CN117834308A - 一种网络安全态势感知方法、系统和介质 - Google Patents

一种网络安全态势感知方法、系统和介质 Download PDF

Info

Publication number
CN117834308A
CN117834308A CN202410251623.XA CN202410251623A CN117834308A CN 117834308 A CN117834308 A CN 117834308A CN 202410251623 A CN202410251623 A CN 202410251623A CN 117834308 A CN117834308 A CN 117834308A
Authority
CN
China
Prior art keywords
data
network security
early warning
information
security situation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202410251623.XA
Other languages
English (en)
Other versions
CN117834308B (zh
Inventor
冯继威
李彦君
高伟明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nets Technology Group Co ltd
Original Assignee
Nets Technology Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nets Technology Group Co ltd filed Critical Nets Technology Group Co ltd
Priority to CN202410251623.XA priority Critical patent/CN117834308B/zh
Publication of CN117834308A publication Critical patent/CN117834308A/zh
Application granted granted Critical
Publication of CN117834308B publication Critical patent/CN117834308B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了一种网络安全态势感知方法、系统和介质。方法包括:获取预设时间周期内的网络安全防护信息和服务器防护记录信息,网络安全防护信息包括协同合作信息、威胁感知信息和网络重要节点信息,服务器防护记录信息包括本地日志信息和系统薄弱点监测信息,根据协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数,再对网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数,将网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况。

Description

一种网络安全态势感知方法、系统和介质
技术领域
本申请涉及大数据分析及网络安全技术领域,具体而言,涉及一种网络安全态势感知方法、系统和介质。
背景技术
随着互联网技术的快速发展,网络安全问题日益凸显,传统的网络安全防护手段已经无法满足当前复杂多变的网络安全威胁。因此网络安全态势感知技术的出现,对于提升网络安全防护能力具有重要的意义。网络安全态势感知技术可以对网络中存在的安全威胁进行实时监测和预警,减少安全事件的发生,还可以对网络中的各种安全威胁进行分类和评估,帮助管理人员更好地了解网络安全的整体情况,制定更加有效的安全策略,还可以对网络中的漏洞和弱点进行检测和修复,提高网络的整体安全性。
目前的网络安全态势感知技术仍存在数据整合不足、威胁情报滞后和误报漏报等问题,在网络安全态势的实时监测和预警方面也缺乏准确性和及时性,态势感知技术普遍没有针对性。
针对上述问题,目前亟待有效的技术解决方案。
发明内容
本申请实施例的目的在于提供一种网络安全态势感知方法、系统和介质,可以通过获取预设时间周期内的网络安全防护信息和服务器防护记录信息,网络安全防护信息包括协同合作信息、威胁感知信息和网络重要节点信息,服务器防护记录信息包括本地日志信息和系统薄弱点监测信息,再根据协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数,而后通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数,将网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况,获得判断结果并生成对应的安全决策方案。
本申请实施例提供了一种网络安全态势感知方法,包括以下步骤:
获取预设时间周期内的网络安全防护信息和服务器防护记录信息,所述网络安全防护信息包括协同合作信息、威胁感知信息和网络重要节点信息,所述服务器防护记录信息包括本地日志信息和系统薄弱点监测信息;
根据所述协同合作信息、威胁感知信息和网络重要节点信息分别提取协同预警数据、威胁感知数据和骨干节点特征数据;
根据所述本地日志信息和系统薄弱点监测信息分别提取访问日志数据和脆弱性特征数据;
根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数;
通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数;
将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况,获得判断结果;
根据所述判断结果生成对应的安全决策方案。
其中,在本申请实施例所述的一种网络安全态势感知方法中,所述根据所述协同合作信息、威胁感知信息和网络重要节点信息分别提取协同预警数据、威胁感知数据和骨干节点特征数据,包括:
根据所述协同合作信息提取协同预警数据,包括权威部门发布的预警数据、第三方提供的威胁情报数据和历史重要预警特征数据;
根据所述威胁感知信息提取威胁感知数据,包括自动诱捕攻击数据、攻击路径追踪数据和攻击源属性数据;
根据所述网络重要节点信息提取骨干节点特征数据,包括原始核心网络数据、骨干节点流量数据和节点偏移度数据。
其中,在本申请实施例所述的一种网络安全态势感知方法中,所述根据所述本地日志信息和系统薄弱点监测信息分别提取访问日志数据和脆弱性特征数据,包括:
根据所述本地日志信息提取访问日志数据,包括安全日志数据、中间件日志数据、入侵防护成功率数据、病毒清除完成度数据、进程调用数据和文件访问频率数据;
根据所述系统薄弱点监测信息提取脆弱性特征数据,包括漏洞评估数据、渗透测试可靠性数据、攻防对抗强度数据和薄弱点占比数据。
其中,在本申请实施例所述的一种网络安全态势感知方法中,所述根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数,具体为:
根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数;
所述网络安全态势风险评测模型的计算公式为:
其中,为网络安全态势风险预警评测指数,/>分别为协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据和脆弱性特征数据,/>为预设特征系数。
其中,在本申请实施例所述的一种网络安全态势感知方法中,所述通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数,具体为:
通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值;
获取历史网络安全态势风险预警评测平均指数;
根据所述多个历史网络安全实际告警值结合所述历史网络安全态势风险预警评测平均指数对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数;
所述网络安全态势风险预警修正指数的修正计算公式为:
其中,为网络安全态势风险预警修正指数,/>为网络安全态势风险预警评测指数,/>为第i个历史网络安全实际告警值,/>为网络安全态势风险预警评测平均指数,为预设特征系数。
其中,在本申请实施例所述的一种网络安全态势感知方法中,所述将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况,获得判断结果,具体为:
获取网络安全态势风险预警修正指数;
将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,获得偏差率;
判断所述偏差率是否大于预设的偏差率阈值;
若大于或等于,则当前修正指数过大并发出告警;
若小于,则当前修正指数在正常范围内。
第二方面,本申请实施例提供了一种网络安全态势感知系统,该系统包括:存储器及处理器,所述存储器中包括一种网络安全态势感知方法的程序,所述一种网络安全态势感知方法的程序被所述处理器执行时实现以下步骤:
获取预设时间周期内的网络安全防护信息和服务器防护记录信息,所述网络安全防护信息包括协同合作信息、威胁感知信息和网络重要节点信息,所述服务器防护记录信息包括本地日志信息和系统薄弱点监测信息;
根据所述协同合作信息、威胁感知信息和网络重要节点信息分别提取协同预警数据、威胁感知数据和骨干节点特征数据;
根据所述本地日志信息和系统薄弱点监测信息分别提取访问日志数据和脆弱性特征数据;
根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数;
通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数;
将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况,获得判断结果;
根据所述判断结果生成对应的安全决策方案。
其中,在本申请实施例所述的一种网络安全态势感知系统中,所述根据所述协同合作信息、威胁感知信息和网络重要节点信息分别提取协同预警数据、威胁感知数据和骨干节点特征数据,包括:
根据所述协同合作信息提取协同预警数据,包括权威部门发布的预警数据、第三方提供的威胁情报数据和历史重要预警特征数据;
根据所述威胁感知信息提取威胁感知数据,包括自动诱捕攻击数据、攻击路径追踪数据和攻击源属性数据;
根据所述网络重要节点信息提取骨干节点特征数据,包括原始核心网络数据、骨干节点流量数据和节点偏移度数据。
其中,在本申请实施例所述的一种网络安全态势感知系统中,所述根据所述本地日志信息和系统薄弱点监测信息分别提取访问日志数据和脆弱性特征数据,包括:
根据所述本地日志信息提取访问日志数据,包括安全日志数据、中间件日志数据、入侵防护成功率数据、病毒清除完成度数据、进程调用数据和文件访问频率数据;
根据所述系统薄弱点监测信息提取脆弱性特征数据,包括漏洞评估数据、渗透测试可靠性数据、攻防对抗强度数据和薄弱点占比数据。
第三方面,本申请实施例还提供了一种可读存储介质,所述可读存储介质中包括一种网络安全态势感知方法程序,所述一种网络安全态势感知方法程序被处理器执行时,实现如上述任一项所述的一种网络安全态势感知方法的步骤。
由上可知,本申请实施例提供的一种网络安全态势感知方法、系统和介质,通过获取预设时间周期内的网络安全防护信息和服务器防护记录信息,网络安全防护信息包括协同合作信息、威胁感知信息和网络重要节点信息,服务器防护记录信息包括本地日志信息和系统薄弱点监测信息,再根据协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数,而后通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数,将网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况,获得判断结果并生成对应的安全决策方案。本申请技术全面获取影响网络安全的各种数据,通过风险评测获得网络安全态势风险预警评测指数,以及对评测指数修正的手段,实现了对网络安全态势的全面监测、威胁预警和高效相应,最后根据预测结果的判断生成对应的安全决策方案,及时掌握整体安全态势,提供安全管理决策支持。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络安全态势感知方法的流程图;
图2为本申请实施例提供的一种网络安全态势感知方法的提取协同预警数据、威胁感知数据和骨干节点特征数据的流程图;
图3为本申请实施例提供的一种网络安全态势感知方法的提取访问日志数据和脆弱性特征数据的流程图;
图4为本申请实施例提供的一种网络安全态势感知方法的获得网络安全态势风险预警评测指数的流程图;
图5为本申请实施例提供的一种网络安全态势感知方法的获得网络安全态势风险预警修正指数的流程图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到,相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参照图1,图1是本申请一些实施例中的一种网络安全态势感知方法的流程图。该网络安全态势感知方法用于终端设备中,例如电脑、手机终端等。该网络安全态势感知方法,包括以下步骤:
S101、获取预设时间周期内的网络安全防护信息和服务器防护记录信息,所述网络安全防护信息包括协同合作信息、威胁感知信息和网络重要节点信息,所述服务器防护记录信息包括本地日志信息和系统薄弱点监测信息;
S102、根据所述协同合作信息、威胁感知信息和网络重要节点信息分别提取协同预警数据、威胁感知数据和骨干节点特征数据;
S103、根据所述本地日志信息和系统薄弱点监测信息分别提取访问日志数据和脆弱性特征数据;
S104、根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数;
S105、通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数;
S106、将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况,获得判断结果;
S107、根据所述判断结果生成对应的安全决策方案。
其中,本申请首先获取预设时间周期内的网络安全防护信息和服务器防护记录信息,包括协同合作信息、威胁感知信息和网络重要节点信息,以及本地日志信息和系统薄弱点监测信息,再根据协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数,而后通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数,再将网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,获得偏差率,判断偏差率是否大于预设的偏差率阈值,若大于或等于,则当前修正指数过大并发出告警,若小于,则当前修正指数在正常范围内,最后还可以生成对应的安全决策方案,及时掌握整体安全态势,提供安全管理决策支持。
请参照图2,图2是本申请一些实施例中的一种网络安全态势感知方法的提取协同预警数据、威胁感知数据和骨干节点特征数据的流程图。根据本发明实施例,所述根据所述协同合作信息、威胁感知信息和网络重要节点信息分别提取协同预警数据、威胁感知数据和骨干节点特征数据,包括:
S201、根据所述协同合作信息提取协同预警数据,包括权威部门发布的预警数据、第三方提供的威胁情报数据和历史重要预警特征数据;
S202、根据所述威胁感知信息提取威胁感知数据,包括自动诱捕攻击数据、攻击路径追踪数据和攻击源属性数据;
S203、根据所述网络重要节点信息提取骨干节点特征数据,包括原始核心网络数据、骨干节点流量数据和节点偏移度数据。
其中,为提高网络安全态势风险预警的准确性和全面性,根据协同合作信息提取协同预警数据,包括权威部门发布的预警数据、第三方提供的威胁情报数据和历史重要预警特征数据,根据威胁感知信息提取威胁感知数据,包括自动诱捕攻击数据、攻击路径追踪数据和攻击源属性数据,根据网络重要节点信息提取骨干节点特征数据,包括原始核心网络数据、骨干节点流量数据和节点偏移度数据。
请参照图3,图3是本申请一些实施例中的一种网络安全态势感知方法的提取访问日志数据和脆弱性特征数据的流程图。根据本发明实施例,所述根据所述本地日志信息和系统薄弱点监测信息分别提取访问日志数据和脆弱性特征数据,包括:
S301、根据所述本地日志信息提取访问日志数据,包括安全日志数据、中间件日志数据、入侵防护成功率数据、病毒清除完成度数据、进程调用数据和文件访问频率数据;
S302、根据所述系统薄弱点监测信息提取脆弱性特征数据,包括漏洞评估数据、渗透测试可靠性数据、攻防对抗强度数据和薄弱点占比数据。
其中,为提高网络安全态势风险预警的准确性和全面性,根据本地日志信息提取访问日志数据,包括安全日志数据、中间件日志数据、入侵防护成功率数据、病毒清除完成度数据、进程调用数据和文件访问频率数据,根据系统薄弱点监测信息提取脆弱性特征数据,包括漏洞评估数据、渗透测试可靠性数据、攻防对抗强度数据和薄弱点占比数据。
请参照图4,图4是本申请一些实施例中的一种网络安全态势感知方法的获得网络安全态势风险预警评测指数的流程图。根据本发明实施例,所述根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数,具体为:
S401、根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数;
所述网络安全态势风险评测模型的计算公式为:
其中,为网络安全态势风险预警评测指数,/>分别为协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据和脆弱性特征数据,/>为预设特征系数(特征系数通过预设的网络安全防护监测数据库查询获得)。
其中,为了掌握当前网络安全态势以及可能出现的网络安全风险因素,根据协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数。
请参照图5,图5是本申请一些实施例中的一种网络安全态势感知方法的获得网络安全态势风险预警修正指数的流程图。根据本发明实施例,所述通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数,具体为:
S501、通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值;
S502、获取历史网络安全态势风险预警评测平均指数;
S503、根据所述多个历史网络安全实际告警值结合所述历史网络安全态势风险预警评测平均指数对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数;
所述网络安全态势风险预警修正指数的修正计算公式为:
其中,为网络安全态势风险预警修正指数,/>为网络安全态势风险预警评测指数,/>为第i个历史网络安全实际告警值,/>为网络安全态势风险预警评测平均指数,为预设特征系数(特征系数通过预设的网络安全防护监测数据库查询获得)。
其中,为了进一步提高网络安全态势风险预警评测指数的精准度,首先通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,并根据多个历史网络安全实际告警值结合历史网络安全态势风险预警评测平均指数对网络安全态势风险预警评测指数进行修正,最后获得网络安全态势风险预警修正指数。
根据本发明实施例,所述将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况,获得判断结果,具体为:
获取网络安全态势风险预警修正指数;
将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,获得偏差率;
判断所述偏差率是否大于预设的偏差率阈值;
若大于或等于,则当前修正指数过大并发出告警;
若小于,则当前修正指数在正常范围内。
其中,为检验修正指数的可靠性,同时体现修正力度,首先获取网络安全态势风险预警修正指数,将网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,可以获得偏差率,判断偏差率是否大于预设的偏差率阈值,若大于或等于,则说明当前修正指数过大并发出告警,若小于,则说明当前修正指数在正常范围内,网络安全态势平稳。
根据本发明实施例,还包括:
根据所述本地日志信息提取文件访问频率数据;
将所述文件访问频率数据与预设允许访问频率阈值进行对比,获得访问频率偏差率;
判断所述访问频率偏差率是否大于预设频率偏差率阈值;
若大于或等于,则达到当天访问上限值并发出告警至终端;
若小于,则允许继续访问。
其中,为加强网络数据安全性,对当天同一访问地址进行访问频率设限,具体地,根据本地日志信息提取文件访问频率数据,将文件访问频率数据与预设允许访问频率阈值进行对比,获得访问频率偏差率,判断访问频率偏差率是否大于预设频率偏差率阈值,若大于或等于,则达到当天访问上限值并发出告警至终端,若小于,则允许继续访问,本申请上述方法进一步提高了网络数据的安全性,降低数据被盗的可能性。
本发明还公开了一种网络安全态势感知系统,包括存储器和处理器,所述存储器中包括一种网络安全态势感知方法程序,所述一种网络安全态势感知方法程序被所述处理器执行时实现如下步骤:
获取预设时间周期内的网络安全防护信息和服务器防护记录信息,所述网络安全防护信息包括协同合作信息、威胁感知信息和网络重要节点信息,所述服务器防护记录信息包括本地日志信息和系统薄弱点监测信息;
根据所述协同合作信息、威胁感知信息和网络重要节点信息分别提取协同预警数据、威胁感知数据和骨干节点特征数据;
根据所述本地日志信息和系统薄弱点监测信息分别提取访问日志数据和脆弱性特征数据;
根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数;
通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数;
将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况,获得判断结果;
根据所述判断结果生成对应的安全决策方案。
其中,本申请首先获取预设时间周期内的网络安全防护信息和服务器防护记录信息,包括协同合作信息、威胁感知信息和网络重要节点信息,以及本地日志信息和系统薄弱点监测信息,再根据协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数,而后通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数,再将网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,获得偏差率,判断偏差率是否大于预设的偏差率阈值,若大于或等于,则当前修正指数过大并发出告警,若小于,则当前修正指数在正常范围内,最后还可以生成对应的安全决策方案,及时掌握整体安全态势,提供安全管理决策支持。
根据本发明实施例,所述根据所述协同合作信息、威胁感知信息和网络重要节点信息分别提取协同预警数据、威胁感知数据和骨干节点特征数据,包括:
根据所述协同合作信息提取协同预警数据,包括权威部门发布的预警数据、第三方提供的威胁情报数据和历史重要预警特征数据;
根据所述威胁感知信息提取威胁感知数据,包括自动诱捕攻击数据、攻击路径追踪数据和攻击源属性数据;
根据所述网络重要节点信息提取骨干节点特征数据,包括原始核心网络数据、骨干节点流量数据和节点偏移度数据。
其中,为提高网络安全态势风险预警的准确性和全面性,根据协同合作信息提取协同预警数据,包括权威部门发布的预警数据、第三方提供的威胁情报数据和历史重要预警特征数据,根据威胁感知信息提取威胁感知数据,包括自动诱捕攻击数据、攻击路径追踪数据和攻击源属性数据,根据网络重要节点信息提取骨干节点特征数据,包括原始核心网络数据、骨干节点流量数据和节点偏移度数据。
根据本发明实施例,所述根据所述本地日志信息和系统薄弱点监测信息分别提取访问日志数据和脆弱性特征数据,包括:
根据所述本地日志信息提取访问日志数据,包括安全日志数据、中间件日志数据、入侵防护成功率数据、病毒清除完成度数据、进程调用数据和文件访问频率数据;
根据所述系统薄弱点监测信息提取脆弱性特征数据,包括漏洞评估数据、渗透测试可靠性数据、攻防对抗强度数据和薄弱点占比数据。
其中,为提高网络安全态势风险预警的准确性和全面性,根据本地日志信息提取访问日志数据,包括安全日志数据、中间件日志数据、入侵防护成功率数据、病毒清除完成度数据、进程调用数据和文件访问频率数据,根据系统薄弱点监测信息提取脆弱性特征数据,包括漏洞评估数据、渗透测试可靠性数据、攻防对抗强度数据和薄弱点占比数据。
根据本发明实施例,所述根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数,具体为:
根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数;
所述网络安全态势风险评测模型的计算公式为:
其中,为网络安全态势风险预警评测指数,/>分别为协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据和脆弱性特征数据,/>为预设特征系数(特征系数通过预设的网络安全防护监测数据库查询获得)。
其中,为了掌握当前网络安全态势以及可能出现的网络安全风险因素,根据协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数。
根据本发明实施例,所述通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数,具体为:
通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值;
获取历史网络安全态势风险预警评测平均指数;
根据所述多个历史网络安全实际告警值结合所述历史网络安全态势风险预警评测平均指数对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数;
所述网络安全态势风险预警修正指数的修正计算公式为:
其中,为网络安全态势风险预警修正指数,/>为网络安全态势风险预警评测指数,/>为第i个历史网络安全实际告警值,/>为网络安全态势风险预警评测平均指数,为预设特征系数(特征系数通过预设的网络安全防护监测数据库查询获得)。
其中,为了进一步提高网络安全态势风险预警评测指数的精准度,首先通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,并根据多个历史网络安全实际告警值结合历史网络安全态势风险预警评测平均指数对网络安全态势风险预警评测指数进行修正,最后获得网络安全态势风险预警修正指数。
根据本发明实施例,所述将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况,获得判断结果,具体为:
获取网络安全态势风险预警修正指数;
将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,获得偏差率;
判断所述偏差率是否大于预设的偏差率阈值;
若大于或等于,则当前修正指数过大并发出告警;
若小于,则当前修正指数在正常范围内。
其中,为检验修正指数的可靠性,同时体现修正力度,首先获取网络安全态势风险预警修正指数,将网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,可以获得偏差率,判断偏差率是否大于预设的偏差率阈值,若大于或等于,则说明当前修正指数过大并发出告警,若小于,则说明当前修正指数在正常范围内,网络安全态势平稳。
根据本发明实施例,还包括:
根据所述本地日志信息提取文件访问频率数据;
将所述文件访问频率数据与预设允许访问频率阈值进行对比,获得访问频率偏差率;
判断所述访问频率偏差率是否大于预设频率偏差率阈值;
若大于或等于,则达到当天访问上限值并发出告警至终端;
若小于,则允许继续访问。
其中,为加强网络数据安全性,对当天同一访问地址进行访问频率设限,具体地,根据本地日志信息提取文件访问频率数据,将文件访问频率数据与预设允许访问频率阈值进行对比,获得访问频率偏差率,判断访问频率偏差率是否大于预设频率偏差率阈值,若大于或等于,则达到当天访问上限值并发出告警至终端,若小于,则允许继续访问,本申请上述方法进一步提高了网络数据的安全性,降低数据被盗的可能性。
本发明第三方面还提供了一种可读存储介质,所述可读存储介质中包括一种网络安全态势感知方法程序,所述一种网络安全态势感知方法程序被处理器执行时,实现如上述任一项所述的一种网络安全态势感知方法的步骤。
本发明公开的一种网络安全态势感知方法、系统和介质,通过获取预设时间周期内的网络安全防护信息和服务器防护记录信息,网络安全防护信息包括协同合作信息、威胁感知信息和网络重要节点信息,服务器防护记录信息包括本地日志信息和系统薄弱点监测信息,再根据协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数,而后通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数,将网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况,获得判断结果并生成对应的安全决策方案。本申请技术全面获取影响网络安全的各种数据,通过风险评测获得网络安全态势风险预警评测指数,以及对评测指数修正的手段,实现了对网络安全态势的全面监测、威胁预警和高效相应,最后根据预测结果的判断生成对应的安全决策方案,及时掌握整体安全态势,提供安全管理决策支持。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

Claims (10)

1.一种网络安全态势感知方法,其特征在于,包括以下步骤:
获取预设时间周期内的网络安全防护信息和服务器防护记录信息,所述网络安全防护信息包括协同合作信息、威胁感知信息和网络重要节点信息,所述服务器防护记录信息包括本地日志信息和系统薄弱点监测信息;
根据所述协同合作信息、威胁感知信息和网络重要节点信息分别提取协同预警数据、威胁感知数据和骨干节点特征数据;
根据所述本地日志信息和系统薄弱点监测信息分别提取访问日志数据和脆弱性特征数据;
根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数;
通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数;
将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况,获得判断结果;
根据所述判断结果生成对应的安全决策方案。
2.根据权利要求1所述的网络安全态势感知方法,其特征在于,所述根据所述协同合作信息、威胁感知信息和网络重要节点信息分别提取协同预警数据、威胁感知数据和骨干节点特征数据,包括:
根据所述协同合作信息提取协同预警数据,包括权威部门发布的预警数据、第三方提供的威胁情报数据和历史重要预警特征数据;
根据所述威胁感知信息提取威胁感知数据,包括自动诱捕攻击数据、攻击路径追踪数据和攻击源属性数据;
根据所述网络重要节点信息提取骨干节点特征数据,包括原始核心网络数据、骨干节点流量数据和节点偏移度数据。
3.根据权利要求2所述的网络安全态势感知方法,其特征在于,所述根据所述本地日志信息和系统薄弱点监测信息分别提取访问日志数据和脆弱性特征数据,包括:
根据所述本地日志信息提取访问日志数据,包括安全日志数据、中间件日志数据、入侵防护成功率数据、病毒清除完成度数据、进程调用数据和文件访问频率数据;
根据所述系统薄弱点监测信息提取脆弱性特征数据,包括漏洞评估数据、渗透测试可靠性数据、攻防对抗强度数据和薄弱点占比数据。
4.根据权利要求3所述的网络安全态势感知方法,其特征在于,所述根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数,具体为:
根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数;
所述网络安全态势风险评测模型的计算公式为:
其中,为网络安全态势风险预警评测指数,/>分别为协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据和脆弱性特征数据,为预设特征系数。
5.根据权利要求4所述的网络安全态势感知方法,其特征在于,所述通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数,具体为:
通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值;
获取历史网络安全态势风险预警评测平均指数;
根据所述多个历史网络安全实际告警值结合所述历史网络安全态势风险预警评测平均指数对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数;
所述网络安全态势风险预警修正指数的修正计算公式为:
其中,为网络安全态势风险预警修正指数,/>为网络安全态势风险预警评测指数,/>为第i个历史网络安全实际告警值,/>为网络安全态势风险预警评测平均指数,为预设特征系数。
6.根据权利要求1所述的网络安全态势感知方法,其特征在于,所述将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况,获得判断结果,具体为:
获取网络安全态势风险预警修正指数;
将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,获得偏差率;
判断所述偏差率是否大于预设的偏差率阈值;
若大于或等于,则当前修正指数过大并发出告警;
若小于,则当前修正指数在正常范围内。
7.一种网络安全态势感知系统,其特征在于,包括存储器和处理器,所述存储器中包括网络安全态势感知方法程序,所述网络安全态势感知方法程序被所述处理器执行时实现如下步骤:
获取预设时间周期内的网络安全防护信息和服务器防护记录信息,所述网络安全防护信息包括协同合作信息、威胁感知信息和网络重要节点信息,所述服务器防护记录信息包括本地日志信息和系统薄弱点监测信息;
根据所述协同合作信息、威胁感知信息和网络重要节点信息分别提取协同预警数据、威胁感知数据和骨干节点特征数据;
根据所述本地日志信息和系统薄弱点监测信息分别提取访问日志数据和脆弱性特征数据;
根据所述协同预警数据、威胁感知数据、骨干节点特征数据、访问日志数据以及脆弱性特征数据通过预设网络安全态势风险评测模型进行风险评测,获得网络安全态势风险预警评测指数;
通过预设网络安全防护监测数据库获取在历史同期的多个历史网络安全实际告警值,以及历史网络安全态势风险预警评测平均指数,再对所述网络安全态势风险预警评测指数进行修正,获得网络安全态势风险预警修正指数;
将所述网络安全态势风险预警修正指数与预设网络安全态势风险预警阈值进行对比,判断在预设时间周期内的网络安全态势风险情况,获得判断结果;
根据所述判断结果生成对应的安全决策方案。
8.根据权利要求7所述的网络安全态势感知系统,其特征在于,所述根据所述协同合作信息、威胁感知信息和网络重要节点信息分别提取协同预警数据、威胁感知数据和骨干节点特征数据,包括:
根据所述协同合作信息提取协同预警数据,包括权威部门发布的预警数据、第三方提供的威胁情报数据和历史重要预警特征数据;
根据所述威胁感知信息提取威胁感知数据,包括自动诱捕攻击数据、攻击路径追踪数据和攻击源属性数据;
根据所述网络重要节点信息提取骨干节点特征数据,包括原始核心网络数据、骨干节点流量数据和节点偏移度数据。
9.根据权利要求8所述的网络安全态势感知系统,其特征在于, 所述根据所述本地日志信息和系统薄弱点监测信息分别提取访问日志数据和脆弱性特征数据,包括:
根据所述本地日志信息提取访问日志数据,包括安全日志数据、中间件日志数据、入侵防护成功率数据、病毒清除完成度数据、进程调用数据和文件访问频率数据;
根据所述系统薄弱点监测信息提取脆弱性特征数据,包括漏洞评估数据、渗透测试可靠性数据、攻防对抗强度数据和薄弱点占比数据。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中包括一种网络安全态势感知方法、系统和介质程序,所述一种网络安全态势感知方法、系统和介质程序被处理器执行时,实现如权利要求1至6中任一项所述的网络安全态势感知方法的步骤。
CN202410251623.XA 2024-03-06 2024-03-06 一种网络安全态势感知方法、系统和介质 Active CN117834308B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410251623.XA CN117834308B (zh) 2024-03-06 2024-03-06 一种网络安全态势感知方法、系统和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410251623.XA CN117834308B (zh) 2024-03-06 2024-03-06 一种网络安全态势感知方法、系统和介质

Publications (2)

Publication Number Publication Date
CN117834308A true CN117834308A (zh) 2024-04-05
CN117834308B CN117834308B (zh) 2024-05-17

Family

ID=90524306

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410251623.XA Active CN117834308B (zh) 2024-03-06 2024-03-06 一种网络安全态势感知方法、系统和介质

Country Status (1)

Country Link
CN (1) CN117834308B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130298192A1 (en) * 2012-05-01 2013-11-07 Taasera, Inc. Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms
CN113037745A (zh) * 2021-03-06 2021-06-25 国网河北省电力有限公司信息通信分公司 一种基于安全态势感知的智能变电站风险预警系统及方法
CN115996146A (zh) * 2022-12-19 2023-04-21 华中科技大学 数控系统安全态势感知与分析系统、方法、设备及终端
CN117081851A (zh) * 2023-10-10 2023-11-17 网思科技股份有限公司 网络安全态势感知信息的显示方法、系统和介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130298192A1 (en) * 2012-05-01 2013-11-07 Taasera, Inc. Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms
CN113037745A (zh) * 2021-03-06 2021-06-25 国网河北省电力有限公司信息通信分公司 一种基于安全态势感知的智能变电站风险预警系统及方法
CN115996146A (zh) * 2022-12-19 2023-04-21 华中科技大学 数控系统安全态势感知与分析系统、方法、设备及终端
CN117081851A (zh) * 2023-10-10 2023-11-17 网思科技股份有限公司 网络安全态势感知信息的显示方法、系统和介质

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
张春萌: "网络安全态势感知方法研究", 《电子质量》, no. 06, 20 June 2023 (2023-06-20), pages 90 - 94 *
李建华: "网络空间威胁情报感知、共享与分析技术综述", 《网络与信息安全学报》, vol. 02, no. 02, 15 February 2016 (2016-02-15), pages 16 - 29 *
李硕等: "网络安全态势感知研究进展", 《计算机应用研究》, vol. 27, no. 09, 15 September 2010 (2010-09-15), pages 3227 - 3232 *
王楠等: "基于安全态势感知在网络攻击防御中的应用", 《电信技术》, no. 03, 25 March 2017 (2017-03-25), pages 86 - 88 *
管磊等: "基于大数据的网络安全态势感知技术研究", 《信息网络安全》, no. 09, 10 September 2016 (2016-09-10), pages 45 - 50 *

Also Published As

Publication number Publication date
CN117834308B (zh) 2024-05-17

Similar Documents

Publication Publication Date Title
CN108471429B (zh) 一种网络攻击告警方法及系统
CN108683687B (zh) 一种网络攻击识别方法及系统
CN108881265B (zh) 一种基于人工智能的网络攻击检测方法及系统
CN110222525B (zh) 数据库操作审计方法、装置、电子设备及存储介质
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN108833186B (zh) 一种网络攻击预测方法及装置
CN108833185B (zh) 一种网络攻击路线还原方法及系统
CN111278014A (zh) 一种防诈骗系统、方法、服务器及存储介质
CN113162953B (zh) 网络威胁报文检测及溯源取证方法和装置
CN116112292B (zh) 基于网络流量大数据的异常行为检测方法、系统和介质
CN110602135B (zh) 网络攻击处理方法、装置以及电子设备
CN108259202A (zh) 一种ca监测预警方法和ca监测预警系统
CN105208009B (zh) 一种账号安全检测方法及装置
CN117081851B (zh) 网络安全态势感知信息的显示方法、系统和介质
CN116366374B (zh) 基于大数据的电网网络管理的安全评估方法、系统及介质
CN113672939A (zh) 一种终端行为告警溯源分析的方法、装置、设备及介质
CN117478433B (zh) 一种网络与信息安全动态预警系统
CN117040912B (zh) 一种基于数据分析的网络安全运维管理方法及系统
CN117834308B (zh) 一种网络安全态势感知方法、系统和介质
CN112272176A (zh) 一种基于大数据平台的网络安全防护方法及系统
CN112968796A (zh) 网络安全态势感知方法、装置及计算机设备
CN115659351B (zh) 一种基于大数据办公的信息安全分析方法、系统及设备
CN111726355A (zh) 一种基于大数据的网络安全态势感知系统
CN115499840A (zh) 一种移动互联网用安全评估系统及方法
CN113691524A (zh) 一种告警信息处理方法、系统、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant