基于日志分析和防火墙安全矩阵的网站安全监控报警系统.pdf

摘要
申请专利号：	CN201310165880.3	申请日：	2013.05.08
公开号：	CN104144063A	公开日：	2014.11.12
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 12/24申请日:20130508\|\|\|公开
IPC分类号：	H04L12/24; H04L12/26; H04L29/06	主分类号：	H04L12/24
申请人：	朱烨; 袁晓东
发明人：	朱烨; 袁晓东
地址：	210037 江苏省南京市南京林业大学一村22栋304室
优先权：
专利代理机构：		代理人：
PDF下载：	PDF下载

内容摘要

为了及时发现和阻止针对网站的各类安全攻击，本发明以网站的安全管理员在实际安全运维中最依赖的两项工作为基础，发明了基于日志分析和防火墙安全矩阵的网站安全监控报警系统。其中日志监控的创新是通过对Apache/Tomcat/IIS的访问/错误日志及其他环境日志进行关键字/正则表达式过滤来自动发现已知和未知攻击，同时通过网站业务代码中的日志定制及时发现黑客攻击在早期引起的业务处理错误。另一创新是通过定义防火墙安全矩阵，然后采用直接或间接的网络连通性检测技术来验证矩阵的有效性，一旦发现安全矩阵被破坏则触发报警。该系统提供给管理员简单而有效的定制方式，可持续地增强对任何攻击或可疑行为的侦测能力。

权利要求书

1.  一种基于日志分析和防火墙安全矩阵的Web网站安全监控报警系统包含：
基于日志分析的安全监控子系统：基于对网站相关环境的所有日志的监控与关联分析，来及时发现对网站的网络攻击和可疑的非法访问行为，并采取报警和防护措施；
防火墙安全矩阵监控子系统：通过对防火墙安全矩阵的监控来发现在网络层违反安全策略的非法访问，并采取报警和防护措施。

2.  权利要求1中，对日志文件的监控方法指的是持续地，实时地或定时地对文件新增的内容进行检查，如果与预先配置的一个由若干个关键字或正则表达式或加权计算公式组成的表达式集合中的某一项或多项匹配，则认为检测到一个可疑事件。

3.  权利要求1中，对日志文件的监控和关联分析指的是在监控子系统发现可疑事件后，按照预先配置的策略和规则将该可疑事件与其他日志监控报告的可疑事件进行关联和基于加权表达式的计算，如果结果超过策略或规则中定义的阀值则判定为一次攻击事件或非法访问行为。

4.  权利要求1中，基于对网站相关环境的所有日志的监控包含但不限于对以下方面内容的监控：
Apache/Tomcat/IIS的访问日志/错误日志/安全日志；
网站应用日志中的错误/可疑事件；
安全设备报警日志；
防火墙安全矩阵监控日志；
网站所有主机的登录/用户操作日志/系统实时状态日志；
非网站合法进程发起的数据库连接日志。

5.  权利要求4中，对Apache/Tomcat/IIS的访问日志/错误日志/安全日志的监控方法指的是通过对所有已知的Web攻击所对应的日志中的错误信息作分析积累，进而构造一系列由关键字/正则表达式组成的检测规则，基于这个规则集即可对各类攻击进行实时的监控和侦测。

6.  权利要求4中，对网站应用日志中的错误/可疑事件的监控方法指的是指导用户在网站的业务逻辑代码中针对以下三类错误打印出对应的日志：1)任何非正常使用情况下的错误处理；2)对所有http请求作参数过滤，包含不应出现的特殊字符或包含不在合法参数值集合中的请求要记日志；3)对某个用户ID/Session试图访问它无权访问的某个后台接口或Action时要记日志。网站应用日志的格式除了给出指导外，系统可以对用户上传的代码作静态扫描，以给出明确的需要添加安全审计日志的代码位置。然后通过关键字/正则表达式对要监控的网站应用日志中的事件进行定义并启动监控。

7.  权利要求1中，防火墙安全矩阵指的是将所有区域的IP地址范围按不同的安全属性分成若干的命名区域，然后定义这些区域两两之间的安全策略，包括简单策略就是哪些端口可访问而哪些不可，以及高级策略如允许网络报文的类型，内容的关键元素等。

8.  权利要求1中，对防火墙安全矩阵的监控指的是采取直接和间接两种方式执行监控任务来验证这个矩阵的有效性，一旦发现不符合的就报警；直接方式监控指定时发起访问的尝试来检查连通性的要求，间接方式监控则是抓取网络报文，或加载内核模块/驱动模块来接受系统返回的网络报文信息，来与允许的访问列表进行对比检查。

9.  权利要求1中，基于日志分析的安全监控子系统包含
监控客户端代理：部署在网站各个服务器节点上，接受并执行来自中心管理节点的检查命令，按关键字/正则表达式作过滤并返回监控到的事件给管理节点，同时当管理节点确定某个访问/连接为非法时，监控代理根据要求在本地采取阻断访问和保护措施；
中心管理节点：既可以部署在本地也可以部署在远程，可以是单台服务器或虚拟机，也可以是多台服务器或虚拟机组成的集群，与监控客户端代理进行通信收集日志和发布命令、进行日志分析、触发报警机制。

10.  权利要求9中，中心管理节点包含
日志收集服务组件：接受监控代理和系统外节点如安全设备上传的经过首次过滤的日志关键内容，并分类存档和做关联合并；
日志分析引擎组件：按管理员配置的规则进行二次过滤和分析，产生报警事件送给监控与报警服务；
监控与报警服务组件：可扩展的监控系统主框架，可灵活地加载各种监控命令，提供短信/邮件/Web等多样化报警功能，并按配置发送阻断/防护命令给监控代理采取保护措施；
管理控制台组件：提供管理界面，定义或调整可疑事件的关键字/正则表达式，配置事件的关联规则/策略，设置报警条件和保护命令，察看报警的日志内容及相关信息等。

说明书

基于日志分析和防火墙安全矩阵的网站安全监控报警系统
技术领域
本发明的技术领域是信息安全领域的网站安全防护和监控报警系统。
背景技术
随着互联网应用的高速发展，各种Web网站以几何级数的速度高速增长，但层出不穷的黑客攻击对Web网站的可用性和安全性造成了巨大的威胁。目前主流的安全防护包括多种类的系统：入侵检测系统，Web应用防火墙，远程安全扫描等。但上述几类安全产品尚不足以保证网站的安全，原因如下：
入侵检测系统：依赖的机制是对网络报文的检查，因其不了解用户网站应用的业务逻辑，只能对已知的典型的漏洞利用方式、攻击特征进行匹配式的检查，而不能检测新类型的或是对特定目标的攻击，实际有效率就很低。有一些厂商会研发启发式规则，但限于在网络层来观察流量/报文，一来对正常业务性能影响较大，二来未知的正常/非正常访问方式非常之多，从而导致误判率太高。
Web应用防火墙(WAF)：主要针对OWASP组织发布的十大Web典型攻击方式来进行http报文解析和检查，发现并阻止攻击。WAF有其特定价值，但它的机制也是基于对已知的攻击方式进行匹配，因此很难对不断涌现的新漏洞/新攻击方式作有效的发现。
远程安全扫描：由于扫描的检测基础是只能检查远程访问/调用返回的结果，与已知结果作匹配，因此有很大的局限性，主要用于发现网站组件的安全漏洞，并不能及时地发现攻击和可疑行为。
对于网站安全来说，最重要的是及时发现并阻止攻击和可疑行为，而上述几种防护系统因为缺乏对客户业务系统的了解，也未提供足够强大的对未知和特定攻击的检测方法，因此尚不能达到理想的安全效果。
本发明以网站的安全管理员在实际安全运维中最依赖的两项工作为基础，发明了基于日志监控和防火墙安全矩阵监控的一套监控报警系统。该系统提供给管理员简单而有效的定制方式，可持续地增强对任何攻击或可疑行为的侦测能力，通过在实际运维工作中的有效性验证，效果显著，能弥补现有的其他网站安全防护系统的不足。
本发明基础之一的日志监控，是很多安全管理员已经使用的一种监控手段，把各种日志文件存档到一起，分类、按关键字作检查，发现可疑的问题就报警。但是管理员一般将日志监控用于系统/服务的可用性监控，而不是安全监控，而不用于安全监控，就没有积累黑客攻击的日志特征。即使有对访问日志作安全监控，主要都是防DDOS和防流量攻击，而从未有针对网站内容的异常访问的检测，比如漏洞利用的访问，SQL注入等。也正因为没有把日志监控作为一种安全防护的解决方案，也就从没有人提出过对网站应用的日志进行定制化要求，比如J2EE后台任何异常都要写日志，对请求参数作特殊字符过滤并记录可疑事件，对用户的未授权访问错误必须记日志等。有了这种网站业务代码中的日志定制，再与全面的日志监控和其他子系统共同构成一个解决方案，就是本发明的首要创新点。
本发明基础之二的防火墙安全矩阵监控，是此前从未有人提出的概念。作为网站安全防护的基础，最基本的防火墙只要配置全面，就能把除SQL注入、跨站攻击等Web端口(80/443端口)攻击之外的其他安全威胁都挡在外面。而大多数被攻陷的网站，都是黑客获得外层的主机/服务器权限后，远程登陆/自动下载来实施进一步的内容篡改和破坏，这一过程就必然会破坏原先系统定义的安全矩阵。本发明首创的第二个子系统就是采用直接或间接的网络连通性检测技术，来验证某些IP区域及端口范围彼此之间的连通性要求，如果在安全矩阵中是要求阻断的，一旦发现其变成连通状态，就说明某个点已被黑客攻破。
发明内容
本发明建立了一套基于日志分析和防火墙安全矩阵的Web网站安全监控报警系统，它包括两个子系统：基于日志分析的安全监控子系统和防火墙安全矩阵监控子系统。
基于日志分析的安全监控子系统是对网站所有相关环境的日志监控，它应包括但不限于对以下几方面的日志进行监控：
Apache/Tomcat/IIS的访问日志/错误日志/安全日志：通过访问日志，可发现请求地址和参数中包含已知攻击的尝试，比如GET/config.php？relative_script_path＝http://xxxxxxx，或是SQL注入的尝试：/print.php？what＝article&id＝’；通过错误日志，同样可发现对一些不存在的文件/目录的可疑访问，比如client denied by server configuration，File does not exist，Invalid URI in request等；通过安全日志监控，比如Apache的mod_security记录的可疑问题，还可进行定制的二次过滤以发现确定的攻击行为。通过对所有已知的Web攻击所对应的日志中的错误信息作分析积累，即可构造一系列由关键字/正则表达式组成的检测规则，基于这个规则集即可对各类攻击进行实时的监控和侦测。
网站应用日志中的错误/可疑事件：通常对网站的攻击或渗透会起始于对某些URL和参数的组合进行渗透性的访问尝试，因此在初期都会导致后台的业务逻辑发生错误。这里是本发明的一个创新点，系统将指导用户在网站的业务逻辑代码中针对以下三类错误打印出对应的日志：1)任何非正常使用情况下的错误处理，都需要打印日志以包括出错的原因，导致的请求/参数，类/方法/代码行等，比如J2EE的代码就需要对非预期的Exception都打印日志。这里的非正常使用并不包括普通用户可能的非法输入，或是其客户端环境原因导致的出错。2)对所有http请求作参数过滤，包含不应出现的特殊字符的要记日志，包含不在合法参数值集合中的请求要记日志，比如某个参数是传入手机号作查询，则不应出现任何字符。3)对某个用户ID/Session访问了他无权访问的某个后台接口/Action时要记日志，以发现某个用户试图寻找系统漏洞的可疑行为。除了给出指导外，系统还可以对用户上传的代码作静态扫描，以给出明确的需要添加安全审计日志的代码位置。当上述步骤完成并部署到生产环境之后，本发明系统将提供给管理员一个对安全日志进行配置的管理界面，可通过关键字/正则表达式对系统要监控的事件进行定义，并采用多种策略进行事件的关联和报警条件定制，比如对指定时间段内某个客户端IP的可疑事件作加权累计，达到阀值后启动短信/邮件/Web等多种方式报警。
安全设备报警日志：如果该网站已经部署了例如防火墙/入侵检测/Web应用防火墙等设备，则可以通过配置将它们的安全日志或SNMP消息收集到本系统的日志收集服务器上，同样地进行日志监控。这样一方面方便了管理员集中管理日志监控，同时还可以配置分析引擎对前述日志中发现的可疑事件与此处安全设备的报警进行关联，增加报警的准确率。
防火墙安全矩阵监控的日志：后面会阐述安全矩阵的监控机制，其产生的日志也会被实时收集并监控，在发现某个节点或访问不符合安全矩阵时报警。
网站所有主机的登录/用户操作日志/系统实时状态日志：本发明系统将包括Linux和Windows系统上的Agent代理程序，通过监控上述日志(Linux上可通过修改用户登录脚本和安全审计配置，Windows上调用安全审计服务)及时发现入侵行为。比如管理员账号在夜间的登录，系统对外的流量异常增长等。
非网站合法进程发起的数据库连接日志：此类监控可发现前端或后端管理的任何主机上的非法数据库访问。
上述日志监控系统在部署上是由遍布网站各个服务器节点的监控客户端代理和一个中心管理节点组成的。中心管理节点包括了监控与报警服务，日志分析引擎，日志收集服务和管理控制台四个组件。而物理上该管理节点可以是一台或多台部署本发明系统的主机/服务器集群，管理节点既可以在本地也可以在远程。上述四个组件及监控代理的功能简述如下：
监控代理：接受并执行来自中心管理节点的检查命令，按关键字/正则表达式作过滤并返回监控到的事件给管理节点。同时当管理节点确定某个访问/连接为非法时，监控代理根据要求在本地采取阻断访问和保护措施。
日志收集服务：接受监控代理和系统外节点如安全设备上传的经过首次过滤的日志关键内容，并分类存档和做关联合并。
日志分析引擎：按管理员配置的规则进行二次过滤和分析，产生报警事件送给监控与报警服务。
监控与报警服务：可扩展的监控系统主框架，可灵活地加载各种监控命令，提供短信/邮件/Web等多样化报警功能，并按配置发送阻断/防护命令给监控代理采取保护措施。
管理控制台：提供管理界面，定义或调整可疑事件的关键字/正则表达式，配置事件的关联规则/策略，设置报警条件和保护命令，察看报警的日志内容及相关信息等。
本发明的第二个子系统是防火墙安全矩阵监控子系统。首先管理员需要定义一个如附图3的安全矩阵，就是将所有区域的IP地址范围按不同的安全属性分成若干的命名区域，然后如附图4所示定义这些区域两两之间的安全策略，简单的策略就是哪些端口可访问而哪些不可，高级的可以是网络报文的类型，内容的关键元素等。例如一个三层架构的网站，最外层的Apache服务器所在网段，只允许访问外网的NTP和SMTP服务，外网只允许访问它的80/443端口；中间业务层的Tomcat所在网段，只有Apache主机能访问它的8009端口，它也只能访问第三层的数据库的指定端口，其他所有访问都是非法的。
有了上面这个防火墙安全矩阵，或者说访问控制列表，本发明系统就可以直接/间接地执行监控任务来验证这个矩阵的有效性，一旦发现不符合的就说明某个节点已被攻破，触发报警。直接监控指的是通过部署在各节点的监控代理，定时发起访问的尝试(比如telnet)来检查连通性的要求；间接监控则是由监控代理在节点上抓取网络报文(或加载内核模块/驱动模块来接受系统返回的网络报文信息)与允许的访问列表进行对比检查。该子系统的部署只需在第一个子系统的监控代理上增加上述安全矩阵监控的功能，将可疑事件发送到中心管理节点，即可沿用前面阐述的监控报警流程及时地通知到管理员。
综上所述，本发明将两个子系统结合，一方面防火墙安全矩阵监控保证了网络层没有违反安全策略的非法访问，另一方面结合网站业务代码改造的日志监控系统能检查出造成网站某个逻辑异常/出错的任何访问，从而确保黑客攻击能在早期阶段被有效地发现和阻止。
附图说明
图1：该系统的结构示意图
图2：日志监控子系统的工作流程图
图3：防火墙安全矩阵示例图，以一个虚拟的互联网金融网站”投资网”来示例
图4：安全矩阵中各个安全区域彼此间的安全策略示例图
具体实施方式
本系统的具体实施方式如下：
1、在网站的所有相关主机节点上部署监控代理，同时在本地内网或远程部署管理中心服务器。
2、网站安全管理员按照本系统的指导，设计整个网站的防火墙安全矩阵，并在网站相关环境的防火墙设备和主机上按矩阵要求进行配置。
3、管理员在本系统的管理节点上配置安全矩阵的监控参数，管理节点将监控要求下发给各监控代理。监控代理则采取直接和间接两种方式执行监控任务来验证这个矩阵的有效性，一旦发现不符合的就向管理节点报警。直接监控方式将定时发起访问的尝试(比如telnet)来检查连通性的要求，间接监控方式则是抓取网络报文(或加载内核模块/驱动模块来接受系统返回的网络报文信息)与允许的访问列表进行对比检查。
4、管理员按照本系统的指导，设计确定要监控的日志类型。对于网站应用日志中的错误/可疑事件，系统将指导用户在网站的业务逻辑代码中针对以下三类错误打印出对应的日志：1)任何非正常使用情况下的错误处理，都需要打印日志。2)对所有http请求作参数过滤，包含不应出现的特殊字符的要记日志，包含不在合法参数值集合中的请求要记日志。3)对某个用户ID/Session试图访问他无权访问的某个后台接口/Action时要记日志。除了给出指导外，系统还可以对用户上传的代码作静态扫描，明确给出需要添加安全审计日志的代码位置。
5、当上述步骤完成并将日志增强的代码部署到生产环境之后，本系统将提供给管理员一个对安全日志进行配置的管理界面，可通过关键字/正则表达式对系统要监控的事件进行定义，并采用多种策略进行事件的关联和报警条件定制，比如对指定时间段内某个客户端IP的可疑事件作加权累计，达到阀值后启动短信/邮件/Web等多种方式报警。
6、所有监控配置被下发到各个监控代理。监控代理将持续运行对其关注的日志进行实时监控，一旦发现匹配某个报警事件定义则通知管理节点，同时将相关的日志片断发送给管理节点。
7、管理节点会再根据全局策略与其他方面的报警事件相关联，确定此事件的严重程度，并在触发报警条件时通过短信/邮件/Web等多种方式报警，同时按预先配置规则发送保护措施如阻断连接命令给监控代理。
8、监控代理执行保护命令并阻断连接。
9、各种类型的日志还可以统一收集到管理节点的日志收集服务组件，通过分类关联分析作二次过滤，以提供给管理员更高级的日志分析和展示功能。

资源描述

《基于日志分析和防火墙安全矩阵的网站安全监控报警系统.pdf》由会员分享，可在线阅读，更多相关《基于日志分析和防火墙安全矩阵的网站安全监控报警系统.pdf（10页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104144063A43申请公布日20141112CN104144063A21申请号201310165880322申请日20130508H04L12/24200601H04L12/26200601H04L29/0620060171申请人朱烨地址210037江苏省南京市南京林业大学一村22栋304室申请人袁晓东72发明人朱烨袁晓东54发明名称基于日志分析和防火墙安全矩阵的网站安全监控报警系统57摘要为了及时发现和阻止针对网站的各类安全攻击，本发明以网站的安全管理员在实际安全运维中最依赖的两项工作为基础，发明了基于日志分析和防火墙安全矩阵的网站安全监控报警系统。其中日志监控的创新。

2、是通过对APACHE/TOMCAT/IIS的访问/错误日志及其他环境日志进行关键字/正则表达式过滤来自动发现已知和未知攻击，同时通过网站业务代码中的日志定制及时发现黑客攻击在早期引起的业务处理错误。另一创新是通过定义防火墙安全矩阵，然后采用直接或间接的网络连通性检测技术来验证矩阵的有效性，一旦发现安全矩阵被破坏则触发报警。该系统提供给管理员简单而有效的定制方式，可持续地增强对任何攻击或可疑行为的侦测能力。51INTCL权利要求书2页说明书5页附图2页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书5页附图2页10申请公布号CN104144063ACN104144063A1/。

3、2页21一种基于日志分析和防火墙安全矩阵的WEB网站安全监控报警系统包含基于日志分析的安全监控子系统基于对网站相关环境的所有日志的监控与关联分析，来及时发现对网站的网络攻击和可疑的非法访问行为，并采取报警和防护措施；防火墙安全矩阵监控子系统通过对防火墙安全矩阵的监控来发现在网络层违反安全策略的非法访问，并采取报警和防护措施。2权利要求1中，对日志文件的监控方法指的是持续地，实时地或定时地对文件新增的内容进行检查，如果与预先配置的一个由若干个关键字或正则表达式或加权计算公式组成的表达式集合中的某一项或多项匹配，则认为检测到一个可疑事件。3权利要求1中，对日志文件的监控和关联分析指的是在监控子系统。

4、发现可疑事件后，按照预先配置的策略和规则将该可疑事件与其他日志监控报告的可疑事件进行关联和基于加权表达式的计算，如果结果超过策略或规则中定义的阀值则判定为一次攻击事件或非法访问行为。4权利要求1中，基于对网站相关环境的所有日志的监控包含但不限于对以下方面内容的监控APACHE/TOMCAT/IIS的访问日志/错误日志/安全日志；网站应用日志中的错误/可疑事件；安全设备报警日志；防火墙安全矩阵监控日志；网站所有主机的登录/用户操作日志/系统实时状态日志；非网站合法进程发起的数据库连接日志。5权利要求4中，对APACHE/TOMCAT/IIS的访问日志/错误日志/安全日志的监控方法指的是通过对所有。

5、已知的WEB攻击所对应的日志中的错误信息作分析积累，进而构造一系列由关键字/正则表达式组成的检测规则，基于这个规则集即可对各类攻击进行实时的监控和侦测。6权利要求4中，对网站应用日志中的错误/可疑事件的监控方法指的是指导用户在网站的业务逻辑代码中针对以下三类错误打印出对应的日志1任何非正常使用情况下的错误处理；2对所有HTTP请求作参数过滤，包含不应出现的特殊字符或包含不在合法参数值集合中的请求要记日志；3对某个用户ID/SESSION试图访问它无权访问的某个后台接口或ACTION时要记日志。网站应用日志的格式除了给出指导外，系统可以对用户上传的代码作静态扫描，以给出明确的需要添加安全审计日志。

6、的代码位置。然后通过关键字/正则表达式对要监控的网站应用日志中的事件进行定义并启动监控。7权利要求1中，防火墙安全矩阵指的是将所有区域的IP地址范围按不同的安全属性分成若干的命名区域，然后定义这些区域两两之间的安全策略，包括简单策略就是哪些端口可访问而哪些不可，以及高级策略如允许网络报文的类型，内容的关键元素等。8权利要求1中，对防火墙安全矩阵的监控指的是采取直接和间接两种方式执行监控任务来验证这个矩阵的有效性，一旦发现不符合的就报警；直接方式监控指定时发起访问的尝试来检查连通性的要求，间接方式监控则是抓取网络报文，或加载内核模块/驱动模块来接受系统返回的网络报文信息，来与允许的访问列表进行对。

7、比检查。9权利要求1中，基于日志分析的安全监控子系统包含权利要求书CN104144063A2/2页3监控客户端代理部署在网站各个服务器节点上，接受并执行来自中心管理节点的检查命令，按关键字/正则表达式作过滤并返回监控到的事件给管理节点，同时当管理节点确定某个访问/连接为非法时，监控代理根据要求在本地采取阻断访问和保护措施；中心管理节点既可以部署在本地也可以部署在远程，可以是单台服务器或虚拟机，也可以是多台服务器或虚拟机组成的集群，与监控客户端代理进行通信收集日志和发布命令、进行日志分析、触发报警机制。10权利要求9中，中心管理节点包含日志收集服务组件接受监控代理和系统外节点如安全设备上传的经过。

8、首次过滤的日志关键内容，并分类存档和做关联合并；日志分析引擎组件按管理员配置的规则进行二次过滤和分析，产生报警事件送给监控与报警服务；监控与报警服务组件可扩展的监控系统主框架，可灵活地加载各种监控命令，提供短信/邮件/WEB等多样化报警功能，并按配置发送阻断/防护命令给监控代理采取保护措施；管理控制台组件提供管理界面，定义或调整可疑事件的关键字/正则表达式，配置事件的关联规则/策略，设置报警条件和保护命令，察看报警的日志内容及相关信息等。权利要求书CN104144063A1/5页4基于日志分析和防火墙安全矩阵的网站安全监控报警系统技术领域0001本发明的技术领域是信息安全领域的网站安全防护和监。

9、控报警系统。背景技术0002随着互联网应用的高速发展，各种WEB网站以几何级数的速度高速增长，但层出不穷的黑客攻击对WEB网站的可用性和安全性造成了巨大的威胁。目前主流的安全防护包括多种类的系统入侵检测系统，WEB应用防火墙，远程安全扫描等。但上述几类安全产品尚不足以保证网站的安全，原因如下0003入侵检测系统依赖的机制是对网络报文的检查，因其不了解用户网站应用的业务逻辑，只能对已知的典型的漏洞利用方式、攻击特征进行匹配式的检查，而不能检测新类型的或是对特定目标的攻击，实际有效率就很低。有一些厂商会研发启发式规则，但限于在网络层来观察流量/报文，一来对正常业务性能影响较大，二来未知的正常/非正。

10、常访问方式非常之多，从而导致误判率太高。0004WEB应用防火墙WAF主要针对OWASP组织发布的十大WEB典型攻击方式来进行HTTP报文解析和检查，发现并阻止攻击。WAF有其特定价值，但它的机制也是基于对已知的攻击方式进行匹配，因此很难对不断涌现的新漏洞/新攻击方式作有效的发现。0005远程安全扫描由于扫描的检测基础是只能检查远程访问/调用返回的结果，与已知结果作匹配，因此有很大的局限性，主要用于发现网站组件的安全漏洞，并不能及时地发现攻击和可疑行为。0006对于网站安全来说，最重要的是及时发现并阻止攻击和可疑行为，而上述几种防护系统因为缺乏对客户业务系统的了解，也未提供足够强大的对未知和特。

11、定攻击的检测方法，因此尚不能达到理想的安全效果。0007本发明以网站的安全管理员在实际安全运维中最依赖的两项工作为基础，发明了基于日志监控和防火墙安全矩阵监控的一套监控报警系统。该系统提供给管理员简单而有效的定制方式，可持续地增强对任何攻击或可疑行为的侦测能力，通过在实际运维工作中的有效性验证，效果显著，能弥补现有的其他网站安全防护系统的不足。0008本发明基础之一的日志监控，是很多安全管理员已经使用的一种监控手段，把各种日志文件存档到一起，分类、按关键字作检查，发现可疑的问题就报警。但是管理员一般将日志监控用于系统/服务的可用性监控，而不是安全监控，而不用于安全监控，就没有积累黑客攻击的日志。

12、特征。即使有对访问日志作安全监控，主要都是防DDOS和防流量攻击，而从未有针对网站内容的异常访问的检测，比如漏洞利用的访问，SQL注入等。也正因为没有把日志监控作为一种安全防护的解决方案，也就从没有人提出过对网站应用的日志进行定制化要求，比如J2EE后台任何异常都要写日志，对请求参数作特殊字符过滤并记录可疑事件，对用户的未授权访问错误必须记日志等。有了这种网站业务代码中的日志定制，再与全面的日志监控和其他子系统共同构成一个解决方案，就是本发明的首要创新点。0009本发明基础之二的防火墙安全矩阵监控，是此前从未有人提出的概念。作为网站说明书CN104144063A2/5页5安全防护的基础，最基本。

13、的防火墙只要配置全面，就能把除SQL注入、跨站攻击等WEB端口80/443端口攻击之外的其他安全威胁都挡在外面。而大多数被攻陷的网站，都是黑客获得外层的主机/服务器权限后，远程登陆/自动下载来实施进一步的内容篡改和破坏，这一过程就必然会破坏原先系统定义的安全矩阵。本发明首创的第二个子系统就是采用直接或间接的网络连通性检测技术，来验证某些IP区域及端口范围彼此之间的连通性要求，如果在安全矩阵中是要求阻断的，一旦发现其变成连通状态，就说明某个点已被黑客攻破。发明内容0010本发明建立了一套基于日志分析和防火墙安全矩阵的WEB网站安全监控报警系统，它包括两个子系统基于日志分析的安全监控子系统和防火墙。

14、安全矩阵监控子系统。0011基于日志分析的安全监控子系统是对网站所有相关环境的日志监控，它应包括但不限于对以下几方面的日志进行监控0012APACHE/TOMCAT/IIS的访问日志/错误日志/安全日志通过访问日志，可发现请求地址和参数中包含已知攻击的尝试，比如GET/CONFIGPHPRELATIVE_SCRIPT_PATHHTTP/XXXXXXX，或是SQL注入的尝试/PRINTPHPWHATARTICLEID；通过错误日志，同样可发现对一些不存在的文件/目录的可疑访问，比如CLIENTDENIEDBYSERVERCONFIGURATION，FILEDOESNOTEXIST，INVALID。

15、URIINREQUEST等；通过安全日志监控，比如APACHE的MOD_SECURITY记录的可疑问题，还可进行定制的二次过滤以发现确定的攻击行为。通过对所有已知的WEB攻击所对应的日志中的错误信息作分析积累，即可构造一系列由关键字/正则表达式组成的检测规则，基于这个规则集即可对各类攻击进行实时的监控和侦测。0013网站应用日志中的错误/可疑事件通常对网站的攻击或渗透会起始于对某些URL和参数的组合进行渗透性的访问尝试，因此在初期都会导致后台的业务逻辑发生错误。这里是本发明的一个创新点，系统将指导用户在网站的业务逻辑代码中针对以下三类错误打印出对应的日志1任何非正常使用情况下的错误处理，都需要。

16、打印日志以包括出错的原因，导致的请求/参数，类/方法/代码行等，比如J2EE的代码就需要对非预期的EXCEPTION都打印日志。这里的非正常使用并不包括普通用户可能的非法输入，或是其客户端环境原因导致的出错。2对所有HTTP请求作参数过滤，包含不应出现的特殊字符的要记日志，包含不在合法参数值集合中的请求要记日志，比如某个参数是传入手机号作查询，则不应出现任何字符。3对某个用户ID/SESSION访问了他无权访问的某个后台接口/ACTION时要记日志，以发现某个用户试图寻找系统漏洞的可疑行为。除了给出指导外，系统还可以对用户上传的代码作静态扫描，以给出明确的需要添加安全审计日志的代码位置。当上述。

17、步骤完成并部署到生产环境之后，本发明系统将提供给管理员一个对安全日志进行配置的管理界面，可通过关键字/正则表达式对系统要监控的事件进行定义，并采用多种策略进行事件的关联和报警条件定制，比如对指定时间段内某个客户端IP的可疑事件作加权累计，达到阀值后启动短信/邮件/WEB等多种方式报警。0014安全设备报警日志如果该网站已经部署了例如防火墙/入侵检测/WEB应用防火墙等设备，则可以通过配置将它们的安全日志或SNMP消息收集到本系统的日志收集服务器上，同样地进行日志监控。这样一方面方便了管理员集中管理日志监控，同时还可以配说明书CN104144063A3/5页6置分析引擎对前述日志中发现的可疑事件。

18、与此处安全设备的报警进行关联，增加报警的准确率。0015防火墙安全矩阵监控的日志后面会阐述安全矩阵的监控机制，其产生的日志也会被实时收集并监控，在发现某个节点或访问不符合安全矩阵时报警。0016网站所有主机的登录/用户操作日志/系统实时状态日志本发明系统将包括LINUX和WINDOWS系统上的AGENT代理程序，通过监控上述日志LINUX上可通过修改用户登录脚本和安全审计配置，WINDOWS上调用安全审计服务及时发现入侵行为。比如管理员账号在夜间的登录，系统对外的流量异常增长等。0017非网站合法进程发起的数据库连接日志此类监控可发现前端或后端管理的任何主机上的非法数据库访问。0018上述日志。

19、监控系统在部署上是由遍布网站各个服务器节点的监控客户端代理和一个中心管理节点组成的。中心管理节点包括了监控与报警服务，日志分析引擎，日志收集服务和管理控制台四个组件。而物理上该管理节点可以是一台或多台部署本发明系统的主机/服务器集群，管理节点既可以在本地也可以在远程。上述四个组件及监控代理的功能简述如下0019监控代理接受并执行来自中心管理节点的检查命令，按关键字/正则表达式作过滤并返回监控到的事件给管理节点。同时当管理节点确定某个访问/连接为非法时，监控代理根据要求在本地采取阻断访问和保护措施。0020日志收集服务接受监控代理和系统外节点如安全设备上传的经过首次过滤的日志关键内容，并分类存档。

20、和做关联合并。0021日志分析引擎按管理员配置的规则进行二次过滤和分析，产生报警事件送给监控与报警服务。0022监控与报警服务可扩展的监控系统主框架，可灵活地加载各种监控命令，提供短信/邮件/WEB等多样化报警功能，并按配置发送阻断/防护命令给监控代理采取保护措施。0023管理控制台提供管理界面，定义或调整可疑事件的关键字/正则表达式，配置事件的关联规则/策略，设置报警条件和保护命令，察看报警的日志内容及相关信息等。0024本发明的第二个子系统是防火墙安全矩阵监控子系统。首先管理员需要定义一个如附图3的安全矩阵，就是将所有区域的IP地址范围按不同的安全属性分成若干的命名区域，然后如附图4所示定。

21、义这些区域两两之间的安全策略，简单的策略就是哪些端口可访问而哪些不可，高级的可以是网络报文的类型，内容的关键元素等。例如一个三层架构的网站，最外层的APACHE服务器所在网段，只允许访问外网的NTP和SMTP服务，外网只允许访问它的80/443端口；中间业务层的TOMCAT所在网段，只有APACHE主机能访问它的8009端口，它也只能访问第三层的数据库的指定端口，其他所有访问都是非法的。0025有了上面这个防火墙安全矩阵，或者说访问控制列表，本发明系统就可以直接/间接地执行监控任务来验证这个矩阵的有效性，一旦发现不符合的就说明某个节点已被攻破，触发报警。直接监控指的是通过部署在各节点的监控代理。

22、，定时发起访问的尝试比如TELNET来检查连通性的要求；间接监控则是由监控代理在节点上抓取网络报文或加载内核模块/驱动模块来接受系统返回的网络报文信息与允许的访问列表进行对比检查。说明书CN104144063A4/5页7该子系统的部署只需在第一个子系统的监控代理上增加上述安全矩阵监控的功能，将可疑事件发送到中心管理节点，即可沿用前面阐述的监控报警流程及时地通知到管理员。0026综上所述，本发明将两个子系统结合，一方面防火墙安全矩阵监控保证了网络层没有违反安全策略的非法访问，另一方面结合网站业务代码改造的日志监控系统能检查出造成网站某个逻辑异常/出错的任何访问，从而确保黑客攻击能在早期阶段被有效。

23、地发现和阻止。附图说明0027图1该系统的结构示意图0028图2日志监控子系统的工作流程图0029图3防火墙安全矩阵示例图，以一个虚拟的互联网金融网站”投资网”来示例0030图4安全矩阵中各个安全区域彼此间的安全策略示例图具体实施方式0031本系统的具体实施方式如下00321、在网站的所有相关主机节点上部署监控代理，同时在本地内网或远程部署管理中心服务器。00332、网站安全管理员按照本系统的指导，设计整个网站的防火墙安全矩阵，并在网站相关环境的防火墙设备和主机上按矩阵要求进行配置。00343、管理员在本系统的管理节点上配置安全矩阵的监控参数，管理节点将监控要求下发给各监控代理。监控代理则采取。

24、直接和间接两种方式执行监控任务来验证这个矩阵的有效性，一旦发现不符合的就向管理节点报警。直接监控方式将定时发起访问的尝试比如TELNET来检查连通性的要求，间接监控方式则是抓取网络报文或加载内核模块/驱动模块来接受系统返回的网络报文信息与允许的访问列表进行对比检查。00354、管理员按照本系统的指导，设计确定要监控的日志类型。对于网站应用日志中的错误/可疑事件，系统将指导用户在网站的业务逻辑代码中针对以下三类错误打印出对应的日志1任何非正常使用情况下的错误处理，都需要打印日志。2对所有HTTP请求作参数过滤，包含不应出现的特殊字符的要记日志，包含不在合法参数值集合中的请求要记日志。3对某个用户。

25、ID/SESSION试图访问他无权访问的某个后台接口/ACTION时要记日志。除了给出指导外，系统还可以对用户上传的代码作静态扫描，明确给出需要添加安全审计日志的代码位置。00365、当上述步骤完成并将日志增强的代码部署到生产环境之后，本系统将提供给管理员一个对安全日志进行配置的管理界面，可通过关键字/正则表达式对系统要监控的事件进行定义，并采用多种策略进行事件的关联和报警条件定制，比如对指定时间段内某个客户端IP的可疑事件作加权累计，达到阀值后启动短信/邮件/WEB等多种方式报警。00376、所有监控配置被下发到各个监控代理。监控代理将持续运行对其关注的日志进行实时监控，一旦发现匹配某个报警。

26、事件定义则通知管理节点，同时将相关的日志片断发送给管理节点。00387、管理节点会再根据全局策略与其他方面的报警事件相关联，确定此事件的严重说明书CN104144063A5/5页8程度，并在触发报警条件时通过短信/邮件/WEB等多种方式报警，同时按预先配置规则发送保护措施如阻断连接命令给监控代理。00398、监控代理执行保护命令并阻断连接。00409、各种类型的日志还可以统一收集到管理节点的日志收集服务组件，通过分类关联分析作二次过滤，以提供给管理员更高级的日志分析和展示功能。说明书CN104144063A1/2页9图1图2图3说明书附图CN104144063A2/2页10图4说明书附图CN104144063A10。

展开阅读全文