一种安全数据分析系统的制作方法
【技术领域】
[0001 ]本申请涉及数据安全技术领域,特别是涉及一种安全数据分析系统。
【背景技术】
[0002]企业定期收集TB(Terabyte,太字节)级的信息安全数据(如,网络事件、软件应用程序事件,以及人员活动事件),用来作合规性、事后取证分析、预警等企业事务操作。随着企业启用的事件记录源越来越多,雇用的员工越来越多,部署的设备越来越多,运行的软件越来越多,信息安全数据还会继续增长。
[0003]在现有的信息安全分析处理中,通常使用特定分析软件,或安全分析人员自己编写的临时的,零散的处理脚本进行分析处理。但是目前的分析软件使用自身提供的存储载体来存储数据,造成数据孤岛问题,如ossec(—个开源的多平台的入侵检测系统)的数据默认只能存mysql(—个关系型数据库管理系统);而安全分析人员自己编写的临时/零散的处理脚本,往往无法应对大规模数据,产生误报,预警延迟等问题,甚至是根本无法处理完这些数据,因此安全功效得不到保证。
[0004]随着企业向云架构迀移,并且收集的数据越来越多,所以适时需要一种新的安全数据分析的装置来解决这样的问题。
【发明内容】
[0005]鉴于上述问题,提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种安全数据分析系统。
[0006]为了解决上述问题,本申请实施例公开了一种安全数据分析系统,包括:
[0007]Flume日志数据收集模块,用于获取日志数据,对所述日志数据进行预处理,以及将经过初步处理的日志数据发送到Kafka日志数据分发集群;
[0008]Kafka日志数据分发集群,用于接收所述Flume日志数据收集模块发送的日志数据,将所述日志数据发送至Storm日志数据分析集群,以及匹配所述Flume日志数据收集模块与所述Storm日志数据分析集群之间的数据处理速度;
[0009]Storm日志数据分析集群,用于接收所述Kafka日志数据分发集群发送的日志数据,对所述日志数据进行安全分析处理,以及将经安全分析处理之后得到的安全分析数据发送至Elasticsearch数据存储与使用集群;
[0010]Elasticsearch数据存储与使用集群,用于存储所述经安全分析处理之后得到的安全分析数据,以及提供对所述安全分析数据的查询功能。
[0011 ]优选的,所述Flume日志数据收集模块包括:
[0012]Source日志获取子模块,用于获取日志数据;
[0013]Sink输出子模块,用于输出日志数据;
[0014]多个Channel解耦子模块,用于匹配所述Source日志获取子模块的日志数据获取速度与所述Sink输出子模块的日志数据输出速度。
[0015]优选的,所述日志数据包括:0SSeC日志数据、Syslog日志数据;所述Flume日志数据收集模块包括:
[0016]Ossec日志数据预处理子模块,用于对Ossec日志数据中进行合并处理;
[0017]Syslog日志数据预处理子模块,用于对Syslog日志数据进行分类,将分类后的数据分发到不同的Channel解耦子模块中。
[00? 8]优选的,所述Flume日志数据收集模块还进一步包括:
[0019]通道监控子模块,用于监控所述多个Channel解耦子模块是否堵塞,当某一Channel解耦子模块堵塞时调整所述Source日志获取子模块向堵塞的Channel解耦子模块写入日志数据的速度。
[0020]优选的,所述Kafka日志数据分发集群包括:
[0021]多个Topic主题模块,用于分发不同分类的日志数据;
[0022]所述Topic主题模块进一步包括:
[0023]多个Partit1n分区子模块,用于对日志数据进行数据冗余,提升后续处理数据的并发数。
[0024]优选的,所述Flume日志数据收集模块进一步包括:
[0025]Kafka转发子模块,用于将日志数据输出到指定的Topic主题模块中指定的Part iti on分区子模块。
[0026]优选的,所述Storm日志数据分析集群包括:
[0027]多个Topology分析模块,用于对不同分类的日志数据进行分析处理;
[0028]所述Topology分析模块进一步包括:
[0029]Spout数据获取子模块,用于获取日志数据;
[0030]—个或多个Bolt逻辑子模块,用于对日志数据进行逻辑分析。
[°031 ]优选的,所述Spout数据获取子模块以及Bolt逻辑子模块由多个Executors逻辑执行单元组成;
[0032]所述Storm日志数据分析集群还进一步包括:
[0033]Executors配比监控模块,用于监控同一个Topology分析模块中,Spout数据获取子模块的Executors逻辑执行单元与Bolt逻辑子模块的Executors逻辑执行单元之间的数量配比是否合适;
[0034]记录调用模块,用于在当前数量配比合适时,记录当前Executors逻辑执行单元的数量配比,在重启Topology分析模块时,直接使用记录的Executors逻辑执行单元的数量配比;
[0035]Executors配比调整模块,用于在当前Executors逻辑执行单元数量配比不合适时,调整Executors逻辑执行单元的数量配比。
[0036]优选的,所述Storm日志数据分析集群还进一步包括:
[0037]节点监控模块,用于监控storm的关键进程,当关键进程异常时通知管理员进行人为检查;所述关键进程包括:nimbus任务分配进程,以及supervisor监听进程。
[0038]优选的,所述Elasticsearch数据存储与使用集群包括:
[0039]节点监控模块,用于监控用于接收Topo1gy分析模块传送的数据的节点接口,当某一节点接口的进程消失时,重启该节点接口。
[0040]优选的,所述Elasticsearch数据存储与使用集群包括:
[0041]展现模块,用于展现经安全分析处理之后得到的安全分析数据。
[0042]本申请实施例包括以下优点:
[0043]本申请实施例通过Flume日志数据收集模块、Kafka日志数据分发集群、Storm日志数据分析集群以及Elasticsearch数据存储与使用集群构建了一种适用于云端的安全数据分析系统,使安全数据分析能在云端实现,不需要侵入目标系统,只需接收目标系统投递的日志数据并对数据进行分析,安全分析之后的数据,在云端供用户查询,使得企业能够方便地对大规模的日志数据进行安全分析。
[0044]本申请实施例在Flume日志数据收集模块、Kafka日志数据分发集群、Storm日志数据分析集群以及Elasticsearch数据存储与使用集群都设置有监控层,监控模块或集群内部的处理进程。
【附图说明】
[0045]图1是本申请的一种安全数据分析系统实施例的结构框图;
[0046]图2是本申请实施例中Flume日志数据收集模块的结构框图;
[0047]图3是本申请实施例中Kafka日志数据分发集群的结构框图;
[0048]图4是本申请实施例中Storm日志数据分析集群的结构框图;
[0049]图5是本申请一种安全数据分析系统实施例的结构框图。
【具体实施方式】
[0050]为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和【具体实施方式】对本申请作进一步详细的说明。
[0051 ]本申请实施例的核心构思之一在于,本申请实施例通过Flume日志数据收集模块、Kafka日志数据分发集群、Storm日志数据分析集群以及Elasticsearch数据存储与使用集群构建了一种适用于云端的安全数据分析系统。