CN112419130B - 基于网络安全监控和数据分析的应急响应系统及方法 - Google Patents
基于网络安全监控和数据分析的应急响应系统及方法 Download PDFInfo
- Publication number
- CN112419130B CN112419130B CN202011288746.9A CN202011288746A CN112419130B CN 112419130 B CN112419130 B CN 112419130B CN 202011288746 A CN202011288746 A CN 202011288746A CN 112419130 B CN112419130 B CN 112419130B
- Authority
- CN
- China
- Prior art keywords
- monitoring
- security
- strategy
- monitored
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 112
- 230000004044 response Effects 0.000 title claims abstract description 63
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000007405 data analysis Methods 0.000 title claims abstract description 15
- 238000004458 analytical method Methods 0.000 claims abstract description 27
- 238000007689 inspection Methods 0.000 claims abstract description 24
- 238000012545 processing Methods 0.000 claims abstract description 20
- 230000002159 abnormal effect Effects 0.000 claims abstract description 11
- 230000008569 process Effects 0.000 claims abstract description 10
- 238000007726 management method Methods 0.000 claims abstract description 9
- 238000013523 data management Methods 0.000 claims abstract description 5
- 230000005856 abnormality Effects 0.000 claims description 22
- 230000000737 periodic effect Effects 0.000 claims description 8
- 238000013500 data storage Methods 0.000 claims description 6
- 238000012549 training Methods 0.000 claims description 5
- 230000006399 behavior Effects 0.000 abstract description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000008676 import Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/40—Business processes related to the transportation industry
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
- G06Q50/265—Personal security, identity or safety
Landscapes
- Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Marketing (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Economics (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- General Physics & Mathematics (AREA)
- Primary Health Care (AREA)
- General Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Educational Administration (AREA)
- Development Economics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于网络安全监控和数据分析的应急响应系统及方法,属于网络安全技术领域,解决了现有网络安全应急响应周期长、风险大且耗时耗力的问题。该系统包括:数据采集模块,采集待监控系统的状态信息和用户信息;数据管理模块,对采集的状态信息和用户信息进行分类、处理;检查模块,对状态信息和用户信息进行检查;分析模块,对检查结果进行分析;策略管理模块,基于分析结果制定或更新相应的网络准入策略或监控策略;监控模块,用于结合网络准入策略和监控策略对待监控系统进行监控;响应模块,用于发出异常告警并根据响应策略进行自动处理。该系统能够基于网络行为学习及时发现和处理安全事件、实时性强且避免了人工响应中的信息泄露。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于网络安全监控和数据分析的应急响应系统及方法。
背景技术
近年来,由于国家大力推进高新信息技术的使用,以及企业信息化建设的持续发展,有效的提高了办公和生产的效率。然而,信息化在给企业带来效益和便利的同时,信息安全问题日渐凸显,特别是企业内网的安全威胁。因此,需要开发有效的网络安全应急响应方式,以对网络安全进行高效的管控。
目前企业内网网络安全事件的应急响应主要依赖管理员的定期扫描漏洞,查看安全日志,人工做出响应。应急响应过程的开始环境,往往使用的是多个不互通的软件,由管理员利用不同的软件发现不同的问题,再通过人为分析,通过简单的域控操作或者管理员到终端手动处理,以解决问题。
现有技术至少存在以下缺陷,一是人工响应周期长,耗时耗力,且处理效果高度依赖管理员的技术水平,且不能技术发现和处理网络安全事件;二是人工响应的过程中存在人为因素导致的安全问题,对于保密要求高的企事业单位存在重大的信息泄漏风险。
发明内容
鉴于上述的分析,本发明旨在提供一种基于网络安全监控和数据分析的应急响应系统及方法,用以解决现有网络安全应急响应方式费时费力、响应速度慢、风险大的问题。
一方面,本发明提供了一种基于网络安全监控和数据分析的应急响应系统,包括:
数据采集模块,用于采集待监控系统的状态信息和用户信息;
数据管理模块,用于对采集的所述状态信息和用户信息进行分类、处理并存储于数据存储模块;
检查模块,用于定期对所述数据存储模块中的状态信息和用户信息进行检查;
分析模块,用于对所述检查模块的检查结果进行分析;
策略管理模块,用于基于所述分析模块的分析结果制定或更新相应的网络准入策略或监控策略;
监控模块,用于结合网络准入策略和监控策略对待监控系统进行监控;
响应模块,在所述监控模块和检查模块发现异常时,用于发出异常告警并根据响应策略进行自动处理。
进一步的,所述检查模块具体用于:
对待监测系统内不同密级、不同职责范围的不同终端所能提供的服务、可接入的软件、所启用的安全策略分别进行检查;
以及对不同终端中导致网络安全风险的状态信息和用户信息进行检查。
进一步的,所述分析模块具体用于:
判断相同密级、相同职责范围的相同终端对每一服务的提供率、每一软件的接入率或每一安全策略的启用率是否达到对应的预设阈值;
分析获得不同密级、不同职责范围的不同终端中需要进行监控的状态信息或用户信息。
进一步的,所述策略管理模块具体用于:
对于提供率、接入率或启用率大于等于对应预设阈值的服务、软件或安全策略进行授权;以及对于提供率、接入率或启用率小于对应预设阈值的服务、软件或安全策略进行禁止,从而生成对应的网络准入策略;
根据不同密级、不同职责范围的不同终端中需要进行监控的状态信息和用户信息生成对应的网络监控策略;
还用于根据定期检查的分析结果更新所述网络准入策略和网络监控策略。
进一步的,所述监控模块进一步用于:
根据所述网络准入策略生成或更新对应的网络准入监控模型,以对服务的提供、软件的接入或安全策略的启用进行监控;以及根据所述监控策略生成或更新对应的网络监控模型,以对所述待监控系统内的不同终端进行监控。
进一步的,所述响应模块具体用于:根据所述待监控系统异常事件的等级发出对应等级的告警,并生成异常报告进行显示。
进一步的,基于待监控系统发生异常时,对管理人员的操作数据进行学习训练获得对应的响应策略模型;所述响应策略模型用于所述待监控系统再次发生同样的异常时,直接对异常进行处理。
另一方面,本发明提供了一种基于网络安全监控和数据分析的应急响应方法,包括:
采集待监控系统的状态信息和用户信息;
对采集的所述状态信息和用户信息进行分类、处理并存储于数据库;
定期对所述数据库中的状态信息和用户信息进行检查;
对检查结果进行分析;
基于分析结果制定或更新相应的网络准入策略或监控策略;
结合网络准入策略和监控策略对待监控系统进行监控;
在所述监控模块和检查模块发现异常时,发出异常告警并根据响应策略进行自动处理。
进一步的,定期对所述数据库中的状态信息和用户信息进行检查,具体包括:
对待监测系统内不同密级、不同职责范围的不同终端所能提供的服务、可接入的软件、所启用的安全策略分别进行检查;
以及对不同终端中导致网络安全风险的状态信息和用户信息进行检查;
对检查结果进行分析,具体包括:
判断相同密级、相同职责范围的相同终端对每一服务的提供率、每一软件的接入率或每一安全策略的启用率是否达到对应的预设阈值;
分析获得不同密级、不同职责范围的不同终端中需要进行监控的状态信息或用户信息。
进一步的,基于分析结果制定或更新相应的网络准入策略和监控策略,具体包括:
对于提供率、接入率或启用率大于等于对应预设阈值的服务、软件或安全策略进行授权;以及对于提供率、接入率或启用率小于对应预设阈值的服务、软件或安全策略进行禁止,从而生成对应的网络准入策略;
根据不同密级、不同职责范围的不同终端中需要进行监控的状态信息和用户信息生成对应的网络监控策略;
还用于根据定期检查的分析结果更新所述网络准入策略和网络监控策略。
与现有技术相比,本发明至少可实现如下有益效果之一:
1、本发明提出的基于网络安全监控和数据分析的应急响应系统及方法,通过待监控系统内所有终端设备和网络设备的状态信息和用户信息进行检查,并根据检查结果制定对应的网络准入策略和监控策略,以实现对易引起网络安全风险的状态信息或用户信息进行实时自动监控,并根据检查结果更新网络准入策略和监控策略,提高了自动监控的时效性,规避了人工监控响应周期长、风险大、效率低且人力成本高的问题。
2、本发明通过基于管理员应对网络安全事件的操作记录进行学习训练获得响应策略模型,从而当监控到相同的网络安全事件再次发生时,系统能够根据响应策略模型及时进行处理,提高了网络安全应急响应速度,降低了信息泄露的风险,提高了网络的安全性。
3、本发明提出的网络准入模型,还允许根据个例特殊情况以自定义的方式设置监控策略,即既允许特例情况的发生,也能对特例情况进行全面有效的监控,提高网络准入监控模型的适用性、人性化的同时,也能有效保证网络安全。
本发明中,上述各技术方案之间还可以相互组合,以实现更多的优选组合方案。本发明的其他特征和优点将在随后的说明书中阐述,并且,部分优点可从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过说明书以及附图中所特别指出的内容中来实现和获得。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1为本发明实施例基于网络安全监控和数据分析的应急响应系统的示意图;
图2为本发明实施例基于网络安全监控和数据分析的应急响应方法的流程图。
附图标记:
110-数据采集模块;120-数据管理模块;130-检查模块;140-分析模块;150-策略管理模块;160-监控模块;170-响应模块。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
系统实施例
本发明的一个具体实施例,公开了一种基于网络安全监控和数据分析的应急响应系统。如图1所示,该系统包括:
数据采集模块110,用于采集待监控系统的状态信息和用户信息。具体的,待监控系统包括多个终端设备和网络设备,采集的状态信息包括主机状态、主机配置信息、账户、进程、服务、主机连接、打印、光盘刻录、非授权接入、共享、补丁安装、文件和目录主机流量、系统时间、网络和终端安全策略、网络拓扑情况、网络安全设备、软件安装情况和硬件资源信息等;采集的用户信息包括用户的姓名、单位、职责范围以及密级等信息。
数据管理模块120,用于对采集的状态信息和用户信息进行分类、处理并存储于数据存储模块;具体的,将采集到的状态信息和用户信息归类至其对应的终端设备或网络设备,并进行去噪处理。
检查模块130,用于定期对数据存储模块中的状态信息和用户信息进行检查。具体的,对待监测系统内不同密级、不同职责范围的不同终端所能提供的服务、可接入的软件、所启用的安全策略分别进行检查。示例性的,检查相同密级、相同职责范围内同种所有终端中,提供某一服务、接入某一软件或启用某一安全策略的终端的数量。还包括对不同终端中导致网络安全风险的状态信息和用户信息进行检查,示例性的,检查非涉密终端中禁用哪些软件、是否需要联网等信息;并且检查涉密终端中包含哪些涉密文件等。
分析模块140,用于对检查模块130的检查结果进行分析。具体的,判断相同密级、相同职责范围的相同终端对每一服务的提供率、每一软件的接入率或每一安全策略的启用率是否达到对应的预设阈值。分析获得不同密级、不同职责范围的不同终端中需要进行监控的状态信息或用户信息。
策略管理模块150,用于基于分析模块140的分析结果制定或更新相应的网络准入策略或监控策略。优选的,对于提供率、接入率或启用率大于等于对应预设阈值的服务、软件或安全策略进行授权;以及对于提供率、接入率或启用率小于对应预设阈值的服务、软件或安全策略进行禁止,从而生成对应的网络准入策略;根据不同密级、不同职责范围的不同终端中需要进行监控的状态信息和用户信息生成对应的网络监控策略;还用于根据定期检查的分析结果更新所述网络准入策略和网络监控策略。
示例性的,在企业内网的某非密部门,非密人员,职责范围为研发的人员作为责任人的设备,采集到的终端信息中,90%以上安装了360安全软件,office某版本软件,及编程工具等软件,这些软件将作为该部门同密级同职责范围的必安装软件,则将安装上述软件作为网络准入策略的一项条件,全部终端都启用了禁用远程登录、禁用共享、禁用USB设备、禁止连接互联网的安全策略,该安全策略则成为网络准入策略的一部分。优选的,网络准入策略还包括用户单位信息、密级信息、职责范围、终端主机基本状态(如主机操作系统类型、账户、计算机名、IP地址、MAC地址、硬件配置,软件安全情况等)、杀毒软件安装情况、防火墙状态、安全策略信息、服务信息、进程信息等,对上述各检查结果分别进行统计分析,并根据分析结果形成不同部门、不同密级、不同职责范围、不同终端类型的网络准入策略。该策略作为新终端加入待监控系统中的基本准入条件。
监控模块160,用于结合网络准入策略和监控策略对待监控系统进行监控。具体的,根据网络准入策略生成或更新对应的网络准入监控模型,以对服务的提供、软件的接入或安全策略的启用进行监控;以及根据监控策略生成或更新对应的网络监控模型,以对待监控系统内的不同终端进行监控。
优选的,网络准入策略生成时,还包括设置自定义策略,即设置对特例情况进行容错并告警。并相应的生成网络准入模型,在后续实时监控过程中进行重点监控,并分析其行为模式。根据其行为模式归入为特殊情况,示例性的导入导出模式,互联网模式等,并依据特殊模式自定义策略进行终端监控。
示例性的,在定期检查时发现有光驱设备或USB设备频繁接入终端,将提交给管理员并发出告警,管理员可选择将该设备拒绝接入网络,或作为特例情况,如导入导出模式此特殊情况需加入自定义的增强安全控制策略,对终端监控登录账户、文件流向、病毒查杀情况等进行严格检查和监控,以及对用户的文件操作进行记录,文件导入时杀毒,文件导出时加密等。如特殊情况为互联网模式时,则自定义策略,以严格控制互联网及网络使用,只可单独使用,不可接入内网,不可处理带有密级文件,有密级文件进入互联网模式终端,自动粉碎等策略。
优选的,监控模型是根据预设监控模型并结合后期定期检查结果与预设监控模型进行结合并更新以获得的实时监控模型。其中,预设模型,是在系统安装时预设的不同部门、职责范围、密级、终端类型的监控模型集合。如部门密级在秘密以上的,严格控制移动存储介质的使用,除导入导出机外,不允许使用移动存储介质,严格执行禁用移动存储介质设备。对密级为秘密以上的文件,严格监控其流向,严禁流出至密级低于其文件密级的设备。
优选的,不同终端对应有不同的实时监控模型,示例性的某非密部门,非密人员,职责范围是非密研发测试等的终端,实时监控模型中的规则将较宽松,只监控是否安装了禁用的软件,是否使用USB设备或者是否连接互联网等项目。而涉密部门,涉密人员,职责范围涉及较多涉密信息的终端,将进行严格的实时监控,除上述提及的监控项外,会增加,秘密文件实时监控,特定存储区域监控,文件传递轨迹记录等监控。
响应模块170,在监控模块160和检查模块130发现异常时,用于发出异常告警并根据响应策略进行自动处理。具体的,根据待监控系统异常事件的等级发出对应等级的告警,并生成异常报告进行显示。示例性的,对于低级别安全事件,以日志形式告警,高级别安全事件,以声音、邮件、弹框等多种形式发出告警。
优选的,响应模块170还用于,基于待监控系统发生异常时,对管理人员的操作数据进行学习训练获得对应的响应策略模型;响应策略模型用于待监控系统再次发生同样的异常时,直接对异常进行处理。响应模块170对安全事件做出响应后,记录并显示其处理方式,供管理员参考。管理员若对处理方式有不同的操作,响应模块170对管理员的操作进行记录并学习其操作方法,进而加入响应策略模型。
优选的,根据不同企业内网的不同需求,响应模块的响应策略还可以包括禁止接入、强制关机、禁用设备(示例性的,禁用USB设备等)、安装、卸载软件、升级补丁等。
方法实施例
本发明的另一个实施例,公开了一种基于网络安全监控和数据分析的应急响应方法。
由于该方法实施例与上述系统实施例基于相同的原理,因此相同之处可以参考上述系统实施例,在此不再进行赘述。
如图2所示,该方法具体包括以下步骤:
S101、采集待监控系统的状态信息和用户信息。
S102、对采集的所述状态信息和用户信息进行分类、处理并存储于数据库。
S103、定期对所述数据库中的状态信息和用户信息进行检查。
S104、对检查结果进行分析。
S105、基于分析结果制定或更新相应的网络准入策略或监控策略。
S106、结合网络准入策略和监控策略对待监控系统进行监控。
S107、在所述监控模块和检查模块发现异常时,发出异常告警并根据响应策略进行自动处理。
优选的,定期对数据库中的状态信息和用户信息进行检查,具体包括:
对待监测系统内不同密级、不同职责范围的不同终端所能提供的服务、可接入的软件、所启用的安全策略分别进行检查。
以及对不同终端中导致网络安全风险的状态信息和用户信息进行检查。
对检查结果进行分析,具体包括:
判断相同密级、相同职责范围的相同终端对每一服务的提供率、每一软件的接入率或每一安全策略的启用率是否达到对应的预设阈值。
分析获得不同密级、不同职责范围的不同终端中需要进行监控的状态信息和用户信息。
优选的,基于分析结果制定或更新相应的网络准入策略和监控策略,具体包括:
对于提供率、接入率或启用率大于等于对应预设阈值的服务、软件或安全策略进行授权;以及对于提供率、接入率或启用率小于对应预设阈值的服务、软件或安全策略进行禁止,从而生成对应的网络准入策略。
根据不同密级、不同职责范围的不同终端中需要进行监控的状态信息和用户信息生成对应的网络监控策略。
还用于根据定期检查的分析结果更新所述网络准入策略和网络监控策略。
与现有技术相比,本实施例提供的基于网络安全监控和数据分析的应急响应系统及方法,首先,通过待监控系统内所有终端设备和网络设备的状态信息和用户信息进行检查,并根据检查结果制定不同密级、不同职责范围、不同终端类型对应的网络准入策略和监控策略,以实现对易引起网络安全风险的状态信息或用户信息进行实时自动监控,并根据定期检查结果更新网络准入策略和监控策略,提高了自动监控的时效性,规避了人工监控响应周期长、风险大、效率低且人力成本高的问题;其次,本发明通过基于管理员应对网络安全事件的操作记录进行学习训练获得响应策略模型,从而当监控到相同的网络安全事件再次发生时,系统能够根据响应策略模型及时进行处理,提高了网络安全应急响应速度,降低了信息泄露的风险,提高了网络的安全性。最后,本发明提出的网络准入模型,还允许根据个例特殊情况以自定义的方式设置监控策略,即既允许特例情况的发生,也能对特例情况进行全面有效的监控,提高网络准入监控模型的适用性、人性化的同时,也能有效保证网络安全。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读存储介质中。其中,所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (2)
1.一种基于网络安全监控和数据分析的应急响应系统,其特征在于,包括:
数据采集模块,用于采集待监控系统的状态信息和用户信息;
数据管理模块,用于对采集的所述状态信息和用户信息进行分类、处理并存储于数据存储模块;
检查模块,用于定期对所述数据存储模块中的状态信息和用户信息进行检查;包括:对待监测系统内不同密级、不同职责范围的不同终端所能提供的服务、可接入的软件、所启用的安全策略分别进行检查;以及对不同终端中导致网络安全风险的状态信息和用户信息进行检查;
分析模块,用于对所述检查模块的检查结果进行分析;包括:判断相同密级、相同职责范围的相同终端对每一服务的提供率、每一软件的接入率或每一安全策略的启用率是否达到对应的预设阈值;分析获得不同密级、不同职责范围的不同终端中需要进行监控的状态信息或用户信息;
策略管理模块,用于基于所述分析模块的分析结果制定或更新相应的网络准入策略或监控策略;包括:对于提供率、接入率或启用率大于等于对应预设阈值的服务、软件或安全策略进行授权;以及对于提供率、接入率或启用率小于对应预设阈值的服务、软件或安全策略进行禁止,从而生成对应的网络准入策略;根据不同密级、不同职责范围的不同终端中需要进行监控的状态信息和用户信息生成对应的网络监控策略;还用于根据定期检查的分析结果更新所述网络准入策略和网络监控策略;
监控模块,用于结合网络准入策略和监控策略对待监控系统进行监控;用于根据所述网络准入策略生成或更新对应的网络准入监控模型,以对服务的提供、软件的接入或安全策略的启用进行监控;以及根据所述监控策略生成或更新对应的网络监控模型,以对所述待监控系统内的不同终端进行监控;依据特殊模式自定义策略进行终端监控;监控模型是实时监控模型,不同终端对应不同的实时监控模型;
响应模块,在所述监控模块和检查模块发现异常时,用于发出异常告警并根据响应策略进行自动处理,包括根据待监控系统异常事件的等级发出对应等级的告警,并生成异常报告进行显示;基于待监控系统发生异常时,对管理人员的操作数据进行学习训练获得对应的响应策略模型;所述响应策略模型用于所述待监控系统再次发生同样的异常时,直接对异常进行处理。
2.一种基于网络安全监控和数据分析的应急响应方法,其特征在于,包括:
采集待监控系统的状态信息和用户信息;
对采集的所述状态信息和用户信息进行分类、处理并存储于数据库;
定期对所述数据库中的状态信息和用户信息进行检查;包括:对待监测系统内不同密级、不同职责范围的不同终端所能提供的服务、可接入的软件、所启用的安全策略分别进行检查;以及对不同终端中导致网络安全风险的状态信息和用户信息进行检查;
对检查结果进行分析,具体包括:判断相同密级、相同职责范围的相同终端对每一服务的提供率、每一软件的接入率或每一安全策略的启用率是否达到对应的预设阈值;分析获得不同密级、不同职责范围的不同终端中需要进行监控的状态信息或用户信息;
基于分析结果制定或更新相应的网络准入策略或监控策略;包括:对于提供率、接入率或启用率大于等于对应预设阈值的服务、软件或安全策略进行授权;以及对于提供率、接入率或启用率小于对应预设阈值的服务、软件或安全策略进行禁止,从而生成对应的网络准入策略;根据不同密级、不同职责范围的不同终端中需要进行监控的状态信息和用户信息生成对应的网络监控策略;还用于根据定期检查的分析结果更新所述网络准入策略和网络监控策略;
结合网络准入策略和监控策略对待监控系统进行监控;包括根据所述网络准入策略生成或更新对应的网络准入监控模型,以对服务的提供、软件的接入或安全策略的启用进行监控;以及根据所述监控策略生成或更新对应的网络监控模型,以对所述待监控系统内的不同终端进行监控;依据特殊模式自定义策略进行终端监控;监控模型是实时监控模型,不同终端对应不同的实时监控模型;
在定期对所述数据库中的状态信息和用户信息进行检查和结合网络准入策略和监控策略对待监控系统进行监控的过程中发现异常时,发出异常告警并根据响应策略进行自动处理,包括根据待监控系统异常事件的等级发出对应等级的告警,并生成异常报告进行显示;基于待监控系统发生异常时,对管理人员的操作数据进行学习训练获得对应的响应策略模型;所述响应策略模型用于所述待监控系统再次发生同样的异常时,直接对异常进行处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011288746.9A CN112419130B (zh) | 2020-11-17 | 2020-11-17 | 基于网络安全监控和数据分析的应急响应系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011288746.9A CN112419130B (zh) | 2020-11-17 | 2020-11-17 | 基于网络安全监控和数据分析的应急响应系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112419130A CN112419130A (zh) | 2021-02-26 |
CN112419130B true CN112419130B (zh) | 2024-02-27 |
Family
ID=74831945
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011288746.9A Active CN112419130B (zh) | 2020-11-17 | 2020-11-17 | 基于网络安全监控和数据分析的应急响应系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112419130B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113259203B (zh) * | 2021-06-29 | 2022-11-22 | 智道网联科技(北京)有限公司 | 一种终端性能监控方法和装置 |
CN113965402A (zh) * | 2021-11-01 | 2022-01-21 | 安天科技集团股份有限公司 | 一种防火墙安全策略的配置方法、装置及电子设备 |
CN114612108B (zh) * | 2022-03-22 | 2023-05-23 | 湖南三湘银行股份有限公司 | 一种基于人工智能的对公支付安全防护系统 |
CN115550063B (zh) * | 2022-11-23 | 2023-03-14 | 天津安华易科技发展有限公司 | 一种网络信息安全监管方法、系统 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101075919A (zh) * | 2006-06-22 | 2007-11-21 | 腾讯科技(深圳)有限公司 | 一种互联网业务的监控系统和监控方法 |
KR20120053706A (ko) * | 2010-11-18 | 2012-05-29 | 주식회사 씨큐포인트 | 위치정보 기반 행동 감시 시스템 |
CN104811437A (zh) * | 2015-03-16 | 2015-07-29 | 南京麦伦思科技有限公司 | 一种工业控制网络中生成安全策略的系统和方法 |
CN107493265A (zh) * | 2017-07-24 | 2017-12-19 | 南京南瑞集团公司 | 一种面向工业控制系统的网络安全监控方法 |
CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
KR20180044507A (ko) * | 2016-10-24 | 2018-05-03 | 주식회사 아이티스테이션 | 지능형 지속위협 환경의 네트워크 복구 시스템 |
CN108683549A (zh) * | 2018-06-08 | 2018-10-19 | 湖北鑫英泰系统技术股份有限公司 | 一种应用于电力监控系统中的网络安全监测系统 |
CN109194501A (zh) * | 2018-08-09 | 2019-01-11 | 广东电网有限责任公司信息中心 | 智能自动化的内网应用系统应急响应处置的方法 |
CN111711616A (zh) * | 2020-05-29 | 2020-09-25 | 武汉蜘易科技有限公司 | 网络区域边界安全防护系统、方法和设备 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9710644B2 (en) * | 2012-02-01 | 2017-07-18 | Servicenow, Inc. | Techniques for sharing network security event information |
US10769920B2 (en) * | 2018-09-22 | 2020-09-08 | Fedex Corporate Services, Inc. | Systems, apparatus, and methods for detecting an environmental anomaly and initiating an enhanced automatic response using elements of a wireless node network and using sensor data from ID nodes associated with packages and environmental threshold conditions per package |
-
2020
- 2020-11-17 CN CN202011288746.9A patent/CN112419130B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101075919A (zh) * | 2006-06-22 | 2007-11-21 | 腾讯科技(深圳)有限公司 | 一种互联网业务的监控系统和监控方法 |
KR20120053706A (ko) * | 2010-11-18 | 2012-05-29 | 주식회사 씨큐포인트 | 위치정보 기반 행동 감시 시스템 |
CN104811437A (zh) * | 2015-03-16 | 2015-07-29 | 南京麦伦思科技有限公司 | 一种工业控制网络中生成安全策略的系统和方法 |
KR20180044507A (ko) * | 2016-10-24 | 2018-05-03 | 주식회사 아이티스테이션 | 지능형 지속위협 환경의 네트워크 복구 시스템 |
CN107493265A (zh) * | 2017-07-24 | 2017-12-19 | 南京南瑞集团公司 | 一种面向工业控制系统的网络安全监控方法 |
CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
CN108683549A (zh) * | 2018-06-08 | 2018-10-19 | 湖北鑫英泰系统技术股份有限公司 | 一种应用于电力监控系统中的网络安全监测系统 |
CN109194501A (zh) * | 2018-08-09 | 2019-01-11 | 广东电网有限责任公司信息中心 | 智能自动化的内网应用系统应急响应处置的方法 |
CN111711616A (zh) * | 2020-05-29 | 2020-09-25 | 武汉蜘易科技有限公司 | 网络区域边界安全防护系统、方法和设备 |
Non-Patent Citations (2)
Title |
---|
基于ID网络的内网非法外联全面防护;陈然;李京飞;;计算机与信息技术;20100420(第04期);64-66 * |
基于数据安全保密的风险评估预警研究;高希敏 等;保密科学技术;20210420(第4期);47-54 * |
Also Published As
Publication number | Publication date |
---|---|
CN112419130A (zh) | 2021-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112419130B (zh) | 基于网络安全监控和数据分析的应急响应系统及方法 | |
US20220014547A1 (en) | Method and device for managing security in a computer network | |
Kent et al. | Guide to Computer Security Log Management:. | |
Anderson et al. | Next-generation intrusion detection expert system (NIDES): A summary | |
CA2526759C (en) | Event monitoring and management | |
CN103413088B (zh) | 一种计算机文档操作安全审计系统 | |
US20030056116A1 (en) | Reporter | |
CN110661811A (zh) | 一种防火墙策略管理方法及装置 | |
CN111126729A (zh) | 智能化的安全事件闭环处置系统及其方法 | |
CN113034028A (zh) | 一种责任溯源的认定系统 | |
CN112163198B (zh) | 一种主机登录安全检测方法、系统、装置及存储介质 | |
Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
KR101233934B1 (ko) | 지능형 통합 보안 관리 시스템 및 방법 | |
CN117879887A (zh) | 一种基于人工智能的电脑主机信息传输监管系统 | |
Miloslavskaya | Information security management in SOCs and SICs | |
CN115550068B (zh) | 一种主机日志信息安全审计方法 | |
Kizza | Security Assessment, Analysis, and Assurance | |
Kent et al. | Sp 800-92. guide to computer security log management | |
Kossakowski et al. | Responding to intrusions | |
Mogull | Understanding and selecting a database activity monitoring solution | |
Awodele et al. | A Multi-Layered Approach to the Design of Intelligent Intrusion Detection and Prevention System (IIDPS). | |
CN116089965B (zh) | 一种基于sod风险模型的信息安全应急管理系统及方法 | |
Forsberg | Implementation of Centralized Log Management Solution for Ensuring Privacy of Individuals as Required by EU Regulation | |
Adel | Developing a Digital Forensic Capability for Critical Infrastructures: An Investigation Framework | |
Young et al. | Incident response and SCADA |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |