基于trap监视及模板范式处理的容器网安监测方法和系统与流程

本发明属于电力系统网络安全监测，涉及基于trap监视及模板范式处理的容器网安监测方法和系统。

背景技术：

1、随着网络的深入使用与发展，对网络安全的高度重视，各行各业都加强了网络安全建设。网络信息安全问题日益突出，部署网络安全监测装置显得尤为重要。针对电力通讯网络和厂站内监控网络的电力网络安全监测系统应运而生。

2、在电力网络威胁常态化的情况下，传统基于数据的安全分析技术仅依靠被动防御措施已难以应对新的电网安全威胁，精确监测能力和早期预警能力已经逐渐成为新一代大数据安全能力的关键。相应的网络安全管理模式也逐渐由静态管控、边缘监测转向动态实时管理、全面综合监测。

3、电力网络安全监测系统，以主动的网络监测为基础，全面发现网络边界和关键区域的安全威胁。其中各网络设备、安防设备主动发送的安全相关信息基本采用syslog、snmp方式，信息错综复杂，格式散乱；服务器设备系统登录等网络访问信息分散格式不统一，操作命令等信息更是跟踪困难。

技术实现思路

1、为解决现有技术中存在的不足，本发明提供基于trap监视及模板范式处理的容器网安监测方法和系统，适用于网络中具有种类繁多厂家各异的设备的网络环境，针对这种复杂环境进行开放式的兼容性处理，方便兼容各种型号设备，模式化信息处理，降低软件开发量，快速接入电力自动化网络中各种设备，方便后期对网络中各种设备，如服务器、交换机、安防设备等的运行进行全面精准地监测分析预警。

2、本发明采用如下的技术方案。

3、基于trap监视及模板范式处理的容器网安监测方法，包括以下步骤：

4、步骤1、各服务器上部署服务器安全监测软件，基于trap事件监视机制，监测电力网络中各服务器的安全事件信息；

5、步骤2、网络中以docker容器方式部署独立于宿主机的网络安全监测应用；

6、步骤3、在网络安全监测应用中建立基于设备型号的模板范式库；

7、步骤4、网络安全监测应用通过不同通讯方式采集不同类型的网络设备的安全事件信息，其中，网络设备类型包括服务器、交换机、防火墙、隔离；

8、步骤5、步骤4所采集的信息与模板范式库中的范式模板进行匹配，形成规范化的安全事件；

9、步骤6、网络安全监测应用将所有安全事件存入循环链表缓存，陆续进行数据处理，实现监测分析预警。

10、优选地，步骤1中，安全监测软件中嵌入shell中的trap事件监视机制，以实时监测电力网络中各服务器的操作系统登录退出、操作命令、操作回显信息。

11、优选地，步骤2中，通过pipework给网络安全监测应用容器设置主机同网段的独立ip。

12、优选地，步骤3中，模板范式库中，基于设备型号设置对应的模板范式，每一模板范式包括多个模式；

13、每一模式包括如下内容：主规则正则表达式、时标子序、时标正则表达式、事件类型、事件子类型、事件等级、语义定义。

14、优选地，步骤4所述通讯方式包括snmp、syslog和tcp。

15、优选地，服务器中安全监测软件采用tcp方式，交换机采用snmp或syslog方式，防火墙、隔离采用syslog方式。

16、优选地，步骤5中，将所采集的不同设备的信息与该设备型号的模板中各模式进行匹配；

17、若与某模式中主规则正则表达式完全匹配，则根据此模式中定义抽取子表达式信息，根据模式中子表达式进行抽取信息的规范化上送，并形成带语义的规范化安全事件展示；

18、若匹配失败，则将相关信息写入异常报文库，根据异常报文，在型号模板中增加包含对应规则范式的一个模式，后续人工交互后形成新的可用模式；

19、所述子表达式包括模式中的主规则正则表达式、时标子序、时标正则表达式、事件类型、事件子类型、事件等级、语义定义。

20、优选地，步骤6中，分析服务器的用户行为、非白名单的外部异常访问、安防设备的异常告警、交换机的非绑定mac访问信息并展示。

21、基于trap监视及模板范式处理的容器网安监测系统，包括：

22、服务器安全事件监测模块，用于各服务器上部署服务器安全监测软件，基于trap事件监视机制，监测电力网络中各服务器的安全事件信息；

23、网络安全监测模块，用于网络中以docker容器方式部署独立于宿主机的网络安全监测应用；

24、模板范式库构建模块，用于在网络安全监测应用中建立基于设备型号的模板范式库；

25、信息采集模块，用于网络安全监测应用通过不同通讯方式采集不同类型的网络设备的安全事件信息，其中，网络设备类型包括服务器、交换机、防火墙、隔离；

26、安全事件规范化模块，用于信息采集模块所采集的信息与模板范式库中的范式模板进行匹配，形成规范化的安全事件；

27、监测分析预警模块，用于网络安全监测应用将所有安全事件存入循环链表缓存，陆续进行数据处理，实现监测分析预警。

28、计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现所述方法的步骤。

29、本发明的有益效果在于，与现有技术相比，本发明应用于docker容器方式部署网络安全监测应用，针对网络安全监测中各差异化设备的安全事件信息如何收集并兼容处理问题，提出了基于trap监视及模板范式处理的容器网安监测方法和系统，具体的：

30、1、本发明采用trap方法收集服务器操作命令等信息，简化了网络安全监测软件的研发和部署，利于网络信息安全数据的收集和分析，方便对网络中各设备进行全面精准地监测分析预警；本发明主动监视获取更全面的网络安全信息，是后期网络监测分析预警的基础，解决了电力网络环境复杂，安全信息分散格式不统一，操作命令等信息更是跟踪困难等问题，简化了网络安全监测软件的研发和部署，利于网络信息安全数据的收集和分析，方便对网络中各设备进行全面精准地监测分析预警；

31、2、本发明通过pipework给容器设置主机同网段的独立ip，避免受所在主机中其他服务或软件影响；

32、3、本发明对电力网络中常见设备进行分类信息采集，采用模板范式库实现正则范式模板化匹配，兼容处理各厂家设备syslog、snmp方式上送的安全事件信息，将杂乱无章的数据规范化，条理化。

技术特征：

1.基于trap监视及模板范式处理的容器网安监测方法，其特征在于：

2.根据权利要求1所述的基于trap监视及模板范式处理的容器网安监测方法，其特征在于：

3.根据权利要求1所述的基于trap监视及模板范式处理的容器网安监测方法，其特征在于：

4.根据权利要求1所述的基于trap监视及模板范式处理的容器网安监测方法，其特征在于：

5.根据权利要求1所述的基于trap监视及模板范式处理的容器网安监测方法，其特征在于：

6.根据权利要求1所述的基于trap监视及模板范式处理的容器网安监测方法，其特征在于：

7.根据权利要求1所述的基于trap监视及模板范式处理的容器网安监测方法，其特征在于：

8.根据权利要求1所述的基于trap监视及模板范式处理的容器网安监测方法，其特征在于：

9.基于trap监视及模板范式处理的容器网安监测系统，用于实现权利要求1-8任一项所述的方法，其特征在于：

10.计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现权利要求1-8任一项所述方法的步骤。

技术总结
基于trap监视及模板范式库的容器网安监测方法和系统，所述方法包括：各服务器上部署服务器安全监测软件，基于trap事件监视机制，监测电力网络中各服务器的安全事件信息；网络中以docker容器方式部署独立于宿主机的网络安全监测应用；建立基于设备型号的模板范式库；通过不同通讯方式采集不同类型的网络设备的安全事件信息；所采集的信息与模板范式库中的范式模板进行匹配，形成规范化的安全事件；将所有安全事件存入循环链表缓存，陆续进行数据处理，实现监测分析预警。本发明适用于网络中具有种类繁多厂家各异的设备的网络环境，方便兼容各种型号设备，模式化信息处理，方便后期对网络中各种设备进行全面精准地监测分析预警。

技术研发人员：周淑雄,殷顺俭,苏亚楠
受保护的技术使用者：北京四方继保工程技术有限公司
技术研发日：
技术公布日：2024/1/12