[发明专利]基于日志分析和防火墙安全矩阵的网站安全监控报警系统

权利要求书

1.一种基于日志分析和防火墙安全矩阵的Web网站安全监控报警系统，其特征在于，包含：

基于日志分析的安全监控子系统：基于对网站相关环境的所有日志的监控与关联分析，来及时发现对网站的网络攻击和可疑的非法访问行为，并采取报警和防护措施；

防火墙安全矩阵监控子系统：通过对防火墙安全矩阵的监控来发现在网络层违反安全策略的非法访问，并采取报警和防护措施；防火墙安全矩阵指的是将所有区域的IP地址范围按不同的安全属性分成若干的命名区域，然后定义这些区域两两之间的安全策略，包括简单策略就是哪些端口可访问而哪些不可，以及高级策略，所述高级策略包括允许网络报文的类型和/或内容的关键元素。

2.如权利要求1所述的系统，其特征在于，对日志文件的监控方法指的是持续地，实时地或定时地对文件新增的内容进行检查，如果与预先配置的一个由若干个关键字或正则表达式或加权计算公式组成的表达式集合中的某一项或多项匹配，则认为检测到一个可疑事件。

3.如权利要求1所述的系统，其特征在于，对日志文件的监控和关联分析指的是在监控子系统发现可疑事件后，按照预先配置的策略和规则将该可疑事件与其他日志监控报告的可疑事件进行关联和基于加权表达式的计算，如果结果超过策略或规则中定义的阀值则判定为一次攻击事件或非法访问行为。

4.如权利要求1所述的系统，其特征在于，基于对网站相关环境的所有日志的监控包含对以下方面内容的监控：

Apache/Tomcat/IIS的访问日志/错误日志/安全日志；

网站应用日志中的错误/可疑事件；

安全设备报警日志；

防火墙安全矩阵监控日志；

网站所有主机的登录/用户操作日志/系统实时状态日志；

非网站合法进程发起的数据库连接日志。

5.如权利要求4所述的系统，其特征在于，对Apache/Tomcat/IIS的访问日志/错误日志/安全日志的监控方法指的是通过对所有已知的Web攻击所对应的日志中的错误信息作分析积累，进而构造一系列由关键字/正则表达式组成的检测规则，基于这个规则集即可对各类攻击进行实时的监控和侦测。

6.如权利要求4所述的系统，其特征在于，对网站应用日志中的错误/可疑事件的监控方法指的是指导用户在网站的业务逻辑代码中针对以下三类错误打印出对应的日志：1）任何非正常使用情况下的错误处理；2）对所有http请求作参数过滤，包含不应出现的特殊字符或包含不在合法参数值集合中的请求要记日志；3）对某个用户ID/Session试图访问它无权访问的某个后台接口或Action时要记日志；

除此之外，系统可以对用户上传的代码作静态扫描，以给出明确的需要添加安全审计日志的代码位置，然后通过关键字/正则表达式对要监控的网站应用日志中的事件进行定义并启动监控。

7.如权利要求1所述的系统，其特征在于，对防火墙安全矩阵的监控指的是采取直接和间接两种方式执行监控任务来验证这个矩阵的有效性，一旦发现不符合的就报警；直接方式监控指定时发起访问的尝试来检查连通性的要求，间接方式监控则是抓取网络报文，或加载内核模块/驱动模块来接受系统返回的网络报文信息，来与允许的访问列表进行对比检查。

8.如权利要求1所述的系统，其特征在于，基于日志分析的安全监控子系统包含

监控客户端代理：部署在网站各个服务器节点上，接受并执行来自中心管理节点的检查命令，按关键字/正则表达式作过滤并返回监控到的事件给管理节点，同时当管理节点确定某个访问/连接为非法时，监控代理根据要求在本地采取阻断访问和保护措施；

中心管理节点：既可以部署在本地也可以部署在远程,可以是单台服务器或虚拟机，也可以是多台服务器或虚拟机组成的集群，与监控客户端代理进行通信收集日志和发布命令、进行日志分析、触发报警机制。

9.如权利要求8所述的系统，其特征在于，中心管理节点包含

日志收集服务组件：接受监控代理和系统外节点上传的经过首次过滤的日志关键内容，并分类存档和做关联合并，所述节点包括安全设备；

日志分析引擎组件：按管理员配置的规则进行二次过滤和分析，产生报警事件发送给监控与报警服务组件；

监控与报警服务组件：可扩展的监控系统主框架，可灵活地加载各种监控命令，提供包括短信/邮件/Web的多样化报警功能，并按配置发送阻断/防护命令给监控代理采取保护措施；

管理控制台组件：提供管理界面，定义或调整可疑事件的关键字/正则表达式，配置事件的关联规则/策略，设置报警条件和保护命令，察看报警的日志内容及相关信息。