[发明专利]网络安全监控的方法、系统、设备及存储介质

权利要求书

1.一种网络安全监控的方法，其特征在于，包括步骤：

S101、收集多个网络安全防御设备的安全日志；

S102、将所述安全日志发送至消息缓存集群；

S103、将所述安全日志发送至入侵检测服务器，通过所述入侵检测服务器对所述安全日志进行安全语义转换，并根据预设规则分析生成安全事件，将所述安全事件发送至所述消息缓存集群，当所述安全事件满足预设告警条件时，发送告警信息，并调用预设脚本对所述安全事件进行安全响应；

S104、配置集中式日志分析平台，通过所述集中式日志分析平台读取所述消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数据；

S105、存储所述索引数据，配置所述集中式日志分析平台的检索前端，以通过所述检索前端查询所述索引数据，获取所述索引数据对应的所述安全日志或所述安全事件，或生成分析图表。

2.根据权利要求1所述的网络安全监控的方法，其特征在于，

所述入侵检测服务器为OSSEC服务器，所述集中式日志分析平台为ELK平台。

3.根据权利要求1所述的网络安全监控的方法，其特征在于，

所述步骤S101中，通过TRAP以及syslog收集所述安全日志。

4.根据权利要求1所述的网络安全监控的方法，其特征在于，

所述步骤S103中，所述入侵检测服务器按照系统内置语义解码规则对所述安全日志进行安全语义预转换后，按照预设的自定义安全语义解码规则对所述安全日志进行安全语义再转换。

5.一种网络安全监控系统，所述网络安全监控系统对多个网络安全防御设备进行监控，其特征在于所述网络安全监控系统包括：

日志收集集群，所述日志收集集群用于收集所述多个网络安全防御设备的安全日志；

入侵检测服务器，所述入侵检测服务器用于对所述安全日志进行安全语义转换，并根据预设规则分析生成安全事件，当所述安全事件满足预设告警条件时，发送告警信息，并调用预设脚本对所述安全事件进行安全响应；

消息缓存集群，所述消息缓存集群用于存储所述日志收集集群发送的所述安全日志以及所述入侵检测服务器发送的所述安全事件；

集中式日志分析平台，所述集中式日志分析平台包括分析模块，存储模块以及检索前端，所述分析模块用于读取所述消息缓存集群中的存储数据并进行归一化处理以及字段填充以获取索引数据，所述存储模块用于存储所述索引数据，所述检索前端与所述存储模块交互，所述检索前端用于查询所述索引数据，获取所述索引数据对应的所述安全日志或所述安全事件，或生成分析图表。

6.如权利要求5所述的网络安全监控系统，其特征在于，

所述入侵检测服务器为OSSEC服务器，所述集中式日志分析平台为ELK平台。

7.如权利要求5所述的网络安全监控系统，其特征在于，

所述日志收集集群通过TRAP以及syslog收集所述安全日志。

8.一种网络安全监控设备，其特征在于，包括：

处理器；

存储器，其中存储有所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1至4中任意一项所述网络安全监控的方法的步骤。

9.一种计算机可读存储介质，用于存储程序，其特征在于，所述程序被执行时实现权利要求1至4中任意一项所述网络安全监控的方法的步骤。