本发明涉及网络安全技术领域,特别涉及一种SSR上主动防御日志告警方法。
背景技术:
网络安全愈加受到重视,主动防御是SSR(Server Security Reinforcement,操作系统安全增强系统)保护客户端操作系统的一个重要安全模块。在SSR集中管理平台系统中,对主动防御的检测结果有一个直观的了解,既有利于网络的管理,又有利与网络安全的防御,后者尤为重要。
主动防御功能可以及时发现客户端上进行的非法操作,比如对限定读写操作的文件进行读写操作,打开禁止的进程等。这些操作都是病毒木马发生的常见动作,及时识别发现主动防御违规日志对安全管理有极重要的影响。但当管理员管理大量客户端时,仅仅通过主动防御模块本身提供的状态浏览功能还不够便利。主动防御告警能及时通知管理员某台客户端主动防御项违规过多,使管理员能够及时了解主动防御状态并修复问题。可见,主动防御告警功能对SSR是极为重要的。
为了解决主动防御日志频繁触发且告警配置中有对时间的配置和告警等级的配置的情况下,如何触发告警的问题,本发明提出了一种SSR上主动防御日志告警方法。
技术实现要素:
本发明为了弥补现有技术的缺陷,提供了一种简单高效的SSR上主动防御日志告警方法。
本发明是通过如下技术方案实现的:
一种SSR上主动防御日志告警方法,其特征在于:结合SSR的特点利用客户端生成主动防御违规日志,并对主动防御违规日志进行解析得到违规数量和违规时间,记录到客户端的告警数据缓存中,告警模块依据主动防御告警策略定时进行实时告警判断,发出告警信息;所述告警判断依据除了数量还有时间点,记录了时间点-数量这样的键值对,进行告警判断时对时间点-数量键值对的集合进行判断,使告警条件满足一定时间范围内的要求。
在SSR集中管理平台中通过主动防御告警策略设置主动防御告警阈值;通过Agent实现主动防御功能,当在客户端的操作触发主动防御规则时会生成主动防御违规日志发送到SSR集中管理平台,SSR集中管理平台接收到主动防御违规日志后,对其进行解析得到违规数量和违规时间,记录到客户端的告警数据缓存中;另有一定时任务,告警模块依据主动防御告警策略定时将告警数据缓存与内存中记录的主动防御告警阈值进行比较,产生告警。
所述告警模块分为三部分:第一部分是告警策略设置,对每一个客户端设置主动防御告警条件,告警条件分为高、中、低三个等级;第二部分是,收到主动防御违规日志解析的数据后,在内存中累计客户端的违规日志告警数据,安装时间、数量键值对记录,以时间降序排序;第三部分是告警判断,判断条件是一个时间段内数量超过多少,先通过这个时间段得到一个临界时间点,再从内存中记录的数据中统计时间大于或等于临界时间点的数量和,最后用所述数量和与判断条件中的数量做比较,数量和大于或等于判断条件中的数量时产生告警;当产生告警条件中的高级违规日志告警时,SSR集中管理平台会清空之前累计的数据,产生中级和低级告警时,则不清除。
所述告警模块通过日志和邮件两种方式发出告警信息。
本发明的有益效果是:该SSR上主动防御日志告警方法,解决了主动防御日志频繁触发且告警配置中有对时间的配置和告警等级的配置的情况下,如何触发告警的问题,使管理员能够及时了解主动防御状态并修复问题。
附图说明
附图1为本发明SSR上主动防御日志告警方法示意图。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图和实施例,对本发明进行详细的说明。应当说明的是,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
该SSR上主动防御日志告警方法,结合SSR的特点利用客户端生成主动防御违规日志,并对主动防御违规日志进行解析得到违规数量和违规时间,记录到客户端的告警数据缓存中,告警模块依据主动防御告警策略定时进行实时告警判断,发出告警信息;所述告警判断依据除了数量还有时间点,记录了时间点-数量这样的键值对,进行告警判断时对时间点-数量键值对的集合进行判断,使告警条件满足一定时间范围内的要求。
在SSR集中管理平台中通过主动防御告警策略设置主动防御告警阈值;通过Agent实现主动防御功能,当在客户端的操作触发主动防御规则时会生成主动防御违规日志发送到SSR集中管理平台,SSR集中管理平台接收到主动防御违规日志后,对其进行解析得到违规数量和违规时间,记录到客户端的告警数据缓存中;另有一定时任务,告警模块依据主动防御告警策略定时将告警数据缓存与内存中记录的主动防御告警阈值进行比较,产生告警。
所述告警模块分为三部分:第一部分是告警策略设置,对每一个客户端设置主动防御告警条件,告警条件分为高、中、低三个等级;
例如高级告警条件示例为:在10分钟内,主动防御违规日志达到10条告警。
中级告警条件示例为:在10分钟内,主动防御违规日志达到6条告警。
低级告警条件示例为:在10分钟内,主动防御违规日志达到3条告警。
第二部分是,收到主动防御违规日志解析的数据后,在内存中累计客户端的违规日志告警数据,安装时间、数量键值对记录,以时间降序排序;
第三部分是告警判断,判断条件是一个时间段内数量超过多少,先通过这个时间段得到一个临界时间点(例如一个小时内,测用当天时间的时间戳减去一个小时的秒数,得到一个临界时间点),再从内存中记录的数据中统计时间大于或等于临界时间点的数量和,最后用所述数量和与判断条件中的数量做比较,数量和大于或等于判断条件中的数量时产生告警。
当产生告警条件中的高级违规日志告警时,SSR集中管理平台会清空之前累计的数据,产生中级和低级告警时,则不清除。
所述告警模块通过日志和邮件两种方式发出告警信息。日志告警是肯定是触发的,既有提示的作用,也有保存告警记录的作用。邮件告警需要在告警策略中进行配置,当触发告警时通过邮件给谁发送告警邮件。邮件告警提示性更高,可关闭。