CN115022006A - 基于安全态势感知的网络运行维护系统及方法 - Google Patents
基于安全态势感知的网络运行维护系统及方法 Download PDFInfo
- Publication number
- CN115022006A CN115022006A CN202210595601.6A CN202210595601A CN115022006A CN 115022006 A CN115022006 A CN 115022006A CN 202210595601 A CN202210595601 A CN 202210595601A CN 115022006 A CN115022006 A CN 115022006A
- Authority
- CN
- China
- Prior art keywords
- event
- security
- safety
- network
- link pair
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于安全态势感知的网络运行维护系统及方法,包括步骤S100:对网络运行历史中发生的安全事件进行捕捉采集,提取每一次历史安全事件对应的事件特征;步骤S200:基于每一次历史安全事件对应的事件特征构建对应每一次历史安全事件的事件逻辑条得到所有安全事件的事件逻辑条集合;步骤S300:对所有的安全事件进行链接对建立得到链接对集;步骤S400:基于链接对集在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取;并对各安全要素与体现网络态势变化的各项安全指标状态之间存在的映射关系进行挖掘;步骤S500:维护系统对网络运行过程中各安全要素状态进行捕捉并监测。
Description
技术领域
本发明涉及计算机网络安全维护技术领域,具体为基于安全态势感知的网络运行维护系统及方法。
背景技术
计算机网络运行维护是一个需要长期进行并与业务正常、安全、有效运行密切相关的组织管理活动;在网络运维的过程中经常会产生各种各样的安全事件,但是网络自身也具备一定的安全弹性空间,在这范围内,网络可以实现自适应和自调整解决一些简单和轻微的安全事件带来的影响;每一件安全事件在网络运行的过程中都能通过对一些外现的安全指标状态变化来体现,而每一次安全事件的发生都是因为网络运行过程中某些安全因素被破坏了导致的;如果将会导致安全事件发生的安全要素作为网络运行维护过程中的重点监测对象,对于网络运行维护能够起到提前预测安全事件的作用。
发明内容
本发明的目的在于提供基于安全态势感知的网络运行维护系统及方法,以解决上述背景技术中提出的问题。
为了解决上述技术问题,本发明提供如下技术方案:基于安全态势感知的网络运行维护方法,维护方法包括:
步骤S100:分别从网络安全设备、网络日志、网络流量层安全设备中对网络运行历史中发生的安全事件进行捕捉采集,提取每一次历史安全事件对应的事件特征;
步骤S200:基于每一次历史安全事件对应的事件特征构建对应每一次历史安全事件的事件逻辑条得到所有安全事件的事件逻辑条集合;
步骤S300:基于事件逻辑条集合内各事件逻辑条对所有的安全事件进行链接对建立得到链接对集;
步骤S400:基于链接对集在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取;并对各安全要素与体现网络态势变化的各项安全指标状态之间存在的映射关系进行挖掘;
步骤S500:维护系统对网络运行过程中各安全要素状态进行捕捉并监测。
进一步的,步骤S100对每一次历史安全事件对应的事件特征进行提取的过程包括:
步骤S101:提取每一安全事件对应的攻击源、攻击路径、攻击行为作为每一安全事件的第一事件特征;提取每一安全事件发生时,当下网络运行态势中各项安全指标的状态作为每一安全事件的第二事件特征;其中,第二事件特征具体以当前网络中开始出现尝试修复的指令前各项安全指标所呈现的状态为基准;
步骤S102:捕捉每一安全事件从对应攻击源在网络中采取对应攻击行为并沿着对应攻击路径开始至网络内呈现对应的第二事件特征时截止的总时长,总时长即为安全事件对应的响应时长;捕捉每一安全事件从网络内呈现对应的第二事件特征时开始至网络内各项安全指标恢复正常时截止的总时长,总时长即为安全事件对应的恢复时长;将对应的响应时长和恢复时长作为每一安全事件的第三事件特征;
上述对各安全事件提取到的各事件特征可以直观体现网络运行过程中发生的各安全事件产生的原因;且提取各安全事件发生后所需要的响应时长及恢复时长作为该安全事件的时间特征值之一是为了通过响应时长及恢复时长间接体现出各安全事件对网络运行过程中产生的影响大小;响应时长越长说明该安全事件的蛰伏期长,恢复时间越长说明修复该安全事件产生的网络问题所需要的流程越复杂;而对各安全事件提取事件特征同样是为了后续进行事件逻辑条的建立以及链接对的建立提供技术铺垫。
进一步的,步骤S200构建事件逻辑条的过程包括:
步骤S201:将所有安全事件的第一事件特征和第二事件特征之间均通过有向边连接生成事件逻辑条,有向边的指向方向由第一事件特征指向第二事件特征,形式如:S1→S2,其中,S1表示第一事件特征;S2表示第二事件特征;S1→S2表示S1与S2之间存在相互链接关系;
步骤S202:在步骤S201中得到的事件逻辑条的基础上,对所有安全事件的第二事件特征和第三事件特征之间通过有向边连接生成完整的事件逻辑条;其中,有向边的指向方向由第二事件特征指向第三事件特征;形式如:S1→S2→S3;其中,S3表示第三事件特征;S1→S2→S3表示S1、S2、S3之间存在两两相互链接关系;
上述将各安全事件对应建立事件逻辑条是为了对造成各安全事件发生的攻击信息以及影响信息之间建立一一对应关系;存在链接关系的双方意味着存在相互作用关系。
进一步的,步骤S300对所有安全事件进行链接对建立的过程包括:
步骤S301:分别提取对应每一安全事件生成的尝试修复指令;分别将尝试修复指令结合对应的安全事件的第一事件特征中攻击源和攻击路径判定得到对应的安全事件的攻击目标;将尝试修复指令结合对应的安全事件的第一事件特征中攻击源和攻击行为判定得到针对攻击目标的攻击范围;
步骤S302:记在安全事件A中对应的攻击目标为Ax,对应的攻击范围为Ay;在安全事件A中根据Ax和Ay提取得到能够引起网络态势发生变化的安全要素集QA;即Ax+Ay→QA;将QA与安全事件A对应的第二事件特征之间建立链接对,如
步骤S303:对所有的安全事件进行链接对分析得到将所有链接对汇集生成的链接对集;
上述基于每一安全事件的尝试修复指令、攻击源、攻击路径对安全事件的攻击目标进行锁定,因为在尝试修复指令中往往会体现出指令所针对的需要进行修复的区域,结合攻击源和攻击路径可以对尝试修复指令中体现的待修复区域进行二次确认得到该安全事件对应的攻击目标;因为在尝试修复指令中往往会体现出指令所针对的需要进行修复的区域范围,结合攻击源和攻击行为可以对尝试修复指令中体现的待修复区域范围进行二次确认得到该安全事件在该攻击目标上产生的攻击范围;而进一步则可以根据攻击范围和攻击目标锁定在该目标范围内能够引起网络态势发生变化的各安全要素;相当于剖析出了因为网络运行中某部分的安全要素的被破坏才导致了该安全事件的产生;对各安全事件进行对应安全要素集的分析是因为提取到的各安全事件只限于历史发生过的,若在实际网络运行中不再重复发生同样的安全事件的时候,就不能够仅仅依靠事件特征进行匹配,获取当各安全要素遭到破坏时网络运行中各安全指标呈现的状态规律,可以对实际网络运行中产生的问题进行敏锐的捕捉获取。
进一步的,步骤S400包括:
步骤S401:记在链接对集中存在链接对r1和链接对r2;在链接对r1内存在安全要素集和第二事件特征在链接对r2内存在安全要素集和第二事件特征 将链接对r1和链接对r2作为关联链接对,链接对r1和链接对r2之间互为匹配链接对;
上述符合互为匹配链接对的链接对之间需满足安全要素集之间存在互相重合的部分和互相区别的部分;
步骤S402:对每一关联链接对提取f2为集合, 内分别表示集合f2内第1、2、…、n个安全要素,n为自然数,且n大于等1;将第二事件特征与第二事件特征之间进行对比,若和之间存在有偏差的状态指标{u1,u2,…,um};其中,u1、u2、…、um分别表示和之间存在的第1、2、…、m个偏差的状态指标;
因为要捕捉当各安全要素遭到破坏时网络运行中各安全指标呈现的状态规律,所以根据各安全事件对应的各安全要素和各安全指标状态之间的偏差进行规律挖掘,因为若两件安全事件各自对应的安全指标状态不同必然是因为两件安全事件所对应的安全要素不同所导致的。
步骤S404:循环步骤S301-步骤S303直至将链接对集中各链接对的匹配链接对匹配完毕以及各匹配链接中存在的映射联系建立完毕;对各安全要素找到存在映射关系的状态指标集;
进一步的,步骤S500包括:
步骤S501:分别提取各安全事件对应的链接对,同时分别提取各安全事件第三事件特征中的响应时长t1和恢复时长t2;提取各安全事件对应的安全要素集,计算安全要素集内各安全要素对应的影响因子(t1/t2)/k;其中,k表示安全要素集内的安全要素总数;
步骤S502:维护系统对网络运行过程中各安全要素状态进行捕捉并监测;当网络运行过程中存在若干安全要素状态异常,且若干安全要素与某一相同指标存在映射关系,系统发出预警提示,提示人工介入修复;
因为一件安全事件内包含相应的安全要素,即意味着发生该件安全事件时会对这部分相应的安全要素产生攻击影响,而每个安全要素被攻击会有对应的安全指标状态发生变化,即对每个安全要素产生了攻击会带来能体现网络态势变化的网络安全性指标的变化;网络具有一定的自我修复能力也就是弹性修复能力,在这个弹性修复能力范围内发生某些安全要素被破坏,靠网络的自我修复能力可以自行修复且对用户的使用不会造成影响;不同安全要素所关联的安全性指标是不一样的,每个安全要素对网络正常运行的重要性程度是有区别的,有些安全要素一旦遭到破坏要进行的修复工序复杂,要花费的修复时长长;而有些安全要素一旦遭到破坏要进行的修复工序简单,要花费的修复时长短;若网络运行过程中存在多项安全要素被破坏,且这多项安全要素中所关联的安全性指标存在重合的部分,也就意味着当这多项安全要素被破坏的时候对于某些重合的安全性指标造成的影响是相互加成的;而对于正常运行中的网络,该重合的安全性指标就有可能超出安全性指标的弹性范围,造成网络运行的异常化,对用户使用该网络时产生影响;所以需要提前预警,引入专业技术人员进行介入修复,对相关安全要素行加快恢复。
为更好的实现上述方法还提出了基于安全态势感知的网络运行维护系统,维护系统包括事件分析模块、事件处理模块、链接对建立模块、安全要素获取分析模块、监测预警模块;
事件分析模块,用于从网络安全设备、网络日志、网络流量层安全设备中对网络运行历史中发生的安全事件进行捕捉采集,并对每一次历史安全事件对应的事件特征进行分析提取;
事件处理模块,用于接收事件分析模块中的数据,基于每一次历史安全事件对应的事件特征构建对应每一次历史安全事件的事件逻辑条;
链接对建立模块,用于接收事件处理模块中的数据,捕捉能够引起网络态势发生变化的各安全要素;基于各事件逻辑条对所有的安全事件进行链接对建立;
安全要素获取分析模块,用于接收链接对建立模块中的数据,对各安全要素与体现网络态势变化的各项安全指标状态之间存在的映射关系进行挖掘;
监测预警模块,用于对网络运行过程中各安全要素状态进行捕捉并监测。
进一步的,链接对建立模块包括信息整合判定单元、信息链接单元;
信息整合判定单元,用于提取对应每一安全事件生成的尝试修复指令;分别将尝试修复指令结合对应的安全事件的第一事件特征中攻击源和攻击路径判定得到对应的安全事件的攻击目标;将尝试修复指令结合对应的安全事件的第一事件特征中攻击源和攻击行为判定得到针对攻击目标的攻击范围;
信息链接单元,用于接收信息整合判定单元中的数据,将对各安全事件对应额安全要素集进行提取,建立各安全要素集同对应安全事件第二事件特征之间的链接对。
进一步的,安全要素获取分析模块包括匹配链接对判断单元、映射关系建立单元;
关联链接对匹配单元,用于接收链接对建立模块中的数据,对存在关联关系的链接对进行匹配;
映射关系建立单元,用于接收关联链接对匹配单元中的数据,对各安全要素与体现网络态势变化的各项安全指标状态之间进行映射关系的建立。
与现有技术相比,本发明所达到的有益效果是:本发明从历史发生的各安全事件中解析出会引起网络运行过程中安全指标状态变化的各安全要素;考虑每一次安全事件的发生都是与网络运行过程中某些安全因素被破坏导致的,所以将会导致安全事件发生的安全要素作为网络运行维护过程中的重点监测对象,对各安全要素与各指标状态改变之间的对应规律作为提前预测网络运行过程中会发生安全事件的参考基准。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明基于安全态势感知的网络运行维护方法的流程示意图;
图2是本发明基于安全态势感知的网络运行维护系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-图2,本发明提供技术方案:基于安全态势感知的网络运行维护方法,其特征在于,维护方法包括:
步骤S100:分别从网络安全设备、网络日志、网络流量层安全设备中对网络运行历史中发生的安全事件进行捕捉采集,提取每一次历史安全事件对应的事件特征;
其中,步骤S100对每一次历史安全事件对应的事件特征进行提取的过程包括:
步骤S101:提取每一安全事件对应的攻击源、攻击路径、攻击行为作为每一安全事件的第一事件特征;提取每一安全事件发生时,当下网络运行态势中各项安全指标的状态作为每一安全事件的第二事件特征;其中,第二事件特征具体以当前网络中开始出现尝试修复的指令前各项安全指标所呈现的状态为基准;
步骤S102:捕捉每一安全事件从对应攻击源在网络中采取对应攻击行为并沿着对应攻击路径开始至网络内呈现对应的第二事件特征时截止的总时长,总时长即为安全事件对应的响应时长;捕捉每一安全事件从网络内呈现对应的第二事件特征时开始至网络内各项安全指标恢复正常时截止的总时长,总时长即为安全事件对应的恢复时长;将对应的响应时长和恢复时长作为每一安全事件的第三事件特征;
步骤S200:基于每一次历史安全事件对应的事件特征构建对应每一次历史安全事件的事件逻辑条得到所有安全事件的事件逻辑条集合;
其中,步骤S200构建事件逻辑条的过程包括:
步骤S201:将所有安全事件的第一事件特征和第二事件特征之间均通过有向边连接生成事件逻辑条,有向边的指向方向由第一事件特征指向第二事件特征,形式如:S1→S2,其中,S1表示第一事件特征;S2表示第二事件特征;S1→S2表示S1与S2之间存在相互链接关系;
步骤S202:在步骤S201中得到的事件逻辑条的基础上,对所有安全事件的第二事件特征和第三事件特征之间通过有向边连接生成完整的事件逻辑条;其中,有向边的指向方向由第二事件特征指向第三事件特征;形式如:S1→S2→S3;其中,S3表示第三事件特征;S1→S2→S3表示S1、S2、S3之间存在两两相互链接关系
步骤S300:基于事件逻辑条集合内各事件逻辑条对所有的安全事件进行链接对建立得到链接对集;
其中,步骤S300对所有安全事件进行链接对建立的过程包括:
步骤S301:分别提取对应每一安全事件生成的尝试修复指令;分别将尝试修复指令结合对应的安全事件的第一事件特征中攻击源和攻击路径判定得到对应的安全事件的攻击目标;将尝试修复指令结合对应的安全事件的第一事件特征中攻击源和攻击行为判定得到针对攻击目标的攻击范围;
步骤S302:记在安全事件A中对应的攻击目标为Ax,对应的攻击范围为Ay;在安全事件A中根据Ax和Ay提取得到能够引起网络态势发生变化的安全要素集QA;即Ax+Ay→QA;将QA与安全事件A对应的第二事件特征之间建立链接对,如
步骤S303:对所有的安全事件进行链接对分析得到将所有链接对汇集生成的链接对集;
步骤S400:基于链接对集在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取;并对各安全要素与体现网络态势变化的各项安全指标状态之间存在的映射关系进行挖掘;其中,步骤S400包括:
步骤S401:记在链接对集中存在链接对r1和链接对r2;在链接对r1内存在安全要素集和第二事件特征在链接对r2内存在安全要素集和第二事件特征 将链接对r1和链接对r2作为关联链接对,链接对r1和链接对r2之间互为匹配链接对;
步骤S402:对每一关联链接对提取f2为集合, 内分别表示集合f2内第1、2、…、n个安全要素,n为自然数,且n大于等1;将第二事件特征与第二事件特征之间进行对比,若和之间存在有偏差的状态指标{u1,u2,…,um};其中,u1、u2、…、um分别表示和之间存在的第1、2、…、m个偏差的状态指标;
步骤S404:循环步骤S301-步骤S303直至将链接对集中各链接对的匹配链接对匹配完毕以及各匹配链接中存在的映射联系建立完毕;对各安全要素找到存在映射关系的状态指标集;
例如说,存在第一安全事件和第二安全事件;在本实施例中,选取网络运行过程中存在的三种安全指标状态,分别是指标1、指标2、指标3;指标1为风险指标,指标2为机密性指标,指标3为可控性指标;
对应第一安全事件呈现的第二事件特征,即呈现的各安全指标状态为{状态a1、状态a2、状态a3},即风险指标呈现为状态a1,机密性指标呈现为状态a2,可控性指标呈现为状态a3;
对应第二安全事件呈现的第二事件特征,即呈现的各安全指标状态为{状态b1、状态a2、状态b3},即风险指标呈现为状态b1,机密性指标呈现为状态a2,可控性指标呈现为状态b3;
上述状态a1、状态a2、状态a3、状态b1、状态b3分别代表不同的指标值;且由专利文件CN201610236113.0可知,目前现有技术已经公开了关于网络安全度量指标的计算方法;且在本实施例中列举的风险指标、机密性指标、可控性指标均属于网络安全度量指标的范围;
破坏的安全要素包括{第一安全要素、第二安全要素、第三安全要素、第四安全要素}时对应产生的就是第一安全事件;
破坏的安全要素包括{第二安全要素、第三安全要素、第五安全要素}时对应产生的就是第二安全事件;
第一安全事件和第二安全事件在所需破坏的安全要素上存在相交的部分{第二安全要素、第三安全要素};
第一安全事件和第二安全事件在所需破坏的安全要素上存在区别的部分{第一安全要素、第四安全要素、第五安全要素};
第一安全事件和第二安全事件在指标1上和指标3上存在状态偏差;所以意味着引起指标存在状态偏差的是第一安全要素、第四安全要素、第五安全要素;所以指标1上和指标3同第一安全要素、第四安全要素、第五安全要素之间存在映射联系;
步骤S500:对网络运行过程中在各阶段发生的安全事件数进行监测,对阶段性发生的各安全事件对各项安全指标造成的加成影响进行监测并预警;
其中,步骤S500包括:
步骤S501:分别提取各安全事件对应的链接对,同时分别提取各安全事件第三事件特征中的响应时长t1和恢复时长t2;提取各安全事件对应的安全要素集,计算安全要素集内各安全要素对应的影响因子(t1/t2)/k;其中,k表示安全要素集内的安全要素总数;
步骤S502:维护系统对网络运行过程中各安全要素状态进行捕捉并监测;当网络运行过程中存在若干安全要素状态异常,且若干安全要素与某一相同指标存在映射关系,系统发出预警提示,提示人工介入修复。
为更好的实现上述方法还提出了基于安全态势感知的网络运行维护系统,维护系统包括事件分析模块、事件处理模块、链接对建立模块、安全要素获取分析模块、监测预警模块;
事件分析模块,用于从网络安全设备、网络日志、网络流量层安全设备中对网络运行历史中发生的安全事件进行捕捉采集,并对每一次历史安全事件对应的事件特征进行分析提取;
事件处理模块,用于接收事件分析模块中的数据,基于每一次历史安全事件对应的事件特征构建对应每一次历史安全事件的事件逻辑条;
链接对建立模块,用于接收事件处理模块中的数据,捕捉能够引起网络态势发生变化的各安全要素;基于各事件逻辑条对所有的安全事件进行链接对建立;
其中,链接对建立模块包括信息整合判定单元、信息链接单元;
信息整合判定单元,用于提取对应每一安全事件生成的尝试修复指令;分别将尝试修复指令结合对应的安全事件的第一事件特征中攻击源和攻击路径判定得到对应的安全事件的攻击目标;将尝试修复指令结合对应的安全事件的第一事件特征中攻击源和攻击行为判定得到针对攻击目标的攻击范围;
信息链接单元,用于接收信息整合判定单元中的数据,将对各安全事件对应额安全要素集进行提取,建立各安全要素集同对应安全事件第二事件特征之间的链接对;
安全要素获取分析模块,用于接收链接对建立模块中的数据,对各安全要素与体现网络态势变化的各项安全指标状态之间存在的映射关系进行挖掘;
其中,安全要素获取分析模块包括匹配链接对判断单元、映射关系建立单元;
关联链接对匹配单元,用于接收链接对建立模块中的数据,对存在关联关系的链接对进行匹配;
映射关系建立单元,用于接收关联链接对匹配单元中的数据,对各安全要素与体现网络态势变化的各项安全指标状态之间进行映射关系的建立;
监测预警模块,用于对网络运行过程中各安全要素状态进行捕捉并监测。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.基于安全态势感知的网络运行维护方法,其特征在于,所述维护方法包括:
步骤S100:分别从网络安全设备、网络日志、网络流量层安全设备中对网络运行历史中发生的安全事件进行捕捉采集,提取每一次历史安全事件对应的事件特征;
步骤S200:基于每一次历史安全事件对应的事件特征构建对应所述每一次历史安全事件的事件逻辑条得到所有安全事件的事件逻辑条集合;
步骤S300:基于所述事件逻辑条集合内各事件逻辑条对所有的安全事件进行链接对建立得到链接对集;
步骤S400:基于所述链接对集在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取;并对各安全要素与体现网络态势变化的各项安全指标状态之间存在的映射关系进行挖掘;
步骤S500:维护系统对网络运行过程中各安全要素状态进行捕捉并监测。
2.根据权利要求1所述的基于安全态势感知的网络运行维护方法,其特征在于,所述步骤S100对每一次历史安全事件对应的事件特征进行提取的过程包括:
步骤S101:提取每一安全事件对应的攻击源、攻击路径、攻击行为作为所述每一安全事件的第一事件特征;提取所述每一安全事件发生时,当下网络运行态势中各项安全指标的状态作为所述每一安全事件的第二事件特征;其中,所述第二事件特征具体以当前网络中开始出现尝试修复的指令前各项安全指标所呈现的状态为基准;
步骤S102:捕捉每一安全事件从对应攻击源在网络中采取对应攻击行为并沿着对应攻击路径开始至所述网络内呈现对应的第二事件特征时截止的总时长,所述总时长即为所述安全事件对应的响应时长;捕捉每一安全事件从网络内呈现对应的第二事件特征时开始至所述网络内各项安全指标恢复正常时截止的总时长,所述总时长即为所述安全事件对应的恢复时长;将对应的响应时长和恢复时长作为所述每一安全事件的第三事件特征。
3.根据权利要求1所述的基于安全态势感知的网络运行维护方法,其特征在于,所述步骤S200构建事件逻辑条的过程包括:
步骤S201:将所有安全事件的第一事件特征和第二事件特征之间均通过有向边连接生成事件逻辑条,有向边的指向方向由第一事件特征指向第二事件特征,形式如:S1→S2,其中,S1表示第一事件特征;S2表示第二事件特征;S1→S2表示S1与S2之间存在相互链接关系;
步骤S202:在所述步骤S201中得到的所述事件逻辑条的基础上,对所有安全事件的第二事件特征和第三事件特征之间通过有向边连接生成完整的事件逻辑条;其中,有向边的指向方向由第二事件特征指向第三事件特征;形式如:S1→S2→S3;其中,S3表示第三事件特征;S1→S2→S3表示S1、S2、S3之间存在两两相互链接关系。
4.根据权利要求1所述的基于安全态势感知的网络运行维护方法,其特征在于,所述步骤S300对所有安全事件进行链接对建立的过程包括:
步骤S301:分别提取对应每一安全事件生成的尝试修复指令;分别将所述尝试修复指令结合对应的安全事件的第一事件特征中攻击源和攻击路径判定得到所述对应的安全事件的攻击目标;将所述尝试修复指令结合对应的安全事件的第一事件特征中攻击源和攻击行为判定得到针对所述攻击目标的攻击范围;
步骤S302:记在安全事件A中对应的攻击目标为Ax,对应的攻击范围为Ay;在安全事件A中根据Ax和Ay提取得到能够引起网络态势发生变化的安全要素集QA;即Ax+Ay→QA;将QA与所述安全事件A对应的第二事件特征之间建立链接对,如
步骤S303:对所有的安全事件进行链接对分析得到将所有链接对汇集生成的链接对集。
5.根据权利要求1所述的基于安全态势感知的网络运行维护方法,其特征在于,所述步骤S400包括:
步骤S401:记在链接对集中存在链接对r1和链接对r2;在所述链接对r1内存在安全要素集和第二事件特征在所述链接对r2内存在安全要素集和第二事件特征 将所述链接对r1和链接对r2作为关联链接对,所述链接对r1和链接对r2之间互为匹配链接对;
步骤S402:对每一关联链接对提取f2为集合, 内分别表示集合f2内第1、2、…、n个安全要素,n为自然数,且n大于等1;将所述第二事件特征与所述第二事件特征之间进行对比,若和之间存在有偏差的状态指标{u1,u2,…,um};其中,u1、u2、…、um分别表示和之间存在的第1、2、…、m个偏差的状态指标;
步骤S404:循环所述步骤S301-步骤S303直至将所述链接对集中各链接对的匹配链接对匹配完毕以及各匹配链接中存在的映射联系建立完毕;对各安全要素找到存在映射关系的状态指标集。
6.根据权利要求1所述的基于安全态势感知的网络运行维护方法,其特征在于,所述步骤S500包括:
步骤S501:分别提取各安全事件对应的链接对,同时分别提取各安全事件第三事件特征中的响应时长t1和恢复时长t2;提取各安全事件对应的安全要素集,计算所述安全要素集内各安全要素对应的影响因子(t1/t2)/k;其中,k表示安全要素集内的安全要素总数;
步骤S502:维护系统对网络运行过程中各安全要素状态进行捕捉并监测;当网络运行过程中存在若干安全要素状态异常,且若干安全要素与某一相同指标存在映射关系,系统发出预警提示,提示人工介入修复。
7.应用于权利要求1-6中任一项的基于安全态势感知的网络运行维护方法的基于安全态势感知的网络运行维护系统,其特征在于,所述维护系统包括事件分析模块、事件处理模块、链接对建立模块、安全要素获取分析模块、监测预警模块;
所述事件分析模块,用于从网络安全设备、网络日志、网络流量层安全设备中对网络运行历史中发生的安全事件进行捕捉采集,并对每一次历史安全事件对应的事件特征进行分析提取;
所述事件处理模块,用于接收所述事件分析模块中的数据,基于每一次历史安全事件对应的事件特征构建对应所述每一次历史安全事件的事件逻辑条;
所述链接对建立模块,用于接收所述事件处理模块中的数据,捕捉能够引起网络态势发生变化的各安全要素;基于各事件逻辑条对所有的安全事件进行链接对建立;
所述安全要素获取分析模块,用于接收所述链接对建立模块中的数据,对各安全要素与体现网络态势变化的各项安全指标状态之间存在的映射关系进行挖掘;
所述监测预警模块,用于维护系统对网络运行过程中各安全要素状态进行捕捉并监测。
8.根据权利要求7所述的基于安全态势感知的网络运行维护系统,其特征在于,所述所述链接对建立模块包括信息整合判定单元、信息链接单元;
所述信息整合判定单元,用于提取对应每一安全事件生成的尝试修复指令;分别将所述尝试修复指令结合对应的安全事件的第一事件特征中攻击源和攻击路径判定得到所述对应的安全事件的攻击目标;将所述尝试修复指令结合对应的安全事件的第一事件特征中攻击源和攻击行为判定得到针对所述攻击目标的攻击范围;
所述信息链接单元,用于接收所述信息整合判定单元中的数据,将对各安全事件对应额安全要素集进行提取,建立各安全要素集同对应安全事件第二事件特征之间的链接对。
9.根据权利要求7所述的基于安全态势感知的网络运行维护系统,其特征在于,所述安全要素获取分析模块包括匹配链接对判断单元、映射关系建立单元;
所述关联链接对匹配单元,用于接收所述链接对建立模块中的数据,对存在关联关系的链接对进行匹配;
所述映射关系建立单元,用于接收所述关联链接对匹配单元中的数据,对各安全要素与体现网络态势变化的各项安全指标状态之间进行映射关系的建立。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210595601.6A CN115022006B (zh) | 2022-05-30 | 2022-05-30 | 基于安全态势感知的网络运行维护系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210595601.6A CN115022006B (zh) | 2022-05-30 | 2022-05-30 | 基于安全态势感知的网络运行维护系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115022006A true CN115022006A (zh) | 2022-09-06 |
CN115022006B CN115022006B (zh) | 2023-01-13 |
Family
ID=83071585
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210595601.6A Active CN115022006B (zh) | 2022-05-30 | 2022-05-30 | 基于安全态势感知的网络运行维护系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115022006B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116090258A (zh) * | 2023-03-13 | 2023-05-09 | 常州满旺半导体科技有限公司 | 一种基于物联网的半导体数据测试异常预警系统及方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018233593A1 (zh) * | 2017-06-19 | 2018-12-27 | 中兴通讯股份有限公司 | 一种网络态势感知方法、装置、系统及机器可读介质 |
CN110445807A (zh) * | 2019-08-23 | 2019-11-12 | 瑞森网安(福建)信息科技有限公司 | 网络安全态势感知系统及方法 |
CN111654489A (zh) * | 2020-05-27 | 2020-09-11 | 杭州迪普科技股份有限公司 | 一种网络安全态势感知方法、装置、设备及存储介质 |
-
2022
- 2022-05-30 CN CN202210595601.6A patent/CN115022006B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018233593A1 (zh) * | 2017-06-19 | 2018-12-27 | 中兴通讯股份有限公司 | 一种网络态势感知方法、装置、系统及机器可读介质 |
CN110445807A (zh) * | 2019-08-23 | 2019-11-12 | 瑞森网安(福建)信息科技有限公司 | 网络安全态势感知系统及方法 |
CN111654489A (zh) * | 2020-05-27 | 2020-09-11 | 杭州迪普科技股份有限公司 | 一种网络安全态势感知方法、装置、设备及存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116090258A (zh) * | 2023-03-13 | 2023-05-09 | 常州满旺半导体科技有限公司 | 一种基于物联网的半导体数据测试异常预警系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115022006B (zh) | 2023-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108428141B (zh) | 一种基于erp系统与区块链的食品溯源信息管理系统 | |
Jaatun et al. | A framework for incident response management in the petroleum industry | |
CN111614696A (zh) | 一种基于知识图谱的网络安全应急响应方法及其系统 | |
CN115022006B (zh) | 基于安全态势感知的网络运行维护系统及方法 | |
KR102088346B1 (ko) | 외부 스토리지와 연계된 블록체인의 정보변경장치 및 방법 | |
CN116319099A (zh) | 一种多终端的财务数据管理方法和系统 | |
CN114357459A (zh) | 一种面向区块链系统的信息安全检测方法 | |
Il-Agure et al. | The semantics of anomalies in IoT integrated BlockChain network | |
CN115829192A (zh) | 一种用于实现工程信息安全监管的数字化管理系统及方法 | |
CN116962404A (zh) | 基于信息共享的多人协作式文档处理方法及系统 | |
CN111143874A (zh) | 基于区块链的起重设备监测方法、系统及存储介质 | |
Boechat et al. | Is vulnerability report confidence redundant? Pitfalls using temporal risk scores | |
CN114024957B (zh) | 一种零信任架构中对用户的行为做风险判定的方法 | |
EP3472779A1 (en) | Digital asset platform | |
CN113360575B (zh) | 联盟链中交易数据的监管方法、装置、设备及存储介质 | |
CN112966049B (zh) | 一种基于区块链的资产管理系统 | |
Altaha et al. | A Mini Literature Review on Integrating Cybersecurity for Business Continuity | |
CN111444270A (zh) | 一种基于区块链的控制有害信息的方法及系统 | |
CN114175599A (zh) | 用于楼宇管理环境的警报问题管理 | |
KR101953385B1 (ko) | 통합관제 방법 | |
CN112100589A (zh) | Kyc数字身份管理系统 | |
Nurudin et al. | Security Analysis of Archiving System using Notarize File over the Blockchain Protocol (Case Study: Hyperledger Fabric and OpenDocMan) | |
LU504889B1 (en) | DCS Network Security Monitoring System | |
CN115865536B (zh) | 一种基于人工智能的工控信息安全防御系统及方法 | |
KR102586870B1 (ko) | 클라우드 환경에서 보호대상에 대한 ai 기반 보안위험 예측 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB03 | Change of inventor or designer information |
Inventor after: Liu Zhiyong Inventor after: Duan Haining Inventor after: Chen Minchao Inventor after: Weng Weicheng Inventor after: Zhong Haiwei Inventor before: Duan Haining Inventor before: Chen Minchao Inventor before: Weng Weicheng Inventor before: Zhong Haiwei |
|
CB03 | Change of inventor or designer information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |