[发明专利]一种分布式网络安全监测方法及系统

说明书

技术领域

本发明涉及网络安全领域，具体涉及一种分布式网络安全监测方法及系统。

背景技术

当前，越来越多的企业将自己的信息资产接入互联网中，伴随着信息资产接入互联网而来的是企业网络安全设备的增加及遭受网络攻击风险的加剧。这些网络安全设备每天产生大量的日志信息，要总体准确把控企业的网络安全态势，需要一个高效、稳定、扩展性高的安全监测装置。但是，现有技术的方案为传统串行监测流程，数据的采集、处理中的每个部分都是单节点运行。如果某个节点出现故障则整个系统就无法有效运行。随着安全设备与攻击数量的增加，传统的技术方案无法有效地对系统进行扩展以适应安全设备生成数据量的不断升高。

常规的网络安全监测装置往往在单个服务器中部署采集、处理节点，用来采集、处理网络安全设备日志，生成网络安全告警信息。通过提高部署服务器的硬件配置提高数据采集与处理能力。这些装置虽然在性能上暂时满足需求，但随着企业网络资产设备的不断增加与互联网环境的日趋复杂，网络安全告警会呈现出巨大的增长趋势。使用传统方式进行网络安全监测，不仅存在后续性能难以提升的问题，也增加了系统的整体成本。

发明内容

为了解决现有技术中所存在的上述不足，本发明提供一种分布式网络安全监测系统及方法。

本发明提供的技术方案是：一种分布式网络安全监测方法，包括：

采集网络安全事件；

将所述网络安全事件存储至分布式消息队列；

利用多个分布式处理设备从所述分布式消息队列中获取网络安全事件，结合预设的安全规则进行处理，生成告警事件。

优选的，所述采集网络安全事件为，利用多个事件采集器采集网络安全事件。

优选的，所述事件采集器采集到网络安全事件之后，还包括：

将所述网络安全事件归一化为网络安全事件对象；

对所述网络安全事件对象进行序列化、加密处理。

优选的，所述利用多个事件采集器采集网络安全事件，包括：

基于UDP协议采集网络安全设备发送的网络安全事件；

利用负载均衡组件将所述网络安全事件平均转发给各个事件采集器。

优选的，所述利用负载均衡组件将所述网络安全事件平均转发给各个事件采集器，包括：

所述负载均衡组件预先存储有各个事件采集器的IP列表；

所述负载均衡组件采用支持平均分布的随机算法在所述事件采集器的IP列表中选取一个事件采集器的IP，将所述网络安全事件转发给所述IP对应的事件采集器。

优选的，所述将所述网络安全事件归一化为网络安全事件对象，包括：

抽取网络安全事件中的元素；

根据抽取的元素将网络安全事件转换为网络安全事件对象。

优选的，所述对所述网络安全事件对象进行序列化、加密处理，包括：

基于protobuf格式将所述网络安全事件对象序列化为字节码；

基于AES算法对所述字节码进行加密。

优选的，所述安全规则包括Map规则和Reduce规则，所述结合预设的安全规则进行处理，生成告警事件，包括：

多个分布式处理组件根据Map规则对所述网络安全事件进行处理，生成分析事件；

聚合组件接收不同分布式处理组件生成的分析事件，根据Reduce规则对所述分析事件进行聚合，生成告警事件。

优选的，所述生成告警事件之后，进一步包括：

基于预设的告警条件对告警事件进行判断；

在预设周期内不同类型的告警事件的数量达到预设告警条件时，生成该类型告警事件的网络安全告警。

优选的，所述安全监测方法，还包括：

基于定长缓存队列存储所述告警事件；

接收多个展示前端发送的告警数据请求；所述告警数据请求包括告警事件数量N；

根据所述告警事件数量N，返回N条告警数据。

优选的，所述基于定长缓存队列存储所述告警事件，包括：

基于定长数组存储告警事件数据，维护头部指针和尾部指针，以及队列状态；

当所述定长缓存队列中无数据时，头部指针和尾部指针的值均为零；

当所述定长缓存队列未满时，每插入一条数据，头部指针自动加1，尾部指针位置不变；

当所述定长缓存队列数据满时，队列中插入的新数据优先覆盖最老的数据，头部指针和尾部指针重新进行累加计数并且值相等；