CN112995196B - 网络安全等级保护中态势感知信息的处理方法及系统 - Google Patents
网络安全等级保护中态势感知信息的处理方法及系统 Download PDFInfo
- Publication number
- CN112995196B CN112995196B CN202110306512.0A CN202110306512A CN112995196B CN 112995196 B CN112995196 B CN 112995196B CN 202110306512 A CN202110306512 A CN 202110306512A CN 112995196 B CN112995196 B CN 112995196B
- Authority
- CN
- China
- Prior art keywords
- information
- network
- security
- equipment
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了网络安全等级保护中态势感知信息的处理方法及系统,涉及网络信息安全技术领域。所述方法包括步骤:获取用户选择的等保服务对象,通过对应的设备交互界面输出关联网络设备信息;获取用户在前述设备交互界面发送的处理事项信息,判定处理事项包括网络安全态势感知分析事项时,对目标关联网络设备进行后生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势;将所述网络安全态势曲线在设备交互界面输出。利用本发明能够快速地获取等保服务对象的关联设备信息以及关联设备的安全态势信息,便于用户及时获取等保测评中涉及的网络设备的风险信息以及风险预警信息。
Description
技术领域
本发明涉及网络信息安全技术领域,具体涉及一种网络安全等级保护中态势感知信息的处理方法及系统。
背景技术
等保测评(全称为信息系统安全等级保护测评)是指参照国家制定的《信息系统安全等级保护测评要求》中的技术数据对信息系统使用的网络设备进行测评工作。
以金融行业为例,随着金融科技的发展,网上银行、手机银行、直销银行等电子银行业务成为了网络攻击的重点,带来了更多的信息安全风险。各种网络攻击、数据泄露事件层出不穷,要确保金融科技的平稳健康发展,必须妥善解决好网络安全的问题。为此,中国人民银行近期正式批准发布金融行业标准《金融行业网络安全等级保护实施指引》(JR/T0071-2020)以完善金融行业网络安全等级保护体系。该标准规范了金融行业网络安全保障框架和不同安全等级对应的安全要求、金融行业网络安全等级保护工作的基础框架和术语定义、金融机构网络安全等级保护工作实施审计的要求等,可以用于指导金融机构、测评机构和金融行业网络安全等级保护的主管部门实施网络安全等级保护工作,旨在全面提升金融行业系统网络安全整体防护水平。
另一方面,在网络信息安全技术研究中,由于已有防御手段无法有效应对各种复杂的网络和业务环境,目前网络安全态势感知的研究成为新一代网络安全技术的焦点。网络安全态势感知(network security situation awareness),是指在大规模网络环境中,对能够引起网络态势发生变化的所有安全要素进行获取、理解、显示以及预测未来的发展趋势。态势感知技术首先对各种影响网络安全性的要素进行检测获取,然后对安全信息采用分类、归并、建立数据模型、分析等手段进行融合,接着对融合的信息进行综合分析,得到网络的整体安全状况及其应对措施,并对网络安全状况的发展趋势进行预测,最后为信息安全管理提供可靠的数据参考和决策支持。网络安全态势感知的网络对象可以是处于网络环境中的网络设备(比如防火墙设备)、网络系统等。
目前,评估网络安全的方案要么是基于等级分类方法描述网络的安全状态,要么是基于网络安全态势感知方法对网络对象的数据进行获取、理解、评估和预测,二者缺少结合。如何根据等保测评服务方和/或等保服务对象(即客户)的实际需要,针对网络环境提供安全态势感知与等级保护防护体系一体化的安全评估体系,从而提升网络安全的整体防护水平是当前亟需解决的技术问题。
发明内容
本发明的目的是提供一种网络安全等级保护中态势感知信息的处理方法及系统,本发明的优点在于:对应等保服务对象设置用于输出关联网络设备信息的设备交互界面,并根据用户在设备交互界面发送的网络安全态势感知分析事项触发对目标关联网络设备的态势分析,然后将得到的网络安全态势曲线在设备交互界面输出。如此,用户能够快速地获取等保服务对象的关联设备信息以及关联设备的安全态势信息,便于用户及时获取等保测评中涉及的网络设备的风险信息以及风险预警信息。
为实现上述目标,本发明提供了如下技术方案:
一种网络安全等级保护中态势感知信息的处理方法,包括步骤:
获取用户基于即时通信工具选择的等保服务对象,通过对应的设备交互界面输出该等保服务对象的关联网络设备信息;
获取用户在前述设备交互界面发送的处理事项信息,判断所述处理事项是否包含网络安全态势感知分析事项;
判定包括网络安全态势感知分析事项时,获取需要进行网络安全态势感知分析的目标关联网络设备的日志数据和/或网络流量数据,分析前述日志数据和/或网络流量数据以获取安全事件信息;基于所述安全事件信息生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势;
将所述网络安全态势曲线在设备交互界面输出。
进一步,所述安全事件信息包括日志安全事件信息和流量安全事件信息,所述日志安全事件信息为从日志数据中提取的异常事件及异常事件发生时间信息,所述异常事件包括病毒攻击事件、木马攻击事件、DOS攻击事件和/或蠕虫攻击事件;所述流量安全事件为从网络流量数据中提取的流量异常事件以及流量异常事件发生时间,所述流量异常事件包括预设时间段流量异常事件、日流量异常事件、周流量异常事件、月流量异常事件和/或季度流量异常事件。
进一步,基于等保服务对象,在即时通信工具中建立与所述等保服务对象对应的联系人对象,对应所述等保服务对象设置有关联网络设备和关联联系人信息,所述关联联系人对应前述关联网络设备设置;
输出该等保服务对象的关联网络设备信息的步骤为:采集用户针对前述联系人对象的触发操作,输出对应等保服务对象的设备交互界面,所述设备交互界面中输出有等保服务对象的名称,以及对应的关联网络设备和关联联系人信息。
进一步,所述设备交互界面包括等保服务对象名称栏、发送信息输出栏、发送信息输入栏和关联信息栏,所述发送信息输入栏用于采集用户输入的信息,所述发送信息输出栏用于输出用户发送的信息记录,所述关联信息栏用于输出关联网络设备和关联联系人信息。
进一步,所述关联联系人为关联网络设备的一个或多个网管人员,在设备交互界面中输出每个网管人员的联系人头像图标;
采集用户对前述联系人头像图标的触发操作,输出用户与对应网管人员的即时通信交互界面。
进一步,在设备交互界面中输出关联网络设备信息时,对应每个关联网络设备设置有一一对应的网络设备图标;
采集用户对前述网络设备图标的触发操作,输出对应关联网络设备的网络安全态势曲线。
进一步,基于预设的风险等级模型获取每个安全事件对应的风险等级信息,并根据风险等级对每个安全事件进行标识;
在输出网络安全态势曲线,输出总态势曲线和基于风险等级的态势曲线;所述总态势曲线将任一时刻发生的安全事件的总数作为该时刻的安全态势值;所述基于风险等级的态势曲线与各安全事件标识的风险等级对应,对于任一风险等级,获取标识为该风险等级的所有安全事件信息,将任一时刻发生的属于该风险等级的安全事件总数作为该时刻的安全态势值。
进一步,所述风险等级至少包括高风险等级、中风险等级和低风险等级,对各风险等级安全事件的出现时间进行比对分析,获取高风险等级安全事件、中风险等级安全事件和低风险等级安全事件在时间上的关联规则;
基于预设时间周期更新目标关联网络设备的安全事件信息,在出现低风险等级安全事件时,基于前述时间上的关联规则预测高风险等级安全事件和中风险等级安全事件的发生概率和发生时间,当预测的发生概率大于预设阈值时,将预测信息发送给前述目标关联网络设备的关联联系人。
进一步,将预测信息发送给前述目标关联网络设备的关联联系人的步骤包括,
获取目标关联网络设备对应的关联联系人信息;
根据该关联联系人的即时通信账号信息,将预测信息生成安全报告,将安全报告作为即时通信消息发送给与该关联联系人。
本发明还提供了一种网络安全等级保护中态势感知信息的处理系统,包括用户客户端和系统服务器;
所述用户客户端,用于采集用户选择的等保服务对象,输出该等保服务对象对应的设备交互界面;所述设备交互界面输出有该等保服务对象的关联网络设备信息,以及供用户输入处理事项信息;
所述系统服务器,用于获取用户在前述设备交互界面发送的处理事项信息,判断所述处理事项是否包含网络安全态势感知分析事项;在判定包括网络安全态势感知分析事项时,获取需要进行网络安全态势感知分析的目标关联网络设备的日志数据和/或网络流量数据,分析前述日志数据和/或网络流量数据以获取安全事件信息,并基于所述安全事件信息生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势;以及,将所述网络安全态势曲线发送至用户客户端;
所述用户客户端能够将接收的网络安全态势曲线显示在设备交互界面中。
本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:对应等保服务对象设置用于输出关联网络设备信息的设备交互界面,并根据用户在设备交互界面发送的网络安全态势感知分析事项触发对目标关联网络设备的态势分析,然后将得到的网络安全态势曲线在设备交互界面输出。如此,用户能够快速地获取等保服务对象的关联网络设备信息以及关联网络设备的安全态势信息,便于用户及时获取等保测评中涉及的网络设备的风险信息以及风险预警信息。
进一步,利用即时通信工具建立与等保服务对象对应的联系人对象,并通过所述联系人对象触发设备交互界面以输出等保服务对象的关联网络设备和关联联系人信息,显著提高了用户与等保服务对象的实时交互效率和事项处理效率。
附图说明
图1为本发明实施例提供的网络安全等级保护中态势感知信息的处理方法的流程图。
图2为本发明实施例提供的联系人显示界面示例图。
图3为本发明实施例提供的设备交互界面示例图。
图4为本发明实施例提供的通过设备交互界面输出网络安全态势曲线的显示示例图。
图5为本发明实施例提供的向关联联系人发送安全报告的操作示例图。
图6为本发明实施例提供的系统的模块结构图。
附图标记说明:
IM工具主界面100,用户头像110,联系人列表120,等保联系人对象130;
设备交互界面200,等保服务对象名称栏210,发送信息输出栏220、发送信息输入栏230,关联信息栏240,态势感知信息显示窗口241;
即时通信交互界面300,对话联系人显示栏310,交互信息显示栏320,交互信息输入栏330,交互工具栏340,其它信息显示350;
系统400,用户客户端410,系统服务器420,事项采集模块421,信息处理模块422,无线通信模块423。
具体实施方式
以下结合附图和具体实施例对本发明公开的网络安全等级保护中态势感知信息的处理方法及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,示例了一种网络安全等级保护中态势感知信息的处理方法。所述方法包括如下步骤:
S100,获取用户基于即时通信工具选择的等保服务对象,通过对应的设备交互界面输出该等保服务对象的关联网络设备信息。
优选的,可以基于等保服务对象,在即时通信工具中建立与所述等保服务对象对应的联系人对象,对应所述等保服务对象设置有关联网络设备和关联联系人信息,所述关联联系人对应前述关联网络设备设置。此时,输出该等保服务对象的关联网络设备信息的具体步骤可以如下:采集用户针对前述联系人对象的触发操作,输出对应等保服务对象的设备交互界面。所述设备交互界面中输出有等保服务对象的名称,以及对应的关联网络设备和关联联系人信息。
所述等保服务对象的名称可以由用户预先设置。所述关联网络设备和关联联系人信息可以预先存储在本地信息数据库、网络信息数据库和/或其他许可终端信息数据库中,所述联系人对象作为设备信息访问入口与前述本地信息数据库接口、网络信息数据库接口和/或其他许可终端信息数据库接口进行对接。
所述即时通信(即IM ,全称Instant Messaging)工具,本领域通常指具有即时通信功能的客户端。作为举例而非限制,所述即时通信工具可以是网络版应用,也可以是PC版应用或者手持终端APP应用。
当前,即时通信工具中的联系人应用均具备联系人头像的功能,当用户将联系人的头像设定完成后,联系人的头像即会显示在联系人列表之中。在现有的即时通信工具中,当用户点击前述联系人的头像时,终端的显示屏即会向用户展现出一些简单操控动作的通信交互界面,例如,展现历史交互信息、当前交互信息等。以即时通信工具QQ为例,用户触发联系人列表中的目标联系人的头像,显示屏会弹出即时通信交互界面,该界面中显示有交互信息显示栏和交互信息输入栏,以及二者之间的信息编辑工具栏等。本实施例中,基于网络安全等级保护的需求,对前述联系人应用的功能进行了改进,能够基于联系人应用建立与等保服务对象对应的联系人对象,该联系人对象也显示在联系人列表中,但与前述普通联系人对象不同,该联系人对象被触发后,所开启的窗口为设备交互界面而非前述即时通信交互界面。即,该联系人对象作为对应等保服务对象的设备信息访问入口,触发后输出的设备交互界面是设备信息展示窗口。作为典型方式的举例而非限制,参见图2所示,比如用户通过用户终端启动即时通信工具,用户终端的显示屏上输出IM工具主界面100,主界面上显示有用户头像110,工具栏和该用户的联系人列表120。联系人列表中显示有用户的联系人对象,每个联系人均对应一个通信对象。每个联系人对象均对应有头像。
本实施例中,联系人列表120中的联系人对象包括对应着常规即时通信交互界面的普通联系人对象——比如联系人对象“张三”,和对应着设备交互界面的等保联系人对象130——比如等保联系人对象“等级保护客户1”。普通联系人对象的头像在被触发后,用户终端的显示屏弹出与该联系人的即时通信交互界面;等保联系人对象130的头像在被触发后,用户终端的显示屏弹出设备交互界面以输出对应的等保服务对象的名称,以及对应的关联网络设备和关联联系人信息。优选的,在联系人列表120中,对普通联系人对象的头像和等保联系人对象的头像130区别显示,作为举例而非限制,比如在等保联系人对象的头像上端设置区别标识——图2中示例了云朵标识,如此,便于用户辨识联系人列表中的普通联系人对象和等保联系人对象。当然,根据需要,还可以采用其它字符或图形标识,在此不作为对本发明的限制。
参见图3所示,作为典型方式的优选,所述设备交互界面200可以包括等保服务对象名称栏210、发送信息输出栏220、发送信息输入栏230和关联信息栏240。
所述等保服务对象名称栏210,用于输出等保服务对象的名称信息,包括但不限于昵称、编号等信息。
所述发送信息输入栏220,用于采集用户输入的信息——比如用户希望发送给关联网络设备、关联联系人的信息。
所述发送信息输出栏230,用于输出用户发送的信息记录。发送成功的信息均会显示在发送信息输出栏230中。
所述关联信息栏240,用于输出关联网络设备信息和关联联系人信息。优选的,将关联网络设备信息和关联联系人信息分栏显示,比如设置关联网络设备子栏和关联联系人子栏以分别显示关联网络设备信息和关联联系人信息。所述关联联系人对应前述关联网络设备设置,比如所述关联联系人为关联网络设备的一个或多个网管人员。
优选的,在关联联系人子栏中输出网管人员信息时,输出每个网管人员的联系人头像图标,对应所述联系人头像图标设置有触发项,采集用户对前述联系人头像图标的触发操作,就可以输出用户与对应网管人员的即时通信交互界面。
作为举例而非限制,比如用户通过鼠标点击了关联联系人子栏中的关联联系人“联系人2”,则弹出用户与联系人2的即时通信交互界面,该即时通信交互界面中显示有交互信息显示栏和交互信息输入栏,以及二者之间的信息编辑工具栏等,用户可以在即时通信交互界面中向联系人2发送消息,以及接收消息。
所述关联网络设备可以为一个或多个,用户可以根据实际需要将等保服务对象的部分或所有关联网络设备信息显示设备交互界面的关联网络设备子栏中。优选的,在关联网络设备子栏中输出关联网络设备信息时,对应每个关联网络设备设置有一一对应的网络设备图标。对应所述网络设备图标设置有触发项,采集用户对前述网络设备图标的触发操作,就可以输出对应关联网络设备的设备相关信息。
作为举例而非限制,比如用户将鼠标放置在关联网络设备子栏中的关联网络设备“设备2”图标上,显示屏中输出设备2的设备相关信息。
S200,获取用户在前述设备交互界面发送的处理事项信息,判断所述处理事项是否包含网络安全态势感知分析事项。
本实施例中,所述设备交互界面还作为用户触发前述关联网络设备、关联联系人进行事项处理的操作界面。具体的,获取用户在前述设备交互界面发送的处理事项信息,判断所述处理事项是否包含网络安全态势感知分析事项。
作为举例而非限制,比如用户在发送信息输入栏220输入处理事项信息“启动设备3的态势感知分析”后,触发了信息发送,发送成功的信息在发送信息输出栏230中显示,信息输出栏230中还显示了信息的发送时间,参见图4所示。对前述发送信息进行语义分析后,获得了关键字“设备3”和“启动态势感知分析”,然后根据所述关键字判断发送的信息是否包含网络安全态势感知分析事项。
S300,判定包括网络安全态势感知分析事项时,获取需要进行网络安全态势感知分析的目标关联网络设备的日志数据和/或网络流量数据,分析前述日志数据和/或网络流量数据以获取安全事件信息;基于所述安全事件信息生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势。
判定包括网络安全态势感知分析事项时,可以根据前关键字获取需要进行网络安全态势感知分析的目标关联网络设备——即设备3。随后,获取设备3的日志数据和/或网络流量数据进行安全事件分析以获取设备3的安全事件信息。
本实施例中,所述安全事件信息可以包括日志安全事件信息和流量安全事件信息。所述日志安全事件信息为从日志数据中提取的异常事件及异常事件发生时间信息,所述异常事件可以包括病毒攻击事件、木马攻击事件、DOS攻击事件和/或蠕虫攻击事件。所述流量安全事件为从网络流量数据中提取的流量异常事件以及流量异常事件发生时间。所述流量异常事件可以包括预设时间段流量异常事件、日流量异常事件、周流量异常事件、月流量异常事件和/或季度流量异常事件。
所述日志数据,是指网络设备中产生的过程性事件的记录数据。实际应用中,对网络设备的日志数据进行采集,可以通过设置日志采集代理来对日志数据进行采集。具体的,在设置日志数据采集格式后,启动前述日志采集代理,将采集到的原始日志中的日志数据按照日志数据采集格式存储于源日志数据库中,完成日志数据的采集。
获取网络设备的日志数据之后,还可以对日志数据进行预处理以便于后续提取安全事件信息。具体的,从源日志数据库中获取日志数据后送入解析器,由解析器进行统一格式化处理以将日志数据转化为统一的格式。作为举例而非限制,比如通常统一的格式中的字段可以包括日志接收时间、日志产生时间、用户名称、源IP地址、源MAC地址、源端口号、操作名称、目的IP地址、目的MAC地址、目的端口号、日志的事件名称、摘要、等级、类型、协议、设备地址、设备名称、设备类型等信息。当然,根据需要,还可以预留多个备用字段以供各种其他事件分析模型使用。最终,将解析器对日志数据进行预处理后的日志数据存入日志数据库,以供后续使用。
所述网络流量数据,是指网络设备的网络流量变化数据。实际应用中,可以通过内嵌于交换机或路由器的Netflow采集器,按一定采样间隔对网络流量数据进行采集,也可以在相应的关键节点上布置网络流量数据采集设备,将采集到的网络流量数据存入源网络流量数据库中,完成网络流量数据的采集;又或者,基于关键路径旁路部署流量探针的数据采集方式或基于网络流量全镜像的数据采集方式或基于实时数据抓包的网络数据采集方式或基于SNMP的网络数据采集方式对网络设备的网络流量数据进行采集,在此不做限制。
同理的,在获取到网络设备的网络流量数据之后,也可以对网络流量数据进行预处理以便于后续提取安全事件信息。具体的,从源网络流数据库中获取网络流量数据,然后从网络流量数据中提取预设的流量指标信息,作为举例而非限制,比如平均CPU占用率、平均内存使用率、平均流数、平均流长、平均流持续时间、源/目的IP地址分布、端口号分布、流入流出比、流对称度等指标信息,然后将经过上述预处理的网络流量数据存入网络流量数据库,以供后续使用。
对设备3对应的日志数据库和网络流量数据库进行安全事件分析,就可以获取设备3的安全事件信息。作为典型方式的举例,所述安全事件分析是基于预设的事件分析模型的,所述事件分析模型中能够从预处理后的日志数据和网络流量数据中,基于大数据分析和机器学习提取出与安全事件相关的异常数据——比如事件名称中包含木马、蠕虫、DOS攻击等关键字的日志异常数据,或者运行数据超出预设震荡范围的流量异常数据;然后,将上述异常数据标识为安全事件。
根据目标关联网络设备的安全事件信息,可以生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势。优选的,所述网络安全态势曲线采用时间轴为横轴,采用安全事件数量作为纵轴。
S400,将所述网络安全态势曲线在设备交互界面输出。
最后,将前述生成的网络安全态势曲线在设备交互界面中输出。优选的,对应关联网络设备子栏中输出的目标关联网络设备的网络设备图标,输出网络安全态势曲线,参见图4所示,在设备3的图标下方通过态势感知信息显示窗口241输出了网络安全态势曲线。
本实施例中,优选的,在采集用户对前述关联网络设备子栏中的网络设备图标的触发操作时,可以输出对应关联网络设备的网络安全态势曲线。作为举例而非限制,比如用户将鼠标放置在关联网络设备子栏中的关联网络设备“设备2”图标上,设备交互界面中输出设备2的网络安全态势曲线。
本实施例的另一实施方式中,还可以基于预设的风险等级模型获取每个安全事件对应的风险等级信息,并根据风险等级对每个安全事件进行标识。在输出网络安全态势曲线,可以输出总态势曲线和基于风险等级的态势曲线。所述总态势曲线将任一时刻发生的安全事件的总数作为该时刻的安全态势值。所述基于风险等级的态势曲线与各安全事件标识的风险等级对应,对于任一风险等级,获取标识为该风险等级的所有安全事件信息,将任一时刻发生的属于该风险等级的安全事件总数作为该时刻的安全态势值。如此,使得用户可以基于不同的风险等级,获取目标关联网络设备的风险信息以及风险预警信息,如此,可以对目标关联网络设备的风险有更准确的预判。
优选的,所述风险等级至少包括高风险等级、中风险等级和低风险等级。对各风险等级安全事件的出现时间进行比对分析,获取高风险等级安全事件、中风险等级安全事件和低风险等级安全事件在时间上的关联规则。以及,基于预设时间周期更新目标关联网络设备的安全事件信息,在出现低风险等级安全事件时,基于前述时间上的关联规则预测高风险等级安全事件和中风险等级安全事件的发生概率和发生时间,当预测的发生概率大于预设阈值时,将预测信息发送给前述目标关联网络设备的关联联系人。
在本实施例的另一实施方式中,还可以将预测信息发送给前述目标关联网络设备的关联联系人,具体的步骤可以如下:获取目标关联网络设备对应的关联联系人信息;根据该关联联系人的即时通信账号信息,将预测信息生成安全报告,将安全报告作为即时通信消息发送给与该关联联系人,参见图5所示。
可选的,所述设备交互界面还可以供用户触发关联网络设备、关联联系人进行与网络安全等级保护相关的事项处理。具体的,获取用户在前述设备交互界面中发送的与网络安全等级保护相关的处理事项信息,触发与处理事项相关的关联网络设备和/或与处理事项相关的关联联系人进行事项处理。
具体的,触发关联网络设备进行上述事项处理的步骤可以如下:获取用户在设备交互界面中发送的与网络安全等级保护相关的处理事项信息,对处理事项信息进行语义分析,获取每个处理事项的事项名称、事项编号和/或事项图标;基于预设的事项处理表,所述事项处理表中存储有事项名称、事项编号和/或事项图标与具体测评内容的映射关系,根据前述事项名称、事项编号和/或事项图标获取对应的具体测评内容,所述具体测评内容包括测评设备对象和测评要求;触发与前述测评设备对象匹配的关联网络设备进入测评状态,测评完成后得到该关联网络设备的测评结果文件。作为举例,比如用户通过设备交互界面中发送了文件“设备3的测试数据”,判断该文件是否属于与网络安全等级保护相关的处理事项信息。判定属于与网络安全等级保护相关的处理事项信息时,对处理事项信息进行语义分析,获取每个处理事项的事项名称、事项编号和/或事项图标。然后,基于预设的事项处理表,所述事项处理表中存储有事项名称、事项编号和/或事项图标与具体测评内容的映射关系,根据前述事项名称、事项编号和/或事项图标获取对应的具体测评内容,所述具体测评内容包括测评设备对象和测评要求。最后,触发与前述测评设备对象匹配的关联网络设备进入测评状态,测评完成后得到该关联网络设备的测评结果文件。在获取测评结果文件后,还可以将测评结果文件发送至关联网络设备对应的关联联系人。
可选的,对关联网络设备进入测评的步骤具体可以如下:获取测评设备对象的类型,从关联网络设备信息中选取与前述类型一致的目标关联网络设备;通过预设的网络设备测试系统对前述目标关联网络设备进行测评。其中,所述网络设备测试系统包括测评脚本数据库,测评脚本数据库中设置有多个测评脚本,所述测评脚本与网络设备的类型对应设置,不同类型的网络设备对应于不同的测评脚本。作为举例而非限制,比如网络设备的类型在大类上可分为:不同型号的路由器、交换机、防火墙等网络安全设备,进一步,还可以给予大类进行细分,比如根据网络设备的型号和使用系统进行小类划分。然后,根据目标关联网络设备的类型(包括大类和/或小类信息),从测评脚本数据库中获取与目标关联网络设备的类型匹配的测试脚本,对目标关联网络设备进行测试。优选的,所述测评脚本根据测试需要可以包括设备工作状态测试程序、虚拟攻击测试程序和/或抗风险能力测试程序。
本发明的另一实施例,还提供了一种网络安全等级保护中态势感知信息的处理系统。
参见图6所示,所述系统400包括用户客户端410和系统服务器420。
所述用户客户端410,用于采集用户选择的等保服务对象,输出该等保服务对象对应的设备交互界面。所述设备交互界面输出有该等保服务对象的关联网络设备信息,以及供用户输入处理事项信息。
所述系统服务器410可以包括事项采集模块421、信息处理模块422和无线通信模块423。
所述事项采集模块421,用于通过无线通信模块423获取用户在前述设备交互界面发送的处理事项信息。
所述信息处理模块422,用于判断所述处理事项是否包含网络安全态势感知分析事项;以及,在判定包括网络安全态势感知分析事项时,获取需要进行网络安全态势感知分析的目标关联网络设备的日志数据和/或网络流量数据,分析前述日志数据和/或网络流量数据以获取安全事件信息,并基于所述安全事件信息生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势。
然后,通过无线通信模块423将所述网络安全态势曲线发送至用户客户端。
所述用户客户端410,能够将接收的网络安全态势曲线显示在设备交互界面中。
其它技术特征参考在前实施例,用户客户端和系统服务器可以被配置为进行相应的信息传输和信息处理,在此不再赘述。
在上面的描述中,本发明的公开内容并不旨在将其自身限于这些方面。而是,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (5)
1.一种网络安全等级保护中态势感知信息的处理方法,其特征在于包括步骤:
获取用户基于即时通信工具选择的等保服务对象,通过对应的设备交互界面输出该等保服务对象的关联网络设备信息;其中,基于等保服务对象,在即时通信工具中建立与所述等保服务对象对应的等保联系人对象,对应所述等保服务对象设置有关联网络设备和关联联系人信息,所述关联联系人对应前述关联网络设备设置,所述等保联系人对象显示在联系人列表中,该等保联系人对象作为前述等保服务对象的设备信息访问入口;此时,输出该等保服务对象的关联网络设备信息的步骤为:采集用户针对前述等保联系人对象的触发操作,输出对应等保服务对象的设备交互界面,所述设备交互界面是设备信息展示窗口,所述设备交互界面中输出有等保服务对象的名称,以及对应的关联网络设备和关联联系人信息;
获取用户在前述设备交互界面发送的处理事项信息,判断所述处理事项是否包含网络安全态势感知分析事项;
判定包括网络安全态势感知分析事项时,获取需要进行网络安全态势感知分析的目标关联网络设备的日志数据和/或网络流量数据,分析前述日志数据和/或网络流量数据以获取安全事件信息;基于所述安全事件信息生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势;
将所述网络安全态势曲线在设备交互界面输出;
其中,在设备交互界面中输出关联网络设备信息时,对应每个关联网络设备设置有一一对应的网络设备图标;采集用户对网络设备图标的触发操作,输出对应关联网络设备的网络安全态势曲线;
其中,获取用户在前述设备交互界面中发送的与网络安全等级保护相关的处理事项信息,触发与处理事项相关的关联网络设备进行事项处理;其中,触发与处理事项相关的关联网络设备进行事项处理的步骤包括:获取用户在设备交互界面中发送的与网络安全等级保护相关的处理事项信息,对处理事项信息进行语义分析,获取每个处理事项的事项名称、事项编号和/或事项图标;基于预设的事项处理表,所述事项处理表中存储有事项名称、事项编号和/或事项图标与具体测评内容的映射关系,根据前述事项名称、事项编号和/或事项图标获取对应的具体测评内容,所述具体测评内容包括测评设备对象和测评要求;触发与前述测评设备对象匹配的关联网络设备进入测评状态,测评完成后得到该关联网络设备的测评结果文件;
其中,所述设备交互界面包括等保服务对象名称栏、发送信息输出栏、发送信息输入栏和关联信息栏,所述发送信息输入栏用于采集用户输入的信息,所述发送信息输出栏用于输出用户发送的信息记录,所述关联信息栏用于输出关联网络设备和关联联系人信息;以及,
基于预设的风险等级模型获取每个安全事件对应的风险等级信息,并根据风险等级对每个安全事件进行标识;在输出网络安全态势曲线,输出总态势曲线和基于风险等级的态势曲线;所述总态势曲线将任一时刻发生的安全事件的总数作为该时刻的安全态势值;所述基于风险等级的态势曲线与各安全事件标识的风险等级对应,对于任一风险等级,获取标识为该风险等级的所有安全事件信息,将任一时刻发生的属于该风险等级的安全事件总数作为该时刻的安全态势值;
所述风险等级至少包括高风险等级、中风险等级和低风险等级,对各风险等级安全事件的出现时间进行比对分析,获取高风险等级安全事件、中风险等级安全事件和低风险等级安全事件在时间上的关联规则;基于预设时间周期更新目标关联网络设备的安全事件信息,在出现低风险等级安全事件时,基于前述时间上的关联规则预测高风险等级安全事件和中风险等级安全事件的发生概率和发生时间,当预测的发生概率大于预设阈值时,将预测信息发送给前述目标关联网络设备的关联联系人。
2.根据权利要求1所述的方法,其特征在于:所述安全事件信息包括日志安全事件信息和流量安全事件信息,所述日志安全事件信息为从日志数据中提取的异常事件及异常事件发生时间信息,所述异常事件包括病毒攻击事件、木马攻击事件、DOS攻击事件和/或蠕虫攻击事件;
所述流量安全事件为从网络流量数据中提取的流量异常事件以及流量异常事件发生时间,所述流量异常事件包括预设时间段流量异常事件、日流量异常事件、周流量异常事件、月流量异常事件和/或季度流量异常事件。
3.根据权利要求1所述的方法,其特征在于:所述关联联系人为关联网络设备的一个或多个网管人员,在设备交互界面中输出每个网管人员的联系人头像图标;
采集用户对前述联系人头像图标的触发操作,输出用户与对应网管人员的即时通信交互界面。
4.根据权利要求1所述的方法,其特征在于:将预测信息发送给前述目标关联网络设备的关联联系人的步骤包括,
获取目标关联网络设备对应的关联联系人信息;
根据该关联联系人的即时通信账号信息,将预测信息生成安全报告,将安全报告作为即时通信消息发送给与该关联联系人。
5.一种根据权利要求1所述方法的网络安全等级保护中态势感知信息的处理系统,包括用户客户端和系统服务器,其特征在于:
所述用户客户端,用于采集用户选择的等保服务对象,输出该等保服务对象对应的设备交互界面;所述设备交互界面输出有该等保服务对象的关联网络设备信息,以及供用户输入处理事项信息;
所述系统服务器,用于获取用户在前述设备交互界面发送的处理事项信息,判断所述处理事项是否包含网络安全态势感知分析事项;在判定包括网络安全态势感知分析事项时,获取需要进行网络安全态势感知分析的目标关联网络设备的日志数据和/或网络流量数据,分析前述日志数据和/或网络流量数据以获取安全事件信息,并基于所述安全事件信息生成目标关联网络设备的网络安全态势曲线,所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势;以及,将所述网络安全态势曲线发送至用户客户端;
所述用户客户端能够将接收的网络安全态势曲线显示在设备交互界面中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110306512.0A CN112995196B (zh) | 2021-03-23 | 2021-03-23 | 网络安全等级保护中态势感知信息的处理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110306512.0A CN112995196B (zh) | 2021-03-23 | 2021-03-23 | 网络安全等级保护中态势感知信息的处理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112995196A CN112995196A (zh) | 2021-06-18 |
| CN112995196B true CN112995196B (zh) | 2022-12-02 |
Family
ID=76333071
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110306512.0A Active CN112995196B (zh) | 2021-03-23 | 2021-03-23 | 网络安全等级保护中态势感知信息的处理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995196B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113656122B (zh) * | 2021-07-28 | 2023-05-16 | 上海纽盾科技股份有限公司 | 面向等保测评的信息筛选方法、装置及系统 |
| CN113657849B (zh) * | 2021-07-28 | 2023-07-18 | 上海纽盾科技股份有限公司 | 等保测评信息处理方法、装置及系统 |
| CN113656123B (zh) * | 2021-07-28 | 2023-05-16 | 上海纽盾科技股份有限公司 | 面向等保测评的信息评估方法、装置及系统 |
| CN114006802B (zh) * | 2021-09-14 | 2023-11-21 | 上海纽盾科技股份有限公司 | 失陷设备的态势感知预测方法、装置及系统 |
| CN113965349B (zh) * | 2021-09-14 | 2023-07-18 | 上海纽盾科技股份有限公司 | 具有安全检测功能的网络安全防护系统及方法 |
| CN113839935B (zh) * | 2021-09-14 | 2024-01-23 | 上海纽盾科技股份有限公司 | 网络态势感知方法、装置及系统 |
| CN113923055B (zh) * | 2021-12-14 | 2022-03-04 | 四川赛闯检测股份有限公司 | 基于动态策略的网络安全接口模糊检测系统 |
| CN114338189B (zh) * | 2021-12-31 | 2023-05-26 | 上海纽盾科技股份有限公司 | 基于节点拓扑关系链的态势感知防御方法、装置及系统 |
| CN115314415B (zh) * | 2022-07-08 | 2023-09-26 | 北京天融信网络安全技术有限公司 | 网络安全态势预测方法、装置、电子设备及存储介质 |
| CN116668062B (zh) * | 2023-04-11 | 2024-01-05 | 丰辰网络科技(无锡)有限公司 | 一种基于数据分析的网络安全运维管理平台 |
| CN116545727B (zh) * | 2023-05-29 | 2023-11-07 | 华苏数联科技有限公司 | 应用字符间隔时长鉴定的网络安全防护系统 |
| CN117319077B (zh) * | 2023-11-09 | 2024-04-16 | 青海秦楚信息科技有限公司 | 一种网络安全应急联动系统及方法 |
| CN117411732B (zh) * | 2023-12-15 | 2024-03-22 | 国网四川省电力公司技能培训中心 | 网络安全事件的监测方法及其系统 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459537A (zh) * | 2008-12-20 | 2009-06-17 | 中国科学技术大学 | 基于多层次多角度分析的网络安全态势感知系统及方法 |
| US11558407B2 (en) * | 2016-02-05 | 2023-01-17 | Defensestorm, Inc. | Enterprise policy tracking with security incident integration |
| US11012466B2 (en) * | 2016-07-13 | 2021-05-18 | Indrasoft, Inc. | Computerized system and method for providing cybersecurity detection and response functionality |
| CN107332698A (zh) * | 2017-06-19 | 2017-11-07 | 西北大学 | 一种面向明长城智能感知系统的安全态势感知系统及方法 |
| CN108449218B (zh) * | 2018-05-29 | 2019-03-08 | 广西电网有限责任公司 | 下一代关键信息基础设施的网络安全态势感知系统 |
| CN111628981B (zh) * | 2020-05-21 | 2022-09-23 | 公安部第三研究所 | 一种可与应用系统联动的网络安全系统及方法 |
| CN111654489B (zh) * | 2020-05-27 | 2022-07-29 | 杭州迪普科技股份有限公司 | 一种网络安全态势感知方法、装置、设备及存储介质 |
| CN111934976A (zh) * | 2020-05-31 | 2020-11-13 | 上海纽盾科技股份有限公司 | 基于即时通讯的网络安全监控方法、客户端及系统 |
| CN112134787B (zh) * | 2020-09-14 | 2023-05-26 | 上海纽盾科技股份有限公司 | 网络安全等级保护中的通信方法、客户端及系统 |
| CN112134786B (zh) * | 2020-09-14 | 2022-09-02 | 上海纽盾科技股份有限公司 | 网络安全等级保护中的联系人建立方法、客户端及系统 |
| CN112134785B (zh) * | 2020-09-14 | 2021-11-02 | 上海纽盾科技股份有限公司 | 网络安全等级保护中的信息处理方法、客户端及系统 |
| CN112463892A (zh) * | 2020-10-28 | 2021-03-09 | 国网江苏省电力有限公司盐城供电分公司 | 一种基于风险态势的预警方法及系统 |
-
2021
- 2021-03-23 CN CN202110306512.0A patent/CN112995196B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112995196A (zh) | 2021-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112995196B (zh) | 网络安全等级保护中态势感知信息的处理方法及系统 | |
| Koike et al. | SnortView: visualization system of snort logs | |
| US7804787B2 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
| Foresti et al. | Visual correlation of network alerts | |
| CN111277587A (zh) | 基于行为分析的恶意加密流量检测方法及系统 | |
| CN111526121B (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
| US20040111507A1 (en) | Method and system for monitoring network communications in real-time | |
| EP2760162B1 (en) | Method and device for detecting rule optimization configuration | |
| US20070061451A1 (en) | Method and system for monitoring network communications in real-time | |
| CN106909847A (zh) | 一种恶意代码检测的方法、装置及系统 | |
| CN113055390B (zh) | 网络安全等级保护中信息的智能处理方法及装置 | |
| CN111934976A (zh) | 基于即时通讯的网络安全监控方法、客户端及系统 | |
| US8146146B1 (en) | Method and apparatus for integrated network security alert information retrieval | |
| CN111181978B (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
| CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| CN110955395A (zh) | 打印系统的风险评估方法、装置及存储介质 | |
| CN112910918A (zh) | 基于随机森林的工控网络DDoS攻击流量检测方法及装置 | |
| CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 | |
| CN113472798A (zh) | 一种网络数据包的回溯解析方法、装置、设备及介质 | |
| US20230094119A1 (en) | Scanning of Content in Weblink | |
| KR100969455B1 (ko) | 네트워크 이용경향 관리를 위한 홈게이트웨이 장치 및 그동작 방법과, 그를 이용한 네트워크 이용경향 관리 방법 | |
| KR101384618B1 (ko) | 노드 분석 기법을 이용한 위험요소 추출 시스템 | |
| CN112995019B (zh) | 网络安全态势感知信息的显示方法及客户端 | |
| CN115314322A (zh) | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 | |
| CN112565259B (zh) | 过滤dns隧道木马通信数据的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 200441 floor 11, No. 2, Lane 99, Changjiang South Road, Baoshan District, Shanghai Applicant after: SHANGHAI NIUDUN TECHNOLOGY Co.,Ltd. Address before: 200433 floor 11, building A5, Lane 1688, Guoquan North Road, Yangpu District, Shanghai Applicant before: SHANGHAI NIUDUN TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: The Processing Method and System of Situation Awareness Information in Network Security Level Protection Effective date of registration: 20230605 Granted publication date: 20221202 Pledgee: The Bank of Shanghai branch Caohejing Limited by Share Ltd. Pledgor: SHANGHAI NIUDUN TECHNOLOGY Co.,Ltd. Registration number: Y2023310000225 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |