CN114143064A - 一种多源网络安全告警事件溯源与自动处置方法及装置 - Google Patents
一种多源网络安全告警事件溯源与自动处置方法及装置 Download PDFInfo
- Publication number
- CN114143064A CN114143064A CN202111424439.3A CN202111424439A CN114143064A CN 114143064 A CN114143064 A CN 114143064A CN 202111424439 A CN202111424439 A CN 202111424439A CN 114143064 A CN114143064 A CN 114143064A
- Authority
- CN
- China
- Prior art keywords
- source
- alarm
- attack
- risk
- attacked
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 5
- 238000011156 evaluation Methods 0.000 claims abstract description 34
- 238000000034 method Methods 0.000 claims abstract description 16
- 238000012545 processing Methods 0.000 claims abstract description 11
- 238000012502 risk assessment Methods 0.000 claims description 37
- 241000700605 Viruses Species 0.000 claims description 8
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 8
- 230000000903 blocking effect Effects 0.000 claims description 7
- 230000006872 improvement Effects 0.000 claims description 6
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 6
- 230000008439 repair process Effects 0.000 claims description 4
- 238000012423 maintenance Methods 0.000 abstract description 14
- 238000004458 analytical method Methods 0.000 description 9
- 238000012544 monitoring process Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种多源网络安全告警事件溯源与自动处置方法及装置,方法包括以下步骤:获取安全日志数据;识别安全日志数据的IP,根据IP对应关系将安全日志数据划分至相应的索引类别中;在索引类别为互联网时,获取攻击源IP;在索引类别为终端时,获取被攻击源IP;根据风险评估结果判断是否封禁攻击源IP或被攻击源IP;在风险评估结果为风险时,控制防火墙封禁攻击源IP或被攻击源IP。本发明的目的在于提供一种多源网络安全告警事件溯源与自动处置方法及装置,减少安全运维人员在处理安全告警事件花费的精力、告警漏报率和误报率,并提升安全告警处置的效率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种多源网络安全告警事件溯源与自动处置方法及装置。
背景技术
在国家重视网络安全的今天,中大型企业的网络安全建设水平不断提高,在企业的网络架构中运行着各种各样的安全防护设备,防护着企业的边界、终端、服务器等区域,但是大量的安全防护设备也带来了成千上万的安全告警,安全运维人员需要对告警进行分析研判,花费大量时间和精力进行安全告警处置工作。
此外,目前由传统态势感知设备采集安全防护设备的日志,但是运行安全防护设备数量多,日均产生安全告警数量也多,日志源格式也有所差异,所以告警漏报率和误报率较高,每个安全防护设备针对告警的类型定义不同,导致告警分类太多,对于企业安全运维人员的溯源造成很大困难。
另外,针对安全防护设备产生的安全告警事件处置方式,目前主要为人工处置的方式,手动进行防火墙封禁,自动化处置比例小,特别是在攻防演练期间,安全告警手动处置的方式效率较低,存在安全事件误处置、漏处置的情况。
发明内容
本发明的目的在于提供一种多源网络安全告警事件溯源与自动处置方法及装置,减少安全运维人员在处理安全告警事件花费的精力、告警漏报率和误报率,并提升安全告警处置的效率。
本发明通过下述技术方案实现:
在本申请的第一个方面中,本申请提供了一种多源网络安全告警事件溯源与自动处置方法,包括以下步骤:
获取安全日志数据;所述安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;
识别所述安全日志数据的IP,根据IP对应关系将所述安全日志数据划分至相应的索引类别中;所述IP对应关系为所述IP与所述索引类别的对应关系,且一个所述索引类别包含多个IP;
在所述索引类别为互联网时,获取攻击源IP;在所述索引类别为终端时,获取被攻击源IP;
根据风险评估结果判断是否封禁所述攻击源IP或所述被攻击源IP;所述风险评估结果根据所述攻击源IP或被攻击源IP自动生成;
在所述风险评估结果为风险时,控制防火墙封禁所述攻击源IP或所述被攻击源IP。
优选地,在所述索引类别为互联网时,生成所述风险评估结果包括以下步骤:
获取所述攻击源IP的第一风险信息;所述第一风险信息为所述攻击源IP在恶意IP地址威胁情报库中的匹配结果,所述匹配结果包括匹配成功和匹配失败;
获取所述攻击源IP的第二风险信息;所述第二风险信息为所述攻击源IP的攻击参数是否大于攻击参数阈值;所述攻击源IP的攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;
根据所述第一风险信息和所述第二风险信息生成所述风险评估结果:
当所述第一风险结果为匹配成功且所述攻击参数大于攻击参数阈值时,所述风险评估结果为风险;
否则,所述风险评估结果为安全。
优选地,在所述索引类别为终端时,生成所述风险评估结果包括以下步骤:
获取被攻击源IP风险信息;所述被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;所述被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;
根据所述被攻击源IP风险信息生成所述风险评估结果:
当所述被攻击源IP告警参数大于被攻击源IP告警参数阈值时,所述风险评估结果为风险;
否则,所述风险评估结果为安全。
优选地,还包括以下步骤:
在所述索引类别为服务器时,获取服务器IP和服务器IP告警参数;所述服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间;
在所述服务器IP告警参数大于服务器IP告警参数阈值时,对遭受攻击的服务器进行告警、病毒木马查杀、漏洞修复和/或防火墙策略完善。
优选地,还包括以下步骤:当根据IP对应关系将所述安全日志数据划分至相应的索引类别中时,输出所述安全日志数据和相应的索引类别。
在本申请的第二个方面中,本申请提供了一种多源网络安全告警事件溯源与自动处置装置,包括:
安全日志数据采集模块,用于获取安全日志数据,所述安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;
分类模块,用于识别所述安全日志数据的IP,并根据IP对应关系将所述安全日志数据划分至相应的索引类别中;所述IP对应关系为所述IP与所述索引类别的对应关系,且一个所述索引类别包含多个IP;
获取模块,用于在所述索引类别为互联网时,获取攻击源IP;在所述索引类别为终端时,获取被攻击源IP;
判断模块,用于根据风险评估结果判断是否封禁所述攻击源IP或所述被攻击源IP;所述风险评估结果由风险评估模块根据所述攻击源IP或被攻击源IP自动生成;
封禁模块,用于在所述风险评估结果为风险时,控制防火墙封禁所述攻击源IP或所述被攻击源IP。
优选地,所述风险评估模块包括:
恶意IP地址威胁情报库,用于获取所述攻击源IP的第一风险信息;所述第一风险信息为所述攻击源IP在所述恶意IP地址威胁情报库中的匹配结果,所述匹配结果包括匹配成功和匹配失败;
攻击源IP处置单元,用于获取所述攻击源IP的第二风险信息;所述第二风险信息为所述攻击源IP的攻击参数是否大于攻击参数阈值;所述攻击源IP的攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;
第一生成单元,用于根据所述第一风险信息和所述第二风险信息生成所述风险评估结果:
当所述第一风险结果为匹配成功且所述攻击参数大于攻击参数阈值时,所述风险评估结果为风险;
否则,所述风险评估结果为安全。
优选地,所述风险评估模块还包括:
被攻击IP处置单元,用于获取被攻击源IP风险信息;所述被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;所述被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;
第二生成单元,用于根据所述被攻击源IP风险信息生成所述风险评估结果:
当所述被攻击源IP告警参数大于被攻击源IP告警参数阈值时,所述风险评估结果为风险;
否则,所述风险评估结果为安全。
优选地,还包括预警模块,所述预警模块用于在所述索引类别为服务器时,获取服务器IP和服务器IP告警参数;并在所述服务器IP告警参数大于服务器IP告警参数阈值时,对遭受攻击的服务器进行预警;
预警包括病毒木马查杀、漏洞修复和/或防火墙策略完善;所述服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间。
优选地,还包括输出模块,所述输出模块用于当根据IP对应关系将所述安全日志数据划分至相应的索引类别中时,输出所述安全日志数据和相应的索引类别。
本发明与现有技术相比,具有如下的优点和有益效果:
1、终端类和互联网类的告警数据能自动化监测和处置,减少安全运维人员在处理安全告警事件花费的精力、告警漏报率和误报率,并提升安全告警处置的效率;
2、采用了只操作防火墙IP地址对象的方式联动封禁IP(攻击源IP和被攻击源IP),避免外部操作防火墙策略影响防火墙的运行稳定性和安全性,进一步加强了企业安全防护水平;
3、安全日志数据经过分类处理后,对外输出进行展示,同一威胁告警事件集中展示,便于安全运维人员进行后续的溯源分析。
附图说明
此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定。在附图中:
图1为本发明的处理流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
实施例1
本实施例提供了一种多源网络安全告警事件溯源与自动处置方法,如图1所示,包括以下步骤:
获取安全日志数据;安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;
具体地,本实施例中安全日志数据的获取方式共有两种,方式一:通过日志审计系统的REST API接口主动采集安全设备的告警数据,以及通过业务系统access_log访问日志数据;方式二:通过syslog被动收集安全设备主动发送告警日志;
识别安全日志数据的IP,根据IP对应关系将安全日志数据划分至相应的索引类别中;IP对应关系为IP与索引类别的对应关系,且一个索引类别包含多个IP;
本实施例中的索引类别包括终端、服务器和互联网三类,通过识别安全日志数据的IP,将获取的安全日志数据划分至相应的类别中。其中,为了减少运维人员花费大量时间和精力进行安全告警处置,以及提升安全告警处置的效率,本实施例中的终端类和互联网类的告警数据能自动化监测和处置,服务器类的告警数据能够自动预警,以便运维人员及时处置。即:使用本方法能够对终端病毒木马攻击进行自动化处置、互联网攻击进行自动化阻断、服务器遭受攻击进行人工辅助分析处置。同时为了运维人员能够快速的进行溯源分析,确定威胁事件的破坏程度以及攻击者的信息获取,本实施例在分类后,还将安全日志数据进行告警输出,输出可以设置为标准的日志格式,然后在安全监测日志系统上进行统一展示,使得同一威胁告警事件集中展示,便于进行后续溯源分析。
具体地:
在索引类别为互联网时,将互联网索引分类的告警日志单独提取出来,采用以攻击源对象为关联索引的分析方法,解析出与某个攻击源IP关联的日志,以获取攻击源IP,并根据风险评估结果判断是否封禁攻击源IP,在风险评估结果为风险时,调用防火墙的REST接口实现自动化封禁攻击源IP。其中,互联网的风险评估结果按照以下步骤生成:
获取攻击源IP的第一风险信息;第一风险信息为攻击源IP在恶意IP地址威胁情报库中的匹配结果,匹配结果包括匹配成功和匹配失败;
获取攻击源IP的第二风险信息;第二风险信息为攻击源IP攻击参数是否大于攻击源IP攻击参数阈值;攻击源IP攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;攻击参数阈值包括攻击次数阈值、攻击频率阈值和/或攻击目标的个数阈值;
根据第一风险信息和第二风险信息生成风险评估结果,具体地为:
当第一风险结果为匹配成功且攻击源IP攻击参数大于攻击源IP攻击参数阈值时,风险评估结果为风险;
否则,风险评估结果为安全。
其中,值得说明的是,本实施例中所说的攻击源IP攻击参数大于攻击源IP攻击参数阈值指的是,无论有多少个攻击源IP攻击参数,攻击源IP攻击参数都需要大于其各自的攻击源IP攻击参数阈值。
在索引类别为终端时,将终端索引分类的告警日志单独取出来,采用以攻击目标对象为关联索引的分析方法,分析出与某个被攻击IP关联的日志,以获取被攻击源IP,并根据风险评估结果判断是否封禁攻击源IP,在风险评估结果为风险时,调用防火墙的REST接口实现自动化封禁被攻击源IP操作,限制被攻击源IP联网。其中,终端的风险评估结果按照以下步骤生成:
获取被攻击源IP风险信息;被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;被攻击源IP告警参数阈值包括被攻击源IP告警次数阈值、被攻击源IP告警频率阈值和/或被攻击源IP告警时间阈值;
根据被攻击源IP风险信息生成风险评估结果,具体地为:
当被攻击源IP告警参数大于被攻击源IP告警参数阈值时,风险评估结果为风险;
否则,风险评估结果为安全。
其中,值得说明的是,本实施例中所说的被攻击源IP告警参数大于被攻击源IP告警参数阈值指的是,无论有多少个被攻击源IP告警参数,被攻击源IP告警参数都需要大于其各自的被攻击源IP告警参数阈值。
在索引类别为服务器时,将服务器索引分类的告警日志单独取出来,采用以公司服务器对象为关联索引的分析方法,分析出与某个服务器IP关联的日志,以获取服务器IP,同时获取服务器IP告警参数,并判断服务器IP告警参数是否大于服务器IP告警参数阈值,在服务器IP告警参数大于服务器IP告警参数阈值时,进行服务器预警,以使运维人员分析判断是否需要对遭受攻击的服务器进行病毒木马查杀、漏洞修复和/或防火墙策略完善等。
其中,服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间;另外,值得说明的是,本实施例中所说的服务器IP告警参数大于服务器IP告警参数阈值指的是,无论有多少个服务器IP告警参数,服务器IP告警参数都需要大于其各自的服务器IP告警参数阈值。
在本实施例中,由于对安全日志数据进行了分类,且终端类和互联网类的告警数据能自动化监测和处置,服务器类的告警数据能够自动预警,由安全运维人员判断是否对遭受攻击的服务器进行病毒木马查杀、漏洞修复和/或防火墙策略完善等,提升安全运维人员的攻击溯源分析与处置效率,缓解了安全运维人员的工作压力;同时在本申请中,创新采用了只操作防火墙IP地址对象的方式联动封禁IP(攻击源IP和被攻击源IP),避免外部操作防火墙策略影响防火墙的运行稳定性和安全性,进一步加强了企业安全防护水平。
实施例2
本实施例提供了一种多源网络安全告警事件溯源与自动处置装置,包括:
安全日志数据采集模块,用于获取安全日志数据,安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;
分类模块,用于识别安全日志数据的IP,并根据IP对应关系将安全日志数据划分至相应的索引类别中;IP对应关系为IP与索引类别的对应关系,且一个索引类别包含多个IP;
获取模块,用于在索引类别为互联网时,获取攻击源IP;在索引类别为终端时,获取被攻击源IP;
判断模块,用于根据风险评估结果判断是否封禁攻击源IP或被攻击源IP;风险评估结果由风险评估模块根据攻击源IP或被攻击源IP自动生成;
封禁模块,用于在风险评估结果为风险时,电源防火墙封禁攻击源IP或被攻击源IP。
其中,本实施例中的风险评估模块包括:
恶意IP地址威胁情报库,用于获取攻击源IP的第一风险信息;第一风险信息为攻击源IP在恶意IP地址威胁情报库中的匹配结果,匹配结果包括匹配成功和匹配失败;
攻击源IP处置单元,用于获取攻击源IP的第二风险信息;第二风险信息为攻击源IP的攻击参数是否大于攻击参数阈值;攻击源IP的攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;
第一生成单元,用于根据第一风险信息和第二风险信息生成风险评估结果:
当第一风险结果为匹配成功且攻击参数大于攻击参数阈值时,风险评估结果为风险;
否则,风险评估结果为安全;
被攻击IP处置单元,用于获取被攻击源IP风险信息;被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;
第二生成单元,用于根据被攻击源IP风险信息生成风险评估结果:
当被攻击源IP告警参数大于被攻击源IP告警参数阈值时,风险评估结果为风险;
否则,风险评估结果为安全。
进一步地,本实施例中还包括预警模块,所述预警模块用于在所述索引类别为服务器时,获取服务器IP和服务器IP告警参数;并在所述服务器IP告警参数大于服务器IP告警参数阈值时,对遭受攻击的服务器进行预警;
预警包括病毒木马查杀、漏洞修复和/或防火墙策略完善;所述服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间。
进一步地,为了运维人员能够快速的进行溯源分析,确定威胁事件的破坏程度以及攻击者的信息获取,本实施例中还包括输出模块,输出模块用于在安全日志数据分类后将分类后的安全日志数据进行告警输出,输出可以设置为标准的日志格式,然后在安全监测日志系统上进行统一展示,同一威胁告警事件集中展示,便于进行后续溯源分析。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种多源网络安全告警事件溯源与自动处置方法,其特征在于,包括以下步骤:
获取安全日志数据;所述安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;
识别所述安全日志数据的IP,根据IP对应关系将所述安全日志数据划分至相应的索引类别中;所述IP对应关系为所述IP与所述索引类别的对应关系,且一个所述索引类别包含多个IP;
在所述索引类别为互联网时,获取攻击源IP;在所述索引类别为终端时,获取被攻击源IP;
根据风险评估结果判断是否封禁所述攻击源IP或所述被攻击源IP;所述风险评估结果根据所述攻击源IP或被攻击源IP自动生成;
在所述风险评估结果为风险时,控制防火墙封禁所述攻击源IP或所述被攻击源IP。
2.根据权利要求1所述的一种多源网络安全告警事件溯源与自动处置方法,其特征在于,在所述索引类别为互联网时,生成所述风险评估结果包括以下步骤:
获取所述攻击源IP的第一风险信息;所述第一风险信息为所述攻击源IP在恶意IP地址威胁情报库中的匹配结果,所述匹配结果包括匹配成功和匹配失败;
获取所述攻击源IP的第二风险信息;所述第二风险信息为所述攻击源IP的攻击参数是否大于攻击参数阈值;所述攻击源IP的攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;
根据所述第一风险信息和所述第二风险信息生成所述风险评估结果:
当所述第一风险结果为匹配成功且所述攻击参数大于攻击参数阈值时,所述风险评估结果为风险;
否则,所述风险评估结果为安全。
3.根据权利要求1所述的一种多源网络安全告警事件溯源与自动处置方法,其特征在于,在所述索引类别为终端时,生成所述风险评估结果包括以下步骤:
获取被攻击源IP风险信息;所述被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;所述被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;
根据所述被攻击源IP风险信息生成所述风险评估结果:
当所述被攻击源IP告警参数大于被攻击源IP告警参数阈值时,所述风险评估结果为风险;
否则,所述风险评估结果为安全。
4.根据权利要求1-3中任意一项所述的一种多源网络安全告警事件溯源与自动处置方法,其特征在于,还包括以下步骤:
在所述索引类别为服务器时,获取服务器IP和服务器IP告警参数;所述服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间;
在所述服务器IP告警参数大于服务器IP告警参数阈值时,对遭受攻击的服务器进行告警、病毒木马查杀、漏洞修复和/或防火墙策略完善。
5.根据权利要求1所述的一种多源网络安全告警事件溯源与自动处置方法,其特征在于,还包括以下步骤:当根据IP对应关系将所述安全日志数据划分至相应的索引类别中时,输出所述安全日志数据和相应的索引类别。
6.一种多源网络安全告警事件溯源与自动处置装置,其特征在于,包括:
安全日志数据采集模块,用于获取安全日志数据,所述安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;
分类模块,用于识别所述安全日志数据的IP,并根据IP对应关系将所述安全日志数据划分至相应的索引类别中;所述IP对应关系为所述IP与所述索引类别的对应关系,且一个所述索引类别包含多个IP;
获取模块,用于在所述索引类别为互联网时,获取攻击源IP;在所述索引类别为终端时,获取被攻击源IP;
判断模块,用于根据风险评估结果判断是否封禁所述攻击源IP或所述被攻击源IP;所述风险评估结果由风险评估模块根据所述攻击源IP或被攻击源IP自动生成;
封禁模块,用于在所述风险评估结果为风险时,控制防火墙封禁所述攻击源IP或所述被攻击源IP。
7.根据权利要求6所述的一种多源网络安全告警事件溯源与自动处置装置,其特征在于,所述风险评估模块包括:
恶意IP地址威胁情报库,用于获取所述攻击源IP的第一风险信息;所述第一风险信息为所述攻击源IP在所述恶意IP地址威胁情报库中的匹配结果,所述匹配结果包括匹配成功和匹配失败;
攻击源IP处置单元,用于获取所述攻击源IP的第二风险信息;所述第二风险信息为所述攻击源IP的攻击参数是否大于攻击参数阈值;所述攻击源IP的攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;
第一生成单元,用于根据所述第一风险信息和所述第二风险信息生成所述风险评估结果:
当所述第一风险结果为匹配成功且所述攻击参数大于攻击参数阈值时,所述风险评估结果为风险;
否则,所述风险评估结果为安全。
8.根据权利要求7所述的一种多源网络安全告警事件溯源与自动处置装置,其特征在于,所述风险评估模块还包括:
被攻击IP处置单元,用于获取被攻击源IP风险信息;所述被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;所述被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;
第二生成单元,用于根据所述被攻击源IP风险信息生成所述风险评估结果:
当所述被攻击源IP告警参数大于被攻击源IP告警参数阈值时,所述风险评估结果为风险;
否则,所述风险评估结果为安全。
9.根据权利要求6-8中任意一项所述的一种多源网络安全告警事件溯源与自动处置装置,其特征在于,还包括预警模块,所述预警模块用于在所述索引类别为服务器时,获取服务器IP和服务器IP告警参数;并在所述服务器IP告警参数大于服务器IP告警参数阈值时,对遭受攻击的服务器进行预警;
预警包括病毒木马查杀、漏洞修复和/或防火墙策略完善;所述服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间。
10.根据权利要求6所述的一种多源网络安全告警事件溯源与自动处置装置,其特征在于,还包括输出模块,所述输出模块用于当根据IP对应关系将所述安全日志数据划分至相应的索引类别中时,输出所述安全日志数据和相应的索引类别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111424439.3A CN114143064B (zh) | 2021-11-26 | 2021-11-26 | 一种多源网络安全告警事件溯源与自动处置方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111424439.3A CN114143064B (zh) | 2021-11-26 | 2021-11-26 | 一种多源网络安全告警事件溯源与自动处置方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114143064A true CN114143064A (zh) | 2022-03-04 |
| CN114143064B CN114143064B (zh) | 2024-06-18 |
Family
ID=80388663
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111424439.3A Active CN114143064B (zh) | 2021-11-26 | 2021-11-26 | 一种多源网络安全告警事件溯源与自动处置方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114143064B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114598525A (zh) * | 2022-03-09 | 2022-06-07 | 中国医学科学院阜外医院 | 一种针对网络攻击的ip自动封禁的方法和装置 |
| CN114780956A (zh) * | 2022-06-21 | 2022-07-22 | 一物一码数据(广州)实业有限公司 | 基于大数据分析的追踪溯源系统 |
| CN114866299A (zh) * | 2022-04-22 | 2022-08-05 | 南方电网数字电网研究院有限公司 | 网络数据转发方法、装置、计算机设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105991628A (zh) * | 2015-03-24 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的识别方法和装置 |
| CN110519251A (zh) * | 2019-08-20 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种攻击行为检测方法及装置 |
| CN110620690A (zh) * | 2019-09-19 | 2019-12-27 | 国网思极网安科技(北京)有限公司 | 一种网络攻击事件的处理方法及其电子设备 |
| EP3588898A1 (en) * | 2017-03-27 | 2020-01-01 | New H3C Technologies Co., Ltd | Defense against apt attack |
| CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
| CN112953917A (zh) * | 2021-01-29 | 2021-06-11 | 中国农业银行股份有限公司 | 一种网络攻击源识别方法、装置、计算机设备及存储介质 |
-
2021
- 2021-11-26 CN CN202111424439.3A patent/CN114143064B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105991628A (zh) * | 2015-03-24 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的识别方法和装置 |
| EP3588898A1 (en) * | 2017-03-27 | 2020-01-01 | New H3C Technologies Co., Ltd | Defense against apt attack |
| CN110519251A (zh) * | 2019-08-20 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种攻击行为检测方法及装置 |
| CN110620690A (zh) * | 2019-09-19 | 2019-12-27 | 国网思极网安科技(北京)有限公司 | 一种网络攻击事件的处理方法及其电子设备 |
| CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
| CN112953917A (zh) * | 2021-01-29 | 2021-06-11 | 中国农业银行股份有限公司 | 一种网络攻击源识别方法、装置、计算机设备及存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114598525A (zh) * | 2022-03-09 | 2022-06-07 | 中国医学科学院阜外医院 | 一种针对网络攻击的ip自动封禁的方法和装置 |
| CN114866299A (zh) * | 2022-04-22 | 2022-08-05 | 南方电网数字电网研究院有限公司 | 网络数据转发方法、装置、计算机设备和存储介质 |
| CN114866299B (zh) * | 2022-04-22 | 2024-03-26 | 南方电网数字电网研究院有限公司 | 网络数据转发方法、装置、计算机设备和存储介质 |
| CN114780956A (zh) * | 2022-06-21 | 2022-07-22 | 一物一码数据(广州)实业有限公司 | 基于大数据分析的追踪溯源系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114143064B (zh) | 2024-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114143064B (zh) | 一种多源网络安全告警事件溯源与自动处置方法及装置 | |
| CN112995161B (zh) | 一种基于人工智能的网络安全态势预测系统 | |
| CN113596028B (zh) | 一种网络异常行为的处置方法及装置 | |
| CN109376537B (zh) | 一种基于多因子融合的资产评分方法及系统 | |
| CN108551449B (zh) | 防病毒管理系统及方法 | |
| CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
| CN113381980B (zh) | 信息安全防御方法及系统、电子设备、存储介质 | |
| CN117640257B (zh) | 一种基于大数据的网络安全运营的数据处理方法及系统 | |
| CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
| CN105681274A (zh) | 一种原始告警信息处理的方法及装置 | |
| CN116094817A (zh) | 一种网络安全检测系统和方法 | |
| CN114050937B (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
| KR100846835B1 (ko) | 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법 | |
| CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
| CN114363080A (zh) | 一种网络终端的监控分析方法、装置、设备及存储介质 | |
| US20230018096A1 (en) | Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program | |
| KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
| CN115643041A (zh) | 一种漏洞的处理方法、管理设备以及网关设备 | |
| CN112422501B (zh) | 正反向隧道防护方法、装置、设备及存储介质 | |
| CN115834109A (zh) | 一种通过日志分析实现ssh暴力破解防御的方法及装置 | |
| CN114756870A (zh) | 基于SoS体系的多维度信息安全风险评估系统 | |
| CN113986843A (zh) | 数据风险预警处理方法、装置及电子设备 | |
| CN112565246A (zh) | 一种基于人工智能的网络防攻击系统及其方法 | |
| CN112543177A (zh) | 一种网络攻击检测方法及装置 | |
| Watson et al. | Designing trustworthy monitoring systems: Forensic readiness for safety and security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |