本发明专利技术公开了一种IDS智能告警方法,所述方法包括:步骤1:收集IDS入侵数据和资产数据;步骤2:基于步骤1收集到的数据重构数据模型,和对所有采集到的资产数据进行重要性赋值和脆弱性严重程度赋值;步骤3:对入侵事件数据进行分析,获得分析结果;步骤4:基于步骤3的分析结果,进行IDS告警,实现了提高了IDS应用的利用率,普通用户即可进行数据分析,能够通过对安全大数据分析得出更有价值的告警数据,且能够及时处理有害信息的技术效果。
【技术实现步骤摘要】
本专利技术涉及信息技术安全领域,尤其涉及一种IDS智能告警方法。
技术介绍
通过对国内外IDS入侵检测系统的调查分析,都可对监视到的数据进行汇总统 计,如统计出被入侵次数排名前十位的IP等;对于这些IDS入侵信息,需要有非常专业的信 息安全专家进行分析,寻找出真正有用的信息,分析可能存在的攻击,或者通过事先制定规 贝1J,采用防火墙联动或阻止会话方式对攻击信息进行主动响应;问题在于防火墙联动或阻 止会话这种主动响应机制会因为IDS的误报带来误动作,所以这种方式基本未采用;而依 靠专家实时对攻击信息进行分析,首先需要信息运维人员有很高的信息安全专业技能,同 时需要实时分析;一般的信息运维部门很难具备这种条件;因此,目前IDS的应用多数仅限 于做事后的审计分析数据源,利用率很低。 综上所述,本申请专利技术人在实现本申请实施例中专利技术技术方案的过程中,发现上 述技术至少存在如下技术问题: 在现有技术中,现有的IDS的应用存在多数仅限于做事后的审计分析数据源,利用率 很低的技术问题。
技术实现思路
本专利技术提供了一种IDS智能告警方法,解决了现有的IDS的应用存在多数仅限于 做事后的审计分析数据源,利用率很低的技术问题,实现了提高了IDS应用的利用率,普通 用户即可进行数据分析,能够通过对安全大数据分析得出更有价值的告警数据,且能够及 时处理有害信息的技术效果。 为解决上述技术问题,本申请实施例提供了一种IDS智能告警方法,所述方法包 括: 步骤1 :收集IDS入侵数据和资产数据; 步骤2 :基于步骤1收集到的数据重构数据模型,和对所有采集到的资产数据进行重要 性赋值和脆弱性严重程度赋值; 步骤3 :对入侵事件数据进行分析,获得分析结果; 步骤4 :基于步骤3的分析结果,进行IDS告警。 进一步的,在所述步骤1之前还包括:调查并了解客户信息系统业务流程和运行 环境,确定需要收集的数据来源。 进一步的,所述IDS入侵数据来源于IDS入侵管理系统,需要收集的数据包括但不 限于:入侵事件名称、入侵时间、入侵等级、入侵者IP、被攻击IP、使用协议,资产数据来源 于相关资产、网关系统,包括但不限于:信息系统或设备的IP信息、位置信息、维护人员信 息、用途。 进一步的,在所述步骤1之后和所述步骤2之前还包括:对需要收集的数据进行实 时监测,保证数据自动收集的准确性、及时性、完整性。 进一步的,所述步骤2具体为:对收集到的数据进行抽取、转换和重新加载,重构 数据模型;对收集到的入侵数据,与资产数据进行绑定;对所有资产进行识别,对所有采集 到的资产数据进行重要性赋值和脆弱性严重程度赋值。 进一步的,所述对所有资产进行识别,对所有采集到的资产数据进行重要性赋值 和脆弱性严重程度赋值具体为:从技术、管理、策略方面进行的脆弱程度检查,最终综合计 算脆弱性值;在资产脆弱性调查中,首先对评估的所有主机和网络设备进行工具扫描和手 动检查,对各资产的系统漏洞和安全策略缺陷进行调查;并进行综合分析,确定每种资产可 能被威胁利用的脆弱性的权值。 进一步的,所述对入侵事件数据进行分析,获得分析结果具体为:通过结合资产重 要性和资产脆弱性资产数据,全面分析入侵IP排名、入侵事件排名、入侵事件影响后,自动 计算对入侵事件进行定性,初始化各类系统标准化入侵事件级别,把原始安全事件数据转 化为系统标准化事件。 进一步的,所述基于分析结果,进行IDS告警具体为:根据计算所得出的系统标准 化入侵事件,按照不同等级及方式进行告警,其中告警的方式包括但不限于:在信息系统中 进行数据展现、大屏展现、信息告警外,同时通过短信、邮件方式通知运维或操作人员。 本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点: 由于采用了将IDS智能告警方法设计为包括:步骤1 :收集IDS入侵数据和资产数据; 步骤2 :基于步骤1收集到的数据重构数据模型,和对所有采集到的资产数据进行重要性赋 值和脆弱性严重程度赋值;步骤3 :对入侵事件数据进行分析,获得分析结果;步骤4 :基于 步骤3的分析结果,进行IDS告警的技术方案,S卩,提出了一种自动的、基于入侵检测和资产 安全评估的,有较高准确率的数据方法,通过对资产脆弱性、重要性等相结合并进行分析, 提高IDS利用率,且通过对IDS入侵事件与资产进行绑定,分别分析资产相关数据信息,获 取IP入侵排名、事件排名等,最终分析出入侵事件所造成的影响,并进行智能告警,本方法 能够把安全督查人员从海量的IDS报警中解脱出来,重点关注重要资产及脆弱资产报警, 实现了IDS利用率的技术效果。 进一步的,相对于传统的IDS告警模式,本方案具有如下技术效果: 1、普通用户即可进行数据分析:传统的方式需要专业人事进行长时间的数据分析,本 专利技术只需要在数据初始化并抽取后,即可自动后台计算;计算完成后,可通过多种渠道、方 式进行数据展现,普通的系统运维人员、非专业人士都可通过系统的展现发现各类告警信 息和数据分析结果,而不再需要专业人士进行分析。 2、通过对安全大数据分析得出更有价值的告警数据: 通过对安全大数据的关联分析,可以评估并分析出更多的告警信息,在原有人工分析 的基础上,扩大了收集数据的范围,并增加了多种维度;通过大量数据的分析后得出更多有 价值的告警信息,把安全督查人员从海量的IDS报警中解脱出来,重点关注重要资产及脆 弱资产报警。 3、及时处理有害信息: 根据资产脆弱性及重要性的IDS报警机制为信息安全督查提供第一手资料,缩短入侵 事件发生后的响应时间、提高响应效率,便于及时处理有害入侵信息。 4、使用java开发BS模式: 本方法应用工具使用的基于java开发可应用于Windows和Linux平台,使用者无需安 装,可直接在浏览器中使用。【附图说明】 图1是本申请实施例一中IDS智能告警方法的流程示意图。【具体实施方式】 本专利技术提供了一种IDS智能告警方法,解决了现有的IDS的应用存在多数仅限于 做事后的审计分析数据源,利用率很低的技术问题,实现了提高了IDS应用的利用率,普通 用户即可进行数据分析,能够通过对安全大数据分析得出更有价值的告警数据,且能够及 时处理有害信息的技术效果。 本申请实施中的技术方案为解决上述技术问题。总体思路如下: 采用了将IDS智能告警方法设计为包括:步骤1 :收集IDS入侵数据和资产数据;步骤 2 :基于步骤1收集到的数据重构数据模型,和对所有采集到的资产数据进行重要性赋值和 脆弱性严重程度赋值;步骤3 :对入侵事件数据进行分析,获得分析结果;步骤4 :基于步骤 3的分析结果,进行I当前第1页1 2 本文档来自技高网...
【技术保护点】
一种IDS智能告警方法,其特征在于,所述方法包括:步骤1:收集IDS入侵数据和资产数据;步骤2:基于步骤1收集到的数据重构数据模型,和对所有采集到的资产数据进行重要性赋值和脆弱性严重程度赋值;步骤3:对入侵事件数据进行分析,获得分析结果;步骤4:基于步骤3的分析结果,进行IDS告警。
【技术特征摘要】
【专利技术属性】
技术研发人员:柴继文,刘姗梅,
申请(专利权)人:国网四川省电力公司电力科学研究院,国家电网公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。