可左右滑动选省市

一种多源网络安全告警事件溯源与自动处置方法及装置

更新时间:2024-07-01
一种多源网络安全告警事件溯源与自动处置方法及装置 专利申请类型:发明专利;
地区:四川-成都;
源自:成都高价值专利检索信息库;

专利名称:一种多源网络安全告警事件溯源与自动处置方法及装置

专利类型:发明专利

专利申请号:CN202111424439.3

专利申请(专利权)人:国网四川省电力公司信息通信公司
权利人地址:四川省成都市高新区蜀绣西路366号2层、4层、5层、8层

专利发明(设计)人:吕磊,黄昆,陈龙,杨旭东,许珂,黄林,郭智超

专利摘要:本发明公开了一种多源网络安全告警事件溯源与自动处置方法及装置,方法包括以下步骤:获取安全日志数据;识别安全日志数据的IP,根据IP对应关系将安全日志数据划分至相应的索引类别中;在索引类别为互联网时,获取攻击源IP;在索引类别为终端时,获取被攻击源IP;根据风险评估结果判断是否封禁攻击源IP或被攻击源IP;在风险评估结果为风险时,控制防火墙封禁攻击源IP或被攻击源IP。本发明的目的在于提供一种多源网络安全告警事件溯源与自动处置方法及装置,减少安全运维人员在处理安全告警事件花费的精力、告警漏报率和误报率,并提升安全告警处置的效率。

主权利要求:
1.一种多源网络安全告警事件溯源与自动处置方法,其特征在于,包括以下步骤:
获取安全日志数据;所述安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;所述安全日志数据的获取方式共有两种,方式一:通过日志审计系统的RESTAPI接口主动采集安全设备的告警数据,以及通过业务系统access_log访问日志数据;方式二:通过syslog被动收集安全设备主动发送告警日志;
识别所述安全日志数据的IP,根据IP对应关系将所述安全日志数据划分至相应的索引类别中;所述IP对应关系为所述IP与所述索引类别的对应关系,且一个所述索引类别包含多个IP;所述索引类别包括终端、服务器和互联网三类;
在所述索引类别为互联网时,将互联网索引分类的告警日志单独提取出来,采用以攻击源对象为关联索引的分析方法,解析出与某个攻击源IP关联的日志,获取攻击源IP;在所述索引类别为终端时,将终端索引分类的告警日志单独取出来,采用以攻击目标对象为关联索引的分析方法,分析出与某个被攻击IP关联的日志,获取被攻击源IP;根据风险评估结果判断是否封禁所述攻击源IP或所述被攻击源IP;所述风险评估结果根据所述攻击源IP或被攻击源IP自动生成;
在所述风险评估结果为风险时,控制防火墙封禁所述攻击源IP或所述被攻击源IP;
在所述索引类别为服务器时,将服务器索引分类的告警日志单独取出来,采用以公司服务器对象为关联索引的分析方法,分析出与某个服务器IP关联的日志,获取服务器IP和服务器IP告警参数;所述服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间;
在所述服务器IP告警参数大于服务器IP告警参数阈值时,对遭受攻击的服务器进行告警、病毒木马查杀、漏洞修复和/或防火墙策略完善。
2.根据权利要求1所述的一种多源网络安全告警事件溯源与自动处置方法,其特征在于,在所述索引类别为互联网时,生成所述风险评估结果包括以下步骤:获取所述攻击源IP的第一风险信息;所述第一风险信息为所述攻击源IP在恶意IP地址威胁情报库中的匹配结果,所述匹配结果包括匹配成功和匹配失败;
获取所述攻击源IP的第二风险信息;所述第二风险信息为所述攻击源IP的攻击参数是否大于攻击参数阈值;所述攻击源IP的攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;
根据所述第一风险信息和所述第二风险信息生成所述风险评估结果:
当所述第一风险结果为匹配成功且所述攻击参数大于攻击参数阈值时,所述风险评估结果为风险;
否则,所述风险评估结果为安全。
3.根据权利要求1所述的一种多源网络安全告警事件溯源与自动处置方法,其特征在于,在所述索引类别为终端时,生成所述风险评估结果包括以下步骤:获取被攻击源IP风险信息;所述被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;所述被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;
根据所述被攻击源IP风险信息生成所述风险评估结果:
当所述被攻击源IP告警参数大于被攻击源IP告警参数阈值时,所述风险评估结果为风险;
否则,所述风险评估结果为安全。
4.根据权利要求1所述的一种多源网络安全告警事件溯源与自动处置方法,其特征在于,还包括以下步骤:当根据IP对应关系将所述安全日志数据划分至相应的索引类别中时,输出所述安全日志数据和相应的索引类别。
5.一种多源网络安全告警事件溯源与自动处置装置,其特征在于,包括:
安全日志数据采集模块,用于获取安全日志数据,所述安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;所述安全日志数据的获取方式共有两种,方式一:通过日志审计系统的RESTAPI接口主动采集安全设备的告警数据,以及通过业务系统access_log访问日志数据;方式二:通过syslog被动收集安全设备主动发送告警日志;
分类模块,用于识别所述安全日志数据的IP,并根据IP对应关系将所述安全日志数据划分至相应的索引类别中;所述IP对应关系为所述IP与所述索引类别的对应关系,且一个所述索引类别包含多个IP;所述索引类别包括终端、服务器和互联网三类;
获取模块,用于在所述索引类别为互联网时,将互联网索引分类的告警日志单独提取出来,采用以攻击源对象为关联索引的分析方法,解析出与某个攻击源IP关联的日志,获取攻击源IP;在所述索引类别为终端时,将终端索引分类的告警日志单独取出来,采用以攻击目标对象为关联索引的分析方法,分析出与某个被攻击IP关联的日志,获取被攻击源IP;
判断模块,用于根据风险评估结果判断是否封禁所述攻击源IP或所述被攻击源IP;所述风险评估结果由风险评估模块根据所述攻击源IP或被攻击源IP自动生成;
封禁模块,用于在所述风险评估结果为风险时,控制防火墙封禁所述攻击源IP或所述被攻击源IP;
预警模块,用于在所述索引类别为服务器时,将服务器索引分类的告警日志单独取出来,采用以公司服务器对象为关联索引的分析方法,分析出与某个服务器IP关联的日志,获取服务器IP和服务器IP告警参数;并在所述服务器IP告警参数大于服务器IP告警参数阈值时,对遭受攻击的服务器进行预警;
预警包括病毒木马查杀、漏洞修复和/或防火墙策略完善;所述服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间。
6.根据权利要求5所述的一种多源网络安全告警事件溯源与自动处置装置,其特征在于,所述风险评估模块包括:恶意IP地址威胁情报库,用于获取所述攻击源IP的第一风险信息;所述第一风险信息为所述攻击源IP在所述恶意IP地址威胁情报库中的匹配结果,所述匹配结果包括匹配成功和匹配失败;
攻击源IP处置单元,用于获取所述攻击源IP的第二风险信息;所述第二风险信息为所述攻击源IP的攻击参数是否大于攻击参数阈值;所述攻击源IP的攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;
第一生成单元,用于根据所述第一风险信息和所述第二风险信息生成所述风险评估结果:当所述第一风险结果为匹配成功且所述攻击参数大于攻击参数阈值时,所述风险评估结果为风险;
否则,所述风险评估结果为安全。
7.根据权利要求6所述的一种多源网络安全告警事件溯源与自动处置装置,其特征在于,所述风险评估模块还包括:被攻击IP处置单元,用于获取被攻击源IP风险信息;所述被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;所述被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;
第二生成单元,用于根据所述被攻击源IP风险信息生成所述风险评估结果:
当所述被攻击源IP告警参数大于被攻击源IP告警参数阈值时,所述风险评估结果为风险;
否则,所述风险评估结果为安全。
8.根据权利要求5所述的一种多源网络安全告警事件溯源与自动处置装置,其特征在于,还包括输出模块,所述输出模块用于当根据IP对应关系将所述安全日志数据划分至相应的索引类别中时,输出所述安全日志数据和相应的索引类别。 说明书 : 一种多源网络安全告警事件溯源与自动处置方法及装置技术领域[0001] 本发明涉及网络安全技术领域,尤其涉及一种多源网络安全告警事件溯源与自动处置方法及装置。背景技术[0002] 在国家重视网络安全的今天,中大型企业的网络安全建设水平不断提高,在企业的网络架构中运行着各种各样的安全防护设备,防护着企业的边界、终端、服务器等区域,但是大量的安全防护设备也带来了成千上万的安全告警,安全运维人员需要对告警进行分析研判,花费大量时间和精力进行安全告警处置工作。[0003] 此外,目前由传统态势感知设备采集安全防护设备的日志,但是运行安全防护设备数量多,日均产生安全告警数量也多,日志源格式也有所差异,所以告警漏报率和误报率较高,每个安全防护设备针对告警的类型定义不同,导致告警分类太多,对于企业安全运维人员的溯源造成很大困难。[0004] 另外,针对安全防护设备产生的安全告警事件处置方式,目前主要为人工处置的方式,手动进行防火墙封禁,自动化处置比例小,特别是在攻防演练期间,安全告警手动处置的方式效率较低,存在安全事件误处置、漏处置的情况。发明内容[0005] 本发明的目的在于提供一种多源网络安全告警事件溯源与自动处置方法及装置,减少安全运维人员在处理安全告警事件花费的精力、告警漏报率和误报率,并提升安全告警处置的效率。[0006] 本发明通过下述技术方案实现:[0007] 在本申请的第一个方面中,本申请提供了一种多源网络安全告警事件溯源与自动处置方法,包括以下步骤:[0008] 获取安全日志数据;所述安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;[0009] 识别所述安全日志数据的IP,根据IP对应关系将所述安全日志数据划分至相应的索引类别中;所述IP对应关系为所述IP与所述索引类别的对应关系,且一个所述索引类别包含多个IP;[0010] 在所述索引类别为互联网时,获取攻击源IP;在所述索引类别为终端时,获取被攻击源IP;[0011] 根据风险评估结果判断是否封禁所述攻击源IP或所述被攻击源IP;所述风险评估结果根据所述攻击源IP或被攻击源IP自动生成;[0012] 在所述风险评估结果为风险时,控制防火墙封禁所述攻击源IP或所述被攻击源IP。[0013] 优选地,在所述索引类别为互联网时,生成所述风险评估结果包括以下步骤:[0014] 获取所述攻击源IP的第一风险信息;所述第一风险信息为所述攻击源IP在恶意IP地址威胁情报库中的匹配结果,所述匹配结果包括匹配成功和匹配失败;[0015] 获取所述攻击源IP的第二风险信息;所述第二风险信息为所述攻击源IP的攻击参数是否大于攻击参数阈值;所述攻击源IP的攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;[0016] 根据所述第一风险信息和所述第二风险信息生成所述风险评估结果:[0017] 当所述第一风险结果为匹配成功且所述攻击参数大于攻击参数阈值时,所述风险评估结果为风险;[0018] 否则,所述风险评估结果为安全。[0019] 优选地,在所述索引类别为终端时,生成所述风险评估结果包括以下步骤:[0020] 获取被攻击源IP风险信息;所述被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;所述被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;[0021] 根据所述被攻击源IP风险信息生成所述风险评估结果:[0022] 当所述被攻击源IP告警参数大于被攻击源IP告警参数阈值时,所述风险评估结果为风险;[0023] 否则,所述风险评估结果为安全。[0024] 优选地,还包括以下步骤:[0025] 在所述索引类别为服务器时,获取服务器IP和服务器IP告警参数;所述服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间;[0026] 在所述服务器IP告警参数大于服务器IP告警参数阈值时,对遭受攻击的服务器进行告警、病毒木马查杀、漏洞修复和/或防火墙策略完善。[0027] 优选地,还包括以下步骤:当根据IP对应关系将所述安全日志数据划分至相应的索引类别中时,输出所述安全日志数据和相应的索引类别。[0028] 在本申请的第二个方面中,本申请提供了一种多源网络安全告警事件溯源与自动处置装置,包括:[0029] 安全日志数据采集模块,用于获取安全日志数据,所述安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;[0030] 分类模块,用于识别所述安全日志数据的IP,并根据IP对应关系将所述安全日志数据划分至相应的索引类别中;所述IP对应关系为所述IP与所述索引类别的对应关系,且一个所述索引类别包含多个IP;[0031] 获取模块,用于在所述索引类别为互联网时,获取攻击源IP;在所述索引类别为终端时,获取被攻击源IP;[0032] 判断模块,用于根据风险评估结果判断是否封禁所述攻击源IP或所述被攻击源IP;所述风险评估结果由风险评估模块根据所述攻击源IP或被攻击源IP自动生成;[0033] 封禁模块,用于在所述风险评估结果为风险时,控制防火墙封禁所述攻击源IP或所述被攻击源IP。[0034] 优选地,所述风险评估模块包括:[0035] 恶意IP地址威胁情报库,用于获取所述攻击源IP的第一风险信息;所述第一风险信息为所述攻击源IP在所述恶意IP地址威胁情报库中的匹配结果,所述匹配结果包括匹配成功和匹配失败;[0036] 攻击源IP处置单元,用于获取所述攻击源IP的第二风险信息;所述第二风险信息为所述攻击源IP的攻击参数是否大于攻击参数阈值;所述攻击源IP的攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;[0037] 第一生成单元,用于根据所述第一风险信息和所述第二风险信息生成所述风险评估结果:[0038] 当所述第一风险结果为匹配成功且所述攻击参数大于攻击参数阈值时,所述风险评估结果为风险;[0039] 否则,所述风险评估结果为安全。[0040] 优选地,所述风险评估模块还包括:[0041] 被攻击IP处置单元,用于获取被攻击源IP风险信息;所述被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;所述被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;[0042] 第二生成单元,用于根据所述被攻击源IP风险信息生成所述风险评估结果:[0043] 当所述被攻击源IP告警参数大于被攻击源IP告警参数阈值时,所述风险评估结果为风险;[0044] 否则,所述风险评估结果为安全。[0045] 优选地,还包括预警模块,所述预警模块用于在所述索引类别为服务器时,获取服务器IP和服务器IP告警参数;并在所述服务器IP告警参数大于服务器IP告警参数阈值时,对遭受攻击的服务器进行预警;[0046] 预警包括病毒木马查杀、漏洞修复和/或防火墙策略完善;所述服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间。[0047] 优选地,还包括输出模块,所述输出模块用于当根据IP对应关系将所述安全日志数据划分至相应的索引类别中时,输出所述安全日志数据和相应的索引类别。[0048] 本发明与现有技术相比,具有如下的优点和有益效果:[0049] 1、终端类和互联网类的告警数据能自动化监测和处置,减少安全运维人员在处理安全告警事件花费的精力、告警漏报率和误报率,并提升安全告警处置的效率;[0050] 2、采用了只操作防火墙IP地址对象的方式联动封禁IP(攻击源IP和被攻击源IP),避免外部操作防火墙策略影响防火墙的运行稳定性和安全性,进一步加强了企业安全防护水平;[0051] 3、安全日志数据经过分类处理后,对外输出进行展示,同一威胁告警事件集中展示,便于安全运维人员进行后续的溯源分析。附图说明[0052] 此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定。在附图中:[0053] 图1为本发明的处理流程示意图。具体实施方式[0054] 为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。[0055] 实施例1[0056] 本实施例提供了一种多源网络安全告警事件溯源与自动处置方法,如图1所示,包括以下步骤:[0057] 获取安全日志数据;安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;[0058] 具体地,本实施例中安全日志数据的获取方式共有两种,方式一:通过日志审计系统的RESTAPI接口主动采集安全设备的告警数据,以及通过业务系统access_log访问日志数据;方式二:通过syslog被动收集安全设备主动发送告警日志;[0059] 识别安全日志数据的IP,根据IP对应关系将安全日志数据划分至相应的索引类别中;IP对应关系为IP与索引类别的对应关系,且一个索引类别包含多个IP;[0060] 本实施例中的索引类别包括终端、服务器和互联网三类,通过识别安全日志数据的IP,将获取的安全日志数据划分至相应的类别中。其中,为了减少运维人员花费大量时间和精力进行安全告警处置,以及提升安全告警处置的效率,本实施例中的终端类和互联网类的告警数据能自动化监测和处置,服务器类的告警数据能够自动预警,以便运维人员及时处置。即:使用本方法能够对终端病毒木马攻击进行自动化处置、互联网攻击进行自动化阻断、服务器遭受攻击进行人工辅助分析处置。同时为了运维人员能够快速的进行溯源分析,确定威胁事件的破坏程度以及攻击者的信息获取,本实施例在分类后,还将安全日志数据进行告警输出,输出可以设置为标准的日志格式,然后在安全监测日志系统上进行统一展示,使得同一威胁告警事件集中展示,便于进行后续溯源分析。[0061] 具体地:[0062] 在索引类别为互联网时,将互联网索引分类的告警日志单独提取出来,采用以攻击源对象为关联索引的分析方法,解析出与某个攻击源IP关联的日志,以获取攻击源IP,并根据风险评估结果判断是否封禁攻击源IP,在风险评估结果为风险时,调用防火墙的REST接口实现自动化封禁攻击源IP。其中,互联网的风险评估结果按照以下步骤生成:[0063] 获取攻击源IP的第一风险信息;第一风险信息为攻击源IP在恶意IP地址威胁情报库中的匹配结果,匹配结果包括匹配成功和匹配失败;[0064] 获取攻击源IP的第二风险信息;第二风险信息为攻击源IP攻击参数是否大于攻击源IP攻击参数阈值;攻击源IP攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;攻击参数阈值包括攻击次数阈值、攻击频率阈值和/或攻击目标的个数阈值;[0065] 根据第一风险信息和第二风险信息生成风险评估结果,具体地为:[0066] 当第一风险结果为匹配成功且攻击源IP攻击参数大于攻击源IP攻击参数阈值时,风险评估结果为风险;[0067] 否则,风险评估结果为安全。[0068] 其中,值得说明的是,本实施例中所说的攻击源IP攻击参数大于攻击源IP攻击参数阈值指的是,无论有多少个攻击源IP攻击参数,攻击源IP攻击参数都需要大于其各自的攻击源IP攻击参数阈值。[0069] 在索引类别为终端时,将终端索引分类的告警日志单独取出来,采用以攻击目标对象为关联索引的分析方法,分析出与某个被攻击IP关联的日志,以获取被攻击源IP,并根据风险评估结果判断是否封禁攻击源IP,在风险评估结果为风险时,调用防火墙的REST接口实现自动化封禁被攻击源IP操作,限制被攻击源IP联网。其中,终端的风险评估结果按照以下步骤生成:[0070] 获取被攻击源IP风险信息;被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;被攻击源IP告警参数阈值包括被攻击源IP告警次数阈值、被攻击源IP告警频率阈值和/或被攻击源IP告警时间阈值;[0071] 根据被攻击源IP风险信息生成风险评估结果,具体地为:[0072] 当被攻击源IP告警参数大于被攻击源IP告警参数阈值时,风险评估结果为风险;[0073] 否则,风险评估结果为安全。[0074] 其中,值得说明的是,本实施例中所说的被攻击源IP告警参数大于被攻击源IP告警参数阈值指的是,无论有多少个被攻击源IP告警参数,被攻击源IP告警参数都需要大于其各自的被攻击源IP告警参数阈值。[0075] 在索引类别为服务器时,将服务器索引分类的告警日志单独取出来,采用以公司服务器对象为关联索引的分析方法,分析出与某个服务器IP关联的日志,以获取服务器IP,同时获取服务器IP告警参数,并判断服务器IP告警参数是否大于服务器IP告警参数阈值,在服务器IP告警参数大于服务器IP告警参数阈值时,进行服务器预警,以使运维人员分析判断是否需要对遭受攻击的服务器进行病毒木马查杀、漏洞修复和/或防火墙策略完善等。[0076] 其中,服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间;另外,值得说明的是,本实施例中所说的服务器IP告警参数大于服务器IP告警参数阈值指的是,无论有多少个服务器IP告警参数,服务器IP告警参数都需要大于其各自的服务器IP告警参数阈值。[0077] 在本实施例中,由于对安全日志数据进行了分类,且终端类和互联网类的告警数据能自动化监测和处置,服务器类的告警数据能够自动预警,由安全运维人员判断是否对遭受攻击的服务器进行病毒木马查杀、漏洞修复和/或防火墙策略完善等,提升安全运维人员的攻击溯源分析与处置效率,缓解了安全运维人员的工作压力;同时在本申请中,创新采用了只操作防火墙IP地址对象的方式联动封禁IP(攻击源IP和被攻击源IP),避免外部操作防火墙策略影响防火墙的运行稳定性和安全性,进一步加强了企业安全防护水平。[0078] 实施例2[0079] 本实施例提供了一种多源网络安全告警事件溯源与自动处置装置,包括:[0080] 安全日志数据采集模块,用于获取安全日志数据,安全日志数据包括安全设备的告警数据、告警日志和/或业务系统的日志数据;[0081] 分类模块,用于识别安全日志数据的IP,并根据IP对应关系将安全日志数据划分至相应的索引类别中;IP对应关系为IP与索引类别的对应关系,且一个索引类别包含多个IP;[0082] 获取模块,用于在索引类别为互联网时,获取攻击源IP;在索引类别为终端时,获取被攻击源IP;[0083] 判断模块,用于根据风险评估结果判断是否封禁攻击源IP或被攻击源IP;风险评估结果由风险评估模块根据攻击源IP或被攻击源IP自动生成;[0084] 封禁模块,用于在风险评估结果为风险时,电源防火墙封禁攻击源IP或被攻击源IP。[0085] 其中,本实施例中的风险评估模块包括:[0086] 恶意IP地址威胁情报库,用于获取攻击源IP的第一风险信息;第一风险信息为攻击源IP在恶意IP地址威胁情报库中的匹配结果,匹配结果包括匹配成功和匹配失败;[0087] 攻击源IP处置单元,用于获取攻击源IP的第二风险信息;第二风险信息为攻击源IP的攻击参数是否大于攻击参数阈值;攻击源IP的攻击参数包括攻击次数、攻击频率和/或攻击目标的个数;[0088] 第一生成单元,用于根据第一风险信息和第二风险信息生成风险评估结果:[0089] 当第一风险结果为匹配成功且攻击参数大于攻击参数阈值时,风险评估结果为风险;[0090] 否则,风险评估结果为安全;[0091] 被攻击IP处置单元,用于获取被攻击源IP风险信息;被攻击源IP风险信息为被攻击源IP告警参数是否大于被攻击源IP告警参数阈值;被攻击源IP告警参数包括被攻击源IP告警次数、被攻击源IP告警频率和/或被攻击源IP告警时间;[0092] 第二生成单元,用于根据被攻击源IP风险信息生成风险评估结果:[0093] 当被攻击源IP告警参数大于被攻击源IP告警参数阈值时,风险评估结果为风险;[0094] 否则,风险评估结果为安全。[0095] 进一步地,本实施例中还包括预警模块,所述预警模块用于在所述索引类别为服务器时,获取服务器IP和服务器IP告警参数;并在所述服务器IP告警参数大于服务器IP告警参数阈值时,对遭受攻击的服务器进行预警;[0096] 预警包括病毒木马查杀、漏洞修复和/或防火墙策略完善;所述服务器IP告警参数包括服务器IP告警次数、服务器IP告警频率和/或服务器IP告警时间。[0097] 进一步地,为了运维人员能够快速的进行溯源分析,确定威胁事件的破坏程度以及攻击者的信息获取,本实施例中还包括输出模块,输出模块用于在安全日志数据分类后将分类后的安全日志数据进行告警输出,输出可以设置为标准的日志格式,然后在安全监测日志系统上进行统一展示,同一威胁告警事件集中展示,便于进行后续溯源分析。[0098] 以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

专利地区:四川

专利申请日期:2021-11-26

专利公开日期:2024-06-18

专利公告号:CN114143064B

电话咨询
读内容
搜本页
回顶部