CN116915507A - 基于安全信号匹配的计算机网络安全分析系统 - Google Patents

Abstract

本发明属于网络安全领域，具体是指一种基于安全信号匹配的计算机网络安全分析系统，包括告警分流装置、告警数据标识装置和任务流转装置，采用数字化重保管理方法实现了网络安全事件的高效管理与协同处理，提高了重保过程中的工作效率，降低重保期间的网络安全隐患，该系统整合了人员管理、客户管理、告警分流、事件管理、黑IP管理、工单管理和项目管理环节，使用了DBSCAN算法，不需要预先声明聚类数量，各项工作流程更加紧密协调，信息传递更加高效，通过数字化的方式实现了网络安全事件的全流程管理与协同处理，充分发挥了安全信号匹配技术在网络安全领域的优势，提升了重保工作的效率与质量，降低了网络安全风险。

Description

基于安全信号匹配的计算机网络安全分析系统

技术领域

本申请涉及网络安全领域，具体涉及基于安全信号匹配的计算机网络安全分析系统。

背景技术

在当前信息时代，网络安全和信息安全已经成为了一个非常重要的问题。随着信息技术的不断发展和应用，网络攻击和信息泄露的风险也越来越高。重要时期安全保障服务（简称重保服务）就是其中一项非常重要的保障措施。针对重保期间涉及到人员管理，安全威胁的识别与预警，事件的响应处置与跟进，重要资产的监测管理，重点攻击对象的入侵监测，全局的安全管理与监控工作，没有一套完整的数字化流程将以上工作串联，较为分散。影响了重保工作过程中的信息传递和事件发现到响应处置的效率，增加了重保期间的网络安全隐患。

发明内容

基于所述现有技术方案有必要针对上述问题，本发明提供一种基于安全信号匹配的计算机网络安全分析系统，通过数字化的方式管理重保项目，整合人员管理、客户管理、告警分流、事件管理、黑ip管理、工单管理、项目管理涉及到重保相关工作完成全流程数字化，以计算机应用程序的形式呈现整合后的工作流程，参与重保项目工作的安全运营人员与安全责任主体方人员共同使用该应用程序进行重保期间的工作协同与管理，通过此方法来提高重保过程中的工作效率，降低重保期间的网络安全隐患。

本发明采取的技术方案如下：本发明提供一种基于安全信号匹配的计算机网络安全分析系统，包括告警分流装置、告警数据标识装置、任务流转装置，所述计算机网络安全分析系统采用数字化重保管理方法对计算机网络进行安全分析。

所述数字化重保管理方法包括以下步骤：

步骤S1：创建重保项目，获取安全责任主体，获取运营工作人员数据；

步骤S2：点击进入重保项目，以开始管理和查看重保项目内容，重保项目包括重保概览、重保资产、黑名单ip库、重保告警模块和重保事件模块；

步骤S3：在重保项目设置中使用告警分流装置将重保告警分流，告警分流装置记录开始时间，并将时间匹配的重保告警分流至对应重保项目；

步骤S4：告警分流装置提供不同日志类型的分类选项，将命中分类的重保告警进行分流；

步骤S5：使用告警数据标识装置对分流后的重保告警进行标识，生成红名单标识或黑名单标识，红名单标识或黑名单标识作为优先级依据，标识后的重保告警数据成为告警数据A；

步骤S6：安全运营人员分析研判告警数据A，生成属于重保项目的安全事件数据；

步骤S7：执行下一步操作，包括变更安全事件数据的状态或根据安全事件数据生成安全事件报告；

步骤S8：通过任务流转装置对安全事件报告的相关数据执行流转，实现数据共享和跟踪，任务流转装置的单次执行过程定义为任务；

步骤S9：生成关于安全事件报告和安全事件数据的安全事件，在不同客户端间流转，直至安全事件完成闭环，重保项目结束后，操作限制，重保项目归档。

进一步的，在步骤S3中，重保告警分流的具体方法包括以下步骤：

步骤S31：收集初始重保告警数据，并进行预处理；

步骤S32：从初始重保告警数据中进行特征提取；

步骤S33：根据DBSCAN算法进行领域定义；

步骤S34：进行参数设置，确定DBSCAN算法的参数，包括领域范围Eps和邻居阈值MinPts，用数据集来统称以上两个参数，通过自动参数搜索来确定领域范围和邻居阈值的最佳参数；

步骤S35：根据给定的邻域参数Eps和MinPts确定所有的核心对象；

步骤S36：选择一个未处理过的核心对象，找到由其密度可达的点生成聚类簇，并不断重复以上操作直至所有核心对象都被访问过。

进一步的，在步骤S34中，使用DBSCAN算法进行自动参数搜索的具体方法包括以下步骤：

步骤S341：对于整体的搜索和分类状况，采用七元组来描述第i步的全局状态（i=1,2,...）：

其中，是DBSCAN聚类的状态， />是目前的参数组，是当前的领域范围，/>是当前的邻居阈值，/>是一系列平方距离的集合，包括/>与其空间的边界/>和/>的距离，/>与其空间边界/>和的距离，聚类是将相似的数据，包括Eps和MinPts都分成聚类簇，反之，聚类簇是具有相似性数据的分组，/>表示聚类簇的数量/>与数据的数量|V|的比值；

步骤S342：对于第i步类别的局部状态，定义一个/>元组：

其中，是类别/>的中心对象的特征，/>是特征的维度数目，/>代表聚类簇中对象的数目；

步骤S343：在自动参数搜索过程中，聚类簇数目在每一步中都会变化，使用注意力机制将全局状态和多个局部状态编码为一个定长的状态表征：

其中，和/>分别是以全局状态和局部状态为输入的全连接网络，σ代表ReLU激活函数，||代表拼接操作，/>是DBSCAN聚类在第n步的状态，/>是类别/>的注意力权重，计算公式如下：

；

步骤S344：分别将每个聚类簇的局部状态和全局状态串联，然后用一个全连接网络来打分，并且标准化这个分数作为每个聚类簇的注意力机制的系数；

步骤S345：每个聚类簇的操作在动作空间中完成，而动作空间包含相应的动作，动作空间定义A为，其中left和right分别代表减少和增加参数Eps，down和up代表减少和增大参数MinPts，而stop代表停止搜索，具体的，建立Actor作为策略网络来基于目前的状态/>来决定动作/>:

其中Actor 是一个三层的多层感知机(MLP)；

步骤S346：从第i步到第i+1的动作-参数变化过程可以如下定义：

其中，和/>分别是第i步和第i+1步的参数组/>和，/>是增加或者减少的动作幅度大小；

步骤S347：对于完整一轮的搜索过程，使用以下终止条件：

，超出边界停止

，超出最大步数限制停止

，停止动作

其中,是一轮自动参数搜索中的最大搜索步数。

进一步的，在步骤S5中，使用告警数据标识装置对分流后的重保告警进行标识的具体方法包括以下步骤：

步骤S51：从收集的重保告警数据中提取ip地址信息，ip地址信息包括攻击者ip和受害者ip，将ip地址信息与历史红名单标识和黑名单标识进行数据对比；

步骤S52：对提取的ip地址信息进行分析，获取关于该ip地址信息的详细信息，包括地理位置、历史攻击记录；

步骤S53：从ip地址信息的分析结果中提取ip特征，ip特征包括攻击频率和攻击类型；

步骤S54：基于告警数据标识装置的标识规则和策略，对ip地址信息进行判断，根据攻击频率、恶意行为、历史记录来确定是否将ip地址信息列入红名单或黑名单；

步骤S55：如果ip地址信息满足红名单规则，认定该ip地址信息为受害者ip，受害者ip列入红名单，红名单中的ip地址信息是常受攻击的目标，需要特别加强保护措施；

步骤S56：如果ip地址信息满足黑名单规则，认定该ip地址信息为恶意ip，恶意ip列入黑名单，黑名单中的ip地址信息是常见攻击源，需要特别关注和防范；

步骤S57：对于红名单和黑名单中的ip地址信息进行标识和记录，将其与相应的红名单标识或黑名单标识关联；

步骤S58：当有新的重保告警数据中包含着红名单或黑名单中的ip地址信息时，告警数据标识装置会根据标识和分类的结果，优先处理这些新的重保告警数据，以及时采取适当的安全措施；

步骤S59：红名单或黑名单中的内容需要定期进行更新，以保持最新的攻击趋势和威胁情报的一致性。

进一步的，在步骤S8中，任务流转装置对安全事件报告相关数据执行流转的具体方法包括以下步骤：

步骤S81：管理人员在任务流转装置中配置任务流转的节点、角色、规则和超时时间，每个节点需要不同的角色审核或处理，设置超时时间可确保安全事件报告不会长时间滞留；

步骤S82：当任务流转装置中的某个事件需要进行处理，任务流转装置会自动创建一个处理任务，并将处理任务流转到起始节点；

步骤S83：处理任务根据起始节点的配置分配给相应的角色，包括安全责任主体、运营人员；

步骤S84：接收处理任务的管理人员进行审核或处理，需要查看相关的安全事件报告数据，然后进行决策；

步骤S85：如果处理任务在预设的超时时间内未被处理，任务流转装置会执行相应的操作，包括自动流转至下一节点或发送提醒通知；

步骤S86：根据步骤S44的审核结果，处理任务流转到下一个节点或回到前一个节点，或被标记为已完成；

步骤S87：处理任务被处理完成后，任务流转装置会将处理任务标记为已关闭，同时记录处理结果和操作日志。

采用上述方案本发明取得的有益效果如下：

本申请主要通过数字化的方式管理重保项目，整合人员管理、客户管理、告警分流、事件管理、黑ip管理、工单管理、项目管理涉及到重保相关工作完成全流程数字化，以计算机应用程序的形式呈现整合后的工作流程，参与重保项目工作的安全运营人员与安全责任主体方人员共同使用该应用程序进行重保期间的工作协同与管理，通过此方法来提高重保过程中的工作效率，降低重保期间的网络安全隐患；

本发明在数字化管理系统中引入了告警分流装置、告警数据标识装置和任务流转装置的结构和流程，通过智能化的处理和协同作用，实现了更高效、精准的管理方式；

使用DBSCAN算法，相比较于K-means算法，DBSCAN算法不需要预先声明聚类数量，并且可以在聚类的同时发现异常点；

在DBSCAN算法中，使用自动参数搜索框架，具有高强的灵活性；

聚类结果没有偏倚，相比K-Means之类的聚类算法初始值对聚类结果的影响更小。

具体实施方式

下面将对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例；基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明采取的技术方案如下：本发明提供一种基于安全信号匹配的计算机网络安全分析系统，包括告警分流装置、告警数据标识装置、任务流转装置，所述计算机网络安全分析系统采用数字化重保管理方法对计算机网络进行安全分析。

所述数字化重保管理方法包括以下步骤：

步骤S1：创建重保项目，获取安全责任主体，获取运营工作人员数据；

步骤S2：点击进入重保项目，以开始管理和查看重保项目内容，重保项目包括重保概览、重保资产、黑名单ip库、重保告警模块和重保事件模块；

步骤S3：在重保项目设置中使用告警分流装置将重保告警分流，告警分流装置记录开始时间，并将时间匹配的重保告警分流至对应重保项目；

步骤S4：告警分流装置提供不同日志类型的分类选项，将命中分类的重保告警进行分流；

步骤S5：使用告警数据标识装置对分流后的重保告警进行标识，生成红名单标识或黑名单标识，红名单标识或黑名单标识作为优先级依据，标识后的重保告警数据成为告警数据A；

步骤S6：安全运营人员分析研判告警数据A，生成属于重保项目的安全事件数据；

步骤S7：执行下一步操作，包括变更安全事件数据的状态或根据安全事件数据生成安全事件报告；

步骤S8：通过任务流转装置对安全事件报告的相关数据执行流转，实现数据共享和跟踪，任务流转装置的单次执行过程定义为任务；

步骤S9：生成关于安全事件报告和安全事件数据的安全事件，在不同客户端间流转，直至安全事件完成闭环，重保项目结束后，操作限制，重保项目归档。

在步骤S3中，重保告警分流的具体方法包括以下步骤：

进一步的，在步骤S3中，重保告警分流的具体方法包括以下步骤：

步骤S31：收集初始重保告警数据，并进行预处理；

步骤S32：从初始重保告警数据中进行特征提取；

步骤S33：根据DBSCAN算法进行领域定义；

步骤S34：进行参数设置，确定DBSCAN算法的参数，包括领域范围Eps和邻居阈值MinPts，用数据来统称以上两个参数，通过自动参数搜索来确定领域范围和邻居阈值的最佳参数；

步骤S35：根据给定的邻域参数Eps和MinPts确定所有的核心对象；

步骤S36：选择一个未处理过的核心对象，找到由其密度可达的点生成聚类簇，并不断重复以上操作直至所有核心对象都被访问过。

进一步的，在步骤S34中，使用DBSCAN算法进行自动参数搜索的具体方法包括以下步骤：

步骤S341：对于整体的搜索和分类状况，使用了一个七元组来描述第i步的全局状态（i=1,2,...）：

其中，是DBSCAN聚类的状态， />是目前的参数组，是当前的领域范围，/>是当前的邻居阈值，/>是一系列平方距离的集合，包括/>与其空间的边界/>和/>的距离，/>与其空间边界/>和的距离，聚类是将相似的数据，包括Eps和MinPts，都分成聚类簇，反之，聚类簇是具有相似性数据的分组，/>表示聚类簇的数量/>与数据的数量|V |的比值；

步骤S342：对于第i步类别的局部状态，定义一个/>元组：

其中，是类别/>的中心对象的特征，/>是特征的维度数目，/>代表聚类簇中对象的数目；

步骤S343：在自动参数搜索过程中，聚类簇数目在每一步中都会变化，使用注意力机制将全局状态和多个局部状态编码为一个定长的状态表征：

其中，和/>分别是以全局状态和局部状态为输入的全连接网络，σ代表ReLU激活函数，||代表拼接操作，/>是DBSCAN聚类在第n步的状态，/>是类别/>的注意力权重，计算公式如下：

；

步骤S344：分别将每个聚类簇的局部状态和全局状态串联，然后用一个全连接网络来打分，并且标准化这个分数作为每个聚类簇的注意力机制的系数；

步骤S345：每个聚类簇的操作都需要在动作空间中完成，而动作空间中包含着相应的动作，动作空间定义A为，其中left和right分别代表减少和增加参数Eps，down和up代表减少和增大参数MinPts，而stop代表停止搜索，具体的，建立Actor作为策略网络来基于目前的状态/>来决定动作/>:

其中Actor 是一个三层的多层感知机(MLP)；

步骤S346：从第i步到第i+1的动作-参数变化过程可以如下定义：

其中，和/>分别是第i步和第i+1步的参数组/>和，/>是增加或者减少的动作幅度大小；

步骤S347：对于完整一轮的搜索过程，使用以下终止条件：

，超出边界停止

，超出最大步数限制停止

，停止动作

其中,是一轮搜索中的最大搜索步数。

在步骤S5中，告警数据标识的具体方法包括以下步骤：

步骤S51：从收集的重保告警数据中提取ip地址信息，ip地址信息包括攻击者ip和受害者ip，将ip地址信息与历史红名单标识和黑名单标识进行数据对比；

步骤S52：对提取的ip地址信息进行分析，获取关于该ip地址信息的详细信息，包括地理位置、历史攻击记录；

步骤S53：从ip地址信息的分析结果中提取ip特征，ip特征包括攻击频率和攻击类型；

步骤S54：基于告警数据标识装置的标识规则和策略，对ip地址信息进行判断，根据攻击频率、恶意行为、历史记录来确定是否将ip地址信息列入红名单或黑名单；

步骤S55：如果ip地址信息满足红名单规则，认定该ip地址信息为受害者ip，受害者ip列入红名单，红名单中的ip地址信息是常受攻击的目标，需要特别加强保护措施；

步骤S56：如果ip地址信息满足黑名单规则，认定该ip地址信息为恶意ip，恶意ip列入黑名单，黑名单中的ip地址信息是常见攻击源，需要特别关注和防范；

步骤S57：对于红名单和黑名单中的ip地址信息进行标识和记录，将其与相应的红名单标识或黑名单标识关联；

步骤S58：当有新的重保告警数据中包含着红名单或黑名单中的ip地址信息时，告警数据标识装置会根据标识和分类的结果，优先处理这些新的重保告警数据，以及时采取适当的安全措施；

步骤S59：红名单或黑名单中的内容需要定期进行更新，以保持最新的攻击趋势和威胁情报的一致性。

在步骤S8中，任务流转装置对安全事件报告相关数据执行流转的具体方法包括以下步骤：

步骤S81：管理人员在任务流转装置中配置任务流转的节点、角色、规则和超时时间，每个节点需要不同的角色审核或处理，设置超时时间可确保安全事件报告不会长时间滞留；

步骤S82：当任务流转装置中的某个事件需要进行处理，任务流转装置会自动创建一个处理任务，并将处理任务流转到起始节点；

步骤S83：处理任务根据起始节点的配置分配给相应的角色，包括安全责任主体、运营人员；

步骤S84：接收处理任务的管理人员进行审核或处理，需要查看相关的安全事件报告数据，然后进行决策；

步骤S85：如果处理任务在预设的超时时间内未被处理，任务流转装置会执行相应的操作，包括自动流转至下一节点或发送提醒通知；

步骤S86：根据步骤S44的审核结果，处理任务流转到下一个节点或回到前一个节点，或被标记为已完成；

步骤S87：处理任务被处理完成后，任务流转装置会将处理任务标记为已关闭，同时记录处理结果和操作日志。

本申请主要通过数字化的方式管理重保项目，整合人员管理、客户管理、告警分流、事件管理、黑IP管理、工单管理、项目管理涉及到重保相关工作完成全流程数字化，以计算机应用程序的形式呈现整合后的工作流程，参与重保项目工作的安全运营人员与安全责任主体方人员共同使用该应用程序进行重保期间的工作协同与管理，通过此方法来提高重保过程中的工作效率，降低重保期间的网络安全隐患。

本发明在数字化管理系统中引入了告警分流装置、告警数据标识装置和任务流转装置的结构和流程，通过智能化的处理和协同作用，实现了更高效、精准的管理方式。

使用DBSCAN算法，相比较于K-means算法，DBSCAN算法不需要预先声明聚类数量，并且可以在聚类的同时发现异常点。

实施例一，本发明采取的技术方案如下：本发明提供一种基于安全信号匹配的计算机网络安全分析系统，包括告警分流装置、告警数据标识装置、任务流转装置，所述计算机网络安全分析系统采用数字化重保管理方法对计算机网络进行安全分析。

所述数字化重保管理方法包括以下步骤：

步骤S1：创建重保项目，获取安全责任主体，获取运营工作人员数据；

步骤S2：点击进入重保项目，以开始管理和查看重保项目内容，重保项目包括重保概览、重保资产、黑名单ip库、重保告警模块和重保事件模块；

步骤S3：在重保项目设置中使用告警分流装置将重保告警分流，告警分流装置记录开始时间，并将时间匹配的重保告警分流至对应重保项目；

步骤S4：告警分流装置提供不同日志类型的分类选项，将命中分类的重保告警进行分流；

步骤S5：使用告警数据标识装置对分流后的重保告警进行标识，生成红名单标识或黑名单标识，红名单标识或黑名单标识作为优先级依据，标识后的重保告警数据成为告警数据A；

步骤S6：安全运营人员分析研判告警数据A，生成属于重保项目的安全事件数据；

步骤S7：执行下一步操作，包括变更安全事件数据的状态或根据安全事件数据生成安全事件报告；

步骤S8：通过任务流转装置对安全事件报告的相关数据执行流转，实现数据共享和跟踪，任务流转装置的单次执行过程定义为任务；

步骤S9：生成关于安全事件报告和安全事件数据的安全事件，在不同客户端间流转，直至安全事件完成闭环，重保项目结束后，操作限制，重保项目归档。

实施例二，该实施例基于上述实施例，进行告警分流首先需要收集告警数据，并进行预处理；并从经过预处理的告警数据中进行特征提取，之后进行自动参数搜索，确定DBSCAN算法的参数，包括领域范围ε和邻居阈值MinPts，通过自动参数搜索来确定最佳参数，最后将特征参数转化为合适的DBSCAN算法处理的数据格式。

所述自动参数搜索的方法包括以下步骤：

步骤S341：对于整体的搜索和分类状况，使用了一个七元组来描述第i步的全局状态（i=1,2,...）：

其中，是DBSCAN聚类的状态， />是目前的参数组，是当前的领域范围，/>是当前的邻居阈值，/>是一系列平方距离的集合，包括/>与其空间的边界/>和/>的距离，/>与其空间边界/>和的距离，聚类是将相似的数据，包括Eps和MinPts都分成聚类簇，反之，聚类簇是具有相似性数据的分组，/>表示聚类簇的数量/>与数据的数量|V |的比值；

步骤S342：对于第i步类别的局部状态，定义一个/>元组：

其中，是类别/>的中心对象的特征，/>是特征的维度数目，/>代表聚类簇中对象的数目；

步骤S343：在自动参数搜索过程中，聚类簇数目在每一步中都会变化，使用注意力机制将全局状态和多个局部状态编码为一个定长的状态表征：

其中，和/>分别是以全局状态和局部状态为输入的全连接网络，σ代表ReLU激活函数，||代表拼接操作，/>是DBSCAN聚类在第n步的状态，/>是类别/>的注意力权重，计算公式如下：

；

步骤S344：分别将每个聚类簇的局部状态和全局状态串联，然后用一个全连接网络来打分，并且标准化这个分数作为每个聚类簇的注意力机制的系数；

步骤S345：每个聚类簇的操作都需要在动作空间中完成，而动作空间中包含着相应的动作，动作空间定义A为，其中left和right分别代表减少和增加参数Eps，down和up代表减少和增大参数MinPts，而stop代表停止搜索，具体的，建立Actor作为策略网络来基于目前的状态/>来决定动作/>:

其中Actor 是一个三层的多层感知机(MLP)；

步骤S346：从第i步到第i+1的动作-参数变化过程可以如下定义：

其中，和/>分别是第i步和第i+1步的参数组/>和，/>是增加或者减少的动作幅度大小；

步骤S347：对于完整一轮的搜索过程，使用以下终止条件：

，超出边界停止

，超出最大步数限制停止

，停止动作

其中,是一轮搜索中的最大搜索步数。

实施例三，该实施例基于上述实施例，告警数据标识的具体方法包括以下步骤：

步骤S51：从收集的重保告警数据中提取ip地址信息，ip地址信息包括攻击者ip和受害者ip，将ip地址信息与历史红名单标识和黑名单标识进行数据对比；

步骤S52：对提取的ip地址信息进行分析，获取关于该ip地址信息的详细信息，包括地理位置、历史攻击记录；

步骤S53：从ip地址信息的分析结果中提取ip特征，ip特征包括攻击频率和攻击类型；

步骤S54：基于告警数据标识装置的标识规则和策略，对ip地址信息进行判断，根据攻击频率、恶意行为、历史记录来确定是否将ip地址信息列入红名单或黑名单；

步骤S55：如果ip地址信息满足红名单规则，认定该ip地址信息为受害者ip，受害者ip列入红名单，红名单中的ip地址信息是常受攻击的目标，需要特别加强保护措施；

步骤S56：如果ip地址信息满足黑名单规则，认定该ip地址信息为恶意ip，恶意ip列入黑名单，黑名单中的ip地址信息是常见攻击源，需要特别关注和防范；

步骤S57：对于红名单和黑名单中的ip地址信息进行标识和记录，将其与相应的红名单标识或黑名单标识关联；

步骤S58：当有新的重保告警数据中包含着红名单或黑名单中的ip地址信息时，告警数据标识装置会根据标识和分类的结果，优先处理这些新的重保告警数据，以及时采取适当的安全措施；

步骤S59：红名单或黑名单中的内容需要定期进行更新，以保持最新的攻击趋势和威胁情报的一致性。

实施例五，该实施例基于上述实施例，任务流转装置对安全事件报告相关数据执行流转的具体方法包括以下步骤：

步骤S81：管理人员在任务流转装置中配置任务流转的节点、角色、规则和超时时间，每个节点需要不同的角色审核或处理，设置超时时间可确保安全事件报告不会长时间滞留；

步骤S82：当任务流转装置中的某个事件需要进行处理，任务流转装置会自动创建一个处理任务，并将处理任务流转到起始节点；

步骤S83：处理任务根据起始节点的配置分配给相应的角色，包括安全责任主体、运营人员；

步骤S84：接收处理任务的管理人员进行审核或处理，需要查看相关的安全事件报告数据，然后进行决策；

步骤S85：如果处理任务在预设的超时时间内未被处理，任务流转装置会执行相应的操作，包括自动流转至下一节点或发送提醒通知；

步骤S86：根据步骤S44的审核结果，处理任务流转到下一个节点或回到前一个节点，或被标记为已完成；

步骤S87：处理任务被处理完成后，任务流转装置会将处理任务标记为已关闭，同时记录处理结果和操作日志。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

以上对本发明及其实施方式进行了描述，这种描述没有限制性，实际的结构并不局限于此。总而言之如果本领域的普通技术人员受其启示，在不脱离本发明创造宗旨的情况下，不经创造性的设计出与该技术方案相似的结构方式及实施例，均应属于本发明的保护范围。

Claims (7)

1.一种基于安全信号匹配的计算机网络安全分析系统，应用于网络安全，包括告警分流装置、告警数据标识装置、任务流转装置，其特征在于，所述计算机网络安全分析系统采用数字化重保管理方法对计算机网络进行安全分析；

所述数字化重保管理方法包括以下步骤：

步骤S1：创建重保项目，获取安全责任主体，获取运营工作人员数据；

步骤S2：点击进入重保项目，以开始管理和查看重保项目内容，重保项目包括重保概览、重保资产、黑名单ip库、重保告警模块和重保事件模块；

步骤S3：在重保项目设置中使用告警分流装置将重保告警分流，告警分流装置记录开始时间，并将时间匹配的重保告警分流至对应重保项目；

步骤S4：告警分流装置提供不同日志类型的分类选项，将命中分类的重保告警进行分流；

步骤S5：使用告警数据标识装置对分流后的重保告警进行标识，生成红名单标识或黑名单标识，红名单标识或黑名单标识作为优先级依据，标识后的重保告警数据成为告警数据A；

步骤S6：安全运营人员分析研判告警数据A，生成属于重保项目的安全事件数据；

步骤S7：执行下一步操作，包括变更安全事件数据的状态或根据安全事件数据生成安全事件报告；

步骤S8：通过任务流转装置对安全事件报告的相关数据执行流转，实现数据共享和跟踪，任务流转装置的单次执行过程定义为任务；

步骤S9：生成关于安全事件报告和安全事件数据的安全事件，在不同客户端间流转，直至安全事件完成闭环，重保项目结束后，操作限制，重保项目归档。

2.根据权利要求1所述的一种基于安全信号匹配的计算机网络安全分析系统，其特征在于：

在步骤S3中，告警分流的具体方法包括以下步骤：

步骤S31：收集初始重保告警数据，并进行预处理；

步骤S32：从初始重保告警数据中进行特征提取；

步骤S33：根据DBSCAN算法进行领域定义；

步骤S34：进行参数设置，确定DBSCAN算法的参数，包括领域范围ε和邻居阈值MinPts，用数据集来统称以上两个参数，通过自动参数搜索来确定领域范围和邻居阈值的最佳参数；

步骤S35：根据给定的邻域参数Eps和MinPts确定所有的核心对象；

步骤S36：选择一个未处理过的核心对象，找到由其密度可达的点生成聚类簇，并不断重复以上操作直至所有核心对象都被访问过。

3.根据权利要求2所述的一种基于安全信号匹配的计算机网络安全分析系统，其特征在于：

在步骤S34中，使用DBSCAN算法进行自动参数搜索的具体方法包括以下步骤：

步骤S341：对于整体的搜索和分类状况，采用七元组描述第i步的全局状态（i=1,2,...）：

其中，是DBSCAN聚类的状态， />是目前的参数组，是当前的领域范围，/>是当前的邻居阈值，/>是一系列平方距离的集合，包括/>与其空间的边界/>和/>的距离，/>与其空间边界/>和的距离，聚类是将相似的数据，包括Eps和MinPts都分成聚类簇，反之，聚类簇是具有相似性数据的分组，/>表示聚类簇的数量/>与数据的数量|V|的比值；

步骤S342：对于第i步类别的局部状态，定义一个/>元组：

其中，是类别/>的中心对象的特征，/>是特征的维度数目，/>代表聚类簇/>中对象的数目；

步骤S343：在自动参数搜索过程中，聚类簇数目在每一步中都会变化，使用注意力机制将全局状态和多个局部状态编码为一个定长的状态表征：

其中，和/>分别是以全局状态和局部状态为输入的全连接网络，σ代表ReLU激活函数，||代表拼接操作，/>是DBSCAN聚类在第n步的状态，/>是类别/>的注意力权重，计算公式如下：

；

步骤S344：分别将每个聚类簇的局部状态和全局状态串联，然后用一个全连接网络来打分，并且标准化这个分数作为每个聚类簇的注意力机制的系数；

步骤S345：每个聚类簇的操作在动作空间中完成，动作空间包含相应的动作，动作空间定义A为，其中left和right分别代表减少和增加参数Eps，down和up代表减少和增大参数MinPts，而stop代表停止搜索，具体的，建立Actor作为策略网络来基于目前的状态/>来决定动作/>:

其中Actor 是一个三层的多层感知机(MLP)；

步骤S346：从第i步到第i+1的动作-参数变化过程可以如下定义：

其中，和/>分别是第i步和第i+1步的参数组/>和，/>是增加或者减少的动作幅度大小；

步骤S347：对于完整一轮的搜索过程，使用以下终止条件：

，超出边界停止

，超出最大步数限制停止

，停止动作

其中,是一轮搜索中的最大搜索步数。

4.根据权利要求3所述的一种基于安全信号匹配的计算机网络安全分析系统，其特征在于：

在步骤S3中，告警分流装置将相关告警分流，装置记录开始时间，并将时间匹配的告警分流至对应重保项目，通过所述重保告警模块查看所述重保项目中相关安全责任主体的全部告警数据，前提是在所属重保设置业务模块中使用告警分流装置将告警分流，开启所述告警分流装置，由分流装置记录开始时间，并将所述告警数据中时间字段等于晚于装置中记录时间的告警分流至对应的重保项目中，实现告警分流，所述告警分流装置还提供了不同日志类型的分类可选项，支持多选，选择命中分类可选项内的告警日志则进行分流，未命中分类可选项内的告警则不分流。

5.根据权利要求4所述的一种基于安全信号匹配的计算机网络安全分析系统，其特征在于：

告警分流装置包括的手动控制模块，用于控制对所述重保项目的告警分流的开启与关闭，开启/关闭将影响所述重保项目中的是否可获取到初始告警数据，手动控制模块，用于控制所述重保项目为“已归档”状态下自动关闭告警分流，当自动关闭后，所述重保项目中将无法获取到告警数据，告警分类控制模块，用于对不同类型告警的分流进行控制，当开启时，所述重保项目中将无法获取到所选类型的告警数据。

6.根据权利要求5所述的一种基于安全信号匹配的计算机网络安全分析系统，其特征在于：

在步骤S5中，使用告警数据标识装置对分流后的重保告警进行标识的具体方法包括以下步骤：

步骤S51：从收集的重保告警数据中提取ip地址信息，ip地址信息包括攻击者ip和受害者ip，将ip地址信息与历史红名单标识和黑名单标识进行数据对比；

步骤S52：对提取的ip地址信息进行分析，获取关于该ip地址信息的详细信息，包括地理位置、历史攻击记录；

步骤S53：从ip地址信息的分析结果中提取ip特征，ip特征包括攻击频率和攻击类型；

步骤S54：基于告警数据标识装置的标识规则和策略，对ip地址信息进行判断，根据攻击频率、恶意行为、历史记录来确定是否将ip地址信息列入红名单或黑名单；

步骤S55：如果ip地址信息满足红名单规则，认定该ip地址信息为受害者ip，受害者ip列入红名单，红名单中的ip地址信息是常受攻击的目标，需要特别加强保护措施；

步骤S56：如果ip地址信息满足黑名单规则，认定该ip地址信息为恶意ip，恶意ip列入黑名单，黑名单中的ip地址信息是常见攻击源，需要特别关注和防范；

步骤S57：对于红名单和黑名单中的ip地址信息进行标识和记录，将其与相应的红名单标识或黑名单标识关联；

步骤S58：当有新的重保告警数据中包含着红名单或黑名单中的ip地址信息时，告警数据标识装置会根据标识和分类的结果，优先处理这些新的重保告警数据，以及时采取适当的安全措施；

步骤S59：红名单或黑名单中的内容需要定期进行更新，以保持最新的攻击趋势和威胁情报的一致性。

7.根据权利要求6所述的一种基于安全信号匹配的计算机网络安全分析系统，其特征在于：

在步骤S8中，任务流转装置对事件报告相关数据执行流转的具体方法包括以下步骤：

步骤S81：管理人员在任务流转装置中配置任务流转的节点、角色、规则和超时时间，每个节点需要不同的角色审核或处理，设置超时时间可确保安全事件报告不会长时间滞留；

步骤S82：当任务流转装置中的某个事件需要进行处理，任务流转装置会自动创建一个处理任务，并将处理任务流转到起始节点；

步骤S83：处理任务根据起始节点的配置分配给相应的角色，包括安全责任主体、运营人员；

步骤S84：接收处理任务的管理人员进行审核或处理，需要查看相关的安全事件报告数据，然后进行决策；

步骤S85：如果处理任务在预设的超时时间内未被处理，任务流转装置会执行相应的操作，包括自动流转至下一节点或发送提醒通知；

步骤S86：根据步骤S44的审核结果，处理任务流转到下一个节点或回到前一个节点，或被标记为已完成；

步骤S87：处理任务被处理完成后，任务流转装置会将处理任务标记为已关闭，同时记录处理结果和操作日志。