[发明专利]网络安全信息的处理方法及网络安全信息的处理系统

说明书

本发明公开了一种网络安全信息的处理方法及网络安全信息的处理系统，用以减少在对网络安全信息进行处理过程中性能瓶颈出现的可能性。该方法包括从待分配规则集合中提取第一规则，所述待分配规则集合包含至少一个规则，所述规则是指通过关系符和安全事态类型标识来构建的正则表达式，用以描述安全事态与安全事件的关系；分配候选主机集合中的第一主机用以运行所述第一规则，所述候选主机集合包括至少两个主机；向所述第一主机发送所述第一规则；接收来自于安全事态数据源的安全事态数据；确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致；向所述第一主机发送所述安全事态数据。

技术领域

本申请涉及计算机及网络通信技术领域，尤其涉及一种网络安全信息的处理方法、一种控制设备、一种网络安全信息的处理系统及一种网络安全信息的处理装置。

背景技术

国际标准化组织(International Organization for Standardization，ISO)在ISO27001标准中对与网络安全相关的信息，即网络安全信息，进行了描述。网络安全信息包括信息安全事态(information security event)和信息安全事件(information securityincident)。

信息安全事态(在本申请中简称为“安全事态”)是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。信息安全事件(在本申请中简称为“安全事件”)由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性。现有的信息处理设备通过对来自于数据源设备的大量安全事态数据进行关联分析，可以得到安全事件，进而通过输出设备提示用户网络中发生的安全事件。

按照设备类型，可以将产生安全事态数据的数据源设备分为四类，分别为：安全设备、网络设备、应用设备以及主机。安全设备包括防火墙，入侵防御系统(IntrusionPrevention System，IPS)等。安全设备产生的事态包括防火墙事态、入侵检测系统(intrusion detection system，IDS)告警、防病毒扫描报告、资产漏洞扫描报告、垃圾邮件报告等等。网络设备包括路由器、交换机等等。网络设备产生的事态包括路由器事态、交换机事态、数据流报告等。应用设备包括可以对数据进行完整性检查的管理服务器和各种网络应用服务器。应用设备可以产生的事态包括检查报告或运行状态报告等。

现有信息处理设备在基于预定义的规则对安全事态数据进行关联分析时，对安全事态数据的预处理操作和规则匹配操作都是集中在信息处理设备中的关联分析引擎中执行的。因此在安全事态数据的数据量增大，或者规则数量增大时，关联分析引擎往往会成为网络安全信息的处理流程中的性能瓶颈。

为解决上述问题，公开号为CN101673292A的中国专利提出一种解决方案，具体为：使用汇聚关联引擎从规则(即CN101673292A中所称的“关联规则”)中获得包含的匹配项(即CN101673292A中所称的“匹配规则”)和匹配项之间的逻辑关系，为每个匹配项分配标识。例如，从规则(A or B)SEQ(C and D)获取4个匹配项，A，B，C，D，并分别为其分配标识1.1,1.2,1.3,1.4，汇聚关联引擎将匹配项和对应的标识下发给分布式关联引擎，接收分布式关联引擎上报的命中的匹配项的标识，若根据接收到的标识判定其满足规则，则根据预置的关联策略产生一个事件。

然而，在上述专利披露的方案中，虽然通过将根据匹配项进行数据匹配的操作分散于分布式关联引擎中执行这一措施，能够在一定程度上减轻性能瓶颈的影响，但是最耗费处理资源的根据命中的匹配项的标识进行规则匹配的步骤仍然是集中于汇聚关联引擎中执行的，因此汇聚关联引擎仍然容易成为整个网络安全信息的处理流程的性能瓶颈。

发明内容

本发明实施例提供一种网络安全信息的处理方法，用以减少在对网络安全信息进行处理过程中性能瓶颈出现的可能性。