CN113051573A - 一种基于大数据的主机安全实时监控警报系统 - Google Patents
一种基于大数据的主机安全实时监控警报系统 Download PDFInfo
- Publication number
- CN113051573A CN113051573A CN202110191248.0A CN202110191248A CN113051573A CN 113051573 A CN113051573 A CN 113051573A CN 202110191248 A CN202110191248 A CN 202110191248A CN 113051573 A CN113051573 A CN 113051573A
- Authority
- CN
- China
- Prior art keywords
- information
- security
- safety
- host
- analysis module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Alarm Systems (AREA)
Abstract
本发明涉及一种基于大数据的主机安全实时监控警报系统,涉及主机安全监控技术领域,本发明所述系统包括数据采集模块、安全分析模块、数据存储模块、安全预警模块和报表展示模块,所述安全分析模块以n1作为文字特征选取时的字节数量,将所述主机信息的文字特征与所述标准信息的文字特征进行比对生成各类信息的相似度值,所述安全分析模块将生成的各类信息的相似度值与各预设信息相似度值进行比对,并根据比对结果分别对各类信息的安全标签进行判定,当判定完成后,所述安全预警模块根据所述主机信息中不同风险等级标签的个数进行对应的预警。本发明所述系统有效提高了安全预警的准确度。
Description
技术领域
本发明涉及主机安全监控技术领域,尤其涉及一种基于大数据的主机安全实时监控警报系统。
背景技术
随着计算机以及互联网技术的不断发展,企业在享受互联网发展红利的同时,也在不断遭受网络攻击,给企业业务、资产、形象等带来了不同程度的影响,网络安全问题越来越得到重视。
现有技术中,存在一些主机入侵防护系统,如防火墙、web防火墙、IDS、IPS、病毒扫描、木马扫描等,传统方案主要基于,网络流量特征和病毒特征进行扫描,一般对主机资源消耗比较大,同时功能相对单一,这也是市面上安全产品各类繁多的原因,且现有技术方案的检测过程单一,导致检测结果准确度低。
发明内容
为此,本发明提供一种基于大数据的主机安全实时监控警报系统,用以克服现有技术中无法对同一服务以不同参数值进行重复检测导致的检测结果准确度低的问题。
为实现上述目的,本发明提供一种基于大数据的主机安全实时监控警报系统,包括:
数据采集模块,包括主机信息采集单元和安全大数据采集单元;
安全分析模块,通过所述安全大数据采集单元采集的数据对所述主机信息采集单元采集的主机信息进行安全标签判定,并打上安全标签;
数据存储模块,用以存储所述主机信息采集单元采集的数据以及存储所述安全分析模块对主机数据进行安全标签判定后得到的安全标签集;
安全预警模块,对所述安全分析模块处理过的数据进行预警匹配,根据匹配结果进行相应预警;
报表展示模块,用以对所述数据存储模块中被所述安全分析模块处理后的数据进行安全信息可视为展示、安全数据分析和修复方案提示;
当所述安全分析模块首次对所述主机信息进行安全标签判定时,所述安全分析模块以n1作为文字特征选取时的字节数量,将所述主机信息的文字特征与所述标准信息的文字特征进行比对生成各类信息的相似度值,所述安全分析模块将生成的各类信息的相似度值与各预设信息相似度值进行比对,并根据比对结果分别对各类信息的安全标签进行判定,当判定完成后,所述安全预警模块根据所述主机信息中不同风险等级标签的个数进行对应的预警;
当所述安全预警模块进行高风险预警后,所述安全分析模块在T1时间后以n2作为文字特征选取时的字节数量,将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警;当再次进行预警完成时,在T2时间后,所述安全分析模块以n3作为文字特征选取时的字节数量,其中,n1<n2<n3,再次将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警。
进一步地,当所述安全分析模块生成各类信息的相似度值时,所述安全分析模块将所述主机信息的文字特征与所述标准信息的文字特征进行比对,在首次进行文字特征比对时,所述安全分析模块采用n1作为文字特征选取时的字节数量,所述安全分析模块根据比对结果生成各类信息的相似度值。
进一步地,所述安全分析模块用以将所述主机信息分别与所述标准信息进行比对,生成各类信息的相似度值;
所述安全分析模块中设置有第一预设信息相似度值A1和第二预设信息相似度值A2,其中,A1<A2;所述安全分析模块中还设置有预设低风险等级标签B1、预设中风险等级标签B2和预设高风险等级标签B3;
当所述安全分析模块判定所述主机信息中各类信息的安全标签时,所述安全分析模块将生成的各类信息的相似度值A与各所述预设信息相似度值进行比对,并根据比对结果分别对各类信息的安全标签进行判定:
当A<A1时,所述安全分析模块将安全标签判定为低风险等级标签B1;
当A1≤A<A2时,所述安全分析模块将安全标签判定为中风险等级标签B2;
当A2≤A时,所述安全分析模块将安全标签判定为高风险等级标签B3。
进一步地,所述安全预警模块中设置有高风险等级标签B3的个数b3,中风险等级标签B2的个数b2,低风险等级标签B1的个数b1;
当所述安全预警模进行预警时,所述安全预警模块根据所述主机信息中不同风险等级标签的个数进行对应的预警:
当所述主机信息中高风险等级标签B3的个数b3≥1时,所述安全预警模块进行高风险预警;
当所述主机信息中无高风险等级标签B3且中风险等级标签B2的个数b2≥3时,所述安全预警模块进行中风险预警;
当所述主机信息中无高风险等级标签B3,且中风险等级标签B2的个数b2<3时,所述安全预警模块不进行预警。
进一步地,所述安全分析模块中设置有风险应参数k,设定k=0.5×b3+0.3×b2+0.1×b1,所述安全分析模块中还设置有第一预设风险应参数k1,第二预设风险应参数k2,第三预设风险应参数k3,其中,0<k1<k2<k3。
进一步地,当所述安全预警模块进行中风险预警后,所述安全分析模块在T1时间后,再次将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警;
当所述安全分析模块在T1时间后将所述主机信息的文字特征与所述标准信息的文字特征进行比对时,所述安全分析模块将首次进行文字特征比对后计算得到的风险应参数k与各所述预设风险应参数进行比对,并根据比对结果计算T1时间后进行文字特征选取时的字节数量n2:
当k1≤k<k2时,n2=n1×(k2/k1);
当k2≤k<k3时,n2=n1×(k3/k1)。
进一步地,当所述安全预警模块进行高风险预警后,所述安全分析模块在T1时间后以n2作为文字特征选取时的字节数量,将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警;
当再次进行预警完成时,在T2时间后,设定T2<T1,所述安全分析模块再次将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警;
当所述安全分析模块在T2时间后将所述主机信息的文字特征与所述标准信息的文字特征进行比对时,所述安全分析模块将再次进行文字特征比对后计算得到的风险应参数k与各所述预设风险应参数进行比对,并根据比对结果计算T2时间后进行文字特征选取时的字节数量n3:
当k1≤k<k2时,n3=n2×(k2/k1);
当k2≤k<k3时,n3=n2×(k3/k1)。
进一步地,所述安全标签集是个结构化的数据库,所述安全标签集分为漏洞库和恶意行为库,其中,所述漏洞库包含服务信息、组件版本信息和漏洞信息,所述恶意行为库包括恶意操作指令、木马和病毒,所述数据存储模块根据所述漏洞库和所述恶意行为库生成安全标签集,所述安全标签集包含的安全等级分为低风险、中风险和高风险。
进一步地,所述主机信息采集单元用以采集主机信息,所述主机信息包括主机服务信息、主机登录日志、主机系统版本信息;
所述主机服务信息包括服务协议、服务产品名、服务端口和产品版本,所述主机登录日志包括登录时间和登录用户。
进一步地,所述安全大数据采集单元用以从CVE漏洞信息库、国家信息安全漏洞库和软件程序官方网站中采集标准信息,所述标准信息包括服务标准信息、软件标准信息和漏洞信息。
与现有技术相比,本发明的有益效果在于,本发明所述系统通过对主机的各类信息进行安全标签判定,并根据判定后的安全标签数量进行相应的预警,保证了预警的准确度,同时根据不同安全等级的预警再次进行安全标签判定,并重复进行预警,进一步提高了安全预警的准确度,同时,所述安全分析模块中设置有风险应参数k,而再次进行文字特征比对时,选取的字节数量n2、n3的计算结果取决于风险应参数k的大小,k的计算结果由不同风险等级标签的个数b1、b2及b3决定,当所述各类信息的风险等级标签个数不同时,计算所得风险应参数k的值也不相同,进而再次进行文字特征比对时选取的字节数量亦发生改变,通过设定风险应参数k进一步提高了进行安全预警的准确度;当再次确定第二时刻的风险应参数k低于前一时刻的风险应参数时,则无需再次对字节运算逻辑进行重复,大大节约了重复资源的同时,进一步提高了进行安全预警的准确度。
进一步地,所述安全分析模块将所述主机信息的文字特征与所述标准信息的文字特征进行比对时,所述安全分析模块采用n1作为文字特征选取时的字节数量,有效提高了文字特征比对结果的准确度,进一步提高了安全预警的准确度。
进一步地,所述安全分析模块通过将生成的各类信息的相似度值A与各所述预设信息相似度值进行比对,并根据比对结果分别对各类信息的安全标签进行判定,保证了安全标签判定结果的准确度,进一步提高了安全预警的准确度。
进一步地,所述安全预警模块通过根据所述主机信息中不同风险等级标签的个数进行对应的预警,进一步提高了安全预警的准确度。
进一步地,所述安全分析模块通过将首次进行文字特征比对后计算得到的风险应参数k与各所述预设风险应参数进行比对,并根据比对结果计算T1时间后进行文字特征选取时的字节数量n2,有效保证了文字特征对比的准确度,进一步提高了安全预警的准确度。所述安全分析模块通过将再次进行文字特征比对后计算得到的风险应参数k与各所述预设风险应参数进行比对,并根据比对结果计算T2时间后进行文字特征选取时的字节数量n3,有效保证了文字特征对比的准确度,进一步提高了安全预警的准确度。
附图说明
图1为本发明实施例基于大数据的主机安全实时监控警报系统的结构框架图。
具体实施方式
为了使本发明的目的和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
请参阅图1所示,本发明提供一种基于大数据的主机安全实时监控警报系统,包括:
数据采集模块100,包括主机信息采集单元和安全大数据采集单元;
所述主机信息采集单元用以采集主机信息,所述主机信息包括主机服务信息、主机登录日志、主机系统版本信息和主机其它软件信息;
所述主机服务信息包括服务协议、服务产品名、服务端口和产品版本;所述主机登录日志包括登录时间和登录用户;所述主机其它软件信息包括软件产品名、软件版本和软件安装路径;
所述安全大数据采集单元用以从CVE漏洞信息库、国家信息安全漏洞库和软件程序官方网站中采集标准信息,所述标准信息包括服务标准信息、软件标准信息和漏洞信息,所述安全大数据采集单元对所述标准信息进行分析、整理并存储到数据存储模块,所述安全大数据采集单元对所述标准信息进行定期更新,更新时通过机器自动处理或人机耦合处理;
安全分析模块102,通过所述安全大数据采集单元采集的数据对所述主机信息采集单元采集的主机信息进行安全标签判定,并打上安全标签;
数据存储模块101,用以存储所述主机信息采集单元采集的数据以及存储所述安全分析模块102对主机数据进行安全标签判定后得到的安全标签集;
所述安全标签集是个结构化的数据库,所述安全标签集分为漏洞库和恶意行为库,其中,所述漏洞库包含服务信息、组件版本信息和漏洞信息,所述恶意行为库包括恶意操作指令、木马和病毒,所述数据存储模块根据所述漏洞库和所述恶意行为库生成安全标签集,所述安全标签集包含的安全等级分为低风险、中风险和高风险。
安全预警模块103,对所述安全分析模块102处理过的数据进行预警匹配,根据匹配结果进行相应预警;
报表展示模块104,用以对所述数据存储模块101中被所述安全分析模块102处理后的数据进行安全信息可视为展示、安全数据分析和修复方案提示;
具体而言,当所述安全分析模块首次对所述主机信息进行安全标签判定时,所述安全分析模块以n1作为文字特征选取时的字节数量,将所述主机信息的文字特征与所述标准信息的文字特征进行比对生成各类信息的相似度值,所述安全分析模块将生成的各类信息的相似度值与各预设信息相似度值进行比对,并根据比对结果分别对各类信息的安全标签进行判定,当判定完成后,所述安全预警模块根据所述主机信息中不同风险等级标签的个数进行对应的预警;
具体而言,当所述安全预警模块进行高风险预警后,所述安全分析模块在T1时间后以n2作为文字特征选取时的字节数量,将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警;当再次进行预警完成时,在T2时间后,所述安全分析模块以n3作为文字特征选取时的字节数量,其中,n1<n2<n3,再次将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警。
具体而言,当所述安全分析模块生成各类信息的相似度值时,所述安全分析模块将所述主机信息的文字特征与所述标准信息的文字特征进行比对,在首次进行文字特征比对时,所述安全分析模块采用n1作为文字特征选取时的字节数量,所述安全分析模块根据比对结果生成各类信息的相似度值。
具体而言,所述安全分析模块用以将所述主机信息分别与所述标准信息进行比对,生成各类信息的相似度值;
所述安全分析模块中设置有第一预设信息相似度值A1和第二预设信息相似度值A2,其中,A1<A2;所述安全分析模块中还设置有预设低风险等级标签B1、预设中风险等级标签B2和预设高风险等级标签B3;
当所述安全分析模块判定所述主机信息中各类信息的安全标签时,所述安全分析模块将生成的各类信息的相似度值A与各所述预设信息相似度值进行比对,并根据比对结果分别对各类信息的安全标签进行判定:
当A<A1时,所述安全分析模块将安全标签判定为低风险等级标签B1;
当A1≤A<A2时,所述安全分析模块将安全标签判定为中风险等级标签B2;
当A2≤A时,所述安全分析模块将安全标签判定为高风险等级标签B3。
具体而言,所述安全预警模块中设置有高风险等级标签B3的个数b3,中风险等级标签B2的个数b2,低风险等级标签B1的个数b1;
当所述安全预警模进行预警时,所述安全预警模块根据所述主机信息中不同风险等级标签的个数进行对应的预警:
当所述主机信息中高风险等级标签B3的个数b3≥1时,所述安全预警模块进行高风险预警;
当所述主机信息中无高风险等级标签B3且中风险等级标签B2的个数b2≥3时,所述安全预警模块进行中风险预警;
当所述主机信息中无高风险等级标签B3,且中风险等级标签B2的个数b2<3时,所述安全预警模块不进行预警。
所述安全预警模块通过根据所述主机信息中不同风险等级标签的个数进行对应的预警,进一步提高了安全预警的准确度。
具体而言,所述安全分析模块中设置有风险应参数k,设定k=0.5×b3+0.3×b2+0.1×b1,所述安全分析模块中还设置有第一预设风险应参数k1,第二预设风险应参数k2,第三预设风险应参数k3,其中,0<k1<k2<k3。
具体而言,当所述安全预警模块进行中风险预警后,所述安全分析模块在T1时间后,再次将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警;
当所述安全分析模块在T1时间后将所述主机信息的文字特征与所述标准信息的文字特征进行比对时,所述安全分析模块将首次进行文字特征比对后计算得到的风险应参数k与各所述预设风险应参数进行比对,并根据比对结果计算T1时间后进行文字特征选取时的字节数量n2:
当k1≤k<k2时,n2=n1×(k2/k1);
当k2≤k<k3时,n2=n1×(k3/k1)。
具体而言,当所述安全预警模块进行高风险预警后,所述安全分析模块在T1时间后以n2作为文字特征选取时的字节数量,将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警;
当再次进行预警完成时,在T2时间后,设定T2<T1,所述安全分析模块再次将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警;
当所述安全分析模块在T2时间后将所述主机信息的文字特征与所述标准信息的文字特征进行比对时,所述安全分析模块将再次进行文字特征比对后计算得到的风险应参数k与各所述预设风险应参数进行比对,并根据比对结果计算T2时间后进行文字特征选取时的字节数量n3:
当k1≤k<k2时,n3=n2×(k2/k1);
当k2≤k<k3时,n3=n2×(k3/k1)。
所述安全分析模块通过将再次进行文字特征比对后计算得到的风险应参数k与各所述预设风险应参数进行比对,并根据比对结果计算T2时间后进行文字特征选取时的字节数量n3,有效保证了文字特征对比的准确度,进一步提高了安全预警的准确度。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述仅为本发明的优选实施例,并不用于限制本发明;对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于大数据的主机安全实时监控警报系统,其特征在于,包括:
数据采集模块,包括主机信息采集单元和安全大数据采集单元;
安全分析模块,通过所述安全大数据采集单元采集的数据对所述主机信息采集单元采集的主机信息进行安全标签判定,并打上安全标签;
数据存储模块,用以存储所述主机信息采集单元采集的数据以及存储所述安全分析模块对主机数据进行安全标签判定后得到的安全标签集;
安全预警模块,对所述安全分析模块处理过的数据进行预警匹配,根据匹配结果进行相应预警;
报表展示模块,用以对所述数据存储模块中被所述安全分析模块处理后的数据进行安全信息可视为展示、安全数据分析和修复方案提示;
当所述安全分析模块首次对所述主机信息进行安全标签判定时,所述安全分析模块以n1作为文字特征选取时的字节数量,将所述主机信息的文字特征与所述标准信息的文字特征进行比对生成各类信息的相似度值,所述安全分析模块将生成的各类信息的相似度值与各预设信息相似度值进行比对,并根据比对结果分别对各类信息的安全标签进行判定,当判定完成后,所述安全预警模块根据所述主机信息中不同风险等级标签的个数进行对应的预警;
当所述安全预警模块进行高风险预警后,所述安全分析模块在T1时间后以n2作为文字特征选取时的字节数量,将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警;当再次进行预警完成时,在T2时间后,所述安全分析模块以n3作为文字特征选取时的字节数量,其中,n1<n2<n3,再次将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警。
2.根据权利要求1所述的基于大数据的主机安全实时监控警报系统,其特征在于,当所述安全分析模块生成各类信息的相似度值时,所述安全分析模块将所述主机信息的文字特征与所述标准信息的文字特征进行比对,在首次进行文字特征比对时,所述安全分析模块采用n1作为文字特征选取时的字节数量,所述安全分析模块根据比对结果生成各类信息的相似度值。
3.根据权利要求2所述的基于大数据的主机安全实时监控警报系统,其特征在于,所述安全分析模块用以将所述主机信息分别与所述标准信息进行比对,生成各类信息的相似度值;
所述安全分析模块中设置有第一预设信息相似度值A1和第二预设信息相似度值A2,其中,A1<A2;所述安全分析模块中还设置有预设低风险等级标签B1、预设中风险等级标签B2和预设高风险等级标签B3;
当所述安全分析模块判定所述主机信息中各类信息的安全标签时,所述安全分析模块将生成的各类信息的相似度值A与各所述预设信息相似度值进行比对,并根据比对结果分别对各类信息的安全标签进行判定:
当A<A1时,所述安全分析模块将安全标签判定为低风险等级标签B1;
当A1≤A<A2时,所述安全分析模块将安全标签判定为中风险等级标签B2;
当A2≤A时,所述安全分析模块将安全标签判定为高风险等级标签B3。
4.根据权利要求3所述的基于大数据的主机安全实时监控警报系统,其特征在于,所述安全预警模块中设置有高风险等级标签B3的个数b3,中风险等级标签B2的个数b2,低风险等级标签B1的个数b1;
当所述安全预警模进行预警时,所述安全预警模块根据所述主机信息中不同风险等级标签的个数进行对应的预警:
当所述主机信息中高风险等级标签B3的个数b3≥1时,所述安全预警模块进行高风险预警;
当所述主机信息中无高风险等级标签B3且中风险等级标签B2的个数b2≥3时,所述安全预警模块进行中风险预警;
当所述主机信息中无高风险等级标签B3,且中风险等级标签B2的个数b2<3时,所述安全预警模块不进行预警。
5.根据权利要求4所述的基于大数据的主机安全实时监控警报系统,其特征在于,所述安全分析模块中设置有风险应参数k,设定k=0.5×b3+0.3×b2+0.1×b1,所述安全分析模块中还设置有第一预设风险应参数k1,第二预设风险应参数k2,第三预设风险应参数k3,其中,0<k1<k2<k3。
6.根据权利要求5所述的基于大数据的主机安全实时监控警报系统,其特征在于,当所述安全预警模块进行中风险预警后,所述安全分析模块在T1时间后,再次将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警;
当所述安全分析模块在T1时间后将所述主机信息的文字特征与所述标准信息的文字特征进行比对时,所述安全分析模块将首次进行文字特征比对后计算得到的风险应参数k与各所述预设风险应参数进行比对,并根据比对结果计算T1时间后进行文字特征选取时的字节数量n2:
当k1≤k<k2时,n2=n1×(k2/k1);
当k2≤k<k3时,n2=n1×(k3/k1)。
7.根据权利要求6所述的基于大数据的主机安全实时监控警报系统,其特征在于,当所述安全预警模块进行高风险预警后,所述安全分析模块在T1时间后以n2作为文字特征选取时的字节数量,将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警;
当再次进行预警完成时,在T2时间后,设定T2<T1,所述安全分析模块再次将所述主机信息的文字特征与所述标准信息的文字特征进行比对,所述安全分析模块根据比对结果生成各类信息的相似度值,并重复安全标签的判断过程,所述安全预警模块再次进行相应预警;
当所述安全分析模块在T2时间后将所述主机信息的文字特征与所述标准信息的文字特征进行比对时,所述安全分析模块将再次进行文字特征比对后计算得到的风险应参数k与各所述预设风险应参数进行比对,并根据比对结果计算T2时间后进行文字特征选取时的字节数量n3:
当k1≤k<k2时,n3=n2×(k2/k1);
当k2≤k<k3时,n3=n2×(k3/k1)。
8.根据权利要求1所述的基于大数据的主机安全实时监控警报系统,其特征在于,所述安全标签集是个结构化的数据库,所述安全标签集分为漏洞库和恶意行为库,其中,所述漏洞库包含服务信息、组件版本信息和漏洞信息,所述恶意行为库包括恶意操作指令、木马和病毒,所述数据存储模块根据所述漏洞库和所述恶意行为库生成安全标签集,所述安全标签集包含的安全等级分为低风险、中风险和高风险。
9.根据权利要求1所述的基于大数据的主机安全实时监控警报系统,其特征在于,所述主机信息采集单元用以采集主机信息,所述主机信息包括主机服务信息、主机登录日志、主机系统版本信息;
所述主机服务信息包括服务协议、服务产品名、服务端口和产品版本,所述主机登录日志包括登录时间和登录用户。
10.根据权利要求1所述的基于大数据的主机安全实时监控警报系统,其特征在于,所述安全大数据采集单元用以从CVE漏洞信息库、国家信息安全漏洞库和软件程序官方网站中采集标准信息,所述标准信息包括服务标准信息、软件标准信息和漏洞信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110191248.0A CN113051573B (zh) | 2021-02-19 | 2021-02-19 | 一种基于大数据的主机安全实时监控警报系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110191248.0A CN113051573B (zh) | 2021-02-19 | 2021-02-19 | 一种基于大数据的主机安全实时监控警报系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113051573A true CN113051573A (zh) | 2021-06-29 |
| CN113051573B CN113051573B (zh) | 2021-11-02 |
Family
ID=76509221
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110191248.0A Active CN113051573B (zh) | 2021-02-19 | 2021-02-19 | 一种基于大数据的主机安全实时监控警报系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113051573B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113919706A (zh) * | 2021-10-14 | 2022-01-11 | 新疆维泰开发建设(集团)股份有限公司 | 一种基于bim的拱形隧道施工管理方法及系统 |
| CN114022944A (zh) * | 2022-01-05 | 2022-02-08 | 北京国信网联科技有限公司 | 一种智能监控系统 |
| CN116521784A (zh) * | 2023-05-06 | 2023-08-01 | 广州银汉科技有限公司 | 基于u3d的可视化工作流框架生成方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102354310A (zh) * | 2011-07-12 | 2012-02-15 | 广东电网公司信息中心 | 一种自动化信息安全评估的方法及装置 |
| CN103854063A (zh) * | 2012-11-29 | 2014-06-11 | 中国科学院计算机网络信息中心 | 一种基于互联网开放信息的事件发生风险预测并预警方法 |
| CN104052635A (zh) * | 2014-06-05 | 2014-09-17 | 北京江南天安科技有限公司 | 一种基于安全预警的风险态势预测方法及系统 |
| CN106209817A (zh) * | 2016-07-01 | 2016-12-07 | 何钟柱 | 基于大数据和可信计算的信息网络安全自防御系统 |
| CN107180070A (zh) * | 2017-03-29 | 2017-09-19 | 暨南大学 | 一种风险信息自动分类、识别与预警方法及系统 |
| CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
| US20200011901A1 (en) * | 2018-07-06 | 2020-01-09 | Hsiang Cheng Electric Corp. | Device for accurate measurement based on wire diameter |
| CN110830441A (zh) * | 2019-09-30 | 2020-02-21 | 广西科技大学 | 一种基于大数据的信息安全监测系统 |
| CN110929923A (zh) * | 2019-11-08 | 2020-03-27 | 温州设计集团有限公司 | 基于数字孪生技术的城市安全风险管控系统 |
-
2021
- 2021-02-19 CN CN202110191248.0A patent/CN113051573B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102354310A (zh) * | 2011-07-12 | 2012-02-15 | 广东电网公司信息中心 | 一种自动化信息安全评估的方法及装置 |
| CN103854063A (zh) * | 2012-11-29 | 2014-06-11 | 中国科学院计算机网络信息中心 | 一种基于互联网开放信息的事件发生风险预测并预警方法 |
| CN104052635A (zh) * | 2014-06-05 | 2014-09-17 | 北京江南天安科技有限公司 | 一种基于安全预警的风险态势预测方法及系统 |
| CN106209817A (zh) * | 2016-07-01 | 2016-12-07 | 何钟柱 | 基于大数据和可信计算的信息网络安全自防御系统 |
| CN107180070A (zh) * | 2017-03-29 | 2017-09-19 | 暨南大学 | 一种风险信息自动分类、识别与预警方法及系统 |
| CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
| US20200011901A1 (en) * | 2018-07-06 | 2020-01-09 | Hsiang Cheng Electric Corp. | Device for accurate measurement based on wire diameter |
| CN110830441A (zh) * | 2019-09-30 | 2020-02-21 | 广西科技大学 | 一种基于大数据的信息安全监测系统 |
| CN110929923A (zh) * | 2019-11-08 | 2020-03-27 | 温州设计集团有限公司 | 基于数字孪生技术的城市安全风险管控系统 |
Non-Patent Citations (2)
| Title |
|---|
| HAN BING: "Analysis and Research of System Security Based on Android", 《IEEE》 * |
| 王传栋 等: "基于大数据的网络恶意行为及特种关联分析", 《太原理工大学学报》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113919706A (zh) * | 2021-10-14 | 2022-01-11 | 新疆维泰开发建设(集团)股份有限公司 | 一种基于bim的拱形隧道施工管理方法及系统 |
| CN114022944A (zh) * | 2022-01-05 | 2022-02-08 | 北京国信网联科技有限公司 | 一种智能监控系统 |
| CN116521784A (zh) * | 2023-05-06 | 2023-08-01 | 广州银汉科技有限公司 | 基于u3d的可视化工作流框架生成方法 |
| CN116521784B (zh) * | 2023-05-06 | 2023-10-10 | 广州银汉科技有限公司 | 基于u3d的可视化工作流框架生成方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113051573B (zh) | 2021-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113051573B (zh) | 一种基于大数据的主机安全实时监控警报系统 | |
| US11487880B2 (en) | Inferring security incidents from observational data | |
| CN106796639B (zh) | 用于可信执行环境的数据挖掘算法 | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| CN108933785B (zh) | 网络风险监控方法、装置、计算机设备及存储介质 | |
| US11991191B2 (en) | Detecting a missing security alert using a machine learning model | |
| CN112567367A (zh) | 用于聚类和加速多个事故调查的基于相似性的方法 | |
| US11888881B2 (en) | Context informed abnormal endpoint behavior detection | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| EP3531324B1 (en) | Identification process for suspicious activity patterns based on ancestry relationship | |
| CN110868418A (zh) | 一种威胁情报生成方法、装置 | |
| WO2022005706A1 (en) | Deep learning-based analysis of signals for threat detection | |
| CN114172703A (zh) | 一种恶意软件识别方法、装置、介质 | |
| CN110149303B (zh) | 一种党校的网络安全预警方法及预警系统 | |
| CN113343228B (zh) | 事件可信度分析方法、装置、电子设备及可读存储介质 | |
| CN112600828B (zh) | 基于数据报文的电力控制系统攻击检测防护方法及装置 | |
| CN111865958B (zh) | 基于多源安全检测框架的检测方法及系统 | |
| CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN111625825B (zh) | 一种病毒检测方法、装置、设备及存储介质 | |
| CN113722712A (zh) | 一种基于hook的程序恶意行为的检测方法及相关装置 | |
| CN113596051B (zh) | 检测方法、检测装置、电子设备、介质和计算机程序 | |
| CN114006775B (zh) | 一种入侵事件的检测方法及装置 | |
| CN113949621B (zh) | 入侵事件的告警关联方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |