[发明专利]一种通过日志收集分析中毒机器并进行告警的方法

说明书

本发明提供一种通过日志收集分析中毒机器并进行告警的方法，属于日记分析技术领域，本发明对安全设备、网络设备、服务器、虚拟机、应用、数据库等日志实时进行大批量日志收集分析，分析异常访问，根据日志异常访问，结合病毒库特征，判断资产是否中毒，并进行通报。根据日志的异常访问特征，对全内网资产进行全部安全检测，找出相同特征资产，查找全部相关病毒机器，进行预警通报，实现对海量日志数据的有效利用。

技术领域

本发明涉及日记分析技术领域，尤其涉及一种通过日志收集分析中毒机器并进行告警的方法。

背景技术

随着应用系统日趋庞大，及各个云中心的出现，日志设备中的日志存的不全、查找困难的情况，也日趋凸显出来，要想从海量日志数据中提取安全相关有利信息，更是无从谈起。

当前市面上类似产品有日志审计和态势感知。日志审计是实现了日志的收集及展示，但是实际使用过程中，功能比较单一，性能也不好，在资产数量较多的情况下日志审计设备需要很多，成本上也不划算。市面上现在有的态势感知系统，一般是接入了流量进行流量分析，性能上存在瓶颈，并且当前的态势感知一般接入核心交换机，如果出现不经过核心交换机的攻击流量，态势感知就不会感知。

大型企业信息系统庞大，使用到的硬件资产也越来越多。另外，当前有比较多的云中心等，在参与云中心安全应急响应过程中发现日志设备中的日志存在不全，或者查找困难的情况。

在日志数量基本到达大数据级别时，一些日志分析及安全事件的处理，在使用常规的处理处理方式就会遇到各种问题，导致，日志分析成为安全事件处理的一个瓶颈。

发明内容

为了解决以上技术问题，本发明提供了一种通过日志收集分析中毒机器并进行告警的方法。

本发明的技术方案是：

一种通过日志收集分析中毒机器并进行告警的方法，根据日志提取病毒特征形成特征库，根据特征库进行全内网检测；

包含以下方面:

1)日志收集；

2)syslog服务器日志存储

3)消息队列集群

4)日志的存储及查询分析

5)安全预警。

进一步的，

对海量日志数据进行实时的异常行为分析，如发现异常行为，分析传输数据的特征，根据病毒特征库快速判断中病毒种类；根据特征库分析之后，在全内网进行该种病毒的全内网资产病毒探测。

进一步的，

对安全设备、网络设备、服务器、虚拟机、应用、数据库的日志实时进行批量日志收集分析，分析异常访问，根据日志异常访问，结合病毒库特征，判断资产是否中毒，并进行通报。

根据日志的异常访问特征，对全内网资产进行全部安全检测，找出相同特征资产，查找全部相关病毒机器，进行预警通报。

进一步的，

部署一个以上的syslog服务器收集全部设备的流量日志，收集的syslog日志通过logstash传输到kafka消息中间件，再通过logstash传输到统一的ES存储。

整个数据传输过程，性能需要调整到最优，保证由设备到syslog服务器，再到kafka、logstash、ES存储，全过程无数据积压，需要调整一次以上的参数，并调整部署架构。

后续的日志数据的提取分析的数据获取，都是通过ES的API提供；根据提供的接口调用的结果，定制报表会通过调用ESAPI做报表展示，可以定期进行邮件发送通知。

进一步的，