CN108933791B - 一种基于电力信息网安全防护策略智能优化方法及装置 - Google Patents
一种基于电力信息网安全防护策略智能优化方法及装置 Download PDFInfo
- Publication number
- CN108933791B CN108933791B CN201810743757.8A CN201810743757A CN108933791B CN 108933791 B CN108933791 B CN 108933791B CN 201810743757 A CN201810743757 A CN 201810743757A CN 108933791 B CN108933791 B CN 108933791B
- Authority
- CN
- China
- Prior art keywords
- strategy
- firewall
- unit
- analysis
- job
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000005457 optimization Methods 0.000 title claims abstract description 17
- 238000004458 analytical method Methods 0.000 claims abstract description 97
- 230000000007 visual effect Effects 0.000 claims abstract description 9
- 238000007405 data analysis Methods 0.000 claims abstract description 6
- 238000007726 management method Methods 0.000 claims description 37
- 238000012545 processing Methods 0.000 claims description 17
- 230000002159 abnormal effect Effects 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 7
- 238000012550 audit Methods 0.000 claims description 5
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 claims description 2
- 238000012800 visualization Methods 0.000 abstract description 2
- 238000007619 statistical method Methods 0.000 description 22
- 230000006399 behavior Effects 0.000 description 13
- 230000002354 daily effect Effects 0.000 description 11
- 230000009471 action Effects 0.000 description 9
- 238000010606 normalization Methods 0.000 description 7
- 238000001914 filtration Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 230000003442 weekly effect Effects 0.000 description 4
- 238000010219 correlation analysis Methods 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 238000013486 operation strategy Methods 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 230000004931 aggregating effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 101000643424 Homo sapiens Protein phosphatase Slingshot homolog 1 Proteins 0.000 description 1
- 101000643431 Homo sapiens Protein phosphatase Slingshot homolog 2 Proteins 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 235000013372 meat Nutrition 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于电力信息网安全防护策略智能优化方法,包括以下步骤:数据采集步骤:对防火墙运行状态、策略调度、日志、作业执行进行采集分析,分析结果入库;数据审计处理步骤:对防火墙运行状态、策略生命周期、日志进行分析管理,对作业执行结果进行审计,生成分析报告及告警报告;可视化展示步骤:对防火墙运行状态值、告警信息、策略生命周期、日志分析结果、执行结果进行展示。还公开了一种优化装置,实现对电力信息网安全日志数据的自动抽取,丰富安全日志库的信息量并进行大数据分析,对网络安全威胁进行可视化呈现。
Description
技术领域
本发明涉及电力网络安全防护领域,尤其是一种基于电力信息网安全防护策略智能优化方法及装置。
背景技术
随着信息化的加速,网络面临的安全威胁也越来越大。多年以来诸厂商配置防火墙存在设备低效管理、安全性差的现状,防火墙配置策略分散于不同设备上,维护管理比较混乱,出现策略上线随意性、策略下线不按时、策略内容重复、冗余等现象,致使管理不规范、设备转发效率降低等问题,给安全管理造成不必要的困难,亟需通过统一的平台对不同厂商的防火墙设备进行统一的管理与审计。
发明内容
本发明的目的是提供一种基于电力信息网安全防护策略智能优化方法及装置,进行电力信息网安全日志数据的自动抽取,丰富安全日志库的信息量并进行大数据分析,对网络安全威胁进行可视化呈现,全天候全方位感知网络安全态势,进而提高全局安全策略同步配置的工作效率,提高策略的匹配精确度,简化策略条目数,保障业务系统的安全性。
为实现上述目的,本发明采用下述技术方案:
本发明第一方面提供了一种基于电力信息网安全防护策略智能优化方法,包括以下步骤:
数据采集步骤:对防火墙运行状态、策略调度、日志、作业执行进行采集分析,分析结果入库;
数据审计处理步骤:对防火墙运行状态、策略生命周期、日志进行分析管理,对作业执行结果进行审计,生成分析报告及告警报告;
可视化展示步骤:对防火墙运行状态值、告警信息、策略生命周期、日志分析结果、执行结果进行展示。
结合第一方面,在第一方面第一种可能的实现方式中,所述数据采集步骤具体包括:
根据防火墙厂商、型号分别对防火墙运行状态、策略调度、日志执行不同的状态采集命令,分析采集结果后将分析结果入库;
对不同类型的作业计划进行查询,查看作业计划的状态及执行过程。
结合第一方面,在第一方面第二种可能的实现方式中,所述数据审计处理步骤具体包括:
生成统一格式的日志信息,过滤错误日志信息,生成统一格式化的安全事件信息;
基于生成的每一行安全事件信息内容,都对应建立一个安全事件特征描述码;
将不同时间跨度的安全事件特征描述码进行相似度计算,并判断是否属于同一类事件;
数据聚合并统计关联分析结果。
结合第一方面,在第一方面第三种可能的实现方式中,所述生成统一格式的日志信息,过滤错误日志信息,生成统一格式化的安全事件信息,具体包括:
对原始数据进行归一化处理,将不同厂商、不同类型、不同型号的产品日志按照同一格式进行分类,生成统一格式的日志信息;
输入在网设备的日式格式接口形成日志接口库;
对日志接口库的日志进行匹配,如无法匹配则进行特征匹配。
结合第一方面,在第一方面第四种可能的实现方式中,所述特征匹配具体包括:
对日志内容进行识别,读取日志信息;
对告警信息进行提取,通过过滤错误日志,生成统一格式化的安全事件信息。
结合第一方面,在第一方面第五种可能的实现方式中,所述将不同时间跨度的安全事件特征描述码进行相似度计算,具体包括:
判断源地址、目的地址、源端口、目的端口、协议是否属于同一类访问请求,如果是同一类访问请求定义为相似行为;
根据报文指纹判断是否为有规律的自动生成报文,如果是有规律的报文,定义为相似行为。
本发明第二方面提供了一种基于电力信息网安全防护策略智能优化装置,包括:
数据采集模块,对防火墙运行状态、策略调度、日志、作业执行进行采集分析,分析结果入库;
数据审计处理模块,对防火墙运行状态、策略生命周期、日志进行分析管理,对作业执行结果进行审计,生成分析报告及告警报告
可视化展示模块,对防火墙运行状态值、告警信息、策略生命周期、日志分析结果、执行结果进行展示。
结合第二方面,在第二方面第一种可能的实现方式中,所述数据采集模块,包括:
状态采集单元,根据防火墙厂商、型号对防火墙运行状态执行不同的状态采集命令;分析采集结果;分析结果入库;
策略调度单元,根据防火墙厂商、型号对防火墙运行策略执行不同的状态采集命令;分析采集结果;分析结果入库;
日志采集单元,根据防火墙厂商、型号对防火墙运行日志执行不同的状态采集命令;分析采集结果;分析结果入库;
作业执行单元,对不同类型的作业计划进行查询,查看作业计划的状态及执行过程。
结合第二方面,在第二方面第二种可能的实现方式中,所述数据审计处理模块,包括:
状态分析单元,对CPU日趋势、CPU年月日周峰值、CPU峰值年月日周趋势进行分析;
策略分析单元,对防火墙策略的冲突、冗余、过期、覆盖、重复进行分析;
策略生命周期分析单元,对防火墙策略生命周期从策略的生效、失效以及中间的变更过程进行管理;
日志分析单元,对不同厂商、不同类型、不同型号的产品日志进行关联分析。
结合第二方面,在第二方面第三种可能的实现方式中,所述可视化展示模块,包括:
状态值展示单元,对包括CPU、内存、会话数、接口流量当前指标和其趋势进行展示;
告警信息展示单元,对告警总数、各类告警数量进行展示;
策略生命周期展示单元,对系统管理策略总数、策略上下线情况、策略命中情况进行展示;
日志分析结果展示单元,对日志异常流量识别、攻击画像、威胁态势分析结果进行展示;
作业执行结果展示单元,对作业新增数量,作业完成数量,未完成作业的重要程度进行展示。
本发明第二方面的所述网络服务的控制装置能够实现第一方面及第一方面的各实现方式中的方法,并取得相同的效果。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
(1)通过采集控制和大数据分析来过滤错误日志,形成统一的安全事件信息并进行归类,为用户提供更准确的攻击事件样本特征。
(2)可视化展示技术为用户实时展现网络安全状态,结合生动的攻击动画效果,帮助用户快速识别网络异常入侵行为,及时把握网络安全事件发展趋势,为用户营造全新安全管理体验。
附图说明
图1是本发明方法实施例一流程图;
图2是本发明方法实施例二流程图;
图3是本发明方法实施例三流程图;
图4是本发明方法实施例四流程图;
图5是本发明装置实施例五结构示意图;
图6是本发明装置实施例六结构示意图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
实施例一
如图1所示,一种基于电力信息网安全防护策略智能优化方法,包括以下步骤:
S1、对防火墙运行状态、策略调度、日志、作业执行进行采集分析,分析结果入库;
S2、对防火墙运行状态、策略生命周期、日志进行分析管理,对作业执行结果进行审计,生成分析报告及告警报告;
S3、对防火墙运行状态值、告警信息、策略生命周期、日志分析结果、执行结果进行展示。
实施例二
如图2所示,一种基于电力信息网安全防护策略智能优化方法,包括以下步骤:
S11、根据防火墙厂商、型号分别对防火墙运行状态、策略调度、日志执行不同的状态采集命令,分析采集结果后将分析结果入库。
采集控制平台实现网络流量数据、安全设备日志、服务器日志、第三方威胁情报、自有威胁情报样本数据等,日志采集功能通过Syslog的方式实现,采集能力涵盖防火墙、入侵防御等安全设备,经过统一格式解析后进行存储。
S12、对不同类型的作业计划进行查询,查看作业计划的状态及执行过程。
S21、生成统一格式的日志信息,过滤错误日志信息,生成统一格式化的安全事件信息。
S22、基于生成的每一行安全事件信息内容,都对应建立一个安全事件特征描述码。
S23、将不同时间跨度的安全事件特征描述码进行相似度计算,并判断是否属于同一类事件。
S24、数据聚合并统计关联分析结果。
S3、对防火墙运行状态值、告警信息、策略生命周期、日志分析结果、执行结果进行展示。
实施例三
如图3所示,步骤S21中生成统一格式的日志信息,过滤错误日志信息,生成统一格式化的安全事件信息,具体包括:
S211、对原始数据进行归一化处理,将不同厂商、不同类型、不同型号的产品日志按照同一格式进行分类,生成统一格式的日志信息。
对网络流量数据、安全设备日志、服务器日志、第三方威胁情报、自有威胁情报样本数据等原始数据进行归一化处理,归一化是一种无量纲处理手段,使物理系统数值的绝对值变成某种相对值关系。在统计学中,归一化的具体作用是归纳统一样本的统计分布性。归一化在0-1之间是统计的概率分布,归一化在-1--+1之间是统计的坐标分布。即该函数在(-∞,+∞)的积分为1。
S212、输入在网设备的日式格式接口形成日志接口库。
S213、对日志接口库的日志进行匹配,如无法匹配则进行特征匹配。
特征匹配具体包括:对日志内容进行识别,读取日志信息;对告警信息进行提取,通过过滤错误日志,生成统一格式化的安全事件信息。
实施例四
如图4所示,步骤S23中将不同时间跨度的安全事件特征描述码进行相似度计算,具体包括:
S231、判断源地址、目的地址、源端口、目的端口、协议是否属于同一类访问请求,如果是同一类访问请求定义为相似行为。
S232、根据报文指纹判断是否为有规律的自动生成报文,如果是有规律的报文,定义为相似行为。
实施例五
如图5所示,一种基于电力信息网安全防护策略智能优化装置,包括:
数据采集模块101,对防火墙运行状态、策略调度、日志、作业执行进行采集分析,分析结果入库。
数据审计处理模块102,对防火墙运行状态、策略生命周期、日志进行分析管理,对作业执行结果进行审计,生成分析报告及告警报告。
可视化展示模块103,对防火墙运行状态值、告警信息、策略生命周期、日志分析结果、执行结果进行展示。
实施例六
如图6所示,一种基于电力信息网安全防护策略智能优化装置,包括:
状态采集单元,根据防火墙厂商、型号对防火墙运行状态执行不同的状态采集命令;分析采集结果;分析结果入库。
策略调度单元,根据防火墙厂商、型号对防火墙运行策略执行不同的状态采集命令;分析采集结果;分析结果入库。
日志采集单元,根据防火墙厂商、型号对防火墙运行日志执行不同的状态采集命令;分析采集结果;分析结果入库。
作业执行单元,对不同类型的作业计划进行查询,查看作业计划的状态及执行过程。
状态分析单元,对CPU日趋势、CPU年月日周峰值、CPU峰值年月日周趋势进行分析。
策略分析单元,对防火墙策略的冲突、冗余、过期、覆盖、重复进行分析。
策略生命周期分析单元,对防火墙策略生命周期从策略的生效、失效以及中间的变更过程进行管理。
日志分析单元,对不同厂商、不同类型、不同型号的产品日志进行关联分析。
异常流量识别,在实现技术上平台主要采用Netflow或流量镜像的方式,可基于报文信息以及office、OA、网站、telnet、SSH、即时聊天、邮件、视频软件等常见的应用统计信息建立病毒类攻击和DDOS攻击自动学习模型,对有漏洞的端口进行注入攻击等服务器的端口扫描行为和发送的报文类似或者有规律可循的威胁行为进行学习,并根据最新流量信息进行自动更新,通过智能学习有效发现未知攻击。
攻击画像是指利用已知琐碎的攻击线索,还原攻击者IP的详细信息(IP背景分析、常用工具包、攻击手法习惯、攻击步骤习惯)。在技术上首先通过不同结构的数据标签化攻击者;根据已有常用攻击手段、攻击工具、攻击模式及攻击IP、肉机地址、常用服务器等资源的黑客数据库设计基于行为的大数据分类,识别黑客常见行为模式;基于大数据的攻击行为预测,利用攻击者喜好预测将来可能攻击目标。
威胁态势分析,威胁态势分析是指基于值得保护的有价值资产之系统与组织具有的明确特征事先建立的安全分析模型,对试图越权访问或者访问敏感数据的行为进行分析,将非授权终端、非授权行为、不匹配安全模型等已搜集到的威胁数据进行不断的填充,帮助量化的判断当前的安全状态及后续的威胁发展趋势。可分析内容包括:资产IP的安全风险趋势、获悉不同级别攻击的威胁走势、评估系统威胁整体情况、查看每天或小时攻击量的变化趋势、查看不同地理位置的攻击情况,也可以从攻击者和被攻击者两个角度分析攻击事件的详细情况,同时根据威胁类型和威胁指数定义安全百分比,定义每种威胁对安全指数的影响值,根据发送的威胁行为量化安全指数,可分为以下几类:①严重威胁指将安全指数降低为60以下,②较严重威胁指将安全指数降低为80以下,③一般威胁指将安全指数降低为90以下。
状态值展示单元,对包括CPU、内存、会话数、接口流量当前指标和其趋势进行展示。
告警信息展示单元,对告警总数、各类告警数量进行展示。
策略生命周期展示单元,对系统管理策略总数、策略上下线情况、策略命中情况进行展示。
日志分析结果展示单元,对日志异常流量识别、攻击画像、威胁态势分析结果进行展示。
作业执行结果展示单元,对作业新增数量,作业完成数量,未完成作业的重要程度进行展示。
实施例七
一种基于电力信息网安全防护策略智能优化装置,包括:采集单元1、数据审计处理单元2、可视化展示单元3。
采集单元1的采集范围包括(1)防火墙运行状态采集,实现对防火墙运行现状的监控。(2)防火墙策略采集,实现防火墙策略集中管理,防火墙策略生命周期管理,防火墙策略分析优化。(3)防火墙日志采集。
防火墙运行状态采集使用SNMP协议,防火墙策略采集使用SSH(SSH1、SSH2)或者TELNET协议,防火墙配置备份使用TFTP协议。
采集单元1的数据采集流程如下:
防火墙运行状态采集:防火墙运行状态采集任务调度;根据防火墙厂商,型号执行不同的状态采集命令;分析采集结果;分析结果入库。
防火墙策略采集:防火墙运行策略采集任务调度;根据防火墙厂商,型号执行不同的策略采集命令;根据防火墙厂商,型号采用不同的分析算法分析采集结果;分析结果入库。
防火墙日志数据采集:防火墙运行日志采集任务调度;根据防火墙厂商,型号执行不同的日志采集命令;根据防火墙厂商,型号采用不同的分析算法分析采集结果;分析结果入库。
数据审计处理单元2是对防火墙设备、策略生命周期的集中分析管理,通过对各类作业计划、策略生命周期、设备状态数据的任务下发到采集控制接口后通过采集平台进行采集,然后对返回的数据进行分析处理入库,生成策略、设备状态的分析报告、以及各种异常告警的报告。数据审计处理单元2包括安全策略管理单元、作业管理单元和分析报告单元。
安全策略管理单元可以对防火墙策略的整个生命周期进行展示、策略的重复、冗余、冲突等分析,可以达到策略优化目的、以及防火墙策略的备份、还原等,从而实现防火墙策略管理的高效、严谨、合法。安全策略管理单元包括策略信息查询单元、策略生命周期管理单元、策略分析管理单元和策略备份还原单元。
策略信息查询单元对防火墙上的所有策略集中展示,支持按照申请人、申请时间、防火墙设备、工单维度来展示策略信息,策略信息包含:策略编号、源IP、目的IP、目的端口、动作、源域、目的域、协议、策略的申请人、申请上下线时间、设备名称、工单号等信息。
策略生命周期管理单元支持对防火墙策略的整个生命周期管理,从策略的生效、失效以及中间的变更过程管理起来,对于系统下发的策略可以直接与工单关联起来,对于手工采集的采集需要去关联工单来达到策略的申请、变更有理有据,支持图形化的展示,体现出申请人、申请时间、策略内容、申请原因等关键信息。
策略分析管理单元支持对策略的冲突、冗余、过期、覆盖、重复等分析并形成结果展示出来,以便后期的策略优化。具体包括以下分析内容。
防火墙策略冲突分析。应对于收集到的防火墙策略,自动进行策略冲突分析,并给出分析结果。
防火墙策略冗余分析。应对于收集到的防火墙策略,自动进行策略冗余分析,并给出分析结果。
防火墙策略过期分析。应对于收集到的防火墙策略,自动进行策略过期分析,并给出分析结果。
防火墙策略覆盖分析。应对于收集到的防火墙策略,自动进行策略覆盖分析,并给出分析结果。
防火墙策略相同分析。应对于收集到的防火墙策略,自动进行策略相同分析,并给出分析结果。
防火墙策略IP范围过大审计。应对于收集到的防火墙策略,自动进行策略中IP地址范围过大的审计分析,并给出分析结果。
防火墙策略端口范围过大审计。应对于收集到的防火墙策略,自动进行策略中端口范围过大的审计分析,并给出分析结果。
防火墙策略敏感端口审计。应对于收集到的防火墙策略,自动进行策略中敏感端口的审计分析,并给出分析结果。
策略备份还原单元支持防火墙的策略信息备份、还原,支持定时、实时备份策略信息,记录备份时间、备份任务的操作人、备份文件内容。
作业管理单元包括作业查询单元、作业创建单元、作业审核单元和执行结果审计单元。
作业查询单元对创建的各种类型的作业计划的查询,可以查看作业计划的状态以及计划的执行过程。
作业创建单元能支持各种类型的作业计划创建,比如采集接口流量、CPU、内存、会话数、以及防火墙控制策略的创建,元素包括作业名称、作业类型、作业周期、周期单位、执行时间点、计划的开始时间、结束时间、需要执行作业计划的防火墙设备等信息,新建后的作业计划状态标记为待审核,同时需要记录操作日志,比如作业计划创建人、创建时间。
作业审核单元完成对作业计划的审核,审核后将自动下发作业计划到采集端执行,然后自动取回采集结果,记录审核人、审核时间等操作信息。
执行结果审计单元对作业计划执行后返回的采集结果审计,对于策略需要进行各种策略分析然后入库,要记录当前的采集信息以及审计后产生的告警记录等信息,设备状态的采集也需要进行分析是否有异常的状态值,然后入库产生告警记录,对于失败的作业计划需要记录失败原因。
分析报告单元包括状态数据分析单元、策略分析报表单元、异常告警分析单元、配置分析报表单元。
状态数据分析单元生成以下统计分析内容:
CPU(内存、会话数、接口流量)日趋势统计分析
CPU(内存、会话数、接口流量)年月日周峰值统计分析
CPU(内存、会话数、接口流量)峰值年月日周趋势分析
策略分析报表单元生成以下统计分析内容:
防火墙策略数量TOP10统计分析
防火墙策略日上线数量TOP10统计分析
防火墙策略上线数量趋势分析
防火墙策略日下线数量TOP10统计分析
防火墙策略下线数量趋势分析
防火墙策略命中日次数TOP10统计分析
防火墙未命中策略总数统计分析
防火墙未关联策略年月日周统计分析
防火墙策略重复年月日周条数统计分析
防火墙策略冲突年月日周条数统计分析
防火墙策略冗余年月日周条数统计分析
防火墙策略覆盖年月日周条数统计分析
防火墙策略范围过大年月日周条数统计分析
异常告警分析单元生成以下统计分析内容:
防火墙上所有告警日数量TOP10统计分析
防火墙上各类告警日数量TOP10统计分析
各类告警日总数TOP10统计分析
各类告警日总数趋势分析
配置分析报表单元生成以下统计分析内容:
防火墙配置不合规年月日周次数统计分析
防火墙配置不合规日数量TOP10统计分析
可视化展示单元包括综合分析视图单元、防火墙状态监控单元、预告警中心单元。
综合分析视图单元是系统运行情况的一个综合概述,主要是对前一天,或者前一段时间内的统计数据展示。包括:
防火墙类:防火墙管理数量,防火墙运行数量,防火墙运行情况概述;
作业类:作业新增数量,作业完成数量,未完成作业的重要程度;
告警类:告警总数,各类告警数量;
策略类:系统管理策略总数,策略上下线情况,策略命中情况。
防火墙状态监控单元是对所有防火墙的运行状况的集中监控管理,防火墙运行状态包括CPU、内存、会话数、接口流量等指标。
防火墙状态监控单元展示了防火墙各项指标的当前状况、防火墙各项指标一段时间内的趋势图以及当天防火墙各项指标超过阙值告警。防火墙各项指标的当前状况能够清晰直观的看到当前是否有防火墙处于异常状态。防火墙各项指标一段时间内的趋势图可以针对关心的防火墙查看一段时间内某像指标的趋势情况,对预判提供原始依据。当天防火墙各项指标超过阙值告警可以清晰的查看到超过阙值的峰值,以及该峰值前后一段时间内,该项指标的一个趋势情况,有利于异常分析。
预告警中心单元根据登录用户帐号展示该用户相关的预告警信息,预告警种类包括以下几类:
策略重复告警
策略重复是指两条或者多条策略的源接口、目的接口、源IP、目的IP、协议、源端口、目的端口、动作(Action)均相同
策略冲突告警
策略冲突是指在相同接口下,一条策略的源IP、目的IP、源端口(协议相同)、目的端口(协议相同)分别为另一条的子集,且采取的动作(Action)相异。
策略覆盖告警
策略覆盖是指在相同接口下,一条策略的源IP、目的IP、源端口(协议相同)、目的端口(协议相同)分别为另一条的子集,且采取的动作(Action)一致。前一条策略范围大,后一条策略范围小。
策略冗余告警
策略冗余是指在相同接口下,前策略的源IP、目的IP、源端口(协议相同)、目的端口(协议相同)分别为后一条的子集,且采取的动作(Action)一致。前一条策略范围小,后一条策略范围大。
策略未命中告警
策略未命中是指一条策略长时间没有命中数据,可能是策略相关的设备不存在或者是不需要该条策略。
未关联策略告警
未关联策略是指通过采集控制平台扫描回来的防火墙策略没有进行责任关联,无法管理其生命周期。
策略范围过大告警
策略范围过大是指策略制作的IP范围或者端口范围过大,包括IP设置为any和设置为一个IP段,端口设置为any。
策略预下线预警
策略预下线预警是指策略生命周期即将结束,提前通知该策略的相关责任人。
运行状态告警
运行状态告警是指防火墙的运行状态参数超过设定的阙值而进行的告警。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (1)
1.一种基于电力信息网安全防护策略智能优化装置,其特征是,包括:
数据采集模块,对防火墙运行状态、策略调度、日志、作业执行进行采集分析,分析结果入库;
数据采集模块采集范围包括:防火墙运行状态采集,实现对防火墙运行现状的监控;防火墙策略采集,实现防火墙策略集中管理,防火墙策略生命周期管理,防火墙策略分析优化;防火墙日志采集;
防火墙运行状态采集使用SNMP协议,防火墙策略采集使用SSH或者TELNET协议,防火墙配置备份使用TFTP协议;
数据审计处理模块,对防火墙运行状态、策略生命周期、日志进行分析管理,对作业执行结果进行审计,生成分析报告及告警报告;
数据审计处理模块包括安全策略管理单元、作业管理单元和分析报告单元;
安全策略管理单元包括策略信息查询单元、策略生命周期管理单元、策略分析管理单元和策略备份还原单元;策略信息查询单元对防火墙上的所有策略集中展示,支持按照申请人、申请时间、防火墙设备、工单维度来展示策略信息;策略生命周期管理单元支持对防火墙策略的整个生命周期管理,对于系统下发的策略直接与工单关联起来,支持图形化的展示;策略分析管理单元支持对策略的冲突、冗余、过期、覆盖、重复分析并形成结果展示出来;策略备份还原单元支持防火墙的策略信息备份、还原,支持定时、实时备份策略信息,记录备份时间、备份任务的操作人、备份文件内容;
作业管理单元作业查询单元、作业创建单元、作业审核单元和执行结果审计单元;作业查询单元对创建的各种类型的作业计划的查询,查看作业计划的状态以及计划的执行过程;作业创建单元能支持各种类型的作业计划创建,元素包括作业名称、作业类型、作业周期、周期单位、执行时间点、计划的开始时间、结束时间、需要执行作业计划的防火墙设备等信息,新建后的作业计划状态标记为待审核,同时记录操作日志;作业审核单元完成对作业计划的审核,审核后将自动下发作业计划到采集端执行,然后自动取回采集结果,记录操作信息;执行结果审计单元对作业计划执行后返回的采集结果审计,对于策略需要进行各种策略分析然后入库,记录当前的采集信息以及审计后产生的告警记录信息,设备状态的采集进行分析是否有异常的状态值,然后入库产生告警记录,对于失败的作业计划记录失败原因;
分析报告单元包括状态数据分析单元、策略分析报表单元、异常告警分析单元、配置分析报表单元;
可视化展示模块,对防火墙运行状态值、告警信息、策略生命周期、日志分析结果、执行结果进行展示;
可视化展示模块包括综合分析视图单元、防火墙状态监控单元、预告警中心单元;综合分析视图单元对前一天,或者前一段时间内的统计数据展示;防火墙状态监控单元对所有防火墙的运行状况集中监控管理,防火墙运行状态包括CPU、内存、会话数、接口流量;预告警中心单元根据登录用户帐号展示该用户相关的预告警信息,预告警种类包括策略重复告警、策略冲突告警、策略覆盖告警、策略冗余告警、策略未命中告警、未关联策略告警、策略范围过大告警、策略预下线预警、运行状态告警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810743757.8A CN108933791B (zh) | 2018-07-09 | 2018-07-09 | 一种基于电力信息网安全防护策略智能优化方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810743757.8A CN108933791B (zh) | 2018-07-09 | 2018-07-09 | 一种基于电力信息网安全防护策略智能优化方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108933791A CN108933791A (zh) | 2018-12-04 |
CN108933791B true CN108933791B (zh) | 2021-02-05 |
Family
ID=64447964
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810743757.8A Active CN108933791B (zh) | 2018-07-09 | 2018-07-09 | 一种基于电力信息网安全防护策略智能优化方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108933791B (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110224858B (zh) * | 2019-05-16 | 2022-12-02 | 平安科技(深圳)有限公司 | 基于日志的告警方法及相关装置 |
CN110661811A (zh) * | 2019-10-10 | 2020-01-07 | 国网山东省电力公司信息通信公司 | 一种防火墙策略管理方法及装置 |
CN110995466B (zh) * | 2019-11-06 | 2022-04-26 | 通号通信信息集团有限公司 | 安全态势感知系统下的多格式日志统一处理方法及系统 |
CN111371766A (zh) * | 2020-02-27 | 2020-07-03 | 中电福富信息科技有限公司 | 一种基于日志的防火墙策略管理方法及其系统 |
CN111698199A (zh) * | 2020-04-13 | 2020-09-22 | 国网浙江省电力有限公司杭州供电公司 | 防火墙监控方法及装置 |
CN111552700B (zh) * | 2020-04-23 | 2020-12-08 | 国网河北省电力有限公司 | 一种用于对电力系统项目进行动态审计的智慧审计系统 |
CN111786949B (zh) * | 2020-05-22 | 2023-04-07 | 山东鲁软数字科技有限公司 | 防火墙安全策略自动适配系统及方法 |
CN114050908B (zh) * | 2020-07-24 | 2023-07-21 | 中国移动通信集团浙江有限公司 | 防火墙策略自动审核的方法、装置、计算设备及计算机存储介质 |
CN112333139A (zh) * | 2020-08-21 | 2021-02-05 | 国家电网有限公司 | 防火墙防护提升方法、装置、设备及可读存储介质 |
CN112615811A (zh) * | 2020-11-19 | 2021-04-06 | 贵州电网有限责任公司 | 一种电力信息内网络边界策略健壮性自动化分析方法 |
CN113301040B (zh) * | 2021-05-21 | 2023-02-10 | 恒安嘉新(北京)科技股份公司 | 一种防火墙策略优化方法、装置、设备及存储介质 |
CN113452715B (zh) * | 2021-06-29 | 2023-06-09 | 中国工商银行股份有限公司 | 一种防火墙策略的管理方法、系统、设备及可读存储介质 |
CN113467311B (zh) * | 2021-07-08 | 2023-03-14 | 国网新疆电力有限公司电力科学研究院 | 基于软件定义的电力物联网安全防护装置及方法 |
CN113824686A (zh) * | 2021-08-20 | 2021-12-21 | 中通服创发科技有限责任公司 | Gnss授时防御系统、方法、设备和计算机可读存储介质 |
CN114430337A (zh) * | 2021-12-23 | 2022-05-03 | 深圳铸泰科技有限公司 | 物联网中基于网络流量的防火墙策略的梳理方法及系统 |
CN115529251A (zh) * | 2022-09-29 | 2022-12-27 | 西安热工研究院有限公司 | 一种发电厂防火墙日志数据处理方法、系统、设备及介质 |
CN115550063B (zh) * | 2022-11-23 | 2023-03-14 | 天津安华易科技发展有限公司 | 一种网络信息安全监管方法、系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101610264A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 |
CN103825876A (zh) * | 2013-11-07 | 2014-05-28 | 北京安码科技有限公司 | 一种复杂网络环境下的防火墙策略审计系统 |
CN105847021A (zh) * | 2015-01-13 | 2016-08-10 | 国家电网公司 | 一种智能电网调度控制系统集中运维安全审计系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9338134B2 (en) * | 2013-03-27 | 2016-05-10 | Fortinet, Inc. | Firewall policy management |
US10367784B2 (en) * | 2016-09-30 | 2019-07-30 | Palo Alto Networks, Inc. | Detection of compromised credentials as a network service |
-
2018
- 2018-07-09 CN CN201810743757.8A patent/CN108933791B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101610264A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 |
CN103825876A (zh) * | 2013-11-07 | 2014-05-28 | 北京安码科技有限公司 | 一种复杂网络环境下的防火墙策略审计系统 |
CN105847021A (zh) * | 2015-01-13 | 2016-08-10 | 国家电网公司 | 一种智能电网调度控制系统集中运维安全审计系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108933791A (zh) | 2018-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108933791B (zh) | 一种基于电力信息网安全防护策略智能优化方法及装置 | |
CN112651006B (zh) | 一种电网安全态势感知系统 | |
EP2487860B1 (en) | Method and system for improving security threats detection in communication networks | |
CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
US20140165207A1 (en) | Method for detecting anomaly action within a computer network | |
CN111404909A (zh) | 一种基于日志分析的安全检测系统及方法 | |
CN114070629B (zh) | 针对apt攻击的安全编排与自动化响应方法、装置及系统 | |
CN112905548B (zh) | 一种安全审计系统及方法 | |
CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
EP2936772B1 (en) | Network security management | |
US20150172302A1 (en) | Interface for analysis of malicious activity on a network | |
CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
CN117240526A (zh) | 基于人工智能的网络攻击自动化防御系统 | |
CN114125083A (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
CN115550034A (zh) | 一种配网电力监控系统业务流量监测方法及装置 | |
CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
CN114221805A (zh) | 一种工业互联网数据的监测方法、装置、设备及介质 | |
CN112804190B (zh) | 一种基于边界防火墙流量的安全事件检测方法及系统 | |
CN114844953A (zh) | 基于工业互联网的石化装置仪表自控设备安全监测系统 | |
Ban | 3-3 Data Mining Applied to Darknet Traffic Analysis | |
US20240036963A1 (en) | Multi-contextual anomaly detection | |
CN116859804A (zh) | 一种面向船舶制造车间的安全态势监测预警系统 | |
CN116896462A (zh) | 基于网络安全管理的智慧矿山网络态势感知系统 | |
CN115237886A (zh) | 一种Redis的安全审计方法、终端以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |