[发明专利]一种网络安全信息过滤方法

权利要求书

1.一种网络安全信息过滤方法，其特征在于：所述方法包括如下步骤：

步骤1：获取各类网络安全设备中的安全告警日志，并进行分类；

步骤2：将分类后的安全告警日志放置在统一数据格式下进行存储；

步骤3：滤除重复、无效或重要性较低的告警日志；

步骤4：对步骤3中得到的告警日志按照重要性进行排序，并按设备或IP对告警信息进行合并，依次按照重要性顺序发送至目标运维人员。

2.如权利要求1所述的网络安全信息过滤方法，其特征在于：所述步骤1中通过网络爬虫工具定时获取各类网络安全设备中的安全告警日志。

3.如权利要求2所述的网络安全信息过滤方法，其特征在于：所述步骤1中将告警日志分为漏洞风险预警日志和攻击告警日志。

4.如权利要求3所述的网络安全信息过滤方法，其特征在于：所述漏洞风险预警日志包括编号、网络类型、时间、ip、端口、状态码、漏洞名称、用户名、负责人和初步分析结果；所述攻击告警日志包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数和处置建议。

5.如权利要求1所述的网络安全信息过滤方法，其特征在于：所述攻击告警日志的数据格式包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数、处置建议等内容。

6.如权利要求1所述的网络安全信息过滤方法，其特征在于：所述步骤2中所述数据格式为json格式。

7.如权利要求6所述的网络安全信息过滤方法，其特征在于：所述步骤3中滤除重复、无效或重要性较低的告警日志包括根据已知的公司资产台账信息建立白名单，利用源IP、源端口、目的IP和目的端口滤除公司系统外部非常规访问，并滤除低威胁等级的告警日志，合并使用正则匹配以及IP端口白名单来保留公司正常的对外出口业务访问。

8.如权利要求6所述的网络安全信息过滤方法，其特征在于：所述步骤4中所述重要性包括告警重复次数、告警类型重要性和告警所涉设备资产重要性。

9.如权利要求8所述的网络安全信息过滤方法，其特征在于：所述漏洞风险预警日志首先判定是否高危，然后判定是否属于所述白名单；所述攻击告警日志首先判定是否高威胁，然后判定是否属于所述白名单。

10.如权利要求1～9中任一项所述的网络安全信息过滤方法，其特征在于：所述网络安全设备包括防火墙、溯源设备、融合网关、web应用防护系统和漏扫设备。