[发明专利]一种分布式网络安全监控装置及其方法

说明书

本发明属于网络安全领域并公开了一种分布式网络安全监控装置及其方法；所述的用户网络安全监控模块与网络安全事件采集模块连接；所述的网络安全事件采集模块与分布式消息分发模块连接；所述的分布式消息分发模块与分布式处理模块连接，所述的分布式处理模块与聚合模块连接，所述的聚合模块与用户网络行为分析模块、网络安全事件评估模块连接，所述的用户网络行为分析模块、网络安全事件评估模块与评估报告形成模块连接；本发明分布式网络安全监控装置容易拓展，无形中降低了处理成本，同时采用并行采集、并行处理的方式提高了处理速度。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种分布式网络安全监控装置及其方法。

背景技术

分布式系统(distributed system)是建立在网络之上的软件系统。正是因为软件的特性，所以分布式系统具有高度的内聚性和透明性。因此，网络和分布式系统之间的区别更多的在于高层软件(特别是操作系统)，而不是硬件。内聚性是指每一个数据库分布节点高度自治，有本地的数据库管理系统。透明性是指每一个数据库分布节点对用户的应用来说都是透明的，看不出是本地还是远程。在分布式数据库系统中，用户感觉不到数据是分布的，即用户不须知道关系是否分割、有无副本、数据存于哪个站点以及事务在哪个站点上执行等。

当前，越来越多的企业将自己的信息资产接入互联网中，伴随着信息资产接入互联网而来的是企业网络安全设备的增加及遭受网络攻击风险的加剧。这些网络安全设备每天产生大量的日志信息，要总体准确把控企业的网络安全态势，需要一个高效、稳定、扩展性高的安全监测装置。但是，现有技术的方案为传统串行监测流程，数据的采集、处理中的每个部分都是单节点运行。如果某个节点出现故障则整个系统就无法有效运行。随着安全设备与攻击数量的增加，传统的技术方案无法有效地对系统进行扩展以适应安全设备生成数据量的不断升高。

常规的网络安全监测装置往往在单个服务器中部署采集、处理节点，用来采集、处理网络安全设备日志，生成网络安全告警信息。通过提高部署服务器的硬件配置提高数据采集与处理能力。这些装置虽然在性能上暂时满足需求，但随着企业网络资产设备的不断增加与互联网环境的日趋复杂，网络安全告警会呈现出巨大的增长趋势。使用传统方式进行网络安全监测，不仅存在后续性能难以提升的问题，也增加了系统的整体成本。鉴于此，如何提供一种分布式网络安全监控装置及其方法以适应如今网络安全告警呈现巨大增大趋势的现状是本领域技术人员需要解决的技术难题。

发明内容

针对现有技术中的上述不足之处，本发明提供了一种分布式网络安全监控装置及其方法。

本发明为解决上述技术问题，采用以下技术方案来实现：

设计一种分布式网络安全监控装置，包括用户网络安全监控模块、网络安全事件采集模块、分布式消息分发模块、分布式处理模块、聚合模块、用户网络行为分析模块、网络安全事件评估模块以及评估报告形成模块；所述的用户网络安全监控模块与所述的网络安全事件采集模块连接；所述的网络安全事件采集模块与所述的分布式消息分发模块连接；所述的分布式消息分发模块与所述的分布式处理模块连接，所述的分布式处理模块与所述的聚合模块连接，所述的聚合模块与所述的用户网络行为分析模块、网络安全事件评估模块连接，所述的用户网络行为分析模块、网络安全事件评估模块与评估报告形成模块连接；

所述的用户网络安全监控模块用于监控用户端的网络安全设备，记录采集用户端网络安全设备的日志信息，以判断是否有网络安全事件发生；

所述的网络安全事件采集模块用于将所述用户网络安全监控模块监控到的网络安全事件进行采集，并发送至所述分布式消息分发模块；

所述的分布式消息分发模块用于将即受到的网络安全事件按照性质进行分发至对应的分布式处理模块；

所述的分布式处理模块根据处理规则对所述网络安全事件进行处理，形成处理意见；