CN110929896A - 一种系统设备的安全分析方法及装置 - Google Patents
一种系统设备的安全分析方法及装置 Download PDFInfo
- Publication number
- CN110929896A CN110929896A CN201911228100.9A CN201911228100A CN110929896A CN 110929896 A CN110929896 A CN 110929896A CN 201911228100 A CN201911228100 A CN 201911228100A CN 110929896 A CN110929896 A CN 110929896A
- Authority
- CN
- China
- Prior art keywords
- data
- event
- log data
- processing
- merging
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/20—Administration of product repair or maintenance
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Human Resources & Organizations (AREA)
- Economics (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Physics & Mathematics (AREA)
- Marketing (AREA)
- Entrepreneurship & Innovation (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Public Health (AREA)
- Water Supply & Treatment (AREA)
- General Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种系统设备的安全分析方法及装置,其中,方法包括如下步骤:获取系统设备的日志数据;根据所述日志数据的报文类型选择与其对应的处理程序,对所述日志数据分别进行处理;将处理后的所述日志数据进行归一化处理;解析归一化处理后的数据的事件原文,得到对应的指标参数;当所述指标参数大于或等于预先设置的安全参数阈值时,对应所述指标参数生成威胁安全的事件。本发明将获取到的数据进行归一化处理,使数据克服了由于不同设备、不同通信协议、不同数据格式造成的无法统一采集分析的问题,提高了数据采集分析的便利性。
Description
技术领域
本发明涉及监控系统信息技术领域,具体涉及一种系统设备的安全分析方法及装置。
背景技术
电力监控系统是以计算机、通讯设备、测控单元为基本工具构成的实时监控电力系统安全的平台。电力监控系统已经被广泛应用到各个电力系统中,帮助电力系统及时发现风险位置并进行隔离阻断,防止风险造成实际危害,提升电力监控系统风险处置能力。
目前由于电力系统设备具有分散性、异构性,并且电力系统设备类型不同、通信协议不同、数据源格式不同,导致了电力系统难以进行统一采集管理以及分析的问题。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中的由于电力系统设备具有分散性、异构性,并且电力系统设备类型不同、通信协议不同、数据源格式不同,导致了电力系统难以进行统一采集管理以及分析的问题缺陷,从而提供一种系统设备的安全分析方法及装置。
根据第一方面,本发明实施例提供一种系统设备的安全分析方法,包括如下步骤:获取系统设备的日志数据;根据所述日志数据的报文类型选择与其对应的处理程序,对所述日志数据分别进行处理;将处理后的所述日志数据进行归一化处理;解析归一化处理后的数据的事件原文,得到对应的指标参数;当所述指标参数大于或等于预先设置的安全参数阈值时,对应所述指标参数生成威胁安全的事件。
结合第一方面,在第一方面第一实施方式中,还包括:将所述威胁安全的事件上报至管理平台。
结合第一方面,在第一方面第二实施方式中,还包括:判断所述威胁安全的事件类型;当所述事件类型为归并事件时,对所述归并事件进行归并计算得到归并计算结果;判断所述归并计算结果是否满足上报条件;当所述归并计算结果满足所述上报条件时,则将所述归并事件上报至管理平台。
结合第一方面第二实施方式,在第一方面第三实施方式中,还包括:当所述事件类型为实时事件时,将所述实时事件直接上报至所述管理平台。
结合第一方面,在第一方面第四实施方式中,还包括:当所述指标参数小于预先设置的安全参数阈值时,则将所述数据的事件原文存入数据库。
结合第一方面,在第一方面第五实施方式中,所述获取系统设备的日志数据之后,还包括:将所述系统设备的日志数据存入数据库。
结合第一方面,在第一方面第六实施方式中,所述根据所述日志数据的报文类型选择与其对应的处理程序,对所述日志数据分别进行处理,其中,进行处理的所述日志数据,包括:服务器数据、网络设备数据、防火墙数据、隔离设备数据。
根据第二方面,本发明实施例提供一种系统设备的安全分析装置,包括:数据获取模块,用于获取系统设备的日志数据;数据处理模块,用于根据所述日志数据的报文类型选择与其对应的处理程序,对所述日志数据分别进行处理;归一化模块,用于将处理后的所述日志数据进行归一化处理;数据解析模块,用于解析归一化处理后的数据的事件原文,得到对应的指标参数;威胁安全的事件生成模块,当所述指标参数大于或等于预先设置的安全参数阈值时,对应所述指标参数生成威胁安全的事件。
根据第三方面,本发明实施例提供一种系统设备的安全分析设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面或第一方面任一实施方式所述的系统设备的安全分析方法的步骤。
根据第四方面,本发明实施例提供一种存储介质,其上存储有计算机指令,该指令被处理器执行时实现第一方面或第一方面任一实施方式所述的系统设备的安全分析方法的步骤。
本发明技术方案,具有如下优点:
1.本发明通过获取不同设备的日志数据,将日志数据按照不同的类型进行处理,得到关键信息,根据关键信息对数据进行归一化处理,对归一化的数据进行筛选处理,确定生成威胁安全的事件,解决了在处理不同种类、不同厂家的设备时,由于协议不同、数据格式不同导致数据无法集中采集分析的问题,极大的提高了对不同设备的安全监控的便利性。
2.本发明将形成的威胁安全的事件进行归并判断,将归并事件进行归并后上报,避免了某一单个攻击可能在某一时间段内持续,导致该时间段内的警报重复出现影响事件的处理分析以及告警质量的问题,提高了事件告警的有效性。
3.本发明提供的数据库用于存储事件原文,能够解决系统中海量的事件、日志的存储问题,方便了事后快速查验。
4.本发明对服务器数据、网络设备数据、防火墙数据、隔离设备数据进行数据分析处理,使网络安全的防线从网络边界前移至系统中的各类设备,解决了安全监测技术无法面向设备本身的异常登录以及非法操作行为,进行设备级的安全防护的问题,拓宽了安全防护的范围。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中系统设备的安全分析方法的一个具体示例的流程图;
图2为本发明实施例中系统设备的安全分析方法的一个具体示例的流程图;
图3为本发明实施例中系统设备的安全分析装置的一个具体示例的原理框图;
图4为本发明实施例中系统设备的安全分析设备的一个具体示例的原理框图;
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
实施例1
本实施例提供一种系统设备的安全分析方法,可以用于电力厂站检测设备运行状态与分析中,也可以扩展至铁路、水利、轨道交通等工业控制领域,如图1所示,包括如下步骤:
S110:获取系统设备的日志数据。
示例性地,获取系统设备的日志数据的方式可以是在系统设备中设置预设存储区域用以存储日志数据,当检测到日志数据产生时,将日志信息写入存储器中的存储区域中,当各个系统设备接收到日志数据获取请求时,返回系统设备的日志数据;也可以是通过抓取系统设备数据包进行解析得到日志数据。日志数据中包含日常事件或者误操作警报的日期及时间戳等信息,不同的系统设备发送的日志数据中包含的报文类型不同,比如,系统设备包括:服务器/工作站、防火墙、隔离装置、网络设备,则报文类型就包括:服务器/工作站报文、防火墙报文、隔离装置报文、网络设备报文。本申请实施例对日志数据的获取方式不作限定,本领域技术人员可以根据需要确定。
S120:根据日志数据的报文类型选择与其对应的处理程序,对日志数据分别进行处理。
示例性地,将日志数据进行数据类型筛选,并且将报文类型进行匹配,匹配方式可以是按照预先定义好的规则,参照报文各个参数域的值对报文进行匹配,比如,建立一个规则库,每条规则都定义一个业务流类别,对于每一个业务流类别都对应一个业务流的标识,该业务流标识对应于一个与该类别相关的唯一操作。各个数据处理程序处理数据的方式是将收到的报文内容进行解析,其解析方式可以是将接收到的日志数据通过xml文档解析成java对象,xml文档中配置了发送日志数据的安全设备的ID以及正则表达式,正则表达式用于提取出关键信息,比如,日期、时间、级别、类型等。本申请实施例对报文类型匹配规则以及解析方式不作限定,本领域技术人员可以根据需要确定。
S130:将处理后的日志数据进行归一化处理。
示例性地,归一化处理的方式可以是根据数据处理程序对报文内容的关键信息提取,将关键信息整理为31992格式,其具体格式可以是:<告警级别><告警日期><告警时间><设备或系统><告警行为><告警原因>。其中,告警级别由三位十进制数表示,个位数表示告警事件严重程度,十位数表示电压等级,百位数表示所属电网或者调度;告警日期一般采用年-月-日(YYYY-MM-DD)的方式;告警时间一般采用小时:分钟:秒:毫秒(hh:mm:ss:mmm)的方式;告警行为包括跳闸、复归、退出、通信中断等;告警原因是对告警时间发生的原因的简要说明,可为空。本申请实施例对归一化方式以及归一化的格式不作限定,本领域技术人员可以根据需要确定。
S140:解析归一化处理后的数据的事件原文,得到对应的指标参数。
示例性地,解析方式可以是通过获取到归一化数据包,进行报文内容解析,将归一化处理后的数据包解析成事件原文后,获取事件原文中的某项指标参数,该项指标参数的选取可以按照事先存入的指令进行获取,比如说,预先选取的指标参数可以是该事件的CPU实际占用率。
S150:当指标参数大于或等于预先设置的安全参数阈值时,对应指标参数生成威胁安全的事件。
示例性地,以CPU占用率为例,当解析后的事件原文中CPU占用率高于或者等于预先设定的安全参数阈值时,则将对应指标参数的事件生成威胁安全的事件,其中每个威胁安全的事件解析后的原文中有位实时/归并事件的状态位,通过报文解析,更改该位置的信息,能将当前安全威胁事件改为实时/归并。
本申请实施例中通过获取不同设备的日志数据,将日志数据按照不同的类型进行处理,得到关键信息,根据关键信息对数据进行归一化处理,对归一化的数据进行筛选处理,解决了在处理不同种类、不同厂家的设备时,由于协议不同、数据格式不同导致数据无法集中采集分析的问题,极大的提高了对不同设备的安全监控的便利性;本实施例通过生成威胁安全的事件有利于及时反馈系统设备中威胁安全的事件的产生,有利于用户对威胁安全的事件及时处理,保障了系统设备的安全。
作为本申请的一个可选实施方式,还包括:将威胁安全的事件上报至管理平台。
作为本申请的一个可选实施方式,还包括:
首先,判断威胁安全的事件类型。
示例性地,此处采用数据监听的方式,当威胁安全的事件生成后,该事件立即被监听,将威胁安全的事件数据提取关键位置信息,此处的关键位置信息是每个威胁安全的事件解析后的得到的原文中的实时/归并事件的状态位,当状态位为1时,表示实时事件类型,当状态位为0时,表示归并事件类型。
其次,当事件类型为归并事件时,对归并事件进行归并计算得到归并计算结果。
示例性地,当事件类型为归并事件时,根据时间窗、源地址、目标地址、源端口、目标端口、事件类型等进行归并,归并方式可以是根据归并周期,将在同一归并周期的相同事件进行累加,记录归并次数,此处的归并周期可以是配置参数中读取预先设置的周期;归并方式还可以是根据拓扑中设备的地址信息进行归并。本申请实施例对归并方式不作限定,本领域技术人员可以根据需要确定。
然后,判断归并计算结果是否满足上报条件。
示例性地,上报条件可以是预先设置的阈值,当是以在同一归并周期的相同事件进行累加的归并方式时,即当在归并周期内,相同事件的累加次数大于或者等于预设阈值时,则表示满足上报条件;也可以是归并时间满足一个归并周期的长度,即当归并时间长度已经到达一个归并周期的长度则表示满足上报的条件。本申请实施例对上报条件不作限定,本领域技术人员可以根据需要确定。
最后,当归并计算结果满足上报条件时,则将归并事件上报至管理平台。
示例性地,当归并计算结果满足上报条件时,其归并事件上报至管理平台的方式可以是判断该上报的归并事件是否为当天首次上报,如果是当天首次上报,则上报归并事件的原文以及归并事件在归并周期内产生的次数,如果不是当天首次上报,则只上报在归并周期内产生的次数。
本申请实施例将形成的威胁安全的事件进行归并判断,将归并事件进行归并后上报,避免了某一单个攻击可能在某一时间段内持续,导致该时间段内的警报重复出现影响事件的处理分析以及告警质量的问题,提高了事件告警的有效性。
作为本申请的一个可选实施方式,还包括:
当事件类型为实时事件时,将实时事件直接上报至所述管理平台。实时事件直接进行上传,使得实时事件与威胁安全的事件进行区分,实时事件不需要进行归并处理再上传,使得实时事件的实时性得到保障。
作为本申请的一个可选实施方式,还包括:
当指标参数小于预先设置的安全参数阈值时,则将数据的事件原文存入数据库。本实施例提供的数据库用于存储事件原文,能够解决系统中海量的事件、日志的存储问题,方便了事后快速查验。
示例性地,以CPU占用率为例,当解析后的事件原文中CPU占用率低于预先设定的安全参数阈值时,将数据的事件原文存储如数据库,此处的数据库可以是关系型数据库——Oracle数据库,也可以是SQL Server数据库。本申请实施例对采用何种数据库不作限定,本领域技术人员可以根据需要确定。
作为本申请的一个可选实施方式,获取系统设备的日志数据之后,还包括:
将系统设备的日志数据存入数据库。示例性地,此处数据库如前所述,本申请实施例对采用何种数据库不作限定,本领域技术人员可以根据需要确定。本实施例提供的数据库用于存储日志数据,能够解决系统中海量的事件、日志的存储问题,方便了事后快速查验。
作为本申请的一个可选实施方式,根据日志数据的报文类型选择与其对应的处理程序,对日志数据分别进行处理,其中,进行处理的日志数据,包括:服务器数据、网络设备数据、防火墙数据、隔离设备数据。
示例性地,如图2所示,此处对日志数据的处理方式可以是当数据是服务器/工作站类型数据,则此处的唯一操作是将数据按照报文匹配的规则将该报文发送给服务器/工作站采集数据处理程序,可以是当数据是网络设备类型数据时,则此处的唯一操作是将数据按照报文匹配的规则将该报文发送给网络设备采集数据处理程序,也可以是当数据是防火墙类型数据时,则此处的唯一操作是将数据按照报文匹配的规则将该报文发送给防火墙采集数据处理程序,还可以是当数据是隔离设备类型数据时,则此处的唯一操作是将数据按照报文匹配的规则将该报文发送给隔离设备采集数据处理程序。如果是其他类型数据,比如广播、组播、业务等类型数据包,则不作处理,丢回协议栈。
本申请实施例对服务器数据、网络设备数据、防火墙数据、隔离设备数据进行数据分析处理,使网络安全的防线从网络边界前移至系统中的各类设备,解决了安全监测技术无法面向设备本身的异常登录以及非法操作行为,进行设备级的安全防护的问题,拓宽了安全防护的范围。
实施例2
本施例提供一种系统设备的安全分析装置,如图3所示,包括:
数据获取模块210,用于获取系统设备的日志数据;具体实现方式见步骤S110,在此不再赘述。
数据处理模块220,用于根据日志数据的报文类型选择与其对应的处理程序,对日志数据分别进行处理;具体实现方式见步骤S120,在此不再赘述。
归一化模块230,用于将处理后的日志数据进行归一化处理;具体实现方式见步骤S130,在此不再赘述。
数据解析模块240,用于解析归一化处理后的数据的事件原文,得到对应的指标参数;具体实现方式见步骤S140,在此不再赘述。
威胁安全的事件生成模块250,当指标参数大于或等于预先设置的安全参数阈值时,对应指标参数生成威胁安全的事件;具体实现方式见步骤S150,在此不再赘述。
本申请实施例中通过获取不同设备的日志数据,将日志数据按照不同的类型进行处理,得到关键信息,根据关键信息对数据进行归一化处理,对归一化的数据进行筛选处理,确定生成威胁安全的事件,解决了在处理不同种类、不同厂家的设备时,由于协议不同、数据格式不同导致数据无法集中采集分析的问题,极大的提高了对不同设备的安全监控的便利性。
作为本申请的一个可选实施方式,还包括:
第一事件上报模块,用于将威胁安全的事件上报至管理平台;具体实现方式见实施例1对应部分,在此不再赘述。
作为本申请的一个可选实施方式,还包括:
事件判断模块,用于判断威胁安全的事件类型;具体实现方式见实施例1对应部分,在此不再赘述。
归并计算模块,用于当事件类型为归并事件时,对归并事件进行归并计算得到归并计算结果;;具体实现方式见实施例1对应部分,在此不再赘述。
上报判断模块,用于判断归并计算结果是否满足上报条件;具体实现方式见实施例1对应部分,在此不再赘述。
第二事件上报模块,用于当归并计算结果满足上报条件时,则将归并事件上报至管理平台。具体实现方式见实施例1对应部分,在此不再赘述。
本申请实施例提供归并计算模块,将形成的威胁安全的事件进行归并判断,将归并事件进行归并后传入上报判断模块,将满足上报条件的事件上报传送到第二事件上报模块,避免了某一单个攻击可能在某一时间段内持续,导致该时间段内的警报重复出现影响事件的处理分析以及告警质量的问题,提高了事件告警的有效性。
作为本申请的一个可选实施方式,还包括:
第三事件上报模块,用于当事件类型为实时事件时,将实时事件直接上报至所述管理平台。具体实现方式见实施例1对应部分,在此不再赘述。
作为本申请的一个可选实施方式,还包括:
第一存储模块,用于当指标参数小于预先设置的安全参数阈值时,则将所述数据的事件原文存入数据库。具体实现方式见实施例1对应部分,在此不再赘述。
作为本申请的一个可选实施方式,数据获取模块之后,还包括:
第二存储模块,用于将系统设备的日志数据存入数据库;具体实现方式见实施例1对应部分,在此不再赘述。
本实施例提供的第一存储模块、第二存储模块用于存储事件原文以及日志数据,能够解决系统中海量的事件、日志的存储问题,方便了事后快速查验。
作为本申请的一个可选实施方式,数据处理模块中包括:服务器/工作站数据处理模块,网络设备数据处理模块,防火墙数据处理,隔离设备数据处理模块;具体实现方式见实施例1对应部分,在此不再赘述。
本申请实施例对服务器数据、网络设备数据、防火墙数据、隔离设备数据进行数据分析处理,使网络安全的防线从网络边界前移至系统中的各类设备,解决了安全监测技术无法面向设备本身的异常登录以及非法操作行为,进行设备级的安全防护的问题,拓宽了安全防护的范围。
实施例3
本申请实施例还提供一种系统设备的安全分析设备,如图4所示,处理器410和存储器420,其中处理器410和存储器420可以通过总线或者其他方式连接。
处理器410可以为中央处理器(Central Processing Unit,CPU)。处理器410还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器420作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的系统设备的安全分析方法对应的程序指令/模块。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理。
存储器420可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器420可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器420中,当被所述处理器410执行时,执行如图1所示实施例中的系统设备的安全分析方法。
上述电子设备的具体细节可以对应参阅图1所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
实施例4
本施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例1中系统设备的安全分析方法。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (10)
1.一种系统设备的安全分析方法,其特征在于,包括如下步骤:
获取系统设备的日志数据;
根据所述日志数据的报文类型选择与其对应的处理程序,对所述日志数据分别进行处理;
将处理后的所述日志数据进行归一化处理;
解析归一化处理后的数据的事件原文,得到对应的指标参数;
当所述指标参数大于或等于预先设置的安全参数阈值时,对应所述指标参数生成威胁安全的事件。
2.根据权利要求1所述的方法,其特征在于,还包括:将所述威胁安全的事件上报至管理平台。
3.根据权利要求1所述的方法,其特征在于,还包括:
判断所述威胁安全的事件类型;
当所述事件类型为归并事件时,对所述归并事件进行归并计算得到归并计算结果;
判断所述归并计算结果是否满足上报条件;
当所述归并计算结果满足所述上报条件时,则将所述归并事件上报至管理平台。
4.根据权利要求3所述的方法,其特征在于,还包括:
当所述事件类型为实时事件时,将所述实时事件直接上报至所述管理平台。
5.根据权利要求1所述的方法,其特征在于,还包括:
当所述指标参数小于预先设置的安全参数阈值时,则将所述数据的事件原文存入数据库。
6.根据权利要求1所述的方法,其特征在于,所述获取系统设备的日志数据之后,还包括:将所述系统设备的日志数据存入数据库。
7.根据权利要求1所述的方法,其特征在于,所述根据所述日志数据的报文类型选择与其对应的处理程序,对所述日志数据分别进行处理,其中,进行处理的所述日志数据,包括:服务器数据、网络设备数据、防火墙数据、隔离设备数据。
8.一种系统设备的安全分析装置,其特征在于,包括:
数据获取模块,用于获取系统设备的日志数据;
数据处理模块,用于根据所述日志数据的报文类型选择与其对应的处理程序,对所述日志数据分别进行处理;
归一化模块,用于将处理后的所述日志数据进行归一化处理;
数据解析模块,用于解析归一化处理后的数据的事件原文,得到对应的指标参数;
威胁安全的事件生成模块,当所述指标参数大于或等于预先设置的安全参数阈值时,对应所述指标参数生成威胁安全的事件。
9.一种系统设备的安全分析设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-7任一项所述的系统设备的安全分析方法的步骤。
10.一种存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现权利要求1-7任一项所述的系统设备的安全分析方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911228100.9A CN110929896A (zh) | 2019-12-04 | 2019-12-04 | 一种系统设备的安全分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911228100.9A CN110929896A (zh) | 2019-12-04 | 2019-12-04 | 一种系统设备的安全分析方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110929896A true CN110929896A (zh) | 2020-03-27 |
Family
ID=69856638
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911228100.9A Pending CN110929896A (zh) | 2019-12-04 | 2019-12-04 | 一种系统设备的安全分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110929896A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111741029A (zh) * | 2020-08-25 | 2020-10-02 | 北京安帝科技有限公司 | 一种日志数据的处理方法、处理装置及存储介质 |
| CN113298672A (zh) * | 2021-05-21 | 2021-08-24 | 中国电信股份有限公司 | 市电故障监测方法及装置、系统、存储介质、电子设备 |
| CN113612641A (zh) * | 2021-08-03 | 2021-11-05 | 中能融合智慧科技有限公司 | 一种基于能源网络高效的日志流量采集与智能分析系统 |
| CN114006748A (zh) * | 2021-10-28 | 2022-02-01 | 国网山东省电力公司信息通信公司 | 一种网络安全综合监控方法、系统、设备和存储介质 |
| CN114168650A (zh) * | 2021-12-01 | 2022-03-11 | 安天科技集团股份有限公司 | 一种日志数据分析方法、装置、电子设备及存储介质 |
| CN114691723A (zh) * | 2022-03-29 | 2022-07-01 | 浙江西图盟数字科技有限公司 | 工业数据处理方法、装置、设备及介质 |
| CN116318969A (zh) * | 2023-03-15 | 2023-06-23 | 中国华能集团有限公司北京招标分公司 | 一种多元设备日志接入方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070143842A1 (en) * | 2005-12-15 | 2007-06-21 | Turner Alan K | Method and system for acquisition and centralized storage of event logs from disparate systems |
| CN107682351A (zh) * | 2017-10-20 | 2018-02-09 | 携程旅游网络技术(上海)有限公司 | 网络安全监控的方法、系统、设备及存储介质 |
| CN109033431A (zh) * | 2018-08-13 | 2018-12-18 | 北京天地和兴科技有限公司 | 一种高效的电力网络数据采集与智能分析系统及处理方法 |
| CN110427307A (zh) * | 2019-06-21 | 2019-11-08 | 平安科技(深圳)有限公司 | 日志解析方法、装置、计算机设备及存储介质 |
-
2019
- 2019-12-04 CN CN201911228100.9A patent/CN110929896A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070143842A1 (en) * | 2005-12-15 | 2007-06-21 | Turner Alan K | Method and system for acquisition and centralized storage of event logs from disparate systems |
| CN107682351A (zh) * | 2017-10-20 | 2018-02-09 | 携程旅游网络技术(上海)有限公司 | 网络安全监控的方法、系统、设备及存储介质 |
| CN109033431A (zh) * | 2018-08-13 | 2018-12-18 | 北京天地和兴科技有限公司 | 一种高效的电力网络数据采集与智能分析系统及处理方法 |
| CN110427307A (zh) * | 2019-06-21 | 2019-11-08 | 平安科技(深圳)有限公司 | 日志解析方法、装置、计算机设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 王贞灵等: "多源异构数据的云平台安全态势评估系统", 《网络新媒体技术》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111741029A (zh) * | 2020-08-25 | 2020-10-02 | 北京安帝科技有限公司 | 一种日志数据的处理方法、处理装置及存储介质 |
| CN111741029B (zh) * | 2020-08-25 | 2020-12-04 | 北京安帝科技有限公司 | 一种日志数据的处理方法、处理装置及存储介质 |
| CN113298672A (zh) * | 2021-05-21 | 2021-08-24 | 中国电信股份有限公司 | 市电故障监测方法及装置、系统、存储介质、电子设备 |
| CN113298672B (zh) * | 2021-05-21 | 2025-06-24 | 中国电信股份有限公司 | 市电故障监测方法及装置、系统、存储介质、电子设备 |
| CN113612641A (zh) * | 2021-08-03 | 2021-11-05 | 中能融合智慧科技有限公司 | 一种基于能源网络高效的日志流量采集与智能分析系统 |
| CN114006748A (zh) * | 2021-10-28 | 2022-02-01 | 国网山东省电力公司信息通信公司 | 一种网络安全综合监控方法、系统、设备和存储介质 |
| CN114006748B (zh) * | 2021-10-28 | 2024-04-02 | 国网山东省电力公司信息通信公司 | 一种网络安全综合监控方法、系统、设备和存储介质 |
| CN114168650A (zh) * | 2021-12-01 | 2022-03-11 | 安天科技集团股份有限公司 | 一种日志数据分析方法、装置、电子设备及存储介质 |
| CN114691723A (zh) * | 2022-03-29 | 2022-07-01 | 浙江西图盟数字科技有限公司 | 工业数据处理方法、装置、设备及介质 |
| CN116318969A (zh) * | 2023-03-15 | 2023-06-23 | 中国华能集团有限公司北京招标分公司 | 一种多元设备日志接入方法 |
| CN116318969B (zh) * | 2023-03-15 | 2024-01-26 | 中国华能集团有限公司北京招标分公司 | 一种多元设备日志接入方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110929896A (zh) | 一种系统设备的安全分析方法及装置 | |
| CN105515180B (zh) | 一种智能变电站通信网络动态监控系统及其监控方法 | |
| CN110232010B (zh) | 一种告警方法、告警服务器及监控服务器 | |
| CN103544093B (zh) | 监控报警控制方法及其系统 | |
| CN112350846B (zh) | 一种智能变电站的资产学习方法、装置、设备及存储介质 | |
| CN113191635B (zh) | 建筑工程现场电能智慧化管理系统 | |
| KR20180120558A (ko) | 딥러닝 기반 통신망 장비의 장애 예측 시스템 및 방법 | |
| CN104852927A (zh) | 基于多源异构的信息安全综合管理系统 | |
| CN110224865A (zh) | 一种基于流式处理的日志告警系统 | |
| CN106656627A (zh) | 一种基于业务的性能监控和故障定位的方法 | |
| CN107947998B (zh) | 一种基于应用系统的实时监测系统 | |
| CN113225339B (zh) | 网络安全监测方法、装置、计算机设备及存储介质 | |
| CN115208059A (zh) | 一种变电站动力与环境监控告警处理系统及方法 | |
| CN112612680A (zh) | 一种消息告警方法、系统、计算机设备及存储介质 | |
| CN116074215A (zh) | 网络质量检测方法、装置、设备及存储介质 | |
| CN113064890A (zh) | 一种运营商数据的质量评估方法、装置、服务器及介质 | |
| CN118889666A (zh) | 配网线路联络开关多源数据治理方法和系统 | |
| CN101197714B (zh) | 一种移动数据业务状态集中采集的方法 | |
| CN115987827B (zh) | 一种设备监测方法、装置、电子设备及可读介质 | |
| CN107769993A (zh) | 面向电网大数据分布式系统的数据流量监控方法 | |
| CN119583331B (zh) | 车载以太网some/ip报文分析方法、装置、设备和存储介质 | |
| CN119961099A (zh) | 基于监测信息采集器装置的运维系统、方法、设备及介质 | |
| CN112270417B (zh) | 国产化设备运维数据的智能采集方法及系统 | |
| CN113254313A (zh) | 一种监控指标异常检测方法、装置、电子设备及存储介质 | |
| CN119938365A (zh) | 日志处理方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200327 |
|
| RJ01 | Rejection of invention patent application after publication |