安全操作平臺中日志過濾與解析范化的研究.pdf

1、隨著信息化建設(shè)步伐的加快，如何有效化解安全風(fēng)險，有效應(yīng)對各種突發(fā)性安全事件已成為不容忽視的問題。當(dāng)前，國家級的通信平臺、政府職能部門、電信通訊運(yùn)營商、跨地域大型企業(yè)，其網(wǎng)絡(luò)不僅部署地域分散，規(guī)模龐大，而且與業(yè)務(wù)系統(tǒng)耦合性較高。如何將現(xiàn)有安全系統(tǒng)納入統(tǒng)一的管理平臺，實(shí)現(xiàn)安全形勢全局分析和動態(tài)監(jiān)控已成為各級信息系統(tǒng)維護(hù)部門面臨的主要問題。 Security Operation Center（以下簡稱SOC）安全操作平臺應(yīng)運(yùn)而生，通過

2、集中收集、分析記錄了安全事件的日志，對網(wǎng)絡(luò)威脅及時作出反應(yīng)，向管理者提供安全趨勢報告，實(shí)現(xiàn)對風(fēng)險的有效控制，是目前流行的電信級安全解決方案。但已有的SOC系統(tǒng)架構(gòu)多為理論性質(zhì)，其模塊界定較為模糊，對日志處理過程的描述較為籠統(tǒng)，沒有說明日志處理有哪些步驟、每一步應(yīng)該如何處理、處理后達(dá)到什么效果等等。 本論文介紹并分析了已有的SOC系統(tǒng)架構(gòu)，提出了符合具體項(xiàng)目背景的SOC新架構(gòu)。與已有的SOC架構(gòu)相比，新架構(gòu)將日志的處理進(jìn)一步細(xì)化成

3、過濾、解析范化、歸并和關(guān)聯(lián)分析四個步驟，將處理所參考的規(guī)則獨(dú)立于流程外，并且貫穿日志處理始終。在新架構(gòu)的基礎(chǔ)上，本文提出了對日志進(jìn)行預(yù)處理的過濾模塊和解析范化模塊的概念。經(jīng)過大量調(diào)研，提出了過濾模塊的兩種過濾模式--基于PRI的過濾和基于字段的過濾；分析了解析范化處理的兩個難點(diǎn)--多層次結(jié)構(gòu)的日志解析和不同格式日志的整合。并依據(jù)目前主流的技術(shù)和協(xié)議，針對以上內(nèi)容提出了解決方法，按照新架構(gòu)處理程序與參考規(guī)則分離的思想提出了相應(yīng)的設(shè)計(jì)方案。