[发明专利]一种IDS智能告警方法

说明书

技术领域

本发明涉及信息技术安全领域，尤其涉及一种IDS智能告警方法。

背景技术

通过对国内外IDS入侵检测系统的调查分析,都可对监视到的数据进行汇总统计，如统计出被入侵次数排名前十位的IP等；对于这些IDS入侵信息，需要有非常专业的信息安全专家进行分析，寻找出真正有用的信息，分析可能存在的攻击，或者通过事先制定规则，采用防火墙联动或阻止会话方式对攻击信息进行主动响应；问题在于防火墙联动或阻止会话这种主动响应机制会因为IDS的误报带来误动作，所以这种方式基本未采用；而依靠专家实时对攻击信息进行分析，首先需要信息运维人员有很高的信息安全专业技能，同时需要实时分析；一般的信息运维部门很难具备这种条件；因此，目前IDS的应用多数仅限于做事后的审计分析数据源，利用率很低。

综上所述，本申请发明人在实现本申请实施例中发明技术方案的过程中，发现上述技术至少存在如下技术问题：

在现有技术中，现有的IDS的应用存在多数仅限于做事后的审计分析数据源，利用率很低的技术问题。

发明内容

本发明提供了一种IDS智能告警方法，解决了现有的IDS的应用存在多数仅限于做事后的审计分析数据源，利用率很低的技术问题，实现了提高了IDS应用的利用率，普通用户即可进行数据分析，能够通过对安全大数据分析得出更有价值的告警数据，且能够及时处理有害信息的技术效果。

为解决上述技术问题，本申请实施例提供了一种IDS智能告警方法，所述方法包括：

步骤1：收集IDS入侵数据和资产数据；

步骤2：基于步骤1收集到的数据重构数据模型，和对所有采集到的资产数据进行重要性赋值和脆弱性严重程度赋值；

步骤3：对入侵事件数据进行分析，获得分析结果；

步骤4：基于步骤3的分析结果，进行IDS告警。

进一步的，在所述步骤1之前还包括：调查并了解客户信息系统业务流程和运行环境，确定需要收集的数据来源。

进一步的，所述IDS入侵数据来源于IDS入侵管理系统，需要收集的数据包括但不限于：入侵事件名称、入侵时间、入侵等级、入侵者IP、被攻击IP、使用协议，资产数据来源于相关资产、网关系统，包括但不限于：信息系统或设备的IP信息、位置信息、维护人员信息、用途。

进一步的，在所述步骤1之后和所述步骤2之前还包括：对需要收集的数据进行实时监测，保证数据自动收集的准确性、及时性、完整性。

进一步的，所述步骤2具体为：对收集到的数据进行抽取、转换和重新加载，重构数据模型；对收集到的入侵数据，与资产数据进行绑定；对所有资产进行识别，对所有采集到的资产数据进行重要性赋值和脆弱性严重程度赋值。

进一步的，所述对所有资产进行识别，对所有采集到的资产数据进行重要性赋值和脆弱性严重程度赋值具体为：从技术、管理、策略方面进行的脆弱程度检查，最终综合计算脆弱性值；在资产脆弱性调查中，首先对评估的所有主机和网络设备进行工具扫描和手动检查，对各资产的系统漏洞和安全策略缺陷进行调查；并进行综合分析，确定每种资产可能被威胁利用的脆弱性的权值。

进一步的，所述对入侵事件数据进行分析，获得分析结果具体为：通过结合资产重要性和资产脆弱性资产数据，全面分析入侵IP排名、入侵事件排名、入侵事件影响后，自动计算对入侵事件进行定性，初始化各类系统标准化入侵事件级别，把原始安全事件数据转化为系统标准化事件。

进一步的，所述基于分析结果，进行IDS告警具体为：根据计算所得出的系统标准化入侵事件，按照不同等级及方式进行告警，其中告警的方式包括但不限于：在信息系统中进行数据展现、大屏展现、信息告警外，同时通过短信、邮件方式通知运维或操作人员。

本申请实施例中提供的一个或多个技术方案，至少具有如下技术效果或优点：