CN116668062A - 一种基于数据分析的网络安全运维管理平台 - Google Patents
一种基于数据分析的网络安全运维管理平台 Download PDFInfo
- Publication number
- CN116668062A CN116668062A CN202310377483.6A CN202310377483A CN116668062A CN 116668062 A CN116668062 A CN 116668062A CN 202310377483 A CN202310377483 A CN 202310377483A CN 116668062 A CN116668062 A CN 116668062A
- Authority
- CN
- China
- Prior art keywords
- event
- processing
- platform
- data
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012423 maintenance Methods 0.000 title claims abstract description 52
- 238000007405 data analysis Methods 0.000 title claims abstract description 39
- 238000012545 processing Methods 0.000 claims abstract description 184
- 230000002159 abnormal effect Effects 0.000 claims abstract description 100
- 238000004458 analytical method Methods 0.000 claims abstract description 55
- 230000005856 abnormality Effects 0.000 claims description 20
- 238000000034 method Methods 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 15
- 238000011156 evaluation Methods 0.000 claims description 8
- 238000012216 screening Methods 0.000 claims description 6
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 3
- 238000013079 data visualisation Methods 0.000 claims description 3
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 238000007619 statistical method Methods 0.000 claims description 3
- 238000011161 development Methods 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 7
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于数据分析的网络安全运维管理平台,属于网络安全技术领域,包括数据处理模块、MPP数据库、异常执行模块、事件判别模块、平台配处模块,平台配处模块获取同盟平台的事件处理信息并进行能力分析处理得到同盟平台的事件处理指数;对问题事件进行配置处理以得到辅助平台;辅助平台对问题事件进行辅助处理并反馈得到问题事件的反馈结果。本发明将运维管理平台出现无法解决的异常情况与辅助平台进行协助,通过其它平台对该平台进行协助,及时对无法解决的异常情况进行有效措施,实现网络安全的稳定性与可靠性,同时共同推动运维管理平台网络安全的发展和进步,提供高质量的服务和支持,尽少出现异常情况而导致的安全事故和影响。
Description
技术领域
本发明属于网络安全技术领域,具体为一种基于数据分析的网络安全运维管理平台。
背景技术
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
在专利公开号CN112398823A公开了一种大数据分析的网络信息安全预警平台,网络信息安全预警平台可实现对网络中的安全风险进行有效的监测和分析,同时基于该网络信息安全预警平台可开展基于网络流量和网络设备日志分析的信息安全预警技术研究,建立网络与信息安全事件预警工作机制,为网络安全预警及处置提供判断依据。
在在网络安全运维管理中心的日常运维过程中,虽可根据现有技术智能分析各种数据的结果,自动进行安全防御措施,但若网络安全运维平台出现无法及时解决的异常情况,可能会对企业的网络安全带来重大影响,缺少网络安全相关平台之间相互协助的功能。因此,我们提出一种基于数据分析的网络安全运维管理平台,来解决上述中遇到的问题。
发明内容
针对现有技术存在的不足,本发明提供一种基于数据分析的网络安全运维管理平台,以解决上述背景技术中提出若网络安全运维平台出现无法及时解决的异常情况,可能会对企业的网络安全带来重大影响,缺少网络安全相关平台之间相互协助的功能的问题。
本发明的目的可以通过以下技术方案实现:包括数据采集模块、数据处理模块、MPP数据库、异常执行模块、事件判别模块、平台配处模块;
所述数据采集模块用于从网络中收集各种数据;
所述数据处理模块用于对采集到的各种数据进行数据分析,以得到异常情况;根据异常情况以获得对应异常情况的处理策略;
所述MPP数据库用于管理和组织各种数据,提供对各种数据的存储、检索、更新和删除;记录对应所有异常情况的总数、处理成功次数及问题事件,并将其标记为事件处理信息;对事件处理信息进行能力分析处理得到该运维管理平台的事件处理指数;
所述异常执行模块用于接收处理策略以执行对应策略的处理操作;当对应策略的处理操作完成后反馈得到处理结果并发送到事件判别模块;
所述事件判别模块用于对处理结果进行判断处理,具体为:若处理结果为已实现处理,则处理成功次数增加一次,若为未实现处理,则将该未实现处理对应的异常情况标记为未完成问题;若处理结果为已实现处理,则处理成功次数增加一次,若处理结果为未实现处理,则将未完成问题及对应的处理策略、处理操作、异常情况标记为问题事件,并将问题事件发送到平台配处模块;
所述平台配处模块通过各种支持安全相关的标准协议,获取同盟平台的事件处理信息并进行能力分析处理得到同盟平台的事件处理指数;对问题事件进行配置处理以得到辅助平台;辅助平台对问题事件进行辅助处理并反馈得到问题事件的反馈结果。
作为本发明的一种优选实施方式,所述数据处理模块对各种数据进行数据分析以得到异常情况的具体流程如下:
获取网络中采集到的各种数据;对各种数据进行数据分析生成数据情况;其中,数据情况包括正常数据和异常数据;若数据情况为正常数据,则根据正常数据生成正常情况;若数据情况为异常数据,则记录数据分析的次数;统计该异常数据的所有数据分析次数,若数据分析次数大于分析阈值,则根据异常数据生成异常情况,若数据分析次数小于分析阈值,则将异常数据发送到重复分析模块;重复分析模块对异常数据进行再分析处理得到数据情况;若数据情况为正常数据,则将正常数据重新输入到数据处理模块;若数据情况为异常数据,则根据异常数据生成对应异常情况;其中,异常情况包括网络流量异常、系统日志异常、安全事件异常、用户行为异常、系统配置异常。
作为本发明的一种优选实施方式,所述MPP数据库包括报表统计析处单元、事件管理单元、用户管理单元和评定单元;
所述事件管理单元用于对运维管理平台的各种数据进行分类管理以得到事件分类;其中,事件分类包括安全事件、操作事件、系统事件、用户事件、日志事件;
所述报表统计析处单元用于对运维管理平台的各种数据进行统计分析得到分析结果;其中,分析结果包括网络流量统计表,系统日志分析报告、安全事件趋势分析图、用户行为分析报告、系统配置安全评估报告;通过采用数据可视化工具对采集的各种数据进行统计分析,并将分析结果以图表、报表等形式展示;
所述用户管理单元用于对运维管理平台的使用用户进行管理;
所述评定单元用于记录对应所有异常情况的总数、处理成功次数及问题事件,并将其标记为事件处理信息;对事件处理信息进行能力分析处理得到该运维管理平台的事件处理指数。
作为本发明的一种优选实施方式,对事件处理信息进行能力分析处理,其具体过程如下:
将生成问题事件的时刻与得到反馈结果的时刻之间的时区标记为用时时区,识别处于该用时时区正在处理中的问题事件数量,且从MPP数据库提取对应问题事件的总次数以及处理成功次数,并分别将用时时区的时长、用时时区正在处理中的问题事件数量、问题事件总次数以及处理成功次数标记为TF1、TF2、TF3、TF4;对TF1、TF2、TF3、TF4进行计算得到问题事件对应事件类型的事件处理指数。
作为本发明的一种优选实施方式,所述平台配处模块对问题事件进行配置处理的过程如下:
获取同盟平台对问题事件对应事件类型的事件处理指数,将所有同盟平台名称、事件类型以及事件处理指数规整为总事件处理列表;其中,事件类型根据异常情况进行分类,事件类型包括流量异常类型、系统日志异常类型、安全事件异常类型、用户行为异常类型和系统配置异常类型;将问题事件、请求信息录入求助信息中,将求助信息发送到问题事件所对应的事件类型的最大事件处理指数对应的同盟平台;若同盟平台在指定时间内未响应或反馈无法帮助信息,则向上述事件处理指数次之所对应的同盟平台发送求助信息;将反馈同意信息的同盟平台标记为辅助平台;辅助平台对问题事件进行辅助处理并反馈得到问题事件的反馈结果;
若反馈结果为已完成处理,则将该问题事件记为已处理事件,若反馈结果为未成功处理,则向上述事件处理指数次之所对应的同盟平台发送求助信息。
作为本发明的一种优选实施方式,本发明还包括插件扩展模块;所述插件扩展模块用于扩展各种安全相关的功能和工具。
作为本发明的一种优选实施方式,本发明还包括同盟注册单元;所述同盟注册单元可用于管理平台通过智能终端提交平台信息进行注册,将注册成功的管理平台记为同平台用户并发送到MPP数据库;对同平台用户进行筛分以得到同盟运维管理平台,简称为“同盟平台”;
对同平台用户进行筛分的过程为:获取同平台用户的基本信息以获得同平台用户的所属行业,将与网络安全相关的同平台用户记为二类用户,获取二类用户中具有相同职能的同用户平台,将用于网络安全运维职能的同用户平台的记为一类用户;将所有的一类用户和二类用户标记为同盟平台。
作为本发明的一种优选实施方式,本发明还包括协助模块,所述协助模块用于接收同盟平台的求助信息,以得到同盟平台的问题事件,提取当前时刻运维管理平台正在处理的对应异常情况个数,将该个数与设定的对应阈值进行比对,若异常情况个数大于设定的对应阈值,则向对应同盟平台反馈无法帮助信息,若异常情况个数小于设定的对应阈值,则对求助同盟平台的问题事件辅助处理。
与现有技术相比,本发明的有益效果:
1、本发明通过MPP数据库、平台配处模块、协助模块,会将运维管理平台出现无法解决的异常情况与辅助平台进行协助,通过其它平台对该平台进行协助,及时对无法解决的异常情况进行有效措施,实现网络安全的稳定性与可靠性,同时共同推动运维管理平台网络安全的发展和进步,提供高质量的服务和支持,尽少出现异常情况而导致的安全事故和影响;
2、本发明通过平台配处模块对事件处理信息进行能力分析处理,以得到同盟平台中对问题事件对应事件类型的事件处理指数;并通过配置处理将求助信息发送到对应事件类型中最大事件处理指数的同盟平台,对运维管理平台进行协助,以尽快解决运维管理平台出现的问题。
附图说明
为了便于本领域技术人员理解,下面结合附图对本发明作进一步的说明。
图1是本发明一种基于数据分析的网络安全运维管理平台的原理框图;
图2是本发明一种基于数据分析的网络安全运维管理平台的数据分析时的流程图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1-图2所示,一种基于数据分析的网络安全运维管理平台,包括数据采集模块、数据处理模块、MPP数据库、异常执行模块、事件判别模块、平台配处模块;
数据采集模块用于从网络中收集各种数据;
需要说明的是,各种数据通过各种安全设备和软件收集,例如防火墙、入侵检测系统、网络流量分析软件等,也可以通过网络抓包工具进行抓包收集;
数据处理模块用于对采集到的各种数据进行数据分析,以得到异常情况;根据异常情况以获得对应异常情况的处理策略;
需要说明的是,数据处理模块通过对网络中传输的数据量、系统运行状态和操作的信息、网络中发生的安全事件信息、用户在网络中的行为、系统配置信息的数据进行数据分析,以得到对应的判定值,若对应的判定值大于设定的对应阈值,则生成网络流量异常、系统日志异常、安全事件异常、用户行为异常或系统配置异常;将网络流量异常、系统日志异常、安全事件异常、用户行为异常、系统配置异常标记为异常情况;根据异常情况以获得对应异常情况的处理策略;其中,处理策略包括阻止异常流量的攻击、封禁异常登录的IP地址、拦截恶意攻击行为以及自动修复系统漏洞;其中,数据分析的方法现有技术中较为成熟,在此不在过多描述;
MPP数据库用于管理和组织各种数据,提供对各种数据的存储、检索、更新和删除;
异常执行模块用于接收处理策略以执行对应策略的处理操作;当对应策略的处理操作完成后反馈得到处理结果并发送到事件判别模块;
事件判别模块用于对处理结果进行判断处理,具体为:若处理结果为已实现处理,则处理成功次数增加一次,若为未实现处理,则将该未实现处理对应的异常情况标记为未完成问题;若处理结果为已实现处理,则处理成功次数增加一次,若处理结果为未实现处理,则将未完成问题及对应的处理策略、处理操作、异常情况标记为问题事件,并将问题事件发送到平台配处模块;
平台配处模块通过各种支持安全相关的标准协议,获取同盟平台的事件处理信息并进行能力分析处理得到同盟平台的事件处理指数;对问题事件进行配置处理以得到辅助平台;辅助平台对问题事件进行辅助处理并反馈得到问题事件的反馈结果。
需要说明的是,辅助平台对问题事件进行辅助处理,具体为:该运维管理平台与辅助平台通过API接口通过各种安全相关的标准协议进行集成和协同工作;
在本申请中,数据处理模块对各种数据进行数据分析以得到异常情况的具体流程如下:
获取网络中采集到的各种数据;对各种数据进行数据分析生成数据情况;其中,数据情况包括正常数据和异常数据;若数据情况为正常数据,则根据正常数据生成正常情况;若数据情况为异常数据,则记录数据分析的次数;统计该异常数据的所有数据分析次数,若数据分析次数大于分析阈值,则根据异常数据生成异常情况,若数据分析次数小于分析阈值,则将异常数据发送到重复分析模块;重复分析模块对异常数据进行再分析处理得到数据情况;若数据情况为正常数据,则将正常数据重新输入到数据处理模块;若数据情况为异常数据,则根据异常数据生成对应异常情况。
需要说明的是,通过设置有重复分析模块,对数据处理模块分析后的异常数据进行重复分析,以保证异常数据的准确性,避免由异常数据生成的处理策略的产生;
在本申请中,MPP数据库包括报表统计析处单元、事件管理单元、用户管理单元和评定单元;
事件管理单元用于对运维管理平台的各种数据进行分类管理以得到事件分类;其中,事件分类包括安全事件、操作事件、系统事件、用户事件、日志事件;实现对运维管理平台及时发现和处理各种安全事件,提高平台的安全性和可靠性。
报表统计析处单元用于对运维管理平台的各种数据进行统计分析得到分析结果;其中,分析结果包括网络流量统计表,系统日志分析报告、安全事件趋势分析图、用户行为分析报告、系统配置安全评估报告;通过采用数据可视化工具对采集的各种数据进行统计分析,并将分析结果以图表、报表等形式展示;例如Tableau、Power BI、Google DataStudio等。这些工具可以将各种数据以图表、报表等形式展示出来,帮助用户更直观地了解数据的网络安全状态和趋势。
用户管理单元用于对运维管理平台的使用用户进行管理;
评定单元用于记录对应所有异常情况的总数、处理成功次数及问题事件,并将其标记为事件处理信息;对事件处理信息进行能力分析处理得到问题事件对应事件类型的事件处理指数。
在本申请中,对事件处理信息进行能力分析处理,其具体过程如下:
将生成问题事件的时刻与得到反馈结果的时刻之间的时区标记为用时时区,识别处于该用时时区正在处理中的问题事件数量,且从MPP数据库提取对应问题事件的总次数以及处理成功次数,并分别将用时时区的时长、用时时区正在处理中的问题事件数量、问题事件总次数以及处理成功次数标记为TF1、TF2、TF3、TF4;对TF1、TF2、TF3、TF4进行计算得到问题事件对应事件类型的事件处理指数TFi;通过公式可知,问题事件对应事件类型处理的用时时长越短、对应用时时区正在处理中的问题事件数越少、问题事件总次数越大和处理成功次数越多,则对应事件类型的事件处理指数越大,表示该同盟平台被选定为辅助平台的概率越大;TFi表示在第i时刻问题事件对应事件类型的事件处理指数,其中,a1、a2、a3和a4分别表示用时时区的时长、用时时区正在处理中的问题事件数量、问题事件总次数以及处理成功次数所对应的权重影响因子。
在本申请中,平台配处模块对问题事件进行配置处理的过程如下:
获取同盟平台对问题事件对应事件类型的事件处理指数,将所有同盟平台名称、事件类型以及事件处理指数规整为总事件处理列表;其中,事件类型根据异常情况进行分类,事件类型包括流量异常类型、系统日志异常类型、安全事件异常类型、用户行为异常类型和系统配置异常类型;将问题事件、请求信息录入求助信息中,将求助信息发送到问题事件所对应的事件类型的最大事件处理指数对应的同盟平台;若同盟平台在指定时间内未响应或反馈无法帮助信息,则向上述事件处理指数次之所对应的同盟平台发送求助信息;将反馈同意信息的同盟平台标记为辅助平台;辅助平台对问题事件进行辅助处理并反馈得到问题事件的反馈结果;
若反馈结果为已完成处理,则将该问题事件记为已处理事件,若反馈结果为未成功处理,则向上述事件处理指数次之所对应的同盟平台发送求助信息。
在本申请中,本发明还包括插件扩展模块;
插件扩展模块用于扩展各种安全相关的功能和工具。
需要说明的是,扩展各种安全相关的功能和工具,例如漏洞扫描、配置管理、日志分析等,以提供全面的安全管理服务;举一实例,提供有API接口,使得该运维管理平台可以支持各种安全相关的标准协议,例如SNMP、NetFlow、Syslog等,使得能够与其它安全产品进行集成和协同工作。
在本申请中,本发明还包括同盟注册单元;同盟注册单元可用于管理平台通过智能终端提交平台信息进行注册,将注册成功的管理平台记为同平台用户并发送到MPP数据库;对同平台用户进行筛分以得到同盟运维管理平台,简称为“同盟平台”;
对同平台用户进行筛分的过程为:获取同平台用户的基本信息以获得同平台用户的所属行业,将与网络安全相关的同平台用户记为二类用户,获取二类用户中具有相同职能的同用户平台,将用于网络安全运维职能的同用户平台的记为一类用户;将所有的一类用户和二类用户标记为同盟平台;该运维管理平台在选取同盟平台时,一类用户的优先级大于二类用户的优先级。
在本申请中,本发明还包括协助模块,协助模块用于接收同盟平台的求助信息,以得到同盟平台的问题事件,提取当前时刻运维管理平台正在处理的对应异常情况个数,将该个数与设定的对应阈值进行比对,若异常情况个数大于设定的对应阈值,则向对应同盟平台反馈无法帮助信息,若异常情况个数小于设定的对应阈值,则对求助同盟平台的问题事件辅助处理;
需要说明的是,对求助同盟平台的问题事件辅助处理,具体为:通过API接口使该运维管理平台通过各种安全相关的标准协议与求助同盟平台进行集成和协同工作。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (7)
1.一种基于数据分析的网络安全运维管理平台,其特征在于,包括:
数据采集模块,用于从网络中收集各种数据;
数据处理模块,用于对采集到的各种数据进行数据分析,以得到异常情况;根据异常情况以获得对应异常情况的处理策略;
MPP数据库,用于管理和组织各种数据,提供对各种数据的存储、检索、更新和删除;记录对应所有异常情况的总数、处理成功次数及问题事件,并将其标记为事件处理信息;对事件处理信息进行能力分析处理得到该运维管理平台的事件处理指数;
异常执行模块,用于接收处理策略以执行对应策略的处理操作;当对应策略的处理操作完成后反馈得到处理结果并发送到事件判别模块;
事件判别模块,用于对处理结果进行判断处理,具体为:若处理结果为已实现处理,则处理成功次数增加一次,若为未实现处理,则将该未实现处理对应的异常情况标记为未完成问题;若处理结果为已实现处理,则处理成功次数增加一次,若处理结果为未实现处理,则将未完成问题及对应的处理策略、处理操作、异常情况标记为问题事件,并将问题事件发送到平台配处模块;
平台配处模块,通过各种支持安全相关的标准协议,获取同盟平台的事件处理信息并进行能力分析处理得到同盟平台的事件处理指数;对问题事件进行配置处理以得到辅助平台;辅助平台对问题事件进行辅助处理并反馈得到问题事件的反馈结果。
2.根据权利要求1所述的一种基于数据分析的网络安全运维管理平台,其特征在于,所述数据处理模块对各种数据进行数据分析以得到异常情况的具体流程如下:
获取网络中采集到的各种数据;对各种数据进行数据分析生成数据情况;其中,数据情况包括正常数据和异常数据;若数据情况为正常数据,则根据正常数据生成正常情况;若数据情况为异常数据,则记录数据分析的次数;统计该异常数据的所有数据分析次数,若数据分析次数大于分析阈值,则根据异常数据生成异常情况,若数据分析次数小于分析阈值,则将异常数据发送到重复分析模块;重复分析模块对异常数据进行再分析处理得到数据情况;若数据情况为正常数据,则将正常数据重新输入到数据处理模块;若数据情况为异常数据,则根据异常数据生成对应异常情况;其中,异常情况包括网络流量异常、系统日志异常、安全事件异常、用户行为异常、系统配置异常。
3.根据权利要求1所述的一种基于数据分析的网络安全运维管理平台,其特征在于,所述MPP数据库包括报表统计析处单元、事件管理单元、用户管理单元和评定单元;
所述事件管理单元用于对运维管理平台的各种数据进行分类管理以得到事件分类;其中,事件分类包括安全事件、操作事件、系统事件、用户事件、日志事件;
所述报表统计析处单元用于对运维管理平台的各种数据进行统计分析得到分析结果;其中,分析结果包括网络流量统计表,系统日志分析报告、安全事件趋势分析图、用户行为分析报告、系统配置安全评估报告;通过采用数据可视化工具对采集的各种数据进行统计分析,并将分析结果以图表、报表等形式展示;
所述用户管理单元用于对运维管理平台的使用用户进行管理;
所述评定单元用于记录对应所有异常情况的总数、处理成功次数及问题事件,并将其标记为事件处理信息;对事件处理信息进行能力分析处理得到该运维管理平台的事件处理指数。
4.根据权利要求1所述的一种基于数据分析的网络安全运维管理平台,其特征在于,对事件处理信息进行能力分析处理,其具体过程如下:
将生成问题事件的时刻与得到反馈结果的时刻之间的时区标记为用时时区,识别处于该用时时区正在处理中的问题事件数量,且从MPP数据库提取对应问题事件的总次数以及处理成功次数,并分别对用时时区的时长、用时时区正在处理中的问题事件数量、问题事件总次数以及处理成功次数进行标记和计算得到问题事件对应事件类型的事件处理指数。
5.根据权利要求1所述的一种基于数据分析的网络安全运维管理平台,其特征在于,所述平台配处模块对问题事件进行配置处理的过程如下:
获取同盟平台对问题事件对应事件类型的事件处理指数,将所有同盟平台名称、事件类型以及事件处理指数规整为总事件处理列表;其中,事件类型根据异常情况进行分类,事件类型包括流量异常类型、系统日志异常类型、安全事件异常类型、用户行为异常类型和系统配置异常类型;将问题事件、请求信息录入求助信息中,将求助信息发送到问题事件所对应的事件类型的最大事件处理指数对应的同盟平台;若同盟平台在指定时间内未响应或反馈无法帮助信息,则向上述事件处理指数次之所对应的同盟平台发送求助信息;将反馈同意信息的同盟平台标记为辅助平台;辅助平台对问题事件进行辅助处理并反馈得到问题事件的反馈结果;
若反馈结果为已完成处理,则将该问题事件记为已处理事件,若反馈结果为未成功处理,则向上述事件处理指数次之所对应的同盟平台发送求助信息。
6.根据权利要求1所述的一种基于数据分析的网络安全运维管理平台,其特征在于,还包括同盟注册单元;所述同盟注册单元用于管理平台通过智能终端提交平台信息进行注册,将注册成功的管理平台记为同平台用户并发送到MPP数据库;对同平台用户进行筛分以得到同盟运维管理平台;
对同平台用户进行筛分的过程为:获取同平台用户的基本信息以获得同平台用户的所属行业,将与网络安全相关的同平台用户记为二类用户,获取二类用户中具有相同职能的同用户平台,将用于网络安全运维职能的同用户平台的记为一类用户;将所有的一类用户和二类用户标记为同盟平台。
7.根据权利要求1所述的一种基于数据分析的网络安全运维管理平台,其特征在于,还包括协助模块,所述协助模块用于接收同盟平台的求助信息,以得到同盟平台的问题事件,提取当前时刻运维管理平台正在处理的对应异常情况个数,将该个数与设定的对应阈值进行比对,若异常情况个数大于设定的对应阈值,则向对应同盟平台反馈无法帮助信息,若异常情况个数小于设定的对应阈值,则对求助同盟平台的问题事件辅助处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310377483.6A CN116668062B (zh) | 2023-04-11 | 2023-04-11 | 一种基于数据分析的网络安全运维管理平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310377483.6A CN116668062B (zh) | 2023-04-11 | 2023-04-11 | 一种基于数据分析的网络安全运维管理平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116668062A true CN116668062A (zh) | 2023-08-29 |
| CN116668062B CN116668062B (zh) | 2024-01-05 |
Family
ID=87710668
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310377483.6A Active CN116668062B (zh) | 2023-04-11 | 2023-04-11 | 一种基于数据分析的网络安全运维管理平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116668062B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070261100A1 (en) * | 2006-05-05 | 2007-11-08 | Greeson Robert L | Platform independent distributed system and method that constructs a security management infrastructure |
| KR101180092B1 (ko) * | 2012-03-05 | 2012-09-05 | 워치아이시스템주식회사 | 보안이벤트 분석방법 및 분석시스템, 그 기록매체 |
| CN103888287A (zh) * | 2013-12-18 | 2014-06-25 | 北京首都国际机场股份有限公司 | 信息系统一体化运维监控服务预警平台及其实现方法 |
| CN105119750A (zh) * | 2015-09-08 | 2015-12-02 | 南京联成科技发展有限公司 | 一种基于大数据的分布式信息安全运维管理平台 |
| CN106897193A (zh) * | 2017-02-28 | 2017-06-27 | 郑州云海信息技术有限公司 | 一种基于itil的云数据中心的监控运维管理系统 |
| CN107733693A (zh) * | 2017-09-22 | 2018-02-23 | 中国人民解放军国防科技大学 | 基于安全事件统计的网络安全运维能力评估方法及系统 |
| CN108880842A (zh) * | 2017-05-11 | 2018-11-23 | 上海宏时数据系统有限公司 | 一种自动化运维平台的故障根源分析定位系统及分析方法 |
| CN110532247A (zh) * | 2019-08-28 | 2019-12-03 | 北京皮尔布莱尼软件有限公司 | 数据迁移方法和数据迁移系统 |
| CN112995196A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全等级保护中态势感知信息的处理方法及系统 |
| US20210211452A1 (en) * | 2020-01-04 | 2021-07-08 | Jigar N. Patel | Device cybersecurity risk management |
| CA3125101A1 (en) * | 2020-03-09 | 2021-09-09 | Flexxon Pte. Ltd. | System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats |
| US20210357281A1 (en) * | 2020-05-14 | 2021-11-18 | At&T Intellectual Property I, L.P. | Using User Equipment Data Clusters and Spatial Temporal Graphs of Abnormalities for Root Cause Analysis |
| CN114143033A (zh) * | 2021-11-01 | 2022-03-04 | 北京银盾泰安网络科技有限公司 | 一种云平台用户管理和运维集成系统 |
| CN115567235A (zh) * | 2022-08-02 | 2023-01-03 | 红蓝网络科技(扬州)有限公司 | 一种网络安全应急处置系统及应用方法 |
-
2023
- 2023-04-11 CN CN202310377483.6A patent/CN116668062B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070261100A1 (en) * | 2006-05-05 | 2007-11-08 | Greeson Robert L | Platform independent distributed system and method that constructs a security management infrastructure |
| KR101180092B1 (ko) * | 2012-03-05 | 2012-09-05 | 워치아이시스템주식회사 | 보안이벤트 분석방법 및 분석시스템, 그 기록매체 |
| CN103888287A (zh) * | 2013-12-18 | 2014-06-25 | 北京首都国际机场股份有限公司 | 信息系统一体化运维监控服务预警平台及其实现方法 |
| CN105119750A (zh) * | 2015-09-08 | 2015-12-02 | 南京联成科技发展有限公司 | 一种基于大数据的分布式信息安全运维管理平台 |
| CN106897193A (zh) * | 2017-02-28 | 2017-06-27 | 郑州云海信息技术有限公司 | 一种基于itil的云数据中心的监控运维管理系统 |
| CN108880842A (zh) * | 2017-05-11 | 2018-11-23 | 上海宏时数据系统有限公司 | 一种自动化运维平台的故障根源分析定位系统及分析方法 |
| CN107733693A (zh) * | 2017-09-22 | 2018-02-23 | 中国人民解放军国防科技大学 | 基于安全事件统计的网络安全运维能力评估方法及系统 |
| CN110532247A (zh) * | 2019-08-28 | 2019-12-03 | 北京皮尔布莱尼软件有限公司 | 数据迁移方法和数据迁移系统 |
| US20210211452A1 (en) * | 2020-01-04 | 2021-07-08 | Jigar N. Patel | Device cybersecurity risk management |
| CA3125101A1 (en) * | 2020-03-09 | 2021-09-09 | Flexxon Pte. Ltd. | System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats |
| US20210357281A1 (en) * | 2020-05-14 | 2021-11-18 | At&T Intellectual Property I, L.P. | Using User Equipment Data Clusters and Spatial Temporal Graphs of Abnormalities for Root Cause Analysis |
| CN112995196A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全等级保护中态势感知信息的处理方法及系统 |
| CN114143033A (zh) * | 2021-11-01 | 2022-03-04 | 北京银盾泰安网络科技有限公司 | 一种云平台用户管理和运维集成系统 |
| CN115567235A (zh) * | 2022-08-02 | 2023-01-03 | 红蓝网络科技(扬州)有限公司 | 一种网络安全应急处置系统及应用方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116668062B (zh) | 2024-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112769796B (zh) | 一种基于端侧边缘计算的云网端协同防御方法及系统 | |
| CN113515433B (zh) | 告警日志处理方法、装置、设备及存储介质 | |
| CN103368979B (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
| CN110620790B (zh) | 一种网络安全设备联动处置方法及装置 | |
| US20120124666A1 (en) | Method for detecting and preventing a ddos attack using cloud computing, and server | |
| CN112491805B (zh) | 一种应用于云平台的网络安全设备管理系统 | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| CN108521408A (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| CN112039862A (zh) | 一种面向多维立体网络的安全事件预警方法 | |
| US20210044607A1 (en) | Monitor, monitoring method, and recording medium | |
| CN114143064B (zh) | 一种多源网络安全告警事件溯源与自动处置方法及装置 | |
| CN111212035A (zh) | 一种主机失陷确认及自动修复方法及基于此的系统 | |
| CN114448693A (zh) | 结合rpa和ai的安全控制方法、装置、电子设备和介质 | |
| CN110929896A (zh) | 一种系统设备的安全分析方法及装置 | |
| CN111274218A (zh) | 一种电力信息系统多源日志数据处理方法 | |
| CN115021997A (zh) | 一种基于机器学习的网络入侵检测系统 | |
| KR100846835B1 (ko) | 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법 | |
| CN117640257B (zh) | 一种基于大数据的网络安全运营的数据处理方法及系统 | |
| CN111147521A (zh) | 一种企业专用网络安全事件管理系统 | |
| CN116668062B (zh) | 一种基于数据分析的网络安全运维管理平台 | |
| CN112528325B (zh) | 一种数据信息的安全处理方法及系统 | |
| CN116962049A (zh) | 一种综合监测和主动防御的零日漏洞攻击防控方法和系统 | |
| CN111049853A (zh) | 一种基于计算机网络的安全认证系统 | |
| CN115618353A (zh) | 一种工业生产安全的识别系统及方法 | |
| CN111224823A (zh) | 一种基于异网日志分析的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |