基于告警信息的网络安全数据处理方法、装置及系统与流程

1.本发明涉及网络安全技术领域，尤其涉及基于告警信息的网络安全数据处理。


背景技术：

2.网络管理系统，又叫网管系统，是一个软硬件结合以软件为主的分布式网络应用系统，其目的是管理网络，使网络高效正常运行。
3.在网管系统中，告警信息管理是其中重要的管理功能之一，当设备或链路产生故障时，网管运维人员可以通过网管系统中的告警信息快速定位故障点，帮助网管人员进行排查，管理和维护网络安全与稳定。通常，网管系统会对收到的告警信息进行整理，按照告警先后顺序排序得到最有可能触发告警的可能告警原因，而时间最靠前的在先告警原因就会认定是此次告警的原因。但是，在受到多重因素的影响时，用前述方法分析告警的准确度较低。在一些特殊的情况下，例如网络节点受到攻击产生了大量的告警数据，但是同时还存在通信故障、系统报错等情形的情况下，难以判断是哪一情形的告警信息是该告警事件中的告警原因，如此，就会使同一时间段内的可能告警原因难以得到明确的区分，从而降低了判断告警原因的准确度。
4.为此，针对这种对告警原因分析出错的情形，要提供一种基于告警信息的网络安全数据处理方法、装置及系统，解决判断告警原因时，在先可能告警原因不是最佳的可能告警原因，而最佳的可能告警原因在后的情形，是当前亟需解决的技术问题。


技术实现要素：

5.本发明的目的在于：克服现有技术的不足，提供一种基于告警信息的网络安全数据处理方法、装置及系统，接收告警信息时，将预先得出的可能告警信息按时间先后顺序排序形成告警原因序列；从前述告警原因序列中选取首位可能告警原因与发出告警的网络节点的元数据信息进行比对，判断前述首位可能告警原因与前述元数据信息是否匹配；针对匹配和不匹配的情形进行相应的防御步骤。
6.为解决现有的技术问题，本发明提供了如下技术方案：一种基于告警信息的网络安全数据处理方法，其特征在于：信息采集步骤：接收告警信息，所述告警信息包括对应于告警产生的按照时间轴排序的多个可能告警原因，将所述可能告警原因按时间先后顺序排序形成告警原因序列；元数据提取步骤：获取发出告警的网络节点的元数据信息；所述元数据信息是指对网络节点的信息资源进行描述的信息；比对步骤：从前述告警原因序列中选取首位可能告警原因与前述网络节点的元数据信息进行比对，判断前述首位可能告警原因与元数据信息是否匹配；防御步骤：判定匹配时，从预设的网络安全防御方案数据库中选取与前述首位可能告警原因匹配的网络安全防御方案以对所述网络节点进行安全防御；否则，将前述首位可能告警原因从告警原因序列中删除，在后可能告警原因依次前移，返回执行前述比对步
骤。
7.进一步，所述告警包括紧急告警和非紧急告警，判定为紧急告警时，对对应的网络节点进行安全防御，断开前述网络节点的网络访问，并根据前述网络节点的网络环境信息对网络节点所在的网络环境进行故障处理。
8.进一步，所述网络环境中的网络结构包括内部网络结构和外部网络结构；所述内部网络结构涉及在同一网络环境中发生的同源告警，所述告警信息能够通过同一网络环境下的网管系统进行数据采集；所述外部网络结构涉及在不同网络环境中发生的同源告警，所述告警信息能够通过不同网络环境下的网管系统进行数据采集，并对多个网络环境下采集的告警信息进行整合；所述同源告警是指针对同一触发告警原因的告警。
9.进一步，对接收的告警信息进行数据预处理，进行数据预处理后的告警信息包括告警时间、攻击源ip、攻击目的ip、告警名称、源端口以及目的端口。
10.进一步，所述可能告警原因包括单一告警、同一事件引发的关联告警和多事件引起的关联告警中任一情形造成的告警原因。
11.进一步，针对涉及告警信息的网络节点，获取该网络节点的ip地址，并追溯和/或轨迹安全分析前述ip地址的访问或操作记录信息。
12.进一步，对前述网络节点中未发生告警的端口和/或ip网段进行监控。
13.进一步，对所述网络节点的输入/输出端口进行数据监控，在网络环境信息发生异常变化时，对在前述网络节点的执行的操作进行标注和追溯。
14.一种基于告警信息的网络安全数据处理装置，其特征在于包括结构：信息采集单元，用以执行前述信息采集步骤，接收告警信息，所述告警信息包括对应于告警产生的按照时间轴排序的多个可能告警原因，将所述可能告警原因按时间先后顺序排序形成告警原因序列；信息提取单元，用以执行前述元数据提取步骤，获取发出告警的网络节点的元数据信息；所述元数据信息是指对网络节点的信息资源进行描述的信息；信息比对单元，用以执行前述比对步骤，从前述告警原因序列中选取首位可能告警原因与前述网络节点的元数据信息进行比对，判断前述首位可能告警原因与元数据信息是否匹配；信息防御单元，用以执行前述防御步骤，判定匹配时，从预设的网络安全防御方案数据库中选取与前述首位可能告警原因匹配的网络安全防御方案以对所述网络节点进行安全防御；否则，将前述首位可能告警原因从告警原因序列中删除，在后可能告警原因依次前移，返回前述信息比对单元，执行前述比对步骤。
15.一种基于告警信息的网络安全数据处理系统，其特征在于包括：网络节点，用于收发数据；网管系统，对前述网络节点的数据信息进行安全管理；系统服务器，所述系统服务器连接网络节点和网管系统；所述系统服务器被配置为：信息采集步骤，接收告警信息，所述告警信息包括对应于告警产生的按照时间轴排序的多个可能告警原因，将所述可能告警原因按时间先后顺序
排序形成告警原因序列；元数据提取步骤，获取发出告警的网络节点的元数据信息；所述元数据信息是指对网络节点的信息资源进行描述的信息；比对步骤，从前述告警原因序列中选取首位可能告警原因与前述网络节点的元数据信息进行比对，判断前述首位可能告警原因与元数据信息是否匹配；防御步骤，判定匹配时，从预设的网络安全防御方案数据库中选取与前述首位可能告警原因匹配的网络安全防御方案以对所述网络节点进行安全防御；否则，将前述首位可能告警原因从告警原因序列中删除，在后可能告警原因依次前移，返回执行前述比对步骤。
16.本发明由于采用以上技术方案，与现有技术相比，作为举例，具有以下的优点和积极效果：接收告警信息时，预先得出可能告警信息，并将前述可能告警原因按时间先后顺序排序形成告警原因序列；从前述告警原因序列中选取首位可能告警原因与发出告警的网络节点的元数据信息进行比对，判断前述首位可能告警原因与前述元数据信息是否匹配；防御步骤：判定匹配时，从预设的网络安全防御方案数据库中选取与前述首位可能告警原因匹配的网络安全防御方案以对所述网络节点进行安全防御；否则，将前述首位可能告警原因从告警原因序列中删除，在后可能告警原因依次前移，返回执行上一步骤。
17.基于上述优点和积极效果，本发明在网管系统发出告警时，能够准确地分析告警信息，从得到的可能告警原因中判断出最佳的可能告警原因并进行网络安全防御，保障网络的安全稳定运行。
附图说明
18.图1为本发明实施例提供的流程图一。
19.图2为本发明实施例提供的流程图二。
20.图3为本发明实施例提供的装置的结构示意图。
21.图4为本发明实施例提供的系统的结构示意图。
22.附图标记说明：装置200，信息采集单元201，信息获取单元202，信息分析单元203，信息处理单元204；系统300，网络节点301，网管系统302，系统服务器303。
具体实施方式
23.以下结合附图和具体实施例对本发明公开的一种基于告警信息的网络安全数据处理方法、装置及系统作进一步详细说明。应当注意的是，下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的，它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中，各附图所出现的相同标号代表相同的特征或者部件，可应用于不同实施例中。因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
24.需说明的是，本说明书所附图中所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定发明可实施的限定条件，任何结构的修饰、比例关系的改变或大小的调整，在不影响发明所能产生的功效及所能达成的目的下，均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方
式的范围包括另外的实现，其中可以不按所述的或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
25.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
实施例
26.参见图1所示，为本发明提供的一个流程图。所述方法的实施步骤s100如下：s101，信息采集步骤：接收告警信息，所述告警信息包括对应于告警产生的按照时间轴排序的多个可能告警原因，将所述可能告警原因按时间先后顺序排序形成告警原因序列。
27.在本实施例的优选实施方式中，所述告警是一种用于传递告警信息的事件报告，也叫告警事件，简称告警。
28.在一次告警中，网管系统的监控单元视故障情况给出告警信号，系统每接收到一次的告警信号，就代表一次告警事件的发生，并通过告警信息的形式进行故障描述，并在网管系统的告警信息管理中心显示告警信息。所述故障是通过网络中的设备产生的告警原因。
29.所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。
30.s102，元数据提取步骤：获取发出告警的网络节点的元数据信息；所述元数据信息是指对网络节点的信息资源进行描述的信息。
31.所述网络节点，是指处于网络环境中具有独立网络地址和数据处理功能的终端，所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机，也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点，这些网络节点通过通信线路连接，形成网络拓扑结构。所述通信线路可以是有线通信方式，也可以是无线通信方式。
32.所述元数据信息是指对网络节点的信息资源进行描述的信息。通过所述元数据信息对前述信息资源进行识别、评价、以及追踪在使用过程中的变化，从而实现对信息资源的有效发现、查找、一体化组织和对使用资源的有效管理等操作。所述元数据信息包括但不限制于五元组信息、流标识信息和统一资源定位符(英文：uniform resource locator，简称：url)信息。
33.此外，由于元数据也是数据，因此可以用类似数据的方法在数据库中进行存储和获取。如果提供数据的组织同时提供描述数据的元数据，则会使元数据的使用变得准确、高效。用户在使用数据时可以首先查看所述数据的元数据，以获取所需信息。因此，所述元数据信息可以从所述网络节点的日志信息中获取得到。
34.所述网络节点的日志信息是指网络设备、系统及服务程序等，在运作时产生的事件记录，其中，每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络
节点的日志信息包括但不限于下述信息：连接持续的时间，其数值以秒为单位，例如，其数值范围可以是：[0，58329]；协议类型，包括但不限于tcp、udp、icmp；目标主机的网络服务类型；连接正常或错误的状态；从源主机到目标主机的数据字节数，例如，其数值范围可以是：[0,1379963888]；从目标主机到源主机的数据字节数，例如，其数值范围可以是：[0,1309937401]；连接是否来自同一个主机，是否有相同的端口；错误分段的数量，例如，其数值范围可以是：[0,3];加急包的个数，例如，其数值范围可以是：[0,14]。
[0035]
所述的定期检测可以设置检测时间或是检测时间周期，所述的定期检测可以是下述项目，包括但不限于：网页防篡改，用以实时监控网站目录并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁等内容。
[0036]
进程异常行为，用以检测资产中是否存在超出正常执行流程的行为。
[0037]
异常登录，用以检测服务器上的异常登录行为。所述异常登录可以是ecs非合法ip登录、ecs在非常用地登录、ecs登录后执行异常指令序列等。
[0038]
敏感文件篡改，用以检测是否存在对服务器中的敏感文件进行恶意修改。
[0039]
恶意进程，用以实时检测服务器，并对检测到的病毒文件提供实时告警。可检测子项包括访问恶意ip、挖矿程序、自变异木马、恶意程序、木马程序等。
[0040]
异常网络连接，检测网络显示断开或不正常的网络连接状态。所述异常网络连接可以是主动连接恶意下载源、访问恶意域名、矿池通信行为、可疑网络外连、反弹shell网络外连、windows异常网络连接、疑似内网横向攻击、疑似敏感端口扫描行为等。
[0041]
异常账号，用以检测非合法的登录账号。
[0042]
应用入侵事件，用以检测通过系统的应用组件入侵服务器的行为。
[0043]
病毒检测，可用以对主流勒索病毒、ddos木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型进行主动防御。
[0044]
web应用威胁检测，用以检测通过web应用入侵服务器的行为。
[0045]
恶意脚本，用以检测资产的系统功能是否受到恶意脚本的攻击或篡改，对可能的恶意脚本攻击行为进行告警提示。
[0046]
威胁情报用以利用威胁情报库对访问流量、日志进行关联分析，识别出可能已经发生的威胁事件，主要包括恶意域名访问、恶意下载源访问、恶意ip访问等不易直接发现的入侵行为。
[0047]
恶意网络行为通过流量内容、服务器行为等日志综合判断的异常网络行为，包括攻击者通过开放的网络服务入侵主机、或主机沦陷后对外发起的异常网络行为。
[0048]
s103，比对步骤：从前述告警原因序列中选取首位可能告警原因与前述网络节点的元数据信息进行比对，判断前述首位可能告警原因与元数据信息是否匹配。
[0049]
s104，防御步骤：判定匹配时，从预设的网络安全防御方案数据库中选取与前述首
位可能告警原因匹配的网络安全防御方案以对所述网络节点进行安全防御；否则，将前述首位可能告警原因从告警原因序列中删除，在后可能告警原因依次前移，返回执行前述比对步骤s103。
[0050]
在本实施例的优选实施方式中，一次告警事件经过分析，按照时间先后顺序会得到多个可能告警原因，得到的具有n个可能告警原因的告警原因序列，该告警原因序列的表现形式为d1，d2，...，dn，其中，n为大于等于2的正整数，首位可能告警原因d1经过前述比对操作，在判定匹配时，从预设的网络安全防御方案数据库中选取与前述首位可能告警原因d1匹配的网络安全防御方案以对所述网络节点进行安全防御；否则，将前述首位可能告警原因d1从告警原因序列中删除，在后可能告警原因d2，...，dn，依次前移，此时可能告警原因个数为（n
‑
1）个，告警原因序列调整为d2，...，dn，首位可能告警原因调整为d2，返回执行前述比对步骤。依序执行前述比对步骤和前述防御步骤后，以得到最匹配的首位可能告警原因，并从预设的网络安全防御方案数据库中选取与前述首位可能告警原因匹配的网络安全防御方案以对所述网络节点进行安全防御。
[0051]
优选的，所述告警包括紧急告警和非紧急告警，判定为紧急告警时，对对应的网络节点进行安全防御，断开前述网络节点的网络访问，并根据前述网络节点的网络环境信息对网络节点所在的网络环境进行故障处理。
[0052]
所述紧急告警能够对告警中突然发生的异常数据进行报警，所述异常数据可以是异常操作、异常行为、异常数值等；优选的，所产生的紧急告警可以在网管系统基于告警数据进行分析后得出，并能够提供显示异常数据的指针；所述非紧急告警是指除紧急告警之外的其它告警情形，针对非紧急告警的情形，可以参照现有技术中针对非紧急告警的处理方案进行处置。
[0053]
所述网络环境信息是指所述网络节点涉及到与网络环境相关的数据信息，包括但不限制于用户首次访问时间、用户访问次数、当前时间下用户的操作类型和控制用户的访问速率等。
[0054]
所述故障处理针对网络环境中出现的故障进行排查，包括步骤：观察、描述故障现象，收集可能产生故障原因的信息；分析故障的原因，并制定解决方案；逐一实施解决方案，记录故障排查过程，直至网络恢复正常。
[0055]
优选的，所述网络环境中的网络结构包括内部网络结构和外部网络结构。
[0056]
所述内部网络结构涉及在同一网络环境中发生的同源告警，所述告警信息能够通过同一网络环境下的网管系统进行数据采集。
[0057]
所述外部网络结构涉及在不同网络环境中发生的同源告警，所述告警信息能够通过不同网络环境下的网管系统进行数据采集，并对多个网络环境下采集的告警信息进行整合。
[0058]
所述同源告警是指针对同一触发告警原因的告警；所述内部网络结构和所述外部网络结构针对同源告警具有相对性，所述内部网络结构针对在同一网络环境中发生同源告警的情形，而所述外部网络结构针对在跨网络环境下网络节点间相互通信，导致同源告警的情形。
[0059]
优选的，对接收的告警信息进行数据预处理，进行数据预处理后的告警信息包括告警时间、攻击源ip、攻击目的ip、告警名称、源端口以及目的端口。
[0060]
所述数据预处理包括数据清洗操作，在进行数据清洗时，能够滤除无效数据和/或是无用数据，将前述告警信息整理成便于进行分析的数据。在本发明实施例中，所述的告警信息是接收后经过数据预处理的告警信息。
[0061]
优选的，所述可能告警原因包括单一告警、同一事件引发的关联告警和多事件引起的关联告警中任一情形造成的告警原因。
[0062]
作为优选的实施例，参见图2所示，在分析前述可能告警原因时，还包括步骤：s111，判断所述告警属于单一告警、同一事件引发的关联告警和多事件引起的关联告警中的哪一情形。
[0063]
s112，当所述告警是单一告警时，得出所述告警的触发原因；当所述告警是由同一事件引发的关联告警时，根据所述网络节点间的关联关系得出所述告警的触发原因；当所述告警是由多事件引起的关联告警时，获取所述告警的根告警信息后根据所述网络节点间的关联关系得出所述告警的触发原因。
[0064]
所述关联关系是指前述操作与操作间存在的某种特定关系，所述特定关系例如因果关系、递进关系等。
[0065]
需要说明的是，所述告警针对不同的情形会得出完全不同的结论，针对单一告警可以直接从获取到的元数据信息中直接得出触发告警的原因，而在同一事件引发的关联告警和多事件引起的关联告警中，则需要考虑多个因素，所述因素包括但不限制于：告警时间上的先后关系、告警事件前后的因果关系、递进关系等。通过梳理前述关联告警，能够使所述告警信息依照时间顺序或事件发展顺序得到梳理，便于得到所述告警的根源告警，即可能告警原因。
[0066]
优选的，针对涉及告警信息的网络节点，获取该网络节点的ip地址，并追溯和/或轨迹安全分析前述ip地址的访问或操作记录信息。
[0067]
所述ip地址可以是根据用户遵守的ip协议所提供的统一的地址格式，所述ip地址可以为处于网络环境中的每一个网络节点和用户提出访问申请的终端设备分配一个逻辑地址，以便于网管系统对用户的访问路径进行跟踪，以及发生告警时，对告警事件进行追踪溯源。
[0068]
优选的，对前述网络节点中未发生告警的端口和/或ip网段进行监控。
[0069]
优选的，对所述网络节点的输入/输出端口进行数据监控，在网络环境信息发生异常变化时，对在前述网络节点的执行的操作进行标注和追溯。
[0070]
其它技术特征参考在前实施例，在此不再赘述。
[0071]
参见图3所示，本发明还给出了一个实施例，提供了一种基于告警信息的网络安全数据处理装置200，其特征在于包括结构：信息采集单元201，用以执行前述信息采集步骤，接收告警信息，所述告警信息包括对应于告警产生的按照时间轴排序的多个可能告警原因，将所述可能告警原因按时间先后顺序排序形成告警原因序列；信息提取单元202，用以执行前述元数据提取步骤，获取发出告警的网络节点的元数据信息；所述元数据信息是指对网络节点的信息资源进行描述的信息；信息比对单元203，用以执行前述比对步骤，从前述告警原因序列中选取首位可能告警原因与前述网络节点的元数据信息进行比对，判断前述首位可能告警原因与元数据信
息是否匹配；信息防御单元204，用以执行前述防御步骤，判定匹配时，从预设的网络安全防御方案数据库中选取与前述首位可能告警原因匹配的网络安全防御方案以对所述网络节点进行安全防御；否则，将前述首位可能告警原因从告警原因序列中删除，在后可能告警原因依次前移，返回前述信息比对单元，执行前述比对步骤。
[0072]
此外，参见图4所示，本发明还给出了一个实施例，提供了一种基于告警信息的网络安全数据处理系统300，其特征在于包括：网络节点301，用于收发数据。
[0073]
网管系统302，对前述网络节点301的数据信息进行安全管理。
[0074]
系统服务器303，所述系统服务器303连接网络节点301和网管系统302；所述系统服务器303被配置为：信息采集步骤，接收告警信息，所述告警信息包括对应于告警产生的按照时间轴排序的多个可能告警原因，将所述可能告警原因按时间先后顺序排序形成告警原因序列；元数据提取步骤，获取发出告警的网络节点的元数据信息；所述元数据信息是指对网络节点的信息资源进行描述的信息；比对步骤，从前述告警原因序列中选取首位可能告警原因与前述网络节点的元数据信息进行比对，判断前述首位可能告警原因与元数据信息是否匹配；防御步骤，判定匹配时，从预设的网络安全防御方案数据库中选取与前述首位可能告警原因匹配的网络安全防御方案以对所述网络节点进行安全防御；否则，将前述首位可能告警原因从告警原因序列中删除，在后可能告警原因依次前移，返回执行前述比对步骤。
[0075]
其它技术特征参见在前实施例，在此不再赘述。
[0076]
在上面的描述中，在本公开内容的目标保护范围内，各组件可以以任意数目选择性地且操作性地进行合并。另外，像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的，而不是排他性的或封闭性，除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义，除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释，除非本公开内容明确将其限定成那样。
[0077]
虽然已出于说明的目的描述了本公开内容的示例方面，但是本领域技术人员应当意识到，上述描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明的优选实施方式的范围包括另外的实现，其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。