The invention discloses a method for processing network security information and a processing system for network security information, which is used for reducing the possibility of performance bottleneck in the process of processing the network security information. The method includes to be distributed from the set of rules extracted from the first rule, the distribution rule set contains at least one of the rules, the rules of regular expressions by means of operator and security situation type identification to build, with relations to describe the security situation and security incidents; distribution of candidate host set in the first host to run the first rule, the candidate host set includes at least two host; sent to the first host of the first rule; receiving security events data from the data source of the security situation; a security situation in the same type includes determining security situation types of the security events data and the first rule; sent to the first host of the security situation data.
【技术实现步骤摘要】
本申请涉及计算机及网络通信
,尤其涉及一种网络安全信息的处理方法、一种控制设备、一种网络安全信息的处理系统及一种网络安全信息的处理装置。
技术介绍
国际标准化组织(InternationalOrganizationforStandardization,ISO)在ISO27001标准中对与网络安全相关的信息,即网络安全信息,进行了描述。网络安全信息包括信息安全事态(informationsecurityevent)和信息安全事件(informationsecurityincident)。信息安全事态(在本申请中简称为“安全事态”)是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。信息安全事件(在本申请中简称为“安全事件”)由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性。现有的信息处理设备通过对来自于数据源设备的大量安全事态数据进行关联分析,可以得到安全事件,进而通过输出设备提示用户网络中发生的安全事件。按照设备类型,可以将产生安全事态数据的数据源设备分为四类,分别为:安全设备、网络设备、应用设备以及主机。安全设备包括防火墙,入侵防御系统(IntrusionPreventionSystem,IPS)等。安全设备产生的事态包括防火墙事态、入侵检测系统(intrusiondetectionsystem,IDS)告警、防病毒扫描报告、资产漏洞扫描报告、垃圾邮件报告等等。网络设备包括路由器、交换机等等。网络设备产生的事态包括路由器事态、...
【技术保护点】
一种网络安全信息的处理方法,其特征在于,包括:从待分配规则集合中提取第一规则,所述待分配规则集合包含至少一个规则,所述规则是指通过关系符和安全事态类型标识来构建的正则表达式,用以描述安全事态与安全事件的关系;分配候选主机集合中的第一主机用以运行所述第一规则,所述候选主机集合包括至少两个主机;向所述第一主机发送所述第一规则;接收来自于安全事态数据源的安全事态数据;确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致;向所述第一主机发送所述安全事态数据。
【技术特征摘要】
1.一种网络安全信息的处理方法,其特征在于,包括:从待分配规则集合中提取第一规则,所述待分配规则集合包含至少一个规则,所述规则是指通过关系符和安全事态类型标识来构建的正则表达式,用以描述安全事态与安全事件的关系;分配候选主机集合中的第一主机用以运行所述第一规则,所述候选主机集合包括至少两个主机;向所述第一主机发送所述第一规则;接收来自于安全事态数据源的安全事态数据;确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致;向所述第一主机发送所述安全事态数据。2.根据权利要求1所述的处理方法,其特征在于,所述分配候选主机集合中的第一主机用以运行所述第一规则,包括:获取候选主机集合中每个主机的资源剩余量,所述资源包括至少两种不同类别的资源;获取所述第一规则的运行代价,所述运行代价包括运行规则所需的所述至少两类不同类别的资源的消耗量;根据所述第一规则的运行代价,以及所述候选主机集合中每个主机的资源剩余量,从所述候选主机集合中选择所述第一主机用以运行所述第一规则,所述第一主机的每类资源的剩余量不小于所述第一规则的运行代价中同类资源的消耗量。3.根据权利要求2所述的处理方法,其特征在于,所述获取候选主机集合中每个主机的资源剩余量,包括:接收所述候选主机集合中每个主机周期性发送的心跳报文,所述心跳报文中携带资源剩余量;从所述心跳报文中获取所述候选主机集合中每个主机的资源剩余量。4.根据权利要求2所述的处理方法,其特征在于,所述分配候选主机集合中的第一主机用以运行所述第一规则之后,还包括:在规则管理表中增加所述第一主机的标识与所述第一规则的标识的对应关系,所述规则管理表用于通过主机标识与规则标识的对应关系,记录在主机上运行的规则。5.根据权利要求4所述的处理方法,其特征在于,还包括:接收所述候选主机集合中每个主机周期性发送的心跳报文,根据接收到的心跳报文,确定失效主机;根据所述规则管理表,获取在所述失效主机上运行的第二规则;将所述第二规则加入待分配规则集合从而更新所述待分配规则集合;其中,所述根据接收到的心跳报文,确定失效主机,包括:针对所述候选主机集合中每个主机,确定当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔是否超过预定时间段,若当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔超过预定时间段,确定该主机为失效主机,从所述候选主机集合中删除所述失效主机。6.根据权利要求4所述的处理方法,其特征在于,还包括:根据所述规则管理表,从所述在主机上运行的规则中选择出第二规则;从所述规则管理表中删除记录包含所述第二规则的对应关系;将所述第二规则加入所述待分配规则集合中从而更新所述待分配规则集合。7.根据权利要求6所述的处理方法,其特征在于,所述根据所述规则管理表,从所述在主机上运行的规则中选择出第二规则,包括:针对所述候选主机集合中每个主机,执行:根据该主机的资源剩余量,判断是否满足预设策略,所述预设策略用于判断预设种类的资源是否小于对应的阈值;若满足预设策略,则根据所述规则管理表,从该主机上运行的规则中选择预定数量的规则作为所述第二规则。8.根据权利要求6或7所示的处理方法,其特征在于,所述根据所述规则管理表,从在主机上运行的规则中选择出第二规则之前,还包括:确定所述待分配规则集合中规则数目少于预定值。9.根据权利要求2至8中任一所述的处理方法,其特征在于,从所述候选主机集合中选择所述第一主机用以运行所述第一规则,包括:根据候选主机集合中每个主机的资源剩余量,构建优选主机集合,所述优选主机集合是候选主机集合的子集,且优选主机集合同时满足以下条件:条件A:M主机X类资源的剩余量均不小于N主机所述X类资源的剩余量,条件B:在所述至少两种不同类别的资源中,M主机至少存在一种类别资源的剩余量大于N主机同一类别资源的剩余量,其中,M主机是优选主机集合中的任一主机,N主机是候选主机集合和优选主机集合的补集中的任一主机,X是所述至少两类不同资源中的任意一种;从所述优选主机集合中选择第一主机用以运行所述第一规则。10.根据权利要求9所述的处理方法,其特征在于,从所述优选主机集合中选择所述第一主机用以运行所述第一规则,包括:根据所述第一规则的运行代价以及规则分类表,确定所述第一规则对应的高消耗资源类别,所述规则分类表包括所述至少两类不同类别的资源的消耗量取值范围与高消耗资源类别的对应关系,所述高消耗资源类别是所述至少两类不同类别中的一种;根据所述第一规则对应的高消耗资源类别,从所述优选主机集合中选择出第一主机,所述第一主机的所述高消耗资源类别的剩余量大于所述优选主机集合中其他主机所述高消耗资源类别的剩余量。11.根据权利要求1至10中任一所述的方法,其特征在于,向所述第一主机发送所述安全事态数据之前,还包括:接收所述第一主机发送的所述第一规则的表达式中包含的至少一个安全事态类型标识,记录所述第一主机与所述至少一个安全事态类型标识的对应关系;或解析所述第一规则,获得所述第一规则的表达式中包含的至少一个安全事态类型标识,记录所述第一主机与所述至少一个安全事态类型标识的对应关系;所述确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致,包括:通过解析,得到所述接收到的安全事态数据中携带的安全事态类型标识;确定解析得到的安全事态类型标识与所述对应关系中的安全事态类型标识一致。12.一种控制设备,其特征在于,包括:处理器、存储器和网络接口,所述处理器、存储器和网络接口通过总线相互连接;所述网络接口用于接收来自于安全事态数据源的安全事态数据;所述控制设备中的处理器用以读取所述存储器中存储的程序代码,执行以下操作:从待分配规则集合中提取第一规则,所述待分配规则集合包含至少一个规则,所述规则是指通过关系符和安全事态类型标识来构建的正则表达式,用以描述安全事态与安全事件的关系;分配候选主机集合中的第一主机用以运行所述第一规则,所述候选主机集合包括至少两个主机;向所述第一主机发送所述第一规则;确定所述网络接口接收的所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致;所述网络接口还用于在所述处理器确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致时,向所述第一主机发送所述安全事态数据。13.根据权利要求12所述的控制设备,其特征在于,所述处理器分配候选主机集合中的第一主机用以运行所述第一规则,包括:所述处理器获取候选主机集合中每个主机的资源剩余量,所述资源包括至少两种不同类别的资源;获取所述第一规则的运行代价,所述运行代价包括运行规则所需的所述至少两类不同类别的资源的消耗量;根据所述第一规则的运行代价,以及所述候选主机集合中每个主机的资源剩余量,从所述候选主机集合中选择所述第一主机用以运行所述第一规则,所述第一主机的每类资源的剩余量不小于所述第一规则的运行代价中同类资源的消耗量。14.根据权利要求13所述的控制设备,其特征在于,所述网络接口,还用于接收所述候选主机集合中每个主机周期性发送的心跳报文,所述心跳报文中携带资源剩余量;所述处理器,还用于从所述心跳报文中获取所述候选主机集合中每个主机的资源剩余量。15.根据权利要求13所述的控制设备,其特征在于,所述处理器还用于分配候选主机集合中的第一主机用以运行所述第一规则之后,在规则管理表中增加所述第一主机的标识与所述第一规则的标识的对应关系,所述规则管理表用于通过主机标识与规则标识的对应关系,记录在主机上运行的规则。16.根据权利要求15所述的控制设备,其特征在于,所述网络接口还用于接收所述候选主机集合中每个主机周期性发送的心跳报文,所述处理器还用于根据接收到的心跳报文,确定失效主机;根据所述规则管理表,获取在所述失效主机上运行的第二规则;以及将所述第二规则加入待分配规则集合从而更新所述待分配规则集合;其实所述根据接收到的心跳报文,确定失效主机,包括:针对所述候选主机集合中每个主机,确定当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔是否超过预定时间段,若当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔超过预定时间段,确定该主机为失效主机,从所述候选主机集合中删除所述失效主机。17.根据权利要求15所述的控制设备,其特征在于,所述处理器,还用于从在主机上运行的规则中选择出第二规则,从所述规则管理表中删除记录包含所述第二规则的对应关系,将所述第二规则加入所述待分配规则集合中从而更新所述待分配规则集合。18.根据权利要求17所述的控制设备,其特征在于,所述处理器从所述在主机上运行的规则中选择出第二规则,包括:所述处理器针对所述候选主机集合中每个主机,执行:根据该主机的资源剩余量,判断是否满足预设策略,所述预设策略用于判断预设种类的资源是否小于对应的阈值;若满足预设策略,则根据所述规则管理表,从该主机上运行的规则中选择预定数量的规则作为所述第二规则。19.根据权利要求17或18所述的控制设备,其特征在于,所述处理器还用于在从在主机上运行的规则中选择出第二规则之前,确定所述待分配规则集合中规则数目少于预定值。20.根据权利要求13至19中任一所述的控制设备,其特征在于,所述处理器从所述候选主机集合中选择所述第一主机用以运行所述第一规则,包括:根据候选主机集合中每个主机的资源剩余量,构建优选主机集合,所述...
【专利技术属性】
技术研发人员:曲武,牟宪波,刘剑波,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。