CN112351004A - 一种基于计算机网络信息安全事件处理系统及方法 - Google Patents
一种基于计算机网络信息安全事件处理系统及方法 Download PDFInfo
- Publication number
- CN112351004A CN112351004A CN202011148581.5A CN202011148581A CN112351004A CN 112351004 A CN112351004 A CN 112351004A CN 202011148581 A CN202011148581 A CN 202011148581A CN 112351004 A CN112351004 A CN 112351004A
- Authority
- CN
- China
- Prior art keywords
- information
- event
- security
- computer network
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 title claims abstract description 119
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000011156 evaluation Methods 0.000 claims abstract description 61
- 238000004458 analytical method Methods 0.000 claims abstract description 45
- 238000012544 monitoring process Methods 0.000 claims abstract description 29
- 238000007418 data mining Methods 0.000 claims abstract description 24
- 238000013500 data storage Methods 0.000 claims abstract description 12
- 238000010606 normalization Methods 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 17
- 238000005065 mining Methods 0.000 claims description 16
- 238000003672 processing method Methods 0.000 claims description 13
- 238000012360 testing method Methods 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 claims description 7
- 238000012423 maintenance Methods 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims description 2
- 230000010365 information processing Effects 0.000 abstract description 2
- 230000007547 defect Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明属于计算机安全技术领域,公开了一种基于计算机网络信息安全事件处理系统及方法,包括:网络监控模块、数据采集模块、数据挖掘模块、数据处理模块、中央控制模块、信息安全评估模块、事件分析模块、事件处理模块、数据存储模块、报警模块、显示模块。本发明能够对过滤处理网络安全信息中大部分的无效和重复信息,提高信息处理的效率,以及信息的可用性,有效提高了安全事件分析处理的效率;同时能够对安全事件的实时高速分析和归并处理,及归并事件归并逻辑的预置,便于统一管理安全事件,大大提高了计算机网络信息的安全性;本发明还对安全事件进行了准确分析处理,确保了网络安全功能的高效执行。
Description
技术领域
本发明属于计算机安全技术领域,尤其涉及一种基于计算机网络信息安全事件处理系统及方法。
背景技术
目前,随着信息化的程度不断提高,网络与信息安全日益成为各组织与机构网络发展的重要组成部分,信息安全已经越来越受到各级政府和各行业的高度重视,信息安全事件应急响应作为信息安全包装工作的最后手段也因此变得越来越重要,在信息安全建设的初级阶段,网络安全产品开始广泛应用。传统的信息安全事件处理方法在信息安全事件发生时无法准确的判断出安全事件的类型,无法第一时间知道安全事件的发生,从而不便于对安全事件进行有效的处理。
同时网络与信息系统安全方面的潜在隐患和漏洞也越来越多,随之而来的告警信息也快速增长,给公司网络安全运维带来了很大困难,网络设备多,结构复杂,每天都会产生海量告警信息;查看告警所需工作量较大,给网络安全运维人员带来了极大的工作压力。
通过上述分析,现有技术存在的问题及缺陷为:现有安全网络信息海量,处理复杂度高,且处理效率低,导致安全事件分析效率低,无法准确判断安全事件类型,也无法有效进行处理。
发明内容
针对现有技术存在的问题,本发明提供了一种基于计算机网络信息安全事件处理系统及方法。
本发明是这样实现的,一种基于计算机网络信息安全事件处理方法,所述基于计算机网络信息安全事件处理方法包括:
步骤一,网络监控模块利用网络安全设备对计算机网络安全进行实时监控,并生成安全监控日志;数据采集模块提取安全监控日志中的计算机网络安全信息;
步骤二,数据挖掘模块利用大数据挖掘技对服务器或安全事件数据源发生过的历史安全事件信息进行挖掘;数据处理模块对获取的计算机网络信息以及历史安全事件信息分别进行处理;
步骤三,中央控制模块控制信息安全评估模块基于处理后的计算机网络信息以及处理后的历史安全事件信息进行安全评估;事件分析模块当信息安全评估模块评估当前网络不安全时,进行安全事件分析;
步骤四,事件处理模块基于安全事件分析结果匹配挖掘提取的历史安全事件信息中的事件类型,并获取所述事件类型的处理措施,基于所述处理措施进行安全事件处理;
步骤五,报警模块当发生安全事件时进行报警,并发送报警信息;数据存储模块对处理后的计算机网络信息、处理后的历史安全事件信息、安全状态评估结果、安全事件分析结果以及事件处理结果进行分块存储;
步骤六,显示模块利用显示器显示安全状态评估结果、事件分析结果、事件处理结果以及报警信息;
步骤二中,所述数据处理模块对获取的计算机网络信息以及历史安全事件信息分别进行处理包括:
(1)分别获取计算机网络信息以及历史安全事件信息;
(2)将获取的计算机网络安全信息按照漏洞信息以及告警信息进行分类;并将分类后的计算机网络安全信息以及告警信息进行归一化格式处理;
(3)对归一化处理的计算机网络安全信息以及历史安全事件信息进行去重;同时去除归一化处理的计算机网络安全信息以及历史安全事件信息中的无效信息;并去除归一化处理的计算机网络安全信息中重要性较低的信息;
(4)对得到的计算机网络安全信息以及历史安全事件信息按照重要性进行排序,并按设备或IP分别对计算机网络安全信息以及历史安全事件信息进行合并,即可分别得到处理后的计算机网络安全信息和历史安全事件信息;
步骤三中,所述信息安全评估模块基于处理后的计算机网络信息以及处理后的历史安全事件信息进行安全评估包括:
1)获取处理后的历史安全事件信息以及处理后的计算机网络安全信息;从获取的历史安全事件信息中提取网络安全状态指标,建立网络安全状态指标的正态分布模型;
2)采用异常检验与假设检验相结合的方式,将处理后的计算机网络安全信息的网络安全状态指标值与正态分布模型中的模型参数相比较,获得计算机网络安全信息的网络安全状态指标值与正态分布模型的偏离程度;
3)根据计算机网络安全信息的网络安全状态指标值与正态分布模型参数的偏离程度,评估当前观测周期的网络安全状态,获得当前观测周期的网络安全状态评估结果。
进一步,所述建立网络安全状态指标的正态分布模型包括:
通过对所述历史安全事件信息进行学习,根据所述历史安全事件信息的网络安全状态指标值,计算所述历史安全事件信息若干个观测周期中的网络安全状态指标值;计算所述若干个观测周期中的网络安全状态指标值的均值和方差,将所述均值和方差作为所述网络安全状态指标的模型参数,建立所述正态分布模型。
进一步,步骤二中,所述数据挖掘模块进行数据信息挖掘的具体过程为:
根据历史安全事件信息,确定相应的信息特征数据;
将信息特征数据作为初始聚类中心,确定网络历史安全事件数据中与初始聚类中心之间的相似度;
将相似度高的网络历史安全事件数据与初始聚类中心划归为一类;
不断重复上述过程,直至历史安全事件信息挖掘完毕。
进一步,步骤三中,所述安全事件分析包括:
首先,获取历史安全事件信息中的指标信息,并基于相应指标信息设置安全事件阈值以及归并逻辑;
其次,将评估状态为不安全的计算机网络安全信息,进行数据类型解析,将解析的数据类型与所述安全事件阈值进行比较,生成安全事件;
再者,判断所述安全事件的事件类型,并生成事件类型判断结果,当所述事件类型判断结果为待归并事件时,将所述待归并事件加入归并事件队列;当所述事件类型判断结果为所述安全事件为实时事件时,将所述实时事件加入事件队列,将所述事件队列中全部安全事件依次发送到中央控制模块;
然后,根据所述归并逻辑进行多线程维护归并事件队列状态,以及周期归并所述待归并事件,生成归并事件并加入事件队列;
最后,将所述事件队列中全部安全事件依次发送到中央控制模块。
进一步,所述设置归并逻辑包括:根据所述待归并事件的事件类型ID编号和事件设备IP,遍历归并事件队列,当所述事件设备IP首次出现在所述归并事件队列上时,将所述待归并事件插入到所述归并事件队列的新节点上,设置所述事件设备IP的归并总计数值为1,并发送首次告警信号到中央控制模块。
本发明的另一目的在于提供一种实施所述基于计算机网络信息安全事件处理方法的基于计算机网络信息安全事件处理系统,所述基于计算机网络信息安全事件处理系统包括:
网络监控模块,与中央控制模块连接,用于利用网络安全设备对计算机网络安全进行实时监控,并生成安全监控日志;
数据采集模块,与中央控制模块连接,用于提取安全监控日志中的计算机网络安全信息;
数据挖掘模块,与中央控制模块连接,用于利用大数据挖掘技对服务器或安全事件数据源发生过的历史安全事件信息进行挖掘;数据挖掘模块进行数据信息挖掘的具体过程,根据历史安全事件信息,确定相应的信息特征数据;将信息特征数据作为初始聚类中心,确定网络历史安全事件数据中与初始聚类中心之间的相似度;将相似度高的网络历史安全事件数据与初始聚类中心划归为一类;不断重复上述过程,直至历史安全事件信息挖掘完毕;
数据处理模块,与中央控制模块连接,用于对获取的计算机网络信息以及历史安全事件信息分别进行处理;数据处理模块对获取的计算机网络信息以及历史安全事件信息分别进行处理,分别获取计算机网络信息以及历史安全事件信息;将获取的计算机网络安全信息按照漏洞信息以及告警信息进行分类;并将分类后的计算机网络安全信息以及告警信息进行归一化格式处理;对归一化处理的计算机网络安全信息以及历史安全事件信息进行去重;同时去除归一化处理的计算机网络安全信息以及历史安全事件信息中的无效信息;并去除归一化处理的计算机网络安全信息中重要性较低的信息;对得到的计算机网络安全信息以及历史安全事件信息按照重要性进行排序,并按设备或IP分别对计算机网络安全信息以及历史安全事件信息进行合并,即可分别得到处理后的计算机网络安全信息和历史安全事件信息;
中央控制模块,与网络监控模块、数据采集模块、数据挖掘模块、数据处理模块、信息安全评估模块、事件分析模块、事件处理模块、数据存储模块、报警模块、显示模块连接,用于利用主控器、处理器或单片机控制各个模块正常工作。
进一步,所述基于计算机网络信息安全事件处理系统还包括:
信息安全评估模块,与中央控制模块连接,用于基于处理后的计算机网络信息以及处理后的历史安全事件信息进行安全评估;信息安全评估模块基于处理后的计算机网络信息以及处理后的历史安全事件信息进行安全评估,获取处理后的历史安全事件信息以及处理后的计算机网络安全信息;从获取的历史安全事件信息中提取网络安全状态指标,建立网络安全状态指标的正态分布模型;采用异常检验与假设检验相结合的方式,将处理后的计算机网络安全信息的网络安全状态指标值与正态分布模型中的模型参数相比较,获得计算机网络安全信息的网络安全状态指标值与正态分布模型的偏离程度;根据计算机网络安全信息的网络安全状态指标值与正态分布模型参数的偏离程度,评估当前观测周期的网络安全状态,获得当前观测周期的网络安全状态评估结果;
事件分析模块,与中央控制模块连接,用于当信息安全评估模块评估当前网络不安全时,进行安全事件分析;获取历史安全事件信息中的指标信息,并基于相应指标信息设置安全事件阈值以及归并逻辑;将评估状态为不安全的计算机网络安全信息,进行数据类型解析,将解析的数据类型与所述安全事件阈值进行比较,生成安全事件;判断所述安全事件的事件类型,并生成事件类型判断结果,当所述事件类型判断结果为待归并事件时,将所述待归并事件加入归并事件队列;当所述事件类型判断结果为所述安全事件为实时事件时,将所述实时事件加入事件队列,将所述事件队列中全部安全事件依次发送到中央控制模块;根据所述归并逻辑进行多线程维护归并事件队列状态,以及周期归并所述待归并事件,生成归并事件并加入事件队列;将所述事件队列中全部安全事件依次发送到中央控制模块;
事件处理模块,与中央控制模块连接,用于基于安全事件分析结果匹配挖掘提取的历史安全事件信息中的事件类型,并获取所述事件类型的处理措施,基于所述处理措施进行安全事件处理;
数据存储模块,与中央控制模块连接,用于对处理后的计算机网络信息、处理后的历史安全事件信息、安全状态评估结果、安全事件分析结果以及事件处理结果进行分块存储;
报警模块,与中央控制模块连接,用于当发生安全事件时进行报警,并发送报警信息;
显示模块,与中央控制模块连接,用于利用显示器显示安全状态评估结果、事件分析结果、事件处理结果以及报警信息。
进一步,所述历史安全事件信息包括:事件编号、事件名称、事件类型、事件发生时间、源地址、目的地址、事件级别以及处理措施。
本发明的另一目的在于提供一种存储在计算机可读介质上的计算机程序产品,包括计算机可读程序,供于电子装置上执行时,提供用户输入接口以实施所述基于计算机网络信息安全事件处理方法。
本发明的另一目的在于提供一种计算机可读存储介质,储存有指令,当所述指令在计算机上运行时,使得计算机执行所述基于计算机网络信息安全事件处理方法。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明能够对过滤处理网络安全信息中大部分的无效和重复信息,提高信息处理的效率,以及信息的可用性,有效提高了安全事件分析处理的效率;同时能够对安全事件的实时高速分析和归并处理,及归并事件归并逻辑的预置,便于统一管理安全事件,大大提高了计算机网络信息的安全性;本发明还对安全事件进行了准确分析处理,确保了网络安全功能的高效执行。
同时本发明通过网络监控模块,用于利用网络安全设备对计算机网络安全进行实时监控,并生成安全监控日志;数据采集模块用于提取安全监控日志中的计算机网络安全信息;数据挖掘模块用于利用大数据挖掘技对服务器或安全事件数据源发生过的历史安全事件信息进行挖掘;数据处理模块用于对获取的计算机网络信息以及历史安全事件信息分别进行处理;信息安全评估模块用于基于处理后的计算机网络信息以及处理后的历史安全事件信息进行安全评估;事件分析模块用于当信息安全评估模块评估当前网络不安全时,进行安全事件分析;事件处理模块用于基于安全事件分析结果匹配挖掘提取的历史安全事件信息中的事件类型,并获取所述事件类型的处理措施,基于所述处理措施进行安全事件处理;数据存储模块用于对处理后的计算机网络信息、处理后的历史安全事件信息、安全状态评估结果、安全事件分析结果以及事件处理结果进行分块存储;报警模块用于当发生安全事件时进行报警,并发送报警信息。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的基于计算机网络信息安全事件处理系统结构示意图;
图中:1、网络监控模块;2、数据采集模块;3、数据挖掘模块;4、数据处理模块;5、中央控制模块;6、信息安全评估模块;7、事件分析模块;8、事件处理模块;9、数据存储模块;10、报警模块;11、显示模块。
图2是本发明实施例提供的基于计算机网络信息安全事件处理方法流程图。
图3是本发明实施例提供的数据处理模块对获取的计算机网络信息以及历史安全事件信息分别进行处理的方法流程图。
图4是本发明实施例提供的信息安全评估模块基于处理后的计算机网络信息以及处理后的历史安全事件信息进行安全评估的方法流程图。
图5是本发明实施例提供的安全事件分析方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种基于计算机网络信息安全事件处理系统及方法,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的基于计算机网络信息安全事件处理系统包括:
网络监控模块1,与中央控制模块5连接,用于利用网络安全设备对计算机网络安全进行实时监控,并生成安全监控日志;
数据采集模块2,与中央控制模块5连接,用于提取安全监控日志中的计算机网络安全信息;
数据挖掘模块3,与中央控制模块5连接,用于利用大数据挖掘技对服务器或安全事件数据源发生过的历史安全事件信息进行挖掘;
数据处理模块4,与中央控制模块5连接,用于对获取的计算机网络信息以及历史安全事件信息分别进行处理;
中央控制模块5,与网络监控模块1、数据采集模块2、数据挖掘模块3、数据处理模块4、信息安全评估模块6、事件分析模块7、事件处理模块8、数据存储模块9、报警模块10、显示模块11连接,用于利用主控器、处理器或单片机控制各个模块正常工作;
信息安全评估模块6,与中央控制模块5连接,用于基于处理后的计算机网络信息以及处理后的历史安全事件信息进行安全评估;
事件分析模块7,与中央控制模块5连接,用于当信息安全评估模块评估当前网络不安全时,进行安全事件分析;
事件处理模块8,与中央控制模块5连接,用于基于安全事件分析结果匹配挖掘提取的历史安全事件信息中的事件类型,并获取所述事件类型的处理措施,基于所述处理措施进行安全事件处理;
数据存储模块9,与中央控制模块5连接,用于对处理后的计算机网络信息、处理后的历史安全事件信息、安全状态评估结果、安全事件分析结果以及事件处理结果进行分块存储;
报警模块10,与中央控制模块5连接,用于当发生安全事件时进行报警,并发送报警信息;
显示模块11,与中央控制模块5连接,用于利用显示器显示安全状态评估结果、事件分析结果、事件处理结果以及报警信息。
本发明实施例提供的历史安全事件信息包括:事件编号、事件名称、事件类型、事件发生时间、源地址、目的地址、事件级别以及处理措施。
如图2所示,本发明实施例提供的基于计算机网络信息安全事件处理方法包括:
S101,网络监控模块利用网络安全设备对计算机网络安全进行实时监控,并生成安全监控日志;数据采集模块提取安全监控日志中的计算机网络安全信息;
S102,数据挖掘模块利用大数据挖掘技对服务器或安全事件数据源发生过的历史安全事件信息进行挖掘;数据处理模块对获取的计算机网络信息以及历史安全事件信息分别进行处理;
S103,中央控制模块控制信息安全评估模块基于处理后的计算机网络信息以及处理后的历史安全事件信息进行安全评估;事件分析模块当信息安全评估模块评估当前网络不安全时,进行安全事件分析;
S104,事件处理模块基于安全事件分析结果匹配挖掘提取的历史安全事件信息中的事件类型,并获取所述事件类型的处理措施,基于所述处理措施进行安全事件处理;
S105,报警模块当发生安全事件时进行报警,并发送报警信息;数据存储模块对处理后的计算机网络信息、处理后的历史安全事件信息、安全状态评估结果、安全事件分析结果以及事件处理结果进行分块存储;
S106,显示模块利用显示器显示安全状态评估结果、事件分析结果、事件处理结果以及报警信息。
如图3所示,步骤S102中,本发明实施例提供的数据处理模块对获取的计算机网络信息以及历史安全事件信息分别进行处理包括:
S201,分别获取计算机网络信息以及历史安全事件信息;
S202,将获取的计算机网络安全信息按照漏洞信息以及告警信息进行分类;并将分类后的计算机网络安全信息以及告警信息进行归一化格式处理;
S203,对归一化处理的计算机网络安全信息以及历史安全事件信息进行去重;同时去除归一化处理的计算机网络安全信息以及历史安全事件信息中的无效信息;并去除归一化处理的计算机网络安全信息中重要性较低的信息;
S204,对得到的计算机网络安全信息以及历史安全事件信息按照重要性进行排序,并按设备或IP分别对计算机网络安全信息以及历史安全事件信息进行合并,即可分别得到处理后的计算机网络安全信息和历史安全事件信息。
步骤S102中,所述数据挖掘模块进行数据信息挖掘的具体过程为:
根据历史安全事件信息,确定相应的信息特征数据;
将信息特征数据作为初始聚类中心,确定网络历史安全事件数据中与初始聚类中心之间的相似度;
将相似度高的网络历史安全事件数据与初始聚类中心划归为一类;
不断重复上述过程,直至历史安全事件信息挖掘完毕。
如图4所示,本发明实施例提供的信息安全评估模块基于处理后的计算机网络信息以及处理后的历史安全事件信息进行安全评估包括:
S301,获取处理后的历史安全事件信息以及处理后的计算机网络安全信息;从获取的历史安全事件信息中提取网络安全状态指标,建立网络安全状态指标的正态分布模型;
S302,采用异常检验与假设检验相结合的方式,将处理后的计算机网络安全信息的网络安全状态指标值与正态分布模型中的模型参数相比较,获得计算机网络安全信息的网络安全状态指标值与正态分布模型的偏离程度;
S303,根据计算机网络安全信息的网络安全状态指标值与正态分布模型参数的偏离程度,评估当前观测周期的网络安全状态,获得当前观测周期的网络安全状态评估结果。
本发明实施例提供的建立网络安全状态指标的正态分布模型包括:
通过对所述历史安全事件信息进行学习,根据所述历史安全事件信息的网络安全状态指标值,计算所述历史安全事件信息若干个观测周期中的网络安全状态指标值;计算所述若干个观测周期中的网络安全状态指标值的均值和方差,将所述均值和方差作为所述网络安全状态指标的模型参数,建立所述正态分布模型。
如图5所示,本发明实施例提供的安全事件分析包括:
S401,获取历史安全事件信息中的指标信息,并基于相应指标信息设置安全事件阈值以及归并逻辑;
S402,将评估状态为不安全的计算机网络安全信息,进行数据类型解析,将解析的数据类型与所述安全事件阈值进行比较,生成安全事件;
S403,判断所述安全事件的事件类型,并生成事件类型判断结果,当所述事件类型判断结果为待归并事件时,将所述待归并事件加入归并事件队列;当所述事件类型判断结果为所述安全事件为实时事件时,将所述实时事件加入事件队列,将所述事件队列中全部安全事件依次发送到中央控制模块;
S404,根据所述归并逻辑进行多线程维护归并事件队列状态,以及周期归并所述待归并事件,生成归并事件并加入事件队列;
S405,将所述事件队列中全部安全事件依次发送到中央控制模块。
本发明实施例提供的设置归并逻辑包括:根据所述待归并事件的事件类型ID编号和事件设备IP,遍历归并事件队列,当所述事件设备IP首次出现在所述归并事件队列上时,将所述待归并事件插入到所述归并事件队列的新节点上,设置所述事件设备IP的归并总计数值为1,并发送首次告警信号到中央控制模块。
以上所述,仅为本发明较优的具体的实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种基于计算机网络信息安全事件处理方法,其特征在于,所述基于计算机网络信息安全事件处理方法包括:
步骤一,网络监控模块利用网络安全设备对计算机网络安全进行实时监控,并生成安全监控日志;数据采集模块提取安全监控日志中的计算机网络安全信息;
步骤二,数据挖掘模块利用大数据挖掘技对服务器或安全事件数据源发生过的历史安全事件信息进行挖掘;数据处理模块对获取的计算机网络信息以及历史安全事件信息分别进行处理;
步骤三,中央控制模块控制信息安全评估模块基于处理后的计算机网络信息以及处理后的历史安全事件信息进行安全评估;事件分析模块当信息安全评估模块评估当前网络不安全时,进行安全事件分析;
步骤四,事件处理模块基于安全事件分析结果匹配挖掘提取的历史安全事件信息中的事件类型,并获取所述事件类型的处理措施,基于所述处理措施进行安全事件处理;
步骤五,报警模块当发生安全事件时进行报警,并发送报警信息;数据存储模块对处理后的计算机网络信息、处理后的历史安全事件信息、安全状态评估结果、安全事件分析结果以及事件处理结果进行分块存储;
步骤六,显示模块利用显示器显示安全状态评估结果、事件分析结果、事件处理结果以及报警信息;
步骤二中,所述数据处理模块对获取的计算机网络信息以及历史安全事件信息分别进行处理包括:
(1)分别获取计算机网络信息以及历史安全事件信息;
(2)将获取的计算机网络安全信息按照漏洞信息以及告警信息进行分类;并将分类后的计算机网络安全信息以及告警信息进行归一化格式处理;
(3)对归一化处理的计算机网络安全信息以及历史安全事件信息进行去重;同时去除归一化处理的计算机网络安全信息以及历史安全事件信息中的无效信息;并去除归一化处理的计算机网络安全信息中重要性较低的信息;
(4)对得到的计算机网络安全信息以及历史安全事件信息按照重要性进行排序,并按设备或IP分别对计算机网络安全信息以及历史安全事件信息进行合并,即可分别得到处理后的计算机网络安全信息和历史安全事件信息;
步骤三中,所述信息安全评估模块基于处理后的计算机网络信息以及处理后的历史安全事件信息进行安全评估包括:
1)获取处理后的历史安全事件信息以及处理后的计算机网络安全信息;从获取的历史安全事件信息中提取网络安全状态指标,建立网络安全状态指标的正态分布模型;
2)采用异常检验与假设检验相结合的方式,将处理后的计算机网络安全信息的网络安全状态指标值与正态分布模型中的模型参数相比较,获得计算机网络安全信息的网络安全状态指标值与正态分布模型的偏离程度;
3)根据计算机网络安全信息的网络安全状态指标值与正态分布模型参数的偏离程度,评估当前观测周期的网络安全状态,获得当前观测周期的网络安全状态评估结果。
2.如权利要求1所述基于计算机网络信息安全事件处理方法,其特征在于,所述建立网络安全状态指标的正态分布模型包括:
通过对所述历史安全事件信息进行学习,根据所述历史安全事件信息的网络安全状态指标值,计算所述历史安全事件信息若干个观测周期中的网络安全状态指标值;计算所述若干个观测周期中的网络安全状态指标值的均值和方差,将所述均值和方差作为所述网络安全状态指标的模型参数,建立所述正态分布模型。
3.如权利要求1所述基于计算机网络信息安全事件处理方法,其特征在于,步骤二中,所述数据挖掘模块进行数据信息挖掘的具体过程为:
根据历史安全事件信息,确定相应的信息特征数据;
将信息特征数据作为初始聚类中心,确定网络历史安全事件数据中与初始聚类中心之间的相似度;
将相似度高的网络历史安全事件数据与初始聚类中心划归为一类;
不断重复上述过程,直至历史安全事件信息挖掘完毕。
4.如权利要求1所述基于计算机网络信息安全事件处理方法,其特征在于,步骤三中,所述安全事件分析包括:
首先,获取历史安全事件信息中的指标信息,并基于相应指标信息设置安全事件阈值以及归并逻辑;
其次,将评估状态为不安全的计算机网络安全信息,进行数据类型解析,将解析的数据类型与所述安全事件阈值进行比较,生成安全事件;
再者,判断所述安全事件的事件类型,并生成事件类型判断结果,当所述事件类型判断结果为待归并事件时,将所述待归并事件加入归并事件队列;当所述事件类型判断结果为所述安全事件为实时事件时,将所述实时事件加入事件队列,将所述事件队列中全部安全事件依次发送到中央控制模块;
然后,根据所述归并逻辑进行多线程维护归并事件队列状态,以及周期归并所述待归并事件,生成归并事件并加入事件队列;
最后,将所述事件队列中全部安全事件依次发送到中央控制模块。
5.如权利要求4所述基于计算机网络信息安全事件处理方法,其特征在于,所述设置归并逻辑包括:根据所述待归并事件的事件类型ID编号和事件设备IP,遍历归并事件队列,当所述事件设备IP首次出现在所述归并事件队列上时,将所述待归并事件插入到所述归并事件队列的新节点上,设置所述事件设备IP的归并总计数值为1,并发送首次告警信号到中央控制模块。
6.一种实施如权利要求1~5所述基于计算机网络信息安全事件处理方法的基于计算机网络信息安全事件处理系统,其特征在于,所述基于计算机网络信息安全事件处理系统包括:
网络监控模块,与中央控制模块连接,用于利用网络安全设备对计算机网络安全进行实时监控,并生成安全监控日志;
数据采集模块,与中央控制模块连接,用于提取安全监控日志中的计算机网络安全信息;
数据挖掘模块,与中央控制模块连接,用于利用大数据挖掘技对服务器或安全事件数据源发生过的历史安全事件信息进行挖掘;数据挖掘模块进行数据信息挖掘的具体过程,根据历史安全事件信息,确定相应的信息特征数据;将信息特征数据作为初始聚类中心,确定网络历史安全事件数据中与初始聚类中心之间的相似度;将相似度高的网络历史安全事件数据与初始聚类中心划归为一类;不断重复上述过程,直至历史安全事件信息挖掘完毕;
数据处理模块,与中央控制模块连接,用于对获取的计算机网络信息以及历史安全事件信息分别进行处理;数据处理模块对获取的计算机网络信息以及历史安全事件信息分别进行处理,分别获取计算机网络信息以及历史安全事件信息;将获取的计算机网络安全信息按照漏洞信息以及告警信息进行分类;并将分类后的计算机网络安全信息以及告警信息进行归一化格式处理;对归一化处理的计算机网络安全信息以及历史安全事件信息进行去重;同时去除归一化处理的计算机网络安全信息以及历史安全事件信息中的无效信息;并去除归一化处理的计算机网络安全信息中重要性较低的信息;对得到的计算机网络安全信息以及历史安全事件信息按照重要性进行排序,并按设备或IP分别对计算机网络安全信息以及历史安全事件信息进行合并,即可分别得到处理后的计算机网络安全信息和历史安全事件信息;
中央控制模块,与网络监控模块、数据采集模块、数据挖掘模块、数据处理模块、信息安全评估模块、事件分析模块、事件处理模块、数据存储模块、报警模块、显示模块连接,用于利用主控器、处理器或单片机控制各个模块正常工作。
7.如权利要求6所述基于计算机网络信息安全事件处理系统,其特征在于,所述基于计算机网络信息安全事件处理系统还包括:
信息安全评估模块,与中央控制模块连接,用于基于处理后的计算机网络信息以及处理后的历史安全事件信息进行安全评估;信息安全评估模块基于处理后的计算机网络信息以及处理后的历史安全事件信息进行安全评估,获取处理后的历史安全事件信息以及处理后的计算机网络安全信息;从获取的历史安全事件信息中提取网络安全状态指标,建立网络安全状态指标的正态分布模型;采用异常检验与假设检验相结合的方式,将处理后的计算机网络安全信息的网络安全状态指标值与正态分布模型中的模型参数相比较,获得计算机网络安全信息的网络安全状态指标值与正态分布模型的偏离程度;根据计算机网络安全信息的网络安全状态指标值与正态分布模型参数的偏离程度,评估当前观测周期的网络安全状态,获得当前观测周期的网络安全状态评估结果;
事件分析模块,与中央控制模块连接,用于当信息安全评估模块评估当前网络不安全时,进行安全事件分析;获取历史安全事件信息中的指标信息,并基于相应指标信息设置安全事件阈值以及归并逻辑;将评估状态为不安全的计算机网络安全信息,进行数据类型解析,将解析的数据类型与所述安全事件阈值进行比较,生成安全事件;判断所述安全事件的事件类型,并生成事件类型判断结果,当所述事件类型判断结果为待归并事件时,将所述待归并事件加入归并事件队列;当所述事件类型判断结果为所述安全事件为实时事件时,将所述实时事件加入事件队列,将所述事件队列中全部安全事件依次发送到中央控制模块;根据所述归并逻辑进行多线程维护归并事件队列状态,以及周期归并所述待归并事件,生成归并事件并加入事件队列;将所述事件队列中全部安全事件依次发送到中央控制模块;
事件处理模块,与中央控制模块连接,用于基于安全事件分析结果匹配挖掘提取的历史安全事件信息中的事件类型,并获取所述事件类型的处理措施,基于所述处理措施进行安全事件处理;
数据存储模块,与中央控制模块连接,用于对处理后的计算机网络信息、处理后的历史安全事件信息、安全状态评估结果、安全事件分析结果以及事件处理结果进行分块存储;
报警模块,与中央控制模块连接,用于当发生安全事件时进行报警,并发送报警信息;
显示模块,与中央控制模块连接,用于利用显示器显示安全状态评估结果、事件分析结果、事件处理结果以及报警信息。
8.如权利要求7所述基于计算机网络信息安全事件处理系统,其特征在于,所述历史安全事件信息包括:事件编号、事件名称、事件类型、事件发生时间、源地址、目的地址、事件级别以及处理措施。
9.一种存储在计算机可读介质上的计算机程序产品,包括计算机可读程序,供于电子装置上执行时,提供用户输入接口以实施如权利要求1~5任意一项所述基于计算机网络信息安全事件处理方法。
10.一种计算机可读存储介质,储存有指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1~5任意一项所述基于计算机网络信息安全事件处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011148581.5A CN112351004A (zh) | 2020-10-23 | 2020-10-23 | 一种基于计算机网络信息安全事件处理系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011148581.5A CN112351004A (zh) | 2020-10-23 | 2020-10-23 | 一种基于计算机网络信息安全事件处理系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112351004A true CN112351004A (zh) | 2021-02-09 |
Family
ID=74358380
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011148581.5A Pending CN112351004A (zh) | 2020-10-23 | 2020-10-23 | 一种基于计算机网络信息安全事件处理系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112351004A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113343228A (zh) * | 2021-06-30 | 2021-09-03 | 北京天融信网络安全技术有限公司 | 事件可信度分析方法、装置、电子设备及可读存储介质 |
CN113434855A (zh) * | 2021-06-30 | 2021-09-24 | 北京天融信网络安全技术有限公司 | 一种安全事件的处理方法及装置、可读存储介质 |
CN113612641A (zh) * | 2021-08-03 | 2021-11-05 | 中能融合智慧科技有限公司 | 一种基于能源网络高效的日志流量采集与智能分析系统 |
CN114139020A (zh) * | 2021-12-08 | 2022-03-04 | 广西民族大学 | 一种网络安全事件结构层次化处理方法和装置 |
CN115022072A (zh) * | 2022-06-23 | 2022-09-06 | 常州信息职业技术学院 | 一种基于大数据的网络安全状态监测系统及方法 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040260947A1 (en) * | 2002-10-21 | 2004-12-23 | Brady Gerard Anthony | Methods and systems for analyzing security events |
CN101883017A (zh) * | 2009-05-04 | 2010-11-10 | 北京启明星辰信息技术股份有限公司 | 一种网络安全状态评估系统及方法 |
CN102594783A (zh) * | 2011-01-14 | 2012-07-18 | 中国科学院软件研究所 | 一种网络安全应急响应方法 |
CN107483472A (zh) * | 2017-09-05 | 2017-12-15 | 中国科学院计算机网络信息中心 | 一种网络安全监控的方法、装置、存储介质及服务器 |
CN107563429A (zh) * | 2017-07-27 | 2018-01-09 | 国家计算机网络与信息安全管理中心 | 一种网络用户群体的分类方法及装置 |
CN108509434A (zh) * | 2017-02-23 | 2018-09-07 | 中国移动通信有限公司研究院 | 一种群体用户的挖掘方法及装置 |
CN109327432A (zh) * | 2018-08-14 | 2019-02-12 | 齐鲁工业大学 | 一种计算机网络信息安全事件处理方法 |
CN110519231A (zh) * | 2019-07-25 | 2019-11-29 | 浙江公共安全技术研究院有限公司 | 一种跨域数据交换监管系统及方法 |
CN111092865A (zh) * | 2019-12-04 | 2020-05-01 | 全球能源互联网研究院有限公司 | 一种安全事件分析方法及系统 |
CN111754054A (zh) * | 2019-03-26 | 2020-10-09 | 上海云思智慧信息技术有限公司 | 基于主动感知的智慧安全管理平台、方法、介质及设备 |
CN111767404A (zh) * | 2020-07-14 | 2020-10-13 | 腾讯科技(深圳)有限公司 | 一种事件挖掘方法和装置 |
-
2020
- 2020-10-23 CN CN202011148581.5A patent/CN112351004A/zh active Pending
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040260947A1 (en) * | 2002-10-21 | 2004-12-23 | Brady Gerard Anthony | Methods and systems for analyzing security events |
CN101883017A (zh) * | 2009-05-04 | 2010-11-10 | 北京启明星辰信息技术股份有限公司 | 一种网络安全状态评估系统及方法 |
CN102594783A (zh) * | 2011-01-14 | 2012-07-18 | 中国科学院软件研究所 | 一种网络安全应急响应方法 |
CN108509434A (zh) * | 2017-02-23 | 2018-09-07 | 中国移动通信有限公司研究院 | 一种群体用户的挖掘方法及装置 |
CN107563429A (zh) * | 2017-07-27 | 2018-01-09 | 国家计算机网络与信息安全管理中心 | 一种网络用户群体的分类方法及装置 |
CN107483472A (zh) * | 2017-09-05 | 2017-12-15 | 中国科学院计算机网络信息中心 | 一种网络安全监控的方法、装置、存储介质及服务器 |
CN109327432A (zh) * | 2018-08-14 | 2019-02-12 | 齐鲁工业大学 | 一种计算机网络信息安全事件处理方法 |
CN111754054A (zh) * | 2019-03-26 | 2020-10-09 | 上海云思智慧信息技术有限公司 | 基于主动感知的智慧安全管理平台、方法、介质及设备 |
CN110519231A (zh) * | 2019-07-25 | 2019-11-29 | 浙江公共安全技术研究院有限公司 | 一种跨域数据交换监管系统及方法 |
CN111092865A (zh) * | 2019-12-04 | 2020-05-01 | 全球能源互联网研究院有限公司 | 一种安全事件分析方法及系统 |
CN111767404A (zh) * | 2020-07-14 | 2020-10-13 | 腾讯科技(深圳)有限公司 | 一种事件挖掘方法和装置 |
Non-Patent Citations (4)
Title |
---|
AYDIN M A 等: ""G.A Hybrid Intrusion"", 《COMPUTERS AND ELECTRICAL ENGINEERING》 * |
张小军等: "基于主动防御模型的信息安全管理平台研究", 《遥测遥控》 * |
王吉昌等: "浅谈无线局域网技术在高校中的应用", 《硅谷》 * |
黎九平: "基于数据挖掘的数字图书馆网络安全管理研究", 《情报探索》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113343228A (zh) * | 2021-06-30 | 2021-09-03 | 北京天融信网络安全技术有限公司 | 事件可信度分析方法、装置、电子设备及可读存储介质 |
CN113434855A (zh) * | 2021-06-30 | 2021-09-24 | 北京天融信网络安全技术有限公司 | 一种安全事件的处理方法及装置、可读存储介质 |
CN113343228B (zh) * | 2021-06-30 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 事件可信度分析方法、装置、电子设备及可读存储介质 |
CN113612641A (zh) * | 2021-08-03 | 2021-11-05 | 中能融合智慧科技有限公司 | 一种基于能源网络高效的日志流量采集与智能分析系统 |
CN114139020A (zh) * | 2021-12-08 | 2022-03-04 | 广西民族大学 | 一种网络安全事件结构层次化处理方法和装置 |
CN115022072A (zh) * | 2022-06-23 | 2022-09-06 | 常州信息职业技术学院 | 一种基于大数据的网络安全状态监测系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112351004A (zh) | 一种基于计算机网络信息安全事件处理系统及方法 | |
WO2021114977A1 (zh) | 一种异常事件根因定位方法及装置 | |
CN110708204B (zh) | 一种基于运维知识库的异常处理方法、系统、终端及介质 | |
CN111209131A (zh) | 一种基于机器学习确定异构系统的故障的方法和系统 | |
CN111654489A (zh) | 一种网络安全态势感知方法、装置、设备及存储介质 | |
CN112100164A (zh) | 一种智能审计方法、系统和可读存储介质 | |
CN105967063B (zh) | 维保平台故障分析处理系统及方法 | |
CN115529595A (zh) | 一种日志数据的异常检测方法、装置、设备及介质 | |
CN115033463B (zh) | 一种系统异常类型确定方法、装置、设备和存储介质 | |
CN110753049B (zh) | 一种基于工控网络流量的安全态势感知系统 | |
CN115292345A (zh) | 一种污染源数据解析方法、装置、设备以及存储介质 | |
KR20130020265A (ko) | 통계적 공정 관리도를 이용하여 이상증후를 탐지하는 방법 | |
KR20190081691A (ko) | 머신러닝 알고리즘을 이용한 공정 이상 감지 시스템 및 그 방법 | |
CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
CN116665401A (zh) | 一种化工生产用防事故报警系统 | |
CN114531338A (zh) | 一种基于调用链数据的监控告警和溯源方法及系统 | |
CN115457211A (zh) | 基于数字孪生的变电站管理方法及系统 | |
CN115190045A (zh) | 快递柜系统服务的监控方法、装置、电子设备及存储介质 | |
CN111599174B (zh) | 一种交通指标的异常检测方法和电子设备 | |
CN111274089B (zh) | 一种基于旁路技术的服务器异常行为感知系统 | |
CN112150010A (zh) | 炼化装置腐蚀完整性操作窗口的创建方法、系统和设备 | |
KR20200127445A (ko) | 비정형 데이터 분석을 통한 모니터링 업무 자동화 시스템 | |
KR102617618B1 (ko) | 산업용 공장의 고효율 설비 교체를 위한 인공지능 기반 의사 결정 서비스 제공 장치, 방법 및 시스템 | |
KR102509381B1 (ko) | 머신러닝 로그 분석 기반의 smart 로그병합 및 추이예측 시각화 시스템 | |
CN115296976B (zh) | 物联网设备故障检测方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210209 |