CN107809321A - 一种安全风险评估和告警生成的实现方法 - Google Patents
一种安全风险评估和告警生成的实现方法 Download PDFInfo
- Publication number
- CN107809321A CN107809321A CN201610808677.7A CN201610808677A CN107809321A CN 107809321 A CN107809321 A CN 107809321A CN 201610808677 A CN201610808677 A CN 201610808677A CN 107809321 A CN107809321 A CN 107809321A
- Authority
- CN
- China
- Prior art keywords
- risk assessment
- alarm
- enterprise
- security risk
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全风险评估和告警生成的实现方法,提供了基于企业端进行风险评估和基于远程采集终端分析日志进行风险评估的两种方法,并通过比较这两个风险值来确定企业网络是否存在入侵攻击和告警。通过本发明,可以帮助客户及时发现企业网络异常情况和进行快速响应,尤其是对于那些重要资产的安全保护,也提升了安全运维服务平台的性能。
Description
技术领域
本发明涉及信息安全、大数据应用技术领域,尤其涉及到风险评估和告警生成的实现方法。
背景技术
本发明中包含的英文简称如下:
SOC:Security Operation Center安全管理中心
IDS:Intrusion Detection Systems入侵检测***
SNMP:Simple Network Management Protocol简单网络管理协议
CLF:Common Log Format 普通日志格式
JSON:JavaScript Object Notation JAVA脚本对象符号
HDFS:Hadoop Distribute File SystemHadoop分布式文件***
安全生产历来是保障各项工作有序开展的前提,也是考核各级领导干部的否决指标。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络及信息***高效稳定地运行,是企业一切市场经营活动和正常运作的基础。
当前,企业IT***都不同程度地部署了各种不同的业务***和安全设备,有效地提高了劳动生产率,降低了运营成本,已经成为企业高效运营的重要支撑和生产环节中不可缺少的一环。一方面,因为一旦网络及各业务***出现安全事件或故障,如果不能及时发现、及时处理、及时恢复,这势必直接影响承载在其上所有业务的运行,影响企业的正常运营秩序,涉及到用户的***将直接导致用户投诉,满意度下降,企业形象受到损害,对于企业网络的安全保障就显得格外重要;另一方面,由于各种网络攻击技术也变得越来越先进,越来越普及化,企业的网络***面临着随时被攻击的危险,经常遭受不同程度的入侵和破坏,严重干扰了企业网络的正常运行;日益严峻的安全威胁迫使企业不得不加强对网络及业务***的安全防护,不断追求多层次、立体化的安全防御体系,建设安全运维服务中心,实时跟踪***事件和实时检测各种安全攻击、及时采取相应的控制动作,消除或缩减攻击所造成的损失,尽一切可能来保护企业网络及业务***正常运营。
然而,被用来执行安全运维服务任务的各种设备、数据库、中间件、操作***和Web服务器等所产生的日志,随着企业IT***规模的不断扩大,尤其是它的种类和数量正经历了巨大规模的上升,从而使日志存储、日志分析和问题跟踪变得越来越困难。企业IT***的日志规模的这样海量地增长,迫使安全运维服务提供商采用Hadoop/Spark这样的大数据架构来对日志进行集中存储、对日志进行集中处理和日志分析,对***事件进行实时跟踪,对安全攻击进行实时检测。
目前,已有的安全风险评估和告警生成的实现方法,计算复杂,不能实现实时响应,尤其是对于那些重要资产的安全保护,已经无法胜任当前企业的安全运维服务平台对告警进行快速响应的任务。因此,迫切需要一种全新的安全风险评估和告警生成的实现方法来对海量日志和漏洞信息等进行实时安全风险评估和快速响应。
为此,如何利用信息化手段提高企业的运营效益,优化企业信息***,使得它能够为各类企业提供专业的和高性价比的信息安全运维服务,即成为尤其是信息安全运维管理设计上必须要解决的一个重要课题。
发明内容
本发明提供了一种安全风险评估和告警生成的实现方法,以解决现有技术不能实现快速响应的缺陷,尤其是对于那些重要资产的安全保护。
本发明的安全风险评估和告警生成的实现方法,应用于能够为多个企业提供各种安全服务和运维监控服务的安全运维监控服务平台中。
所述安全服务包括配置管理、安全风险评估、威胁检测、漏洞扫描、防病毒等。
所述运维监控服务包括配置管理、故障管理、性能管理、问题管理、变更管理等。
所述方法包括对企业网络的风险评估等级(Xasl)和远程采集终端所接收到的日志进行分析而产生告警所获得的风险评估等级(Xrsl),如果所述Xasl和Xrsl的值相差较大,说明所述企业网络可能遭受攻击,则向安全管理员告警,及时排除故障。
进一步地,所述Xrsl,通过分析该企业网络设备产生的所有告警而获得的安全风险等级。
本发明的一种安全风险评估和告警生成的实现方法,提供了基于企业端进行风险评估和基于远程采集终端分析日志进行风险评估的两种方法,并通过比较这两个风险值来确定网络是否存在入侵攻击和告警。通过本发明,可以帮助客户及时发现网络异常和进行快速响应,尤其是对于那些重要资产的安全保护,也提升了安全运维服务平台的性能。
附图说明
图1为本发明所述的安全风险评估和告警生成的实现方法的示意图;
具体实施方式
下面是根据附图和实例对本发明的进一步详细说明:
图1为本发明所述的一种安全风险评估和告警生成的实现方法的示意图。
远程采集终端:负责收集一些关键的网络设备和安装了安全工具软件的网络设备的日志消息,并将日志转发到远端企业端(该企业端可能与远程采集终端属于同一家企业,也可能不属于)的本地安全数据库,以及进行分析,以及时提供有关企业的近似安全风险等级。这有助于当遭受到攻击时能够快速响应或排除问题,即使黑客删除了网络设备的日志(包括安全工具)。
本地采集终端:负责收集位于同一网段的网络设备的日志。一台网络设备,可以是一台主机、一台服务器、一台防火墙、一个入侵检测***等。日志收集方式,可以是无代理(也可以安装代理)。本地采集终端标准化日志格式,并将收集的日志发送到本地安全数据库。在每个企业有一台或几台本地采集终端,其中一台可以作为主-本地采集终端。主-本地采集终端负责所有位于同一企业端的本地采集终端的管理,例如,热备份,等。
本地企业分析服务器:负责本地网络的入侵检测。它通过分析位于本地安全数据库内已格式化的日志和生成的告警。然后,它关联告警,以发现更复杂的入侵(一般由多个事件所组成,分布式入侵,等)。本地企业分析服务器还聚合告警。本地企业分析服务器产生的所有警报被送到全局安全数据库。
本地企业数据库:存储本企业的本地采集终端实时发送的安全信息,以及经过本地企业分析服务器分析之后所获得的信息,并将有关分析数据及时发送给全局分析服务器作进一步的分析。
全局分析服务器:从全局数据库获取数据,负责所有企业的入侵检测,它分析告警、关联告警和合并告警,尽可能地删除一些不必要的告警,产生优化的输出。它也能够检测到更复杂的入侵,是针对多个企业的。
全局数据库:是一个全局数据库,存储所有企业的安全信息,包括各个本企业数据库上传的安全信息、远程采集终端的上传的数据等。
对于监控多个企业端的安全行为,确保所有企业的顺利运行是必不可少的。远程采集终端是专为这个目的而构建的。当本地采集终端发送数据到本地企业数据库时,远程采集终端就立即转发所述数据到远程企业端。对所述转发数据进行分析,并给出有关企业的安全风险的视图。当一个事件发生时,这可以帮助企业及时解决问题。有关企业安全风险评估的操作如下:
1、在每个企业端,所述远程采集终端从本地企业数据库和一些关键的本地采集终端收集数据,并将所述数据发送到另一个企业端的本地企业数据库里,由本地企业分析服务器进行分析。
2、那个接收所述远程采集终端转发过来的远程企业端的本地企业分析服务器,分析所接收的数据并生成告警(每个告警均分配一个告警严重级别)。这样,就可以确定该企业端的安全风险。
3、本地企业分析服务器,分析本地采集终端所采集,发现入侵模式,并检测可疑行为。它也决定了企业端的真实的安全风险等级。
4、负责对所有企业端的数据进行分析的全局分析服务器,比较这两个安全风险,当它们两者之间的偏差较大时,说明企业网络遭受攻击,则生成一个告警,让安全管理员及时处理问题。这个偏差,可能是一个信号,即暗示着企业网络遭到攻击。在这种情况下,一个告警被发送到安全管理员那儿作进一步的调查。
企业端的安全风险评估过程的目的是确保每一个企业网络都运行正常。
为了实现这一目标,可以根据远程采集终端所收集的日志信息进行分析所生成的告警和由一个企业本地采集终端所接收到的告警作安全风险评估,为每一个企业端确定安全风险级别。然后,比较这两个值。鉴于远程采集终端是从企业端最关键的采集终端收集的日志信息(这是最有可能吸引黑客),则所估计的安全风险等级应大致相当于企业真实的安全风险等级。如果两种类型的安全风险级别之间有一个比较大的异常,那么有关的企业网络上就存在问题(或遭受到攻击)。在这样的情况下,产生告警,以便对相关企业进行深入安全脆弱性检查。
假设X、Y和Z分别表示一个企业、一个采集终端、一个告警,并且:Xsl:表示一个企业网络的理论安全风险级别。
Ylsl:表示一个采集终端的本地的理论安全风险等级。如果采集终端越是重要,则它应该是越安全。
Yial:本地采集终端的理论容量。
Yeal:远程采集终端的理论容量。
Zcl:每个告警的理论安全级别,L、M、H:分别表示低、中、高(每个告警的安全级别)。
1、采集终端的理论安全风险等级:。
2、采集终端的理论容量:,进一步计算得到:
3、采集终端Y发送告警Z的真实告警级别Zrlc为:,进一步计算得到:
4、一个企业X真实的安全风险等级,如下式所示:
其中,T(A, B)是一个函数,通过该函数可以计算出企业A安全风险等级,当给定某一个企业A网络产生的所有告警B时。所述函数由本地企业安全运维软件所执行。
5、远程采集终端安全风险评估
为了能够分析远程采集终端所采集的数据,从而使得能够给出所述企业X安全风险等级的视图(称谓Xasl),该远程采集终端必须从最有可能吸引黑客的设备和已安装安全工具软件的设备(本地企业安全运维软件、防火墙、入侵检测***,等)上采集数据。
企业X安全风险等级(Xasl)近似为:
其中,T(A, B)是一个函数,该函数可以计算出远程采集终端的安全风险等级,当给定通过分析远程采集终端A所采集的日志而生成的所有告警时。在正常情况下,成立:
如果Xasl和Xrsl的值相差较大,则产生告警。这可能由于其中的一个或多个远程采集终端被攻击所致,也可能是一个或多个本地采集终端被攻击所致等。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;凡是依本发明所作的等效变化与修改,都被视为本发明的专利范围所涵盖。
Claims (3)
1.本发明提供了一种安全风险评估和告警生成的实现方法,所述方法包括对企业网络进行风险评估等级(Xasl)和对远程采集终端所接收到的日志进行分析而产生告警所获得的风险评估等级(Xrsl)。
2.如权利要求1所述的一种安全风险评估和告警生成的实现方法,所述Xasl和Xrsl的值相差较大,说明企业网络可能遭受了攻击,则向安全管理员告警,及时排除可能发生的故障。
3.如权利要求1所述的一种安全风险评估和告警生成的实现方法,所述Xrsl,通过分析该企业网络设备产生的所有告警而获得的安全风险等级。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610808677.7A CN107809321B (zh) | 2016-09-08 | 2016-09-08 | 一种安全风险评估和告警生成的实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610808677.7A CN107809321B (zh) | 2016-09-08 | 2016-09-08 | 一种安全风险评估和告警生成的实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107809321A true CN107809321A (zh) | 2018-03-16 |
CN107809321B CN107809321B (zh) | 2020-03-24 |
Family
ID=61576064
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610808677.7A Active CN107809321B (zh) | 2016-09-08 | 2016-09-08 | 一种安全风险评估和告警生成的实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107809321B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108737186A (zh) * | 2018-05-23 | 2018-11-02 | 郑州信大天瑞信息技术有限公司 | 一种内网安全态势感知方法 |
CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化***及其控制方法 |
CN111314296A (zh) * | 2020-01-15 | 2020-06-19 | 福建奇点时空数字科技有限公司 | 一种基于旁路技术的网络流量分析安全服务*** |
CN111416856A (zh) * | 2020-03-16 | 2020-07-14 | 深圳市电科电源股份有限公司 | 一种基于物联网平台的家庭储能管理***及监控方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040064731A1 (en) * | 2002-09-26 | 2004-04-01 | Nguyen Timothy Thien-Kiem | Integrated security administrator |
CN101005510A (zh) * | 2007-01-19 | 2007-07-25 | 南京大学 | 一种综合漏洞的网络实时风险评估方法 |
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析***与方法 |
CN101883017A (zh) * | 2009-05-04 | 2010-11-10 | 北京启明星辰信息技术股份有限公司 | 一种网络安全状态评估***及方法 |
CN102413011A (zh) * | 2011-11-18 | 2012-04-11 | 奇智软件(北京)有限公司 | 一种局域网安全评估的方法和*** |
-
2016
- 2016-09-08 CN CN201610808677.7A patent/CN107809321B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040064731A1 (en) * | 2002-09-26 | 2004-04-01 | Nguyen Timothy Thien-Kiem | Integrated security administrator |
CN101005510A (zh) * | 2007-01-19 | 2007-07-25 | 南京大学 | 一种综合漏洞的网络实时风险评估方法 |
CN101883017A (zh) * | 2009-05-04 | 2010-11-10 | 北京启明星辰信息技术股份有限公司 | 一种网络安全状态评估***及方法 |
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析***与方法 |
CN102413011A (zh) * | 2011-11-18 | 2012-04-11 | 奇智软件(北京)有限公司 | 一种局域网安全评估的方法和*** |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108737186A (zh) * | 2018-05-23 | 2018-11-02 | 郑州信大天瑞信息技术有限公司 | 一种内网安全态势感知方法 |
CN108737186B (zh) * | 2018-05-23 | 2020-12-29 | 郑州信大天瑞信息技术有限公司 | 一种内网安全态势感知方法 |
CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化***及其控制方法 |
CN111314296A (zh) * | 2020-01-15 | 2020-06-19 | 福建奇点时空数字科技有限公司 | 一种基于旁路技术的网络流量分析安全服务*** |
CN111416856A (zh) * | 2020-03-16 | 2020-07-14 | 深圳市电科电源股份有限公司 | 一种基于物联网平台的家庭储能管理***及监控方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107809321B (zh) | 2020-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107809321A (zh) | 一种安全风险评估和告警生成的实现方法 | |
CN105049291A (zh) | 一种检测网络流量异常的方法 | |
CN106254125A (zh) | 基于大数据的安全事件相关性分析的方法及*** | |
CN115001877B (zh) | 一种基于大数据的信息安全运维管理***及方法 | |
CN105812200A (zh) | 异常行为检测方法及装置 | |
CN107547228A (zh) | 一种基于大数据的安全运维管理平台的实现架构 | |
CN113672663A (zh) | 一种工业企业碳账户*** | |
CN111212035A (zh) | 一种主机失陷确认及自动修复方法及基于此的*** | |
Zhang et al. | A hadoop based analysis and detection model for ip spoofing typed ddos attack | |
CN114125083B (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
CN107919970A (zh) | 一种安全运维服务云平台的日志管理实现方法及*** | |
CN116257021A (zh) | 一种工控***智能网络安全态势监测预警平台 | |
Lee et al. | A study on efficient log visualization using d3 component against apt: How to visualize security logs efficiently? | |
CN107733941A (zh) | 一种基于大数据的数据采集平台的实现方法及*** | |
US20210126932A1 (en) | System for technology infrastructure analysis | |
CN107682166A (zh) | 基于大数据的安全运维服务平台远程数据采集的实现方法 | |
CN116861419B (zh) | 一种ssr上主动防御日志告警方法 | |
JP2008193538A (ja) | ネットワークへの攻撃監視装置および攻撃証跡管理装置 | |
JP2005202664A (ja) | 不正アクセス統合対応システム | |
CN116346433A (zh) | 电力***网络安全态势检测方法及*** | |
CN101360014B (zh) | 一种利用多点错位联合检测实现网络异常定位的方法 | |
CN112685214B (zh) | 一种通过日志收集分析中毒机器并进行告警的方法 | |
CN104038372A (zh) | 电力广域网流量监控方法 | |
CN103401711A (zh) | 基于安全日志的网络状态分析*** | |
Wang et al. | A comprehensive security operation center based on big data analytics and threat intelligence [C] |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |