The embodiment of the invention provides a threat event warning method, device, warning device and machine-readable storage medium. The association model defines the association rules between different specified sub events and the matching conditions of the security information of each specified sub event, reflects the process of multiple specified sub events leading to a threat event, and uses the association model to all the received sub events Through the matching process of the matching conditions and rules of the security information by the association model, we can find the potential threat events that are difficult to find by analyzing a single sub event, associate multiple sub events with the association relationship into a threat event to alert, and the number of alert information can be significantly reduced. Therefore, it can reduce the network administrator's processing The burden of warning information.
【技术实现步骤摘要】
威胁事件告警方法、装置、告警设备及机器可读存储介质
本专利技术涉及网络安全
,特别是涉及一种威胁事件告警方法、装置、告警设备及机器可读存储介质。
技术介绍
随着网络环境的日趋复杂,网络攻击日益猖獗,为了保证网络系统内部终端的安全性,大型机构的网络系统通常会部署大量的防火墙、IPS(IntrusionPreventionSystem,入侵防御系统)、交换机等网络安全设备,用来对终端进行安全监控,不同的网络安全设备会对针对于终端的不同安全事件进行监控。各网络安全设备会将对终端进行监控得到的安全事件的告警信息发送给后台告警设备,告警设备一旦识别出某一个网络安全设备检测到终端发生安全事件,则会产生事件告警信息,以提示网络管理员,发生了针对终端的安全事件。然而,每个网络安全设备监控的是针对于终端的不同安全事件,上述告警方法中,各网络安全设备对终端的监控是相互独立的,各网络安全设备会上报大量的告警信息,而网络安全设备的数量也较多,告警信息会非常庞大,数量庞大的告警信息会给网络管理员在处理告警信息时带来繁重负担。
【技术保护点】
1.一种威胁事件告警方法,其特征在于,所述方法包括:/n接收指定组网内各设备上报的子事件的安全信息;/n利用预先建立的关联模型,对接收到的所有子事件的安全信息进行关联分析,得到关联分析结果,其中,所述关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及所述多个指定子事件之间关联规则的模型;/n基于所述关联分析结果,生成威胁事件告警信息。/n
【技术特征摘要】
1.一种威胁事件告警方法,其特征在于,所述方法包括:
接收指定组网内各设备上报的子事件的安全信息;
利用预先建立的关联模型,对接收到的所有子事件的安全信息进行关联分析,得到关联分析结果,其中,所述关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及所述多个指定子事件之间关联规则的模型;
基于所述关联分析结果,生成威胁事件告警信息。
2.根据权利要求1所述的方法,其特征在于,在所述接收指定组网内各设备上报的子事件的安全信息之后,所述方法还包括:
对接收到的各子事件的安全信息进行归一化处理,得到数据格式统一的所述各子事件的安全信息。
3.根据权利要求1所述的方法,其特征在于,所述利用预先建立的关联模型,对接收到的所有子事件的安全信息进行关联分析,得到关联分析结果,包括:
依次针对接收到的各子事件,判断该子事件的安全信息是否匹配所述关联模型中任一指定子事件的安全信息的匹配条件、以及该子事件是否匹配所述关联模型中所述任一指定子事件对应的关联规则,得到关联分析结果;
所述基于所述关联分析结果,生成威胁事件告警信息,包括:
针对所述各子事件,若该子事件的安全信息匹配所述关联模型中任一指定子事件对应的匹配条件、且该子事件匹配所述关联模型中所述任一指定子事件对应的关联规则,则生成该子事件相关的威胁事件告警信息。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述匹配条件包括统计匹配条件、情报匹配条件、漏洞匹配条件和状态匹配条件中的至少一种;
所述统计匹配条件包括预设时段内发生子事件的次数不少于预设次数的匹配条件;所述情报匹配条件包括存在被攻击终端的设备信息的匹配条件;所述漏洞匹配条件包括存在漏洞的软件信息的匹配条件;所述状态匹配条件包括终端的中央处理器CPU利用率超过预设阈值的匹配条件;
所述关联规则至少包括:或逻辑关联、与逻辑关联、顺序关联中的至少一种。
5.根据权利要求1所述的方法,其特征在于,在所述基于所述关联分析结果,生成威胁事件告警信息之后,所述方法还包括:
利用威胁事件列表,记录所述威胁事件告警信息及所有子事件之间的关联规则,并将所述威胁事件列表呈现至事件页面;
和/或,
利用子事件列表,记录所有子事件的安全信息及匹配条件,并将所述子事件列表呈现至所述事件页面。
6.一种威胁事件告警装置,其特征在于,所述装置包括:
接收模块,用于接收指定组网内各设备上报的子事件的安全信息;
分析...
【专利技术属性】
技术研发人员:顾成杰,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。