赛克综合审计软件设计

赛克综合审计软件产品版本号为产品唯一标识审计管理现网络上的典型异常行为并提供能初步支撑安全运维、行关联分析包括单条日志的度关联分析以及多条日志的关联分充等、数据以及数据管理和检索。综合审计软件技术架构主要分为四大模块，即模块、实数据配 息运 2.3当发生安全时对应的会产生相应的安全日志或安全告警信息安全分析平台通过主动和接收的方式获取安全ElasticSearch。经H2（Elastic实确确字字字时H22.3.1日志的主要作用是获取相关的日志和告警信息，根据方式的不同可以分为两大类：服务即在综合审计软件服务器上开启服务接服务器上的服务最后综合审计软件服务器对日志进行分析处主动：即主动从日志服务器日志，如通过jdbc远日志源产生的日志在本地的服务器上，综合审计软件服务器通过功能主动到日志服务器取日志最后综合审计软件服务器对流量通过端口镜像的方法从网络流量中网络数据归一化主要是完成数据的拆分和过滤针对到的原始日系统通过接口到日志后根据的资产获取日志模板。志解析模板，日志的解析模板等。流量数据归一化将到的流量数据进行标准化根据网卡中的原始包内容，由于原始包内容由于是二进制的，所以要进行base64通过插件式的配置可以有选择性特定方向的数据库流量MySQL、SQLServer、Oracle、DB2关联分析主要对来自日志的大量日志和告警信息进行解析，包括单条或多条日志及告警信息的单维度和度分析，并通过匹配关联规则，实现对安全告警及异常行为产生关联告警。关联分析中最重要的组成即为关联规则，通过关联规则可以实现对安全的关联分析。 用到一个指定安全的任何域或所有域关联规则只针对特定类型的安全， 安全级别定义如下123451-3（123安全告警级别定义综合审计软件将分析产生的安全告警发送给运维人员进行告警确认流程系统中处理，综合审计软件在告警显示中自动更新相关工单处理状由于网络志的数量非常巨大，而且还需要经常进行查询和统计，所以对对于告警和系统中的配置，由于需要进行关联查询，Elasticsearch的关联查询不是非常方便，所以这类数据在关系型数据库H2中。h2中的用户角色菜单关系模型H2数据库中的告警，日志，工单关系模型自下而上分为了4层，分别为层、数据分析层、层和门户层。 系统通过和主动两种方式提供设备日志功能；通过网络提供流量功能。对到的日志和流量数据进行处理和分析，处理分析过程由标准化处理、数据合并、数据过滤、关联分析、、处理组成。层日志及流量相关的数据在全文搜索ES数据库中进行和检索警相关的数据在关系型数据库中进行和检索。日志分析模日志分析模块对日志源的日志进行，按照统一的格式标准进行文搜索ES数据库中、告警相关数据至关系数据库中。流量分析模流量分析模块从网卡镜像流量，进行协议识别、分析和还原，将结果到全文搜索ES数据库中。WEBWeb服务器为用户展示数据及分析结果，提供系统的配置和管理功能。日志和流量相关的数据从全文搜索ES数据库中获取，告警和系统相关的配置信息从关系型数据库中获取Web服务器通过下发策略给日志模块和流量分析模块，以实现对其他模块状态的控制。WEBrmi远ES对日志和流量进行和搜索，适合对非结构性的数据进行大量的JAVA9300接对配置信息和告警相关数据进行关系型数据库通过JDBC接口与其WEBWEB层。其中，WEB层采用了如下技术：SpringMVC3.0Restful、JSP2.0、SiteMesh2、JQueryBootstrapJQueryValidationhibernateValidation混合的方式来进Hibernate、TomcatJDBC等通口，并基于全文搜索数据库ElasticSearch和关H2Shiro库来进行对权限的控ApacheCommonsLangApacheCommonsIOJacksonSlf4j日志分析模块的技术主要包含两个部分：与数据源日志接口层包各种协议的日志；与数据库进行交互的数据库接口层包含了ApacheDbutils、TomcatJDBCElasticSearchH2流量分析模块的技术选型主要分为两个部分：PF-RING技术能够实现零拷贝的网络包，提升效率；ndpi和ntopng两个工具可以实现对网络C++11√12√34operator:EQNEQ,LIKE,GTLTGTE,LTE,INREGNOTIN,ANDOR,NULL,NOTNULL;{{"pageNumber":"pageSize":100,"sortFieldName":"processType","conditionList":[]}12345IP678dis9dis告警{{"content":{"id":"alertCode":"OutWorkTimeRule","alertDate":1544427844094,"alertRuleId":"alertSource":"alertType业务告警","degree":2, yDetail":"目标IP192.168.1.13在2018-01-0700:01:33时候产生了非上 ip为192.168.21.1", yTitle":"目标IP192.168.1.13在2018-01-0700:01:33时候产生了非上班 ip为192.168.21.1","eventCount":"mergeValue":"OutWorkTimeRule192.168.21.1192.168.1.13root","objectAddress":"192.168.1.13","processFlag":"N","processType":"new","ruleName":非上班时间登录","ticketNo":"","batchNo":"alertTarget":"192.168.1.13","caused":"log","sourcePort":"targetPort":"number":"size":"sort":{"direction":"ASC","property":"processType","ignoreCase":false,"ascending":true}"totalElements":"totalPages":"numberOfElements":13,"lastPage":true,"firstPage":true}api：DELETE 12{fail:{fail:0,fail:api：PUT 12 api：POST{{"pageNumber":"pageSize":10,"sortFieldName":"id","conditionList":[]}123456789ssh、talnet、snmpv1、或）*性5-{{"content":{"id":"createdBy":"createdDate":"safeAssetCode":"localhost","safeAssetName":"safeAssetType":"host","osVersion"centosx64","factory":"cisco","networkArea":"dmz","business":"办公系统","userName":"protocol":"ssh","ip":"192.168.1.13", ity":"integrity":"availability":1,"activeFlag":"Y","logSafeAssetServices":[]}"number":"size":"sort":{"property":"id","ignoreCase":false,"ascending":false}"lastPage":"firstPage":true,"numberOfElements":"firstPage":true,"numberOfElements":1,"totalPages":"totalElements":}id(1)api：GETapi/asset/{id}(2)id{{"id":"createdBy":"createdDate":"lastUpdBy":"lastUpdDate"1544515241551,"safeAssetCode":"localhost","safeAssetName":"localhost","safeAssetType":"host","osVersion":"centosx64","factory":"cisco","networkArea":"dmz","business":"办公系统","userName":"protocol":"ip":"ip":"port":8843,"loginUser":"admin","password":"ity":"integrity":"availability":"remark":"\t\t\t\t\t\t\t123test\t\t\t\t\t\t","activeFlag":"Y","logSafeAssetServices":}api：PUT123"safeAssetCode":"testaddandupdate",123{{"add":1,"fail":0,"update":api：DELETE12{fail:{fail:0,success:(1)api：GETapi/asset/attribute1234[[{"id":"dicCode": ame":"remark":操作系统{"id":"dicCode":"FACTORY", ame":"factory","remark":厂家](1)api：GETapi/asset/attribute/{id}12[[{"id":"baseDicId":51,"code":"secisland","createdBy":1,"createdDate":1373990401000,"isInternal":"Y","name":"secisland","remark":"secisland","value":"secisland"{"id":"baseDicId":"baseDicId":51,"code":"h3c","createdBy":1,"createdDate":1373990401000,"isInternal":"Y","name":"remark":"value":](1)api：GETapi/asset/attribute/detail/{id}{{"id":"baseDicId":"code":"windows2012","createdBy":1,"createdDate":1373990401000,"isInternal":"Y","name":"remark":"remark":"windowsserver2012","value":"windows2012"}(1)api：POSTapi/asset/attribute/{id}1√234{{"id":"code":"test"name测试添加属性值","remark":"jsonapitest"}truetrue(1)api：DELETEapi/asset/attribute/{deleteId}/{id}truetrue资产报表务(1)api：GETapi/asset/bussiness1是否启用拖拽23Trigger-触发类型；formatter-位置4orient-布局方式;data-图例内容数5驱动图表生成name-;type-图标类{{"calculable":false,"title":{"text":"业 "tooltip":"trigger":"formatter":"{a}<br/>{b}:{c}"legend":"x":"right","orient":"vertical","data":["其他]"series":{"data":{"value":"name其他}"name":业务系统"type":"pie","center":["radius":}]}资产报表中网络区域(1)api：GETapi/asset/networkarea响应参数描述：同4.2.10业务饼{{"calculable":false,"title":{"text":"网络区 "tooltip":"trigger":"axis","formatter":"{b}<br>{c}","axisPointer":{"type":}"grid":{"y2":}"xAxis":{"data":"type":"category","axisLabel":{"rotate":}}"yAxis":{"type":"value","axisLabel":{"formatter":}}"series":{"data":1"type":"bar","barMaxWidth":80}]}资产报表中设备类别(1)api：GETapi/asset/assettype响应参数描述：同4.2.10业务饼{{"calculable":false,"title":{"text":"设备类 "tooltip":"trigger":"formatter":"{a}<br/>{b}:{c}"legend":"x":"right","orient":"vertical","data":["其他]"series":{"data":{"value":"value":"name其他}"name":设备类别"type":"pie","center":["radius":}]}资产报表中操作系统(1)api：GETapi/asset/osversion响应参数描述：同4.2.10业务饼{{"calculable":false,"title":{"text":"操作系 "tooltip":"trigger":"axis","formatter":"{b}<br>{c}","axisPointer":{"type":}"grid":{"y2":}"xAxis":{"data":"type":"category","axisLabel":{"rotate":}}"yAxis":{"type":"value","axisLabel":{"formatter":}}}"series":{"data":1"type":"bar","barMaxWidth":80