本发明涉及信息安全、大数据应用技术领域,尤其涉及到风险评估和告警生成的实现方法。
背景技术:
本发明中包含的英文简称如下:
soc:securityoperationcenter安全管理中心
ids:intrusiondetectionsystems入侵检测系统
snmp:simplenetworkmanagementprotocol简单网络管理协议
clf:commonlogformat普通日志格式
json:javascriptobjectnotationjava脚本对象符号
hdfs:hadoopdistributefilesystemhadoop分布式文件系统
安全生产历来是保障各项工作有序开展的前提,也是考核各级领导干部的否决指标。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络及信息系统高效稳定地运行,是企业一切市场经营活动和正常运作的基础。
当前,企业it系统都不同程度地部署了各种不同的业务系统和安全设备,有效地提高了劳动生产率,降低了运营成本,已经成为企业高效运营的重要支撑和生产环节中不可缺少的一环。一方面,因为一旦网络及各业务系统出现安全事件或故障,如果不能及时发现、及时处理、及时恢复,这势必直接影响承载在其上所有业务的运行,影响企业的正常运营秩序,涉及到用户的系统将直接导致用户投诉,满意度下降,企业形象受到损害,对于企业网络的安全保障就显得格外重要;另一方面,由于各种网络攻击技术也变得越来越先进,越来越普及化,企业的网络系统面临着随时被攻击的危险,经常遭受不同程度的入侵和破坏,严重干扰了企业网络的正常运行;日益严峻的安全威胁迫使企业不得不加强对网络及业务系统的安全防护,不断追求多层次、立体化的安全防御体系,建设安全运维服务中心,实时跟踪系统事件和实时检测各种安全攻击、及时采取相应的控制动作,消除或缩减攻击所造成的损失,尽一切可能来保护企业网络及业务系统正常运营。
然而,被用来执行安全运维服务任务的各种设备、数据库、中间件、操作系统和web服务器等所产生的日志,随着企业it系统规模的不断扩大,尤其是它的种类和数量正经历了巨大规模的上升,从而使日志存储、日志分析和问题跟踪变得越来越困难。企业it系统的日志规模的这样海量地增长,迫使安全运维服务提供商采用hadoop/spark这样的大数据架构来对日志进行集中存储、对日志进行集中处理和日志分析,对系统事件进行实时跟踪,对安全攻击进行实时检测。
目前,已有的安全风险评估和告警生成的实现方法,计算复杂,不能实现实时响应,尤其是对于那些重要资产的安全保护,已经无法胜任当前企业的安全运维服务平台对告警进行快速响应的任务。因此,迫切需要一种全新的安全风险评估和告警生成的实现方法来对海量日志和漏洞信息等进行实时安全风险评估和快速响应。
为此,如何利用信息化手段提高企业的运营效益,优化企业信息系统,使得它能够为各类企业提供专业的和高性价比的信息安全运维服务,即成为尤其是信息安全运维管理设计上必须要解决的一个重要课题。
技术实现要素:
本发明提供了一种安全风险评估和告警生成的实现方法,以解决现有技术不能实现快速响应的缺陷,尤其是对于那些重要资产的安全保护。
本发明的安全风险评估和告警生成的实现方法,应用于能够为多个企业提供各种安全服务和运维监控服务的安全运维监控服务平台中。
所述安全服务包括配置管理、安全风险评估、威胁检测、漏洞扫描、防病毒等。
所述运维监控服务包括配置管理、故障管理、性能管理、问题管理、变更管理等。
所述方法包括对企业网络的风险评估等级(xasl)和远程采集终端所接收到的日志进行分析而产生告警所获得的风险评估等级(xrsl),如果所述xasl和xrsl的值相差较大,说明所述企业网络可能遭受攻击,则向安全管理员告警,及时排除故障。
进一步地,所述xrsl,通过分析该企业网络设备产生的所有告警而获得的安全风险等级。
本发明的一种安全风险评估和告警生成的实现方法,提供了基于企业端进行风险评估和基于远程采集终端分析日志进行风险评估的两种方法,并通过比较这两个风险值来确定网络是否存在入侵攻击和告警。通过本发明,可以帮助客户及时发现网络异常和进行快速响应,尤其是对于那些重要资产的安全保护,也提升了安全运维服务平台的性能。
附图说明
图1为本发明所述的安全风险评估和告警生成的实现方法的示意图;
具体实施方式
下面是根据附图和实例对本发明的进一步详细说明:
图1为本发明所述的一种安全风险评估和告警生成的实现方法的示意图。
远程采集终端:负责收集一些关键的网络设备和安装了安全工具软件的网络设备的日志消息,并将日志转发到远端企业端(该企业端可能与远程采集终端属于同一家企业,也可能不属于)的本地安全数据库,以及进行分析,以及时提供有关企业的近似安全风险等级。这有助于当遭受到攻击时能够快速响应或排除问题,即使黑客删除了网络设备的日志(包括安全工具)。
本地采集终端:负责收集位于同一网段的网络设备的日志。一台网络设备,可以是一台主机、一台服务器、一台防火墙、一个入侵检测系统等。日志收集方式,可以是无代理(也可以安装代理)。本地采集终端标准化日志格式,并将收集的日志发送到本地安全数据库。在每个企业有一台或几台本地采集终端,其中一台可以作为主-本地采集终端。主-本地采集终端负责所有位于同一企业端的本地采集终端的管理,例如,热备份,等。
本地企业分析服务器:负责本地网络的入侵检测。它通过分析位于本地安全数据库内已格式化的日志和生成的告警。然后,它关联告警,以发现更复杂的入侵(一般由多个事件所组成,分布式入侵,等)。本地企业分析服务器还聚合告警。本地企业分析服务器产生的所有警报被送到全局安全数据库。
本地企业数据库:存储本企业的本地采集终端实时发送的安全信息,以及经过本地企业分析服务器分析之后所获得的信息,并将有关分析数据及时发送给全局分析服务器作进一步的分析。
全局分析服务器:从全局数据库获取数据,负责所有企业的入侵检测,它分析告警、关联告警和合并告警,尽可能地删除一些不必要的告警,产生优化的输出。它也能够检测到更复杂的入侵,是针对多个企业的。
全局数据库:是一个全局数据库,存储所有企业的安全信息,包括各个本企业数据库上传的安全信息、远程采集终端的上传的数据等。
对于监控多个企业端的安全行为,确保所有企业的顺利运行是必不可少的。远程采集终端是专为这个目的而构建的。当本地采集终端发送数据到本地企业数据库时,远程采集终端就立即转发所述数据到远程企业端。对所述转发数据进行分析,并给出有关企业的安全风险的视图。当一个事件发生时,这可以帮助企业及时解决问题。有关企业安全风险评估的操作如下:
1、在每个企业端,所述远程采集终端从本地企业数据库和一些关键的本地采集终端收集数据,并将所述数据发送到另一个企业端的本地企业数据库里,由本地企业分析服务器进行分析。
2、那个接收所述远程采集终端转发过来的远程企业端的本地企业分析服务器,分析所接收的数据并生成告警(每个告警均分配一个告警严重级别)。这样,就可以确定该企业端的安全风险。
3、本地企业分析服务器,分析本地采集终端所采集,发现入侵模式,并检测可疑行为。它也决定了企业端的真实的安全风险等级。
4、负责对所有企业端的数据进行分析的全局分析服务器,比较这两个安全风险,当它们两者之间的偏差较大时,说明企业网络遭受攻击,则生成一个告警,让安全管理员及时处理问题。这个偏差,可能是一个信号,即暗示着企业网络遭到攻击。在这种情况下,一个告警被发送到安全管理员那儿作进一步的调查。
企业端的安全风险评估过程的目的是确保每一个企业网络都运行正常。
为了实现这一目标,可以根据远程采集终端所收集的日志信息进行分析所生成的告警和由一个企业本地采集终端所接收到的告警作安全风险评估,为每一个企业端确定安全风险级别。然后,比较这两个值。鉴于远程采集终端是从企业端最关键的采集终端收集的日志信息(这是最有可能吸引黑客),则所估计的安全风险等级应大致相当于企业真实的安全风险等级。如果两种类型的安全风险级别之间有一个比较大的异常,那么有关的企业网络上就存在问题(或遭受到攻击)。在这样的情况下,产生告警,以便对相关企业进行深入安全脆弱性检查。
假设x、y和z分别表示一个企业、一个采集终端、一个告警,并且:xsl:表示一个企业网络的理论安全风险级别。
ylsl:表示一个采集终端的本地的理论安全风险等级。如果采集终端越是重要,则它应该是越安全。
yial:本地采集终端的理论容量。
yeal:远程采集终端的理论容量。
zcl:每个告警的理论安全级别,l、m、h:分别表示低、中、高(每个告警的安全级别)。
1、采集终端的理论安全风险等级:
2、采集终端的理论容量:
3、采集终端y发送告警z的真实告警级别zrlc为:
4、一个企业x真实的安全风险等级,如下式所示:
其中,t(a,b)是一个函数,通过该函数可以计算出企业a安全风险等级,当给定某一个企业a网络产生的所有告警b时。所述函数由本地企业安全运维软件所执行。
5、远程采集终端安全风险评估
为了能够分析远程采集终端所采集的数据,从而使得能够给出所述企业x安全风险等级的视图(称谓xasl),该远程采集终端必须从最有可能吸引黑客的设备和已安装安全工具软件的设备(本地企业安全运维软件、防火墙、入侵检测系统,等)上采集数据。
企业x安全风险等级(xasl)近似为:
其中,t(a,b)是一个函数,该函数可以计算出远程采集终端的安全风险等级,当给定通过分析远程采集终端a所采集的日志而生成的所有告警时。在正常情况下,成立:
如果xasl和xrsl的值相差较大,则产生告警。这可能由于其中的一个或多个远程采集终端被攻击所致,也可能是一个或多个本地采集终端被攻击所致等。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;凡是依本发明所作的等效变化与修改,都被视为本发明的专利范围所涵盖。