本發(fā)明公開了一種安全風險評估和告警生成的實現(xiàn)方法，提供了基于企業(yè)端進行風險評估和基于遠程采集終端分析日志進行風險評估的兩種方法，并通過比較這兩個風險值來確定企業(yè)網(wǎng)絡是否存在入侵攻擊和告警。通過本發(fā)明，可以幫助客戶及時發(fā)現(xiàn)企業(yè)網(wǎng)絡異常情況和進行快速響應，尤其是對于那些重要資產的安全保護，也提升了安全運維服務平臺的性能。

技術領域

本發(fā)明涉及信息安全、大數(shù)據(jù)應用技術領域，尤其涉及到風險評估和告警生成的實現(xiàn)方法。

背景技術

本發(fā)明中包含的英文簡稱如下：

SOC：Security Operation Center安全管理中心

IDS：Intrusion Detection Systems入侵檢測系統(tǒng)

SNMP：Simple Network Management Protocol簡單網(wǎng)絡管理協(xié)議

CLF：Common Log Format 普通日志格式

JSON：JavaScript Object Notation JAVA腳本對象符號

HDFS：Hadoop Distribute File SystemHadoop分布式文件系統(tǒng)

安全生產歷來是保障各項工作有序開展的前提，也是考核各級領導干部的否決指標。網(wǎng)絡及信息安全運維體系是各類企業(yè)安全生產工作的重要組成部分。保障網(wǎng)絡及信息系統(tǒng)高效穩(wěn)定地運行，是企業(yè)一切市場經(jīng)營活動和正常運作的基礎。

當前，企業(yè)IT系統(tǒng)都不同程度地部署了各種不同的業(yè)務系統(tǒng)和安全設備，有效地提高了勞動生產率，降低了運營成本，已經(jīng)成為企業(yè)高效運營的重要支撐和生產環(huán)節(jié)中不可缺少的一環(huán)。一方面，因為一旦網(wǎng)絡及各業(yè)務系統(tǒng)出現(xiàn)安全事件或故障，如果不能及時發(fā)現(xiàn)、及時處理、及時恢復，這勢必直接影響承載在其上所有業(yè)務的運行，影響企業(yè)的正常運營秩序，涉及到用戶的系統(tǒng)將直接導致用戶投訴，滿意度下降，企業(yè)形象受到損害，對于企業(yè)網(wǎng)絡的安全保障就顯得格外重要；另一方面，由于各種網(wǎng)絡攻擊技術也變得越來越先進，越來越普及化，企業(yè)的網(wǎng)絡系統(tǒng)面臨著隨時被攻擊的危險，經(jīng)常遭受不同程度的入侵和破壞，嚴重干擾了企業(yè)網(wǎng)絡的正常運行；日益嚴峻的安全威脅迫使企業(yè)不得不加強對網(wǎng)絡及業(yè)務系統(tǒng)的安全防護，不斷追求多層次、立體化的安全防御體系，建設安全運維服務中心，實時跟蹤系統(tǒng)事件和實時檢測各種安全攻擊、及時采取相應的控制動作，消除或縮減攻擊所造成的損失，盡一切可能來保護企業(yè)網(wǎng)絡及業(yè)務系統(tǒng)正常運營。

然而，被用來執(zhí)行安全運維服務任務的各種設備、數(shù)據(jù)庫、中間件、操作系統(tǒng)和Web服務器等所產生的日志，隨著企業(yè)IT系統(tǒng)規(guī)模的不斷擴大，尤其是它的種類和數(shù)量正經(jīng)歷了巨大規(guī)模的上升，從而使日志存儲、日志分析和問題跟蹤變得越來越困難。企業(yè)IT系統(tǒng)的日志規(guī)模的這樣海量地增長，迫使安全運維服務提供商采用Hadoop/Spark這樣的大數(shù)據(jù)架構來對日志進行集中存儲、對日志進行集中處理和日志分析，對系統(tǒng)事件進行實時跟蹤，對安全攻擊進行實時檢測。

目前，已有的安全風險評估和告警生成的實現(xiàn)方法，計算復雜，不能實現(xiàn)實時響應，尤其是對于那些重要資產的安全保護，已經(jīng)無法勝任當前企業(yè)的安全運維服務平臺對告警進行快速響應的任務。因此，迫切需要一種全新的安全風險評估和告警生成的實現(xiàn)方法來對海量日志和漏洞信息等進行實時安全風險評估和快速響應。

為此，如何利用信息化手段提高企業(yè)的運營效益，優(yōu)化企業(yè)信息系統(tǒng)，使得它能夠為各類企業(yè)提供專業(yè)的和高性價比的信息安全運維服務，即成為尤其是信息安全運維管理設計上必須要解決的一個重要課題。

發(fā)明內容

本發(fā)明提供了一種安全風險評估和告警生成的實現(xiàn)方法，以解決現(xiàn)有技術不能實現(xiàn)快速響應的缺陷，尤其是對于那些重要資產的安全保護。