CN105843803B - 大数据安全可视化交互分析系统及方法 - Google Patents
大数据安全可视化交互分析系统及方法 Download PDFInfo
- Publication number
- CN105843803B CN105843803B CN201510013187.3A CN201510013187A CN105843803B CN 105843803 B CN105843803 B CN 105843803B CN 201510013187 A CN201510013187 A CN 201510013187A CN 105843803 B CN105843803 B CN 105843803B
- Authority
- CN
- China
- Prior art keywords
- data
- module
- alarm
- display
- warning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Alarm Systems (AREA)
Abstract
本发明揭示了一种大数据安全可视化交互分析系统及方法,所述系统包括高级预警中心模块、时间轴纵向关联分析器模块、相关地理信息追踪显示器模块、原始数据钻探与导航模块、安全聚向发现横向关联分析器模块、数据采集引擎模块、数据分类模块、数据存储器模块、规则库处理模块。本发明将枯燥、过于专业的以单一图表方式呈现的结果数据进行分拆解读,同步将其含有的时间要素、关系要素、地理位置信息要素等进一步挖掘,进行同步多维度呈现,能使非专业的管理决策人员对安全具有直观感性的认知能力。
Description
技术领域
本发明属于数据安全技术领域,涉及一种大数据安全分析系统,尤其涉及一种大数据安全可视化交互分析系统;同时,本发明还涉及一种大数据安全可视化交互分析方法。
背景技术
网络安全的本质告诉我们,它早就需要结合大数据的思想,要想阻止危机的爆发,就不能采集随机样本,而是全体数据,企业网络的健康状况需要更多、更广的数据来评估。在安全威胁正无处不在的今天,这就要求企业具备在第一时间洞察网络的变化、感知有问题的数据,并提供有效的安全策略,同时还要为决策者提供快速做出业务决策的依据。目前企业的每个系统就会产生成千上万的数据,虽然现在有很多传统的日志或者其他专业工具能够帮助企业分析这些数据,而传统的安全产品工具却不能给我们带来效率,来自传统IPS/IDS、防火墙/UTM、AV、日志系统的各类信息每天高达数千万条,但传统的产品工具对数据的处理目前仅仅停留在各自割裂的、独立的、简易的图表与简单列示查询的方式,这些数据还没有很好的呈现为可视化的关联,关键数据的提取与关联要靠人工进行逐条甄别。
而当安全分析处理进入大数据时代,当面对日均数千万、乃至上亿的信息(请参阅图7),如果没有人机交互、特别是可视化交互分析,所有的数据都将变得没有意义,靠人工的甄别更是无法及时的处理过来。本发明所揭示的系统与方法就是把大数据观念运用到安全数据分析当中,通过关联分析各路威胁情报,为“海量误报”降噪,通过可视化的直观方式定位真正的威胁源头,将企业内部信息系统或者安全事件清晰的通过可视化的数据分析展现出来。
有鉴于此,如今迫切需要设计一种新的大数据安全系统,以便克服现有安全系统的上述缺陷。
发明内容
本发明所要解决的技术问题是:提供一种大数据安全可视化交互分析系统,可将传统枯燥、过于专业的以单一图表方式呈现的结果数据进行分拆解读,同步将其含有的时间要素、关系要素、地理位置信息要素等进一步挖掘,进行同步的多维度呈现,能够使非专业的管理决策人员也可以对安全具有直观感性的认知能力。
此外,本发明还提供一种大数据安全可视化交互分析方法,可将传统枯燥、过于专业的以单一图表方式呈现的结果数据进行分拆解读,同步将其含有的时间要素、关系要素、地理位置信息要素等进一步挖掘,进行同步的多维度呈现,能够使非专业的管理决策人员也可以对安全具有直观感性的认知能力。
为解决上述技术问题,本发明采用如下技术方案:
一种大数据安全可视化交互分析系统,所述系统包括:高级预警中心模块、时间轴纵向关联分析器模块、相关地理信息追踪显示器模块、原始数据钻探与导航模块、安全聚向发现横向关联分析器模块、数据采集引擎模块、数据分类模块、数据存储器模块、规则库处理模块;
数据采集引擎模块包括防火墙、IPS/IDS、交换机、服务器、审计系统、AV/病毒、行为管理、软件应用以及各类数据收集传感器,用于从各种网络对象收集海量安全大数据,分类并汇集到数据分类模块;
数据存储器模块用于把从数据分类模块中收集到的安全大数据进行收集归类,形成数据集预存储在数据存储器里;本数据集包含了所有上述针对网络对象收集的各类属性数据,包括:资产数据、IP、位置数据、日志数据、监控数据、行为与操作数据、应用业务数据、报警数据;
规则库处理模块用于从数据存储器模块的数据集中为每个网络对象按设定规则库进行计算处理,输出高级告警数据,并从数据集中抽取分离与网络对象相关的属性数据进行输出;规则设定与计算处理过程为:规则库处理模块对数据处理并输出相关告警数据的过程;
高级预警中心模块用于从规则库处理模块中,根据规则库处理结果将输出的告警数据进行汇集并分类展示,并进一步进行可视化数据处理输出;
高级预警中心模块根据报警信息,将相关网络对象的数据根据属性分类输出到时间轴纵向关联分析器模块、相关地理信息追踪显示器模块、原始数据钻探与导航模块、安全聚向发现横向关联分析器模块;
高级预警中心模块作为系统数据处理调度核心模块,将数据处理输出到时间轴纵向关联分析器模块、相关地理信息追踪显示器模块、原始数据钻探与导航模块、安全聚向发现横向关联分析器模块;
高级预警中心模块的预警步骤包括:
步骤S11.主程序启动后,将启动“规则库处理AlarmRuleProcess”线程和“高级预警中心AdvancedAlartCenter”线程;
步骤S12.“规则库处理AlarmRuleProcess”线程启动时,先从规则库中获取已启用的所有报警规则GetAlarmRules,然后不断地循环执行以下工作流程:
步骤S12a.从数据存储器中获取最新的数据GetNewestDataFromStorage;
步骤S12b.将最新数据依次与各报警规则进行匹配检查AlarmCheck;
步骤S12c.若检查产生报警信息Alarm,则先将报警信息保存到数据存储器SaveAlarms,然后将报警信息依次添加到高级预警中心的处理队列尾部alarmCenterQueue。
步骤S13.“高级预警中心AdvancedAlart”线程启动时,先启动“原始数据钻探RawDataMining”线程、“时间轴纵向关联分析VerticalAnalyze”线程及“安全聚向发现横向关联分析HorizontalAnalyze”线程,然后不断地循环执行以下工作流程:
步骤S13a.若发现高级预警中心处理队列不为空,则从队列开始处取出一个待处理的报警信息;
步骤S13b.对报警信息的相关地理追踪信息进行呈现GeoTraceInfoDisplay;
步骤S13c.将报警信息添加到原始数据钻探处理队列尾部dataMiningQueue;
步骤S13d.将报警信息添加到横向分析处理队列尾部horAnalyzeQueue;
步骤S13e.将报警信息添加到纵向分析处理队列尾部verAnalyzeQueue;
步骤S14.“原始数据钻探RawDataMining”线程启动后,不断地循环执行以下工作流程:
步骤S14a.若发现原始数据钻探处理队列不为空,则从队列开始处取出一个待处理的报警信息;
步骤S14b.根据报警信息所有相关的原始数据ID,即RecordID,从所有原始数据allRawDatas中,筛选出相关的原始数据;
步骤S14c.根据报警信息所有相关的原始数据ID,即RecordID,从所有已保存的报警信息中,筛选中相关的报警信息;
步骤S14d.根据在步骤S14b和步骤S14c中获取的数据,根据具体业务需求进行分析处理;
步骤S14e.输出分析结果。
步骤S15.“时间轴纵向关联分析VerticalAnalyze”线程启动后,不断地循环执行以下工作流程:
步骤S15a.若发现纵向分析处理队列不为空,则从队列开始处取出一个待处理的报警信息;
步骤S15b.创建一个关联原始数据字典relativeDataDict;
步骤S15c.根据报警信息所有相关的原始数据ID,即RecordID,从所有原始数据allRawDatas中,筛选出相关的原始数据;
步骤S15d.对于报警信息相关的每个原始数据,以该原始数据的记录时间RecordTime的设定时间前的时刻为开始时间,以RecordTime为结束时间,从相关原始数据中,筛选中该时间段的、源自同一IP、同一资产名称的历史数据,并添加到步骤S15b中创建的关联原始数据字典中;
步骤S15e.根据在步骤S15c和步骤S15d中获取的数据,根据具体业务需求进行分析处理;
步骤S15f.输出分析结果。
步骤S16.“安全聚向发现横向关联分析HorizontalAnalyze”线程启动后,不断地循环执行以下工作流程:
步骤S16a.若发现横向关联分析队列不为空,则从队列开始处取出一个待处理的报警信息;
步骤S16b.根据报警信息所有相关的原始数据ID,即RecordID,从所有原始数据allRawDatas中,筛选出相关的原始数据;
步骤S16c.根据报警信息所有相关的原始数据ID,即RecordID,从所有已保存的报警信息中,筛选出相关的报警信息;
步骤S16d.将筛选出的报警信息执照报警等级进行分组;
步骤S16e.对报警信息的相关地理追踪信息进行呈现GeoTraceInfoDisplay;
步骤S16f.根据步骤S16b、步骤S16c、步骤S16d中获取的数据,根据具体业务需求进行分析处理;
步骤S16g.输出分析结果;
安全聚向发现横向关联分析器模块将本模块进一步分析处理的数据结果中带有地理属性的数据输出到相关地理信息追踪显示器模块进行进一步展示处理;
原始数据钻探与导航模块根据高级预警中心模块的告警数据输出为索引,从数据存储器模块中进行相关原始数据的定位准备与获取;
高级预警中心模块包括分组监视模块、雷达显示模块、高危简报集模块、高级预警触发器模块、基于排序的告警显示模块、告警源事件模块、报文黑板显示模块;
分组监视模块按产生高级告警数据的重要资产等级进行分组重点监视;分组监视模块称为重要资产监控单元,其定义为:既可能是某1个独立的设备,或者是多个设备组成的一个业务系统,或者是一个特定的规则与业务逻辑及其组合;分组监视模块将按其定义分组归类的高级告警信息同步输出到基于时间序列的雷达显示模块和高级预警触发器模块,进行进一步处理;
基于时间序列的雷达显示模块根据收到的高级告警信息,根据其带有的时间属性进行排序,以图形化方式显示在模拟雷达用户界面UI中,显示方式包括:圆形点阵、方形矩阵、相控阵、概率分布云图显示形式,在显示的要素中包括根据时间序列进行图形化列示、根据资产重要等级进行颜色区别显示;以圆形屏幕模拟雷达显示方式,越靠近中心点的位置为最新出现的告警事件,越远离中心点为越早些时候的事件;事件产生的图形圆点根据资产重要程度显示为不同颜色,以资产多少划分为高、中、低,则显示的事件则按相应属性带有区别的高、中、低颜色;基于时间序列的雷达显示模块能达到对产生的告警事件等级、分布与时效性进行一种概括性的总览;
高级预警触发器模块为接收的告警信息进行进一步的数据筛选与分组输出,筛选规则包括:告警类别、资产级别、时间区间;高级预警触发器模块对告警信息降噪与进一步筛选处理的过程:根据各种网络对象的警报事件分类进行统计,形成按警报来源种类、网络对象的分类数据特征;根据各网络对象的警报组合形成按警报种类、网络对象的告警级别的数据特征矩阵表;将经过统计分类的数据特征存储在存储器表里,形成相应的告警动态数字矩阵表;当每条告警信息同时满足至少5种以上条件时,本系统才触发一次告警预警信息;而高级预警触发器模块则会将与本次高级预警事件相关的信息输送至其他模块继续处理;
根据设定的筛选规则生成高危简报集模块:高级预警触发器模块将把1小时以内的、并且属于高级资产属性的告警信息筛选出来,生成高危简报集;高级预警触发器模块分离数据生成基于时间序列的告警源事件模块,用以根据时间排序列示相关告警数据,而最新相关警示信息报文黑板显示模块则是用以显示基于时间序列的告警源事件模块中最新的事件的全部源数据内容,也支持在基于时间序列的告警源事件模块中任意选定显示列表中的任何事件在最新相关警示信息报文黑板显示模块中显示其全面源数据明细内容;高级预警触发器模块还生成基于排序的告警显示模块,这里排序规则包括按资产引发的所有告警或者分类告警数量进行排序;
时间轴纵向关联分析器模块包括触发高危告警事件集模块、分离资产时间等属性模块、基于时间的历史数据检索模块、波形显示模块、信号投放时间轴显示模块、基于时间序列的显示模块、定位显示模块、方向机模块、区间控制模块、反馈显示模块;
触发高危告警事件集模块从前述高级预警中心模块获取所触发的高危告警事件集数据:一路输送到模块用于处理分离出包括资产、时间属性数据;另一路输送至定位显示单元进行处理;
基于时间的历史数据检索模块根据从模块分离获取的资产、时间属性数据为线索,包括启动基于时间的历史数据检索;结果输出到波形显示模块和信号投放时间轴显示模块进行再处理;
波形显示模块根据基于时间的历史数据检索模块的检索输出结果将其进行图形化展示输出,输出方式包括波形曲线、图表、分布图显示形式;基于时间的历史数据检索模块根据告警的某个资产数据从数据存储器模块中对该资产所发生的所有事件进行检索,并按时间进行排序,形成该资产事件历史流量的波形图;
信号投放时间轴显示模块控制输出到基于时间序列的显示模块的事件数据类别,包括高级、中级、低级或其组合的数据集;
基于时间序列的显示模块实现以时间轴为纵向坐标导向,将所需列示的事件按时间序列进行图形化展示,展示形式为二维图表、三维、多维方式中的一种或多种;基于时间序列的显示模块可以通过向前或向后设定时间控制与方向机模块互动,来实现对基于时间序列的显示模块中按时间轴列示数据的历史数据浏览控制;
区间控制模块设定并控制基于时间序列的显示模块屏幕中默认显示区间的范围大小,该区间设定包括时间、地域事件属性数据;区间控制模块预先输出到反馈显示模块进行调整,确定后即可正式切换基于时间序列的显示模块的数据显示控制;
相关地理信息追踪显示器模块包括告警数据模块、分离地理位置信息属性数据模块、全球地图相关性显示模块、原始数据排序模块、基于地理位置的数据排序模块;
告警数据模块将来自前述上级模块的告警数据输出到分离地理位置信息属性数据模块进行进一步处理;
分离地理位置信息属性数据模块从来自告警数据模块的数据中分离出带有地理位置信息,包括GPS、IP与地理相关的属性及其关联性数据,并将其输出到全球地图相关性显示模块;
全球地图相关性显示模块根据上述来自分离地理位置信息属性数据模块的数据按其地理位置属性显示在全球地图坐标上,并通过图形显示其相关联性,关联性显示包括星形连线模式;将带有地理位置信息的告警事件按其坐标投放在地图上,并根据其相互间的关联性用连线方式表示;IP坐标A如果受到IP坐标B与C的攻击扫描,则在图示中将A分别与B、C进行连线表明关联;
同时,全球地图相关性显示模块将数据输出至原始数据排序模块和基于地理位置的数据排序模块,分别实现所有带有地理位置信息数据的排序列示,包括按时间、类型、数量字段进行排序;以及按地理位置分类进行汇总排序;
原始数据钻探与导航模块的详细建立过程包括同步告警中心数据模块、相关性分析模块、大类定位随动导航系统模块、原始告警数据集合列示模块;
同步告警中心数据模块从高级预警中心模块进行所有接收的告警信息的同步工作,并由相关性分析模块进行进一步处理;
相关性分析模块以同步告警中心数据模块的告警信息数据为基础,判别并提取出其中包含的类别与资产属性信息,以其作为索引分别由大类定位随动导航系统模块和基于时间序列与告警级别的原始告警数据集合列示模块传到数据存储器中进行原始数据的检索与准备工作;
大类定位随动导航系统模块是与上级模块告警信息的更新而同步工作的,一旦接收新的告警信息,本模块即刻提取该告警信息中包含的资产类别,并将与此告警相关的原始事件数据从上级数据存储器模块中检索提取后按此类别进行归档,实现按资产类别进行快捷的原始数据获取及取证能力;当日常告警不断出现时,大类定位随动导航系统模块将告警相关的资产按其网络设备、主机、存储、安防设备的类别进行原始数据提取后归档,实现直接通过资产类别寻找并获取原始数据及取证的能力;
基于时间与告警级别的原始告警数据列示模块实现将与告警相关的原始数据按时间与告警级别进行排序,方便用户进行检索与获取;
安全聚向发现横向关联分析器模块包括高级预警中心数据获取模块、资产目标提取模块、横向相关性检索模块、时间区间装置器模块、安全聚向关系显示模块;
高级预警中心数据获取模块从高级预警中心模块获取高级告警信息数据,并输出到资产目标提取模块进行处理;
资产目标提取模块从高级预警中心数据获取模块获取的告警信息数据中将引发高级告警的资产目标提取出来,该项告警表明若IP为A的设备资产引发了高级告警信息,则资产目标提取模块将IP为A的资产信息提取出来,输出到横向相关性检索模块做进一步处理;
横向相关性检索模块根据该资产目标信息从上级存储器模块中启动遍历检索所有与其相关的事件来源信息,并将结果数据输出到安全聚向关系显示模块进行图形化展示;服务器A引发高级告警后,横向相关性检索模块将从事件存储器模块中将所有来源如路由器、交换机、IPS、流量管理、审计系统事件来源产生的包含服务器A信息的所有事件信息检索出来,并汇总与其发生关系的目标地址信息;并将此信息输出到安全聚向关系显示模块进行可视化输出;
时间区间装置器模块设定并控制横向相关性检索模块进行检索数据的时间区间,以及设定输出到安全聚向关系显示模块进行显示数据关联的时间区间;
安全聚向关系显示模块实现以资产目标为核心视角的显示,在设定时间区间内的所有与之产生关联的关系目标,围绕资产形成星形列示,显示方式包括二维、三维、多维的表现形式。
一种大数据安全可视化交互分析系统,所述系统包括:高级预警中心模块、时间轴纵向关联分析器模块、相关地理信息追踪显示器模块、原始数据钻探与导航模块、安全聚向发现横向关联分析器模块、数据采集引擎模块、数据分类模块、数据存储器模块、规则库处理模块;
数据采集引擎模块包括防火墙、IPS/IDS、交换机、服务器、审计系统、AV/病毒、行为管理、软件应用以及各类数据收集传感器中的一个或多个,用于从各种网络对象收集海量安全大数据,分类并汇集到数据分类模块;
数据存储器模块用于把从数据分类模块中收集到的安全大数据进行收集归类,形成数据集预存储在数据存储器里;本数据集包含了所有上述针对网络对象收集的各类属性数据,包括:资产数据、IP、位置数据、日志数据、监控数据、行为与操作数据、应用业务数据、报警数据;
规则库处理模块用于从数据存储器模块的数据集中为每个网络对象按设定规则库进行计算处理,输出高级告警数据,并从数据集中抽取分离与网络对象相关的属性数据进行输出。
一种上述基于大数据安全可视化交互分析系统的分析方法,所述分析方法包括如下步骤:
步骤A、海量大数据安全分类器,把防火墙、IPS/IDS、交换机、服务器、审计系统、AV/病毒、行为管理、软件应用的各种网络对象的数据汇总分类,按终端日志类数据、网络类数据、应用类数据、行为与操作类数据分成四类;
步骤B、海量大数据安全存储器,把从步骤A中采集的海量大数据安全进行存储,大数据安全包含所有针对网络对象收集的各类属性数据,包括并不限于:资产数据、IP、位置数据、日志数据、监控数据、行为与操作数据、应用业务数据、报警数据;
步骤C、规则库处理步骤,把步骤B中数据存储器的数据按规则库规则进行处理分析,为每个网络对象按设定规则库进行计算处理,输出高级告警数据,并从数据集中抽取分离与网络对象相关的属性数据进行输出;
步骤D、高级预警中心显示步骤,按规则库处理单元处理的数据根据预警级别进行分类,根据预警级别判断是否显示;根据规则库处理结果将输出的告警数据进行汇集并分类展示,并进一步进行可视化数据处理输出;
步骤E、大数据安全可视化步骤,将相关网络对象的数据根据属性分类,把高级预警中心存储的安全数据按时间轴纵向关联分析器、相关地理信息追踪显示器、原始数据钻探与导航单元、安全聚向发现横向关联分析器形式进行分类展示;
步骤D中,分组监视单元按产生高级告警数据的重要资产等级进行分组重点监视,分组监视单元又可以称为重要资产监控单元,其定义为:既可能是某一个独立的设备,或者是多个设备组成的一个业务系统,或者是一个特定的规则与业务逻辑及其组合;存储是一台独立的设备,而销售管理系统则是由一组服务器+路由器+防火墙+交换机组成这个业务系统的一个逻辑单元;分组监视单元将按其定义分组归类的高级告警信息同步输出到基于时间序列的雷达显示单元和高级预警触发器,进行进一步处理;
基于时间序列的雷达显示单元根据收到的高级告警信息,根据其带有的时间属性进行排序,以图形化方式显示在模拟雷达用户界面UI中,显示方式包括:圆形点阵、方形矩阵、相控阵、概率分布云图显示形式,在显示的要素中包括根据时间序列进行图形化列示、根据资产重要等级进行颜色区别显示;基于时间序列的雷达显示单元能够达到对产生的告警事件等级、分布与时效性进行一种概括性的总览;
高级预警触发器能够为接收的告警信息进行进一步的数据筛选与分组输出,筛选规则包括:资产级别、时间区间,根据设定的筛选规则生成高危简报集;高级预警触发器分离数据生成基于时间序列的告警源事件,用以根据时间排序列示相关告警数据,而最新相关警示信息报文黑板显示单元则是用以显示基于时间序列的告警源事件中最新的事件的全部源数据内容,也支持在基于时间序列的告警源事件中任意选定显示列表中的任何事件,在最新相关警示信息报文黑板显示单元中显示其全面源数据明细内容;高级预警触发器还可以生成基于排序的告警显示单元,这里排序规则包括但不限于按资产引发的所有告警或者分类告警数量进行排序;
步骤E中,触发高危告警事件集从高级预警中心获取所触发的高危告警事件集数据:一路输送到分离资产时间属性模块用于处理分离出包括资产、时间属性数据;另一路输送至定位显示单元进行处理;基于时间的历史数据检索根据从分离资产时间属性模块分离获取的资产、时间属性数据为线索,包括启动基于时间的历史数据检索;结果输出到波形显示单元和信号投放时间轴显示单元进行再处理;
波形显示单元根据基于时间的历史数据检索模块的检索输出结果将其进行图形化展示输出,输出方式包括波形曲线、图表、分布图显示形式;信号投放时间轴显示单元控制输出到基于时间序列的显示的事件数据类别;
基于时间序列的显示实现以时间轴为纵向坐标导向,将所需列示的事件按时间序列进行图形化展示,展示形式为二维图表、三维、多维的方式;基于时间序列的显示模块通过向前或向后设定时间控制与方向机互动,来实现对当前模块中按时间轴列示数据的历史数据浏览控制;
区间控制单元设定并控制当前基于时间序列的显示模块屏幕中默认显示区间的范围大小,该区间设定包括时间、地域属性数据;区间控制模块预先输出到反馈显示模块进行调整,确定后即可正式切换基于时间序列的显示模块的数据显示控制;
步骤E中,相关地理信息追踪显示器的追踪显示过程包括:告警数据模块将来自前述上级模块的告警数据输出到分离地理位置信息属性数据模块进行进一步处理;分离地理位置信息属性数据模块从来自告警数据模块的数据中分离出带有地理位置信息,包括GPS、IP与地理相关的属性及其关联性数据,并将其输出到全球地图相关性显示单元;全球地图相关性显示单元根据上述来自分离地理位置信息属性数据模块的数据按其地理位置属性显示在全球地图坐标上,并通过图形显示其相关联性,关联性显示包括星形连线模式;同时,全球地图相关性显示模块将数据输出至原始数据排序模块和基于地理位置的数据排序模块,分别实现所有带有地理位置信息数据的排序列示,包括按时间、类型、数量字段进行排序;以及按地理位置分类进行汇总排序,按国家或省市地域进行分别统计属于该地域的所有告警事件的排序;
步骤E中,原始数据钻探与导航单元的处理过程包括:同步告警中心数据从高级预警中心进行所有接收的告警信息的同步工作,并由相关性分析模块进行进一步处理;相关性分析模块以同步告警中心数据模块的告警信息数据为基础,判别并提取出其中包含的类别与资产属性信息,以其作为索引分别由大类定位随动导航系统和基于时间序列与告警级别的原始告警数据集合列示传到上级数据存储器模块中进行原始数据的检索与准备工作;
大类定位随动导航系统是与上级模块告警信息的更新而同步工作的,一旦接收新的告警信息,本模块即刻提取该告警信息中包含的资产类别,并将与此告警相关的原始事件数据从上级数据存储器模块模块中检索提取后按此类别进行归档,实现按资产类别进行快捷的原始数据获取或取证能力;基于时间与告警级别的原始告警数据列示,实现将与告警相关的原始数据按时间与告警级别进行排序,方便用户进行检索与获取
步骤E中,安全聚向发现横向关联分析器的处理过程包括:高级预警中心数据获取模块从高级预警中心模块获取高级告警信息数据,并输出到资产目标提取模块进行处理;资产目标提取模块从高级预警中心数据获取模块获取的告警信息数据中将引发高级告警的资产目标提取出来。横向相关性检索模块根据该资产目标信息从数据存储器模块中启动遍历检索所有与其相关的事件来源信息,并将结果数据输出到安全聚向关系显示模块进行图形化展示;时间区间装置器模块设定并控制模块进行检索数据的时间区间,以及设定输出到安全聚向关系显示模块进行显示数据关联的时间区间;
安全聚向关系显示模块,实现以资产目标为核心视角的,在设定时间区间内的所有与之产生关联的关系目标,围绕资产形成星形列示,显示方式包括二维、三维、多维连线的表现形式。
一种上述基于大数据安全可视化交互分析系统的分析方法,所述分析方法包括如下步骤:
步骤A、海量大数据安全分类器,把防火墙、IPS/IDS、交换机、服务器、审计系统、AV/病毒、行为管理、软件应用的各种网络对象的数据汇总分类,按终端日志类数据、网络类数据、应用类数据、行为与操作类数据分成四类;
步骤B、海量大数据安全存储器,把从步骤A中采集的海量大数据安全进行存储,大数据安全包含所有针对网络对象收集的各类属性数据,包括并不限于:资产数据、IP、位置数据、日志数据、监控数据、行为与操作数据、应用业务数据、报警数据;
步骤C、规则库处理步骤,把步骤B中数据存储器的数据按规则库规则进行处理分析,为每个网络对象按设定规则库进行计算处理,输出高级告警数据,并从数据集中抽取分离与网络对象相关的属性数据进行输出;
步骤D、高级预警中心显示步骤,按规则库处理单元处理的数据根据预警级别进行分类,根据预警级别判断是否显示;根据规则库处理结果将输出的告警数据进行汇集并分类展示,并进一步进行可视化数据处理输出;
步骤E、大数据安全可视化步骤,将相关网络对象的数据根据属性分类,把高级预警中心存储的安全数据按时间轴纵向关联分析器、相关地理信息追踪显示器、原始数据钻探与导航单元、安全聚向发现横向关联分析器等形式进行分类展示。
本发明的有益效果在于:本发明提出的大数据安全可视化交互分析系统及方法,通过关联多路多类别安全事件与告警信息,实现对误报告警信息的过滤;通过对汇总大数据安全的可视化分析呈现,分别实现时间、地理空间、相互关系等诸多要素的视觉化结果输出,以交互式的VIS(视觉信息系统)输出方式实现安全事件的定位;能够使用户对整体IT信息系统的安全运行状态具有一种全局化的态势监控能力;能够使用户具备以安全事件为导向的快速响应与事故、故障定位处置能力;使用户具备可视化交互能力的原始数据取证能力。
本发明与现有安全产品分析技术方式相比具有以下优势:可视化分析是通过交互式可视化界面促进推理分析能力的科学,本发明所揭示的一种系统与方法就是面对海量大数据安全,应用可视化分析手段所进行的一种VIS(视觉信息系统)分析的有效创新,实现对大数据安全进行可视化处理的一种有益方法探索。
其与传统产品分析方式相比具有以下突出优势:本发明提供了一种对于数据安全可视化分析解读与处理的一整套方法与体系。将传统枯燥、过于专业的以单一图表方式呈现的结果数据进行分拆解读,同步将其含有的时间要素、关系要素、地理位置信息要素等进一步挖掘,进行同步的多维度呈现,能够使非专业的管理决策人员也可以对安全具有直观感性的认知能力。
附图说明
图1为大数据安全可视化交互分析示意图。
图2为高级预警中心示意图。
图3为时间轴纵向关联分析器示意图。
图4为相关地理信息追踪显示器示意图。
图5为原始数据钻探与导航单元示意图。
图6为安全聚向发现横向关联分析器示意图。
图7为传统安全产品工具数据处理使用示意图。
图8为本发明安全产品工具数据处理使用示意图。
具体实施方式
下面结合附图详细说明本发明的优选实施例。
实施例一
请参阅图1,本发明揭示了一种基于大数据安全可视化交互分析系统与方法,该系统包括:高级预警中心模块1、时间轴纵向关联分析器模块2、相关地理信息追踪显示器模块3、原始数据钻探与导航单元模块4、安全聚向发现横向关联分析器模块5、数据采集引擎模块6、数据分类模块7、数据存储器模块8、规则库处理单元模块9。
数据采集引擎模块6包括防火墙、IPS/IDS、交换机、服务器、审计系统、AV/病毒、行为管理、软件应用,以及其他各类数据收集传感器用于从各种网络对象收集海量安全大数据,分类并汇集到数据分类模块7。
数据存储器模块8用于把从数据分类模块7中收集到的安全大数据进行收集归类,形成数据集预存储在数据存储器里。本数据集包含了所有上述针对网络对象收集的各类属性数据,包括并不限于:资产数据、IP、位置数据、日志数据、监控数据、行为与操作数据、应用业务数据、报警数据等。
规则库处理单元模块9用于从数据存储器模块8的数据集中为每个网络对象按设定规则库进行计算处理,输出高级告警数据,并从数据集中抽取分离与网络对象相关的属性数据进行输出。
规则设定与计算处理过程举例如下:
本举例仅用于说明规则库处理单元模块9对数据处理并输出相关告警数据的过程,本发明所涉及的权利要求包括并不局限于任何一种数据处理与算法规则。(下同)
规则举例:多次登录失败,以针对网络对象多次登录行为失败的行为甄别来设定相应的规则配置以及确定是否告警输出。规则设定如下:
1.首先设定数据筛选条件,为authorization类型,则针对网络对象的所有认证类数据都将被初步筛选出来;
2.设定内容提取正则表达式,在本举例中表达式设定为:
“Failedpasswordfor(?<username>\w+)from(?<ip>[\d|\.]+)”
该表达式从数据集内容中提取带有用户名与IP信息的内容
3.根据报警条件表达式判断是否产生告警
告警条件表达式格式示例:
*op:可以是"And","Or","NotIn","In","Is","Not"
*name:可以是内容提取中的正则表达式中所用的名称
*value:当op="And",“Or”时,value是一个表达式的数组
当op="Is",“Not”时,value是一个字符串
当op="In",“NotIn”时,value是一个字符串的数组
在本举例中,告警条件表达式设定为:
{"name":"username","op":"NotIn","value":[""]}
此告警条件表达式将筛选出“用户名不为空”的数据,即在“用户名不为空”的情况下,将产生告警。
4.告警输出规则设定:
在本举例中,告警模式设定为每60秒内出现3次才告警,通过此设定能够进一步筛选告警数据;
首次出现告警事件时,告警处理程序将为该事件创建一个告警事件计数器,在告警规则所设定的周期(本举例为60秒)内,再次出现同一告警事件时,计数器累加。在同一周期内,若计数达到告警规则所设定的次数(本举例为3次),则进入告警输出流程;若未达到预设次数,则计数器在下一周期开始时清零。
高级预警中心模块1用于从规则库处理单元模块9中,根据规则库处理结果将输出的告警数据进行汇集并分类展示,并进一步进行可视化数据处理输出。
高级预警中心模块1根据报警信息,将相关网络对象的数据根据属性分类输出到时间轴纵向关联分析器模块2、相关地理信息追踪显示器模块3、原始数据钻探与导航单元模块4、安全聚向发现横向关联分析器模块5。
高级预警中心模块1作为系统数据处理调度核心模块,现举例(本发明包括但不限于各种将数据处理输出到模块2、模块3、模块4、模块5的方式)其一种数据处理输出到其他模块的数据数理方法。
1.主程序启动后,将启动“规则库处理(AlarmRuleProcess)”线程和“高级预警中心(AdvancedAlartCenter)”线程。
2.“规则库处理(AlarmRuleProcess)”线程启动时,先从规则库中获取已启用的所有报警规则(GetAlarmRules),然后不断地循环执行以下工作流程:
a.从数据存储器中获取最新的数据(GetNewestDataFromStorage);
b.将最新数据依次与各报警规则进行匹配检查(AlarmCheck);
c.若检查产生报警信息(Alarm),则先将报警信息保存到数据存储器(SaveAlarms),然后将报警信息依次添加到高级预警中心的处理队列尾部(alarmCenterQueue)。
3.“高级预警中心(AdvancedAlart)”线程启动时,先启动“原始数据钻探(RawDataMining)”线程、“时间轴纵向关联分析(VerticalAnalyze)”线程及“安全聚向发现横向关联分析(HorizontalAnalyze)”线程,然后不断地循环执行以下工作流程:
a.若发现高级预警中心处理队列不为空,则从队列开始处取出一个待处理的报警信息;
b.对报警信息的相关地理追踪信息进行呈现(GeoTraceInfoDisplay);
c.将报警信息添加到原始数据钻探处理队列尾部(dataMiningQueue);
d.将报警信息添加到横向分析处理队列尾部(horAnalyzeQueue);
e.将报警信息添加到纵向分析处理队列尾部(verAnalyzeQueue);
4.“原始数据钻探(RawDataMining)”线程启动后,不断地循环执行以下工作流程:
a.若发现原始数据钻探处理队列不为空,则从队列开始处取出一个待处理的报警信息;
b.根据报警信息所有相关的原始数据ID(RecordID),从所有原始数据(allRawDatas)中,筛选出相关的原始数据;
c.根据报警信息所有相关的原始数据ID(RecordID),从所有已保存的报警信息中,筛选中相关的报警信息;
d.根据在步骤b和c中获取的数据,根据具体业务需求进行分析处理;
e.输出分析结果。
5.“时间轴纵向关联分析(VerticalAnalyze)”线程启动后,不断地循环执行以下工作流程:
a.若发现纵向分析处理队列不为空,则从队列开始处取出一个待处理的报警信息;
b.创建一个关联原始数据字典(relativeDataDict);
c.根据报警信息所有相关的原始数据ID(RecordID),从所有原始数据(allRawDatas)中,筛选出相关的原始数据;
d.对于报警信息相关的每个原始数据,以该原始数据的记录时间(RecordTime)的24小时(具体时长可进行自定义配置)前的时刻为开始时间,以RecordTime为结束时间,从相关原始数据中,筛选中该时间段的、源自同一IP、同一资产名称的历史数据,并添加到步骤b中创建的关联原始数据字典中;
e.根据在步骤c和d中获取的数据,根据具体业务需求进行分析处理;
f.输出分析结果。
6.“安全聚向发现横向关联分析(HorizontalAnalyze)”线程启动后,不断地循环执行以下工作流程:
a.若发现横向关联分析队列不为空,则从队列开始处取出一个待处理的报警信息;
b.根据报警信息所有相关的原始数据ID(RecordID),从所有原始数据(allRawDatas)中,筛选出相关的原始数据;
c.根据报警信息所有相关的原始数据ID(RecordID),从所有已保存的报警信息中,筛选出相关的报警信息;
d.将筛选出的报警信息执照报警等级进行分组;
e.对报警信息的相关地理追踪信息进行呈现(GeoTraceInfoDisplay);
f.根据步骤b、c、d中获取的数据,根据具体业务需求进行分析处理;
g.输出分析结果。
安全聚向发现横向关联分析器模块5也可以将本模块进一步分析处理的数据结果中带有地理属性的数据输出到相关地理信息追踪显示器模块3进行进一步展示处理。
原始数据钻探与导航单元模块4根据高级预警中心模块1的告警数据输出为索引,从数据存储器模块8中进行相关原始数据的定位准备与获取。
请参阅图2,图2描述高级预警中心模块1如何建立。高级预警中心模块1的详细建立过程包括分组监视单元模块1-1、雷达显示单元模块1-2、高危简报集模块1-3、高级预警触发器模块1-4、基于排序的告警显示单元模块1-5、告警源事件模块1-6、报文黑板显示单元模块1-7。
分组监视单元模块1-1按产生高级告警数据的重要资产等级进行分组重点监视。分组监视单元模块1-1又可以称为重要资产监控单元,其定义为(包括但不限于):既可能是某1个独立的设备,也可能是一组(多个)设备组成的一个业务系统,也可能是一个特定的规则与业务逻辑及其组合。如:存储可能是一台独立的设备,而销售管理系统则是由一组服务器+路由器+防火墙+交换机等组成这个业务系统的一个逻辑单元。分组监视单元模块1-1将按其定义分组归类的高级告警信息同步输出到基于时间序列的雷达显示单元模块1-2和高级预警触发器模块1-4,进行进一步处理。
基于时间序列的雷达显示单元模块1-2根据收到的高级告警信息,根据其带有的时间属性进行排序,以图形化方式显示在模拟雷达用户界面UI中,显示方式包括但不限于:圆形点阵、方形矩阵、相控阵、概率分布云图等各种图形显示形式,在显示的要素中包括根据时间序列进行图形化列示、根据资产重要等级进行颜色区别显示等。举例如下:以圆形屏幕模拟雷达显示方式,在本举例中,越靠近中心点的位置为最新出现的告警事件,越远离中心点为越早些时候的事件;事件产生的图形圆点根据资产重要程度显示为不同颜色(如资产划分为高、中、低,则显示的事件则按相应属性带有区别的高、中、低颜色)。通过本举例可以看到基于时间序列的雷达显示单元模块1-2能够达到对产生的告警事件等级、分布与时效性进行一种概括性的总览。
高级预警触发器模块1-4能够为接收的告警信息进行进一步的数据筛选与分组输出,筛选规则包括但不限于:告警类别、资产级别、时间区间等以及其他各种数据组合方式。高级预警触发器模块1-4对告警信息降噪与进一步筛选处理的过程,举例如下:
在本报警处理举例中,根据各种网络对象的警报事件分类进行统计,形成按警报来源种类、网络对象的分类数据特征;根据各网络对象的警报组合形成按警报种类、网络对象的告警级别等数据特征矩阵表。该数据矩阵表如表1所示:
序号 | IDS | FW | 网络 | 数据库 | 第三方警告 | …… | |
1 | 警报1 | Attack | Drop | Low | - | 0 | …… |
2 | 警报2 | Attack | Accept | Low | - | 2 | …… |
3 | 警报3 | Attack | Accept | Medium | Match Vul. | 4 | …… |
4 | 警报4 | Attack | Accept | Medium | Match Vul. | 8 | …… |
5 | 警报5 | Attack | Drop | V.High | Mis-match Vul. | 10 | …… |
N | …… | …… | …… | …… | …… | …… | …… |
表1
本举例将经过统计分类的数据特征存储在存储器表里,形成相应的告警动态数字矩阵表,在本发明方法中包括但不限于:数字矩阵表、数字堆栈、多维图表等各种数字特征表现形式。如表1中:
序号1~N表示本举例中警报的数量;每条警报都是由包括但不限于IDS、FW、网络、数据库、以及其他第三方告警信息组合而成。
本示例处理组合规则举例之一为:当每条告警信息同时满足至少5种以上条件时,如:IDS为“Attack”、FW为“Drop”、网络为“V.High”、数据库为“Mis-match Vul.”、第三方相关告警达到10条以上状态时,本系统才触发一次告警预警信息。(如上表中红色粗体条目标识的警报5)
而本高级预警触发器模块1-4则会将与本次高级预警事件相关的信息输送至其他模块继续处理。
根据设定的筛选规则生成高危简报集模块1-3,举例如下:高级预警触发器模块1-4将把1小时以内的、并且属于高级资产属性的告警信息筛选出来,生成高危简报集(本举例仅用以说明一种规则设定的方法,本发明并不局限于任何一种数据处理组合的逻辑方式,下同);如前一样,高级预警触发器模块1-4分离数据生成基于时间序列的告警源事件模块1-6,用以根据时间排序列示相关告警数据,而最新相关警示信息报文黑板显示单元模块1-7则是用以显示基于时间序列的告警源事件模块1-6中最新的事件的全部源数据内容,也支持在基于时间序列的告警源事件模块1-6中任意选定显示列表中的任何事件在最新相关警示信息报文黑板显示单元模块1-7中显示其全面源数据明细内容;高级预警触发器模块1-4还可以生成基于排序的告警显示单元模块1-5,这里排序规则包括但不限于按资产引发的所有告警或者分类告警数量进行排序,默认显示包括但不限于TOP5、TOP10、TOP20等任意设定呈现事件的条数。
请参阅图3,图3描述时间轴纵向关联分析器模块2如何建立。时间轴纵向关联分析器模块2的详细建立过程包括触发高危告警事件集模块2-1、分离资产时间等属性模块2-2、基于时间的历史数据检索模块2-3、波形显示单元模块2-4、信号投放时间轴显示单元模块2-5、基于时间序列的显示模块2-6、定位显示单元模块2-7、方向机模块2-8、区间控制单元模块2-9、反馈显示模块2-10。
触发高危告警事件集模块2-1从前述高级预警中心1模块获取所触发的高危告警事件集数据:一路输送到模块2-2用于处理分离出包括但不限于资产、时间等属性数据;另一路输送至定位显示单元2-7进行处理。
基于时间的历史数据检索模块2-3根据从模块2-2分离获取的资产、时间等属性数据为线索,包括但不限于,启动基于时间的历史数据检索;结果输出到波形显示单元模块2-4和信号投放时间轴显示单元模块2-5进行再处理。
波形显示单元模块2-4根据模块2-3的检索输出结果将其进行图形化展示输出,输出方式包括但不限于波形曲线、图表、分布图等各种显示形式。举例如下:模块2-3根据告警的某个资产数据(如IP)从图1的数据存储器模块8中对该资产所发生的所有事件进行检索,并按时间进行排序,形成该资产(IP)事件历史流量的波形图(或其他图表形式)。
信号投放时间轴显示单元模块2-5可以控制输出到基于时间序列的显示模块2-6的事件数据类别,如高、中、低级或其组合的数据集;
基于时间序列的显示2-6可以实现以时间轴为纵向坐标导向,将所需列示的事件按时间序列进行图形化展示,展示形式不限于二维图表、三维、多维等方式。模块2-6可以通过向前或向后设定时间控制与方向机模块2-8互动,来实现对当前模块2-6中按时间轴列示数据的历史数据浏览控制;
区间控制单元模块2-9可以设定并控制当前模块2-6屏幕中默认显示区间的范围大小,该区间设定包括但不限于时间(如设定最近1周)、地域(如设定亚洲地区)等各种事件属性数据。模块2-9可以预先输出到反馈显示模块2-10进行调整,确定后即可正式切换模块2-6的数据显示控制;
请参阅图4,图4描述相关地理信息追踪显示器模块3如何建立。相关地理信息追踪显示器模块3的详细建立过程包括告警数据模块3-1、分离地理位置信息属性数据模块3-2、全球地图相关性显示单元模块3-3、原始数据排序模块3-4、基于地理位置的数据排序模块3-5。
告警数据模块3-1将来自前述上级模块的告警数据输出到分离地理位置信息属性数据模块3-2进行进一步处理;
模块3-2从来自模块3-1的数据中分离出带有地理位置信息,包括但不限于GPS、IP等与地理相关的属性及其关联性数据,并将其输出到全球地图相关性显示单元模块3-3;
全球地图相关性显示单元模块3-3根据上述来自模块3-2的数据按其地理位置属性显示在全球地图坐标上,并可以通过图形显示其相关联性,关联性显示包括但不限于星形连线模式。举例如:将带有地理位置信息的告警事件按其坐标投放在地图上,并根据其相互间的关联性用连线方式表示。在本举例中IP坐标A如果受到IP坐标B与C的攻击扫描,则在图示中将A分别与B、C进行连线表明关联(本举例并不限于这种星形的关联表达方式)同时,模块3-3将数据输出至原始数据排序模块3-4和基于地理位置的数据排序模块3-5,分别实现所有带有地理位置信息数据的排序列示(包括但不限于按时间、类型、数量等字段进行排序);以及按地理位置分类进行汇总排序,如:按国家或省市等地域进行分别统计属于该地域的所有告警事件的排序。
请参阅图5,图5描述原始数据钻探与导航单元模块4如何建立。原始数据钻探与导航单元模块4的详细建立过程包括同步告警中心数据模块4-1、相关性分析模块4-2、大类定位随动导航系统模块4-3、原始告警数据集合列示模块4-4。
同步告警中心数据模块4-1从图1高级预警中心模块1进行所有接收的告警信息的同步工作,并由相关性分析模块4-2进行进一步处理;
相关性分析模块4-2以模块4-1的告警信息数据为基础,判别并提取出其中包含的类别与资产等属性信息,以其作为索引分别由大类定位随动导航系统模块4-3和基于时间序列与告警级别的原始告警数据集合列示模块4-4传到上级图1的数据存储器模块8中进行原始数据的检索与准备工作。
大类定位随动导航系统模块4-3是与上级模块告警信息的更新而同步工作的,一旦接收新的告警信息,本模块即刻提取该告警信息中包含的资产类别,并将与此告警相关的原始事件数据从上级数据存储器模块8中检索提取后按此类别进行归档,实现按资产类别进行快捷的原始数据获取(取证)能力。举例如下:当日常告警不断出现时,本模块将告警相关的资产按其网络设备、主机、存储、安防设备等类别进行原始数据提取后归档,实现可以直接通过资产类别寻找并获取原始数据(取证)的能力。
基于时间与告警级别的原始告警数据列示模块4-4,实现将与告警相关的原始数据按时间与告警级别进行排序,方便用户进行检索与获取。
请参阅图6,图6描述安全聚向发现横向关联分析器模块5如何建立。安全聚向发现横向关联分析器模块5的详细建立过程包括高级预警中心数据获取模块5-1、资产目标提取模块5-2、横向相关性检索模块5-3、时间区间装置器模块5-4、安全聚向关系显示模块5-5。
高级预警中心数据获取模块5-1从前述上级高级预警中心模块1获取高级告警信息数据,并输出到资产目标提取模块5-2进行处理;
资产目标提取模块5-2从模块5-1获取的告警信息数据中将引发高级告警的资产目标提取出来,如:该项告警表明IP为A的设备资产引发了高级告警信息,则本模块将IP为A的资产信息提取出来,输出到横向相关性检索模块5-3做进一步处理;;
横向相关性检索模块5-3根据该资产目标信息从上级存储器模块8中启动遍历检索所有与其相关的事件来源信息,并将结果数据输出到安全聚向关系显示模块5-5进行图形化展示;举例如下:服务器A引发高级告警后(本举例告警来源防火墙),本模块将从事件存储器模块8中将所有来源如路由器、交换机、IPS、流量管理、审计系统等事件来源产生的包含服务器A信息的所有事件信息检索出来,并汇总与其发生关系的目标地址(本举例中为IP)等信息。并将此信息输出到模块5-5进行可视化输出。
时间区间装置器模块5-4可以设定并控制模块5-3进行检索数据的时间区间,以及设定输出到安全聚向关系显示模块5-5进行显示数据关联的时间区间;。
安全聚向关系显示模块5-5,实现以资产目标为核心视角的,在设定时间区间内的所有与之产生关联的关系目标,围绕资产形成星形列示,显示方式包括但不限于二维、三维、多维等连线以及其他表现形式。
以上介绍了一种基于大数据安全可视化交互分析系统,本发明在揭示上述大数据安全可视化交互分析系统的同时,还揭示一种可视化交互分析方法,可结合图8,该方法包括如下步骤:
步骤A、海量大数据安全分类器,把防火墙、IPS/IDS、交换机、服务器、审计系统、AV/病毒、行为管理、软件应用的各种网络对象的数据汇总分类,按终端日志类数据、网络类数据、应用类数据、行为与操作类数据分成四类;
步骤B、海量大数据安全存储器,把从步骤A中采集的海量大数据安全进行存储,大数据安全包含所有针对网络对象收集的各类属性数据,包括并不限于:资产数据、IP、位置数据、日志数据、监控数据、行为与操作数据、应用业务数据、报警数据等;
步骤C、规则库处理步骤,把步骤B中数据存储器的数据按规则库规则进行处理分析,为每个网络对象按设定规则库进行计算处理,输出高级告警数据,并从数据集中抽取分离与网络对象相关的属性数据进行输出;
步骤D、高级预警中心显示步骤,按规则库处理单元处理的数据根据预警级别进行分类,根据预警级别判断是否显示。根据规则库处理结果将输出的告警数据进行汇集并分类展示,并进一步进行可视化数据处理输出;
步骤E、大数据安全可视化步骤,将相关网络对象的数据根据属性分类,把高级预警中心存储的安全数据按时间轴纵向关联分析器、相关地理信息追踪显示器、原始数据钻探与导航单元、安全聚向发现横向关联分析器等形式进行分类展示;
步骤F、高级预警中心进一步细化步骤,分组监视单元按产生高级告警数据的重要资产等级进行分组重点监视,分组监视单元又可以称为重要资产监控单元,其定义为(包括但不限于):既可能是某一个独立的设备,也可能是一组(多个)设备组成的一个业务系统,也可能是一个特定的规则与业务逻辑及其组合。如:存储可能是一台独立的设备,而销售管理系统则是由一组服务器+路由器+防火墙+交换机等组成这个业务系统的一个逻辑单元。分组监视单元将按其定义分组归类的高级告警信息同步输出到基于时间序列的雷达显示单元和高级预警触发器,进行进一步处理。
基于时间序列的雷达显示单元根据收到的高级告警信息,根据其带有的时间属性进行排序,以图形化方式显示在模拟雷达用户界面UI中,显示方式包括但不限于:圆形点阵、方形矩阵、相控阵、概率分布云图等各种图形显示形式,在显示的要素中包括根据时间序列进行图形化列示、根据资产重要等级进行颜色区别显示等。基于时间序列的雷达显示单元能够达到对产生的告警事件等级、分布与时效性进行一种概括性的总览。
高级预警触发器能够为接收的告警信息进行进一步的数据筛选与分组输出,筛选规则包括但不限于:资产级别、时间区间等以及其他各种数据组合方式,根据设定的筛选规则生成高危简报集。高级预警触发器分离数据生成基于时间序列的告警源事件,用以根据时间排序列示相关告警数据,而最新相关警示信息报文黑板显示单元则是用以显示基于时间序列的告警源事件中最新的事件的全部源数据内容,也支持在基于时间序列的告警源事件中任意选定显示列表中的任何事件,在最新相关警示信息报文黑板显示单元中显示其全面源数据明细内容;高级预警触发器还可以生成基于排序的告警显示单元,这里排序规则包括但不限于按资产引发的所有告警或者分类告警数量进行排序,默认显示包括但不限于TOP5、TOP10、TOP20等任意设定呈现事件的条数。
步骤G、时间轴纵向关联分析器进一步细化步骤,触发高危告警事件集从高级预警中心获取所触发的高危告警事件集数据:一路输送到分离资产时间等属性模块用于处理分离出包括但不限于资产、时间等属性数据;另一路输送至定位显示单元进行处理。基于时间的历史数据检索根据从分离资产时间等属性模块分离获取的资产、时间等属性数据为线索,包括但不限于,启动基于时间的历史数据检索;结果输出到波形显示单元和信号投放时间轴显示单元进行再处理。
波形显示单元根据基于时间的历史数据检索模块的检索输出结果将其进行图形化展示输出,输出方式包括但不限于波形曲线、图表、分布图等各种显示形式。信号投放时间轴显示单元可以控制输出到基于时间序列的显示的事件数据类别,如高、中、低级或其组合的数据集;
基于时间序列的显示可以实现以时间轴为纵向坐标导向,将所需列示的事件按时间序列进行图形化展示,展示形式不限于二维图表、三维、多维等方式。基于时间序列的显示模块可以通过向前或向后设定时间控制与方向机互动,来实现对当前模块中按时间轴列示数据的历史数据浏览控制;
区间控制单元可以设定并控制当前基于时间序列的显示模块屏幕中默认显示区间的范围大小,该区间设定包括但不限于时间(如设定最近1周)、地域(如设定亚洲地区)等各种事件属性数据。区间控制单元模块可以预先输出到反馈显示模块进行调整,确定后即可正式切换基于时间序列的显示模块的数据显示控制;
步骤H、相关地理信息追踪显示器进一步细化步骤,告警数据模块将来自前述上级模块的告警数据输出到分离地理位置信息属性数据模块进行进一步处理;分离地理位置信息属性数据模块从来自告警数据模块的数据中分离出带有地理位置信息,包括但不限于GPS、I P等与地理相关的属性及其关联性数据,并将其输出到全球地图相关性显示单元;全球地图相关性显示单元根据上述来自分离地理位置信息属性数据模块的数据按其地理位置属性显示在全球地图坐标上,并可以通过图形显示其相关联性,关联性显示包括但不限于星形连线模式。同时,全球地图相关性显示单元模块将数据输出至原始数据排序模块和基于地理位置的数据排序模块,分别实现所有带有地理位置信息数据的排序列示(包括但不限于按时间、类型、数量等字段进行排序);以及按地理位置分类进行汇总排序,如:按国家或省市等地域进行分别统计属于该地域的所有告警事件的排序。
步骤I、原始数据钻探与导航单元进一步细化步骤,同步告警中心数据从高级预警中心进行所有接收的告警信息的同步工作,并由相关性分析模块进行进一步处理;相关性分析模块以同步告警中心数据模块的告警信息数据为基础,判别并提取出其中包含的类别与资产等属性信息,以其作为索引分别由大类定位随动导航系统和基于时间序列与告警级别的原始告警数据集合列示传到上级数据存储器模块中进行原始数据的检索与准备工作。
大类定位随动导航系统是与上级模块告警信息的更新而同步工作的,一旦接收新的告警信息,本模块即刻提取该告警信息中包含的资产类别,并将与此告警相关的原始事件数据从上级数据存储器模块模块中检索提取后按此类别进行归档,实现按资产类别进行快捷的原始数据获取(取证)能力。基于时间与告警级别的原始告警数据列示,实现将与告警相关的原始数据按时间与告警级别进行排序,方便用户进行检索与获取
步骤J、安全聚向发现横向关联分析器进一步细化步骤,高级预警中心数据获取模块从高级预警中心模块获取高级告警信息数据,并输出到资产目标提取模块进行处理;资产目标提取模块从高级预警中心数据获取模块获取的告警信息数据中将引发高级告警的资产目标提取出来。横向相关性检索模块根据该资产目标信息从数据存储器模块中启动遍历检索所有与其相关的事件来源信息,并将结果数据输出到安全聚向关系显示模块进行图形化展示;时间区间装置器模块可以设定并控制模块进行检索数据的时间区间,以及设定输出到安全聚向关系显示模块进行显示数据关联的时间区间;
安全聚向关系显示模块,实现以资产目标为核心视角的,在设定时间区间内的所有与之产生关联的关系目标,围绕资产形成星形列示,显示方式包括但不限于二维、三维、多维等连线以及其他表现形式。
综上所述,本发明提出的大数据安全可视化交互分析系统及方法,通过关联多路多类别安全事件与告警信息,实现对误报告警信息的过滤;通过对汇总大数据安全的可视化分析呈现,分别实现时间、地理空间、相互关系等诸多要素的视觉化结果输出,以交互式的VIS(视觉信息系统)输出方式实现安全事件的定位;能够使用户对整体IT信息系统的安全运行状态具有一种全局化的态势监控能力;能够使用户具备以安全事件为导向的快速响应与事故、故障定位处置能力;使用户具备可视化交互能力的原始数据取证能力。
这里本发明的描述和应用是说明性的,并非想将本发明的范围限制在上述实施例中。这里所披露的实施例的变形和改变是可能的,对于那些本领域的普通技术人员来说实施例的替换和等效的各种部件是公知的。本领域技术人员应该清楚的是,在不脱离本发明的精神或本质特征的情况下,本发明可以以其它形式、结构、布置、比例,以及用其它组件、材料和部件来实现。在不脱离本发明范围和精神的情况下,可以对这里所披露的实施例进行其它变形和改变。
Claims (10)
1.一种大数据安全可视化交互分析系统,其特征在于,所述系统包括:高级预警中心模块(1)、时间轴纵向关联分析器模块(2)、相关地理信息追踪显示器模块(3)、原始数据钻探与导航模块(4)、安全聚向发现横向关联分析器模块(5)、数据采集引擎模块(6)、数据分类模块(7)、数据存储器模块(8)、规则库处理模块(9);
数据采集引擎模块(6)包括防火墙、IPS/IDS、交换机、服务器、审计系统、AV/病毒、行为管理、软件应用以及各类数据收集传感器,用于从各种网络对象收集海量安全大数据,分类并汇集到数据分类模块(7),数据分类模块(7)包括终端日志类数据、网络类数据、应用类数据、行为与操作类数据;
数据存储器模块(8)用于把从数据分类模块(7)中收集到的安全大数据进行收集归类,形成数据集预存储在数据存储器里;本数据集包含了所有针对网络对象收集的各类属性数据,包括:资产数据、IP、位置数据、日志数据、监控数据、行为与操作数据、应用业务数据、报警数据;
规则库处理模块(9)用于从数据存储器模块(8)的数据集中为每个网络对象按设定规则库进行计算处理,输出高级告警数据,并从数据集中抽取分离与网络对象相关的属性数据进行输出;规则设定与计算处理过程为:规则库处理模块(9)对数据处理并输出相关告警数据的过程;
高级预警中心模块(1)用于从规则库处理模块(9)中,根据规则库处理结果将输出的告警数据进行汇集并分类展示,并进一步进行可视化数据处理输出;
高级预警中心模块(1)作为系统数据处理调度核心模块,根据报警信息,将相关网络对象的数据根据属性分类输出到时间轴纵向关联分析器模块(2)、相关地理信息追踪显示器模块(3)、原始数据钻探与导航模块(4)、安全聚向发现横向关联分析器模块(5);
高级预警中心模块(1)的预警步骤包括:
步骤S11.主程序启动后,将启动“规则库处理AlarmRuleProcess”线程和“高级预警中心AdvancedAlartCenter”线程;
步骤S12.“规则库处理AlarmRuleProcess”线程启动时,先从规则库中获取已启用的所有报警规则GetAlarmRules,然后不断地循环执行以下工作流程:
步骤S12a.从数据存储器中获取最新的数据GetNewestDataFromStorage;
步骤S12b.将最新数据依次与各报警规则进行匹配检查AlarmCheck;
步骤S12c.若检查产生报警信息Alarm,则先将报警信息保存到数据存储器SaveAlarms,然后将报警信息依次添加到高级预警中心的处理队列尾部alarmCenterQueue;
步骤S13.“高级预警中心AdvancedAlart”线程启动时,先启动“原始数据钻探RawDataMining”线程、“时间轴纵向关联分析VerticalAnalyze”线程及“安全聚向发现横向关联分析HorizontalAnalyze”线程,然后不断地循环执行以下工作流程:
步骤S13a.若发现高级预警中心处理队列不为空,则从队列开始处取出一个待处理的报警信息;
步骤S13b.对报警信息的相关地理追踪信息进行呈现GeoTraceInfoDisplay;
步骤S13c.将报警信息添加到原始数据钻探处理队列尾部dataMiningQueue;
步骤S13d.将报警信息添加到横向分析处理队列尾部horAnalyzeQueue;
步骤S13e.将报警信息添加到纵向分析处理队列尾部verAnalyzeQueue;
步骤S14.“原始数据钻探RawDataMining”线程启动后,不断地循环执行以下工作流程:
步骤S14a.若发现原始数据钻探处理队列不为空,则从队列开始处取出一个待处理的报警信息;
步骤S14b.根据报警信息所有相关的原始数据ID,即RecordID,从所有原始数据allRawDatas中,筛选出相关的原始数据;
步骤S14c.根据报警信息所有相关的原始数据ID,即RecordID,从所有已保存的报警信息中,筛选中相关的报警信息;
步骤S14d.根据在步骤S14b和步骤S14c中获取的数据,根据具体业务需求进行分析处理;
步骤S14e.输出分析结果;
步骤S15.“时间轴纵向关联分析VerticalAnalyze”线程启动后,不断地循环执行以下工作流程:
步骤S15a.若发现纵向分析处理队列不为空,则从队列开始处取出一个待处理的报警信息;
步骤S15b.创建一个关联原始数据字典relativeDataDict;
步骤S15c.根据报警信息所有相关的原始数据ID,即RecordID,从所有原始数据allRawDatas中,筛选出相关的原始数据;
步骤S15d.对于报警信息相关的每个原始数据,以该原始数据的记录时间RecordTime的设定时间前的时刻为开始时间,以RecordTime为结束时间,从相关原始数据中,筛选中对应时间段的、源自同一IP、同一资产名称的历史数据,并添加到步骤15b中创建的关联原始数据字典中;
步骤S15e.根据在步骤S15c和步骤S15d中获取的数据,根据具体业务需求进行分析处理;
步骤S15f.输出分析结果;
步骤S16.“安全聚向发现横向关联分析HorizontalAnalyze”线程启动后,不断地循环执行以下工作流程:
步骤S16a.若发现横向关联分析队列不为空,则从队列开始处取出一个待处理的报警信息;
步骤S16b.根据报警信息所有相关的原始数据ID,即RecordID,从所有原始数据allRawDatas中,筛选出相关的原始数据;
步骤S16c.根据报警信息所有相关的原始数据ID,即RecordID,从所有已保存的报警信息中,筛选出相关的报警信息;
步骤S16d.将筛选出的报警信息执照报警等级进行分组;
步骤S16e.对报警信息的相关地理追踪信息进行呈现GeoTraceInfoDisplay;
步骤S16f.根据步骤S16b、步骤S16c、步骤S16d中获取的数据,根据具体业务需求进行分析处理;
步骤S16g.输出分析结果;
安全聚向发现横向关联分析器模块(5)将本模块进一步分析处理的数据结果中带有地理属性的数据输出到相关地理信息追踪显示器模块(3)进行进一步展示处理;
原始数据钻探与导航模块(4)根据高级预警中心模块(1)的告警数据输出为索引,从数据存储器模块(8)中进行相关原始数据的定位准备与获取;
高级预警中心模块(1)包括分组监视模块(1-1)、雷达显示模块(1-2)、高危简报集模块(1-3)、高级预警触发器模块(1-4)、基于排序的告警显示模块(1-5)、告警源事件模块(1-6)、报文黑板显示模块(1-7);
分组监视模块(1-1)按产生高级告警数据的重要资产等级进行分组重点监视;分组监视模块(1-1)称为重要资产监控单元,其定义为:既可能是某1个独立的设备,或者是多个设备组成的一个业务系统,或者是一个特定的规则与业务逻辑及其组合;分组监视模块(1-1)将按其定义分组归类的高级告警信息同步输出到基于时间序列的雷达显示模块(1-2)和高级预警触发器模块(1-4),进行进一步处理;
基于时间序列的雷达显示模块(1-2)根据收到的高级告警信息,根据其带有的时间属性进行排序,以图形化方式显示在模拟雷达用户界面UI中,显示方式包括:圆形点阵、方形矩阵、相控阵、概率分布云图显示形式,在显示的要素中包括根据时间序列进行图形化列示、根据资产重要等级进行颜色区别显示;以圆形屏幕模拟雷达显示方式,越靠近中心点的位置为最新出现的告警事件,越远离中心点为越早些时候的事件;事件产生的图形圆点根据资产重要程度显示为不同颜色,以资产多少划分为高、中、低,则显示的事件则按相应属性带有区别的高、中、低颜色;基于时间序列的雷达显示模块(1-2)能达到对产生的告警事件等级、分布与时效性进行一种概括性的总览;
高级预警触发器模块(1-4)为接收的告警信息进行进一步的数据筛选与分组输出,筛选规则包括:告警类别、资产级别、时间区间;高级预警触发器模块(1-4)对告警信息降噪与进一步筛选处理的过程:根据各种网络对象的警报事件分类进行统计,形成按警报来源种类、网络对象的分类数据特征;根据各网络对象的警报组合形成按警报种类、网络对象的告警级别的数据特征矩阵表;将经过统计分类的数据特征存储在存储器表里,形成相应的告警动态数字矩阵表;当每条告警信息同时满足至少5种以上条件时,本系统才触发一次告警预警信息;而高级预警触发器模块(1-4)则会将与本次高级预警事件相关的信息输送至其他模块继续处理;
根据设定的筛选规则生成高危简报集模块(1-3):高级预警触发器模块(1-4)将把1小时以内的、并且属于高级资产属性的告警信息筛选出来,生成高危简报集;高级预警触发器模块(1-4)分离数据生成基于时间序列的告警源事件模块(1-6),用以根据时间排序列示相关告警数据,而最新相关警示信息报文黑板显示模块(1-7)则是用以显示基于时间序列的告警源事件模块(1-6)中最新的事件的全部源数据内容,也支持在基于时间序列的告警源事件模块(1-6)中任意选定显示列表中的任何事件在最新相关警示信息报文黑板显示模块(1-7)中显示其全面源数据明细内容;高级预警触发器模块(1-4)还生成基于排序的告警显示模块(1-5),这里排序规则包括按资产引发的所有告警或者分类告警数量进行排序;
时间轴纵向关联分析器模块(2)包括触发高危告警事件集模块(2-1)、分离资产时间等属性模块(2-2)、基于时间的历史数据检索模块(2-3)、波形显示模块(2-4)、信号投放时间轴显示模块(2-5)、基于时间序列的显示模块(2-6)、定位显示模块(2-7)、方向机模块(2-8)、区间控制模块(2-9)、反馈显示模块(2-10);
触发高危告警事件集模块(2-1)从高级预警中心模块(1)模块获取所触发的高危告警事件集数据:一路输送到模块(2-2)用于处理分离出包括资产、时间属性数据;另一路输送至定位显示单元(2-7)进行处理;
基于时间的历史数据检索模块(2-3)根据从模块(2-2)分离获取的资产、时间属性数据为线索,包括启动基于时间的历史数据检索;结果输出到波形显示模块(2-4)和信号投放时间轴显示模块(2-5)进行再处理;
波形显示模块(2-4)根据基于时间的历史数据检索模块(2-3)的检索输出结果将其进行图形化展示输出,输出方式包括波形曲线、图表、分布图显示形式;基于时间的历史数据检索模块(2-3)根据告警的某个资产数据从数据存储器模块(8)中对对应资产所发生的所有事件进行检索,并按时间进行排序,形成该资产事件历史流量的波形图;
信号投放时间轴显示模块(2-5)控制输出到基于时间序列的显示模块(2-6)的事件数据类别,包括高级、中级、低级或其组合的数据集;
基于时间序列的显示模块(2-6)实现以时间轴为纵向坐标导向,将所需列示的事件按时间序列进行图形化展示,展示形式为二维图表、三维、多维方式中的一种或多种;基于时间序列的显示模块(2-6)可以通过向前或向后设定时间控制与方向机模块(2-8)互动,来实现对基于时间序列的显示模块(2-6)中按时间轴列示数据的历史数据浏览控制;
区间控制模块(2-9)设定并控制基于时间序列的显示模块(2-6)屏幕中默认显示区间的范围大小,区间设定包括时间、地域事件属性数据;区间控制模块(2-9)预先输出到反馈显示模块(2-10)进行调整,确定后即可正式切换基于时间序列的显示模块(2-6)的数据显示控制;
相关地理信息追踪显示器模块(3)包括告警数据模块(3-1)、分离地理位置信息属性数据模块(3-2)、全球地图相关性显示模块(3-3)、原始数据排序模块(3-4)、基于地理位置的数据排序模块(3-5);
告警数据模块(3-1)将来自上级模块的告警数据输出到分离地理位置信息属性数据模块(3-2)进行进一步处理;
分离地理位置信息属性数据模块(3-2)从来自告警数据模块(3-1)的数据中分离出带有地理位置信息,包括GPS、IP与地理相关的属性及其关联性数据,并将其输出到全球地图相关性显示模块(3-3);
全球地图相关性显示模块(3-3)根据来自分离地理位置信息属性数据模块(3-2)的数据按其地理位置属性显示在全球地图坐标上,并通过图形显示其相关联性,关联性显示包括星形连线模式;将带有地理位置信息的告警事件按其坐标投放在地图上,并根据其相互间的关联性用连线方式表示;IP坐标A如果受到IP坐标B与C的攻击扫描,则在图示中将A分别与B、C进行连线表明关联;
同时,全球地图相关性显示模块(3-3)将数据输出至原始数据排序模块(3-4)和基于地理位置的数据排序模块(3-5),分别实现所有带有地理位置信息数据的排序列示,包括按时间、类型、数量字段进行排序;以及按地理位置分类进行汇总排序;
原始数据钻探与导航模块(4)的详细建立过程包括同步告警中心数据模块(4-1)、相关性分析模块(4-2)、大类定位随动导航系统模块(4-3)、原始告警数据集合列示模块(4-4);
同步告警中心数据模块(4-1)从高级预警中心模块(1)进行所有接收的告警信息的同步工作,并由相关性分析模块(4-2)进行进一步处理;
相关性分析模块(4-2)以同步告警中心数据模块(4-1)的告警信息数据为基础,判别并提取出其中包含的类别与资产属性信息,以其作为索引分别由大类定位随动导航系统模块(4-3)和基于时间序列与告警级别的原始告警数据集合列示模块(4-4)传到数据存储器(8)中进行原始数据的检索与准备工作;
大类定位随动导航系统模块(4-3)是与上级模块告警信息的更新而同步工作的,一旦接收新的告警信息,本模块即刻提取该告警信息中包含的资产类别,并将与此告警相关的原始事件数据从上级数据存储器模块(8)中检索提取后按此类别进行归档,实现按资产类别进行快捷的原始数据获取及取证能力;当日常告警不断出现时,大类定位随动导航系统模块(4-3)将告警相关的资产按其网络设备、主机、存储、安防设备的类别进行原始数据提取后归档,实现直接通过资产类别寻找并获取原始数据及取证的能力;
基于时间与告警级别的原始告警数据列示模块(4-4)实现将与告警相关的原始数据按时间与告警级别进行排序,方便用户进行检索与获取;
安全聚向发现横向关联分析器模块(5)包括高级预警中心数据获取模块(5-1)、资产目标提取模块(5-2)、横向相关性检索模块(5-3)、时间区间装置器模块(5-4)、安全聚向关系显示模块(5-5);
高级预警中心数据获取模块(5-1)从高级预警中心模块(1)获取高级告警信息数据,并输出到资产目标提取模块(5-2)进行处理;
资产目标提取模块(5-2)从高级预警中心数据获取模块(5-1)获取的告警信息数据中将引发高级告警的资产目标提取出来,若IP为A的设备资产引发了高级告警信息,则资产目标提取模块(5-2)将IP为A的资产信息提取出来,输出到横向相关性检索模块(5-3)做进一步处理;
横向相关性检索模块(5-3)根据资产目标信息从上级存储器模块(8)中启动遍历检索所有与其相关的事件来源信息,并将结果数据输出到安全聚向关系显示模块(5-5)进行图形化展示;服务器A引发高级告警后,横向相关性检索模块(5-3)将从事件存储器模块(8)中将所有来源如路由器、交换机、IPS、流量管理、审计系统事件来源产生的包含服务器A信息的所有事件信息检索出来,并汇总与其发生关系的目标地址信息;并将此信息输出到安全聚向关系显示模块(5-5)进行可视化输出;
时间区间装置器模块(5-4)设定并控制横向相关性检索模块(5-3)进行检索数据的时间区间,以及设定输出到安全聚向关系显示模块(5-5)进行显示数据关联的时间区间;
安全聚向关系显示模块(5-5)实现以资产目标为核心视角的显示,在设定时间区间内的所有与之产生关联的关系目标,围绕资产形成星形列示,显示方式包括二维、三维、多维的表现形式。
2.一种大数据安全可视化交互分析系统,其特征在于,所述系统包括:高级预警中心模块(1)、时间轴纵向关联分析器模块(2)、相关地理信息追踪显示器模块(3)、原始数据钻探与导航模块(4)、安全聚向发现横向关联分析器模块(5)、数据采集引擎模块(6)、数据分类模块(7)、数据存储器模块(8)、规则库处理模块(9);
高级预警中心模块(1)用于从规则库处理模块(9)中,根据规则库处理结果将输出的告警数据进行汇集并分类展示,并进一步进行可视化数据处理输出;
高级预警中心模块(1)根据报警信息,作为系统数据处理调度核心模块,将相关网络对象的数据根据属性分类输出到时间轴纵向关联分析器模块(2)、相关地理信息追踪显示器模块(3)、原始数据钻探与导航模块(4)、安全聚向发现横向关联分析器模块(5);
数据采集引擎模块(6)包括防火墙、IPS/IDS、交换机、服务器、审计系统、AV/病毒、行为管理、软件应用以及各类数据收集传感器中的一个或多个,用于从各种网络对象收集海量安全大数据,分类并汇集到数据分类模块(7);
数据存储器模块(8)用于把从数据分类模块(7)中收集到的安全大数据进行收集归类,形成数据集预存储在数据存储器里;本数据集包含了所有针对网络对象收集的各类属性数据,包括:资产数据、IP、位置数据、日志数据、监控数据、行为与操作数据、应用业务数据、报警数据;
规则库处理模块(9)用于从数据存储器模块(8)的数据集中为每个网络对象按设定规则库进行计算处理,输出高级告警数据,并从数据集中抽取分离与网络对象相关的属性数据进行输出;
高级预警中心模块(1),按规则库处理模块(9)处理的数据根据预警级别进行分类,根据预警级别判断是否显示;根据规则库处理结果将输出的告警数据进行汇集并分类展示,并进一步进行可视化数据处理输出;
时间轴纵向关联分析器模块(2)、相关地理信息追踪显示器模块(3)、原始数据钻探与导航模块(4)和安全聚向发现横向关联分析器模块(5),将相关网络对象的数据根据属性分类,把高级预警中心模块(9)存储的安全数据按时间轴纵向关联分析器、相关地理信息追踪显示器、原始数据钻探与导航单元、安全聚向发现横向关联分析器形式进行分类展示。
3.根据权利要求2所述的大数据安全可视化交互分析系统,其特征在于:
高级预警中心模块(1)的预警步骤包括:
步骤S11.主程序启动后,将启动“规则库处理AlarmRuleProcess”线程和“高级预警中心AdvancedAlartCenter”线程;
步骤S12.“规则库处理AlarmRuleProcess”线程启动时,先从规则库中获取已启用的所有报警规则GetAlarmRules,然后不断地循环执行以下工作流程:
步骤S12a.从数据存储器中获取最新的数据GetNewestDataFromStorage;
步骤S12b.将最新数据依次与各报警规则进行匹配检查AlarmCheck;
步骤S12c.若检查产生报警信息Alarm,则先将报警信息保存到数据存储器SaveAlarms,然后将报警信息依次添加到高级预警中心的处理队列尾部alarmCenterQueue;
步骤S13.“高级预警中心AdvancedAlart”线程启动时,先启动“原始数据钻探RawDataMining”线程、“时间轴纵向关联分析VerticalAnalyze”线程及“安全聚向发现横向关联分析HorizontalAnalyze”线程,然后不断地循环执行以下工作流程:
步骤S13a.若发现高级预警中心处理队列不为空,则从队列开始处取出一个待处理的报警信息;
步骤S13b.对报警信息的相关地理追踪信息进行呈现GeoTraceInfoDisplay;
步骤S13c.将报警信息添加到原始数据钻探处理队列尾部dataMiningQueue;
步骤S13d.将报警信息添加到横向分析处理队列尾部horAnalyzeQueue;
步骤S13e.将报警信息添加到纵向分析处理队列尾部verAnalyzeQueue;
步骤S14.“原始数据钻探RawDataMining”线程启动后,不断地循环执行以下工作流程:
步骤S14a.若发现原始数据钻探处理队列不为空,则从队列开始处取出一个待处理的报警信息;
步骤S14b.根据报警信息所有相关的原始数据ID,即RecordID,从所有原始数据allRawDatas中,筛选出相关的原始数据;
步骤S14c.根据报警信息所有相关的原始数据ID,即RecordID,从所有已保存的报警信息中,筛选中相关的报警信息;
步骤S14d.根据在步骤S14b和步骤S14c中获取的数据,根据具体业务需求进行分析处理;
步骤S14e.输出分析结果;
步骤S15.“时间轴纵向关联分析VerticalAnalyze”线程启动后,不断地循环执行以下工作流程:
步骤S15a.若发现纵向分析处理队列不为空,则从队列开始处取出一个待处理的报警信息;
步骤S15b.创建一个关联原始数据字典relativeDataDict;
步骤S15c.根据报警信息所有相关的原始数据ID,即RecordID,从所有原始数据allRawDatas中,筛选出相关的原始数据;
步骤S15d.对于报警信息相关的每个原始数据,以该原始数据的记录时间RecordTime的设定时间前的时刻为开始时间,以RecordTime为结束时间,从相关原始数据中,筛选中对应时间段的、源自同一IP、同一资产名称的历史数据,并添加到步骤15b中创建的关联原始数据字典中;
步骤S15e.根据在步骤S15c和步骤S15d中获取的数据,根据具体业务需求进行分析处理;
步骤S15f.输出分析结果;
步骤S16.“安全聚向发现横向关联分析HorizontalAnalyze”线程启动后,不断地循环执行以下工作流程:
步骤S16a.若发现横向关联分析队列不为空,则从队列开始处取出一个待处理的报警信息;
步骤S16b.根据报警信息所有相关的原始数据ID,即RecordID,从所有原始数据allRawDatas中,筛选出相关的原始数据;
步骤S16c.根据报警信息所有相关的原始数据ID,即RecordID,从所有已保存的报警信息中,筛选出相关的报警信息;
步骤S16d.将筛选出的报警信息执照报警等级进行分组;
步骤S16e.对报警信息的相关地理追踪信息进行呈现GeoTraceInfoDisplay;
步骤S16f.根据步骤S16b、步骤S16c、步骤S16d中获取的数据,根据具体业务需求进行分析处理;
步骤S16g.输出分析结果;
安全聚向发现横向关联分析器模块(5)将本模块进一步分析处理的数据结果中带有地理属性的数据输出到相关地理信息追踪显示器模块(3)进行进一步展示处理;
原始数据钻探与导航模块(4)根据高级预警中心模块(1)的告警数据输出为索引,从数据存储器模块(8)中进行相关原始数据的定位准备与获取。
4.根据权利要求2所述的大数据安全可视化交互分析系统,其特征在于:
高级预警中心模块(1)包括分组监视模块(1-1)、雷达显示模块(1-2)、高危简报集模块(1-3)、高级预警触发器模块(1-4)、基于排序的告警显示模块(1-5)、告警源事件模块(1-6)、报文黑板显示模块(1-7);
分组监视模块(1-1)按产生高级告警数据的重要资产等级进行分组重点监视;分组监视模块(1-1)称为重要资产监控单元,其定义为:既可能是某1个独立的设备,或者是多个设备组成的一个业务系统,或者是一个特定的规则与业务逻辑及其组合;分组监视模块(1-1)将按其定义分组归类的高级告警信息同步输出到基于时间序列的雷达显示模块(1-2)和高级预警触发器模块(1-4),进行进一步处理;
基于时间序列的雷达显示模块(1-2)根据收到的高级告警信息,根据其带有的时间属性进行排序,以图形化方式显示在模拟雷达用户界面UI中,显示方式包括:圆形点阵、方形矩阵、相控阵、概率分布云图显示形式,在显示的要素中包括根据时间序列进行图形化列示、根据资产重要等级进行颜色区别显示;以圆形屏幕模拟雷达显示方式,越靠近中心点的位置为最新出现的告警事件,越远离中心点为越早些时候的事件;事件产生的图形圆点根据资产重要程度显示为不同颜色,以资产多少划分为高、中、低,则显示的事件则按相应属性带有区别的高、中、低颜色;基于时间序列的雷达显示模块(1-2)能达到对产生的告警事件等级、分布与时效性进行一种概括性的总览;
高级预警触发器模块(1-4)为接收的告警信息进行进一步的数据筛选与分组输出,筛选规则包括:告警类别、资产级别、时间区间;高级预警触发器模块(1-4)对告警信息降噪与进一步筛选处理的过程:根据各种网络对象的警报事件分类进行统计,形成按警报来源种类、网络对象的分类数据特征;根据各网络对象的警报组合形成按警报种类、网络对象的告警级别的数据特征矩阵表;将经过统计分类的数据特征存储在存储器表里,形成相应的告警动态数字矩阵表;当每条告警信息同时满足至少5种以上条件时,本系统才触发一次告警预警信息;而高级预警触发器模块(1-4)则会将与本次高级预警事件相关的信息输送至其他模块继续处理;
根据设定的筛选规则生成高危简报集模块(1-3):高级预警触发器模块(1-4)将把1小时以内的、并且属于高级资产属性的告警信息筛选出来,生成高危简报集;高级预警触发器模块(1-4)分离数据生成基于时间序列的告警源事件模块(1-6),用以根据时间排序列示相关告警数据,而最新相关警示信息报文黑板显示模块(1-7)则是用以显示基于时间序列的告警源事件模块(1-6)中最新的事件的全部源数据内容,也支持在基于时间序列的告警源事件模块(1-6)中任意选定显示列表中的任何事件在最新相关警示信息报文黑板显示模块(1-7)中显示其全面源数据明细内容;高级预警触发器模块(1-4)还生成基于排序的告警显示模块(1-5),这里排序规则包括按资产引发的所有告警或者分类告警数量进行排序。
5.根据权利要求2所述的大数据安全可视化交互分析系统,其特征在于:
时间轴纵向关联分析器模块(2)包括触发高危告警事件集模块(2-1)、分离资产时间属性模块(2-2)、基于时间的历史数据检索模块(2-3)、波形显示模块(2-4)、信号投放时间轴显示模块(2-5)、基于时间序列的显示模块(2-6)、定位显示模块(2-7)、方向机模块(2-8)、区间控制模块(2-9)、反馈显示模块(2-10);
触发高危告警事件集模块(2-1)从高级预警中心模块(1)模块获取所触发的高危告警事件集数据:一路输送到模块(2-2)用于处理分离出包括资产、时间属性数据;另一路输送至定位显示单元(2-7)进行处理;
基于时间的历史数据检索模块(2-3)根据从模块(2-2)分离获取的资产、时间属性数据为线索,包括启动基于时间的历史数据检索;结果输出到波形显示模块(2-4)和信号投放时间轴显示模块(2-5)进行再处理;
波形显示模块(2-4)根据基于时间的历史数据检索模块(2-3)的检索输出结果将其进行图形化展示输出,输出方式包括波形曲线、图表、分布图显示形式;基于时间的历史数据检索模块(2-3)根据告警的某个资产数据从数据存储器模块(8)中对对应资产所发生的所有事件进行检索,并按时间进行排序,形成资产事件历史流量的波形图;
信号投放时间轴显示模块(2-5)控制输出到基于时间序列的显示模块(2-6)的事件数据类别,包括高级、中级、低级或其组合的数据集;
基于时间序列的显示模块(2-6)实现以时间轴为纵向坐标导向,将所需列示的事件按时间序列进行图形化展示,展示形式为二维图表、三维、多维方式中的一种或多种;基于时间序列的显示模块(2-6)可以通过向前或向后设定时间控制与方向机模块(2-8)互动,来实现对基于时间序列的显示模块(2-6)中按时间轴列示数据的历史数据浏览控制;
区间控制模块(2-9)设定并控制基于时间序列的显示模块(2-6)屏幕中默认显示区间的范围大小,区间设定包括时间、地域事件属性数据;区间控制模块(2-9)预先输出到反馈显示模块(2-10)进行调整,确定后即可正式切换基于时间序列的显示模块(2-6)的数据显示控制。
6.根据权利要求2所述的大数据安全可视化交互分析系统,其特征在于:
相关地理信息追踪显示器模块(3)包括告警数据模块(3-1)、分离地理位置信息属性数据模块(3-2)、全球地图相关性显示模块(3-3)、原始数据排序模块(3-4)、基于地理位置的数据排序模块(3-5);
告警数据模块(3-1)将来自上级模块的告警数据输出到分离地理位置信息属性数据模块(3-2)进行进一步处理;
分离地理位置信息属性数据模块(3-2)从来自告警数据模块(3-1)的数据中分离出带有地理位置信息,包括GPS、IP与地理相关的属性及其关联性数据,并将其输出到全球地图相关性显示模块(3-3);
全球地图相关性显示模块(3-3)根据来自分离地理位置信息属性数据模块(3-2)的数据按其地理位置属性显示在全球地图坐标上,并通过图形显示其相关联性,关联性显示包括星形连线模式;将带有地理位置信息的告警事件按其坐标投放在地图上,并根据其相互间的关联性用连线方式表示;IP坐标A如果受到IP坐标B与C的攻击扫描,则在图示中将A分别与B、C进行连线表明关联;
同时,全球地图相关性显示模块(3-3)将数据输出至原始数据排序模块(3-4)和基于地理位置的数据排序模块(3-5),分别实现所有带有地理位置信息数据的排序列示,包括按时间、类型、数量字段进行排序;以及按地理位置分类进行汇总排序。
7.根据权利要求2所述的大数据安全可视化交互分析系统,其特征在于:
原始数据钻探与导航模块(4)的详细建立过程包括同步告警中心数据模块(4-1)、相关性分析模块(4-2)、大类定位随动导航系统模块(4-3)、原始告警数据集合列示模块(4-4);
同步告警中心数据模块(4-1)从高级预警中心模块(1)进行所有接收的告警信息的同步工作,并由相关性分析模块(4-2)进行进一步处理;
相关性分析模块(4-2)以同步告警中心数据模块(4-1)的告警信息数据为基础,判别并提取出其中包含的类别与资产属性信息,以其作为索引分别由大类定位随动导航系统模块(4-3)和基于时间序列与告警级别的原始告警数据集合列示模块(4-4)传到数据存储器(8)中进行原始数据的检索与准备工作;
大类定位随动导航系统模块(4-3)是与上级模块告警信息的更新而同步工作的,一旦接收新的告警信息,本模块即刻提取该告警信息中包含的资产类别,并将与此告警相关的原始事件数据从上级数据存储器模块(8)中检索提取后按此类别进行归档,实现按资产类别进行快捷的原始数据获取及取证能力;当日常告警不断出现时,大类定位随动导航系统模块(4-3)将告警相关的资产按其网络设备、主机、存储、安防设备等类别进行原始数据提取后归档,实现直接通过资产类别寻找并获取原始数据及取证的能力;
基于时间与告警级别的原始告警数据列示模块(4-4)实现将与告警相关的原始数据按时间与告警级别进行排序,方便用户进行检索与获取。
8.根据权利要求2所述的大数据安全可视化交互分析系统,其特征在于:
安全聚向发现横向关联分析器模块(5)包括高级预警中心数据获取模块(5-1)、资产目标提取模块(5-2)、横向相关性检索模块(5-3)、时间区间装置器模块(5-4)、安全聚向关系显示模块(5-5);
高级预警中心数据获取模块(5-1)从高级预警中心模块(1)获取高级告警信息数据,并输出到资产目标提取模块(5-2)进行处理;
资产目标提取模块(5-2)从高级预警中心数据获取模块(5-1)获取的告警信息数据中将引发高级告警的资产目标提取出来,若IP为A的设备资产引发了高级告警信息,则资产目标提取模块(5-2)将IP为A的资产信息提取出来,输出到横向相关性检索模块(5-3)做进一步处理;
横向相关性检索模块(5-3)根据资产目标信息从上级存储器模块(8)中启动遍历检索所有与其相关的事件来源信息,并将结果数据输出到安全聚向关系显示模块(5-5)进行图形化展示;服务器A引发高级告警后,横向相关性检索模块(5-3)将从事件存储器模块(8)中将所有来源如路由器、交换机、IPS、流量管理、审计系统等事件来源产生的包含服务器A信息的所有事件信息检索出来,并汇总与其发生关系的目标地址信息;并将此信息输出到安全聚向关系显示模块(5-5)进行可视化输出;
时间区间装置器模块(5-4)设定并控制横向相关性检索模块(5-3)进行检索数据的时间区间,以及设定输出到安全聚向关系显示模块(5-5)进行显示数据关联的时间区间;
安全聚向关系显示模块(5-5)实现以资产目标为核心视角的显示,在设定时间区间内的所有与之产生关联的关系目标,围绕资产形成星形列示,显示方式包括二维、三维、多维的表现形式。
9.一种基于权利要求1至8之一所述大数据安全可视化交互分析系统的分析方法,其特征在于,所述分析方法包括如下步骤:
步骤A、海量大数据安全分类器,把防火墙、IPS/IDS、交换机、服务器、审计系统、AV/病毒、行为管理、软件应用的各种网络对象的数据汇总分类,按终端日志类数据、网络类数据、应用类数据、行为与操作类数据分成四类;
步骤B、海量大数据安全存储器,把从步骤A中采集的海量大数据安全进行存储,大数据安全包含所有针对网络对象收集的各类属性数据,包括并不限于:资产数据、IP、位置数据、日志数据、监控数据、行为与操作数据、应用业务数据、报警数据;
步骤C、规则库处理步骤,把步骤B中数据存储器的数据按规则库规则进行处理分析,为每个网络对象按设定规则库进行计算处理,输出高级告警数据,并从数据集中抽取分离与网络对象相关的属性数据进行输出;
步骤D、高级预警中心显示步骤,按规则库处理单元处理的数据根据预警级别进行分类,根据预警级别判断是否显示;根据规则库处理结果将输出的告警数据进行汇集并分类展示,并进一步进行可视化数据处理输出;
步骤E、大数据安全可视化步骤,将相关网络对象的数据根据属性分类,把高级预警中心模块存储的安全数据按时间轴纵向关联分析器、相关地理信息追踪显示器、原始数据钻探与导航单元、安全聚向发现横向关联分析器形式进行分类展示;
步骤D中,分组监视单元按产生高级告警数据的重要资产等级进行分组重点监视,分组监视单元又可以称为重要资产监控单元,其定义为:既可能是某一个独立的设备,或者是多个设备组成的一个业务系统,或者是一个特定的规则与业务逻辑及其组合;存储是一台独立的设备,而销售管理系统则是由一组服务器+路由器+防火墙+交换机组成这个业务系统的一个逻辑单元;分组监视单元将按其定义分组归类的高级告警信息同步输出到基于时间序列的雷达显示单元和高级预警触发器,进行进一步处理;
基于时间序列的雷达显示单元根据收到的高级告警信息,根据其带有的时间属性进行排序,以图形化方式显示在模拟雷达用户界面UI中,显示方式包括:圆形点阵、方形矩阵、相控阵、概率分布云图显示形式,在显示的要素中包括根据时间序列进行图形化列示、根据资产重要等级进行颜色区别显示;基于时间序列的雷达显示单元能够达到对产生的告警事件等级、分布与时效性进行一种概括性的总览;
高级预警触发器能够为接收的告警信息进行进一步的数据筛选与分组输出,筛选规则包括:资产级别、时间区间,根据设定的筛选规则生成高危简报集;高级预警触发器分离数据生成基于时间序列的告警源事件,用以根据时间排序列示相关告警数据,而最新相关警示信息报文黑板显示单元则是用以显示基于时间序列的告警源事件中最新的事件的全部源数据内容,也支持在基于时间序列的告警源事件中任意选定显示列表中的任何事件,在最新相关警示信息报文黑板显示单元中显示其全面源数据明细内容;高级预警触发器还可以生成基于排序的告警显示单元,这里排序规则包括但不限于按资产引发的所有告警或者分类告警数量进行排序;
步骤E中,触发高危告警事件集从高级预警中心模块获取所触发的高危告警事件集数据:一路输送到分离资产时间属性模块用于处理分离出包括资产、时间属性数据;另一路输送至定位显示单元进行处理;基于时间的历史数据检索根据从分离资产时间属性模块分离获取的资产、时间属性数据为线索,包括启动基于时间的历史数据检索;结果输出到波形显示单元和信号投放时间轴显示单元进行再处理;
波形显示单元根据基于时间的历史数据检索模块的检索输出结果将其进行图形化展示输出,输出方式包括波形曲线、图表、分布图显示形式;信号投放时间轴显示单元控制输出到基于时间序列的显示的事件数据类别;
基于时间序列的显示实现以时间轴为纵向坐标导向,将所需列示的事件按时间序列进行图形化展示,展示形式为二维图表、三维、多维的方式;基于时间序列的显示模块通过向前或向后设定时间控制与方向机互动,来实现对当前模块中按时间轴列示数据的历史数据浏览控制;
区间控制单元设定并控制当前基于时间序列的显示模块屏幕中默认显示区间的范围大小,区间设定包括时间、地域属性数据;区间控制模块预先输出到反馈显示模块进行调整,确定后即可正式切换基于时间序列的显示模块的数据显示控制;
步骤E中,相关地理信息追踪显示器的追踪显示过程包括:告警数据模块将来自上级模块的告警数据输出到分离地理位置信息属性数据模块进行进一步处理;分离地理位置信息属性数据模块从来自告警数据模块的数据中分离出带有地理位置信息,包括GPS、IP与地理相关的属性及其关联性数据,并将其输出到全球地图相关性显示单元;全球地图相关性显示单元根据来自分离地理位置信息属性数据模块的数据按其地理位置属性显示在全球地图坐标上,并通过图形显示其相关联性,关联性显示包括星形连线模式;同时,全球地图相关性显示模块将数据输出至原始数据排序模块和基于地理位置的数据排序模块,分别实现所有带有地理位置信息数据的排序列示,包括按时间、类型、数量字段进行排序;以及按地理位置分类进行汇总排序,按国家或省市地域进行分别统计属于该地域的所有告警事件的排序;
步骤E中,原始数据钻探与导航单元的处理过程包括:同步告警中心数据从高级预警中心模块进行所有接收的告警信息的同步工作,并由相关性分析模块进行进一步处理;相关性分析模块以同步告警中心数据模块的告警信息数据为基础,判别并提取出其中包含的类别与资产属性信息,以其作为索引分别由大类定位随动导航系统和基于时间序列与告警级别的原始告警数据集合列示传到上级数据存储器模块中进行原始数据的检索与准备工作;
大类定位随动导航系统是与上级模块告警信息的更新而同步工作的,一旦接收新的告警信息,本模块即刻提取该告警信息中包含的资产类别,并将与此告警相关的原始事件数据从上级数据存储器模块模块中检索提取后按此类别进行归档,实现按资产类别进行快捷的原始数据获取或取证能力;基于时间与告警级别的原始告警数据列示,实现将与告警相关的原始数据按时间与告警级别进行排序,方便用户进行检索与获取
步骤E中,安全聚向发现横向关联分析器的处理过程包括:高级预警中心数据获取模块从高级预警中心模块获取高级告警信息数据,并输出到资产目标提取模块进行处理;资产目标提取模块从高级预警中心数据获取模块获取的告警信息数据中将引发高级告警的资产目标提取出来;横向相关性检索模块根据资产目标信息从数据存储器模块中启动遍历检索所有与其相关的事件来源信息,并将结果数据输出到安全聚向关系显示模块进行图形化展示;时间区间装置器模块设定并控制模块进行检索数据的时间区间,以及设定输出到安全聚向关系显示模块进行显示数据关联的时间区间;
安全聚向关系显示模块,实现以资产目标为核心视角的,在设定时间区间内的所有与之产生关联的关系目标,围绕资产形成星形列示,显示方式包括二维、三维、多维连线的表现形式。
10.一种基于权利要求1至8之一所述大数据安全可视化交互分析系统的分析方法,其特征在于,所述分析方法包括如下步骤:
步骤A、海量大数据安全分类器,把防火墙、IPS/IDS、交换机、服务器、审计系统、AV/病毒、行为管理、软件应用的各种网络对象的数据汇总分类,按终端日志类数据、网络类数据、应用类数据、行为与操作类数据分成四类;
步骤B、海量大数据安全存储器,把从步骤A中采集的海量大数据安全进行存储,大数据安全包含所有针对网络对象收集的各类属性数据,包括并不限于:资产数据、IP、位置数据、日志数据、监控数据、行为与操作数据、应用业务数据、报警数据;
步骤C、规则库处理步骤,把步骤B中数据存储器的数据按规则库规则进行处理分析,为每个网络对象按设定规则库进行计算处理,输出高级告警数据,并从数据集中抽取分离与网络对象相关的属性数据进行输出;
步骤D、高级预警中心显示步骤,按规则库处理单元处理的数据根据预警级别进行分类,根据预警级别判断是否显示;根据规则库处理结果将输出的告警数据进行汇集并分类展示,并进一步进行可视化数据处理输出;
步骤E、大数据安全可视化步骤,将相关网络对象的数据根据属性分类,把高级预警中心模块存储的安全数据按时间轴纵向关联分析器、相关地理信息追踪显示器、原始数据钻探与导航单元、安全聚向发现横向关联分析器等形式进行分类展示。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510013187.3A CN105843803B (zh) | 2015-01-12 | 2015-01-12 | 大数据安全可视化交互分析系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510013187.3A CN105843803B (zh) | 2015-01-12 | 2015-01-12 | 大数据安全可视化交互分析系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105843803A CN105843803A (zh) | 2016-08-10 |
CN105843803B true CN105843803B (zh) | 2019-04-12 |
Family
ID=57178091
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510013187.3A Active CN105843803B (zh) | 2015-01-12 | 2015-01-12 | 大数据安全可视化交互分析系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105843803B (zh) |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106326482A (zh) * | 2016-08-31 | 2017-01-11 | 江苏中威科技软件系统有限公司 | 一种大数据可视化采集分析及文件转换系统和方法 |
CN107562768A (zh) * | 2016-09-14 | 2018-01-09 | 彩讯科技股份有限公司 | 一种数据处理过程动态回溯追踪方法 |
CN106484595A (zh) * | 2016-10-09 | 2017-03-08 | 华青融天(北京)技术股份有限公司 | 一种事件处理方法及装置 |
CN106549829B (zh) * | 2016-10-28 | 2019-11-12 | 北方工业大学 | 大数据计算平台监控系统及方法 |
CN106897367A (zh) * | 2017-01-12 | 2017-06-27 | 北京航空航天大学 | 用户关系可视化方法及装置 |
CN108074030A (zh) * | 2017-03-03 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 一种资产信息的安全分析和可视化管理系统及方法 |
CN108809678B (zh) * | 2017-05-03 | 2021-04-30 | 腾讯科技(深圳)有限公司 | 一种信息推送的方法以及服务器 |
CN107145789B (zh) * | 2017-05-22 | 2019-08-23 | 国网江苏省电力公司电力科学研究院 | 一种大数据安全分析的可视化交互式方法 |
CN107395418A (zh) * | 2017-07-21 | 2017-11-24 | 暴风集团股份有限公司 | 网络行为数据的统计处理方法、系统及服务器 |
CN107423427A (zh) * | 2017-08-02 | 2017-12-01 | 上海数烨数据科技有限公司 | 一种利用大数据在限定区域内人员失联判定系统及方法 |
CN109918154A (zh) * | 2017-12-07 | 2019-06-21 | 航天信息股份有限公司 | 一种基于属性关联来实时推送预警信息的方法及系统 |
CN110046333B (zh) * | 2018-01-16 | 2023-03-21 | 阿里巴巴集团控股有限公司 | 信息展示方法、数据处理方法、设备及系统 |
CN108427523A (zh) * | 2018-01-31 | 2018-08-21 | 万达信息股份有限公司 | 一种数据追踪可视化视觉展示方法 |
CN108595663A (zh) * | 2018-04-28 | 2018-09-28 | 尚谷科技(天津)有限公司 | 一种hadoop环境下的数据处理方法 |
CN108923954A (zh) * | 2018-06-07 | 2018-11-30 | 成都深思科技有限公司 | 一种网络数据可视化分析及展示系统 |
CN109270565B (zh) * | 2018-09-04 | 2023-03-07 | 广东翼卡车联网服务有限公司 | 一种车载gps大数据的处理装置 |
CN110889106A (zh) * | 2018-09-11 | 2020-03-17 | 北京京东金融科技控股有限公司 | 配置方法、装置、系统、计算机可读存储介质 |
CN109446043A (zh) * | 2018-10-16 | 2019-03-08 | 中国南方电网有限责任公司 | 一种应用日志实时分析以及数据库实时监控系统 |
CN109688105B (zh) * | 2018-11-19 | 2020-07-07 | 中国科学院信息工程研究所 | 一种威胁报警信息生成方法及系统 |
CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
CN109918470A (zh) * | 2019-04-03 | 2019-06-21 | 福建奇点时空数字科技有限公司 | 一种基于gis的数据可视化交互系统 |
CN110389983A (zh) * | 2019-07-25 | 2019-10-29 | 四川航天信息有限公司 | 一种财务数据可视化系统 |
CN110427001A (zh) * | 2019-07-26 | 2019-11-08 | 广东信通通信有限公司 | 一种基于生产监控指挥的事件监视方法和装置以及设备 |
CN111563085A (zh) * | 2020-05-14 | 2020-08-21 | 深圳市顺欣同创科技有限公司 | 一种bim模型的多维度分组与业务数据绑定系统及其方法 |
CN112256791A (zh) * | 2020-10-27 | 2021-01-22 | 北京微步在线科技有限公司 | 一种网络攻击事件的展示方法及存储介质 |
CN112835970A (zh) * | 2021-02-02 | 2021-05-25 | 上海华盖科技发展股份有限公司 | 一种大数据安全可视化交互分析系统及方法 |
CN115664853A (zh) * | 2022-12-15 | 2023-01-31 | 北京六方云信息技术有限公司 | 网络安全数据关联分析方法、装置、系统以及存储介质 |
CN116933052B (zh) * | 2023-07-18 | 2024-01-23 | 国网信息通信产业集团有限公司北京分公司 | 一种变电站数据化在线监测系统和方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102314460A (zh) * | 2010-07-07 | 2012-01-11 | 阿里巴巴集团控股有限公司 | 数据分析方法、系统及服务器 |
CN102932419A (zh) * | 2012-09-25 | 2013-02-13 | 浙江图讯科技有限公司 | 一种用于面向工矿企业的安全生产云服务平台的数据存储系统 |
CN104268254A (zh) * | 2014-10-09 | 2015-01-07 | 浪潮电子信息产业股份有限公司 | 一种安全态势分析统计方法 |
US9529974B2 (en) * | 2008-02-25 | 2016-12-27 | Georgetown University | System and method for detecting, collecting, analyzing, and communicating event-related information |
-
2015
- 2015-01-12 CN CN201510013187.3A patent/CN105843803B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9529974B2 (en) * | 2008-02-25 | 2016-12-27 | Georgetown University | System and method for detecting, collecting, analyzing, and communicating event-related information |
CN102314460A (zh) * | 2010-07-07 | 2012-01-11 | 阿里巴巴集团控股有限公司 | 数据分析方法、系统及服务器 |
CN102932419A (zh) * | 2012-09-25 | 2013-02-13 | 浙江图讯科技有限公司 | 一种用于面向工矿企业的安全生产云服务平台的数据存储系统 |
CN104268254A (zh) * | 2014-10-09 | 2015-01-07 | 浪潮电子信息产业股份有限公司 | 一种安全态势分析统计方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105843803A (zh) | 2016-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105843803B (zh) | 大数据安全可视化交互分析系统及方法 | |
CN104407964B (zh) | 一种基于数据中心的集中监控系统及方法 | |
CN108268485B (zh) | 一种日志实时分析方法及系统 | |
US9226037B2 (en) | Inference engine for video analytics metadata-based event detection and forensic search | |
US9043717B2 (en) | Multi-lane time-synched visualizations of machine data events | |
EP2980767B1 (en) | Video search and playback interface for vehicle monitor | |
CN112965874B (zh) | 一种可配置的监控告警方法及系统 | |
Fischer et al. | Real-time visual analytics for event data streams | |
CN107229556A (zh) | 基于elastic组件的日志分析系统 | |
CN107659443A (zh) | 一种实时业务的监控方法及其系统 | |
US20100122270A1 (en) | System And Method For Consolidating Events In A Real Time Monitoring System | |
EP4058881A1 (en) | System and method for analysis and visualization of incident data | |
CN109254901B (zh) | 一种指标监测方法及系统 | |
CN111294233A (zh) | 网络告警统计分析方法、系统及计算机可读存储介质 | |
CN110751080A (zh) | 异常人员的聚集预警方法、系统及相关装置 | |
CA2800013A1 (en) | Method, system for displaying activities of friends and computer storage media | |
Ghoniem et al. | Newslab: Exploratory broadcast news video analysis | |
US20230221835A1 (en) | System and Method for Analysis and Visualization of Incident Data | |
Li et al. | Network security situation awareness method based on visualization | |
CN113918563A (zh) | 布控信息的确定方法及装置、存储介质、电子装置 | |
KR20230025737A (ko) | 교통 수집 데이터 제공 시스템의 교통 수집 데이터 제공 방법 | |
CN111787022A (zh) | 一种网络安全监控平台及对应的监控方法和存储介质 | |
CN116011984B (zh) | 一种高速公路机电系统的监测运维方法及装置 | |
CN116961241B (zh) | 一种基于电网业务的统一应用监测平台 | |
Lou et al. | Visualization research and implementation based on ATM alarm data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |