一種ids智能告警方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息技術(shù)安全領(lǐng)域,尤其涉及一種IDS智能告警方法。
【背景技術(shù)】
[0002] 通過對國內(nèi)外IDS入侵檢測系統(tǒng)的調(diào)查分析,都可對監(jiān)視到的數(shù)據(jù)進行匯總統(tǒng) 計,如統(tǒng)計出被入侵次數(shù)排名前十位的IP等;對于這些IDS入侵信息,需要有非常專業(yè)的信 息安全專家進行分析,尋找出真正有用的信息,分析可能存在的攻擊,或者通過事先制定規(guī) 貝1J,采用防火墻聯(lián)動或阻止會話方式對攻擊信息進行主動響應(yīng);問題在于防火墻聯(lián)動或阻 止會話這種主動響應(yīng)機制會因為IDS的誤報帶來誤動作,所以這種方式基本未采用;而依 靠專家實時對攻擊信息進行分析,首先需要信息運維人員有很高的信息安全專業(yè)技能,同 時需要實時分析;一般的信息運維部門很難具備這種條件;因此,目前IDS的應(yīng)用多數(shù)僅限 于做事后的審計分析數(shù)據(jù)源,利用率很低。
[0003] 綜上所述,本申請發(fā)明人在實現(xiàn)本申請實施例中發(fā)明技術(shù)方案的過程中,發(fā)現(xiàn)上 述技術(shù)至少存在如下技術(shù)問題: 在現(xiàn)有技術(shù)中,現(xiàn)有的IDS的應(yīng)用存在多數(shù)僅限于做事后的審計分析數(shù)據(jù)源,利用率 很低的技術(shù)問題。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明提供了一種IDS智能告警方法,解決了現(xiàn)有的IDS的應(yīng)用存在多數(shù)僅限于 做事后的審計分析數(shù)據(jù)源,利用率很低的技術(shù)問題,實現(xiàn)了提高了IDS應(yīng)用的利用率,普通 用戶即可進行數(shù)據(jù)分析,能夠通過對安全大數(shù)據(jù)分析得出更有價值的告警數(shù)據(jù),且能夠及 時處理有害信息的技術(shù)效果。
[0005] 為解決上述技術(shù)問題,本申請實施例提供了一種IDS智能告警方法,所述方法包 括: 步驟1 :收集IDS入侵數(shù)據(jù)和資產(chǎn)數(shù)據(jù); 步驟2 :基于步驟1收集到的數(shù)據(jù)重構(gòu)數(shù)據(jù)模型,和對所有采集到的資產(chǎn)數(shù)據(jù)進行重要 性賦值和脆弱性嚴重程度賦值; 步驟3 :對入侵事件數(shù)據(jù)進行分析,獲得分析結(jié)果; 步驟4 :基于步驟3的分析結(jié)果,進行IDS告警。
[0006] 進一步的,在所述步驟1之前還包括:調(diào)查并了解客戶信息系統(tǒng)業(yè)務(wù)流程和運行 環(huán)境,確定需要收集的數(shù)據(jù)來源。
[0007] 進一步的,所述IDS入侵數(shù)據(jù)來源于IDS入侵管理系統(tǒng),需要收集的數(shù)據(jù)包括但不 限于:入侵事件名稱、入侵時間、入侵等級、入侵者IP、被攻擊IP、使用協(xié)議,資產(chǎn)數(shù)據(jù)來源 于相關(guān)資產(chǎn)、網(wǎng)關(guān)系統(tǒng),包括但不限于:信息系統(tǒng)或設(shè)備的IP信息、位置信息、維護人員信 息、用途。
[0008] 進一步的,在所述步驟1之后和所述步驟2之前還包括:對需要收集的數(shù)據(jù)進行實 時監(jiān)測,保證數(shù)據(jù)自動收集的準確性、及時性、完整性。
[0009] 進一步的,所述步驟2具體為:對收集到的數(shù)據(jù)進行抽取、轉(zhuǎn)換和重新加載,重構(gòu) 數(shù)據(jù)模型;對收集到的入侵數(shù)據(jù),與資產(chǎn)數(shù)據(jù)進行綁定;對所有資產(chǎn)進行識別,對所有采集 到的資產(chǎn)數(shù)據(jù)進行重要性賦值和脆弱性嚴重程度賦值。
[0010] 進一步的,所述對所有資產(chǎn)進行識別,對所有采集到的資產(chǎn)數(shù)據(jù)進行重要性賦值 和脆弱性嚴重程度賦值具體為:從技術(shù)、管理、策略方面進行的脆弱程度檢查,最終綜合計 算脆弱性值;在資產(chǎn)脆弱性調(diào)查中,首先對評估的所有主機和網(wǎng)絡(luò)設(shè)備進行工具掃描和手 動檢查,對各資產(chǎn)的系統(tǒng)漏洞和安全策略缺陷進行調(diào)查;并進行綜合分析,確定每種資產(chǎn)可 能被威脅利用的脆弱性的權(quán)值。
[0011] 進一步的,所述對入侵事件數(shù)據(jù)進行分析,獲得分析結(jié)果具體為:通過結(jié)合資產(chǎn)重 要性和資產(chǎn)脆弱性資產(chǎn)數(shù)據(jù),全面分析入侵IP排名、入侵事件排名、入侵事件影響后,自動 計算對入侵事件進行定性,初始化各類系統(tǒng)標準化入侵事件級別,把原始安全事件數(shù)據(jù)轉(zhuǎn) 化為系統(tǒng)標準化事件。
[0012] 進一步的,所述基于分析結(jié)果,進行IDS告警具體為:根據(jù)計算所得出的系統(tǒng)標準 化入侵事件,按照不同等級及方式進行告警,其中告警的方式包括但不限于:在信息系統(tǒng)中 進行數(shù)據(jù)展現(xiàn)、大屏展現(xiàn)、信息告警外,同時通過短信、郵件方式通知運維或操作人員。
[0013] 本申請實施例中提供的一個或多個技術(shù)方案,至少具有如下技術(shù)效果或優(yōu)點: 由于采用了將IDS智能告警方法設(shè)計為包括:步驟1 :收集IDS入侵數(shù)據(jù)和資產(chǎn)數(shù)據(jù); 步驟2 :基于步驟1收集到的數(shù)據(jù)重構(gòu)數(shù)據(jù)模型,和對所有采集到的資產(chǎn)數(shù)據(jù)進行重要性賦 值和脆弱性嚴重程度賦值;步驟3 :對入侵事件數(shù)據(jù)進行分析,獲得分析結(jié)果;步驟4 :基于 步驟3的分析結(jié)果,進行IDS告警的技術(shù)方案,S卩,提出了一種自動的、基于入侵檢測和資產(chǎn) 安全評估的,有較高準確率的數(shù)據(jù)方法,通過對資產(chǎn)脆弱性、重要性等相結(jié)合并進行分析, 提高IDS利用率,且通過對IDS入侵事件與資產(chǎn)進行綁定,分別分析資產(chǎn)相關(guān)數(shù)據(jù)信息,獲 取IP入侵排名、事件排名等,最終分析出入侵事件所造成的影響,并進行智能告警,本方法 能夠把安全督查人員從海量的IDS報警中解脫出來,重點關(guān)注重要資產(chǎn)及脆弱資產(chǎn)報警, 實現(xiàn)了IDS利用率的技術(shù)效果。
[0014] 進一步的,相對于傳統(tǒng)的IDS告警模式,本方案具有如下技術(shù)效果: 1、普通用戶即可進行數(shù)據(jù)分析:傳統(tǒng)的方式需要專業(yè)人事進行長時間的數(shù)據(jù)分析,本 發(fā)明只需要在數(shù)據(jù)初始化并抽取后,即可自動后臺計算;計算完成后,可通過多種渠道、方 式進行數(shù)據(jù)展現(xiàn),普通的系統(tǒng)運維人員、非專業(yè)人士都可通過系統(tǒng)的展現(xiàn)發(fā)現(xiàn)各類告警信 息和數(shù)據(jù)分析結(jié)果,而不再需要專業(yè)人士進行分析。
[0015] 2、通過對安全大數(shù)據(jù)分析得出更有價值的告警數(shù)據(jù): 通過對安全大數(shù)據(jù)的關(guān)聯(lián)分析,可以評估并分析出更多的告警信息,在原有人工分析 的基礎(chǔ)上,擴大了收集數(shù)據(jù)的范圍,并增加了多種維度;通過大量數(shù)據(jù)的分析后得出更多有 價值的告警信息,把安全督查人員從海量的IDS報警中解脫出來,重點關(guān)注重要資產(chǎn)及脆 弱資產(chǎn)報警。
[0016] 3、及時處理有害信息: 根據(jù)資產(chǎn)脆弱性及重要性的IDS報警機制為信息安全督查提供第一手資料,縮短入侵 事件發(fā)生后的響應(yīng)時間、提高響應(yīng)效率,便于及時處理有害入侵信息。
[0017] 4、使用java開發(fā)BS模式: 本方法應(yīng)用工具使用的基于java開發(fā)可應(yīng)用于Windows和Linux平臺,使用者無需安 裝,可直接在瀏覽器中使用。
【附圖說明】
[0018] 圖1是本申請實施例一中IDS智能告警方法的流程示意圖。
【具體實施方式】
[0019] 本發(fā)明提供了一種IDS智能告警方法,解決了現(xiàn)有的IDS的應(yīng)用存在多數(shù)僅限于 做事后的審計分析數(shù)據(jù)源,利用率很低的技術(shù)問題,實現(xiàn)了提高了IDS應(yīng)用的利用率,普通 用戶即可進行數(shù)據(jù)分析,能夠通過對安全大數(shù)據(jù)分析得出更有價值的告警數(shù)據(jù),且能夠及 時處理有害信息的技術(shù)效果。
[0020] 本申請實施中的技術(shù)方案為解決上述技術(shù)問題??傮w思路如下: 采用了將IDS智能告警方法設(shè)計為包括:步驟1 :收集IDS入侵數(shù)據(jù)和資產(chǎn)數(shù)據(jù);步驟 2 :基于步驟1收集到的數(shù)據(jù)重構(gòu)數(shù)據(jù)模型,和對所有采集到的資產(chǎn)數(shù)據(jù)進行重要性賦值和 脆弱性嚴重程度賦值;步驟3 :對入侵事件數(shù)據(jù)進行分析,獲得分析結(jié)果;步驟4 :基于步驟 3的分析結(jié)果,進行I