一种基于告警策略的网络安全管理设备及方法
一种基于告警策略的网络安全管理设备及方法
【技术领域】
[0001]本发明涉及一种网络安全管理技术领域,特别地涉及一种基于告警策略的网络安全管理设备及方法。
【背景技术】
[0002]随着互联网时代的不断发展,网络安全日益受到重视。尽管网络安全产品不断走向成熟,但同时来自网络中的安全威胁也越来越多,为了充分发挥各种安全产品的作用,增加网络对安全事件的积极应对能力,网络安全管理平台应运而生。安全管理平台集中了防火墙、防病毒设备、入侵检测设备、漏洞扫描设备等,将各种安全产品产生的安全事件关联起来,利用关联分析算法和风险估计手段,发现网络中的风险,及时产生告警信息,形成一个集中的监控、管理网络平台,有效的抵御网络安全威胁。
[0003]现有的安全管理平台集成了各类安全产品和设施,构建了庞大的数据库,同时支持对安全事件优先级别的修正,为事件的关联分析和风险评估提供了很好的数据来源,但是缺乏对告警信息自身的修正和管理。现有的安全管理平台中不具有对系统实时变化的灵活性,导致产生的告警可能是过时的,不重要的信息。
[0004]因此,有必要提出一种可以修正告警输出模式的告警策略,提高告警的实时性和可靠性。
【发明内容】
[0005]本发明的目的是提供一种基于告警策略的网络安全管理设备及方法。本发明中,网络安全管理设备包括接收单元、告警生成单元、匹配单元和执行单元。本发明能实现对告警信息自身的修正和管理,提高了网络安全的可控性、实时性和灵活性,同时保证了输出告警信息的可靠性,有效阻断网络中的安全威胁。
[0006]根据本发明的一个方面,提供了一种基于告警策略的网络安全管理设备,包括:接收单元,用于接收网络中安全设备产生的安全事件;告警生成单元,与所述接收单元相连,用于基于风险值大于预设阈值的安全事件,生成告警;匹配单元,与所述告警生成相连,用于将所述告警与告警策略表进行匹配,获得所述告警对应的告警策略;执行单元,与所述匹配单元相连,用于根据所述告警策略,执行告警。
[0007]优选的,所述安全事件通过所述安全设备对安全日志进行归一化处理后生成。
[0008]优选的,所述安全事件的属性包括安全事件产生的五元组信息、生成安全事件的设备信息、安全事件的可靠程度、安全事件的优先级、所述五元组信息中源IP对应的源设备的重要程度以及目的IP对应的目的设备的重要程度;
[0009]优选的,所述网络安全管理设备还包括:风险评估单元,用于根据安全事件的可靠程度、安全事件的优先级、源设备和目的设备的重要程度,评估安全事件的风险值。
[0010]优选的,所述评估安全事件的风险值,包括:评估源设备的风险值A,A =安全事件可靠程度*安全事件优先级*源设备的重要程度/25 ;[0011 ] 评估目的设备的风险值B,B =安全事件可靠程度*安全事件优先级*目的设备的重要程度/25 ;
[0012]评估安全事件的风险值C,C = max (A, B)。
[0013]优选的,所述匹配单元进行匹配的条件包括:告警对应的安全事件的五元组范围、告警对应的安全事件的风险值范围、告警对应的安全事件的源设备的风险值范围和/或告警对应的安全事件的目的设备的风险值范围。
[0014]根据本发明的另一个方面,提供了一种基于告警策略的网络安全管理方法,所述方法包括下述步骤:步骤SI,接收网络中安全设备产生的安全事件;步骤S2:基于风险值大于预设阈值的安全事件生成告警;步骤S3:将步骤S2中生成的告警与告警策略表进行匹配,获得所述告警对应的告警策略;步骤S4:根据步骤S3中的告警策略,执行告警。
[0015]优选的,所述步骤SI中的安全设备包括:防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。
[0016]优选的,所述安全事件的属性包括:安全事件产生的五元组信息、生成安全事件的设备信息、安全事件的可靠程度、安全事件的优先级、所述五元组信息中源IP对应的源设备的重要程度以及目的IP对应的目的设备的重要程度;
[0017]优选的,所述步骤S4中执行告警,包括以下的一种或多种的组合:
[0018]发送邮件、发送短信、生成告警工单、下发阻断策略、将攻击源设为黑名单。
[0019]可选的,所述步骤SI和步骤S2之间包括:步骤S5,根据安全事件的可靠程度、安全事件的优先级、源设备和目的设备的重要程度评估安全事件的风险值。
[0020]优选的,所述评估安全事件的风险值,包括:
[0021]评估源设备的风险值A,A =安全事件可靠程度*安全事件优先级*源设备的重要程度/25 ;
[0022]评估目的设备的风险值B,B =安全事件可靠程度*安全事件优先级*目的设备的重要程度/25 ;
[0023]评估安全事件的风险值C,C = max (A,B)。
[0024]本发明能实现对告警信息自身的修正和管理,提高了网络安全的可控性、实时性和灵活性,同时保证了输出告警信息的可靠性,有效阻断网络中的安全威胁。
【附图说明】
[0025]图1显示了本发明优选实施例的网络安全管理设备系统框图;
[0026]图2显示了本发明具体实施例的安全事件风险值的评估流程图;
[0027]图3显示了本发明具体实施例的告警策略匹配执行过程流程图;
[0028]图4显示了本发明优选实施例的网络安全管理方法流程图;
【具体实施方式】
[0029]为使本发明的目的、技术方案和优点更加清楚明了,下面结合【具体实施方式】并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
[0030]本发明的目的是提供一种基于告警策略的网络安全管理设备及方法。网络安全管理设备包括接收单元、告警生成单元、匹配单元和执行单元。本发明支持管理员根据网络情况灵活配置告警策略,联动下发阻断告警中的威胁,提高了网络安全的可控性、实时性和灵活性,同时保证了输出告警信息的可靠性,有效阻断网络中的安全威胁。
[0031]图1显示了本发明优选实施例的网络安全管理设备系统框图。
[0032]如图1所示,网络安全管理设备包括接收单元、告警生成单元、匹配单元和执行单
J L.ο
[0033]接收单元用于接收网络中安全设备产生的安全事件。
[0034]具体地,安全事件通过所述安全设备对安全日志进行归一化处理后生成;安全事件的属性包括安全事件产生的五元组信息、生成安全事件的设备信息、安全事件的可靠程度、安全事件的优先级、所述五元组信息中源IP对应的源设备的重要程度以及目的IP对应的目的设备。
[0035]告警生成单元用于基于风险值大于预设阈值的安全事件生成告警。
[0036]具体地,安全事件的风险值,可通过以下优选方式评估,包括:评估源设备的风险值A,A =安全事件可靠程度*安全事件优先级*源设备的重要程度/25 ;评估目的设备的风险值B,B =安全事件可靠程度*安全事件优先级*目的设备的重要程度/25 ;评估安全事件的风险值C,C = max (A,B)。
[0037]匹配单元用于将告警与告警策略表进行匹配,获得告警对应的告警策略。
[0038]具体地,匹配单元进行匹配的条件包括告警对应的安全事件的五元组范围、告警对应的安全事件的风险值范围、告警对应的安全事件的源设备的风险值范围和/或告警对应的安全事件的目的设备的风险值范围。
[0039]执行单元用于根据所述告警策略执行告警。
[0040]具体地,执行告警策略包括以下的一种或多种的组合:发送邮件、发送短信、生成告警工单、下发阻断策略、将攻击源设为黑名单。
[0041]以上对安全事件风险值的评估可由网络安全管理设备中相应的评估单元来完成。评估单元可分别与接收单元和告警生成单元相连,也可与告警生成单元集成整合。
[0042]图2显示了本发明具体实施例的安全事件风险值的评估流程图。
[0043]如图2所示,网络安全管理平台中的防火墙、防病毒、入侵检测、漏洞扫描等设备对产生的安全日志进行归一化处理,生成统一格式的安全事件。本发明提出的基于告警策略的网络安全管理设备主要是对系统中产生的安全事件,经过风险评估后产生的告警进行过滤和重整。
[0044]本发明中,安全事件风险值的处理包括如下步骤:
[0045]步骤SI,接收来自网络安全设备产生的网络安全事件;
[0046]步骤S2,获取安全事件的五元组信息;即源IP,目的IP,源端口,目的端口及协议号;
[0047]步骤S3,获取安全事件的设备类型,设备ID,事件ID ;
[0048]步骤S4,获取安全事件的可靠性、优先级、源IP对应设备的资产重要性(即,源设备的重要程度)、目的IP对应设备的资产重要性(即,目的设备的重要程度);
[0049]步骤S5,计算该安全事件的风险值。
[0050]本发明具体实施例中,安全事件的属性包括事件产生的五元组信息:源IP(src_ip),目的 IP(dst_ip),源端口(src_port),目的端口(dst_port)以及协议号(protocol)。
[0051]生成该安全事件的设备信息,包括:设备类型(plugin_type),设备ID(plugin_id),事件 ID (event_id)
[0052]该安全事件的可靠性(reliability)、优先级(pr1rity)、源IP对应设备的资产重要性(asset_src)、目的IP对应设备的资产重要性(asset_dst)。
[0053]本发明具体实施例中,假设生成安全事件的设备ID为plugin_id = 1001,设备类型为 plugin_type = detector,事件 ID 为 event_id = 3,协议号 为 protocol =TCP,源 IP 为 src_ip = 172.16.202.54,源端口为 src_port = 80,目的 IP 为 dst_ip =172.16.202.86,目的端口为dst_port = 20,该安全事件的可靠性为reliability = 5,优先级为pr1rity = 4源IP对应设备的资产重要性asset_src = 3,目的IP对应设备的资产重要性asset_dst = 4o
[0054]I)其中事件的可靠性是该事件能够发生的可能性,取值范围为0-10,值越高,该事件发生的可能性越高。
[0055]2)事件优先级是事件的危险程度,取值范围为0_5,值越尚,该事件的危害越大。
[0056]3)重要性则是该资产(如主机、路由器、防火墙等)的重要程度,取值范围为0-5。
[0057]本发明具体实施例安全事件的设备ID为plugin_id = 1001,设备类型为plugin_type = detector,事件ID为event_id = 3,其中安全事件的风险值计算过程如下:
[0058]基于源资产的风险值A =事件优先级*事件可靠性*源资产重要性/25 ;
[0059]其中本设备中,事件优先级为pr1rity = 4,事件可靠性为reliability=5,源IP对应设备的资产重要性asset_src = 3,源资产的风险值A =pr1rity氺reliability氺asset_src/25 = 4*5*3/25 = 2.4
[0060]基于目的资产的风险值B =事件优先级*事件可靠性*目的资产重要性/25 ;
[0061]其中本设备中,事件优先级为pr1rity = 4,事件可靠性为reliability = 5,目地IP对应设备的资产重要性即目地资产重要性asset_dst = 4,故基于目的资产的风险值为
[0062]B = pr1rity*reliability*asset_dst/25 = 4*5*4/25 = 3.2
[0063]安全事件的风险值C = max(基于源资产的风险值A,基于目的资产的风险值B)=max(2.4,3.2) = 3.2 ;安全事件的风险值的范围为O-1Oo
[0064]图3显示了本发明具体实施例的告警策略匹配执行过程流程图。
[0065]如图3所示,本发明具体实施例中告警策略匹配执行过程流程图分为如下步骤:
[0066]步骤SI,接收到来自网络中安全设备产生的安全事件,经过告警生成单元生成告警事件。
[0067]步骤S2,告警产生后先判断告警的五元组是否匹配告警策略表中的告警策略的五元组,即判断告警的源IP、源端口号、目的IP、目的端口号、协议号,是否在策略中相应的范围内。
[0068]其中,告警策略表中的告警策略可由系统管理员根据网络环境实时配置。
[0069]步骤S3,五元组匹配上后继续匹配告警中的风险值属性以及资产风险属性。
[0070]直至所有的匹配条件都满足,进入执行告警动作处理,步骤S2-S3中任一项匹配条件不满足均进入下一条告警策略的匹配。
[0071]步骤S4,当前告警匹配完某条告警策略的匹配条件之后进入执行告警动作处理阶段,按照策略中配置的执行动作进入相应的动作处理模块进行动作的执行。
[0072]步骤S5,发送邮件进行告警处理;将该条告警信息以邮件的方式发送给管理员事先设置好的邮件账户上。
[0073]步骤S6,发送短信进行告警处理;将该条告警以短信的方式发送给管理员事先设置好的联系人账户上。
[0074]步骤S7,进行工单生成处理;将该条告警以工单的方式呈现,方便管理员查看。
[0075]步骤S8,执行阻断策略处理;此处理需要与网络中的防火墙设备或其他安全设备进行联动,且需要阻断动作库的支持。根据产生告警的安全设备信息,查找阻断动作库,配置安全策略,预防该告警中表述的威胁。
[0076]步骤S9,对攻击源进行黑名单设置;设置黑名单后,可以由其他模块对攻击源进行处理,如阻断其进入网络的流量直至威胁消除。
[0077]步骤S5-步骤S9没有必然的先后顺序,其均是对步骤S4的具体限定。
[0078]图4显示了本发明优选实施例的网络安全管理方法流程图。
[0079]如图4所示,本发明优选实施例的网络安全管理方法分为如下步骤:
[0080]步骤SI,接收网络中安全设备产生的安全事件。
[0081]其中,安全设备包括防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备。
[0082]步骤S2,基于风险值大于预设阈值的安全事件生成告警。
[0083]其中,安全事件的风险值根据所述安全事件的优先级、可靠性以及资产的重要性属性计算而得;
[0084]步骤S3,将步骤S2中生成的告警与告警策略表进行匹配,获得所述告警对应的告警策略;
[0085]步骤S4,根据步骤S3中的告警策略,执行告警,其中执行告警包括以下的一种或多种的组合:发送邮件、发送短信、生成告警工单、下发阻断策略、将攻击源设为黑名单。
[0086]应当理解的是,本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
【主权项】
1.一种基于告警策略的网络安全管理设备,包括:接收单元、告警生成单元、匹配单元和执行单元,其特征在于: 所述接收单元,用于接收网络中安全设备产生的安全事件; 所述告警生成单元,与所述接收单元相连,用于基于风险值大于预设阈值的安全事件,生成告警; 所述匹配单元,与所述告警生成单元相连,用于将所述告警与告警策略表进行匹配,获得所述告警对应的告警策略; 所述执行单元,与所述匹配单元相连,用于根据所述告警策略,执行告警。2.根据权利要求1所述的基于告警策略的网络安全管理设备,其特征在于,所述安全事件通过所述安全设备对安全日志进行归一化处理后生成。3.根据权利要求1所述的基于告警策略的网络安全管理设备,其特征在于,所述匹配单元进行匹配的条件包括:告警对应的安全事件的五元组范围、告警对应的安全事件的风险值范围、告警对应的安全事件的源设备的风险值范围和/或告警对应的安全事件的目的设备的风险值范围。4.根据权利要求1所述的基于告警策略的网络安全管理设备,其特征在于,所述安全事件的属性包括:安全事件产生的五元组信息、生成安全事件的设备信息、安全事件的可靠程度、安全事件的优先级、所述五元组信息中源IP对应的源设备的重要程度以及目的IP对应的目的设备的重要程度; 所述网络安全管理设备还包括:风险评估单元,用于根据安全事件的可靠程度、安全事件的优先级、源设备和目的设备的重要程度,评估安全事件的风险值。5.根据权利要求4所述的基于告警策略的网络安全管理设备,其特征在于,所述评估安全事件的风险值,包括: 评估源设备的风险值A,A =安全事件可靠程度*安全事件优先级*源设备的重要程度/25 ; 评估目的设备的风险值B,B =安全事件可靠程度*安全事件优先级*目的设备的重要程度/25 ; 评估安全事件的风险值C,C = max (A, B)。6.一种基于告警策略的网络安全管理方法,其特征在于,所述方法包括下述步骤: 步骤S1:接收网络中安全设备产生的安全事件; 步骤S2:基于风险值大于预设阈值的安全事件生成告警; 步骤S3:将步骤S2中生成的告警与告警策略表进行匹配,获得所述告警对应的告警策略; 步骤S4:根据步骤S3中的告警策略,执行告警。7.根据权利要求6所述的基于告警策略的网络安全管理方法,其特征在于,所述步骤SI中的安全设备包括:防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。8.根据权利要求6所述的基于告警策略的网络安全管理方法,其特征在于,所述步骤S4中执行告警,包括以下的一种或多种的组合: 发送邮件、发送短信、生成告警工单、下发阻断策略、将攻击源设为黑名单。9.根据权利要求6所述的基于告警策略的网络安全管理方法,其特征在于,所述安全事件的属性包括:安全事件产生的五元组信息、生成安全事件的设备信息、安全事件的可靠程度、安全事件的优先级、所述五元组信息中源IP对应的源设备的重要程度以及目的IP对应的目的设备的重要程度; 所述步骤SI和步骤S2之间包括:步骤S5,根据安全事件的可靠程度、安全事件的优先级、源设备和目的设备的重要程度,评估安全事件的风险值。10.根据权利要求9所述的基于告警策略的网络安全管理方法,其特征在于,所述评估安全事件的风险值,包括: 评估源设备的风险值A,A =安全事件可靠程度*安全事件优先级*源设备的重要程度/25 ; 评估目的设备的风险值B,B =安全事件可靠程度*安全事件优先级*目的设备的重要程度/25 ; 评估安全事件的风险值C,C = max (A, B)。
【专利摘要】一种基于告警策略的网络安全管理设备及方法。网络安全管理设备包括接收单元、告警生成单元、匹配单元和执行单元。接收单元用于接收网络中安全设备产生的安全事件;告警生成单元用于基于风险值大于预设阈值的安全事件生成告警;匹配单元用于将告警与告警策略表进行匹配,获得告警对应的告警策略;执行单元用于根据所述告警策略执行告警。本发明能实现对告警信息自身的修正和管理,提高了网络安全的可控性、实时性和灵活性,同时保证了输出告警信息的可靠性,有效阻断网络中的安全威胁。
【IPC分类】H04L29/06
【公开号】CN104901960
【申请号】CN201510281976
【发明人】刘仙凤
【申请人】汉柏科技有限公司
【公开日】2015年9月9日
【申请日】2015年5月26日
【技术领域】
[0001]本发明涉及一种网络安全管理技术领域,特别地涉及一种基于告警策略的网络安全管理设备及方法。
【背景技术】
[0002]随着互联网时代的不断发展,网络安全日益受到重视。尽管网络安全产品不断走向成熟,但同时来自网络中的安全威胁也越来越多,为了充分发挥各种安全产品的作用,增加网络对安全事件的积极应对能力,网络安全管理平台应运而生。安全管理平台集中了防火墙、防病毒设备、入侵检测设备、漏洞扫描设备等,将各种安全产品产生的安全事件关联起来,利用关联分析算法和风险估计手段,发现网络中的风险,及时产生告警信息,形成一个集中的监控、管理网络平台,有效的抵御网络安全威胁。
[0003]现有的安全管理平台集成了各类安全产品和设施,构建了庞大的数据库,同时支持对安全事件优先级别的修正,为事件的关联分析和风险评估提供了很好的数据来源,但是缺乏对告警信息自身的修正和管理。现有的安全管理平台中不具有对系统实时变化的灵活性,导致产生的告警可能是过时的,不重要的信息。
[0004]因此,有必要提出一种可以修正告警输出模式的告警策略,提高告警的实时性和可靠性。
【发明内容】
[0005]本发明的目的是提供一种基于告警策略的网络安全管理设备及方法。本发明中,网络安全管理设备包括接收单元、告警生成单元、匹配单元和执行单元。本发明能实现对告警信息自身的修正和管理,提高了网络安全的可控性、实时性和灵活性,同时保证了输出告警信息的可靠性,有效阻断网络中的安全威胁。
[0006]根据本发明的一个方面,提供了一种基于告警策略的网络安全管理设备,包括:接收单元,用于接收网络中安全设备产生的安全事件;告警生成单元,与所述接收单元相连,用于基于风险值大于预设阈值的安全事件,生成告警;匹配单元,与所述告警生成相连,用于将所述告警与告警策略表进行匹配,获得所述告警对应的告警策略;执行单元,与所述匹配单元相连,用于根据所述告警策略,执行告警。
[0007]优选的,所述安全事件通过所述安全设备对安全日志进行归一化处理后生成。
[0008]优选的,所述安全事件的属性包括安全事件产生的五元组信息、生成安全事件的设备信息、安全事件的可靠程度、安全事件的优先级、所述五元组信息中源IP对应的源设备的重要程度以及目的IP对应的目的设备的重要程度;
[0009]优选的,所述网络安全管理设备还包括:风险评估单元,用于根据安全事件的可靠程度、安全事件的优先级、源设备和目的设备的重要程度,评估安全事件的风险值。
[0010]优选的,所述评估安全事件的风险值,包括:评估源设备的风险值A,A =安全事件可靠程度*安全事件优先级*源设备的重要程度/25 ;[0011 ] 评估目的设备的风险值B,B =安全事件可靠程度*安全事件优先级*目的设备的重要程度/25 ;
[0012]评估安全事件的风险值C,C = max (A, B)。
[0013]优选的,所述匹配单元进行匹配的条件包括:告警对应的安全事件的五元组范围、告警对应的安全事件的风险值范围、告警对应的安全事件的源设备的风险值范围和/或告警对应的安全事件的目的设备的风险值范围。
[0014]根据本发明的另一个方面,提供了一种基于告警策略的网络安全管理方法,所述方法包括下述步骤:步骤SI,接收网络中安全设备产生的安全事件;步骤S2:基于风险值大于预设阈值的安全事件生成告警;步骤S3:将步骤S2中生成的告警与告警策略表进行匹配,获得所述告警对应的告警策略;步骤S4:根据步骤S3中的告警策略,执行告警。
[0015]优选的,所述步骤SI中的安全设备包括:防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。
[0016]优选的,所述安全事件的属性包括:安全事件产生的五元组信息、生成安全事件的设备信息、安全事件的可靠程度、安全事件的优先级、所述五元组信息中源IP对应的源设备的重要程度以及目的IP对应的目的设备的重要程度;
[0017]优选的,所述步骤S4中执行告警,包括以下的一种或多种的组合:
[0018]发送邮件、发送短信、生成告警工单、下发阻断策略、将攻击源设为黑名单。
[0019]可选的,所述步骤SI和步骤S2之间包括:步骤S5,根据安全事件的可靠程度、安全事件的优先级、源设备和目的设备的重要程度评估安全事件的风险值。
[0020]优选的,所述评估安全事件的风险值,包括:
[0021]评估源设备的风险值A,A =安全事件可靠程度*安全事件优先级*源设备的重要程度/25 ;
[0022]评估目的设备的风险值B,B =安全事件可靠程度*安全事件优先级*目的设备的重要程度/25 ;
[0023]评估安全事件的风险值C,C = max (A,B)。
[0024]本发明能实现对告警信息自身的修正和管理,提高了网络安全的可控性、实时性和灵活性,同时保证了输出告警信息的可靠性,有效阻断网络中的安全威胁。
【附图说明】
[0025]图1显示了本发明优选实施例的网络安全管理设备系统框图;
[0026]图2显示了本发明具体实施例的安全事件风险值的评估流程图;
[0027]图3显示了本发明具体实施例的告警策略匹配执行过程流程图;
[0028]图4显示了本发明优选实施例的网络安全管理方法流程图;
【具体实施方式】
[0029]为使本发明的目的、技术方案和优点更加清楚明了,下面结合【具体实施方式】并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
[0030]本发明的目的是提供一种基于告警策略的网络安全管理设备及方法。网络安全管理设备包括接收单元、告警生成单元、匹配单元和执行单元。本发明支持管理员根据网络情况灵活配置告警策略,联动下发阻断告警中的威胁,提高了网络安全的可控性、实时性和灵活性,同时保证了输出告警信息的可靠性,有效阻断网络中的安全威胁。
[0031]图1显示了本发明优选实施例的网络安全管理设备系统框图。
[0032]如图1所示,网络安全管理设备包括接收单元、告警生成单元、匹配单元和执行单
J L.ο
[0033]接收单元用于接收网络中安全设备产生的安全事件。
[0034]具体地,安全事件通过所述安全设备对安全日志进行归一化处理后生成;安全事件的属性包括安全事件产生的五元组信息、生成安全事件的设备信息、安全事件的可靠程度、安全事件的优先级、所述五元组信息中源IP对应的源设备的重要程度以及目的IP对应的目的设备。
[0035]告警生成单元用于基于风险值大于预设阈值的安全事件生成告警。
[0036]具体地,安全事件的风险值,可通过以下优选方式评估,包括:评估源设备的风险值A,A =安全事件可靠程度*安全事件优先级*源设备的重要程度/25 ;评估目的设备的风险值B,B =安全事件可靠程度*安全事件优先级*目的设备的重要程度/25 ;评估安全事件的风险值C,C = max (A,B)。
[0037]匹配单元用于将告警与告警策略表进行匹配,获得告警对应的告警策略。
[0038]具体地,匹配单元进行匹配的条件包括告警对应的安全事件的五元组范围、告警对应的安全事件的风险值范围、告警对应的安全事件的源设备的风险值范围和/或告警对应的安全事件的目的设备的风险值范围。
[0039]执行单元用于根据所述告警策略执行告警。
[0040]具体地,执行告警策略包括以下的一种或多种的组合:发送邮件、发送短信、生成告警工单、下发阻断策略、将攻击源设为黑名单。
[0041]以上对安全事件风险值的评估可由网络安全管理设备中相应的评估单元来完成。评估单元可分别与接收单元和告警生成单元相连,也可与告警生成单元集成整合。
[0042]图2显示了本发明具体实施例的安全事件风险值的评估流程图。
[0043]如图2所示,网络安全管理平台中的防火墙、防病毒、入侵检测、漏洞扫描等设备对产生的安全日志进行归一化处理,生成统一格式的安全事件。本发明提出的基于告警策略的网络安全管理设备主要是对系统中产生的安全事件,经过风险评估后产生的告警进行过滤和重整。
[0044]本发明中,安全事件风险值的处理包括如下步骤:
[0045]步骤SI,接收来自网络安全设备产生的网络安全事件;
[0046]步骤S2,获取安全事件的五元组信息;即源IP,目的IP,源端口,目的端口及协议号;
[0047]步骤S3,获取安全事件的设备类型,设备ID,事件ID ;
[0048]步骤S4,获取安全事件的可靠性、优先级、源IP对应设备的资产重要性(即,源设备的重要程度)、目的IP对应设备的资产重要性(即,目的设备的重要程度);
[0049]步骤S5,计算该安全事件的风险值。
[0050]本发明具体实施例中,安全事件的属性包括事件产生的五元组信息:源IP(src_ip),目的 IP(dst_ip),源端口(src_port),目的端口(dst_port)以及协议号(protocol)。
[0051]生成该安全事件的设备信息,包括:设备类型(plugin_type),设备ID(plugin_id),事件 ID (event_id)
[0052]该安全事件的可靠性(reliability)、优先级(pr1rity)、源IP对应设备的资产重要性(asset_src)、目的IP对应设备的资产重要性(asset_dst)。
[0053]本发明具体实施例中,假设生成安全事件的设备ID为plugin_id = 1001,设备类型为 plugin_type = detector,事件 ID 为 event_id = 3,协议号 为 protocol =TCP,源 IP 为 src_ip = 172.16.202.54,源端口为 src_port = 80,目的 IP 为 dst_ip =172.16.202.86,目的端口为dst_port = 20,该安全事件的可靠性为reliability = 5,优先级为pr1rity = 4源IP对应设备的资产重要性asset_src = 3,目的IP对应设备的资产重要性asset_dst = 4o
[0054]I)其中事件的可靠性是该事件能够发生的可能性,取值范围为0-10,值越高,该事件发生的可能性越高。
[0055]2)事件优先级是事件的危险程度,取值范围为0_5,值越尚,该事件的危害越大。
[0056]3)重要性则是该资产(如主机、路由器、防火墙等)的重要程度,取值范围为0-5。
[0057]本发明具体实施例安全事件的设备ID为plugin_id = 1001,设备类型为plugin_type = detector,事件ID为event_id = 3,其中安全事件的风险值计算过程如下:
[0058]基于源资产的风险值A =事件优先级*事件可靠性*源资产重要性/25 ;
[0059]其中本设备中,事件优先级为pr1rity = 4,事件可靠性为reliability=5,源IP对应设备的资产重要性asset_src = 3,源资产的风险值A =pr1rity氺reliability氺asset_src/25 = 4*5*3/25 = 2.4
[0060]基于目的资产的风险值B =事件优先级*事件可靠性*目的资产重要性/25 ;
[0061]其中本设备中,事件优先级为pr1rity = 4,事件可靠性为reliability = 5,目地IP对应设备的资产重要性即目地资产重要性asset_dst = 4,故基于目的资产的风险值为
[0062]B = pr1rity*reliability*asset_dst/25 = 4*5*4/25 = 3.2
[0063]安全事件的风险值C = max(基于源资产的风险值A,基于目的资产的风险值B)=max(2.4,3.2) = 3.2 ;安全事件的风险值的范围为O-1Oo
[0064]图3显示了本发明具体实施例的告警策略匹配执行过程流程图。
[0065]如图3所示,本发明具体实施例中告警策略匹配执行过程流程图分为如下步骤:
[0066]步骤SI,接收到来自网络中安全设备产生的安全事件,经过告警生成单元生成告警事件。
[0067]步骤S2,告警产生后先判断告警的五元组是否匹配告警策略表中的告警策略的五元组,即判断告警的源IP、源端口号、目的IP、目的端口号、协议号,是否在策略中相应的范围内。
[0068]其中,告警策略表中的告警策略可由系统管理员根据网络环境实时配置。
[0069]步骤S3,五元组匹配上后继续匹配告警中的风险值属性以及资产风险属性。
[0070]直至所有的匹配条件都满足,进入执行告警动作处理,步骤S2-S3中任一项匹配条件不满足均进入下一条告警策略的匹配。
[0071]步骤S4,当前告警匹配完某条告警策略的匹配条件之后进入执行告警动作处理阶段,按照策略中配置的执行动作进入相应的动作处理模块进行动作的执行。
[0072]步骤S5,发送邮件进行告警处理;将该条告警信息以邮件的方式发送给管理员事先设置好的邮件账户上。
[0073]步骤S6,发送短信进行告警处理;将该条告警以短信的方式发送给管理员事先设置好的联系人账户上。
[0074]步骤S7,进行工单生成处理;将该条告警以工单的方式呈现,方便管理员查看。
[0075]步骤S8,执行阻断策略处理;此处理需要与网络中的防火墙设备或其他安全设备进行联动,且需要阻断动作库的支持。根据产生告警的安全设备信息,查找阻断动作库,配置安全策略,预防该告警中表述的威胁。
[0076]步骤S9,对攻击源进行黑名单设置;设置黑名单后,可以由其他模块对攻击源进行处理,如阻断其进入网络的流量直至威胁消除。
[0077]步骤S5-步骤S9没有必然的先后顺序,其均是对步骤S4的具体限定。
[0078]图4显示了本发明优选实施例的网络安全管理方法流程图。
[0079]如图4所示,本发明优选实施例的网络安全管理方法分为如下步骤:
[0080]步骤SI,接收网络中安全设备产生的安全事件。
[0081]其中,安全设备包括防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备。
[0082]步骤S2,基于风险值大于预设阈值的安全事件生成告警。
[0083]其中,安全事件的风险值根据所述安全事件的优先级、可靠性以及资产的重要性属性计算而得;
[0084]步骤S3,将步骤S2中生成的告警与告警策略表进行匹配,获得所述告警对应的告警策略;
[0085]步骤S4,根据步骤S3中的告警策略,执行告警,其中执行告警包括以下的一种或多种的组合:发送邮件、发送短信、生成告警工单、下发阻断策略、将攻击源设为黑名单。
[0086]应当理解的是,本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
【主权项】
1.一种基于告警策略的网络安全管理设备,包括:接收单元、告警生成单元、匹配单元和执行单元,其特征在于: 所述接收单元,用于接收网络中安全设备产生的安全事件; 所述告警生成单元,与所述接收单元相连,用于基于风险值大于预设阈值的安全事件,生成告警; 所述匹配单元,与所述告警生成单元相连,用于将所述告警与告警策略表进行匹配,获得所述告警对应的告警策略; 所述执行单元,与所述匹配单元相连,用于根据所述告警策略,执行告警。2.根据权利要求1所述的基于告警策略的网络安全管理设备,其特征在于,所述安全事件通过所述安全设备对安全日志进行归一化处理后生成。3.根据权利要求1所述的基于告警策略的网络安全管理设备,其特征在于,所述匹配单元进行匹配的条件包括:告警对应的安全事件的五元组范围、告警对应的安全事件的风险值范围、告警对应的安全事件的源设备的风险值范围和/或告警对应的安全事件的目的设备的风险值范围。4.根据权利要求1所述的基于告警策略的网络安全管理设备,其特征在于,所述安全事件的属性包括:安全事件产生的五元组信息、生成安全事件的设备信息、安全事件的可靠程度、安全事件的优先级、所述五元组信息中源IP对应的源设备的重要程度以及目的IP对应的目的设备的重要程度; 所述网络安全管理设备还包括:风险评估单元,用于根据安全事件的可靠程度、安全事件的优先级、源设备和目的设备的重要程度,评估安全事件的风险值。5.根据权利要求4所述的基于告警策略的网络安全管理设备,其特征在于,所述评估安全事件的风险值,包括: 评估源设备的风险值A,A =安全事件可靠程度*安全事件优先级*源设备的重要程度/25 ; 评估目的设备的风险值B,B =安全事件可靠程度*安全事件优先级*目的设备的重要程度/25 ; 评估安全事件的风险值C,C = max (A, B)。6.一种基于告警策略的网络安全管理方法,其特征在于,所述方法包括下述步骤: 步骤S1:接收网络中安全设备产生的安全事件; 步骤S2:基于风险值大于预设阈值的安全事件生成告警; 步骤S3:将步骤S2中生成的告警与告警策略表进行匹配,获得所述告警对应的告警策略; 步骤S4:根据步骤S3中的告警策略,执行告警。7.根据权利要求6所述的基于告警策略的网络安全管理方法,其特征在于,所述步骤SI中的安全设备包括:防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。8.根据权利要求6所述的基于告警策略的网络安全管理方法,其特征在于,所述步骤S4中执行告警,包括以下的一种或多种的组合: 发送邮件、发送短信、生成告警工单、下发阻断策略、将攻击源设为黑名单。9.根据权利要求6所述的基于告警策略的网络安全管理方法,其特征在于,所述安全事件的属性包括:安全事件产生的五元组信息、生成安全事件的设备信息、安全事件的可靠程度、安全事件的优先级、所述五元组信息中源IP对应的源设备的重要程度以及目的IP对应的目的设备的重要程度; 所述步骤SI和步骤S2之间包括:步骤S5,根据安全事件的可靠程度、安全事件的优先级、源设备和目的设备的重要程度,评估安全事件的风险值。10.根据权利要求9所述的基于告警策略的网络安全管理方法,其特征在于,所述评估安全事件的风险值,包括: 评估源设备的风险值A,A =安全事件可靠程度*安全事件优先级*源设备的重要程度/25 ; 评估目的设备的风险值B,B =安全事件可靠程度*安全事件优先级*目的设备的重要程度/25 ; 评估安全事件的风险值C,C = max (A, B)。
【专利摘要】一种基于告警策略的网络安全管理设备及方法。网络安全管理设备包括接收单元、告警生成单元、匹配单元和执行单元。接收单元用于接收网络中安全设备产生的安全事件;告警生成单元用于基于风险值大于预设阈值的安全事件生成告警;匹配单元用于将告警与告警策略表进行匹配,获得告警对应的告警策略;执行单元用于根据所述告警策略执行告警。本发明能实现对告警信息自身的修正和管理,提高了网络安全的可控性、实时性和灵活性,同时保证了输出告警信息的可靠性,有效阻断网络中的安全威胁。
【IPC分类】H04L29/06
【公开号】CN104901960
【申请号】CN201510281976
【发明人】刘仙凤
【申请人】汉柏科技有限公司
【公开日】2015年9月9日
【申请日】2015年5月26日
最新回复(0)