[发明专利]一种信息安全管理中心的协同分析方法

摘要

本发明涉及信息安全技术领域，尤其是一种信息安全管理中心的协同分析方法。本发明其一的安全管理中心的网间协作模块将疑似威胁信息发送，然后安全事件管理模块进行分析，如果该威胁符合了某攻击事件的标准，则确定为发现威胁；发现威胁的接受者将确认信息通过网间协作模块告知该疑似威胁的发送者以及其它安全管理中心；请求者通过安全策略库，采取相应相应措施；若自身未能发现，则通过与其它接受者进行通信；这些安全管理中心在接受信息后，将采取相应的措施来应对。本发明解决了安全管理中心的协同分析问题；可以用于信息安全管理的安全管理中心。

主权项

一种信息安全管理中心的协同分析方法，其特征在于：假定用户单位已经部署了多个安全管理中心；现有一安全管理中心Si通过自身的事件分析，发现了一种来自防火墙日志的疑似信息安全威胁时，则将其放入“疑似威胁队列”；Si为每个信息安全威胁设定一个时间阈值Ts，Si处设置一个计数器；在不超过Ts时，则应调用其他安全管理中心对该疑似信息安全威胁进行协同分析；如果超过这个阈值，仍未能得到多安全管理中心联合分析的结论，则确认为信息安全威胁，将该威胁从“疑似威胁队列”中移除，Si调用自身的安全策略进行响应处理；安全管理中心Si选择合适的其他安全管理中心进行协同分析的步骤是：第一步，每个安全管理中心周期性地向其它安全管理中心广播自己的资源负载信息，包括当前自己的可利用CPU处理能力、可利用网络带宽、可利用存储空间；第二步，请求者Si接受资源负载信息；第三步，Si求得其余每个安全管理中心的资源能力指数；第四步，安全管理中心根据资源能力指数大于某个值的安全管理中心，放入“协同安全管理中心队列”；所述的方法的协同处理流程：第一步，Si的网间协作模块将该来自防火墙日志的疑似信息安全威胁发送给自身的协同安全管理中心队列中的安全管理中心；第二步，自身的协同安全管理中心队列中的安全管理中心的网间协作模块在接受疑似信息安全威胁信息后，上传给自身的安全事件管理模块；第三步，自身的安全事件管理模块通过将该疑似威胁和自身疑似威胁队列中的疑似威胁进行第一阶段的关联分析，若经过关联分析的结果是该威胁符合了某攻击事件的标准，则确定为发现威胁；第四步，若确认安全威胁事件，发现威胁的接受者将确认信息通过网间协作模块告知该疑似威胁的请求者以及其它安全管理中心；第五步，请求者通过安全策略库，采取相应措施；第六步，若自身未能发现，则通过与其它接受者进行通信，进行第二阶段的关联分析；若确认安全威胁事件，发现威胁的接受者将确认信息通过网间协作模块告知该疑似威胁的请求者以及其它安全管理中心；第七步，这些安全管理中心在接受信息后，将采取相应的措施来应对。