CN114553596A - 适用于网络安全的多维度安全情况实时展现方法及系统 - Google Patents

适用于网络安全的多维度安全情况实时展现方法及系统 Download PDF

Info

Publication number
CN114553596A
CN114553596A CN202210422964.XA CN202210422964A CN114553596A CN 114553596 A CN114553596 A CN 114553596A CN 202210422964 A CN202210422964 A CN 202210422964A CN 114553596 A CN114553596 A CN 114553596A
Authority
CN
China
Prior art keywords
monitoring
test
node
processing
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210422964.XA
Other languages
English (en)
Other versions
CN114553596B (zh
Inventor
徐晓华
杜猛俊
钱锦
李昂
韩荣杰
屠永伟
张稼睿
徐汉麟
徐李冰
陈元中
向新宇
倪夏冰
周昕悦
李强强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd filed Critical Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority to CN202210422964.XA priority Critical patent/CN114553596B/zh
Publication of CN114553596A publication Critical patent/CN114553596A/zh
Application granted granted Critical
Publication of CN114553596B publication Critical patent/CN114553596B/zh
Priority to US18/104,431 priority patent/US11777982B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种适用于网络安全的多维度安全情况实时展现方法及系统,包括:基于测试指令选择至少一个维度的安全测试用例生成目标测试集合,根据所述目标测试集合生成相对应的目标日志集合;运行目标测试集合中的每个安全测试用例,生成监测日志集合;根据目标日志集合与监测日志集合确定差异日志集合;获取与所述目标日志集合所对应的第一处理路径集合,根据目标日志集合与监测日志集合确定第二处理路径集合;将监测处理路径中的每个监测节点与第二子处理路径的每个处理节点比对得到测试处理时间段、加强训练节点以及测试处理效率;对所述差异日志集合所对应的差异日志事件、测试处理时间段、加强训练节点以及测试处理效率实时输出显示。

Description

适用于网络安全的多维度安全情况实时展现方法及系统
技术领域
本发明涉及数据处理技术领域,尤其涉及一种适用于网络安全的多维度安全情况实时展现方法及系统。
背景技术
近年来,随着网络攻击的日益剧增,如何保障集团公司关键信息基础设施在发生网络安全事件时及时响应,提升网络安全态势感知、事件分析、追踪溯源以及遭受攻击后的快速恢复能力,有效应对高智能攻击,为集团公司提供重点保障和支持,是关键信息基础设施保护的重中之重。尤其在网络安全演习等重大保障活动时,应急响应的速度和质量决定了一次重大安全事件能否成功应对并挽回损失。
近年逐步加强网络安全建设,在内网部署了WEB应用防护系统,漏洞扫描系统,态势感知平台,IPS,终端准入系统,日志审计系统,防病毒系统,防火墙及其他安全应用系统。网络安全风控室虽然已经集中管理以上系统及设备,但在分析处置过程中,各设备每天产生海量告警信息(据调查大型组织每周平均告警事件超过17万条),因为安全事件分析人员不足、处置效率低下等问题导致大量告警信息被忽略,埋下安全隐患。此外,安全事件处置流程更新不及时,甚至极少更新,导致安全处置效果受到影响。例如遇到针对系统或应用安全漏洞时,还需通过人工对平台进行实时监控,发现后下载相关漏洞信息并制作督查整改单,通过内网OA系统下发/反馈通知,再人工复测闭环,导致督查整改流程困难、工作效率较低,原因是目前缺乏一套基于AI(人工智能)技术+SOAR(安全编排、自动化和响应)技术的网络安全事件快速应急响应系统帮助解决漏洞处置、督查整改以及各类安全监控、分析、处置场景。
所以,亟需一种安全场景的测试方法,能够对网络事件进行安全性的模拟测试,提高网络安全度。
发明内容
本发明实施例提供一种适用于网络安全的多维度安全情况实时展现方法及系统,能够对网络事件进行安全性的模拟测试,并对工作人员的行为进行记录显示,提高工作人员的操作能力、网络设备安全度。
本发明实施例的第一方面,提供一种适用于网络安全的多维度安全情况实时展现方法,包括:
基于测试指令选择至少一个维度的安全测试用例用以生成目标测试集合,根据所述目标测试集合生成相对应的目标日志集合;
运行所述目标测试集合中的每个安全测试用例,统计平台的网络安全处理系统所产出的监测事件日志生成监测日志集合;
若目标日志集合中的测试事件日志与监测日志集合中的监测事件日志不相对应,则根据所述目标日志集合与监测日志集合确定差异日志集合;
获取与所述目标日志集合所对应的第一处理路径集合,每个第一处理路径集合中具有与测试事件日志对应的第一子处理路径,根据所述目标日志集合与监测日志集合确定第二处理路径集合,所述第二处理路径集合包括至少一个第二子处理路径;
获取所述第二子处理路径的初始节点和截止节点,基于所述初始节点和截止节点对工作人员的行为进行监测,生成对应的监测处理路径;
将监测处理路径中的每个监测节点与第二子处理路径的每个处理节点比对,得到测试处理时间段、和加强训练节点,根据所述测试处理时间段和加强训练节点得到测试处理效率;
对所述差异日志集合所对应的差异日志事件、测试处理时间段、加强训练节点以及测试处理效率实时输出显示。
可选地,在第一方面的一种可能实现方式中,所述基于测试指令选择至少一个安全测试用例生成目标测试集合,根据所述目标测试集合生成相对应的目标日志集合的步骤具体包括:
预先配置多种维度的安全测试用例,每种安全测试用例用于对平台的网络安全处理系统中相应的网络安全单元进行测试,每个安全测试用例具有与其对应的测试标签;
接收用户输入的数量选择信息,根据所述数量选择信息、测试标签的选择权重随机选择相应数量的测试标签,基于所述测试标签确定相应的安全测试用例生成目标测试集合;
根据所述目标测试集合中每个安全测试用例的测试标签,确定相对应的目标测试日志得到目标日志集合,其中每个目标测试日志具有与其对应的测试标签。
可选地,在第一方面的一种可能实现方式中,所述若目标日志集合中的测试事件日志与监测日志集合中的监测事件日志不相对应,则根据所述目标日志集合与监测日志集合确定差异日志集合的步骤具体包括:
若所述目标日志集合中测试事件日志的测试数量与监测日志集合中监测事件日志的监测数量不对应;
将目标日志集合内所有测试标签与监测日志集合内所有监测标签比对,确定与监测标签不对应的测试标签作为差异标签,根据所述差异标签生成差异日志事件;
统计所有差异日志事件生成差异日志集合。
可选地,在第一方面的一种可能实现方式中,所述获取所述第二子处理路径的初始节点和截止节点,基于所述初始节点和截止节点对工作人员的行为进行监测,生成对应的监测处理路径的步骤具体包括:
对第二子处理路径中的每个处理节点按照节点顺序进行排序得到排序结果,将所述排序结果中的第一个处理节点作为初始节点、最后一个处理节点作为截止节点;
选定初始节点作为第一类型节点,选定第二个处理节点至截止节点的所有节点作为第二类型节点;
对所有第二类型节点按照预设条件锁定处理,以使所有第二类型节点在其前置节点被触发后才能够被解锁进而被触发。
可选地,在第一方面的一种可能实现方式中,所述将监测处理路径中的每个监测节点与第二子处理路径的每个处理节点比对得到测试处理时间段、加强训练节点,根据所述测试处理时间段和加强训练节点得到测试处理效率的步骤具体包括:
若判断工作人员具有触发初始节点的行为时,则采集此时的时刻作为第一时刻,若判断工作人员具有触发截止节点的行为时,则采集此时的时刻作为第二时刻;
确定所述第一时刻和第二时刻之间的时间段作为测试处理时间段。
可选地,在第一方面的一种可能实现方式中,所述将监测处理路径中的每个监测节点与第二子处理路径的每个处理节点比对得到测试处理时间段、加强训练节点,根据所述测试处理时间段和加强训练节点得到测试处理效率的步骤具体包括:
预先配置有效触发的行为,在初始节点被有效触发后,则对所有的有效触发的行为进行监测并生成监测处理路径;
对监测处理路径中的所有监测节点按照被有效触发的时间顺序进行排序,得到第一监测排序结果,其中每个监测节点对应一个有效触发的行为;
将第一监测排序结果中每个监测节点与第二子处理路径的每个处理节点比对,将第一监测排序结果分为多个监测子段;
统计每个监测子段内监测节点的数量得到该监测子段所对应的处理节点的容错段落数量,将容错段落数量大于预设数量的处理节点作为加强训练节点。
可选地,在第一方面的一种可能实现方式中,所述将第一监测排序结果中每个监测节点与第二子处理路径的每个处理节点比对,将第一监测排序结果分为多个监测子段的步骤具体包括:
将第一监测排序结果中与处理节点比对后相对应的监测节点作为分隔节点;
选取任意两个相邻的分隔节点,将有效触发的时间在前的分隔节点作为第一分隔节点,将有效触发的时间在后的分隔节点作为第二分隔节点;
根据所述第一分隔节点和第二分隔节点确定相对应的监测子段,其中每个监测子段与第二分隔节点相对应。
可选地,在第一方面的一种可能实现方式中,所述将监测处理路径中的每个监测节点与第二子处理路径的每个处理节点比对得到测试处理时间段、加强训练节点,根据所述测试处理时间段和加强训练节点得到测试处理效率的步骤具体包括:
将测试处理时间段与预设标准时间段比对得到第一效率因子;
统计每个监测处理路径所对应的所有监测子段的容错段落数量,得到每个监测处理路径的容错总数量,将所述容错总数量与相应的第二子处理路径中处理节点的处理数量比对得到第二效率因子;
根据所述第一效率因子、第二效率因子以及加强训练节点的数量生成测试处理效率。
可选地,在第一方面的一种可能实现方式中,所述接收用户输入的数量选择信息,根据所述数量选择信息、测试标签的选择权重随机选择相应数量的测试标签,基于所述测试标签确定相应的安全测试用例生成目标测试集合的步骤具体包括:
获取与所述监测处理路径所对应的监测标签,根据所述监测标签确定相应测试标签先前时刻的选择权重;
将当前时刻所生成的测试处理效率与预先设置的测试处理效率比对,对先前时刻的选择权重进行偏移处理得到更新后的选择权重;
根据每个测试标签的选择权重依次随机选择测试标签,直至测试标签的数量与数量选择信息相对应后,基于所述测试标签确定相应的安全测试用例生成目标测试集合。
本发明实施例的第二方面,提供一种适用于网络安全的多维度安全情况实时展现系统,包括:
选择模块,用于基于测试指令选择至少一个维度的安全测试用例用以生成目标测试集合,根据所述目标测试集合生成相对应的目标日志集合;
运行模块,用于运行所述目标测试集合中的每个安全测试用例,统计平台的网络安全处理系统所产出的监测事件日志生成监测日志集合;
确定模块,用于若目标日志集合中的测试事件日志与监测日志集合中的监测事件日志不相对应,则根据所述目标日志集合与监测日志集合确定差异日志集合;
获取模块,用于获取与所述目标日志集合所对应的第一处理路径集合,每个第一路径集合中具有与测试事件日志对应的第一子处理路径,根据所述目标日志集合与监测日志集合确定第二处理路径集合,所述第二处理路径集合包括至少一个第二子处理路径;
比对模块,用于获取所述第二子处理路径的初始节点和截止节点,基于所述初始节点和截止节点对工作人员的行为进行监测,生成对应的监测处理路径,将监测处理路径中的每个监测节点与第二子处理路径的每个处理节点比对,得到测试处理时间段和加强训练节点以及测试处理效率;
显示模块,用于对所述差异日志集合所对应的差异日志事件、测试处理时间段、加强训练节点以及测试处理效率实时输出显示。
本发明实施例的第三方面,提供一种存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器执行时用于实现本发明第一方面及第一方面各种可能设计的所述方法。
本发明提供的一种适用于网络安全的多维度安全情况实时展现方法及系统。能够预先设置多个安全测试用例,并且按照相应的安全测试用例运行触发平台中的网络安全事件。并且在触发网络安全事件后,会首先在日志事件维度进行检测,判断平台的网络安全处理系统中是否出现了问题的遗漏,导致部分系统漏洞并没有被发现。在日志维度存在的问题确定后,本发明会对工作人员的操作行为进行监测,得到相对应的监测处理路径,结合监测处理路径和第二子处理路径之间各个节点的数量、时间的不同,得到相对应的测试处理时间段、加强训练节点,结合测试处理时间段、加强训练节点确定测试处理效率,使得在每次测试时,能够发现每种类型的网络安全时,工作人员的操作、处理效率以及操作错误的重点节点,进而为后续对工作人员进行针对性的训练和培训提供依据。根据测试处理效率能够确定在处理应急事件时,工作人员所薄弱的处理某种类型的应急事件的能力,进而进行加强和针对性的培训。
本发明提供的技术方案,在得到监测处理路径时,会设置相应的起始触发条件和截止触发条件,使得本发明能够根据人工智能的方式记录、确定用户的操作时间,避免在测试时工作人员进行作弊,并且本发明中的第二类型节点按照预设条件锁定处理,使得所有第二类型节点被触发具有顺序条件,进而符合实际的运维操作。并且,本发明会结合第二子处理路径的每个处理节点对第一监测排序结果进行分隔,得到多个监测子段,统计每个监测子段中监测节点的数量得到容错段落数量,进而实现统计工作人员在完成某个维护、修复的过程中某个处理节点完成正确操作时所对应的操作错误行为的数量,进而使得本发明能够得到加强训练节点,使得在后期对工作人员进行培训时,能够按照该加强训练节点有针对性的对工作人员进行培训,提高工作人员的专业性技能。
本发明提供的技术方案,会根据测试处理时间段、预设标准时间段、容错总数量以及相应处理节点的处理数量等多个维度确定最终的测试处理效率,使得该测试处理效率能够更加客观、全面的评价工作人员进行维护时的操作行为。并且,本发明会将测试处理效率与预先设置的测试处理效率比对,进而对相应选择标签的选择权重进行更新,使得后续在随机挑选及选择测试标签中优先选取测试效率较低的监测标签,在降低测试时间及数量的情况下,实现对工作人员有针对性的对薄弱的维护行为进行测试,实现维护的模拟训练,进而后期对工作人员开展针对性的培训。
附图说明
图1为适用于网络安全的多维度安全情况实时展现方法的第一种实施方式的流程图;
图2为适用于网络安全的多维度安全情况实时展现方法的第二种实施方式的流程图;
图3为适用于网络安全的多维度安全情况实时展现系统的第一种实施方式的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
应当理解,在本发明的各种实施例中,各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应当理解,在本发明中,“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本发明中,“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含A、B和C”、“包含A、B、C”是指A、B、C三者都包含,“包含A、B或C”是指包含A、B、C三者之一,“包含A、B和/或C”是指包含A、B、C三者中任1个或任2个或3个。
应当理解,在本发明中,“与A对应的B”、“与A相对应的B”、“A与B相对应”或者“B与A相对应”,表示B与A相关联,根据A可以确定B。根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其他信息确定B。A与B的匹配,是A与B的相似度大于或等于预设的阈值。
取决于语境,如在此所使用的“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
本发明提供一种适用于网络安全的多维度安全情况实时展现方法,如图1所示,包括:
步骤S110、基于测试指令选择至少一个维度的安全测试用例生成目标测试集合,根据所述目标测试集合生成相对应的目标日志集合。本发明会通过输入模块接收工作人员所输入的测试指令,此时本发明会选择至少一个维度的安全测试用例生成目标测试集合。不同的安全测试用例会具有不同的测试方向,例如Github敏感信息泄露测试方向、WEB攻击事件测试方向、主机异常登录测试方向、主机漏洞告警测试方向等等。在不同的安全测试用例触发相应的告警时间后,此时会得到相对应的日志,例如Github敏感信息泄露事件日志、WEB攻击事件日志、主机异常登录事件日志、主机漏洞告警事件日志,此时得到相对应的目标日志集合。
本发明提供的技术方案,在一个可能的实施方式中,如图2所示,步骤S110具体包括:
步骤S1101、预先配置多种维度的安全测试用例,每种安全测试用例用于对平台的网络安全处理系统中相应的网络安全单元进行测试,每个安全测试用例具有与其对应的测试标签。本发明会预先设置安全测试用例,工作人员可以根据实际的测试需求,进行安全测试用例的设置。本发明的平台会包括网络安全处理系统,该网络安全处理系统可以看作是防火墙等安全模块、系统,防火墙会具有不同的网络安全单元,例如进行Github敏感信息泄露检测的单元、WEB攻击检测、防御的单元、主机异常登录检测告警的单元等等。本发明会为每个安全测试用例配置其相对应的测试标签,每个安全测试用例的测试标签都是不同的。
步骤S1102、接收用户输入的数量选择信息,根据所述数量选择信息、测试标签的选择权重随机选择相应数量的测试标签,基于所述测试标签确定相应的安全测试用例生成目标测试集合。本发明会接收用户主动输入的数量选择信息,可以这样理解,数量选择信息即为选择测试标签的数量,数量选择信息例如2、5等等。由于选择测试标签的数量可能较多,所以本发明会综合选择权重随机选择相应数量的测试标签,选择权重越大,则该测试标签被选中的几率越大。
可以通过以下公式计算每个测试标签所对应的被选中的几率,
Figure DEST_PATH_IMAGE001
其中,
Figure 484885DEST_PATH_IMAGE002
为第
Figure DEST_PATH_IMAGE003
个测试标签所对应的被选中的几率,
Figure 71724DEST_PATH_IMAGE004
为第
Figure DEST_PATH_IMAGE005
个测试标签所对应的选择权重,
Figure 294895DEST_PATH_IMAGE006
为第
Figure DEST_PATH_IMAGE007
个测试标签所对应的选择权重,
Figure 625382DEST_PATH_IMAGE008
为测试标签的上限值。通过
Figure DEST_PATH_IMAGE009
可以得到所有测试标签的权重之和,根据每个测试标签占权重之和的概率得到每个测试标签所对应的被选中的几率。
建立100个被抽取单元,将每个测试标签所对应的被选中的几率与100相乘得到每个测试标签所对应的抽取单元数量,将所有的测试标签的所有抽取单元随机分配。随机选择随机分配后的被抽取单元,将随机选择的被抽取单元所对应的测试标签作为被随机选择的测试标签。
步骤S1103、根据所述目标测试集合中每个安全测试用例的测试标签,确定相对应的目标测试日志得到目标日志集合,其中每个目标测试日志具有与其对应的测试标签。本发明会根据安全测试用例的测试标签得到目标日志集合,安全测试用例在后续都会被运行,如果平台的网络安全处理系统正常工作的话,则此时会一一对应生成相应的目标日志集合,所以本发明会根据测试标签得到相对应的目标日志集合。
步骤S120、运行所述目标测试集合中的每个安全测试用例,统计平台的网络安全处理系统所产出的监测事件日志生成监测日志集合。本发明在得到目标测试集合后,会运行目标测试集合中的每个安全测试用例,运行方式可以是分别运行、也可以是同时运行。在此过程中,本发明会统计网络安全处理系统所产出的监测事件日志生成监测日志集合。可以这样理解,网络安全处理系统所产出的监测日志集合即为其所监测到的安全影响事件。
步骤S130、若目标日志集合中的测试事件日志与监测日志集合中的监测事件日志不相对应,则根据所述目标日志集合与监测日志集合确定差异日志集合。此时目标测试集合的所有安全测试用例所触发的安全事件,存在未被本发明所提供的网络安全处理系统监测到的情况,所以此时本发明会得到差异日志集合,差异日志集合即为监测日志集合中应当出现、但未出现的监测事件日志,此时对于目标测试集合中安全测试用例的运行所触发的安全事件,存在遗漏监测的情况。
如果目标日志集合中的测试事件日志与监测日志集合中的监测事件日志相对应,则证明此时目标测试集合的所有安全测试用例所触发的安全事件都被本发明所提供的网络安全处理系统监测到,所以此时无需生成差异日志集合,此时网络安全处理系统对于安全事件监测的数量是准确的。
本发明提供的技术方案,步骤S130具体包括:
若所述目标日志集合中测试事件日志的测试数量与监测日志集合中监测事件日志的监测数量不对应。此时,即存在部分安全事件遗漏监测的情况出现。
将目标日志集合内所有测试标签与监测日志集合内所有监测标签比对,确定与监测标签不对应的测试标签作为差异标签,根据所述差异标签生成差异日志事件。不同的日志具有不同的标签,例如Github敏感信息泄露检测所对应的监测标签可以是A001、Github敏感信息泄露检测所对应的测试标签可以是B001,此时可以认为A001与B001是对应的,即后缀中的阿拉伯数字是相对应的。如果目标日志集合内所具有的测试标签,监测日志集合并不存在相对应的监测标签,则认为此时目标日志集合内相应的测试标签为差异标签,此时会得到相应的差异日志事件。
可以这样理解,在生成安全测试用例时,即为每个安全测试用例分配对饮的标签,例如C001,此时在后续得到相应目标事件日志、监测事件日志时都会具有001的后缀,该种方式易于统计差异日志事件。
例如WEB攻击检测所对应的安全测试用例为C002,测试标签中具有A002,但是监测标签中并不存在B002,所以此时得到的差异日志事件可以是D002。
统计所有差异日志事件生成差异日志集合。本发明会统计所有的差异日志事件生成差异日志集合。
步骤S140、获取与所述目标日志集合所对应的第一处理路径集合,每个处理路径集合中具有与测试事件日志对应的第一子处理路径,根据所述目标日志集合与监测日志集合确定第二处理路径集合,所述第二处理路径集合包括至少一个第二子处理路径。
本发明在得到目标日志集合后,会得到与目标日志集合相对应的第一处理路径集合,此时的第一子处理路径可以看作是预先设置的,例如在出现Github敏感信息泄露时,则此时相对应的第一子处理路径即为解决该Github敏感信息泄露的操作路径。该操作路径例如工作人员以管理员身份登录→选定出现Github敏感信息泄露的终端→将Github敏感信息泄露的终端中相应的部分删除。
本发明会将目标日志集合与监测日志集合确定第二处理路径集合,因为在目标日志集合与监测日志集合不相对应时,则证明此时已近出现漏掉的监测事件日志,此时工作人员并不会发现漏掉的监测事件日志所对应的安全事件,所以此时为了降低后续的计算量,会在第一处理路径集合的基础上进行筛选,得到与监测日志集合相对应的第二处理路径集合,可以这样理解,第二处理路径集合中的所有第二子处理路径都会被进行比对,来评判用户的操作行为是否精准、合规。
步骤S150、基于所述第二子处理路径的初始节点和截止节点,基于所述初始节点和截止节点对工作人员的行为进行监测,生成对应的监测处理路径。第二子处理路径为工作人员以管理员身份登录→选定出现Github敏感信息泄露的终端→将Github敏感信息泄露的终端中相应的部分删除,则此时初始节点即为工作人员以管理员身份登录,截止节点即为将Github敏感信息泄露的终端中相应的部分删除。此时会对用户的所有操作行为进行监测,得到相对应的监测处理路径,例如在用户的实际操作过程中,其可能在选定出现Github敏感信息泄露的终端时会出现选择错误的行为,也可能会出现将Github敏感信息泄露的终端中的其他不敏感内容删除的行为,此时本发明会对以上的所有行为进行监测,得到相对应的监测处理路径。
本发明会根据初始节点和截止节点判断对工作人员的行为开始监测的时间点和结束监测的时间点,根据开始监测的时间点至结束监测的时间点中工作人员的所有行为生成监测处理路径。
本发明提供的技术方案,在一个可能的实施方式中,步骤S150具体包括:
对第二子处理路径中的每个处理节点按照节点顺序进行排序得到排序结果,将所述排序结果中的第一个处理节点作为初始节点、最后一个处理节点作为截止节点。工作人员以管理员身份登录就位第一个处理节点,选定出现Github敏感信息泄露的终端即为第二个处理节点,将Github敏感信息泄露的终端中相应的部分删除即为第三个处理节点。
选定初始节点作为第一类型节点,选定第二个处理节点至截止节点的所有节点作为第二类型节点。此时本发明会根据节点的不同位置对节点进行归类,不同的类型节点会具有不同处理属性。
对所有第二类型节点按照预设条件锁定处理,以使所有第二类型节点在其前置节点被触发后才能够被解锁进而被触发。为了保障测试过程中工作人员的操作符合规矩、流程,防止作弊等情况出现,本发明会对每一个第二类型节点设置一个解锁条件,该解锁条件即可以理解为是预设条件锁定处理所设置的条件,预设条件锁定处理即为只有在每一个第二类型节点的前置节点被触发后,相应的第二类型节点才能够被解锁进而被触发。通过以上的方式,使得工作人员在进行维护的操作时,具有相应的操作流程、顺序。
步骤S160、将监测处理路径中的每个监测节点与第二子处理路径的每个处理节点比对得到测试处理时间段、加强训练节点,根据所述测试处理时间段和加强训练节点得到测试处理效率。本发明提供的技术方案,会将监测节点与处理节点,得到相对应的处理时间段、加强训练节点。处理时间段越长,则证明相应安全事件的维护难度可能越高,工作人员操作越不熟练,加强训练节点越多,则证明工作人员在某个操作节点下的操作行为、处理行为越不熟练,越应该加强针对性的训练。本发明会结合测试处理时间段及加强训练节点确定最终的测试处理效率来评判工作人员的整体操作情况。
本发明提供的技术方案,在一个可能的实施方式中,步骤S160具体包括:
若判断工作人员具有触发初始节点的行为时,则采集此时的时刻作为第一时刻,若判断工作人员具有触发截止节点的行为时,则采集此时的时刻作为第二时刻。在工作人员具有触发初始节点的操作、行为时,则证明此时工作人员已经针对安全事件开始进行维护,所以需要确定此时的时刻,并将该时刻作为第一时刻。在工作人员具有触发截止节点的操作、行为时,则此时工作人员已经针对安全事件维护完成,所以需要确定此时的时刻,并将该时刻作为第二时刻。
确定所述第一时刻和第二时刻之间的时间段作为测试处理时间段。测试处理时间段越长,则说明相应的安全事件越复杂,或者是工作人员操作越不熟练。
本发明提供的技术方案,在一个可能的实施方式中,步骤S160具体包括:
预先配置有效触发的行为,在初始节点被有效触发后,则对所有的有效触发的行为进行监测生成监测处理路径。有效触发的行为可以是工作人员对整个平台中的所有模块、可以点击的选项进行选定,选定方式可以是对相应的图标、输入框等位置进行鼠标的双击选中。初始节点被有效触发,即可以理解为是工作人员以管理员身份登录并进行双击点击相应的“确认”、“登录”等选项,不同的UI界面对于选项、图标、输入框会具有不同的形式,在工作人员每完成一次双击时,可以认为其完成了一次选定、有效触发。本发明会在初始节点被有效触发后,则对所有的有效触发的行为进行监测生成监测处理路径初始节点被有效触发后,则对所有的有效触发的行为进行监测生成监测处理路径。例如工作人员双击“我的电脑”,也会被监测到,属于监测处理路径的一部分。
对监测处理路径中的所有监测节点按照被有效触发的时间顺序进行排序,得到第一监测排序结果,其中每个监测节点对应一个有效触发的行为。本发明在得到监测处理路径后,会按照时间顺序对监测节点进行排序,进而可以得到一个具有时序的、工作人员的操作路径。
将第一监测排序结果中每个监测节点与第二子处理路径的每个处理节点比对,将第一监测排序结果分为多个监测子段。例如第一监测排序结果为:工作人员以管理员身份登录→选定我的电脑→退出我的电脑→选定出现Github敏感信息泄露的终端→将Github敏感信息泄露的终端中相应的部分删除。此时本发明会将第一监测排序结果分为多个监测子段,第一个监测子段即为工作人员以管理员身份登录→选定我的电脑→退出我的电脑→选定出现Github敏感信息泄露的终端,第二个监测子段即为选定出现Github敏感信息泄露的终端→将Github敏感信息泄露的终端中相应的部分删除。
统计每个监测子段内监测节点的数量得到该监测子段所对应的处理节点的容错段落数量,将容错段落数量大于预设数量的处理节点作为加强训练节点。在第一个监测子段中存在两个错误的监测节点,即“选定我的电脑”和“退出我的电脑”,可以认为第一个监测子段的容错段落数量即为2,例如预设数量为1,则此时选定出现Github敏感信息泄露的终端所对应的节点即为加强训练节点。即工作人员需要对终端的选择进行加强训练。
本发明提供的技术方案,在一个可能的实施方式中,在将第一监测排序结果中每个监测节点与第二子处理路径的每个处理节点比对,将第一监测排序结果分为多个监测子段的步骤中,具体包括:
将第一监测排序结果中与处理节点比对后相对应监测节点作为分隔节点。本发明会将处理节点相对应监测节点作为分隔节点,此时的分隔节点即分别为工作人员以管理员身份登录、选定出现Github敏感信息泄露的终端、将Github敏感信息泄露的终端中相应的部分删除。
选取任意两个相邻的分隔节点,将有效触发的时间在前的分隔节点作为第一分隔节点,将有效触发的时间在后的分隔节点作为第二分隔节点。例如选定两个相邻的分隔节点为工作人员以管理员身份登录和选定出现Github敏感信息泄露的终端。此时的第一分隔节点即为工作人员以管理员身份登录,第二分隔节点即为选定出现Github敏感信息泄露的终端。
根据所述第一分隔节点和第二分隔节点确定相对应的监测子段,其中每个监测子段与第二分隔节点相对应。此时根据第一分隔节点和第二分隔节点确定的监测子段即为工作人员以管理员身份登录→选定我的电脑→退出我的电脑→选定出现Github敏感信息泄露的终端,并且该字段是与选定出现Github敏感信息泄露的终端的节点相对应的,可以认为工作人员在进行选定出现Github敏感信息泄露的终端的操作时,出现了错误操作的情况。
本发明提供的技术方案,在一个可能的实施方式中,步骤S160具体包括:
将测试处理时间段与预设标准时间段比对得到第一效率因子。在实际的安全测试场景中,不同的安全事件处理行为需要的时间也是不同的,所以直接将两个不同的安全事件的测试处理时间段进行比对,并无法客观的描述工作人员对相应安全事件处理的熟练度。所以本发明为每个安全事件、相应的安全测试用例设置相对应的预设标准时间段,并且本发明会将测试处理时间段与预设标准时间段比对得到第一效率因子,第一效率因子越大,则证明此时用户在进行相应的安全事件处理时,其操作越不熟练。
统计每个监测处理路径所对应的所有监测子段的容错段落数量,得到每个监测处理路径的容错总数量,将所述容错总数量与相应的第二子处理路径中处理节点的处理数量比对得到第二效率因子。同理,在实际的安全测试场景中,不同的安全事件处理行为需要处理的节点的数量也是不同的,所以直接将两个不同的安全事件的容错总数量进行比对,并无法客观的描述工作人员对相应安全事件处理的熟练度。所以本发明会根据每个安全事件、相应的安全测试用例对应的第二子处理路径中处理节点的处理数量,进行第二效率因子的计算,第二效率因子越大,则证明此时用户在进行相应的安全事件处理时,其操作越不熟练,操作错误越多。
根据所述第一效率因子、第二效率因子以及加强训练节点的数量生成测试处理效率。本发明会结合第一效率因子、第二效率因子以及加强训练节点的数量得到最终的测试处理效率。
在计算测试处理效率,本发明可以通过以下公式计算,包括:
Figure 617609DEST_PATH_IMAGE010
其中,
Figure DEST_PATH_IMAGE011
为测试处理效率,
Figure 640929DEST_PATH_IMAGE012
为测试处理时间段,
Figure DEST_PATH_IMAGE013
为预设标准时间段,
Figure 351396DEST_PATH_IMAGE014
为时间处理权重值,
Figure DEST_PATH_IMAGE015
为所有监测子段的容错段落数量,
Figure 219995DEST_PATH_IMAGE016
为第二子处理路径中处理节点的处理数量,
Figure DEST_PATH_IMAGE017
为节点数量常数值,
Figure 597886DEST_PATH_IMAGE018
为节点数量权重值,
Figure DEST_PATH_IMAGE019
为加强训练节点的数量,
Figure 401894DEST_PATH_IMAGE020
为加强节点权重值,
Figure DEST_PATH_IMAGE021
为标准效率值。
本发明提供的技术方案,标准效率值可以是预先设置的,可以通过
Figure 724291DEST_PATH_IMAGE022
得到第一效率因子,通过
Figure DEST_PATH_IMAGE023
得到第二效率因子,并发明结合加强训练节点的数量
Figure 271947DEST_PATH_IMAGE024
得到最终的测试处理效率。第一效率因子
Figure DEST_PATH_IMAGE025
、第二效率因子
Figure 360470DEST_PATH_IMAGE026
以及加强训练节点的数量
Figure DEST_PATH_IMAGE027
越大、越多,则测试处理效率
Figure 600959DEST_PATH_IMAGE028
越小。通过测试处理效率可以反映出工作人员对相应安全事件的应对能力,并进行相应的提高。
如果测试处理效率低于最低处理效率,则此时进行主动的报警提醒,则证明此时工作人员无法对相应的安全事件进行有效的处理,需要进行针对性的、加强性的培训、操作及训练。
步骤S170、对所述差异日志集合所对应的差异日志事件、测试处理时间段、加强训练节点以及测试处理效率实时输出显示。通过以上方式,使得更高维度的监管人员能够实时掌握进行运维的工作人员的操作能力。
本发明提供的技术方案,在一个可能的实施方式中,在接收用户输入的数量选择信息,根据所述数量选择信息、测试标签的选择权重随机选择相应数量的测试标签,基于所述测试标签确定相应的安全测试用例生成目标测试集合的步骤中,具体包括:
获取与所述监测处理路径所对应的监测标签,根据所述监测标签确定相应测试标签先前时刻的选择权重。本发明会在每次得到监测处理路径后,会确定其所对应的选择权重。每个监测处理路径的初始的选择权重可以是预先设置的。
将当前时刻所生成的测试处理效率与预先设置的测试处理效率比对,对先前时刻的选择权重进行偏移处理得到更新后的选择权重。本发明会将测试处理效率与预先设置的测试处理效率比对,进而达到对选择权重进行更新的目的。
如果当前时刻所生成的测试处理效率大于预先设置的测试处理效率,则证明此时用户对该相应安全测试用例所对应的安全事件处理较好,所以此时可以对选择权重调低处理,即再下次确定测试标签时,降低选择该测试标签的概率。
通过以下公式计算调低处理后的选择权重,
Figure DEST_PATH_IMAGE029
其中,
Figure 410652DEST_PATH_IMAGE030
为调低处理后的选择权重,
Figure DEST_PATH_IMAGE031
为调低处理前的选择权重,
Figure 761999DEST_PATH_IMAGE032
为当前时刻所生成的测试处理效率,
Figure DEST_PATH_IMAGE033
为预先设置的测试处理效率,
Figure 707958DEST_PATH_IMAGE034
为调低权重。
通过
Figure DEST_PATH_IMAGE035
可以得到选择权重的调低幅度,如果
Figure 119348DEST_PATH_IMAGE036
越大,则调低处理后的选择权重
Figure 291703DEST_PATH_IMAGE030
越小,该种方式能够使得本发明所确定的选择权重与工作人员的掌握程度是线性变化的,使得本发明在随机选择安全测试用例时更具有测试效果。
如果当前时刻所生成的测试处理效率小于预先设置的测试处理效率,则证明此时用户对该相应安全测试用例所对应的安全事件处理较差,所以此时可以对选择权重调高处理,即再下次确定测试标签时,提高选择该测试标签的概率。
通过以下公式计算调高处理后的选择权重,
Figure DEST_PATH_IMAGE037
其中,
Figure 305795DEST_PATH_IMAGE038
为调高权重。
通过
Figure DEST_PATH_IMAGE039
可以得到选择权重的调高幅度,如果
Figure 512786DEST_PATH_IMAGE040
越大,则调高处理后的选择权重
Figure 360656DEST_PATH_IMAGE030
越大,该种方式能够使得本发明所确定的选择权重与工作人员的掌握程度是线性变化的,使得本发明在随机选择安全测试用例时更具有测试效果。
根据每个测试标签的选择权重依次随机选择测试标签,直至测试标签的数量与数量选择信息相对应后,基于所述测试标签确定相应的安全测试用例生成目标测试集合。
为了实现本发明提供的一种适用于网络安全的多维度安全情况实时展现方法,本发明还提供一种适用于网络安全的多维度安全情况实时展现系统,如图3所示,包括:
选择模块,用于基于测试指令选择至少一个维度的安全测试用例生成目标测试集合,根据所述目标测试集合生成相对应的目标日志集合;
运行模块,用于运行所述目标测试集合中的每个安全测试用例,统计平台的网络安全处理系统所产出的监测事件日志生成监测日志集合;
确定模块,用于若目标日志集合中的测试事件日志与监测日志集合中的监测事件日志不相对应,则根据所述目标日志集合与监测日志集合确定差异日志集合;
获取模块,用于获取与所述目标日志集合所对应的第一处理路径集合,每个处理路径集合中具有与测试事件日志对应的第一子处理路径,根据所述目标日志集合与监测日志集合确定第二处理路径集合,所述第二处理路径集合包括至少一个第二子处理路径;
比对模块,用于基于所述第二子处理路径的初始节点和截止节点,基于所述初始节点和截止节点对工作人员的行为进行监测,生成对应的监测处理路径,将监测处理路径中的每个监测节点与第二子处理路径的每个处理节点比对得到测试处理时间段、加强训练节点以及测试处理效率;
显示模块,用于对所述差异日志集合所对应的差异日志事件、测试处理时间段、加强训练节点以及测试处理效率实时输出显示。
本发明还提供一种存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器执行时用于实现上述的各种实施方式提供的方法。
其中,存储介质可以是计算机存储介质,也可以是通信介质。通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。计算机存储介质可以是通用或专用计算机能够存取的任何可用介质。例如,存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(Application Specific IntegratedCircuits,简称:ASIC)中。另外,该ASIC可以位于用户设备中。当然,处理器和存储介质也可以作为分立组件存在于通信设备中。存储介质可以是只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本发明还提供一种程序产品,该程序产品包括执行指令,该执行指令存储在存储介质中。设备的至少一个处理器可以从存储介质读取该执行指令,至少一个处理器执行该执行指令使得设备实施上述的各种实施方式提供的方法。
在上述终端或者服务器的实施例中,应理解,处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application SpecificIntegrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.适用于网络安全的多维度安全情况实时展现方法,其特征在于,包括:
基于测试指令选择至少一个维度的安全测试用例用以生成目标测试集合,根据所述目标测试集合生成相对应的目标日志集合;
运行所述目标测试集合中的每个安全测试用例,统计平台的网络安全处理系统所产出的监测事件日志生成监测日志集合;
若目标日志集合中的测试事件日志与监测日志集合中的监测事件日志不相对应,则根据所述目标日志集合与监测日志集合确定差异日志集合;
获取与所述目标日志集合所对应的第一处理路径集合,每个第一处理路径集合中具有与测试事件日志对应的第一子处理路径,根据所述目标日志集合与监测日志集合确定第二处理路径集合,所述第二处理路径集合包括至少一个第二子处理路径;
获取所述第二子处理路径的初始节点和截止节点,基于所述初始节点和截止节点对工作人员的行为进行监测,生成对应的监测处理路径;
将监测处理路径中的每个监测节点与第二子处理路径的每个处理节点比对,得到测试处理时间段和加强训练节点,根据所述测试处理时间段和加强训练节点得到测试处理效率;
对所述差异日志集合所对应的差异日志事件、测试处理时间段、加强训练节点以及测试处理效率实时输出显示。
2.根据权利要求1所述的适用于网络安全的多维度安全情况实时展现方法,其特征在于,
所述基于测试指令选择至少一个安全测试用例生成目标测试集合,根据所述目标测试集合生成相对应的目标日志集合的步骤具体包括:
预先配置多种维度的安全测试用例,每种安全测试用例用于对平台的网络安全处理系统中相应的网络安全单元进行测试,每个安全测试用例具有与其对应的测试标签;
接收用户输入的数量选择信息,根据所述数量选择信息、测试标签的选择权重随机选择相应数量的测试标签,基于所述测试标签确定相应的安全测试用例并生成目标测试集合;
根据所述目标测试集合中每个安全测试用例的测试标签确定相对应的目标测试日志以得到目标日志集合,其中每个目标测试日志具有与其对应的测试标签。
3.根据权利要求2所述的适用于网络安全的多维度安全情况实时展现方法,其特征在于,
所述若目标日志集合中的测试事件日志与监测日志集合中的监测事件日志不相对应,则根据所述目标日志集合与监测日志集合确定差异日志集合的步骤具体包括:
若所述目标日志集合中测试事件日志的测试数量与监测日志集合中监测事件日志的监测数量不对应;
将目标日志集合内所有测试标签与监测日志集合内所有监测标签比对,确定与监测标签不对应的测试标签作为差异标签,根据所述差异标签生成差异日志事件;
统计所有差异日志事件生成差异日志集合。
4.根据权利要求2所述的适用于网络安全的多维度安全情况实时展现方法,其特征在于,
所述获取所述第二子处理路径的初始节点和截止节点,基于所述初始节点和截止节点对工作人员的行为进行监测,生成对应的监测处理路径的步骤具体包括:
对第二子处理路径中的每个处理节点按照节点顺序进行排序得到排序结果,将所述排序结果中的第一个处理节点作为初始节点、最后一个处理节点作为截止节点;
选定初始节点作为第一类型节点,选定第二个处理节点至截止节点的所有节点作为第二类型节点;
对所有第二类型节点按照预设条件锁定处理,以使所有第二类型节点在其前置节点被触发后才能够被解锁进而被触发。
5.根据权利要求4所述的适用于网络安全的多维度安全情况实时展现方法,其特征在于,
所述将监测处理路径中的每个监测节点与第二子处理路径的每个处理节点比对得到测试处理时间段、加强训练节点,根据所述测试处理时间段和加强训练节点得到测试处理效率的步骤具体包括:
若判断工作人员具有触发初始节点的行为时,则采集此时的时刻作为第一时刻,若判断工作人员具有触发截止节点的行为时,则采集此时的时刻作为第二时刻;
确定所述第一时刻和第二时刻之间的时间段作为测试处理时间段。
6.根据权利要求5所述的适用于网络安全的多维度安全情况实时展现方法,其特征在于,
所述将监测处理路径中的每个监测节点与第二子处理路径的每个处理节点比对得到测试处理时间段、加强训练节点,根据所述测试处理时间段和加强训练节点得到测试处理效率的步骤具体包括:
预先配置有效触发的行为,在初始节点被有效触发后,则对所有的有效触发的行为进行监测并生成监测处理路径;
对监测处理路径中的所有监测节点按照被有效触发的时间顺序进行排序,得到第一监测排序结果,其中每个监测节点对应一个有效触发的行为;
将第一监测排序结果中每个监测节点与第二子处理路径的每个处理节点比对,将第一监测排序结果分为多个监测子段;
统计每个监测子段内监测节点的数量,得到该监测子段所对应的处理节点的容错段落数量,将容错段落数量大于预设数量的处理节点作为加强训练节点。
7.根据权利要求6所述的适用于网络安全的多维度安全情况实时展现方法,其特征在于,
所述将第一监测排序结果中每个监测节点与第二子处理路径的每个处理节点比对,将第一监测排序结果分为多个监测子段的步骤具体包括:
将第一监测排序结果中与处理节点比对后相对应的监测节点作为分隔节点;
选取任意两个相邻的分隔节点,将有效触发的时间在前的分隔节点作为第一分隔节点,将有效触发的时间在后的分隔节点作为第二分隔节点;
根据所述第一分隔节点和第二分隔节点确定相对应的监测子段。
8.根据权利要求6所述的适用于网络安全的多维度安全情况实时展现方法,其特征在于,
所述将监测处理路径中的每个监测节点与第二子处理路径的每个处理节点比对得到测试处理时间段、加强训练节点,根据所述测试处理时间段和加强训练节点得到测试处理效率的步骤具体包括:
将测试处理时间段与预设标准时间段比对得到第一效率因子;
统计每个监测处理路径所对应的所有监测子段的容错段落数量,得到每个监测处理路径的容错总数量,将所述容错总数量与相应的第二子处理路径中处理节点的处理数量比对得到第二效率因子;
根据所述第一效率因子、第二效率因子以及加强训练节点的数量生成测试处理效率。
9.根据权利要求8所述的适用于网络安全的多维度安全情况实时展现方法,其特征在于,
所述接收用户输入的数量选择信息,根据所述数量选择信息、测试标签的选择权重随机选择相应数量的测试标签,基于所述测试标签确定相应的安全测试用例生成目标测试集合的步骤具体包括:
获取与所述监测处理路径所对应的监测标签,根据所述监测标签确定相应测试标签先前时刻的选择权重;
将当前时刻所生成的测试处理效率与预先设置的测试处理效率比对,对先前时刻的选择权重进行偏移处理得到更新后的选择权重;
根据每个测试标签的选择权重依次随机选择测试标签,直至测试标签的数量与数量选择信息相对应后,基于所述测试标签确定相应的安全测试用例生成目标测试集合。
10.适用于网络安全的多维度安全情况实时展现系统,其特征在于,包括:
选择模块,用于基于测试指令选择至少一个维度的安全测试用例用以生成目标测试集合,根据所述目标测试集合生成相对应的目标日志集合;
运行模块,用于运行所述目标测试集合中的每个安全测试用例,统计平台的网络安全处理系统所产出的监测事件日志生成监测日志集合;
确定模块,用于若目标日志集合中的测试事件日志与监测日志集合中的监测事件日志不相对应,则根据所述目标日志集合与监测日志集合确定差异日志集合;
获取模块,用于获取与所述目标日志集合所对应的第一处理路径集合,每个第一处理路径集合中具有与测试事件日志对应的第一子处理路径,根据所述目标日志集合与监测日志集合确定第二处理路径集合,所述第二处理路径集合包括至少一个第二子处理路径;
比对模块,用于获取所述第二子处理路径的初始节点和截止节点,基于所述初始节点和截止节点对工作人员的行为进行监测,生成对应的监测处理路径,将监测处理路径中的每个监测节点与第二子处理路径的每个处理节点比对,得到测试处理时间段和加强训练节点以及测试处理效率;
显示模块,用于对所述差异日志集合所对应的差异日志事件、测试处理时间段、加强训练节点以及测试处理效率实时输出显示。
CN202210422964.XA 2022-04-21 2022-04-21 适用于网络安全的多维度安全情况实时展现方法及系统 Active CN114553596B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210422964.XA CN114553596B (zh) 2022-04-21 2022-04-21 适用于网络安全的多维度安全情况实时展现方法及系统
US18/104,431 US11777982B1 (en) 2022-04-21 2023-02-01 Multidimensional security situation real-time representation method and system and applicable to network security

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210422964.XA CN114553596B (zh) 2022-04-21 2022-04-21 适用于网络安全的多维度安全情况实时展现方法及系统

Publications (2)

Publication Number Publication Date
CN114553596A true CN114553596A (zh) 2022-05-27
CN114553596B CN114553596B (zh) 2022-07-19

Family

ID=81666985

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210422964.XA Active CN114553596B (zh) 2022-04-21 2022-04-21 适用于网络安全的多维度安全情况实时展现方法及系统

Country Status (2)

Country Link
US (1) US11777982B1 (zh)
CN (1) CN114553596B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114756477A (zh) * 2022-06-13 2022-07-15 南京讯优智超软件科技有限公司 融合客户行为回放的多维测试方法及系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117675523B (zh) * 2024-02-03 2024-05-03 北京中科网芯科技有限公司 基于风险预测的网络通信管理方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102231686A (zh) * 2011-06-24 2011-11-02 北京天融信科技有限公司 一种实现网络安全设备自动化测试的系统和方法
WO2014088912A1 (en) * 2012-12-06 2014-06-12 The Boeing Company Context aware network security monitoring for threat detection
CN107835982A (zh) * 2015-05-04 2018-03-23 赛义德·卡姆兰·哈桑 用于在计算机网络中管理安全性的方法和设备
WO2019060327A1 (en) * 2017-09-20 2019-03-28 University Of Utah Research Foundation ONLINE DETECTION OF ANOMALIES IN A NEWSPAPER USING AUTOMATIC APPRENTICESHIP
US10462170B1 (en) * 2016-11-21 2019-10-29 Alert Logic, Inc. Systems and methods for log and snort synchronized threat detection
CN113487010A (zh) * 2021-05-21 2021-10-08 国网浙江省电力有限公司杭州供电公司 基于机器学习的电网网络安全事件分析方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220014560A1 (en) * 2015-10-28 2022-01-13 Qomplx, Inc. Correlating network event anomalies using active and passive external reconnaissance to identify attack information
US10542021B1 (en) * 2016-06-20 2020-01-21 Amazon Technologies, Inc. Automated extraction of behavioral profile features
US11520901B2 (en) * 2018-12-26 2022-12-06 Jfrog Ltd Detecting firmware vulnerabilities
US11481486B2 (en) * 2019-03-27 2022-10-25 Webroot Inc. Behavioral threat detection engine
US11080394B2 (en) * 2019-03-27 2021-08-03 Webroot Inc. Behavioral threat detection virtual machine
WO2020205974A1 (en) * 2019-04-02 2020-10-08 Siemens Aktiengesellschaft User behavorial analytics for security anomaly detection in industrial control systems
US10701096B1 (en) * 2019-09-23 2020-06-30 Adlumin, Inc. Systems and methods for anomaly detection on core banking systems
US11133989B2 (en) * 2019-12-20 2021-09-28 Shoreline Software, Inc. Automated remediation and repair for networked environments
JP7255710B2 (ja) * 2019-12-25 2023-04-11 株式会社デンソー 攻撃監視用センター装置、及び攻撃監視用端末装置
US11650892B1 (en) * 2021-04-08 2023-05-16 Spirent Communications, Inc. Resilient coordination, command, and control of widely distributed test agents

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102231686A (zh) * 2011-06-24 2011-11-02 北京天融信科技有限公司 一种实现网络安全设备自动化测试的系统和方法
WO2014088912A1 (en) * 2012-12-06 2014-06-12 The Boeing Company Context aware network security monitoring for threat detection
CN107835982A (zh) * 2015-05-04 2018-03-23 赛义德·卡姆兰·哈桑 用于在计算机网络中管理安全性的方法和设备
US10462170B1 (en) * 2016-11-21 2019-10-29 Alert Logic, Inc. Systems and methods for log and snort synchronized threat detection
WO2019060327A1 (en) * 2017-09-20 2019-03-28 University Of Utah Research Foundation ONLINE DETECTION OF ANOMALIES IN A NEWSPAPER USING AUTOMATIC APPRENTICESHIP
CN113487010A (zh) * 2021-05-21 2021-10-08 国网浙江省电力有限公司杭州供电公司 基于机器学习的电网网络安全事件分析方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张文琦等: "《基于多维时序日志的异常行为可视分析》", 《计算机工程与应用》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114756477A (zh) * 2022-06-13 2022-07-15 南京讯优智超软件科技有限公司 融合客户行为回放的多维测试方法及系统
CN114756477B (zh) * 2022-06-13 2022-09-02 南京讯优智超软件科技有限公司 融合客户行为回放的多维测试方法及系统

Also Published As

Publication number Publication date
CN114553596B (zh) 2022-07-19
US11777982B1 (en) 2023-10-03
US20230344857A1 (en) 2023-10-26

Similar Documents

Publication Publication Date Title
CN111859400B (zh) 风险评估方法、装置、计算机系统和介质
CN114553596B (zh) 适用于网络安全的多维度安全情况实时展现方法及系统
US10592308B2 (en) Aggregation based event identification
US7096499B2 (en) Method and system for simplifying the structure of dynamic execution profiles
US7185367B2 (en) Method and system for establishing normal software system behavior and departures from normal behavior
US6681331B1 (en) Dynamic software system intrusion detection
US20190207981A1 (en) Control maturity assessment in security operations environments
US20200042700A1 (en) Automated threat alert triage via data provenance
AU2019307885B2 (en) Systems and methods for reporting computer security incidents
CN108259202A (zh) 一种ca监测预警方法和ca监测预警系统
CN105825130B (zh) 一种信息安全预警方法及装置
CN117421761A (zh) 一种数据库数据信息安全监视方法
CN109478219A (zh) 用于显示网络分析的用户界面
Holm et al. Success rate of remote code execution attacks: expert assessments and observations
EP3479279B1 (en) Dynamic ranking and presentation of endpoints based on age of symptoms and importance of the endpoint in the environment
CN110334510A (zh) 一种基于随机森林算法的恶意文件检测技术
Petersen Data mining for network intrusion detection: A comparison of data mining algorithms and an analysis of relevant features for detecting cyber-attacks
Gizun et al. Approaches to improve the activity of computer incident response teams
Pannell et al. Anomaly detection over user profiles for intrusion detection
Kersten et al. 'Give Me Structure': Synthesis and Evaluation of a (Network) Threat Analysis Process Supporting Tier 1 Investigations in a Security Operation Center
KR102111136B1 (ko) 대응지시서를 생성하고, 적용 결과를 분석하는 방법, 감시장치 및 프로그램
Villarrubia et al. Towards a Classification of Security Metrics.
Kai et al. Development of qualification of security status suitable for cloud computing system
Acquesta et al. Detailed Statistical Models of Host-Based Data for Detection of Malicious Activity.
Castro et al. Techniques and Tools for Runtime Security Monitoring and Analysis of Microservices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CB03 Change of inventor or designer information

Inventor after: Qian Jin

Inventor after: Chen Yuanzhong

Inventor after: Xiang Xinyu

Inventor after: Ni Xiabing

Inventor after: Zhou Xinyue

Inventor after: Li Qiangqiang

Inventor after: Xu Xiaohua

Inventor after: Du Mengjun

Inventor after: Li Ang

Inventor after: Han Rongjie

Inventor after: Tu Yongwei

Inventor after: Zhang Jiarui

Inventor after: Xu Hanlin

Inventor after: Xu Libing

Inventor before: Xu Xiaohua

Inventor before: Chen Yuanzhong

Inventor before: Xiang Xinyu

Inventor before: Ni Xiabing

Inventor before: Zhou Xinyue

Inventor before: Li Qiangqiang

Inventor before: Du Mengjun

Inventor before: Qian Jin

Inventor before: Li Ang

Inventor before: Han Rongjie

Inventor before: Tu Yongwei

Inventor before: Zhang Jiarui

Inventor before: Xu Hanlin

Inventor before: Xu Libing

CB03 Change of inventor or designer information