1.一种多源网络安全事件的采集与同步方法,其特征在于,首先对各个事件源的时间进行同步,各事件源均以服务端的时间为标准时间,通过发送时间同步数据包来计算网络延迟、事件源与服务端的本地时间差,从而得出实时的、准确的时间差值;随后事件采集端根据此时间差值对事件进行同步后通过socket通信存储至ehcache缓存框架中,该ehcache缓存框架的节点采用远程方法调用RMI机制与ehcache缓存框架中的其他节点进行事件同步;服务端从ehcache缓存框架中实时读取事件信息,并进行处理。
2.根据权利要求1所述的多源网络安全事件的采集与同步方法,其特征在于,其包括以下具体步骤:
1)多源网络安全事件采集
采集端采用采集代理方式,负责实时采集各个事件源的网络安全事件;基于不同源事件采集的正则表达式,对其网络安全进行规范化和去冗余预处理操作,网络安全事件具有时间戳、源IP地址、目的IP地址、源端口、目的端口和协议信息;采集端将采集到的事件以socket通信方式存储在ehcache缓存框架中;
2)事件源时间同步校对
在采集事件时,首先对每个事件源的时间进行同步校对,均以服务端的时间为基准;
3)实时数据接收与处理
多个采集端将采集的网络安全事件e1,e2,...,en序列化为key-value形式的Element事件,存储至ehcache分布式缓存框架中,该ehcache分布式缓存框架的节点采用远程方法调用RMI机制与ehcache分布式缓存框架中的其他节点进行事件同步;
服务端从ehcache分布式缓存框架中实时读取事件信息,并进行处理。
3.根据权利要求2所述的多源网络安全事件的采集与同步方法,其特征在于,步骤2)中,事件源时间同步校对的具体过程如下:
2.1)采集端在t1时刻向服务端发送一个时钟同步请求包;
2.2)服务端接收到请求之后,立即回复一个时钟同步响应包,内容为服务端此刻的本地时间Ts,
2.3)采用端在t2时刻接收到服务端发送的响应包,
则,采用端与服务端之间的单向网络延迟时间为:
Tdelay=(t2-t1)/2
服务端接收到采集端的同步请求包时,采集端的本地时间为:
Tagent=t1+Tdelay
因此,如果t1+Tdelay<Ts,则表示采集端的时间早于服务端的时间,事件时间应向后推迟Ts-t1-Tdelay时间,此时,采集端向服务端发送采集到的事件时,事件源的产生时间t应变为:
Tsend=t+(Ts-t1-Tdelay),
反之,若t1+Tdelay>Ts,则表示采集端的时间晚于服务端的时间,事件时间应提前t1+Tdelay-Ts时间,此时,采集端向服务端发送采集到的事件时,事件源的产生时间t应变为:
Tsend=t-(t1+Tdelay-Ts)。
4.根据权利要求3所述的多源网络安全事件的采集与同步方法,其特征在于,其特征在于,步骤2)中,由于不同时刻网络延迟差别较大,事件源时间同步校对需每隔5~10分钟进行一次。
5.根据权利要求1或2所述的多源网络安全事件的采集与同步方法,其特征在于,步骤1)中,所述的网络安全事件包括防火墙、入侵检测系统、网络流量和漏洞扫描事件源产生的不同类型的网络安全事件。