[发明专利]一种分布式网络安全监测方法及系统

权利要求书

1.一种分布式网络安全监测方法，其特征在于，包括：

采集网络安全事件；

将所述网络安全事件存储至分布式消息队列；

利用多个分布式处理设备从所述分布式消息队列中获取网络安全事件，结合预设的安全规则进行处理，生成告警事件。

2.如权利要求1所述的分布式网络安全监测方法，其特征在于，所述采集网络安全事件为，利用多个事件采集器采集网络安全事件。

3.如权利要求2所述的分布式网络安全监测方法，其特征在于，所述事件采集器采集到网络安全事件之后，还包括：

将所述网络安全事件归一化为网络安全事件对象；

对所述网络安全事件对象进行序列化、加密处理。

4.如权利要求2所述的分布式网络安全监测方法，其特征在于，所述利用多个事件采集器采集网络安全事件，包括：

基于UDP协议采集网络安全设备发送的网络安全事件；

利用负载均衡组件将所述网络安全事件平均转发给各个事件采集器。

5.如权利要求4所述的分布式网络安全监测方法，其特征在于，所述利用负载均衡组件将所述网络安全事件平均转发给各个事件采集器，包括：

所述负载均衡组件预先存储有各个事件采集器的IP列表；

所述负载均衡组件采用支持平均分布的随机算法在所述事件采集器的IP列表中选取一个事件采集器的IP，将所述网络安全事件转发给所述IP对应的事件采集器。

6.如权利要求3所述的分布式网络安全监测方法，其特征在于，所述将所述网络安全事件归一化为网络安全事件对象，包括：

抽取网络安全事件中的元素；

根据抽取的元素将网络安全事件转换为网络安全事件对象。

7.如权利要求3所述的分布式网络安全监测方法，其特征在于，所述对所述网络安全事件对象进行序列化、加密处理，包括：

基于protobuf格式将所述网络安全事件对象序列化为字节码；

基于AES算法对所述字节码进行加密。

8.如权利要求1所述的分布式网络安全监测方法，其特征在于，所述安全规则包括Map规则和Reduce规则，所述结合预设的安全规则进行处理，生成告警事件，包括：

多个分布式处理组件根据Map规则对所述网络安全事件进行处理，生成分析事件；

聚合组件接收不同分布式处理组件生成的分析事件，根据Reduce规则对所述分析事件进行聚合，生成告警事件。

9.如权利要求1所述的分布式网络安全监测方法，其特征在于，所述生成告警事件之后，进一步包括：

基于预设的告警条件对告警事件进行判断；

在预设周期内不同类型的告警事件的数量达到预设告警条件时，生成该类型告警事件的网络安全告警。

10.如权利要求1所述的分布式网络安全监测方法，其特征在于，所述安全监测方法，还包括：

基于定长缓存队列存储所述告警事件；

接收多个展示前端发送的告警数据请求；所述告警数据请求包括告警事件数量N；

根据所述告警事件数量N，返回N条告警数据。

11.如权利要求10所述的分布式网络安全监测方法，其特征在于，所述基于定长缓存队列存储所述告警事件，包括：

基于定长数组存储告警事件数据，维护头部指针和尾部指针，以及队列状态；

当所述定长缓存队列中无数据时，头部指针和尾部指针的值均为零；

当所述定长缓存队列未满时，每插入一条数据，头部指针自动加1，尾部指针位置不变；

当所述定长缓存队列数据满时，队列中插入的新数据优先覆盖最老的数据，头部指针和尾部指针重新进行累加计数并且值相等；

当展示前端向所述定长缓存队列请求最新数据时，以头部指针为起始点，以尾部指针为终点，按照数据插入方向的反方向取数据。

12.一种分布式网络安全监测系统，其特征在于，包括：

分布式网络安全事件采集模块：用于采集网络安全事件；

分布式消息队列，用于存储所述网络安全事件；

多个分布式处理设备，用于从所述分布式消息队列中获取网络安全事件，结合预设的安全规则进行处理，生成告警事件。