CN105635085A - 基于动态健康度模型的安全大数据分析系统及方法 - Google Patents
基于动态健康度模型的安全大数据分析系统及方法 Download PDFInfo
- Publication number
- CN105635085A CN105635085A CN201410663568.1A CN201410663568A CN105635085A CN 105635085 A CN105635085 A CN 105635085A CN 201410663568 A CN201410663568 A CN 201410663568A CN 105635085 A CN105635085 A CN 105635085A
- Authority
- CN
- China
- Prior art keywords
- data
- module
- health degree
- model
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明揭示了一种基于动态健康度模型的安全大数据分析系统及方法,所述系统包括:大数据采集器模块、独立数据集档案模块、模型建立及签名模块、日常安全数据分析器模块、计算模块、报警模块、动态健康度模型模块。所述计算模块用于从日常安全数据分析器模块和模型建立及签名模块中,根据阀值对比,由虚拟处理器进行计算;所述报警模块用于根据计算模块计算出的数值,判断是否输出报警;所述独立数据集档案模块和模型建立及签名模块用于形成动态健康度模型模块。本发明可精确的从大数据流量波形中定位小概率的关键资产安全事件,提高数据的安全性。
Description
技术领域
本发明属于大数据分析技术领域,涉及一种大数据分析系统,尤其涉及一种基于动态健康度模型的安全大数据分析系统;同时,本发明还涉及一种基于动态健康度模型的安全大数据分析方法。
背景技术
当前云时代,为了不断应对新的安全挑战,企业用户不断部署了诸如:防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM、SOC,等等各类安防产品,这些复杂的IT资源及其安全防御设施、包括网络设备、系统及应用在运行过程中不断产生大量的日志和安全事件。其导致的现状是:各类安全产品中的海量告警数据(日志、事件、告警信息等)由于存在极高的误报率与数据量,使得实际应用中用户不得不将此类安全数据抛弃、或者面对海量的告警日志信息而无所适从而导致不得不关闭产品的很多功能。
传统安全产品的网络威胁分析方法比较依赖于传统安防设备自身分析的性能,几乎不能给提供任何扩展。而当前安全的大数据化主要体现在以下2个方面:
(1)数据量越来越大:随着NGFW的出现,安全网关要进行应用层协议的分析,分析的数据量大增。与此同时,安全监测的内容不断细化,除了传统的攻击监测,还出现了合规监测、应用监测、用户行为监测、性能检测、事务监测,等等,这些都意味着要监测和分析比以往更多的数据。此外,随着APT等新型威胁的兴起,全包捕获技术逐步应用,海量数据处理问题也日益凸显。
(2)种类越来越多:除了数据包、日志、资产数据,还加入了漏洞信息、配置信息、身份与访问信息、用户行为信息、应用信息、业务信息、外部情报信息等。
现状的核心难题是无法对湮没在数据洪流中的每一个关键资产所发生的小概率安全事件进行精准定位,提高预警的准确度。本发明通过对安全大数据技术的深入挖掘,建立一种基于动态健康度模型的安全大数据分析系统与方法,旨在实现在大数据安全分析环境下为每一个关键信息资产建立个性化的安全分析模型,实现精确预警。
有鉴于此,如今迫切需要设计一种新的安全数据分析方式,以便克服现有分析方式的上述缺陷。
发明内容
本发明所要解决的技术问题是:提供一种基于动态健康度模型的安全大数据分析系统,可提高数据的安全性。
此外,本发明还提供一种基于动态健康度模型的安全大数据分析方法,可提高数据的安全性。
为解决上述技术问题,本发明采用如下技术方案:
一种基于动态健康度模型的安全大数据分析系统,所述系统包括:终端日志类数据模块、网络类数据模块、应用类数据模块、行为与操作类数据模块、大数据采集器模块、独立数据集档案模块、模型建立及签名模块、日常安全数据分析器模块、计算模块、报警模块、动态健康度模型模块;
所述终端日志类数据模块、网络类数据模块、应用类数据模块、行为与操作类数据模块用于从各种网络对象收集海量安全大数据,汇集到大数据采集器模块中;
所述大数据采集器模块用于把从终端日志类数据模块、网络类数据模块、应用类数据模块、行为与操作类数据模块中收集到的安全大数据进行收集归类,预存储在大数据采集器模块里;
所述独立数据集档案模块用于从大数据采集器模块中为每个网络对象抽取分离其相关数据,为其建立独立资产数据集档案;
所述模型建立及签名模块用于从独立数据集档案模块中获取数据,为每个网络对象分别建立独立的动态健康度模型,即按时间周期、类别和事件流量生成多维动态健康度数据曲线;并根据前述动态健康度模型,将经过统计分类的基线数据存储在存储器里,形成相应的动态数字签名矩阵表;
所述日常安全数据分析器模块用于从大数据采集器模块中根据设定分析模型与规则形成网络对象日常特定事件波形特征,通过如下数据特征表现形式中的一种或多种得以呈现:波形、数据、数字、图形、图像、表格;
所述计算模块用于从日常安全数据分析器模块、模型建立及签名模块中获取相应数据,根据阀值对比,由虚拟处理器进行计算、比对;模型建立及签名模块形成的动态数字签名矩阵表作为代表一定时效内描述系统健康度的基线数据存储在存储器中,用以与日常产生的系统各类安全事件数据通过计算模块进行计算比对处理;
所述报警模块用于根据计算模块计算出的数值,判断是否输出报警;
所述独立数据集档案模块和模型建立及签名模块与动态健康度模型模块连接;
所述动态健康度模型包括网络对象数据集模块、分类模块、分类数据特征模块、生产事件数据特征计算模块、数据特征曲线生成模块、多维健康度模型数据特征合成模块、TIME阀值调节器模块;
所述网络对象数据集模块用于从各种网络对象中收集海量的安全大数据;
所述分类模块用于从所述网络对象数据集模块中把收集到的各类数据根据相关协议、类型、来源、属性进行分类;
所述分类数据特征模块用于从分类模块中绘制各种分类数据特征;
所述生产事件数据特征计算模块用于根据网络对象数据集模块收集到的各种大数据根据时间序列计算生产事件数据特征,把特征进行数字化;
所述数据特征曲线生成模块用于从生产事件数据特征计算模块中生成以设定时间周期为最小时间周期数据特征曲线;
所述TIME阀值调节器模块用于针对各种网络对象进行阀值调节,包括对于分析周期或分析类别的配置调节;
所述多维健康度模型数据特征合成模块用于从分类数据特征模块、数据特征曲线生成模块、TIME阀值调节器模块中合成多维动态健康度模型数据特征;按时间周期、类别和事件流量生成多维动态健康度数据曲线,由时间周期、分类、事件流量形成具有自己数字特征的分类流量多维立体曲线,由分类多维曲线汇总成总流量多维曲线。
一种基于动态健康度模型的安全大数据分析系统,所述系统包括:大数据采集器模块、独立数据集档案模块、模型建立及签名模块、日常安全数据分析器模块、计算模块、报警模块、动态健康度模型模块;
所述大数据采集器模块用于采集设定安全大数据,并进行存储;
所述独立数据集档案模块用于从大数据采集器模块中为每个网络对象抽取分离其相关数据,为其建立独立资产数据集档案;
所述模型建立及签名模块用于从独立数据集档案模块中获取数据,为每个网络对象分别建立独立的动态健康度模型,即按时间周期、类别和事件流量生成多维动态健康度数据曲线;并根据前述动态健康度模型,将经过统计分类的基线数据存储在存储器里,形成相应的动态数字签名矩阵表;;
所述日常安全数据分析器模块用于从大数据采集器模块中,根据分析模型与规则形成网络对象日常特定事件波形特征;
所述计算模块用于从日常安全数据分析器模块和模型建立及签名模块中,根据阀值对比,由虚拟处理器进行计算、比对;模型建立及签名模块形成的动态数字签名矩阵表作为代表一定时效内描述系统健康度的基线数据存储在存储器中,用以与日常产生的系统各类安全事件数据通过计算模块进行计算比对处理;
所述报警模块用于根据计算模块计算出的数值,判断是否输出报警;
所述独立数据集档案模块和模型建立及签名模块用于形成动态健康度模型模块。
作为本发明的一种优选方案,所述系统还包括:终端日志类数据模块、网络类数据模块、应用类数据模块、行为与操作类数据模块;
所述终端日志类数据模块、网络类数据模块、应用类数据模块、行为与操作类数据模块用于从各种网络对象收集海量安全大数据,汇集到大数据采集器中。
作为本发明的一种优选方案,所述动态健康度模型包括网络对象数据集模块、分类模块、分类数据特征模块、生产事件数据特征计算模块、数据特征曲线生成模块、多维健康度模型数据特征合成模块、TIME阀值调节器模块;
所述网络对象数据集模块用于从各种网络对象中收集海量的安全大数据;
所述分类模块用于从所述网络对象数据集模块中把收集到的各类数据根据相关协议、类型、来源、属性进行分类;
所述分类数据特征模块用于从分类模块中绘制各种分类数据特征;
所述生产事件数据特征计算模块用于从网络对象数据集模块中把收集到的各种大数据根据时间序列计算生产事件数据特征,把特征进行数字化;
所述数据特征曲线生成模块用于从生产事件数据特征计算模块中生成以设定周期为最小时间周期数据特征曲线;
所述TIME阀值调节器模块用于针对各种网络对象进行阀值调节,包括对于分析周期或分析类别的配置调节;
所述多维健康度模型数据特征合成模块用于从分类数据特征模块、数据特征曲线生成模块、TIME阀值调节器模块中合成多维动态健康度模型数据特征。
作为本发明的一种优选方案,所述多维健康度模型数据特征合成模块按时间周期、类别和事件流量生成多维动态健康度数据曲线。
作为本发明的一种优选方案,所述多维健康度模型数据特征合成模块按时间周期、类别和事件流量生成多维动态健康度数据曲线,按事件流量、分类、总流量形成预警。
作为本发明的一种优选方案,所述日常安全数据分析器模块形成网络对象日常特定事件波形特征通过如下数据特征表现形式中的一种或多种表现:波形、数据、数字、图形、图像、表格。
一种上述安全大数据分析系统的安全大数据分析方法,所述方法包括如下步骤:
步骤A、利用海量安全大数据采集器,采集各种网络对象的终端日志类数据、网络类数据、应用类数据、行为与操作类数据;
步骤B、建立独立数据集档案步骤,从海量安全大数据采集器中为每个网络对象抽取分离其相关数据,为其建立独立数据集档案;
步骤C、建立健康度模型并形成动态数字签名步骤,从独立数据集档案中,为其建立独立健康度模型,并形成动态数字签名;
步骤D、由步骤B和步骤C合成,为每个网络对象建立动态独立的健康模型;
步骤E、日常安全数据分析器步骤,从海量安全大数据采集器中,根据分析模型与规则形成网络对象日常特定事件波形特征;
步骤F、计算单元步骤,从日常安全数据分析器和建立健康度模型并形成动态数字签名中,根据阀值对比,由虚拟处理器进行计算;
步骤G、报警步骤,根据计算单元计算出的数值,判断是否输出报警。
作为本发明的一种优选方案,所述步骤D包括从各种网络对象的数据集中,根据相关协议、类型、来源、属性分类,形成分类数据特征曲线、表格,或者按时间序列计算生产事件数据特征,进行特征数字化,生成以周为最小时间周期数据特征曲线;最后根据分类数据特征曲线、表格,根据以周为最小时间周期数据特征曲线,根据时间阀值合成多维动态健康度模型数据特征。
本发明的有益效果在于:本发明提出的基于动态健康度模型的安全大数据分析系统及方法,可精确的从大数据流量波形中定位小概率的关键资产安全事件,提高数据的安全性。
本发明能够为用户IT系统中每一个受保护的IT资产建立一套个性化的安全健康档案,形成以资产个体为核心的日常安全数据模型特征(包括BaseLine),该资产健康度模型随着设定的时间、属性等规则阀值而自动调整其健康度(安全基线),从而形成以个体为中心的多维分析视角。
本发明能够将以往被淹没在误报告警洪流中的真正威胁得以更加精确的定位;能够随着用户网络业务系统的弹性扩展,具有自适应动态调整健康度模型的能力;实现了从传统以区域(包括网络、整体系统、业务等)安全为目标的大概率安全分析管理手段,向大数据时代以资产个体为焦点的分析管理技术手段的过渡。
附图说明
图1为基于海量安全大数据分析的动态健康度模型示意图。
图2为动态健康度模型建立及其表现方式示意图。
图3-1为多维动态健康度模型流量图。
图3-2为动态数字签名矩阵表图。
具体实施方式
下面结合附图详细说明本发明的优选实施例。
实施例一
请参阅图1,本发明揭示了一种基于动态健康度模型的安全大数据分析系统与方法,该系统包括终端日志类数据模块1、网络类数据模块2、应用类数据模块3、行为与操作类数据模块4、海量安全大数据采集器模块5、独立数据集档案模块6、建立健康度模型并形成动态数字签名模块7、日常安全数据分析器模块8、计算模块9、报警模块10、动态健康度模型模块11。
终端日志类数据模块1、网络类数据模块2、应用类数据模块3、行为与操作类数据模块4用于从各种网络对象收集海量安全大数据,汇集到大数据采集器中。
海量安全大数据采集器模块5用于把从终端日志类数据模块1、网络类数据模块2、应用类数据模块3、行为与操作类数据模块4中收集到的安全大数据进行收集归类,预存储在采集器里。
独立数据集档案模块6用于从海量安全大数据采集器模块5中为每个网络对象抽取分离其相关数据,为其建立独立资产数据集档案。
建立健康度模型并形成动态数字签名模块7用于获取数据,为每个网络对象分别建立独立的动态健康度模型,即按时间周期、类别和事件流量生成多维动态健康度数据曲线;并根据前述动态健康度模型,将经过统计分类的基线数据存储在存储器里,形成相应的动态数字签名矩阵表。
日常安全数据分析器模块8用于从海量安全大数据采集器模块5中,根据分析模型与规则形成网络对象日常特定事件波形(包括但不限于波形、数据、数字、图形、图像、表格等数据特征表现形式,本文以下数据特征描述要求与此相同)特征。
计算模块9用于从日常安全数据分析器模块8和建立健康度模型并形成动态数字签名模块7中获取相应数据,根据阀值对比,由虚拟处理器进行计算、比对;模型建立及签名模块7形成的动态数字签名矩阵表作为代表一定时效内描述系统健康度的基线数据存储在存储器中,用以与日常产生的系统各类安全事件数据通过计算模块9进行计算比对处理。
报警模块10用于根据计算模块9计算出的数值,判断是否输出报警。
独立数据集档案模块6和建立健康度模型并形成动态数字签名模块7与动态健康度模型模块11连接。
请参阅图2,图2描述动态健康度模型模块11如何建立。动态健康度模型11的详细建立过程包括网络对象数据集模块11-1、分类模块11-2(包括但不限于相关协议、类型、来源、属性等能够拓展分析维度的都属类别之列,本文以下描述与此相同)、分类数据特征模块11-3(含曲线、表格等)、按时间序列计算生产事件数据特征模块11-4(进行特征数字化)、生成以周为最小时间周期数据特征曲线模块11-5(按1周*7天为最小时间周期)、合成多维健康度模型数据特征模块11-6、TIME阀值调节器模块11-7。
网络对象数据集模块11-1用于从各种网络对象中收集海量的安全大数据。
分类模块11-2(分类方式包括但不限于相关协议、类型、来源、属性等能够拓展分析维度的都属类别之列,本实施例以下描述与此相同)用于从网络对象数据集模块11-1中把收集到的各类数据根据相关协议、类型、来源、属性等进行分类。
分类数据特征模块11-3(分类数据特征含曲线、表格等)用于从分类模块11-2(分类包括但不限于相关协议、类型、来源、属性等能够拓展分析维度的都属类别之列,本文以下描述与此相同)中绘制各种分类数据特征,可以但不限于是曲线、表格等(下同)。
按时间序列计算生产事件数据特征模块11-4(进行特征数字化)用于从网络对象数据集模块11-1中把收集到的各种大数据根据时间序列计算生产事件数据特征,把特征进行数字化。本实施例中,按1周*7天计算,例如周一数据流量为n1,周二数据流量为n2,以此类推,周日为n7,然后根据n1到n7的数据流量绘制出以周为最小时间周期的数据特征曲线,包括但不限于曲线。
本举例中生成以周为最小时间周期数据健康度特征曲线模块11-5(如按1周*7天,实际应用中并不局限时间周期)用于从按时间序列计算生产事件数据特征模块11-4(进行特征数字化形成数字签名)中生成以周为最小时间周期数据特征曲线。
本文举例使用一种移动平均计算算法作为实现数据特征数字化的一种方法之一(本专利权利包括但不限于任何一种将上述数据特征进行数字化的方式),示例公式如下:
TIME阀值调节器模块11-7用于针对各种网络对象进行阀值调节(包括但不限于对于分析周期、分析类别等分析属性的配置调节,下同),在上文举例中阀值为avg。
合成多维健康度模型数据特征模块11-6用于从分类数据特征(含曲线、表格等)模块11-3、生成以周为最小时间周期数据特征曲线(按1周*7天)模块11-5、TIME阀值调节器模块11-7中合成多维动态健康度模型数据特征。本实施例中,根据一周各天对网络对象的协议事件流量分类进行统计,形成按事件数量、分类、时间周期形成的各流量分类曲线(数据)特征,该特征包括但不限于曲线形式(下同);根据一周各网络对象的总流量统计形成按总流量、时间周期形成的总曲线特征;根据后述移动平均算法中所设定的时间阀值,来默认通过算法实现最近该阀值所设定区间内各周平均量化指标,形成数字模型数据基线(BaseLine)并实现动态自动更新。
请参阅图3-1,图3-1举例说明多维动态健康度数据曲线特征。按时间周期、类别和事件流量生成多维动态健康度数据曲线(模型特征),按事件流量、分类、总流量形成预警。本举例说明所形成的一种多维动态健康度数据曲线:由时间周期、分类、事件流量形成具有自己数字特征的分类流量多维立体曲线,可以由分类多维曲线汇总成总流量多维曲线。
请参阅图3-2,图3-2举例说明根据前述动态健康度数据模型,将经过统计分类的基线数据存储在存储器表里,形成相应的动态数字签名矩阵表,在本发明方法中包括但不限于:数字矩阵表、数字堆栈、多维图表等各种数字签名表现形式。
本发明包括但不限于动态健康度数据以多维曲线特征表示,也可用其他形式展现。
现举例说明基于安全大数据分析的动态健康度模型及动态数字签名的建立过程:
以下举例仅用以说明组成实现本发明最基础单元的一种动态健康度模型及其数字签名,而本发明权利中的动态健康度模型及其动态数字签名则由若干类不限类别、不同属性与分析维度的基础动态健康度模型及其动态数字签名的集合或组合形成。
在本举例中,使用周期为一周、分析维度为协议类别及其数量分布而形成的基础动态数字签名及其多维动态健康度数据曲线如何生成。在本发明中,数字签名时间周期并不限于一周、天、月等任意设定时间区间;形成的健康度模型也并不限定曲线、图表、文字等任意表现形式。
下述包括举例以及其扩展要求都包含在本发行权利要求之中。举例描述如下:
动态数字模型建立,请参阅图3-1。其中,X轴表示形成一类数字模型的基本分析周期,在本举例中为7日(1周),亦可代表任意指定时间分析区间;Y轴表示形成一类数字模型的量化指标,从前述数据收集模块中提取,在本举例中仅使用事件数量,亦可设定代表如事件属性、百分比、告警数量、出现几率等任意可量化的指标;Z轴表示形成一类数字模型的分析类别维度指标,在本举例中为事件中带有协议属性的集合,亦可设定代表如资产、日志、流量、告警、操作、行为等任意分析维度的分类。
在本举例中,根据一周各天对网络对象的协议事件流量分类进行统计,形成按事件数量、分类、时间周期形成的各流量分类曲线(数据)特征,该特征包括但不限于曲线形式(下同);根据一周各网络对象的总流量统计形成按总流量、时间周期形成的总曲线特征;根据前述移动平均算法中所设定的时间阀值,来默认通过算法实现最近该阀值所设定区间内各周平均量化指标,形成数字模型数据基线(BaseLine)并实现动态自动更新。形成的多维动态健康度数据(曲线)模型参考图3-1。
动态数字签名的形成举例见图3-2:
本举例根据前述动态健康度数据模型,将经过统计分类的基线数据存储在存储器表里,形成相应的动态数字签名矩阵表,在本发明方法中包括但不限于:数字矩阵表、数字堆栈、多维图表等各种数字签名表现形式。如图3-2中:
序号1~N表示本举例中采用的协议类型数据网络分析对象,在本发明中网络分析对象并不局限于协议、资产设备、IP、地区、事件类别、告警等各种网络对象所具有的某种属性;
星期一~星期日区域中内容表示存放最新的分类统计签名数据信息(基线数据);
N1表示存放各分类数据的集合,用以形成总量数据签名;
N2表示每日能够记录当日协议数据类别的变动情况,在本举例中以实现在大概率事件流中对小概率分类事件的发现与甄别的一种方法,而本发明对此甄别方法并不限于统计类别变更、分布统计、组成比例等各种数据处理方式;
N3表示本发明所设计的动态数字签名具有伸缩扩展能力,包括计算事件组成、概率分布、组合比率等各种数据处理计算方式,都在本发明权利要求之中。
经过上述步骤形成的动态多维数字签名所形成的多维集合表,作为代表一定时效内描述系统健康度的基线数据存储在存储器中,用以与日常产生的系统各类安全事件数据通过计算模块(9)进行计算比对处理,通过一定规则实现安全告警的输出。
告警数据计算处理流程举例:
在本举例中,仅采用一种基于基线数据的偏离阀值判断方法,通过对来自[日常安全数据分析器]中产生的网络目标量化并提取日常事件波形数据特征,与[动态健康度数字签名]通过[计算单元]进行阀值偏离对比处理,从而形成告警输出。见图1。
而本发明中通过[计算单元]、[动态健康度模型]、[日常安全数据分析器]进行的数据处理包括但并不限于阀值偏离对比、分布比率、组合、趋势增长率等各种数据处理方式。
处理过程举例如下:
算法举例(一)
对来自[日常安全数据分析器]中产生的网络目标事件量化并提取日常事件波形数据特征:每日对产生的日常数据进行分类计数,统计出该分类(如HTTP类)数据当日数据量,并以此数据结果与数字签名进行比对处理
算法举例(二)
本举例通过计算单元,将日常安全数据特征与动态健康度签名数据进行对比计算,以输出告警。本举例中,设置一个偏离度阀值偏离度T,本例中,偏离阀值超过100%输出高级报警,偏离阀值超过60%为中级报警,偏离阀值超过30%为低级报警,报警级别可以根据用户需要进行设定。对照图3-2动态数字签名进行处理至少包括:
1)计算判断总流量告警
2)计算判断协议类别变化告警
3)计算判断明细协议类别偏离度告警
算法处理举例如下:
例:某日星期一的分析
【步骤1】取出签名中星期一总流量的值100M,当日的实际总流量值为150M,超过当日流量签名值50%,发出低级报警。
【步骤2】取当日各协议的值,再取出星期一签名表中对应协议的签名值分别进行比对,结果发现HTTP协议发生了70M,而签名表中HTTP协议对应的值为35M,超过当日HTTP流量签名值的100%,发出高级报警。
【步骤3】根据以上判断,断定为该日HTTP流量异常
以上通过举例旨在描述从海量安全大数据中为每一个所关注的网络目标个体建立其具有自身数据特性的“健康档案”即动态健康度模型数字签名,使用大数据处理技术,为实现从海量安全数据中捕捉敏感的小概率目标事件提供了一种切实可行的方法。
以上介绍了本发明基于动态健康度模型的安全大数据分析系统与方法,本发明在揭示上述健康度模型建立系统的同时,还揭示一种健康度模型建立方法,该方法包括如下步骤:
【步骤A】海量安全大数据采集器,把各种网络对象的终端日志类数据、网络类数据、应用类数据、行为与操作类数据采集上来;
【步骤B】建立独立数据集档案步骤,从海量安全大数据采集器中为每个网络对象抽取分离其相关数据,为其建立独立数据集档案;
【步骤C】建立健康度模型并形成动态数字签名步骤,从独立数据集档案中,为其建立独立健康度模型,并形成动态数字签名;
【步骤D】由步骤B和步骤C合成,为每个网络对象建立动态独立的健康模型。步骤D包括从各种网络对象的数据集中,根据相关协议、类型、来源、属性等分类,形成分类数据特征曲线、表格等;也可以按时间序列计算生产事件数据特征,进行特征数字化,生成以周为最小时间周期数据特征曲线,按1周*7天;最后根据分类数据特征曲线、表格等,根据以周为最小时间周期数据特征曲线,根据时间阀值合成多维动态健康度模型数据特征。
【步骤E】日常安全数据分析器步骤,从海量安全大数据采集器中,根据分析模型与规则形成网络对象日常特定事件波形数据特征;
【步骤F】计算单元步骤,从日常安全数据分析器和建立健康度模型并形成动态数字签名中,根据阀值对比,由虚拟处理器进行计算;
【步骤G】报警步骤,根据计算单元计算出的数值,判断是否输出报警。
综上所述,本发明提出的基于动态健康度模型的安全大数据分析系统及方法,可精确的从大数据流量波形中定位小概率的关键资产安全事件,提高数据的安全性。
本发明能够为用户IT系统中每一个受保护的IT资产建立一套个性化的安全健康档案,形成以资产个体为核心的日常安全数据模型特征(包括BaseLine),该资产健康度模型随着设定的时间、属性等规则阀值而自动调整其健康度(安全基线),从而形成以个体为中心的多维分析视角。
本发明能够将以往被淹没在误报告警洪流中的真正威胁得以更加精确的定位;能够随着用户网络业务系统的弹性扩展,具有自适应动态调整健康度模型的能力;实现了从传统以区域(包括网络、整体系统、业务等)安全为目标的大概率安全分析管理手段,向大数据时代以资产个体为焦点的分析管理技术手段的过渡。
这里本发明的描述和应用是说明性的,并非想将本发明的范围限制在上述实施例中。这里所披露的实施例的变形和改变是可能的,对于那些本领域的普通技术人员来说实施例的替换和等效的各种部件是公知的。本领域技术人员应该清楚的是,在不脱离本发明的精神或本质特征的情况下,本发明可以以其它形式、结构、布置、比例,以及用其它组件、材料和部件来实现。在不脱离本发明范围和精神的情况下,可以对这里所披露的实施例进行其它变形和改变。
Claims (9)
1.一种基于动态健康度模型的安全大数据分析系统,其特征在于,所述系统包括:终端日志类数据模块(1)、网络类数据模块(2)、应用类数据模块(3)、行为与操作类数据模块(4)、大数据采集器模块(5)、独立数据集档案模块(6)、模型建立及签名模块(7)、日常安全数据分析器模块(8)、计算模块(9)、报警模块(10)、动态健康度模型模块(11);
所述终端日志类数据模块(1)、网络类数据模块(2)、应用类数据模块(3)、行为与操作类数据模块(4)用于从各种网络对象收集海量安全大数据,汇集到大数据采集器模块(5)中;
所述大数据采集器模块(5)用于把从终端日志类数据模块(1)、网络类数据模块(2)、应用类数据模块(3)、行为与操作类数据模块(4)中收集到的安全大数据进行收集归类,预存储在大数据采集器模块(5)里;
所述独立数据集档案模块(6)用于从大数据采集器模块(5)中为每个网络对象抽取分离其相关数据,为其建立独立资产数据集档案;
所述模型建立及签名模块(7)用于从独立数据集档案模块(6)中获取数据,为每个网络对象分别建立独立的动态健康度模型,即按时间周期、类别和事件流量生成多维动态健康度数据曲线;并根据前述动态健康度模型,将经过统计分类的基线数据存储在存储器里,形成相应的动态数字签名矩阵表;
所述日常安全数据分析器模块(8)用于从大数据采集器模块(5)中根据设定分析模型与规则形成网络对象日常特定事件波形特征,通过如下数据特征表现形式中的一种或多种得以呈现:波形、数据、数字、图形、图像、表格;
所述计算模块(9)用于从日常安全数据分析器模块(8)、模型建立及签名模块(7)中获取相应数据,根据阀值对比,由虚拟处理器进行计算、比对;模型建立及签名模块(7)形成的动态数字签名矩阵表作为代表一定时效内描述系统健康度的基线数据存储在存储器中,用以与日常产生的系统各类安全事件数据通过计算模块(9)进行计算比对处理;
所述报警模块(10)用于根据计算模块(9)计算出的数值,判断是否输出报警;
所述独立数据集档案模块(6)和模型建立及签名模块(7)与动态健康度模型模块(11)连接;
所述动态健康度模型(11)包括网络对象数据集模块(11-1)、分类模块(11-2)、分类数据特征模块(11-3)、生产事件数据特征计算模块(11-4)、数据特征曲线生成模块(11-5)、多维健康度模型数据特征合成模块(11-6)、TIME阀值调节器模块(11-7);
所述网络对象数据集模块(11-1)用于从各种网络对象中收集海量的安全大数据;
所述分类模块(11-2)用于从所述网络对象数据集模块(11-1)中把收集到的各类数据根据相关协议、类型、来源、属性进行分类;
所述分类数据特征模块(11-3)用于从分类模块(11-2)中绘制各种分类数据特征;
所述生产事件数据特征计算模块(11-4)用于根据网络对象数据集模块(11-1)收集到的各种大数据根据时间序列计算生产事件数据特征,把特征进行数字化;
所述数据特征曲线生成模块(11-5)用于从生产事件数据特征计算模块(11-4)中生成以设定时间周期为最小时间周期数据特征曲线;
所述TIME阀值调节器模块(11-7)用于针对各种网络对象进行阀值调节,包括对于分析周期或分析类别的配置调节;
所述多维健康度模型数据特征合成模块(11-6)用于从分类数据特征模块(11-3)、数据特征曲线生成模块(11-5)、TIME阀值调节器模块(11-7)中合成多维动态健康度模型数据特征;按时间周期、类别和事件流量生成多维动态健康度数据曲线,由时间周期、分类、事件流量形成具有自己数字特征的分类流量多维立体曲线,由分类多维曲线汇总成总流量多维曲线。
2.一种基于动态健康度模型的安全大数据分析系统,其特征在于,所述系统包括:大数据采集器模块(5)、独立数据集档案模块(6)、模型建立及签名模块(7)、日常安全数据分析器模块(8)、计算模块(9)、报警模块(10)、动态健康度模型模块(11);
所述大数据采集器模块(5)用于采集设定安全大数据,并进行存储;
所述独立数据集档案模块(6)用于从大数据采集器模块(5)中为每个网络对象抽取分离其相关数据,为其建立独立资产数据集档案;
所述模型建立及签名模块(7)用于从独立数据集档案模块(6)中获取数据,为每个网络对象分别建立独立的动态健康度模型获取数据,为每个网络对象分别建立独立的动态健康度模型;
所述日常安全数据分析器模块(8)用于从大数据采集器模块(5)中,根据分析模型与规则形成网络对象日常特定事件波形特征;
所述计算模块(9)用于从日常安全数据分析器模块(8)和模型建立及签名模块(7)中获取相应数据,根据阀值对比,由虚拟处理器进行计算、比对;模型建立及签名模块(7)形成的动态数字签名矩阵表作为代表一定时效内描述系统健康度的基线数据存储在存储器中,用以与日常产生的系统各类安全事件数据通过计算模块(9)进行计算比对处理;
所述报警模块(10)用于根据计算模块(9)计算出的数值,判断是否输出报警;
所述独立数据集档案模块(6)和模型建立及签名模块(7)与动态健康度模型模块(11)连接。
3.根据权利要求2所述的基于动态健康度模型的安全大数据分析系统,其特征在于:
所述系统还包括:终端日志类数据模块(1)、网络类数据模块(2)、应用类数据模块(3)、行为与操作类数据模块(4);
所述终端日志类数据模块(1)、网络类数据模块(2)、应用类数据模块(3)、行为与操作类数据模块(4)用于从各种网络对象收集海量安全大数据,汇集到大数据采集器中。
4.根据权利要求2所述的基于动态健康度模型的安全大数据分析系统,其特征在于:
所述动态健康度模型(11)包括网络对象数据集模块(11-1)、分类模块(11-2)、分类数据特征模块(11-3)、生产事件数据特征计算模块(11-4)、数据特征曲线生成模块(11-5)、多维健康度模型数据特征合成模块(11-6)、TIME阀值调节器模块(11-7);
所述网络对象数据集模块(11-1)用于从各种网络对象中收集海量的安全大数据;
所述分类模块(11-2)用于从所述网络对象数据集模块(11-1)中把收集到的各类数据根据相关协议、类型、来源、属性进行分类;
所述分类数据特征模块(11-3)用于从分类模块(11-2)中绘制各种分类数据特征;
所述生产事件数据特征计算模块(11-4)用于从网络对象数据集模块(11-1)中把收集到的各种大数据根据时间序列计算生产事件数据特征,把特征进行数字化;
所述数据特征曲线生成模块(11-5)用于从生产事件数据特征计算模块(11-4)中生成以设定周期为最小时间周期数据特征曲线;
所述TIME阀值调节器模块(11-7)用于针对各种网络对象进行阀值调节,包括对于分析周期或分析类别的配置调节;
所述多维健康度模型数据特征合成模块(11-6)用于从分类数据特征模块(11-3)、数据特征曲线生成模块(11-5)、TIME阀值调节器模块(11-7)中合成多维动态健康度模型数据特征。
5.根据权利要求2所述的基于动态健康度模型的安全大数据分析系统,其特征在于:
所述多维健康度模型数据特征合成模块(11-6)按时间周期、类别和事件流量生成多维动态健康度数据曲线。
6.根据权利要求5所述的基于动态健康度模型的安全大数据分析系统,其特征在于:
所述多维健康度模型数据特征合成模块(11-6)按时间周期、类别和事件流量生成多维动态健康度数据曲线,按事件流量、分类、总流量形成预警。
7.根据权利要求2所述的基于动态健康度模型的安全大数据分析系统,其特征在于:
所述日常安全数据分析器模块(8)形成网络对象日常特定事件波形特征通过如下数据特征表现形式中的一种或多种表现:波形、数据、数字、图形、图像、表格。
8.一种权利要求1至7之一所述安全大数据分析系统的安全大数据分析方法,其特征在于,所述方法包括如下步骤:
步骤A、利用海量安全大数据采集器,采集各种网络对象的终端日志类数据、网络类数据、应用类数据、行为与操作类数据;
步骤B、建立独立数据集档案步骤,从海量安全大数据采集器中为每个网络对象抽取分离其相关数据,为其建立独立数据集档案;
步骤C、建立健康度模型并形成动态数字签名步骤,从独立数据集档案中,为其建立独立健康度模型,并形成动态数字签名;
步骤D、由步骤B和步骤C合成,为每个网络对象建立动态独立的健康模型;
步骤E、日常安全数据分析器步骤,从海量安全大数据采集器中,根据分析模型与规则形成网络对象日常特定事件波形特征;
步骤F、计算单元步骤,从日常安全数据分析器和建立健康度模型并形成动态数字签名中,根据阀值对比,由虚拟处理器进行计算;
步骤G、报警步骤,根据计算单元计算出的数值,判断是否输出报警。
9.根据权利要求8所述的安全大数据分析方法,其特征在于:
所述步骤D包括从各种网络对象的数据集中,根据相关协议、类型、来源、属性分类,形成分类数据特征曲线、表格,或者按时间序列计算生产事件数据特征,进行特征数字化,生成以周为最小时间周期数据特征曲线;最后根据分类数据特征曲线、表格,根据以周为最小时间周期数据特征曲线,根据时间阀值合成多维动态健康度模型数据特征。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410663568.1A CN105635085B (zh) | 2014-11-19 | 2014-11-19 | 基于动态健康度模型的安全大数据分析系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410663568.1A CN105635085B (zh) | 2014-11-19 | 2014-11-19 | 基于动态健康度模型的安全大数据分析系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105635085A true CN105635085A (zh) | 2016-06-01 |
| CN105635085B CN105635085B (zh) | 2018-10-19 |
Family
ID=56049582
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410663568.1A Active CN105635085B (zh) | 2014-11-19 | 2014-11-19 | 基于动态健康度模型的安全大数据分析系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105635085B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106940678A (zh) * | 2017-02-28 | 2017-07-11 | 深圳市华傲数据技术有限公司 | 一种系统实时健康度评估分析方法及装置 |
| CN107809343A (zh) * | 2016-09-09 | 2018-03-16 | 中国人民解放军信息工程大学 | 一种网络协议识别方法及装置 |
| CN108733532A (zh) * | 2017-04-18 | 2018-11-02 | 北京京东尚科信息技术有限公司 | 大数据平台的健康度管控方法、装置、介质及电子设备 |
| CN108876152A (zh) * | 2018-06-21 | 2018-11-23 | 王飞 | 一种大数据安全基线检查方法 |
| CN109416775A (zh) * | 2016-06-23 | 2019-03-01 | 3M创新有限公司 | 具有用于安全事件检测的分析流处理的个人防护设备(ppe) |
| US10610708B2 (en) | 2016-06-23 | 2020-04-07 | 3M Innovative Properties Company | Indicating hazardous exposure in a supplied air respirator system |
| US11023818B2 (en) | 2016-06-23 | 2021-06-01 | 3M Innovative Properties Company | Personal protective equipment system having analytics engine with integrated monitoring, alerting, and predictive safety event avoidance |
| CN113329038A (zh) * | 2021-08-03 | 2021-08-31 | 南京天华中安通信技术有限公司 | 一种关键数字资产保护方法和装置、电子设备、存储介质 |
| US11343598B2 (en) | 2016-06-23 | 2022-05-24 | 3M Innovative Properties Company | Personal protective equipment (PPE) with analytical stream processing for safety event detection |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7260844B1 (en) * | 2003-09-03 | 2007-08-21 | Arcsight, Inc. | Threat detection in a network security system |
| US20080148398A1 (en) * | 2006-10-31 | 2008-06-19 | Derek John Mezack | System and Method for Definition and Automated Analysis of Computer Security Threat Models |
| CN101820413A (zh) * | 2010-01-08 | 2010-09-01 | 中国科学院软件研究所 | 一种网络安全最佳防护策略的选择方法 |
| CN102737063A (zh) * | 2011-04-15 | 2012-10-17 | 阿里巴巴集团控股有限公司 | 一种日志信息的处理方法及系统 |
| CN102752142A (zh) * | 2012-07-05 | 2012-10-24 | 深圳市易聆科信息技术有限公司 | 一种基于多维建模的信息系统的监控方法及监控系统 |
-
2014
- 2014-11-19 CN CN201410663568.1A patent/CN105635085B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7260844B1 (en) * | 2003-09-03 | 2007-08-21 | Arcsight, Inc. | Threat detection in a network security system |
| US20080148398A1 (en) * | 2006-10-31 | 2008-06-19 | Derek John Mezack | System and Method for Definition and Automated Analysis of Computer Security Threat Models |
| CN101820413A (zh) * | 2010-01-08 | 2010-09-01 | 中国科学院软件研究所 | 一种网络安全最佳防护策略的选择方法 |
| CN102737063A (zh) * | 2011-04-15 | 2012-10-17 | 阿里巴巴集团控股有限公司 | 一种日志信息的处理方法及系统 |
| CN102752142A (zh) * | 2012-07-05 | 2012-10-24 | 深圳市易聆科信息技术有限公司 | 一种基于多维建模的信息系统的监控方法及监控系统 |
Non-Patent Citations (2)
| Title |
|---|
| XUEYING WANG等: "CDCAS: A Novel Cloud Data Center Security Auditing System", 《SERVICES COMPUTING (SCC), 2014 IEEE INTERNATIONAL CONFERENCE ON》 * |
| 廖智博: "云计算环境下的大数据分析", 《苏州大学学报(自然科学版)》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11689833B2 (en) | 2016-06-23 | 2023-06-27 | 3M Innovative Properties Company | Personal protective equipment (PPE) with analytical stream processing for safety event detection |
| CN109416775A (zh) * | 2016-06-23 | 2019-03-01 | 3M创新有限公司 | 具有用于安全事件检测的分析流处理的个人防护设备(ppe) |
| US10610708B2 (en) | 2016-06-23 | 2020-04-07 | 3M Innovative Properties Company | Indicating hazardous exposure in a supplied air respirator system |
| CN109416775B (zh) * | 2016-06-23 | 2020-09-29 | 3M创新有限公司 | 具有用于安全事件检测的分析流处理的个人防护设备(ppe) |
| US11023818B2 (en) | 2016-06-23 | 2021-06-01 | 3M Innovative Properties Company | Personal protective equipment system having analytics engine with integrated monitoring, alerting, and predictive safety event avoidance |
| US11979696B2 (en) | 2016-06-23 | 2024-05-07 | 3M Innovative Properties Company | Personal protective equipment (PPE) with analytical stream processing for safety event detection |
| US11343598B2 (en) | 2016-06-23 | 2022-05-24 | 3M Innovative Properties Company | Personal protective equipment (PPE) with analytical stream processing for safety event detection |
| CN107809343A (zh) * | 2016-09-09 | 2018-03-16 | 中国人民解放军信息工程大学 | 一种网络协议识别方法及装置 |
| CN107809343B (zh) * | 2016-09-09 | 2021-03-23 | 中国人民解放军信息工程大学 | 一种网络协议识别方法及装置 |
| CN106940678A (zh) * | 2017-02-28 | 2017-07-11 | 深圳市华傲数据技术有限公司 | 一种系统实时健康度评估分析方法及装置 |
| CN108733532A (zh) * | 2017-04-18 | 2018-11-02 | 北京京东尚科信息技术有限公司 | 大数据平台的健康度管控方法、装置、介质及电子设备 |
| CN108733532B (zh) * | 2017-04-18 | 2022-03-04 | 北京京东尚科信息技术有限公司 | 大数据平台的健康度管控方法、装置、介质及电子设备 |
| CN108876152A (zh) * | 2018-06-21 | 2018-11-23 | 王飞 | 一种大数据安全基线检查方法 |
| CN113329038A (zh) * | 2021-08-03 | 2021-08-31 | 南京天华中安通信技术有限公司 | 一种关键数字资产保护方法和装置、电子设备、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105635085B (zh) | 2018-10-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105635085A (zh) | 基于动态健康度模型的安全大数据分析系统及方法 | |
| Mongiovi et al. | Netspot: Spotting significant anomalous regions on dynamic networks | |
| CN107666410A (zh) | 网络安全分析系统 | |
| Abraham et al. | Investigative profiling with computer forensic log data and association rules | |
| Toshniwal | Clustering techniques for streaming data-a survey | |
| CN104246786A (zh) | 模式发现中的字段选择 | |
| CN109218321A (zh) | 一种网络入侵检测方法及系统 | |
| Yin et al. | Improved clustering algorithm based on high-speed network data stream | |
| CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
| CN103281341A (zh) | 网络事件处理方法及装置 | |
| US20200145455A1 (en) | Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time | |
| CN112738040A (zh) | 一种基于dns日志的网络安全威胁检测方法、系统及装置 | |
| Rupa Devi et al. | A review on network intrusion detection system using machine learning | |
| CN113904881B (zh) | 一种入侵检测规则误报处理方法和装置 | |
| Kalinichenko et al. | Methods for anomaly detection: A survey | |
| Zhang | Using twitter to enhance traffic incident awareness | |
| Xiao et al. | A novel data mining-based method for alert reduction and analysis | |
| RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
| Yang et al. | Clustering and classification based anomaly detection | |
| Spathoulas et al. | Methods for post-processing of alerts in intrusion detection: A survey | |
| Fei et al. | Real-time detection of COVID-19 events from Twitter: A spatial-temporally Bursty-Aware method | |
| Hu et al. | Online city-scale hyper-local event detection via analysis of social media and human mobility | |
| Jeong et al. | Designing a hybrid approach with computational analysis and visual analytics to detect network intrusions | |
| Azhagiri et al. | A novel approach to measure the quality of cluster and finding intrusions using intrusion unearthing and probability clomp algorithm | |
| CN111507368B (zh) | 一种校园网入侵检测方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |