CN108833372A - 一种企业网络安全管理云服务平台系统 - Google Patents

Abstract

本发明提供一种企业网络安全管理云服务平台系统，包括：设置在一个或多个企业网络中的本地网络监视系统，与网络交换机镜像端口连接，通过所述网络交换机镜像端口获取企业网络上的所有网络数据，并通过加密通道同步转发到云服务平台；所述云服务平台包括：记录管理系统，对网络数据分析，生成企业网络的历史数据记录；网络状态管理系统，自动或根据指令生成当前网络运行状态报告并储存；入侵检测检测系统，根据网络数据和由此生成的历史数据记录检测、分析和报告被管网络的异常行为。本发明通过云服务平台对企业网络安全进行全面管理，有效降低企业运营成本，提高企业网络安全管理的质量。

Description

一种企业网络安全管理云服务平台系统

技术领域

本发明涉及企业网络的安全防护技术领域，特别是一种企业网络安全管理云服务平台系统。

背景技术

当前的中小型企业由于技术力量和资金的限制，很难再企业内部建立起一套完善的网络信息安全保障系统来管理企业网络，那么由第三方利用云技术提供网络安全服务是一个有发展前景的技术平台和商业模式。

由第三方利用云技术为这样的企业解决方案提供了可行的企业网络信息安全服务平台。企业只需部署相关装置就能够将企业网络的实时网络交易数据解析出来并发送至云平台做进一步分析、判定、报告以及采取必要的防范措施。这样，一个云平台可以管理多个企业的网络信息安全，这对中小企业来讲是非常实际有效的安全管理解决方案。

发明内容

针对上述问题，本发明旨在提供一种企业网络安全管理云服务平台系统。

本发明的目的采用以下技术方案来实现：

一种企业网络安全管理云服务平台系统，包括：

设置在一个或多个企业网络中的本地网络监视系统，与网络交换机镜像端口连接，通过所述网络交换机镜像端口获取企业网络上的所有网络数据，并通过加密通道同步转发到云服务平台；

所述云服务平台包括：

记录管理系统，对网络数据分析，生成企业网络的历史数据记录；

网络状态管理系统，自动或根据指令生成当前网络运行状态报告并储存；

入侵检测检测系统，根据网络数据和由此生成的历史数据记录检测、分析和报告被管网络的异常行为。

本发明提供了一种企业网络安全管理云服务平台系统，实现了无需对企业现有的网络设备进行任何修改，也不需要再企业网络中加装代理软件，就能通过云服务平台对企业网络安全进行全面管理；同时，将企业网络安全数据统一发送到云服务平台进行管理，能够有效降低企业运营成本，提高企业网络安全管理的质量。

附图说明

利用附图对本发明作进一步说明，但附图中的实施例不构成对本发明的任何限制，对于本领域的普通技术人员，在不付出创造性劳动的前提下，还可以根据以下附图获得其它的附图。

图1为本发明的框架结构图；

图2为云服务平台的框架结构图；

图3为本发明记录管理系统的框架结构图；

图4为本发明安全态势感知模块的框架结构图。

附图标记：

本地网络监视系统1、云服务平台2、记录管理系统21、网络状态管理系统22、入侵检测检测系统23、安全态势感知模块24、访问记录管理模块211、事件记录管理模块212、系统记录管理模块213、安全信息融合单元241、网络安全态势评估单元242和网络安全态势预测单元243

具体实施方式

结合以下应用场景对本发明作进一步描述。

参见图1、图2，其示出一种企业网络安全管理云服务平台2系统，包括：

设置在一个或多个企业网络中的本地网络监视系统1，与网络交换机镜像端口连接，通过所述网络交换机镜像端口获取企业网络上的所有网络数据，并通过加密通道同步转发到云服务平台2；

所述云服务平台2包括：

记录管理系统21，对网络数据分析，生成企业网络的历史数据记录；

网络状态管理系统22，自动或根据指令生成当前网络运行状态报告并储存；

入侵检测检测系统23，根据网络数据和由此生成的历史数据记录检测、分析和报告被管网络的异常行为。

本发明上述实施方式，无需对企业现有的网络设备进行任何修改，也不需要再企业网络中加装代理软件，实现对企业网络安全进行全面管理；同时，将企业网络安全数据统一发送到云服务平台2进行管理，能够有效降低企业运营成本，提高企业网络安全管理的质量。

优选地，参见图3，所述记录管理系统21包括：

访问记录管理模块211，根据接收到的网络数据获取所述网络的访问记录，生成企业网络的访问数据记录；

事件记录管理模块212，根据接收到的网络数据获取所述网络的事件记录，生成企业网络的事件数据记录；

系统记录管理模块213，根据接收到的网络数据获取所述网络的系统记录，生成企业网络的系统数据记录。

本发明上述实施方式，记录管理系统21中对企业网络数据的分析，分别获取企业网络的访问数据记录、事件数据记录和系统数据记录，供后续云服务平台2根据这些数据记录对企业网络的异常行为分析，更全面地获取企业网络状态，有助于系统更直观地对网络安全状态进行展示和分析。

优选地，所述异常行为包括数据泄露异常，入侵异常。

优选地，参见图4，所述云服务平台2还包括：

安全态势感知模块24，用于监管当前时刻和未来时刻的网络安全状态，包括：

安全信息融合单元241，用于过滤，精简，归并来自不同传感器采集的网络数据，所述传感器设置在所述本地网络监视系统1中，用于获取企业网络的入侵检测警报、操作系统及应用程序日志、防火墙日志、弱点扫描结果等安全信息。

网络安全态势评估单元242，用于根据所述归并后的网络数据，评估企业网络当前的安全状况；

网络安全态势预测单元243，用于企业网络当前面临的威胁，预测威胁的演变趋势及未来可能受到的攻击概率；

本发明上述实施方式，该云服务平台2还包括安全态势感知模块24，用于根据获取的网络历史数据，分析企业网络当前的安全装填和预测未来一段时间内的安全态势评估，有助于企业准确地对当前的网络状态进行判断和提前做好抵御有可能会出现的攻击的准备，提高网络安全的可靠性。

优选地，所述网络安全态势评估单元242，用于评估企业网络当前的安全状况，获取当前时刻的网路安全态势评估，

其中，采用的安全态势评估函数为：

其中，

Z_x＝U_x(S,C)+U_x(D,C)

U_x({r},{c})＝W(r,c)×H_x(r,c)

式中，z_x表示归一化安全态势值，Z_x表示网络安全态势值，W(s,c)和W(d,c)分别表示服务s或数据d的属性c遭受侵害时，可能造成的最大直接损失估计；其中S，D，C分别表示服务，数据及其包括的属性的集合，其中S∪D＝R，R表示安全项集合，U_x(R,C)表示安全集R×C的安全态势，U_x({r},{c})表示安全项(r,c)的安全态势，H_x(r,c)表示安全项(r,c)的面临侵害的可能性，由网络安全态势评估单元242分析所述网络数据所得；

其中，所述的属性集合C包括机密性，完整性和可用性；

其中，所述服务包括在企业网络中部署的服务进程；

本发明上述实施方式，采用上述的方法对当前的企业网络安全态势进行评估，能够根据网络中具体的服务和数据的属性作为要素进行判断，从机密性、完整性和可用性三个方面评估网络安全态势，能够细致地衡量网络安全状况；同时根据不同服务或数据的属性的重要程度及其面临侵害的可能性进行综合危险评估，依据网络中元素的安全性的价值及其面临的风险或威胁计算出网络安全态势，准确度更高。

网络安全态势预测单元243：用于企业网络当前面临的威胁，预测威胁的演变趋势及未来可能受到的攻击概率，具体包括：

准备阶段：系统定期对网络状态的采样，计算出网络的安全态势值，将获取的安全态势值采用时变曲线进行表示：s＝f(t)，其中s表示网络安全态势值，f(t)表示以时间作为时变曲线的变量；

在时变曲线中，采用G(i,m)表示时变曲线的子图，表示始于t_i时刻含有m段邻接线段的折线子图，线段斜率q_k序列(q_i,q_i+1,…,q_i+m-1)用向量Q(i,m)表示，即根据历史记录G(0,n-1)和事发迹象G(n-m,m)推断延续效应G(n,p)，其中p表示设定的预测时间长度，n表示当前时刻；

对参数进行初始化设定，令集合权重累加和ξ＝0，变量j＝n-m，其中j表示当前安全迹象的起始位置；

从i＝0到i＝j-a依次对曲线拟合度进行判断，如果存在拟合度其中，表示始于t_i时刻和t_j时刻含有m段邻接线段的折线子图的拟合度，表示设定的拟合度阈值，则有：

则获取该t_i时刻的权重伸缩比σ＝f_σ(i,j,m)×γ(i,m,p)，其中f_x(i,m,p)表示普适度，f_x(i,m,p)＝(n-m)×(1+2×π^-1×arctan(x[i,m,p]-x_max))，x[i,m,p]表示Q(i,m+p)的普适量，x_max表示历史获取普适量的最大值，表示始于t_i时刻和t_j时刻含有m段邻接线段的折线子图的拟合度， 表示Q(i,m)的单位化向量，η表示敏化指数，f_σ(i,j,m)表示从Q(i,m)到Q(j,m)向量的伸缩比，γ(i,m,p)表示伸缩比调节因子，p表示设定的预测时间长度；

将拟合位置i，及其对应的权重w和伸缩比σ组合{(i,w,σ)}录入集合Ψ中，Ψ＝Ψ∪{(i,w,σ)}，并且更新权重累加和ξ＝ξ+w，对于所有集合Ψ中的(i,w,σ)，对权重进行归一化处理，

预测阶段：如果集合Ψ不为空集，则进行态势预测：

s_n+k+1＝s_n+k+τ×q_n+k

其中，

式中，τ表示等时采样间隔；

对于集合Ψ中的U{(i,w,σ)}记录，依据伸缩比σ将斜率q_i+m+k缩放至与其的尺度，按w加权后，叠加到预测斜率q_n+k上，并逐步预测出安全态势值点集{(t_n+k,s_n+k)|1≤k≤p}；

根据获取的安全态势点击分析网络安全态势趋势变化。

本发明上述实施方式，采用时变曲线对获取的网络安全态势值进行表示，表现出网络安全态势随时间的变化，为之后采用场景拟合的安全态势预测奠定了基础；根据拟合度和普适度分析，从历史态势序列中查找相应的迹象，衡量事发迹象与延续效应之间的联系强度，依据当前迹象推测延续效应重现的可能性，通过加权后合成安全态势预测结果，从形态学上对网络安全态势进行预测，准确度高，适应性强。

优选地，所述网络安全态势预测单元243还包括，对各参数进行自适应调整；

对拟合度阈值进行调节：

其中，

式中，表示调节后的拟合度阈值，表示拟合度阈值的调节量，n表示当前时刻所述时变曲线中离散元素的数量，Ψ表示集合，当|Ψ|与lnn的差距越小时，调节幅度越小，反之越大；当|Ψ|小于lnn则下调拟合度阈值以放宽调节，反之上调；

对普适量x[i,m,p]进行调节，对于集合Ψ中的每一个元素(i,w,σ)：

其中，

式中，表示调整后的普适量，表示始于t_i时刻和t_j时刻含有m段邻接线段的折线子图的拟合度，表示始于t_i+m时刻和t_n时刻含有p段邻接线段的折线子图的拟合度；

对伸缩比调节因子γ(i,m,p)进行调节：

如果Q(i+m,p)≠0且Q(n,p)≠0，则：

其中，

式中，表示调节后的伸缩比调节因子，f_σ(i,j,m)表示从Q(i,m)到Q(j,m)向量的伸缩比，f_σ(i+m,n,p)表示从Q(i+m,p)到Q(n,p)向量的伸缩比，表示始于t_i时刻和t_j时刻含有m段邻接线段的折线子图的拟合度。

本发明上述实施方式，采用上述的方法，从形态及精度上计量预测偏差，同时通过逐步微调持续调整安全态势预测参数，进一步提升网络安全态势预测的适应性。

最后应当说明的是，以上实施例仅用以说明本发明的技术方案，而非对本发明保护范围的限制，尽管参照较佳实施例对本发明作了详细地说明，本领域的普通技术人员应当分析，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的实质和范围。

Claims (6)

1.一种企业网络安全管理云服务平台系统，其特征在于，包括：

设置在一个或多个企业网络中的本地网络监视系统，与网络交换机镜像端口连接，通过所述网络交换机镜像端口获取企业网络上的所有网络数据，并通过加密通道同步转发到云服务平台；

所述云服务平台包括：

记录管理系统，对网络数据分析，生成企业网络的历史数据记录；

网络状态管理系统，自动或根据指令生成当前网络运行状态报告并储存；

入侵检测检测系统，根据网络数据和由此生成的历史数据记录检测、分析和报告被管网络的异常行为。

2.根据权利要求1所述的一种企业网络安全管理云服务平台系统，其特征在于，所述记录管理系统包括：

访问记录管理模块，根据接收到的网络数据获取所述网络的访问记录，生成企业网络的访问数据记录；

事件记录管理模块，根据接收到的网络数据获取所述网络的事件记录，生成企业网络的事件数据记录；

系统记录管理模块，根据接收到的网络数据获取所述网络的系统记录，生成企业网络的系统数据记录。

3.根据权利要求2所述的一种企业网络安全管理云服务平台系统，其特征在于，所述异常行为包括数据泄露异常，入侵异常。

4.根据权利要求2所述的一种企业网络安全管理云服务平台系统，其特征在于，所述云服务平台还包括：

安全态势感知模块，用于监管当前时刻和未来时刻的网络安全状态，包括：

安全信息融合单元，用于过滤、精简、归并来自不同传感器采集的网络数据，所述传感器设置在所述本地网络监视系统中，用于获取企业网络的入侵检测警报、操作系统及应用程序日志、防火墙日志、弱点扫描结果等安全信息；

网络安全态势评估单元，用于根据所述归并后的网络数据，评估企业网络当前的安全状况；

网络安全态势预测单元，用于企业网络当前面临的威胁，预测威胁的演变趋势及未来可能受到的攻击概率。

5.根据权利要求4所述的一种企业网络安全管理云服务平台系统，其特征在于，所述网络安全态势评估单元，用于评估企业网络当前的安全状况，获取当前时刻的网路安全态势评估，

其中，采用的安全态势评估函数为：

其中，

Z_x＝U_x(S,C)+U_x(D,C)

U_x({r},{c})＝W(r,c)×H_x(r,c)

式中，z_x表示归一化安全态势值，Z_x表示网络安全态势值，W(s,c)和W(d,c)分别表示服务s或数据d的属性c遭受侵害时，可能造成的最大直接损失估计；其中S，D，C分别表示服务，数据及其包括的属性的集合，其中S∪D＝R，R表示安全项集合，U_x(R,C)表示安全集R×C的安全态势，U_x({r},{c})表示安全项(r,c)的安全态势，H_x(r,c)表示安全项(r,c)的面临侵害的可能性。

6.根据权利要求5所述的一种企业网络安全管理云服务平台系统，其特征在于，所述网络安全态势预测单元，用于企业网络当前面临的威胁，预测威胁的演变趋势及未来可能受到的攻击概率，具体包括：

准备阶段：系统定期对网络状态的采样，计算出网络的安全态势值，将获取的安全态势值采用时变曲线进行表示：s＝f(t)，其中s表示网络安全态势值，f(t)表示以时间作为时变曲线的变量；

在时变曲线中，采用G(i,m)表示时变曲线的子图，表示始于t_i时刻含有m段邻接线段的折线子图，线段斜率q_k序列(q_i,q_i+1,…,q_i+m-1)用向量Q(i,m)表示，即根据历史记录G(0,n-1)和事发迹象G(n-m,m)推断延续效应G(n,p)，其中p表示设定的预测时间长度，n表示当前时刻；

对参数进行初始化设定，令集合权重累加和ξ＝0，变量j＝n-m，其中j表示当前安全迹象的起始位置；

从i＝0到i＝j-a依次对曲线拟合度进行判断，如果存在拟合度其中，表示始于t_i时刻和t_j时刻含有m段邻接线段的折线子图的拟合度，表示设定的拟合度阈值，则有：

则获取该t_i时刻的权重伸缩比σ＝f_σ(i,j,m)×γ(i,m,p)，其中f_x(i,m,p)表示普适度，x[i,m,p]表示Q(i,m+p)的普适量，x_max表示历史获取普适量的最大值，表示始于t_i时刻和t_j时刻含有m段邻接线段的折线子图的拟合度， 表示Q(i,m)的单位化向量，η表示敏化指数，f_σ(i,j,m)表示从Q(i,m)到Q(j,m)向量的伸缩比，γ(i,m,p)表示伸缩比调节因子，p表示设定的预测时间长度；

将拟合位置i，及其对应的权重w和伸缩比σ组合{(i,w,σ)}录入集合Ψ中，Ψ＝Ψ∪{(i,w,σ)}，并且更新权重累加和ξ＝ξ+w，对于所有集合Ψ中的(i,w,σ)，对权重进行归一化处理，

预测阶段：如果集合Ψ不为空集，则进行态势预测：

s_n+k+1＝s_n+k+τ×q_n+k

其中，

对于集合Ψ中的U{(i,w,σ)}记录，依据伸缩比σ将斜率q_i+m+k缩放至与其的尺度，按w加权后，叠加到预测斜率q_n+k上，并逐步预测出安全态势值点集{(t_n+k,s_n+k)|1≤k≤p}；

根据获取的安全态势点击分析网络安全态势趋势变化。