基于安全系统输出日志的安全事件处理方法、系统及终端的制作方法
【技术领域】
[0001]本发明涉及数据处理领域,特别涉及一种基于安全系统输出日志的安全事件处理方法、系统及终端。
【背景技术】
[0002]目前互联网已进入蓬勃发展的时代,网络的普及为人们获取信息和传播信息带来了极大的便利,同时也给互联网带来了巨大的安全挑战。为缓解日益严重的安全问题,防火墙、入侵检测系统、安全过滤系统和审查系统等安全产品得到广发使用,但安全设备的大量引入又带来新的问题。
[0003]比如:各种安全设备在黑客阻隔和病毒查杀的过程中会产生海量的日志,而安全事件的风险度高低就隐藏于这些日志当中,针对这些日志,需要安全管理员花费大量的时间和精力,目前对网络安全事件的日志分析,通常是将这些日志集中收集起来,将有价值的日志信息以及大量的垃圾日志信息都作为安全评估对象。这种方式缺少统一的能针对网络安全事件分析的日志中心,虽企业拥有如SOC的日志中心,但仍缺少精确性的网络安全分析功能,对日志分析在信息安全方面存在严重不足,具体体现在:分析的精确度不高,日志收集所顾及的层面太多,各个层面都有涉及从而导致安全分析深度不够。
[0004]因而现有技术还有待改进和提尚。
【发明内容】
[0005]鉴于上述现有技术的不足之处,本发明的目的在于提供一种基于安全系统输出日志的安全事件处理方法、系统及终端,能提高日志分析的精确度和分析深度。
[0006]为了达到上述目的,本发明采取了以下技术方案:
[0007]一种基于安全系统输出日志的安全事件处理方法,其包括如下步骤:
[0008]A、具有安全系统的设备将符合syslog协议的日志推送到syslog服务器;
[0009]B、syslog服务器根据安全事件预警规则的关键词逐条匹配日志数据是否为安全事件的日志;
[0010]C、当匹配的日志数据为安全事件的日志时,判断该安全事件的类型和安全等级;
[0011]D、抽取所述日志数据中的事件元素,并在抽取完成后,将该事件元素发送到HBase中;
[0012]E、HBase存储和记录所述事件元素。
[0013]所述的基于安全系统输出日志的安全事件处理方法中,所述预警规则包括:预警测试表达式、事件类型、危险等级。
[0014]所述的基于安全系统输出日志的安全事件处理方法中,所述事件类型包括非法访问事件、病毒攻击事件、网页攻击事件和/或端口扫描事件。
[0015]所述的基于安全系统输出日志的安全事件处理方法中,所述事件元素包括:来源IP、目标IP、发生时间、目标端口、来源端口。
[0016]一种基于安全系统输出日志的安全事件处理系统,其包括如下步骤:
[0017]安全设备,具有安全系统,用于将符合syslog协议的日志推送到syslog服务器;
[0018]syslog服务器,用于根据安全事件预警规则的关键词逐条匹配日志数据是否为安全事件的日志;当匹配的日志数据为安全事件的日志时,判断该安全事件的类型和安全等级;以及抽取所述日志数据中的事件元素,并在抽取完成后,将该事件元素发送到HBase中;
[0019]HBase,用于存储和记录所述事件元素。
[0020]所述的基于安全系统输出日志的安全事件处理系统中,所述预警规则包括:预警测试表达式、事件类型、危险等级。
[0021]所述的基于安全系统输出日志的安全事件处理系统中,所述事件类型包括非法访问事件、病毒攻击事件、网页攻击事件和/或端口扫描事件。
[0022]所述的基于安全系统输出日志的安全事件处理系统中,所述事件元素包括:来源IP、目标IP、发生时间、目标端口、来源端口。
[0023]一种基于安全系统输出日志的安全事件处理终端,其包括如上任意一项所述的安全事件处理系统。
[0024]相较于现有技术,本发明提供的基于安全系统输出日志的安全事件处理方法、系统及终端,通过将符合syslog协议的日志推送到syslog服务器,由syslog服务器根据安全事件预警规则的关键词逐条匹配日志数据是否为安全事件的日志,当匹配的日志数据为安全事件的日志时,判断该安全事件的类型和安全等级;抽取所述日志数据中的事件元素,并在抽取完成后,将该事件元素发送到HBase中,HBase存储和记录所述事件元素,实现了对日志进行高精度、高深度的分析,为安全系统企业更好地定位安全问题提供了前提条件。
【附图说明】
[0025]图1为本发明实施例提供的基于安全系统输出日志的安全事件处理方法的流程图。
[0026]图2为本发明实施例提供的基于安全系统输出日志的安全事件处理系统的结构框图。
【具体实施方式】
[0027]本发明提供一种基于安全系统输出日志的安全事件处理方法、系统及终端,主要在于克服传统技术收集海量日志信息无法精确定位安全事件,使得对日志分析的精确度较低、分析深度不够的技术问题。
[0028]为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0029]请参阅图1,本发明提供的基于安全系统输出日志的安全事件处理方法包括:
[0030]S100、具有安全系统的设备将符合syslog协议(系统日志协议是在一个IP网络中转发系统日志信息的标准)的日志推送到syslog服务器;
[0031 ] S200、syslog服务器根据安全事件预警规则的关键词逐条匹配日志数据是否为安全事件的日志;
[0032]S300、当匹配的日志数据为安全事件的日志时,判断该安全事件的类型和安全等级;
[0033]S400、抽取所述日志数据中的事件元素,并在抽取完成后,将该事件元素发送到HBase(HBase是一个分布式的、面向列的开源数据库)中;
[0034]S500、HBase存储和记录所述事件元素。
[0035]本发明通过将收集的符合syslog协议要求的日志到syslog服务器,将接收的消息存储和记录到syslog服务器数据库里,并对数据进行分析,之后匹配日志数据找出安全事件的日志,再判断安全事件的类型和安全等级,大大提高了日志分析的精确度和分析深度。
[0036]本实施例中,所述预警规则包括:预警测试表达式、事件类型、危险等级,具体可人为配置。所述事件类型包括非法访问事件、病毒攻击事件、网页攻击事件和/或端口扫描事件。所述事件元素包括:来源IP、目标IP、发生时间、目标端口、来源端口。
[0037]本发明还提供一种基于安全系统输出日志的安全事件处理系统,包括安全设备10、syslog服务器20和HBase30。所述安全设10备具有安全系统,用于将符合syslog协议的日志推送到syslog服务器。所述syslog服务器20用于根据安全事件预警规则的关键词逐条匹配日志数据是否为安全事件的日志;当匹配的日志数据为安全事件的日志时,判断该安全事件的类型和安全等级;以及抽取所述日志数据中的事件元素,并在抽取完成后,将该事件元素发送到HBase中。所述HBase30用于存储和记录所述事件元素。
[0038]其中,所述预警规则包括:预警测试表达式、事件类型、危险等级。所述事件类型包括非法访问事件、病毒攻击事件、网页攻击事件和/或端口扫描事件。所述事件元素包括:来源IP、目标IP、发生时间、目标端口、来源端口。
[0039]本发明还相应提供一种基于安全系统输出日志的安全事件处理终,其包括上述的安全事件处理系统,由于上文已对该安全事件处理系统进行了详细描述,此处不再赘述。
[0040]综上所述,本发明实现了对日志进行高精度、高深度的分析,可针对各安全设备输出的syslog日志进行统一管理及分析,在达到对接各类安全设备的基础上,并对日志中的安全事件进行分析,帮助企业(软件企业)更好地定位安全问题。
[0041]可以理解的是,对本领域普通技术人员来说,可以根据本发明的技术方案及其发明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。
【主权项】
1.一种基于安全系统输出日志的安全事件处理方法,其特征在于,包括如下步骤: A、具有安全系统的设备将符合syslog协议的日志推送到syslog服务器; B、syslog服务器根据安全事件预警规则的关键词逐条匹配日志数据是否为安全事件的日志;C、当匹配的日志数据为安全事件的日志时,判断该安全事件的类型和安全等级; D、抽取所述日志数据中的事件元素,并在抽取完成后,将该事件元素发送到HBase中; E、HBase存储和记录所述事件元素。2.根据权利要求1所述的基于安全系统输出日志的安全事件处理方法,其特征在于,所述预警规则包括:预警测试表达式、事件类型、危险等级。3.根据权利要求1所述的基于安全系统输出日志的安全事件处理方法,其特征在于,所述事件类型包括非法访问事件、病毒攻击事件、网页攻击事件和/或端口扫描事件。4.根据权利要求1所述的基于安全系统输出日志的安全事件处理方法,其特征在于,所述事件元素包括:来源IP、目标IP、发生时间、目标端口、来源端口。5.一种基于安全系统输出日志的安全事件处理系统,其特征在于,包括如下步骤: 安全设备,具有安全系统,用于将符合syslog协议的日志推送到syslog服务器; syslog服务器,用于根据安全事件预警规则的关键词逐条匹配日志数据是否为安全事件的日志;当匹配的日志数据为安全事件的日志时,判断该安全事件的类型和安全等级;以及抽取所述日志数据中的事件元素,并在抽取完成后,将该事件元素发送到HBase中;HBase,用于存储和记录所述事件元素。6.根据权利要求5所述的基于安全系统输出日志的安全事件处理系统,其特征在于,所述预警规则包括:预警测试表达式、事件类型、危险等级。7.根据权利要求5所述的基于安全系统输出日志的安全事件处理系统,其特征在于,所述事件类型包括非法访问事件、病毒攻击事件、网页攻击事件和/或端口扫描事件。8.根据权利要求5所述的基于安全系统输出日志的安全事件处理系统,其特征在于,所述事件元素包括:来源IP、目标IP、发生时间、目标端口、来源端口。9.一种基于安全系统输出日志的安全事件处理终端,其特征在于,包括如权利要求5-8任意一项所述的安全事件处理系统。
【专利摘要】本发明公开了基于安全系统输出日志的安全事件处理方法、系统及终端。其中,安全事件处理方法通过将符合syslog协议的日志推送到syslog服务器,由syslog服务器根据安全事件预警规则的关键词逐条匹配日志数据是否为安全事件的日志,当匹配的日志数据为安全事件的日志时,判断该安全事件的类型和安全等级;抽取所述日志数据中的事件元素,并在抽取完成后,将该事件元素发送到HBase中,HBase存储和记录所述事件元素,实现了对日志进行高精度、高深度的分析,为安全系统企业更好地定位安全问题提供了前提条件。
【IPC分类】H04L29/06, G06F17/30, H04L29/08
【公开号】CN104994075
【申请号】CN201510293691
【发明人】高尚, 龙震岳, 陈守明
【申请人】广东电网有限责任公司信息中心
【公开日】2015年10月21日
【申请日】2015年6月1日