本发明涉及网络安全审计技术领域,尤其是一种用于分布式安全审计采集设备的日志发送系统及发送方法。
背景技术:
网络安全审计系统是对网络中的协议、数据和行为等进行记录、分析,并做出一定的响应措施的信息安全专用产品,一般采取旁路接入的方式。分布式部署审计平台是把多台审计设备分散地部署在网络中,由一台审计中心管理主机(以下简称审计中心)负责对多台分散部署的审计设备单元(以下简称审计单元或审计设备或采集端设备)进行管理,满足用户对网络行为审计备案要求,提供完整的网络行为记录,便于信息追踪、系统安全管理和风险防范。
现有分布式网络审计系统一般采用多个审计设备单元分散布置采集数据,并由一台审计中心管理主机负责对多台审计设备单元进行集中管理方式。
由于现有分布式网络审计系统的多个审计设备,在采集数据后分散并各自以太网的载波多路访问和冲突检测机制形式向一台审计中心发送日志数据,在单位时间内单台审计设备采集端向审计中心发送日志数据固定的情况下,随着设备采集端数量的增加,向审计中心发送日志数据的流量就会剧增,同时,由于是各自无序向审计中心发送日志数据,会造成严重的网络负荷,审计中心的工作量大,占用过多的存储空间,增加单位时间处理的数据量,影响审计处理的速度,甚至造成审计中心崩溃。
技术实现要素:
本发明要解决的技术问题是提供一种用于分布式安全审计采集设备的日志发送系统及发送方法,能够解决现有技术的不足,增加审计中心处理的速度,增强审计中心的稳定性和可靠性。
为解决上述技术问题,本发明所采取的技术方案如下。
一种用于分布式安全审计采集设备的日志发送系统,包括通过工业以太网络连接的审计中心和审计单元;审计中心包括第一日志管理模块,第一日志管理模块分别与告警管理模块、策略下发通讯模块、审计中心管理模块和第一定时模块连接,策略下发通讯模块和第一定时模块分别与策略管理模块连接,审计中心管理模块与审计中心数据库连接;审计单元包括第二日志管理模块,第二日志管理模块分别与第二定时模块、通讯模块和审计单元管理模块连接,审计单元管理模块与审计单元数据库连接。
一种上述的用于分布式安全审计采集设备的日志发送系统的发送方法,包括以下步骤:
a、策略管理配置阶段,
审计中心实现审计中心的差时时间和时间片管理策略制定和策略下发;
b、日志发送运行阶段,
审计中心和审计单元实现各安全审计采集端设备按配置的差时时间和时间片管理策略向审计中心发送审计日志,及审计中心对日志的处理。
作为优选,步骤a中,审计中心为全部的n个采集端设备分别分配一个设备站号,站号取1、2、3...n,n为正整数,采集端设备发送日志的顺序按分配的站号1、2、3...n顺次取得发送权限并开始发送;各站号的安全审计采集端设备取得开始发送日志权限的时刻定义为该安全审计采集端设备的差时发送时间,用tn标识,1≤n≤n,n号站审计采集端设备,各安全审计采集端设备的差时发送时间到后允许发送日志的一段时间,定义为发送窗口时间δtn,1≤n≤n,n号站审计采集端设备发送窗口时间,n号站审计采集端设备的差时发送时间
作为优选,管理策略命令帧包括命令码、数据长度、设备站号、差时发送时间、发送窗口时间、crc效验,命令码为1byte长度,取值0x68,规定了本数据帧为管理策略命令帧,数据长度是命令码之后的本数据帧的长度,固定1byte长度,取值0x08,随后规定了命令帧的采集端设备站号、启动发送时刻、发送窗口时间、crc效验值,除站号1byte长度,其他均为2byte长度。
作为优选,步骤b中,第一日志管理模块依照策略管理配置生成的各采集端设备的发送循环窗口时间δtn,1≤n≤n,n号站审计采集端设备,通过策略下发通讯模块,周期性地向审计设备采集端发送同步启动广播命令帧;各审计设备采集端接收到来自审计中心的同步启动广播命令帧后的0时刻,对应站号1的采集端设备的差时发送时间为t1,首先发起向审计中心发送日志数据,发送窗口时间为δt1,站号为2的采集端设备的差时发送时间为δt1,δt1时间到,即向审计中心发送日志数据,发送窗口时间为δt2,站号为3的采集端设备的差时发送时间为δt1+δt2,δt1+δt2时间到,即向审计中心发送日志数据,发送窗口时间为δt3,以此类推,站号为n的审计设备采集端的差时发送时间为
作为优选,广播命令帧包括命令码、4个常数0xff,及crc效验值,命令码取值为0x69。
作为优选,步骤f中,日志数据包括命令码、数据长度、设备站号、启动发送时刻、发送窗口时间、日志数据data、crc效验7部分,命令码为1byte长度,取值0x67,规定了本数据帧为日志数据,数据长度是命令码之后的本数据帧的长度,2byte长度,随后规定了发送日志数据的的采集端设备站号、差时发送时间、发送窗口时间、日志数据data、crc效验值。
作为优选,第一日志管理模块接收到来自各审计设备采集端发送日志数据后,首先分析接收到的各日志数据帧是否是一个有效的日志数据,及各审计设备采集端的通讯站号的有效性,如存在日志数据无效或通讯站号无效情况,将通过形成告警日志信息向告警管理模块告警,如是有效的日志数据和站号数据,将提交审计中心管理模块进行进一步处理。
作为优选,在第一日志管理模块启动一个新的发送循环窗口时间的同时,第一定时模块启动一个新的定时线程,开始计时循环窗口时间t,计时循环窗口时间t结束后,将计时循环窗口时间到的信号传送给第一日志管理模块。
作为优选,各采集端设备在收到第一定时模块的同步启动广播命令帧的同时,各采集端设备的第二定时模块启动两个新的定时线程,一个定时线程用于各采集端设备的差时发送时间定时,另一定时线程开始发送窗口时间定时;对于站号为n的采集端设备,在收到第一日志管理模块的同步启动广播命令帧的同时,差时发送时间定时线程的定时时间为
采用上述技术方案所带来的有益效果在于:本发明在策略管理配置阶段,差时时间及时间片管理策略由审计中心制定,并下发给各审计设备采集端,在运行发送日志阶段,各审计设备采集端在接收到审计中心的同步启动命令帧后,在审计中心分配给各审计设备采集端的差时时间点和时间片内向审计中心发送日志数据,这样,由于对审计设备采集端发送日志的时间进行了有效的差时和时间片管理,网络负荷会大大降低,审计中心的工作量处理,占用的存储空间,审计中心处理的速度,都会得到很好的优化,同时,审计中心的稳定性和可靠性,都会得到很大的提高,从理论上,永远不会出现因发送日志数据流量过大,造成审计中心处理的崩溃。
附图说明
图1是本发明一个具体实施方式的系统原理图。
图2是本发明一个具体实施方式的管理策略命令帧格式。
图3是本发明一个具体实施方式的管理策略下发流程图。
图4是本发明一个具体实施方式的广播命令帧格式。
图5是本发明一个具体实施方式的日志数据格式。
图6是本发明一个具体实施方式的日志处理流程图。
具体实施方式
参照图1-6,本发明一个具体实施方式包括通过工业以太网络1连接的审计中心2和审计单元3;审计中心2包括第一日志管理模块4,第一日志管理模块4分别与告警管理模块5、策略下发通讯模块6、审计中心管理模块7和第一定时模块8连接,策略下发通讯模块6和第一定时模块8分别与策略管理模块9连接,审计中心管理模块7与审计中心数据库10连接;审计单元3包括第二日志管理模块11,第二日志管理模块11分别与第二定时模块12、通讯模块13和审计单元管理模块14连接,审计单元管理模块14与审计单元数据库15连接。
一种上述的用于分布式安全审计采集设备的日志发送系统的发送方法,包括以下步骤:
a、策略管理配置阶段,
审计中心2实现审计中心的差时时间和时间片管理策略制定和策略下发;
b、日志发送运行阶段,
审计中心2和审计单元3实现各安全审计采集端设备按配置的差时时间和时间片管理策略向审计中心发送审计日志,及审计中心对日志的处理。
步骤a中,审计中心2为全部的n个采集端设备分别分配一个设备站号,站号取1、2、3...n,n为正整数,采集端设备发送日志的顺序按分配的站号1、2、3...n顺次取得发送权限并开始发送;各站号的安全审计采集端设备取得开始发送日志权限的时刻定义为该安全审计采集端设备的差时发送时间,用tn标识,1≤n≤n,n号站审计采集端设备,各安全审计采集端设备的差时发送时间到后允许发送日志的一段时间,定义为发送窗口时间δtn,1≤n≤n,n号站审计采集端设备发送窗口时间,n号站审计采集端设备的差时发送时间
管理策略命令帧包括命令码、数据长度、设备站号、差时发送时间、发送窗口时间、crc效验,命令码为1byte长度,取值0x68,规定了本数据帧为管理策略命令帧,数据长度是命令码之后的本数据帧的长度,固定1byte长度,取值0x08,随后规定了命令帧的采集端设备站号、启动发送时刻、发送窗口时间、crc效验值,除站号1byte长度,其他均为2byte长度。
步骤b中,第一日志管理模块4依照策略管理配置生成的各采集端设备的发送循环窗口时间δtn,1≤n≤n,n号站审计采集端设备,通过策略下发通讯模块6,周期性地向审计设备采集端发送同步启动广播命令帧;各审计设备采集端接收到来自审计中心的同步启动广播命令帧后的0时刻,对应站号1的采集端设备的差时发送时间为t1,首先发起向审计中心2发送日志数据,发送窗口时间为δt1,站号为2的采集端设备的差时发送时间为δt1,δt1时间到,即向审计中心2发送日志数据,发送窗口时间为δt2,站号为3的采集端设备的差时发送时间为δt1+δt2,δt1+δt2时间到,即向审计中心2发送日志数据,发送窗口时间为δt3,以此类推,站号为n的审计设备采集端的差时发送时间为
广播命令帧包括命令码、4个常数0xff,及crc效验值,命令码取值为0x69。
日志数据包括命令码、数据长度、设备站号、启动发送时刻、发送窗口时间、日志数据data、crc效验7部分,命令码为1byte长度,取值0x67,规定了本数据帧为日志数据,数据长度是命令码之后的本数据帧的长度,2byte长度,随后规定了发送日志数据的的采集端设备站号、差时发送时间、发送窗口时间、日志数据data、crc效验值。
第一日志管理模块4接收到来自各审计设备采集端发送日志数据后,首先分析接收到的各日志数据帧是否是一个有效的日志数据,及各审计设备采集端的通讯站号的有效性,如存在日志数据无效或通讯站号无效情况,将通过形成告警日志信息向告警管理模块5告警,如是有效的日志数据和站号数据,将提交审计中心管理模块7进行进一步处理。
在第一日志管理模块4启动一个新的发送循环窗口时间的同时,第一定时模块8启动一个新的定时线程,开始计时循环窗口时间t,计时循环窗口时间t结束后,将计时循环窗口时间到的信号传送给第一日志管理模块4。
各采集端设备在收到第一定时模块8的同步启动广播命令帧的同时,各采集端设备的第二定时模块12启动两个新的定时线程,一个定时线程用于各采集端设备的差时发送时间定时,另一定时线程开始发送窗口时间定时;对于站号为n的采集端设备,在收到第一日志管理模块4的同步启动广播命令帧的同时,差时发送时间定时线程的定时时间为
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。