CN116232695A - 一种网络安全运维关联分析系统 - Google Patents

Abstract

本发明公开了一种网络安全运维关联分析系统，涉及计算机网络安全技术领域，包括安全监测单元、信息采集单元、信息整理单元、信息分析单元、分析测评单元、攻击类型分类单元、安全预警单元、运维事件数据库和安全处理单元，所述安全监测单元用于监测企业信息网络的主页和各设备，安全监测单元将监测的安全问题传递到信息采集单元，所述安全预警单元用于根据安全监控模块的监控信息进行预警提示；该发明不仅可以通过运维事件数据库对所产生的安全问题进行快速的处理，同时还能生成相应的业务分析报表等优点，解决了目前使用的安全运维分析方法分析和处理效率低，不方便客户使用的问题，使整个系统的实用性较高，且方便使用者进行使用。

Description

一种网络安全运维关联分析系统

技术领域

本发明涉及计算机网络安全技术，具体涉及一种网络安全运维关联分析系统。

背景技术

进入21世纪，由于企业信息网络安全管理系统需与互联网或其他外部网络连接，从而实现监测管理并过滤企业信息网和外部网络之间传递的信息，并保护企业内部敏感信息或关键数据达到机密性、可用性、完整性、可控性和可审查性，运维，这里指互联网运维，通常属于技术部门，与研发、测试、系统管理同为互联网产品技术支撑的四大部门，这个划分在国内和国外以及大小公司间都会多少有一些不同；

一个互联网产品的生成一般经历的过程是：产品经理、需求分析、研发部门开发、测试部门测试、运维部门部署发布以及长期的运行维护；运维，本质上是对网络、服务器、服务的生命周期各个阶段的运营与维护，在成本、稳定性、效率上达成一致可接受的状态，不过目前使用的网络运维处理方法，在实际的使用过程中；

还具有以下缺点：随着公司信息化建设地不断推进，网络安全问题日益突出，在运维过程中出现的系统异常事件，目前缺乏与安全问题相关的分析，在使用过程中，已越来越不满足客户的使用需求，为此，我们提出了一种网络完全运维关联分析系统。

发明内容

本发明的目的是提供一种网络安全运维关联分析系统，以解决现有技术中的上述不足之处。

为了实现上述目的，本发明提供如下技术方案：一种网络安全运维关联分析系统，包括安全监测单元、信息采集单元、信息整理单元、信息分析单元、分析测评单元、攻击类型分类单元、安全预警单元、运维事件数据库和安全处理单元，所述安全监测单元用于监测企业信息网络的主页和各设备，安全监测单元将监测的安全问题传递到信息采集单元，所述安全预警单元用于根据安全监控模块的监控信息进行预警提示，其中，安全预警单元内预设有预警阈值，当预警值小于预警阈值时，安全预警模块发出预警提示，当预警值大于预警阈值时，安全预警模块直接发出报警提示，所述攻击类型分类单元用于对网络受到的威胁结合运维事件数据库内相应的数据，对安全问题进行自动快速分类，网络完全层间节点链路连接概率l_p，i公式如下：

其中Pr(l_p，i＝k)是一个分配函数，表示网络P中的第i个节点有k个链接数，即边数的概率，Pr代表Probability，为概率，l_p，i＝k表示P中的i个节点有k个链接数，|G_c|表示物理网规模大小，|G_c|表示信息网规模大小，k表示该节点的链接数，网络的链接与网络节点物理网规模|G_p|，信息网规模|G_c|有关，通过定义相应节点数目和初始节点间的链接概率，随机移除|G_c|中的Φ比例的节点得到G_c网络剩余的功能节点数目G′_c1，G′_c1计算公式如下：

|G′_c1|＝|G_c|×(1-φ)＝|G_C|×μ′₁，其中μ′₁代表G_c剩余功能节点占全部节点的比例；

G_c故障后的最大连通G_c1计算公式如下：

|G_c1|＝|G′_c1|×F(μ′₁，λ_c)＝|G_c|×μ₁，其中F(μ′₁，λ_c)为G_c节点属于最大连通集团的概率，λ_c为幂指数，μ₁代表G_c最大连通集团占全部节点的比例；

删除G_p网络因失去链接依赖的节点数目，计算G_p中剩余的节点集G′_p2与G′_p2的最大连通集团的G_p2，计算公式如下：

|G′_p2|＝μ′₁×F(μ′₁，λ_c)×|G_p|；

|G_p2|＝μ′₂×F(μ′₂，λ_p)×|G_p|，其中μ′₂代表G_p网络剩余功能节点占全部节点的比例，F(μ′₁，λ_ε)为G_c节点属于最大连通集团的概率，其中G_p网络剩余功能节点占全部节点的比例计算公式如下：

μ′₂＝μ′₁×F(μ′₁，λ_c)，当G_c网络失效的节点比例越小，网络幂指数λ_c越大，G′_p2网络剩余节点比例越大，重复以上步骤，整个网络会到达最终的稳定状态。

进一步地，所述信息采集单元用于对网络安全监控设备的设备运行状态信息进行实时采集，并将采集的实时数据信息输送给信息整理单元，所述信息整理单元用于对获取运维指标进行实时整理分离，并对信息采集单元实时采集的网络安全数据信息进行整理归类，并将整理归类后的网络安全信息数据输送给信息分析单元；

所述信息分析单元用于对整理归类后的网络完全信息数据进行分析处理，所述分析测评单元用于将接收的处理结果生成相应的业务分析报表，以方便使用者进行分析、计算和研讨，同时还可以在分析测评单元的输出端电性连接多种电器器件，以方便使用者进行使用，提升使用者的工作效率，所述运维事件数据库用于对问题、处理过程和结果进行备份，同时存储运维指标并提供显示数据素材，所述安全处理单元用于根据攻击类型分类单元分类出来的网络安全攻击的信息进行对应的网络维护，以形成一个大数据库，便于下次对同种问题进行快速处理，提高整个系统的处理速度。

进一步地，所述信息采集单元包括指标获取模块、运行现状获取模块和流量变化追踪模块；

所述指标获取模块用于当前运维系统指标，所述运行现状获取模块用于获取当先指标运行数据，所述流量变化追踪模块用于获取系统网络数据变化。

进一步地，所述安全监测单元的输出端与指标获取模块的输入端相连接，所述指标获取模块的输出端与运行现状获取模块的输入端相连接，所述运行现状获取模块的输出端与流量变化追踪模块的输入端相连接，所述流量变化追踪模块的输出端与信息整理单元的输入端相连接，并且与运维事件数据库相融合分析，能够对客户在使用过程中产生的网络安全问题进行精准分析和处理，使整个分析处理过程变得高效，其中所储存的次数较高的问题信息，方便使用者进行调用，使攻击类型分类单元在解决相似问题时，可以通过指标获取模块调用处理方法。

进一步地，所述信息整理单元包括数据库监测模块、指标体系模块、关联分析模块、预处理模块和持续分析模块；

所述指标体系模块用于获取运维指标评分体系，所述数据库监测模块用于监控数据库数据变化，所述关联分析模块用于分析数据库录入数据的变化来分析运维指标的变化，所述用于通过获取系统硬件资源进行低优先级指标的持续低频次分析，所述预处理引擎用于预测运维指标变化并进行引擎判断。

进一步地，所述信息采集单元和运维事件数据库的输出端分别与数据库监测模块的输入端相连接，所述数据库监测模块的输出端分别与指标体系模块和关联分析模块的输入端相连接，所述关联分析模块的输出端分别与预处理模块和持续分析模块的输入端相连接，所述持续分析模块的输出端与信息分析单元的输入端相连接。

进一步地，所述安全监测单元的输出端与信息采集单元的输入端相连接，所述信息采集单元的输出端与信息整理单元的输入端相连接，所述信息整理单元的输出端与信息分析单元的输入端相连接，所述信息分析单元的输出端与分析测评单元的输入端相连接。

进一步地，所述分析测评单元的输出端分别与安全预警单元和攻击类型分类单元的输入端相连接，所述攻击类型分类单元的输出端与安全处理单元的输入端相连接，所述攻击类型分类单元与运维事件数据库之间实现双向连接，所述运维事件数据库的输出端与信息整理单元的输入端相连接，运维事件数据库模块会对保存的问题信息进行分类保存，且会将以后同类型的问题信息进行整合和扩充，以减少信息占用的空间和信息的完整度，方便使用者对其进行调用，使整个系统的实用性较高，且方便使用者进行使用。

与现有技术相比，本发明提供的一种网络安全运维关联分析系统，该系统通过接入网络安全运行的各类典型指标，并且与运维事件数据库相融合分析，能够对客户在使用过程中产生的网络安全问题进行精准分析和处理，使整个分析处理过程变得高效，同时对客户产生且以作处理或者未做处理的安全问题储存到系统运维事件数据库中，以方便下次遇到相应问题时，可以对该问题进行快速处理，提高了整个分析处理过程效率，使得该发明不仅可以通过运维事件数据库对所产生的安全问题进行快速的处理，同时还能生成相应的业务分析报表等优点，解决了目前使用的安全运维分析方法分析和处理效率低，不方便客户使用的问题，使整个系统的实用性较高，且方便使用者进行使用。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种网络安全运维关联分析系统的整体系统框图；

图2为本发明实施例提供的一种网络安全运维关联分析系统的信息采集单元的模块框图；

图3为本发明实施例提供的一种网络安全运维关联分析系统的信息整理单元的模块框图。

具体实施方式

为了使本领域的技术人员更好地理解本发明的技术方案，下面将结合附图对本发明作进一步的详细介绍。

实施例一：

请参阅图1-3，一种网络安全运维关联分析系统，包括安全监测单元、信息采集单元、信息整理单元、信息分析单元、分析测评单元、攻击类型分类单元、安全预警单元、运维事件数据库和安全处理单元；

安全监测单元用于监测企业信息网络的主页和各设备，安全监测单元将监测的安全问题传递到信息采集单元；

安全预警单元用于根据安全监控模块的监控信息进行预警提示，其中，安全预警单元内预设有预警阈值，当预警值小于预警阈值时，安全预警模块发出预警提示，当预警值大于预警阈值时，安全预警模块直接发出报警提示，攻击类型分类单元用于对网络受到的威胁结合运维事件数据库内相应的数据，对安全问题进行自动快速分类，网络完全层间节点链路连接概率l_p，i公式如下：

其中Pr(l_p，i＝k)是一个分配函数，表示网络P中的第i个节点有k个链接数，即边数的概率，Pr代表Probability，为概率，l_p，i＝k表示P中的i个节点有k个链接数，|G_c|表示物理网规模大小，|G_c|表示信息网规模大小，k表示该节点的链接数，网络的链接与网络节点物理网规模|G_p|，信息网规模|G_c|有关，通过定义相应节点数目和初始节点间的链接概率，随机移除|G_c|中的Φ比例的节点得到G_c网络剩余的功能节点数目G′_c1，G′_c1计算公式如下：

|G′_c1|＝|G_c|×(1-φ)＝|G_C|×μ′₁，其中μ′₁代表G_c剩余功能节点占全部节点的比例；

G_c故障后的最大连通G_c1计算公式如下：

|G_c1|＝|G′_c1|×F(μ′₁，λ_c)＝|G_c|×μ₁，其中F(μ′₁，λ_c)为G_c节点属于最大连通集团的概率，λ_c为幂指数，μ₁代表G_c最大连通集团占全部节点的比例；

删除G_p网络因失去链接依赖的节点数目，计算G_p中剩余的节点集G′_p2与G′_p2的最大连通集团的G_p2，计算公式如下：

|G′_p2|＝μ′₁×F(μ′₁，λ_c)×|G_p|；

|G_p2|＝μ′₂×F(μ′₂，λ_p)×|G_p|，其中μ′₂代表G_p网络剩余功能节点占全部节点的比例，F(μ′₁，λ_c)为G_c节点属于最大连通集团的概率，其中G_p网络剩余功能节点占全部节点的比例计算公式如下：

μ′₂＝μ′₁×F(μ′₁，λ_c)，当G_c网络失效的节点比例越小，网络幂指数λ_c越大，G′_p2网络剩余节点比例越大，重复以上步骤，整个网络会到达最终的稳定状态。

本发明中，信息采集单元用于对网络安全监控设备的设备运行状态信息进行实时采集，并将采集的实时数据信息输送给信息整理单元，信息整理单元用于对获取运维指标进行实时整理分离，并对信息采集单元实时采集的网络安全数据信息进行整理归类，并将整理归类后的网络安全信息数据输送给信息分析单元，信息分析单元用于对整理归类后的网络完全信息数据进行分析处理，分析测评单元用于将接收的处理结果生成相应的业务分析报表，以方便使用者进行分析、计算和研讨，同时还可以在分析测评单元的输出端电性连接多种电器器件，以方便使用者进行使用，提升使用者的工作效率，运维事件数据库用于对问题、处理过程和结果进行备份，同时存储运维指标并提供显示数据素材，安全处理单元用于根据攻击类型分类单元分类出来的网络安全攻击的信息进行对应的网络维护，以形成一个大数据库，便于下次对同种问题进行快速处理，提高整个系统的处理速度。

本发明中，信息采集单元包括指标获取模块、运行现状获取模块和流量变化追踪模块，指标获取模块用于当前运维系统指标，运行现状获取模块用于获取当先指标运行数据，流量变化追踪模块用于获取系统网络数据变化。

本发明中，安全监测单元的输出端与指标获取模块的输入端相连接，指标获取模块的输出端与运行现状获取模块的输入端相连接，运行现状获取模块的输出端与流量变化追踪模块的输入端相连接，流量变化追踪模块的输出端与信息整理单元的输入端相连接，并且与运维事件数据库相融合分析，能够对客户在使用过程中产生的网络安全问题进行精准分析和处理，使整个分析处理过程变得高效，其中所储存的次数较高的问题信息，方便使用者进行调用，使攻击类型分类单元在解决相似问题时，可以通过指标获取模块调用处理方法。

本发明中，信息整理单元包括数据库监测模块、指标体系模块、关联分析模块、预处理模块和持续分析模块，指标体系模块用于获取运维指标评分体系，数据库监测模块用于监控数据库数据变化，关联分析模块用于分析数据库录入数据的变化来分析运维指标的变化，用于通过获取系统硬件资源进行低优先级指标的持续低频次分析，预处理引擎用于预测运维指标变化并进行引擎判断。

本发明中，信息采集单元和运维事件数据库的输出端分别与数据库监测模块的输入端相连接，数据库监测模块的输出端分别与指标体系模块和关联分析模块的输入端相连接，关联分析模块的输出端分别与预处理模块和持续分析模块的输入端相连接，持续分析模块的输出端与信息分析单元的输入端相连接。

本发明中，安全监测单元的输出端与信息采集单元的输入端相连接，信息采集单元的输出端与信息整理单元的输入端相连接，信息整理单元的输出端与信息分析单元的输入端相连接，信息分析单元的输出端与分析测评单元的输入端相连接。

本发明中，分析测评单元的输出端分别与安全预警单元和攻击类型分类单元的输入端相连接，攻击类型分类单元的输出端与安全处理单元的输入端相连接，攻击类型分类单元与运维事件数据库之间实现双向连接，运维事件数据库的输出端与信息整理单元的输入端相连接，运维事件数据库模块会对保存的问题信息进行分类保存，且会将以后同类型的问题信息进行整合和扩充，以减少信息占用的空间和信息的完整度，方便使用者对其进行调用，使整个系统的实用性较高，且方便使用者进行使用。

以上只通过说明的方式描述了本发明的某些示范性实施例，毋庸置疑，对于本领域的普通技术人员，在不偏离本发明的精神和范围的情况下，可以用各种不同的方式对所描述的实施例进行修正。因此，上述附图和描述在本质上是说明性的，不应理解为对本发明权利要求保护范围的限制。

Claims (8)

1.一种网络安全运维关联分析系统，其特征在于，包括安全监测单元、信息采集单元、信息整理单元、信息分析单元、分析测评单元、攻击类型分类单元、安全预警单元、运维事件数据库和安全处理单元；

所述安全监测单元用于监测企业信息网络的主页和设备，安全监测单元将监测的安全问题传递到信息采集单元；

所述安全预警单元用于根据安全监控模块的监控信息进行预警提示，其中，安全预警单元内预设有预警阈值；

所述攻击类型分类单元用于对网络受到的威胁结合运维事件数据库内相应的数据，对安全问题进行自动快速分类。

2.根据权利要求1所述的一种网络安全运维关联分析系统，其特征在于，所述信息采集单元用于对网络安全监控设备的设备运行状态信息进行实时采集，并将采集的实时数据信息输送给信息整理单元，所述信息整理单元用于对获取运维指标进行实时整理分离，并对信息采集单元实时采集的网络安全数据信息进行整理归类，并将整理归类后的网络安全信息数据输送给信息分析单元；

所述信息分析单元用于对整理归类后的网络完全信息数据进行分析处理，所述分析测评单元用于将接收的处理结果生成相应的业务分析报表，所述运维事件数据库用于对问题、处理过程和结果进行备份，同时存储运维指标并提供显示数据素材，所述安全处理单元用于根据攻击类型分类单元分类出来的网络安全攻击的信息进行对应的网络维护。

3.根据权利要求1所述的一种网络安全运维关联分析系统，其特征在于，所述信息采集单元包括指标获取模块、运行现状获取模块和流量变化追踪模块；

所述指标获取模块用于当前运维系统指标，所述运行现状获取模块用于获取当先指标运行数据，所述流量变化追踪模块用于获取系统网络数据变化。

4.根据权利要求3所述的一种网络安全运维关联分析系统，其特征在于，所述安全监测单元的输出端与指标获取模块的输入端相连接，所述指标获取模块的输出端与运行现状获取模块的输入端相连接，所述运行现状获取模块的输出端与流量变化追踪模块的输入端相连接，所述流量变化追踪模块的输出端与信息整理单元的输入端相连接。

5.根据权利要求1所述的一种网络安全运维关联分析系统，其特征在于，所述信息整理单元包括数据库监测模块、指标体系模块、关联分析模块、预处理模块和持续分析模块；

所述指标体系模块用于获取运维指标评分体系，所述数据库监测模块用于监控数据库数据变化，所述关联分析模块用于分析数据库录入数据的变化来分析运维指标的变化，所述用于通过获取系统硬件资源进行低优先级指标的持续低频次分析，所述预处理引擎用于预测运维指标变化并进行引擎判断。

6.根据权利要求1所述的一种网络安全运维关联分析系统，其特征在于，所述信息采集单元和运维事件数据库的输出端分别与数据库监测模块的输入端相连接，所述数据库监测模块的输出端分别与指标体系模块和关联分析模块的输入端相连接，所述关联分析模块的输出端分别与预处理模块和持续分析模块的输入端相连接，所述持续分析模块的输出端与信息分析单元的输入端相连接。

7.根据权利要求1所述的一种网络安全运维关联分析系统，其特征在于，所述安全监测单元的输出端与信息采集单元的输入端相连接，所述信息采集单元的输出端与信息整理单元的输入端相连接，所述信息整理单元的输出端与信息分析单元的输入端相连接，所述信息分析单元的输出端与分析测评单元的输入端相连接。

8.根据权利要求1所述的一种网络安全运维关联分析系统，其特征在于，所述分析测评单元的输出端分别与安全预警单元和攻击类型分类单元的输入端相连接，所述攻击类型分类单元的输出端与安全处理单元的输入端相连接，所述攻击类型分类单元与运维事件数据库之间实现双向连接，所述运维事件数据库的输出端与信息整理单元的输入端相连接。

Images