CN117827813A - 一种计算机信息安全监控系统 - Google Patents
一种计算机信息安全监控系统 Download PDFInfo
- Publication number
- CN117827813A CN117827813A CN202410026185.7A CN202410026185A CN117827813A CN 117827813 A CN117827813 A CN 117827813A CN 202410026185 A CN202410026185 A CN 202410026185A CN 117827813 A CN117827813 A CN 117827813A
- Authority
- CN
- China
- Prior art keywords
- data
- module
- threat
- security
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 44
- 238000001514 detection method Methods 0.000 claims abstract description 72
- 230000004044 response Effects 0.000 claims abstract description 45
- 238000011084 recovery Methods 0.000 claims abstract description 24
- 238000000605 extraction Methods 0.000 claims abstract description 12
- 238000007781 pre-processing Methods 0.000 claims abstract description 11
- 238000004458 analytical method Methods 0.000 claims description 42
- 238000012545 processing Methods 0.000 claims description 37
- 238000004422 calculation algorithm Methods 0.000 claims description 33
- 238000007726 management method Methods 0.000 claims description 23
- 238000000034 method Methods 0.000 claims description 22
- 238000010801 machine learning Methods 0.000 claims description 15
- 238000006243 chemical reaction Methods 0.000 claims description 14
- 238000004140 cleaning Methods 0.000 claims description 13
- 230000006870 function Effects 0.000 claims description 11
- 230000002159 abnormal effect Effects 0.000 claims description 10
- 238000010606 normalization Methods 0.000 claims description 10
- 230000009467 reduction Effects 0.000 claims description 9
- 230000010354 integration Effects 0.000 claims description 7
- 230000005856 abnormality Effects 0.000 claims description 6
- 230000006399 behavior Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 6
- 230000000694 effects Effects 0.000 claims description 6
- 238000005070 sampling Methods 0.000 claims description 6
- 238000007619 statistical method Methods 0.000 claims description 6
- 238000012549 training Methods 0.000 claims description 6
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 claims description 5
- 230000000007 visual effect Effects 0.000 claims description 4
- 238000012800 visualization Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000013500 data storage Methods 0.000 claims description 3
- 238000011156 evaluation Methods 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 238000010921 in-depth analysis Methods 0.000 claims description 3
- 238000013439 planning Methods 0.000 claims description 3
- 238000000513 principal component analysis Methods 0.000 claims description 3
- 238000000638 solvent extraction Methods 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 3
- 230000009466 transformation Effects 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 101001019013 Homo sapiens Mitotic interactor and substrate of PLK1 Proteins 0.000 claims 2
- 102100033607 Mitotic interactor and substrate of PLK1 Human genes 0.000 claims 2
- 230000002708 enhancing effect Effects 0.000 abstract description 3
- 230000008569 process Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000003064 k means clustering Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013450 outlier detection Methods 0.000 description 2
- 238000007637 random forest analysis Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229920001971 elastomer Polymers 0.000 description 1
- 239000000806 elastomer Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3006—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
- G06F16/2282—Tablespace storage structures; Management thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
- G06F8/42—Syntactic analysis
- G06F8/427—Parsing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及身份认证技术领域,且公开了一种计算机信息安全监控系统,包括数据采集模块、数据预处理模块、异常检测模块、实时监控模块、安全日志管理模块、威胁情报模块、响应与恢复模块。提高安全性:通过数据采集、异常检测和实时监控模块,能够及时发现并识别潜在的安全异常,帮助防止和减少安全威胁和攻击对系统的危害。加强事件响应能力:通过实时监控模块和响应与恢复模块,能够快速发现安全事件并进行响应和恢复操作,有助于最大限度地减少安全事件造成的损失和影响。提升监控效率:通过数据预处理和特征提取,能够对采集到的数据进行有效处理和分析,减少误报和漏报的情况,提高监控效率。
Description
技术领域
本发明涉及信息安全技术领域,具体为一种计算机信息安全监控系统。
背景技术
计算机信息安全监控系统的技术方案在当前的信息化社会中具有重要意义。随着计算机网络的广泛应用,网络安全问题变得日益突出,各种新型的安全威胁和攻击手段层出不穷。为了保护计算机系统和网络环境的安全,监控系统应运而生。
现有技术的情况:目前,许多企业和组织已经意识到信息安全的重要性,采取了各种措施保护其计算机系统和网络环境的安全。但是,现有技术在实际应用中还存在一些缺点和挑战。
1.数据采集困难:不同类型的计算机信息安全数据需要通过各种工具进行采集,但不同工具之间的兼容性和集成性不足,导致数据采集困难并且可能造成数据丢失或完整性问题。
2.数据处理复杂:采集到的原始数据通常需要进行预处理,如清洗、格式转换和特征提取等。这些预处理工作需要耗费大量的时间和资源,且对数据分析人员的要求较高。
3.异常检测瓶颈:目前的异常检测算法存在一定局限性,无法很好地应对快速演变的安全威胁和攻击手段。同时,算法的准确性和实时性仍然需要提高。
4.实时性要求高:安全监控系统需要及时发现和响应安全事件,以避免损失扩大。然而,现有的实时监控技术在大规模数据环境下的性能和稳定性仍然具有挑战性。
5.日志管理不完善:安全日志的管理和分析在安全监控系统中至关重要,但现有的日志管理系统在存储、查询和报告等方面仍存在一些瓶颈和不足。
6.威胁情报整合难:威胁情报的获取和处理需要与内外部的安全情报平台进行集成,但当前的技术还没有很好地解决这个问题,整合威胁情报的效率和准确性有待提高。
7.响应与恢复不完善:针对检测到的安全事件进行响应和恢复的自动化工具较少,并且入侵检测系统的准确性和可靠性仍有改进空间。
综上所述,现有的计算机信息安全监控系统技术在数据采集、数据处理、异常检测、实时监控、日志管理、威胁情报整合和响应与恢复等方面仍然存在一些缺点和挑战,需要进一步研究和改进。
因此针对上述问题,我们提出一种计算机信息安全监控系统
发明内容
为实现上述目的,本发明提供如下技术方案:一种计算机信息安全监控系统,包括
数据采集模块:该模块负责采集各种计算机信息安全相关的数据;
数据预处理模块:采集到的原始数据通常需要进行预处理,以便后续的分析和处理,该模块可以负责数据清洗、格式转换、特征提取工作;
异常检测模块:该模块使用机器学习或统计方法,对数据进行分析和建模,以识别潜在的安全异常,检测算法包括基于规则的检测、基于统计的异常检测、基于机器学习的异常检测;
实时监控模块:该模块负责实时监控系统的安全状态,及时发现安全事件并进行响应,可以使用实时流处理平台,如Apache Kafka、Apache Flink,结合规则引擎实现;
安全日志管理模块:该模块用于存储和管理采集到的安全相关日志,提供日志查询、分析和报告功能,可以使用日志管理系统,如Elasticsearch、Logstash、Kibana;
威胁情报模块:该模块负责获取和处理来自内外部的威胁情报信息,及时更新系统的威胁库,以提高检测准确性,可以使用威胁情报平台,如MISP、STIX/TAXII;
响应与恢复模块:该模块负责对检测到的安全事件进行响应和恢复操作,可以包括自动化响应工具、入侵检测系统。
优选的:所述数据采集模块具体工具为Wireshark、Snort、Elasticsearch、Splunk或者Sysmon。
优选的:所述数据预处理模块具体为:
①数据清洗:将原始数据中的冗余、噪声或错误数据进行过滤和修正,以提高数据的质量,可以使用各种数据清洗技术,如去除重复数据、处理缺失值、处理异常值;
②格式转换:将采集到的数据转换为适合后续处理的格式,例如将日志文件转换为结构化数据或将不同格式的数据进行统一,可以使用文本解析、正则表达式、JSON/XML解析技术;
③特征提取:从原始数据中提取关键的特征信息,以便后续的分析和建模,特征提取可以基于统计方法、机器学习方法或领域知识;
④数据转换和规范化:对提取到的特征进行转换和规范化,以便更好地适应后续的算法和模型,常见的数据转换和规范化方法包括归一化、标准化、对数变换;
⑤数据集成和合并:如果需要处理多个数据源的数据,可以对数据进行集成和合并操作,以获得更完整的信息,可以使用数据库操作、关联查询、数据连接方法;
⑥数据降维:对于高维度的数据,可以使用降维算法将其转换为低维度的表示,以减少计算复杂性和存储空间,常见的降维算法有主成分分析、线性判别分析;
⑦数据划分和抽样:根据实际需求,可以将数据划分为训练集、验证集和测试集,并进行抽样操作,以便进行模型训练和评估;
优选的:所述异常检测模块:以下是异常检测的算法公式:
①基于规则的检测:
规则检测通常基于预定义规则或规则集合来识别异常,例如,以下是一个简单的规则,用于检测在网络流量数据中的异常:
源IP地址为非本地IP地址且目标IP地址为本地IP地址THEN报警;
②基于统计的异常检测:
基于统计的异常检测方法的常见算法包括:Boxplot、Z-Score、Median AbsoluteDeviation(MAD)算法;
③基于机器学习的异常检测:
基于机器学习的异常检测方法的常见算法包括:聚类、分类、异常点检测。
优选的:所述威胁情报模块:实现一个威胁情报模块可以遵循以下步骤:
数据获取:从内外部获取威胁情报信息;
数据处理和解析:对获取到的威胁情报数据进行处理和解析;
威胁库更新:将处理后的威胁情报数据更新到系统的威胁库中;
威胁情报与检测关联:将获取到的威胁情报与系统的检测模块进行关联;
威胁情报共享和交流:如果系统是作为一个威胁情报平台,还可以实现威胁情报的共享和交流。
优选的:所述安全日志管理模块:
收集系统中各种安全相关的日志数据。
数据传输和处理:将采集到的日志数据传输到日志管理系统中;
日志存储和索引:将日志数据存储到适当的数据存储介质中,并建立索引以支持高效的日志查询和检索;
日志查询和分析:使用日志管理系统的查询和分析功能,对存储的日志数据进行查询和分析;
日志报告和可视化:生成安全日志的报告和可视化图表,以展示系统的安全状况和趋势;
日志保护和访问控制:确保存储的日志数据的安全性和完整性。
优选的:所述威胁情报模块是指一种用于获取和处理来自内外部的威胁情报信息,从而及时更新系统的威胁库,提高系统的安全性和检测准确性的软件模块,威胁情报信息可以来自公共信息来源、社区资源和自有信息;
威胁情报平台是一种常用的实现威胁情报模块的工具,这些平台可以将来自多个来源的威胁情报数据进行汇总、分析和分类,以生成客户定制化的威胁情报库,帮助用户在特定的网络环境中有针对性地评估和降低安全风险,一些常见的威胁情报平台包括:MISP、STIX/TAXII、AlienVault OTX或者Anomali。
优选的:所述响应与恢复模块是指用于响应和处理检测到的安全事件,并进行系统恢复的软件模块,这个模块通常涉及以下功能和工具:
自动化响应工具:自动化响应工具可以自动执行某些针对特定安全事件的响应操作,这些工具可以根据预定义的规则或策略,识别并对某些常见的安全事件做出快速响应;
入侵检测系统(IDS):入侵检测系统可以监控网络和系统中的活动,并检测潜在的安全威胁和攻击行为,当检测到异常活动时,IDS可以触发警报,并采取相应的响应措施;
恶意软件分析工具:恶意软件分析工具可以对检测到的恶意软件进行深入分析,以了解其行为、特征和传播方式,这些工具可以帮助确定恶意软件的类型、来源和影响,并提供相应的恢复和清除策略;
事件响应计划:事件响应计划是在安全事件发生时,指导团队进行响应和恢复操作的详细计划,这包括分配责任、定义流程、设定优先级和时间表;
恢复工具和策略:响应与恢复模块还包括从安全事件中恢复系统的工具和策略,这可以包括恢复备份的数据、修复被感染的系统、移除恶意软件和漏洞,恢复策略应该根据特定的事件和系统需求进行定制化设计。
(三)有益效果
与现有技术相比,本发明提供了一种计算机信息安全监控系统及其实现方法,具备以下有益效果:
1.提高安全性:通过数据采集、异常检测和实时监控模块,能够及时发现并识别潜在的安全异常,帮助防止和减少安全威胁和攻击对系统的危害。
2.加强事件响应能力:通过实时监控模块和响应与恢复模块,能够快速发现安全事件并进行响应和恢复操作,有助于最大限度地减少安全事件造成的损失和影响。
3.提升监控效率:通过数据预处理和特征提取,能够对采集到的数据进行有效处理和分析,减少误报和漏报的情况,提高监控效率。
4.优化日志管理:通过安全日志管理模块,可以对采集到的安全相关日志进行存储、查询和分析,帮助了解系统的安全状况和事件发生情况,为后续的安全分析和决策提供支持。
5.增强威胁情报能力:通过威胁情报模块,能够获取和处理内外部的威胁情报信息,及时更新系统的威胁库,提高异常检测的准确性和敏感性。
6.提升系统可扩展性:该技术方案考虑了系统的可扩展性,可以根据实际需求进行定制化开发和集成外部平台,为未来系统的升级和扩展提供便利。
综上所述,该技术方案可以提高计算机信息安全监控系统的安全性、效率和响应能力,帮助组织及时发现和应对安全威胁,保护系统和数据的安全。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请实施例提供了一种计算机信息安全监控系统,包括数据采集模块:该模块负责采集各种计算机信息安全相关的数据,例如网络流量、日志文件、系统事件,可以使用网络数据包抓取工具、日志监控工具实现;
数据预处理模块:采集到的原始数据通常需要进行预处理,以便后续的分析和处理,该模块可以负责数据清洗、格式转换、特征提取工作;
异常检测模块:该模块使用机器学习或统计方法,对数据进行分析和建模,以识别潜在的安全异常,检测算法包括基于规则的检测、基于统计的异常检测、基于机器学习的异常检测;
实时监控模块:该模块负责实时监控系统的安全状态,及时发现安全事件并进行响应,可以使用实时流处理平台,如Apache Kafka、Apache Flink,结合规则引擎实现;
安全日志管理模块:该模块用于存储和管理采集到的安全相关日志,提供日志查询、分析和报告功能,可以使用日志管理系统,如Elasticsearch、Logstash、Kibana;
威胁情报模块:该模块负责获取和处理来自内外部的威胁情报信息,及时更新系统的威胁库,以提高检测准确性,可以使用威胁情报平台,如MISP、STIX/TAXII;
响应与恢复模块:该模块负责对检测到的安全事件进行响应和恢复操作,可以包括自动化响应工具、入侵检测系统。
进一步的所述数据采集模块具体工具为:
Wireshark:Wireshark是一个流行的网络数据包抓取和分析工具。它可以捕获网络接口上的数据包,提供对捕获数据包的详细分析,并支持多种协议解码,帮助检测和分析网络攻击、异常行为和漏洞。
Snort:Snort是一款开源的入侵检测系统(IDS)和入侵防御系统(IPS)工具。它可以监控网络流量,并根据预定义的规则检测潜在的安全威胁和攻击行为。Snort支持实时分析和警报功能,可以快速响应潜在的攻击事件。
Elasticsearch:Elasticsearch是一个分布式搜索和分析引擎,广泛用于处理大规模数据的实时搜索、分析和存储。它可以与其他工具结合使用,收集、聚合和分析各种类型的日志数据,支持高效的搜索和可视化分析。
Splunk:Splunk是一款用于日志监控、分析和可视化的商业化解决方案。它可以处理和分析大量的日志数据,并提供强大的搜索、查询和报告功能,帮助监控系统活动、发现异常行为和安全事件。
Sysmon:Sysmon是一个由微软提供的高级事件日志监控工具,可运行在Windows操作系统上。它可以收集和记录系统活动、进程创建、网络连接信息,并生成丰富的日志数据,用于安全监控和威胁检测。
所述数据预处理模块具体为①数据清洗:将原始数据中的冗余、噪声或错误数据进行过滤和修正,以提高数据的质量,可以使用各种数据清洗技术,如去除重复数据、处理缺失值、处理异常值;
②格式转换:将采集到的数据转换为适合后续处理的格式,例如将日志文件转换为结构化数据或将不同格式的数据进行统一,可以使用文本解析、正则表达式、JSON/XML解析技术;
③特征提取:从原始数据中提取关键的特征信息,以便后续的分析和建模,特征提取可以基于统计方法、机器学习方法或领域知识,例如,从网络流量数据中提取流量大小、流量方向、协议类型特征;
④数据转换和规范化:对提取到的特征进行转换和规范化,以便更好地适应后续的算法和模型,常见的数据转换和规范化方法包括归一化、标准化、对数变换;
⑤数据集成和合并:如果需要处理多个数据源的数据,可以对数据进行集成和合并操作,以获得更完整的信息,可以使用数据库操作、关联查询、数据连接方法;
⑥数据降维:对于高维度的数据,可以使用降维算法将其转换为低维度的表示,以减少计算复杂性和存储空间,常见的降维算法有主成分分析、线性判别分析;
⑦数据划分和抽样:根据实际需求,可以将数据划分为训练集、验证集和测试集,并进行抽样操作,以便进行模型训练和评估;
进一步的,所述异常检测模块:以下是异常检测的算法公式:
基于规则的检测:
规则检测通常基于预定义规则或规则集合来识别异常,例如,以下是一个简单的规则,用于检测在网络流量数据中的异常:
IF(源IP地址为非本地IP地址且目标IP地址为本地IP地址)THEN报警;
基于统计的异常检测:
基于统计的异常检测方法的常见算法包括:Boxplot、Z-Score、Median AbsoluteDeviation(MAD)等算法,其中比较经典的Z-Score算法公式如下:
Z-score=(x-mean)/std
其中,x表示数据样本,mean表示平均值,std表示标准差。当一个数据点的Z-score值超过一定的阈值(通常设为3)时,就会被视为异常点。
基于机器学习的异常检测:
基于机器学习的异常检测方法的常见算法包括:聚类、分类、异常点检测。以下是一些常见算法的示例:
-K-Means聚类算法:
K-Means聚类算法的公式如下:
1.初始化k个聚类中心;
2.重复步骤3-5,直到聚类中心不再改变或迭代次数达到一定值;
3.将每个数据点分配到最近的聚类中心;
4.重新计算每个聚类的中心;
5.评估聚类结果。
-随机森林分类算法:
随机森林分类算法的公式如下:
1.构建多个决策树;
2.针对每个节点,从所有变量中随机选择一个子集,选择最佳的分裂点;
3.重复2的步骤,直到树的大小达到预设最大值;
4.通过投票来决定最终的分类结果。
-Isolation Forest异常点检测算法:
Isolation Forest异常点检测算法的公式如下:
1.选取随机样本;
2.随机选择特征,通过分割数据来创建节点;
3.重复步骤2,直到每个子树中只有一个数据点;
4.计算每个点在树中的路径长度;
5.通过路径长度来判断每个数据点是否是异常点。
所述威胁情报模块:实现一个威胁情报模块可以遵循以下步骤:
数据获取:从内外部获取威胁情报信息。可以使用威胁情报平台(如MISP、STIX/TAXII)或其他源(例如公共威胁情报源、安全厂商提供的情报源等)来获取相关数据。这些平台和源可提供实时、定期更新的威胁数据。
数据处理和解析:对获取到的威胁情报数据进行处理和解析。这包括数据格式转换、数据清洗、标准化等。如果采用STIX/TAXII格式,可使用相应的解析库或工具对数据进行解析。
威胁库更新:将处理后的威胁情报数据更新到系统的威胁库中。威胁库可能是一个数据库或其他形式的存储,用于存储已收集的威胁情报。
威胁情报与检测关联:将获取到的威胁情报与系统的检测模块进行关联。这可以是建立匹配规则、特征提取等方式,将威胁情报与检测模块进行集成。
威胁情报共享和交流:如果系统是作为一个威胁情报平台,还可以实现威胁情报的共享和交流。这可以包括与其他系统或组织的情报共享、发布实时威胁情报通知等。
进一步的,所述安全日志管理模块:收集系统中各种安全相关的日志数据,例如操作日志、审计日志、系统日志、网络设备日志等。这些数据可以来自不同的源,如操作系统、应用程序、网络设备等。
数据传输和处理:将采集到的日志数据传输到日志管理系统中。常见的日志管理系统包括Elasticsearch、Logstash和Kibana(ELK堆栈),也可以选择其他适合需求的日志管理系统。
日志存储和索引:将日志数据存储到适当的数据存储介质中,并建立索引以支持高效的日志查询和检索。Elasticsearch是一种流行的搜索和分析引擎,可以用于存储和索引日志数据。
日志查询和分析:使用日志管理系统的查询和分析功能,对存储的日志数据进行查询和分析。可以使用自定义查询语言(如Elasticsearch的查询语法)来筛选和搜索特定的日志事件。这可以用于发现异常活动、安全事件调查、合规性审计等目的。
日志报告和可视化:生成安全日志的报告和可视化图表,以展示系统的安全状况和趋势。Kibana等工具可以帮助创建仪表板和图表,以可视化日志数据。
日志保护和访问控制:确保存储的日志数据的安全性和完整性。这可以包括加密日志数据、设定访问控制策略和权限、限制日志的修改和删除等。。
所述威胁情报模块是指一种用于获取和处理来自内外部的威胁情报信息,从而及时更新系统的威胁库,提高系统的安全性和检测准确性的软件模块。威胁情报信息可以来自公共信息来源、社区资源和自有信息等,例如黑客攻击、网络病毒、APT攻击等。通过及时获取威胁情报信息,对系统进行实时的威胁评估和安全监控,以便及时采取相应的防御措施和应急响应。
进一步的,威胁情报平台是一种常用的实现威胁情报模块的工具。这些平台可以将来自多个来源的威胁情报数据进行汇总、分析和分类,以生成客户定制化的威胁情报库,帮助用户在特定的网络环境中有针对性地评估和降低安全风险。一些常见的威胁情报平台包括:
MISP:MISP(Malware Information Sharing Platform)是一个免费的开源平台,用于收集、共享、分析和处理安全事件和威胁情报。MISP可以推送和拉取包括:上下文,攻击者的IP地址,domain,邮箱,恶意软件样本等万恶数据。
STIX/TAXII:STIX(Structured Threat Information Expression)是一种开放的XML标准,用于描述安全威胁情报数据。TAXII(Trusted Automated Exchange ofIndicator Information)是一种协议,用于在不同的情报平台之间交换安全威胁情报数据。STIX和TAXII通常被用于在情报间,或对于不需要深入安全事件调查时(如自动化的入侵事件响应系统、SIEM、EDR等)推送、拉取严格定义的威胁情报格式。
AlienVault OTX:AlienVault Open Threat Exchange(OTX)是一个开源的威胁情报共享平台,允许安全研究人员和安全团队共享、分析和讨论威胁情报信息。
Anomali:Anomali是一个面向企业的威胁情报平台,它的优势在于获取并推送分析威胁情报的自定义能力。用户可以在Anomali自己的情报库以及其他单独订阅的第三方情报中,创建可遵循多个开放标准的规则,可直接应用于风险评估、漏洞分析、恶意软件检测、情报搜索等任务。
进一步的,所述响应与恢复模块是指用于响应和处理检测到的安全事件,并进行系统恢复的软件模块。这个模块通常涉及以下功能和工具:
1.自动化响应工具:自动化响应工具可以自动执行某些针对特定安全事件的响应操作。这些工具可以根据预定义的规则或策略,识别并对某些常见的安全事件做出快速响应。例如,自动封锁具有恶意行为的IP地址、自动隔离感染的主机、自动阻断恶意流量等。
2.入侵检测系统(IDS):入侵检测系统可以监控网络和系统中的活动,并检测潜在的安全威胁和攻击行为。当检测到异常活动时,IDS可以触发警报,并采取相应的响应措施,如通知管理员、封锁攻击者、断开与网络的连接等。
3.恶意软件分析工具:恶意软件分析工具可以对检测到的恶意软件进行深入分析,以了解其行为、特征和传播方式。这些工具可以帮助确定恶意软件的类型、来源和影响,并提供相应的恢复和清除策略。
4.事件响应计划:事件响应计划是在安全事件发生时,指导团队进行响应和恢复操作的详细计划。这包括分配责任、定义流程、设定优先级和时间表等。一个有效的事件响应计划可以帮助团队快速、有序地应对安全事件,最大程度地减少损失。
5.恢复工具和策略:响应与恢复模块还包括从安全事件中恢复系统的工具和策略。这可以包括恢复备份的数据、修复被感染的系统、移除恶意软件和漏洞等。恢复策略应该根据特定的事件和系统需求进行定制化设计。
综上所述,响应与恢复模块旨在帮助组织及时响应和处理检测到的安全事件,并从中恢复系统的正常状态。通过自动化响应工具、入侵检测系统、恶意软件分析工具等工具和策略的结合使用,可以有效地提高安全性,并减少对组织的影响。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (8)
1.一种计算机信息安全监控系统,其特征在于:包括
数据采集模块:该模块负责采集各种计算机信息安全相关的数据;
数据预处理模块:采集到的原始数据通常需要进行预处理,以便后续的分析和处理,该模块可以负责数据清洗、格式转换、特征提取工作;
异常检测模块:该模块使用机器学习或统计方法,对数据进行分析和建模,以识别潜在的安全异常,检测算法包括基于规则的检测、基于统计的异常检测、基于机器学习的异常检测;
实时监控模块:该模块负责实时监控系统的安全状态,及时发现安全事件并进行响应,可以使用实时流处理平台,如Apache Kafka、Apache Fl ink,结合规则引擎实现;
安全日志管理模块:该模块用于存储和管理采集到的安全相关日志,提供日志查询、分析和报告功能,可以使用日志管理系统,如Elasticsearch、Logstash、Kibana;
威胁情报模块:该模块负责获取和处理来自内外部的威胁情报信息,及时更新系统的威胁库,以提高检测准确性,可以使用威胁情报平台,如MISP、STIX/TAXII;
响应与恢复模块:该模块负责对检测到的安全事件进行响应和恢复操作,可以包括自动化响应工具、入侵检测系统。
2.根据权利要求1所述的一种计算机信息安全监控系统,其特征在于:所述数据采集模块具体工具为Wireshark、Snort、Elasticsearch、Splunk或者Sysmon。
3.根据权利要求1所述的一种计算机信息安全监控系统,其特征在于:所述数据预处理模块具体为:
①数据清洗:将原始数据中的冗余、噪声或错误数据进行过滤和修正,以提高数据的质量,可以使用各种数据清洗技术,如去除重复数据、处理缺失值、处理异常值;
②格式转换:将采集到的数据转换为适合后续处理的格式,例如将日志文件转换为结构化数据或将不同格式的数据进行统一,可以使用文本解析、正则表达式、JSON/XML解析技术;
③特征提取:从原始数据中提取关键的特征信息,以便后续的分析和建模,特征提取可以基于统计方法、机器学习方法或领域知识;
④数据转换和规范化:对提取到的特征进行转换和规范化,以便更好地适应后续的算法和模型,常见的数据转换和规范化方法包括归一化、标准化、对数变换;
⑤数据集成和合并:如果需要处理多个数据源的数据,可以对数据进行集成和合并操作,以获得更完整的信息,可以使用数据库操作、关联查询、数据连接方法;
⑥数据降维:对于高维度的数据,可以使用降维算法将其转换为低维度的表示,以减少计算复杂性和存储空间,常见的降维算法有主成分分析、线性判别分析;
⑦数据划分和抽样:根据实际需求,可以将数据划分为训练集、验证集和测试集,并进行抽样操作,以便进行模型训练和评估。
4.根据权利要求1所述的一种计算机信息安全监控系统,其特征在于:所述异常检测模块:以下是异常检测的算法公式:
①基于规则的检测:
规则检测通常基于预定义规则或规则集合来识别异常,例如,以下是一个简单的规则,用于检测在网络流量数据中的异常:
源IP地址为非本地IP地址且目标IP地址为本地IP地址THEN报警;
②基于统计的异常检测:
基于统计的异常检测方法的常见算法包括:Boxplot、Z-Score、Median AbsoluteDeviation算法;
③基于机器学习的异常检测:
基于机器学习的异常检测方法的常见算法包括:聚类、分类、异常点检测。
5.根据权利要求1所述的一种计算机信息安全监控系统及其实现方法,其特征在于:所述威胁情报模块:实现一个威胁情报模块可以遵循以下步骤:
数据获取:从内外部获取威胁情报信息;
数据处理和解析:对获取到的威胁情报数据进行处理和解析;
威胁库更新:将处理后的威胁情报数据更新到系统的威胁库中;
威胁情报与检测关联:将获取到的威胁情报与系统的检测模块进行关联;
威胁情报共享和交流:如果系统是作为一个威胁情报平台,还可以实现威胁情报的共享和交流。
6.根据权利要求1所述的一种计算机信息安全监控系统,其特征在于:所述安全日志管理模块:
收集系统中各种安全相关的日志数据。
数据传输和处理:将采集到的日志数据传输到日志管理系统中;
日志存储和索引:将日志数据存储到适当的数据存储介质中,并建立索引以支持高效的日志查询和检索;
日志查询和分析:使用日志管理系统的查询和分析功能,对存储的日志数据进行查询和分析;
日志报告和可视化:生成安全日志的报告和可视化图表,以展示系统的安全状况和趋势;
日志保护和访问控制:确保存储的日志数据的安全性和完整性。
7.根据权利要求1所述的一种计算机信息安全监控系统,其特征在于:所述威胁情报模块是指一种用于获取和处理来自内外部的威胁情报信息,从而及时更新系统的威胁库,提高系统的安全性和检测准确性的软件模块,威胁情报信息可以来自公共信息来源、社区资源和自有信息;
威胁情报平台是一种常用的实现威胁情报模块的工具,这些平台可以将来自多个来源的威胁情报数据进行汇总、分析和分类,以生成客户定制化的威胁情报库,帮助用户在特定的网络环境中有针对性地评估和降低安全风险,一些常见的威胁情报平台包括:MISP、STIX/TAXII、AlienVault OTX或者Anomal i。
8.根据权利要求1所述的一种计算机信息安全监控系统及其实现方法,其特征在于:所述响应与恢复模块是指用于响应和处理检测到的安全事件,并进行系统恢复的软件模块,这个模块通常涉及以下功能和工具:
自动化响应工具:自动化响应工具可以自动执行某些针对特定安全事件的响应操作,这些工具可以根据预定义的规则或策略,识别并对某些常见的安全事件做出快速响应;
入侵检测系统:入侵检测系统可以监控网络和系统中的活动,并检测潜在的安全威胁和攻击行为,当检测到异常活动时,IDS可以触发警报,并采取相应的响应措施;
恶意软件分析工具:恶意软件分析工具可以对检测到的恶意软件进行深入分析,以了解其行为、特征和传播方式,这些工具可以帮助确定恶意软件的类型、来源和影响,并提供相应的恢复和清除策略;
事件响应计划:事件响应计划是在安全事件发生时,指导团队进行响应和恢复操作的详细计划,这包括分配责任、定义流程、设定优先级和时间表;
恢复工具和策略:响应与恢复模块还包括从安全事件中恢复系统的工具和策略,这可以包括恢复备份的数据、修复被感染的系统、移除恶意软件和漏洞。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410026185.7A CN117827813A (zh) | 2024-01-09 | 2024-01-09 | 一种计算机信息安全监控系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410026185.7A CN117827813A (zh) | 2024-01-09 | 2024-01-09 | 一种计算机信息安全监控系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117827813A true CN117827813A (zh) | 2024-04-05 |
Family
ID=90524020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410026185.7A Pending CN117827813A (zh) | 2024-01-09 | 2024-01-09 | 一种计算机信息安全监控系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117827813A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118264476A (zh) * | 2024-04-11 | 2024-06-28 | 山东蜂安云涌智能科技有限公司 | 基于分布式云计算的网络安全漏洞检测方法及系统 |
| CN118521326A (zh) * | 2024-07-23 | 2024-08-20 | 山东农业工程学院 | 牛肉食品安全溯源管理系统 |
-
2024
- 2024-01-09 CN CN202410026185.7A patent/CN117827813A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118264476A (zh) * | 2024-04-11 | 2024-06-28 | 山东蜂安云涌智能科技有限公司 | 基于分布式云计算的网络安全漏洞检测方法及系统 |
| CN118521326A (zh) * | 2024-07-23 | 2024-08-20 | 山东农业工程学院 | 牛肉食品安全溯源管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Perdisci et al. | Alarm clustering for intrusion detection systems in computer networks | |
| EP2487860B1 (en) | Method and system for improving security threats detection in communication networks | |
| EP2040435B1 (en) | Intrusion detection method and system | |
| EP3205072B1 (en) | Differential dependency tracking for attack forensics | |
| CN117827813A (zh) | 一种计算机信息安全监控系统 | |
| CN112134877A (zh) | 网络威胁检测方法、装置、设备及存储介质 | |
| CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| CN111930882A (zh) | 一种服务器异常溯源方法、系统及存储介质 | |
| US20150358292A1 (en) | Network security management | |
| CN113364745A (zh) | 一种日志收集与分析处理方法 | |
| Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
| KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
| Liu et al. | A framework for database auditing | |
| CN117220961B (zh) | 一种基于关联规则图谱的入侵检测方法、装置及存储介质 | |
| CN116859804A (zh) | 一种面向船舶制造车间的安全态势监测预警系统 | |
| Mohammad et al. | A novel local network intrusion detection system based on support vector machine | |
| Yeshwanth et al. | Adoption and Assessment of Machine Learning Algorithms in Security Operations Centre for Critical Infrastructure | |
| CN113343231A (zh) | 一种基于集中管控的威胁情报的数据采集系统 | |
| Xu et al. | [Retracted] Method of Cumulative Anomaly Identification for Security Database Based on Discrete Markov chain | |
| Amiri et al. | A complete operational architecture of alert correlation | |
| Kawakani et al. | Discovering attackers past behavior to generate online hyper-alerts | |
| CN117376030B (zh) | 流量异常检测方法、装置、计算机设备及可读存储介质 | |
| Hommes et al. | A distance-based method to detect anomalous attributes in log files | |
| KR102726463B1 (ko) | 멀티 클라우드 환경 웹서버 보안 관리를 위한 인공지능 호스트형 웹 방화벽 서비스 시스템 및 방법 | |
| Riyad et al. | A Quality Framework to Improve IDS Performance Through Alert Post-Processing. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |