CN114640548A - 一种基于大数据的网络安全感知和预警的方法及系统 - Google Patents
一种基于大数据的网络安全感知和预警的方法及系统 Download PDFInfo
- Publication number
- CN114640548A CN114640548A CN202210537449.6A CN202210537449A CN114640548A CN 114640548 A CN114640548 A CN 114640548A CN 202210537449 A CN202210537449 A CN 202210537449A CN 114640548 A CN114640548 A CN 114640548A
- Authority
- CN
- China
- Prior art keywords
- network
- safety
- sensitive data
- log
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于大数据的网络安全感知和预警的方法及系统,涉及网络安全技术领域,本方法包括步骤:S1:获取网络设备、安全设备、主机、应用及数据库的多维日志协议信息,通过至少一个处理器对多维日志协议信息进行预设分析处理,确定安全威胁和异常行为事件;S2:从网络的多维日志协议信息中提取各个设备的网络信息,网络信息包括设备的标识、设备受到的攻击数量以及历史运行数据。本方法能够通过对多维日志协议信息进行预设分析处理,再通过网络拓扑中节点自身的安全性,以及通过度反应的脆弱性,对网络态势进行预测,进而进行安全报警,该方式更加灵活准确,能够提升网络安全预警的准确性。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种基于大数据的网络安全感知和预警的方法及系统。
背景技术
随着大数据、云计算、物联网、工业互联网等新兴互联网技术应用的不断深入,企业信息化程度也越来越高,对信息系统的依赖程度达到了前所未有的高度,与此同时,也导致了各种新型网络攻击、敏感信息泄露等恶意信息安全事件频繁发生。涉及重要行业和政府部门的高危漏洞事件增多,基础应用或通用软件漏洞风险凸显,安全形势日趋严峻。特别是对于大型企业,企业信息系统规模属于全球企业前列,安全问题更加不容忽视。然而,现有的安全防御设施防御能力仍然不足,主要表现在以下三个方面:这些传统的安全产品都只能抵御来自某个方面的安全威胁,形成了一个个的“安全防御孤岛”,缺乏对海量多维度的信息安全数据进行有效的融合关联分析,不能使这些安全监测数据成为上层安全决策有效资源。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于大数据的网络安全感知和预警的方法及系统。
为解决上述问题,本发明提供一种基于大数据的网络安全感知和预警的方法,包括步骤:
S1:获取网络设备、安全设备、主机、应用及数据库的多维日志协议信息,通过至少一个处理器对多维日志协议信息进行预设分析处理,确定安全威胁和异常行为事件;
S2:从网络的多维日志协议信息中提取各个设备的网络信息,网络信息包括设备的标识、设备受到的攻击数量以及历史运行数据;
S3:将针对于网络拓扑中的每一个节点,根据该节点的度以及该节点处的设备的网络信息,确定该节点的安全状态;
S4:根据各个节点的安全状态确定网络是否安全,若不安全,通过建立违规外联检测能力,结合UEBA,分析用户异常行为操作和危害程度,通过安全自动化编排和响应联动安全设备进行提醒或阻拦;
S5:将不安全的多维日志协议信息中敏感数据进行预设分类分级处理,对处理后的敏感数据进行识别和跟踪管理;
S6:通过日志审计平台收集存储网络中的网络设备运行状况、用户行为和不安全的多维日志协议信息,生成审计报表并存储。
在上述方法中,通过收集网络设备、安全设备、主机、应用及数据库的Syslog、SNMP的日志协议信息,建立信息资产的综合性管理平台,通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,并通过周期性合规型和事件型报表为管理人员提供全局的视角,确保网络的运营安全。并增加了对安全事件的追溯的能力及手段,方便管理员进行事件跟踪和定位,并为事件的还原提供有力证据。
在上述方法中,建立违规外联检测能力,结合UEBA等手段,分析用户异常行为操作和危害程度,可更加迅速地发现违规操作,通过安全自动化编排和响应(SOAR)联动安全设备进行提醒或阻拦,以便及时采取安全措施,减少损失。
进一步地,所述步骤S1中的多维日志协议信息包括Syslog和SNMP日志协议,覆盖网络设备、主机及应用,并通过预置的解析规则进行日志的解析、过滤及分析。
进一步地,所述步骤S1中的预设分析处理包括:
S11:对安全事件日志的攻击、入侵和异常进行分析处理;
S12:对行为事件日志的内控和违规进行分析处理;
S13:对弱点扫描日志的弱点和漏洞进行分析处理;
S14:对状态监控日志的状态进行分析处理。
进一步地,所述步骤S3中的节点的安全状态包括:
S31:确定各个节点的安全状态的权重,计算各个节点的安全态势的加权和,判断加权和是否大于预定值;若是,则确定网络不安全。
进一步地,所述步骤S5中的敏感数据进行预设分类分级处理包括:
S51:以表格为基础的敏感数据分类,选择敏感表格组成敏感数据集合,在保障安全的基础进行管理;
S52:以Schema级别的敏感数据分类,支持Schema级别所有表格形成敏感数据集合,自动管理敏感数据表格的生成、变更和消亡,简化敏感数据管理;
S53:以业务为单元的敏感数据分类,敏感数据集合作为一个独立于数据库之外的访问控制单元,按照应用程序进行归类,应用程序可以自动访问敏感数据。
在上述方法中,通过对识别的数据资产进行分类分级,针对不同级别的数据进行策略设置,以实现敏感数据的识别和跟踪管理。
一种基于大数据的网络安全感知和预警的系统,包括:
获取模块:用于获取网络设备、安全设备、主机、应用及数据库的多维日志协议信息,通过至少一个处理器对多维日志协议信息进行预设分析处理,确定安全威胁和异常行为事件;
提取模块:用于从网络的多维日志协议信息中提取各个设备的网络信息,网络信息包括设备的标识、设备受到的攻击数量以及历史运行数据;
判断模块:用于将针对于网络拓扑中的每一个节点,根据该节点的度以及该节点处的设备的网络信息,确定该节点的安全状态;
网络安全提醒模块:用于根据各个节点的安全状态确定网络是否安全,若不安全,通过建立违规外联检测能力,结合UEBA,分析用户异常行为操作和危害程度,通过安全自动化编排和响应联动安全设备进行提醒或阻拦;
分类分级模块:用于将不安全的多维日志协议信息中敏感数据进行预设分类分级处理,对处理后的敏感数据进行识别和跟踪管理;
审计报表生成模块:通过日志审计平台收集存储网络中的网络设备运行状况、用户行为和不安全的多维日志协议信息,生成审计报表并存储。
进一步地,所述获取模块中的多维日志协议信息包括Syslog和SNMP日志协议,覆盖网络设备、主机及应用,并通过预置的解析规则进行日志的解析、过滤及分析。
进一步地,所述获取模块包括:
第一处理单元:用于对安全事件日志的攻击、入侵和异常进行分析处理;
第二处理单元:用于对行为事件日志的内控和违规进行分析处理;
第三处理单元:用于对弱点扫描日志的弱点和漏洞进行分析处理;
第四处理单元:用于对状态监控日志的状态进行分析处理。
进一步地,所述判断模块包括:
计算单元:用于确定各个节点的安全状态的权重,计算各个节点的安全态势的加权和,判断加权和是否大于预定值;若是,则确定网络不安全。
进一步地,所述分类分级模块包括:
第一分类分级单元:用于以表格为基础的敏感数据分类,选择敏感表格组成敏感数据集合,在保障安全的基础进行管理;
第二分类分级单元:用于以Schema级别的敏感数据分类,支持Schema级别所有表格形成敏感数据集合,自动管理敏感数据表格的生成、变更和消亡,简化敏感数据管理;
第三分类分级单元:用于以业务为单元的敏感数据分类,敏感数据集合作为一个独立于数据库之外的访问控制单元,按照应用程序进行归类,应用程序可以自动访问敏感数据。
本发明采用上述技术方案至少包括以下有益效果:
本发明通过对多维日志协议信息进行预设分析处理,再通过网络拓扑中节点自身的安全性,以及通过度反应的脆弱性,对网络态势进行预测,进而进行安全报警,该方式更加灵活准确,能够提升网络安全预警的准确性。方法中的联动阻断能力主要通过安全自动化编排和响应实现,以流程化的方式将解决方案自动生成事件进行调查。前期能够避免为了发现威胁而需投入的大量人力物力,中期能够简化手动操作创建事件的繁琐流程,后期能够自动生成分析报告。通过有效的传递告警,能够减少数据噪音和安全分析人员后续的工作量。此外,传统的分析因为人工操作占比很重,所以分析人员的错误也能直接导致事件分析的结果出错。SOAR通过智能分析将事件中重复的、常规的部分交给机器完成,这就使分析师集中更多的时间投入到调查和响应事件而非将时间消耗在执行调查所需的数据收集上。
附图说明
图1为本发明实施例一提供的基于大数据的网络安全感知和预警的方法流程图一;
图2为本发明实施例一提供的基于大数据的网络安全感知和预警的方法流程图二;
图3为本发明实施例二提供的基于大数据的网络安全感知和预警的系统结构图一;
图4为本发明实施例二提供的基于大数据的网络安全感知和预警的系统结构图二。
具体实施方式
为使本发明的上述目的、特征和优点能够更为明显易懂,下面结合附图对本发明的具体实施例做详细的说明。
以下是本发明的具体实施例并结合附图,对本发明的技术方案作进一步的描述,但本发明并不限于这些实施例。
实施例一
本实施例提供了一种基于大数据的网络安全感知和预警的方法,如图1和图2所示,本方法包括步骤:
S1:获取网络设备、安全设备、主机、应用及数据库的多维日志协议信息,通过至少一个处理器对多维日志协议信息进行预设分析处理,确定安全威胁和异常行为事件;
S2:从网络的多维日志协议信息中提取各个设备的网络信息,网络信息包括设备的标识、设备受到的攻击数量以及历史运行数据;
S3:将针对于网络拓扑中的每一个节点,根据该节点的度以及该节点处的设备的网络信息,确定该节点的安全状态;
S4:根据各个节点的安全状态确定网络是否安全,若不安全,通过建立违规外联检测能力,结合UEBA,分析用户异常行为操作和危害程度,通过安全自动化编排和响应联动安全设备进行提醒或阻拦;
S5:将不安全的多维日志协议信息中敏感数据进行预设分类分级处理,对处理后的敏感数据进行识别和跟踪管理;
S6:通过日志审计平台收集存储网络中的网络设备运行状况、用户行为和不安全的多维日志协议信息,生成审计报表并存储。
具体的,通过收集网络设备、安全设备、主机、应用及数据库的Syslog、SNMP的日志协议信息,建立信息资产的综合性管理平台,通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,并通过周期性合规型和事件型报表为管理人员提供全局的视角,确保网络的运营安全。并增加了对安全事件的追溯的能力及手段,方便管理员进行事件跟踪和定位,并为事件的还原提供有力证据。
具体的,建立违规外联检测能力,结合UEBA等手段,分析用户异常行为操作和危害程度,可更加迅速地发现违规操作,通过安全自动化编排和响应(SOAR)联动安全设备进行提醒或阻拦,以便及时采取安全措施,减少损失。主要针对以下边界违规行为进行防护:
对违规外联互联网、违规外联视频网以及其他专网等私自连接不受控网络的违规外联节点进行监控。
对违规的搭建网闸设备、WIFI路由设备、交换机串线、DHCP服务、网络代理服务、可解析互联网域名的DNS 服务等违规网络边界通道行为进行监控。
对私自搭建网中网、多网卡跨网、私网IP入网访问等行为进行监控。
定位网络中存在的非授权设备接入,包括非授权登记设备、移动设备等,掌握全网入网资源情况。
对全网资产空间路径节点监测,及时发现专网中未知的第三方网络路由节点以及未知的第三方边界节点接入等安全行为。
具体的,多维大数据关联分析,全网的安全要素分析、异常行为快速发现的能力以及实现整体网络的安全态势可视化能力。并将恶意文件、高级持续攻击者的IP、安全专业服务提供的检测数据以及平台发现的安全事件等数据,扩充至本地威胁情报,实现与平台联动分析,实现网络安全事件的自动发现和整体网络安全环境的评估能力。实现安全威胁预警机制。实现安全事件溯源并累计安全事件的特征,合并分析之后扩充至本地威胁情报库,实现未知安全威胁的发现,实现整体网络安全风险点预警。从真正意义上实现将传统的安全防护转变为具有智能自学习能力的大数据自动安全分析、预警与溯源一体化的整体网络安全运营平台。
生成审计报表,通过综合日志审计平台中独立的存储空间,收集存储网络系统中不少于六个月的网络设备运行状况、用户行为等进行日志,并根据记录数据进行分析并生成审计报表,避免受到未预期的删除、修改或覆盖。
日志信息获取,全面收集Syslog、SNMP日志协议,覆盖主流网络设备、主机及应用,保障日志信息的全面收集。实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及分析,增加了对安全事件的追溯的能力及手段,方便管理员进行事件跟踪和定位,并为事件的还原提供有力证据。
预设分析处理,对各种日志进行标准化处理。如各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志(弱点、漏洞)、各种状态监控日志(可用性、性能、状态)。
采集和分析网络流量数据,包括web流量、文件流量和邮件流量,通过基于不依赖已知攻击特征的智能分析技术,可以检测利用零日漏洞以及其它传统特征库匹配技术无法检测的APT攻击行为,并对恶意脚本在终端的整个活动进行分析,跟踪漏洞利用、软件下载、回连命令控制服务器外传数据等恶意攻击各阶段的活动行为,并输出详细的入侵行为报告。
预警恶意代码样本传播,一些高危的恶意代码通常杀毒软件是无法处理的,一旦进入内网影响较大,比如一些包含shellcode、勒索病毒的样本,APT产品可以快速的发现并预警这些攻击。
发现并定位僵尸主机,一旦出现极易被感染为僵尸主机,且难以发现,APT可以发现由内向外的异常流量,定位内网存在的僵尸主机,可以定位到具体的IP、MAC、区域等信息。
分析当前安全防护的弱点,当前安全防护的产品都是基于特征的,极易出现绕过和漏掉的攻击,通过深度和全面的行为分析能力,可以发现网络中的隐蔽攻击威胁通过及时发现漏掉的这些威胁,分析当前安全防护的弱点。
感知安全威胁趋势规律,通过对主机威胁、文件威胁和邮件威胁多个纬度的威胁分析,形成不同纬度的当前威胁指数,实现安全威胁统一分析,感知当前的安全威胁趋势和规律,通过可视化的方式进行展现,便于及时快速的掌握当前的安全动态和威胁指数。
进一步地,步骤S1中的多维日志协议信息包括Syslog和SNMP日志协议,覆盖网络设备、主机及应用,并通过预置的解析规则进行日志的解析、过滤及分析。
参阅图2,进一步地,步骤S1中的预设分析处理包括:
S11:对安全事件日志的攻击、入侵和异常进行分析处理;
S12:对行为事件日志的内控和违规进行分析处理;
S13:对弱点扫描日志的弱点和漏洞进行分析处理;
S14:对状态监控日志的状态进行分析处理。
具体的,数据分级通常按照业务特征、安全要求、数据关联性、数据范围、信息公开要求等进行分级,常见的有三种分级方式:
第一种是按照等级保护的要求进行数据分级,分为1级-5级,随着等级的上升,所影响的对象和程度也在逐步提升。
第二种是按照风险防控进行数据分级,风险防控是基于风险发生的概率及风险的影响程度综合判断的一种分级方式。
第三种也是最为常见的技术数据的敏感性进行的数据分级。分为极敏感级、敏感级、较敏感级、低敏感级。
通过数据分类分级能力建设,能够帮助一体化智能化公共数据平台进行自动数据发现、敏感数据识别,且可以依据法规标准进行分类分级操作,生成数据资产目录。
进一步地,步骤S3中的节点的安全状态包括:
S31:确定各个节点的安全状态的权重,计算各个节点的安全态势的加权和,判断加权和是否大于预定值;若是,则确定网络不安全。
进一步地,步骤S5中的敏感数据进行预设分类分级处理包括:
S51:以表格为基础的敏感数据分类,选择敏感表格组成敏感数据集合,在保障安全的基础进行管理;
S52:以Schema级别的敏感数据分类,支持Schema级别所有表格形成敏感数据集合,自动管理敏感数据表格的生成、变更和消亡,简化敏感数据管理;
S53:以业务为单元的敏感数据分类,敏感数据集合作为一个独立于数据库之外的访问控制单元,按照应用程序进行归类,应用程序可以自动访问敏感数据。
具体的,通过对识别的数据资产进行分类分级,针对不同级别的数据进行策略设置,以实现敏感数据的识别和跟踪管理。
本方法通过对多维日志协议信息进行预设分析处理,再通过网络拓扑中节点自身的安全性,以及通过度反应的脆弱性,对网络态势进行预测,进而进行安全报警,该方式更加灵活准确,能够提升网络安全预警的准确性。方法中的联动阻断能力主要通过安全自动化编排和响应实现,以流程化的方式将解决方案自动生成事件进行调查。前期能够避免为了发现威胁而需投入的大量人力物力,中期能够简化手动操作创建事件的繁琐流程,后期能够自动生成分析报告。通过有效的传递告警,能够减少数据噪音和安全分析人员后续的工作量。此外,传统的分析因为人工操作占比很重,所以分析人员的错误也能直接导致事件分析的结果出错。SOAR通过智能分析将事件中重复的、常规的部分交给机器完成,这就使分析师集中更多的时间投入到调查和响应事件而非将时间消耗在执行调查所需的数据收集上。
实施例二
本实施例提供了一种基于大数据的网络安全感知和预警的系统,如图3和图4所示,本系统包括:
获取模块:用于获取网络设备、安全设备、主机、应用及数据库的多维日志协议信息,通过至少一个处理器对多维日志协议信息进行预设分析处理,确定安全威胁和异常行为事件;
提取模块:用于从网络的多维日志协议信息中提取各个设备的网络信息,网络信息包括设备的标识、设备受到的攻击数量以及历史运行数据;
判断模块:用于将针对于网络拓扑中的每一个节点,根据该节点的度以及该节点处的设备的网络信息,确定该节点的安全状态;
网络安全提醒模块:用于根据各个节点的安全状态确定网络是否安全,若不安全,通过建立违规外联检测能力,结合UEBA,分析用户异常行为操作和危害程度,通过安全自动化编排和响应联动安全设备进行提醒或阻拦;
分类分级模块:用于将不安全的多维日志协议信息中敏感数据进行预设分类分级处理,对处理后的敏感数据进行识别和跟踪管理;
审计报表生成模块:通过日志审计平台收集存储网络中的网络设备运行状况、用户行为和不安全的多维日志协议信息,生成审计报表并存储。
进一步地,获取模块中的多维日志协议信息包括Syslog和SNMP日志协议,覆盖网络设备、主机及应用,并通过预置的解析规则进行日志的解析、过滤及分析。
参阅图4,进一步地,获取模块包括:
第一处理单元:用于对安全事件日志的攻击、入侵和异常进行分析处理;
第二处理单元:用于对行为事件日志的内控和违规进行分析处理;
第三处理单元:用于对弱点扫描日志的弱点和漏洞进行分析处理;
第四处理单元:用于对状态监控日志的状态进行分析处理。
进一步地,判断模块包括:
计算单元:用于确定各个节点的安全状态的权重,计算各个节点的安全态势的加权和,判断加权和是否大于预定值;若是,则确定网络不安全。
进一步地,分类分级模块包括:
第一分类分级单元:用于以表格为基础的敏感数据分类,选择敏感表格组成敏感数据集合,在保障安全的基础进行管理;
第二分类分级单元:用于以Schema级别的敏感数据分类,支持Schema级别所有表格形成敏感数据集合,自动管理敏感数据表格的生成、变更和消亡,简化敏感数据管理;
第三分类分级单元:用于以业务为单元的敏感数据分类,敏感数据集合作为一个独立于数据库之外的访问控制单元,按照应用程序进行归类,应用程序可以自动访问敏感数据。
本系统通过获取模块对多维日志协议信息进行预设分析处理,再通过判断模块判断网络拓扑中节点自身的安全性,以及通过度反应的脆弱性,对网络态势进行预测,进而通过网络安全提醒模块进行安全报警,该方式更加灵活准确,能够提升网络安全预警的准确性。
联动阻断能力主要通过安全自动化编排和响应实现,以流程化的方式将解决方案自动生成事件进行调查。前期能够避免为了发现威胁而需投入的大量人力物力,中期能够简化手动操作创建事件的繁琐流程,后期能够自动生成分析报告。通过有效的传递告警,能够减少数据噪音和安全分析人员后续的工作量。此外,传统的分析因为人工操作占比很重,所以分析人员的错误也能直接导致事件分析的结果出错。SOAR通过智能分析将事件中重复的、常规的部分交给机器完成,这就使分析师集中更多的时间投入到调查和响应事件而非将时间消耗在执行调查所需的数据收集上。
虽然本公开披露如上,但本公开的保护范围并非仅限于此。本领域技术人员,在不脱离本公开的精神和范围的前提下,可进行各种变更与修改,这些变更与修改均将落入本发明的保护范围。
Claims (10)
1.一种基于大数据的网络安全感知和预警的方法,其特征在于,包括步骤:
S1:获取网络设备、安全设备、主机、应用及数据库的多维日志协议信息,通过至少一个处理器对多维日志协议信息进行预设分析处理,确定安全威胁和异常行为事件;
S2:从网络的多维日志协议信息中提取各个设备的网络信息,网络信息包括设备的标识、设备受到的攻击数量以及历史运行数据;
S3:将针对于网络拓扑中的每一个节点,根据该节点的度以及该节点处的设备的网络信息,确定该节点的安全状态;
S4:根据各个节点的安全状态确定网络是否安全,若不安全,通过建立违规外联检测能力,结合UEBA,分析用户异常行为操作和危害程度,通过安全自动化编排和响应联动安全设备进行提醒或阻拦;
S5:将不安全的多维日志协议信息中敏感数据进行预设分类分级处理,对处理后的敏感数据进行识别和跟踪管理;
S6:通过日志审计平台收集存储网络中的网络设备运行状况、用户行为和不安全的多维日志协议信息,生成审计报表并存储。
2.根据权利要求1所述的基于大数据的网络安全感知和预警的方法,其特征在于,所述步骤S1中的多维日志协议信息包括Syslog和SNMP日志协议,覆盖网络设备、主机及应用,并通过预置的解析规则进行日志的解析、过滤及分析。
3.根据权利要求1所述的基于大数据的网络安全感知和预警的方法,其特征在于,所述步骤S1中的预设分析处理包括:
S11:对安全事件日志的攻击、入侵和异常进行分析处理;
S12:对行为事件日志的内控和违规进行分析处理;
S13:对弱点扫描日志的弱点和漏洞进行分析处理;
S14:对状态监控日志的状态进行分析处理。
4.根据权利要求1所述的基于大数据的网络安全感知和预警的方法,其特征在于,所述步骤S3中的节点的安全状态包括:
S31:确定各个节点的安全状态的权重,计算各个节点的安全态势的加权和,判断加权和是否大于预定值;若是,则确定网络不安全。
5.根据权利要求1所述的基于大数据的网络安全感知和预警的方法,其特征在于,所述步骤S5中的敏感数据进行预设分类分级处理包括:
S51:以表格为基础的敏感数据分类,选择敏感表格组成敏感数据集合,在保障安全的基础进行管理;
S52:以Schema级别的敏感数据分类,支持Schema级别所有表格形成敏感数据集合,自动管理敏感数据表格的生成、变更和消亡,简化敏感数据管理;
S53:以业务为单元的敏感数据分类,敏感数据集合作为一个独立于数据库之外的访问控制单元,按照应用程序进行归类,应用程序可以自动访问敏感数据。
6.一种基于大数据的网络安全感知和预警的系统,其特征在于,包括:
获取模块:用于获取网络设备、安全设备、主机、应用及数据库的多维日志协议信息,通过至少一个处理器对多维日志协议信息进行预设分析处理,确定安全威胁和异常行为事件;
提取模块:用于从网络的多维日志协议信息中提取各个设备的网络信息,网络信息包括设备的标识、设备受到的攻击数量以及历史运行数据;
判断模块:用于将针对于网络拓扑中的每一个节点,根据该节点的度以及该节点处的设备的网络信息,确定该节点的安全状态;
网络安全提醒模块:用于根据各个节点的安全状态确定网络是否安全,若不安全,通过建立违规外联检测能力,结合UEBA,分析用户异常行为操作和危害程度,通过安全自动化编排和响应联动安全设备进行提醒或阻拦;
分类分级模块:用于将不安全的多维日志协议信息中敏感数据进行预设分类分级处理,对处理后的敏感数据进行识别和跟踪管理;
审计报表生成模块:通过日志审计平台收集存储网络中的网络设备运行状况、用户行为和不安全的多维日志协议信息,生成审计报表并存储。
7.根据权利要求6所述的基于大数据的网络安全感知和预警的系统,其特征在于,所述获取模块中的多维日志协议信息包括Syslog和SNMP日志协议,覆盖网络设备、主机及应用,并通过预置的解析规则进行日志的解析、过滤及分析。
8.根据权利要求6所述的基于大数据的网络安全感知和预警的系统,其特征在于,所述获取模块包括:
第一处理单元:用于对安全事件日志的攻击、入侵和异常进行分析处理;
第二处理单元:用于对行为事件日志的内控和违规进行分析处理;
第三处理单元:用于对弱点扫描日志的弱点和漏洞进行分析处理;
第四处理单元:用于对状态监控日志的状态进行分析处理。
9.根据权利要求6所述的基于大数据的网络安全感知和预警的系统,其特征在于,所述判断模块包括:
计算单元:用于确定各个节点的安全状态的权重,计算各个节点的安全态势的加权和,判断加权和是否大于预定值;若是,则确定网络不安全。
10.根据权利要求6所述的基于大数据的网络安全感知和预警的系统,其特征在于,所述分类分级模块包括:
第一分类分级单元:用于以表格为基础的敏感数据分类,选择敏感表格组成敏感数据集合,在保障安全的基础进行管理;
第二分类分级单元:用于以Schema级别的敏感数据分类,支持Schema级别所有表格形成敏感数据集合,自动管理敏感数据表格的生成、变更和消亡,简化敏感数据管理;
第三分类分级单元:用于以业务为单元的敏感数据分类,敏感数据集合作为一个独立于数据库之外的访问控制单元,按照应用程序进行归类,应用程序可以自动访问敏感数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210537449.6A CN114640548A (zh) | 2022-05-18 | 2022-05-18 | 一种基于大数据的网络安全感知和预警的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210537449.6A CN114640548A (zh) | 2022-05-18 | 2022-05-18 | 一种基于大数据的网络安全感知和预警的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114640548A true CN114640548A (zh) | 2022-06-17 |
Family
ID=81953117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210537449.6A Pending CN114640548A (zh) | 2022-05-18 | 2022-05-18 | 一种基于大数据的网络安全感知和预警的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114640548A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115442276A (zh) * | 2022-08-23 | 2022-12-06 | 华能吉林发电有限公司长春热电厂 | 一种被动获取工控设备日志的方法 |
| CN115622796A (zh) * | 2022-11-16 | 2023-01-17 | 南京南瑞信息通信科技有限公司 | 网络安全联动响应作战图生成方法、系统、装置及介质 |
| CN115776415A (zh) * | 2023-02-13 | 2023-03-10 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于工业协议的网闸设备智能管理系统及方法 |
| CN117527860A (zh) * | 2024-01-05 | 2024-02-06 | 河北普兰特生物科技有限公司 | 一种基于分布式系统的物联网通信方法、系统及介质 |
| CN118200048A (zh) * | 2024-05-15 | 2024-06-14 | 陕西智网驿成信息科技有限公司 | 一种管控内网违规外联的方法 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209826A (zh) * | 2016-07-08 | 2016-12-07 | 瑞达信息安全产业股份有限公司 | 一种网络安全设备监测的安全事件分析方法 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
| CN108769048A (zh) * | 2018-06-08 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种安全可视化与态势感知平台系统 |
| CN110740141A (zh) * | 2019-11-15 | 2020-01-31 | 国网山东省电力公司信息通信公司 | 一体化网络安全态势感知方法、装置及计算机设备 |
| CN110855506A (zh) * | 2019-11-27 | 2020-02-28 | 国家电网有限公司信息通信分公司 | 安全态势监测方法及系统 |
| CN111190876A (zh) * | 2019-12-31 | 2020-05-22 | 天津浪淘科技股份有限公司 | 日志管理系统及其运行方法 |
| CN111711599A (zh) * | 2020-04-23 | 2020-09-25 | 北京凌云信安科技有限公司 | 基于多元海量数据融合关联分析的安全态势感知系统 |
| CN111832017A (zh) * | 2020-07-17 | 2020-10-27 | 中国移动通信集团广西有限公司 | 一种面向云的数据库安全态势感知系统 |
| CN112134877A (zh) * | 2020-09-22 | 2020-12-25 | 北京华赛在线科技有限公司 | 网络威胁检测方法、装置、设备及存储介质 |
| CN113098827A (zh) * | 2019-12-23 | 2021-07-09 | 中国移动通信集团辽宁有限公司 | 基于态势感知的网络安全预警方法及装置 |
| US20210287068A1 (en) * | 2020-03-13 | 2021-09-16 | EMC IP Holding Company LLC | Log analysis system employing long short-term memory recurrent neural networks |
| CN113992431A (zh) * | 2021-12-24 | 2022-01-28 | 北京微步在线科技有限公司 | 一种联动阻断方法、装置、电子设备及存储介质 |
| CN114493203A (zh) * | 2022-01-06 | 2022-05-13 | 云南云思科技有限公司 | 一种安全编排及自动化响应的方法和装置 |
-
2022
- 2022-05-18 CN CN202210537449.6A patent/CN114640548A/zh active Pending
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209826A (zh) * | 2016-07-08 | 2016-12-07 | 瑞达信息安全产业股份有限公司 | 一种网络安全设备监测的安全事件分析方法 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
| CN108769048A (zh) * | 2018-06-08 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种安全可视化与态势感知平台系统 |
| CN110740141A (zh) * | 2019-11-15 | 2020-01-31 | 国网山东省电力公司信息通信公司 | 一体化网络安全态势感知方法、装置及计算机设备 |
| CN110855506A (zh) * | 2019-11-27 | 2020-02-28 | 国家电网有限公司信息通信分公司 | 安全态势监测方法及系统 |
| CN113098827A (zh) * | 2019-12-23 | 2021-07-09 | 中国移动通信集团辽宁有限公司 | 基于态势感知的网络安全预警方法及装置 |
| CN111190876A (zh) * | 2019-12-31 | 2020-05-22 | 天津浪淘科技股份有限公司 | 日志管理系统及其运行方法 |
| US20210287068A1 (en) * | 2020-03-13 | 2021-09-16 | EMC IP Holding Company LLC | Log analysis system employing long short-term memory recurrent neural networks |
| CN111711599A (zh) * | 2020-04-23 | 2020-09-25 | 北京凌云信安科技有限公司 | 基于多元海量数据融合关联分析的安全态势感知系统 |
| CN111832017A (zh) * | 2020-07-17 | 2020-10-27 | 中国移动通信集团广西有限公司 | 一种面向云的数据库安全态势感知系统 |
| CN112134877A (zh) * | 2020-09-22 | 2020-12-25 | 北京华赛在线科技有限公司 | 网络威胁检测方法、装置、设备及存储介质 |
| CN113992431A (zh) * | 2021-12-24 | 2022-01-28 | 北京微步在线科技有限公司 | 一种联动阻断方法、装置、电子设备及存储介质 |
| CN114493203A (zh) * | 2022-01-06 | 2022-05-13 | 云南云思科技有限公司 | 一种安全编排及自动化响应的方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| 周凯: "《云安全》", 31 July 2020 * |
| 徐飞: "基于UEBA的网络安全态势感知技术现状及发展分析", 《网络安全技术与应用》 * |
| 温翠玲,王金嵩: "《计算机网络信息安全与防护策略研究》", 31 March 2019 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115442276A (zh) * | 2022-08-23 | 2022-12-06 | 华能吉林发电有限公司长春热电厂 | 一种被动获取工控设备日志的方法 |
| CN115622796A (zh) * | 2022-11-16 | 2023-01-17 | 南京南瑞信息通信科技有限公司 | 网络安全联动响应作战图生成方法、系统、装置及介质 |
| CN115622796B (zh) * | 2022-11-16 | 2023-04-07 | 南京南瑞信息通信科技有限公司 | 网络安全联动响应作战图生成方法、系统、装置及介质 |
| CN115776415A (zh) * | 2023-02-13 | 2023-03-10 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于工业协议的网闸设备智能管理系统及方法 |
| CN115776415B (zh) * | 2023-02-13 | 2023-04-25 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于工业协议的网闸设备智能管理系统及方法 |
| CN117527860A (zh) * | 2024-01-05 | 2024-02-06 | 河北普兰特生物科技有限公司 | 一种基于分布式系统的物联网通信方法、系统及介质 |
| CN117527860B (zh) * | 2024-01-05 | 2024-04-09 | 河北普兰特生物科技有限公司 | 一种基于分布式系统的物联网通信方法、系统及介质 |
| CN118200048A (zh) * | 2024-05-15 | 2024-06-14 | 陕西智网驿成信息科技有限公司 | 一种管控内网违规外联的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112651006B (zh) | 一种电网安全态势感知系统 | |
| CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及系统 | |
| CN111800395A (zh) | 一种威胁情报防御方法和系统 | |
| CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
| CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
| CN108111487B (zh) | 一种安全监控方法及系统 | |
| KR101788410B1 (ko) | 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법 | |
| US20150172302A1 (en) | Interface for analysis of malicious activity on a network | |
| CN116614277A (zh) | 基于机器学习与异常行为分析的网络安全监管系统与方法 | |
| CN112039862A (zh) | 一种面向多维立体网络的安全事件预警方法 | |
| Debar et al. | Intrusion detection: Introduction to intrusion detection and security information management | |
| KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
| CN116451215A (zh) | 关联分析方法及相关设备 | |
| KR100625096B1 (ko) | 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템 | |
| KR20080079767A (ko) | 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법 | |
| CN113794590A (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
| CN112596984A (zh) | 业务弱隔离环境下的数据安全态势感知系统 | |
| Mustapha et al. | Limitation of honeypot/honeynet databases to enhance alert correlation | |
| CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与系统 | |
| CN118138293A (zh) | 水利关键信息基础设施网络安全态势感知平台 | |
| KR100241361B1 (ko) | 감사 자료의 실시간 분석기 및 분석방법 | |
| CN117879887A (zh) | 一种基于人工智能的电脑主机信息传输监管系统 | |
| Pramudya et al. | Implementation of signature-based intrusion detection system using SNORT to prevent threats in network servers | |
| CN118018231A (zh) | 隔离区的安全策略管理方法、装置、设备和存储介质 | |
| Sangmee et al. | Anomaly detection using new MIB traffic parameters based on profile |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220617 |