技术特征:
1.一种基于五加一元组日志溯源业务数据安全事件方法,其特征在于,包括:构建实时源ip与企业用户名对应关系;实时处理基础设施应用流量时额外提取企业用户信息;实时处理业务应用流量时额外增加企业用户信息;安全事件溯源,输出结果。2.根据权利要求1所述的一种基于五加一元组日志溯源业务数据安全事件方法,其特征在于,构建实时源ip与企业用户名对应关采用通过搭建key-value数据库,用于插入和查询源ip到企业用户的对应关系。3.根据权利要求1所述的一种基于五加一元组日志溯源业务数据安全事件方法,其特征在于,构建实时源ip与企业用户名对应关采用使用哈希映射表来储存实时源ip和企业用户名的对应关系,其中源ip是key,用户名是value,根据源ip用于找到用户名。4.根据权利要求2所述的一种基于五加一元组日志溯源业务数据安全事件方法,其特征在于,实时处理基础设施应用流量时额外提取企业用户信息包括实时采集企业的认证流量以收集企业的员工上网认证日志,包括windows域认证服务流量和日志,把其中的源ip和用户名信息提取出来插入到搭建的数据库。5.根据权利要求2所述的一种基于五加一元组日志溯源业务数据安全事件方法,其特征在于,实时处理业务应用流量时额外增加企业用户信息包括:日志收集、日志加工以及日志储存。6.根据权利要求5所述的一种基于五加一元组日志溯源业务数据安全事件方法,其特征在于,日志收集包括:从业务流量里采集业务的事件日志;日志加工包括用原始事件日志里的源ip作为关键值通过搭建的数据库获取企业用户信息,并把企业用户信息填加到日志内容里,把常见五元组日志变为五加一元组日志,日志储存包括把加工好的五加一元组日志储存到统一的日志数据库。7.根据权利要求1所述的一种基于五加一元组日志溯源业务数据安全事件方法,其特征在于,当某一个具体的安全产品报出安全事件时,根据其五元组信息到五加一元组日志数据库查询相关日志找到对应的企业员工。8.一种基于五加一元组日志溯源业务数据安全事件系统,其特征在于,包括:构建模块,用于构建实时源ip与企业用户名对应关系;提取模块,用于实时处理基础设施应用流量时额外提取企业用户信息;增加模块,用于实时处理业务应用流量时额外增加企业用户信息;以及溯源模块,用于安全事件溯源,输出结果。
技术总结
本发明提供一种基于五加一元组日志溯源业务数据安全事件方法和系统,包括:构建实时源IP与企业用户名对应关系;实时处理基础设施应用流量时额外提取企业用户信息;实时处理业务应用流量时额外增加企业用户信息;安全事件溯源,输出结果。本发明,每个业务日志相对独立,溯源时不需要其它日志支持。业务安全事故溯源到企业用户快速准确,一步到位。企业用户关联利用实时时间同步原理,不像SIEM产品需要用复杂算法来做时间同步。企业用户关联采用现代边缘计算理论,在采集器上进行。这样的结果是,企业用户关联只计算一次,不像SIEM产品那样对每一个安全事件都要重新做一次关联计算。能快速准确地把业务安全事件溯源到企业用户头上。头上。头上。
技术研发人员:成春庆
受保护的技术使用者:合肥全息网御科技有限公司
技术研发日:2021.12.14
技术公布日:2022/3/18