[发明专利]一种网络安全智能值班方法及系统

权利要求书

1.一种网络安全智能值班方法，其特征在于，包括以下步骤：

S101、对网络安全防护设备的告警进行采集，生成网络安全告警信息；

S102、将所采集的网络安全告警信息储存至数据库；

S103、对数据库里的网络安全告警信息依据网络攻击的模式进行分类；

S104、将不同类型的网络安全告警信息与相应的告警事件进行关联合并；

S105、对合并后的网络安全告警信息进行审核，去除网络安全告警信息中的误告警信息或周期性告警信息。

2.根据权利要求1所述的网络安全智能值班方法，其特征在于，对合并后的网络安全告警信息进行审核，去除网络安全告警信息中的误告警信息或周期性告警信息具体包括：

S401、收集网络安全防护设备的告警；

S402、选取网络安全告警信息中告警比例到达设定阈值的告警类型；

S403、针对选定的告警类型，选取告警比例达到阈值的源IP或目的IP；

S404、统计选取告警的时间序列，并求出各个告警时间序列的周期；

S405、对各个告警序列产生的周期进行假设检验，确定周期性告警；

S406、去除周期性告警。

3.根据权利要求1所述的网络安全智能值班方法，其特征在于，对数据库里的网络安全告警信息依据网络攻击的模式进行分类的步骤包括：

依据网络攻击的模式，将网络攻击分为多个源IP地址到目的IP地址的分布式攻击、一个源IP地址到多个目的IP地址的攻击和单个源IP地址到单个目的IP地址的入侵攻击。

4.根据权利要求1所述的网络安全智能值班方法，其特征在于，

网络安全告警信息包括告警规则、源IP地址、目的IP地址、源端口和目的端口；

数据库采用Mongodb数据库；

网络安全防护设备包括入侵防御系统、流量探针和防火墙。

5.一种网络安全智能值班系统，其特征在于，系统执行如权利要求1至4任意一项所述的网络安全智能值班方法；

系统包括数据处理终端和网络安全防护设备；

数据处理终端包括网络安全告警采集模块、网络安全告警存储模块和网络安全告警分析模块；

网络安全告警采集模块与网络安全防护设备连接；

网络安全告警采集模块，用于对网络安全防护设备告警进行采集，并生成网络安全告警信息；

网络安全告警存储模块，用于将所采集的网络安全告警信息储存至数据库；

网络安全告警分析模块，用于对网络安全告警信息进行分类，并将网络安全告警信息与告警事件进行关联合并；

数据处理终端，用于对网络安全告警信息审核，去除网络安全告警信息中的误告警信息。

6.根据权利要求5所述的网络安全智能值班系统，其特征在于，系统还包括智能联动模块；

数据处理终端通过智能联动模块与网络安全防护设备连接；

当数据处理终端判定网络安全告警信息判定为网络攻击，数据处理终端通过智能联动模块向网络安全防护设备发出联动信号，控制网络安全防护设备对攻击地址进行封禁。

7.根据权利要求5所述的网络安全智能值班系统，其特征在于，系统还包括前端展示操作模块；

前端展示操作模块，用于对网络安全告警信息展示并提供研判网络安全告警信息操作界面。

8.根据权利要求5所述的网络安全智能值班系统，其特征在于，

数据处理终端还包括告警聚合模块；

告警聚合模块，用于对网络安全告警信息进行研判，并依据网络攻击的模式，对网络安全告警信息进行分类。

9.根据权利要求5所述的网络安全智能值班系统，其特征在于，

数据处理终端还包括告警去除模块；

告警去除模块，用于对各个告警序列产生的周期进行假设检验，并根据假设检验结果去除周期性告警。