CN114553560A

CN114553560A - 一种基于大数据技术的网络安全告警智能分析平台

Info

Publication number: CN114553560A
Application number: CN202210178043.3A
Authority: CN
Inventors: 陈涛; 陈筱陆; 杨洋; 冯德品; 郭伟琪; 张婷; 吕艺; 范茂霞; 沈涛; 梁素杰
Original assignee: Linyi Power Supply Co of State Grid Shandong Electric Power Co Ltd
Current assignee: Linyi Power Supply Co of State Grid Shandong Electric Power Co Ltd
Priority date: 2022-02-25
Filing date: 2022-02-25
Publication date: 2022-05-27
Anticipated expiration: 2042-02-25
Also published as: CN114553560B

Abstract

本发明提供一种基于大数据技术的网络安全告警智能分析平台，所述智能分析平台包括智能分析系统以及运维系统，所述智能分析系统包括信息读取模块、智能分析模块以及智能导出模块，所述运维系统包括策略生成模块、消缺处理模块以及信息输出模块；所述智能分析系统用于对网络安全告警信息进行智能分析分类后输出至运维系统；所述运维系统用于对智能分析系统处理后的信息进行再分析处理后进行展示，本发明能够通过对告警信息智能分析、数据处理等技术实现告警信息智能导出、汇总、智能化展示，并剔除无关信息，以解决现有的电网的网络安全分析处理不够全面、有效告警信息筛选较差的问题。

Description

一种基于大数据技术的网络安全告警智能分析平台

技术领域

本发明涉及电网安全数据处理技术领域，尤其涉及一种基于大数据技术的网络安全告警智能分析平台。

背景技术

为全面加强电力监控系统网络空间的安全监管，各级电网调度机构依托网络安全管理平台开展网络安全运行监视工作。网络安全管理平台是将电网安全防护体系由边界防护扩展至纵深防御，协助工作人员全面掌握电网总体安全情况，对于实时掌握电网存在的安全隐患，采取有效措施阻止恶意攻击行为具有重要意义。通过监测设备告警信息，发现各厂商存在不同程度的安全风险，对电网设备实施全方位监测。但网络安全监测平台会产生海量冗余、错误的网络安全告警信息，每天有成千上万条告警信息，且不断实时更新，目前仅靠系统导出告警信息，人工统计、删选、处理，耗时耗力，效率低下，无法做到实时跟踪分析告警信息，告警信息很难得到及时消除，缺少基于大数据技术的自动处理工具，严重影响了网络安全，目前国内外暂未查到解决该问题的相关技术或方法，仍属于空白领域。

现有的技术中，针对海量告警信息，人工筛选告警信息，耗时耗力，效率低下，无法做到实时跟踪分析告警信息，告警信息很难得到及时消除，严重影响了网络安全。因此需要对海量告警信息进行关联分析、再分析和再组织，去除无关告警信息，过滤正常攻击行为，挖掘出真正的告警信息的方法来解决这一问题。

发明内容

针对现有技术存在的不足，本发明目的是提供一种基于大数据技术的网络安全告警智能分析平台，能够通过对告警信息智能分析、数据处理等技术实现告警信息智能导出、汇总、智能化展示，并剔除无关信息，以解决现有的电网的网络安全分析处理不够全面、有效告警信息筛选较差的问题。

为了实现上述目的，本发明是通过如下的技术方案来实现：一种基于大数据技术的网络安全告警智能分析平台，所述智能分析平台包括智能分析系统以及运维系统，所述智能分析系统包括信息读取模块、智能分析模块以及智能导出模块，所述运维系统包括策略生成模块、消缺处理模块以及信息输出模块；

所述智能分析系统用于对网络安全告警信息进行智能分析分类后输出至运维系统；所述运维系统用于对智能分析系统处理后的信息进行再分析处理后进行展示；

所述信息读取模块用于通过网络与安全管理平台数据库进行连接，可实现自动读取上送的网络安全告警信息，并将读取到的告警信息发送至智能分析模块；

所述智能分析模块用于将读取到的网络安全告警信息进行初步分析，区分紧急告警、普通和次要告警信息；并对网络安全告警信息进行进一步分析归类处理；

所述智能导出模块用于将分类后的网络安全告警信息生成数据表格，并剔除误发告警后一键导出至运维系统；

所述策略生成模块用于对智能分析归类后的网络安全告警信息，根据智能决策专家库，逐一自动生成告警信息处理策略；且可根据需求实时生成告警信息处理策略，并将告警信息处理策略输出至运维人员；

所述消缺处理模块用于根据自动生成的告警信息处理策略，由运维人员确认可执行后，将不合格的告警信息处理策略进行消除；

所述信息输出模块用于将网络安全告警信息的处理结果生成报表并进行针对性地展示，并将展示信息输出至工作人员终端。

进一步地，所述智能分析模块包括信息归类单元，所述信息归类单元配置有信息归类策略，所述信息归类策略包括：将网络安全告警信息分为紧急告警、普通告警以及次要告警；

将紧急告警的网络安全告警信息依次标记为Xj1至Xjm，其中Xj1为紧急告警的第一条标记的网络安全告警信息，Xjm为紧急告警的第m条标记的网络安全告警信息，m表示为紧急告警的网络安全告警信息的数量；

将普通告警的网络安全告警信息依次标记为Xp1至Xpn，其中Xp1为普通告警的第一条标记的网络安全告警信息，Xpm为普通告警的第n条标记的网络安全告警信息，n表示为普通告警的网络安全告警信息的数量；

将次要告警的网络安全告警信息依次标记为Xc1至Xco，其中Xc1为次要告警的第一条标记的网络安全告警信息，Xco为次要告警的第o条标记的网络安全告警信息，o表示为次要告警的网络安全告警信息的数量。

进一步地，所述智能分析模块还包括设备归类单元，所述设备归类单元配置有设备归类策略，所述设备归类策略包括：将告警设备分为远动机、服务器、工作站、故障录波器等；并将告警设备依次标记为S1至Sa，S1 为告警设备分类中的第一类型的设备，Sa为告警设备中第a类型的设备；

将告警类型分为未关闭部分服务、远程管理功能未关闭、策略配置错误、存在默认路由等；并将告警类型依次标记为L1至Lb，L1为第一个分类的告警类型，Lb为第b个分类的告警类型；

将告警所属区域分为：局属站、县域站、新能源场站、地方电厂、用户站等；并将告警所属区域依次标记为Q1至Qc，Q1为第一个分类的告警所属区域，Qc为第c个分类的告警所属区域。

进一步地，所述智能导出模块包括表格生成单元，所述表格生成单元配置有表格生成策略，所述表格生成策略包括：将智能分析模块归类的网络安全告警信息进行表格生成，并将每条网络安全警告信息按照告警信息类型、告警设备类型、告警类型以及告警所属区域类型进行标记。

进一步地，所述智能导出模块还包括筛选输出单元，所述筛选输出单元配置有筛选输出策略，所述筛选输出策略包括：将网络安全告警信息与预设的网络安全告警信息进行比对，剔除误发告警信息，并将最终生成的表格输出至运维系统。

进一步地，所述策略生成模块配置有策略生成策略，所述策略生成策略包括：从智能决策专家库中提取专家决策，并针对智能分析归类后的网络安全告警信息进行逐一对应，自动生成告警信息处理策略；

将未能匹配到处理策略的网络安全告警信息输送给运维人员，并将运维人员拟定的处理方案生成为实时处理策略；

将逐一对应后的告警信息处理策略输出给运维人员，运维人员根据告警情况随时更新智能决策专家库，并生成新一代告警信息处理策略。

进一步地，所述消缺处理模块配置有消缺处理策略，所述消缺处理策略包括：将策略生成模块最终生成的告警处理策略再次输出给运维人员，运维人员确认后执行消缺选项，将不合格的告警信息处理策略进行消除。

进一步地，所述信息输出模块包括输送单元、报表生成单元以及个性展示单元，所述输送单元用于将网络安全告警信息输送给工作人员；

所述报表生成单元配置有报表生成策略，所述报表生成策略包括：获取历史报表模板，将网络安全告警信息按照历史报表模板进行填充生成新的报表；

所述个性展示单元配置有自定义生成策略，所述自定义生成策略包括：获取个性展示的自定义模板，将网络安全告警信息填充值自定义模板中生成个性展示信息。

本发明的有益效果：1、改变了以往数据统计依靠人工完成，实现告警信息自动统计，节省了大量的人力、物力，尤其是工作繁忙的季节，运维人员无需耗费太多精力在数据统计中，可实现智能化提取有效告警信息，大幅度提升工作效率。

2、实现网络安全告警数据的分时间段、分电压等级、分区域、分类的多维度筛选，满足实际工作的各种需求，便于运维人员多样化统计。

3、实现对于网络安全告警信息的一键式智能处理，减少运维人员的工作量，尤其对于新员工，不熟悉业务，针对告警处理无从下手，该工具可实现根据不同的告警信息自动生成处理策略，运维人员只需确认可行，便可一键式消缺、处理，省时省力。

4、针对网络安全告警情况，该工具可根据需求自动生成报表、报告，包括告警信息数量、告警分类、各区域占比、各区域网络安全指数、告警处理情况等内容，节省了传统方式上运维人员人工分析的大量时间。

5、改变了以往人工监视网络安全告警情况，该工具可通过OMS邮件及短信通知的形式实时通知值班、运维人员产生的新告警，防止漏监造成网络安全事件，便于运维人员及时处理告警信息，保障网络安全。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为本发明的智能分析平台的原理框图；

图2为本发明的整体运作流程图。

具体实施方式

为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。

请参阅图1和图2，一种基于大数据技术的网络安全告警智能分析平台，所述智能分析平台包括智能分析系统以及运维系统，所述智能分析系统包括信息读取模块、智能分析模块以及智能导出模块，所述运维系统包括策略生成模块、消缺处理模块以及信息输出模块；所述智能分析系统用于对网络安全告警信息进行智能分析分类后输出至运维系统；所述运维系统用于对智能分析系统处理后的信息进行再分析处理后进行展示。

所述信息读取模块用于通过网络与安全管理平台数据库进行连接，可实现自动读取上送的网络安全告警信息，并将读取到的告警信息发送至智能分析模块。

所述智能分析模块用于将读取到的网络安全告警信息进行初步分析，区分紧急告警、普通和次要告警信息；并对网络安全告警信息进行进一步分析归类处理；所述智能分析模块包括信息归类单元，所述信息归类单元配置有信息归类策略，所述信息归类策略包括：将网络安全告警信息分为紧急告警、普通告警以及次要告警；

所述智能分析模块还包括设备归类单元，所述设备归类单元配置有设备归类策略，所述设备归类策略包括：将告警设备分为远动机、服务器、工作站、故障录波器等；并将告警设备依次标记为S1至Sa，S1为告警设备分类中的第一类型的设备，Sa为告警设备中第a类型的设备；其中告警设备还可以分为纵向加密装置、路由器、交换机、电能量装置等；

将告警类型分为未关闭部分服务、远程管理功能未关闭、策略配置错误、存在默认路由等；其中，未关闭部分服务包括SNTP、DNS、NetB I OS、 DHCP等，并将告警类型依次标记为L1至Lb，L1为第一个分类的告警类型， Lb为第b个分类的告警类型；

将告警所属区域分为：局属站、县域站、新能源场站、地方电厂、用户站等；其中县域站还可以分为县域站A县、B县、C县、D县等；并将告警所属区域依次标记为Q1至Qc，Q1为第一个分类的告警所属区域，Qc为第c个分类的告警所属区域。同样，还可以根据不同的电网类型增加设备归类的种类，如根据电压等级分类：220kV、110kV、35kV等。

所述智能导出模块用于将分类后的网络安全告警信息生成数据表格，并剔除误发告警后一键导出至运维系统；所述智能导出模块包括表格生成单元，所述表格生成单元配置有表格生成策略，所述表格生成策略包括：将智能分析模块归类的网络安全告警信息进行表格生成，并将每条网络安全警告信息按照告警信息类型、告警设备类型、告警类型以及告警所属区域类型进行标记；所述智能导出模块还包括筛选输出单元，所述筛选输出单元配置有筛选输出策略，所述筛选输出策略包括：将网络安全告警信息与预设的网络安全告警信息进行比对，剔除误发告警信息，并将最终生成的表格输出至运维系统。

所述策略生成模块用于对智能分析归类后的网络安全告警信息，根据智能决策专家库，逐一自动生成告警信息处理策略；且可根据需求实时生成告警信息处理策略，并将告警信息处理策略输出至运维人员；所述策略生成模块配置有策略生成策略，所述策略生成策略包括：从智能决策专家库中提取专家决策，并针对智能分析归类后的网络安全告警信息进行逐一对应，自动生成告警信息处理策略；将未能匹配到处理策略的网络安全告警信息输送给运维人员，并将运维人员拟定的处理方案生成为实时处理策略；将逐一对应后的告警信息处理策略输出给运维人员，运维人员根据告警情况随时更新智能决策专家库，并生成新一代告警信息处理策略。根据现阶段网络安全告警信息的处理情况，通过机器学习不断补充、更新专家库的数据，同时，新的告警决策信息生成时，浏览专家决策库原有内容，如不包含此条新数据，则将新收集新信息加入本地区保护信息专家决策库，实现数据库的实时滚动更新。

所述消缺处理模块用于根据自动生成的告警信息处理策略，由运维人员确认可执行后，将不合格的告警信息处理策略进行消除；所述消缺处理模块配置有消缺处理策略，所述消缺处理策略包括：将策略生成模块最终生成的告警处理策略再次输出给运维人员，运维人员确认后执行消缺选项，将不合格的告警信息处理策略进行消除。

所述信息输出模块包括输送单元、报表生成单元以及个性展示单元，所述输送单元用于将网络安全告警信息输送给工作人员；通过OMS系统发送邮件告知，同时自动生成短信通知，便于以最快速度进行网络安全告警，及时处理。

所述报表生成单元配置有报表生成策略，所述报表生成策略包括：获取历史报表模板，将网络安全告警信息按照历史报表模板进行填充生成新的报表；该工具具有总结分析功能，针对庞大的网络安全告警信息量，及处理情况，可实现自动分析，一键式生成报表、报告，可以根据需求生成日报表、月报表、季报表、年报表，以及相应的报告，便于运维人员进行统计分析。

所述个性展示单元配置有自定义生成策略，所述自定义生成策略包括：获取个性展示的自定义模板，将网络安全告警信息填充值自定义模板中生成个性展示信息；针对网络安全告警情况，对网络安全指数进行智能化、图形化展示，分实时和历史两个功能，方便运维人员对网络安全情况进行监视，根据需求实时展示网络安全告警数量、分类、区域等，同时可实现查阅网络安全告警情况的历史信息，可根据需求对某一时段的网络安全告警情况进行图形化展示。

工作原理：通过信息读取模块能够获取网络与安全管理平台数据库的网络安全告警信息，并将读取到的告警信息发送至智能分析模块，通过智能分析模块能够将读取到的网络安全告警信息进行初步分析，区分紧急告警、普通和次要告警信息；并对网络安全告警信息进行进一步分析归类处理；通过智能导出模块用能够将分类后的网络安全告警信息生成数据表格，并剔除误发告警后一键导出至运维系统；再通过策略生成模块能够对智能分析归类后的网络安全告警信息，根据智能决策专家库，逐一自动生成告警信息处理策略；且可根据需求实时生成告警信息处理策略，并将告警信息处理策略输出至运维人员；通过消缺处理模块能够根据自动生成的告警信息处理策略，由运维人员确认可执行后，将不合格的告警信息处理策略进行消除；最后可以通过信息输出模块将网络安全告警信息的处理结果生成报表并进行针对性地展示，并将展示信息输出至工作人员终端。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种基于大数据技术的网络安全告警智能分析平台，其特征在于，所述智能分析平台包括智能分析系统以及运维系统，所述智能分析系统包括信息读取模块、智能分析模块以及智能导出模块，所述运维系统包括策略生成模块、消缺处理模块以及信息输出模块；

2.根据权利要求1所述的一种基于大数据技术的网络安全告警智能分析平台，其特征在于，所述智能分析模块包括信息归类单元，所述信息归类单元配置有信息归类策略，所述信息归类策略包括：将网络安全告警信息分为紧急告警、普通告警以及次要告警；

3.根据权利要求2所述的一种基于大数据技术的网络安全告警智能分析平台，其特征在于，所述智能分析模块还包括设备归类单元，所述设备归类单元配置有设备归类策略，所述设备归类策略包括：将告警设备分为远动机、服务器、工作站、故障录波器等；并将告警设备依次标记为S1至Sa，S1为告警设备分类中的第一类型的设备，Sa为告警设备中第a类型的设备；

4.根据权利要求3所述的一种基于大数据技术的网络安全告警智能分析平台，其特征在于，所述智能导出模块包括表格生成单元，所述表格生成单元配置有表格生成策略，所述表格生成策略包括：将智能分析模块归类的网络安全告警信息进行表格生成，并将每条网络安全警告信息按照告警信息类型、告警设备类型、告警类型以及告警所属区域类型进行标记。

5.根据权利要求4所述的一种基于大数据技术的网络安全告警智能分析平台，其特征在于，所述智能导出模块还包括筛选输出单元，所述筛选输出单元配置有筛选输出策略，所述筛选输出策略包括：将网络安全告警信息与预设的网络安全告警信息进行比对，剔除误发告警信息，并将最终生成的表格输出至运维系统。

6.根据权利要求5所述的一种基于大数据技术的网络安全告警智能分析平台，其特征在于，所述策略生成模块配置有策略生成策略，所述策略生成策略包括：从智能决策专家库中提取专家决策，并针对智能分析归类后的网络安全告警信息进行逐一对应，自动生成告警信息处理策略；

7.根据权利要求6所述的一种基于大数据技术的网络安全告警智能分析平台，其特征在于，所述消缺处理模块配置有消缺处理策略，所述消缺处理策略包括：将策略生成模块最终生成的告警处理策略再次输出给运维人员，运维人员确认后执行消缺选项，将不合格的告警信息处理策略进行消除。

8.根据权利要求7所述的一种基于大数据技术的网络安全告警智能分析平台，其特征在于，所述信息输出模块包括输送单元、报表生成单元以及个性展示单元，所述输送单元用于将网络安全告警信息输送给工作人员；