一种基于告警策略的网络安全管理设备及方法
【技术领域】
[0001]本发明涉及一种网络安全管理技术领域,特别地涉及一种基于告警策略的网络安全管理设备及方法。
【背景技术】
[0002]随着互联网时代的不断发展,网络安全日益受到重视。尽管网络安全产品不断走向成熟,但同时来自网络中的安全威胁也越来越多,为了充分发挥各种安全产品的作用,增加网络对安全事件的积极应对能力,网络安全管理平台应运而生。安全管理平台集中了防火墙、防病毒设备、入侵检测设备、漏洞扫描设备等,将各种安全产品产生的安全事件关联起来,利用关联分析算法和风险估计手段,发现网络中的风险,及时产生告警信息,形成一个集中的监控、管理网络平台,有效的抵御网络安全威胁。
[0003]现有的安全管理平台集成了各类安全产品和设施,构建了庞大的数据库,同时支持对安全事件优先级别的修正,为事件的关联分析和风险评估提供了很好的数据来源,但是缺乏对告警信息自身的修正和管理。现有的安全管理平台中不具有对系统实时变化的灵活性,导致产生的告警可能是过时的,不重要的信息。
[0004]因此,有必要提出一种可以修正告警输出模式的告警策略,提高告警的实时性和可靠性。
【发明内容】
[0005]本发明的目的是提供一种基于告警策略的网络安全管理设备及方法。本发明中,网络安全管理设备包括接收单元、告警生成单元、匹配单元和执行单元。本发明能实现对告警信息自身的修正和管理,提高了网络安全的可控性、实时性和灵活性,同时保证了输出告警信息的可靠性,有效阻断网络中的安全威胁。
[0006]根据本发明的一个方面,提供了一种基于告警策略的网络安全管理设备,包括:接收单元,用于接收网络中安全设备产生的安全事件;告警生成单元,与所述接收单元相连,用于基于风险值大于预设阈值的安全事件,生成告警;匹配单元,与所述告警生成相连,用于将所述告警与告警策略表进行匹配,获得所述告警对应的告警策略;执行单元,与所述匹配单元相连,用于根据所述告警策略,执行告警。
[0007]优选的,所述安全事件通过所述安全设备对安全日志进行归一化处理后生成。
[0008]优选的,所述安全事件的属性包括安全事件产生的五元组信息、生成安全事件的设备信息、安全事件的可靠程度、安全事件的优先级、所述五元组信息中源IP对应的源设备的重要程度以及目的IP对应的目的设备的重要程度;
[0009]优选的,所述网络安全管理设备还包括:风险评估单元,用于根据安全事件的可靠程度、安全事件的优先级、源设备和目的设备的重要程度,评估安全事件的风险值。
[0010]优选的,所述评估安全事件的风险值,包括:评估源设备的风险值A,A =安全事件可靠程度*安全事件优先级*源设备的重要程度/25 ;[0011 ] 评估目的设备的风险值B,B =安全事件可靠程度*安全事件优先级*目的设备的重要程度/25 ;
[0012]评估安全事件的风险值C,C = max (A, B)。
[0013]优选的,所述匹配单元进行匹配的条件包括:告警对应的安全事件的五元组范围、告警对应的安全事件的风险值范围、告警对应的安全事件的源设备的风险值范围和/或告警对应的安全事件的目的设备的风险值范围。
[0014]根据本发明的另一个方面,提供了一种基于告警策略的网络安全管理方法,所述方法包括下述步骤:步骤SI,接收网络中安全设备产生的安全事件;步骤S2:基于风险值大于预设阈值的安全事件生成告警;步骤S3:将步骤S2中生成的告警与告警策略表进行匹配,获得所述告警对应的告警策略;步骤S4:根据步骤S3中的告警策略,执行告警。
[0015]优选的,所述步骤SI中的安全设备包括:防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。
[0016]优选的,所述安全事件的属性包括:安全事件产生的五元组信息、生成安全事件的设备信息、安全事件的可靠程度、安全事件的优先级、所述五元组信息中源IP对应的源设备的重要程度以及目的IP对应的目的设备的重要程度;
[0017]优选的,所述步骤S4中执行告警,包括以下的一种或多种的组合:
[0018]发送邮件、发送短信、生成告警工单、下发阻断策略、将攻击源设为黑名单。
[0019]可选的,所述步骤SI和步骤S2之间包括:步骤S5,根据安全事件的可靠程度、安全事件的优先级、源设备和目的设备的重要程度评估安全事件的风险值。
[0020]优选的,所述评估安全事件的风险值,包括:
[0021]评估源设备的风险值A,A =安全事件可靠程度*安全事件优先级*源设备的重要程度/25 ;
[0022]评估目的设备的风险值B,B =安全事件可靠程度*安全事件优先级*目的设备的重要程度/25 ;
[0023]评估安全事件的风险值C,C = max (A,B)。
[0024]本发明能实现对告警信息自身的修正和管理,提高了网络安全的可控性、实时性和灵活性,同时保证了输出告警信息的可靠性,有效阻断网络中的安全威胁。
【附图说明】
[0025]图1显示了本发明优选实施例的网络安全管理设备系统框图;
[0026]图2显示了本发明具体实施例的安全事件风险值的评估流程图;
[0027]图3显示了本发明具体实施例的告警策略匹配执行过程流程图;
[0028]图4显示了本发明优选实施例的网络安全管理方法流程图;
【具体实施方式】
[0029]为使本发明的目的、技术方案和优点更加清楚明了,下面结合【具体实施方式】并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
[0030]本发明的目的是提供一种基于告警策略的网络安全管理设备及方法。网络安全管理设备包括接收单元、告警生成单元、匹配单元和执行单元。本发明支持管理员根据网络情况灵活配置告警策略,联动下发阻断告警中的威胁,提高了网络安全的可控性、实时性和灵活性,同时保证了输出告警信息的可靠性,有效阻断网络中的安全威胁。
[0031]图1显示了本发明优选实施例的网络安全管理设备系统框图。
[0032]如图1所示,网络安全管理设备包括接收单元、告警生成单元、匹配单元和执行单
J L.ο
[0033]接收单元用于接收网络中安全设备产生的安全事件。
[0034]具体地,安全事件通过所述安全设备对安全日志进行归一化处理后生成;安全事件的属性包括安全事件产生的五元组信息、生成安全事件的设备信息、安全事件的可靠程度、安全事件的优先级、所述五元组信息中源IP对应的源设备的重要程度以及目的IP对应的目的设备。
[0035]告警生成单元用于基于风险值大于预设阈值的安全事件生成告警。
[0036]具体地,安全事件的风险值,可通过以下优选方式评估,包括:评估源设备的风险值A,A =安全事件可靠程度*安全事件优先级*源设备的重要程度/25 ;评估目的设备的风险值B,B =安全事件可靠程度*安全事件优先级*目的设备的重要程度/25 ;评估安全事件的风险值C,C = max (A,B)。
[0037]匹配单元用于将告警与告警策略表进行匹配,获得告警对应的告警策略。
[0038]具体地,匹配单元进行匹配的条件包括告警对应的安全事件的五元组范围、告警对应的安全事件的风险值范围、告警对应的安全事件的源设备的风险值范围和/或告警对应的安全事件的目的设备的风险值范围。
[0039]执行单元用于根据所述告警策略执行告警。
[0040]具体地,执行告警策略包括以下的一种或多种的组合:发送邮件、发送短信、生成告警工单、下发阻断策略、将攻击源设为黑名单。
[0041]以上对安全事件风险值的评估可由网络安全管理设备中相应的评估单元来完成。评估单元可分别与接收单元和告警生成单元相连,也可与告警生成单元集成整合。
[0042]图2显示了本发明具体实施例的安全事件风险值的评估流程图。
[0043]如图2所示,网络安全管理平台中的防火墙、防病毒、入侵检测、漏洞扫描等设备对产生的安全日志进行归一化处理,生成统一格式的安全事件。本发明提出的基于告警策略的网络安全管理设备主要是对系统中产生的安全事件,经过风险评估后产生的告警进行过滤和重整。
[0044]本发明中,安全事件风险值的处理包括如下步骤:
[0045]步骤SI,接收来自网络安全设备产生的网络安全事件;
[0046]步骤S2,获取安全事件的五元组信息;即源IP,目的IP,源端口,目的端口及协议号;
[0047]步骤S3,获取安全事件的设备类型,设备ID,事件ID ;
[0048]步骤S4,获取安全事件的可靠性、优先级、源IP对应设备的资产重要性(即,源设备的重要程度)、目的IP对应设备的资产重要性(即,目的设备的重要程度);
[0049]步骤S5,计算该安全事件的风险值。
[0050]本发明具体实施例中,安全事件的属性包括事件产生的五元组信息:源IP(src_ip),目的 IP(dst_ip),源端口(src_port),目的端口(dst_port)以及协议号(protocol)。
[0051]生成该安全事件的设备信息,包括:设备类型(plugin_type),设备ID(plugin_id),事件 ID (event_id)
[0052]该安全事件的可靠性(reliability)、优先级(pr1rity)、源IP对应设备的资产重要性(asset_src)、目的IP对应设备的资产重要性(asset_dst)。
[0053]本发明具体实施例中,假设生成安全事件的设备ID为plugin_id = 1001,设备类型为 plugin_type = detector,事件 ID 为 event_id = 3,协议号