面向多类监管对象的安全事件日志采集处理方法和系统技术方案

本发明专利技术公开了一种面向多类监管对象的安全事件日志采集处理方法和系统，多类监管对象包括主机设备、网络设备、数据库、安全设备以及应用操作行为；将所有采集的安全事件日志的结构转换为统一数据结构；基于统一数据格式的数据提取预先定义的关键字段信息，对监视对象全覆盖，动态发现监视对象，实现对新一代电网调度控制系统安全对象状态的有效掌控。

Security event log collection and processing method and system for multi class supervision objects

【技术实现步骤摘要】
面向多类监管对象的安全事件日志采集处理方法和系统
本专利技术涉及电力系统安全监视
，特别涉及面向多类监管对象的安全事件日志处理方法和系统。
技术介绍
现有的安全防护方案中的监视技术对电力调度控制系统涉及相关设备进行监视，通过数据采集模块将收集到的信息发送给分析服务模块，分析服务模块处理收集到的数据，将必要的数据存入实时库，生成具体的监视、告警信息推送给人机，人机的监听模块收集到相关信息后展示给用户，并根据用户的操作向分析服务模块发送请求，分析服务模块收到请求后再从实时库中提取相关数据，发送给人机进行数据展示。随着特高压交直流混联大电网和清洁能源的快速发展，电力系统特性发生了深刻变化。电网运行的一体化特征凸显，全局监视、全网防控、集中决策的需求日益突出，上述监视技术中的数据采集处理方法已经不能满足需求,现有的安全防护方案重点是对电力调度控制系统涉及的相关设备进行了监视，针对主机类设备的监视仅涵盖了普通主机，安全事件的监视对象覆盖范围较小，难以适应新架构特点下的监视需求。为了应对上述挑战，亟需提出一种面向多类监管对象的安全事件监视方法。
技术实现思路
本专利技术所要解决的技术问题是克服现有技术监视对象的覆盖范围较小、采集的监视对象信息格式不统一包含了很多无用数据的缺陷，提供一种面向多类监管对象的安全事件采集方法。为解决上述技术问题，本专利技术采用以下技术方案：在一方面，本专利技术提供了一种面向多类监管对象的安全事件日志采集处理方法，所述多类监管对象包括主机设备、网络设备、数据库、安全设备以及应用操作行为；所述安全事件日志采集处理方法包括分别采集主机设备安全事件信息、网络设备安全事件信息、安全设备安全事件信息、数据库信息以及应用操作行为信息；将所有采集的信息对应的安全日志的文本结构转换为统一数据结构；基于统一数据结构的数据提取预先定义的关键字段信息；其中采集主机设备安全事件信息，包括在主机设备上部署agent采集主机设备的安全事件信息；采集网络设备安全事件信息，包括建立SNMP轮询机制周期查询网络设备安全运行情况；建立SNMPTRAP监听收集网络设备网口状态变化信息；建立SYSLOG监听收集网络设备操作信息；采集安全设备安全事件信息，包括建立Syslog网络监听，接收安全设备发送的安全事件信息，所述安全设备包括隔离设备、纵向设备、入侵检测系统、防病毒系统和防火墙设备；采集数据库信息：读取数据库获取数据库自身的使用信息；采集应用操作行为信息：从系统中采集操作行为信息。进一步地，所述关键字段数据包括安全事件的监管对象名称、安全事件的日期、安全事件的时间、安全事件的类型、安全事件的源IP、安全事件的目标IP、安全事件的源端口、安全事件的目标端口和安全事件的威胁等级。进一步地，将采集到的主机设备安全事件信息、网络设备安全事件信息、安全设备安全事件信息、数据库信息以及应用操作行为信息保存到非关系型数据库。再进一步地，所述非关系型数据库将数据传送到数据总线，所述数据总线对采集上来的数据进行格式判断，将不符合格式要求的数据，记录到文件中对符合格式要求的数据进行解析分类，应用操作行为数据归类为操作信息一类。再进一步地，所述非关系型数据库采用键值对的形式存储，每个值对应于一个键值。再进一步地，通过日志解析服务，从统一格式的安全事件日志中确定设备的状态日志，所述非关系型数据库分别以表名加设备ID为主键分别将设备的实时的状态日志进行存储，采用键-值存储的数据结构和基于对象的散列算法，并采用哈希表作为内存数据存储结构。进一步地，所述统一数据结构为JSON数据格式。进一步地，还包括通过日志解析服务，将统一格式的安全事件日志分为告警日志、操作日志和状态日志。在另一个方面，本专利技术提供了面向多类监管对象的安全事件日志采集处理系统，其特征是，包括：主机设备安全事件采集模块，用于采集主机设备安全事件信息，包括在主机设备上部署agent采集主机设备的安全事件信息；网络设安全事件采集模块：用于采集网络设备安全事件信息，包括建立SNMP轮询机制周期查询网络设备安全运行情况；建立SNMPTRAP监听收集网络设备网口状态变化信息；建立SYSLOG监听收集网络设备操作信息；安全设备安全事件信息采集模块：用于采集安全设备安全事件信息，包括建立Syslog网络监听，接收安全设备发送的安全事件信息，所述安全设备包括隔离设备、纵向设备、入侵检测系统、防病毒系统和防火墙设备；数据库信息采集模块：用于采集数据库信息：读取数据库获取数据库自身的使用信息；业务应用操作行为信息采集模块：用于采集应用操作行为信息，包括从系统中采集操作行为信息；格式转换模块，用于将所有采集的信息对应的安全日志的文本结构转换为统一数据结构；关键字提取模块：用于基于统一数据结构的数据提取预先定义的关键字段信息。进一步地，还包括非关系型数据库，所述非关系型数据库用于保存采集到的主机设备安全事件信息、网络设备安全事件信息、安全设备安全事件信息、数据库信息以及应用操作行为信息，并采用键值对的形式存储，每个值对应于一个键值。进一步地，所述系统还包括数据总线，所述数据总线用于对非关系型数据库传送的数据进行格式判断，将不符合格式要求的数据，记录到文件中；对符合格式要求的数据进行解析分类，存入数据库。本专利技术所达到的有益效果：本专利技术扩大监视对象的安全事件采集范围，对隶属于监控系统的主机、网络设备、安全设备、操作系统、数据库等软硬件及远程登陆后的操作行为进行监视，实现监视对象的全覆盖；解决了现有技术监视对象的覆盖范围较小的缺陷。本专利技术将所有采集的信息对应的安全日志的文本结构转换为统一数据结构；基于统一数据结构的数据提取预先定义的关键字段信息。本专利技术对各种安全数据进行格式化转换，运用流式处理技术，实时反馈系统安全运行状况；通过对采集的安全事件日志提取关键字段，强化数据库稳定性、满足高并发，大容的特点、提高数据库处理效率；解决了现有技术采集的监视对象信息格式不统一包含了很多无用数据的缺陷。附图说明图1为本专利技术具体实施例的安全事件日志采集处理方法流程示意图；图2为本专利技术具体实施例的应用操作行为处理流程；图3为本专利技术具体实施例的安全事件日志采集处理流程示意图。具体实施方式下面结合附图对本专利技术作进一步描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案，而不能以此来限制本专利技术的保护范围。新一代电力调度控制系统中，资源分布具有动态性，即资源的位置是动态变化的，使用场景具有开放性，即用户不是固定的使用或访问自己所在域的系统和资源，存在跨域访问的情况。因此新一代电力调度控制系统中安全防护监视应该以网络安全、主机安全、应用安全、数据安全为核心，对安全事件的数据采集和处理应该针对设备、网络、主机、业务系统等安全主体的安全事件和数据访问、服务请求等用户行为(监视对象见表1)。而现有技术针对主机类设本文档来自技高网...

【技术保护点】
1.面向多类监管对象的安全事件日志采集处理方法，其特征是，所述多类监管对象包括主机设备、网络设备、数据库、安全设备以及应用操作行为；/n所述安全事件日志采集处理方法包括分别采集主机设备安全事件信息、网络设备安全事件信息、安全设备安全事件信息、数据库信息以及应用操作行为信息；将所有采集的信息对应的安全日志的文本结构转换为统一数据结构；基于统一数据结构的数据提取预先定义的关键字段信息；/n其中采集主机设备安全事件信息，包括在主机设备上部署agent采集主机设备的安全事件信息；采集网络设备安全事件信息，包括建立SNMP轮询机制周期查询网络设备安全运行情况；建立SNMP TRAP监听收集网络设备网口状态变化信息；建立SYSLOG监听收集网络设备操作信息；采集安全设备安全事件信息，包括建立Syslog网络监听，接收安全设备发送的安全事件信息，所述安全设备包括隔离设备、纵向设备、入侵检测系统、防病毒系统和防火墙设备；采集数据库信息，包括读取数据库获取数据库自身的使用信息；采集应用操作行为信息，包括从系统中采集操作行为信息。/n

【技术特征摘要】
1.面向多类监管对象的安全事件日志采集处理方法，其特征是，所述多类监管对象包括主机设备、网络设备、数据库、安全设备以及应用操作行为；
所述安全事件日志采集处理方法包括分别采集主机设备安全事件信息、网络设备安全事件信息、安全设备安全事件信息、数据库信息以及应用操作行为信息；将所有采集的信息对应的安全日志的文本结构转换为统一数据结构；基于统一数据结构的数据提取预先定义的关键字段信息；
其中采集主机设备安全事件信息，包括在主机设备上部署agent采集主机设备的安全事件信息；采集网络设备安全事件信息，包括建立SNMP轮询机制周期查询网络设备安全运行情况；建立SNMPTRAP监听收集网络设备网口状态变化信息；建立SYSLOG监听收集网络设备操作信息；采集安全设备安全事件信息，包括建立Syslog网络监听，接收安全设备发送的安全事件信息，所述安全设备包括隔离设备、纵向设备、入侵检测系统、防病毒系统和防火墙设备；采集数据库信息，包括读取数据库获取数据库自身的使用信息；采集应用操作行为信息，包括从系统中采集操作行为信息。


2.根据权利要求1所述的面向多类监管对象的安全事件日志采集处理方法，其特征是，所述关键字段数据包括安全事件的监管对象名称、安全事件的日期、安全事件的时间、安全事件的类型、安全事件的源IP、安全事件的目标IP、安全事件的源端口、安全事件的目标端口和安全事件的威胁等级。


3.根据权利要求1所述的面向多类监管对象的安全事件日志采集处理方法，其特征是，将采集到的主机设备安全事件信息、网络设备安全事件信息、安全设备安全事件信息、数据库信息以及应用操作行为信息保存到非关系型数据库，所述非关系型数据库采用键值对的形式存储，每个值对应于一个键值。


4.根据权利要求3所述的面向多类监管对象的安全事件日志采集处理方法，其特征是，所述非关系型数据库将数据传送到数据总线，所述数据总线对采集上来的数据进行格式判断，将不符合格式要求的数据，记录到文件中对符合格式要求的数据进行解析分类，应用操作行为数据归类为操作信息一类，存入数据库：将处理后的采集信息，写入数据库。


5.根据权利要求1所述的面向多类监管对象的安全事件日志采集处理方法，其特征是，通过RDB持久化和AOF持久化功能把服务器所有数据库的键值对数据定期保存到磁盘。


6.根据权利要求3所述的面向多类监管对象的安全事件日志采...

【专利技术属性】
技术研发人员：梁野，霍雪松，邵立嵩，裴培，李勃，高明慧，马力，张志军，宁志言，高英健，付广宇，李龙云，卢楷，王景，
申请(专利权)人：国家电网有限公司，南瑞集团有限公司，北京科东电力控制系统有限责任公司，国网江苏省电力有限公司，
类型：发明
国别省市：北京;11