CN113630396B - 处理网络安全告警信息的方法、装置及系统 - Google Patents
处理网络安全告警信息的方法、装置及系统 Download PDFInfo
- Publication number
- CN113630396B CN113630396B CN202110857843.3A CN202110857843A CN113630396B CN 113630396 B CN113630396 B CN 113630396B CN 202110857843 A CN202110857843 A CN 202110857843A CN 113630396 B CN113630396 B CN 113630396B
- Authority
- CN
- China
- Prior art keywords
- alarm
- information
- network
- authority
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/065—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种处理网络安全告警信息的方法、装置及系统,涉及网络安全技术领域。所述处理方法包括步骤:采集网管系统中的告警信息,以及与前述告警相关的网络节点的访问请求信息,以获取前述网络节点的访问权限和操作权限;分析前述网络节点的访问权限和操作权限,与触发前述告警的因果关系;所述网络节点的访问权限是否与操作权限和触发前述告警的访问权限与操作权限相匹配进行判断,得到数据间的关联关系;对存在前述关联关系的数据信息进行告警相关性分析。本发明的优势在于:通过分析和挖掘告警信息、以及与前述告警相关的网络节点的访问请求信息,获得触发告警的原因帮助网管运维人员进行故障处理和诊断,确保网络的安全稳定运行。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及处理网络安全告警信息。
背景技术
网络管理系统,又叫网管系统,是一个软硬件结合以软件为主的分布式网络应用系统,其目的是管理网络,使网络高效正常运行。
在网管系统中,告警信息管理是其中重要的管理功能之一,对告警信息进行管理。当使用者的访问权限和操作权限与网络节点所允许访问和操作的执行范围不匹配时,会触发告警。而现有技术在实现告警分析时,往往针对告警信息本身进行分析,导致网管系统倾斜大量时间和资源去分析告警信息。
为此,针对现有技术存在的问题,本发明提供一种处理网络安全告警信息的方法、装置及系统,对采集到的告警信息以及与前述告警信息关联的网络节点的访问请求信息进行分析和挖掘,使访问请求信息的访问权限和操作权限与网络节点所允许访问和操作的执行范围分别在匹配和不匹配的情况下,快速得出对应的结论和告警因果关系,是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种处理网络安全告警信息的方法、装置及系统,采集网管系统中的告警信息,所述告警信息包括告警原因;以及采集与前述告警相关的网络节点的访问请求信息,获取前述网络节点对应所述访问请求信息设置的访问权限和操作权限信息;通过分析和挖掘前述信息之间的关联关系,进一步得到具有关联性的告警原因与前述访问权限信息、操作权限信息建立的告警因果关系。
为解决现有的技术问题,本发明提供了如下技术方案:
一种处理网络安全告警信息的方法,其特征在于包括步骤:
采集网管系统中的告警信息,所述告警信息包括告警原因;以及采集与前述告警相关的网络节点的访问请求信息,获取前述网络节点对应所述访问请求信息设置的访问权限和操作权限信息;
分析前述访问权限和操作权限信息与前述告警原因的关联关系;其中,判断前述告警原因是否为前述访问请求不符合前述访问权限与操作权限信息而导致,为是时判定前述告警原因与前述访问权限与操作权限信息具有关联性;为否时判定所述告警原因与前述访问权限与操作权限信息无关联性;
根据前述关联关系进行告警相关性分析;其中,对具有关联性的告警原因和前述访问权限与操作权限信息建立告警因果关系。
进一步,所述告警包括紧急告警和非紧急告警,判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理。
进一步,所述网络环境中的网络结构包括内部网络结构和外部网络结构;
所述内部网络结构涉及在同一网络环境中发生的同源告警,所述告警信息能够通过同一网络环境下的网管系统进行数据采集;
所述外部网络结构涉及在不同网络环境中发生的同源告警,所述告警信息能够通过不同网络环境下的网管系统进行数据采集,并对多个网络环境下采集的告警信息进行整合。
进一步,所述告警通过网络探针对发生告警的网络节点中未触发告警的端口和/或IP网段进行监控。
进一步,对前述发生告警的网络节点中未触发告警的端口和/或IP网段采取多路复用方式实现通信。
进一步,在分析前述告警的原因前,对采集和获取到的信息进行数据预处理,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
进一步,采集前述告警信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
进一步,对所述网络节点的输入/输出端口进行数据监控,在网络环境信息发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
一种处理网络安全告警信息的装置,其特征在于包括结构:
信息采集单元,用以采集网管系统中的告警信息,所述告警信息包括告警原因;以及采集与前述告警相关的网络节点的访问请求信息,获取前述网络节点对应所述访问请求信息设置的访问权限和操作权限信息;
第一信息分析单元,用以分析前述访问权限和操作权限信息与前述告警原因的关联关系;其中,判断前述告警原因是否为前述访问请求不符合前述访问权限与操作权限信息而导致,为是时判定前述告警原因与前述访问权限与操作权限信息具有关联性;为否时判定所述告警原因与前述访问权限与操作权限信息无关联性;
第二信息分析单元,根据前述关联关系进行告警相关性分析;其中,对具有关联性的告警原因和前述访问权限与操作权限信息建立告警因果关系。
一种处理网络安全告警信息的系统,其特征在于包括:
网络节点,用于收发数据;
网管系统,用于对前述网络节点的数据信息进行采集和分析;
系统服务器,所述系统服务器连接网络节点和网管系统;
所述系统服务器被配置为:采集网管系统中的告警信息,所述告警信息包括告警原因;以及采集与前述告警相关的网络节点的访问请求信息,获取前述网络节点对应所述访问请求信息设置的访问权限和操作权限信息;分析前述访问权限和操作权限信息与前述告警原因的关联关系;其中,判断前述告警原因是否为前述访问请求不符合前述访问权限与操作权限信息而导致,为是时判定前述告警原因与前述访问权限与操作权限信息具有关联性;为否时判定所述告警原因与前述访问权限与操作权限信息无关联性;根据前述关联关系进行告警相关性分析;其中,对具有关联性的告警原因和前述访问权限与操作权限信息建立告警因果关系。
本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:采集网管系统中的告警信息,所述告警信息包括告警原因;以及采集与前述告警相关的网络节点的访问请求信息,获取前述网络节点对应所述访问请求信息设置的访问权限和操作权限信息;分析前述访问权限和操作权限信息与前述告警原因的关联关系;其中,判断前述告警原因是否为前述访问请求不符合前述访问权限与操作权限信息而导致,为是时判定前述告警原因与前述访问权限与操作权限信息具有关联性;为否时判定所述告警原因与前述访问权限与操作权限信息无关联性;根据前述关联关系进行告警相关性分析;其中,对具有关联性的告警原因和前述访问权限与操作权限信息建立告警因果关系。
附图说明
图1为本发明实施例提供的方法的流程图。
图2为本发明实施例提供的装置的结构示意图。
图3为本发明实施例提供的系统的结构示意图。
附图标记说明:
装置200,信息采集单元201,第一信息分析单元202,第二信息分析单元203;
系统300,网络节点301,网管系统302,系统服务器303。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种处理网络安全告警信息的方法、装置及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图。所述方法的实施步骤S100如下:
S101,采集网管系统中的告警信息,所述告警信息包括告警原因;以及采集与前述告警相关的网络节点的访问请求信息,获取前述网络节点对应所述访问请求信息设置的访问权限和操作权限信息。
在本实施例的优选实施方式中,所述告警是一种用于传递告警信息的事件报告,简称告警。
在一次告警中,网管系统的监控单元视故障情况给出告警信号,系统每接收到一次的告警信号,就代表一次告警事件的发生,并通过告警信息的形式进行故障描述,并在网管系统的告警信息管理中心显示告警信息。所述故障是通过网络中的设备产生的告警原因。
所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。
所述网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。
还需要说明的是,在本实施例中,所述访问请求信息包括但不限于请求行、请求头部、请求数据,对所述访问请求信息进行实时的关联分析和路径追踪,以实现网络安全的动态分析。
所述访问权限可以根据与前述告警相关的网络节点的访问请求信息中的用户信息、环境信息进行划分;所述操作权限可以根据与前述告警相关的网络节点的访问请求信息中的操作信息、对象信息进行划分。其中与前述告警相关的网络节点的访问请求信息中包括用户信息、环境信息、操作信息和对象信息。
所述的用户信息包括用户的个人信息,个人信息包括但不限于以下类别:
基本信息,是指用户为了完成大部分网络行为,根据服务商要求提交包括姓名、性别、年龄、电话号码和Email地址等在内的个人基本信息,同时,可以包括但不限于婚姻、信仰、职业、工作单位、收入等相对隐私的个人基本信息;
设备信息,是指用户所使用的各种计算机终端设备(包括移动和固定终端)的基本信息,如位置信息、Wifi列表信息、Mac地址、CPU信息、内存信息、SD卡信息和操作系统版本等;
账户信息,包括网银帐号、第三方支付帐号,社交帐号和重要邮箱帐号等;
隐私信息,包括通讯录信息、通话记录、短信记录、IM应用软件聊天记录、个人视频、照片等;
社会关系信息,包括好友关系、家庭成员信息和工作单位信息等;
网络行为信息,是指上网行为记录,消费者在网络上的各种活动行为,如上网时间、上网地点、输入记录、聊天交友、网站访问行为和网络游戏行为等个人信息。
所述环境信息包括但不限制于用户在网络环境中执行访问和/或操作时的用户首次访问时间,用户访问次数、当前时间下用户的操作类型和控制用户的访问速率信息。
所述操作信息包括前述访问许可后,对网络节点上的数据信息进行读取、存储、新建和/或删除等的操作类型。
所述对象信息包括前述操作对象(比如一个文档)的类型信息、大小信息、创建时间信息、修改时间信息和文件属性、压缩加密属性等。
所述操作权限指对前述操作信息设置的权限。所述操作权限包括但不限于访问、读取、存储、编辑等操作类型,同时,网管系统会存储用户访问网络节点的操作类型,便于追踪用户的访问路径。
S102,分析前述访问权限和操作权限信息与前述告警原因的关联关系;其中,判断前述告警原因是否为前述访问请求不符合前述访问权限与操作权限信息而导致,为是时判定前述告警原因与前述访问权限与操作权限信息具有关联性;为否时判定所述告警原因与前述访问权限与操作权限信息无关联性。
所述关联关系是指前述操作与操作间存在的某种特定关系,所述特定关系例如因果关系、递进关系等。此处的某种特定关系可以基于现有数据挖掘技术中的涉及频繁项集挖掘的评价指标,建立告警关联规则进行判定。对应的,所述具有关联性和无关联性可以根据前述告警关联规则的结论得出。
作为举例而非限制,所述历史告警数据中存在形如A→B,B→C,C→D这样的告警关联规则时,这三条规则能够合并为一条规则,随着时间的推移,告警数据量越来越大,且上述告警关联规则依然有效时,则可以认定存在告警关联规则A→D,即告警D是由告警A引起的,告警A与告警D之间具有关联性,此时,无需关心告警B和C;反之,如果随着时间的推移,告警数据量越来越大,与告警A具有关联性的告警不再是告警D时,此时,告警A与告警D之间无关联性,在分析前述告警时仍需关心告警B和C,甚至要考虑新出现的告警E、告警F等,然后结合前述告警关联规则判断关联关系。
S103,根据前述关联关系进行告警相关性分析;其中,对具有关联性的告警原因和前述访问权限与操作权限信息建立告警因果关系。
针对步骤S103,所述告警相关性分析可以识别出收集的告警数据中的根源告警、衍生告警,以及非衍生根源告警的普通告警。所述告警相关性分析可以通过关联规则挖掘的方式分析出告警中存在的根源告警和衍生告警的规则信息。同时,在处理前述告警信息时,滤除冗余的数据,滤除的数据包括但不限制于频发告警、用户侧告警以及基于关联规则的衍生告警。
优选的,所述告警包括紧急告警和非紧急告警,判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理。
所述紧急告警能够对告警中突然发生的异常数据进行报警,所述异常数据可以是异常操作、异常行为、异常数值等;优选的,所产生的紧急告警可以在网管系统基于告警数据进行分析后得出,并能够提供显示异常数据的指针;所述非紧急告警是指除紧急告警之外的其它告警情形,针对非紧急告警的情形,可以参照现有技术中针对非紧急告警的处理方案进行处置。
所述故障处理针对网络环境中出现的故障进行排查,包括步骤:观察、描述故障现象,收集可能产生故障原因的信息;分析故障的原因,并制定解决方案;逐一实施解决方案,记录故障排查过程,直至网络恢复正常。
优选的,所述网络环境中的网络结构包括内部网络结构和外部网络结构。
所述内部网络结构涉及在同一网络环境中发生的同源告警,所述告警信息能够通过同一网络环境下的网管系统进行数据采集;
所述外部网络结构涉及在不同网络环境中发生的同源告警,所述告警信息能够通过不同网络环境下的网管系统进行数据采集,并对多个网络环境下采集的告警信息进行整合。
所述同源告警是指针对同一触发告警原因的告警;所述内部网络结构和所述外部网络结构针对同源告警具有相对性,所述内部网络结构针对在同一网络环境中发生同源告警的情形,而所述外部网络结构针对在跨网络环境下网络节点间相互通信,导致同源告警的情形。
优选的,所述告警通过网络探针对发生告警的网络节点中未触发告警的端口和/或IP网段进行监控。
所述网络探针是用于捕获、分析网络数据,因此,可以通过网络探针实现对发生告警的网络节点中未触发告警的端口和/或IP网段的监控。在触发告警时,所述告警会显示针对触发告警的网络节点的端口信息,此时,对其他未触发告警的网络节点的端口的执行操作进行监控,能够确保网络安全的实时布控,使前述端口和/或IP网段在未触发告警时保持与其他网络节点的正常通信和稳定运行。
优选的,对前述发生告警的网络节点中未触发告警的端口和/或IP网段采取多路复用方式实现通信。
在发生告警时,发生前述告警的网络节点中未触发告警的端口和/或IP网段会在短时间内增加网络通信负荷,例如,缓冲区与网络节点间存在较大的数据流量的情况。此时,可采用多路复用方式进行通信,所述多路复用方式包括现有技术的频分多路复用和时分多路复用,依据实际的告警事件的情形,可以对网络中数据传输的适用选用不同的多路复用方式进行数据传输。
优选的,在分析前述告警的原因前,对采集和获取到的信息进行数据预处理,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
所述数据预处理包括数据清洗操作,在进行数据清洗时,能够滤除无效数据和/或是无用数据,将前述告警信息整理成便于进行分析的数据。
优选的,采集前述告警信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
所述IP地址可以是根据用户遵守的IP协议所提供的统一的地址格式,所述IP地址可以为处于网络环境中的每一个网络节点和用户提出访问申请的终端设备分配一个逻辑地址,以便于网管系统对用户的访问路径进行跟踪,以及发生告警时,对告警事件进行追踪溯源。
优选的,对所述网络节点的输入/输出端口进行数据监控,在网络环境信息发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
上述技术方案尤其适用于处理网络安全告警信息的情形。
其它技术特征参考在前实施例,在此不再赘述。
参见图2所示,本发明还给出了一个实施例,提供了一种处理网络安全告警信息的装置200,其特征在于包括结构:
信息采集单元201,用以采集网管系统中的告警信息,所述告警信息包括告警原因;以及采集与前述告警相关的网络节点的访问请求信息,获取前述网络节点对应所述访问请求信息设置的访问权限和操作权限信息;
第一信息分析单元202,用以分析前述访问权限和操作权限信息与前述告警原因的关联关系;其中,判断前述告警原因是否为前述访问请求不符合前述访问权限与操作权限信息而导致,为是时判定前述告警原因与前述访问权限与操作权限信息具有关联性;为否时判定所述告警原因与前述访问权限与操作权限信息无关联性;
第二信息分析单元203,根据前述关联关系进行告警相关性分析;其中,对具有关联性的告警原因和前述访问权限与操作权限信息建立告警因果关系。
此外,参见图3所示,本发明还给出了一个实施例,提供了一种处理网络安全告警信息的系统300,其特征在于包括:
网络节点301,用于收发数据;
网管系统302,用于对前述网络节点301的数据信息进行采集和分析;
系统服务器303,所述系统服务器303连接网络节点301和网管系统302;
所述系统服务器303被配置为:采集网管系统中的告警信息,所述告警信息包括告警原因;以及采集与前述告警相关的网络节点的访问请求信息,获取前述网络节点对应所述访问请求信息设置的访问权限和操作权限信息;分析前述访问权限和操作权限信息与前述告警原因的关联关系;其中,判断前述告警原因是否为前述访问请求不符合前述访问权限与操作权限信息而导致,为是时判定前述告警原因与前述访问权限与操作权限信息具有关联性;为否时判定所述告警原因与前述访问权限与操作权限信息无关联性;根据前述关联关系进行告警相关性分析;其中,对具有关联性的告警原因和前述访问权限与操作权限信息建立告警因果关系。其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (10)
1.一种处理网络安全告警信息的方法,其特征在于包括步骤:
采集网管系统中的告警信息,所述告警信息包括告警原因;以及采集与前述告警相关的网络节点的访问请求信息,获取前述网络节点对应所述访问请求信息设置的访问权限和操作权限信息;
分析前述访问权限和操作权限信息与前述告警原因的关联关系;其中,判断前述告警原因是否为前述访问请求信息不符合前述访问权限与操作权限信息而导致,为是时判定前述告警原因与前述访问权限与操作权限信息具有关联性;为否时判定所述告警原因与前述访问权限与操作权限信息无关联性;
根据前述关联关系进行告警相关性分析;其中,对具有关联性的告警原因和前述访问权限与操作权限信息建立告警因果关系。
2.根据权利要求1所述的方法,其特征在于,所述告警包括紧急告警和非紧急告警,判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理。
3.根据权利要求2所述的方法,其特征在于,所述网络环境中的网络结构包括内部网络结构和外部网络结构;
所述内部网络结构涉及在同一网络环境中发生的同源告警,所述告警信息能够通过同一网络环境下的网管系统进行数据采集;
所述外部网络结构涉及在不同网络环境中发生的同源告警,所述告警信息能够通过不同网络环境下的网管系统进行数据采集,并对多个网络环境下采集的告警信息进行整合。
4.根据权利要求1所述的方法,其特征在于,所述告警通过网络探针对发生告警的网络节点中未触发告警的端口和/或IP网段进行监控。
5.根据权利要求4所述的方法,其特征在于,对前述发生告警的网络节点中未触发告警的端口和/或IP网段采取多路复用方式实现通信。
6.根据权利要求1所述的方法,其特征在于,在分析前述告警的原因前,对采集和获取到的信息进行数据预处理,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
7.根据权利要求1所述的方法,其特征在于,采集前述告警信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
8.根据权利要求1所述的方法,其特征在于,对所述网络节点的输入/输出端口进行数据监控,在网络环境信息发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
9.一种处理网络安全告警信息的装置,其特征在于包括结构:
信息采集单元,用以采集网管系统中的告警信息,所述告警信息包括告警原因;以及采集与前述告警相关的网络节点的访问请求信息,获取前述网络节点对应所述访问请求信息设置的访问权限和操作权限信息;
第一信息分析单元,用以分析前述访问权限和操作权限信息与前述告警原因的关联关系;其中,判断前述告警原因是否为前述访问请求信息不符合前述访问权限与操作权限信息而导致,为是时判定前述告警原因与前述访问权限与操作权限信息具有关联性;为否时判定所述告警原因与前述访问权限与操作权限信息无关联性;
第二信息分析单元,根据前述关联关系进行告警相关性分析;其中,对具有关联性的告警原因和前述访问权限与操作权限信息建立告警因果关系。
10.一种处理网络安全告警信息的系统,其特征在于包括:
网络节点,用于收发数据;
网管系统,用于对前述网络节点的数据信息进行采集和分析;
系统服务器,所述系统服务器连接网络节点和网管系统;
所述系统服务器被配置为:
采集网管系统中的告警信息,所述告警信息包括告警原因;以及采集与前述告警相关的网络节点的访问请求信息,获取前述网络节点对应所述访问请求信息设置的访问权限和操作权限信息;
分析前述访问权限和操作权限信息与前述告警原因的关联关系;其中,判断前述告警原因是否为前述访问请求信息不符合前述访问权限与操作权限信息而导致,为是时判定前述告警原因与前述访问权限与操作权限信息具有关联性;为否时判定所述告警原因与前述访问权限与操作权限信息无关联性;
根据前述关联关系进行告警相关性分析;其中,对具有关联性的告警原因和前述访问权限与操作权限信息建立告警因果关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110857843.3A CN113630396B (zh) | 2021-07-28 | 2021-07-28 | 处理网络安全告警信息的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110857843.3A CN113630396B (zh) | 2021-07-28 | 2021-07-28 | 处理网络安全告警信息的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113630396A CN113630396A (zh) | 2021-11-09 |
| CN113630396B true CN113630396B (zh) | 2023-02-21 |
Family
ID=78381343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110857843.3A Active CN113630396B (zh) | 2021-07-28 | 2021-07-28 | 处理网络安全告警信息的方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113630396B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252465A (zh) * | 2008-04-09 | 2008-08-27 | 杭州华三通信技术有限公司 | 告警数据采集方法及其系统中的服务器和客户端 |
| WO2014072910A1 (en) * | 2012-11-06 | 2014-05-15 | Innoware A/S | Smart alarm system with user confirmed video stream notification of psap in combination with data safety and public emergency involvement using smartphone agents |
| CN106681882A (zh) * | 2015-11-06 | 2017-05-17 | 上海瑞致软件有限公司 | 基于Apriori算法的IT服务集中监控管理系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9495849B2 (en) * | 2011-08-05 | 2016-11-15 | Rsi Video Technologies, Inc. | Security monitoring system |
| US10930130B2 (en) * | 2016-01-27 | 2021-02-23 | Comcast Cable Communications, Llc | Methods for monitoring security |
| CN107196804B (zh) * | 2017-06-01 | 2020-07-10 | 国网山东省电力公司信息通信公司 | 电力系统终端通信接入网告警集中监控系统及方法 |
-
2021
- 2021-07-28 CN CN202110857843.3A patent/CN113630396B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252465A (zh) * | 2008-04-09 | 2008-08-27 | 杭州华三通信技术有限公司 | 告警数据采集方法及其系统中的服务器和客户端 |
| WO2014072910A1 (en) * | 2012-11-06 | 2014-05-15 | Innoware A/S | Smart alarm system with user confirmed video stream notification of psap in combination with data safety and public emergency involvement using smartphone agents |
| CN106681882A (zh) * | 2015-11-06 | 2017-05-17 | 上海瑞致软件有限公司 | 基于Apriori算法的IT服务集中监控管理系统 |
Non-Patent Citations (1)
| Title |
|---|
| 入侵检测的规划识别模型研究;李家春等;《华中科技大学学报(自然科学版)》;20040330(第03期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113630396A (zh) | 2021-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10122575B2 (en) | Log collection, structuring and processing | |
| US20150120914A1 (en) | Service monitoring system and service monitoring method | |
| US8996681B2 (en) | Passively attributing anonymous network events to their associated users | |
| CN105610648A (zh) | 一种运维监控数据的采集方法及服务器 | |
| CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| US20230291754A1 (en) | Systems and methods for automated anomalous behavior detection and risk-scoring individuals | |
| CN110620690A (zh) | 一种网络攻击事件的处理方法及其电子设备 | |
| GB2594107A (en) | Network analytics | |
| CN107306200B (zh) | 网络故障预警方法和用于网络故障预警的网关 | |
| CN114338372A (zh) | 网络信息安全监控方法及系统 | |
| CN105610594B (zh) | 业务链的故障诊断方法及装置 | |
| CN112257069A (zh) | 一种基于流量数据分析的服务器安全事件审计方法 | |
| CN113630396B (zh) | 处理网络安全告警信息的方法、装置及系统 | |
| US10135853B2 (en) | Multi-tier aggregation for complex event correlation in streams | |
| CN115333967B (zh) | 数据上报方法、系统、设备及存储介质 | |
| CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
| CN113660223B (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
| CN106713014B (zh) | 一种监控系统中的被监控主机、监控系统以及监控方法 | |
| CN114172881A (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| KR101956882B1 (ko) | 비트맵 기반의 분산 네트워크 빈발 이벤트 수집 장치 및 방법, 이를 저장하는 기록매체 | |
| CN114338189B (zh) | 基于节点拓扑关系链的态势感知防御方法、装置及系统 | |
| CN117395082B (zh) | 业务处理方法、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |