CN111711599A

CN111711599A - 基于多元海量数据融合关联分析的安全态势感知系统

Info

Publication number: CN111711599A
Application number: CN202010328639.8A
Authority: CN
Inventors: 余精彩
Original assignee: Beijing Lingyun Xin'an Technology Co ltd
Current assignee: Beijing Lingyun Xin'an Technology Co ltd
Priority date: 2020-04-23
Filing date: 2020-04-23
Publication date: 2020-09-25

Abstract

本发明提出了一种基于多元海量数据融合关联分析的安全态势感知系统，包括：资产管理模块，用于对系统资产的属性进行识别管理；流量分析模块，用于采集并还原网络中的流量数据，将原始的网络全流量转化为以会话session方式记录的格式化全流量，并且加密传输给平台进行存储和分析；日志审计模块，用于主动采集或被动接收网络中的日志数据，并进行归一化处理；威胁诱捕模块，用于捕获内网中的横向攻击行为；终端安全模块，用于实时将终端上的各种主机的行为日志数据发送至平台进行存储、分析；威胁情报模块，用于实时提供最新的紧急漏洞、恶意域名库、恶意URL库、恶意IP库信息；漏洞管理模块，用于扫描系统中存在的多种漏洞信息，通过关联分析，形成脆弱性态势感知。

Description

基于多元海量数据融合关联分析的安全态势感知系统

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于多元海量数据融合关联分析的安全态势感知系统。

背景技术

随着信息技术的不断发展，新型的网络安全威胁越来越突出，传统以“防护”为主的安全体系面临了极大挑战。态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行状态，帮助安全人员采取针对性响应处置措施。

随着《网络安全法》和《国家网络安全战略》的相继出台，态势感知被提升到了战略高度，众多大行业、大型企业都开始倡导、建设和积极应用态势感知系统，以应对网络空间安全严峻挑战。

发明内容

本发明的目的旨在至少解决所述技术缺陷之一。

为此，本发明的目的在于提出一种基于多元海量数据融合关联分析的安全态势感知系统。

为了实现上述目的，本发明的实施例提供一种基于多元海量数据融合关联分析的安全态势感知系统，包括：

资产管理模块，用于对系统资产的属性进行识别管理；

流量分析模块，用于采集并还原网络中的流量数据，将原始的网络全流量转化为以会话 session方式记录的格式化全流量，并且加密传输给平台进行存储和分析；

日志审计模块，用于主动采集或被动接收网络中的日志数据，并进行归一化处理；

威胁诱捕模块，用于捕获内网中的横向攻击行为，以及内网主机沦陷后发起的内网横向渗透攻击行为，以便于向用户实时发出告警异常行为；

终端安全模块，用于实时将终端上的各种主机的行为日志数据发送至平台进行存储、分析，并将相关告警信息推送到终端，协助终端进行阻断；

威胁情报模块，用于实时提供最新的紧急漏洞、恶意域名库、恶意URL库、恶意IP库信息；

漏洞管理模块，用于扫描系统中存在的多种漏洞信息，通过关联分析，形成脆弱性态势感知；

关联分析模块，用于对采集到的信息进行实时分析，匹配关联规则，对异常行为产生告警；

态势感知模块，用于利用可视化技术，对所述资产管理模块、流量分析模块、日志审计模块、威胁诱捕模块、终端安全模块、威胁情报模块、漏洞管理模块和关联分析模块处理的数据进行可视化展示，供用户查看。

进一步，所述基于多元海量数据融合关联分析的安全态势感知系统采用B/S管理方式，由用户利用浏览器通过SSL加密通道和系统WEB界面模块进行交互。

进一步，所述资产管理模块识别管理的系统资产的属性包括：资产的日志数、漏洞数、攻击数、在线离线状态。

进一步，所述终端安全模块发送的主机的行为日志数据包括：终端详情、账号信息、端口详情、进程列表、软件详情，以实时检测出系统弱口令、异常登录、暴力破解、病毒木马、网页木马、系统后门、文件篡改行为。

进一步，所述威胁情报模块还用于支持用户自定义威胁情报和第三方威胁情报的接入，以向用户提供威胁情报管理。

进一步，所述漏洞管理模块还用于对漏洞进行处置状态管理、处置任务工单下发，实现漏洞的闭环管理。

进一步，所述态势感知模块提供资产风险态势感知大屏、日志管理态势感知大屏、网络攻击态势感知大屏、威胁诱捕态势感知大屏。

进一步，所述基于多元海量数据融合关联分析的安全态势感知系统还用于提供级联管理组件，用于面向用户多分支单位进行级联部署及管理，以实现上、下级单位之间的信息同步和管控。

进一步，所述基于多元海量数据融合关联分析的安全态势感知系统还用于采用报表和图形的形式进行统计分析，预定义、自定义和多角度多层次的分析各类数据，实时生成日志审计报告、流量检测报告、威胁诱捕报告。

根据本发明实施例的基于多元海量数据融合关联分析的安全态势感知系统，通过大数据分析技术，从资产、威胁、漏洞、事件等层面，利用机器学习、规则模型、关联分析等方法对大量数据进行统一分析，实现对网络攻击行为、安全事件、未知威胁的发现和告警。可以为用户提供整个威胁生命周期管理，涵盖了事前预警、事中检测、事后追溯。平台主要包括了资产管理、流量分析、日志审计、威胁诱捕、终端安全、威胁情报、漏洞管理、关联分析八大组件，从而帮助用户掌控整个网络的安全态势，增强信息系统安全保障能力。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本发明实施例的基于多元海量数据融合关联分析的安全态势感知系统的结构图；

图2为根据本发明实施例的基于多元海量数据融合关联分析的安全态势感知系统的架构图；

图3为根据本发明实施例的数据采集分析的示意图；

图4为根据本发明实施例的流量还原分析的示意图；

图5为根据本发明实施例的多维度威胁检测的示意图；

图6为根据本发明实施例的模块灵活扩展的示意图；

图7为根据本发明实施例的基于多元海量数据融合关联分析的安全态势感知系统的单机部署图；

图8为根据本发明实施例的基于多元海量数据融合关联分析的安全态势感知系统的分布式部署图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

如图1所示，本发明实施例的基于多元海量数据融合关联分析的安全态势感知系统，采用B/S管理方式，由用户利用浏览器通过SSL加密通道和系统WEB界面模块进行交互。

本发明的安全态势感知系统采用B/S管理方式，用户使用浏览器通过SSL加密通道和系统WEB界面模块进行交互，方便用户管理。

如图2所示，本发明采用模块化设计，分别采集引擎、数据中心和展示中心，均包括不同的功能模块。

具体的，本发明实施例的基于多元海量数据融合关联分析的安全态势感知系统，包括：

资产管理模块1用于对系统资产的属性进行识别管理。

具体的，资产管理模块1综合运用多种手段，全面、快速、准确的发现网络中的存活主机、网络设备、数据库等，准确识别其资产属性，还支持自定义网络拓扑图，从而展现网络攻击态势。

资产管理模块1识别管理的系统资产的属性包括：资产的日志数、漏洞数、攻击数、在线离线状态等。

流量分析模块2用于采集并还原网络中的流量数据，将原始的网络全流量转化为以会话 session方式记录的格式化全流量，并且加密传输给平台进行存储和分析。

流量分析模块2主要是采集、还原网络中的流量数据，将原始的网络全流量转化为按 Session方式记录的格式化全流量，并且加密传输给平台进行存储和分析。流量分析组件内置了WEB漏洞利用检测引擎、WebShell活动检测引擎、DDOS攻击检测引擎以及漏洞扫描检测引擎等，可以实时发现流量中存在攻击特征的行为。

如图4所示，本发明的安全态势感知系统具备了先进的智能协议识别技术，可以高速、准确地识别出全网流量中的上千种应用，检测出各种协议的异常行为。支持HTTP、SMTP、POP3、 IMAP、FTP、TFTP、SMB、DNS、TELNET、Modbus等协议的元数据提取、存储、搜索和分析。通过各种安全分析，识别出WEB攻击、DDoS攻击、病毒木马、隐蔽隧道、挖矿、弱口令、垃圾邮件、漏洞扫描、暴力破解等异常行为。

日志审计模块3用于主动采集或被动接收网络中各种应用系统、安全设备、服务器、终端、中间件、数据库等日志，支持SYSLOG、SNMP、JDBC等方式。并且进行归一化预处理，方便关联规则和数据分析能够快速使用这些日志信息。

威胁诱捕模块4用于捕获内网中的横向攻击行为，以及内网主机沦陷后发起的内网横向渗透攻击行为，以便于向用户实时发出告警异常行为。

在本发明的实施例中，威胁诱捕模块4支持SSH、FTP、SFTP、REDIS、MYSQL、TELNET、RDP、SMB、HTTP代理、WEB等蜜罐。方便平台向用户第一时间告警异常行为，并且通过服务欺骗、重定向，从而延缓了攻击时效，保护了真实系统。

终端安全模块5用于实时将终端上的各种主机的行为日志数据发送至平台进行存储、分析，并将相关告警信息推送到终端，协助终端进行阻断，完成威胁检测与响应闭环。

具体的，终端安全模块5发送的主机的行为日志数据包括：终端详情、账号信息、端口详情、进程列表、软件详情，以实时检测出系统弱口令、异常登录、暴力破解、病毒木马、网页木马、系统后门、文件篡改等异常行为。

威胁情报模块6用于实时提供最新的0day紧急漏洞、恶意域名库、恶意URL库、恶意IP库信息等高价值信息，从而扩展了用户的安全视野，尽可能在网络攻击造成破坏之前发现威胁。

此外，威胁情报模块6还用于支持用户自定义威胁情报和第三方威胁情报的接入，为用户提供更加灵活和开放的威胁情报管理。

漏洞管理模块7用于扫描系统中存在的多种漏洞信息，通过关联分析，形成脆弱性态势感知。漏洞管理模块7融合了系统漏洞扫描、WEB漏洞扫描、数据库漏洞扫描、基线配置核查、工控漏洞扫描等十几种漏洞扫描类本发明，从而获得系统漏洞、WEB漏洞、数据库漏洞等丰富的漏洞信息，通过关联分析，形成脆弱性态势感知。。

此外，漏洞管理模块7还用于对漏洞进行处置状态管理、处置任务工单下发，实现漏洞的闭环管理。

关联分析模块8用于对采集到的信息进行实时分析，匹配关联规则，对异常行为产生告警。具体的，关联分析模块8主要是对采集到的流量、日志、漏洞等大量信息进行实时分析，匹配关联规则，对异常行为产生告警。底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理，还可以通过集群来满足存储资源和计算资源的需要。

态势感知模块9用于利用可视化技术，对所述资产管理模块、流量分析模块、日志审计模块、威胁诱捕模块、终端安全模块、威胁情报模块、漏洞管理模块和关联分析模块处理的数据进行可视化展示，供用户查看。

态势感知模块9利用可视化技术，将各种安全事件进行可视化呈现，帮助用户快速的、宏观的了解整个网络的安全态势，包括资产风险态势感知大屏、日志管理态势感知大屏、网络攻击态势感知大屏、威胁诱捕态势感知大屏等。在常规态势感知以外，本发明还可以根据不同用户的自身需求进行态势感知定制。

在本发明的实施例中，基于多元海量数据融合关联分析的安全态势感知系统还用于提供级联管理组件，用于面向用户多分支单位进行级联部署及管理，以实现上、下级单位之间的信息同步和管控。具体的，下级单位会自动把告警数据、处置状态同步上传到上级单位，上级单位可以集中维护各个下级单位的告警数据，使上级单位实时掌控全网的告警结果及解决情况。采用报表和图形的形式对日志、流量、威胁等进行统计分析，可以预定义、自定义和多角度多层次的分析各类数据，实时生成日志审计报告、流量检测报告、威胁诱捕报告等。同时还可以根据不同用户的自身需求进行报表定制。

本发明的安全态势感知系统通过B/S模式管理，不需要增加额外的服务器安装管理控制端。出于安全性考虑，一般建议在核心交换机处旁路部署一台本发明的安全态势感知系统，通过大数据分析技术，结合威胁情报的分析处理，从资产、威胁、漏洞、事件等层面，利用机器学习、关联分析等方法对大量数据进行统一分析，实现对网络攻击行为、安全事件、未知威胁的发现和告警。从总体上把握网络的安全态势，满足日益增加的各种业务系统的安全需求。图7为根据本发明实施例的基于多元海量数据融合关联分析的安全态势感知系统的单机部署图。图8为根据本发明实施例的基于多元海量数据融合关联分析的安全态势感知系统的分布式部署图。

根据本发明实施例的基于多元海量数据融合关联分析的安全态势感知系统，采用领先的机器学习等技术，采用了大数据、机器学习、威胁诱捕、威胁情报等创新技术手段。使用大数据基础架构，满足了海量数据下的快速计算分析需要。使用机器学习相结合的威胁检测手段，提升了针对传统安全问题的检测率和准确度。使用威胁诱捕技术，能够第一时间告警异常行为并且延缓攻击时效。使用威胁情报技术，能够快速的帮助用户扩展视野、发现威胁。

如图3所示，本发明的安全态势感知系统提供全面的数据采集与分析，融合了流量分析、日志审计、威胁诱捕、终端安全、威胁情报、漏洞管理等组件，通过采集这些原始、多样、全面的安全要素信息，结合多种安全分析模型，可以有效识别出各类数据源，提炼出真正有价值的数据，从而发现隐藏更深的各种威胁。全面的数据采集为安全运营提供了可靠的信息数据支撑，同时提供了完整的安全事件回溯分析能力。

如图5所示，本发明的安全态势感知系统使用了多种威胁检测手段多层次深度分析采集到的海量数据，通过WEB漏洞利用检测、WebShell活动检测、DDOS攻击检测、漏洞扫描检测、木马病毒检测、DGA域名检测等检测引擎。结合关联分析、聚类分析、机器学习、规则模型、行为识别、威胁情报关联等多种方法，还原出整个攻击链，包括侦察跟踪、载荷投递、漏洞利用、安装植入、命令控制等，从而帮助用户发现网络中存在的真正威胁，实现精准的多维度威胁检测。

如图6所示，本发明的安全态势感知系统提供灵活的模块和性能扩展，采用了模块化设计，其中的流量分析、日志审计、威胁诱捕、终端安全、威胁情报、漏洞管理等组件都可以根据用户的具体需求进行灵活选配。平台性能不足时也可以通过集群技术对平台计算资源、存储资源进行灵活扩充。平台还提供成熟的API接口，从而能够根据用户安全需求的变化进行平台功能的灵活调整。

本发明的态势感知系统应该具备网络空间安全持续监控能力，能够及时发现各种攻击威胁与异常。应该具备威胁调查分析及可视化能力，可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别，从而支撑有效的安全决策和应急响应。应该能够建立安全预警机制，来完善风险控制、应急响应和整体安全防护的水平。

本发明的安全态势感知系统通过大数据分析技术，从资产、威胁、漏洞、事件等层面，利用机器学习、规则模型、关联分析等方法对大量数据进行统一分析，实现对网络攻击行为、安全事件、未知威胁的发现和告警。可以为用户提供整个威胁生命周期管理，涵盖了事前预警、事中检测、事后追溯。平台主要包括了资产管理、流量分析、日志审计、威胁诱捕、终端安全、威胁情报、漏洞管理、关联分析八大组件，从而帮助用户掌控整个网络的安全态势，增强信息系统安全保障能力。本发明适用于政府、军队、公安、金融、运营商、电力、教育、医疗等行业，帮助用户解决目前所面临的各类常见及最新的安全威胁，同时满足如等级保护、行业规范等政策法规的安全建设要求，为用户提供快速、完备的技术支持，为信息系统安全可靠的可持续运行提供有力保障。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。

Claims

1.一种基于多元海量数据融合关联分析的安全态势感知系统，其特征在于，包括：

资产管理模块，用于对系统资产的属性进行识别管理；

流量分析模块，用于采集并还原网络中的流量数据，将原始的网络全流量转化为以会话session方式记录的格式化全流量，并且加密传输给平台进行存储和分析；

2.如权利要求1所述的基于多元海量数据融合关联分析的安全态势感知系统，其特征在于，所述基于多元海量数据融合关联分析的安全态势感知系统采用B/S管理方式，由用户利用浏览器通过SSL加密通道和系统WEB界面模块进行交互。

3.如权利要求1所述的基于多元海量数据融合关联分析的安全态势感知系统，其特征在于，所述资产管理模块识别管理的系统资产的属性包括：资产的日志数、漏洞数、攻击数、在线离线状态。

4.如权利要求1所述的基于多元海量数据融合关联分析的安全态势感知系统，其特征在于，所述终端安全模块发送的主机的行为日志数据包括：终端详情、账号信息、端口详情、进程列表、软件详情，以实时检测出系统弱口令、异常登录、暴力破解、病毒木马、网页木马、系统后门、文件篡改行为。

5.如权利要求1所述的基于多元海量数据融合关联分析的安全态势感知系统，其特征在于，所述威胁情报模块还用于支持用户自定义威胁情报和第三方威胁情报的接入，以向用户提供威胁情报管理。

6.如权利要求1所述的基于多元海量数据融合关联分析的安全态势感知系统，其特征在于，所述漏洞管理模块还用于对漏洞进行处置状态管理、处置任务工单下发，实现漏洞的闭环管理。

7.如权利要求1所述的基于多元海量数据融合关联分析的安全态势感知系统，其特征在于，所述态势感知模块提供资产风险态势感知大屏、日志管理态势感知大屏、网络攻击态势感知大屏、威胁诱捕态势感知大屏。

8.如权利要求1所述的基于多元海量数据融合关联分析的安全态势感知系统，其特征在于，所述基于多元海量数据融合关联分析的安全态势感知系统还用于提供级联管理组件，用于面向用户多分支单位进行级联部署及管理，以实现上、下级单位之间的信息同步和管控。

9.如权利要求1所述的基于多元海量数据融合关联分析的安全态势感知系统，其特征在于，所述基于多元海量数据融合关联分析的安全态势感知系统还用于采用报表和图形的形式进行统计分析，预定义、自定义和多角度多层次的分析各类数据，实时生成日志审计报告、流量检测报告、威胁诱捕报告。