CN116055130A - 基于rasp的siem日志管理方法、装置、设备及介质 - Google Patents
基于rasp的siem日志管理方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN116055130A CN116055130A CN202211674359.8A CN202211674359A CN116055130A CN 116055130 A CN116055130 A CN 116055130A CN 202211674359 A CN202211674359 A CN 202211674359A CN 116055130 A CN116055130 A CN 116055130A
- Authority
- CN
- China
- Prior art keywords
- security
- rasp
- attack event
- siem
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于RASP的SIEM日志管理方法、装置、设备及介质,通过在web容器中加载RASP探针,配置SIEM安全漏洞信息分析模块,采用SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测,采用RASP处理规则对安全攻击事件进行处理,得到安全攻击事件处理信息,将安全攻击事件处理信息发送至Portal端。即本技术方案在进行实施时,基于RASP技术与SIEM安全漏洞信息分析模块进行有机的结合,从而实现对安全攻击事件的实时防护和追踪,进而更加高效的获取安全漏洞攻击的详细信息,从而能够确保安全漏洞防护的准确性,减少误报,从而有效的提高***的安全漏洞防护效率。并且通过RASP技术用来对生产环境上的应用进行实时的保护,适用场景更符合实际,不会受到局限。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及基于RASP(Runtime application self-protection,运行时应用程序自我保护)的SIEM(Security Information and EventManagement,安全、信息和事件管理)日志管理方法、装置、设备及介质。
背景技术
现在的web应用安全防护基本上都是发现安全漏洞后进行处理,很少能进行安全攻击事前防御。最近RASP技术被引入到应用软件安全的保护中来,目前的基于RASP形成的专利基本上都是使用传统硬件的,如WAF(Web Application Fire ware)的规则匹配和硬件相结合,如云Waf等。但是这些技术大部分是基于硬件相结合,在web服务器的前端架设相关的硬件进行安全漏洞的防御,没有真正的深入到应用的代码级别对web服务器进行深层次的安全防御,缺点如下:部署复杂,成本高,普适性差;无法进行安全攻击的实时预警和防御;无法进行Web服务器深层次的安全防御;无法实现***升级导致的防护滞后;没法解决用户的个性化安全防御的需求;防护效率低;适用场景有所局限。
因此,现有技术有待于改善。
发明内容
本发明的主要目的在于提出一种基于RASP的SIEM日志管理方法、装置、设备及介质,以至少解决相关技术中web应用的防护方式存在的防护效率低的技术问题。
本发明的第一方面,提供了一种基于RASP的SIEM日志管理方法,包括:
在web容器中加载RASP探针,通过所述RASP探针配置SIEM安全漏洞信息分析模块;
采用所述SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测;
当检测到安全攻击事件时,采用预设的RASP处理规则对所述安全攻击事件进行处理,得到安全攻击事件处理信息;
将所述安全攻击事件处理信息发送至Portal端;其中,所述Portal端用于将所述安全攻击事件处理信息显示于预设用户界面。
本发明的第二方面提供了一种应用升级装置,包括:
加载模块,用于在web容器中加载RASP探针,通过所述RASP探针配置SIEM安全漏洞信息分析模块;
检测模块,用于采用所述SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测;
处理模块,用于当检测到安全攻击事件时,采用预设的RASP处理规则对所述安全攻击事件进行处理,得到安全攻击事件处理信息;
发送模块,用于将所述安全攻击事件处理信息发送至Portal端;其中,所述Portal端用于将所述安全攻击事件处理信息显示于预设用户界面。
本发明的第三方面,提供了一种电子设备,包括存储器、处理器及总线;
所述总线用于实现所述存储器、处理器之间的连接通信;
所述处理器用于执行存储在所述存储器上的计算机程序;
所述处理器执行所述计算机程序时,实现第一方面提供的基于RASP的SIEM日志管理方法中的步骤。
本发明的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现第一方面提供的基于RASP的SIEM日志管理方法中的步骤。
本发明提供了一种基于RASP的SIEM日志管理方法、装置、设备及介质,通过在web容器中加载RASP探针,通过RASP探针配置SIEM安全漏洞信息分析模块,采用SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测,当检测到安全攻击事件时,采用预设的RASP处理规则对安全攻击事件进行处理,得到安全攻击事件处理信息,将安全攻击事件处理信息发送至Portal端,Portal端用于将安全攻击事件处理信息显示于预设用户界面。即本技术方案在进行实施时,基于RASP技术与SIEM安全漏洞信息分析模块进行有机的结合,从而实现对安全攻击事件的实时防护和追踪,进而更加高效的获取安全漏洞攻击的详细信息,从而能够确保安全漏洞防护的准确性,减少误报,从而有效的提高***的安全漏洞防护效率。并且通过RASP技术用来对生产环境上的应用进行实时的保护,可以在产线上为应用进行实时防护,适用场景更符合实际,不会受到局限。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请第一实施例提供的基于RASP的SIEM日志管理方法的基本流程示意图;
图2为本申请第二实施例提供的基于RASP的SIEM日志管理方法的细化流程示意图;
图3为本申请第三实施例提供的应用升级装置的程序模块示意图;
图4为本申请第四实施例提供的电子设备的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
需要注意的是,相关术语如“第一”、“第二”等可以用于描述各种组件,但是这些术语并不限制该组件。这些术语仅用于区分一个组件和另一组件。例如,不脱离本发明的范围,第一组件可以被称为第二组件,并且第二组件类似地也可以被称为第一组件。术语“和/或”是指相关项和描述项的任何一个或多个的组合。
请参阅图1,图1示出了本发明实施例所提供的一种基于RASP的SIEM日志管理方法,其包括以下步骤:
步骤S101,在web容器中加载RASP探针,通过RASP探针配置SIEM安全漏洞信息分析模块。
具体的,web容器为一种服务程序,在服务器一个端口就有一个提供相应服务的程序,而这个程序就是处理从客户端发出的请求,如JAVA中的Tomcat容器,ASP的IIS或PWS都是这样的容器。一般来说,一个服务器可以有多个容器,即web容器会处于一个服务器中。
应当理解的是,RASP探针为基于实时应用程序自我保护(RASP,RuntimeApplication Self-Protection)技术的安全检测探针,RASP是一种新型应用安全保护技术,它将保护程序像“疫苗”一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。RASP技术可以快速的将安全防御功能整合到正在运行的应用程序中,它拦截从应用程序到***的所有调用,确保它们是安全的,并直接在应用程序内验证数据请求。同时该技术不会影响应用程序的设计,因为RASP的检测和保护功能是在应用程序运行的***上运行的。
需要说明的是,传统的安全漏洞攻击防御技术大多是通过安装防火墙,而安装的防火墙不管是串联的部署模式,还是并联部署模式都需要用到用户的源代码,容易泄露保护应用的隐私。而在本实施例中,将RASP探针加载至web容器中,整个过程不需要使用客户源代码,能够保护私有应用的隐私。同时还可通过RASP探针配置SIEM安全漏洞信息分析模块,该SIEM安全漏洞信息分析模块一般可以集成多个不同类别的分析模块,以实现对于安全攻击事件的高效、准确检测。
其中,在通过RASP探针配置SIEM安全漏洞信息分析模块之前,需保证RASP探针和web容器在同一个服务器之中,而将RASP探针和web容器部署在同一个服务器,具体的部署方式:将RASP探针的服务器设置为目标服务器,并将web容器的服务器设置为目标服务器,则使得两者同处于一个相同的服务器内。
在本实施例的一些实施方式中,通过RASP探针配置SIEM安全漏洞信息分析模块的步骤,具体包括:通过RASP探针向Portal端发送模块配置指令,接收Portal端发送的加载信息,并根据加载信息配置SIEM安全漏洞信息分析模块。
具体的,Portal端存储有SIEM安全漏洞信息分析模块的加载信息,则当加载RASP探针后,基于RASP探针、Portal端之间的数据联通,可请求Portal端发送SIEM安全漏洞信息分析模块的加载信息,如此通过RASP探针可以获取SIEM安全漏洞信息分析模块的加载信息,并基于加载信息为web容器配置SIEM安全漏洞信息分析模块。
步骤S102,采用SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测。
具体的,当web容器中存在安全攻击事件时,往往在特定的应用上产生较大访问流量,而这些应用一般处于被安全攻击事件进行攻击的状态。如此,当得到SIEM安全漏洞信息分析模块后,基于集成多个不同类别的分析模块,这些不同类别的分析模块可以分别对web容器中访问流量进行第一安全检测,从而高效、精准对安全攻击事件进行判断、识别。
步骤S103,当检测到安全攻击事件时,采用预设的RASP处理规则对安全攻击事件进行处理,得到安全攻击事件处理信息;
具体的,先通过RASP探针向Portal端发送规则配置指令,获取Portal端根据规则配置指令配置的RASP处理规则;当检测到安全攻击事件时,采用预设的RASP处理规则对安全攻击事件进行处理,得到安全攻击事件处理信息。其中,RASP处理规则包括RASP处理模块的处理方式,该RASP处理模块可以包括攻击事件日志记录模块、攻击事件拦截模块和攻击事件上报模块。相应的安全攻击事件处理信息包括写入日志处理、拦截处理、拦截并上报客户端处理。
步骤S104,将安全攻击事件处理信息发送至Portal端。
具体的,Portal端由于具备预设用户界面,则可以通过RASP探针将安全攻击事件处理信息发送至Portal端,以触发Portal端将安全攻击事件处理信息显示于预设用户界面,供用户进行相应防护决策。即Portal端会将安全攻击事件处理信息在一个预设用户界面中进行详细展示,则通过一个用户界面就能够使用户全方位、全面观察到攻击事件的状况,方便跟踪和做出决策。
通过上述实施例,在web容器中加载RASP探针,通过RASP探针配置SIEM安全漏洞信息分析模块,采用SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测,当检测到安全攻击事件时,采用预设的RASP处理规则对安全攻击事件进行处理,得到安全攻击事件处理信息,将安全攻击事件处理信息发送至Portal端,Portal端用于将安全攻击事件处理信息显示于预设用户界面。即本技术方案在进行实施时,基于RASP技术与SIEM安全漏洞信息分析模块进行有机的结合,从而实现对安全攻击事件的实时防护和追踪,进而更加高效的获取安全漏洞攻击的详细信息,从而能够确保安全漏洞防护的准确性,减少误报,从而有效的提高***的安全漏洞防护效率。并且通过RASP技术用来对生产环境上的应用进行实时的保护,可以在产线上为应用进行实时防护,适用场景更符合实际,不会受到局限。
在本实施例的一些可选实施方式中,采用SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测的步骤,具体包括:采用Syslog集成模块、Logstash模块和Splunk模块分别对web容器中访问流量进行第一安全检测。
具体的,Syslog集成模块、Logstash模块和Splunk模块一同组成SIEM安全漏洞信息分析模块,不同集成模块分别配置有不同的安全检测策略。例如,Syslog集成模块配置有安全攻击漏洞检测策略,Logstash模块配置有安全攻击URL检测策略和安全弱点类型检测策略,Splunk模块配置有安全攻击严重程度检测策略。如此,通过不同的集成模块所分别对应的不同检测策略,能够精准识别、判定安全攻击事件。
在本实施例的一些可选实施方式中,在采用Syslog集成模块、Logstash模块和Splunk模块分别对web容器中访问流量进行安全检测的步骤之后,还包括:对所检测出的安全攻击事件进行第二安全检测,得到安全攻击事件的攻击频率、攻击位置、严重程度及攻击类型,根据攻击频率、攻击位置、严重程度及攻击类型计算web容器的当前安全有效值,当web容器的当前安全有效值小于预设安全阈值时,执行采用预设的RASP分析规则对安全攻击事件进行处理的步骤。
具体的,可以通过安全攻击事件的攻击频率、攻击位置、严重程度及攻击类型这四种不同程度的属性来计算web容器的当前安全有效值,当web容器的当前安全有效值小于预设安全阈值时,表明当前的安全攻击事件的攻击破坏性较大,使得web容器存在较大安全风险,则采用预设的RASP分析规则对安全攻击事件进行处理。
其中,对于攻击频率、攻击位置、严重程度及攻击类型,在RASP探针中预先配置有安全攻击系数表,如下表1:
表1
| 攻击频率的属性 | ||
| 攻击位置 | 应用前端(0.2) | 应用后端(0.1) |
| 严重程度 | 高(0.1) | 低(0.2) |
| 攻击类型 | 应用类型(0.5) | 服务器类型(0.2) |
| 攻击频率 | 1分钟内5次以下(0.3) | 1分钟内10次以上(0.2) |
在本实施例中,当得到安全攻击事件的各属性后,根据安全攻击系数表确定各属性对应的系数;例如,一个安全攻击事件的攻击位置为应用前端、严重程度为高,攻击类型为应用类型,攻击频率为1分钟内5次以下,则相应的通过上述表1确定各属性对应的系数,分别为0.2、0.1、0.5、0.3,则该web容器的当前安全有效值为0.2+0.1+0.5+0.3=1.1。显然,当前安全有效值越小表明安全攻击事件的攻击破坏性更强,相应反映出当前web容器存在较大安全风险。
其中,对于预设安全阈值,其与第一安全检测中所检测出的安全攻击事件的总数呈正比,也即当安全攻击事件数量越多时,预设安全阈值的设定值越大;形成自适应安全调控策略。
在本实施例的一些可选实施方式中,采用预设的RASP分析规则对安全攻击事件进行处理,得到安全攻击事件处理信息的步骤,具体包括:通过RASP分析规则分析安全攻击事件的当前安全等级,当安全攻击事件的当前安全等级低于预设安全等级时,对安全攻击事件执行写入日志处理,得到第一安全攻击事件处理信息;当安全攻击事件的当前安全等级等于预设安全等级时,对安全攻击事件执行拦截处理,得到第二安全攻击事件处理信息;当安全攻击事件的当前安全等级高于预设安全等级时,对安全攻击事件执行拦截并上报客户端的处理,得到第三安全攻击事件处理信息。
具体的,预设安全等级为预先设定的,其与web容器中预设时间段内所检测到的安全攻击事件的数量为正比关系;相对的,安全攻击事件的数量越多,则预设安全等级越高。例如,可以将预设安全等级设定为一个具体数值,为2。当安全攻击事件的当前安全等级为1,也即低于预设安全等级2时,表明该攻击事件的严重程度、破坏性较低,则执行对攻击事件进行写入操作的实时防护操作;当安全攻击事件的当前安全等级为2,也即等于预设安全等级时,表明该攻击事件具有一定的严重程度、破坏性,则执行对安全攻击事件进行拦截操作;当安全攻击事件的当前安全等级为3,也即当前安全等级高于预设安全等级时,表明该攻击事件的严重程度、破坏性较高,属于非常危险的攻击事件,则执行对攻击事件进行拦截操作并上报。也就是说,当遇到不同严重程度的攻击事件时,能够针对性实施防护操作,来全面保护整个web容器中的应用。
在本实施例的一些可选实施方式中,在将安全攻击事件处理信息发送至Portal端的步骤之后,还包括:检测是否接收Portal端所反馈的用户实时处理指令,若接收到用户实时处理指令,根据用户实时处理指令对安全攻击事件执行写入日志、拦截或者拦截并上报中的任一项处理。
具体的,将安全攻击事件处理信息发送至Portal端后,Portal端将安全攻击事件处理信息显示于预设用户界面,待用户做出决定后,即用户反馈用户实时处理指令,该用户实时处理指令可以是第一处理指令、第二处理指令或第三处理指令,不同处理指令对应不同的处理操作,则可以控制RASP探针对安全攻击事件执行写入日志、拦截或者拦截并上报中的任一项处理,有针对性、选择地对安全攻击事件进行个性化处理。
其中,在所述检测是否接收Portal端所反馈的用户实时处理指令的步骤之后,还包括:若未接收到用户实时处理指令,则检测用户无响应时间,当用户无响应时间大于预设时间阈值时,对安全攻击事件执行拦截并上报的处理。即当未接收到用户实时处理指令,表明用户未经Portal端反馈用户实时处理指令,这里可能是用户通过预设显示界面无法确定相应的决策,则此时将用户无响应时间与预设时间阈值进行比较,当用户无响应时间大于预设时间阈值时(无响应时间过长,存在web容器的较大安全风险),对安全攻击事件执行拦截并上报的处理。
请参阅图2,图2中的方法为本申请第二实施例提供的一种细化的基于RASP的SIEM日志管理方法,该基于RASP的SIEM日志管理方法包括:
步骤S201,在web容器中加载RASP探针;
步骤S202,通过RASP探针向Portal端发送模块配置指令,接收Portal端发送的加载信息,并根据加载信息配置SIEM安全漏洞信息分析模块;
步骤S203,采用Syslog集成模块、Logstash模块和Splunk模块分别对web容器中访问流量进行第一安全检测;
步骤S204,当检测到安全攻击时间时,对所检测出的安全攻击事件进行第二安全检测,得到安全攻击事件的安全攻击时间、攻击位置、严重程度及攻击类型;
步骤S205,根据安全攻击时间、攻击位置、严重程度及攻击类型计算web容器的当前安全有效值;
步骤S206,当web容器的当前安全有效值小于预设安全阈值时,通过RASP分析规则分析安全攻击事件的当前安全等级;
步骤S207a,当安全攻击事件的当前安全等级低于预设安全等级时,对安全攻击事件执行写入日志处理,得到第一安全攻击事件处理信息;
步骤S207b,当安全攻击事件的当前安全等级等于预设安全等级时,对安全攻击事件执行拦截处理,得到第二安全攻击事件处理信息;
步骤S207c,当安全攻击事件的当前安全等级高于预设安全等级时,对安全攻击事件执行拦截并上报客户端的处理,得到第三安全攻击事件处理信息;
步骤S208,将安全攻击事件处理信息发送至Portal端。
根据本申请方案所提供的基于RASP的SIEM日志管理方法,在配置SIEM安全漏洞信息分析模块后,通过SIEM安全漏洞信息分析模块中Syslog集成模块、Logstash模块和Splunk模块分别对web容器中访问流量进行第一安全检测,从而提高检测安全攻击事件的准确性、效率;以及能够根据安全攻击时间、攻击位置、严重程度及攻击类型计算web容器的当前安全有效值,来精准确定web容器的当前安全有效值,相应的确定对安全攻击事件的处理时机。即本技术方案基于RASP技术与SIEM安全漏洞信息分析模块进行有机的结合,从而实现对安全攻击事件的实时防护和追踪,进而更加高效的获取安全漏洞攻击的详细信息,从而能够确保安全漏洞防护的准确性,减少误报,从而有效的提高***的安全漏洞防护效率。并且通过RASP技术用来对生产环境上的应用进行实时的保护,可以在产线上为应用进行实时防护,适用场景更符合实际,不会受到局限。
还需说明的是,本实施例还具备以下优势:1.本方法和***可以对生产环境上的应用针对不同场景进行安全漏洞攻击的多维度信息的跟踪和分析;2.用户可以根据自己实际的业务通过Portal端进行安全防护SIEM的相关自定义配置,从而能够达到和现有***的无缝的融合;3.可以同时对Web服务器中的多个安全漏洞进行实时安全攻击日志分析,从而高效的进行安全攻击的防护;4.通过多维度的安全漏洞攻击验证,从而进一步保护应用的安全;5.准确率高,精确的对攻击事件进行验证和相关信息分析;6.不用使用客户源代码,能够保护私有应用的隐私。
图3示出本申请第三实施例所提供的一种SIEM日志管理装置,该SIEM日志管理装置可用于实施上述基于RASP的SIEM日志管理方法,其具体包括:
加载模块301,用于在web容器中加载RASP探针,通过RASP探针配置SIEM安全漏洞信息分析模块;
检测模块302,用于采用SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测;
处理模块303,用于当检测到安全攻击事件时,采用预设的RASP分析规则对安全攻击事件进行处理,得到安全攻击事件处理信息;
发送模块304,用于将安全攻击事件处理信息发送至Portal端;其中,Portal端用于将安全攻击事件处理信息显示于预设用户界面。
根据上述SIEM日志管理装置的实施,基于RASP技术与SIEM安全漏洞信息分析模块进行有机的结合,从而实现对安全攻击事件的实时防护和追踪,进而更加高效的获取安全漏洞攻击的详细信息,从而能够确保安全漏洞防护的准确性,减少误报,从而有效的提高***的安全漏洞防护效率。并且通过RASP技术用来对生产环境上的应用进行实时的保护,可以在产线上为应用进行实时防护,适用场景更符合实际,不会受到局限。
图4示出了本发明第四实施例所提供的电子设备,该电子设备可用于实现前述任一实施例中的基于RASP的SIEM日志管理方法。该电子设备包括:
存储器401、处理器402、总线403及存储在存储器401上并可在处理器402上运行的计算机程序,存储器401和处理器402通过总线403连接。处理器402执行该计算机程序时,实现前述实施例中的基于RASP的SIEM日志管理方法。其中,处理器的数量可以是一个或多个。
存储器401可以是高速随机存取记忆体(RAM,Random Access Memory)存储器,也可为非不稳定的存储器(non-volatile memory),例如磁盘存储器。存储器401用于存储可执行程序代码,处理器402与存储器401耦合。
进一步的,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以是设置于上述各实施例中的电子装置中,该计算机可读存储介质可以是存储器。
该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现前述实施例中的基于RASP的SIEM日志管理方法。进一步的,该计算机可存储介质还可以是U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的可读存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于RASP的SIEM日志管理方法,其特征在于,包括:
在web容器中加载RASP探针,通过所述RASP探针配置SIEM安全漏洞信息分析模块;
采用所述SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测;
当检测到安全攻击事件时,采用预设的RASP处理规则对所述安全攻击事件进行处理,得到安全攻击事件处理信息;
将所述安全攻击事件处理信息发送至Portal端;其中,所述Portal端用于将所述安全攻击事件处理信息显示于预设用户界面。
2.如权利要求1所述基于RASP的SIEM日志管理方法,其特征在于,所述通过所述RASP探针配置SIEM安全漏洞信息分析模块的步骤,具体包括:
通过所述RASP探针向Portal端发送模块配置指令;其中,所述Portal端为存储有SIEM安全漏洞信息分析模块的加载信息;
接收所述Portal端发送的加载信息,并根据所述加载信息配置SIEM安全漏洞信息分析模块。
3.如权利要求1所述基于RASP的SIEM日志管理方法,其特征在于,所述采用所述SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测的步骤,具体包括:
采用Syslog集成模块、Logstash模块和Splunk模块分别对web容器中访问流量进行第一安全检测;其中,所述Syslog集成模块、Logstash模块和Splunk模块组成SIEM安全漏洞信息分析模块,并分别配置有不同的安全检测策略。
4.如权利要求3所述基于RASP的SIEM日志管理方法,其特征在于,在所述采用Syslog集成模块、Logstash模块和Splunk模块分别对web容器中访问流量进行第一安全检测的步骤之后,还包括:
对所检测出的安全攻击事件进行第二安全检测,得到所述安全攻击事件的攻击频率、攻击位置、严重程度及攻击类型;
根据所述攻击频率、攻击位置、严重程度及攻击类型计算web容器的当前安全有效值;
当所述web容器的当前安全有效值小于预设安全阈值时,执行所述采用预设的RASP处理规则对所述安全攻击事件进行处理的步骤。
5.如权利要求3所述基于RASP的SIEM日志管理方法,其特征在于,所述采用预设的RASP处理规则对所述安全攻击事件进行处理,得到安全攻击事件处理信息的步骤,具体包括:
通过所述RASP处理规则分析所述安全攻击事件的当前安全等级;
当所述安全攻击事件的当前安全等级低于预设安全等级时,对所述安全攻击事件执行写入日志处理,得到第一安全攻击事件处理信息;
当所述安全攻击事件的当前安全等级等于预设安全等级时,对所述安全攻击事件执行拦截处理,得到第二安全攻击事件处理信息;
当所述安全攻击事件的当前安全等级高于预设安全等级时,对所述安全攻击事件执行拦截并上报客户端的处理,得到第三安全攻击事件处理信息。
6.如权利要求1所述基于RASP的SIEM日志管理方法,其特征在于,在所述将所述安全攻击事件处理信息发送至Portal端的步骤之后,还包括:
检测是否接收Portal端所反馈的用户实时处理指令;
若接收到所述用户实时处理指令,根据所述用户实时处理指令对所述安全攻击事件执行写入日志、拦截或者拦截并上报中的任一项处理。
7.如权利要求6所述基于RASP的SIEM日志管理方法,其特征在于,在所述检测是否接收Portal端所反馈的用户实时处理指令的步骤之后,还包括:
若未接收到所述用户实时处理指令,则检测用户无响应时间;
当所述用户无响应时间大于预设时间阈值时,对所述安全攻击事件执行拦截并上报的处理。
8.一种SIEM日志管理装置,其特征在于,包括:
加载模块,用于在web容器中加载RASP探针,通过所述RASP探针配置SIEM安全漏洞信息分析模块;
检测模块,用于采用所述SIEM安全漏洞信息分析模块对web容器中访问流量进行第一安全检测;
处理模块,用于当检测到安全攻击事件时,采用预设的RASP处理规则对所述安全攻击事件进行处理,得到安全攻击事件处理信息;
发送模块,用于将所述安全攻击事件处理信息发送至Portal端;其中,所述Portal端用于将所述安全攻击事件处理信息显示于预设用户界面。
9.一种电子设备,其特征在于,包括存储器、处理器及总线;
所述总线用于实现所述存储器、处理器之间的连接通信;
所述处理器用于执行存储在所述存储器上的计算机程序;
所述处理器执行所述计算机程序时,实现权利要求1至7中任意一项所述基于RASP的SIEM日志管理方法中的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至7中任意一项所述基于RASP的SIEM日志管理方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211674359.8A CN116055130A (zh) | 2022-12-26 | 2022-12-26 | 基于rasp的siem日志管理方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211674359.8A CN116055130A (zh) | 2022-12-26 | 2022-12-26 | 基于rasp的siem日志管理方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116055130A true CN116055130A (zh) | 2023-05-02 |
Family
ID=86121054
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211674359.8A Pending CN116055130A (zh) | 2022-12-26 | 2022-12-26 | 基于rasp的siem日志管理方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116055130A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117319054A (zh) * | 2023-08-11 | 2023-12-29 | 北京宝联之星科技股份有限公司 | 一种基于容器技术的智能网络安全功能管理方法及*** |
-
2022
- 2022-12-26 CN CN202211674359.8A patent/CN116055130A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117319054A (zh) * | 2023-08-11 | 2023-12-29 | 北京宝联之星科技股份有限公司 | 一种基于容器技术的智能网络安全功能管理方法及*** |
| CN117319054B (zh) * | 2023-08-11 | 2024-05-17 | 北京宝联之星科技股份有限公司 | 一种基于容器技术的智能网络安全功能管理方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109302426B (zh) | 未知漏洞攻击检测方法、装置、设备及存储介质 | |
| CN108259449B (zh) | 一种防御apt攻击的方法和*** | |
| KR102210627B1 (ko) | 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 | |
| US9386036B2 (en) | Method for detecting and preventing a DDoS attack using cloud computing, and server | |
| CN100448203C (zh) | 用于识别和防止恶意入侵的***和方法 | |
| CN111581643B (zh) | 渗透攻击评价方法和装置、以及电子设备和可读存储介质 | |
| CN114124552B (zh) | 一种网络攻击的威胁等级获取方法、装置和存储介质 | |
| CN107733725B (zh) | 一种安全预警方法、装置、设备及存储介质 | |
| CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN102546641B (zh) | 一种在应用安全***中进行精确风险检测的方法及*** | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| US10356109B2 (en) | Security indicator linkage determination | |
| CN112653654A (zh) | 安全监控方法、装置、计算机设备及存储介质 | |
| CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
| CN116055130A (zh) | 基于rasp的siem日志管理方法、装置、设备及介质 | |
| CN113901450A (zh) | 一种工业主机终端安全防护*** | |
| CN114826662B (zh) | 一种自定义规则防护方法、装置、设备及可读存储介质 | |
| CN116340931A (zh) | 基于rasp的sca联动防护方法、装置、设备及介质 | |
| CN116094817A (zh) | 一种网络安全检测***和方法 | |
| CN115333805A (zh) | 一种代码热修复方法、装置、设备及计算机可读存储介质 | |
| JP2013152497A (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
| CN116827697B (zh) | 网络攻击事件的推送方法、电子设备及存储介质 | |
| CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
| CN115051820B (zh) | 一种多维度防暴力破解方法、装置、设备及可读存储介质 | |
| CN116094801A (zh) | 一种安全攻击防护方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |