CN112995019B - 网络安全态势感知信息的显示方法及客户端 - Google Patents
网络安全态势感知信息的显示方法及客户端 Download PDFInfo
- Publication number
- CN112995019B CN112995019B CN202110306669.3A CN202110306669A CN112995019B CN 112995019 B CN112995019 B CN 112995019B CN 202110306669 A CN202110306669 A CN 202110306669A CN 112995019 B CN112995019 B CN 112995019B
- Authority
- CN
- China
- Prior art keywords
- information
- equipment
- item
- security
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/04—Real-time or near real-time messaging, e.g. instant messaging [IM]
- H04L51/046—Interoperability with other network applications or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Human Computer Interaction (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了网络安全态势感知信息的显示方法及客户端,涉及网络信息安全技术领域。所述方法包括步骤:在用户与联系人对象的即时通信交互界面设置态势感知控件,所述态势感知控件关联有设备显示界面,所述设备显示界面中输出有关联网络设备信息;采集用户或联系人对象触发前述态势感知控件的操作信息,激活前述设备显示界面;获取设备显示界面中被选择的目标关联网络设备,分析其安全事件信息生成网络安全态势曲线;将所述网络安全态势曲线在设备显示界面输出。本发明能够通过即时通信交互界面输出关联网络设备的网络安全态势感知信息,提高了用户与联系人对象就关联网络设备信息进行交互的沟通效率。
Description
技术领域
本发明涉及网络信息安全技术领域,具体涉及一种网络安全态势感知信息的显示方法及客户端。
背景技术
在网络信息安全技术研究中,安全评估方法层出不穷,常用的包括等级保护、安全态势感知等方法,每一种方法都有其各自特点。信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统(网络设备)分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。为此,国家制定了对应的《信息系统安全等级保护测评要求》等管理规范和技术标准。等保测评(全称为信息系统安全等级保护测评)即是参照《信息系统安全等级保护测评要求》中的技术数据对信息系统使用的网络设备进行测评工作。网络安全态势感知(network security situation awareness;NSSA)是指:在一定的时间和空间范围内,对组织的安全状态以及威胁环境的感知,理解这两者的含义以及意味的风险,并对它们未来的状态进行预测。网络安全态势感知的目的是深入理解当前的风险,并可以对未来的风险进行预测、预防(数据分析)。网络安全态势感知的网络对象可以是处于网络环境中的网络设备、网络系统等。
无论是信息安全等级保护还是网络安全态势感知中,都可能涉及到网络设备信息的采集、分析和显示。所述网络设备(包括网络设备中的部件)一般指连接到网络中的物理实体,常见的网络设备的种类繁多,典型的可以包括:计算机(无论其为个人电脑或服务器)、集线器、交换机、网桥、路由器、网关、网络接口卡(NIC)、无线接入点(WAP)、打印机和调制解调器、光纤收发器等。目前,网络设备信息的采集、分析和显示往往基于专门的数据分析工具,如果用户需要就上述信息与他人进行沟通,还是依赖于常用的通信交互方式——比如即时通信交互、邮件通信交互等。其中,即时通信交互是最常用的信息交互方式之一。
然而,常规的即时通信工具无法基于网络设备输出相关信息,降低了用户与联系人对象针对网络设备进行交互时的沟通效率;另一方面,在交互过程中,由于普通的即时通信消息和与设备相关的即时通信消息无差别显示,不利于用户查阅和管理与设备相关的交互消息。
如何提供一种适用于网络信息安全保护的、便于进行关联网络设备信息交互的通信方法,是当前亟需解决的技术问题。
发明内容
本发明的目的是提供一种网络安全态势感知信息的显示方法及客户端,本发明的优点在于:在即时通信交互界面设置态势感知控件,所述态势感知控件被触发后能够激活一设备显示界面,所述设备显示界面被激活后,能够供用户选择目标关联网络设备并触发对其进行网络安全态势感知,然后通过设备显示界面输出网络安全态势曲线。如此,提高了用户与联系人对象就关联网络设备信息进行交互的沟通效率。
为实现上述目标,本发明提供了如下技术方案:
一种网络安全态势感知信息的显示方法,包括如下步骤:
在用户与联系人对象的即时通信交互界面设置态势感知控件,所述态势感知控件关联有设备显示界面,所述设备显示界面中输出有关联网络设备信息;
采集用户或联系人对象触发前述态势感知控件的操作信息,激活前述设备显示界面;
获取设备显示界面中被选择的关联网络设备,将该关联网络设备作为目标关联网络设备,分析目标关联网络设备的日志数据和/或网络流量数以获取安全事件信息;基于所述安全事件信息生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势;
将所述网络安全态势曲线在设备显示界面输出。
进一步,基于前述网络安全态势曲线及其对应的关联网络设备信息生成即时通信消息后通过前述即时通信交互界面发送给交互对象。
进一步,所述安全事件信息包括日志安全事件信息和流量安全事件信息,所述日志安全事件信息为从日志数据中提取的异常事件及异常事件发生时间信息,所述异常事件包括病毒攻击事件、木马攻击事件、DOS攻击事件和/或蠕虫攻击事件;所述流量安全事件为从网络流量数据中提取的流量异常事件以及流量异常事件发生时间,所述流量异常事件包括预设时间段流量异常事件、日流量异常事件、周流量异常事件、月流量异常事件和/或季度流量异常事件。
进一步,基于预设的风险等级模型获取每个安全事件对应的风险等级信息,并根据风险等级对每个安全事件进行标识;
在输出网络安全态势曲线,输出总态势曲线和基于风险等级的态势曲线;所述总态势曲线将任一时刻发生的安全事件的总数作为该时刻的安全态势值;所述基于风险等级的态势曲线与各安全事件标识的风险等级对应,对于任一风险等级,获取标识为该风险等级的所有安全事件信息,将任一时刻发生的属于该风险等级的安全事件总数作为该时刻的安全态势值。
进一步,所述风险等级至少包括高风险等级、中风险等级和低风险等级,对各风险等级安全事件的出现时间进行比对分析,获取高风险等级安全事件、中风险等级安全事件和低风险等级安全事件在时间上的关联规则;
基于预设时间周期更新目标关联网络设备的安全事件信息,在出现低风险等级安全事件时,基于前述时间上的关联规则预测高风险等级安全事件和中风险等级安全事件的发生概率和发生时间,当预测的发生概率大于预设阈值时形成预警报告,将所述预警报告作为即时通信消息发送给前述联系人对象和/或其他关联人员。
进一步,所述设备显示界面作为前述即时通信交互界面中的一部分设置在即时通信交互界面中;
或者,所述设备显示界面作为独立窗口对应着前述即时通信交互界面设置。
进一步,所述设备显示界面包括设备信息显示栏、态势信息显示栏和处理事项显示栏;
所述设备信息显示栏用于显示关联网络设备的基本信息;
所述态势信息显示栏用于显示目标关联网络设备的网络安全态势曲线信息;
所述处理事项显示栏用于显示与网络安全等级保护相关的处理事项。
进一步,在设备信息显示栏中,对应每个关联网络设备设置有一一对应的网络设备图标;
获取用户对前述网络设备图标的触发操作,将触发的网络设备图标对应的关联网络设备作为被选择的目标关联网络设备。
进一步,还包括步骤:
获取前述即时通信交互界面中发送的即时通信消息,判断所述即时通信消息是否为文字或文档类型或语音类型;
判定为文字或文档类型时,对文字或文档内容进行语义分析,判断是否包含与网络安全等级保护相关的处理事项信息;判定为语音类型时,对语音消息进行语音识别获取对应的文本信息后,再通过语义分析判断文本信息中是否包含与网络安全等级保护相关的处理事项信息;
判定包含处理事项信息时,获取每个处理事项的事项名称、事项编号和/或事项图标在前述处理事项显示栏中输出。
本发明还提供了一种显示网络安全态势感知信息的即时通信客户端,包括如下结构:
控件设置模块,用于在用户与联系人对象的即时通信交互界面设置态势感知控件,所述态势感知控件关联有设备显示界面,所述设备显示界面中输出有关联网络设备信息;
信息采集模块,采集用户或联系人对象触发前述态势感知控件的操作信息,激活前述设备显示界面;
信息处理模块,用于获取设备显示界面中被选择的关联网络设备,将该关联网络设备作为目标关联网络设备,分析目标关联网络设备的日志数据和/或网络流量数以获取安全事件信息;基于所述安全事件信息生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势;
信息输出模块,用于将所述网络安全态势曲线在设备显示界面输出。
本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:在即时通信交互界面设置态势感知控件,所述态势感知控件被触发后能够激活一设备显示界面,所述设备显示界面被激活后,能够供用户选择目标关联网络设备并触发对其进行网络安全态势感知,然后通过设备显示界面输出网络安全态势曲线。如此,提高了用户与联系人对象就关联网络设备信息进行交互的沟通效率。
附图说明
图1为本发明实施例提供的网络安全态势感知信息的显示方法的流程图。
图2为本发明实施例提供的联系人显示界面示例图。
图3为本发明实施例提供的具有态势感知控件的即时通信交互界面的界面示例图。
图4为本发明实施例提供的通过即时通信交互界面发送网络安全态势感知信息的操作示例图。
图5为本发明实施例提供的即时通信交互界面中设备显示界面的各栏示例图。
图6为本发明实施例提供的即时通信客户端的模块结构示意图。
附图标记说明:
IM工具主界面100,用户头像110,联系人列表120,联系人对象121;
即时通信交互界面300,对话联系人显示栏310,交互信息显示栏320,交互信息输入栏330,交互工具栏340,态势感知控件341,设备显示界面350,设备信息显示栏351,态势信息显示栏352,处理事项显示栏353;
客户端400,控件设置模块410,信息采集模块420,信息处理模块430,信息输出模块440。
具体实施方式
以下结合附图和具体实施例对本发明公开的网络安全态势感知信息的显示方法及客户端作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明实施例提供的一种网络安全态势感知信息的显示方法。所述方法包括如下步骤:
S100,在用户与联系人对象的即时通信交互界面设置态势感知控件,所述态势感知控件关联有设备显示界面,所述设备显示界面中输出有关联网络设备信息。
所述即时通信(即IM,全称Instant Messaging)工具,又称即时通讯工具,本领域通常指具有即时通信功能的客户端。作为举例而非限制,所述即时通信工具可以是网络版应用,也可以是PC版应用或者手持终端APP应用。
用户通过登录即时通信工具,建立了即时通信客户端与即时通信服务器之间的连接。即时通信工具通过用户终端显示屏向用户输出IM工具主界面,参见图2所示。现有技术中,所述IM工具主界面100可以显示即时通信服务器推送的联系人列表120等信息,该联系人列表120中记录了好友(即联系人对象121)的头像、昵称、签名、在线状态、会话消息以及排序等好友信息等。
若用户针对联系人列表120中的某一联系人对象121,触发了交互操作——常用的,比如点击触发对应的联系人头像——则会相应地生成即时通信交互界面。所述即时通信交互界面,用于展现历史交互信息、当前交互信息等。以即时通信工具微信为例,比如用户触发联系人列表中的联系人对象“Mary-一八科技网管1”的头像后,显示屏会弹出与该联系人对象“Mary-一八科技网管1”对应的即时通信交互界面300,参见图3所示。
所述即时通信交互界面300中通常会显示对话联系人显示栏310、交互信息显示栏320、交互信息输入栏330和交互工具栏340。所述交互工具栏340通常显示有常用的语音聊天控件、表情图标控件,以及更多工具选项。用户触发更多工具选项后,还可以在即时通信交互界面中输出了控件显示栏以展示用户可以使用的应用控件——比如照相应用、摄像应用、位置应用、收藏应用等。
本实施例中,所述态势感知控件可以设置在即时通信交互界面300的任意位置,优选的,将所述态势感知控件341设置在交互工具栏340中,参见图3所示。所述态势感知控件341可以关联有预设的设备显示界面350,所述设备显示界面350能够输出预设的关联网络设备信息。可选的,用户可对工具栏中所述态势感知控件341的显示图标、显示位置进行设置和修改,还可以在激活后的设备显示界面350中对关联网络设备信息进行编辑。
优选的,所述关联网络设备与前述联系人对象关联的一个或多个网络设备。作为优选,比如联系人对象为网管人员,前述关联网络设备为其负责管理的多个网络设备。结合图2所示,比如用户通过IM工具添加了客户“一八科技公司”的网管人员Mary的IM账号,在用户的联系人列表中建立与网管人员Mary对应的联系人对象,用户设置的联系人昵称为“Mary-一八科技网管1”。所述Mary的IM账号可以关联有其负责管理的网络设备信息,所述关联网络设备信息可以在设备显示界面输出。可选的,在联系人列表120中,对关联有网络设备的联系人对象的头像图标进行区别标识,以与普通联系人对象(未关联网络设备)进行区分。
联系人对象与网络设备的关联关系,可以由用户设置——比如用户制作网管与网络设备的映射信息表并存储在系统服务器中;也可以通过读取关联系统服务器中预设的网管与网络设备的映射信息表来获取;还可以由联系人对象设置自己与网络设备的映射信息表并上传至系统服务器,以便系统中的其它用户获取使用。
S200,采集用户或联系人对象触发前述态势感知控件的操作信息,激活前述设备显示界面。
作为典型方式的举例,所述态势感知控件341在被触发后(比如用户通过鼠标或手指点击该态势感知控件341的图标),设备显示界面350被激活。
所述设备显示界面350被激活后,用户可以在设备显示界面350输出的关联网络设备中选择目标关联网络设备。作为举例而非限制,比如用户通过鼠标或手指点击目标关联网络设备的图标——比如图3中设备显示界面350输出的设备1图标,或者通过分析用户的语音或手势动作等获取用户选择的目标关联网络设备。
可选的,在设备显示界面350被激活后,用户还可以对设备显示界面中的关联网络设备信息进行主动更新。所述的主动更新,作为举例,比如用户主动触发目标关联网络设备对象,对应着目标关联网络设备对象输出操作项列表,所述操作项列表中显示有名称更改、型号更改、基本信息设置、图像信息设置等操作项,用户可以根据需要选择其中一个或多个操作项进行信息更新。
进一步,用户还可以再次触发态势感知控件以使设备显示界面重新恢复未激活状态,此时用户无法对设备显示界面350中的关联网络设备进行选择和信息更新。
S300,获取设备显示界面中被选择的关联网络设备,将该关联网络设备作为目标关联网络设备,分析目标关联网络设备的日志数据和/或网络流量数以获取安全事件信息;基于所述安全事件信息生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势。
被选择的关联网络设备记为目标关联网络设备,比如设备1。随后,获取设备1的日志数据和/或网络流量数据进行安全事件分析以获取设备1的安全事件信息。
本实施例中,所述安全事件信息可以包括日志安全事件信息和流量安全事件信息。所述日志安全事件信息为从日志数据中提取的异常事件及异常事件发生时间信息,所述异常事件可以包括病毒攻击事件、木马攻击事件、DOS攻击事件和/或蠕虫攻击事件。所述流量安全事件为从网络流量数据中提取的流量异常事件以及流量异常事件发生时间。所述流量异常事件可以包括预设时间段流量异常事件、日流量异常事件、周流量异常事件、月流量异常事件和/或季度流量异常事件。
所述日志数据,是指网络设备中产生的过程性事件的记录数据。实际应用中,对网络设备的日志数据进行采集,可以通过设置日志采集代理来对日志数据进行采集。具体的,在设置日志数据采集格式后,启动前述日志采集代理,将采集到的原始日志中的日志数据按照日志数据采集格式存储于源日志数据库中,完成日志数据的采集。
获取网络设备的日志数据之后,还可以对日志数据进行预处理以便于后续提取安全事件信息。具体的,从源日志数据库中获取日志数据后送入解析器,由解析器进行统一格式化处理以将日志数据转化为统一的格式。作为举例而非限制,比如通常统一的格式中的字段可以包括日志接收时间、日志产生时间、用户名称、源IP地址、源MAC地址、源端口号、操作名称、目的IP地址、目的MAC地址、目的端口号、日志的事件名称、摘要、等级、类型、协议、设备地址、设备名称、设备类型等信息。当然,根据需要,还可以预留多个备用字段以供各种其他事件分析模型使用。最终,将解析器对日志数据进行预处理后的日志数据存入日志数据库,以供后续使用。
所述网络流量数据,是指网络设备的网络流量变化数据。实际应用中,可以通过内嵌于交换机或路由器的Netflow采集器,按一定采样间隔对网络流量数据进行采集,也可以在相应的关键节点上布置网络流量数据采集设备,将采集到的网络流量数据存入源网络流量数据库中,完成网络流量数据的采集;又或者,基于关键路径旁路部署流量探针的数据采集方式或基于网络流量全镜像的数据采集方式或基于实时数据抓包的网络数据采集方式或基于SNMP的网络数据采集方式对网络设备的网络流量数据进行采集,在此不做限制。
同理的,在获取到网络设备的网络流量数据之后,也可以对网络流量数据进行预处理以便于后续提取安全事件信息。具体的,从源网络流数据库中获取网络流量数据,然后从网络流量数据中提取预设的流量指标信息,作为举例而非限制,比如平均CPU占用率、平均内存使用率、平均流数、平均流长、平均流持续时间、源/目的IP地址分布、端口号分布、流入流出比、流对称度等指标信息,然后将经过上述预处理的网络流量数据存入网络流量数据库,以供后续使用。
对设备1对应的日志数据库和网络流量数据库进行安全事件分析,就可以获取设备1的安全事件信息。作为典型方式的举例,所述安全事件分析是基于预设的事件分析模型的,所述事件分析模型中能够从预处理后的日志数据和网络流量数据中,基于大数据分析和机器学习提取出与安全事件相关的异常数据——比如事件名称中包含木马、蠕虫、DOS攻击等关键字的日志异常数据,或者运行数据超出预设震荡范围的流量异常数据;然后,将上述异常数据标识为安全事件。
根据目标关联网络设备的安全事件信息,可以生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势。优选的,所述网络安全态势曲线采用时间轴为横轴,采用安全事件数量作为纵轴。
S400,将所述网络安全态势曲线在设备显示界面输出。
最后,将前述生成的网络安全态势曲线在设备显示界面350中输出,参见图3所示。
本实施例中,还可以基于前述网络安全态势曲线及其对应的目标关联网络设备信息生成即时通信消息后通过前述即时通信交互界面发送给交互对象。作为举例,比如根据用户Austus在设备显示界面中选择的目标关联网络设备“设备1”,在获取设备1的网络安全态势曲线后,将设备1的网络安全态势曲线和设备基本信息(比如设备名称、型号、编号、图像、位置信息等基本属性信息)整合后生成doc格式的安全报告发送给前述联系人对象“Mary-一八科技网管1”(“Mary-一八科技网管1”是用户“Austus”在即时通信交互界面300中的交互对象),参见图4所示。联系人对象“Mary-一八科技网管1”是设备1的网管人员。可选的,发送前述即时通信消息后,可以保持网络安全态势曲线在设备显示界面350中的显示状态,也可以不再显示网络安全态势曲线。
本实施例的一个实施方式中,所述设备显示界面可以作为前述即时通信交互界面中的一部分设置在即时通信交互界面中。即,设备显示界面作为即时通信交互界面的一个子窗口进行显示。
本实施例的另一个实施方式中,所述设备显示界面可以作为独立窗口对应着前述即时通信交互界面设置。具体设置时,所述设备显示界面可以设置在即时通信交互界面的左侧、右侧、上侧或下侧。可选的,所述设备显示界面的高度尺寸与即时通信交互界面的高度尺寸一致。
参见图5所示,作为典型方式的优选,所述设备显示界面350具体可以包括设备信息显示栏351、态势信息显示栏352和处理事项显示栏353。
所述设备信息显示栏351,用于显示关联网络设备的基本信息。所述基本信息,包括设备名称、型号、编号、图像、位置信息等基本属性信息。
可选的,在设备信息显示栏351中,对应每个关联网络设备设置有一一对应的网络设备图标。获取用户对前述网络设备图标的触发操作,将触发的网络设备图标对应的关联网络设备作为被选择的目标关联网络设备。
所述态势信息显示栏352,用于显示目标关联网络设备的网络安全态势曲线信息。作为举例,比如用户选择的目标关联网络设备为设备2,则在态势信息显示栏352中输出设备2的网络安全态势曲线信息。
所述处理事项显示栏353,用于显示与网络安全等级保护相关的处理事项,包括但不限于处理事项的事项名称、事项编号、事项图标、事项关键词、事项进展等信息。
所述与网络安全等级保护相关的处理事项信息,可以由用户预先设置。网络安全等级保护可以分为五个级别,分别为第一级(用户自主保护级)、第二级(系统审计保护级)、第三级(安全标记保护级)、第四级(结构化保护级)和第五级(访问验证保护级),用户可以针对等保的不同级别设置对应的处理事项信息,不同的级别对应有不同的处理事项信息,每个处理事项可以对应自己的事项名称、事项编号、事项图标、事项内容、事项涉及规范或标准等。
本实施例的中,还可以基于预设的风险等级模型获取每个安全事件对应的风险等级信息,并根据风险等级对每个安全事件进行标识。在输出网络安全态势曲线,可以输出总态势曲线和基于风险等级的态势曲线。所述总态势曲线将任一时刻发生的安全事件的总数作为该时刻的安全态势值。所述基于风险等级的态势曲线与各安全事件标识的风险等级对应,对于任一风险等级,获取标识为该风险等级的所有安全事件信息,将任一时刻发生的属于该风险等级的安全事件总数作为该时刻的安全态势值。如此,使得用户可以基于不同的风险等级,获取目标关联网络设备的风险信息以及风险预警信息,如此,可以对目标关联网络设备的风险有更准确的预判。
优选的,所述风险等级至少包括高风险等级、中风险等级和低风险等级。对各风险等级安全事件的出现时间进行比对分析,获取高风险等级安全事件、中风险等级安全事件和低风险等级安全事件在时间上的关联规则。以及,基于预设时间周期更新目标关联网络设备的安全事件信息,在出现低风险等级安全事件时,基于前述时间上的关联规则预测高风险等级安全事件和中风险等级安全事件的发生概率和发生时间,当预测的发生概率大于预设阈值时形成预警报告,将所述预警报告作为即时通信消息发送给前述联系人对象和/或其他关联人员。
本实施例的另一实施方式中,还可以获取用户在即时通信交互界面中发送的即时通信消息,在所述即时通信消息涉及网络安全等级保护相关的处理事项时,将对应的处理事项在处理事项显示栏353中显示。
具体的,包括步骤:获取前述即时通信交互界面中发送的即时通信消息,判断所述即时通信消息是否为文字或文档类型或语音类型。
判定为文字或文档类型时,对文字或文档内容进行语义分析,判断是否包含与网络安全等级保护相关的处理事项信息;判定为语音类型时,对语音消息进行语音识别获取对应的文本信息后,再通过语义分析判断文本信息中是否包含与网络安全等级保护相关的处理事项信息。判定包含处理事项信息时,获取每个处理事项的事项名称、事项编号和/或事项图标在前述处理事项显示栏中输出。
可选的,在所述处理事项显示栏353中,可以按照对应即时通信消息的发送时间顺序显示N条最新的处理事项——优选的以列表方式显示,每一条处理事项对应一行。参见图5中的处理事项显示栏353,以列表输出了2个处理事项的事项名称。
所述N为大于1的整数,N的具体数值可以由用户根据联系人对象的关联网络设备数量设置,也可以采用默认设置值。当待处理的处理事项数量大于N时,可以将时间靠前的处理事项进行折叠显示,并输出折叠控件,用户可以通过触发所述折叠控件来弹出新窗口以显示完整的处理事项列表。
可选的,用户可以通过触发处理事项显示栏353中的事项信息来触发关联网络设备进行测评。
具体的,首先,采集用户对前述处理事项显示栏353中输出的事项名称、事项编号和/或事项图标的触发操作——比如用户点击图5中的第1个处理事项的事项名称“设备1虚拟攻击测试”。然后,基于预设的事项处理表,所述事项处理表中存储有事项名称、事项编号和/或事项图标与具体测评内容的映射关系,根据前述事项名称、事项编号和/或事项图标获取对应的具体测评内容,所述具体测评内容包括测评设备对象和测评要求。随后,触发与前述测评设备对象匹配的关联网络设备——设备1进入测评状态,测评完成后得到该关联网络设备的测评结果文件。最后,可以将前述测评结果文件作为前述匹配的设备1的更新内容进行信息更新,并在前述处理事项显示栏353中将前述事项名称、事项编号和/或事项图标标记为已处理,或者在前述处理事项显示栏353中删除前述事项名称、事项编号和/或事项图标。
参见图6所示,为本发明的另一实施例,提供了一种显示网络安全态势感知信息的即时通信客户端。
所述客户端400包括控件设置模块410,信息采集模块420,信息处理模块430和信息输出模块440。
控件设置模块410,用于在用户与联系人对象的即时通信交互界面设置态势感知控件,所述态势感知控件关联有设备显示界面,所述设备显示界面中输出有关联网络设备信息。
信息采集模块420,用于采集用户或联系人对象触发前述态势感知控件的操作信息,激活前述设备显示界面。
信息处理模块430,用于获取设备显示界面中被选择的关联网络设备,将该关联网络设备作为目标关联网络设备,分析目标关联网络设备的日志数据和/或网络流量数以获取安全事件信息;基于所述安全事件信息生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势。
具体的,所述安全事件信息包括日志安全事件信息和流量安全事件信息,所述日志安全事件信息为从日志数据中提取的异常事件及异常事件发生时间信息,所述异常事件包括病毒攻击事件、木马攻击事件、DOS攻击事件和/或蠕虫攻击事件;所述流量安全事件为从网络流量数据中提取的流量异常事件以及流量异常事件发生时间,所述流量异常事件包括预设时间段流量异常事件、日流量异常事件、周流量异常事件、月流量异常事件和/或季度流量异常事件。
信息输出模块440,用于将所述网络安全态势曲线在设备显示界面输出。
本实施例中,所述信息处理模块430还被配置为:基于前述网络安全态势曲线及其对应的关联网络设备信息生成即时通信消息后通过前述即时通信交互界面发送给交互对象。
进一步,所述信息处理模块430还包括风险标识单元,其被配置为:基于预设的风险等级模型获取每个安全事件对应的风险等级信息,并根据风险等级对每个安全事件进行标识;以及,在输出网络安全态势曲线,输出总态势曲线和基于风险等级的态势曲线。
所述总态势曲线将任一时刻发生的安全事件的总数作为该时刻的安全态势值;所述基于风险等级的态势曲线与各安全事件标识的风险等级对应,对于任一风险等级,获取标识为该风险等级的所有安全事件信息,将任一时刻发生的属于该风险等级的安全事件总数作为该时刻的安全态势值。
其它技术特征参考在前实施例,各模块可以被配置为进行相应的信息传输和信息处理,在此不再赘述。
在上面的描述中,本发明的公开内容并不旨在将其自身限于这些方面。而是,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (8)
1.一种网络安全态势感知信息的显示方法,其特征在于包括步骤:
在用户与联系人对象的即时通信交互界面设置态势感知控件,所述态势感知控件关联有设备显示界面,所述设备显示界面中输出有关联网络设备信息;
采集用户或联系人对象触发前述态势感知控件的操作信息,激活前述设备显示界面;所述设备显示界面被激活后,用户能够在设备显示界面中对关联网络设备进行选择和信息更新;
获取激活的设备显示界面中被选择的关联网络设备,将该关联网络设备作为目标关联网络设备,分析目标关联网络设备的日志数据和/或网络流量数以获取安全事件信息;基于所述安全事件信息生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势;
将所述网络安全态势曲线在设备显示界面输出;
其中,当设备显示界面为未激活状态时,用户无法对设备显示界面中的关联网络设备进行选择和信息更新;
所述设备显示界面包括设备信息显示栏、态势信息显示栏和处理事项显示栏;所述设备信息显示栏用于显示关联网络设备的基本信息;所述态势信息显示栏用于显示目标关联网络设备的网络安全态势曲线信息;所述处理事项显示栏用于显示与网络安全等级保护相关的处理事项;
其中,还包括步骤:获取前述即时通信交互界面中发送的即时通信消息,判断所述即时通信消息是否为文字或文档类型或语音类型;判定为文字或文档类型时,对文字或文档内容进行语义分析,判断是否包含与网络安全等级保护相关的处理事项信息;判定为语音类型时,对语音消息进行语音识别获取对应的文本信息后,再通过语义分析判断文本信息中是否包含与网络安全等级保护相关的处理事项信息;判定包含与网络安全等级保护相关的处理事项信息时,获取每个处理事项的事项名称、事项编号和/或事项图标在前述设备显示界面的处理事项显示栏中输出;
其中,通过触发处理事项显示栏中的事项信息来触发关联网络设备进行测评,包括步骤:采集用户对前述处理事项显示栏中输出的事项名称、事项编号和/或事项图标的触发操作;基于预设的事项处理表,根据前述事项名称、事项编号和/或事项图标获取对应的具体测评内容,所述事项处理表中存储有事项名称、事项编号和/或事项图标与具体测评内容的映射关系,所述具体测评内容包括测评设备对象和测评要求;触发与前述测评设备对象匹配的关联网络设备进入测评状态,测评完成后得到该关联网络设备的测评结果文件;将前述测评结果文件作为该关联网络设备的更新内容进行信息更新,并在前述处理事项显示栏中将前述事项名称、事项编号和/或事项图标标记为已处理,或者在前述处理事项显示栏中删除前述事项名称、事项编号和/或事项图标。
2.根据权利要求1所述的方法,其特征在于:基于前述网络安全态势曲线及其对应的关联网络设备信息生成即时通信消息后通过前述即时通信交互界面发送给交互对象。
3.根据权利要求1或2所述的方法,其特征在于:所述安全事件信息包括日志安全事件信息和流量安全事件信息,所述日志安全事件信息为从日志数据中提取的异常事件及异常事件发生时间信息,所述异常事件包括病毒攻击事件、木马攻击事件、DOS攻击事件和/或蠕虫攻击事件;所述流量安全事件为从网络流量数据中提取的流量异常事件以及流量异常事件发生时间,所述流量异常事件包括预设时间段流量异常事件、日流量异常事件、周流量异常事件、月流量异常事件和/或季度流量异常事件。
4.根据权利要求1或2所述的方法,其特征在于:基于预设的风险等级模型获取每个安全事件对应的风险等级信息,并根据风险等级对每个安全事件进行标识;
在输出网络安全态势曲线,输出总态势曲线和基于风险等级的态势曲线;所述总态势曲线将任一时刻发生的安全事件的总数作为该时刻的安全态势值;所述基于风险等级的态势曲线与各安全事件标识的风险等级对应,对于任一风险等级,获取标识为该风险等级的所有安全事件信息,将任一时刻发生的属于该风险等级的安全事件总数作为该时刻的安全态势值。
5.根据权利要求4所述的方法,其特征在于:所述风险等级至少包括高风险等级、中风险等级和低风险等级,对各风险等级安全事件的出现时间进行比对分析,获取高风险等级安全事件、中风险等级安全事件和低风险等级安全事件在时间上的关联规则;
基于预设时间周期更新目标关联网络设备的安全事件信息,在出现低风险等级安全事件时,基于前述时间上的关联规则预测高风险等级安全事件和中风险等级安全事件的发生概率和发生时间,当预测的发生概率大于预设阈值时形成预警报告,将所述预警报告作为即时通信消息发送给前述联系人对象和/或其他关联人员。
6.根据权利要求1所述的方法,其特征在于:所述设备显示界面作为前述即时通信交互界面中的一部分设置在即时通信交互界面中;
或者,所述设备显示界面作为独立窗口对应着前述即时通信交互界面设置。
7.根据权利要求1所述的方法,其特征在于:在设备信息显示栏中,对应每个关联网络设备设置有一一对应的网络设备图标;
获取用户对前述网络设备图标的触发操作,将触发的网络设备图标对应的关联网络设备作为被选择的目标关联网络设备。
8.一种根据权利要求1所述方法的显示网络安全态势感知信息的即时通信客户端,其特征在于包括:
控件设置模块,用于在用户与联系人对象的即时通信交互界面设置态势感知控件,所述态势感知控件关联有设备显示界面,所述设备显示界面中输出有关联网络设备信息;
信息采集模块,用于采集用户或联系人对象触发前述态势感知控件的操作信息,激活前述设备显示界面;
信息处理模块,用于获取激活的设备显示界面中被选择的关联网络设备,将该关联网络设备作为目标关联网络设备,分析目标关联网络设备的日志数据和/或网络流量数以获取安全事件信息;基于所述安全事件信息生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势;
信息输出模块,用于将所述网络安全态势曲线在设备显示界面输出。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110306669.3A CN112995019B (zh) | 2021-03-23 | 2021-03-23 | 网络安全态势感知信息的显示方法及客户端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110306669.3A CN112995019B (zh) | 2021-03-23 | 2021-03-23 | 网络安全态势感知信息的显示方法及客户端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112995019A CN112995019A (zh) | 2021-06-18 |
CN112995019B true CN112995019B (zh) | 2023-04-07 |
Family
ID=76333049
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110306669.3A Active CN112995019B (zh) | 2021-03-23 | 2021-03-23 | 网络安全态势感知信息的显示方法及客户端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112995019B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103905440A (zh) * | 2014-03-28 | 2014-07-02 | 哈尔滨工程大学 | 一种基于日志和snmp信息融合的网络安全态势感知分析方法 |
WO2015051181A1 (en) * | 2013-10-03 | 2015-04-09 | Csg Cyber Solutions, Inc. | Dynamic adaptive defense for cyber-security threats |
CN110381013A (zh) * | 2019-05-28 | 2019-10-25 | 三明学院 | 一种网络安全态势感控方法、装置、设备和存储介质 |
CN110401649A (zh) * | 2019-07-17 | 2019-11-01 | 湖北央中巨石信息技术有限公司 | 基于态势感知学习的信息安全风险评估方法和系统 |
CN110620759A (zh) * | 2019-07-15 | 2019-12-27 | 公安部第一研究所 | 基于多维关联的网络安全事件危害指数评估方法及其系统 |
CN112134787A (zh) * | 2020-09-14 | 2020-12-25 | 上海纽盾科技股份有限公司 | 网络安全等级保护中的通信方法、客户端及系统 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107332698A (zh) * | 2017-06-19 | 2017-11-07 | 西北大学 | 一种面向明长城智能感知系统的安全态势感知系统及方法 |
CN108418841B (zh) * | 2018-05-18 | 2019-02-19 | 广西电网有限责任公司 | 基于ai的下一代关键信息基础设施网络安全态势感知系统 |
CN108494810B (zh) * | 2018-06-11 | 2021-01-26 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
CN111654489B (zh) * | 2020-05-27 | 2022-07-29 | 杭州迪普科技股份有限公司 | 一种网络安全态势感知方法、装置、设备及存储介质 |
CN111934976A (zh) * | 2020-05-31 | 2020-11-13 | 上海纽盾科技股份有限公司 | 基于即时通讯的网络安全监控方法、客户端及系统 |
CN111917747A (zh) * | 2020-07-17 | 2020-11-10 | 上海大学 | 一种校园网络安全态势感知系统及方法 |
CN112134786B (zh) * | 2020-09-14 | 2022-09-02 | 上海纽盾科技股份有限公司 | 网络安全等级保护中的联系人建立方法、客户端及系统 |
-
2021
- 2021-03-23 CN CN202110306669.3A patent/CN112995019B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015051181A1 (en) * | 2013-10-03 | 2015-04-09 | Csg Cyber Solutions, Inc. | Dynamic adaptive defense for cyber-security threats |
CN103905440A (zh) * | 2014-03-28 | 2014-07-02 | 哈尔滨工程大学 | 一种基于日志和snmp信息融合的网络安全态势感知分析方法 |
CN110381013A (zh) * | 2019-05-28 | 2019-10-25 | 三明学院 | 一种网络安全态势感控方法、装置、设备和存储介质 |
CN110620759A (zh) * | 2019-07-15 | 2019-12-27 | 公安部第一研究所 | 基于多维关联的网络安全事件危害指数评估方法及其系统 |
CN110401649A (zh) * | 2019-07-17 | 2019-11-01 | 湖北央中巨石信息技术有限公司 | 基于态势感知学习的信息安全风险评估方法和系统 |
CN112134787A (zh) * | 2020-09-14 | 2020-12-25 | 上海纽盾科技股份有限公司 | 网络安全等级保护中的通信方法、客户端及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112995019A (zh) | 2021-06-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112995196B (zh) | 网络安全等级保护中态势感知信息的处理方法及系统 | |
US11146575B2 (en) | Suspicious message report processing and threat response | |
US10178115B2 (en) | Systems and methods for categorizing network traffic content | |
US7631046B2 (en) | Method and apparatus for lawful interception of web based messaging communication | |
CN112134786B (zh) | 网络安全等级保护中的联系人建立方法、客户端及系统 | |
US20040111507A1 (en) | Method and system for monitoring network communications in real-time | |
US20160301705A1 (en) | Suspicious message processing and incident response | |
CN112134785B (zh) | 网络安全等级保护中的信息处理方法、客户端及系统 | |
WO2021136314A1 (zh) | 一种基于邮件数据的威胁情报知识图谱构建方法及装置 | |
WO2016164844A1 (en) | Message report processing and threat prioritization | |
CN111934976A (zh) | 基于即时通讯的网络安全监控方法、客户端及系统 | |
CN113055390B (zh) | 网络安全等级保护中信息的智能处理方法及装置 | |
CN103999091A (zh) | 地理映射系统安全事件 | |
CN112134787A (zh) | 网络安全等级保护中的通信方法、客户端及系统 | |
CN104753760A (zh) | 即时通讯群消息的控制方法和控制装置 | |
CN112905548A (zh) | 一种安全审计系统及方法 | |
EP3281144B1 (en) | Message report processing and threat prioritization | |
CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 | |
CN104158792A (zh) | 一种垃圾僵尸检测方法及系统 | |
CN113630398A (zh) | 网络安全中的联合防攻击方法、客户端及系统 | |
CN112995019B (zh) | 网络安全态势感知信息的显示方法及客户端 | |
CN112968827B (zh) | 网络安全等级保护中的智能通信方法及客户端 | |
CN114866434B (zh) | 网络资产的安全评估方法及应用 | |
CN113630399B (zh) | 基于网关实现的防钓鱼方法、设备及系统 | |
CN114866269B (zh) | 网络安全监测方法、系统及应用 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 200441 floor 11, No. 2, Lane 99, Changjiang South Road, Baoshan District, Shanghai Applicant after: SHANGHAI NIUDUN TECHNOLOGY Co.,Ltd. Address before: 200433 floor 11, building A5, Lane 1688, Guoquan North Road, Yangpu District, Shanghai Applicant before: SHANGHAI NIUDUN TECHNOLOGY Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |