CN115022072A - 一种基于大数据的网络安全状态监测系统及方法 - Google Patents
一种基于大数据的网络安全状态监测系统及方法 Download PDFInfo
- Publication number
- CN115022072A CN115022072A CN202210724271.6A CN202210724271A CN115022072A CN 115022072 A CN115022072 A CN 115022072A CN 202210724271 A CN202210724271 A CN 202210724271A CN 115022072 A CN115022072 A CN 115022072A
- Authority
- CN
- China
- Prior art keywords
- event
- security
- similar
- events
- historical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于大数据的网络安全状态监测系统及方法,涉及计算机网络状态监测技术领域;包括步骤S100:对目标计算机发生过的所有历史安全事件进行事件信息的采集;步骤S200:进行相似事件分析;步骤S300:分别对各相似事件序列集筛选基准事件,基于基准事件对各相似事件序列集进行对应相似度信息的提取;步骤S400:对各相似事件序列集内各安全事件之间进行偏差信息的提取和整合;步骤S500:分别对各相似事件序列集计算事件特征偏离度;步骤S600:预警运维人员目标计算机设备存在网络安全状态异常现象,提醒运维人员对目标计算机设备进行计算机参数的设置调整或者对目标计算机设备进一步排查系统漏洞。
Description
技术领域
本发明涉及计算机网络状态监测技术领域,具体为一种基于大数据的网络安全状态监测系统及方法。
背景技术
计算机设备往往都会自带或者可自行下载系统漏洞排查软件,定时对计算机设备的漏洞情况进行排查,实现对计算机设备状态的及时掌握以及对计算机网络安全的维护;
计算机设备在随着使用年限或者说遭受的攻击破坏较多的情况下,很可能会引起计算机设备内部出现性能上的转变,最明显的变化可表现在,同样的攻击在不同的时期对相同的计算机设备进行攻击作用,但是很可能在第一次攻击时给计算机设备带来的漏洞较于第二次攻击给计算机设备带来的漏洞较少,而这一转变正是因为计算机设备可能出现了老化或者性能降低,导致计算机设备防御攻击能力下降。
发明内容
本发明的目的在于提供一种基于大数据的网络安全状态监测系统及方法,以解决上述背景技术中提出的问题。
为了解决上述技术问题,本发明提供如下技术方案:一种基于大数据的网络安全状态监测方法,监测方法包括:
步骤S100:调取目标计算机设备的运行日志和设备维护记录,在运行日志和设备维护记录中,对目标计算机发生过的所有历史安全事件进行事件信息的采集;
步骤S200:在目标计算机设备发生过的所有历史安全事件中,进行相似事件分析,分别得到对应事件引发源为系统外部攻击的第一安全事件集和对应事件引发源为系统内部用户操作的第二安全事件集;将第一安全事件集内各第一安全事件基于攻击特征的相似度进行进一步划分,得到若干个第一相似事件集;将第二安全事件集内各第二安全事件基于用户操作缺陷的相似度进行进一步划分,得到若干个第二相似事件集;
步骤S300:分别对各相似事件序列集筛选基准事件,基于基准事件对各相似事件序列集进行对应相似度信息的提取;
步骤S400:对各相似事件序列集内各安全事件之间进行偏差信息的提取和整合;
步骤S500:分别对各相似事件序列集计算事件特征偏离度;
步骤S600:设置事件特征偏离度阈值,将大于事件特征偏离度阈值的相似事件序列集进行信息提取,预警运维人员目标计算机设备存在网络安全状态异常现象,提醒运维人员对目标计算机设备进行计算机参数的设置调整或者对目标计算机设备进一步排查系统漏洞。
进一步的,步骤S100包括:
步骤S101:在目标计算机设备的历史运行日志和历史设备维护记录中,捕捉计算机设备发生过的所有历史安全事件;依次提取各历史安全事件发生时,计算机设备出现的系统漏洞,汇成各历史安全事件对应的系统漏洞集;
步骤S102:在目标计算机设备的历史运行日志和历史设备维护记录中,分别对各历史安全事件捕捉漏洞修复所需的修复指令,汇成各历史安全事件对应的修复指令集。
进一步的,步骤S200包括:
步骤S201:在目标计算机设备的历史运行日志和历史设备维护记录中,捕捉各历史安全事件的事件引发源;将所有历史安全事件基于事件引发源的不同进行划分,得到第一安全事件集和第二安全事件集;在第一安全事件集内各安全事件均由系统外部攻击造成;在第二安全事件集内各安全事件均由系统内部用户操作引起;
步骤S202:在目标计算机设备的历史运行日志和历史设备维护记录中,对第一安全事件集内各安全事件对应的系统外部攻击提取攻击特征,攻击特征包括攻击源、攻击行为、攻击路径;将第一安全事件集内各安全事件基于攻击特征进行进一步划分,得到若干个第一相似事件集;在每一个第一相似事件集内,两两第一安全事件之间的第一相似度大于相似度阈值;第一相似度是指攻击特征相似度;
步骤S203:在目标计算机设备的历史运行日志和历史设备维护记录中,对第二安全事件集内各历史安全事件捕捉缺陷操作;缺陷操作是指,在对应的各历史安全事件发生之前,引发计算机设备反馈风险提示的用户操作;分别将第二安全事件集内各历史安全事件对应的缺陷操作进行汇集,得到对应各历史安全事件的用户操作缺陷集;将第二安全事件集内各安全事件基于对应的用户操作缺陷集进行进一步划分,得到若干个第二相似事件集,在每一个第二相似事件集内,两两第二安全事件之间的第二相似度大于相似度阈值;第二相似度是指用户操作缺陷集相似度;
上述对所有历史安全事件进行了二次划分,第一次将所有历史安全事件基于事件引发源的不同进行划分得到了两大类安全事件;第二次分别对两大类安全事件,基于具象的引发源特征进行了进一步划分,上述划分是为了得到若干个具有共性的安全事件集,在这些集合内的各安全事件,事件本身能给目标计算机设备造成的隐患是类似的,若是目标计算机设备能保持一直有的设备状态,未发生设备状态异常,那么目标计算机设备分别在不同时期面对上述各安全事件时,所需要进行的漏洞修复操作也应该是大差不差的;这一步骤可为后续分析目标计算机设备在面对相似安全事件时呈现的特征规律做必要的技术铺垫。
进一步的,步骤S300包括:
步骤S301:分别将每个第一相似事件集和每个第二相似事件集内各安全事件按照事件发生的时间先后进行排序,对应得到若干个第一相似事件序列集和第二相似事件序列集;分别对每个第一相似事件序列集和第二相似事件序列集抓取第一个安全事件,分别将第一个安全事件作为各相似事件序列集的基准事件;
步骤S302:设第i个第一相似事件序列集Ai中的基准事件为设第j个第二相似事件序列集Bj中的基准事件为第i个第一相似事件序列集Ai为第j个第一相似事件序列集Bj为其中,分别表示在第i个第一相似事件序列集Ai中,位于基准事件之后的第1,…,第n个第一安全事件;分别表示在第j个第一相似事件序列集Bj中,位于基准事件之后的第1,…,第m个第二安全事件;
上述基准事件的抓取,相当于是为每一个相似事件序列找一个参照事件,而这个参照事件也是在目标计算机设备上发生过的最早安全事件,以基准事件为原点,可以在时间维度上观测目标计算设备是否发生了状态变化;上述各第一相似度和各第二相似度的求取也是为了后续分析目标计算机设备在面对相似安全事件时呈现的特征规律做必要的技术铺垫,安全事件之间,事件本身的相似度越高,意味着目标计算机设备在对其进行分别处理时,采取的操作偏差应该越小。
进一步的,步骤S400包括:
步骤S401:将与各历史安全事件对应的系统漏洞集内各系统漏洞分别与修复指令集内各修复指令之间一一进行组合对构建,得到由所有历史安全事件对应的所有系统漏洞和所有修复指令之间构建得到的所有组合对集;
步骤S402:分别获取第一相似事件序列集内,每相邻两个第一安全事件各自对应的系统漏洞集和修复指令集,计算得到每相邻两个第一安全事件之间的第一偏差漏洞集P1,以及每相邻两个第一安全事件之间的第一偏差修复指令集G1;分别获取第二相似事件序列集内,每相邻两个第二安全事件各自对应的系统漏洞集和修复指令集,计算得到每相邻两个第二安全事件之间的第一偏差漏洞集S1,以及每相邻两个第一安全事件之间的第一偏差修复指令集R1;
步骤S403:分别获取由P1内各系统漏洞与G1内各修复指令之间构建得到的组合对集{P1G1 (1),P1G1 (2),…,P1G1 (c)};其中,P1G1 (1),P1G1 (2),…,P1G1 (c)分别表示由P1内各系统漏洞与G1内各修复指令之间构建得到的第一种、第二种、…、第v种组合对;分别对P1G1 (1),P1G1 (2),…,P1G1 (c)累计在所有组合对集中出现的频数;设置频数阈值,将在小于频数阈值的组合对中出现的系统漏洞从P1中剔除,得到第二偏差漏洞集P2;将在小于频数阈值的组合对中出现的修复指令从G1中剔除,得到第二偏差修复指令集G2;
步骤S404:分别获取由S1内各系统漏洞与R1内各修复指令之间构建得到的组合对集{S1R1 (1),S1Ri (2),…,S1R1 (z)};其中,S1R1 (1),S1R1 (2),…,S1R1 (z)分别表示由S1内各系统漏洞与R1内各修复指令之间构建得到的第一种、第二种、…、第v种组合对;分别对S1R1 (1),S1R1 (2),…,S1R1 (z)累计在所有组合对集中出现的频数;设置频数阈值,将在小于频数阈值的组合对中出现的系统漏洞从S1中剔除,得到第二偏差漏洞集S2;将在小于频数阈值的组合对中出现的修复指令从R1中剔除,得到第二偏差修复指令集R2。
进一步的,步骤S500包括:
步骤S501:分别对第一相似事件序列集内每相邻两个第一安全事件之间计算漏洞偏差系数分别对每相邻两个第一安全事件之间计算指令偏差系数分别对每相邻两个第一安全事件之间计算事件特征偏离度其中,μ表示每相邻两个第一安全事件之间的第一相似度;计算第一相似事件序列集的整体事件特征偏离度E=-(e1)n-1;其中,n表示第一相似事件序列集内的第一安全事件总数;
步骤S502:分别对每相邻两个第二安全事件之间计算漏洞偏差系数分别对每相邻两个第二安全事件之间计算指令偏差系数分别对每相邻两个第二安全事件之间计算事件特征偏离度其中,ρ表示每相邻两个第二安全事件之间的第二相似度;计算第二相似事件序列集的整体事件特征偏离度E=-(e2)m-1;其中,m表示第二相似事件序列集内的第二安全事件总数;
上述整体事件特征偏离越高,意味着目标计算机设备在不同时期处理相似安全事件时,呈现的漏洞差异越大,对应修补系统漏洞时所需要的指令也越多;判断目标计算机设备发生了状态改变,且是性能状态降低的可能性越高,所以相似的安全事件发生在不同时期的目标计算机设备上,可引发或者产生的漏洞问题会较于初始时更多,而这个就是目标计算机设备本身事件防御能力下降后出现的一种外在表现形式。
为更好的实现上述方法,还提出了一种基于大数据的网络安全状态监测系统,系统包括:数据采集模块、安全事件相似分析模块、事件筛选处理模块、偏差信息处理模块、事件特征偏离度计算模块、预警模块;
数据采集模块,用于调取目标计算机设备的运行日志和设备维护记录,采集目标计算机发生过的所有历史安全事件的事件信息;
安全事件相似分析模块,用于对所有历史安全事件进行相似性分析,捕捉划分相似事件;
事件筛选处理模块,用于接收安全事件相似分析模块中的数据,分别对各相似事件序列集筛选基准事件,基于基准事件对各相似事件序列集进行对应相似度信息的提取;
偏差信息处理模块,用于接收事件筛选处理模块中的数据,对各相似事件序列集内各安全事件之间进行偏差信息的提取和整合;
事件特征偏离度计算模块,用于分别对各相似事件序列集计算事件特征偏离度;
预警模块,用于设置事件特征偏离度阈值,提取大于事件特征偏离度阈值的相似事件序列集,对运维人员进行网络安全状态异常预警;提醒运维人员对目标计算机设备进行计算机设备参数的设置检查或者对目标计算机设备进一步排查系统漏洞。
进一步的,安全事件相似分析模块包括第一分析划分单元、第二分析划分单元;
第一分析划分单元,用于将所有历史安全事件基于事件引发源的不同,划分得到第一安全事件集和第二安全事件集;
第二分析划分单元,用于接收第一分析划分单元中的数据,将第一安全事件集内各第一安全事件基于攻击特征的相似度进行进一步划分,得到若干个第一相似事件集;将第二安全事件集内各第二安全事件基于用户操作缺陷的相似度进行进一步划分,得到若干个第二相似事件集。
进一步的,事件特征偏离度计算模块包括漏洞偏差系数计算单元、指令偏差系数计算单元、事件特征偏离度计算单元;
漏洞偏差系数计算单元,用于对第一相似事件序列集或第二相似事件序列集内每相邻两个第一安全事件或者每相邻两个第二安全事件之间的漏洞偏差系数进行计算;
指令偏差系数计算单元,用于对第一相似事件序列集或第二相似事件序列集内每相邻两个第一安全事件或者每相邻两个第二安全事件之间的指令偏差系数进行计算;
事件特征偏离度计算单元,用于接收漏洞偏差系数计算单元和指令偏差系数计算单元中的数据,分别对每个第二相似事件序列集和第一相似事件序列集计算整体事件特征偏离度。
与现有技术相比,本发明所达到的有益效果是:本发明通过对计算机设备历史发生过的所有安全事件进行分析,捕捉计算机设备在不同时期面对相似安全事件时呈现的状态特征,通过对计算机设备在不同时期面对相似安全事件时呈现的状态特征进行状态趋势分析,有利于运维人员掌握计算机设备在不同时期下的状态特征,综合分析当前计算机设备是否需要进行深度漏洞排查或者对计算机参数的设置进行调整,提高对计算机网络安全状态的感知能力,保护计算机设备的网络安全。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明一种基于大数据的网络安全状态监测方法的流程示意图;
图2是本发明网络安全状态监测系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-图2,本发明提供技术方案:一种基于大数据的网络安全状态监测方法,监测方法包括:
步骤S100:调取目标计算机设备的运行日志和设备维护记录,在运行日志和设备维护记录中,对目标计算机发生过的所有历史安全事件进行事件信息的采集;
其中,步骤S100包括:
步骤S101:在目标计算机设备的历史运行日志和历史设备维护记录中,捕捉计算机设备发生过的所有历史安全事件;依次提取各历史安全事件发生时,计算机设备出现的系统漏洞,汇成各历史安全事件对应的系统漏洞集;
步骤S102:在目标计算机设备的历史运行日志和历史设备维护记录中,分别对各历史安全事件捕捉漏洞修复所需的修复指令,汇成各历史安全事件对应的修复指令集;
步骤S200:在目标计算机设备发生过的所有历史安全事件中,进行相似事件分析,分别得到对应事件引发源为系统外部攻击的第一安全事件集和对应事件引发源为系统内部用户操作的第二安全事件集;将第一安全事件集内各第一安全事件基于攻击特征的相似度进行进一步划分,得到若干个第一相似事件集;将第二安全事件集内各第二安全事件基于用户操作缺陷的相似度进行进一步划分,得到若干个第二相似事件集;
其中,步骤S200包括:
步骤S201:在目标计算机设备的历史运行日志和历史设备维护记录中,捕捉各历史安全事件的事件引发源;将所有历史安全事件基于事件引发源的不同进行划分,得到第一安全事件集和第二安全事件集;在第一安全事件集内各安全事件均由系统外部攻击造成;在第二安全事件集内各安全事件均由系统内部用户操作引起;
步骤S202:在目标计算机设备的历史运行日志和历史设备维护记录中,对第一安全事件集内各安全事件对应的系统外部攻击提取攻击特征,攻击特征包括攻击源、攻击行为、攻击路径;将第一安全事件集内各安全事件基于攻击特征进行进一步划分,得到若干个第一相似事件集;在每一个第一相似事件集内,两两第一安全事件之间的第一相似度大于相似度阈值;第一相似度是指攻击特征相似度;
步骤S203:在目标计算机设备的历史运行日志和历史设备维护记录中,对第二安全事件集内各历史安全事件捕捉缺陷操作;缺陷操作是指,在对应的各历史安全事件发生之前,引发计算机设备反馈风险提示的用户操作;分别将第二安全事件集内各历史安全事件对应的缺陷操作进行汇集,得到对应各历史安全事件的用户操作缺陷集;将第二安全事件集内各安全事件基于对应的用户操作缺陷集进行进一步划分,得到若干个第二相似事件集,在每一个第二相似事件集内,两两第二安全事件之间的第二相似度大于相似度阈值;第二相似度是指用户操作缺陷集相似度;
步骤S300:分别对各相似事件序列集筛选基准事件,基于基准事件对各相似事件序列集进行对应相似度信息的提取;
其中,步骤S300包括:
步骤S301:分别将每个第一相似事件集和每个第二相似事件集内各安全事件按照事件发生的时间先后进行排序,对应得到若干个第一相似事件序列集和第二相似事件序列集;分别对每个第一相似事件序列集和第二相似事件序列集抓取第一个安全事件,分别将第一个安全事件作为各相似事件序列集的基准事件;
步骤S302:设第i个第一相似事件序列集Ai中的基准事件为设第j个第二相似事件序列集Bj中的基准事件为第i个第一相似事件序列集Ai为第j个第一相似事件序列集Bj为其中,分别表示在第i个第一相似事件序列集Ai中,位于基准事件之后的第1,…,第n个第一安全事件;分别表示在第j个第一相似事件序列集Bj中,位于基准事件j之后的第1,…,第m个第二安全事件;
步骤S400:对各相似事件序列集内各安全事件之间进行偏差信息的提取和整合;
其中,步骤S400包括:
步骤S401:将与各历史安全事件对应的系统漏洞集内各系统漏洞分别与修复指令集内各修复指令之间一一进行组合对构建,得到由所有历史安全事件对应的所有系统漏洞和所有修复指令之间构建得到的所有组合对集;
步骤S402:分别获取第一相似事件序列集内,每相邻两个第一安全事件各自对应的系统漏洞集和修复指令集,计算得到每相邻两个第一安全事件之间的第一偏差漏洞集P1,以及每相邻两个第一安全事件之间的第一偏差修复指令集G1;分别获取第二相似事件序列集内,每相邻两个第二安全事件各自对应的系统漏洞集和修复指令集,计算得到每相邻两个第二安全事件之间的第一偏差漏洞集S1,以及每相邻两个第一安全事件之间的第一偏差修复指令集R1;
步骤S403:分别获取由P1内各系统漏洞与G1内各修复指令之间构建得到的组合对集{P1G1 (1),P1G1 (2),…,P1G1 (c)};其中,p1G1 (1),P1G1 (2),…,P1G1 (c)分别表示由P1内各系统漏洞与G1内各修复指令之间构建得到的第一种、第二种、…、第v种组合对;分别对P1G1 (1),P1G1 (2),…,P1G1 (c)累计在所有组合对集中出现的频数;设置频数阈值,将在小于频数阈值的组合对中出现的系统漏洞从P1中剔除,得到第二偏差漏洞集P2;将在小于频数阈值的组合对中出现的修复指令从G1中剔除,得到第二偏差修复指令集G2;
上述剔除的修复指令和系统漏洞分别是由于两件相似事件之间的事件偏差所决定的,是客观存在的;
例如说,说事件a与事件b之间相似度很高,但是事件a和事件b之间存在的客观差异,导致若在目标计算机设备上发生事件a,需要比在目标计算机设备上发生事件b时多处理一种系统漏洞,也同时意味着会多出一项修复指令;而这个差异是客观存在的,并不是因为目标计算机设备本身发生状态变化,性能下降的问题,导致事件a在目标计算机设备发生时,造成的或者引发的其他本应不存在的系统漏洞问题;
步骤S404:分别获取由S1内各系统漏洞与R1内各修复指令之间构建得到的组合对集{S1R1 (1),S1R1 (2),…,S1R1 (z)};其中,S1R1 (1),S1R1 (2),…,S1R1 (z)分别表示由S1内各系统漏洞与R1内各修复指令之间构建得到的第一种、第二种、…、第v种组合对;分别对S1R1 (1),S1R1 (2),…,S1R1 (z)累计在所有组合对集中出现的频数;设置频数阈值,将在小于频数阈值的组合对中出现的系统漏洞从S1中剔除,得到第二偏差漏洞集S2;将在小于频数阈值的组合对中出现的修复指令从R1中剔除,得到第二偏差修复指令集R2;
步骤S500:分别对各相似事件序列集计算事件特征偏离度;
其中,步骤S500包括:
步骤S501:分别对第一相似事件序列集内每相邻两个第一安全事件之间计算漏洞偏差系数分别对每相邻两个第一安全事件之间计算指令偏差系数分别对每相邻两个第一安全事件之间计算事件特征偏离度其中,μ表示每相邻两个第一安全事件之间的第一相似度;计算第一相似事件序列集的整体事件特征偏离度E=-(e1)n-1;其中,n表示第一相似事件序列集内的第一安全事件总数;
步骤S502:分别对每相邻两个第二安全事件之间计算漏洞偏差系数分别对每相邻两个第二安全事件之间计算指令偏差系数分别对每相邻两个第二安全事件之间计算事件特征偏离度其中,ρ表示每相邻两个第二安全事件之间的第二相似度;计算第二相似事件序列集的整体事件特征偏离度E=-(e2)m-1;其中,m表示第二相似事件序列集内的第二安全事件总数;
步骤S600:设置事件特征偏离度阈值,将大于事件特征偏离度阈值的相似事件序列集进行信息提取,预警运维人员目标计算机设备存在网络安全状态异常现象,提醒运维人员对目标计算机设备进行计算机参数的设置调整或者对目标计算机设备进一步排查系统漏洞。
为更好的实现上述方法,还提出了一种基于大数据的网络安全状态监测系统,系统包括:数据采集模块、安全事件相似分析模块、事件筛选处理模块、偏差信息处理模块、事件特征偏离度计算模块、预警模块;
数据采集模块,用于调取目标计算机设备的运行日志和设备维护记录,采集目标计算机发生过的所有历史安全事件的事件信息;
安全事件相似分析模块,用于对所有历史安全事件进行相似性分析,捕捉划分相似事件;
其中,安全事件相似分析模块包括第一分析划分单元、第二分析划分单元;
第一分析划分单元,用于将所有历史安全事件基于事件引发源的不同,划分得到第一安全事件集和第二安全事件集;
第二分析划分单元,用于接收第一分析划分单元中的数据,将第一安全事件集内各第一安全事件基于攻击特征的相似度进行进一步划分,得到若干个第一相似事件集;将第二安全事件集内各第二安全事件基于用户操作缺陷的相似度进行进一步划分,得到若干个第二相似事件集;
事件筛选处理模块,用于接收安全事件相似分析模块中的数据,分别对各相似事件序列集筛选基准事件,基于基准事件对各相似事件序列集进行对应相似度信息的提取;
偏差信息处理模块,用于接收事件筛选处理模块中的数据,对各相似事件序列集内各安全事件之间进行偏差信息的提取和整合;
事件特征偏离度计算模块,用于分别对各相似事件序列集计算事件特征偏离度;
其中,事件特征偏离度计算模块包括漏洞偏差系数计算单元、指令偏差系数计算单元、事件特征偏离度计算单元;
漏洞偏差系数计算单元,用于对第一相似事件序列集或第二相似事件序列集内每相邻两个第一安全事件或者每相邻两个第二安全事件之间的漏洞偏差系数进行计算;
指令偏差系数计算单元,用于对第一相似事件序列集或第二相似事件序列集内每相邻两个第一安全事件或者每相邻两个第二安全事件之间的指令偏差系数进行计算;
事件特征偏离度计算单元,用于接收漏洞偏差系数计算单元和指令偏差系数计算单元中的数据,分别对每个第二相似事件序列集和第一相似事件序列集计算整体事件特征偏离度;
预警模块,用于设置事件特征偏离度阈值,提取大于事件特征偏离度阈值的相似事件序列集,对运维人员进行网络安全状态异常预警;提醒运维人员对目标计算机设备进行计算机设备参数的设置检查或者对目标计算机设备进一步排查系统漏洞。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于大数据的网络安全状态监测方法,其特征在于,所述监测方法包括:
步骤S100:调取目标计算机设备的运行日志和设备维护记录,在所述运行日志和设备维护记录中,对所述目标计算机发生过的所有历史安全事件进行事件信息的采集;
步骤S200:在所述目标计算机设备发生过的所有历史安全事件中,进行相似事件分析,分别得到对应事件引发源为系统外部攻击的第一安全事件集和对应事件引发源为系统内部用户操作的第二安全事件集;将所述第一安全事件集内各第一安全事件基于攻击特征的相似度进行进一步划分,得到若干个第一相似事件集;将所述第二安全事件集内各第二安全事件基于用户操作缺陷的相似度进行进一步划分,得到若干个第二相似事件集;
步骤S300:分别对各相似事件序列集筛选基准事件,基于所述基准事件对各相似事件序列集进行对应相似度信息的提取;
步骤S400:对各相似事件序列集内各安全事件之间进行偏差信息的提取和整合;
步骤S500:分别对各相似事件序列集计算事件特征偏离度;
步骤S600:设置事件特征偏离度阈值,将大于所述事件特征偏离度阈值的相似事件序列集进行信息提取,预警运维人员所述目标计算机设备存在网络安全状态异常现象,提醒所述运维人员对所述目标计算机设备进行计算机参数的设置调整或者对目标计算机设备进一步排查系统漏洞。
2.根据权利要求1所述的一种基于大数据的网络安全状态监测方法,其特征在于,所述步骤S100包括:
步骤S101:在目标计算机设备的历史运行日志和历史设备维护记录中,捕捉计算机设备发生过的所有历史安全事件;依次提取各历史安全事件发生时,计算机设备出现的系统漏洞,汇成各历史安全事件对应的系统漏洞集;
步骤S102:在目标计算机设备的历史运行日志和历史设备维护记录中,分别对各历史安全事件捕捉漏洞修复所需的修复指令,汇成各历史安全事件对应的修复指令集。
3.根据权利要求1所述的一种基于大数据的网络安全状态监测方法,其特征在于,所述步骤S200包括:
步骤S201:在目标计算机设备的历史运行日志和历史设备维护记录中,捕捉各历史安全事件的事件引发源;将所有历史安全事件基于事件引发源的不同进行划分,得到第一安全事件集和第二安全事件集;在所述第一安全事件集内各安全事件均由系统外部攻击造成;在所述第二安全事件集内各安全事件均由系统内部用户操作引起;
步骤S202:在目标计算机设备的历史运行日志和历史设备维护记录中,对所述第一安全事件集内各安全事件对应的系统外部攻击提取攻击特征,所述攻击特征包括攻击源、攻击行为、攻击路径;将所述第一安全事件集内各安全事件基于攻击特征进行进一步划分,得到若干个第一相似事件集;在每一个第一相似事件集内,两两第一安全事件之间的第一相似度大于相似度阈值;所述第一相似度是指攻击特征相似度;
步骤S203:在目标计算机设备的历史运行日志和历史设备维护记录中,对所述第二安全事件集内各历史安全事件捕捉缺陷操作;所述缺陷操作是指,在对应的所述各历史安全事件发生之前,引发计算机设备反馈风险提示的用户操作;分别将所述第二安全事件集内各历史安全事件对应的缺陷操作进行汇集,得到对应各历史安全事件的用户操作缺陷集;将所述第二安全事件集内各安全事件基于对应的用户操作缺陷集进行进一步划分,得到若干个第二相似事件集,在每一个第二相似事件集内,两两第二安全事件之间的第二相似度大于相似度阈值;所述第二相似度是指用户操作缺陷集相似度。
4.根据权利要求3所述的一种基于大数据的网络安全状态监测方法,其特征在于,步骤S300包括:
步骤S301:分别将每个第一相似事件集和每个第二相似事件集内各安全事件按照事件发生的时间先后进行排序,对应得到若干个第一相似事件序列集和第二相似事件序列集;分别对每个所述第一相似事件序列集和第二相似事件序列集抓取第一个安全事件,分别将所述第一个安全事件作为各相似事件序列集的基准事件;
步骤S302:设第i个第一相似事件序列集Ai中的基准事件为设第j个第二相似事件序列集Bj中的基准事件为第i个第一相似事件序列集Ai为第j个第一相似事件序列集Bj为其中,分别表示在第i个第一相似事件序列集Ai中,位于基准事件之后的第1,…,第n个第一安全事件;分别表示在第j个第一相似事件序列集Bj中,位于基准事件之后的第1,…,第m个第二安全事件;
5.根据权利要求4所述的一种基于大数据的网络安全状态监测方法,其特征在于,所述步骤S400包括:
步骤S401:将与各历史安全事件对应的系统漏洞集内各系统漏洞分别与修复指令集内各修复指令之间一一进行组合对构建,得到由所有历史安全事件对应的所有系统漏洞和所有修复指令之间构建得到的所有组合对集;
步骤S402:分别获取第一相似事件序列集内,每相邻两个第一安全事件各自对应的系统漏洞集和修复指令集,计算得到所述每相邻两个第一安全事件之间的第一偏差漏洞集P1,以及所述每相邻两个第一安全事件之间的第一偏差修复指令集G1;分别获取第二相似事件序列集内,每相邻两个第二安全事件各自对应的系统漏洞集和修复指令集,计算得到所述每相邻两个第二安全事件之间的第一偏差漏洞集S1,以及所述每相邻两个第一安全事件之间的第一偏差修复指令集R1;
步骤S403:分别获取由P1内各系统漏洞与G1内各修复指令之间构建得到的组合对集{P1G1 (1),P1G1 (2),…,P1G1 (c)};其中,P1G1 (1),P1G1 (2),…,P1G1 (c)分别表示由P1内各系统漏洞与G1内各修复指令之间构建得到的第一种、第二种、…、第v种组合对;分别对P1G1 (1),P1G1 (2),…,P1G1 (c)累计在所述所有组合对集中出现的频数;设置频数阈值,将在小于频数阈值的组合对中出现的系统漏洞从P1中剔除,得到第二偏差漏洞集P2;将在小于频数阈值的组合对中出现的修复指令从G1中剔除,得到第二偏差修复指令集G2;
步骤S404:分别获取由S1内各系统漏洞与R1内各修复指令之间构建得到的组合对集{S1R1 (1),S1R1 (2),…,S1R1 (z)};其中,S1R1 (1),S1R1 (2),…,S1R1 (z)分别表示由S1内各系统漏洞与R1内各修复指令之间构建得到的第一种、第二种、…、第v种组合对;分别对S1R1 (1),S1R1 (2),…,S1R1 (z)累计在所述所有组合对集中出现的频数;设置频数阈值,将在小于频数阈值的组合对中出现的系统漏洞从S1中剔除,得到第二偏差漏洞集S2;将在小于频数阈值的组合对中出现的修复指令从R1中剔除,得到第二偏差修复指令集R2。
6.根据权利要求5所述的一种基于大数据的网络安全状态监测方法,其特征在于,所述步骤S500包括:
步骤S501:分别对第一相似事件序列集内每相邻两个第一安全事件之间计算漏洞偏差系数分别对每相邻两个第一安全事件之间计算指令偏差系数分别对每相邻两个第一安全事件之间计算事件特征偏离度其中,μ表示所述每相邻两个第一安全事件之间的第一相似度;计算所述第一相似事件序列集的整体事件特征偏离度E=-(e1)n-1;其中,n表示第一相似事件序列集内的第一安全事件总数;
7.一种应用于权利要求1-6中任一项的基于大数据的网络安全状态监测方法的网络安全状态监测系统,其特征在于,所述系统包括:数据采集模块、安全事件相似分析模块、事件筛选处理模块、偏差信息处理模块、事件特征偏离度计算模块、预警模块;
所述数据采集模块,用于调取目标计算机设备的运行日志和设备维护记录,采集所述目标计算机发生过的所有历史安全事件的事件信息;
所述安全事件相似分析模块,用于对所有历史安全事件进行相似性分析,捕捉划分相似事件;
所述事件筛选处理模块,用于接收所述安全事件相似分析模块中的数据,分别对各相似事件序列集筛选基准事件,基于所述基准事件对各相似事件序列集进行对应相似度信息的提取;
所述偏差信息处理模块,用于接收所述事件筛选处理模块中的数据,对各相似事件序列集内各安全事件之间进行偏差信息的提取和整合;
所述事件特征偏离度计算模块,用于分别对各相似事件序列集计算事件特征偏离度;
所述预警模块,用于设置事件特征偏离度阈值,提取大于所述事件特征偏离度阈值的相似事件序列集,对运维人员进行网络安全状态异常预警;提醒所述运维人员对所述目标计算机设备进行计算机设备参数的设置检查或者对目标计算机设备进一步排查系统漏洞。
8.根据权利要求7所述的一种基于大数据的网络安全状态监测系统,其特征在于,所述安全事件相似分析模块包括第一分析划分单元、第二分析划分单元;
所述第一分析划分单元,用于将所有历史安全事件基于事件引发源的不同,划分得到第一安全事件集和第二安全事件集;
所述第二分析划分单元,用于接收所述第一分析划分单元中的数据,将所述第一安全事件集内各第一安全事件基于攻击特征的相似度进行进一步划分,得到若干个第一相似事件集;将所述第二安全事件集内各第二安全事件基于用户操作缺陷的相似度进行进一步划分,得到若干个第二相似事件集。
9.根据权利要求7所述的一种基于大数据的网络安全状态监测系统,其特征在于,所述事件特征偏离度计算模块包括漏洞偏差系数计算单元、指令偏差系数计算单元、事件特征偏离度计算单元;
所述漏洞偏差系数计算单元,用于对第一相似事件序列集或第二相似事件序列集内每相邻两个第一安全事件或者每相邻两个第二安全事件之间的漏洞偏差系数进行计算;
所述指令偏差系数计算单元,用于对第一相似事件序列集或第二相似事件序列集内每相邻两个第一安全事件或者每相邻两个第二安全事件之间的指令偏差系数进行计算;
所述事件特征偏离度计算单元,用于接收所述漏洞偏差系数计算单元和所述指令偏差系数计算单元中的数据,分别对每个第二相似事件序列集和第一相似事件序列集计算整体事件特征偏离度。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210724271.6A CN115022072B (zh) | 2022-06-23 | 2022-06-23 | 一种基于大数据的网络安全状态监测系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210724271.6A CN115022072B (zh) | 2022-06-23 | 2022-06-23 | 一种基于大数据的网络安全状态监测系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115022072A true CN115022072A (zh) | 2022-09-06 |
CN115022072B CN115022072B (zh) | 2023-06-23 |
Family
ID=83077190
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210724271.6A Active CN115022072B (zh) | 2022-06-23 | 2022-06-23 | 一种基于大数据的网络安全状态监测系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115022072B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116304961A (zh) * | 2023-05-24 | 2023-06-23 | 江苏曙光云计算有限公司 | 一种基于人工智能的流程自动生成监控系统及方法 |
CN116500367A (zh) * | 2023-06-25 | 2023-07-28 | 常州满旺半导体科技有限公司 | 基于大数据的电压源性能自适应监测系统及方法 |
CN116775496A (zh) * | 2023-07-20 | 2023-09-19 | 哈尔滨梦思达数据科技开发有限公司 | 基于大数据的计算机网络测试系统及方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112351004A (zh) * | 2020-10-23 | 2021-02-09 | 烟台南山学院 | 一种基于计算机网络信息安全事件处理系统及方法 |
CN113079141A (zh) * | 2021-03-23 | 2021-07-06 | 贵州航天云网科技有限公司 | 基于人工智能的网络安全态势感知系统及方法 |
CN114518994A (zh) * | 2022-02-17 | 2022-05-20 | 淮北仕欧网络科技有限公司 | 一种基于大数据的计算机信息安全处理方法及系统 |
-
2022
- 2022-06-23 CN CN202210724271.6A patent/CN115022072B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112351004A (zh) * | 2020-10-23 | 2021-02-09 | 烟台南山学院 | 一种基于计算机网络信息安全事件处理系统及方法 |
CN113079141A (zh) * | 2021-03-23 | 2021-07-06 | 贵州航天云网科技有限公司 | 基于人工智能的网络安全态势感知系统及方法 |
CN114518994A (zh) * | 2022-02-17 | 2022-05-20 | 淮北仕欧网络科技有限公司 | 一种基于大数据的计算机信息安全处理方法及系统 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116304961A (zh) * | 2023-05-24 | 2023-06-23 | 江苏曙光云计算有限公司 | 一种基于人工智能的流程自动生成监控系统及方法 |
CN116304961B (zh) * | 2023-05-24 | 2023-08-18 | 江苏曙光云计算有限公司 | 一种基于人工智能的流程自动生成监控系统及方法 |
CN116500367A (zh) * | 2023-06-25 | 2023-07-28 | 常州满旺半导体科技有限公司 | 基于大数据的电压源性能自适应监测系统及方法 |
CN116500367B (zh) * | 2023-06-25 | 2023-08-25 | 常州满旺半导体科技有限公司 | 基于大数据的电压源性能自适应监测系统及方法 |
CN116775496A (zh) * | 2023-07-20 | 2023-09-19 | 哈尔滨梦思达数据科技开发有限公司 | 基于大数据的计算机网络测试系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115022072B (zh) | 2023-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115022072A (zh) | 一种基于大数据的网络安全状态监测系统及方法 | |
CN111542846B (zh) | 故障预测系统和故障预测方法 | |
US10417072B2 (en) | Scalable predictive early warning system for data backup event log | |
CN109981328B (zh) | 一种故障预警方法及装置 | |
US10078317B2 (en) | Method, device and computer program for monitoring an industrial control system | |
US10354197B2 (en) | Pattern analytics for real-time detection of known significant pattern signatures | |
CN112114995B (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
US20170139759A1 (en) | Pattern analytics for real-time detection of known significant pattern signatures | |
CN114518994A (zh) | 一种基于大数据的计算机信息安全处理方法及系统 | |
JP6802122B2 (ja) | 原因推定方法およびプログラム | |
CN108683662B (zh) | 单台在网设备风险评估方法及系统 | |
CN110713088A (zh) | 电梯投诉的预警方法、装置、设备及介质 | |
CN116089961B (zh) | 一种基于大数据的计算机智能图像管理系统及方法 | |
CN111506487B (zh) | 一种基于操作日志的故障修复手段的推荐方法及系统 | |
US20220228949A1 (en) | A method for estimation of malfunction using sound | |
JP6972429B1 (ja) | プラント管理方法及びプラント設計装置 | |
KR102111136B1 (ko) | 대응지시서를 생성하고, 적용 결과를 분석하는 방법, 감시장치 및 프로그램 | |
WO2022259324A1 (ja) | 正解データ生成装置、正解データ生成方法および正解データ生成プログラム | |
CN115601009A (zh) | 一种故障处置记录分析方法和系统、电子设备、存储介质 | |
CN114492068A (zh) | 故障处理测试方法、系统、设备及介质、程序产品 | |
CN113420917B (zh) | 对业务系统未来故障预测的方法、计算机设备及存储介质 | |
US20240007483A1 (en) | Method for automatic signatures generation from a plurality of sources | |
CN114064400B (zh) | 一种it设备运维感知监控系统 | |
CN116383829A (zh) | 一种基于大数据的计算机信息分析管理系统及方法 | |
CN118132544A (zh) | 用于煤化工安全诊断数据处理方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |