本發明涉及網絡安全技術領域，特別是涉及一種網絡安全告警方法及系統。包括：步驟S1：實時收集分布在網絡上不同地方的告警信息和日志信息，并將告警信息和日志信息實時發送；步驟S2：接收告警信息和日志信息，并識別告警信息和日志信息中的原始安全事件信息，將原始安全事件信息進行保存；步驟S3：對原始安全事件信息進行聚合處理，并得到高級安全事件信息，將高級安全事件信息的告警進行輸出顯示給用戶。本發明通過基于聚類分析的方法，有效的對大量的告警信息實行了濾除，提高了對高級安全事件的告警識別能力。

背景技術

互聯網的誕生為人與人之間的信息交流提供了一個便利快捷的平臺，人們在享受相關服務的同時,?往往還要顧慮到信息的完整性、隱密性和可用性是否得到有效的保護?？萍脊ぷ髡邆儼压爬系拿艽a技術加以更新應用到互聯網上來保護信息資產的安全，這一定程度上解決了信息隱密性的問題,?但是由于信息技術本身的缺陷導致的安全問題確是密碼技術無法解決的,例如軟件設計的缺陷,程序語言的漏洞,軟件開發者刻意設置的后門等等日益威脅著互聯網生存。隨著網絡安全的迫切需要，大量的安全產品層出不窮，防火墻、入侵檢測系統、漏洞掃描系統、補丁服務系統等，大量的安全數據用于審計，如syslog、route路由器日志、主機日志等。然而當前網絡安全的事實是隨著各種安全措施的實施，網絡安全事件不是下降了，反而每年在上升，這與互聯網的規模時時刻刻都在擴大有很大的關系，但是一個不爭的事實?是網絡安全的形式越來越嚴峻了。

然而現有技術中，由于網絡上存在的告警數量信息眾多，其中包含有大量的有效告警和無效誤報告警，對于告警信息識別的準確性存在一定的問題，此外，對于如何從海量告警中篩選出真實有效的攻擊并進行有效地告警的問題，告警信息的巨大數據量，會導致需要分析處置的告警日志劇增，但是，很多告警的產生并不是意味著它就是真實有效的攻擊所觸發的，而是由于安全設備在檢測過程中因特征規則感知到的攻擊嘗試行為所造成的風險告警，而那些真實有效的攻擊告警卻往往被大量的風險告警所“淹沒”，因此，如何提供一種網絡安全告警方法及系統克服上述困難是本領域技術人員急需解決的技術問題。

發明內容

本發明的目的是提供一種網絡安全告警方法及系統，本發明通過基于聚類分析的方法，有效的對大量的告警信息實行了濾除，提高了對高級安全事件的告警識別能力。

為了實現上述目的，本發明提供了如下的技術方案：

一種網絡安全告警方法，包括：

步驟S1：實時收集分布在所述網絡上不同地方的告警信息和日志信息，并將所述告警信息和所述日志信息實時發送；

步驟S2：接收所述告警信息和所述日志信息，并識別所述告警信息和所述日志信息中的原始安全事件信息，將所述原始安全事件信息進行保存；

步驟S3：對所述原始安全事件信息進行聚合處理，并得到高級安全事件信息，將所述高級安全事件信息的告警進行輸出顯示給用戶。

在本申請的一些實施例中，對所述原始安全事件信息進行聚合處理,包括：

實時檢測在100M的端口上每小時產生的所述告警信息，并去除所述告警信息中誤報的誤報告警信息，并得到高級安全事件信息，將所述高級安全事件信息轉化為高級安全事件標準格式，其中，所述高級安全事件標準格式包括源IP信息和目的IP信息；

基于信息類型對所述高級安全事件信息進行分類；

基于預設的IDS告警分析模型，將各所述高級安全事件信息可能產生的告警進行聚類。

在本申請的一些實施例中，所述IDS告警分析模型是通過以下方法建立：

通過建立關聯告警與攻擊的規則庫，利用規則匹配算法的實現關聯；

通過已知攻擊的謂詞與因素庫，建立對攻擊場景的詳細描述，再利用場景匹配算法實現關聯；

通過建立各事件發生的時序圖，分析它們之間的先后依賴關系；