CN115277070B - 一种网络安全运维热力图的生成方法 - Google Patents

一种网络安全运维热力图的生成方法 Download PDF

Info

Publication number
CN115277070B
CN115277070B CN202210688489.0A CN202210688489A CN115277070B CN 115277070 B CN115277070 B CN 115277070B CN 202210688489 A CN202210688489 A CN 202210688489A CN 115277070 B CN115277070 B CN 115277070B
Authority
CN
China
Prior art keywords
maintenance
item
matters
heat value
network security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210688489.0A
Other languages
English (en)
Other versions
CN115277070A (zh
Inventor
刘超飞
崔逸群
肖力炀
刘迪
毕玉冰
朱博迪
胥冠军
王文庆
邓楠轶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Thermal Power Research Institute Co Ltd
Huaneng Group Technology Innovation Center Co Ltd
Original Assignee
Xian Thermal Power Research Institute Co Ltd
Huaneng Group Technology Innovation Center Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Thermal Power Research Institute Co Ltd, Huaneng Group Technology Innovation Center Co Ltd filed Critical Xian Thermal Power Research Institute Co Ltd
Priority to CN202210688489.0A priority Critical patent/CN115277070B/zh
Publication of CN115277070A publication Critical patent/CN115277070A/zh
Application granted granted Critical
Publication of CN115277070B publication Critical patent/CN115277070B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S10/00Systems supporting electrical power generation, transmission or distribution
    • Y04S10/50Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Algebra (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Looms (AREA)

Abstract

本发明公开了一种网络安全运维热力图的生成方法,包括步骤:从安全设备中提取报警及阻断等事项,加上运维人员的检查评估及整改等事项构成运维事项集;再从事项集中选择部分组成事项热度分类训练样本集,确定事项的特征属性并构建分类器,然后对训练样本集外的事项进行分类,得到事项的热度类别及对应的热度值,由事项作用的资产范围得到范围热度值,两者相乘得到事项综合热度值;最后在企业组织机构图上按计算的热度值绘制网络安全运维热力图,大小表示累加热度值,颜色表示平均热度值。本发明能对大量安全运维事项进行热度自动分类、计算,直观展示安全运维事项的强度和广度,可进行关联分析,满足多层管理架构企业进行网络安全管理的需要。

Description

一种网络安全运维热力图的生成方法
技术领域
本发明涉及网络安全监测技术领域,具体涉及一种网络安全运维热力图的生成方法。
背景技术
网络安全运维事项是以信息资产为基础的活动,网络运营单位配备了专业的网络安全运维人员,进行日常评估检查、异常监测、事件处置等网络安全运维活动,用来保证业务系统的正常运行。但随着网络安全数据的爆炸式增长,异构的数据源和持续增长的数据量给分析人员带来了繁重的认知负担,对于多级管理层级架构的上级和总部单位进行运维活动管理人员的人员,面临各种各样、数据庞杂的运维活动,很难进行有效的分析和管理。
除了日常的网络安全运维活动,在一些专项行动或重大活动期间,以及存在突发的网络安全事件,频繁的网络安全运维事项需要管理人员进行重点关注。如能利用网络安全运维热力图,借助可视化的方法直观的展示网络安全运维事项的总体态势,方便网络安全管理人员快速掌握整体情况,网络安全管理人员便能够从大量的事件、或者运维报告中发现深层次问题。如何对海量的网络安全运维事项进行自动分类和热度计算,将杂乱、抽象的网络安全事项转化成数字并进行汇总,实现可视化展示,是网络安全管理人员普遍面临的难题。
发明内容
为了解决上述网络安全管理人员面临的技术问题,本发明提供了一种网络安全运维热力图的生成方法,自动实现对繁杂网络安全运维事项进行分类,用图形化的方式对网络安全运维热点事项进行集中展示,为网络安全管理人员提供决策提供参考。
为达到上述目的,本发明采用如下技术方案:
一种网络安全运维热力图的生成方法,包括以下步骤:
(1)从网络安全设备获取安全事项,这类事项通过定义接口规范实现自动提取;运维人员及相关方进行的运维工作,这类事项通过手动录入,将自动获取事项和手动录入事项合并后得到网络安全运维事项集;
(2)按照朴素贝叶斯分类法进行分类前,给出网络安全运维事项热度分类,检查阶段的热度类别共三个:资产管理类、检查评估类和预警通报类,运行监测阶段两个:态势感知及安全监测设备发出的异常报警类和安全警告类,运维处置阶段四个:安全加固类、攻击阻断类、溯源分析类和应急恢复类,运维事项热度分类集C=(y1,y2…y9);
选择网络安全运维事项的特征属性,选出a1:运维阶段,a2:发起方,a3:执行方,a4:影响资产范围,共4个作为特征属性;
给出属性划分,a1:运维阶段{a=检查,a=监测,a=处置},a2:发起方{a=本单位,a=上级单位,a=行业主管单位},a3:执行方{a=本单位,a=外委单位},a4:影响资产范围:{a<=5,5<a<50,a>=50};
在网络安全运维事项集中选择10%作为训练样本集,计算每个热度类别在训练样本中的出现频率及每个特征属性划分对每个热度类别的条件概率估计,得到分类器;
(3)对网络安全运维事项集中除训练样本集外的每个事项,计算该事项特征属性概率P(ai|yi),计算每个热度类别对应的概率P(yi),取的最大值,作为该事项的热度分类,根据步骤(2)得到对应的类别热度值,对事项影响的资产范围按照资产管理系统中资产价值计算事项对应的范围热度值,类别热度值与范围热度值相乘得到事项综合热度值;
(4)对得到的事项综合热度值,根据事项主体所在的网络单元、组织机构从两个层面进行累加汇总计算,按照查询的时间范围将热度值在企业组织机构分布图中进行标注,企业组织机构分布图可以是地图,或者是组织机构层级图,大小表示累计热度值,颜色表示平均热度值,平均热度值等于累计热度值除以累计资产价值,为防止事项过多单位的圆圈过大,将累计综合热度值分成5级,平均热度值分成8级进行归类标注。
本发明进一步的改进在于,步骤(1)中,获取的安全事项包括异常流量的识别、威胁事件的报警和针对攻击的阻断。
本发明进一步的改进在于,步骤(1)中,运维人员及相关方进行的运维工作包括评估检查、预警通报、溯源分析、应急恢复和安全加固。
本发明进一步的改进在于,步骤(1)中,网络安全运维事项集中每个事项的基本属性包括:名称、事项主体、运维阶段、发生时间、发起方、执行方、影响资产范围和执行方式,属性值允许为空。
本发明进一步的改进在于,步骤(2)中,运维事项热度分类集C=(y1,y2…y9),对应的类别热度值为0.3、0.6、0.9、1.5、2.0、2.2、2.4、2.6、2.8。
本发明进一步的改进在于,根据显示的组织机构层级,中间层级单位的热度值是变化的,如果最小显示层级是该中间层级,则中间层级单位的热度值是中间层级单位和中间层级单位下属单位的综合值,如果最小显示层级不是该中间层级,中间层级单位的热度值仅为本部的热度值。
本发明进一步的改进在于,该方法对自动发生的事项和人员手动事项进行统一自动分类,按自动事项和手动事项分别进行统计。
本发明进一步的改进在于,该方法能够按网络单元和组织机构两个层面进行展示,满足多级管理架构的企业进行网络安全运维事项精细化管理的需求。
本发明至少具有以下有益的技术效果:
本发明提供的一种网络安全运维热力图的生成方法,直观展示安全运维事项的强度和广度,提供了自动和手动两类网络安全运维事项热度的统一计算方法,能够对大量安全运维事项进行热度自动分类、计算,将杂乱、抽象的网络安全事项转化成数字和图形并进行汇总,可进行关联分析发现深层次的问题,满足多层管理架构企业进行网络安全管理的需要。
附图说明
图1为本发明网络安全运维热力图的生成方法示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
如图1所示,本发明提供的一种网络安全运维热力图的生成方法,以某发电企业为例进行说明,该发电企业在各级单位都安装了态势感知系统,自动事项集从该发电企业的态势感知系统获取,手动事项集由该发电企业各级单位进行手动录入,录入发电企业总部的网络安全管理基础管理系统,网络安全事项集以一个月内的自动、手动事项为初始事项集为例进行说明,按以下步骤生成络安全运维热力图:
(1)从网络安全设备获取安全事件,包括异常流量的识别、威胁事件的报警、针对攻击的阻断,这类事项通过定义接口规范可实现自动提取;运维人员及相关方进行的运维工作,包括评估检查、预警通报、溯源分析、应急恢复、安全加固,这类事项需要手动录入,将自动获取事项和手动录入事项合并后得到网络安全运维事项集;
网络安全运维事项集中每个事项的基本属性包括:名称、事项主体、运维阶段、发生时间、发起方、执行方、影响资产范围、执行方式,属性值允许为空;
(2)按照朴素贝叶斯分类法进行分类前,给出网络安全运维事项热度分类,检查阶段的热度类别共三个:资产管理类、检查评估类、预警通报类,运行监测阶段两个:态势感知和安全监测类设备发出的异常报警类、安全警告类,运维处置阶段四个:安全加固类、攻击阻断类、溯源分析类、应急恢复类,运维事项热度分类集C=(y1,y2…y9),对应的类别热度值为0.3、0.6、0.9、1.5、2.0、2.2、2.4、2.6、2.8;
选择网络安全运维事项的特征属性,选出a1:运维阶段,a2:发起方,a3:执行方,a4:影响资产范围,共4个作为特征属性;
给出属性划分,a1:运维阶段{a=检查,a=监测,a=处置},a2:发起方{a=本单位,a=上级单位,a=行业主管单位},a3:执行方{a=本单位,a=外委单位},a4:影响资产范围:{a<=5,5<a<50,a>=50};
在网络安全运维事项集中选择10%作为训练样本集,计算每个热度类别在训练样本中的出现频率及每个特征属性划分对每个热度类别的条件概率估计,得到分类器;
(3)对网络安全运维事项集中除训练样本集外的每个事项,计算该事项特征属性概率P(ai|yi),计算每个热度类别对应的概率P(yi),取的最大值,作为该事项的热度分类,根据(2)可得到对应的类别热度值,对事项影响的资产范围按照资产管理系统中资产价值计算事项对应的范围热度值,类别热度值与范围热度值相乘得到事项综合热度值;
(4)对得到的事项综合热度值,根据事项主体所在的网络单元、组织机构从两个层面进行累加汇总计算,查询时间为初始事项集对应的1个月,该发电企业属于全国性分布,按企业组织机构地理位置分布图进行标注,大小表示累计热度值,颜色表示平均热度值。
本发明并不对运维效果进行评价,只是按时间进行分类统计,对影响进行确认,累加事项热度,方便追踪热点安全运维事项及影响范围。
本发明阐述的实例只是用于帮助阐述本发明,并未对技术方案的所有细节进行详尽叙述,本领域技术人员对部分技术实现过程进行的替换、修改,并不使相应技术方案的本质脱离本发明实施案例的精神和范围。

Claims (7)

1.一种网络安全运维热力图的生成方法,其特征在于,包括以下步骤:
(1)从网络安全设备获取安全事项,这类事项通过定义接口规范实现自动提取;运维人员及相关方进行的运维工作,这类事项通过手动录入,将自动获取事项和手动录入事项合并后得到网络安全运维事项集;
(2)按照朴素贝叶斯分类法进行分类前,给出网络安全运维事项热度分类,检查阶段的热度类别共三个:资产管理类、检查评估类和预警通报类,运行监测阶段两个:态势感知及安全监测设备发出的异常报警类和安全警告类,运维处置阶段四个:安全加固类、攻击阻断类、溯源分析类和应急恢复类,运维事项热度分类集C=(y1,y2…y9);且运维事项热度分类集C=(y1,y2…y9),对应的类别热度值为0.3、0.6、0.9、1.5、2.0、2.2、2.4、2.6、2.8;
选择网络安全运维事项的特征属性,选出a1:运维阶段,a2:发起方,a3:执行方,a4:影响资产范围,共4个作为特征属性;
给出属性划分,a1:运维阶段{a=检查,a=监测,a=处置},a2:发起方{a=本单位,a=上级单位,a=行业主管单位},a3:执行方{a=本单位,a=外委单位},a4:影响资产范围:{a<=5,5<a<50,a>=50};
在网络安全运维事项集中选择10%作为训练样本集,计算每个热度类别在训练样本中的出现频率及每个特征属性划分对每个热度类别的条件概率估计,得到分类器;
(3)对网络安全运维事项集中除训练样本集外的每个事项,计算该事项特征属性概率P(ai|yi),计算每个热度类别对应的概率P(yi),取的最大值,作为该事项的热度分类,根据步骤(2)得到对应的类别热度值,对事项影响的资产范围按照资产管理系统中资产价值计算事项对应的范围热度值,类别热度值与范围热度值相乘得到事项综合热度值;
(4)对得到的事项综合热度值,根据事项主体所在的网络单元、组织机构从两个层面进行累加汇总计算,按照查询的时间范围将热度值在企业组织机构分布图中进行标注,企业组织机构分布图可以是地图,或者是组织机构层级图,大小表示累计热度值,颜色表示平均热度值,平均热度值等于累计热度值除以累计资产价值,为防止事项过多单位的圆圈过大,将累计综合热度值分成5级,平均热度值分成8级进行归类标注。
2.根据权利要求1所述的网络安全运维热力图的生成方法,其特征在于,步骤(1)中,获取的安全事项包括异常流量的识别、威胁事件的报警和针对攻击的阻断。
3.根据权利要求1所述的网络安全运维热力图的生成方法,其特征在于,步骤(1)中,运维人员及相关方进行的运维工作包括评估检查、预警通报、溯源分析、应急恢复和安全加固。
4.根据权利要求1所述的网络安全运维热力图的生成方法,其特征在于,步骤(1)中,网络安全运维事项集中每个事项的基本属性包括:名称、事项主体、运维阶段、发生时间、发起方、执行方、影响资产范围和执行方式,属性值允许为空。
5.根据权利要求1所述的网络安全运维热力图的生成方法,其特征在于,根据显示的组织机构层级,中间层级单位的热度值是变化的,如果最小显示层级是该中间层级,则中间层级单位的热度值是中间层级单位和中间层级单位下属单位的综合值,如果最小显示层级不是该中间层级,中间层级单位的热度值仅为本部的热度值。
6.根据权利要求1所述的网络安全运维热力图的生成方法,其特征在于,该方法对自动发生的事项和人员手动事项进行统一自动分类,按自动事项和手动事项分别进行统计。
7.根据权利要求1所述的网络安全运维热力图的生成方法,其特征在于,该方法能够按网络单元和组织机构两个层面进行展示,满足多级管理架构的企业进行网络安全运维事项精细化管理的需求。
CN202210688489.0A 2022-06-17 2022-06-17 一种网络安全运维热力图的生成方法 Active CN115277070B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210688489.0A CN115277070B (zh) 2022-06-17 2022-06-17 一种网络安全运维热力图的生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210688489.0A CN115277070B (zh) 2022-06-17 2022-06-17 一种网络安全运维热力图的生成方法

Publications (2)

Publication Number Publication Date
CN115277070A CN115277070A (zh) 2022-11-01
CN115277070B true CN115277070B (zh) 2023-08-29

Family

ID=83760413

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210688489.0A Active CN115277070B (zh) 2022-06-17 2022-06-17 一种网络安全运维热力图的生成方法

Country Status (1)

Country Link
CN (1) CN115277070B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104615717A (zh) * 2015-02-05 2015-05-13 北京航空航天大学 社交网络突发事件的多维度评估方法
WO2016188347A1 (zh) * 2015-05-26 2016-12-01 广州神马移动信息科技有限公司 网络质量评价方法及装置、网络内容排序方法及系统、计算设备及非暂时性机器可读存储介质
CN107733693A (zh) * 2017-09-22 2018-02-23 中国人民解放军国防科技大学 基于安全事件统计的网络安全运维能力评估方法及系统
CN110620759A (zh) * 2019-07-15 2019-12-27 公安部第一研究所 基于多维关联的网络安全事件危害指数评估方法及其系统
CN111324789A (zh) * 2020-02-13 2020-06-23 创新奇智(上海)科技有限公司 一种网络信息数据热度的计算方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040035572A (ko) * 2002-10-22 2004-04-29 최운호 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법
US10944644B2 (en) * 2019-04-30 2021-03-09 Intel Corporation Technologies for thermal and power awareness and management in a multi-edge cloud networking environment
US11418531B2 (en) * 2020-03-18 2022-08-16 Cyberlab Inc. System and method for determining cybersecurity rating and risk scoring

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104615717A (zh) * 2015-02-05 2015-05-13 北京航空航天大学 社交网络突发事件的多维度评估方法
WO2016188347A1 (zh) * 2015-05-26 2016-12-01 广州神马移动信息科技有限公司 网络质量评价方法及装置、网络内容排序方法及系统、计算设备及非暂时性机器可读存储介质
CN107733693A (zh) * 2017-09-22 2018-02-23 中国人民解放军国防科技大学 基于安全事件统计的网络安全运维能力评估方法及系统
CN110620759A (zh) * 2019-07-15 2019-12-27 公安部第一研究所 基于多维关联的网络安全事件危害指数评估方法及其系统
CN111324789A (zh) * 2020-02-13 2020-06-23 创新奇智(上海)科技有限公司 一种网络信息数据热度的计算方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
网络安全态势感知技术研究与应用;宋进;唐光亮;;通信技术(06);全文 *

Also Published As

Publication number Publication date
CN115277070A (zh) 2022-11-01

Similar Documents

Publication Publication Date Title
US20220050820A1 (en) Anomaly Detection
CN110147948B (zh) 一种煤矿企业风险辨识管控平台及其实现方法
US20170140312A1 (en) System and method for performing signal processing and dynamic analysis and forecasting of risk of third parties
CN104156403B (zh) 一种基于聚类的大数据常态模式提取方法及系统
KR20180044693A (ko) 행위 분석 기반 이상 감지 방법 및 장치
Cambridge et al. Adult protection: The processes and outcomes of adult protection referrals in two English local authorities
KR20150009798A (ko) 개인 정보 상시 감시 시스템 및 그 상시 감시 방법
CN110853744A (zh) 一种大数据下医院质控管理系统
CN104102730B (zh) 一种基于已知标签的大数据常态模式提取方法及系统
CN115277070B (zh) 一种网络安全运维热力图的生成方法
Zhang et al. Network anomaly detection using one class support vector machine
Argyriou et al. A fraud detection visualization system utilizing radial drawings and heat-maps
US9760553B1 (en) Systems and methods for early identification of anomalies in large projects
CN104123466B (zh) 一种基于常态模式的大数据态势分析预警方法及系统
Gabriel et al. Analyzing malware log data to support security information and event management: Some research results
Chimphlee et al. A rough-fuzzy hybrid algorithm for computer intrusion detection
CN115423361A (zh) 风险视图的数据处理方法、装置、存储介质和设备
CN116232695A (zh) 一种网络安全运维关联分析系统
Bakırlı et al. Data mining solutions for local municipalities
WO2006077666A1 (ja) 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体
CN112488236A (zh) 一种集成的无监督学生行为聚类方法
CN112966890B (zh) 一种用于企业员工监督的智能分析系统及方法
Malvar et al. Machine learning approaches for localized lockdown during covid-19: a case study analysis
US20190258744A1 (en) Method, apparatus, and computer-readable medium for missing data identification
CN106875294A (zh) 对发电企业监管统计的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant