CN115941317A - 一种网络安全综合分析及态势感知平台 - Google Patents
一种网络安全综合分析及态势感知平台 Download PDFInfo
- Publication number
- CN115941317A CN115941317A CN202211554723.7A CN202211554723A CN115941317A CN 115941317 A CN115941317 A CN 115941317A CN 202211554723 A CN202211554723 A CN 202211554723A CN 115941317 A CN115941317 A CN 115941317A
- Authority
- CN
- China
- Prior art keywords
- security
- analysis
- asset
- network
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种网络安全综合分析及态势感知平台,包括:攻击事件处理模块、异常事件处理模块、安全编排与自动化响应处置模块、资产安全管理模块、威胁情报预警模块、MDR辅助人工运营服务模块。本发明通过安全日志处理模块,实现了日志威胁的集中管理以及范式统一和字段修正增强;通过攻击威胁识别分析模块,基于攻击识别引擎,能够快速准确地得到潜在的攻击事件;通过安全编排与自动化响应处置模块,自动进行安全编排,并通过平台案例以及playbook剧本,自动化处置安全威胁,既可以缩短响应处置时间,又可以将高级工程师从日常运维中释放出来,节约企业人员成本。
Description
技术领域
本发明属于网络安全技术领域,特别是涉及一种网络安全综合分析及态势感知平台。
背景技术
当今世界,信息技术革命日新月异,对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进,互联网已经融入社会生活方方面面,深刻改变了人们的生产和生活方式。网络安全是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。
现有的网络安全平台系统,首先,一般通过对网中不同设备产生的安全日志进行简单分析,无法将安全日志进行汇总、整理,无法将其结合起来,进行整体分析,其分析结果往往精确度较差,无法基于分析结果,描绘出完整的攻击链,其给出的缓解或纠正方案往往无法解决实际问题。
其次,现有的网络安全平台,一般只能简单分析网络攻击事件,但无法对异常事件进行分析,例如,对于异常用户和异常行为,包括:风险账号、风险终端、内部异常访问和数据泄漏,无法有针对性的监测和分析这些异常事件。
最后,现有的网络安全平台,仍然只能给出简单的解决方案,其具体实施还需安全人员亲自操作,解决问题的自动化程度不高。
发明内容
本发明的目的是提供一种网络安全综合分析及态势感知平台,以解决上述现有技术存在的问题。
为实现上述目的,本发明提供了一种网络安全综合分析及态势感知平台,包括:
攻击事件处理模块、异常事件处理模块、安全编排与自动化响应处置模块、资产安全管理模块、威胁情报预警模块、MDR辅助人工运营模块。
可选的,所述攻击事件处理模块包括:
安全日志处理模块,用于汇总和解析网中部署的不同设备产生的安全日志,并将不同格式的所述安全日志进行范式化、转换修正、字段增强操作,最后将处理后的所述安全日志传递给攻击威胁识别分析模块;
攻击威胁识别分析模块,用于接收所述安全日志处理模块传递的处理后的安全日志,并基于攻击识别引擎,分析得出潜在的攻击事件;
攻击链分析模块,用于触发实时监控模块报警信息,并基于所述报警信息,描绘出完整的攻击链。
实时监控模块,用于产生一条或多条独立的所述报警信息。
可选的,所述范式化操作具体为:通过配置正则、JSON、分隔符和KV的解析方法,将不同格式的所述安全日志解析成统一格式的数据;
所述转换修正操作具体为:对所述格式统一的数据,进行字段名、字段类型和时间戳的枚举类型映射转换;
所述字段增强操作具体为:对所述格式统一的数据,进行资产信息、设备属性、解析事件和采集器IP的字段增强;
所述攻击识别引擎,通过特征识别的方法对范式化后的所述安全日志进行特征匹配,得出潜在的攻击事件。
可选的,所述异常事件处理模块包括:
异常事件分析模块:用于分析用户和网中设备的交互行为,基于异常分析引擎,发现网络中的异常事件;
所述异常事件包括:异常用户和异常行为
所述异常分析引擎包括:静态基线检测引擎和动态基线检测引擎;
所述静态基线检测引擎,用于从消息队列中实时获取消费行为数据,加载内置检测模型和模型相关配置参数,并进行检测,如果命中模型和规则,则输出所述异常事件;
所述动态基线检测引擎,用于对平台获取流量的数据进行学习,通过加载内置检测模型,从流量中提取对应的特征进行学习,并对已入库的历史流量进行学习,通过一段时间的学习后生成对应的基线,后续使用学习的基线进行检测,偏离基线的行为即为所述异常事件;
所述异常用户包括:风险账号和风险终端;
所述异常行为包括:内部异常访问和数据泄漏;
可选的,所述安全编排与自动化响应处置模块,用于自动进行安全编排以及自动化响应处置所述攻击事件和所述异常事件
所述安全编排与自动化响应处置模块,通过可视化编排将人、安全技术、流程进行深度融合;将安全运营工程师操作的经验和知识固化为平台中的案例以及playbook剧本,所述playbook剧本可串并联构建安全事件处置的工作流,自动化触发不同安全设备执行响应动作,一旦攻击事件与平台中的所述案例得到了匹配,所述攻击事件可在无需人工干预的情况下,通过所述playbook剧本完成自动化闭环处置。
可选的,所述资产安全管理模块,用于主动资产发现、资产地图信息库建立、异常资产识别分析。
所述主动资产发现具体为:引入多种自动化资产发现的手段,通过UES终端agent资产发现、漏扫主动扫描、UTS流量识别、NTI情报发现、CMDB资产API同步手段,自动进行多源资产发现结果汇聚,兼顾资产发现的全面及一致性。
所述资产地图信息库建立具体为:通过多源资产发现,快速识别资产及资产的指纹信息,形成资产地图,以供业务层进行资产安全分析;除了资产属性相关信息建立外,所述资产地图还可以添加责任人、所属业务系统、地理位置、组织部门等信息,便于风险爆发后,第一时间通知相关的处置人;
所述异常资产识别分析模块,用于对已有的所述资产地图做对比分析,发现异常资产;
可选的,所述威胁情报预警模块,基于威胁情报,对网络风险进行预警,用于事前防护以及对网络威胁进行确认和溯源。
可选的,所述MDR辅助人工运营模块,用于提供如下服务:资产安全管理服务、脆弱性安全管理服务、安全风险分析管理服务、应急响应服务、安全值守服务;
可选的,所述资产安全管理服务具体为:安全专家通过专业安全分析工具对用户互联网端和内网端资产进行全生命周期安全管理,包括资产定期检查、资产变更稽查、资产基线维护,减小业务系统在互联网和内网上的受攻击面,降低被攻击的可能性;
所述脆弱性安全管理服务具体为:所述脆弱性管理服务包括安全基线检测、漏洞发现、漏洞修复支持、漏洞复验、全生命周期漏洞管理,由安全专家通过专业测试工具对用户互联网与内网进行检查和梳理,并与用户仔细核对所开放的服务是否为必须,使用户了解并明确开放的服务,协助用户关闭不需要的服务端口。
所述安全风险分析管理服务具体为:所述安全风险分析管理服务通过入侵检测防御系统、全流量分析系统、态势感知平台及云端远程安全分析专家共同为企业客户提供各类安全的威胁检测与响应服务。安全分析专家利用监测的原始流量,对流量信息进行深度还原、查询和分析,帮助客户及时掌握重要信息系统相关网络安全威胁风险,及时检测漏洞、病毒木马、网络攻击情况,及时发现网络安全事件线索,及时通报预警重大网络安全威胁,调查、防范和打击网络攻击等恶意行为,保障重要信息系统的网络安全。
所述应急响应服务具体为:所述应急响应服务面向客户提供已发生安全事件的事中、事后的取证、分析及提供解决方案。在所述应急响应服务开展前,安全工程师会定义事件分级与处置流程、事件升级流程,以便事件发生后,可以快速处置;事中处置内容包括应用服务瘫痪问题解决、网络阻塞处置、DDoS攻击缓解处置、服务器遭劫持处置、系统异常宕机处理、恶意入侵/黑客攻击应急、病毒爆发响应、内部安全事故响应;处置后,同时形成处置报告,不断优化处置流程。
所述安全值守服务具体为:所述安全值守服务周期性的对目前整体的网络状况包括网络设备、服务器设备进行快速、简易的周期性安全评估,对了解、掌握目前网络、系统安全状况和风险防范起到了积极的推动作用;安全值守采用多种手段,对网络设备、服务器、操作系统、应用系统进行周期性的状态检查、安全扫描、日志分析,补丁管理并提交巡检报告及安全建议。
本发明至少具备以下效果之一:
(1)通过安全日志处理模块,实现了日志威胁的集中管理以及范式统一和字段修正增强;
(2)通过攻击威胁识别分析模块,基于攻击识别引擎,能够快速准确地得到潜在的攻击事件;
(3)通过攻击链分析模块,触发实时监控模块产生报警信息,结合报警信息,能够描述出完整的攻击链,为网络决策者和运营人员评估成本和潜在攻击的有效性、检测并防止网络威胁活动的继续发生提供支撑,以便网络运营人员对潜在网络威胁采取相关措施,并实施特定的缓解或纠正方案;
(4)通过异常事件分析模块,基于异常分析引擎,能够快速准确地分析出异常用户和异常事件,并提前进行预警。
(5)通过安全编排与自动化响应处置模块,自动进行安全编排,并通过平台案例以及playbook剧本,自动化处置安全威胁,既可以缩短响应处置时间,又可以将高级工程师从日常运维中释放出来,节约企业人员成本;
(6)通过资产安全管理模块,基于多种自动化资产发现手段,自动进行多源资产发现结果汇聚,兼顾资产发现的全面及一致性;基于资产地图信息库,通过多源资产发现,可以快速的识别资产及资产的指纹信息,形成资产地图,以供业务层进行资产安全分析。除了资产属性相关信息建立外,资产地图还可以添加责任人、所属业务系统、地理位置、组织部门等信息。这样便于风险爆发后,第一时间通知相关的处置人;
(7)通过威胁情报预警模块,基于威胁情报,了解更多攻击者信息,更好的识别攻击者,从而更好的响应和处置攻击活动,并能结合威胁情报对网络风险进行预警,实现事前防护及对网络威胁进行确认和溯源;
(8)通过MDR辅助人工运营服务模块,以资产为基础,实现威胁、脆弱性管理闭环,并通过服务工具提升检测及防护效果的一站式安全运营解决方案。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明实施例中的网络安全综合分析及态势感知平台的结构图;
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
如图1所示,本实施例中提供一种网络安全综合分析及态势感知平台,包括:
攻击事件处理模块、异常事件处理模块、安全编排与自动化响应处置模块、资产安全管理模块、威胁情报预警模块、MDR辅助人工运营模块。
所述攻击事件处理模块包括:
安全日志处理模块,用于汇总和解析网中部署的不同设备产生的安全日志,并将不同格式的所述安全日志进行范式化、转换修正、字段增强操作,最后将处理后的所述安全日志传递给攻击威胁识别分析模块;
攻击威胁识别分析模块,用于接收所述安全日志处理模块传递的处理后的安全日志,并基于攻击识别引擎,分析得出潜在的攻击事件;
攻击链分析模块,用于触发实时监控模块报警信息,并基于所述报警信息,描绘出完整的攻击链;
实时监控模块,用于产生一条或多条独立的所述报警信息。
所述范式化操作具体为:通过配置正则、JSON、分隔符和KV的解析方法,将不同格式的所述安全日志解析成统一格式的数据;
所述转换修正操作具体为:对所述格式统一的数据,进行字段名、字段类型和时间戳的枚举类型映射转换;
所述字段增强操作具体为:对所述格式统一的数据,进行资产信息、设备属性、解析事件和采集器IP的字段增强;
所述攻击识别引擎,通过特征识别的方法对范式化后的所述安全日志进行特征匹配,得出潜在的攻击事件。
所述异常事件处理模块包括:
异常事件分析模块:用于分析用户和网中设备的交互行为,基于异常分析引擎,发现网络中的异常事件;
所述异常事件包括:异常用户和异常行为
所述异常分析引擎包括:静态基线检测引擎和动态基线检测引擎;
所述静态基线检测引擎,用于从消息队列中实时获取消费行为数据,加载内置检测模型和模型相关配置参数,并进行检测,如果命中模型和规则,则输出所述异常事件;
所述动态基线检测引擎,用于对平台获取流量的数据进行学习,通过加载内置检测模型,从流量中提取对应的特征进行学习,并对已入库的历史流量进行学习,通过一段时间的学习后生成对应的基线,后续使用学习的基线进行检测,偏离基线的行为即为所述异常事件;
所述异常用户包括:风险账号和风险终端;
所述异常行为包括:内部异常访问和数据泄漏。
所述安全编排与自动化响应处置模块,用于自动进行安全编排以及自动化响应处置所述攻击事件和所述异常事件
所述安全编排与自动化响应处置模块,通过可视化编排将人、安全技术、流程进行深度融合;将安全运营工程师操作的经验和知识固化为平台中的案例以及playbook剧本,所述playbook剧本可串并联构建安全事件处置的工作流,自动化触发不同安全设备执行响应动作,一旦攻击事件与平台中的所述案例得到了匹配,所述攻击事件可在无需人工干预的情况下,通过所述playbook剧本完成自动化闭环处置。
所述资产安全管理模块,用于主动资产发现、资产地图信息库建立、异常资产识别分析;
所述主动资产发现具体为:引入多种自动化资产发现的手段,通过UES终端agent资产发现、漏扫主动扫描、UTS流量识别、NTI情报发现、CMDB资产API同步手段,自动进行多源资产发现结果汇聚,兼顾资产发现的全面及一致性;
所述资产地图信息库建立具体为:通过多源资产发现,快速识别资产及资产的指纹信息,形成资产地图,以供业务层进行资产安全分析;除了资产属性相关信息建立外,所述资产地图还可以添加责任人、所属业务系统、地理位置以及组织部门信息,在风险爆发后,第一时间通知相关的处置人;
所述异常资产识别分析模块,用于对已有的所述资产地图做对比分析,发现异常资产。
所述威胁情报预警模块,基于威胁情报,对网络风险进行预警,用于事前防护以及对网络威胁进行确认和溯源。
所述MDR辅助人工运营模块,用于提供如下服务:资产安全管理服务、脆弱性安全管理服务、安全风险分析管理服务、应急响应服务、安全值守服务。
所述资产安全管理服务具体为:安全专家通过专业安全分析工具对用户互联网端和内网端资产进行全生命周期安全管理,包括资产定期检查、资产变更稽查、资产基线维护,减小业务系统在互联网和内网上的受攻击面,降低被攻击的可能性;
所述脆弱性安全管理服务具体为:所述脆弱性管理服务包括安全基线检测、漏洞发现、漏洞修复支持、漏洞复验、全生命周期漏洞管理,由安全专家通过专业测试工具对用户互联网与内网进行检查和梳理,并与用户仔细核对所开放的服务是否为必须,使用户了解并明确开放的服务,协助用户关闭不需要的服务端口;
所述安全风险分析管理服务具体为:所述安全风险分析管理服务通过入侵检测防御系统、全流量分析系统、态势感知平台及云端远程安全分析专家共同为企业客户提供各类安全的威胁检测与响应服务;安全分析专家利用监测的原始流量,对流量信息进行深度还原、查询和分析,帮助客户及时掌握重要信息系统相关网络安全威胁风险,及时检测漏洞、病毒木马、网络攻击情况,及时发现网络安全事件线索,及时通报预警重大网络安全威胁,调查、防范和打击网络攻击的恶意行为,保障重要信息系统的网络安全;
所述应急响应服务具体为:所述应急响应服务面向客户提供已发生安全事件的事中、事后的取证、分析及提供解决方案;在所述应急响应服务开展前,安全工程师会定义事件分级与处置流程、事件升级流程,以便事件发生后,快速处置;事中处置内容包括应用服务瘫痪问题解决、网络阻塞处置、DDoS攻击缓解处置、服务器遭劫持处置、系统异常宕机处理、恶意入侵/黑客攻击应急、病毒爆发响应、内部安全事故响应;处置后,同时形成处置报告,不断优化处置流程;
所述安全值守服务具体为:所述安全值守服务周期性的对目前整体的网络状况包括网络设备、服务器设备进行快速、简易的周期性安全评估,对了解、掌握目前网络、系统安全状况和风险防范起到了积极的推动作用;安全值守采用多种手段,对网络设备、服务器、操作系统、应用系统进行周期性的状态检查、安全扫描、日志分析,补丁管理并提交巡检报告及安全建议。
实施例一
一、攻击事件处理模块,包括:
1.安全日志处理模块:实现日志威胁集中管理,安全日志集中存储,接收现网中部署的不同种设备产生的安全日志。不同种类日志接入平台后为了便于后续平台侧集中分析,可通过配置正则、Json、分隔符、KV等形式的解析方法解析数据实现异构日志格式范式化。对解析后的数据进行字段转换修正,实现字段名、字段类型,时间戳,枚举类型映射转换。同时可对解析后的数据进行字段增强等操作,实现资产、设备属性以及解析时间、采集器IP等辅助字段的增强。
2.攻击威胁识别分析模块:经过格式范式化的安全日志进入平台的攻击识别引擎后,通过特征识别、理解、时序、机器学习规则等分析方法对范式化后的日志内容进行匹配,聚合得出潜在的攻击事件。
3.攻击链分析模块:深度威胁建模,配置攻击链分析模型,侦查、武器化、装载工具、工具利用、部署安装、指挥控制、达成目标等环节可以触发实时监控模块产生一条或者多条独立的报警信息,通过报警信息整理、关联、分析,并描绘出完整的攻击链,为网络决策者和运营人员评估成本和潜在攻击的有效性、检测并防止网络威胁活动的继续发生提供支撑,以便网络运营人员对潜在网络威胁采取相关措施,并实施特定的缓解或纠正方案。同时融合ATT&CK矩阵的理念,进行深度威胁建模,实现攻击链的升级,从攻击者视角分析量化攻击者的使用的技术、战术和过程。
4.实时监控模块:用于被攻击链分析模块触发产生一条或多条独立的所述报警信息。
二、异常事件处理模块,包括:
1.异常事件分析模块,异常事件分为异常用户和异常行为,用户与网络设备实体之间交互行为的分析,异常行为与安全攻击事件有所区别,无法通过常见的攻击识别引擎进行识别,如风险账号、风险终端、内部异常访问和数据泄露。平台中的异常分析引擎可支撑静态基线检测引擎和动态基线检测引擎,将获取的数据与基线比对后可发现捕获的事件正常或异常,迅速发现网络中的异常用户及异常行为,提前进行预警。在静态基线检测场景下,可从消息队里中实时获取消费行为数据,加载内置的模型以及自定义的模型,以及模型相关的配置参数(例如白名单配置、灰名单配置)进检测,如果命中模型和规则,则输出异常事件。在动态基线检测场景下,可对平台获取流量的数据进行学习,通过加载内置的检测模型或者自定义模型,通过模型的检测原理,从流量中提取对应的特征进行学习,还可以对已入库的历史流量进行学习,通过一段时间的学习后生成对应的基线,后续使用学习的基线进行检测,偏离基线的事件即为异常事件。
三、安全编排与自动化响应处置模块,对于安全人员比较稀缺的单位,可以借助安全编排与自动化响应处置模块实现安全编排与自动化响应。该模块可通过可视化编排将人、安全技术、流程进行深度融合;将安全运营工程师操作的经验与知识固化为平台中的案例及playbook剧本,Playbook剧本可串并联构建安全事件处置的工作流,自动化触发不同安全设备执行响应动作,案例管理功能建立了攻击识别规则、运维事件与自动化响应处置动作之间的关系,一旦攻击事件与平台中开启的案例得到了匹配,该事件可在无需人工干预的情况下,通过playbook剧本完成自动化闭环处置;这样既可以缩短响应处置时间,又可以将高级工程师从日常运维中释放出来,节约企业人员成本。
四、资产安全管理模块,资产安全是安全防护的基础和前提,平台中资产安全管理包括资产发现、资产底图信息库建立、资产变化跟踪、异常资产识别分析、资产安全预警、资产安全画像几个步骤。
(1)主被动资产发现,实现资产纳管,传统人录入资产的工作量很大,且可管理的资产数量有限,态势感知平台在此基础上,引入了多种自动化资产发现的手段,如UES终端agent资产发现、漏扫主动扫描、UTS流量识别、NTI情报发现、CMDB资产API同步等,自动进行多源资产发现结果汇聚,兼顾资产发现的全面及一致性。
(2)资产地图信息库建立,通过多源资产发现,可以快速的识别资产及资产的指纹信息,形成资产地图,以供业务层进行资产安全分析。除了资产属性相关信息建立外,资产地图还可以添加责任人、所属业务系统、地理位置、组织部门等信息。这样便于风险爆发后,第一时间通知相关的处置人。
(3)异常资产识别分析模块,平台支持异常资产自定义及检测能力,异常资产的判定规则可通过端口、协议、操作系统、资产组件、MAC地址进行配置。规则初始化新建后,可以与已有的资产底图数据做比对分析,发现异常资产。同时异常资产分析包括支持异常资产的白名单机制,对加入白名单的异常资产不再发起预警。
五、威胁情报预警模块,“威胁情报”是网络安全滑动标尺模型的第四阶段。通过威胁情报,可以了解更多攻击者信息,更好的识别攻击者,从而更好的响应和处置攻击活动。平台主要作为威胁情报的消费者,结合威胁情报对网络风险进行预警,实现事前防护及对网络威胁进行确认和溯源。
六、MDR辅助人工运营服务模块,MDR安全运营服务以资产为基础,实现威胁、脆弱性管理闭环,并通过服务工具提升检测及防护效果的一站式安全运营解决方案,通过为客户提供从运营落地规划、建设到运维的全价值链,贯穿预警、防护、监测、响应和处置的安全闭环流程,持续降低企业的安全风险。MDR服务是对平台工具的有效补充,包括资产安全管理服务、脆弱性安全管理服务、安全风险分析管理服务、应急响应及安全值守服务这4个方向。资产安全管理服务,由安全专家通过专业安全分析工具对用户互联网端和内网端资产进行全生命周期安全管理,包括资产定期检查、资产变更稽查、资产基线维护,减小业务系统在互联网和内网上的受攻击面,降低被攻击的可能性。脆弱性安全管理服务,脆弱性管理服务包括安全基线检测、漏洞发现、漏洞修复支持、漏洞复验、全生命周期漏洞管理,由安全专家通过专业测试工具对用户互联网与内网进行检查和梳理,并与用户仔细核对所开放的服务是否为必须,使用户了解并明确开放的服务,协助用户关闭不需要的服务端口。安全风险分析管理服务,安全风险分析管理服务通过入侵检测防御系统、全流量分析系统、态势感知平台及云端远程安全分析专家共同为企业客户提供各类安全的威胁检测与响应服务。安全分析专家利用监测的原始流量,对流量信息进行深度还原、查询和分析,帮助客户及时掌握重要信息系统相关网络安全威胁风险,及时检测漏洞、病毒木马、网络攻击情况,及时发现网络安全事件线索,及时通报预警重大网络安全威胁,调查、防范和打击网络攻击等恶意行为,保障重要信息系统的网络安全。应急响应服务,应急响应服务主要面向客户提供已发生安全事件的事中、事后的取证、分析及提供解决方案等工作。在应急响应服务开展前,安全工程师会定义事件分级与处置流程、事件升级流程,以便事件发生后,可以快速处置。事中处置内容包括应用服务瘫痪问题解决、网络阻塞处置、DDoS攻击缓解处置、服务器遭劫持处置、系统异常宕机处理、恶意入侵/黑客攻击应急、病毒爆发响应、内部安全事故响应。处置后,同时可形成处置报告,不断优化处置流程。安全值守服务,安全值守服务可以周期性的对目前整体的网络状况包括网络设备、服务器设备等进行快速、简易的周期性安全评估,对了解、掌握目前网络、系统安全状况和风险防范起到了积极的推动作用。安全值守将采用多种手段,对网络设备、服务器、操作系统、应用系统进行周期性的状态检查、安全扫描、日志分析,补丁管理并提交巡检报告及安全建议。
以上所述,仅为本申请较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (9)
1.一种网络安全综合分析及态势感知平台,其特征在于,包括:
攻击事件处理模块、异常事件处理模块、安全编排与自动化响应处置模块、资产安全管理模块、威胁情报预警模块、MDR辅助人工运营服务模块。
2.根据权利要求1所述的网络安全综合分析及态势感知平台,其特征在于,
所述攻击事件处理模块包括:
安全日志处理模块,用于汇总和解析网中部署的不同设备产生的安全日志,并将不同格式的所述安全日志进行范式化、转换修正、字段增强操作,最后将处理后的所述安全日志传递给攻击威胁识别分析模块;
攻击威胁识别分析模块,用于接收所述安全日志处理模块传递的处理后的安全日志,并基于攻击识别引擎,分析得出潜在的攻击事件;
攻击链分析模块,用于触发实时监控模块报警信息,并基于所述报警信息,描绘出完整的攻击链;
实时监控模块,用于产生一条或多条独立的所述报警信息。
3.根据权利要求2所述的网络安全综合分析及态势感知平台,其特征在于,
所述范式化操作具体为:通过配置正则、JSON、分隔符和KV的解析方法,将不同格式的所述安全日志解析成统一格式的数据;
所述转换修正操作具体为:对所述格式统一的数据,进行字段名、字段类型和时间戳的枚举类型映射转换;
所述字段增强操作具体为:对所述格式统一的数据,进行资产信息、设备属性、解析事件和采集器IP的字段增强;
所述攻击识别引擎,通过特征识别的方法对范式化后的所述安全日志进行特征匹配,得出潜在的攻击事件。
4.根据权利要求1所述的网络安全综合分析及态势感知平台,其特征在于,
所述异常事件处理模块包括:
异常事件分析模块:用于分析用户和网中设备的交互行为,基于异常分析引擎,发现网络中的异常事件;
所述异常事件包括:异常用户和异常行为
所述异常分析引擎包括:静态基线检测引擎和动态基线检测引擎;
所述静态基线检测引擎,用于从消息队列中实时获取消费行为数据,加载内置检测模型和模型相关配置参数,并进行检测,如果命中模型和规则,则输出所述异常事件;
所述动态基线检测引擎,用于对平台获取流量的数据进行学习,通过加载内置检测模型,从流量中提取对应的特征进行学习,并对已入库的历史流量进行学习,通过一段时间的学习后生成对应的基线,后续使用学习的基线进行检测,偏离基线的行为即为所述异常事件;
所述异常用户包括:风险账号和风险终端;
所述异常行为包括:内部异常访问和数据泄漏。
5.根据权利要求1所述的网络安全综合分析及态势感知平台,其特征在于,
所述安全编排与自动化响应处置模块,用于自动进行安全编排以及自动化响应处置所述攻击事件和所述异常事件
所述安全编排与自动化响应处置模块,用于将安全运营工程师操作的经验和知识固化为平台中的案例以及playbook剧本,所述playbook剧本可串并联构建安全事件处置的工作流,自动化触发不同安全设备执行响应动作,一旦攻击事件与平台中的所述案例得到了匹配,所述攻击事件可在无需人工干预的情况下,通过所述playbook剧本完成自动化闭环处置。
6.根据权利要求1所述的网络安全综合分析及态势感知平台,其特征在于,
所述资产安全管理模块,用于主动资产发现、资产地图信息库建立、异常资产识别分析;
所述主动资产发现具体为:通过UES终端agent资产发现、漏扫主动扫描、UTS流量识别、NTI情报发现、CMDB资产API同步手段,自动进行多源资产发现结果汇聚,兼顾资产发现的全面及一致性;
所述资产地图信息库建立具体为:通过多源资产发现,快速识别资产及资产的指纹信息,形成资产地图,以供业务层进行资产安全分析;除了资产属性相关信息建立外,所述资产地图还可以添加责任人、所属业务系统、地理位置以及组织部门信息,在风险爆发后,第一时间通知相关的处置人;
所述异常资产识别分析模块,用于对已有的所述资产地图做对比分析,发现异常资产。
7.根据权利要求1所述的网络安全综合分析及态势感知平台,其特征在于,
所述威胁情报预警模块,基于威胁情报,对网络风险进行预警,用于事前防护以及对网络威胁进行确认和溯源。
8.根据权利要求1所述的网络安全综合分析及态势感知平台,其特征在于,
所述MDR辅助人工运营服务模块,用于提供如下服务:资产安全管理服务、脆弱性安全管理服务、安全风险分析管理服务、应急响应服务、安全值守服务。
9.根据权利要求8所述的网络安全综合分析及态势感知平台,其特征在于,
所述资产安全管理服务具体为:安全专家通过专业安全分析工具对用户互联网端和内网端资产进行全生命周期安全管理,包括资产定期检查、资产变更稽查、资产基线维护,减小业务系统在互联网和内网上的受攻击面,降低被攻击的可能性;
所述脆弱性安全管理服务具体为:所述脆弱性管理服务包括安全基线检测、漏洞发现、漏洞修复支持、漏洞复验、全生命周期漏洞管理,由安全专家通过专业测试工具对用户互联网与内网进行检查和梳理,并与用户仔细核对所开放的服务是否为必须,使用户了解并明确开放的服务,协助用户关闭不需要的服务端口;
所述安全风险分析管理服务具体为:所述安全风险分析管理服务通过入侵检测防御系统、全流量分析系统、态势感知平台及云端远程安全分析专家共同为企业客户提供各类安全的威胁检测与响应服务;安全分析专家利用监测的原始流量,对流量信息进行深度还原、查询和分析,帮助客户及时掌握重要信息系统相关网络安全威胁风险,及时检测漏洞、病毒木马、网络攻击情况,及时发现网络安全事件线索,及时通报预警重大网络安全威胁,调查、防范和打击网络攻击的恶意行为,保障重要信息系统的网络安全;
所述应急响应服务具体为:所述应急响应服务面向客户提供已发生安全事件的事中、事后的取证、分析及提供解决方案;在所述应急响应服务开展前,安全工程师会定义事件分级与处置流程、事件升级流程,以便事件发生后,快速处置;事中处置内容包括应用服务瘫痪问题解决、网络阻塞处置、DDoS攻击缓解处置、服务器遭劫持处置、系统异常宕机处理、恶意入侵/黑客攻击应急、病毒爆发响应、内部安全事故响应;处置后,同时形成处置报告,不断优化处置流程;
所述安全值守服务具体为:所述安全值守服务周期性的对目前整体的网络状况包括网络设备、服务器设备进行快速、简易的周期性安全评估,对了解、掌握目前网络、系统安全状况和风险防范起到了积极的推动作用;安全值守采用多种手段,对网络设备、服务器、操作系统、应用系统进行周期性的状态检查、安全扫描、日志分析,补丁管理并提交巡检报告及安全建议。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211554723.7A CN115941317A (zh) | 2022-12-06 | 2022-12-06 | 一种网络安全综合分析及态势感知平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211554723.7A CN115941317A (zh) | 2022-12-06 | 2022-12-06 | 一种网络安全综合分析及态势感知平台 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115941317A true CN115941317A (zh) | 2023-04-07 |
Family
ID=86648452
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211554723.7A Pending CN115941317A (zh) | 2022-12-06 | 2022-12-06 | 一种网络安全综合分析及态势感知平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115941317A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116132989A (zh) * | 2023-04-13 | 2023-05-16 | 问策师信息科技南京有限公司 | 一种工业互联网安全态势感知系统及方法 |
CN117081851A (zh) * | 2023-10-10 | 2023-11-17 | 网思科技股份有限公司 | 网络安全态势感知信息的显示方法、系统和介质 |
-
2022
- 2022-12-06 CN CN202211554723.7A patent/CN115941317A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116132989A (zh) * | 2023-04-13 | 2023-05-16 | 问策师信息科技南京有限公司 | 一种工业互联网安全态势感知系统及方法 |
CN116132989B (zh) * | 2023-04-13 | 2023-08-22 | 南京艾牛科技有限公司 | 一种工业互联网安全态势感知系统及方法 |
CN117081851A (zh) * | 2023-10-10 | 2023-11-17 | 网思科技股份有限公司 | 网络安全态势感知信息的显示方法、系统和介质 |
CN117081851B (zh) * | 2023-10-10 | 2024-03-19 | 网思科技股份有限公司 | 网络安全态势感知信息的显示方法、系统和介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108933791B (zh) | 一种基于电力信息网安全防护策略智能优化方法及装置 | |
Dietz et al. | Integrating digital twin security simulations in the security operations center | |
US10078317B2 (en) | Method, device and computer program for monitoring an industrial control system | |
CN114070629B (zh) | 针对apt攻击的安全编排与自动化响应方法、装置及系统 | |
CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
EP2936772B1 (en) | Network security management | |
US11621970B2 (en) | Machine learning based intrusion detection system for mission critical systems | |
CN116662989B (zh) | 一种安全数据解析方法及系统 | |
CN115996146A (zh) | 数控系统安全态势感知与分析系统、方法、设备及终端 | |
CN112769797A (zh) | 一种闭源电力工控系统的安全防御系统及防御方法 | |
CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
CN109981594A (zh) | 基于大数据的网络安全态势感知方法 | |
CN113361933A (zh) | 一种跨企业协同的集中管控中心 | |
CN115618353A (zh) | 一种工业生产安全的识别系统及方法 | |
KR102444922B1 (ko) | 스마트그리드에서 보안상황 인식을 위한 지능형 접근제어 장치 | |
EP2911362B1 (en) | Method and system for detecting intrusion in networks and systems based on business-process specification | |
Waidyarathna et al. | Intrusion detection system with correlation engine and vulnerability assessment | |
CN112487419A (zh) | 一种计算机网络信息安全事件处理方法 | |
Yılmaz et al. | ICS Cyber attack analysis and a new diagnosis approach | |
Yan et al. | Research on Network Attack Information Acquisition and Monitoring Method based on Artificial Intelligence | |
CN114567497A (zh) | 一种协同的安全集中管控系统 | |
CN117201044A (zh) | 工业互联网安全防护系统及方法 | |
CN116471093A (zh) | 一种用于不同信息域的安全风险高强度监测系统 | |
Pilgermann et al. | Towards sector specific security operation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |