件等日志事 件、状态事件和网络数据包信息,进行选择采集、综合评价和网络安全事件关联分析,实现 对来自外部攻击的安全审计和对来自内部攻击的安全审计,为网络管理维护人员提供一个 监控整个网络的软件和硬件设备运行状况、分析挖掘异常入侵信息、审计业务系统关键数 据、发出各种方式网络安全事件告警的手段,真正让企业和组织的管理者把握网络信息整 体安全态势,实现有效地协同防御。发明内容
本发明的目的是运用事件流时空窗过滤、日志串前导匹配快速动态解析、多维度 海量事件强劲算法、事件服务器、现代通讯等先进技术,以快速进行超过每秒十万个网络安 全事件级别以上的关联分析,实时发现网络中存在的安全隐患和状态异常并及时告警和阻 止为主要目的,通过对计算机网络中复杂IT资源及其安全防御设施运行过程中不断产生 的各类安全日志和事件进行统一采集、传输、分析、发布等全过程的数字化管理,建立一个 跨地域的、多个计算机网络中复杂IT资源的安全性实施有效、长效管理与决策提供服务 的、具有先进水平的关联分析系统。
为了实现上述的目的,本发明是采取以下的技术方案来实现的网络安全事件关联分析系统是一套基于分布式实时采集、多点协同工作、事件流与历 史事件数据库混合关联模式、脚本驱动引擎的事中与事前实时关联分析和事后历史事件关 联分析的计算机网络安全监控系统,用以提高网络运行维护管理部门对所辖网络实时运行 状况真实了解程度,强化网络安全故障快速应激反应能力,为建设集业务系统安全防护、用户网上操作行为分析、与现有网络安全设备组成一个“联合防御”体系的新型网络安全监控 平台奠定基础。
本发明的网络安全事件关联分析系统,包含网络安全事件采集层、通讯网络层、关 联分析层及管理展示层,其中所述的(1)网络安全事件采集层包含网络安全设备、网络设备、主机服务器设备、操作系统、数据库、中间件的状态、日 志和网络数据包等数据源采集的采集设备,负责采集所需的网络安全事件信息;网络安全设备包括防火墙、IPS (Intrusion Prevention System,即入侵预防系统)、 IDS (Intrusion Detection System即入侵检测系统)等,网络设备包含交换机、路由器等。
(2)通讯网络层包含通讯组件;负责完成对各种不同的网络安全设备、网络设备、主机服务器设备、 操作系统、数据库、中间件的日志进行日志串前导匹配快速动态解析,对解析后的日志和 状态、网络数据包按照通讯规约进行封装,通过网络将各种网络安全事件传输至关联分析 层;(3)关联分析层本层是整个系统的核心部分。主要包括关联分析引擎服务器、关联分析脚本、事件服务 器、历史数据库服务器,相互之间通过数据线进行联接;所述的关联分析引擎服务器负责对 内存事件流和数据库历史事件流进行时空窗过滤、以自身的多维度海量事件强劲算法处理 超过每秒100,000个网络安全事件、实现多个网络安全事件复杂关联关系的分析与保存, 所述的关联分析脚本负责对网络安全事件之间的告警关联关系进行定义、关联分析流程的 描述、参与关联分析的网络安全事件界定,所述的事件服务器负责进行各种网络安全事件 的内存形式流和数据库形式流的存储,所述的历史数据库服务器进行关联分析结果数据、 关联分析过程使用网络安全事件等相关数据的存储记忆。
(4)管理展示层本层是整个系统的管理、分析结果展示部分。主要包括历史数据库服务器、WEB服务器、 应用服务器、核心交换机、工作站及其他各种相关设备和软件,相互之间通过数据线进行联 接;所述的历史数据库服务器提供关联分析结果数据和关联分析过程详细数据,所述的应 用服务器完成各种相关的应用功能的实现,WEB服务器负责最终的数据展现。各相关部门 可以通过hternet以浏览器方式根据自己的权限获得各自的数据信息。
前述的网络安全事件关联分析系统,数据来自网络安全设备(防火墙、IPS、IDS 等)、网络设备(交换机、路由器等)、主机服务器设备、操作系统、数据库、中间件的状态、日 志和网络数据包等数据源。
前述的通讯网络层,基于TCP/IP网络传输协议。
前述的事件服务器、关联分析引擎服务器和应用服务器都采用集群方式,保证系 统的高性能和高可用性。
前述的关联分析层除了可以进行正在发生的网络安全事件关联分析,还可以将正 在发生的网络安全事件与已经发生过的历史网络安全事件结合进行关联分析,同时还可以 对未来可能发生的网络安全事件进行预测告警。
前述的管理展示层不但可以用文本形式列表展示关联分析结果和相关发生的事件信息,而且可以用网络设备拓扑图的形式进行图形化展示关联分析结果和相关发生的事 件fe息。
所述关联分析层和管理展示层中包含的历史数据库是公用的服务器,由于数据采 集量很大,而关联分析的精度要求与事件发生的时间范围成正比,为了兼顾效率与正确性 采取了历史数据库的形式。
本发明的有益效果是由于大多数网络安全问题的发生不是由单一的网络安全事 件决定,而是由多个网络安全事件以不同时间、不同发生源相互作用来决定的,因此仅对单 一网络安全事件的记录和简单分析已无法满足网络安全的需要,本发明针对网络安全问题 分析、判断的难点,设计了网络安全事件关联分析系统;在项目实施过程中根据一般网络安 全事件分析系统设计过程中经常出现的实时性、稳定性、扩展性等主要问题,采用了技术手 段进行了良好的解决,用于对计算机网络中复杂IT资源的安全性实施有效、长效管理,能 真实、准确地反映了计算机网络的网络信息安全及业务系统数据安全状况,为计算机网络 的信息安全等级考核提供了量化标尺。
(1)、本发明的系统借鉴复杂网络安全事件处理、网络安全事件流处理和日志处理 算法等专业知识,对网络安全设备、网络设备、主机服务器设备、操作系统、数据库、中间件 运行过程中产生的状态数据、日志数据、网络信息交互的网络数据包进行健康特征样本分 析,通过对网络安全事件所含信息进行关联分析,为网络安全防护提供了量化标尺。
O)、利用采集端部署的日志串前导匹配快速动态解析器能迅速地分析不同厂家 设备的日志的数据,然后通过网络将数据传输至事件服务器。
(3)、可实时图形化展示关联分析结果工具,对不同的关联分析需求,展示不同的 拓扑图画面,且可现场调整显示布局和信息显示细节。图形化展示工具基于页面技术,在浏 览器工作模式下使用,完全支持可视化功能的图形布局编辑器,可以完成任何复杂的关联 分析场景的拓扑图布局的制作。
图1是本发明的网络安全事件采集原理图; 图2是本发明的关联分析引擎工作原理图。
具体实施方式
以下结合附图对本发明作具体的介绍本发明的网络安全事件关联分析系统,包括网络安全事件采集层、通讯网络层、关联分 析层及管理展示层四层。
网络安全事件采集层作为系统最基本的部分,如图1是本发明的网络安全事件采 集原理图。安装于各计算机网络关键监测点现场的网络系统核心交换设备旁,它包括状态 采集设备、日志采集设备、网络数据包采集设备。在现场安装状态采集设备、日志采集设备、 网络数据包采集设备,进行相关的配置后即可获取网络安全事件的数据,分析、整理、格式 化后传至队列缓冲池。
通讯网络层通过Hessian接口机完成把队列缓冲池中的各个不同网络安全事件 进行实时组包,日志数据在组包前进行日志串前导匹配快速动态解析,组包后的网络安全事件上传至事件服务器。接口机与事件服务器采用一对多的传输模式,可以将一次采集获 取的网络安全事件数据同时上传到多个事件服务器。该服务基于TCP/IP网络传输协议,封 装了通讯规约。
关联分析层是整个系统的核心部分。由事件处理层和分析逻辑层构成,事件处理 层负责内存事件流和数据库历史事件流的时空窗过滤,分析逻辑层核心是关联分析引擎, 如图2所示是本发明的关联分析引擎工作原理图,负责过滤后的网络安全事件根据关联分 析脚本要求进行关联分析。关联分析结果连同与之相关的数个网络安全事件保存于历史数 据库中。关联分析引擎具备以下功能特点1.与其它分析网络安全事件的产品不同,在关联分析出组合事件告警后,增加了引起 组合事件告警的源头追溯;2.参与分析的网络安全事件可以是网络安全事件内存流,也可以是存于数据库的历史 网络安全事件,甚至可以是网络安全事件内存流与存于数据库的历史网络安全事件混合;3.关联分析的方法和条件由外部关联分析脚本控制,增加了关联分析的宽度和深度;4.分析结果按单项事件为最小颗粒度保存,方便用户观察到网络安全告警发生的细节 fn息;5.分析结果按图形化数据结构方式存储,可以实现快速的网络异常攻击和用户访问行 为的图形效果生动展示;6.合理的关联分析算法确保引擎能够具备处理每秒超过十万个网络安全事件级别的 能力。
管理展示层是整个系统的管理、分析结果展示部分。由网络安全事件管理、关联分 析脚本管理、关联分析引擎管理和关联分析结果展示四个部分组成。网络安全事件管理包 括网络安全事件定义、网络安全事件更改、网络安全事件发布。关联分析脚本管理包括关联 分析脚本定义、关联分析脚本更改、关联分析脚本启动。关联分析引擎管理包括关联分析引 擎初始化、关联分析引擎工况监测。关联分析结果展示包括列表展示和图形化展示。各相关 网络运维管理部门可通过浏览器管理关联分析脚本和关联分析引擎工作范围,查询各种关 联分析结果数据。管理展示层的设备保证本系统可以正常运行并留有发展余地。包括历史 数据库服务器、WEB服务器、应用服务器、核心交换机、工作站、监控专用计算机、通讯设备、 不间断电源、打印机以及相关设备等。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形 也应视为本发明的保护范围。
权利要求
1.网络安全事件关联分析系统,其特征在于,包括网络安全事件采集层、通讯网络层、 关联分析层及管理展示层,(1)网络安全事件采集层由数据源采集的采集设备采集所需的网络安全事件信息,其安装于各计算机网络关键 监测点现场的网络系统核心交换设备旁;(2)通讯网络层完成对各种不同的采集设备采集的日志进行日志串前导匹配快速动态解析,对解析后 的日志和状态、网络数据包按照通讯规约进行封装,通过网络将各种网络安全事件传输至 关联分析层;(3)关联分析层对网络安全事件关联关系进行分析、存储;(4)管理展示层将关联分析层分析的数据进行管理和展现;各相关部门根据自己的权限获得需要的展现数据信息。
2.根据权利要求1所述的网络安全事件关联分析系统,其特征在于,所述采集设备采 集的数据源包括网络安全设备、网络设备、主机服务器设备、操作系统、数据库、中间件的状 态、日志和网络数据包。
3.根据权利要求2所述的网络安全事件关联分析系统,其特征在于,所述网络安全设 备包括防火墙、IPS、IDS,所述网络设备包括交换机、路由器。
4.根据权利要求1所述的网络安全事件关联分析系统,其特征在于,所述通讯网络层 包含通讯组件。
5.根据权利要求1所述的网络安全事件关联分析系统,其特征在于,所述关联分析层 包括关联分析引擎服务器、关联分析脚本、事件服务器、历史数据库服务器,相互之间通过 数据线进行联接;所述的关联分析引擎服务器负责对内存事件流和数据库历史事件流进行 时空窗过滤、多维度海量事件强劲算法处理网络安全事件、实现多个网络安全事件复杂关 联关系的分析与保存,所述的关联分析脚本负责对网络安全事件之间的告警关联关系进行 定义、关联分析流程的描述、参与关联分析的网络安全事件界定,所述的事件服务器负责进 行各种网络安全事件的内存形式流和数据库形式流的存储,所述的历史数据库服务器进行 关联分析结果数据、关联分析过程使用网络安全事件相关数据的存储记忆。
6.根据权利要求1所述的网络安全事件关联分析系统,其特征在于,所述管理展示层 包括历史数据库服务器、WEB服务器、应用服务器、核心交换机、工作站及与这些设备相关的 软件,设备相互之间通过数据线进行联接;所述的历史数据库服务器提供关联分析结果数 据和关联分析过程详细数据,所述的应用服务器完成各种相关的应用功能的实现,WEB服务 器负责最终的数据展现。
7.根据权利要求1所述的网络安全事件关联分析系统,其特征在于,所述的通讯网络 层,基于TCP/IP网络传输协议,对各种不同的网络安全设备、网络设备、主机服务器设备、 操作系统、数据库、中间件的日志进行日志串前导匹配快速动态解析,对解析后的日志和状 态、网络数据包按照通讯规约进行封装,通过Hessian方式完成网络安全事件传输。
8.根据权利要求5或6所述的网络安全事件关联分析系统,其特征在于,所述的事件服 务器、关联分析弓I擎服务器和应用服务器都采用集群方式。
9.根据权利要求1或5所述的网络安全事件关联分析系统,其特征在于,所述的关联分析层可进行正在发生的网络安全事件关联分析,还可将正在发生的网络安全事件与已经发 生过的历史网络安全事件结合进行关联分析,还可对未来可能发生的网络安全事件进行预测告警。
10.根据权利要求1或6所述的网络安全事件关联分析系统,其特征在于,所述的管理 展示层可用文本形式列表展示关联分析结果和相关发生的事件信息,还可用网络设备拓扑 图的形式进行图形化展示关联分析结果和相关发生的事件信息。
全文摘要
本发明涉及一种网络安全事件关联分析系统,包括网络安全事件采集层、通讯网络层、关联分析层及管理展示层,其通过对计算机网络中复杂IT资源及其安全防御设施运行过程中不断产生的各类安全日志和事件进行统一采集、传输、分析、发布等全过程的数字化管理,运用事件相关性预测原理,结合事件流时空窗过滤、日志串前导匹配快速动态解析和多维度海量事件强劲算法对网络安全事件进行事前、事中、事后关联分析,构建一套分布式网络安全事件采集、多点实施关联分析、中心综合判断的基于Web结构、实时通讯的在关联分析、监控系统。本发明用于对计算机网络中复杂IT资源的安全性实施有效、长效管理,能真实、准确地反映了计算机网络的网络信息安全及业务系统数据安全状况,为计算机网络的信息安全等级考核提供了量化标尺。
文档编号H04L12/26GK102035855SQ20101061375
公开日2011年4月27日 申请日期2010年12月30日 优先权日2010年12月30日
发明者吴玉林, 孙大雁, 官国飞, 尹飞, 李汇群, 祝永晋, 霍雪松, 黄强 申请人:江苏方天电力技术有限公司, 江苏省电力公司