本發(fā)明涉及網(wǎng)絡安全領域，具體涉及一種安全配置變更檢測方法和裝置。

背景技術：

隨著網(wǎng)絡的開放性、互聯(lián)性、共享程度的擴大，企業(yè)越來越依賴信息和網(wǎng)絡技術，隨著網(wǎng)絡安全威脅越來越大而單一的安全技術或安全設備無法滿足網(wǎng)絡對安全的要求，企業(yè)對網(wǎng)絡安全的部署變得日趨復雜，而安全設備產(chǎn)品種類繁多，搭建環(huán)境具有多樣性，而設備上的策略配置愈趨繁瑣，這對技術人員的水平要求很高，而往往很多企業(yè)的技術人員沒有足夠的安全領域相關知識，導致在安全設備上進行的配置存在諸多隱患。

Skybox Security調(diào)查發(fā)現(xiàn)，58％企業(yè)在他們的NGFW(Next Generation Firewall，下一代防火墻)上部署了100條以上的規(guī)則，而35％的公司每月執(zhí)行100次以上變更，頻繁變更易導致配置錯誤。據(jù)Gartner統(tǒng)計，99％的防火墻安全事件均是由防火墻的配置錯誤而引起。企業(yè)需要一種自動檢測安全設備配置變更的方法，將技術和管理有機的結合起來，對網(wǎng)絡安全進行統(tǒng)一管理和控制，提高整體安全水平。

現(xiàn)有的配置變更技術只有針對變更的可行性給出核查方法，缺少對該變更行為的實時檢測。

技術實現(xiàn)要素：

本發(fā)明提供一種安全配置變更檢測方法和裝置，能夠?qū)崿F(xiàn)安全配置變更的自動化檢測。

為了實現(xiàn)上述發(fā)明目的，本發(fā)明采取的技術方案如下：

一種安全配置變更檢測方法，包括：

對獲取的日志內(nèi)容進行篩選，獲得符合變更范疇的第一日志內(nèi)容；

對符合變更范疇的第一日志內(nèi)容提取配置變更的第二日志內(nèi)容；

針對配置變更的第二日志內(nèi)容中的變更內(nèi)容，依據(jù)配置核查條目檢測變更后的配置的遵從程度，確定配置核查結果。

進一步地，對獲取的日志內(nèi)容進行篩選包括：

根據(jù)日志等級分類篩選所述日志內(nèi)容；或者，根據(jù)時間排序分類篩選所述日志內(nèi)容。

進一步地，根據(jù)日志等級分類篩選所述日志內(nèi)容包括：

獲取所述日志內(nèi)容對應的日志信息列表中日志等級；

根據(jù)配置變更內(nèi)容所屬的日志等級篩選出配置變更內(nèi)容所屬的日志等級對應的日志內(nèi)容。

進一步地，根據(jù)時間排序分類篩選所述日志內(nèi)容包括：

獲取所述日志內(nèi)容對應的日志信息列表中日志記錄的時間；

篩選出日志記錄的時間在預設變更時間范圍內(nèi)的日志內(nèi)容。

進一步地，對符合變更范疇的第一日志內(nèi)容提取配置變更的第二日志內(nèi)容包括：

將所述第一日志內(nèi)容或所述第一日志內(nèi)容中的描述內(nèi)容與關鍵字列表或者關鍵字段列表進行匹配，當所述第一日志內(nèi)容或所述第一日志內(nèi)容中的描述內(nèi)容存在關鍵字列表或者關鍵字段列表中的元素，則確定所述第一日志內(nèi)容存在配置變更。

為解決上述技術問題，本發(fā)明還提供一種安全配置變更檢測裝置，包括：

日志篩選模塊，用于對獲取的日志內(nèi)容進行篩選，獲得符合變更范疇的第一日志內(nèi)容；

變更模塊，用于對符合變更范疇的第一日志內(nèi)容提取配置變更的第二日志內(nèi)容；

安全策略管控模塊，用于針對配置變更的第二日志內(nèi)容中的變更內(nèi)容，依據(jù)配置核查條目檢測變更后的配置的遵從程度，確定配置核查結果

優(yōu)選地，所述日志篩選模塊包括：

等級篩選單元，用于根據(jù)日志等級分類篩選所述日志內(nèi)容；或者，

時間篩選單元，用于根據(jù)時間排序分類篩選所述日志內(nèi)容。

優(yōu)選地，所述等級篩選單元根據(jù)日志等級分類篩選所述日志內(nèi)容是指：

獲取所述日志內(nèi)容對應的日志信息列表中日志等級；

根據(jù)配置變更內(nèi)容所屬的日志等級篩選出配置變更內(nèi)容所屬的日志等級對應的日志內(nèi)容。

優(yōu)選地，所述時間篩選單元根據(jù)時間排序分類篩選所述日志內(nèi)容是指：

獲取所述日志內(nèi)容對應的日志信息列表中日志記錄的時間；

篩選出日志記錄時間在預設變更時間范圍內(nèi)的日志內(nèi)容。

優(yōu)選地，所述變更模塊對符合變更范疇的第一日志內(nèi)容提取配置變更的第二日志內(nèi)容是指：

將所述第一日志內(nèi)容或所述第一日志內(nèi)容中的描述內(nèi)容與關鍵字列表或者關鍵字段列表進行匹配，當所述第一日志內(nèi)容或所述第一日志內(nèi)容中的描述內(nèi)容存在關鍵字列表或者關鍵字段列表中的元素，則確定所述第一日志內(nèi)容存在配置變更。

本發(fā)明和現(xiàn)有技術相比，具有如下有益效果：

本發(fā)明提供的安全配置變更檢測方法和裝置，通過對設備上的日志記錄進行詳細分析來判斷是否有變更行為，在安全配置頻繁變更的情況下做到不影響企業(yè)安全。

附圖說明

圖1是本發(fā)明實施例的一種安全配置變更檢測方法的流程圖；

圖2是本發(fā)明實施例的一種安全配置變更檢測裝置的結構示意圖；

圖3是本發(fā)明實施例的支持Syslog日志服務器的變更自動檢測方法的流程圖；

圖4是本發(fā)明實施例的支持直接接收日志的變更自動檢測方法的流程 圖；

圖5是本發(fā)明實施例的支持提供建議的變更自動檢測方法的流程圖。

具體實施方式

為使本發(fā)明的發(fā)明目的、技術方案和有益效果更加清楚明了，下面結合附圖對本發(fā)明的實施例進行說明，需要說明的是，在不沖突的情況下，本申請中的實施例和實施例中的特征可以相互任意組合。

如圖1所示，本發(fā)明實施例提供一種安全配置變更檢測方法，包括：

S101、對獲取的日志內(nèi)容進行篩選，獲得符合變更范疇的第一日志內(nèi)容；

S102、對符合變更范疇的第一日志內(nèi)容提取配置變更的第二日志內(nèi)容；

S103、針對配置變更的第二日志內(nèi)容中的變更內(nèi)容，依據(jù)配置核查條目檢測變更后的配置的遵從程度，確定配置核查結果。

其中，日志內(nèi)容既可以是直接從設備、裝置或系統(tǒng)上獲取到的日志信息，也可以是通過連接設備、裝置或系統(tǒng)的Syslog日志服務器間接獲取到的日志信息。

步驟S101中對獲取的日志內(nèi)容進行篩選可以根據(jù)諸如時間排序、日志等級等方法過濾掉不符合變更范疇的日志類型，以便進一步的變更內(nèi)容識別：

根據(jù)日志等級分類篩選所述日志內(nèi)容包括：

獲取所述日志內(nèi)容對應的日志信息列表中日志等級；

根據(jù)配置變更內(nèi)容所屬的日志等級篩選出配置變更內(nèi)容所屬的日志等級對應的日志內(nèi)容。

根據(jù)時間排序分類篩選所述日志內(nèi)容包括：

獲取所述日志內(nèi)容對應的日志信息列表中日志記錄時間；

篩選出日志記錄時間在預設變更時間范圍內(nèi)的日志內(nèi)容。

根據(jù)日志等級分類篩選日志：以Juniper的防火墻為例，能夠看到從防火墻設備上獲取的日志信息列表的Level一列日志等級內(nèi)容，等級分為Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging 八個等級，其中配置變更內(nèi)容屬于Notification等級，進行日志篩選的時候只需提取出Level等級為Notification的日志以供進一步篩選。

根據(jù)時間排序方式篩選日志：同樣以Juniper的防火墻為例，根據(jù)從防火墻設備上獲取的日志信息列表，這里可以將進行日志等級分類篩選后的信息進行進一步篩選，根據(jù)日志中的Date/Time一列內(nèi)容，按時間進行逆序排序，提取30秒內(nèi)的(可以根據(jù)需求或者實際情況而決定)所有日志，30秒之外的日志信息都丟棄，從而得到時間較新的所有日志信息。

步驟S102中對符合變更范疇的第一日志內(nèi)容提取配置變更的第二日志內(nèi)容包括：

將所述第一日志內(nèi)容或所述第一日志內(nèi)容中的描述內(nèi)容與關鍵字列表或者關鍵字段列表進行匹配，當所述第一日志內(nèi)容或所述第一日志內(nèi)容中的描述內(nèi)容存在關鍵字列表或者關鍵字段列表中的元素，則確定所述第一日志內(nèi)容存在配置變更。

具體地，對上一步篩選完的日志進行進一步的識別，提取有關配置變更的日志內(nèi)容，例如，可以根據(jù)配置變更中用到的關鍵字篩選日志，實現(xiàn)變更的精確定位。以Juniper防火墻為例，當發(fā)生配置變更時，日志信息中Description一列的內(nèi)容里會有modified、added、changed等字段，需要提前分析出與變更相關的所有關鍵字，并將這些關鍵字存入關鍵字列表中。當?shù)玫胶Y選后的日志信息時，根據(jù)關鍵字列表中的元素去查找Description中是否存在，如果存在則認為識別到變更。

如圖2所示，本發(fā)明實施例還提供一種安全配置變更檢測裝置，包括：

日志篩選模塊210，用于對獲取的日志內(nèi)容進行篩選，獲得符合變更范疇的第一日志內(nèi)容；

變更模塊220，用于對符合變更范疇的第一日志內(nèi)容提取配置變更的第二日志內(nèi)容；

安全策略管控模塊230，用于針對配置變更的第二日志內(nèi)容中的變更內(nèi)容，依據(jù)配置核查條目檢測變更后的配置的遵從程度，確定配置核查結果

所述日志篩選模塊210包括：

等級篩選單元，用于根據(jù)日志等級分類篩選所述日志內(nèi)容；或者，

時間篩選單元，用于根據(jù)時間排序分類篩選所述日志內(nèi)容。

所述等級篩選單元根據(jù)日志等級分類篩選所述日志內(nèi)容是指：

獲取所述日志內(nèi)容對應的日志信息列表中日志等級；

根據(jù)配置變更內(nèi)容所屬的日志等級篩選出配置變更內(nèi)容所屬的日志等級對應的日志內(nèi)容。

所述時間篩選單元根據(jù)時間排序分類篩選所述日志內(nèi)容是指：

獲取所述日志內(nèi)容對應的日志信息列表中日志記錄時間；

篩選出日志記錄時間在預設變更時間范圍內(nèi)的日志內(nèi)容。

所述變更模塊220對符合變更范疇的第一日志內(nèi)容提取配置變更的第二日志內(nèi)容是指：

將所述第一日志內(nèi)容或所述第一日志內(nèi)容中的描述內(nèi)容與關鍵字列表或者關鍵字段列表進行匹配，當所述第一日志內(nèi)容或所述第一日志內(nèi)容中的描述內(nèi)容存在關鍵字列表或者關鍵字段列表中的元素，則確定所述第一日志內(nèi)容存在配置變更。

如果發(fā)現(xiàn)日志中存在配置變更行為，便自動發(fā)送變更核查請求并附帶變更的具體內(nèi)容，安全策略管控模塊230響應該變更核查請求并進行配置核查。例如，安全策略管控模塊230會將變更后的配置信息進行配置核查，該變更配置信息可以是新采集得來也可以是提前采集得來，選擇配置核查庫，依據(jù)配置核查條目檢測變更后配置的遵從程度，生成配置核查結果。

實施例一

此實施例中，支持接收Syslog日志服務器發(fā)來的日志信息并進行變更識別檢測，如圖3所示。

Syslog日志服務器處理來自設備的日志信息流。例如，設備上需要提前配置好關聯(lián)的Syslog日志服務器地址和端口號，啟用并將日志吐給Syslog日志服務器；同樣，Syslog日志服務器上也需要配置發(fā)送屬性，將接收到設 備的日志信息流封裝并發(fā)送給日志篩選模塊210。

日志內(nèi)容的篩選。將接收到的日志內(nèi)容發(fā)送給日志篩選模塊210，可以根據(jù)諸如時間排序、日志等級等方法過濾掉不符合變更范疇的日志類型，以便進一步的變更內(nèi)容識別。例如：

1)根據(jù)日志等級分類篩選日志。以Juniper的防火墻為例，能夠看到從防火墻設備上獲取的日志信息列表的Level一列日志等級內(nèi)容，等級分為Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging八個等級，其中配置變更內(nèi)容屬于Notification等級，進行日志篩選的時候只需提取出Level等級為Notification的日志以供進一步篩選。

2)根據(jù)時間排序方式篩選日志。同樣以Juniper的防火墻為例，根據(jù)從防火墻設備上獲取的日志信息列表，這里可以將進行日志等級分類篩選后的信息進行進一步篩選，根據(jù)日志中的Date/Time一列內(nèi)容，按時間進行逆序排序，提取30秒內(nèi)的(可以根據(jù)需求或者實際情況而決定)所有日志，30秒之外的日志信息都丟棄，從而得到時間較新的所有日志信息。

變更內(nèi)容識別。對上一步篩選完的日志進行進一步的識別，提取有關配置變更的日志內(nèi)容，例如，可以根據(jù)配置變更中用到的關鍵字篩選日志，實現(xiàn)變更的精確定位。以Juniper防火墻為例，當發(fā)生配置變更時，日志信息中Description一列的內(nèi)容里會有modified、added、changed等字段，需要提前分析出與變更相關的所有關鍵字，并將這些關鍵字存入關鍵字列表中。當?shù)玫胶Y選后的日志信息時，根據(jù)關鍵字列表中的元素去查找Description中是否存在，如果存在則認為識別到變更。

自動配置核查。如果發(fā)現(xiàn)日志中存在配置變更行為，便自動發(fā)送變更核查請求并附帶變更的具體內(nèi)容，安全策略管控模塊230響應該變更核查請求并進行配置核查。例如，安全策略管控模塊230會將變更后的配置信息進行配置核查，該變更配置信息可以是新采集得來也可以是提前采集得來，選擇配置核查庫，依據(jù)配置核查條目檢測變更后配置的遵從程度，生成配置核查結果。

實施例二

此實施例中，支持直接接收日志的變更自動檢測方法，如圖4所示。

處理來自設備的日志信息流。例如，設備上需要提前配置好日志傳輸?shù)刂泛投丝谔枮楣芸卦O備，啟用并將日志吐給管控設備，管控設備將接收到設備的日志信息流解析并發(fā)送給日志篩選模塊210。

日志內(nèi)容的篩選。將接收到的日志內(nèi)容發(fā)送給日志篩選模塊210，可以根據(jù)諸如時間排序、日志等級等方法過濾掉不符合變更范疇的日志類型，以便進一步的變更內(nèi)容識別。例如：

1)根據(jù)日志等級分類篩選日志。以Juniper的防火墻為例，能夠看到從防火墻設備上獲取的日志信息列表的Level一列日志等級內(nèi)容，等級分為Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging八個等級，其中配置變更內(nèi)容屬于Notification等級，進行日志篩選的時候只需提取出Level等級為Notification的日志以供進一步篩選。

2)根據(jù)時間排序方式篩選日志。同樣以Juniper的防火墻為例，根據(jù)從防火墻設備上獲取的日志信息列表，這里可以將進行日志等級分類篩選后的信息進行進一步篩選，根據(jù)日志中的Date/Time一列內(nèi)容，按時間進行逆序排序，提取30秒內(nèi)的(可以根據(jù)需求或者實際情況而決定)所有日志，30秒之外的日志信息都丟棄，從而得到時間較新的所有日志信息。

變更內(nèi)容識別。對上一步篩選完的日志進行進一步的識別，提取有關配置變更的日志內(nèi)容，例如，可以根據(jù)配置變更中用到的關鍵字篩選日志，實現(xiàn)變更的精確定位。以Juniper防火墻為例，當發(fā)生配置變更時，日志信息中Description一列的內(nèi)容里會有modified、added、changed等字段，需要提前分析出與變更相關的所有關鍵字，并將這些關鍵字存入關鍵字列表中。當?shù)玫胶Y選后的日志信息時，根據(jù)關鍵字列表中的元素去查找Description中是否存在，如果存在則認為識別到變更。

自動配置核查。如果發(fā)現(xiàn)日志中存在配置變更行為，便自動發(fā)送變更核查請求并附帶變更的具體內(nèi)容，安全策略管控模塊230響應該變更核查請求并進行配置核查。例如，安全策略管控模塊230會將變更后的配置信息進行配置核查，該變更配置信息可以是新采集得來也可以是提前采集得來，選擇配置核查庫，依據(jù)配置核查條目檢測變更后配置的遵從程度，生成配置核查 結果。

實施例三

此實施例中，可以支持對自動配置核查提供建議方式的變更自動檢測方法，如圖5所示。

日志內(nèi)容的篩選。將接收到的日志內(nèi)容發(fā)送給日志篩選模塊210，可以根據(jù)諸如時間排序、日志等級等方法過濾掉不符合變更范疇的日志類型，以便進一步的變更內(nèi)容識別。例如：

1)根據(jù)日志等級分類篩選日志。以Juniper的防火墻為例，能夠看到從防火墻設備上獲取的日志信息列表的Level一列日志等級內(nèi)容，等級分為Emergency、Alert、Critical、Error、Warning、Notification、Information、Debugging八個等級，其中配置變更內(nèi)容屬于Notification等級，進行日志篩選的時候只需提取出Level等級為Notification的日志以供進一步篩選。

2)根據(jù)時間排序方式篩選日志。同樣以Juniper的防火墻為例，根據(jù)從防火墻設備上獲取的日志信息列表，這里可以將進行日志等級分類篩選后的信息進行進一步篩選，根據(jù)日志中的Date/Time一列內(nèi)容，按時間進行逆序排序，提取30秒內(nèi)的(可以根據(jù)需求或者實際情況而決定)所有日志，30秒之外的日志信息都丟棄，從而得到時間較新的所有日志信息。

變更內(nèi)容識別。對上一步篩選完的日志進行進一步的識別，提取有關配置變更的日志內(nèi)容，例如，可以根據(jù)配置變更中用到的關鍵字篩選日志，實現(xiàn)變更的精確定位。以Juniper防火墻為例，當發(fā)生配置變更時，日志信息中Description一列的內(nèi)容里會有modified、added、changed等字段，需要提前分析出與變更相關的所有關鍵字，并將這些關鍵字存入關鍵字列表中。當?shù)玫胶Y選后的日志信息時，根據(jù)關鍵字列表中的元素去查找Description中是否存在，如果存在則認為識別到變更。

自動配置核查。如果發(fā)現(xiàn)日志中存在配置變更行為，便自動發(fā)送變更核查請求并附帶變更的具體內(nèi)容，安全策略管控模塊230響應該變更核查請求并進行配置核查。例如，安全策略管控模塊230會將變更后的配置信息進行 配置核查，該變更配置信息可以是新采集得來也可以是提前采集得來，選擇配置核查庫，依據(jù)配置核查條目檢測變更后配置的遵從程度，生成配置核查結果。

可選地，支持為用戶提供變更配置核查建議。例如，根據(jù)變更行為檢測后的結果進行自動化配置核查后，查看變更后配置合規(guī)項為符合的內(nèi)容有哪些，不符合的內(nèi)容有哪些，針對不符合條目給出修改成符合要求的配置方法，以及綜合以上結果建議用戶選擇是否遵從該變更配置。

雖然本發(fā)明所揭示的實施方式如上，但其內(nèi)容只是為了便于理解本發(fā)明的技術方案而采用的實施方式，并非用于限定本發(fā)明。任何本發(fā)明所屬技術領域內(nèi)的技術人員，在不脫離本發(fā)明所揭示的核心技術方案的前提下，可以在實施的形式和細節(jié)上做任何修改與變化，但本發(fā)明所限定的保護范圍，仍須以所附的權利要求書限定的范圍為準。