[发明专利]面向多类监管对象的安全事件日志采集处理方法和系统

权利要求书

1.面向多类监管对象的安全事件日志采集处理方法，其特征是，所述多类监管对象包括主机设备、网络设备、数据库、安全设备以及应用操作行为；

所述安全事件日志采集处理方法包括分别采集主机设备安全事件信息、网络设备安全事件信息、安全设备安全事件信息、数据库信息以及应用操作行为信息；将所有采集的信息对应的安全日志的文本结构转换为统一数据结构；基于统一数据结构的数据提取预先定义的关键字段信息；

其中采集主机设备安全事件信息，包括在主机设备上部署agent采集主机设备的安全事件信息；采集网络设备安全事件信息，包括建立SNMP轮询机制周期查询网络设备安全运行情况；建立SNMP TRAP监听收集网络设备网口状态变化信息；建立SYSLOG监听收集网络设备操作信息；采集安全设备安全事件信息，包括建立Syslog网络监听，接收安全设备发送的安全事件信息，所述安全设备包括隔离设备、纵向设备、入侵检测系统、防病毒系统和防火墙设备；

采集数据库信息，包括读取数据库获取数据库自身的使用信息，具体包括数据库连接信息，长时间执行sql、锁表原始日志，采集数据库用户连续多次登录失败、数据库计划任务执行失败、数据库锁表异常信息；

采集应用操作行为信息，包括从系统中采集操作行为信息；所述应用操作行为采用触发方式，当应用产生需要被采集的操作行为时，应用调用数据发送接口，将操作行为信息发送给采集agent，采集agent对信息进行格式化处理后，存入数据库。

2.根据权利要求1所述的面向多类监管对象的安全事件日志采集处理方法，其特征是，所述关键字段信息包括安全事件的监管对象名称、安全事件的日期、安全事件的时间、安全事件的类型、安全事件的源IP、安全事件的目标IP、安全事件的源端口、安全事件的目标端口和安全事件的威胁等级。

3.根据权利要求1所述的面向多类监管对象的安全事件日志采集处理方法，其特征是，将采集到的主机设备安全事件信息、网络设备安全事件信息、安全设备安全事件信息、数据库信息以及应用操作行为信息保存到非关系型数据库，所述非关系型数据库采用键值对的形式存储，每个值对应于一个键值。

4.根据权利要求3所述的面向多类监管对象的安全事件日志采集处理方法，其特征是，所述非关系型数据库将数据传送到数据总线，所述数据总线对采集上来的数据进行格式判断，将不符合格式要求的数据，记录到文件中； 对符合格式要求的数据进行解析分类，应用操作行为数据归类为操作信息一类，存入数据库：将处理后的采集信息，写入数据库。

5.根据权利要求1所述的面向多类监管对象的安全事件日志采集处理方法，其特征是，通过 RDB 持久化和 AOF 持久化功能把服务器所有数据库的键值对数据定期保存到磁盘。

6.根据权利要求3所述的面向多类监管对象的安全事件日志采集处理方法，其特征是，通过日志解析服务，从统一格式的安全事件日志中确定设备的状态日志，所述非关系型数据库分别以表名加设备ID为主键分别将设备的实时的状态日志进行存储，采用键-值存储的数据结构和基于对象的散列算法，并采用哈希表作为内存数据存储结构。

7.根据权利要求1所述的面向多类监管对象的安全事件日志采集处理方法，其特征是，所述统一数据结构为JSON数据格式。

8.根据权利要求1所述的面向多类监管对象的安全事件日志采集处理方法，其特征是，还包括通过日志解析服务，将统一格式的安全事件日志分为告警日志、操作日志和状态日志。