本发明涉及网络安全领域,具体地说,涉及基于入侵检测以及数据索引的网络安全监控的方法、系统、设备及存储介质。
背景技术:
随着各种网络技术的普及化,企业的网络系统也面临着越来越多的被攻击的危险,经常遭受不同程度的入侵和破坏,严重干扰了企业网络的正常运行。为了保障基础环境和业务的安全性,企业不得不加强对网络系统的安全防护,不断追求多层次、立体化的网络安全监控系统,使用包括网络防火墙、ips(intrusionpreventionsystem,入侵防御系统)、waf(webapplicationfirewall,web应用防火墙)、hips(host-basedintrusionpreventionsystem,基于主机型入侵防御系统)、反病毒程序等多重网络安全防御设备。然而,现有的网络安全监控系统存在以下问题:
(1)日志安全语义标准不统一。由于多种网络安全防御技术来自不同的提供商,因此不同产品在对待相同安全问题的定义和日志输出上存在差异。此外,防火墙、操作系统等仅做事件记录,并没有对事件日志做全量的安全语义转换。
(2)无统一入口,无法基于日志做时序分析和查询。不同网络安全防御技术所提供的入口不统一,无法为人工分析提供时序查询和原始日志查询的支持。
(3)监控规则维度不足。当企业没有专业的安全团队来分析日志语义和安全场景设计时,在监控规则和维度方面会存在不足。如果基于单一因素设置监控规则,则监控误报率较高,无法定性安全事件的等级。
(4)监控平台需要专业团队维护支持。在实现监控方面,主流大平台会引入专业的技术方案,如流式引擎、规则引擎、大存储环境和前端设计等,这些大而全的平台系统重且复杂,需要耗费大量的时间由专人支持和开发维护。
因此,本发明为了解决上述技术问题,提供了一种网络安全监控的方法、系统、设备及存储介质。
技术实现要素:
针对现有技术中的问题,本发明的目的在于提供网络安全监控的方法、系统、设备及存储介质,统一收集各类网络安全防御设备的安全日志,并对安全日志进行安全语义转换以及规则分析生成安全事件,从而进行安全事件告警,通过对安全日志以及安全事件进行统一入口的查询以及分析从而能够追溯源头,并可视化地提供分析结果。
本发明的第一方面提供一种网络安全监控的方法,包括步骤:s101、收集多个网络安全防御设备的安全日志;s102、将安全日志发送至消息缓存集群;s103、将安全日志发送至入侵检测服务器,通过入侵检测服务器对安全日志进行安全语义转换,并根据预设规则分析生成安全事件,将安全事件发送至消息缓存集群,当安全事件满足预设告警条件时,发送告警信息;s104、配置集中式日志分析平台,通过集中式日志分析平台读取消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数据;s105、存储索引数据,配置集中式日志分析平台的检索前端,以通过检索前端查询索引数据,获取索引数据对应的安全日志或安全事件,或生成分析图表。
优选地,入侵检测服务器为ossec服务器,集中式日志分析平台为elk平台。
优选地,步骤s101中,通过trap以及syslog收集安全日志。
优选地,步骤s103中,入侵检测服务器按照系统内置语义解码规则对安全日志进行安全语义预转换后,按照预设的自定义安全语义解码规则对安全日志进行安全语义再转换。
优选地,步骤s103中,当安全事件满足预设告警条件时,入侵检测服务器调用预设脚本对安全事件进行安全响应。
本发明的第二方面还提供一种网络安全监控系统,网络安全监控系统对多个网络安全防御设备进行监控,网络安全监控系统包括:日志收集集群,日志收集集群用于收集多个网络安全防御设备的安全日志;入侵检测服务器,入侵检测服务器用于对安全日志进行安全语义转换,并根据预设规则分析生成安全事件,当安全事件满足预设告警条件时,发送告警信息;消息缓存集群,消息缓存集群用于存储日志收集集群发送的安全日志以及入侵检测服务器发送的安全事件;集中式日志分析平台,集中式日志分析平台包括分析模块,存储模块以及检索前端,分析模块用于读取消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数据,存储模块用于存储索引数据,检索前端与存储模块交互,检索前端用于查询索引数据,获取索引数据对应的安全日志或安全事件,或生成分析图表。
优选地,入侵检测服务器为ossec服务器,集中式日志分析平台为elk平台。
优选地,日志收集集群通过trap以及syslog收集安全日志。
本发明的第三方面还提供一种网络安全监控设备,包括:处理器;存储器,其中存储有处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述第一方面的网络安全监控的方法的步骤。
本发明的第四方面还提供一种计算机可读存储介质,用于存储程序,程序被执行时实现上述第一方面的网络安全监控的方法的步骤。
本发明的网络安全监控的方法、系统、设备及存储介质统一收集各类网络安全防御设备的安全日志,通过所述入侵检测服务器对安全日志进行统一的安全语义转换,从而统一全网的日志安全语义标准。
通过入侵检测服务器进行规则设置,并将语义转换后的安全日志根据预设规则分析生成安全事件,从而能够简便地设置多维监控规则,从而实现轻量级的多维度监控。
通过集中式日志分析平台收集安全日志以及安全事件,进行归一化处理以及字段填充以获取索引数据,通过检索前端检索索引数据从而获得对应的安全日志或安全事件,并进一步生成分析图表,实现统一入口,能够追溯源头数据,进行基于安全日志的分析。
本发明通过入侵检测服务器实现语义转换、规则设置分析,通过集中式日志分析平台实现源头追溯以及基于安全日志的分析,使用工具简单,无需耗费专业人员或是大量时间进行开发维护。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1是本发明一实施例的网络安全监控的方法的流程图;
图2是图1中步骤s103的详细流程图;
图3是本发明一实施例的网络安全监控系统的结构示意图;
图4是本发明一实施例的的网络安全监控系统的数据流向示意图;
图5是本发明一实施例的网络安全监控设备的结构示意图;以及
图6是本发明一实施例的计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使得本发明将全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构,因而将省略对它们的重复描述。
当前网络安全监控系统中存在多个网络安全防御设备,然而多个网络安全防御设备所产生的日志安全语义标准不统一,无统一入口,无法基于日志做时序分析和查询。本发明统一收集各类网络安全防御设备的安全日志,通过所述入侵检测服务器对安全日志进行统一的安全语义转换,根据预设规则分析生成安全事件,通过集中式日志分析平台收集安全日志以及安全事件,并处理生成索引数据,通过检索前端检索索引数据从而获得对应的安全日志或安全事件,并进一步生成分析图表,从而实现统一的安全语义标准转换,统一的入口检索,实现源头安全日志的追溯查询与分析。
图1是本发明一实施例的网络安全监控的方法的流程图。如图1所示,本发明的网络安全监控的方法,包括以下步骤:
s101、收集多个网络安全防御设备的安全日志。
在本实施例中,通过trap以及syslog收集多个网络安全防御设备的安全日志。syslog(系统日志)是一种用来在互联网协议(tcp/ip)的网络中传递记录档讯息的工业标准协议,syslog协议允许一个设备通过网络把事件信息传递给事件信息接受者。trap即指snmptrap,是建立在简单网络管理协议snmp上的网络管理,通常使用snmptrap机制进行日志数据采集。生成trap消息的事件由trap代理内部定义,而不是通用格式定义。本实施例中的网络安全防御设备包括路由器、网络防火墙、ids/ips、waf、hids/hips、反病毒程序等多种组合。
在本示例中,具体而言,配置日志收集集群,该日志收集集群安装了syslog软件系统以及trap代理。在通过syslog收集安全日志时,网络安全防御设备使用udp作为传输协议,通过目的端口将其安全日志管理配置发送到日志收集集群,从而使得日志收集集群自动接收安全日志数据并写到日志文件中。网络安全防御设备的部分安全日志信息由snmptrap进行报告,日志收集集群通过获取snmp数据报文,并对snmp数据报文中trap字段值的解释就可以获得该网络安全防御设备的安全日志信息。
s102、将安全日志发送至消息缓存集群。
具体而言,预先配置消息缓存集群,本实施例中的消息缓存集群例如可以采用redis集群。redis是一个开源的支持网络、可基于内存亦可持久化的日志型、key-value数据库。日志收集集群将收集的安全日志发送至消息缓存集群,由消息缓存集群进行存储。
s103、入侵检测服务器分析安全日志生成安全事件。
本发明使用ossec服务器作为入侵检测服务器进行安全日志告警。ossec是一款开源的多平台的入侵检测系统,可以运行于windows,linux,openbsd/freebsd,以及macos等操作系统中,将ossec安装在服务器端,配置形成入侵检测服务器。
图2是图1中步骤s103的详细流程图。如图2所示,如步骤s1031,安装ossec服务器,并将ossec服务器配置为接收消息缓存集群的安全日志,从而ossec服务器获取消息缓存集群存储的安全日志。
如步骤s1032,ossec服务器对安全日志进行安全语义预转换。ossec服务器中内置有语义解码规则。内置的语义解码规则通常针对现有的业内常用的安全日志的编码规则。在安全语义预转换步骤中,将安全日志通过内置的语义解码规则进行初步的安全语义转换。针对部分网络安全防御设备的安全日志不符合常用编码规则的情况,通过步骤s1033进行解码。如步骤s1033,对安全日志进行安全语义再转换。ossec服务器支持语义解码规则的自定义,因此,针对特殊的安全日志编码规则,可以自定义语义解码规则进行解码。通过步骤s1032以及步骤s1033实现对于各种类型的安全日志进行安全语义转换,从而实现安全日志解析的统一化、标准化,从而有利于后续步骤中对安全日志的分析以及监控。
继续参考图2,如步骤s1034,ossec服务器根据预设规则分析安全语义转换后的安全日志,并生成安全事件。预设规则即为监控规则,可以使用ossec服务器中内置的监控规则对语义转换后的安全日志进行分析,从而生产安全事件。预设规则也可以预先按照监控维度需求而自定义设置,从而实现对特定网络安全日志的特异性分析,实现多维度监控,准确定义安全事件等级。
如步骤s1035,对于所有生成的安全事件,ossec服务器将其发送至消息缓存集群,由消息缓存集群进行存储。如步骤s1036,判断安全事件是否满足预设告警条件。当满足预设告警条件时,ossec服务器执行步骤s1037发送告警信息,例如将告警信息发送至预设的电子邮件地址或是终端显示地址。进一步地,如步骤s1038,预先设置处理脚本,当步骤s1036判断安全事件满足预设告警条件时,ossec服务器调用预设脚本,通过对预设脚本的执行而对安全事件进行安全响应,从而减少人工处理的数量以及保障对于紧急安全事件的及时处理。这里的安全响应例如可以是使防火墙对特定ip地址的访问数据包进行屏蔽等措施。需要注意的是,步骤s1037与步骤s1038中的预设告警条件可以根据实际情况而差异化设置。
通过使用入侵检测服务器,实现了对多个网络安全防御设备的安全日志进行标准统一的安全语义转换,从而实现统一管理与监控。通过入侵检测服务器方便地进行多维安全规则的设定,从而在没有专业团队的情况下也能实现对全网进行监控维护,准确定性安全事件登记,降低监控误报率。
步骤s104与步骤s105通过集中式日志分析平台完成,实现了当出现了告警或是接收到安全事件时,可以通过集中式日志分析平台查找原因,寻找发生问题的痕迹。
s104、配置集中式日志分析平台,通过集中式日志分析平台读取消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数据。
具体而言,集中式日志分析平台获取消息缓存集群中的存储数据,存储数据包括安全日志以及安全事件。集中式日志分析平台对获取的存储数据进行归一化处理,以使得数据之间的统计接口统一具有可比性。针对存储数据进行字段填充处理,例如根据源ip地址以及目的ip地址填充该条存储数据所属于的业务类型。将存储数据经过归一化处理以及字段填充处理后,生成可进行检索分析的索引数据。
s105、存储索引数据,配置集中式日志分析平台的检索前端。集中式日志分析平台存储s105中获取的索引数据。配置集中式日志分析平台的检索前端,以使得通过检索平台的检索前端能够查询到索引数据,并通过索引数据获取对应的原始的安全日志或安全事件,从而实现源头数据追溯。通过索引数据同时能够生成分析图表,从而对进行更为直观地分析展示。
现有的集中式日志分析平台包括商业化的splunk,facebook公司的scribe,apache的chukwa,linkedin的kafak,cloudera的fluentd等等。本实施例中,集中式日志分析平台采用elk平台。elk由elasticsearch、logstash和kiabana三个开源工具组成。elasticsearch是个开源分布式搜索引擎,它可以用于全文搜索,结构化搜索以及分析。logstash可以对日志进行收集、分析。kibana是一款基于apache开源协议,使用javascript语言编写,可以为logstash和elasticsearch提供的日志分析友好的web界面,可以进行汇总、分析和搜索重要数据日志。
因此,通过本发明的步骤s104以及s105实现对于安全日志检索入口的统一,提供基于安全日志的时序分析以及查询。
图3是本发明一实施例的网络安全监控系统的结构示意图。如图3所示,本发明的实施例还提供一种网络安全监控系统,用于实现上述的网络安全监控的方法,网络安全监控系统10对多个网络安全防御设备进行监控,网络安全监控系统10包括:日志收集集群101、入侵检测服务器103、消息缓存集群102以及集中式日志分析平台104。
日志收集集群101用于收集多个网络安全防御设备的安全日志。具体而言,日志收集集群101通过trap以及syslog收集安全日志,即日志收集集群101安装了syslog软件系统以及trap代理,通过存储网络安全防御设备的安全日志管理配置自动接收安全日志数据并写到日志文件中,通过获取snmp数据报文,并对snmp数据报文中trap字段值的解释获得网络安全防御设备的安全日志信息。
入侵检测服务器103用于获取日志收集集群101收集的安全日志,并对安全日志进行安全语义转换,并根据预设规则分析生成安全事件,当安全事件满足预设告警条件时,发送告警信息。本实施例中使用ossec服务器作为入侵检测服务器103,从而能够基于开源系统,全面、便捷且轻量级地实现日志分析与告警。
消息缓存集群102用于存储日志收集集群101发送的安全日志以及入侵检测服务器103发送的安全事件。
集中式日志分析平台104包括分析模块1041、存储模块1042以及检索前端1043。分析模块1041用于读取消息缓存集群102中的存储数据并进行归一化处理以及字段填充以获取索引数据。存储模块1042用于存储索引数据。检索前端1043与存储模块1042交互,检索前端1043用于查询索引数据,获取索引数据对应的安全日志或所述安全事件,或生成分析图表。
本实施例中集中式日志分析平台104为elk平台,分析模块1041为elk平台中的logstash工具,存储模块1042为elk平台中的elasticsearch工具,检索前端1043为elk平台中的kibana工具。
图4是本发明一实施例的的网络安全监控系统的数据流向示意图,通过图4进一步说明本发明的网络安全监控系统10的工作方式。
网络中包括多个网络安全防御设备20,对多个网络安全防御设备20进行设置,使其与日志收集集群101连接。日志收集集群101通过trap以及syslog收集多个网络安全防御设备20产生的安全日志301。
日志收集集群101将收集的安全日志301分别发送至消息缓存集群102进行存储,至入侵检测服务器103进行安全语义解码以及监控预警。
入侵检测服务器103对安全日志301进行安全语义转换,并根据预设规则分析生成安全事件302。安全语义转换包括预转换以及再转换,其中预转换根据入侵检测服务器103内置的语义解码规则进行,适用于通常标准的安全日志,再转换根据自定义安全语义解码规则进行,适用于不符合常用编码规则的安全日志,从而保障了安全日志能够被全面地按照统一的安全语义标准进行语义转换。入侵检测服务器103对于安全语义转换后的安全日志根据预设规则分析生成安全事件302,并将安全事件302发送至消息缓存集群102,并由消息缓存集群102存储。当安全事件302满足预设告警条件时,发送告警信息。预先在入侵检测服务器103中设置处理脚本,当安全事件满足预设告警条件时,入侵检测服务器103调用预设脚本,通过对预设脚本的执行而对安全事件进行安全响应。
集中式日志分析平台104的分析模块1041获取消息缓存集群102中存储的安全日志301以及安全事件302,对安全日志301以及安全事件302进行归一化处理以及字段填充以获取索引数据303,存储模块1042存储索引数据303,配置集中式日志分析平台104的检索前端1043,以通过检索前端1043查询索引数据303,获取索引数据303对应的安全日志301或安全事件302,或生成分析图表。
因此本发明所提供的网络安全监控系统通过安全日志统一收集、入侵检测服务器、消息缓存集群以及集中式日志分析平台实现轻量级、多维度、安全语义标准统一、可源头追溯的安全监控。
本发明实施例还提供一种网络安全监控设备,包括处理器。存储器,其中存储有处理器的可执行指令。其中,处理器配置为经由执行可执行指令来执行的网络安全监控的方法的步骤。
如上,该实施例通过网络安全监控设备对入侵检测服务器进行规则设置,从而入侵检测服务器将语义转换后的安全日志根据预设规则分析生成安全事件,从而能够简便地设置多维监控规则,从而实现轻量级的多维度监控。
网络安全监控设备通过集中式日志分析平台收集安全日志以及安全事件,进行归一化处理以及字段填充以获取索引数据,通过检索前端检索索引数据从而获得对应的安全日志或安全事件,并进一步生成分析图表,实现统一入口,能够追溯源头数据,进行基于安全日志的分析。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“平台”。
图5是本发明一实施例的网络安全监控设备的结构示意图。下面参照图5来描述根据本发明的这种实施方式的网络安全监控设备600。图3显示的网络安全监控设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,网络安全监控设备600以通用计算设备的形式表现。网络安全监控设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元610可以执行如图1中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(ram)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(rom)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
网络安全监控设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该网络安全监控设备600交互的设备通信,和/或与使得该网络安全监控设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口650进行。并且,网络安全监控设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(lan),广域网(wan)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与网络安全监控设备600的其它模块通信。应当明白,尽管图中未示出,可以结合网络安全监控设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,程序被执行时实现网络安全监控的方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。
如上所示,该实施例的计算机可读存储介质的程序在执行时,通过对入侵检测服务器进行规则设置,从而入侵检测服务器将语义转换后的安全日志根据预设规则分析生成安全事件,从而能够简便地设置多维监控规则,从而实现轻量级的多维度监控。
通过集中式日志分析平台收集安全日志以及安全事件,进行归一化处理以及字段填充以获取索引数据,通过检索前端检索索引数据从而获得对应的安全日志或安全事件,并进一步生成分析图表,实现统一入口,能够追溯源头数据,进行基于安全日志的分析。
图6是本发明一实施例的计算机可读存储介质的结构示意图。参考图6所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、rf等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如java、c++等,还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(lan)或广域网(wan),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本发明的网络安全监控的方法是统一收集安全日志,通过入侵检测服务器实现标准统一的安全语义转换,以及多维监控规则设置。通过集中式日志分析平台实现源头数据追溯,进行基于安全日志的分析和查询。本发明的目的是解决日志安全语义标准不统一,无法基于日志做时序分析和查询,监控规则维度不足,需要大量人力物力进行监控平台维持。
综上,本发明的网络安全监控的方法、系统、设备及存储介质通过对入侵检测服务器进行规则设置,入侵检测服务器将语义转换后的安全日志根据预设规则分析生成安全事件,从而能够简便地设置多维监控规则,从而实现轻量级的多维度监控。
通过集中式日志分析平台收集安全日志以及安全事件,进行归一化处理以及字段填充以获取索引数据,通过检索前端检索索引数据从而获得对应的安全日志或安全事件,并进一步生成分析图表,实现统一入口,能够追溯源头数据,进行基于安全日志的分析。
本发明通过入侵检测服务器实现语义转换、规则设置分析,通过集中式日志分析平台实现源头追溯以及基于安全日志的分析,使用工具简单,无需耗费专业人员或是大量时间进行开发维护。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。