[发明专利]一种基于安全日志关联分析的安全策略自反馈方法

说明书

本发明提供了一种基于安全日志关联分析的安全策略自反馈方法，包括首先创建安全日志信息采集程序、消息队列和与每个消息队列一一对应的消费服务；创建事件流处理引擎和各项规则；将安全日志信息注册后的事件的类型与规则相关联；将安全日志原始信息包装成事件输入到事件流处理引擎中，匹配日志解析规则；将解析后的日志信息输入到事件流处理引擎中，匹配日志关联分析规则，生成关联分析日志信息；将关联分析日志信息输入到事件流处理引擎中，匹配安全策略指令生成规则，生成安全策略指令信息并输出到安全策略下发指令消息队列；最终将安全策略变更指令，下发给对应的网络安全防护设备，实现安全防护策略的变更。

技术领域

本发明涉及网络信息安全技术领域，尤其涉及一种基于安全日志关联分析的安全策略自反馈方法。

背景技术

在企业的网络系统中，为了确保系统的安全运行，通常会采用多种安全技术产品进行安全防护，比如入侵监测系统、防病毒系统、防火墙系统等，同时应用服务本身也会收集一些和安全防护相关的日志信息，由于各类业务防护系统日志格式不统一，且日志信息量非常大，处理不及时，这类信息通常只能作为事后分析使用，即使个别安全防护系统做到了实时的安全告警通知，但是告警通知误报率较高，大部分告警信息不是安全技术人员所关心的信息，另外，各个安全系统相互独立，日志报警信息互不关联，安全策略的配置难以实现自动化。

发明内容

为了解决上述技术问题，本发明公开了一种基于安全日志关联分析的安全策略自反馈方法，包括以下步骤：

步骤1，创建安全日志信息采集程序；

步骤2，创建消息队列，所述消息队列包括安全日志原始消息队列、日志解析消息队列、关联分析消息队列和安全策略下发指令消息队列；

步骤3，创建与每个所述消息队列一一对应的消费服务，所述消费服务包括原始信息消费服务、解析信息消费服务、关联分析信息消费服务和安全策略指令分发服务；

步骤4，通过所述安全日志信息采集程序，采集安全日志原始信息，并将所述安全日志原始信息存入安全日志原始消息队列；

步骤5，创建事件流处理引擎、日志解析规则、日志关联分析规则及安全策略指令生成规则；

步骤6，在所述事件流处理引擎中根据各类安全日志信息注册事件，将所述事件的类型与步骤5中的规则相关联，用于当所述事件发生时通过步骤5中的规则自动触发与事件相关联的自定义动作；

步骤7，通过所述原始信息消费服务，从所述安全日志原始消息队列中取出安全日志原始信息，并包装成事件输入到所述事件流处理引擎中，匹配所述日志解析规则，输出解析后的日志信息到日志解析消息队列中；

步骤8，在所述事件流引擎的监听器中定义滑动时间窗口，通过所述解析信息消费服务，从所述日志解析消息队列中取出解析后的日志信息，输入到所述事件流处理引擎中，匹配所述日志关联分析规则，生成关联分析日志信息并输出到所述关联分析消息队列；

步骤9，通过所述关联分析信息消费服务，从所述关联分析消息队列中读取关联分析日志信息，输入到事件流处理引擎中，匹配安全策略指令生成规则，生成安全策略指令信息并输出到所述安全策略下发指令消息队列；

步骤10，通过所述安全策略指令分发服务，从所述安全策略指令消息队列中获取安全策略变更指令，下发给对应的网络安全防护设备，实现安全防护策略的变更。具体的，本步骤中，所述的安全策略分发服务主要实现以下功能：

安全策略下发：通过传入设备唯一标识、安全策略信息，使得安全策略下发到对应的网络安全防护设备，下发成功后返回该安全策略的唯一编码。

查询安全策略状态：通过传入安全策略编码查询安全策略当前使用状态。

安全策略停用：通过传入安全策略编码停用该安全策略。