CN112073389A - 云主机安全态势感知系统、方法、设备及存储介质 - Google Patents
云主机安全态势感知系统、方法、设备及存储介质 Download PDFInfo
- Publication number
- CN112073389A CN112073389A CN202010849157.7A CN202010849157A CN112073389A CN 112073389 A CN112073389 A CN 112073389A CN 202010849157 A CN202010849157 A CN 202010849157A CN 112073389 A CN112073389 A CN 112073389A
- Authority
- CN
- China
- Prior art keywords
- data
- information
- module
- attack
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000011156 evaluation Methods 0.000 claims abstract description 24
- 238000004458 analytical method Methods 0.000 claims abstract description 14
- 230000008859 change Effects 0.000 claims abstract description 8
- 238000012544 monitoring process Methods 0.000 claims abstract description 7
- 238000004590 computer program Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 7
- 238000012986 modification Methods 0.000 claims description 4
- 230000004048 modification Effects 0.000 claims description 4
- 238000012098 association analyses Methods 0.000 claims description 3
- 238000005336 cracking Methods 0.000 claims description 3
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 3
- 238000005065 mining Methods 0.000 claims description 3
- 230000008447 perception Effects 0.000 abstract description 2
- 238000012423 maintenance Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000010219 correlation analysis Methods 0.000 description 2
- 230000003111 delayed effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
本申请涉及一种云主机安全态势感知系统、方法、设备及存储介质。所述系统包括:云主机和云管理平台;采集器模块,用于收集云主机的运行数据,并将运行数据上传;存储模块,用于接收并将运行数据进行分类存储;信息库模块,用于从互联网获取攻击特征和威胁情报;分析引擎模块,用于监测存储模块的数据变化,以及对存储模块中的运行数据和信息库模块的攻击特征、威胁情报进行分析以生成云主机当前和未来受攻击的评估结果;态势感知模块,用于对评估结果进行展示,以及对评估结果进行整合以生成消息和告警,并将消息和告警发送至云管理平台。本发明的方案实现了对云主机当前及未来面临的安全威胁进行预测,从而降低因安全攻击带来的各种损失。
Description
技术领域
本申请涉及云计算技术领域,尤其涉及一种云主机安全态势感知系统、方法、设备及存储介质。
背景技术
随着云计算技术的发展成熟,云主机逐渐成为下一代关键信息基础设施,在为企业带来便利的同时也存在众多安全问题。尤其是公有云场景,需要通过云主机对外提供公共服务,对互联网暴露的云主机更容易遭受各类攻击,存在攻防不对等的情况,较为常用的入侵检测、防火墙和安全扫描技术不能全面有效的识别和阻断所有风险,更谈不上提前预判攻击的趋势。
近些年来,有设计者提出将态势感知应用到了云计算安全领域中,但是目前市面上能够提供的态势感知产品更多的是提供日志数据分析结果,对云主机存在的潜在攻击以及安全隐患处理存在滞后性。
发明内容
有鉴于此,有必要针对以上技术问题提供能够全面有效的识别和阻断所有风险,以及提前预判攻击的趋势的一种云主机安全态势感知系统、方法、设备及存储介质。
根据本发明的一方面,提供了一种云主机安全态势感知系统,所述系统包括:
云主机和云管理平台;
采集器模块,用于收集所述云主机的运行数据,并将所述运行数据上传;
存储模块,用于接收并将所述运行数据进行分类存储;
信息库模块,用于从互联网获取攻击特征和威胁情报;
分析引擎模块,用于监测所述存储模块的数据变化,以及对所述存储模块中的所述运行数据和所述信息库模块的攻击特征、威胁情报进行分析以生成所述云主机当前和未来受攻击的评估结果;
态势感知模块,用于对所述评估结果进行展示,以及对所述评估结果进行整合以生成消息和告警,并将所述消息和告警发送至所述云管理平台。
在其中一个实施例中,所述采集器模块包括:
安全设备单元,用于采集安全软件和硬件生成的安全报告,扫描的主机硬件配置信息、设备提供商信息、端口信息、漏洞信息、软件清单信息、系统版本信息、账户口令安全信息、IP地址及访问记录信息、网络拓扑信息;
监测器单元,用于采集CPU占用率、内存使用情况、磁盘大小和剩余容量、网络流量和带宽占用情况、主机状态、登录操作信息、注销操作信息、修改安全配置操作信息、策略变更操作信息、删除虚拟机操作信息;
日志审计单元,用于收集所述云主机的系统日志、软件平台记录日志及审计平台记录日志;
信息查询脚本单元,用于从互联网查询所述云主机所属的数据中心、IP归属地、节点信息。
在其中一个实施例中,所述存储模块包括Hive数据库和HBase数据库;
所述存储模块将所述运行数据分为实时数据、历史数据和关联数据,并将实时数据存储在所述HBase数据库中,将历史数据和关联数据存储在所述Hive数据库中。
在其中一个实施例中,所述信息库模块包括:特征库和威胁情报库,所述信息库模块联接至互联网;
所述特征库包括定期从互联网获取的DDoS攻击特征数据、暴力破解数据、Web攻击数据、后门木马数据、漏洞攻击数据、命令与远程控制数据、挖矿攻击数据;
所述威胁情报库包括定期从互联网获取的主机承载业务面临攻击种类、该地域近期发生安全事件种类、访问同一IP的次数和归属地。
在其中一个实施例中,所述分析引擎模块包括:
信息检索单元,用于实时检测所述存储模块的数据变化,并定时从所述信息库模块的所述特征库和所述威胁情报库获取数据;
云端分析器单元,用于对信息检索单元获取的数据进行关联分析、按时间先后顺进行串联和溯源、以及利用预设模型进行计算,以得到安全态势、统计数据、统计图表、攻击轨迹、所述云主机的当前攻击发生概率、未来攻击发生概率、攻击判断依据和预设处置方案。
在其中一个实施例中,所述态势感知模块包括:
大屏展示单元,用于对所述安全态势、统计数据、统计图表、攻击轨迹、当前攻击发生概率和未来攻击发生概率进行展示;
智能响应单元,用于根据多个预设攻击概率值将当前攻击发生概率和未来攻击发生概率划分成多级别的消息和告警,以及向所述云管理平台发送所述消息、攻击判断依据和预设处置方案。
在其中一个实施例中,智能响应单元还配置用于若所述消息和告警不准确,则从所述云管理平台接收反馈信息,并将所述评估反馈信息推送至所述存储模块进行存储;以及
所述存储模块还配置用于将所述反馈信息存储在所述Hive数据库中;
所述云端分析器单元还配置用于定期从所述Hive数据库中获取反馈信息改进所述预设模型。
根据本发明的另一方面,提供了一种云主机安全态势感知方法,所述方法包括:
利用采集器模块收集所述云主机的运行数据,并将所述运行数据上传;
利用所述存储模块接收并将所述运行数据进行分类存储;
利用信息库模块从互联网获取攻击特征和威胁情报;
利用分析引擎模块监测所述存储模块的数据变化,以及对所述存储模块中的所述运行数据和所述信息库模块的攻击特征、威胁情报进行分析以生成所述云主机当前和未来受攻击的评估结果;
利用态势感知模块对所述评估结果进行展示,以及对所述评估结果进行整合以生成消息和告警,并将所述消息和告警发送至所述云管理平台。
根据本发明的又一方面,还提供了一种计算机设备,包括:至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,所述处理器进行所述程序时进行前述的云主机安全态势感知方法。
根据本发明的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器进行时进行前述的云主机安全态势感知方法。
上述一种云主机安全态势感知系统、方法、设备及存储介质,利用采集器模块从云主机端收集云主机的海量运行数据并上传至云端,在云端通过特征匹配与威胁情报关联分析的方式处理运行数据,解决目前云主机无法充分识别潜在的安全风险,以及安全防护滞后的问题,实现了对云主机当前及未来面临的安全威胁进行预测,从而降低因安全攻击带来的各种损失。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明一个实施例中一种云主机安全态势感知系统的结构示意图;
图2为本发明又一个实施中一种云主机安全态势感知方法的流程示意图;
图3为本发明另一个实施例中算机设备的内部结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
在一个实施例中,请参照图1所示,提供了一种云主机安全态势感知系统,具体的该系统包括:
云主机和云管理平台;
采集器模块,用于收集所述云主机的运行数据,并将所述运行数据上传;
其中,云主机和云管理平台、采集器模块均部署在云主机端。
存储模块,用于接收并将所述运行数据进行分类存储;
信息库模块,用于从互联网获取攻击特征和威胁情报;
分析引擎模块,用于监测所述存储模块的数据变化,以及对所述存储模块中的所述运行数据和信息库模块的攻击特征、威胁情报进行分析以生成所述云主机当前和未来受攻击的评估结果;
态势感知模块,用于对所述评估结果进行展示,以及对所述评估结果进行整合以生成消息和告警,并将所述消息和告警发送至所述云管理平台。
其中,存储模块、信息库模块、分析引擎模块和态势感知模块均部署在云端。
上述一种云主机安全态势感知系统,利用采集器模块从云主机端收集云主机的海量运行数据并上传至云端,在云端通过特征匹配与威胁情报关联分析的方式处理运行数据,解决目前云主机无法充分识别潜在的安全风险,以及安全防护滞后的问题,实现了对云主机当前及未来面临的安全威胁进行预测,从而降低因安全攻击带来的各种损失。
在又一个实施例中,所述采集器模块包括:
安全设备单元,用于采集安全软件和硬件生成的安全报告,扫描的主机硬件配置信息、设备提供商信息、端口信息、漏洞信息、软件清单信息、系统版本信息、账户口令安全信息、IP地址及访问记录信息、网络拓扑信息其中,安全设备包括软件和硬件,常见的硬件设备包括:DDoS防护、IPS、堡垒机、防火墙等,常见的软件包括:漏洞扫描、DLP、WAF、防病毒等。
监测器单元,用于采集CPU占用率、内存使用情况、磁盘大小和剩余容量、网络流量和带宽占用情况、主机状态、登录操作信息、注销操作信息、修改安全配置操作信息、策略变更操作信息、删除虚拟机操作信息;其中,主机状态包括启动、停止、关键、异常等。
日志审计单元,用于收集所述云主机的系统日志、软件平台记录日志及审计平台记录日志;
信息查询脚本单元,用于从互联网查询所述云主机所属的数据中心、IP归属地、节点信息。
在另一个实施例中,所述存储模块包括Hive数据库和HBase数据库;
所述存储模块将所述运行数据分为实时数据、历史数据和关联数据,并将实时数据存储在所述HBase数据库中,将历史数据和关联数据存储在所述Hive数据库中。
优选地,所述信息库模块包括:特征库和威胁情报库,所述信息库模块联接至互联网;
所述特征库包括定期从互联网获取的DDoS攻击特征数据、暴力破解数据、Web攻击数据、后门木马数据、漏洞攻击数据、命令与远程控制数据、挖矿攻击数据;
所述威胁情报库包括定期从互联网获取的主机承载业务面临攻击种类、该地域近期发生安全事件种类、访问同一IP的次数和归属地。
优选地,所述分析引擎模块包括:
信息检索单元,用于实时检测所述存储模块的数据变化,并定时从所述信息库模块的所述特征库和所述威胁情报库获取数据;
云端分析器单元,用于对信息检索单元获取的数据进行关联分析、按时间先后顺进行串联和溯源、以及利用预设模型进行计算,以得到安全态势、统计数据、统计图表、攻击轨迹、所述云主机的当前攻击发生概率、未来攻击发生概率、攻击判断依据和预设处置方案。
优选地,所述态势感知模块包括:
大屏展示单元,用于对所述安全态势、统计数据、统计图表、攻击轨迹、当前攻击发生概率和未来攻击发生概率进行展示;
智能响应单元,用于根据多个预设攻击概率值将当前攻击发生概率和未来攻击发生概率划分成多级别的消息和告警,以及向所述云管理平台发送所述消息、攻击判断依据和预设处置方案。
举例来说,在具体实施过程中智能响应单元可以采用短信、邮件、系统内通知等多种方式通知给云主机端的云管理平台,及时运维人员不在现场也能够及时查看和处理;并且运维人员还可以参考消息警告的级别对采用从高到低的处理方式,例如有限处理消息和告警级别较高的情形,并且参考攻击判断依据和预设处置方案还能够使得运维人员能够快速识别和定位问题,预设处置方案还能够供运维人员参考以消除潜在隐患和威胁安全事件,极大的提升了问题处理效率。
在又一个实施例中,为了保证系统分析和预测的准确性,在实施过程中运维人员可在云管理平台上对消息和告警进行确认,例如假如在收到告警后经运维人员核实本次告警正确,则在云管理平台上确认正确,假如经核实本次告警在云主机上并未发生则属于误报,此时可在云管理平台上确认本次告警不准确。
优选地,智能响应单元还配置用于若所述消息和告警不准确,则还用于从所述云管理平台接收反馈信息,并将所述评估反馈信息推送至所述存储模块进行存储;以及
所述存储模块还配置用于将所述反馈信息存储在所述Hive数据库中;
所述云端分析器单元还配置用于定期从所述Hive数据库中获取反馈信改进所述预设模型。例如云端分析器单元获得反馈信息后针对不准确的情况进行根因分析并改进分析算法从而更新预设模型,后续云端分析器单元将使用新的预设模型,从而不断的提升态势感知的准确性,提高对云主机当前及未来面临的安全威胁进行预测的准确性。
在又一个实施例中,请参照图2所示,本发明提供了一种云主机安全态势感知方法,具体地该方法包括以下步骤:
S100,利用采集器模块收集所述云主机的运行数据,并将所述运行数据上传;
S200,利用所述存储模块接收并将所述运行数据进行分类存储;
S300,利用信息库模块从互联网获取攻击特征和威胁情报;
S400,利用分析引擎模块监测所述存储模块的数据变化,以及对所述存储模块中的所述运行数据和信息库模块的攻击特征、威胁情报进行分析以生成所述云主机当前和未来受攻击的评估结果;
S500,利用态势感知模块对所述评估结果进行展示,以及对所述评估结果进行整合以生成消息和告警,并将所述消息和告警发送至所述云管理平台。
需要说明的是,关于云主机安全态势感知方法的具体限定可以参见上文中对于云主机安全态势感知系统的限定,在此不再赘述。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图3所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种云主机安全态势感知方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图3中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
根据本发明的又一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以上所述的云主机安全态势感知方法。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种云主机安全态势感知系统,其特征在于,所述系统包括:
云主机和云管理平台;
采集器模块,用于收集所述云主机的运行数据,并将所述运行数据上传;
存储模块,用于接收并将所述运行数据进行分类存储;
信息库模块,用于从互联网获取攻击特征和威胁情报;
分析引擎模块,用于监测所述存储模块的数据变化,以及对所述存储模块中的所述运行数据和所述信息库模块的攻击特征、威胁情报进行分析以生成所述云主机当前和未来受攻击的评估结果;
态势感知模块,用于对所述评估结果进行展示,以及对所述评估结果进行整合以生成消息和告警,并将所述消息和告警发送至所述云管理平台。
2.根据权利要求1所述的系统,其特征在于,所述采集器模块包括:
安全设备单元,用于采集安全软件和硬件生成的安全报告,扫描的主机硬件配置信息、设备提供商信息、端口信息、漏洞信息、软件清单信息、系统版本信息、账户口令安全信息、IP地址及访问记录信息、网络拓扑信息;
监测器单元,用于采集CPU占用率、内存使用情况、磁盘大小和剩余容量、网络流量和带宽占用情况、主机状态、登录操作信息、注销操作信息、修改安全配置操作信息、策略变更操作信息、删除虚拟机操作信息;
日志审计单元,用于收集所述云主机的系统日志、软件平台记录日志及审计平台记录日志;
信息查询脚本单元,用于从互联网查询所述云主机所属的数据中心、IP归属地、节点信息。
3.根据权利要求1或2所述的系统,其特征在于,所述存储模块包括Hive数据库和HBase数据库;
所述存储模块将所述运行数据分为实时数据、历史数据和关联数据,并将实时数据存储在所述HBase数据库中,将历史数据和关联数据存储在所述Hive数据库中。
4.根据权利要求3所述的系统,其特征在于,所述信息库模块包括:特征库和威胁情报库,所述信息库模块联接至互联网;
所述特征库包括定期从互联网获取的DDoS攻击特征数据、暴力破解数据、Web攻击数据、后门木马数据、漏洞攻击数据、命令与远程控制数据、挖矿攻击数据;
所述威胁情报库包括定期从互联网获取的主机承载业务面临攻击种类、该地域近期发生安全事件种类、访问同一IP的次数和归属地。
5.根据权利要求4所述的系统,其特征在于,所述分析引擎模块包括:
信息检索单元,用于实时检测所述存储模块的数据变化,并定时从所述信息库模块的所述特征库和所述威胁情报库获取数据;
云端分析器单元,用于对信息检索单元获取的数据进行关联分析、按时间先后顺进行串联和溯源、以及利用预设模型进行计算,以得到安全态势、统计数据、统计图表、攻击轨迹、所述云主机的当前攻击发生概率、未来攻击发生概率、攻击判断依据和预设处置方案。
6.根据权利要求5所述的系统,其特征在于,所述态势感知模块包括:
大屏展示单元,用于对所述安全态势、统计数据、统计图表、攻击轨迹、当前攻击发生概率和未来攻击发生概率进行展示;
智能响应单元,用于根据多个预设攻击概率值将当前攻击发生概率和未来攻击发生概率划分成多级别的消息和告警,以及向所述云管理平台发送所述消息、攻击判断依据和预设处置方案。
7.根据权利要求6所述的系统,其特征在于,所述智能响应单元还配置用于若所述消息和告警不准确,则从所述云管理平台接收反馈信息,并将所述评估反馈信息推送至所述存储模块进行存储;以及
所述存储模块还配置用于将所述反馈信息存储在所述Hive数据库中;
所述云端分析器单元还配置用于定期从所述Hive数据库中获取反馈信息以改进所述预设模型。
8.一种云主机安全态势感知方法,其特征在于,所述方法包括:
利用采集器模块收集所述云主机的运行数据,并将所述运行数据上传;
利用所述存储模块接收并将所述运行数据进行分类存储;
利用信息库模块从互联网获取攻击特征和威胁情报;
利用分析引擎模块监测所述存储模块的数据变化,以及对所述存储模块中的所述运行数据和所述信息库模块的攻击特征、威胁情报进行分析以生成所述云主机当前和未来受攻击的评估结果;
利用态势感知模块对所述评估结果进行展示,以及对所述评估结果进行整合以生成消息和告警,并将所述消息和告警发送至所述云管理平台。
9.一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,所述处理器执行所述程序时执行权利要求8所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行权利要求8所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010849157.7A CN112073389B (zh) | 2020-08-21 | 2020-08-21 | 云主机安全态势感知系统、方法、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010849157.7A CN112073389B (zh) | 2020-08-21 | 2020-08-21 | 云主机安全态势感知系统、方法、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112073389A true CN112073389A (zh) | 2020-12-11 |
CN112073389B CN112073389B (zh) | 2023-01-24 |
Family
ID=73658857
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010849157.7A Active CN112073389B (zh) | 2020-08-21 | 2020-08-21 | 云主机安全态势感知系统、方法、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112073389B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112702365A (zh) * | 2021-03-24 | 2021-04-23 | 北京安信天行科技有限公司 | 基于虚拟云的数据安全态势监测方法、系统及设备 |
CN112769777A (zh) * | 2020-12-28 | 2021-05-07 | 上海蓝云网络科技有限公司 | 基于云平台的数据整合方法、装置及电子设备 |
CN112804226A (zh) * | 2021-01-08 | 2021-05-14 | 光通天下网络科技股份有限公司 | Ip数据处理方法、装置、设备及介质 |
CN113297578A (zh) * | 2021-06-25 | 2021-08-24 | 深圳市合美鑫精密电子有限公司 | 基于大数据和人工智能的信息感知方法及信息安全系统 |
CN113569137A (zh) * | 2021-07-06 | 2021-10-29 | 北京汇钧科技有限公司 | 云主机规格的推荐方法及装置、存储介质、电子装置 |
CN114513336A (zh) * | 2022-01-18 | 2022-05-17 | 国家广播电视总局广播电视规划院 | 基于威胁情报和智能识别算法的网络安全平台构建方法 |
CN114513334A (zh) * | 2022-01-13 | 2022-05-17 | 青岛海尔工业智能研究院有限公司 | 风险管理方法和风险管理装置 |
CN114666145A (zh) * | 2022-03-30 | 2022-06-24 | 成都安恒信息技术有限公司 | 一种基于网络采集的安全预警方法及系统 |
CN115361235A (zh) * | 2022-10-20 | 2022-11-18 | 北京微步在线科技有限公司 | 一种网络安全检测的方法、设备、装置、电子设备及介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106487810A (zh) * | 2016-11-25 | 2017-03-08 | 中国科学院信息工程研究所 | 一种云平台安全态势感知方法 |
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN108039974A (zh) * | 2017-12-19 | 2018-05-15 | 国云科技股份有限公司 | 一种云平台虚拟机逃逸监测告警方法 |
CN108965346A (zh) * | 2018-10-10 | 2018-12-07 | 上海工程技术大学 | 一种失陷主机检测方法 |
CN109063205A (zh) * | 2018-09-17 | 2018-12-21 | 河南大学 | 一种面向网络安全的知识库构建方法 |
CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | 中国移动通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
CN110247888A (zh) * | 2019-04-17 | 2019-09-17 | 郑州轻工业学院 | 一种计算机网络安全态势感知平台架构 |
CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
-
2020
- 2020-08-21 CN CN202010849157.7A patent/CN112073389B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106487810A (zh) * | 2016-11-25 | 2017-03-08 | 中国科学院信息工程研究所 | 一种云平台安全态势感知方法 |
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN108039974A (zh) * | 2017-12-19 | 2018-05-15 | 国云科技股份有限公司 | 一种云平台虚拟机逃逸监测告警方法 |
CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | 中国移动通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
CN109063205A (zh) * | 2018-09-17 | 2018-12-21 | 河南大学 | 一种面向网络安全的知识库构建方法 |
CN108965346A (zh) * | 2018-10-10 | 2018-12-07 | 上海工程技术大学 | 一种失陷主机检测方法 |
CN110247888A (zh) * | 2019-04-17 | 2019-09-17 | 郑州轻工业学院 | 一种计算机网络安全态势感知平台架构 |
CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112769777A (zh) * | 2020-12-28 | 2021-05-07 | 上海蓝云网络科技有限公司 | 基于云平台的数据整合方法、装置及电子设备 |
CN112804226A (zh) * | 2021-01-08 | 2021-05-14 | 光通天下网络科技股份有限公司 | Ip数据处理方法、装置、设备及介质 |
CN112702365A (zh) * | 2021-03-24 | 2021-04-23 | 北京安信天行科技有限公司 | 基于虚拟云的数据安全态势监测方法、系统及设备 |
CN113297578A (zh) * | 2021-06-25 | 2021-08-24 | 深圳市合美鑫精密电子有限公司 | 基于大数据和人工智能的信息感知方法及信息安全系统 |
CN113297578B (zh) * | 2021-06-25 | 2022-03-04 | 铭台(北京)科技有限公司 | 基于大数据和人工智能的信息感知方法及信息安全系统 |
CN113569137A (zh) * | 2021-07-06 | 2021-10-29 | 北京汇钧科技有限公司 | 云主机规格的推荐方法及装置、存储介质、电子装置 |
CN114513334B (zh) * | 2022-01-13 | 2023-11-28 | 卡奥斯工业智能研究院(青岛)有限公司 | 风险管理方法和风险管理装置 |
CN114513334A (zh) * | 2022-01-13 | 2022-05-17 | 青岛海尔工业智能研究院有限公司 | 风险管理方法和风险管理装置 |
CN114513336A (zh) * | 2022-01-18 | 2022-05-17 | 国家广播电视总局广播电视规划院 | 基于威胁情报和智能识别算法的网络安全平台构建方法 |
CN114666145A (zh) * | 2022-03-30 | 2022-06-24 | 成都安恒信息技术有限公司 | 一种基于网络采集的安全预警方法及系统 |
CN114666145B (zh) * | 2022-03-30 | 2024-04-26 | 成都安恒信息技术有限公司 | 一种基于网络采集的安全预警方法及系统 |
CN115361235A (zh) * | 2022-10-20 | 2022-11-18 | 北京微步在线科技有限公司 | 一种网络安全检测的方法、设备、装置、电子设备及介质 |
CN115361235B (zh) * | 2022-10-20 | 2023-03-03 | 北京微步在线科技有限公司 | 一种网络安全检测的方法、设备、装置、电子设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112073389B (zh) | 2023-01-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112073389B (zh) | 云主机安全态势感知系统、方法、设备及存储介质 | |
US20220124108A1 (en) | System and method for monitoring security attack chains | |
US11025674B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US10728263B1 (en) | Analytic-based security monitoring system and method | |
EP2769508B1 (en) | System and method for detection of denial of service attacks | |
US20210248230A1 (en) | Detecting Irregularities on a Device | |
US10944795B2 (en) | Rating organization cybersecurity using active and passive external reconnaissance | |
US11601400B2 (en) | Aggregating alerts of malicious events for computer security | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
KR101781450B1 (ko) | 사이버 공격에 대한 위험도 산출 방법 및 장치 | |
US20160019388A1 (en) | Event correlation based on confidence factor | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
US20160164893A1 (en) | Event management systems | |
CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
US11962611B2 (en) | Cyber security system and method using intelligent agents | |
US20150074756A1 (en) | Signature rule processing method, server, and intrusion prevention system | |
CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
US20210281609A1 (en) | Rating organization cybersecurity using probe-based network reconnaissance techniques | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
CN112668005A (zh) | webshell文件的检测方法及装置 | |
CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与系统 | |
CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
CN115834345A (zh) | 一种告警数据的处理方法、装置、设备及介质 | |
JP7081953B2 (ja) | アラート通知装置およびアラート通知方法 | |
US20230275907A1 (en) | Graph-based techniques for security incident matching |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |