[发明专利]一种多源网络安全事件的采集与同步方法有效
| 申请号: | 201611105093.X | 申请日: | 2016-12-05 |
| 公开(公告)号: | CN106789967B | 公开(公告)日: | 2019-01-11 |
| 发明(设计)人: | 李景;戴桦;韩嘉佳;卢新岱;孙歆;周辉;李沁园;姚影 | 申请(专利权)人: | 国网浙江省电力有限公司电力科学研究院;国家电网有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 浙江翔隆专利事务所(普通合伙) 33206 | 代理人: | 张建青;张允姿 |
| 地址: | 310014 浙江*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 网络安全 事件 采集 同步 方法 | ||
1.一种多源网络安全事件的采集与同步方法,其特征在于,首先对各个事件源的时间进行同步,各事件源均以服务端的时间为标准时间,通过发送时间同步数据包来计算网络延迟、事件源与服务端的本地时间差,从而得出实时的、准确的时间差值;随后事件采集端根据此时间差值对事件进行同步后通过socket通信存储至ehcache缓存框架中,该ehcache缓存框架的节点采用远程方法调用RMI机制与ehcache缓存框架中的其他节点进行事件同步;服务端从ehcache缓存框架中实时读取事件信息,并进行处理;
包括以下具体步骤:
1)多源网络安全事件采集
采集端采用采集代理方式,负责实时采集各个事件源的网络安全事件;基于不同源事件采集的正则表达式,对其网络安全进行规范化和去冗余预处理操作,网络安全事件具有时间戳、源IP地址、目的IP地址、源端口、目的端口和协议信息;采集端将采集到的事件以socket通信方式存储在ehcache缓存框架中;
2)事件源时间同步校对
在采集事件时,首先对每个事件源的时间进行同步校对,均以服务端的时间为基准;
3)实时数据接收与处理
多个采集端将采集的网络安全事件e1,e2,...,en序列化为key-value形式的Element事件,存储至ehcache分布式缓存框架中,该ehcache分布式缓存框架的节点采用远程方法调用RMI机制与ehcache分布式缓存框架中的其他节点进行事件同步;
服务端从ehcache分布式缓存框架中实时读取事件信息,并进行处理。
2.根据权利要求1所述的多源网络安全事件的采集与同步方法,其特征在于,步骤2)中,事件源时间同步校对的具体过程如下:
2.1)采集端在t1时刻向服务端发送一个时钟同步请求包;
2.2)服务端接收到请求之后,立即回复一个时钟同步响应包,内容为服务端此刻的本地时间Ts,
2.3)采用端在t2时刻接收到服务端发送的响应包,
则,采用端与服务端之间的单向网络延迟时间为:
Tdelay=(t2-t1)/2
服务端接收到采集端的同步请求包时,采集端的本地时间为:
Tagent=t1+Tdelay
因此,如果t1+Tdelay<Ts,则表示采集端的时间早于服务端的时间,事件时间应向后推迟Ts-t1-Tdelay时间,此时,采集端向服务端发送采集到的事件时,事件源的产生时间t应变为:
Tsend=t+(Ts-t1-Tdelay),
反之,若t1+Tdelay>Ts,则表示采集端的时间晚于服务端的时间,事件时间应提前t1+Tdelay-Ts时间,此时,采集端向服务端发送采集到的事件时,事件源的产生时间t应变为:
Tsend=t-(t1+Tdelay-Ts)。
3.根据权利要求2所述的多源网络安全事件的采集与同步方法,其特征在于,其特征在于,步骤2)中,由于不同时刻网络延迟差别较大,事件源时间同步校对需每隔5~10分钟进行一次。
4.根据权利要求1所述的多源网络安全事件的采集与同步方法,其特征在于,步骤1)中,所述的网络安全事件包括防火墙、入侵检测系统、网络流量和漏洞扫描事件源产生的不同类型的网络安全事件。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国网浙江省电力有限公司电力科学研究院;国家电网有限公司,未经国网浙江省电力有限公司电力科学研究院;国家电网有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201611105093.X/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种用于体育教学的球类转运车
- 下一篇:一种快速回收球体装置
