一种网络安全信息过滤方法与流程

本申请属于信息处理技术领域，特别是涉及一种网络安全信息过滤方法。

背景技术：

对于任一现代化的大中型企业，目前的设备和资产大多都基于网络部署，共同接入公司内部的统一网络，统一分配ip地址管理，但是由于不同部门不同层次的实际网络需求，设备较多，网络结构复杂，使用的是不同厂家不同批次的网络安全产品。过去企业实际采用的网络安全设备来源多样，时间跨度长，其日志告警信息大多只能登陆到各自设备进行查看，随着设备信息化不断提升，各安全设备厂商的安全告警日志也逐渐实现了信息化管理，能够在特定的网页上浏览并分析处置告警，但是也因此存在碎片化管理问题，因此需要一套适合企业实际情况的统一平台来集中管理。同时产生的告警信息大多类型庞杂，信息量较大，不利于信息运维人员进行查看管理，快速排查出真正的隐患问题，需要设计一套分类管理告警日志信息并进行过滤处理的信息系统。

随着公司设备和资产的不断增加，设备规模和管控范围不断扩大，网络与信息系统安全方面的潜在隐患和漏洞也越来越多，随之而来的告警信息也快速增长，给公司网络安全运维带来了很大困难，网络设备多，结构复杂，每天都会产生海量告警信息；查看告警所需工作量较大，给网络安全运维人员带来了极大的工作压力。

技术实现要素：

1.要解决的技术问题

基于随着公司设备和资产的不断增加，设备规模和管控范围不断扩大，网络与信息系统安全方面的潜在隐患和漏洞也越来越多，随之而来的告警信息也快速增长，给公司网络安全运维带来了很大困难，网络设备多，结构复杂，每天都会产生海量告警信息；查看告警所需工作量较大，给网络安全运维人员带来了极大的工作压力的问题，本申请提供了一种网络安全信息过滤方法。

2.技术方案

为了达到上述的目的，本申请提供了一种网络安全信息过滤方法，所述方法包括如下步骤：

步骤1：获取各类网络安全设备中的安全告警日志，并进行分类；

步骤2：将分类后的安全告警日志放置在统一数据格式下进行存储；

步骤3：滤除重复、无效或重要性较低的告警日志；

步骤4：对步骤3中得到的告警日志按照重要性进行排序，并按设备或ip对告警信息进行合并，依次按照重要性顺序发送至目标运维人员。

本申请提供的另一种实施方式为：所述步骤1中通过网络爬虫工具定时获取各类网络安全设备中的安全告警日志。

本申请提供的另一种实施方式为：所述步骤1中将告警日志分为漏洞风险预警日志和攻击告警日志。

本申请提供的另一种实施方式为：所述漏洞风险预警日志包括编号、网络类型、时间、ip、端口、状态码、漏洞名称、用户名、负责人和初步分析结果；所述攻击告警日志包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数和处置建议。

本申请提供的另一种实施方式为：所述攻击告警日志的数据格式包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数、处置建议等内容。

本申请提供的另一种实施方式为：所述步骤2中所述数据格式为json格式。

本申请提供的另一种实施方式为：所述步骤3中滤除重复、无效或重要性较低的告警日志包括根据已知的公司资产台账信息建立白名单，利用源ip、源端口、目的ip和目的端口滤除公司系统外部非常规访问，并滤除低威胁等级的告警日志，合并使用正则匹配以及ip端口白名单来保留公司正常的对外出口业务访问。所述台账信息针对每一ip或ip段以及特定的访问类型指定访问和被访的权限范围，可以批量添加也可单独添加权限。

本申请提供的另一种实施方式为：所述步骤4中所述重要性包括告警重复次数、告警类型重要性和告警所涉设备资产重要性。

本申请提供的另一种实施方式为：所述漏洞风险预警日志首先判定是否高危，然后判定是否属于所述白名单；所述攻击告警日志首先判定是否高威胁，然后判定是否属于所述白名单。

本申请提供的另一种实施方式为：所述网络安全设备包括防火墙、溯源设备、融合网关、web应用防护系统和漏扫设备。

3.有益效果

与现有技术相比，本申请提供的一种网络安全信息过滤方法的有益效果在于：

本申请提供的网络安全信息过滤方法，能够统一管理不同安全设备的告警信息，并且过滤处理大部分的无效和重复信息，尽快找准定位问题。

本申请提供的网络安全信息过滤方法，大幅减轻了工作人员压力，方便了信息运维人员的实际工作，具有较大的实用价值。

本申请提供的网络安全信息过滤方法，统一不同安全运维设备的安全日志信息，方便运维人员查看；过滤大部分的无效或低效安全告警信息，大幅降低实际运维压力。

本申请提供的网络安全信息过滤方法，统一不同安全运维设备的安全日志信息，过滤网络安全误报信息。

附图说明

图1是本申请的攻击告警信息示意图；

图2是本申请的漏洞风险预警信息示意图。

具体实施方式

在下文中，将参考附图对本申请的具体实施例进行详细地描述，依照这些详细的描述，所属领域技术人员能够清楚地理解本申请，并能够实施本申请。在不违背本申请原理的情况下，各个不同的实施例中的特征可以进行组合以获得新的实施方式，或者替代某些实施例中的某些特征，获得其它优选的实施方式。

正则匹配：一切从最基本的开始。模式，是正则表达式最基本的元素，它们是一组描述字符串特征的字符。模式可以很简单，由普通的字符串组成，也可以非常复杂，往往用特殊的字符表示一个范围内的字符、重复出现，或表示上下文。

参见图1～2，本申请提供一种网络安全信息过滤方法，所述方法包括如下步骤：

步骤1：获取各类网络安全设备中的安全告警日志，并进行分类；

步骤2：将分类后的安全告警日志放置在统一数据格式下进行存储；

步骤3：滤除重复、无效或重要性较低的告警日志；

步骤4：对步骤3中得到的告警日志按照重要性进行排序，并按设备或ip对告警信息进行合并，依次按照重要性顺序发送至目标运维人员。

首先需要对各类网络安全设备的日志进行统一管控需要提取各类设备安全告警日志的共同信息，将采集来的数据放置在统一的数据格式下进行存储，其次需要制定相应的技术规则来滤除重复、无效或重要性较低的日志信息，通过已知的设备资产台账，利用源ip、源端口、目的ip和目的端口滤除公司系统外部非常规访问，并滤除低威胁等级的告警日志，合并使用正则匹配以及ip端口白名单来保留公司正常的对外出口业务访问。最后在前述操作的基础上依据告警重复次数、告警类型重要性和告警所涉设备资产重要性按照重要性进行排序，并按设备或ip对告警进行合并，依次按照重要性顺序发送至目标运维人员，以方便运维人员管控。

进一步地，所述步骤1中通过网络爬虫工具定时获取各类网络安全设备中的安全告警日志。

进一步地，所述步骤1中将告警日志分为漏洞风险预警日志和攻击告警日志。

进一步地，所述漏洞风险预警日志包括编号、网络类型、时间、ip、端口、状态码、漏洞名称、用户名、负责人和初步分析结果；所述攻击告警日志包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数和处置建议。

进一步地，所述攻击告警日志的数据格式包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数、处置建议等内容。

进一步地，所述步骤2中所述数据格式为json格式。

进一步地，所述步骤3中滤除重复、无效或重要性较低的告警日志包括根据已知的公司资产台账信息建立白名单，利用源ip、源端口、目的ip和目的端口滤除公司系统外部非常规访问，并滤除低威胁等级的告警日志，合并使用正则匹配以及ip端口白名单来保留公司正常的对外出口业务访问。

进一步地，所述步骤4中所述重要性包括告警重复次数、告警类型重要性和告警所涉设备资产重要性。

进一步地，所述漏洞风险预警日志首先判定是否高危，然后判定是否属于所述白名单；所述攻击告警日志首先判定是否高威胁，然后判定是否属于所述白名单。

进一步地，所述网络安全设备包括防火墙、溯源设备、融合网关、web应用防护系统和漏扫设备。

由于告警日志来源多样，数据量大，需要进行统一管控、分类、过滤并最终处置，本发明专利范围只包括获得告警日志之后的管控分类及过滤部分的内容，不包含在获得日志告警信息之后的分析处置部分内容。

安全告警日志分为两类，一类是漏洞风险预警日志，记录公司所涉及各设备各ip及端口存在的漏洞情况，一般高危端口需要尽快进行封禁，高危漏洞需要尽快补漏洞；存在的另一类是攻击告警日志，记录公司涉及各设备、各ip及端口受内外部攻击或主动攻击的情况，通常高危险性的攻击类型、短时间内的密集攻击或境外等高威胁攻击需要格外警惕，需要过滤有潜在攻击的流量包，必要时予以封禁ip处理。

实施例

首先，在各网络安全设备正确连接至公司网络的情况下，通过网络爬虫工具等方式定时获得各安全告警日志，按漏洞风险预警和攻击告警分类处置，分别按照json格式建立统一的数据管理格式，其中json是一种公用的轻量级数据交换格式，此处建立的数据管理格式中漏洞风险预警日志的格式主要包括编号、网络类型、时间、ip、端口、状态码、漏洞名称、用户名、负责人，初步分析结果等内容，攻击告警日志的数据格式包括攻击类型、预警编号、攻击时间、源ip、目的ip、源端口、目的端口、源ip负责人、目的ip负责人、攻击次数、处置建议等内容。得到按指定格式要求的日志信息。

其次，根据已知的公司资产台账信息建立白名单，此处的台账信息针对每一ip或ip段以及特定的访问类型指定访问和被访的权限范围，可以批量添加也可单独添加权限，将内部相对安全的ip、端口、低风险的告警或明显的误报及无效告警加入白名单，并且运维人员可以根据实际情况及需求添加修改删除白名单内容。其中对于攻击告警中的web应用类(网页类，网页能提供服务)需要打开http(超文本传输协议)数据包才能进行分析判定，通常情况下网络安全设备均按照风险最小化的原则进行处置，不利于实际工作开展，还需要建立web应用类的正则匹配白名单，将一些正常的业务访问类型利用正则表达式加入白名单。由于公司安全要求水平较高，不符合白名单访问要求的类型全部采用拦截处理。

然后进行多次过滤，将采集到的日志分别进行过滤，对于漏洞风险预警而言，首先判定是否高危，提取每个漏洞告警的漏洞名称，与高危漏洞数据库进行匹配，一但确认高危漏洞直接反馈至设备负责人和安全运维人员。然后判断是否属于白名单，一般低威胁等级、无网络安全风险的设备或经人工判定添加的误报漏洞均属于白名单范围，符合白名单的漏洞告警均保留日志记录但不进行反馈，否则加入漏洞数据库，等待下一步统一反馈。对于攻击告警，首先判定是否高威胁，提取每次攻击告警的攻击类型，攻击次数，源ip地址、目的ip地址及端口，一但确认高威胁性攻击告警，直接反馈至设备负责人和安全运维人员；然后判定是否属于白名单，对每次访问而言，要求访问类型，源ip及端口、目的ip及端口和总体的访问次数是否符合白名单要求，如符合要求则保留日志记录但不进行反馈；若不在该白名单内，对于web类应用而言，判定是否符合正则白名单，是则保留日志记录但不进行反馈，否则加入攻击数据库，并将同一目的地址或不同时间重复多次的攻击合并为一条进行存储。

最后，将漏洞数据库和攻击数据库中的内容每隔一定时间发送至目的网络安全运维人员或设备负责人，得到简明有效的安全告警信息。

尽管在上文中参考特定的实施例对本申请进行了描述，但是所属领域技术人员应当理解，在本申请公开的原理和范围内，可以针对本申请公开的配置和细节做出许多修改。本申请的保护范围由所附的权利要求来确定，并且权利要求意在涵盖权利要求中技术特征的等同物文字意义或范围所包含的全部修改。