logo好方法网

基于规则引擎的安全告警生成方法、装置及系统

发布时间:2020-09-16 发布人:admin 分类:专利技术 资料大小:1.04M 资料格式:pdf 举报 版权申诉

技术摘要:
本发明公开了一种基于规则引擎的安全告警生成方法、装置及系统,所述方法包括以下步骤:对网络中的设备及系统进行数据采集;将采集到的数据进行预处理;将经过预处理后的数据与规则库内的预设规则进行关联分析,响应于所述预设规则中的告警条件,生成安全告警,并对所  全部
背景技术:
当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于 企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。为 了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、Web防火墙、入侵检测系统、 漏洞扫描系统、桌面终端管系统等等。这种被动的安全建设只能抵御单一的安全威胁。由于 这些安全系统都是为了抵御某个方面的安全威胁,于是形成了一个个安全防御孤岛,无法 产生协同效应。另一方面,企业和组织日益迫切的信息系统审计和内控、以及不断增强的业 务持续性需求,也对当前企业信息安全管理提出了严峻的挑战。 综上所述,对于不同设备、不同系统中的异构数据源,现有技术中的安全告警方法 只针对单一的、确定的安全日志。并且现有的安全告警系统没有形成一套统一流程来完成 多源数据采集、数据格式化、关联规则分析、告警生成以及设备联动响应,不利于多源安全 事件的预警。现有技术中的安全告警方法通常是将海量安全事件直接推送给用户,面对海 量安全事件,用户无法捕捉新的更严重的安全事件,从而导致管理运维效率大大降低。
技术实现要素:
本发明是提供一种基于规则引擎的安全告警生成方法、装置及系统,可对整个安 全防线进行监控和管理,实现对多源安全事件的预警。 为达到上述目的,本发明所采用的技术方案是:一种基于规则引擎的安全告警生 成方法,包括以下步骤:对网络中的设备及系统进行数据采集;将采集到的数据进行预处 理;将经过预处理后的数据与规则库内的预设规则进行关联分析,响应于所述预设规则中 的告警条件,生成安全告警,并对所述生成的安全告警进行可视化展示。 进一步地,所述数据采集的方式包括离线采集和实时采集;所述离线采集方法通 过离线定时任务从设备中抽取数据;所述实时采集方式包括实时的消息订阅或者接收设备 发送的日志。 进一步地,所述将采集到的数据进行预处理包括以下步骤:对采集到的数据进行 解析、过滤、去重、降噪、增强和格式规范化;将格式规范化后的数据进行存储。 进一步地,所述将经过预处理后的数据与规则库内的预设规则进行关联分析,包 括以下步骤:规则引擎读取并解析规则库,并对预设的规则进行编译加载;将预处理后的数 据生成特征向量数据流和待分析的实时事件流;所述特征向量数据流输入到特征向量模型 规则中,与所述预设的规则进行匹配;规则引擎订阅待分析的实时事件流,并将所述待分析 的实时事件流与所述预设的规则进行关联规则匹配。 进一步地,所述特征向量模型规则的建立包括以下步骤:将预处理后的数据进行 4 CN 111600898 A 说 明 书 2/6 页 特征工程计算生成训练数据和测试数据;对所述训练数据和测试数据进行交叉训练评估生 成特征向量模型规则。 进一步地,所述预设规则中的告警条件包括:单事件规则:对某一时刻或时间窗口 的单一事件源进行条件过滤,满足所述条件发生次数达到阀值,则生成安全告警;统计关联 规则:对实时事件流中一段事件窗口的行为与基线进行异常匹配,如果偏离基线超过阀值, 则生成安全告警;所述基线为一段事件发生的多种事件源建立的统计基线;时序关联规则: 定义事件发生的时序,形成时序关联规则,若实时事件流中一段事件窗口满足时序规则,则 生成安全告警;模型规则:对事件流中一段事件窗口的事件数据进行特征向量计算,若所述 特征向量满足所述特征向模型规则中定义的生成告警条件,则生成安全告警。 进一步地,生成安全告警后,对所述安全告警进行响应动作。 进一步地,所述响应动作包括:联动防火墙设备对IP的封禁、业务用户权限调整、 端口封禁、进程的删除和文件删除隔离。 本发明提供了一种基于规则引擎的安全告警生成装置,包括:数据采集单元,用于 安全设备中数据的采集;预处理单元,用于将采集到的数据进行预处理;分析单元,用于将 经过预处理后的数据与规则库内的预设规则进行关联分析,响应于所述预设规则中的告警 条件,生成安全告警;显示单元,对生成的安全告警进行可视化展示。 可选地,还包括安全告警处置模块,所述安全告警处置模块,用于实现安全告警的 响应动作。 本发明提供了一种基于规则引擎的安全告警生成系统,包括:存储介质和处理器; 所述存储介质用于存储指令;所述处理器用于根据所述指令进行操作以执行上述任意一项 方法的步骤。 与现有技术相比,本发明的有益效果:本发明通过对网络中的设备及系统进行数 据采集,并将采集到的数据与规则库内的预设规则进行关联分析,响应于所述预设规则中 的告警条件,生成安全告警,并对所述生成的安全告警进行可视化展示,从而贯穿了各个孤 立的安全防线,实现对全网设备运行的监控、网络的监控以及安全的监控,并可实现对多源 安全事件的预警。 附图说明 图1为本发明实施例提供的一种基于规则引擎的安全告警生成方法的流程示意 图; 图2为本发明实施例提供的一种基于规则引擎的安全告警生成系统的逻辑架构示意 图。
    分享到:
    收藏

    相关推荐