智能化工业安全管理：多源日志分析与协同联动处置-为国家安全锻矛铸盾

智能化工业安全管理：多源日志分析与协同联动处置

时间：2024-05-28 访问量：3028

背景

随着工业企业数字化转型和发展，公司信息化资产数量日趋增多、系统的关联性和复杂度不断增强，与此同时新型安全威胁越来越严重，各类安全攻击手段也层出不穷，威胁发现和处置的效率比较慢，为此企业部署了防火墙、审计、入侵检测等诸多网络安全检测类、防护类产品，但是各自隔离，没法充分的进行数据统计收集与处置。为了更好监控和保障信息系统运行，及时识别和防范安全风险，同时满足国家和行业监管要求，保证信息安全管理工作的依法合规，亟需建立一个集中管理平台，对异构多源日志进行集中采集、分析，做到事前预警、事中监控、事后分析处置，全面提升信息安全管理与防护水平，为工控网络安全运营提供决策支持。

日志范式化解析

日志范式化解析是指将非结构化的日志数据转换为一种标准的、结构化的格式，以便于进一步的分析和处理。这个过程通常包括以下几个步骤：

数据收集：首先，从各种来源（如服务器、网络设备、应用程序等）收集日志数据。

预处理：清洗和过滤日志数据，去除无用或重复的信息，准备进行进一步的分析。

规范化：将收集到的非结构化日志数据转换成一种统一的结构化格式，例如JSON或CSV。这一步通常涉及到解析日志消息的各种字段，如时间戳、来源、类型、级别、消息内容等，并将其放入预定义的模板中。

索引和存储：将规范化后的日志数据存储在数据库或搜索引擎中，以便快速检索和分析。这通常涉及到建立索引，以加速查询操作。

分析和可视化：使用数据分析工具对存储的日志数据进行分析，找出模式、异常值和趋势。然后，将这些分析结果通过图表、仪表盘等形式展示出来，帮助决策者更好地理解数据。

日志范式化解析的目标是使日志数据更易于管理和分析，对上报日志的解析、映射、入库、分析的一系列的操作，从而能够快速识别问题，改进运营效率，以及提高系统的安全性，下面是几种典型的日志采集手段：

syslog：Syslog是一种标准化的日志消息传输协议，它用于在计算机系统和网络设备之间传输日志消息。它允许系统、应用程序和设备将日志信息发送到远程日志服务器或集中式日志管理系统，以进行存储、分析和监控。Syslog消息通常包含关于事件、错误、警告和其他系统活动的信息。每个消息都包含时间戳、设备标识符、日志级别和具体的日志消息内容。Syslog提供了一种标准化的方法，使得各种设备和应用程序能够生成和接收这些消息，从而实现日志的集中管理和分析。

kafka：Kafka是一种高吞吐量的分布式发布订阅消息系统，它可以处理消费者在网站中的所有动作流数据。Kafka 可以建立流数据管道,可靠的在系统或应用之间获取数据, 建立流式应用传输和响应数据。可以接收海量的JSON格式日志。

ftp/sftp：ftp/sftp是用于在网络上进行文件传输的一套标准协议。协议的设计允许用户以文件操作的方式（如上传）与另一主机相互通信，即使双方计算机可能配有不同的操作系统和文件存储方式。FTP是互联网中应用非常广泛的服务之一，因为它提供了文件共享和高效数据传输的功能。可以用他来传送存储日志文件。

典型案例分析

下面结合具体的案例，描述下整个处置过程，组网如下图所示，其中博智工控防火墙串接在靶机之前，博智工业审计系统连接交换机的流量镜像口，实时监控攻击机与目标靶机之间的通讯流量，相关安全设备均能与管理平台进行正常通讯。

640 - 2024-05-28T100442.743.webp