CN116389297A - 一种网络安全事件处置与评估系统 - Google Patents

一种网络安全事件处置与评估系统 Download PDF

Info

Publication number
CN116389297A
CN116389297A CN202310283998.XA CN202310283998A CN116389297A CN 116389297 A CN116389297 A CN 116389297A CN 202310283998 A CN202310283998 A CN 202310283998A CN 116389297 A CN116389297 A CN 116389297A
Authority
CN
China
Prior art keywords
event
security
module
security event
treatment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310283998.XA
Other languages
English (en)
Inventor
赵海强
张翼飞
高小涵
贾哲
焦利彬
李皓
杨晓鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 54 Research Institute
Original Assignee
CETC 54 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 54 Research Institute filed Critical CETC 54 Research Institute
Priority to CN202310283998.XA priority Critical patent/CN116389297A/zh
Publication of CN116389297A publication Critical patent/CN116389297A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及网络空间安全技术领域,具体涉及一种网络安全事件处置与评估系统。本发明基于互联网安全防护系统,对态势感知、云防等各类安全防护产品进行流量采集和威胁行为识别,发现安全事件后发出告警并由运维人员作出处置,然后对处置方法进行效能评估,将评估高的处置方法打标签存入方法库中,再出现类似安全事件发生时,根据匹配结果推荐相应的处置方法,帮助运维人员作出决策。最后统计处置安全事件流程的历史数据,以雷达图的形式展示运维人员掌握应对攻击威胁的技能情况。这样不但可以使运维人员在使用过程中不断迭代应对各类安全事件的处置方案以获得最优解;还能以图形化的方式呈现运维人员的能力水平,达到查漏补缺、专项提升的目的。

Description

一种网络安全事件处置与评估系统
技术领域
本发明涉及网络空间安全技术领域,具体涉及一种网络安全事件处置与评估系统。
背景技术
提高运维人员应对安全事件的处置能力迫在眉睫。
现有的网络安全效能评估模式仅针对网络安全产品或防护系统,没有面向安全事件处置。只侧重于评估安全风险的发现和抵御能力,而忽略了安全风险的解决能力。
同时,大多数单位部署的网络安全防护系统均涵盖多个厂商的多种安全产品,安全风险事件涉及面广,单一安全厂商难以实现综合性评估。
网络安全运维人员是保障网络安全的重要一环,个人的能力不能成为“木桶”的短板。而目前缺乏对安全运维人员能力水平的统计分析与评价手段,也就无法有效地进行针对性提升训练。
发明内容
本发明的目的是提供一种网络安全事件处置与评估系统,该系统能够对多种安全产品的风险告警事件集成处置,并使用事件关联分析算法对处置结果进行效能评估,通过多次迭代得到应对各类安全风险事件的最佳处置方案,提升安全运维人员处理安全风险事件的能力水平。
本发明采用的技术方案为:
一种网络安全事件处置与评估系统,包括:
态势感知模块用于收集暴露在互联网中各类资产设备的访问流量,然后对网络行为作出判断,如果确定有威胁行为,则发送告警信息至安全事件处置模块,同时将当前时刻遭受攻击的资产设备环境信息和告警数量作为初始状态发送至效果评估模块;还用于对流量存储模块发送的重放流量进行分析,然后将分析结果作为完结状态发送至效果评估模块;其中,告警信息包括威胁行为的目标资产、威胁类型和攻击实施方式,分析结果包括环境信息、告警数量以及同一安全事件是否再次出现;
安全事件处置模块用于接收由态势感知模块发送的告警信息,向处置行为推荐模块的方法库发送推荐方法请求或重新设定安全事件处置方法;并按照处置行为推荐模块发送的安全事件处置方法或设定的安全事件处置方法进行处置,同时将处置的过程记录至流量存储模块并发送至效果评估模块;
流量存储模块用于存储安全事件处置后的流量,并每隔设定时间发送给态势感知平台进行重放;
效果评估模块用于结合资产设备初始状态与完结状态的指标对安全事件的处置过程做出效能评估,将评估结果及过程记录分别发送至处置行为推荐模块和人才赋能模块;
处置行为推荐模块用于接收经过评估后的应对各类安全事件的处置方法,然后采用聚类算法对安全事件及相应的处置方法打上标签并存储在方法库中;当有安全事件报警时,根据安全事件的信息匹配方法库中相似度最高的安全事件及处置方法发送至安全事件处置模块;
人才赋能模块用于接收网络安全事件处置效能评估情况,并且以雷达图的形式展示设定时间内应对网络安全事件的技能情况和平均水平。
其中,所述的效果评估模块对安全事件的处置过程做出效能评估,具体过程为:
基于事件关联分析的方法获取与安全事件处置关联的各类安全事件的事件威胁等级、事件确信度、事件与处置的关联程度、事件发生次数及事件影响的所有设备信息;
针对每一类安全事件,根据预设的各类设备类型对应的权重,按照预设的设备维度计算方法,计算得到该类安全事件的设备维度评估结果;
根据各类安全事件的事件发生次数,按照预设的次数维度计算方法,计算得到各类安全事件的次数维度评估结果;
针对每一类安全事件,根据事件威胁等级、事件确信度、事件与处置的关联程度、事件发生是否在处置发生之前、设备维度评估结果以及次数维度评估结果,计算得到各类安全事件的事件维度评估结果;
根据安全事件处置所关联的各类安全事件的事件维度评估结果,将各类安全事件的事件维度评估结果累加,计算得到安全事件处置的评估结果。
本发明的有益效果为:
本发明基于互联网安全防护系统,对各类安全防护产品进行流量采集并集成处置,对事件处置结果进行效能评估,根据安全事件智能推荐处置操作建议,同时统计历史数据展示运维人员的处置水平。这样不但可以使运维人员在使用过程中逐渐掌握应对某类安全事件的最高效处置方案,还能将其处置响应能力以图表的形式呈现,形象展示了该运维人员的能力变化过程。
附图说明
图1是本发明网络安全事件处置与评估系统的流程示意图。
图2是本发明的一种实施方式的应用实例结构图。
具体实施方式
为了使本发明的目的及优点更加清楚明白,下面结合附图和具体实施例对本发明做进一步的说明。应当理解,以下文字仅仅用以描述本发明的一种或几种具体实施方式,并不对本发明具体请求的保护范围进行严格限定。
如图1所示,一种网络安全事件处置与评估系统实施例,包括:
态势感知模块用于收集暴露在互联网中各类资产设备的访问流量,然后对网络行为作出判断,如果确定有威胁行为,则发送告警信息至安全事件处置模块,同时将当前时刻遭受攻击的资产设备环境信息和告警数量作为初始状态发送至效果评估模块;还用于对流量存储模块发送的重放流量进行分析,然后将分析结果作为完结状态发送至效果评估模块;其中,告警信息包括威胁行为的目标资产、威胁类型和攻击实施方式,分析结果包括环境信息、告警数量以及同一安全事件是否再次出现;
安全事件处置模块用于接收由态势感知模块发送的告警信息,向处置行为推荐模块的方法库发送推荐方法请求或重新设定安全事件处置方法;并按照处置行为推荐模块发送的安全事件处置方法或设定的安全事件处置方法进行处置,同时将处置的过程记录至流量存储模块并发送至效果评估模块;
流量存储模块用于存储安全事件处置后的流量,并每隔设定时间发送给态势感知平台进行重放;
效果评估模块用于结合资产设备初始状态与完结状态的指标对安全事件的处置过程做出效能评估,将评估结果及过程记录分别发送至处置行为推荐模块和人才赋能模块;
处置行为推荐模块用于接收经过评估后的应对各类安全事件的处置方法,然后采用聚类算法对安全事件及相应的处置方法打上标签并存储在方法库中;当有安全事件报警时,根据安全事件的信息匹配方法库中相似度最高的安全事件及处置方法发送至安全事件处置模块;
人才赋能模块用于接收网络安全事件处置效能评估情况,并且以雷达图的形式展示设定时间内应对网络安全事件的技能情况和平均水平。
其中,所述的效果评估模块对安全事件的处置过程做出效能评估,具体过程为:
1)基于事件关联分析的方法获取与安全事件处置关联的各类安全事件的事件威胁等级、事件确信度、事件与处置的关联程度、事件发生次数及事件影响的所有设备信息;
事件威胁等级:T;预设规则下的事件的威胁等级;例如,可划分为严重、高危、中危、低危;
事件确信度:N;预设规则下的事件的确信程度;例如,可划分为确定、高可信度、中可信度、低可信度;
事件与处置的关联程度:V;基于事件关联分析的事件与处置的关联程度;
事件发生次数:F;预设规则下,一定时间内事件的发生次数;时间阈值可以根据应用实际需要调整;
事件影响的所有设备信息:包括事件影响的设备总数p,每个设备的设备类型Ht;设备类型为预设的设备所属的类型,例如内网主机、管理员主机、业务主机、防火墙设备、安全分析设备、网络交换设备等;
2)针对每一类安全事件,根据预设的各类设备类型对应的权重,按照预设的设备维度计算方法,计算得到该类安全事件的设备维度评估结果;
具体的,根据预设的各类设备类型对应的权重,按照预设的设备维度计算方法,计算得到该类安全事件的设备维度评估结果;例如,将事件影响的每个设备的设备权重累加得到设备维度评估结果,设备维度评估结果为
Figure SMS_1
3)根据各类安全事件的事件发生次数,按照预设的次数维度计算方法,计算得到各类安全事件的次数维度评估结果;
具体的,根据各类安全事件的事件发生次数,按照预设的次数维度计算方法,计算得到各类安全事件的次数维度评估结果;例如,次数维度评估结果为log(1+F);
4)针对每一类安全事件,根据事件威胁等级、事件确信度、事件与处置的关联程度、事件发生是否在处置发生之前、设备维度评估结果以及次数维度评估结果,计算得到各类安全事件的事件维度评估结果;
具体的,根据预设的各种事件威胁等级对应的权重,结合事件确信度、事件与处置的关联程度、事件发生是否在处置发生之前、设备维度评估结果以及次数维度评估结果,按照预设的事件维度计算方法,计算得到各类安全事件的事件维度评估结果;事件发生是否在处置发生之前,U,当事件发生在处置之前,U=1,当事件发生在处置之后,U=-1;例如,事件维度评估结果为
Figure SMS_2
5)根据安全事件处置所关联的各类安全事件的事件维度评估结果,将各类安全事件的事件维度评估结果累加,计算得到安全事件处置的评估结果。
具体的,根据安全事件处置所关联的各类安全事件的事件维度评估结果,将各类安全事件的事件维度评估结果累加,计算得到安全事件处置的评估结果;例如,
安全事件处置的评估结果为
Figure SMS_3
应用实例如图2所示,包括威胁信息收集单元1、处置与评估单元2和风险资产单元3;本发明的网络安全事件处置与评估系统设在处置与评估单元2中。
威胁信息收集单元1收集各类安全产品检测到网络攻击的流量信息,并将流量和日志信息发往处置与评估单元2;接收从处置与评估单元2返回的流量,然后再次对网络环境进行检测,确认安全风险是否解除。
处置与评估单元2接收从威胁信息收集单元1发送的流量和日志信息,匹配相似安全事件的记录,推荐处置策略。安全运维人员根据策略对风险资产单元3中的被攻击设备做出处理,处置与评估单元2接收风险资产单元3的处置结果并做出效能评估,并将事件存入数据库中。
风险资产单元3接收到由处置与评估单元2发出的对高危风险设备的具体处置操作步骤。对相应设备完成处置后,将结果反馈给处置与评估单元2。

Claims (2)

1.一种网络安全事件处置与评估系统,其特征在于,包括:
态势感知模块用于收集暴露在互联网中各类资产设备的访问流量,然后对网络行为作出判断,如果确定有威胁行为,则发送告警信息至安全事件处置模块,同时将当前时刻遭受攻击的资产设备环境信息和告警数量作为初始状态发送至效果评估模块;还用于对流量存储模块发送的重放流量进行分析,然后将分析结果作为完结状态发送至效果评估模块;其中,告警信息包括威胁行为的目标资产、威胁类型和攻击实施方式,分析结果包括环境信息、告警数量以及同一安全事件是否再次出现;
安全事件处置模块用于接收由态势感知模块发送的告警信息,向处置行为推荐模块的方法库发送推荐方法请求或重新设定安全事件处置方法;并按照处置行为推荐模块发送的安全事件处置方法或设定的安全事件处置方法进行处置,同时将处置的过程记录至流量存储模块并发送至效果评估模块;
流量存储模块用于存储安全事件处置后的流量,并每隔设定时间发送给态势感知平台进行重放;
效果评估模块用于结合资产设备初始状态与完结状态的指标对安全事件的处置过程做出效能评估,将评估结果及过程记录分别发送至处置行为推荐模块和人才赋能模块;
处置行为推荐模块用于接收经过评估后的应对各类安全事件的处置方法,然后采用聚类算法对安全事件及相应的处置方法打上标签并存储在方法库中;当有安全事件报警时,根据安全事件的信息匹配方法库中相似度最高的安全事件及处置方法发送至安全事件处置模块;
人才赋能模块用于接收网络安全事件处置效能评估情况,并且以雷达图的形式展示设定时间内应对网络安全事件的技能情况和平均水平。
2.根据权利要求1所述的一种网络安全事件处置与评估系统,其特征在于,所述的效果评估模块对安全事件的处置过程做出效能评估,具体过程为:
基于事件关联分析的方法获取与安全事件处置关联的各类安全事件的事件威胁等级、事件确信度、事件与处置的关联程度、事件发生次数及事件影响的所有设备信息;
针对每一类安全事件,根据预设的各类设备类型对应的权重,按照预设的设备维度计算方法,计算得到安全事件的设备维度评估结果;
根据各类安全事件的事件发生次数,按照预设的次数维度计算方法,计算得到各类安全事件的次数维度评估结果;
针对每一类安全事件,根据事件威胁等级、事件确信度、事件与处置的关联程度、事件发生是否在处置发生之前、设备维度评估结果以及次数维度评估结果,计算得到各类安全事件的事件维度评估结果;
根据安全事件处置所关联的各类安全事件的事件维度评估结果,将各类安全事件的事件维度评估结果累加,计算得到安全事件处置的评估结果。
CN202310283998.XA 2023-03-22 2023-03-22 一种网络安全事件处置与评估系统 Pending CN116389297A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310283998.XA CN116389297A (zh) 2023-03-22 2023-03-22 一种网络安全事件处置与评估系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310283998.XA CN116389297A (zh) 2023-03-22 2023-03-22 一种网络安全事件处置与评估系统

Publications (1)

Publication Number Publication Date
CN116389297A true CN116389297A (zh) 2023-07-04

Family

ID=86966740

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310283998.XA Pending CN116389297A (zh) 2023-03-22 2023-03-22 一种网络安全事件处置与评估系统

Country Status (1)

Country Link
CN (1) CN116389297A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116827697A (zh) * 2023-08-30 2023-09-29 北京安天网络安全技术有限公司 网络攻击事件的推送方法、电子设备及存储介质
CN118174957A (zh) * 2024-05-10 2024-06-11 河北嘉豪中尧信息科技股份有限公司 一种基于大数据的网络安全在线实时监管系统
CN118503767A (zh) * 2024-07-15 2024-08-16 内蒙古蓝博检测技术有限公司 一种动物源性食品违禁成分检测方法及系统

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116827697A (zh) * 2023-08-30 2023-09-29 北京安天网络安全技术有限公司 网络攻击事件的推送方法、电子设备及存储介质
CN116827697B (zh) * 2023-08-30 2023-11-03 北京安天网络安全技术有限公司 网络攻击事件的推送方法、电子设备及存储介质
CN118174957A (zh) * 2024-05-10 2024-06-11 河北嘉豪中尧信息科技股份有限公司 一种基于大数据的网络安全在线实时监管系统
CN118503767A (zh) * 2024-07-15 2024-08-16 内蒙古蓝博检测技术有限公司 一种动物源性食品违禁成分检测方法及系统

Similar Documents

Publication Publication Date Title
CN116389297A (zh) 一种网络安全事件处置与评估系统
US8191149B2 (en) System and method for predicting cyber threat
CN110417721B (zh) 安全风险评估方法、装置、设备及计算机可读存储介质
CN110620759A (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN112153047B (zh) 一种基于区块链的网络安全运维及防御方法及系统
CN105376193B (zh) 安全事件的智能关联分析方法与装置
CN111865982B (zh) 基于态势感知告警的威胁评估系统及方法
CN113381980B (zh) 信息安全防御方法及系统、电子设备、存储介质
CN114615016B (zh) 一种企业网络安全评估方法、装置、移动终端及存储介质
CN117834308B (zh) 一种网络安全态势感知方法、系统和介质
CN113691524A (zh) 一种告警信息处理方法、系统、电子设备及存储介质
CN114448718B (zh) 一种并行检测和修复的网络安全保障方法
CN116094817A (zh) 一种网络安全检测系统和方法
CN117375985A (zh) 安全风险指数的确定方法及装置、存储介质、电子装置
CN117879961A (zh) 一种态势感知系统的威胁预警分析模型
CN118118249A (zh) 一种基于大数据的企业信息安全运维管理系统
CN117118745B (zh) 一种基于深度学习的网络安全动态预警系统
CN116827697B (zh) 网络攻击事件的推送方法、电子设备及存储介质
CN116319014A (zh) 基于云端的多业务异常行为检测方法及装置
CN115659351B (zh) 一种基于大数据办公的信息安全分析方法、系统及设备
CN111291962A (zh) 预防和打击ai犯罪与ai数据侵权的方法
CN113806753B (zh) 一种基于标签计算的内网主机威胁预测方法及系统
CN114726623A (zh) 一种高级威胁攻击评估方法、装置、电子设备及存储介质
CN115484062A (zh) 一种基于apt攻击图的威胁检测方法、装置与设备
CN110750795A (zh) 一种信息安全风险的处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination