数据库安全事件的管理方法及分析系统与流程

本发明公开一种数据库安全事件的管理方法及分析系统，属于网络入侵检测技术领域。

背景技术：

现在网络入侵越来越复杂，在网络应用层的漏洞成为了黑客的重点攻击目标，利用网络应用层的漏洞进行攻击时，攻击者的数据(攻击脚本)千奇百怪，想方设法绕过各种安全监管系统，要将这些带有非常规内容的安全事件，准确清晰分门别类保存到各种关系数据库中，也是一件繁琐细致而且重要的工作。针对入库工作环节，传统安全监管系统将遇到以下二个问题：首先攻击方式正在动态变化，安全产品能够识别出来的安全事件类型也必须进一步细分，而且变更周期越来越短，导致程序代码频繁更新修改，造成应用系统不稳定性；其次对关系数据库支持比较单一，无法同时支持多种关系数据库，从而无法满足复杂的客户生产环境，就算能满足也需要进行较多的定制化开发。采用动态入库方法可以很好解决上述问题，从而提高系统的灵活性、稳定性和扩展性。

当前，网络信息安全领域中既有来自于外部的入侵和攻击，也有来自内部的违规和泄露。常见的信息安全系统包括防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM等。但这些安全系统一般只能防堵来自某个特定方面的安全威胁，不具备协同效应。CN201010613751介绍了一种能够避免形成安全孤岛的网络安全事件关联分析系统，但只是提出了该系统的架构模型，对于网络安全事件的采集、关联分析的效率和准确性以及系统操作等方面都有进一步提升的空间。

技术实现要素：

针对上述提到的现有技术中的数据库安全问题，本发明提供一种数据库安全事件的管理方法及分析系统，用以实现具有较低的安全告警延迟、且具有较高的安全监控性能的安全事件管理及安全分析。

本发明解决其技术问题采用的技术方案是：一种数据库安全事件的管理方法，管理方法包括下述步骤：

步骤1，服务器向用于采集安全事件的代理发送安全事件格式化标准，以使代理根据安全事件格式化标准对采集的安全事件进行格式化；

步骤2，Server从Agent获取经格式化的安全事件，对安全事件进行关联分析并产生安全告警。

一种实现如上述的数据库安全事件的管理方法的分析系统，分析系统包括数据采集层、集群数据库系统、分析决策层和界面显示层，数据采集层、集群数据库系统、分析决策层和界面显示层通过有线或无线网络连接。

本发明解决其技术问题采用的技术方案进一步还包括：

所述的步骤1包括下述子步骤：

步骤1A，Sever定制一套或多套安全事件格式化字段集，并根据安全事件格式化字段生成用于表征安全事件格式化标准的安全事件格式化插件；

步骤1B，Sever部署Agent时，根据Agent需要采集的设备类型，向Agent下发与设备类型相对应的安全事件格式化插件，其中，一类设备类型可对应一个插件，一个Agent可采集多种类型的安全事件，且不同类型的Agent可采集不同类型的安全事件；

步骤1C，Agent接收到安全事件格式化插件后，将其存放至本地磁盘；

步骤1D，Agent通过简单网络管理协议、Syslog协议、FILE协议、开放数据库互联、可扩展标识语言或文件传输协议的方式采集到不同厂家、不同类型的网络安全设备和系统的安全事件；

步骤1E，Agent采集到安全事件后，依据步骤1C中接收到的安全事件格式化插件对步骤1D中采集到的安全事件进行格式化；

步骤1F，Agent将格式化后的安全事件发送至Server。

所述的步骤2包括下述子步骤：

步骤2A，Server接收到安全事件后，将安全事件存储至数据库中；

步骤2B，Server进行关联分析时，根据关联规则设定的事件类型，从数据库中读取相应的安全事件，然后进行关联分析处理，生成安全告警事件，并将安全告警事件发送至安全告警展示界面；

步骤2C，Web接收安全告警事件并显示该安全告警事件。

所述的数据采集层包括多个状态采集设备、多个网络数据包采集设备和封装处理器，状态采集设备，实现为传感器或自动化仪表采集参数，网络数据包采集设备，实现为运行监控脚本，包括但不仅限于安装在服务器上的监控脚本，封装处理器，用于将状态采集设备和网络数据包采集设备所获取的网络安全事件数据进行预处理和封装，并将封装好的网络安全事件数据传至决策层。

所述的分析决策层包括关联分析模块和关联分析策略模块，关联分析模块用于分析数据采集层的封装处理器传输来的实时安全事件和安全事件样本数据所存储的样本安全事件之间的关联度，关联分析策略模块用于操作操作关联分析策略数据库。

本发明的有益效果是：根据本发明的安全事件管理方法、服务器、代理及安全管理平台，通过由服务器将安全事件格式化标准下发给代理，由采集安全事件的代理根据安全事件格式化标准对安全事件进行格式化，避免了由服务器对全部安全事件进行格式化所造成的安全告警延迟的问题，极大地提高了安全监控性能；而且当包含多台服务器时，还能够避免由不同的服务器对相同的安全事件进行多次格式化处理的问题，实现了一次格式化、多次应用，提高了监控效率，及时发现安全风险，极大提高了整体安全管理平台的性能。

下面将结合附图和具体实施方式对本发明做进一步说明。

附图说明

图1为本发明安全事件管理方法的流程图。

图2为本发明的分析系统方框图。

具体实施方式

本实施例为本发明优选实施方式，其他凡其原理和基本结构与本实施例相同或近似的，均在本发明保护范围之内。

请参看附图1，本发明中的安全事件管理方法包括下述步骤：

步骤1，服务器向用于采集安全事件的代理发送安全事件格式化标准，以使代理根据安全事件格式化标准对采集的安全事件进行格式化；

本实施例中，具体地，上述步骤1例如通过以下步骤实现：

步骤1A，Sever定制一套或多套安全事件格式化字段集，并根据安全事件格式化字段生成用于表征安全事件格式化标准的安全事件格式化插件。安全事件格式化标准用于将各种不同格式的安全事件统一为Server可识别的事件格式，以便Server对安全事件进行关联分析。其中，安全事件格式化插件是采用特定的语言、特定的格式、用于对安全事件进行格式化的语句的集合，例如，在数据结构中预先定义一个标识插件的ID号，该ID号和安全事件格式化插件ID号相同，例如123，一类设备的安全事件的识别语句可组合一个插件，多种类型的设备安全事件可按统一标准格式化，也可按不同标准格式化，并且每一个安全事件格式化插件只使用一套字段集，且多个安全事件格式化插件可共用一套字段集；

步骤1B，Sever部署Agent时，根据Agent需要采集的设备类型，向Agent下发与设备类型相对应的安全事件格式化插件，其中，一类设备类型可对应一个插件，一个Agent可采集多种类型的安全事件，且不同类型的Agent可采集不同类型的安全事件；例如与同一Server连接的多个不同的Agent分别采集以下安全事件：第一Agent采集边界和网络安全的安全事件，例如包括防火墙/虚拟专用网，路由器和交换器，网络入侵检测/入侵防御设备；第二Agent采集桌面、网关和服务器安全的安全事件，例如包括防病毒、间谍软件，广告软件，邮件和插件安全，反垃圾邮件和内容，服务器、主机入侵检测和防火墙；第三Agent采集策略贯彻和漏洞管理的安全事件，例如包括主机和网络策略协议，主机和网络漏洞，及资产发现；第四Agent采集其他应用的安全事件，例如包括Web应用，邮件和业务应用。

步骤1C，Agent接收到安全事件格式化插件后，将其存放至本地磁盘；

步骤1D，Agent通过简单网络管理协议(SimpleNetworkManagementProtocol，SNMP)、Syslog协议、其中，Syslog协议是一种工业标准的协议，允许一个设备通过IP网络把通告信息传递给事件信息接收者，另外，可以采用的协议还包括有FILE协议、开放数据库互联(OpenDatabaseConnectivity，ODBC)、可扩展标识语言(ExtensibleMarkupLanguage，XML)和文件传输协议(FileTransferProtocol，FTP)等方式，以便于Agent采集到不同厂家、不同类型的网络安全设备和系统的安全事件；

步骤1E，Agent采集到安全事件后，依据步骤1C中接收到的安全事件格式化插件对步骤1D中采集到的安全事件进行格式化；

步骤1F，Agent将格式化后的安全事件发送至Server。

步骤2，Server从Agent获取经格式化的安全事件，对安全事件进行关联分析并产生安全告警。

具体地，上述步骤2例如通过以下步骤实现：

步骤2A，Server接收到安全事件后，将安全事件存储至数据库中；

步骤2B，Server进行关联分析时，根据关联规则设定的事件类型，从数据库中读取相应的安全事件，然后进行关联分析处理，生成安全告警事件，并将安全告警事件发送至安全告警展示界面(Web)，例如为浏览器；

步骤2C，Web接收安全告警事件并显示该安全告警事件，Web还可提供查询界面，以根据输入的查询条件检索历史安全告警事件并显示。

根据上述实施例的安全事件管理方法，通过由Server将安全事件格式化标准下发至Agent，由Agent根据安全事件格式化标准对采集的安全事件进行格式化，并将格式化后的安全事件发送至Server，以由Server进行关联分析、产生安全告警，避免了由Server对全部安全事件进行格式化所造成的安全告警延迟的问题，极大地提高了安全监控性能；而且当包含多台Server时，还能够避免由不同的Server对相同的安全事件进行多次格式化处理的问题，实现了一次格式化、多次应用，提高了监控效率，及时发现安全风险，极大提高了整体安全管理平台的性能。

本实施例中，在上述实施例的安全事件管理方法中，Server从Agent获取经格式化的安全事件，对安全事件进行关联分析并产生安全告警的步骤包括：Server从代理获取经格式化的安全事件，将安全事件存储至预置的对应于安全事件格式化标准的数据库表中；Server根据设定的关联规则对应的安全事件类型，从与安全事件类型对应的数据库表中读取安全事件，进行关联分析，并生成安全告警事件；Server将安全告警事件发送至Web。

Server的数据库根据不同格式化字段集创建不同的数据库表，当Agent根据安全事件格式化插件对安全事件进行格式化时，为安全事件标记上对应于所依据的安全事件格式化插件的标识，所述标识作为安全事件的标识，以使Server接收到安全事件后，根据所述安全事件的标识，确定格式化该安全事件所使用的格式化插件，并将该安全事件存储到相应的数据库表中，即Server将使用不同字段集的格式化的安全事件存储到不同的数据库表中。当Server关联分析时，不需遍历所有数据库表，依据关联规则设定的事件类型，直接从相应的数据库表中读取事件。根据上述实施例的安全事件管理方法，由于为数据库分配对应于不同字段集的数据库表，将Server接收到的格式化后的安全事件存储到对应的数据库表中，从而使得在进行关联分析读取安全事件时，可以通过查找与进行关联分析所需的事件类型对应的数据库表、并读取数据库表中存储的安全事件，来获取进行关联分析所需的安全事件，而无需遍历所有数据库表，有利于提高读取安全事件的速度，从而提高SOC的关联分析性能。在上述实施例的安全事件管理方法中，Server从Agent获取经格式化的安全事件，将安全事件存储至预置的对应于安全事件格式化标准的数据库表中的步骤包括：Server从代理获取经格式化的安全事件，根据预置的、与代理对应的过滤规则和/或合并规则对安全事件进行过滤和/或合并；Server将经过滤或合并的安全事件存储至预置的对应于安全事件格式化标准的数据库表中。具体地，可根据用户的需要，针对从Agent接收的安全事件设置过滤规则和/或合并规则，以使得Server从Agent接收安全事件时，能够对用户不关注的安全事件进行过滤或对重复的安全事件进行合并。更具体地，该过滤规则例如为滤除源端口为某一指定端口的安全事件，该合并规则例如为对目的IP为某一指定IP的安全事件进行合并，即在展示安全事件时并不分别展示目的IP为该指定IP的多条安全事件，而仅展示一条安全事件并在该条安全事件后注明重复的次数。

每一个过滤或合并规则只对一个Agent有效，即各过滤规则或合并规则仅与一个Agent相对应，例如Server根据针对第一Agent设置的过滤规则和/或合并规则对从第一Agent接收的安全事件进行过滤和/或合并时，该过滤规则和/或合并规则并不适用于Server从第二Agent接收的安全事件。

在上述实施例的安全事件管理方法中，Server从Agent获取经格式化的安全事件，对安全事件进行关联分析并产生安全告警的步骤之前还包括：Server从Agent获取安全事件，若判断获知所获取的安全事件为未经格式化的安全事件(即携带有未经格式化的标识的安全事件)，则将安全事件存储至原始安全事件数据库表。具体地，数据库中除包含对应于各安全事件字段集的数据库表之外，还包含一个用于存储没有格式化的原始安全事件数据库表。当Agent采集到安全事件后，其根据安全事件类型查找相应的安全事件格式化插件，若找到相应的安全事件格式化插件，则依据上述实施例对安全事件进行格式化；若未找到相应的安全事件格式化插件，则不对该安全事件进行格式化，而是给该安全事件标记上未经格式化的标识，并将该携带有标识的安全事件发送至Server。其中，该未经格式化的标识可以为Agent与Server相约定的任意标识。一般的，对于未经格式化的标识，ID号默认为0。用于在Agent未对某个或某些安全事件进行格式化并发送至Server时，Server能够通过Agent在相应的安全事件上所标记的标识识别出该安全事件未经格式化。Server从Agent接收安全事件后，首先识别安全事件所携带的标识，若获知所接收的安全事件携带的标识为未经格式化的标识，则将该安全事件存储至原始安全事件数据库表中。通过检测存储在原始安全事件数据库表中的安全事件，可确定Agent中未包含的安全事件格式化插件或Server中未包含的安全事件格式化插件，从而对Server和Agent进行开发或更新。在上述实施例的安全事件管理方法中，数据库表中还可包含一个用于存储关联分析产生的安全告警的安全告警表。通过将产生的安全告警存储在安全告警表中，能够经由Web为用户提供安全告警查询服务。在上述实施例的安全事件管理方法中，Agent通常为多个，在大规模的网络环境中，Server的数量也可以为多个。

请参看附图2，本发明的网络安全事件关联分析系统，包括相互连接的数据采集层、集群数据库系统、分析决策层和界面显示层。连接方式可以为以太网线、数据线、光纤等有线形式连接，也可以使用包括WIFI在内的无线方式连接。

数据采集层主要包括多个状态采集设备、多个网络数据包采集设备和封装处理器。状态采集设备，主要实现为传感器或自动化仪表，包括但不仅限于部署在以太网接口的传感器，可以采集以太网口的网络速度、带宽；部署在远程网络安全设备、网络设备、主机服务器I/O口的自动化仪表，可以采集远程设备的主板电压、电流等性能参数。网络数据包采集设备，主要实现为运行监控脚本，包括但不仅限于安装在服务器上的监控脚本，实时监测服务器的CPU使用率、内存使用率、硬盘使用率、磁盘IO速度、缓冲区大小、线程数量、队列长度等性能参数。封装处理器，用于将状态采集设备和网络数据包采集设备所获取的网络安全事件数据进行预处理和封装，并将封装好的网络安全事件数据传至决策层。对采集设备所采集到的数据进行预处理包括但不限于剔除明显错误的数据、设定采集设备分类标志，规范时间等操作。封装处理器的封装操作通过简单的封装协议进行。封装协议包括数据包头和采集数据两个部分。数据包头包括三组内容：第一组为采集设备分类标志码，1bit，用以区分状态采集设备和网络数据包采集设备；第二组表示采集数据的时间，精确到秒，8Byte，如果数据采集层采集的数据时间精确到毫秒，则封装处理器在预处理时将其规范化为秒；第三部分表示数据来源设备的MAC地址。由于状态采集设备和网络数据包采集设备分布在整个网络中，因此封装处理器被设计为支持TCP/IP、HTTP、FTP、UDP、蓝牙、802.11等多种网络传输协议，从而能够完成和状态采集设备、网络数据包采集设备的交互，避免异构网络造成的信息传输隔阂。另外，由于封装处理器对网络事件数据进行了封装，因此也简化了分析决策层，使之不必处理各种网络协议，决策效率更加高效。

集群数据库系统包括监控数据库、关联分析策略数据库、关联分析结果数据库、安全事件样本数据库。监控数据库用于存储数据采集层所采集到的性能参数相关的数据，例如状态采集设备所采集的主板电压、电流等性能参数，网络数据包采集设备采集的CPU使用率、内存使用率、硬盘使用率、磁盘IO速度、缓冲区大小、线程数量、队列长度等性能参数。关联分析策略数据库220用于存储用来进行关联分析的策略，分为固定策略和用户配置策略两部分。关联分析结果数据库用于存储关联分析的历史结果，包括判定为有关联的报警安全事件、绿色安全事件和最新三天内分析的安全事件。安全事件样本数据库用于存储样本报警安全事件和样本绿色安全事件的名称、安全事件的性能参数，包括但不仅限于网速、带宽、CPU使用率、内存使用率、硬盘空间使用率、磁盘IO速度、缓冲区大小、线程数量、队列长度等。

分析决策层包括关联分析模块和关联分析策略模块。关联分析模块用于分析数据采集层的封装处理器传输来的实时安全事件和安全事件样本数据所存储的样本安全事件之间的关联度。关联分析策略模块用于操作操作关联分析策略数据库，包括关联分析策略导入、配置、修改、保存等功能。