(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111424439.3 (22)申请日 2021.11.26 (71)申请人 国网四川省电力公司信息通信公司 地址 610000 四川省成 都市高新区蜀绣西 路366号2层、 4层、 5层、 8层 (72)发明人 吕磊　黄昆　陈龙　杨旭东　许珂　 黄林　郭智超　 (74)专利代理 机构 成都行之专利代理事务所 (普通合伙) 51220 代理人 喻英 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种多源网络安全告警事件溯源与自动处 置方法及装置 (57)摘要 本发明公开了一种多源网络安全告警事件 溯源与自动处置方法及装置， 方法包括以下步 骤： 获取安全日志数据； 识别安全日志数据的IP， 根据IP对应关系将安全日志数据划分至相应的 索引类别中； 在索引类别为互联网时， 获取攻击 源IP； 在索引类别为终端时， 获取被攻击源IP； 根 据风险评估结果判断是否封禁攻击源IP或被攻 击源IP； 在风险评估结果为风险时， 控制防火墙 封禁攻击源IP或被攻击源IP。 本发明的目的在于 提供一种多源网络安全告警事件溯源与自动处 置方法及装置， 减少安全运维人员在处理安全告 警事件花费的精力、 告警漏报率和误报率， 并提 升安全告警处置的效率。 权利要求书3页 说明书6页 附图1页 CN 114143064 A 2022.03.04 CN 114143064 A 1.一种多源网络安全告警事 件溯源与自动处置方法， 其特 征在于， 包括以下步骤： 获取安全日志数据； 所述安全日志数据包括安全设备的告警数据、 告警日志和/或业务 系统的日志数据； 识别所述安全日志数据的IP， 根据IP对应关系将所述安全日志数据划分至相应的索引 类别中； 所述IP对应关系为所述IP与所述索引类别的对应关系， 且一个所述索引类别包含 多个IP； 在所述索引类别为互联网时， 获取攻击源IP； 在所述索引类别为终端时， 获取被攻击源 IP； 根据风险评估结果判断是否封禁所述攻击源IP 或所述被攻击源IP； 所述风险评估结果 根据所述 攻击源IP或被攻击源IP自动生成； 在所述风险评估结果 为风险时， 控制防火墙封禁所述 攻击源IP或所述被攻击源IP。 2.根据权利要求1所述的一种多源网络安全告警事件溯源与自动处置方法， 其特征在 于， 在所述索引类别为互联网时， 生成所述 风险评估结果包括以下步骤： 获取所述攻击源IP的第一风险信息； 所述第一风险信息为所述攻击源IP在恶意IP地址 威胁情报库中的匹配结果， 所述匹配结果包括匹配成功和匹配失败； 获取所述攻击源IP的第二风险信息； 所述第二风险信息为所述攻击源IP的攻击参数是 否大于攻击参数阈值； 所述攻击源IP的攻击参数包括攻击次数、 攻击频率和/或攻击目标的 个数； 根据所述第一 风险信息和所述第二 风险信息生成所述 风险评估结果： 当所述第一风险结果为匹配成功且所述攻击参数大于攻击参数阈值 时， 所述风险评估 结果为风险； 否则， 所述 风险评估结果 为安全。 3.根据权利要求1所述的一种多源网络安全告警事件溯源与自动处置方法， 其特征在 于， 在所述索引类别为终端时， 生成所述 风险评估结果包括以下步骤： 获取被攻击源IP风险信息； 所述被攻击源IP风险信息为被攻击源IP告警参数是否大于 被攻击源IP告警参数阈值； 所述被攻击源IP告警参数包括被攻击源IP告警次数、 被攻击源 IP告警频率和/或被攻击源IP告警时间； 根据所述被攻击源IP风险信息生成所述 风险评估结果： 当所述被攻击源IP告警参数大于被攻击源IP告警参数阈值时， 所述风险评估结果为风 险； 否则， 所述 风险评估结果 为安全。 4.根据权利要求1 ‑3中任意一项所述的一种 多源网络安全告警事件溯源与自动处置方 法， 其特征在于， 还 包括以下步骤： 在所述索引类别为服务器时， 获取服务器IP和服务器IP告警参数； 所述服务器IP告警 参数包括 服务器IP告警次数、 服 务器IP告警频率和/或服 务器IP告警时间； 在所述服务器IP告警参数大于服务器IP告警参数阈值时， 对遭受攻击的服务器进行告 警、 病毒木马查杀、 漏洞修复和/或防火墙策略完 善。 5.根据权利要求1所述的一种多源网络安全告警事件溯源与自动处置方法， 其特征在 于， 还包括以下步骤： 当根据IP对应关系将所述安全日志数据划分至相应的索引类别中时，权　利　要　求　书 1/3 页 2 CN 114143064 A 2输出所述安全日志数据和相应的索引类别。 6.一种多源网络安全告警事 件溯源与自动处置装置， 其特 征在于， 包括： 安全日志数据采集模块， 用于获取安全日志数据， 所述安全日志数据包括安全设备的 告警数据、 告警日志和/或业 务系统的日志数据； 分类模块， 用于识别所述安全日志数据的IP， 并根据IP对应关系将所述安全日志数据 划分至相应的索引类别中； 所述IP对应关系为所述IP与所述索引类别的对应关系， 且一个 所述索引类别包 含多个IP； 获取模块， 用于在所述索引类别为互联网时， 获取攻击源IP； 在所述索引类别为终端 时， 获取被攻击源IP； 判断模块， 用于根据风 险评估结果判断是否封禁所述攻击源IP或所述被攻击源IP； 所 述风险评估结果由风险评估 模块根据所述 攻击源IP或被攻击源IP自动生成； 封禁模块， 用于在所述风险评估结果为风险时， 控制防火墙封禁所述攻击源IP或所述 被攻击源IP。 7.根据权利要求6所述的一种多源网络安全告警事件溯源与自动处置装置， 其特征在 于， 所述风险评估 模块包括： 恶意IP地址威胁情报库， 用于获取所述攻击源IP的第一风险信息； 所述第一风 险信息 为所述攻击源IP在所述恶意IP地址威胁情报库中的匹配结果， 所述匹配结果包括匹配成功 和匹配失败； 攻击源IP处置单元， 用于获取所述攻击源IP的第二风 险信息； 所述第二风险信息为所 述攻击源IP的攻击参数是否大于攻击参数阈值； 所述攻击源IP的攻击参数包括攻击次数、 攻击频率和/或攻击目标的个数； 第一生成单元， 用于根据所述第 一风险信 息和所述第 二风险信 息生成所述风险评估结 果： 当所述第一风险结果为匹配成功且所述攻击参数大于攻击参数阈值 时， 所述风险评估 结果为风险； 否则， 所述 风险评估结果 为安全。 8.根据权利要求7所述的一种多源网络安全告警事件溯源与自动处置装置， 其特征在 于， 所述风险评估 模块还包括： 被攻击IP处置单元， 用于获取被攻击源IP风险信息； 所述被攻击源IP风险信息为被攻 击源IP告警参数是否大于被攻击源IP告警参数阈值； 所述被攻击源IP告警参数包括被攻击 源IP告警次数、 被攻击源IP告警频率和/或被攻击源IP告警时间； 第二生成单元， 用于根据所述被攻击源IP风险信息生成所述 风险评估结果： 当所述被攻击源IP告警参数大于被攻击源IP告警参数阈值时， 所述风险评估结果为风 险； 否则， 所述 风险评估结果 为安全。 9.根据权利要求6 ‑8中任意一项所述的一种 多源网络安全告警事件溯源与自动处置装 置， 其特征在于， 还包括预警模块， 所述预警模块用于在所述索引类别为服务器时， 获取服 务器IP和服务器IP告警参数； 并在所述服务器IP告警参数大于服务器IP告警参数阈值时， 对遭受攻击的服 务器进行 预警；权　利　要　求　书 2/3 页 3 CN 114143064 A 3