[发明专利]一种安全事件监测方法、系统及装置

说明书

技术领域

本发明涉及网络安全领域，特别是涉及一种安全事件监测方法、系统及装置。

背景技术

信息网络的发展为社会生产、生活带来极大的方便，也引发了不少问题，一是计算机病毒和木马传播感染严重。2009年全国半年内有1.95亿网民遇到过病毒和木马的攻击，1.1亿网民在上网过程中遇到过病毒和木马的攻击，1.1亿网民遇到过账号或密码被盗问题。二是网络攻击活动频繁，2009年6月以来，土耳其某黑客组织攻破我国境内200多个网站，其中我省网站有多家，造成不良的社会影响。

为了应对信息安全威胁，信息网络运营、使用单位采取了安装防火墙、入侵检测、防病毒、防挂马、防网页篡改等安全系统。但是，由于未建立起整体的安全监测和预警体系，对信息安全事件进行及时监测和预警，监管部门对安全事件总体定位、预防、实时反应还存在很多不足。

部分安全厂家已经针对自身的安全产品开发了相应的日志收集器及日志分析系统，但是存在如下问题：

各厂家安全产品技术不尽相同，功能参差不齐，日志格式、接口程序也有自己的规格，且已经在市面上部署多年，无法互相兼容；如果直接修改各设备的接口程序与安全事件监测中心直接对接，工程浩大；大量日志涌向中心服务器，对服务器的处理性能和网络带宽都会有很大的压力；安全产品与中心直接对接的方式在安全性保障方面也有很大隐患，可能发生中途数据遭“劫持”，更严重者由于安全系统自身安全漏洞被黑客利用，恶意破坏监测中心；采用厂家自有接口程序，未来接口的升级存在一定困难。

综上，现有网络信息安全事件监测技术的通用性较差。

发明内容

本发明提供了一种安全事件监测方法、系统及装置，用以解决现有网络信息安全事件监测技术的通用性较差的问题。

本发明的一种安全事件监测方法，包括下列步骤：采集步骤：事件采集客户端对节点的事件日志进行实时采集；上传步骤：事件采集客户端向安全事件监测中心上传采集到事件日志数据；整理步骤：安全事件监测中心对所述上传的事件日志数据进行收集，并整理为统一格式。

本发明的一种安全事件监测系统，包括：节点日志服务器，部署于节点日志服务器上的事件采集客户端，以及与事件采集客户端相互通信的安全事件监测中心；其中，节点日志服务器，用于收集本节点的事件日志；事件采集客户端，用于对其所属的节点日志服务器收集的事件日志进行实时采集，并向安全事件监测中心上传采集到事件日志数据；安全事件监测中心，用于对所述上传的事件日志数据进行收集，并整理为统一格式。

本发明的一种事件采集客户端，包括：采集单元，用于对其所属节点的事件日志进行实时采集；上传单元，用于向安全事件监测中心上传采集到事件日志数据。

本发明有益效果如下：

本发明通过事件采集客户端采集各节点中的事件日志，并上传到安全事件监测中心，之后由安全事件监测中心整理为统一格式的事件日志数据，从而提高了网络信息安全事件监测技术的通用性。

附图说明

图1为本发明实施例中的系统架构图；

图2为本发明实施例中的事件采集客户端的模块化逻辑结构图；

图3为本发明实施例中事件采集客户端部署于节点日志服务器的架构图；

图4为本发明实施例中安全事件监测中心SERVER端的架构图；

图5为本发明实施例中的方法步骤流程图。

具体实施方式

为了解决现有网络信息安全事件监测技术的通用性较差的问题，本发明提供了一种通用型安全事件监测方案。

参见图1所示，为本发明实施例中的系统架构图，其采用分层处理及事件采集客户端(代理Agent软件)插件的方式设计。

数据采集方式采用分层处理，首先按厂家、地区、行业划分，由各个厂家自行收集部署的边界安全产品日志到厂家、地区、行业日志收集分析中心中，具体由节点日志服务器收集边界安全产品日志(即本节点管辖的安全产品的事件日志)，并存储于节点日志数据库中。

在节点日志服务器上部署事件采集客户端(可为插件方式)，对其所属的节点日志服务器收集的事件日志进行实时采集，并通过加密传送方式向安全事件监测中心上传采集到事件日志数据。

安全事件监测中心(SERVER端)的中心事件服务器组对上传的事件日志数据进行收集，并整理为统一格式，存储于中心事件数据库组中，并可进一步进行实时处理、通过网页或短信等方式告警、报表、备份存储、管理等操作。

以下分别描述组成本发明系统的事件采集客户端以及安全事件监测中心。