一种安全配置变更检测方法和装置与流程

本发明涉及网络安全领域，具体涉及一种安全配置变更检测方法和装置。

背景技术：

随着网络的开放性、互联性、共享程度的扩大，企业越来越依赖信息和网络技术，随着网络安全威胁越来越大而单一的安全技术或安全设备无法满足网络对安全的要求，企业对网络安全的部署变得日趋复杂，而安全设备产品种类繁多，搭建环境具有多样性，而设备上的策略配置愈趋繁琐，这对技术人员的水平要求很高，而往往很多企业的技术人员没有足够的安全领域相关知识，导致在安全设备上进行的配置存在诸多隐患。

Skybox Security调查发现，58％企业在他们的NGFW(Next Generation Firewall，下一代防火墙)上部署了100条以上的规则，而35％的公司每月执行100次以上变更，频繁变更易导致配置错误。据Gartner统计，99％的防火墙安全事件均是由防火墙的配置错误而引起。企业需要一种自动检测安全设备配置变更的方法，将技术和管理有机的结合起来，对网络安全进行统一管理和控制，提高整体安全水平。

现有的配置变更技术只有针对变更的可行性给出核查方法，缺少对该变更行为的实时检测。

技术实现要素：

本发明提供一种安全配置变更检测方法和装置，能够实现安全配置变更的自动化检测。

为了实现上述发明目的，本发明采取的技术方案如下：

一种安全配置变更检测方法，包括：

对获取的日志内容进行筛选，获得符合变更范畴的第一日志内容；

对符合变更范畴的第一日志内容提取配置变更的第二日志内容；

针对配置变更的第二日志内容中的变更内容，依据配置核查条目检测变更后的配置的遵从程度，确定配置核查结果。

进一步地，对获取的日志内容进行筛选包括：

根据日志等级分类筛选所述日志内容；或者，根据时间排序分类筛选所述日志内容。

进一步地，根据日志等级分类筛选所述日志内容包括：

获取所述日志内容对应的日志信息列表中日志等级；

根据配置变更内容所属的日志等级筛选出配置变更内容所属的日志等级对应的日志内容。

进一步地，根据时间排序分类筛选所述日志内容包括：

获取所述日志内容对应的日志信息列表中日志记录的时间；

筛选出日志记录的时间在预设变更时间范围内的日志内容。

进一步地，对符合变更范畴的第一日志内容提取配置变更的第二日志内容包括：

将所述第一日志内容或所述第一日志内容中的描述内容与关键字列表或者关键字段列表进行匹配，当所述第一日志内容或所述第一日志内容中的描述内容存在关键字列表或者关键字段列表中的元素，则确定所述第一日志内容存在配置变更。

为解决上述技术问题，本发明还提供一种安全配置变更检测装置，包括：

日志筛选模块，用于对获取的日志内容进行筛选，获得符合变更范畴的第一日志内容；

变更模块，用于对符合变更范畴的第一日志内容提取配置变更的第二日志内容；

安全策略管控模块，用于针对配置变更的第二日志内容中的变更内容，依据配置核查条目检测变更后的配置的遵从程度，确定配置核查结果

优选地，所述日志筛选模块包括：

等级筛选单元，用于根据日志等级分类筛选所述日志内容；或者，

时间筛选单元，用于根据时间排序分类筛选所述日志内容。

优选地，所述等级筛选单元根据日志等级分类筛选所述日志内容是指：

获取所述日志内容对应的日志信息列表中日志等级；

根据配置变更内容所属的日志等级筛选出配置变更内容所属的日志等级对应的日志内容。

优选地，所述时间筛选单元根据时间排序分类筛选所述日志内容是指：

获取所述日志内容对应的日志信息列表中日志记录的时间；

筛选出日志记录时间在预设变更时间范围内的日志内容。

优选地，所述变更模块对符合变更范畴的第一日志内容提取配置变更的第二日志内容是指：

将所述第一日志内容或所述第一日志内容中的描述内容与关键字列表或者关键字段列表进行匹配，当所述第一日志内容或所述第一日志内容中的描述内容存在关键字列表或者关键字段列表中的元素，则确定所述第一日志内容存在配置变更。

本发明和现有技术相比，具有如下有益效果：

本发明提供的安全配置变更检测方法和装置，通过对设备上的日志记录进行详细分析来判断是否有变更行为，在安全配置频繁变更的情况下做到不影响企业安全。

附图说明

图1是本发明实施例的一种安全配置变更检测方法的流程图；

图2是本发明实施例的一种安全配置变更检测装置的结构示意图；

图3是本发明实施例的支持Syslog日志服务器的变更自动检测方法的流程图；

图4是本发明实施例的支持直接接收日志的变更自动检测方法的流程 图；

图5是本发明实施例的支持提供建议的变更自动检测方法的流程图。

具体实施方式

为使本发明的发明目的、技术方案和有益效果更加清楚明了，下面结合附图对本发明的实施例进行说明，需要说明的是，在不冲突的情况下，本申请中的实施例和实施例中的特征可以相互任意组合。

如图1所示，本发明实施例提供一种安全配置变更检测方法，包括：

S101、对获取的日志内容进行筛选，获得符合变更范畴的第一日志内容；

S102、对符合变更范畴的第一日志内容提取配置变更的第二日志内容；

S103、针对配置变更的第二日志内容中的变更内容，依据配置核查条目检测变更后的配置的遵从程度，确定配置核查结果。

其中，日志内容既可以是直接从设备、装置或系统上获取到的日志信息，也可以是通过连接设备、装置或系统的Syslog日志服务器间接获取到的日志信息。

步骤S101中对获取的日志内容进行筛选可以根据诸如时间排序、日志等级等方法过滤掉不符合变更范畴的日志类型，以便进一步的变更内容识别：

根据日志等级分类筛选所述日志内容包括：

获取所述日志内容对应的日志信息列表中日志等级；

根据配置变更内容所属的日志等级筛选出配置变更内容所属的日志等级对应的日志内容。

根据时间排序分类筛选所述日志内容包括：

获取所述日志内容对应的日志信息列表中日志记录时间；

筛选出日志记录时间在预设变更时间范围内的日志内容。

根据日志等级分类筛选日志：以Juniper的防火墙为例，能够看到从防火墙设备上获取的日志信息列表的Level一列日志等级内容，等级分为Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging 八个等级，其中配置变更内容属于Notification等级，进行日志筛选的时候只需提取出Level等级为Notification的日志以供进一步筛选。

根据时间排序方式筛选日志：同样以Juniper的防火墙为例，根据从防火墙设备上获取的日志信息列表，这里可以将进行日志等级分类筛选后的信息进行进一步筛选，根据日志中的Date/Time一列内容，按时间进行逆序排序，提取30秒内的(可以根据需求或者实际情况而决定)所有日志，30秒之外的日志信息都丢弃，从而得到时间较新的所有日志信息。

步骤S102中对符合变更范畴的第一日志内容提取配置变更的第二日志内容包括：

将所述第一日志内容或所述第一日志内容中的描述内容与关键字列表或者关键字段列表进行匹配，当所述第一日志内容或所述第一日志内容中的描述内容存在关键字列表或者关键字段列表中的元素，则确定所述第一日志内容存在配置变更。

具体地，对上一步筛选完的日志进行进一步的识别，提取有关配置变更的日志内容，例如，可以根据配置变更中用到的关键字筛选日志，实现变更的精确定位。以Juniper防火墙为例，当发生配置变更时，日志信息中Description一列的内容里会有modified、added、changed等字段，需要提前分析出与变更相关的所有关键字，并将这些关键字存入关键字列表中。当得到筛选后的日志信息时，根据关键字列表中的元素去查找Description中是否存在，如果存在则认为识别到变更。

如图2所示，本发明实施例还提供一种安全配置变更检测装置，包括：

日志筛选模块210，用于对获取的日志内容进行筛选，获得符合变更范畴的第一日志内容；

变更模块220，用于对符合变更范畴的第一日志内容提取配置变更的第二日志内容；

安全策略管控模块230，用于针对配置变更的第二日志内容中的变更内容，依据配置核查条目检测变更后的配置的遵从程度，确定配置核查结果

所述日志筛选模块210包括：

等级筛选单元，用于根据日志等级分类筛选所述日志内容；或者，

时间筛选单元，用于根据时间排序分类筛选所述日志内容。

所述等级筛选单元根据日志等级分类筛选所述日志内容是指：

获取所述日志内容对应的日志信息列表中日志等级；

根据配置变更内容所属的日志等级筛选出配置变更内容所属的日志等级对应的日志内容。

所述时间筛选单元根据时间排序分类筛选所述日志内容是指：

获取所述日志内容对应的日志信息列表中日志记录时间；

筛选出日志记录时间在预设变更时间范围内的日志内容。

所述变更模块220对符合变更范畴的第一日志内容提取配置变更的第二日志内容是指：

将所述第一日志内容或所述第一日志内容中的描述内容与关键字列表或者关键字段列表进行匹配，当所述第一日志内容或所述第一日志内容中的描述内容存在关键字列表或者关键字段列表中的元素，则确定所述第一日志内容存在配置变更。

如果发现日志中存在配置变更行为，便自动发送变更核查请求并附带变更的具体内容，安全策略管控模块230响应该变更核查请求并进行配置核查。例如，安全策略管控模块230会将变更后的配置信息进行配置核查，该变更配置信息可以是新采集得来也可以是提前采集得来，选择配置核查库，依据配置核查条目检测变更后配置的遵从程度，生成配置核查结果。

实施例一

此实施例中，支持接收Syslog日志服务器发来的日志信息并进行变更识别检测，如图3所示。

Syslog日志服务器处理来自设备的日志信息流。例如，设备上需要提前配置好关联的Syslog日志服务器地址和端口号，启用并将日志吐给Syslog日志服务器；同样，Syslog日志服务器上也需要配置发送属性，将接收到设 备的日志信息流封装并发送给日志筛选模块210。

日志内容的筛选。将接收到的日志内容发送给日志筛选模块210，可以根据诸如时间排序、日志等级等方法过滤掉不符合变更范畴的日志类型，以便进一步的变更内容识别。例如：

1)根据日志等级分类筛选日志。以Juniper的防火墙为例，能够看到从防火墙设备上获取的日志信息列表的Level一列日志等级内容，等级分为Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging八个等级，其中配置变更内容属于Notification等级，进行日志筛选的时候只需提取出Level等级为Notification的日志以供进一步筛选。

2)根据时间排序方式筛选日志。同样以Juniper的防火墙为例，根据从防火墙设备上获取的日志信息列表，这里可以将进行日志等级分类筛选后的信息进行进一步筛选，根据日志中的Date/Time一列内容，按时间进行逆序排序，提取30秒内的(可以根据需求或者实际情况而决定)所有日志，30秒之外的日志信息都丢弃，从而得到时间较新的所有日志信息。

变更内容识别。对上一步筛选完的日志进行进一步的识别，提取有关配置变更的日志内容，例如，可以根据配置变更中用到的关键字筛选日志，实现变更的精确定位。以Juniper防火墙为例，当发生配置变更时，日志信息中Description一列的内容里会有modified、added、changed等字段，需要提前分析出与变更相关的所有关键字，并将这些关键字存入关键字列表中。当得到筛选后的日志信息时，根据关键字列表中的元素去查找Description中是否存在，如果存在则认为识别到变更。

自动配置核查。如果发现日志中存在配置变更行为，便自动发送变更核查请求并附带变更的具体内容，安全策略管控模块230响应该变更核查请求并进行配置核查。例如，安全策略管控模块230会将变更后的配置信息进行配置核查，该变更配置信息可以是新采集得来也可以是提前采集得来，选择配置核查库，依据配置核查条目检测变更后配置的遵从程度，生成配置核查结果。

实施例二

此实施例中，支持直接接收日志的变更自动检测方法，如图4所示。

处理来自设备的日志信息流。例如，设备上需要提前配置好日志传输地址和端口号为管控设备，启用并将日志吐给管控设备，管控设备将接收到设备的日志信息流解析并发送给日志筛选模块210。

日志内容的筛选。将接收到的日志内容发送给日志筛选模块210，可以根据诸如时间排序、日志等级等方法过滤掉不符合变更范畴的日志类型，以便进一步的变更内容识别。例如：

1)根据日志等级分类筛选日志。以Juniper的防火墙为例，能够看到从防火墙设备上获取的日志信息列表的Level一列日志等级内容，等级分为Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging八个等级，其中配置变更内容属于Notification等级，进行日志筛选的时候只需提取出Level等级为Notification的日志以供进一步筛选。

2)根据时间排序方式筛选日志。同样以Juniper的防火墙为例，根据从防火墙设备上获取的日志信息列表，这里可以将进行日志等级分类筛选后的信息进行进一步筛选，根据日志中的Date/Time一列内容，按时间进行逆序排序，提取30秒内的(可以根据需求或者实际情况而决定)所有日志，30秒之外的日志信息都丢弃，从而得到时间较新的所有日志信息。

变更内容识别。对上一步筛选完的日志进行进一步的识别，提取有关配置变更的日志内容，例如，可以根据配置变更中用到的关键字筛选日志，实现变更的精确定位。以Juniper防火墙为例，当发生配置变更时，日志信息中Description一列的内容里会有modified、added、changed等字段，需要提前分析出与变更相关的所有关键字，并将这些关键字存入关键字列表中。当得到筛选后的日志信息时，根据关键字列表中的元素去查找Description中是否存在，如果存在则认为识别到变更。

自动配置核查。如果发现日志中存在配置变更行为，便自动发送变更核查请求并附带变更的具体内容，安全策略管控模块230响应该变更核查请求并进行配置核查。例如，安全策略管控模块230会将变更后的配置信息进行配置核查，该变更配置信息可以是新采集得来也可以是提前采集得来，选择配置核查库，依据配置核查条目检测变更后配置的遵从程度，生成配置核查 结果。

实施例三

此实施例中，可以支持对自动配置核查提供建议方式的变更自动检测方法，如图5所示。

日志内容的筛选。将接收到的日志内容发送给日志筛选模块210，可以根据诸如时间排序、日志等级等方法过滤掉不符合变更范畴的日志类型，以便进一步的变更内容识别。例如：

1)根据日志等级分类筛选日志。以Juniper的防火墙为例，能够看到从防火墙设备上获取的日志信息列表的Level一列日志等级内容，等级分为Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging八个等级，其中配置变更内容属于Notification等级，进行日志筛选的时候只需提取出Level等级为Notification的日志以供进一步筛选。

2)根据时间排序方式筛选日志。同样以Juniper的防火墙为例，根据从防火墙设备上获取的日志信息列表，这里可以将进行日志等级分类筛选后的信息进行进一步筛选，根据日志中的Date/Time一列内容，按时间进行逆序排序，提取30秒内的(可以根据需求或者实际情况而决定)所有日志，30秒之外的日志信息都丢弃，从而得到时间较新的所有日志信息。

变更内容识别。对上一步筛选完的日志进行进一步的识别，提取有关配置变更的日志内容，例如，可以根据配置变更中用到的关键字筛选日志，实现变更的精确定位。以Juniper防火墙为例，当发生配置变更时，日志信息中Description一列的内容里会有modified、added、changed等字段，需要提前分析出与变更相关的所有关键字，并将这些关键字存入关键字列表中。当得到筛选后的日志信息时，根据关键字列表中的元素去查找Description中是否存在，如果存在则认为识别到变更。

自动配置核查。如果发现日志中存在配置变更行为，便自动发送变更核查请求并附带变更的具体内容，安全策略管控模块230响应该变更核查请求并进行配置核查。例如，安全策略管控模块230会将变更后的配置信息进行 配置核查，该变更配置信息可以是新采集得来也可以是提前采集得来，选择配置核查库，依据配置核查条目检测变更后配置的遵从程度，生成配置核查结果。

可选地，支持为用户提供变更配置核查建议。例如，根据变更行为检测后的结果进行自动化配置核查后，查看变更后配置合规项为符合的内容有哪些，不符合的内容有哪些，针对不符合条目给出修改成符合要求的配置方法，以及综合以上结果建议用户选择是否遵从该变更配置。

虽然本发明所揭示的实施方式如上，但其内容只是为了便于理解本发明的技术方案而采用的实施方式，并非用于限定本发明。任何本发明所属技术领域内的技术人员，在不脱离本发明所揭示的核心技术方案的前提下，可以在实施的形式和细节上做任何修改与变化，但本发明所限定的保护范围，仍须以所附的权利要求书限定的范围为准。