CN104901838B - 企业网络安全事件管理系统及其方法 - Google Patents

Abstract

本发明涉及网络安全。本发明提供一种企业网络安全事件管理系统，包括安全设备、安全事件数据采集模块、安全事件数据标准化模块、安全事件态势评估和预测模块、安全设备管理联动防御策略生成模块、状态保护模块及系统管理模块。首先，系统对企业网络中的安全设备产生的安全事件信息进行自动采集；其次，系统对采集到的安全事件信息进行标准化格式转换；然后，系统对标准化格式转换后的安全事件信息进行分析得到网络信息安全态势，同时对网络安全趋势进行预测；最后，系统根据结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的安全应用策略进行关联分析，生成联动防御策略，并将其下发至安全设备。适用于企业网络安全事件管理。

Description

企业网络安全事件管理系统及其方法

技术领域

本发明涉及网络安全，特别涉及企业网络安全事件管理及预测。

背景技术

随着企业信息化不断深入，计算机网络在企业内部起着越来越重要的作用。但由于互连性、开放性等特征，使得计算机网络极易成为恶意攻击的目标和载体。企业网络安全也越来越受到重视，为此，很多企业根据实际情况选择不同厂家的各类安全设备，构建符合自身特点的安全体系。在实际使用过程中，网络中部署的各类安全设备都会产生大量的安全事件和日志记录，但由于各类安全产品往往由不同的厂商提供，各类设备的数据格式存储各有不同，导致各个安全设备的安全事件信息和安全日志信息的关联性缺失，使得网络管理人员无法从这些孤岛数据中发现真正的安全威胁。

发明内容

本发明所要解决的技术问题，就是提供一种企业网络安全事件管理系统及其方法以实现对网络安全设备产生的网络信息安全事件和日志记录进行有效的采集和分析处理，基于分析结果实现对安全设备联动防御策略的生成和管理，实现对网络安全态势的评估和预测，以发现网络潜在安全问题并及时预警，避免网络安全设备的孤岛防御问题。。

本发明解决所述技术问题，采用的技术方案是，企业网络安全事件管理系统，包括安全设备，还包括安全事件数据采集模块、安全事件数据标准化模块、安全事件态势评估和预测模块、安全设备管理联动防御策略生成模块、状态保护模块及系统管理模块；所述安全设备分别与安全事件数据采集模块及状态保护模块连接，所述安全事件数据采集模块与安全事件数据标准化模块连接，安全事件数据标准化模块分别与状态保护模块、安全事件态势评估和预测模块及安全设备管理联动防御策略生成模块连接，安全事件态势评估与安全设备管理联动防御策略生成模块连接，安全设备管理联动防御策略生成模块与系统管理模块连接，系统管理模块与状态管理模块连接；

所述系统管理模块，用于实现系统的用户账户管理及系统日志管理功能；

所述安全事件数据采集模块，用于对企业网络中的安全设备产生的安全事件信息进行自动采集；

所述安全事件数据标准化模块，用于根据标准化数据模型对采集到的安全事件信息进行格式化；

所述安全事件态势评估和预测模块，用于对格式化安全事件信息进行分析得到网络信息安全态势，同时对网络安全趋势进行预测；

所述安全设备管理联动防御策略生成模块，用于结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的安全应用策略进行关联分析，生成联动防御策略；

所述状态保护模块，用于存储安全设备在不同工作状态下的配置文件，当安全设备需要恢复某一工作状态时，系统从状态保护模块中调用该状态下的配置文件。

具体的，还包括预警模块，所述预警模块分别与安全事件态势评估和预测模块及安全设备管理联动防御策略生成模块连接；

所述预警模块，用于根据安全事件态势评估和预测模块预测的网络安全趋势及安全设备管理联动防御策略生成模块提供的防御策略进行预警提醒。

进一步的，还包括GUI交互界面模块，GUI交互界面模块分别与系统管理模块及预警模块连接，所述GUI交互界面模块基于B/S架构；

所述GUI交互界面模块，用于进行系统工作状态信息展示及用户操作交互。

具体的，所述各类型安全设备产生的安全事件信息的格式标准模型为一个15元组，具体如下：

devId：安全设备Id标识，由系统管理员统一配置，入库类型为Int；

devName：安全设备名称，由系统管理员统一配置，入库类型为String；

devManufacture：安全设备厂商，由系统管理员统一配置，入库类型为String；

devVersion：安全设备版本号，由系统管理员统一配置，入库类型为String；

devClassify：安全设备详细分类，由系统管理员统一配置，入库类型为String；

alertName：报警事件名称，由各类安全设备独立生成，入库类型为String；

eventURL：报警事件涉及的URL信息，入库类型为String；

sourceIP：报警事件涉及的源IP地址，入库类型为Int；

sourcePort：报警事件涉及的源端口号，入库类型为Int；

targetId：报警事件涉及的目的IP地址，入库类型为Int；

targetPort：报警事件涉及的目的端口号，入库类型为Int；

eventProtocol：报警事件涉及的协议类型，入库类型为Enum；

evaluateRating：报警事件的风险等级评估，由系统管理员根据安全设备情况统一配置，入库类型为Enum；

timeStamp：报警事件时间信息，入库类型为String；

infoDetails：报警事件详细信息，入库类型为String；

具体的，所述安全事件数据采集模块还设置有预留扩展接口。

进一步的，所述预留扩展接口至少包括安全事件上报接口及心跳同步接口；

所述安全设备通过安全事件上报接口完成安全事件数据汇集；

所述安全设备通过心跳同步接口注册设备并启动心跳同步检测。

具体的，所述安全事件态势评估和预测模块至少用于从安全威胁类型、威胁程度、威胁来源、威胁目标四个方面，分别对网络总体安全态势、服务器安全态势和网络终端安全态势进行总结评估。

具体的，所述安全事件态势评估和预测模块至少包括通过Fact-Factor算法建立的预测模型，所述预测模型以社会学行为惯性定律为基础，将自然天分类为工作日、周末以及假期三种类型，并分别采用三种类型的历史数据对未来的可能发展趋势进行分类预测，预测公式如下：

其中，α+β＝1，i为当前日期；

EvaluateValue_i+1：为待预测日期i+1的某类型安全事件取值，如需预测更多日期的取值，可参照该算法迭代；FactValue_i为从安全设备采集到的第i日的被预测类的安全事件统计数据。

企业网络安全事件管理方法，包括以下步骤：

步骤1、系统对企业网络中的安全设备产生的安全事件信息进行自动采集；

步骤2、系统对采集到的安全事件信息进行标准化格式转换；

步骤3、系统对标准化格式转换后的安全事件信息进行分析得到网络信息安全态势，同时对网络安全趋势进行预测；

步骤4、系统根据结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的安全应用策略进行关联分析，生成联动防御策略，并将其下发至安全设备。

具体的，还包括系统存储安全设备在不同工作状态下的配置文件，当安全设备需要恢复某一工作状态时，系统调用存储中该状态下的配置文件。

具体的，还包括系统根据安全设备管理联动防御策略生成模块提供的防御策略进行预警提醒。

具体的，还包括系统通过GUI交互界面进行系统工作状态信息展示及用户操作交互。

具体的，所述步骤1中，系统通过预留扩展接口对企业网络中的安全设备产生的安全事件信息进行自动采集。

具体的，所述步骤2中，所述步骤2中，系统根据各类型安全设备产生的安全事件信息的格式标准模型对采集到的安全事件信息进行标准化格式转换，各类型安全设备产生的安全事件信息的格式标准模型为一个15元组，具体如下：

devId：安全设备Id标识，由系统管理员统一配置，入库类型为Int；

devName：安全设备名称，由系统管理员统一配置，入库类型为String；

devManufacture：安全设备厂商，由系统管理员统一配置，入库类型为String；

devVersion：安全设备版本号，由系统管理员统一配置，入库类型为String；

devClassify：安全设备详细分类，由系统管理员统一配置，入库类型为String；

alertName：报警事件名称，由各类安全设备独立生成，入库类型为String；

eventURL：报警事件涉及的URL信息，入库类型为String；

sourceIP：报警事件涉及的源IP地址，入库类型为Int；

sourcePort：报警事件涉及的源端口号，入库类型为Int；

targetId：报警事件涉及的目的IP地址，入库类型为Int；

targetPort：报警事件涉及的目的端口号，入库类型为Int；

eventProtocol：报警事件涉及的协议类型，入库类型为Enum；

evaluateRating：报警事件的风险等级评估，由系统管理员根据安全设备情况统一配置，入库类型为Enum；

timeStamp：报警事件时间信息，入库类型为String；

infoDetails：报警事件详细信息，入库类型为String。

进一步的，所述预留扩展接口至少包括安全事件上报接口及心跳同步接口；

所述安全设备通过安全事件上报接口完成安全事件数据汇集；

所述安全设备通过心跳同步接口注册设备并启动心跳同步检测。

具体的，所述步骤3中，系统从安全威胁类型、威胁程度、威胁来源及威胁目标四个方面，分别对网络总体安全态势、服务器安全态势及网络终端安全态势进行总结评估。

具体的，所述步骤3中，系统通过Fact-Factor算法建立的预测模型对网络安全趋势进行预测；

所述预测模型以社会学行为惯性定律为基础，将自然天分类为工作日、周末以及假期三种类型，并分别采用三种类型的历史数据对未来的可能发展趋势进行分类预测，预测公式如下：

其中，α+β＝1，i为当前日期；

EvaluateValue_i+1：为待预测日期i+1的某类型安全事件取值，如需预测更多日期的取值，可参照该算法迭代；

FactValue_i为从安全设备采集到的第i日的被预测类的安全事件统计数据。

本发明的有益效果是：通过对企业网络中部署的安全设备进行管理，对安全设备产生的安全事件信息和日志记录进行标准化汇聚和采集，形成可供进一步分析和使用的网络安全事件信息库。在此基础上，实现对安全设备联动防御策略的生成和管理，实现对网络信息安全态势的评估和预测，以发现网络潜在安全问题并及时预警。

为了兼容后续部署的安全设备，安全事件信息标准化数据采集模块提供预留扩展接口，允许网络上的安全设备主动向管理平台提供安全事件信息。数据采集预留扩展接口包括安全事件上报接口以及心跳同步接口，设备通过心跳同步接口注册设备并启动心跳同步检测，通过安全事件上报接口完成安全事件数据汇集。

另外，安全事件信息标准化数据模型设计了一种用于采集各类型安全设备产生的安全事件信息的格式标准，具有很好的通用性。

同时，网络信息安全态势预测模块根据安全威胁类型{WAF,IPS,DOS,MaliciousURL,Virus}的相关事件信息，利用Fact-Factor算法建立预测模型，并在安全管理平台运行过程中不断对模型进行训练和修正，以实现网络信息安全态势预测功能并不断提高预测的准确性。

另外，状态保护模块，用于存储安全设备在不同工作状态下的配置文件，当安全设备需要恢复某一工作状态时，系统从状态保护模块中调用该状态下的配置文件。

附图说明

图1为本发明企业网络安全事件管理系统及其方法实施例的系统框图；

图2为本发明企业网络安全事件管理系统及其方法实施例的网络安全事件管理系统网络拓扑结构图；

图3为本发明企业网络安全事件管理系统及其方法实施例的数据采集接口工作流程图；

图4为本发明企业网络安全事件管理系统及其方法实施例的网络信息安全态势评估逻辑图；

图5为本发明企业网络安全事件管理系统及其方法实施例的网络信息安全态势预测接口工作流程图；

图6为本发明企业网络安全事件管理系统及其方法实施例的安全管理平台B/S三层架构图。

具体实施方式

下面结合附图及实施例详细描述本发明的技术方案：

本发明针对现有技术中网络中部署的各类安全设备都会产生大量的安全事件和日志记录，但由于各类安全产品往往由不同的厂商提供，各类设备的数据格式存储各有不同，导致各个安全设备的安全事件信息和安全日志信息的关联性缺失，使得网络管理人员无法从这些孤岛数据中发现真正的安全威胁的问题，提供一种企业网络安全事件管理系统，包括安全设备，还包括安全事件数据采集模块、安全事件数据标准化模块、安全事件态势评估和预测模块、安全设备管理联动防御策略生成模块、状态保护模块及系统管理模块；所述安全设备分别与安全事件数据采集模块及状态保护模块连接，所述安全事件数据采集模块与安全事件数据标准化模块连接，安全事件数据标准化模块分别与状态保护模块、安全事件态势评估和预测模块及安全设备管理联动防御策略生成模块连接，安全事件态势评估与安全设备管理联动防御策略生成模块连接，安全设备管理联动防御策略生成模块与系统管理模块连接，系统管理模块与状态管理模块连接；所述系统管理模块，用于实现系统的用户账户管理及系统日志管理功能；所述安全事件数据采集模块，用于对企业网络中的安全设备产生的安全事件信息进行自动采集；所述安全事件数据标准化模块，用于根据各类型安全设备产生的安全事件信息的格式标准模型对采集到的安全事件信息进行格式化；所述安全事件态势评估和预测模块，用于对格式化安全事件信息进行分析得到网络信息安全态势，同时对网络安全趋势进行预测；所述安全设备管理联动防御策略生成模块，用于结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的安全应用策略进行关联分析，生成联动防御策略；所述状态保护模块，用于存储安全设备在不同工作状态下的配置文件，当安全设备需要恢复某一工作状态时，系统从状态保护模块中调用该状态下的配置文件。企业网络安全事件管理方法，首先，系统对企业网络中的安全设备产生的安全事件信息进行自动采集；其次，系统对采集到的安全事件信息进行标准化格式转换；然后，系统对标准化格式转换后的安全事件信息进行分析得到网络信息安全态势，同时对网络安全趋势进行预测；最后，系统根据结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的安全应用策略进行关联分析，生成联动防御策略，并将其下发至安全设备。通过对企业网络中部署的安全设备进行管理，对安全设备产生的安全事件信息和日志记录进行标准化汇聚和采集，形成可供进一步分析和使用的网络安全事件信息库。在此基础上，实现对安全设备联动防御策略的生成和管理，实现对网络信息安全态势的评估和预测，以发现网络潜在安全问题并及时预警。为了兼容后续部署的安全设备，安全事件信息标准化数据采集模块提供预留扩展接口，允许网络上的安全设备主动向管理平台提供安全事件信息。数据采集预留扩展接口包括安全事件上报接口以及心跳同步接口，设备通过心跳同步接口注册设备并启动心跳同步检测，通过安全事件上报接口完成安全事件数据汇集。另外，安全事件信息标准化数据模型设计了一种用于采集各类型安全设备产生的安全事件信息的格式标准，具有很好的通用性。同时，网络信息安全态势预测模块根据安全威胁类型{WAF,IPS,DOS,MaliciousURL,Virus}的相关事件信息，利用Fact-Factor算法建立预测模型，并在安全管理平台运行过程中不断对模型进行训练和修正，以实现网络信息安全态势预测功能并不断提高预测的准确性。另外，状态保护模块，用于存储安全设备在不同工作状态下的配置文件，当安全设备需要恢复某一工作状态时，系统从状态保护模块中调用该状态下的配置文件。

实施例

本例的企业网络安全事件管理系统主要对企业网络中部署的安全设备进行管理，通过对安全设备产生的安全事件信息和日志记录进行标准化汇聚和采集，形成可供进一步分析和使用的网络安全事件信息库。在此基础上，实现对安全设备联动防御策略的生成和管理，实现对网络信息安全态势的评估和预测，以发现网络潜在安全问题并及时预警。

企业网络安全事件管理系统为B/S交互式系统，平台后端运行在独立的服务器之上，用户通过浏览器访问平台前端发布的GUI交互界面，并通过该界面应用平台功能。

网络安全管理平台系统架构，如图1所示，包括安全设备、安全事件数据采集模块、安全事件数据标准化模块、安全事件态势评估和预测模块、安全设备管理联动防御策略生成模块、状态保护模块及系统管理模块；所述安全设备分别与安全事件数据采集模块及状态保护模块连接，所述安全事件数据采集模块与安全事件数据标准化模块连接，安全事件数据标准化模块分别与状态保护模块、安全事件态势评估和预测模块及安全设备管理联动防御策略生成模块连接，安全事件态势评估与安全设备管理联动防御策略生成模块连接，安全设备管理联动防御策略生成模块与系统管理模块连接，系统管理模块与状态管理模块连接；所述系统管理模块，用于实现系统的用户账户管理及系统日志管理功能；所述安全事件数据采集模块，用于对企业网络中的安全设备产生的安全事件信息进行自动采集；所述安全事件数据标准化模块，用于根据各类型安全设备产生的安全事件信息的格式标准模型对采集到的安全事件信息进行格式化；所述安全事件态势评估和预测模块，用于对格式化安全事件信息进行分析得到网络信息安全态势，同时对网络安全趋势进行预测；所述安全设备管理联动防御策略生成模块，用于结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的安全应用策略进行关联分析，生成联动防御策略；所述状态保护模块，用于存储安全设备在不同工作状态下的配置文件，当安全设备需要恢复某一工作状态时，系统从状态保护模块中调用该状态下的配置文件。

优选的，还包括预警模块，所述预警模块分别与安全事件态势评估和预测模块及安全设备管理联动防御策略生成模块连接；

所述预警模块，用于根据安全事件态势评估和预测模块预测的网络安全趋势及安全设备管理联动防御策略生成模块提供的防御策略进行预警提醒。可以是通过网络通讯方式下方预警信息至用户移动终端或者其他任何具有提醒功能的预警方式。同时，GUI交互界面模块分别与系统管理模块及预警模块连接，用于进行系统工作状态信息展示及用户操作交互。

上述企业网络安全事件管理系统采用B/S架构，前端支持IE、Firefox等主流浏览器，后端运行在Ubuntu系统上，采用Apache进行HTTPS服务发布。网络拓扑结构如图2所示。

下面分别对本例中的安全事件数据采集模块、安全事件数据标准化模块、安全事件态势评估和预测模块、安全设备管理联动防御策略生成模块进行进一步的描述。

一、安全事件数据采集模块及安全事件数据标准化模块；

安全事件数据采集模块及安全事件数据标准化模块主要实现以下三个方面的功能：

(1)构建安全事件信息标准化数据模型；

具体的，安全事件信息标准化数据模型设计了一种用于采集各类型安全设备产生的安全事件信息的格式标准，具有很好的通用性。

标准化数据模型定位为一个15元组：

<devId,devName,devManufacture,devVersion,devClassify,alertName,eventURL,sourceIP,sourcePort,targetId,targetPort,eventProtocol,evaluateRating,timeStamp,infoDetails>

devId：安全设备Id标识，由系统管理员统一配置，入库类型为Int；

devName：安全设备名称，由系统管理员统一配置，入库类型为String；

devManufacture：安全设备厂商，由系统管理员统一配置，入库类型为String；

devVersion：安全设备版本号，由系统管理员统一配置，入库类型为String；

devClassify：安全设备详细分类，由系统管理员统一配置，入库类型为String；

alertName：报警事件名称，由各类安全设备独立生成，入库类型为String；

eventURL：报警事件涉及的URL信息，入库类型为String；

sourceIP：报警事件涉及的源IP地址，入库类型为Int；

sourcePort：报警事件涉及的源端口号，入库类型为Int；

targetId：报警事件涉及的目的IP地址，入库类型为Int；

targetPort：报警事件涉及的目的端口号，入库类型为Int；

eventProtocol：报警事件涉及的协议类型，入库类型为Enum；

evaluateRating：报警事件的风险等级评估，由系统管理员根据安全设备情况统一配置，入库类型为Enum；

timeStamp：报警事件时间信息，入库类型为String；

infoDetails：报警事件详细信息，入库类型为String。

(2)对网络中部署的安全设备产生的安全事件信息进行自动采集，并将采集数据根据标准化数据模型进行格式化存储。

安全事件信息自动采集功能主要实现对网络中部署的安全设备产生的日志记录分析，并从中根据标准化数据模型提取出安全事件数据。例如，当前网络中部署的安全相关设备主要为深信服AF、SG，根据这两类设备提供的数据访问方式进行自动采集。

网络安全事件管理系统直接使用网络安全设备的内置数据库或外置数据库作为数据源，数据采集接口定义如表1所示：

表1：数据采集接口定义

(3)预留设备数据采集扩展接口：

为兼容后续部署的安全设备，安全事件信息标准化数据采集模块提供预留扩展接口，允许网络上的安全设备主动向管理平台提供安全事件信息。数据采集预留扩展接口包括安全事件上报接口以及心跳同步接口，设备通过心跳同步接口注册设备并启动心跳同步检测，通过安全事件上报接口完成安全事件数据汇集。安全事件上报接口如表2所示：

表2：安全事件上报接口

通过安全事件上报接口，安全设备厂商可实现设备与系统的主动适配，即当本专利所述系统在某企业上线运行后，新进入该企业的安全设备可遵从本接口规范将其产生的安全事件信息进行主动上报，从而实现系统的可扩展性和安全事件信息的融合。

表3：心跳同步接口：

心跳同步接口如表3所示，通过本接口，本发明所述系统可以接入系统的安全设备进行心跳感知，监控和掌握系统内各安全设备的运行情况，可避免因安全设备失效而引起的系统失效。

二、网络信息安全态势评估和预测模块

网络信息安全态势评估和预测模块主要完成以下两个方面的功能：

(1)、实现对不同安全设备的标准化数据进行逻辑关联和启发式分析，综合评估和展示

网络信息安全态势。

(2)、采用Fact-Factor算法建立预测模型，对网络安全趋势进行预测。

安全事件态势评估和预测模块从安全威胁类型、威胁程度、威胁来源、威胁目标四个方面，分别对网络总体安全态势(RoundlyStat)、服务器安全态势(ServerStat)和网络终端安全态势(ClientStat)进行总结和评估，网络信息安全态势评估数据类图如表4所示。

表4：网络信息安全态势评估数据类

其中，网络信息安全态势评估接口定义如表5所示：

表5：网络信息安全态势评估接口定义

网络信息安全态势预测模块根据安全威胁类型{WAF,IPS,DOS,MaliciousURL,Virus}的相关事件信息，利用Fact-Factor算法建立预测模型，并在安全管理平台运行过程中不断对模型进行训练和修正，以实现网络信息安全态势预测功能并不断提高预测的准确性。

Fact-Factor算法以社会学行为惯性定律为基础，将自然天分类为工作日、周末以及假期三种类型，并分别采用三种类型的历史数据对未来的可能发展趋势进行分类预测，预测参照以下公式进行：

其中，α+β＝1，i为当前日期；EvaluateValue_i+1：为待预测日期的某类型安全事件取值，如需预测更多日期的取值，可参照该算法迭代，但经验值表明预测时间不宜超过7天。如果需要进行更长时间的预测，需要调整j的取值和对应的α和β的经验值。FactValue_i为从安全设备采集到的第i日的被预测类的安全事件统计数据。α和β为经验取值，用于对行为惯性进行预测调整。其中α经验值为0.85，β经验值为0.15。网络信息安全态势预测接口定义如表6及表7所示：

表6：算法接口

表7：网络信息安全态势预测接口

三、安全设备管理联动防御策略生成模块

安全设备管理和联动防御策略生成模块主要实现以下两个方面的功能：

(1)对网络中部署的安全设备的安全应用策略进行统一的管理，建立安全设备配置基线；

安全设备管理建立设备配置基线，并在此基础上根据安全管理平台用户的需求对被管理设备的配置文件进行自动/手动的备份和管理，提供设备配置文件版本回滚的功能。另一方面，安全设备管理通过UI提供对被管理设备的控制中心访问页面。安全设备管理数据类如表8所示。

表8：安全设备管理数据类别：

成员名称	类型	说明
			deviceName	Enum	设备名称。

deviceAddress	String	设备对应的IP地址。
			cfgDownloadURL	String	下载设备配置文件的URL。
currentCfgVersion	String	当前设备的配置版本号。
			lastCfgTime	Time_Type	最后一次同步设备配置时间。
synCfgTime	Time_Type	设备配置自动同步的时间间隔长度。
			currentCfgMD5	String	当前配置文件对应的MD5值。

安全设备管理接口定义如下表所示：

表9：设备配置同步接口

表10：配置回滚接口

(2)结合网络信息安全态势评估功能，对各安全设备已部署的安全应用策略进行关联分析，实现安全设备联动防御策略的生成。

安全设备联动防御策略生成模块以网络安全事件报警信息为核心，结合网络中部署的接入到安全管理平台的设备，逐条对报警信息进行联动分析。分析过程中，使用事件信息中的源IP、目的IP、记录时间等属性作为事件标识，对安全设备数据信息进行联合查询，从多个维度对该安全事件进行联动分析，并根据分析结果生成联动防御策略，供安全管理平台用户参考。

四、GUI交互模块

基于B/S的GUI交互模块主要实现以下两个方面的功能：

(1)基于B/S架构部署网络安全管理平台，平台前端通过浏览器访问GUI交互界面；

网络安全管理平台采用B/S架构实现，服务器端采用Ubuntu操作系统以及Apache、MySQL、PHP、JDK、Matlab等支撑软件，用户端采用IE、Firefox浏览器。

在构建时，平台借鉴Struts框架和MVC设计模式的思想，将平台划分为三个层次：应用表示层、业务逻辑层、数据访问层，如图6所示。

(2)基于B/S的GUI交互模块实现的交互功能主要包括以下几个方面：

1、实现对网络安全设备、安全事件以及其他功能模块产生的各类型的信息展示和功能操作进行交互；

2、通过平台实现对不同安全设备安全基线的管理交互；

3、通过平台实现对各网络安全设备数据的协同处理和评估分析并将分析结果通过图表进行展示交互；

4、通过平台实现对在分析安全设备数据的基础上，对未来网络信息安全的趋势进行预测并以曲线图表展示进行交互；

5、通过平台实现对记录本设备的系统日志、设备运行情况等信息的查询交互。

6、其他管理平台需通过UI交互的功能。

五、系统管理模块

基于B/S的GUI交互模块的系统管理模块主要实现用户管理、系统日志等常用系统管理功能。

(1)用户管理主要实现对于本系统用户的增加、用户的删除、用户信息的修改、用户的

禁用及用户的启用等用户常规管理；

(2)系统日志实现对不同用户登录退出平台记录、不同用户对系统整个操作过程信息的

记录。

(3)实现对网络安全设备、安全事件以及其他功能模块产生的各类型的信息展示和功能

操作交互。

综上所述，本发明通过对企业网络中部署的安全设备进行管理，对安全设备产生的安全事件信息和日志记录进行标准化汇聚和采集，形成可供进一步分析和使用的网络安全事件信息库。在此基础上，实现对安全设备联动防御策略的生成和管理，实现对网络信息安全态势的评估和预测，以发现网络潜在安全问题并及时预警。为了兼容后续部署的安全设备，安全事件信息标准化数据采集模块提供预留扩展接口，允许网络上的安全设备主动向管理平台提供安全事件信息。数据采集预留扩展接口包括安全事件上报接口以及心跳同步接口，设备通过心跳同步接口注册设备并启动心跳同步检测，通过安全事件上报接口完成安全事件数据汇集。另外，安全事件信息标准化数据模型设计了一种用于采集各类型安全设备产生的安全事件信息的格式标准，具有很好的通用性。同时，网络信息安全态势预测模块根据安全威胁类型{WAF,IPS,DOS,MaliciousURL,Virus}的相关事件信息，利用Fact-Factor算法建立预测模型，并在安全管理平台运行过程中不断对模型进行训练和修正，以实现网络信息安全态势预测功能并不断提高预测的准确性。另外，状态保护模块，用于存储安全设备在不同工作状态下的配置文件，当安全设备需要恢复某一工作状态时，系统从状态保护模块中调用该状态下的配置文件。

Claims (15)

1.企业网络安全事件管理系统，包括安全设备，其特征在于，还包括安全事件数据采集模块、安全事件数据标准化模块、安全事件态势评估和预测模块、安全设备管理联动防御策略生成模块、状态保护模块及系统管理模块；所述安全设备分别与安全事件数据采集模块及状态保护模块连接，所述安全事件数据采集模块与安全事件数据标准化模块连接，安全事件数据标准化模块分别与状态保护模块、安全事件态势评估和预测模块及安全设备管理联动防御策略生成模块连接，安全事件态势评估与安全设备管理联动防御策略生成模块连接，安全设备管理联动防御策略生成模块与系统管理模块连接，系统管理模块与状态管理模块连接；

所述系统管理模块，用于实现系统的用户账户管理及系统日志管理功能；

所述安全事件数据采集模块，用于对企业网络中的安全设备产生的安全事件信息进行自动采集；

所述安全事件数据标准化模块，用于根据各类型安全设备产生的安全事件信息的格式标准模型对采集到的安全事件信息进行格式化；

所述安全事件态势评估和预测模块，用于对格式化安全事件信息进行分析得到网络信息安全态势，同时对网络安全趋势进行预测，所述安全事件态势评估和预测模块至少包括通过Fact-Factor算法建立的预测模型，所述预测模型以社会学行为惯性定律为基础，将自然天分类为工作日、周末以及假期三种类型，并分别采用三种类型的历史数据对未来的可能发展趋势进行分类预测，预测公式如下：

<mrow> <mi>E</mi> <mi>v</mi> <mi>a</mi> <mi>l</mi> <mi>u</mi> <mi>e</mi> <mi>a</mi> <mi>t</mi> <mi>e</mi> <mi> </mi> <msub> <mi>Value</mi> <mrow> <mi>i</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mo>=</mo> <mi>&amp;alpha;</mi> <mo>*</mo> <mo>(</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mi>i</mi> <mo>-</mo> <mn>8</mn> </mrow> <mrow> <mi>i</mi> <mo>-</mo> <mn>1</mn> </mrow> </munderover> <mrow> <mi>F</mi> <mi>a</mi> <mi>c</mi> <mi>t</mi> <mi> </mi> <msub> <mi>Value</mi> <mi>i</mi> </msub> <mo>&amp;divide;</mo> <mn>7</mn> <mo>)</mo> </mrow> <mo>+</mo> <mi>&amp;beta;</mi> <mo>*</mo> <mi>E</mi> <mi>v</mi> <mi>a</mi> <mi>l</mi> <mi>u</mi> <mi>e</mi> <mi>a</mi> <mi>t</mi> <mi>e</mi> <mi> </mi> <msub> <mi>Value</mi> <mi>i</mi> </msub> <mo>;</mo> </mrow>

其中，α+β＝1，i为当前日期；

EvaluateValue_i+1为待预测日期i+1的某类型安全事件取值，如需预测更多日期的取值，可参照该算法迭代；

FactValue_i为从安全设备采集到的第i日的被预测类的安全事件统计数据；

所述安全设备管理联动防御策略生成模块，用于结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的安全应用策略进行关联分析，生成联动防御策略；

所述状态保护模块，用于存储安全设备在不同工作状态下的配置文件，当安全设备需要恢复某一工作状态时，系统从状态保护模块中调用该状态下的配置文件。

2.根据权利要求1所述的企业网络安全事件管理系统，其特征在于，还包括预警模块，所述预警模块分别与安全事件态势评估和预测模块及安全设备管理联动防御策略生成模块连接；

所述预警模块，用于根据安全事件态势评估和预测模块预测的网络安全趋势及安全设备管理联动防御策略生成模块提供的防御策略进行预警提醒。

3.根据权利要求1或2所述的企业网络安全事件管理系统，其特征在于，还包括GUI交互界面模块，GUI交互界面模块与系统管理模块连接，所述GUI交互界面模块基于B/S架构；

所述GUI交互界面模块，用于进行系统工作状态信息展示及用户操作交互。

4.根据权利要求1所述的企业网络安全事件管理系统，其特征在于，所述各类型安全设备产生的安全事件信息的格式标准模型为一个15元组，具体如下：

devId：安全设备Id标识，由系统管理员统一配置，入库类型为Int；

devName：安全设备名称，由系统管理员统一配置，入库类型为String；

devManufacture：安全设备厂商，由系统管理员统一配置，入库类型为String；

devVersion：安全设备版本号，由系统管理员统一配置，入库类型为String；

devClassify：安全设备详细分类，由系统管理员统一配置，入库类型为String；

alertName：报警事件名称，由各类安全设备独立生成，入库类型为String；

eventURL：报警事件涉及的URL信息，入库类型为String；

sourceIP：报警事件涉及的源IP地址，入库类型为Int；

sourcePort：报警事件涉及的源端口号，入库类型为Int；

targetId：报警事件涉及的目的IP地址，入库类型为Int；

targetPort：报警事件涉及的目的端口号，入库类型为Int；

eventProtocol：报警事件涉及的协议类型，入库类型为Enum；

evaluateRating：报警事件的风险等级评估，由系统管理员根据安全设备情况统一配置，入库类型为Enum；

timeStamp：报警事件时间信息，入库类型为String；

infoDetails：报警事件详细信息，入库类型为String。

5.根据权利要求1所述的企业网络安全事件管理系统，其特征在于，所述安全事件数据采集模块还设置有预留扩展接口。

6.根据权利要求5所述的企业网络安全事件管理系统，其特征在于，所述预留扩展接口至少包括安全事件上报接口及心跳同步接口；

所述安全设备通过安全事件上报接口完成安全事件数据汇集；

所述安全设备通过心跳同步接口注册设备并启动心跳同步检测。

7.根据权利要求1所述的企业网络安全事件管理系统，其特征在于，所述安全事件态势评估和预测模块至少用于从安全威胁类型、威胁程度、威胁来源、威胁目标四个方面，分别对网络总体安全态势、服务器安全态势和网络终端安全态势进行总结评估。

8.企业网络安全事件管理方法，其特征在于，包括以下步骤：

步骤1、系统对企业网络中的安全设备产生的安全事件信息进行自动采集；

步骤2、系统对采集到的安全事件信息进行标准化格式转换；

步骤3、系统对标准化格式转换后的安全事件信息进行分析得到网络信息安全态势，同时对网络安全趋势进行预测，系统通过Fact-Factor算法建立的预测模型对网络安全趋势进行预测；

所述预测模型以社会学行为惯性定律为基础，将自然天分类为工作日、周末以及假期三种类型，并分别采用三种类型的历史数据对未来的可能发展趋势进行分类预测，预测公式如下：

<mrow> <mi>E</mi> <mi>v</mi> <mi>a</mi> <mi>l</mi> <mi>u</mi> <mi>e</mi> <mi>a</mi> <mi>t</mi> <mi>e</mi> <mi> </mi> <msub> <mi>Value</mi> <mrow> <mi>i</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mo>=</mo> <mi>&amp;alpha;</mi> <mo>*</mo> <mo>(</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mi>i</mi> <mo>-</mo> <mn>8</mn> </mrow> <mrow> <mi>i</mi> <mo>-</mo> <mn>1</mn> </mrow> </munderover> <mrow> <mi>F</mi> <mi>a</mi> <mi>c</mi> <mi>t</mi> <mi> </mi> <msub> <mi>Value</mi> <mi>i</mi> </msub> <mo>&amp;divide;</mo> <mn>7</mn> <mo>)</mo> </mrow> <mo>+</mo> <mi>&amp;beta;</mi> <mo>*</mo> <mi>E</mi> <mi>v</mi> <mi>a</mi> <mi>l</mi> <mi>u</mi> <mi>e</mi> <mi>a</mi> <mi>t</mi> <mi>e</mi> <mi> </mi> <msub> <mi>Value</mi> <mi>i</mi> </msub> <mo>;</mo> </mrow>

其中，α+β＝1，i为当前日期；

EvaluateValue_i+1：为待预测日期i+1的某类型安全事件取值，如需预测更多日期的取值，可参照该算法迭代；

FactValue_i为从安全设备采集到的第i日的被预测类的安全事件统计数据；

步骤4、系统根据结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的安全应用策略进行关联分析，生成联动防御策略，并将其下发至安全设备。

9.根据权利要求8所述的企业网络安全事件管理方法，其特征在于，还包括系统存储安全设备在不同工作状态下的配置文件，当安全设备需要恢复某一工作状态时，系统调用存储中该状态下的配置文件。

10.根据权利要求8所述的企业网络安全事件管理方法，其特征在于，还包括系统根据安全设备管理联动防御策略生成模块提供的防御策略进行预警提醒。

11.根据权利要求8所述的企业网络安全事件管理方法，其特征在于，还包括以下步骤:

系统通过GUI交互界面进行系统工作状态信息展示及用户操作交互。

12.根据权利要求8所述的企业网络安全事件管理方法，其特征在于，所述步骤1中，系统通过预留扩展接口对企业网络中的安全设备产生的安全事件信息进行自动采集。

13.根据权利要求8所述的企业网络安全事件管理方法，其特征在于，所述步骤2中，系统根据各类型安全设备产生的安全事件信息的格式标准模型对采集到的安全事件信息进行标准化格式转换，各类型安全设备产生的安全事件信息的格式标准模型为一个15元组，具体如下：

devId：安全设备Id标识，由系统管理员统一配置，入库类型为Int；

devName：安全设备名称，由系统管理员统一配置，入库类型为String；

devManufacture：安全设备厂商，由系统管理员统一配置，入库类型为String；

devVersion：安全设备版本号，由系统管理员统一配置，入库类型为String；

devClassify：安全设备详细分类，由系统管理员统一配置，入库类型为String；

alertName：报警事件名称，由各类安全设备独立生成，入库类型为String；

eventURL：报警事件涉及的URL信息，入库类型为String；

sourceIP：报警事件涉及的源IP地址，入库类型为Int；

sourcePort：报警事件涉及的源端口号，入库类型为Int；

targetId：报警事件涉及的目的IP地址，入库类型为Int；

targetPort：报警事件涉及的目的端口号，入库类型为Int；

eventProtocol：报警事件涉及的协议类型，入库类型为Enum；

evaluateRating：报警事件的风险等级评估，由系统管理员根据安全设备情况统一配置，入库类型为Enum；

timeStamp：报警事件时间信息，入库类型为String；

infoDetails：报警事件详细信息，入库类型为String。

14.根据权利要求12所述的企业网络安全事件管理方法，其特征在于，所述预留扩展接口至少包括安全事件上报接口及心跳同步接口；

所述安全设备通过安全事件上报接口完成安全事件数据汇集；

所述安全设备通过心跳同步接口注册设备并启动心跳同步检测。

15.根据权利要求8所述的企业网络安全事件管理方法，其特征在于，所述步骤3中，系统从安全威胁类型、威胁程度、威胁来源及威胁目标四个方面，分别对网络总体安全态势、服务器安全态势及网络终端安全态势进行总结评估。