CN112491805B - 一种应用于云平台的网络安全设备管理系统 - Google Patents

一种应用于云平台的网络安全设备管理系统 Download PDF

Info

Publication number
CN112491805B
CN112491805B CN202011214785.4A CN202011214785A CN112491805B CN 112491805 B CN112491805 B CN 112491805B CN 202011214785 A CN202011214785 A CN 202011214785A CN 112491805 B CN112491805 B CN 112491805B
Authority
CN
China
Prior art keywords
network security
server
event
module
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011214785.4A
Other languages
English (en)
Other versions
CN112491805A (zh
Inventor
刘昕林
刘威
罗伟峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Power Supply Bureau Co Ltd
Original Assignee
Shenzhen Power Supply Bureau Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Power Supply Bureau Co Ltd filed Critical Shenzhen Power Supply Bureau Co Ltd
Priority to CN202011214785.4A priority Critical patent/CN112491805B/zh
Publication of CN112491805A publication Critical patent/CN112491805A/zh
Application granted granted Critical
Publication of CN112491805B publication Critical patent/CN112491805B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开一种应用于云平台的网络安全设备管理系统,包括网络安全设备以及服务器,网络安全设备用于监控流入/流出服务器的流量数据,还包括:接口转换模块,用于连接不同的网络安全设备,并采集不同的网络安全设备的原始运行日志;告警单元,用于对不同的网络安全设备的原始运行日志进行联立分析,从而得到服务器的网络安全风险情况,并执行相应的报警策略;资产风险分析模块,用于根据网络安全风险情况,判断服务器受影响后所造成的资产安全风险情况。本发明实施例的有益效果在于:通过识别网络环境中各类设备产生的日志,用事件详细分类解释网络状况,便于管理人员理解网络中实时发生的事件状态,对网络中各类事态有通用的衡量标准。

Description

一种应用于云平台的网络安全设备管理系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种应用于云平台的网络安全设备管理系统。
背景技术
目前云平台相关管理部门采用了众多网络管理工具对云平台进行监控与管理。对于目前实施保护的重要信息系统均借助多种类多厂商安全设备,这些设备与被保护对象共同构成多源异构高并发数据环境。在网络监测的应用场景里,网络安全管理工具会直接或者间接地借助各类网络安全设备,通过综合各方面采集得到的日志信息,管理员能够充分理解网络安全态势。
目前,网络安全监管存在一定的问题。其中,最关键的是如何理解采集的日志信息集合。针对不同厂商的不同设备,如何通过原始运行日志信息来实现服务器的风险判断。
发明内容
本发明所要解决的技术问题在于,提出一种应用于云平台的网络安全设备管理系统,以便于管理网络中实时发生的事件状态。
为了解决上述技术问题,本发明提供一种应用于云平台的网络安全设备管理系统,包括网络安全设备以及服务器,所述网络安全设备用于监控流入/流出服务器的流量数据,还包括:
接口转换模块,用于连接不同的网络安全设备,并采集不同的网络安全设备的原始运行日志;
告警单元,用于对不同的网络安全设备的原始运行日志进行联立分析,从而得到服务器的网络安全风险情况,并执行相应的报警策略;
资产风险分析模块,用于根据网络安全风险情况,判断服务器受影响后所造成的资产安全风险情况。
进一步地,所述接口转换模块包括应用接口层、管理服务器以及设备连接层;
应用接口层,用于供用户访问管理服务器,进而实现对网络安全设备的配制设置以及网络安全设备的原始运行日志的上传;
设备连接层,用于连接多种不同的网络安全设备,并将多种不同的网络安全设备的数据格式转换为统一的XML格式;
管理服务器,用于通过所述设备连接层采集不同网络安全设备的原始运行日志,并存储至管理服务器所对应的存储器中。
进一步地,所述网络安全设备包括防火墙设备、防病毒设备、漏洞扫描设备的一种或多种。
进一步地,所述告警单元包括:
收集模块,用于对同一类型的网络安全设备进行原始运行日志的收集并进行归一化处理,生成不同类别的原始运行数据集合,所述不同类别的原始运行数据集合包括:防火墙运行数据集合、防病毒运行数据集合、漏洞扫描运行数据集合;
风险评估模块,内设简单事件关联、事件序列关联规则,通过所述简单事件关联、事件序列关联规则将防火墙运行数据集合、防病毒运行数据集合、漏洞扫描运行数据集合组合成防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合,并分别判断防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中存在的异常安全事件。
安全事件评估模块,内设第一评判规则,根据第一评判规则,判断异常安全事件的风险等级,并对风险等级大于阈值的安全事件,发出告警信息;
所述告警策略获取模块,用于接收所述告警信息,并从告警数据库中获取相应的告警策略;
告警执行模块,用于根据所述告警策略,执行告警策略。
进一步地,所述资产风险分析模块包括:
资产威胁评估模块,内设第二评判规则,根据第二评判规则以及异常安全事件的风险等级,判断服务器的受威胁程度;
资产重要程度评估模块,内设第三评判规则,根据第三评判规则判断服务器的重要程度;
资产风险计算模块,根据服务器的受威胁程度以及服务器的重要程度,计算资产的风险值。
进一步地,所述第一评判规则包括:通过专家打分法来判断异常安全事件对服务器的影响程度,通过影响程度的不同来确定安全事件的级别;
同时对不同安全事件的级别进行赋值,得到第一赋值结果。
进一步地,所述第二评判规则包括:分别计算防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中的异常安全事件的发生次数;
通过专家打分法针对防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中的异常安全事件的不同发生次数进行分别赋值,得到第二赋值结果。
进一步地,所述第三评判规则包括:通过专家打分法来判断服务器对整体网络的重要程度;
同时针对不同重要程度的级别进行赋值,得到第三赋值结果。
本发明实施例的有益效果在于:通过识别网络环境中各类设备产生的日志,用事件详细分类解释网络状况,针对所有事件集合,明确地给出了事件的详细分类情况,便于管理人员理解网络中实时发生的事件状态,对网络中各类事态有通用的衡量标准;对纳入事件体系的事态有进一步量化的基础;事件体系的动态性能弥补安全监管过程中被管理员忽视的重要安全事实;具体详细的事件分类易于完成信息的识别。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种应用于云平台的网络安全设备管理系统的模块整体示意图。
图2为本发明提供的一种应用于云平台的网络安全设备管理系统的告警单元示意图。
具体实施方式
以下各实施例的说明是参考附图,用以示例本发明可以用以实施的特定实施例。
请参见图1至图2,本发明公开了一种应用于云平台的网络安全设备管理系统,包括网络安全设备以及服务器,所述网络安全设备用于监控流入/流出服务器的流量数据,还包括:
接口转换模块,用于连接不同的网络安全设备,并采集不同的网络安全设备的原始运行日志;
告警单元,用于对不同的网络安全设备的原始运行日志进行联立分析,从而得到服务器的网络安全风险情况,并执行相应的报警策略;
资产风险分析模块,并根据网络安全风险情况,判断服务器受影响后所造成的资产安全风险情况。
在本发明的优选实施例中,可选的,所述接口转换模块包括应用接口层、管理服务器以及设备连接层;
应用接口层,用户通过应用接口层来访问管理服务器,进而实现对网络安全设备的配制设置以及网络安全设备的原始运行日志的上传;
设备连接层,用于连接多种不同的网络安全设备,并将多种不同的网络安全设备的数据格式转换为统一的XML格式;
管理服务器,用于通过所述设备连接层采集不同网络安全设备的原始运行日志,并存储至管理服务器所对应的存储器中。
优选的,所述网络安全设备包括防火墙设备、防病毒设备、漏洞扫描设备的一种或多种。
优选的,所述告警单元包括:
收集模块,用于对同一类型的网络安全设备进行原始运行日志的收集并进行归一化处理,生成不同类别的原始运行数据集合,所述不同类别的原始运行数据集合包括:防火墙运行数据集合、防病毒运行数据集合、漏洞扫描运行数据集合;
风险评估模块,内设简单事件关联、事件序列关联规则,通过所述简单事件关联、事件序列关联规则将防火墙运行数据集合、防病毒运行数据集合、漏洞扫描运行数据集合组合成防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合,并分别判断防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中存在的异常安全事件
需要说明的是,简单事件关联是根据原始日志信息之间的与、或、非等关系将多条日志组合成新的事件;事件序列关联是把日志触发的先后顺序作为组合成新事件的规则,操作人员根据安全需求不同,可以自由对相应的操作关联规则进行设置。
安全事件评估模块,内设第一评判规则,根据第一评判规则,判断异常安全事件的风险等级,并对风险等级大于阈值的安全事件,发出告警信息;
需要说明的是,所述第一评判规则包括:通过专家打分法来判断异常安全事件对服务器的影响程度,通过影响程度的不同来确定安全事件的级别;
同时对不同安全事件的级别进行赋值,得到第一赋值结果,其具体如表1所示:
表1
赋值 异常安全事件的级别
5 极高
4
3
2
1
需要说明的是,对异常安全事件的级别在中级以上的,发出告警信息。
所述告警策略获取模块,用于接收所述告警信息,并从告警数据库中获取相应的告警策略;
告警执行模块,用于根据所述告警策略,执行告警策略。
优选的,所述资产风险分析模块包括:
资产威胁评估模块,内设第二评判规则,根据第二评判规则以及异常安全事件的风险等级,判断服务器的受威胁程度;
需要说明的是,所述第二评判规则包括:分别计算防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中的异常安全事件的发生次数;
通过专家打分法针对防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中的异常安全事件的不同发生次数进行分别赋值,得到第二赋值结果。
以防火墙运行事件集合中的异常安全事件发生次数来举例,具体赋值情况如表2所示:
表2
资产重要程度评估模块,内设第三评判规则,根据第三评判规则判断服务器的重要程度;
需要说明的是,所述第三评判规则包括:通过专家打分法来判断服务器对整体网络的重要程度;
同时针对不同重要程度的级别进行赋值,得到第三赋值结果,其具体如表3所示:
表3
赋值 对整体网络影响情况
5 对整体网络至关重要影响巨大
4 对整体网络影响大
3 对整体网络影响不大
2 对整体网络影响较小
1 对整体网络影响可以忽略
资产风险计算模块,根据服务器的受威胁程度以及服务器的重要程度,计算资产的风险值。
需要说明的是,其具体计算方式为:
首先通过下式计算分别计算防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中服务器的异常安全事件的攻击级别:
服务器资产风险级别=整体攻击级别×服务器对网络影响结果
当防火墙运行事件集合中,异常安全事件出现次数为170次,最严重的级别为高级;
防病毒运行事件集合中,异常安全事件出现次数为120次,最严重的级别为极高;
漏洞扫描运行事件集合中,异常安全事件出现次数为90次,最严重级别为极高;
并且已知该服务器崩溃后对网络的影响较大;
资产风险值的结果介于1到30之间,资产风险值的评判结果具体如表4所示:
表4
资产风险值 结果范围
极高 【25,30】
【19,24】
【13,18】
【7,12】
【1,6】
通过以上计算结果,可判断服务器的资产风险级别为中级,在后期改进中,可重点针对该服务器的安全设置进行修正。
通过上述说明可知,本发明实施例的有益效果在于:通过识别网络环境中各类设备产生的日志,用事件详细分类解释网络状况,针对所有事件集合,明确地给出了事件的详细分类情况,便于管理人员理解网络中实时发生的事件状态,对网络中各类事态有通用的衡量标准;对纳入事件体系的事态有进一步量化的基础;事件体系的动态性能弥补安全监管过程中被管理员忽视的重要安全事实;具体详细的事件分类易于完成信息的识别。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (5)

1.一种应用于云平台的网络安全设备管理系统,包括网络安全设备以及服务器,所述网络安全设备用于监控流入/流出服务器的流量数据,其特征在于,还包括:
接口转换模块,用于连接不同的网络安全设备,并采集不同的网络安全设备的原始运行日志;
告警单元,用于对不同的网络安全设备的原始运行日志进行联立分析,从而得到服务器的网络安全风险情况,并执行相应的报警策略;
资产风险分析模块,用于根据网络安全风险情况,判断服务器受影响后所造成的资产安全风险情况;
所述网络安全设备包括防火墙设备、防病毒设备、漏洞扫描设备的一种或多种;
所述告警单元包括:
收集模块,用于对同一类型的网络安全设备进行原始运行日志的收集并进行归一化处理,生成不同类别的原始运行数据集合,所述不同类别的原始运行数据集合包括:防火墙运行数据集合、防病毒运行数据集合、漏洞扫描运行数据集合;
风险评估模块,内设简单事件关联、事件序列关联规则,防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合,并分别判断防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中存在的异常安全事件;
安全事件评估模块,内设第一评判规则,根据第一评判规则,判断异常安全事件的风险等级,并对风险等级大于阈值的安全事件,发出告警信息;
所述告警策略获取模块,用于接收所述告警信息,并从告警数据库中获取相应的告警策略;
告警执行模块,用于根据所述告警策略,执行告警策略;
所述资产风险分析模块包括:
资产威胁评估模块,内设第二评判规则,根据第二评判规则以及异常安全事件的风险等级,判断服务器的受威胁程度;
资产重要程度评估模块,内设第三评判规则,根据第三评判规则判断服务器的重要程度;
资产风险计算模块,根据服务器的受威胁程度以及服务器的重要程度,计算资产的风险值。
2.根据权利要求1所述的应用于云平台的网络安全设备管理系统,其特征在于,所述接口转换模块包括应用接口层、管理服务器以及设备连接层;
应用接口层,用于供用户访问管理服务器,进而实现对网络安全设备的配制设置以及网络安全设备的原始运行日志的上传;
设备连接层,用于连接多种不同的网络安全设备,并将多种不同的网络安全设备的数据格式转换为统一的XML格式;
管理服务器,用于通过所述设备连接层采集不同网络安全设备的原始运行日志,并存储至管理服务器所对应的存储器中。
3.根据权利要求1所述的应用于云平台的网络安全设备管理系统,其特征在于,所述第一评判规则包括:通过专家打分法来判断异常安全事件对服务器的影响程度,通过影响程度的不同来确定安全事件的级别;
同时对不同安全事件的级别进行赋值,得到第一赋值结果。
4.根据权利要求1所述的应用于云平台的网络安全设备管理系统,其特征在于,所述第二评判规则包括:分别计算防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中的异常安全事件的发生次数;
通过专家打分法针对防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中的异常安全事件的不同发生次数进行分别赋值,得到第二赋值结果。
5.根据权利要求1所述的应用于云平台的网络安全设备管理系统,其特征在于,所述第三评判规则包括:通过专家打分法来判断服务器对整体网络的重要程度;
同时针对不同重要程度的级别进行赋值,得到第三赋值结果。
CN202011214785.4A 2020-11-04 2020-11-04 一种应用于云平台的网络安全设备管理系统 Active CN112491805B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011214785.4A CN112491805B (zh) 2020-11-04 2020-11-04 一种应用于云平台的网络安全设备管理系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011214785.4A CN112491805B (zh) 2020-11-04 2020-11-04 一种应用于云平台的网络安全设备管理系统

Publications (2)

Publication Number Publication Date
CN112491805A CN112491805A (zh) 2021-03-12
CN112491805B true CN112491805B (zh) 2023-07-28

Family

ID=74928352

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011214785.4A Active CN112491805B (zh) 2020-11-04 2020-11-04 一种应用于云平台的网络安全设备管理系统

Country Status (1)

Country Link
CN (1) CN112491805B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113132389A (zh) * 2021-04-21 2021-07-16 广东电网有限责任公司梅州供电局 一种网络安全监测系统
CN113596060A (zh) * 2021-08-30 2021-11-02 深圳市玄羽科技有限公司 一种网络安全应急响应方法及系统
CN113449328B (zh) * 2021-08-31 2022-02-15 深圳市深航华创汽车科技有限公司 一种金融互联网用户数据安全处理方法及系统
CN114584365A (zh) * 2022-03-01 2022-06-03 北京优炫软件股份有限公司 一种安全事件分析响应方法以及系统
CN117675505A (zh) * 2022-09-08 2024-03-08 华为技术有限公司 事件处理方法、装置及系统
CN115277265B (zh) * 2022-09-29 2022-12-13 中粮信息科技有限公司 一种网络安全应急处置方法和系统
CN116318915A (zh) * 2023-02-22 2023-06-23 深圳市众云网有限公司 一种网络安全风险评估服务系统
CN116566729B (zh) * 2023-06-15 2024-02-13 广州谦益科技有限公司 基于安全云的网络安全运营分析方法、装置、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104125217A (zh) * 2014-06-30 2014-10-29 复旦大学 一种基于主机日志分析的云数据中心实时风险评估方法
CN106209829A (zh) * 2016-07-05 2016-12-07 杨林 一种基于告警策略的网络安全管理系统
CN106209826A (zh) * 2016-07-08 2016-12-07 瑞达信息安全产业股份有限公司 一种网络安全设备监测的安全事件分析方法
CN108494727A (zh) * 2018-02-06 2018-09-04 成都清华永新网络科技有限公司 一种用于网络安全管理的安全事件闭环处理方法
CN110598404A (zh) * 2019-09-17 2019-12-20 腾讯科技(深圳)有限公司 安全风险监控方法、监控装置、服务器和存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统

Also Published As

Publication number Publication date
CN112491805A (zh) 2021-03-12

Similar Documents

Publication Publication Date Title
CN112491805B (zh) 一种应用于云平台的网络安全设备管理系统
CN112769796B (zh) 一种基于端侧边缘计算的云网端协同防御方法及系统
CN111669375B (zh) 一种电力工控终端在线安全态势评估方法及系统
CN114757590B (zh) 基于大数据分析的企业运营风险预警及管控系统
CN108964995A (zh) 基于时间轴事件的日志关联分析方法
CN107612740A (zh) 一种分布式环境下的日志监控系统及方法
CN113553210A (zh) 告警数据的处理方法、装置、设备及存储介质
CN113157994A (zh) 一种多源异构平台数据处理方法
US20210044607A1 (en) Monitor, monitoring method, and recording medium
CN114615016B (zh) 一种企业网络安全评估方法、装置、移动终端及存储介质
CN104574219A (zh) 电网业务信息系统运行工况的监测预警方法及系统
CN116366374A (zh) 基于大数据的电网网络管理的安全评估方法、系统及介质
CN108833442A (zh) 一种分布式网络安全监控装置及其方法
CN113743725B (zh) 基于边缘计算的登高作业人员的登高资质检测方法及系统
CN113535518B (zh) 一种用户行为的分布式实时动态监控方法及系统
CN109936487A (zh) 一种网络广播包的实时分析与监测方法及系统
CN113407520A (zh) 一种基于机器学习的电力网络安全数据清洗系统及方法
CN112365692A (zh) 风电场运维人员未戴安全帽检测系统及方法
KR102188096B1 (ko) 건설 구조물의 센서의 이벤트 분석방법
CN118094531B (zh) 一种安全运维实时预警一体化系统
JP2019175070A (ja) アラート通知装置およびアラート通知方法
CN116668062B (zh) 一种基于数据分析的网络安全运维管理平台
CN117675611A (zh) 一种通过ai技术预判ip电路流量突变故障的方法和装置
CN117749645B (zh) 一种机房动态ip地址数据采集方法
US20230123045A1 (en) Apparatus and method for generating data set

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant