本发明专利技术公开了一种多源网络安全告警事件溯源与自动处置方法及装置,方法包括以下步骤:获取安全日志数据;识别安全日志数据的IP,根据IP对应关系将安全日志数据划分至相应的索引类别中;在索引类别为互联网时,获取攻击源IP;在索引类别为终端时,获取被攻击源IP;根据风险评估结果判断是否封禁攻击源IP或被攻击源IP;在风险评估结果为风险时,控制防火墙封禁攻击源IP或被攻击源IP。本发明专利技术的目的在于提供一种多源网络安全告警事件溯源与自动处置方法及装置,减少安全运维人员在处理安全告警事件花费的精力、告警漏报率和误报率,并提升安全告警处置的效率。升安全告警处置的效率。升安全告警处置的效率。
【技术实现步骤摘要】
一种多源网络安全告警事件溯源与自动处置方法及装置
[0001]本专利技术涉及网络安全
,尤其涉及一种多源网络安全告警事件溯源与自动处置方法及装置。
技术介绍
[0002]在国家重视网络安全的今天,中大型企业的网络安全建设水平不断提高,在企业的网络架构中运行着各种各样的安全防护设备,防护着企业的边界、终端、服务器等区域,但是大量的安全防护设备也带来了成千上万的安全告警,安全运维人员需要对告警进行分析研判,花费大量时间和精力进行安全告警处置工作。
[0003]此外,目前由传统态势感知设备采集安全防护设备的日志,但是运行安全防护设备数量多,日均产生安全告警数量也多,日志源格式也有所差异,所以告警漏报率和误报率较高,每个安全防护设备针对告警的类型定义不同,导致告警分类太多,对于企业安全运维人员的溯源造成很大困难。
[0004]另外,针对安全防护设备产生的安全告警事件处置方式,目前主要为人工处置的方式,手动进行防火墙封禁,自动化处置比例小,特别是在攻防演练期间,安全告警手动处置的方式效率较低,存在安全事件误处置、漏处置的情况。
技术实现思路
[0005]本专利技术的目的在于提供一种多源网络安全告警事件溯源与自动处置方法及装置,减少安全运维人员在处理安全告警事件花费的精力、告警漏报率和误报率,并提升安全告警处置的效率。
[0006]本专利技术通过下述技术方案实现:
[0007]在本申请的第一个方面中,本申请提供了一种多源网络安全告警事件溯源与自动处置方法,包括以下步骤:/>[0008]获取安全日志数据;所述安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;
[0009]识别所述安全日志数据的IP,根据IP对应关系将所述安全日志数据划分至相应的索引类别中;所述IP对应关系为所述IP与所述索引类别的对应关系,且一个所述索引类别包含多个IP;
[0010]在所述索引类别为互联网时,获取攻击源IP;在所述索引类别为终端时,获取被攻击源IP;
[0011]根据风险评估结果判断是否封禁所述攻击源IP或所述被攻击源IP;所述风险评估结果根据所述攻击源IP或被攻击源IP自动生成;
[0012]在所述风险评估结果为风险时,控制防火墙封禁所述攻击源IP或所述被攻击源IP。
[0013]优选地,在所述索引类别为互联网时,生成所述风险评估结果包括以下步骤:
[0014]获取所述攻击源IP的第一风险信息;所述第一风险信息为所述攻击源IP在恶意IP地址威胁情报库中的匹配结果,所述匹配结果包括匹配成功和匹配失败;
[0015]获取所述攻击源IP的第二风险信息;所述第二风险信息为所述攻击源IP的攻击参数是否大于攻击参数阈值;所述攻击源IP的攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;
[0016]根据所述第一风险信息和所述第二风险信息生成所述风险评估结果:
[0017]当所述第一风险结果为匹配成功且所述攻击参数大于攻击参数阈值时,所述风险评估结果为风险;
[0018]否则,所述风险评估结果为安全。
[0019]优选地,在所述索引类别为终端时,生成所述风险评估结果包括以下步骤:
[0020]获取被攻击源IP风险信息;所述被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;所述被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;
[0021]根据所述被攻击源IP风险信息生成所述风险评估结果:
[0022]当所述被攻击源IP告警参数大于被攻击源IP告警参数阈值时,所述风险评估结果为风险;
[0023]否则,所述风险评估结果为安全。
[0024]优选地,还包括以下步骤:
[0025]在所述索引类别为服务器时,获取服务器IP和服务器IP告警参数;所述服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间;
[0026]在所述服务器IP告警参数大于服务器IP告警参数阈值时,对遭受攻击的服务器进行告警、病毒木马查杀、漏洞修复和/或防火墙策略完善。
[0027]优选地,还包括以下步骤:当根据IP对应关系将所述安全日志数据划分至相应的索引类别中时,输出所述安全日志数据和相应的索引类别。
[0028]在本申请的第二个方面中,本申请提供了一种多源网络安全告警事件溯源与自动处置装置,包括:
[0029]安全日志数据采集模块,用于获取安全日志数据,所述安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;
[0030]分类模块,用于识别所述安全日志数据的IP,并根据IP对应关系将所述安全日志数据划分至相应的索引类别中;所述IP对应关系为所述IP与所述索引类别的对应关系,且一个所述索引类别包含多个IP;
[0031]获取模块,用于在所述索引类别为互联网时,获取攻击源IP;在所述索引类别为终端时,获取被攻击源IP;
[0032]判断模块,用于根据风险评估结果判断是否封禁所述攻击源IP或所述被攻击源IP;所述风险评估结果由风险评估模块根据所述攻击源IP或被攻击源IP自动生成;
[0033]封禁模块,用于在所述风险评估结果为风险时,控制防火墙封禁所述攻击源IP或所述被攻击源IP。
[0034]优选地,所述风险评估模块包括:
[0035]恶意IP地址威胁情报库,用于获取所述攻击源IP的第一风险信息;所述第一风险
信息为所述攻击源IP在所述恶意IP地址威胁情报库中的匹配结果,所述匹配结果包括匹配成功和匹配失败;
[0036]攻击源IP处置单元,用于获取所述攻击源IP的第二风险信息;所述第二风险信息为所述攻击源IP的攻击参数是否大于攻击参数阈值;所述攻击源IP的攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;
[0037]第一生成单元,用于根据所述第一风险信息和所述第二风险信息生成所述风险评估结果:
[0038]当所述第一风险结果为匹配成功且所述攻击参数大于攻击参数阈值时,所述风险评估结果为风险;
[0039]否则,所述风险评估结果为安全。
[0040]优选地,所述风险评估模块还包括:
[0041]被攻击IP处置单元,用于获取被攻击源IP风险信息;所述被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;所述被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;
[0042]第二生成单元,用于根据所述被攻击源IP风险信息生成所述风险评估结果:
[0043]当所述被攻击源IP告警参数大于被攻击源IP告警参数阈值时,所述风险评估结果为风险;
[0044]否则,所述风险评估结果为安全。
[0045]优选地,还包括预警模块,所述预警模块用于在所述索引类别为服务器时,获取服务器IP和服务器IP本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种多源网络安全告警事件溯源与自动处置方法,其特征在于,包括以下步骤:获取安全日志数据;所述安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;识别所述安全日志数据的IP,根据IP对应关系将所述安全日志数据划分至相应的索引类别中;所述IP对应关系为所述IP与所述索引类别的对应关系,且一个所述索引类别包含多个IP;在所述索引类别为互联网时,获取攻击源IP;在所述索引类别为终端时,获取被攻击源IP;根据风险评估结果判断是否封禁所述攻击源IP或所述被攻击源IP;所述风险评估结果根据所述攻击源IP或被攻击源IP自动生成;在所述风险评估结果为风险时,控制防火墙封禁所述攻击源IP或所述被攻击源IP。2.根据权利要求1所述的一种多源网络安全告警事件溯源与自动处置方法,其特征在于,在所述索引类别为互联网时,生成所述风险评估结果包括以下步骤:获取所述攻击源IP的第一风险信息;所述第一风险信息为所述攻击源IP在恶意IP地址威胁情报库中的匹配结果,所述匹配结果包括匹配成功和匹配失败;获取所述攻击源IP的第二风险信息;所述第二风险信息为所述攻击源IP的攻击参数是否大于攻击参数阈值;所述攻击源IP的攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;根据所述第一风险信息和所述第二风险信息生成所述风险评估结果:当所述第一风险结果为匹配成功且所述攻击参数大于攻击参数阈值时,所述风险评估结果为风险;否则,所述风险评估结果为安全。3.根据权利要求1所述的一种多源网络安全告警事件溯源与自动处置方法,其特征在于,在所述索引类别为终端时,生成所述风险评估结果包括以下步骤:获取被攻击源IP风险信息;所述被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;所述被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;根据所述被攻击源IP风险信息生成所述风险评估结果:当所述被攻击源IP告警参数大于被攻击源IP告警参数阈值时,所述风险评估结果为风险;否则,所述风险评估结果为安全。4.根据权利要求1
‑
3中任意一项所述的一种多源网络安全告警事件溯源与自动处置方法,其特征在于,还包括以下步骤:在所述索引类别为服务器时,获取服务器IP和服务器IP告警参数;所述服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间;在所述服务器IP告警参数大于服务器IP告警参数阈值时,对遭受攻击的服务器进行告警、病毒木马查杀、漏洞修复和/或防火墙策略完善。5.根据权利要求1所述的一种多源网络安全告警事件溯源与自动处置方法,其特征在于,还包括以下步骤:当根据IP对应关系将所述安全日志数据划分至相应的索引类别中时,
输出所述安全日志数据和相应的索引类别。6.一种多源网络安全告警事件溯源与自动处置装置,其特征在于,包括:安全日志数据采集模块,用于获取...
【专利技术属性】
技术研发人员:吕磊,黄昆,陈龙,杨旭东,许珂,黄林,郭智超,
申请(专利权)人:国网四川省电力公司信息通信公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。