CN111654489A - 一种网络安全态势感知方法、装置、设备及存储介质 - Google Patents
一种网络安全态势感知方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111654489A CN111654489A CN202010463413.9A CN202010463413A CN111654489A CN 111654489 A CN111654489 A CN 111654489A CN 202010463413 A CN202010463413 A CN 202010463413A CN 111654489 A CN111654489 A CN 111654489A
- Authority
- CN
- China
- Prior art keywords
- network
- security
- data
- security event
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本申请公开一种网络安全态势感知方法、装置、设备及存储介质,该方法包括:获取网络对象的日志数据和网络流数据;将预设字段对应的数据相同的日志数据和网络流数据进行合并,得到融合数据;基于所述融合数据,确定所述网络对象对应的融合安全事件;基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定所述网络对象的网络安全态势曲线;根据所述网络安全态势曲线,对所述网络对象进行网络安全态势感知。由于本申请基于日志数据和网络流数据合并后的融合数据进行网络安全态势感知,能够得到基于单一数据源无法得到的融合安全事件,使得用于确定网络安全态势曲线的安全事件更全面,进而提高了网络安全态势感知结果的准确性。
Description
技术领域
本申请涉及网络安全领域,具体涉及一种网络安全态势感知方法、装置、设备及存储介质。
背景技术
随着信息化的高速发展,网络规模和结构变得越发复杂,网络安全问题也日益凸显,越来越多的攻击手段和越来越智能的攻击工具,使得网络安全事件频频发生,依靠传统的防火墙技术、入侵检测技术、恶意代码检测技术等着眼于单方面的被动防御技术已不能确保网络的安全。因此提高网络的主动防御能力、评估整个网络安全状态及其变化趋势是当今网络安全研究领域的主要方向,而对网络安全态势感知领域的研究尤为突出。
依据美国国家安全系统委员会(CNSS)提供的定义,网络安全态势感知(networksecurity situation awareness;NSSA)是指:在一定的时间和空间范围内,对组织的安全状态以及威胁环境的感知,理解这两者的含义以及意味的风险,并对它们未来的状态进行预测。网络安全态势感知需要掌握组织内部的安全状态,以及相关的威胁情报,而掌握组织内部的安全状态主要依赖主动防御措施,采用数据驱动的持续监控方案,网络安全态势感知的目的是深入理解当前的风险,并可以对未来的风险进行预测、预防。换言之,网络安全态势感知的基础是数据来源,核心是数据分析。
目前,网络安全态势感知仅能基于单一的数据源对网络对象进行安全态势感知,例如日志数据或网络流数据,得到的网络安全态势感知结果不准确。
发明内容
有鉴于此,本申请提供了一种网络安全态势感知方法、装置及设备,能够基于多种数据源进行网络安全态势感知,得到的网络安全态势感知结果更准确。
第一方面,为实现上述发明目的,本申请提供了一种网络安全态势感知方法,所述方法包括:
获取网络对象的日志数据和网络流数据;
将预设字段对应的数据相同的日志数据和网络流数据进行合并,得到融合数据;
基于所述融合数据,确定所述网络对象对应的融合安全事件;
基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定所述网络对象的网络安全态势曲线;其中,所述日志安全事件为基于所述日志数据确定的安全事件,所述网络流安全事件为基于所述网络流数据确定的安全事件;
根据所述网络安全态势曲线,对所述网络对象进行网络安全态势感知。
一种可选的实施方式中,所述基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定所述网络对象的网络安全态势曲线之前,还包括:
将日志安全事件和/或网络流安全事件,以及所述融合安全事件,输入至预设关联规则挖掘模型,经过所述预设关联规则挖掘模型的关联规则挖掘处理后,输出所述网络对象对应的关联规则安全事件;
相应的,所述基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定所述网络对象的网络安全态势曲线,包括:
基于所述日志安全事件和/或网络流安全事件,以及所述融合安全事件和所述关联规则安全事件,确定所述网络对象的网络安全态势曲线。
一种可选的实施方式中,所述确定所述网络对象的网络安全态势曲线之前,还包括:
利用预设情报源数据,对所述日志安全事件和/或网络流安全事件,以及所述融合安全事件和所述关联规则安全事件进行校验。
一种可选的实施方式中,所述预设字段包括五元组字段。
一种可选的实施方式中,所述方法还包括:
基于可视化界面,对所述网络安全态势曲线进行展示。
第二方面,本申请提供了一种网络安全态势感知装置,所述装置包括:
获取模块,用于获取网络对象的日志数据和网络流数据;
合并模块,用于将预设字段对应的数据相同的日志数据和网络流数据进行合并,得到融合数据;
第一确定模块,用于基于所述融合数据,确定所述网络对象对应的融合安全事件;
第二确定模块,用于基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定所述网络对象的网络安全态势曲线;其中,所述日志安全事件为基于所述日志数据确定的安全事件,所述网络流安全事件为基于所述网络流数据确定的安全事件;
感知模块,用于根据所述网络安全态势曲线,对所述网络对象进行网络安全态势感知。
一种可选的实施方式中,所述装置还包括:
规则挖掘模块,用于将日志安全事件和/或网络流安全事件,以及所述融合安全事件,输入至预设关联规则挖掘模型,经过所述预设关联规则挖掘模型的关联规则挖掘处理后,输出所述网络对象对应的关联规则安全事件;
相应的,所述第一确定模块,具体用于:
基于所述日志安全事件和/或网络流安全事件,以及所述融合安全事件和所述关联规则安全事件,确定所述网络对象的网络安全态势曲线。
一种可选的实施方式中,所述装置还包括:
校验模块,用于利用预设情报源数据,对所述日志安全事件和/或网络流安全事件,以及所述融合安全事件和所述关联规则安全事件进行校验。
第三方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行如上述任一项所述的方法。
第四方面,本申请还提供了一种设备,包括:存储器,处理器,及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如上述任一项所述的方法。
本申请实施例提供的网络安全态势感知方法中,获取网络对象的日志数据和网络流数据,将预设字段对象的数据相同的日志数据和网络流数据进行合并,得到融合数据。然后,基于融合数据确定网络对象对应的融合安全事件,进而基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定网络对象的网络安全态势曲线,最终根据该网络安全态势曲线,对网络对象进行网络安全态势感知。由于本申请基于日志数据和网络流数据合并后的融合数据进行网络安全态势感知,能够得到基于单一数据源无法得到的融合安全事件,使得用于确定网络安全态势曲线的安全事件更全面,进而提高了网络安全态势感知结果的准确性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种网络安全态势感知方法流程图;
图2为本申请实施例提供的一种网络安全态势感知装置的结构示意图;
图3为本申请实施例提供的一种网络安全态势感知设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,网络安全态势感知方法仅基于单一数据源对网络对象进行安全态势感知,例如,数据源来自日志或网络流NetFlow,由于单一的数据源无法全面的反映出网络对象的安全态势,因此,基于目前的网络安全态势感知方法对网络对象进行安全态势感知得到的结果准确性不足。
为此,本申请提供了一种网络安全态势感知方法,具体的,获取网络对象的日志数据和网络流数据,将预设字段对象的数据相同的日志数据和网络流数据进行合并,得到融合数据。然后,基于融合数据确定网络对象对应的融合安全事件,进而基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定网络对象的网络安全态势曲线,最终根据该网络安全态势曲线,对网络对象进行网络安全态势感知。由于本申请基于日志数据和网络流数据合并后的融合数据进行网络安全态势感知,能够得到基于单一数据源无法得到的融合安全事件,使得用于确定网络安全态势曲线的安全事件更全面,进而提高了网络安全态势感知结果的准确性。
基于此,本申请提供了一种网络安全态势感知方法,参考图1,为本申请实施例提供的一种网络安全态势感知方法的流程图,该方法包括:
S101:获取网络对象的日志数据和网络流数据。
网络对象是指处于网络环境中的网络设备、网络系统等,例如为防火墙设备等。日志数据,是指网络对象产生的过程性事件的记录数据。网络流NetFlow数据,是指网络对象的网络流量变化数据。
实际应用中,对网络对象的日志数据进行采集,具体的,可以从网络对象所处的网络环境以及对应的安全设备中获取该网络对象的日志数据。
一种可选的实施方式中,可以设置日志采集代理,用于对日志数据进行采集。具体的,设置日志数据采集格式后,启动日志采集代理,将采集到的原始日志中的日志数据按照日志数据采集格式存储于源日志数据库中,完成日志数据的采集。
在获取到网络对象的日志数据之后,为了便于后续处理,本申请实施例还可以对日志数据进行预处理。具体的,从源日志数据库中获取日志数据后送入解析器,由解析器进行统一格式化处理,具体的,将日志数据转化为统一的格式。通常统一的格式中的字段包括日志接收时间、日志产生时间、用户名称、源IP地址、源MAC地址、源端口号、操作名称、目的IP地址、目的MAC地址、目的端口号、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等,除此之外还可以预留多个备用字段,供各种其他事件分析模型使用。最终,将解析器对日志数据进行预处理后的日志数据存入日志数据库,以供后续使用。
另外,本申请实施例还可以对网络对象的网络流数据进行采集,具体的,可以通过内嵌于交换机或路由器的Netflow采集器,按一定采样间隔对网络流数据进行采集。另外,也可以在相应的关键节点上布置网络流数据采集设备,将采集到的网络流数据存入源网络流数据库中,完成网络流数据的采集。另外,本申请实施例还可以基于关键路径旁路部署流量探针的数据采集方式,基于网络流量全镜像的数据采集方式,基于实时数据抓包的网络数据采集方式,基于SNMP的网络数据采集方式和基于流(FLow)技术的网络流量采集方式实现对网络对象的网络流数据进行采集。
在获取到网络对象的网络流数据之后,为了便于后续处理,本申请实施例还可以对网络流数据进行预处理。具体的,从源网络流数据库中获取网络流数据,然后从网络流数据中提取预设网络流信息,例如包括平均CPU占用率、平均内存使用率、平均流数、平均流长、平均流持续时间、源/目的IP地址分布、端口号分布、流入流出比、流对称度等,将经过上述预处理的网络流数据存入网络流数据库,以供后续使用。
S102:将预设字段对应的数据相同的日志数据和网络流数据进行合并,得到融合数据。
本申请实施例中,预设字段可以包括源IP地址、目的IP地址和数据产生时刻。具体的,本申请实施例将日志数据与网络流数据进行逐条数据匹配,确定源IP地址、目的IP地址和数据产生时刻分别对应的数据均相同的日志数据和网络流数据,并将其进行合并,得到融合数据。
可以理解的是,源IP地址、目的IP地址和数据产生时刻分别对应的数据均相同的日志数据和网络流数据,事实上是针对相同事件的描述数据。因此,为了能够从更多维度对事件进行描述,从而挖掘出更多的安全事件,用于对网路安全态势进行感知,本申请实施例将日志数据和网络流数据基于预设字段进行合并,得到融合数据。
为了进一步保证融合数据的准确性,本申请实施例中的预设字段包括五元组字段,具体的包括源IP地址、目的IP地址、源端口号、目的端口号和数据产生时刻。实际应用中,五元组字段对应的数据相同的日志数据和网络流数据,很大程度上是针对相同时间的描述数据。
本申请实施例中,针对预设字段对应的数据相同的日志数据和网络流数据进行合并后,会产生一条拥有更多字段的数据,即融合数据,这条数据既包含了应用层的事件名称、事件详情、数据报文,又包含了网络层的流长、流持续时间以及设备的平均CPU占用率、平均内存占用率等详细信息。因此,在单独的日志数据分析或单独的NetFlow网络流数据分析均无法生成安全事件的情况下,本申请实施例可能基于融合数据挖掘出更多的安全事件,用于网络安全态势感知,得到更准确的安全态势感知结果。
S103:基于所述融合数据,确定所述网络对象对应的融合安全事件。
本申请实施例中,不仅需要对融合数据进行分析,得到融合安全事件,还需要对日志数据和网络流数据进行分析,得到日志安全事件和网络流安全事件。
一种可选的实施方式中,可以通过大数据分析、机器学习、用户实际行为分析UEBA等技术,从日志数据中提取特征数据,进一步的基于特征数据获取事件名称、报文信息、服务信息等,然后通过智能分析识别异常数据,如事件名称包含“蠕虫”、“注入攻击”等关键字的异常数据,进一步的针对异常数据产生告警,并上报安全事件。其中,日志安全事件是指基于日志数据确定的安全事件,通常由存在异常数据的日志数据够成日志安全事件。
一种可选的实施方式中,可以通过采集到的正常状态下的网络流数据计算正常状态下各个指标的平均值,然后基于平均值建立网络常态指标模型,基于网络常态指标模型确定网络流数据对应的网络流安全事件。
实际应用中,网络常态指标包括两种类型:其中一种类型是根据经验设定阈值,例如为交换机CPU占用率设置阈值90%,则交换机CPU占用率高于90%的网络流数据,说明CPU负载过高,目前网络中可能出现了某种安全问题。另一种类型为无法直接靠经验获得平均值,例如不同的设备、不同的地理位置以及不同的应用环境会对指标造成影响的情况,则无法用统一的标准去衡量,例如工作区和生活区的网络流量峰值峰谷出现的情况可能相反,对于这类网络常态指标,则是建立在对大量历史数据的统计之上的。
对于第二种类型的网络常态指标,以网络流量为例,网络流量曲线与时间有很大的关系,网络流量的波峰一般出现在20:00左右,而到凌晨降到波谷。如果对全天各时段的网络流量进行统计,然后计算平均值,则会获得一个网络流量的基准值,用这个基准值去衡量网络状态,很显然20:00的流量明显偏高,而凌晨的流量明显偏低,这种监测没有意义。
本申请实施例中,将基于时间分别获取各个时间点的基准值,然后综合各个时间点的基准值得到网络流量基准曲线,具体流程举例如下:
首先,以5分钟为时间粒度,采集21号楼交换机全天的进出口流量,重复采集该交换机30天的流量数据。然后,计算每个时间点的基准流量,如14:00的流量基准为每天14:00流量的均值。其次,根据以上方法获得的各个时间点的流量基准得到流量基准曲线。
此外,网络流量除了在每日不同时刻会有差别之外,在周(工作日、周末)、月(月初、月末)、年(年初、年末)等都会有相应的差别,统计的历史数据越多,得到的结果越准确,用户可以根据自己的需要选择不同的监测粒度,获得周流量曲线、月流量曲线、年流量曲线。另外,可以根据用户需求定义可容忍的抖动范围,然后将监测获得的网络当前运行数据与正常状态下的网络常态指标模型相比较,考察是否超越容忍范围,如果超出范围,则上报安全事件。
本申请实施例中,针对得到的融合数据,也可以按照上述对日志数据和网络流数据进行分析的方式进行处理,以确定网络对象对应的融合安全事件。
一种可选的实施方式中,基于正常状态下的融合数据生成网络常态指标模型,利用网络常态指标模型对获取到的融合数据进行分析,得到融合数据对应的融合安全事件。
对于其他对融合数据、日志数据以及网络流数据进行分析的方式本申请实施例不做限定。
本申请实施例中,在获取到融合安全事件、日志安全事件和网络流安全事件之后,将各个安全事件记录在安全事件记录表中。其中,安全事件记录表为布尔表,用于记录各个时间点是否发生了安全事件,具体的,某个时间点对应的值为1,则说明该时间点发生了安全事件。
S104:基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定所述网络对象的网络安全态势曲线。
其中,所述日志安全事件为基于所述日志数据确定的安全事件,所述网络流安全事件为基于所述网络流数据确定的安全事件。
本申请实施例中,在基于日志数据确定日志安全事件,基于网络流数据确定网络流安全事件,以及基于融合数据确定融合安全事件之后,基于确定的各种类型的安全事件,确定网络对象的网络安全态势曲线。其中,网络安全态势曲线是以时间顺序描述各个时间点对应的安全事件的个数,通常各个时间点对应的安全事件的个数,也被称为该时间点对应的安全态势值。
一种可选的实施方式中,可以基于日志安全事件以及融合安全事件,确定网络对象的网络安全态势曲线。另外,也可以基于网络流安全事件以及融合安全事件,确定网络对象的网络安全态势曲线。另外,还可以基于日志安全事件、网络流安全事件以及融合安全事件,确定网络对象的网络安全态势曲线。可以理解的是,安全事件的类型越多,越能够体现更全面的体现网络对象的安全态势,从而确定的网络安全态势曲线越准确,最终基于网络安全态势曲线对网络对象的网络安全态势感知结果越准确。
本申请实施例对于如何基于安全事件确定网络安全态势曲线的方式不做限定。
另外,由于上述确定的日志安全事件、网络流安全事件以及融合安全事件之间可能存在关联关系,基于该关联关系可能确定出新的安全事件。为此,本申请实施例还可以利用预设关联规则挖掘模型对已确定出的安全事件进行关联规则挖掘处理,以进一步的确定出新的安全事件。
对于预设关联规则挖掘模型,其工作主要有两部分内容:一是扫描安全事件记录表,包括基于日志数据、网络流数据以及融合数据产生的安全事件,对安全事件进行统许以挖掘出大于等于最小支持度的频繁项集;二是根据上一歩产生的频繁项集和最小置信度,从安全事件中挖掘出强关联规则,最终确定出新的安全事件。具体的,上述关联规则挖掘处理的过程如下:
首先,设置规则挖掘的对象,具体的,可以通过输入目标IP地址的方式,确定该目标IP地址对应的网络对象为规则挖掘的对象。其次,釆集该规则挖掘的对象在网络正常状态下的安全事件,存入NORMAL数据表中。然后,针对网络注入攻击(以DDOS攻击为例),采集该规则挖掘的对象在网络异常情况下的安全事件表,存入DDOSTEST1数据表中。然后,输入关联规则挖掘模型的攻击类型标志位,若为NORMAL数据表中的安全事件,则为网络正常状态下的规则,若为DDOSTEST1数据表中的安全事件,则为网络异常情况下(DDOS攻击)的规则。其次,设置关联规则挖掘模型的最小支持度,最小支持度一般大于30%,以及设置关联规则挖掘模型的最小置信度,最小置信度一般大于70%。最终,通过关联规则挖掘模型中的规则挖掘方法,将输入的各种网络状态下的安全事件之间产生关联规则,其中支持度、置信度越高的规则可信度越高,规则的准确性与样本数据有关,样本数据越详细,挖掘的关联规则越准确。
本申请实施例利用预设关联规则挖掘模型,挖掘出日志安全事件、网络流安全事件以及融合安全事件之间的关联规则,进而基于关联规则确定出新的安全事件,用于后续的网络安全态势曲线的确定,从而提高了网络安全态势曲线的准确性。
以安全事件为系统CPU异常为例,针对各个时间点发生的系统CPU异常的安全事件而言,将其均输入至上述关联规则挖掘模型中,经过关联规则挖掘模型的关联规则挖掘处理后,确定各个时间点对应的系统CPU异常之间存在关联规则,基于该关联规则可以是由于某种网络病毒入侵导致的系统CPU异常的安全事件的发生,因此,通过关联规则挖掘模型的处理,可以得到新的安全事件,即网络病毒入侵的安全事件。
一种可选的实施方式中,为了提高用于确定网络安全态势曲线的安全事件的准确性,本申请实施例还可以利用预设情报源数据,对日志安全事件和/或网络流安全事件,以及所述融合安全事件和所述关联规则安全事件进行校验。
实际应用中,预设情报源数据可以来自威胁情报库、病毒特征库、攻击特征库、行为特征库等,通过将预设情报源数据与安全事件进行比较,实现对安全事件的校验。例如,威胁情报库中存在一条情报数据,用于表示在某个时间点存在某种病毒攻击,基于该情报数据查找对应时间点的安全事件,如果查找到的安全事件具有该种病毒攻击的特征,则可以确定该安全事件通过校验。
在网络攻击之中通常会隐藏对安全设备产生告警的非线性时序化,它是各种不同类型的安全事件加权处理后,对实体网络的运行状态进行防御的安全态势值。
一种可选的实施方式中,本申请实施例可以基于安全事件,确定各个时间点对应的安全态势值,例如,某个时间点发生的安全事件的个数为n个,则该时间点对应的安全态势值为n。通过时间化序列表示各个时间点对应的安全态势值,最终得到网络对象的安全态势曲线。
值得注意的是,本申请实施例中的安全事件包括日志安全事件、网络流安全事件、融合安全事件、关联规则安全事件等。
S105:根据所述网络安全态势曲线,对所述网络对象进行网络安全态势感知。
本申请实施例中,在确定网络对象的网络安全态势曲线后,根据网络安全态势曲线中的安全态势值,对未来各个时间点的安全态势值进行预测,实现对网络对象的网络安全态势的感知。
一种可选的实施方式中,由于RBF神经网络是一种单隐层的三层前馈网络,具有良好的逼近任意非线性函数的能力,自适应能力强,因此本申请实施例可以利用RBF神经网络基于网络安全态势曲线,对网络安全态势进行感知和预测。具体的,RBF神经网络的算法和原理在此不再赘述。
实际应用中,为了便于用户查看,可以基于可视化界面,对所述网络安全态势曲线进行展示。
具体的,可以采用可配置图形分析工具提供的可视化展示功能,对网络安全态势曲线进行展示。实际应用中,网络安全态势曲线可以包括实时态势展示图、安全态势预测图、专项态势展示图、历史状态展示图、其他信息展示图等。具体的,实时态势展示图主要通过实时的数据信息,展示当前正在发生的实时安全行为,使安全运维人员对当前网络环境正在发生的安全行为有整体的实时的监测和感知能力,可以包括:安全攻击展示图、安全漏洞展示图、安全风险展示图、区域转换图等。安全态势预测图是通过历史存储的数据,结合当前的实时数据对未来各种指标的发展趋势进行预测,可以包括:攻击路径预测图、攻击方式预测图、攻击时间预测图等,通过自动化的方式提供未来可能发生攻击行为。专项态势展示图主要针对内部网络重大安全威胁与隐患进行可视化展示,可以包括:异常外联展示图、事件回溯展示图、隐秘通道展示图、其他专项展示图等。另外还可以包括:安全攻击趋势图、安全漏洞趋势图、安全风险趋势图。
本申请提供的网络安全态势感知方法中,获取网络对象的日志数据和网络流数据,将预设字段对象的数据相同的日志数据和网络流数据进行合并,得到融合数据。然后,基于融合数据确定网络对象对应的融合安全事件,进而基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定网络对象的网络安全态势曲线,最终根据该网络安全态势曲线,对网络对象进行网络安全态势感知。由于本申请基于日志数据和网络流数据合并后的融合数据进行网络安全态势感知,能够得到基于单一数据源无法得到的融合安全事件,使得用于确定网络安全态势曲线的安全事件更全面,进而提高了网络安全态势感知结果的准确性。
基于上述方法实施例,本申请还提供了一种网络安全态势感知装置,参考图2,图2本申请实施例提供的一种网络安全态势感知装置的结构示意图,所述装置包括:
获取模块201,用于获取网络对象的日志数据和网络流数据;
合并模块202,用于将预设字段对应的数据相同的日志数据和网络流数据进行合并,得到融合数据;
第一确定模块203,用于基于所述融合数据,确定所述网络对象对应的融合安全事件;
第二确定模块204,用于基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定所述网络对象的网络安全态势曲线;其中,所述日志安全事件为基于所述日志数据确定的安全事件,所述网络流安全事件为基于所述网络流数据确定的安全事件;
感知模块205,用于根据所述网络安全态势曲线,对所述网络对象进行网络安全态势感知。
一种可选的实施方式中,所述装置还包括:
规则挖掘模块,用于将日志安全事件和/或网络流安全事件,以及所述融合安全事件,输入至预设关联规则挖掘模型,经过所述预设关联规则挖掘模型的关联规则挖掘处理后,输出所述网络对象对应的关联规则安全事件;
相应的,所述第一确定模块,具体用于:
基于所述日志安全事件和/或网络流安全事件,以及所述融合安全事件和所述关联规则安全事件,确定所述网络对象的网络安全态势曲线。
另一种可选的实施方式中,所述装置还包括:
校验模块,用于利用预设情报源数据,对所述日志安全事件和/或网络流安全事件,以及所述融合安全事件和所述关联规则安全事件进行校验。
本申请实施例提供的网络安全态势感知装置,基于日志数据和网络流数据合并后的融合数据进行网络安全态势感知,能够得到基于单一数据源无法得到的融合安全事件,使得用于确定网络安全态势曲线的安全事件更全面,进而提高了网络安全态势感知结果的准确性。
另外,本申请实施例还提供了一种网络安全态势感知设备,参见图3所示,可以包括:
处理器301、存储器302、输入装置303和输出装置304。网络安全态势感知设备中的处理器301的数量可以一个或多个,图3中以一个处理器为例。在本发明的一些实施例中,处理器301、存储器302、输入装置303和输出装置304可通过总线或其它方式连接,其中,图3中以通过总线连接为例。
存储器302可用于存储软件程序以及模块,处理器301通过运行存储在存储器302的软件程序以及模块,从而执行网络安全态势感知设备的各种功能应用以及数据处理。存储器302可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等。此外,存储器302可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。输入装置303可用于接收输入的数字或字符信息,以及产生与网络安全态势感知设备的用户设置以及功能控制有关的信号输入。
具体在本实施例中,处理器301会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器302中,并由处理器401来运行存储在存储器302中的应用程序,从而实现上述网络安全态势感知方法中的各种功能。
另外,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行上述的网络安全态势感知方法。
可以理解的是,对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请实施例所提供的一种网络安全态势感知方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种网络安全态势感知方法,其特征在于,所述方法包括:
获取网络对象的日志数据和网络流数据;
将预设字段对应的数据相同的日志数据和网络流数据进行合并,得到融合数据;
基于所述融合数据,确定所述网络对象对应的融合安全事件;
基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定所述网络对象的网络安全态势曲线;其中,所述日志安全事件为基于所述日志数据确定的安全事件,所述网络流安全事件为基于所述网络流数据确定的安全事件;
根据所述网络安全态势曲线,对所述网络对象进行网络安全态势感知。
2.根据权利要求1所述的方法,其特征在于,所述基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定所述网络对象的网络安全态势曲线之前,还包括:
将日志安全事件和/或网络流安全事件,以及所述融合安全事件,输入至预设关联规则挖掘模型,经过所述预设关联规则挖掘模型的关联规则挖掘处理后,输出所述网络对象对应的关联规则安全事件;
相应的,所述基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定所述网络对象的网络安全态势曲线,包括:
基于所述日志安全事件和/或网络流安全事件,以及所述融合安全事件和所述关联规则安全事件,确定所述网络对象的网络安全态势曲线。
3.根据权利要求2所述的方法,其特征在于,所述确定所述网络对象的网络安全态势曲线之前,还包括:
利用预设情报源数据,对所述日志安全事件和/或网络流安全事件,以及所述融合安全事件和所述关联规则安全事件进行校验。
4.根据权利要求1所述的方法,其特征在于,所述预设字段包括五元组字段。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于可视化界面,对所述网络安全态势曲线进行展示。
6.一种网络安全态势感知装置,其特征在于,所述装置包括:
获取模块,用于获取网络对象的日志数据和网络流数据;
合并模块,用于将预设字段对应的数据相同的日志数据和网络流数据进行合并,得到融合数据;
第一确定模块,用于基于所述融合数据,确定所述网络对象对应的融合安全事件;
第二确定模块,用于基于日志安全事件和/或网络流安全事件,以及所述融合安全事件,确定所述网络对象的网络安全态势曲线;其中,所述日志安全事件为基于所述日志数据确定的安全事件,所述网络流安全事件为基于所述网络流数据确定的安全事件;
感知模块,用于根据所述网络安全态势曲线,对所述网络对象进行网络安全态势感知。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
规则挖掘模块,用于将日志安全事件和/或网络流安全事件,以及所述融合安全事件,输入至预设关联规则挖掘模型,经过所述预设关联规则挖掘模型的关联规则挖掘处理后,输出所述网络对象对应的关联规则安全事件;
相应的,所述第一确定模块,具体用于:
基于所述日志安全事件和/或网络流安全事件,以及所述融合安全事件和所述关联规则安全事件,确定所述网络对象的网络安全态势曲线。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
校验模块,用于利用预设情报源数据,对所述日志安全事件和/或网络流安全事件,以及所述融合安全事件和所述关联规则安全事件进行校验。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行如权利要求1-5任一项所述的方法。
10.一种设备,其特征在于,包括:存储器,处理器,及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010463413.9A CN111654489B (zh) | 2020-05-27 | 2020-05-27 | 一种网络安全态势感知方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010463413.9A CN111654489B (zh) | 2020-05-27 | 2020-05-27 | 一种网络安全态势感知方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111654489A true CN111654489A (zh) | 2020-09-11 |
| CN111654489B CN111654489B (zh) | 2022-07-29 |
Family
ID=72346959
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010463413.9A Active CN111654489B (zh) | 2020-05-27 | 2020-05-27 | 一种网络安全态势感知方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111654489B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112291089A (zh) * | 2020-10-23 | 2021-01-29 | 全知科技(杭州)有限责任公司 | 一种基于流量的应用系统识别和定义方法 |
| CN112637212A (zh) * | 2020-12-24 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 网络安全态势的分析方法和分析装置 |
| CN112764852A (zh) * | 2021-01-18 | 2021-05-07 | 深圳供电局有限公司 | 一种用于智能录波主站的运维安全监测方法、系统及计算机可读存储介质 |
| CN112995196A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全等级保护中态势感知信息的处理方法及系统 |
| CN112995019A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全态势感知信息的显示方法及客户端 |
| CN113079141A (zh) * | 2021-03-23 | 2021-07-06 | 贵州航天云网科技有限公司 | 基于人工智能的网络安全态势感知系统及方法 |
| CN113098852A (zh) * | 2021-03-25 | 2021-07-09 | 绿盟科技集团股份有限公司 | 一种日志处理方法及装置 |
| CN113343228A (zh) * | 2021-06-30 | 2021-09-03 | 北京天融信网络安全技术有限公司 | 事件可信度分析方法、装置、电子设备及可读存储介质 |
| CN115022006A (zh) * | 2022-05-30 | 2022-09-06 | 珠海市鸿瑞信息技术股份有限公司 | 基于安全态势感知的网络运行维护系统及方法 |
| CN116016215A (zh) * | 2022-12-30 | 2023-04-25 | 北京明朝万达科技股份有限公司 | 一种网络安全态势感知方法、装置、存储介质和电子设备 |
| CN116032359A (zh) * | 2022-12-27 | 2023-04-28 | 中国联合网络通信集团有限公司 | 特征网络数据的预测方法、系统及电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6883101B1 (en) * | 2000-02-08 | 2005-04-19 | Harris Corporation | System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules |
| CN102035855A (zh) * | 2010-12-30 | 2011-04-27 | 江苏省电力公司 | 网络安全事件关联分析系统 |
| CN103905440A (zh) * | 2014-03-28 | 2014-07-02 | 哈尔滨工程大学 | 一种基于日志和snmp信息融合的网络安全态势感知分析方法 |
| US20140283083A1 (en) * | 2013-03-15 | 2014-09-18 | Tenable Network Security, Inc. | System and method for correlating log data to discover network vulnerabilities and assets |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| CN105553957A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 基于大数据的网络安全态势感知预警方法和系统 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN109766695A (zh) * | 2018-12-14 | 2019-05-17 | 杭州迪普科技股份有限公司 | 一种基于融合决策的网络安全态势感知方法和系统 |
-
2020
- 2020-05-27 CN CN202010463413.9A patent/CN111654489B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6883101B1 (en) * | 2000-02-08 | 2005-04-19 | Harris Corporation | System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules |
| CN102035855A (zh) * | 2010-12-30 | 2011-04-27 | 江苏省电力公司 | 网络安全事件关联分析系统 |
| US20140283083A1 (en) * | 2013-03-15 | 2014-09-18 | Tenable Network Security, Inc. | System and method for correlating log data to discover network vulnerabilities and assets |
| CN103905440A (zh) * | 2014-03-28 | 2014-07-02 | 哈尔滨工程大学 | 一种基于日志和snmp信息融合的网络安全态势感知分析方法 |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| CN105553957A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 基于大数据的网络安全态势感知预警方法和系统 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN109766695A (zh) * | 2018-12-14 | 2019-05-17 | 杭州迪普科技股份有限公司 | 一种基于融合决策的网络安全态势感知方法和系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112291089A (zh) * | 2020-10-23 | 2021-01-29 | 全知科技(杭州)有限责任公司 | 一种基于流量的应用系统识别和定义方法 |
| CN112637212B (zh) * | 2020-12-24 | 2022-09-16 | 北京天融信网络安全技术有限公司 | 网络安全态势的分析方法和分析装置 |
| CN112637212A (zh) * | 2020-12-24 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 网络安全态势的分析方法和分析装置 |
| CN112764852A (zh) * | 2021-01-18 | 2021-05-07 | 深圳供电局有限公司 | 一种用于智能录波主站的运维安全监测方法、系统及计算机可读存储介质 |
| CN112995196A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全等级保护中态势感知信息的处理方法及系统 |
| CN113079141A (zh) * | 2021-03-23 | 2021-07-06 | 贵州航天云网科技有限公司 | 基于人工智能的网络安全态势感知系统及方法 |
| CN112995019A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全态势感知信息的显示方法及客户端 |
| CN113098852A (zh) * | 2021-03-25 | 2021-07-09 | 绿盟科技集团股份有限公司 | 一种日志处理方法及装置 |
| CN113343228A (zh) * | 2021-06-30 | 2021-09-03 | 北京天融信网络安全技术有限公司 | 事件可信度分析方法、装置、电子设备及可读存储介质 |
| CN113343228B (zh) * | 2021-06-30 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 事件可信度分析方法、装置、电子设备及可读存储介质 |
| CN115022006A (zh) * | 2022-05-30 | 2022-09-06 | 珠海市鸿瑞信息技术股份有限公司 | 基于安全态势感知的网络运行维护系统及方法 |
| CN116032359A (zh) * | 2022-12-27 | 2023-04-28 | 中国联合网络通信集团有限公司 | 特征网络数据的预测方法、系统及电子设备 |
| CN116016215A (zh) * | 2022-12-30 | 2023-04-25 | 北京明朝万达科技股份有限公司 | 一种网络安全态势感知方法、装置、存储介质和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111654489B (zh) | 2022-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111654489B (zh) | 一种网络安全态势感知方法、装置、设备及存储介质 | |
| CN102340485B (zh) | 基于信息关联的网络安全态势感知系统及其方法 | |
| Ehlers et al. | Self-adaptive software system monitoring for performance anomaly localization | |
| CN101795215B (zh) | 网络流量异常检测方法及检测装置 | |
| CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
| CN106254137B (zh) | 监管系统的告警根源分析系统及方法 | |
| CN108123939A (zh) | 恶意行为实时检测方法及装置 | |
| Elsayed et al. | PredictDeep: security analytics as a service for anomaly detection and prediction | |
| CN115225386B (zh) | 基于事件序列关联融合的业务识别与风险分析方法及系统 | |
| CN109144023A (zh) | 一种工业控制系统的安全检测方法和设备 | |
| CN111726351B (zh) | 基于Bagging改进的GRU并行网络流量异常检测方法 | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| CN107317708B (zh) | 一种法院业务应用系统的监测方法及装置 | |
| CN115378711A (zh) | 一种工控网络的入侵检测方法和系统 | |
| KR20080079767A (ko) | 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법 | |
| CN110618977B (zh) | 登录异常检测方法、装置、存储介质和计算机设备 | |
| CN113645215A (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
| RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
| König et al. | Cascading Threats in Critical Infrastructures with Control Systems. | |
| Sabri et al. | Hybrid of rough set theory and artificial immune recognition system as a solution to decrease false alarm rate in intrusion detection system | |
| CN115706669A (zh) | 网络安全态势预测方法及系统 | |
| Kai et al. | Development of qualification of security status suitable for cloud computing system | |
| Fessi et al. | Data collection for information security system | |
| Rufino et al. | Improving predictability of user-affecting metrics to support anomaly detection in cloud services | |
| CN113032774A (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |