CN115549953B - 一种网络安全告警方法及系统 - Google Patents
一种网络安全告警方法及系统 Download PDFInfo
- Publication number
- CN115549953B CN115549953B CN202210975219.8A CN202210975219A CN115549953B CN 115549953 B CN115549953 B CN 115549953B CN 202210975219 A CN202210975219 A CN 202210975219A CN 115549953 B CN115549953 B CN 115549953B
- Authority
- CN
- China
- Prior art keywords
- information
- alarm
- analysis
- security event
- preset keyword
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,特别是涉及一种网络安全告警方法及系统。包括:步骤S1:实时收集分布在网络上不同地方的告警信息和日志信息,并将告警信息和日志信息实时发送;步骤S2:接收告警信息和日志信息,并识别告警信息和日志信息中的原始安全事件信息,将原始安全事件信息进行保存;步骤S3:对原始安全事件信息进行聚合处理,并得到高级安全事件信息,将高级安全事件信息的告警进行输出显示给用户。本发明通过基于聚类分析的方法,有效的对大量的告警信息实行了滤除,提高了对高级安全事件的告警识别能力。
Description
背景技术
互联网的诞生为人与人之间的信息交流提供了一个便利快捷的平台,人们在享受相关服务的同时, 往往还要顾虑到信息的完整性、隐密性和可用性是否得到有效的保护。科技工作者们把古老的密码技术加以更新应用到互联网上来保护信息资产的安全,这一定程度上解决了信息隐密性的问题, 但是由于信息技术本身的缺陷导致的安全问题确是密码技术无法解决的,例如软件设计的缺陷,程序语言的漏洞,软件开发者刻意设置的后门等等日益威胁着互联网生存。随着网络安全的迫切需要,大量的安全产品层出不穷,防火墙、入侵检测系统、漏洞扫描系统、补丁服务系统等,大量的安全数据用于审计,如syslog、route路由器日志、主机日志等。然而当前网络安全的事实是随着各种安全措施的实施,网络安全事件不是下降了,反而每年在上升,这与互联网的规模时时刻刻都在扩大有很大的关系,但是一个不争的事实 是网络安全的形式越来越严峻了。
然而现有技术中,由于网络上存在的告警数量信息众多,其中包含有大量的有效告警和无效误报告警,对于告警信息识别的准确性存在一定的问题,此外,对于如何从海量告警中筛选出真实有效的攻击并进行有效地告警的问题,告警信息的巨大数据量,会导致需要分析处置的告警日志剧增,但是,很多告警的产生并不是意味着它就是真实有效的攻击所触发的,而是由于安全设备在检测过程中因特征规则感知到的攻击尝试行为所造成的风险告警,而那些真实有效的攻击告警却往往被大量的风险告警所“淹没”,因此,如何提供一种网络安全告警方法及系统克服上述困难是本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种网络安全告警方法及系统,本发明通过基于聚类分析的方法,有效的对大量的告警信息实行了滤除,提高了对高级安全事件的告警识别能力。
为了实现上述目的,本发明提供了如下的技术方案:
一种网络安全告警方法,包括:
步骤S1:实时收集分布在所述网络上不同地方的告警信息和日志信息,并将所述告警信息和所述日志信息实时发送;
步骤S2:接收所述告警信息和所述日志信息,并识别所述告警信息和所述日志信息中的原始安全事件信息,将所述原始安全事件信息进行保存;
步骤S3:对所述原始安全事件信息进行聚合处理,并得到高级安全事件信息,将所述高级安全事件信息的告警进行输出显示给用户。
在本申请的一些实施例中,对所述原始安全事件信息进行聚合处理,包括:
实时检测在100M的端口上每小时产生的所述告警信息,并去除所述告警信息中误报的误报告警信息,并得到高级安全事件信息,将所述高级安全事件信息转化为高级安全事件标准格式,其中,所述高级安全事件标准格式包括源IP信息和目的IP信息;
基于信息类型对所述高级安全事件信息进行分类;
基于预设的IDS告警分析模型,将各所述高级安全事件信息可能产生的告警进行聚类。
在本申请的一些实施例中,所述IDS告警分析模型是通过以下方法建立:
通过建立关联告警与攻击的规则库,利用规则匹配算法的实现关联;
通过已知攻击的谓词与因素库,建立对攻击场景的详细描述,再利用场景匹配算法实现关联;
通过建立各事件发生的时序图,分析它们之间的先后依赖关系;
通过每个报警事件各属性之间的联系估算出它们的相似度进行聚类关联。
在本申请的一些实施例中,本发明基于SATA 系统建立了统一的高级安全事件标准格式,这个格式在 IDMEF格式的基础上进行扩展,加入一些 SATA 系统特有的安全事件属性。同时支持 IDMEF 格式报警的输入,这些工作由一个脚本程序来完成转换。
在本申请的一些实施例中,所述信息类型包括紧急告警和重要告警,所述紧急告警包括:
BUS_ ERR;
ETH_ LINK_ DOWN;
SERVICE_ _OUTAGE;
ETH_ _LOS;
GNE_ CONNECT_ FAIL;
LSR_ NO_ FITED;
LSR_ _WILL_ DIE;
MPLS_ _TUNNEL_ L0CV;
MPLS_ TUNNEL_ MISMATCH;
NE_ _COMMU_ _BREAK;
NE_ _NOT_ _LOGIN;
NESF_ _LOST;
OUT_ PWR_ _ABN;
R_ L0S;
SWDL_ NEPKGCHECK;
所述重要告警包括:
ALM_ IMA_ LIF;
ALM_ _IMA_ LODS;
ALM_ _IMA_ RFI;
ATMPW_ LOSPKT_ EXC;
AU_ LOP;
BD_ STATUS;
BI0S_ _STATUS;
BOOTROM_ BAD;
CES_ _LOSPKT_ EXC;
COMUN_ FAIL;
DCNLINK_ _0VER;
DCNSIZE_ _OVER;
ETH_ APS_ PATH MISMATCH;
ETH_ APS_ SWITCH_ FAIL;
ETH_ _APS_ TYPE_ MISMATCH;
FAN_ FAIL;
GNE_ _MGR_ LIMIT_ OVER;
IMA_ _GROUP_ LE_ _DOWIN;
IMA_ GROUP_ RE_ DOWN;
IN_ PWR_ _ABN;
LAG_ _DOWN;
LASER MOD_ ERR;
LFA;
LMFA;
LSR_ _BCM_ _ALM;
LTI;
MAC_ FCS_ _EXC;
MP_ _DOWN;
MPLS_ TUNNEL_ FDI。
在本申请的一些实施例中,包括:
分别对所述源IP信息和所述目的IP信息进行告警聚类,根据各所述告警聚类中产生的告警的个数进行降序排列,列出产生预设比例告警的所述源IP信息和所述目的IP信息,以对所述告警信息进行幂率分析,其中,所述预设比例为90%;
基于所述幂率分析的分析结果分析各主要告警类产生告警的趋势性,以对所述告警信息进行趋势分析;
基于所述幂率分析的分析结果分析各主要告警类产生告警的周期性,以对所述告警信息进行周期分析;
基于所述趋势分析的分析结果和所述周期分析的分析结果建立统计分析模型,基于所述统计分析模型去除所述告警信息中误报的误报告警信息;
其中,基于所述统计分析模型去除所述告警信息中误报的误报告警信息包括:
当所述告警信息与所述趋势分析的分析结果和所述周期分析的分析结果相匹配时,去除所述告警信息。
在本申请的一些实施例中,当所述告警信息与所述趋势分析的分析结果和所述周期分析的分析结果相匹配时,去除所述告警信息,具体包括:
当所述告警信息与所述函数图中的函数曲线的曲线趋势且所述告警信息与所述函数图中的函数曲线的曲线周期相贴合时,去除所述告警信息。
在本申请的一些实施例中,将各所述高级安全事件信息可能产生的告警进行聚类,包括:
步骤A:初始化一个告警链表,等待所述告警信息的到来;
步骤B:将所述告警信息与所述告警链表中的各个结点相匹配,当匹配成功时,则添加为该结点的一个子元素,同时所述结点的长度加 1,当匹配不成功时,重新初始化一个告警链表并重复执行所述步骤A直至匹配成功;
步骤C:检查各个结点的聚合长度,当所述聚合长度超过第一阈值时,产生超告警并输出,同时删除该所述结点;
步骤E:检查各个结点的聚合时差,当所述聚合时差超过第二阈值时,产生超告警并输出,同时删除该所述结点;
其中,所述超告警是由若干所述告警信息聚合而成,所述第一阈值为所述告警信息的个数,所述第二阈值为10s,所述聚合时差是对每一类的所述告警信息设置最大的告警关联时间 Max_Correlation_Time。当判定一个新的告警是否属于某个告警类时,通过比较该告警的时间戳和该类告警最新的时间戳,计算该告警的时间戳和该类告警最新的时间戳两者之差。
在本申请的一些实施例中,所述步骤S1中还包括:
基于所述日志信息设定查询时间范围值,并基于所述日志信息中查询包含有预设关键字信息的日志信息,设置触发条件为包含有预设关键字信息,当所述日志信息中出现所述预设关键字信息时,触发告警并输出显示给用户;
基于所述查询时间范围值,统计所述查询时间范围值内出现所述预设关键字的次数,设置触发条件为包含有预设关键字信息,当所述查询时间范围值内所述日志信息中出现所述预设关键字信息的次数大于3次时,触发告警并输出显示给用户;
基于当前所述查询时间范围值内出现预设关键字信息的次数与前一天的所述查询时间范围值内出现预设关键字信息的次数的增长率,设置触发条件为包含有预设关键字信息,当出现预设关键字信息的次数与前一天的所述查询时间范围值内出现预设关键字信息的次数的增长率的比值大于10%时,触发告警并输出显示给用户。
为了实现上述目的,本发明还相应地提供了一种网络安全告警系统,包括:
数据采集模块,所述数据采集模块用于实时收集分布在所述网络上不同地方的告警信息和日志信息,并将所述告警信息和所述日志信息实时发送;
数据接收模块,所述数据接收模块用于接收所述告警信息和所述日志信息,并识别所述告警信息和所述日志信息中的原始安全事件信息,将所述原始安全事件信息进行保存;
数据处理模块,所述数据处理模块用于对所述原始安全事件信息进行聚合处理,并得到高级安全事件信息,将所述高级安全事件信息的告警进行输出显示给用户。
在本申请的一些实施例中,所述数据处理模块还用于实时检测在100M的端口上每小时产生的所述告警信息,并去除所述告警信息中误报的误报告警信息,并得到高级安全事件信息,将所述高级安全事件信息转化为高级安全事件标准格式,其中,所述高级安全事件标准格式包括源IP信息和目的IP信息;
基于信息类型对所述高级安全事件信息进行分类;
基于预设的IDS告警分析模型,将各所述高级安全事件信息可能产生的告警进行聚类。
在本申请的一些实施例中,所述IDS告警分析模型是通过以下方法建立:
通过建立关联告警与攻击的规则库,利用规则匹配算法的实现关联;
通过已知攻击的谓词与因素库,建立对攻击场景的详细描述,再利用场景匹配算法实现关联;
通过建立各事件发生的时序图,分析它们之间的先后依赖关系;
通过每个报警事件各属性之间的联系估算出它们的相似度进行聚类关联。
在本申请的一些实施例中,本发明基于SATA 系统建立了统一的高级安全事件标准格式,这个格式在 IDMEF格式的基础上进行扩展,加入一些 SATA 系统特有的安全事件属性。同时支持 IDMEF 格式报警的输入,这些工作由一个脚本程序来完成转换。
在本申请的一些实施例中,所述信息类型包括紧急告警和重要告警,所述紧急告警包括:
BUS_ ERR;
ETH_ LINK_ DOWN;
SERVICE_ _OUTAGE;
ETH_ _LOS;
GNE_ CONNECT_ FAIL;
LSR_ NO_ FITED;
LSR_ _WILL_ DIE;
MPLS_ _TUNNEL_ L0CV;
MPLS_ TUNNEL_ MISMATCH;
NE_ _COMMU_ _BREAK;
NE_ _NOT_ _LOGIN;
NESF_ _LOST;
OUT_ PWR_ _ABN;
R_ L0S;
SWDL_ NEPKGCHECK;
所述重要告警包括:
ALM_ IMA_ LIF;
ALM_ _IMA_ LODS;
ALM_ _IMA_ RFI;
ATMPW_ LOSPKT_ EXC;
AU_ LOP;
BD_ STATUS;
BI0S_ _STATUS;
BOOTROM_ BAD;
CES_ _LOSPKT_ EXC;
COMUN_ FAIL;
DCNLINK_ _0VER;
DCNSIZE_ _OVER;
ETH_ APS_ PATH MISMATCH;
ETH_ APS_ SWITCH_ FAIL;
ETH_ _APS_ TYPE_ MISMATCH;
FAN_ FAIL;
GNE_ _MGR_ LIMIT_ OVER;
IMA_ _GROUP_ LE_ _DOWIN;
IMA_ GROUP_ RE_ DOWN;
IN_ PWR_ _ABN;
LAG_ _DOWN;
LASER MOD_ ERR;
LFA;
LMFA;
LSR_ _BCM_ _ALM;
LTI;
MAC_ FCS_ _EXC;
MP_ _DOWN;
MPLS_ TUNNEL_ FDI。
在本申请的一些实施例中,所述数据处理模块还用于分别对所述源IP信息和所述目的IP信息进行告警聚类,根据各所述告警聚类中产生的告警的个数进行降序排列,列出产生预设比例告警的所述源IP信息和所述目的IP信息,以对所述告警信息进行幂率分析,其中,所述预设比例为90%;
基于所述幂率分析的分析结果分析各主要告警类产生告警的趋势性,以对所述告警信息进行趋势分析;
基于所述幂率分析的分析结果分析各主要告警类产生告警的周期性,以对所述告警信息进行周期分析;
基于所述趋势分析的分析结果和所述周期分析的分析结果建立统计分析模型,基于所述统计分析模型去除所述告警信息中误报的误报告警信息;
其中,基于所述统计分析模型去除所述告警信息中误报的误报告警信息包括:
当所述告警信息与所述趋势分析的分析结果和所述周期分析的分析结果相匹配时,去除所述告警信息。
在本申请的一些实施例中,当所述告警信息与所述趋势分析的分析结果和所述周期分析的分析结果相匹配时,去除所述告警信息,具体包括:
当所述告警信息与所述函数图中的函数曲线的曲线趋势且所述告警信息与所述函数图中的函数曲线的曲线周期相贴合时,去除所述告警信息。
在本申请的一些实施例中,所述数据处理模块还用于通过以下步骤将各所述高级安全事件信息可能产生的告警进行聚类,包括:
步骤A:初始化一个告警链表,等待所述告警信息的到来;
步骤B:将所述告警信息与所述告警链表中的各个结点相匹配,当匹配成功时,则添加为该结点的一个子元素,同时所述结点的长度加 1,当匹配不成功时,重新初始化一个告警链表并重复执行所述步骤A直至匹配成功;
步骤C:检查各个结点的聚合长度,当所述聚合长度超过第一阈值时,产生超告警并输出,同时删除该所述结点;
步骤E:检查各个结点的聚合时差,当所述聚合时差超过第二阈值时,产生超告警并输出,同时删除该所述结点;
其中,所述超告警是由若干所述告警信息聚合而成,所述第一阈值为所述告警信息的个数,所述第二阈值为10s,所述聚合时差是对每一类的所述告警信息设置最大的告警关联时间 Max_Correlation_Time。当判定一个新的告警是否属于某个告警类时,通过比较该告警的时间戳和该类告警最新的时间戳,计算该告警的时间戳和该类告警最新的时间戳两者之差。
在本申请的一些实施例中,所述数据采集模块还用于基于所述日志信息设定查询时间范围值,并基于所述日志信息中查询包含有预设关键字信息的日志信息,设置触发条件为包含有预设关键字信息,当所述日志信息中出现所述预设关键字信息时,触发告警并输出显示给用户;
所述数据采集模块还用于基于所述查询时间范围值,统计所述查询时间范围值内出现所述预设关键字的次数,设置触发条件为包含有预设关键字信息,当所述查询时间范围值内所述日志信息中出现所述预设关键字信息的次数大于3次时,触发告警并输出显示给用户;
所述数据采集模块还用于基于当前所述查询时间范围值内出现预设关键字信息的次数与前一天的所述查询时间范围值内出现预设关键字信息的次数的增长率,设置触发条件为包含有预设关键字信息,当出现预设关键字信息的次数与前一天的所述查询时间范围值内出现预设关键字信息的次数的增长率的比值大于10%时,触发告警并输出显示给用户。
本发明提供了一种网络安全告警方法及系统,与现有技术相比,其有益效果在于:
本发明通过基于告警聚合的方法,根据将属于同一个或一类攻击的告警聚合成为一条高级告警,有效得减少了告警的数量,去除了网络中大量的冗余的告警信息,可以提高对有效真实攻击的准确预警,此外,日志信息记录了系统的运行过程及异常信息,通过日志信息中的关键字的检索进行监控告警可以快速感知和定位,具有高效性和灵活性。
附图说明
图1是本发明的网络安全告警方法的流程图;
图2是本发明的网络安全告警系统的功能框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内侧的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
现有技术中,由于网络上存在的告警数量信息众多,其中包含有大量的有效告警和无效误报告警,对于告警信息识别的准确性存在一定的问题,此外,对于如何从海量告警中筛选出真实有效的攻击并进行有效地告警的问题,告警信息的巨大数据量,会导致需要分析处置的告警日志剧增,但是,很多告警的产生并不是意味着它就是真实有效的攻击所触发的,而是由于安全设备在检测过程中因特征规则感知到的攻击尝试行为所造成的风险告警,而那些真实有效的攻击告警却往往被大量的风险告警所“淹没”。
因此,本发明提了供一种网络安全告警方法及系统,本发明通过基于聚类分析的方法,有效的对大量的告警信息实行了滤除,提高了对高级安全事件的告警识别能力。
参阅图1所示,本发明的公开实施例提供了一种网络安全告警方法,包括:
步骤S1:实时收集分布在网络上不同地方的告警信息和日志信息,并将告警信息和日志信息实时发送;
步骤S2:接收告警信息和日志信息,并识别告警信息和日志信息中的原始安全事件信息,将原始安全事件信息进行保存;
步骤S3:对原始安全事件信息进行聚合处理,并得到高级安全事件信息,将高级安全事件信息的告警进行输出显示给用户。
在本申请的一种具体实施例中,对所述原始安全事件信息进行聚合处理,包括:
实时检测在100M的端口上每小时产生的所述告警信息,并去除所述告警信息中误报的误报告警信息,并得到高级安全事件信息,将所述高级安全事件信息转化为高级安全事件标准格式,其中,所述高级安全事件标准格式包括源IP信息和目的IP信息;
基于信息类型对所述高级安全事件信息进行分类;
基于预设的IDS告警分析模型,将各所述高级安全事件信息可能产生的告警进行聚类。
其有益效果在于:日常所产生的原始告警中,由于数据量巨大,而且其中90%以上都是误告警,通过误告警的去除可以大大提高该技术的性能,增强分析告警的实时性和可靠性。
在本申请的一种具体实施例中,包括:
分别对所述源IP信息和所述目的IP信息进行告警聚类,根据各所述告警聚类中产生的告警的个数进行降序排列,列出产生预设比例告警的所述源IP信息和所述目的IP信息,以对所述告警信息进行幂率分析,其中,所述预设比例为90%;;
基于所述幂率分析的分析结果分析各主要告警类产生告警的趋势性,以对所述告警信息进行趋势分析;
基于所述幂率分析的分析结果分析各主要告警类产生告警的周期性,以对所述告警信息进行周期分析;
基于所述趋势分析的分析结果和所述周期分析的分析结果建立统计分析模型,基于所述统计分析模型去除所述告警信息中误报的误报告警信息;
其中,基于所述统计分析模型去除所述告警信息中误报的误报告警信息包括:
当所述告警信息与所述趋势分析的分析结果和所述周期分析的分析结果相匹配时,去除所述告警信息。
其有益效果在于:通过告警聚类建立的数学模型,有效地减少了人工的干预,从而大幅提高了告警分析的效率,更适合用于对大规模网络中的告警进行分析。
在本申请的一种具体实施例中,将各所述高级安全事件信息可能产生的告警进行聚类,包括:
步骤A:初始化一个告警链表,等待所述告警信息的到来;
步骤B:将所述告警信息与所述告警链表中的各个结点相匹配,当匹配成功时,则添加为该结点的一个子元素,同时所述结点的长度加 1,当匹配不成功时,重新初始化一个告警链表并重复执行所述步骤A直至匹配成功;
步骤C:检查各个结点的聚合长度,当所述聚合长度超过第一阈值时,产生超告警并输出,同时删除该所述结点;
步骤E:检查各个结点的聚合时差,当所述聚合时差超过第二阈值时,产生超告警并输出,同时删除该所述结点;
其中,所述超告警是由若干所述告警信息聚合而成,所述第一阈值为所述告警信息的个数,所述第二阈值为10s。
在本申请的一种具体实施例中,步骤S1中还包括:
基于日志信息设定查询时间范围值,并基于日志信息中查询包含有预设关键字信息的日志信息,设置触发条件为包含有预设关键字信息,当日志信息中出现预设关键字信息时,触发告警并输出显示给用户;
基于查询时间范围值,统计查询时间范围值内出现预设关键字的次数,设置触发条件为包含有预设关键字信息,当查询时间范围值内日志信息中出现预设关键字信息的次数大于3次时,触发告警并输出显示给用户;
基于当前查询时间范围值内出现预设关键字信息的次数与前一天的查询时间范围值内出现预设关键字信息的次数的增长率,设置触发条件为包含有预设关键字信息,当出现预设关键字信息的次数与前一天的查询时间范围值内出现预设关键字信息的次数的增长率的比值大于10%时,触发告警并输出显示给用户。
基于相同的技术构思,参阅图2所示,本发明还相应地提供了一种网络安全告警系统,包括:
数据采集模块,数据采集模块用于实时收集分布在网络上不同地方的告警信息和日志信息,并将告警信息和日志信息实时发送;
数据接收模块,数据接收模块用于接收告警信息和日志信息,并识别告警信息和日志信息中的原始安全事件信息,将原始安全事件信息进行保存;
数据处理模块,数据处理模块用于对原始安全事件信息进行聚合处理,并得到高级安全事件信息,将高级安全事件信息的告警进行输出显示给用户。
在本申请的一种具体实施例中,所述数据处理模块还用于实时检测在100M的端口上每小时产生的所述告警信息,并去除所述告警信息中误报的误报告警信息,并得到高级安全事件信息,将所述高级安全事件信息转化为高级安全事件标准格式,其中,所述高级安全事件标准格式包括源IP信息和目的IP信息;
基于信息类型对所述高级安全事件信息进行分类;
基于预设的IDS告警分析模型,将各所述高级安全事件信息可能产生的告警进行聚类。
其有益效果在于:日常所产生的原始告警中,由于数据量巨大,而且其中 90%以上都是误告警,通过误告警的去除可以大大提高该技术的性能,增强分析告警的实时性和可靠性。
在本申请的一种具体实施例中,所述数据处理模块还用于分别对所述源IP信息和所述目的IP信息进行告警聚类,根据各所述告警聚类中产生的告警的个数进行降序排列,列出产生预设比例告警的所述源IP信息和所述目的IP信息,以对所述告警信息进行幂率分析,其中,所述预设比例为90%;
基于所述幂率分析的分析结果分析各主要告警类产生告警的趋势性,以对所述告警信息进行趋势分析;
基于所述幂率分析的分析结果分析各主要告警类产生告警的周期性,以对所述告警信息进行周期分析;
基于所述趋势分析的分析结果和所述周期分析的分析结果建立统计分析模型,基于所述统计分析模型去除所述告警信息中误报的误报告警信息;
其中,基于所述统计分析模型去除所述告警信息中误报的误报告警信息包括:
当所述告警信息与所述趋势分析的分析结果和所述周期分析的分析结果相匹配时,去除所述告警信息。
其有益效果在于:通过告警聚类建立的数学模型,有效地减少了人工的干预,从而大幅提高了告警分析的效率,更适合用于对大规模网络中的告警进行分析。
在本申请的一种具体实施例中,所述数据处理模块还用于通过以下步骤将各所述高级安全事件信息可能产生的告警进行聚类,包括:
步骤A:初始化一个告警链表,等待所述告警信息的到来;
步骤B:将所述告警信息与所述告警链表中的各个结点相匹配,当匹配成功时,则添加为该结点的一个子元素,同时所述结点的长度加 1,当匹配不成功时,重新初始化一个告警链表并重复执行所述步骤A直至匹配成功;
步骤C:检查各个结点的聚合长度,当所述聚合长度超过第一阈值时,产生超告警并输出,同时删除该所述结点;
步骤E:检查各个结点的聚合时差,当所述聚合时差超过第二阈值时,产生超告警并输出,同时删除该所述结点;
其中,所述超告警是由若干所述告警信息聚合而成,所述第一阈值为所述告警信息的个数,所述第二阈值为10s。
在本申请的一种具体实施例中,数据采集模块还用于基于日志信息设定查询时间范围值,并基于日志信息中查询包含有预设关键字信息的日志信息,设置触发条件为包含有预设关键字信息,当日志信息中出现预设关键字信息时,触发告警并输出显示给用户;
数据采集模块还用于基于查询时间范围值,统计查询时间范围值内出现预设关键字的次数,设置触发条件为包含有预设关键字信息,当查询时间范围值内日志信息中出现预设关键字信息的次数大于3次时,触发告警并输出显示给用户;
数据采集模块还用于基于当前查询时间范围值内出现预设关键字信息的次数与前一天的查询时间范围值内出现预设关键字信息的次数的增长率,设置触发条件为包含有预设关键字信息,当出现预设关键字信息的次数与前一天的查询时间范围值内出现预设关键字信息的次数的增长率的比值大于10%时,触发告警并输出显示给用户。
告警聚合,是通过预先定义每种攻击类之间的相似程度,并为每一种告警的属性定义相似度的计算方法,如IP地址等。在计算得到单个属性相似程度的基础上利用公式计算得到两个告警之间总的相似度。如果这个相似度超过某一个阈值就将它们进行聚合,相似度计算方法的优点是在对相似告警即来自相同的源或目标地址的告警进行聚类时具有高效性以及准确性,日志记录了系统的运行过程及异常信息,例如warning日志、Java语言中的java.lang.StackOverflowError错误日志、系统运行状态日志等,通过检索日志中的关键字和设置告警,可以快速感知和定位问题。综上所述,本发明通过基于告警聚合的方法,根据将属于同一个或一类攻击的告警聚合成为一条高级告警,有效得减少了告警的数量,去除了网络中大量的冗余的告警信息,可以提高对有效真实攻击的准确预警,此外,通过日志信息中的关键字的检索进行监控告警可以快速感知和定位,具有高效性和灵活性。
以上所述仅为本发明的一个实施例子,但不能以此限制本发明的范围,凡依据本发明所做的结构上的变化,只要不失本发明的要义所在,都应视为落入本发明保护范围之内受到制约。
所属技术领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程及有关说明,可以参考前述方法实施例中的对应过程,在此不再赘述。
需要说明的是,上述实施例提供的系统,仅以上述各功能模块的划分进行举例说明,在实际应用中,可以根据需要而将上述功能分配由不同的功能模块来完成,即将本发明实施例中的模块或者步骤再分解或者组合,例如,上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块,以完成以上描述的全部或者部分功能。对于本发明实施例中涉及的模块、步骤的名称,仅仅是为了区分各个模块或者步骤,不视为对本发明的不当限定。
术语“包括”或者任何其它类似用语旨在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备/装置不仅包括那些要素,而且还包括没有明确列出的其它要素,或者还包括这些过程、方法、物品或者设备/装置所固有的要素。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征作出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (6)
1.一种网络安全告警方法,其特征在于,包括:
步骤S1:实时收集分布在所述网络上不同地方的告警信息和日志信息,并将所述告警信息和所述日志信息实时发送;
步骤S2:接收所述告警信息和所述日志信息,并识别所述告警信息和所述日志信息中的原始安全事件信息,将所述原始安全事件信息进行保存;
步骤S3:对所述原始安全事件信息进行聚合处理,并得到高级安全事件信息,将所述高级安全事件信息的告警进行输出显示给用户;
对所述原始安全事件信息进行聚合处理,包括:
实时检测在100M的端口上每小时产生的所述告警信息,并去除所述告警信息中误报的误报告警信息,并得到高级安全事件信息,将所述高级安全事件信息转化为高级安全事件标准格式,其中,所述高级安全事件标准格式包括源IP信息和目的IP信息;
基于信息类型对所述高级安全事件信息进行分类;
基于预设的IDS告警分析模型,将各所述高级安全事件信息可能产生的告警进行聚类;
分别对所述源IP信息和所述目的IP信息进行告警聚类,根据各所述告警聚类中产生的告警的个数进行降序排列,列出产生预设比例告警的所述源IP信息和所述目的IP信息,以对所述告警信息进行幂率分析,其中,所述预设比例为90%;
基于所述幂率分析的分析结果分析各主要告警类产生告警的趋势性,以对所述告警信息进行趋势分析;
基于所述幂率分析的分析结果分析各主要告警类产生告警的周期性,以对所述告警信息进行周期分析;
基于所述趋势分析的分析结果和所述周期分析的分析结果建立统计分析模型,基于所述统计分析模型去除所述告警信息中误报的误报告警信息;
其中,基于所述统计分析模型去除所述告警信息中误报的误报告警信息包括:
当所述告警信息与所述趋势分析的分析结果和所述周期分析的分析结果相匹配时,去除所述告警信息。
2.根据权利要求1所述的一种网络安全告警方法,其特征在于,将各所述高级安全事件信息可能产生的告警进行聚类,包括:
步骤A:初始化一个告警链表,等待所述告警信息的到来;
步骤B:将所述告警信息与所述告警链表中的各个结点相匹配,当匹配成功时,则添加为该结点的一个子元素,同时所述结点的长度加 1,当匹配不成功时,重新初始化一个告警链表并重复执行所述步骤A直至匹配成功;
步骤C:检查各个结点的聚合长度,当所述聚合长度超过第一阈值时,产生超告警并输出,同时删除该所述结点;
步骤E:检查各个结点的聚合时差,当所述聚合时差超过第二阈值时,产生超告警并输出,同时删除该所述结点;
其中,所述超告警是由若干所述告警信息聚合而成,所述第一阈值为所述告警信息的个数,所述第二阈值为10s。
3.根据权利要求1所述的一种网络安全告警方法,其特征在于,所述步骤S1中还包括:
基于所述日志信息设定查询时间范围值,并基于所述日志信息中查询包含有预设关键字信息的日志信息,设置触发条件为包含有预设关键字信息,当所述日志信息中出现所述预设关键字信息时,触发告警并输出显示给用户;
基于所述查询时间范围值,统计所述查询时间范围值内出现所述预设关键字的次数,设置触发条件为包含有预设关键字信息,当所述查询时间范围值内所述日志信息中出现所述预设关键字信息的次数大于3次时,触发告警并输出显示给用户;
基于当前所述查询时间范围值内出现预设关键字信息的次数与前一天的所述查询时间范围值内出现预设关键字信息的次数的增长率,设置触发条件为包含有预设关键字信息,当出现预设关键字信息的次数与前一天的所述查询时间范围值内出现预设关键字信息的次数的增长率的比值大于10%时,触发告警并输出显示给用户。
4.一种网络安全告警系统,其特征在于,包括:
数据采集模块,所述数据采集模块用于实时收集分布在所述网络上不同地方的告警信息和日志信息,并将所述告警信息和所述日志信息实时发送;
数据接收模块,所述数据接收模块用于接收所述告警信息和所述日志信息,并识别所述告警信息和所述日志信息中的原始安全事件信息,将所述原始安全事件信息进行保存;
数据处理模块,所述数据处理模块用于对所述原始安全事件信息进行聚合处理,并得到高级安全事件信息,将所述高级安全事件信息的告警进行输出显示给用户;
所述数据处理模块还用于实时检测在100M的端口上每小时产生的所述告警信息,并去除所述告警信息中误报的误报告警信息,并得到高级安全事件信息,将所述高级安全事件信息转化为高级安全事件标准格式,其中,所述高级安全事件标准格式包括源IP信息和目的IP信息;
基于信息类型对所述高级安全事件信息进行分类;
基于预设的IDS告警分析模型,将各所述高级安全事件信息可能产生的告警进行聚类;
所述数据处理模块还用于分别对所述源IP信息和所述目的IP信息进行告警聚类,根据各所述告警聚类中产生的告警的个数进行降序排列,列出产生预设比例告警的所述源IP信息和所述目的IP信息,以对所述告警信息进行幂率分析,其中,所述预设比例为90%;
基于所述幂率分析的分析结果分析各主要告警类产生告警的趋势性,以对所述告警信息进行趋势分析;
基于所述幂率分析的分析结果分析各主要告警类产生告警的周期性,以对所述告警信息进行周期分析;
基于所述趋势分析的分析结果和所述周期分析的分析结果建立统计分析模型,基于所述统计分析模型去除所述告警信息中误报的误报告警信息;
其中,基于所述统计分析模型去除所述告警信息中误报的误报告警信息包括:
当所述告警信息与所述趋势分析的分析结果和所述周期分析的分析结果相匹配时,去除所述告警信息。
5.根据权利要求4所述的一种网络安全告警系统,其特征在于,所述数据处理模块还用于通过以下步骤将各所述高级安全事件信息可能产生的告警进行聚类,包括:
步骤A:初始化一个告警链表,等待所述告警信息的到来;
步骤B:将所述告警信息与所述告警链表中的各个结点相匹配,当匹配成功时,则添加为该结点的一个子元素,同时所述结点的长度加 1,当匹配不成功时,重新初始化一个告警链表并重复执行所述步骤A直至匹配成功;
步骤C:检查各个结点的聚合长度,当所述聚合长度超过第一阈值时,产生超告警并输出,同时删除该所述结点;
步骤E:检查各个结点的聚合时差,当所述聚合时差超过第二阈值时,产生超告警并输出,同时删除该所述结点;
其中,所述超告警是由若干所述告警信息聚合而成,所述第一阈值为所述告警信息的个数,所述第二阈值为10s。
6.根据权利要求4所述的一种网络安全告警系统,其特征在于,
所述数据采集模块还用于基于所述日志信息设定查询时间范围值,并基于所述日志信息中查询包含有预设关键字信息的日志信息,设置触发条件为包含有预设关键字信息,当所述日志信息中出现所述预设关键字信息时,触发告警并输出显示给用户;
所述数据采集模块还用于基于所述查询时间范围值,统计所述查询时间范围值内出现所述预设关键字的次数,设置触发条件为包含有预设关键字信息,当所述查询时间范围值内所述日志信息中出现所述预设关键字信息的次数大于3次时,触发告警并输出显示给用户;
所述数据采集模块还用于基于当前所述查询时间范围值内出现预设关键字信息的次数与前一天的所述查询时间范围值内出现预设关键字信息的次数的增长率,设置触发条件为包含有预设关键字信息,当出现预设关键字信息的次数与前一天的所述查询时间范围值内出现预设关键字信息的次数的增长率的比值大于10%时,触发告警并输出显示给用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210975219.8A CN115549953B (zh) | 2022-08-15 | 2022-08-15 | 一种网络安全告警方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210975219.8A CN115549953B (zh) | 2022-08-15 | 2022-08-15 | 一种网络安全告警方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115549953A CN115549953A (zh) | 2022-12-30 |
| CN115549953B true CN115549953B (zh) | 2023-04-07 |
Family
ID=84726184
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210975219.8A Active CN115549953B (zh) | 2022-08-15 | 2022-08-15 | 一种网络安全告警方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115549953B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061250B (zh) * | 2023-10-12 | 2023-12-15 | 中孚安全技术有限公司 | 基于数据中台的网络安全预警方法、系统、设备及介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259202A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 一种ca监测预警方法和ca监测预警系统 |
| CN109922069B (zh) * | 2019-03-13 | 2020-12-25 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及系统 |
| CN111224988A (zh) * | 2020-01-08 | 2020-06-02 | 国网陕西省电力公司信息通信公司 | 一种网络安全信息过滤方法 |
| CN113569116A (zh) * | 2021-07-31 | 2021-10-29 | 中国电子科技集团公司第十五研究所 | 基于属性相关性的网络告警信息聚类方法 |
| CN113676464B (zh) * | 2021-08-09 | 2023-07-04 | 国家电网有限公司 | 一种基于大数据分析技术的网络安全日志告警处理方法 |
| CN114301758A (zh) * | 2021-12-23 | 2022-04-08 | 中国电信股份有限公司 | 告警处理方法、系统、设备及存储介质 |
-
2022
- 2022-08-15 CN CN202210975219.8A patent/CN115549953B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN115549953A (zh) | 2022-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107171819B (zh) | 一种网络故障诊断方法及装置 | |
| US20170288974A1 (en) | Graph-based fusing of heterogeneous alerts | |
| CN111176879A (zh) | 设备的故障修复方法及装置 | |
| CN114679338A (zh) | 一种基于网络安全态势感知的网络风险评估方法 | |
| CN111541661A (zh) | 基于因果知识的电力信息网络攻击场景重构方法及系统 | |
| CN112491805B (zh) | 一种应用于云平台的网络安全设备管理系统 | |
| CN108964995A (zh) | 基于时间轴事件的日志关联分析方法 | |
| CN110175451A (zh) | 一种基于电力云的安全监控方法和系统 | |
| CN111814999A (zh) | 一种故障工单生成方法、装置、设备 | |
| CN112699007B (zh) | 监控机器性能的方法、系统、网络设备及存储介质 | |
| CN114548706A (zh) | 一种业务风险的预警方法以及相关设备 | |
| US20150172302A1 (en) | Interface for analysis of malicious activity on a network | |
| CN108259202A (zh) | 一种ca监测预警方法和ca监测预警系统 | |
| CN114615016B (zh) | 一种企业网络安全评估方法、装置、移动终端及存储介质 | |
| CN115549953B (zh) | 一种网络安全告警方法及系统 | |
| CN109150869A (zh) | 一种交换机信息采集分析系统及方法 | |
| CN113671909A (zh) | 一种钢铁工控设备安全监测系统和方法 | |
| CN115357418A (zh) | 微服务故障检测方法、装置、存储介质及计算机设备 | |
| CN110149303B (zh) | 一种党校的网络安全预警方法及预警系统 | |
| CN112583643A (zh) | 一种跨设备告警关联方法 | |
| CN117827813A (zh) | 一种计算机信息安全监控系统 | |
| CN116662127A (zh) | 一种设备告警信息分类并预警的方法、系统、设备和介质 | |
| CN112257065A (zh) | 一种进程事件处理方法和装置 | |
| CN111709021A (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
| JP2017199250A (ja) | 計算機システム、データの分析方法、及び計算機 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |