CN116389159A - 基于多源数据异常监测的电子信息网络安全系统 - Google Patents
基于多源数据异常监测的电子信息网络安全系统 Download PDFInfo
- Publication number
- CN116389159A CN116389159A CN202310514232.8A CN202310514232A CN116389159A CN 116389159 A CN116389159 A CN 116389159A CN 202310514232 A CN202310514232 A CN 202310514232A CN 116389159 A CN116389159 A CN 116389159A
- Authority
- CN
- China
- Prior art keywords
- data
- electronic information
- source data
- risk
- multisource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 64
- 238000012545 processing Methods 0.000 claims abstract description 12
- 238000007405 data analysis Methods 0.000 claims abstract description 11
- 238000013523 data management Methods 0.000 claims abstract description 4
- 230000002159 abnormal effect Effects 0.000 claims description 248
- 230000006399 behavior Effects 0.000 claims description 170
- 239000012634 fragment Substances 0.000 claims description 56
- 230000005856 abnormality Effects 0.000 claims description 27
- 238000000034 method Methods 0.000 claims description 18
- 238000004458 analytical method Methods 0.000 claims description 14
- 238000005516 engineering process Methods 0.000 claims description 10
- 238000007726 management method Methods 0.000 claims description 10
- 238000011156 evaluation Methods 0.000 claims description 9
- 238000013473 artificial intelligence Methods 0.000 claims description 7
- 238000012098 association analyses Methods 0.000 claims description 7
- 238000001914 filtration Methods 0.000 claims description 6
- 238000013506 data mapping Methods 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000013075 data extraction Methods 0.000 claims description 3
- 230000008447 perception Effects 0.000 claims description 3
- 230000009897 systematic effect Effects 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 6
- 230000002265 prevention Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了基于多源数据异常监测的电子信息网络安全系统,属于电子信息网络技术领域。本发明的基于多源数据异常监测的电子信息网络安全系统,包括多源数据采集模块;多源数据处理模块;多源数据分析模块;多源数据管控模块。本发明解决了现有不能及时地发现多源数据异常风险行为,且对于电子信息多源数据的异常风险行为不能及时地进行监测管控及预警,其电子信息网络安全精准防控效果差的问题,本发明的基于多源数据异常监测的电子信息网络安全系统,可及时发现多源数据异常风险行为,实时掌握电子信息网络安全状况,且对于电子信息多源数据的异常风险行为能及时地进行监测管控及预警,其电子信息网络安全精准防控效果好。
Description
技术领域
本发明涉及电子信息网络技术领域,具体为基于多源数据异常监测的电子信息网络安全系统。
背景技术
网络安全是国家安全的重要组成部分,是新形势、新时代国际间竞争对抗的重要方面,是国家社会持续发展、长久安定的重要保障。随着网络规模和复杂性不断增大,网络的攻击技术不断革新,新型攻击工具大量涌现,传统的网络安全技术显得力不从心,网络入侵不可避免,网络安全问题越发严峻。
公开号为CN109889502A的中国专利公开了一种网络安全计算机系统以及其实现方法。该方法包括:S1、构建网络安全计算机系统;
S2、通过切换装置设置所述网络安全计算机系统分别以外网计算机或者内网计算机进行工作,当所述网络安全计算机系统以内网计算机进行工作时,执行步骤S3,否则执行步骤S4;S3、所述内网计算机通过TF卡和VGA接口构建内网计算机工作环境,并支持安全监视器和智能监视器功能;S4、关闭所述内网计算机,所述外网计算机通过EMMC系统构建外网计算机工作环境,进入通用计算机状态,该网络安全计算机系统和方法,能够保证高等级网络系统的机密性和完整性,确保在支持内外网计算机并存的同时,实现内外双网间的完全物理隔离。但是上述专利在实际使用过程中存在以下缺陷:
不能及时地发现多源数据异常风险行为,且对于电子信息多源数据的异常风险行为不能及时地进行监测管控及预警,其电子信息网络安全精准防控效果差。
发明内容
本发明的目的在于提供基于多源数据异常监测的电子信息网络安全系统,可及时发现多源数据异常风险行为,实时掌握电子信息网络安全状况,且对于电子信息多源数据的异常风险行为能及时地进行监测管控及预警,其电子信息网络安全精准防控效果好,解决了上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
基于多源数据异常监测的电子信息网络安全系统,包括
多源数据采集模块,用于实时地获取电子信息多源数据,获取从电子信息网络安全服务器采集的安全日志、系统日志、漏洞数据和流量数据,确定实时采集的电子信息多源数据;
多源数据处理模块,用于对实时采集的电子信息多源数据进行综合处理,按照电子信息网络安全管控需求,从获取的电子信息多源数据中提取出符合电子信息网络安全管控需求的电子信息多源数据,对电子信息多源数据进行检索、分组及计算,确定电子信息多源数据信息;
多源数据分析模块,用于对电子信息多源数据信息进行关联分析,融合大数据分析和人工智能技术,深度解析电子信息多源数据信息,对电子信息多源数据信息进行分析与评估,确定电子信息网络安全态势感知;
多源数据管控模块,用于对电子信息多源数据信息进行监测管控,根据确定的电子信息网络安全态势感知,对电子信息多源数据的异常风险行为进行监测管控及预警,为电子信息网络安全预警提供依据。
优选的,对电子信息多源数据的异常风险行为进行预警,包括:
基于多源数据异常风险行为信息对应的正常电子信息多源数据以及所述正常多源数据的组合方式,将所述多源数据异常风险行为信息对应的电子信息多源数据进行分割得到多个数据片段;
对所述电子信息多源数据进行特征提取,获取整体特征,同时,对各个数据片段进行特征提取,获得片段数据特征;
基于所述整体特征与片段数据特征的数据映射关系,分别对各个数据片段进行属性赋值,获得每个数据片段对应的属性值;
根据所述属性值以及下列算法,计算各个数据片段对应的影响权重值;
其中,α=min(x1,x2,…,xN);β=max(x1,x2,…,xN);
ωi表示多源数据异常风险行为信息对应的电子信息多源数据的第i个数据片段的影响权重值;xi表示多源数据异常风险行为信息对应的电子信息多源数据的第i个数据片段的属性值;N表示多源数据异常风险行为信息对应的电子信息多源数据全部数据片段的总数;
获取所述电子信息多源数据中多源数据异常风险行为信息对应的风险异常数据片段的影响权重值,根据所述影响权重值以及下列公式,计算多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级进行评估:
其中,γ表示多源数据异常风险行为信息对应的电子信息多源数据的风险值;m表示多源数据异常风险行为信息对应的电子信息多源数据中多源数据异常风险行为信息对应数据片段的总数:ωj表示所述电子信息多源数据中第j个
风险异常数据片段的影响权重值;δ表示特征平衡因子,取值范围在(0,0.15);ε表示系统误差因子,取值范围在(0,0.05);
当所述风险值小于等于第一预设值时,判定所述多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级为一级风险,并向管理员发送一级预警;
当所述风险值大于第一预设值且大于第二预设值时,判定所述多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级为二级风险,并向管理员发送二级预警
当所述风险值大于等于第二预设值时,判定所述多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级为三级风险,并向管理员发送三级预警。
优选的,所述多源数据处理模块包括
多源数据提取单元,用于对实时采集的电子信息多源数据进行提取,按照电子信息网络安全管控需求,从获取的电子信息多源数据中提取出符合电子信息网络安全管控需求的电子信息多源数据;
多源数据检索单元,用于对提取的电子信息多源数据进行检索,按照追溯法对提取的电子信息多源数据进行检索,过滤掉对多源数据异常监测无用的电子信息多源数据,保留下对多源数据异常监测有用的电子信息多源数据;
多源数据分组单元,用于对检索的电子信息多源数据进行分组,按照穷尽性原则,将对多源数据异常监测有用的电子信息多源数据划分为不同的组别,确定不同的电子信息多源数据组;
多源数据计算单元,用于对分组的电子信息多源数据进行计算,按照算术及逻辑运算,对不同的电子信息多源数据组内的电子信息多源数据进行计算,确定电子信息多源数据信息。
优选的,对实时采集的电子信息多源数据进行综合处理,执行以下操作:
获取实时采集的电子信息多源数据;
按照电子信息网络安全管控需求,从获取的电子信息多源数据中提取出符合电子信息网络安全管控需求的电子信息多源数据;
获取提取的电子信息多源数据;
按照追溯法对提取的电子信息多源数据进行检索,过滤掉对多源数据异常监测无用的电子信息多源数据,保留下对多源数据异常监测有用的电子信息多源数据;
获取对多源数据异常监测有用的电子信息多源数据;
按照穷尽性原则,将对多源数据异常监测有用的电子信息多源数据划分为不同的组别,确定不同的电子信息多源数据组;
获取电子信息多源数据组内的电子信息多源数据;
按照算术及逻辑运算,对不同的电子信息多源数据组内的电子信息多源数据进行计算,确定电子信息多源数据信息。
优选的,对电子信息多源数据信息进行关联分析,执行以下操作:
获取处理后的电子信息多源数据信息;
融合大数据分析和人工智能技术,深度解析电子信息多源数据信息,对电子信息多源数据信息进行分析与评估,确定电子信息网络安全态势感知;
针对电子信息多源数据信息存在异常风险行为的情况,则确定的电子信息网络安全态势感知为该电子信息网络安全系统存在电子信息网络安全风险;
针对电子信息多源数据信息不存在异常风险行为的情况,则确定的电子信息网络安全态势感知为该电子信息网络安全系统不存在电子信息网络安全风险。
优选的,分析电子信息多源数据信息是否存在异常风险行为,执行以下操作:
获取处理后的电子信息多源数据信息;
参照存储的电子信息多源数据标准,对获取的电子信息多源数据信息进行对比关联分析,深度解析电子信息多源数据信息,确定出基于多源数据异常监测的分析评估报告;
针对获取的电子信息多源数据信息与存储的电子信息多源数据标准不一致的情况,则确定的基于多源数据异常监测的分析评估报告为该电子信息多源数据信息存在多源数据异常风险行为;
针对获取的电子信息多源数据信息与存储的电子信息多源数据标准一致的情况,则确定的基于多源数据异常监测的分析评估报告为该电子信息多源数据信息不存在多源数据异常风险行为。
优选的,对电子信息多源数据信息进行监测管控,执行以下操作:
根据确定的电子信息网络安全态势感知,对电子信息多源数据的异常风险行为进行监测管控及预警;
获取该电子信息网络安全系统存在的电子信息网络安全风险情况,针对电子信息网络安全风险情况调用相对应地多源数据异常风险行为解除策略,按照多源数据异常风险行为解除策略对电子信息多源数据信息的多源数据异常风险行为进行解除管理。
优选的,针对电子信息网络安全风险情况调用相对应地多源数据异常风险行为解除策略,包括
获取电子信息网络安全风险情况,根据电子信息网络安全风险情况,确定出电子信息网络安全的多源数据异常风险行为信息;
根据电子信息网络安全的多源数据异常风险行为信息,调取出存储的多个多源数据异常风险行为解除策略,从多个多源数据异常风险行为解除策略中索引出与该电子信息网络安全的多源数据异常风险行为相对应的多源数据异常风险行为解除策略,且将该多源数据异常风险行为解除策略提取出来,按照该多源数据异常风险行为解除策略对电子信息多源数据信息的多源数据异常风险行为进行解除管理。
优选的,从多个多源数据异常风险行为解除策略中索引出与该电子信息网络安全的多源数据异常风险行为相对应的多源数据异常风险行为解除策略,执行以下操作:
获取电子信息网络安全的多源数据异常风险行为信息;
提取该电子信息网络安全的多源数据异常风险行为信息的关键词,依据该电子信息网络安全的多源数据异常风险行为信息的关键词,从多个多源数据异常风险行为解除策略中索引出与该电子信息网络安全的多源数据异常风险行为相对应的多源数据异常风险行为解除策略。
优选的,提取电子信息网络安全的多源数据异常风险行为信息的关键词,包括:
获取预设时段内的多个多源数据异常风险行为信息对应的多个异常多源数据,并确定各个异常多源数据的风险异常数据片段以及所述风险异常数据片段的调用路径;
基于风险异常数据片段以及所述风险异常数据片段的调用路径,对多个异常多源数据进行对比,建立风险关系关联图谱;
同时,分别对各个多源数据异常风险行为信息的风险异常数据片段进行标记,获得标记片段,并根据风险异常数据片段的调用路径,判断同一异常多源数据对应的标记片段是否都是同源数据;
若是,向所述异常多源数据添加数据源标签,并根据数据源标签获取同类风险对应的多源数据异常风险行为信息,建立第一风险信息集;
否则,基于风险关系关联图谱,确定所述异常多源数据的多个关联风险数据,分别获取所述多源数据异常风险行为信息对应的多个数据源以及多个关联风险数据的对应的对应的多个数据源;
根据多个数据源的对比,分别计算所述异常多源数据与各个关联风险数据的风险重叠率,当风险重叠率达到预设阈值时,判定所述异常多源数据与关联风险数据的风险相似,建立第二风险信息集;
选取第一风险信息集或者第二风险信息集中分任意一个多源数据异常风险行为信息作为目标数据,对目标数据的风险关键词进行提取。
与现有技术相比,本发明的有益效果是:
1、本发明通过实时获取电子信息多源数据,对电子信息多源数据进行综合处理,确定电子信息多源数据信息,对电子信息多源数据信息进行分析与评估,确定电子信息网络安全态势感知,根据确定的电子信息网络安全态势感知,对电子信息多源数据的异常风险行为进行监测管控及预警,可及时地发现多源数据异常风险行为,实时掌握电子信息网络安全状况,且对于电子信息多源数据的异常风险行为能及时地进行监测管控及预警,为电子信息网络安全威胁的发现、跟踪、分析和预警提供技术支撑。
2、本发明通过根据确定的电子信息网络安全态势感知,对电子信息多源数据的异常风险行为进行监测管控及预警,获取该电子信息网络安全系统存在的电子信息网络安全风险情况,针对电子信息网络安全风险情况调用相对应地多源数据异常风险行为解除策略,按照多源数据异常风险行为解除策略对电子信息多源数据信息的多源数据异常风险行为进行解除管理,其电子信息网络安全精准防控效果好。
附图说明
图1为本发明的电子信息网络安全系统的模块图;
图2为本发明的多源数据采集模块的框架图;
图3为本发明的对电子信息多源数据信息进行关联分析及管控的算法图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有的不能及时地发现多源数据异常风险行为,且对于电子信息多源数据的异常风险行为不能及时地进行监测管控及预警,其电子信息网络安全精准防控效果差的问题,请参阅图1-图3,本实施例提供以下技术方案:
基于多源数据异常监测的电子信息网络安全系统,包括
多源数据采集模块,用于实时地获取电子信息多源数据,获取从电子信息网络安全服务器采集的安全日志、系统日志、漏洞数据和流量数据,确定实时采集的电子信息多源数据;
多源数据处理模块,用于对实时采集的电子信息多源数据进行综合处理,按照电子信息网络安全管控需求,从获取的电子信息多源数据中提取出符合电子信息网络安全管控需求的电子信息多源数据,对电子信息多源数据进行检索、分组及计算,确定电子信息多源数据信息;
多源数据分析模块,用于对电子信息多源数据信息进行关联分析,融合大数据分析和人工智能技术,深度解析电子信息多源数据信息,对电子信息多源数据信息进行分析与评估,确定电子信息网络安全态势感知;
多源数据管控模块,用于对电子信息多源数据信息进行监测管控,根据确定的电子信息网络安全态势感知,对电子信息多源数据的异常风险行为进行监测管控及预警,为电子信息网络安全预警提供依据。
所述多源数据处理模块包括
多源数据提取单元,用于对实时采集的电子信息多源数据进行提取,按照电子信息网络安全管控需求,从获取的电子信息多源数据中提取出符合电子信息网络安全管控需求的电子信息多源数据;
多源数据检索单元,用于对提取的电子信息多源数据进行检索,按照追溯法对提取的电子信息多源数据进行检索,过滤掉对多源数据异常监测无用的电子信息多源数据,保留下对多源数据异常监测有用的电子信息多源数据;
多源数据分组单元,用于对检索的电子信息多源数据进行分组,按照穷尽性原则,将对多源数据异常监测有用的电子信息多源数据划分为不同的组别,确定不同的电子信息多源数据组;
多源数据计算单元,用于对分组的电子信息多源数据进行计算,按照算术及逻辑运算,对不同的电子信息多源数据组内的电子信息多源数据进行计算,确定电子信息多源数据信息。
对实时采集的电子信息多源数据进行综合处理,执行以下操作:
获取实时采集的电子信息多源数据;
按照电子信息网络安全管控需求,从获取的电子信息多源数据中提取出符合电子信息网络安全管控需求的电子信息多源数据;
获取提取的电子信息多源数据;
按照追溯法对提取的电子信息多源数据进行检索,过滤掉对多源数据异常监测无用的电子信息多源数据,保留下对多源数据异常监测有用的电子信息多源数据;
获取对多源数据异常监测有用的电子信息多源数据;
按照穷尽性原则,将对多源数据异常监测有用的电子信息多源数据划分为不同的组别,确定不同的电子信息多源数据组;
获取电子信息多源数据组内的电子信息多源数据;
按照算术及逻辑运算,对不同的电子信息多源数据组内的电子信息多源数据进行计算,确定电子信息多源数据信息。
对电子信息多源数据信息进行关联分析,执行以下操作:
获取处理后的电子信息多源数据信息;
融合大数据分析和人工智能技术,深度解析电子信息多源数据信息,对电子信息多源数据信息进行分析与评估,确定电子信息网络安全态势感知;
针对电子信息多源数据信息存在异常风险行为的情况,则确定的电子信息网络安全态势感知为该电子信息网络安全系统存在电子信息网络安全风险;
针对电子信息多源数据信息不存在异常风险行为的情况,则确定的电子信息网络安全态势感知为该电子信息网络安全系统不存在电子信息网络安全风险。
分析电子信息多源数据信息是否存在异常风险行为,执行以下操作:
获取处理后的电子信息多源数据信息;
参照存储的电子信息多源数据标准,对获取的电子信息多源数据信息进行对比关联分析,深度解析电子信息多源数据信息,确定出基于多源数据异常监测的分析评估报告;
针对获取的电子信息多源数据信息与存储的电子信息多源数据标准不一致的情况,则确定的基于多源数据异常监测的分析评估报告为该电子信息多源数据信息存在多源数据异常风险行为;
针对获取的电子信息多源数据信息与存储的电子信息多源数据标准一致的情况,则确定的基于多源数据异常监测的分析评估报告为该电子信息多源数据信息不存在多源数据异常风险行为。
对电子信息多源数据信息进行监测管控,执行以下操作:
根据确定的电子信息网络安全态势感知,对电子信息多源数据的异常风险行为进行监测管控及预警;
获取该电子信息网络安全系统存在的电子信息网络安全风险情况,针对电子信息网络安全风险情况调用相对应地多源数据异常风险行为解除策略,按照多源数据异常风险行为解除策略对电子信息多源数据信息的多源数据异常风险行为进行解除管理。
针对电子信息网络安全风险情况调用相对应地多源数据异常风险行为解除策略,包括
获取电子信息网络安全风险情况,根据电子信息网络安全风险情况,确定出电子信息网络安全的多源数据异常风险行为信息;
根据电子信息网络安全的多源数据异常风险行为信息,调取出存储的多个多源数据异常风险行为解除策略,从多个多源数据异常风险行为解除策略中索引出与该电子信息网络安全的多源数据异常风险行为相对应的多源数据异常风险行为解除策略,且将该多源数据异常风险行为解除策略提取出来,按照该多源数据异常风险行为解除策略对电子信息多源数据信息的多源数据异常风险行为进行解除管理。
从多个多源数据异常风险行为解除策略中索引出与该电子信息网络安全的多源数据异常风险行为相对应的多源数据异常风险行为解除策略,执行以下操作:
获取电子信息网络安全的多源数据异常风险行为信息;
提取该电子信息网络安全的多源数据异常风险行为信息的关键词,依据该电子信息网络安全的多源数据异常风险行为信息的关键词,从多个多源数据异常风险行为解除策略中索引出与该电子信息网络安全的多源数据异常风险行为相对应的多源数据异常风险行为解除策略。
综上,本发明的基于多源数据异常监测的电子信息网络安全系统,实时获取电子信息多源数据,对电子信息多源数据进行综合处理,确定电子信息多源数据信息,融合大数据分析和人工智能技术,深度解析电子信息多源数据信息,对电子信息多源数据信息进行分析与评估,确定电子信息网络安全态势感知,根据确定的电子信息网络安全态势感知,对电子信息多源数据的异常风险行为进行监测管控及预警,为电子信息网络安全预警提供依据,可及时地发现多源数据异常风险行为,实时掌握电子信息网络安全状况,且对于电子信息多源数据的异常风险行为能及时地进行监测管控及预警,为电子信息网络安全威胁的发现、跟踪、分析和预警提供技术支撑,其电子信息网络安全精准防控效果好。
在一种可实施的方式中:
对电子信息多源数据的异常风险行为进行预警,包括:
基于多源数据异常风险行为信息对应的正常电子信息多源数据以及所述正常多源数据的组合方式,将所述多源数据异常风险行为信息对应的电子信息多源数据进行分割得到多个数据片段;
对所述电子信息多源数据进行特征提取,获取整体特征,同时,对各个数据片段进行特征提取,获得片段数据特征;
基于所述整体特征与片段数据特征的数据映射关系,分别对各个数据片段进行属性赋值,获得每个数据片段对应的属性值;
根据所述属性值以及下列算法,计算各个数据片段对应的影响权重值;
其中,α=min(x1,x2,…,xN);β=max(x1,x2,…,xN);
ωi表示多源数据异常风险行为信息对应的电子信息多源数据的第i个数据片段的影响权重值;xi表示多源数据异常风险行为信息对应的电子信息多源数据的第i个数据片段的属性值;N表示多源数据异常风险行为信息对应的电子信息多源数据全部数据片段的总数;
获取所述电子信息多源数据中多源数据异常风险行为信息对应的风险异常数据片段的影响权重值,根据所述影响权重值以及下列公式,计算多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级进行评估:
其中,γ表示多源数据异常风险行为信息对应的电子信息多源数据的风险值;m表示多源数据异常风险行为信息对应的电子信息多源数据中多源数据异常风险行为信息对应数据片段的总数:ωj表示所述电子信息多源数据中第j个
风险异常数据片段的影响权重值;δ表示特征平衡因子,取值范围在(0,0.15);ε表示系统误差因子,取值范围在(0,0.05);
当所述风险值小于等于第一预设值时,判定所述多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级为一级风险,并向管理员发送一级预警;
当所述风险值大于第一预设值且大于第二预设值时,判定所述多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级为二级风险,并向管理员发送二级预警
当所述风险值大于等于第二预设值时,判定所述多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级为三级风险,并向管理员发送三级预警。
本实施例中,特征平衡因子是指各个片段数据特征连接成整体特征关系的平衡系数。
上述实施例的工作原理:本发明对电子信息多源数据的异常风险分级进行评估,并根据风险等级向管理员发送不同等级的预警报警。
上述实施例的有益效果:本发明基于多源数据异常风险行为信息对应的正常电子信息多源数据以及所述正常多源数据的组合方式,将所述多源数据异常风险行为信息对应的电子信息多源数据进行分割得到多个数据片段;对所述电子信息多源数据进行特征提取,获取整体特征,同时,对各个数据片段进行特征提取,获得片段数据特征;基于所述整体特征与片段数据特征的数据映射关系,分别对各个数据片段进行属性赋值,获得每个数据片段对应的属性值;根据所述属性值以及下列算法,计算各个数据片段对应的影响权重值,去欸的那个每个数据片段对应整个多源数据的重要程度,根据所述重要程度,确定风险异常数据片段对所述多源数据的影响,确定改多源数据的异常风险等级并根据风险等级向管理员发送不同等级的预警报警,方便管理员在实时掌握电子信息网络安全状况的同时及时了解存在安全问题的数据的风险紧急性,为管理员的风险处理提供参考依据。
在一种可实施的方式中:
提取电子信息网络安全的多源数据异常风险行为信息的关键词,包括:
获取预设时段内的多个多源数据异常风险行为信息对应的多个异常多源数据,并确定各个异常多源数据的风险异常数据片段以及所述风险异常数据片段的调用路径;
基于风险异常数据片段以及所述风险异常数据片段的调用路径,对多个异常多源数据进行对比,建立风险关系关联图谱;
同时,分别对各个多源数据异常风险行为信息的风险异常数据片段进行标记,获得标记片段,并根据风险异常数据片段的调用路径,判断同一异常多源数据对应的标记片段是否都是同源数据;
若是,向所述异常多源数据添加数据源标签,并根据数据源标签获取同类风险对应的多源数据异常风险行为信息,建立第一风险信息集;
否则,基于风险关系关联图谱,确定所述异常多源数据的多个关联风险数据,分别获取所述多源数据异常风险行为信息对应的多个数据源以及多个关联风险数据的对应的对应的多个数据源;
根据多个数据源的对比,分别计算所述异常多源数据与各个关联风险数据的风险重叠率,当风险重叠率达到预设阈值时,判定所述异常多源数据与关联风险数据的风险相似,建立第二风险信息集;
选取第一风险信息集或者第二风险信息集中分任意一个多源数据异常风险行为信息作为目标数据,对目标数据的风险关键词进行提取。
本实施例中,风险异常数据片段是指预设时段内的各个异常多源数据中存在风险数据对应的数据段。异常多源数据是指多源数据异常风险行为信息的电子信息多源数据。
本实施例中,调用路径是指风险异常数据片段对应的正常数据对应的存储路径,如果两个数据的存储路径相同则表明两个数据为同源数据。
本实施例中,风险关系关联图谱是指表明各个异常多源数据之间风险异常数据片段关系的,具有同源风险数据的两个异常多源数据存在关联。
本实施例中,标记片段是指各个异常多源数据中被进行了标记的风险异常数据片段,目的是为了更好的体现各个异常多源数据中包含的风险异常数据片段,方便确定异常多源数据中包含的风险异常数据片段的数量。
本实施例中,数据源标签是指向同一异常多源数据对应的标记片段均为同源数据时向该异常多源数据添加的表示该异常多源数据的风险异常数据片段调用路径的标签。
本实施例中,第一风险信息集是指数据源标签相同风险的异常多源数据对应的多源数据异常风险行为信息构建的数据集合。
本实施例中,关联风险数据是指与所述异常多源数据关联的其他异常多源数据。
本实施例中,数据源是指风险异常数据片段获取的源头,本发明用调用路径表征。
本实施例中,风险重叠率是指异常多源数据与各个关联风险数据各个风险异常数据片段对应的数据源的重叠程度,如果二者数据源完全相同则风险重叠率等于1。
本实施例中,风险相似是指异常多源数据与其对应的关联风险数据向风险重叠率达到预设阈值,该预设阈值取值在(0.9,1]。
本实施例中,当风险重叠率没有达到预设阈值时,判定所述异常多源数据与关联风险数据的风险类别不同。
本实施例中,第二风险信息集是指多个风险相似的异常多源数据对应的多源数据异常风险行为信息构建的数据集合。
本实施例中,目标数据是指第一风险信息集或者第二风险信息集中被用于提取关键词的多源数据异常风险行为信息。
本实施例中,当异常多源数据没有同类风险异常多源数据或者风险相似的异常多源数据时,将所述异常多源数据作为单独的目标数据进行关键词提取。
本实施例中,已建立第二风险信息集的关联风险数据自动跳过数据风险分类。
上述实施例的工作原理:本发明获取预设时段内的全部异常多源数据,并确定各个异常多源数据的风险异常数据片段以及所述风险异常数据片段的调用路径,并根据同一异常多源数据多个风险异常数据片段的调用路径的是否相同,判断同一异常多源数据对应的标记片段是否都是同源数据,若是,向所述异常多源数据添加数据源标签,并根据数据源标签获取同类风险异常多源数据,建立第一风险信息集;若不是,基于风险关系关联图谱,确定关联风险数据从而得到风险相似的异常多源数据,建立第二风险信息集,选取第一风险信息集或者第二风险信息集中分任意一个多源数据异常风险行为信息作为目标数据,对目标数据的风险关键词进行提取。
上述实施例的有益效果:本发明获取预设时段内的全部异常多源数据,并确定各个异常多源数据的风险异常数据片段以及所述风险异常数据片段的调用路径,方便对风险异常数据片段数据源的确定,为风险关系关联图谱的建立提供基础。建立风险关系关联图谱,可以快速理清预设时段内的全部异常多源数据之间的关联关系,为风险相似的异常多源数据的确定提供基础,提高风险相似的异常多源数据的分类速度,提升系统的风险处理能力,本发明将一定时间内的异常多源数据进行分类合并处理,以最终建立的分类集合——第一风险信息集或者第二风险信息集为单位提取风险关键词,同时获取多个多源数据异常风险行为信息的解除策略,避免的重复获取解除策略,提高系统的风险处理效率,降低系统运行压力。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (10)
1.基于多源数据异常监测的电子信息网络安全系统,其特征在于,包括
多源数据采集模块,用于实时地获取电子信息多源数据,获取从电子信息网络安全服务器采集的安全日志、系统日志、漏洞数据和流量数据,确定实时采集的电子信息多源数据;
多源数据处理模块,用于对实时采集的电子信息多源数据进行综合处理,按照电子信息网络安全管控需求,从获取的电子信息多源数据中提取出符合电子信息网络安全管控需求的电子信息多源数据,对电子信息多源数据进行检索、分组及计算,确定电子信息多源数据信息;
多源数据分析模块,用于对电子信息多源数据信息进行关联分析,融合大数据分析和人工智能技术,深度解析电子信息多源数据信息,对电子信息多源数据信息进行分析与评估,确定电子信息网络安全态势感知;
多源数据管控模块,用于对电子信息多源数据信息进行监测管控,根据确定的电子信息网络安全态势感知,对电子信息多源数据的异常风险行为进行监测管控及预警,为电子信息网络安全预警提供依据。
2.根据权利要求1所述的基于多源数据异常监测的电子信息网络安全系统,其特征在于:对电子信息多源数据的异常风险行为进行预警,包括:
基于多源数据异常风险行为信息对应的正常电子信息多源数据以及所述正常多源数据的组合方式,将所述多源数据异常风险行为信息对应的电子信息多源数据进行分割得到多个数据片段;
对所述电子信息多源数据进行特征提取,获取整体特征,同时,对各个数据片段进行特征提取,获得片段数据特征;
基于所述整体特征与片段数据特征的数据映射关系,分别对各个数据片段进行属性赋值,获得每个数据片段对应的属性值;
根据所述属性值以及下列算法,计算各个数据片段对应的影响权重值;
其中,α=min(x1,x2,…,xN);β=max(x1,x2,…,xN);
ωi表示多源数据异常风险行为信息对应的电子信息多源数据的第i个数据片段的影响权重值;xi表示多源数据异常风险行为信息对应的电子信息多源数据的第i个数据片段的属性值;N表示多源数据异常风险行为信息对应的电子信息多源数据全部数据片段的总数;
获取所述电子信息多源数据中多源数据异常风险行为信息对应的风险异常数据片段的影响权重值,根据所述影响权重值以及下列公式,计算多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级进行评估:
其中,γ表示多源数据异常风险行为信息对应的电子信息多源数据的风险值;m表示多源数据异常风险行为信息对应的电子信息多源数据中多源数据异常风险行为信息对应数据片段的总数:ωj表示所述电子信息多源数据中第j个风险异常数据片段的影响权重值;δ表示特征平衡因子,取值范围在(0,0.15);ε表示系统误差因子,取值范围在(0,0.05);
当所述风险值小于等于第一预设值时,判定所述多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级为一级风险,并向管理员发送一级预警;
当所述风险值大于第一预设值且大于第二预设值时,判定所述多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级为二级风险,并向管理员发送二级预警
当所述风险值大于等于第二预设值时,判定所述多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级为三级风险,并向管理员发送三级预警。
3.根据权利要求1所述的基于多源数据异常监测的电子信息网络安全系统,其特征在于:所述多源数据处理模块包括
多源数据提取单元,用于对实时采集的电子信息多源数据进行提取,按照电子信息网络安全管控需求,从获取的电子信息多源数据中提取出符合电子信息网络安全管控需求的电子信息多源数据;
多源数据检索单元,用于对提取的电子信息多源数据进行检索,按照追溯法对提取的电子信息多源数据进行检索,过滤掉对多源数据异常监测无用的电子信息多源数据,保留下对多源数据异常监测有用的电子信息多源数据;
多源数据分组单元,用于对检索的电子信息多源数据进行分组,按照穷尽性原则,将对多源数据异常监测有用的电子信息多源数据划分为不同的组别,确定不同的电子信息多源数据组;
多源数据计算单元,用于对分组的电子信息多源数据进行计算,按照算术及逻辑运算,对不同的电子信息多源数据组内的电子信息多源数据进行计算,确定电子信息多源数据信息。
4.根据权利要求3所述的基于多源数据异常监测的电子信息网络安全系统,其特征在于:对实时采集的电子信息多源数据进行综合处理,执行以下操作:
获取实时采集的电子信息多源数据;
按照电子信息网络安全管控需求,从获取的电子信息多源数据中提取出符合电子信息网络安全管控需求的电子信息多源数据;
获取提取的电子信息多源数据;
按照追溯法对提取的电子信息多源数据进行检索,过滤掉对多源数据异常监测无用的电子信息多源数据,保留下对多源数据异常监测有用的电子信息多源数据;
获取对多源数据异常监测有用的电子信息多源数据;
按照穷尽性原则,将对多源数据异常监测有用的电子信息多源数据划分为不同的组别,确定不同的电子信息多源数据组;
获取电子信息多源数据组内的电子信息多源数据;
按照算术及逻辑运算,对不同的电子信息多源数据组内的电子信息多源数据进行计算,确定电子信息多源数据信息。
5.根据权利要求4所述的基于多源数据异常监测的电子信息网络安全系统,其特征在于:对电子信息多源数据信息进行关联分析,执行以下操作:
获取处理后的电子信息多源数据信息;
融合大数据分析和人工智能技术,深度解析电子信息多源数据信息,对电子信息多源数据信息进行分析与评估,确定电子信息网络安全态势感知;
针对电子信息多源数据信息存在异常风险行为的情况,则确定的电子信息网络安全态势感知为该电子信息网络安全系统存在电子信息网络安全风险;
针对电子信息多源数据信息不存在异常风险行为的情况,则确定的电子信息网络安全态势感知为该电子信息网络安全系统不存在电子信息网络安全风险。
6.根据权利要求5所述的基于多源数据异常监测的电子信息网络安全系统,其特征在于:分析电子信息多源数据信息是否存在异常风险行为,执行以下操作:
获取处理后的电子信息多源数据信息;
参照存储的电子信息多源数据标准,对获取的电子信息多源数据信息进行对比关联分析,深度解析电子信息多源数据信息,确定出基于多源数据异常监测的分析评估报告;
针对获取的电子信息多源数据信息与存储的电子信息多源数据标准不一致的情况,则确定的基于多源数据异常监测的分析评估报告为该电子信息多源数据信息存在多源数据异常风险行为;
针对获取的电子信息多源数据信息与存储的电子信息多源数据标准一致的情况,则确定的基于多源数据异常监测的分析评估报告为该电子信息多源数据信息不存在多源数据异常风险行为。
7.根据权利要求6所述的基于多源数据异常监测的电子信息网络安全系统,其特征在于:对电子信息多源数据信息进行监测管控,执行以下操作:
根据确定的电子信息网络安全态势感知,对电子信息多源数据的异常风险行为进行监测管控及预警;
获取该电子信息网络安全系统存在的电子信息网络安全风险情况,针对电子信息网络安全风险情况调用相对应地多源数据异常风险行为解除策略,按照多源数据异常风险行为解除策略对电子信息多源数据信息的多源数据异常风险行为进行解除管理。
8.根据权利要求7所述的基于多源数据异常监测的电子信息网络安全系统,其特征在于:针对电子信息网络安全风险情况调用相对应地多源数据异常风险行为解除策略,包括
获取电子信息网络安全风险情况,根据电子信息网络安全风险情况,确定出电子信息网络安全的多源数据异常风险行为信息;
根据电子信息网络安全的多源数据异常风险行为信息,调取出存储的多个多源数据异常风险行为解除策略,从多个多源数据异常风险行为解除策略中索引出与该电子信息网络安全的多源数据异常风险行为相对应的多源数据异常风险行为解除策略,且将该多源数据异常风险行为解除策略提取出来,按照该多源数据异常风险行为解除策略对电子信息多源数据信息的多源数据异常风险行为进行解除管理。
9.根据权利要求8所述的基于多源数据异常监测的电子信息网络安全系统,其特征在于:从多个多源数据异常风险行为解除策略中索引出与该电子信息网络安全的多源数据异常风险行为相对应的多源数据异常风险行为解除策略,执行以下操作:
获取电子信息网络安全的多源数据异常风险行为信息;
提取电子信息网络安全的多源数据异常风险行为信息的关键词,依据该电子信息网络安全的多源数据异常风险行为信息的关键词,从多个多源数据异常风险行为解除策略中索引出与该电子信息网络安全的多源数据异常风险行为相对应的多源数据异常风险行为解除策略。
10.根据权利要求9所述的基于多源数据异常监测的电子信息网络安全系统,其特征在于:提取电子信息网络安全的多源数据异常风险行为信息的关键词,包括:
获取预设时段内的多个多源数据异常风险行为信息对应的多个异常多源数据,并确定各个异常多源数据的风险异常数据片段以及所述风险异常数据片段的调用路径;
基于风险异常数据片段以及所述风险异常数据片段的调用路径,对多个异常多源数据进行对比,建立风险关系关联图谱;
同时,分别对各个多源数据异常风险行为信息的风险异常数据片段进行标记,获得标记片段,并根据风险异常数据片段的调用路径,判断同一异常多源数据对应的标记片段是否都是同源数据;
若是,向所述异常多源数据添加数据源标签,并根据数据源标签获取同类风险对应的多源数据异常风险行为信息,建立第一风险信息集;
否则,基于风险关系关联图谱,确定所述异常多源数据的多个关联风险数据,分别获取所述多源数据异常风险行为信息对应的多个数据源以及多个关联风险数据的对应的对应的多个数据源;
根据多个数据源的对比,分别计算所述异常多源数据与各个关联风险数据的风险重叠率,当风险重叠率达到预设阈值时,判定所述异常多源数据与关联风险数据的风险相似,建立第二风险信息集;选取第一风险信息集或者第二风险信息集中分任意一个多源数据异常风险行为信息作为目标数据,对目标数据的风险关键词进行提取。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310514232.8A CN116389159A (zh) | 2023-05-09 | 2023-05-09 | 基于多源数据异常监测的电子信息网络安全系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310514232.8A CN116389159A (zh) | 2023-05-09 | 2023-05-09 | 基于多源数据异常监测的电子信息网络安全系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116389159A true CN116389159A (zh) | 2023-07-04 |
Family
ID=86969544
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310514232.8A Pending CN116389159A (zh) | 2023-05-09 | 2023-05-09 | 基于多源数据异常监测的电子信息网络安全系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116389159A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116910824A (zh) * | 2023-08-28 | 2023-10-20 | 广东中山网传媒信息科技有限公司 | 一种基于分布式多源测度的安全大数据分析方法及系统 |
CN117812594A (zh) * | 2024-02-29 | 2024-04-02 | 辽宁华鼎科技股份有限公司 | 一种物联网网络安全系统及其控制方法 |
-
2023
- 2023-05-09 CN CN202310514232.8A patent/CN116389159A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116910824A (zh) * | 2023-08-28 | 2023-10-20 | 广东中山网传媒信息科技有限公司 | 一种基于分布式多源测度的安全大数据分析方法及系统 |
CN116910824B (zh) * | 2023-08-28 | 2024-02-06 | 广东中山网传媒信息科技有限公司 | 一种基于分布式多源测度的安全大数据分析方法及系统 |
CN117812594A (zh) * | 2024-02-29 | 2024-04-02 | 辽宁华鼎科技股份有限公司 | 一种物联网网络安全系统及其控制方法 |
CN117812594B (zh) * | 2024-02-29 | 2024-05-03 | 辽宁华鼎科技股份有限公司 | 一种物联网网络安全系统及其控制方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113965404B (zh) | 一种网络安全态势自适应主动防御系统及方法 | |
CN116389159A (zh) | 基于多源数据异常监测的电子信息网络安全系统 | |
CN111614491B (zh) | 一种面向电力监控系统安全态势评估指标选取方法及系统 | |
CN109344617A (zh) | 一种物联网资产安全画像方法与系统 | |
CN112995161B (zh) | 一种基于人工智能的网络安全态势预测系统 | |
CN110620696A (zh) | 针对企业网络安全态势感知的评分方法和装置 | |
CN105376193A (zh) | 安全事件的智能关联分析方法与装置 | |
CN110830467A (zh) | 基于模糊预测的网络可疑资产识别方法 | |
CN110636066A (zh) | 基于无监督生成推理的网络安全威胁态势评估方法 | |
CN115858794B (zh) | 用于网络运行安全监测的异常日志数据识别方法 | |
CN113516565A (zh) | 一种基于知识库的电力监控系统告警智能处理方法及其装置 | |
CN110149303B (zh) | 一种党校的网络安全预警方法及预警系统 | |
RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
CN117014193A (zh) | 一种基于行为基线的未知Web攻击检测方法 | |
CN116756659A (zh) | 智能运维管理方法、装置、设备及存储介质 | |
CN110807174A (zh) | 一种基于统计分布的污水厂厂群出水分析及异常识别方法 | |
CN116366277A (zh) | 一种信息融合的网络安全态势评估方法 | |
CN115567241A (zh) | 一种多站点网络感知检测系统 | |
KR102357630B1 (ko) | 제어시스템 보안이벤트의 공격전략 분류 장치 및 방법 | |
CN116956282B (zh) | 基于网络资产内存时间序列多特征数据的异常检测系统 | |
CN111091269A (zh) | 一种基于多维风险指数的服刑人员风险评估方法 | |
Akremi et al. | Intrusion detection systems alerts reduction: New approach for forensics readiness | |
CN114124526B (zh) | 一种结合多层次和熵权法的威胁复杂性分析方法 | |
CN117544420B (zh) | 一种基于数据分析的融合系统安全管理方法及系统 | |
CN116599767B (zh) | 基于机器学习的网络威胁监测系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |