[发明专利]一种网络安全告警方法及系统

说明书

本发明涉及网络安全技术领域，特别是涉及一种网络安全告警方法及系统。包括：步骤S1：实时收集分布在网络上不同地方的告警信息和日志信息，并将告警信息和日志信息实时发送；步骤S2：接收告警信息和日志信息，并识别告警信息和日志信息中的原始安全事件信息，将原始安全事件信息进行保存；步骤S3：对原始安全事件信息进行聚合处理，并得到高级安全事件信息，将高级安全事件信息的告警进行输出显示给用户。本发明通过基于聚类分析的方法，有效的对大量的告警信息实行了滤除，提高了对高级安全事件的告警识别能力。

背景技术

互联网的诞生为人与人之间的信息交流提供了一个便利快捷的平台，人们在享受相关服务的同时, 往往还要顾虑到信息的完整性、隐密性和可用性是否得到有效的保护。科技工作者们把古老的密码技术加以更新应用到互联网上来保护信息资产的安全，这一定程度上解决了信息隐密性的问题, 但是由于信息技术本身的缺陷导致的安全问题确是密码技术无法解决的,例如软件设计的缺陷,程序语言的漏洞,软件开发者刻意设置的后门等等日益威胁着互联网生存。随着网络安全的迫切需要，大量的安全产品层出不穷，防火墙、入侵检测系统、漏洞扫描系统、补丁服务系统等，大量的安全数据用于审计，如syslog、route路由器日志、主机日志等。然而当前网络安全的事实是随着各种安全措施的实施，网络安全事件不是下降了，反而每年在上升，这与互联网的规模时时刻刻都在扩大有很大的关系，但是一个不争的事实 是网络安全的形式越来越严峻了。

然而现有技术中，由于网络上存在的告警数量信息众多，其中包含有大量的有效告警和无效误报告警，对于告警信息识别的准确性存在一定的问题，此外，对于如何从海量告警中筛选出真实有效的攻击并进行有效地告警的问题，告警信息的巨大数据量，会导致需要分析处置的告警日志剧增，但是，很多告警的产生并不是意味着它就是真实有效的攻击所触发的，而是由于安全设备在检测过程中因特征规则感知到的攻击尝试行为所造成的风险告警，而那些真实有效的攻击告警却往往被大量的风险告警所“淹没”，因此，如何提供一种网络安全告警方法及系统克服上述困难是本领域技术人员急需解决的技术问题。

发明内容

本发明的目的是提供一种网络安全告警方法及系统，本发明通过基于聚类分析的方法，有效的对大量的告警信息实行了滤除，提高了对高级安全事件的告警识别能力。

为了实现上述目的，本发明提供了如下的技术方案：

一种网络安全告警方法，包括：

步骤S1：实时收集分布在所述网络上不同地方的告警信息和日志信息，并将所述告警信息和所述日志信息实时发送；

步骤S2：接收所述告警信息和所述日志信息，并识别所述告警信息和所述日志信息中的原始安全事件信息，将所述原始安全事件信息进行保存；

步骤S3：对所述原始安全事件信息进行聚合处理，并得到高级安全事件信息，将所述高级安全事件信息的告警进行输出显示给用户。

在本申请的一些实施例中，对所述原始安全事件信息进行聚合处理,包括：

实时检测在100M的端口上每小时产生的所述告警信息，并去除所述告警信息中误报的误报告警信息，并得到高级安全事件信息，将所述高级安全事件信息转化为高级安全事件标准格式，其中，所述高级安全事件标准格式包括源IP信息和目的IP信息；

基于信息类型对所述高级安全事件信息进行分类；

基于预设的IDS告警分析模型，将各所述高级安全事件信息可能产生的告警进行聚类。

在本申请的一些实施例中，所述IDS告警分析模型是通过以下方法建立：

通过建立关联告警与攻击的规则库，利用规则匹配算法的实现关联；

通过已知攻击的谓词与因素库，建立对攻击场景的详细描述，再利用场景匹配算法实现关联；

通过建立各事件发生的时序图，分析它们之间的先后依赖关系；