1.本发明涉及计算机网络安全
技术领域:
:,具体为一种基于五加一元组日志溯源业务数据安全事件方法及系统。
背景技术:
::2.在企业网中,应用分为两大类:一类是基础设施应用,比如,交换机服务,路由器服务,防火墙服务,dhcp服务,企业用户登录认证服务,等等。这一类应用主要确保网络服务的可用性和可靠性;和另一类企业业务应用,比如文件服务系统,电子邮件系统,oa系统,数据库系统,等等。这一类应用主要关注企业业务逻辑和业务数据。3.根据上述分类,基础设施应用主要是保证网络链接和运行,企业业务应用主要是进行企业业务逻辑和数据处理。因此企业数据安全事故都与企业业务应用有关。事实上,企业数据安全事故溯源都很容易追溯到特定的企业应用和设备的源ip上。一旦知道了数据安全事件的内容,就知道数据来自哪个企业应用。在那个企业应用的日志里找出与其事件有关的日志,每条日志里都会有事件的源ip信息。4.但是,要想找出与安全数据事件有关的企业用户,这个溯源任务就艰巨了。企业目前安全数据事件溯源都是依赖专业的siem软件。siem软件系统必须处理海量日志来解决各种事件时间同步的问题才能关联到企业用户。因此,siem系统即庞大又昂贵。技术实现要素:5.本发明的目的在于提供一种基于五加一元组日志溯源业务数据安全事件方法及系统,以解决上述
背景技术:
:中提出的问题。6.为实现上述目的,本发明提供如下技术方案:7.一种基于五加一元组日志溯源业务数据安全事件方法,包括:8.构建实时源ip与企业用户名对应关系;9.实时处理基础设施应用流量时额外提取企业用户信息;10.实时处理业务应用流量时额外增加企业用户信息;11.安全事件溯源,输出结果。12.优选的,构建实时源ip与企业用户名对应关采用通过搭建key-value数据库,用于插入和查询源ip到企业用户的对应关系。13.优选的,构建实时源ip与企业用户名对应关采用使用哈希映射表来储存实时源ip和企业用户名的对应关系,其中源ip是key,用户名是value,根据源ip用于找到用户名。14.优选的,实时处理基础设施应用流量时额外提取企业用户信息包括实时采集企业的认证流量以收集企业的员工上网认证日志,包括windows域认证服务流量和日志,把其中的源ip和用户名信息提取出来插入到搭建的数据库。15.优选的,实时处理业务应用流量时额外增加企业用户信息包括:日志收集、日志加工以及日志储存。16.优选的,日志收集包括:17.从业务流量里采集业务的事件日志;18.日志加工包括用原始事件日志里的源ip作为关键值通过搭建的数据库获取企业用户信息,并把企业用户信息填加到日志内容里,把常见五元组日志变为五加一元组日志,19.日志储存包括把加工好的五加一元组日志储存到统一的日志数据库。20.优选的,当某一个具体的安全产品报出安全事件时,根据其五元组信息到五加一元组日志数据库查询相关日志找到对应的企业员工。21.为实现上述目的,本发明还提供如下技术方案:22.一种基于五加一元组日志溯源业务数据安全事件系统,包括:23.构建模块,用于构建实时源ip与企业用户名对应关系;24.提取模块,用于实时处理基础设施应用流量时额外提取企业用户信息;25.增加模块,用于实时处理业务应用流量时额外增加企业用户信息;以及26.溯源模块,用于安全事件溯源,输出结果。27.与现有技术相比,本发明的有益效果是:28.每个业务日志相对独立,溯源时不需要其它日志支持。业务安全事故溯源到企业用户快速准确,一步到位。企业用户关联利用实时时间同步原理,不像siem产品需要用复杂算法来做时间同步。企业用户关联采用现代边缘计算理论,在采集器上进行。这样的结果是,企业用户关联只计算一次,不像siem产品那样对每一个安全事件都要重新做一次关联计算。利用企业业务系统的五加一元组日志快速准确地把业务安全事件溯源到企业用户头上。附图说明29.图1为本发明的方法框图;30.图2为本发明的系统框图。具体实施方式31.下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。32.实施例:33.请参阅图1至图2,本发明提供一种技术方案:34.本发明是使用网络数据采集器5+1元组日志溯源业务数据安全事件的方法,解决了:在网络业务安全事故溯源时,基于业务系统的五元组日志,要想从事故对应的日志追溯到企业员工,是件非常复杂费时的工作。目前企业主要借助昂贵的siem产品来实现。本发明从数据采集器入手,在采集业务应用网络五元组数据时,利用企业基础设施的流量帮助,实时把业务日志关联到企业用户上,转换成5+1元组数据信息,为后续企业安全事件溯源到企业用户提供简单快捷的分析手段。35.本发明利用采集器实时处理流量来解决各种事件时间同步的问题。利用实时的特性保证多个系统事件之间的时间同步,同时记载谁是哪个源ip上的企业用户。36.其次,在采集到业务流量的五元组等信息后,在输出业务日志的过程中,把当时此五元组里源ip所对应的企业用户信息插入到日志里再输出。这样,企业业务日志除原来的五元组信息,也包含了企业用户信息。37.在业务数据事故溯源时,用事件内容很快就可以找出与事故相关的业务日志,日志里不仅包括源ip,还直接包含有企业用户的信息,根本不需要使用siem使用来溯源找出企业用户了。38.在针对网络业务日志是基于业务流量的五元组信息和事件内容,在日志里没有企业用户信息。这给后续的安全事件溯源定位到企业用户头上带来很多问题,不仅费时,而且需要复杂的专业溯源工具(比如siem软件)。这是因为这些专业溯源软件必须在海量的日志里把不同时间的基础设施应用日志和企业业务应用日志进行同步处理才能通过设备源ip准确地把企业用户关联到业务系统的日志上。本发明的目的是采用边缘计算理念,把在siem平台上离线关联的计算在采集器上实时进行,让网络业务日志直接包括企业用户信息,大大地简化了后续安全事件溯源的复杂程度。当出现业务数据安全事件后,不使用复杂工具也可以快速准确地把安全事故定位到企业用户头上。39.本发明的核心是在采集器上检测业务流量时产生一种“混合”日志,日志的内容不仅有来自业务流量的信息,还包括业务流量以外的信息。40.采集器实时处理的流量分为基础设施应用流量和企业应用流量,和传统采集器不同的是采集器需要对不同的流量做些额外的不同处理。41.包括步骤如下:42.s101、构建实时源ip与企业用户名对应关系;43.s102、实时处理基础设施应用流量时额外提取企业用户信息;44.s103、实时处理业务应用流量时额外增加企业用户信息;45.s104、安全事件溯源,输出结果。46.具体的:47.1.实时源ip与企业用户对应表48.搭建一个高性能的key-value数据库,能够满足快速的插入和查询源ip到企业用户的对应关系,比如redis数据库。49.也可以自己写代码实现,推荐在内存里使用哈希映射表(hashtable)来储存实时源ip和企业用户名的对应关系。50.其中源ip是key,用户名是value。根据源ip可以高效的找到用户名。51.key-value数据库具体搭建的步骤如下:52.以linux平台安装redis为例:53.1.1下载源代码54.wgethttp://download.redis.io/redis-stable.tar.gz55.1.2解压源代码56.tarxvzfredis-stable.tar.gz57.1.3编译58.cdredis-stable;make59.1.4安装60.sudomakeinstall61.2.采集器110实时处理基础设施应用流量时额外提取企业用户信息62.实时采集企业的认证流量以收集企业的员工上网认证日志,比如常见的windows域认证服务流量和日志,把其中的源ip和用户名信息提取出来插入到步骤1建的数据库。63.具体步骤如下:64.2.1在windows域服务器上安装winlogbeat,提取用户登录日志;65.2.2另外找一台linux服务器安装logstash软件,接收步骤2.1提取到的日志,并从中提取源ip和用户名,然后以key-》value的形式写入redis数据库。66.3.采集器110实时处理业务应用流量时额外增加企业用户信息67.分为三部分:68.a)日志收集:从业务流量里采集业务的事件日志;69.b)日志加工;用原始事件日志里的源ip作为关键值(key)通过步骤1里的数据库获取企业用户信息,并把企业用户信息填加到日志内容里。把常见五元组日志变为5+1元组日志,70.c)日志储存;把加工好的5+1元组日志储存到统一的日志数据库。71.其中,b)中,企业用户信息填加到日志内容里具体如下:72.把五元组日志[0073]”源ip,源port,目的ip,目的port,协议,其它信息”[0074]变为:[0075]”源ip,源port,目的ip,目的port,协议,用户,其它信息”。[0076]4.安全事件溯源[0077]当某一个具体的安全产品报出安全事件时,根据其五元组信息到5+1元组日志数据库查询相关日志找到对应的企业员工。[0078]本发明,利用边缘计算理念实时产生企业业务系统的5+1元组日志。利用企业业务系统的5+1元组日志快速准确地把业务安全事件溯源到企业用户头上。[0079]本发明,每个业务日志相对独立,溯源时不需要其它日志支持。业务安全事故溯源到企业用户快速准确,一步到位。企业用户关联利用实时时间同步原理,不像siem产品需要用复杂算法来做时间同步。企业用户关联采用现代边缘计算理论,在采集器上进行。这样的结果是,企业用户关联只计算一次,不像siem产品那样对每一个安全事件都要重新做一次关联计算。[0080]本发明,业务数据安全事故发生后溯源时,首先用安全事件数据性质把业务锁定,比如,医疗病人隐私数量泄露,这样就知道要调用哪个业务洗头的日志了。然后根据事件内容和事件发生时间,找出对应的安全事件日志。一旦找到具体日志,企业用户信息已在日志里面,不需要任何额外的工作就完成把业务安全事件溯源到企业用户头上。[0081]比如,我们根据上面所描述的办法在企业业务日志里找到了类似下面的日志,我们就知道这个数据安全事件所涉及的企业用户是“mike”,数据量大小约为5mb。找到事件日志就完成了溯源关联到企业用户,整个溯源过程不需要再做任何额外关联计算。日志如下:[0082]《117》jul1816:32:5810.0.1.11hf:[src_ip=“1.1.1.1”,[0083]src_port=“25000”,dest_ip=“2.2.2.2”,dest_port=“80”,protocol=“6”,user=“mike”,timestamp=“20210718163258988000”,event=“session_end”,size=“5000000”,…][0084]本发明,其余未叙述部分均可与现有技术相同、或为公知技术或可采用现有技术加以实现,此处不再详述。[0085]尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。当前第1页12当前第1页12