专利名称:企业网络安全分析方法和装置的制作方法
技术领域:
本发明涉及数据处理技术,尤其涉及一种企业网络安全分析方法和装置。
背景技术:
目前,多种网络安全产品部署在企业的办公机、服务器、路由器和交换机等设备中。现有技术中,为了解企业网络的安全运行情况,可以根据系统中具有价值的信息和资源,系统中存在的可能被威胁利用造成损害的漏洞,以及系统中存在的可能导致危害的潜在因素对企业设备系统网络的安全运行情况进行分析。然而,现有的企业设备系统的安全运行情况进行分析的方法,难以快速对企业设备系统安全运行的问题进行定位,从而导致企业设备系统的安全运行维护效果较差。
发明内容
本发明提供一种企业网络安全分析方法和装置,用于解决现有的企业设备系统的安全运行情况的分析方法,难以快速对企业设备系统安全运行的问题进行定位,导致维护效果差的问题。本发明的第一个方面是提供一种企业网络安全分析方法,包括获取企业系统中各部门部署的安全设备的安全事件信息,所述安全事件信息中至少包括事件内容信息、事件对应的源IP地址、事件对应的目的IP地址;根据所获取的各部门部署的安全设备的安全事件信息中的源IP地址和目的IP地址,生成各部门之间的安全事件对应关系信息;根据所述安全事件对应关系信息以及所述事件内容信息,定位影响企业网络安全运行的威胁因素信息。本发明的另一个方面是提供一种企业网络安全分析装置,包括获取模块,用于获取企业系统中各部门部署的安全设备的安全事件信息,所述安全事件信息中至少包括事件内容信息、事件对应的源IP地址、事件对应的目的IP地址;处理模块,用于根据所获取的各部门部署的安全设备的安全事件信息中的源IP地址和目的IP地址,生成各部门之间的安全事件对应关系信息;确定模块,用于根据所述安全事件对应关系信息以及所述事件内容信息,定位影响企业网络安全运行的威胁因素信息。 本发明通过获取企业系统中各部门部署的安全设备的安全事件信息,根据安全事件信息中的源IP地址和目的IP地址,生成各部门之间的安全事件对应关系信息,并根据安全事件对应关系信息和事件内容信息确定企业网络安全运行的威胁因素信息,能够快速、直观地对企业设备系统安全运行的问题进行定位,有利于对企业系统进行维护。
图1为本发明企业网络安全分析方法一个实施例的流程图;图2为本发明的气泡图示意图;图3为本发明企业网络安全分析方法又一个实施例的流程图;图4为本发明企业网络安全分析方法另一个实施例的流程图;图5为与图4所示流程图对应的结构示意图;图6为本发明企业网络安全分析装置一个实施例的结构示意图;图7为本发明企业网络安全分析装置又一个实施例的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明企业网络安全分析方法一个实施例的流程图,如图1所示,包括101、企业网络安全分析装置获取企业系统中各部门部署的安全设备的安全事件信息,安全事件信息中至少包括事件内容信息、事件对应的源IP地址、事件对应的目的IP地址。企业系统中可部署多种安全设备,如入侵防御系统、入侵检测系统、内容管理系统、内容审计系统、终端管理系统、web应用防护墙等。其中,当企业系统中各部门的工作人员对计算机等设备进行操作或者企业系统中的计算机、服务器、路由器以及交换机等设备运行应用程序时,企业系统中各部门部署的安全设备会生成安全事件日志、告警日志或者审计日志等,这些日志中包含事件内容信息、事件对应的源IP地址、事件对应的目的IP地址、目的端口信息、来源、事件发生时间、事件摘要信息以及事件编号等信息。企业系统中各部门部署的安全设备生成的安全事件日志、告警日志或者审计日志等可以通过系统日志协议syslog、简单网络管理协议(SimpleNetwork ManagementProtocol, SNMP)、网络服务协议webservice或者文件传输协议(File Transfer Protocol,FTP)等上报给企业网络安全分析装置,由企业网络安全分析装置获取。当安全设备生成的安全事件日志、告警日志或者审计日志等数量较多时,企业网络安全分析装置可以分别获取安全设备以任一种传输协议上报的日志中的安全事件信息,企业网络安全分析装置还可以获取某一个或者某几个安全设备的日志中的安全事件信息。102、企业网络安全分析装置根据所获取的各部门部署的安全设备的安全事件信息中的源IP地址和目的IP地址,生成各部门之间的安全事件对应关系信息。其中,企业网络安全分析装置可以根据安全事件信息中的源IP地址和目的IP地址,对任一部门与其他每个部门之间的安全事件次数进行统计,得到安全事件对应关系信息,该安全事件对应关系信息包括任一部门与其他每个部门之间的安全事件次数的安全事件对应关系信息。进一步地,企业网络安全分析装置也可以将安全事件信息中的源IP地址和目的IP地址与各部门中的机器对应,以计算机为例,企业网络安全分析装置可以统计计算机A到计算机B的安全事件次数以及计算机B到计算机A的安全事件次数。企业网络安全分析装置也可以将安全事件信息中的源IP地址和目的IP地址与各部门中的工作人员对应,例如,企业网络安全分析装置可以统计工作人员A到工作人员B的安全事件次数以及工作人员B到工作人员A的安全事件次数。更进一步地,企业网络安全分析装置还可以将各部门之间的安全事件对应关系信息以及事件内容信息存入数据库或者存储模块中,以便企业网络安全分析装置分析影响企业网络安全运行的威胁因素信息时使用。103、企业网络安全分析装置根据安全事件对应关系信息以及事件内容信息,定位影响企业网络安全运行的威胁因素信息。事件内容信息具体可以为事件名称、事件摘要信息或者目的端口信息。每个安全设备可以生成多种事件,例如,入侵防御系统可以生成结构化查询语言(structuredquery language, SQL)注入攻击事件、网络Web常规攻击事件、通过超文本传送协议(hypertext transport protocol, HTTP)协议下载可执行文件事件等,企业网络安全分析装置可以根据事件内容信息中的事件名称或者目的端口信息,判断事件是SQL注入攻击事件、网络Web常规攻击事件或者HTTP协议下载可执行文件事件等事件中的哪一种,并从对应的事件摘要信息中获取事件的详细内容。另外,事件安全等级可以有3级高级、中级和低级,也可以有5级高级、较高级、中级、较低级和低级,本发明中优选高级、中级和低级3级作为安全事件的事件安全等级。不同的事件名称对应不同的事件安全等级,例如,入侵防御系统生成的SQL注入攻击事件以及通过HTTP协议下载可执行文件事件对应的事件安全等级为中级,入侵防御系统生成的Web常规攻击事件对应的事件安全等级为高级。事件安全等级越高,说明事件越危险,企业系统的安全运行情况越差。企业网络安全分析装置根据安全事件对应关系信息可以采用表格形式,图形形式,或者直观反应任一部门 与其他每个部门之间的安全事件次数的形式显示。可选的,任一部门与其他每个部门之间的安全事件次数可以以气泡图的形式进行显示,将安全事件对应关系信息中的各部门标识确定为横坐标,将安全事件对应关系信息中的各部门标识确定为纵坐标,在横坐标和纵坐标围设的坐标区域内对应的坐标位置绘制气泡图,气泡图中不同的气泡大小表示不同的安全事件次数,不同的气泡颜色表示事件内容信息对应的事件安全等级,不同的气泡颜色也可以用不同的气泡的阴影程度来表示,如图2所示,企业可以包括研发一部、国际拓展、产品管理中心、信息管理部、研发三部、市场部、研究院、研发二部、人力资源部以及财务部等部门,其中,研发二部到市场部的安全事件次数,可以在坐标图中纵坐标为研发二部,横坐标为市场部的位置绘制气泡。气泡的大小用于表示研发二部到市场部的安全事件次数,气泡的阴影程度表示研发二部到市场部的事件对应的事件安全等级。例如,纵坐标为研发二部、横坐标为市场部的气泡比纵坐标为研发二部、横坐标为研发一部的气泡大,说明研发二部到市场部的事件次数比研发二部到研发一部的事件次数多。又例如,研发二部到市场部的事件次数对应的气泡的阴影程度最深,说明研发二部到市场部的事件对应的事件安全等级为高级,研究院到产品管理中心的事件次数对应的气泡的阴影程度较浅,说明研究院到产品管理中心的事件对应的事件安全等级为中级,市场部到研发二部的事件次数对应的气泡的阴影程度最浅,说明市场部到研发二部的事件对应的事件安全等级为低级。又例如,研究院到信息管理部的事件次数对应的气泡有一部分的阴影程度最深,其余部分的阴影程度较浅,说明研究院到信息管理部的事件中有一部分事件的事件安全等级为高级,其余部分事件的事件安全等级为中级。研究院到信息管理部的事件次数对应的气泡上的斜线表示该气泡被选中,因此还可以具体列出研究院到信息管理部的所有事件的具体信息,如发生时间,研究院,信息管理部以及事件名称等。根据气泡图,可以快速、直观地定位企业设备系统中安全运行问题的主要发生部门,有利于工作人员针对性地进行维护。更进一步地,企业网络安全分析装置还可以根据获取的安全事件信息中的事件发生时间、事件内容信息对应的事件安全等级、源IP地址以及目的IP地址中的一种或多种组合,对气泡图中的气泡大小和颜色进行修改。本实施例提供的企业网络安全分析方法通过获取企业系统中各部门部署的安全设备的安全事件信息,根据安全事件信息中的源IP地址和目的IP地址,生成各部门之间的安全事件对应关系信息,并根据安全事件对应关系信息和事件内容信息确定企业网络安全运行的威胁因素信息,能够快速、直观地对企业设备系统安全运行的问题进行定位,有利于工作人员对企业系统进行维护。图3为本发明企业网络安全分析方法又一个实施例的流程图,如图3所示,本实施例中提供了企业网络安全分析装置根据所获取的各部门部署的安全设备的安全事件信息中的源IP地址和目的IP地址,生成各部门之间的安全事件对应关系信息的一种可行的实施方式,具体可以包括1021、企业网络安全分析装置根据事件内容信息所对应的事件安全等级,对安全事件进行过滤;和/或,根据事件发生时间对安全事件进行过滤。其中,企业网络安全分析装置可以根据事件内容信息所对应的事件安全等级,过滤掉安全事件中事件安全等级 为低级的事件。或者,企业网络安全分析装置可以过滤掉某一时间范围内的安全事件,如过滤掉晚上10:00到早上6:00之间的安全事件。或者,企业网络安全分析装置还可以在过滤掉晚上10:00到早上6:00之间的安全事件后,过滤掉其余时间内的事件安全等级为低级的事件,减轻企业网络安全分析装置统计任一部门与其他每个部门之间的安全事件次数时的工作量。另外,企业网络安全分析装置还可以根据事件对应的源IP地址、事件对应的目的IP地址,事件摘要信息以及事件内容信息,对安全事件进行过滤。事件内容信息为事件名称、事件摘要信息或者目的端口信息。例如,企业网络安全分析装置可以根据事件名称,将安全事件中名称为SQL注入攻击事件或者网络Web常规攻击事件等安全事件过滤掉。1022、对任一部门与其他每个部门之间的安全事件次数进行统计,安全事件对应关系信息中包括任一部门与其他每个部门之间的安全事件次数。本实施例提供的企业网络安全分析方法,通过根据事件内容信息所对应的事件安全等级,和/或事件发生时间对安全事件进行过滤,从而减轻企业网络安全分析装置统计任一部门与其他每个部门之间的安全事件次数时的工作量,提高企业网络安全分析装置分析企业网络安全运行问题的速度。图4为本发明企业网络安全分析另一个实施例的流程图,如图4所示,与图4所示流程图对应的结构示意图如图5所示,图4所示流程包括401、数据采集引擎41获取企业系统中各部门部署的安全设备的安全事件信息,安全事件信息中至少包括事件内容信息、事件对应的源IP地址、事件对应的目的IP地址。其中,数据采集引擎41可以采集企业系统中各部门部署的安全设备的安全事件日志、告警日志或者审计日志等,入侵防御系统的告警日志可以包含发生时间,源IP地址,目的IP地址,事件名称,事件编号,事件等级,事件类型,事件摘要信息和攻击包内容等。内容审计系统的审计日志可以包含发生时间,源IP地址,目的IP地址,事件类型,事件名称,事件等级,站点,内容,收件人以及发件人等。数据采集引擎41可以将各种日志中的源IP地址和目的IP地址映射为部门标识,并提取各种日志中的源IP地址,目的IP地址,发生时间,事件名称,事件等级,事件类型,事件内容等信息,对各种日志中的信息进行处理,得到各种日志中的信息的通用数据格式,通用数据格式中包含源IP地址,目的IP地址,发生时间,事件名称,事件安全等级,事件类型,事件内容等。数据采集引擎从各种日志的通用数据格式中获取源IP地址,目的IP地址,事件名称,事件安全等级。另外,数据采集引擎41可以为多个,可以按照日志的类型来分,每个数据采集引擎41采集一种类型的日志;也可以按照日志的传输方式来分,每个数据采集引擎41采集一种传输方式的日志;还可以按照日志的数据量大小来分,一个数据采集引擎41可以采集多个数据量较小的日志,其他数据采集引擎41分别采集数据量较大的日志。402、数据采集引擎41根据事件内容信息所对应的事件安全等级,对安全事件进行过滤;和/或,根据事件发生时间对安全 事件进行过滤,并将过滤后的安全事件发送到关联分析引擎。403、关联分析引擎42根据安全事件信息中的源IP地址和目的IP地址,分别对任一部门与其他每个部门之间的安全事件次数进行统计,安全事件对应关系信息中包括任一部门与其他每个部门之间的安全事件次数。404、展示层43将安全事件对应关系信息中的各部门标识确定为横坐标,将安全事件对应关系信息中的各部门标识确定为纵坐标,在横坐标和纵坐标围设的坐标区域内对应的坐标位置绘制气泡图,气泡图中不同的气泡大小表示不同的安全事件次数,不同的气泡颜色表示事件内容信息对应的事件安全等级,根据气泡图定位影响企业网络安全运行的威胁因素信息。假设确定为纵坐标的部门为源部门,确定为横坐标的部门为目的部门,当横坐标和纵坐标围设的坐标区域难以完全显示任一部门与其他每个部门之间的安全事件次数时,可以计算任一部门与其他每个部门之间的安全事件次数最大的10个源部门和10个目的部门,以10个源部门的标识为纵坐标,以10个目的部门的标识为纵坐标,绘制气泡图。405、展示层43根据事件发生时间、事件内容信息对应的事件安全等级、源IP地址以及目的IP地址中的一种或多种组合,对气泡图中的气泡大小和颜色进行修改。本实施例提供的企业网络安全分析方法通过数据采集引擎获取企业系统中各部门部署的安全设备的安全事件信息,关联分析引擎根据安全事件信息中的源IP地址和目的IP地址,生成各部门之间的安全事件对应关系信息,展示层根据安全事件对应关系信息和事件内容信息确定企业网络安全运行的威胁因素信息,快速、直观地对企业设备系统安全运行的问题进行定位,有利于工作人员对企业系统进行维护。本领域普通技术人员可以理解实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。图6为本发明企业网络安全分析装置一个实施例的结构示意图,如图6所示,包括获取模块61,用于获取企业系统中各部门部署的安全设备的安全事件信息,安全事件信息中至少包括事件内容信息、事件对应的源IP地址、事件对应的目的IP地址;处理模块62,用于根据所获取的各部门部署的安全设备的安全事件信息中的源IP地址和目的IP地址,生成各部门之间的安全事件对应关系信息;确定模块63,用于根据安全事件对应关系信息以及事件内容信息,定位影响企业网络安全运行的威胁因素信息。其中,确定模块63具体可以将安全事件对应关系信息中的各部门标识确定为坐标图中的横坐标,将安全事件对应关系信息中的各部门标识确定为坐标图中的纵坐标,在横坐标和纵坐标围设的坐标区域内对应的坐标位置绘制气泡图,气泡图中不同的气泡大小表示不同的安全事件次数,不同的气泡颜色表示事件内容信息对应的事件安全等级,并根据气泡图定位影响企业网络安全运行的威胁因素信息。确定模块63具体还可以用于,根据事件发生时间、事件内容信息对应的事件安全等级、源IP地址以及目的IP地址中的一种或多种组合,对气泡图中的气泡大小和颜色进行修改。 本发明实施例提供的企业网络安全分析装置分析企业系统的安全运行情况的过程与图1所示实施例分析企业系统的安全运行情况的过程相同,在此不再赘述,企业网络安全分析装置分析企业系统的安全运行情况的过程请参见图1所示实施例。本发明实施例提供的企业网络安全分析装置,通过获取企业系统中各部门部署的安全设备的安全事件信息,根据安全事件信息中的源IP地址和目的IP地址,生成各部门之间的安全事件对应关系信息,并根据安全事件对应关系信息和事件内容信息确定企业网络安全运行的威胁因素信息,快速、直观地对企业设备系统安全运行的问题进行定位,有利于工作人员对企业系统进行维护。图7为本发明企业网络安全分析装置一个实施例的结构示意图,如图7所示,在图6所示实施例的基础上,处理模块62可以包括过滤模块621,用于根据事件内容信息所对应的事件安全等级,对安全事件进行过滤;和/或,根据事件发生时间对安全事件进行过滤。统计模块622,用于根据安全事件信息中的源IP地址和目的IP地址,分别对任一部门与其他每个部门之间的安全事件次数进行统计,安全事件对应关系信息中包括任一部门与其他每个部门之间的安全事件次数。本发明实施例提供的企业网络安全分析装置在分析企业系统的安全运行情况时对安全事件进行过滤的过程,与图3所示实施例在分析企业系统的安全运行情况时,对安全事件进行过滤的过程相同,在此不再赘述,企业网络安全分析装置在分析企业系统的安全运行情况时,对安全事件进行过滤的过程请参见图3所示实施例。本实施例提供的企业网络安全分析装置,通过根据事件内容信息所对应的事件安全等级,和/或事件发生时间对安全事件进行过滤,从而减轻企业网络安全分析装置统计任一部门与其他每个部门之间的安全事件次数时的工作量,提高企业网络安全分析装置分析企业网络安全运行问题的速度。最后应说明的是以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例 所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
权利要求
1.一种企业网络安全分析方法,其特征在于,包括获取企业系统中各部门部署的安全设备的安全事件信息,所述安全事件信息中至少包括事件内容信息、事件对应的源IP地址、事件对应的目的IP地址;根据所获取的各部门部署的安全设备的安全事件信息中的源IP地址和目的IP地址,生成各部门之间的安全事件对应关系信息;根据所述安全事件对应关系信息以及所述事件内容信息,定位影响网络安全的威胁因素信息。
2.根据权利要求1所述的方法,其特征在于,所述根据所获取的各部门部署的安全设备的安全事件信息中的源IP地址和目的IP地址,生成各部门之间的安全事件对应关系信息,包括:根据所述安全事件信息中的源IP地址和目的IP地址,分别对任一部门与其他每个部门之间的安全事件次数进行统计,所述安全事件对应关系信息中包括任一部门与其他每个部门之间的安全事件次数。
3.根据权利要求2所述的方法,其特征在于,所述安全事件信息中还包括事件发生时间,所述分别对任一部门与其他每个部门之间的安全事件次数进行统计之前,还包括根据所述事件内容信息所对应的事件安全等级,对安全事件进行过滤;和/或,根据所述事件发生时间对所述安全事件进行过滤。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述根据所述安全事件对应关系信息以及所述事件内容信息,定位影响企业网络安全运行的威胁因素信息,包括将所述安全事件对应关系信息中的各部门标识确定为横坐标;将所述安全事件对应关系信息中的各部门标识确定为纵坐标;在所述横坐标和所述纵坐标围设的坐标区域内对应的坐标位置绘制气泡图,所述气泡图中不同的气泡大小表示不同的安全事件次数,不同的气泡颜色表示事件内容信息对应的事件安全等级;根据所述气泡图定位影响企业网络安全运行的威胁因素信息。
5.根据权利要求4所述的方法,其特征在于,所述安全事件信息中还包括事件发生时间,所述根据所述安全事件对应关系信息以及所述事件内容信息,定位影响企业网络安全运行的威胁因素信息,还包括根据所述事件发生时间、事件内容信息对应的事件安全等级、所述源IP地址以及所述目的IP地址中的一种或多种组合,对所述气泡图中的气泡大小和颜色进行修改。
6.一种企业网络安全分析装置,其特征在于,包括获取模块,用于获取企业系统中各部门部署的安全设备的安全事件信息,所述安全事件信息中至少包括事件内容信息、事件对应的源IP地址、事件对应的目的IP地址;处理模块,用于根据所获取的各部门部署的安全设备的安全事件信息中的源IP地址和目的IP地址,生成各部门之间的安全事件对应关系信息;确定模块,用于根据所述安全事件对应关系信息以及所述事件内容信息,定位影响企业网络安全运行的威胁因素信息。
7.根据权利要求6所述的装置,其特征在于,所述处理模块包括统计模块,根据所述安全事件信息中的源IP地址和目的IP地址,分别对任一部门与其他每个部门之间的安全事件次数进行统计,所述安全事件对应关系信息中包括任一部门与其他每个部门之间的安全事件次数。
8.根据权利要求7所述的装置,其特征在于,所述安全事件信息中还包括事件发生时间,所述处理模块还包括过滤模块,用于根据所述事件内容信息所对应的事件安全等级,对安全事件进行过滤;和/或,根据所述事件发生时间对所述安全事件进行过滤。
9.根据权利要求6-8任一项所述的装置,其特征在于,所述确定模块具体用于,将所述安全事件对应关系信息中的各部门标识确定为横坐标;将所述安全事件对应关系信息中的各部门标识确定为纵坐标;在所述横坐标和所述纵坐标围设的坐标区域内对应的坐标位置绘制气泡图,所述气泡图中不同的气泡大小表示不同的安全事件次数,不同的气泡颜色表示事件内容信息对应的事件安全等级;根据所述气泡图定位影响企业网络安全运行的威胁因素信息。
10.根据权利要求9所述的装置,其特征在于,所述安全事件信息中还包括事件发生时间,所述确定模块还用于,根据所述事件发生时间、事件内容信息对应的事件安全等级、所述源IP地址以及所述目的IP地址中的一种或多种组合,对所述气泡图中的气泡大小和颜色进行修改。
全文摘要
本发明提供一种企业网络安全分析方法和装置,其中方法包括获取企业系统中各部门部署的安全设备的安全事件信息,安全事件信息中至少包括事件内容信息、事件对应的源IP地址、事件对应的目的IP地址,根据所获取的各部门部署的安全设备的安全事件信息中的源IP地址和目的IP地址,生成各部门之间的安全事件对应关系信息,根据安全事件对应关系信息以及事件内容信息,定位影响企业网络安全运行的威胁因素信息。用于解决现有的企业设备系统的安全运行问题难以定位,进而导致维护效果差的问题。
文档编号H04L29/06GK103036905SQ201210580940
公开日2013年4月10日 申请日期2012年12月27日 优先权日2012年12月27日
发明者侯奎宇 申请人:北京神州绿盟信息安全科技股份有限公司, 北京神州绿盟科技有限公司