本发明涉及网络安全技术领域,尤其涉及一种分布式网络安全监控装置及其方法。
背景技术
分布式系统(distributedsystem)是建立在网络之上的软件系统。正是因为软件的特性,所以分布式系统具有高度的内聚性和透明性。因此,网络和分布式系统之间的区别更多的在于高层软件(特别是操作系统),而不是硬件。内聚性是指每一个数据库分布节点高度自治,有本地的数据库管理系统。透明性是指每一个数据库分布节点对用户的应用来说都是透明的,看不出是本地还是远程。在分布式数据库系统中,用户感觉不到数据是分布的,即用户不须知道关系是否分割、有无副本、数据存于哪个站点以及事务在哪个站点上执行等。
当前,越来越多的企业将自己的信息资产接入互联网中,伴随着信息资产接入互联网而来的是企业网络安全设备的增加及遭受网络攻击风险的加剧。这些网络安全设备每天产生大量的日志信息,要总体准确把控企业的网络安全态势,需要一个高效、稳定、扩展性高的安全监测装置。但是,现有技术的方案为传统串行监测流程,数据的采集、处理中的每个部分都是单节点运行。如果某个节点出现故障则整个系统就无法有效运行。随着安全设备与攻击数量的增加,传统的技术方案无法有效地对系统进行扩展以适应安全设备生成数据量的不断升高。
常规的网络安全监测装置往往在单个服务器中部署采集、处理节点,用来采集、处理网络安全设备日志,生成网络安全告警信息。通过提高部署服务器的硬件配置提高数据采集与处理能力。这些装置虽然在性能上暂时满足需求,但随着企业网络资产设备的不断增加与互联网环境的日趋复杂,网络安全告警会呈现出巨大的增长趋势。使用传统方式进行网络安全监测,不仅存在后续性能难以提升的问题,也增加了系统的整体成本。鉴于此,如何提供一种分布式网络安全监控装置及其方法以适应如今网络安全告警呈现巨大增大趋势的现状是本领域技术人员需要解决的技术难题。
技术实现要素:
针对现有技术中的上述不足之处,本发明提供了一种分布式网络安全监控装置及其方法。
本发明为解决上述技术问题,采用以下技术方案来实现:
设计一种分布式网络安全监控装置,包括用户网络安全监控模块、网络安全事件采集模块、分布式消息分发模块、分布式处理模块、聚合模块、用户网络行为分析模块、网络安全事件评估模块以及评估报告形成模块;所述的用户网络安全监控模块与所述的网络安全事件采集模块连接;所述的网络安全事件采集模块与所述的分布式消息分发模块连接;所述的分布式消息分发模块与所述的分布式处理模块连接,所述的分布式处理模块与所述的聚合模块连接,所述的聚合模块与所述的用户网络行为分析模块、网络安全事件评估模块连接,所述的用户网络行为分析模块、网络安全事件评估模块与评估报告形成模块连接;
所述的用户网络安全监控模块用于监控用户端的网络安全设备,记录采集用户端网络安全设备的日志信息,以判断是否有网络安全事件发生;
所述的网络安全事件采集模块用于将所述用户网络安全监控模块监控到的网络安全事件进行采集,并发送至所述分布式消息分发模块;
所述的分布式消息分发模块用于将即受到的网络安全事件按照性质进行分发至对应的分布式处理模块;
所述的分布式处理模块根据处理规则对所述网络安全事件进行处理,形成处理意见;
所述的聚合模块将所有所述的分布式处理模块处理形成的处理意见根据聚合规则进行聚合,形成聚合意见;
所述的用户网络行为分析模块运用大数据分析技术对用户日常操作的海量数据进行分析找出异常信息;
所述的网络安全事件评估模块用于评估网络安全事件的风险度;
所述的评估报告形成模块汇集所述用户网络行为分析模块和网络安全事件评估模块的分析评估结果形成网络安全评估报告。
优选的,所述的网络安全设备包括:防火墙设备、防木马程序设备、防入侵设备、漏洞扫描设备、防火墙。
优选的,所述的网络安全事件评估模块还与网络安全报警模块连接,当所述网络安全事件评估模块大于预设风险度阈值时,所述的网络安全事件评估模块向网络安全报警模块发出告警信息。
优选的,所述的用户网络安全监控模块采集到网络安全事件还包括对网络安全事件的加密处理。
优选的,所述的加密处理基于aes算法进行。
设计一种分布式网络安全监控方法,包括如下步骤:首先,通过用户网络安全监控模块采集网络安全事件;然后,将所述的网络安全事件进行分发,利用多个分布式处理模块进行处理,生成处理意见;接着,将处理意见进行聚合形成汇集后的聚合信息,利用大数据分析技术对用户日常操作的海量数据进行分析找出异常信息,再评估网络安全事件的风险度;最后,形成完成的网络安全评估报告。
本发明提出的一种分布式网络安全监控装置及其方法,有益效果在于:
(1)本发明分布式网络安全监控装置根据用户数量多少为每位用户均分配有监控模块,大大提高了监控效率,且便于后续增加用户时进行拓展;
(2)本发明分布式网络安全监控装置根据用户网络安全监控模块的多少配置相应数量的分布式处理模块进行并行操作,实现多处理模块进行处理的有益效果,降低了单模块处理效率低下的难题,解决了单模块容易出现故障而无替代模块的问题;
(3)本发明分布式网络安全监控装置容易拓展,无形中降低了处理成本,同时采用并行采集、并行处理的方式提高了处理速度。
附图说明
下面结合附图中的实施例对本发明作进一步的详细说明,但并不构成对本发明的任何限制。
图1为本发明装置的结构示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
参阅附图1所示,本发明的一种分布式网络安全监控装置,包括用户网络安全监控模块、网络安全事件采集模块、分布式消息分发模块、分布式处理模块、聚合模块、用户网络行为分析模块、网络安全事件评估模块以及评估报告形成模块;所述的用户网络安全监控模块与所述的网络安全事件采集模块连接;所述的网络安全事件采集模块与所述的分布式消息分发模块连接;所述的分布式消息分发模块与所述的分布式处理模块连接,所述的分布式处理模块与所述的聚合模块连接,所述的聚合模块与所述的用户网络行为分析模块、网络安全事件评估模块连接,所述的用户网络行为分析模块、网络安全事件评估模块与评估报告形成模块连接;
所述的用户网络安全监控模块用于监控用户端的网络安全设备,记录采集用户端网络安全设备的日志信息,以判断是否有网络安全事件发生;
所述的网络安全事件采集模块用于将所述用户网络安全监控模块监控到的网络安全事件进行采集,并发送至所述分布式消息分发模块;
所述的分布式消息分发模块用于将即受到的网络安全事件按照性质进行分发至对应的分布式处理模块;
所述的分布式处理模块根据处理规则对所述网络安全事件进行处理,形成处理意见;
所述的聚合模块将所有所述的分布式处理模块处理形成的处理意见根据聚合规则进行聚合,形成聚合意见;
所述的用户网络行为分析模块运用大数据分析技术对用户日常操作的海量数据进行分析找出异常信息;
所述的网络安全事件评估模块用于评估网络安全事件的风险度;
所述的评估报告形成模块汇集所述用户网络行为分析模块和网络安全事件评估模块的分析评估结果形成网络安全评估报告。
所述的网络安全设备包括:防火墙设备、防木马程序设备、防入侵设备、漏洞扫描设备、防火墙;所述的网络安全事件评估模块还与网络安全报警模块连接,当所述网络安全事件评估模块大于预设风险度阈值时,所述的网络安全事件评估模块向网络安全报警模块发出告警信息;所述的用户网络安全监控模块采集到网络安全事件还包括对网络安全事件的加密处理,所述的加密处理基于aes算法进行。
本发明的一种分布式网络安全监控方法,包括如下步骤:首先,通过用户网络安全监控模块采集网络安全事件;然后,将所述的网络安全事件进行分发,利用多个分布式处理模块进行处理,生成处理意见;接着,将处理意见进行聚合形成汇集后的聚合信息,利用大数据分析技术对用户日常操作的海量数据进行分析找出异常信息,再评估网络安全事件的风险度;最后,形成完成的网络安全评估报告。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。