CN118094531A - 一种安全运维实时预警一体化系统 - Google Patents

Abstract

本发明公开了一种安全运维实时预警一体化系统，属于安全运维技术领域，包括监测准备模块、监测模块和分析模块；监测准备模块用于对用户的安全条件进行分析，确定目标安全监测方式，根据目标安全监测方式进行监测准备；监测模块用于进行安全监测，获得对应的安全监测数据；分析模块用于对监测数据进行分析，获取安全监测数据，根据目标安全监测方式建立对应的异常监测模型，通过异常监测模型对安全监测数据进行实时识别，获得对应的异常监测值；根据获得的异常监测值进行相应处理；通过设置监测准备模块，实现对用户的运维监测进行优化，提高对各安全问题的监测效率，综合衡量识别到安全问题的时间以及各安全问题的重要性进行确定目标监测方式。

Description

一种安全运维实时预警一体化系统

技术领域

本发明属于安全运维技术领域，具体是一种安全运维实时预警一体化系统。

背景技术

随着信息技术的迅猛发展，企业对于信息系统的依赖程度日益加深，然而，随着网络环境的复杂化和安全威胁的多样化，企业面临着前所未有的信息安全挑战。传统的安全运维模式往往存在着信息孤岛、响应速度慢、管理效率低下等问题，难以有效应对复杂多变的安全威胁。因此，开发一种能够实时预警、快速响应、全面管理的安全运维一体化系统成为企业迫切的需求。

目前，市场上虽然存在一些安全运维管理系统，但它们大多侧重于单一的安全管理或运维管理功能，难以实现全面的监控和预警。例如，有些系统只能对网络安全事件进行简单的监控和记录，而无法对事件进行深入的分析和预警；有些系统虽然能够进行安全风险评估，但缺乏实时的监控和响应机制，难以及时发现和处置安全威胁。此外，这些系统往往存在着数据共享困难、操作复杂等问题，难以满足企业对于安全运维管理的全面需求。

基于此，本发明提供了一种安全运维实时预警一体化系统。

发明内容

为了解决上述方案存在的问题，本发明提供了一种安全运维实时预警一体化系统。

本发明的目的可以通过以下技术方案实现：

一种安全运维实时预警一体化系统，包括监测准备模块、监测模块和分析模块；

所述监测准备模块用于对用户的安全条件进行分析，确定各待选监测方式，设置模拟数据，通过模拟数据对各待选监测方式进行模拟，生成各待选监测方式对于各安全问题的监测问题图；所述监测问题图的横轴为时间，纵轴为时间评估值；

根据所述监测问题图评估对应的单一值；设置各安全问题的权重系数；

将安全问题标记为j，j=1、2、……、m，m为正整数；将各安全问题对应的单一值和权重系数分别标记为PAj和ηj；

根据公式计算对应的监测值；式中：QY为监测值；

选择监测值最小的待选监测方式为目标安全监测方式，根据所述目标安全监测方式进行监测准备。

进一步地，待选监测方式的确定方法包括：

确定用户的安全条件，根据所述安全条件进行数据采集，获得历史安全事件数据；

根据所述历史安全事件数据确定各安全问题，设置各所述安全问题对应的各识别特征组以及各识别特征组对应的特征处理方式；

根据各识别特征组和特征处理方设置各待选监测方式。

进一步地，监测问题图的设置方法包括：

通过待选监测方式对模拟数据进行实时监测，记录各时刻识别的各识别特征，将已经识别的识别特征标记为基准特征，将各基准特征整合为基准特征组；

通过基准特征组匹配包括各基准特征的识别特征组，根据识别特征组确定对应的安全问题，将识别的安全问题标记为概率问题；

为各概率问题匹配对应的问题值，根据公式计算对应时间评估值；

式中：PW为时间评估值；i表示对应的概率问题，i=1、2、……、n，n为正整数；WAi为对应概率问题的问题值；

根据时间评估值和相应时间生成对应的监测问题图。

进一步地，根据概率问题匹配问题值的方法包括：

根据历史安全事件数据统计各安全问题的发生概率，根据各发生概率计算对应的问题比重；并根据历史安全事件数据确定各安全问题的损失比重；

根据公式WA=b1×WB+b2×SL计算各安全问题的问题值；

式中：WA为问题值；b1、b2均为比例系数，取值范围为0<b1≤1，0<b2≤1；WB为问题比重；SL为损失比重；

将各安全问题对应的问题值进行整理，设置对应问题值匹配表；

将各概率问题输入到问题值匹配表中进行匹配，获得各概率问题对应的问题值。

进一步地，单一值的评估方法包括：

对各监测问题图进行拟合，获得对应的问题函数，将问题函数标记为H(t)；

根据公式计算相应安全问题的单一值；

式中：PA为单一值；t1和t2均为时间；PWt2为t2时间对应的时间评估值。

所述监测模块用于进行安全监测，获得对应的安全监测数据。

所述分析模块用于对监测数据进行分析，获取安全监测数据，根据目标安全监测方式建立对应的异常监测模型，异常监测模型的表达式为，式中：s为输入数据；输出数据为异常监测值1或0；

通过异常监测模型对安全监测数据进行实时识别，获得对应的异常监测值；

当异常监测值为0时，不进行相应操作；

当异常监测值为1时，进行异常预警，并进行相应的应急处理。

进一步地，进行应急处理的方法包括：

建立应急库，所述应急库用于储存各安全问题对应的应急方案和应急处理方案对应的应急准备措施；

根据异常监测值的识别时间确定定位时间，从定位时间开始实时识别对应的识别特征，标记为监测特征，根据识别的监测特征形成实时的监测特征组；

根据监测特征组确定各待选问题；根据监测特征组计算各待选问题的待选概率，将待选概率大于阈值X1的待选问题标记为准备问题；

根据准备问题从应急库中匹配对应的应急准备措施，根据获得的应急准备措施进行应急准备；

当根据监测特征组确定目标问题时，根据目标问题匹配对应的应急方案，根据获得的应急方案进行应急处理。

进一步地，根据监测特征组计算各待选问题的待选概率的方法包括：

建立特征记录库，所述特征记录库内设置各安全问题对应的储存记录节点，所述储存记录节点用于储存所述安全问题对应的特征记录数据；

识别监测特征组中各监测特征的识别顺序，形成参照数据，将参照数据输入到特征记录库中各待选问题对应的储存记录节点中进行匹配计算，获得对应的匹配值；

根据公式计算对应的待选概率；

式中：DLc为待选概率，c表示对应的待选问题，c=1、2、……、v，n为正整数；PRc为匹配值。

进一步地，匹配值的计算方法包括：

建立匹配模型，匹配模型的表达式为，式中：f为参照数据与对应的特征记录数据；输出数据为匹配单一值1或0；

通过匹配模型对输入到储存记录节点内的参照数据进行分析，获得各匹配单一值；计算各匹配单一值之和，标记为初始值；

根据公式PR=CR/UY计算对应的匹配值；

式中：PR为匹配值；CR为初始值；UY为储存记录节点内特征记录数据的数量。

与现有技术相比，本发明的有益效果是：

通过监测准备模块、监测模块和分析模块之间的相互配合，能够显著提高企业的信息安全防护能力，通过实时监控、预警和快速响应机制，系统能够及时发现并处置潜在的安全威胁和漏洞，有效降低企业面临的信息安全风险；其次，通过全面的安全运维管理，系统能够确保企业信息系统的稳定运行，避免因安全事件导致的业务中断或数据丢失，从而保障企业的正常运营；通过设置监测准备模块，实现对用户的运维监测进行优化，提高对各安全问题的监测效率，综合衡量识别到安全问题的时间以及各安全问题的重要性进行确定目标监测方式。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明原理框图；

图2为本发明监测问题图的示例图。

具体实施方式

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1至图2所示，一种安全运维实时预警一体化系统，包括监测准备模块、监测模块和分析模块；

所述监测准备模块用于对安全监测方式进行分析，确定对应的目标安全监测方式，根据获得的目标安全监测方式进行监测准备，如设置对应的监测设备、模块、系统配置等；具体过程如下：

获取历史安全事件数据，指的是该系统、设备发生过程的安全事件数据或者与用户相同条件下的安全事件数据，用于弥补用户数据不全面的问题，因此，需要先确定用户的安全条件，即需要进行运维监测的设备、系统等相关信息；根据获得的安全条件进行历史安全事件数据的采集，包括用户处之前记录的安全事件以及其他满足安全条件要求的从其他数据源采集的安全事件；对获得的安全事件数据进行分析，确定在用户的安全条件下可能具有的各种安全问题；

根据各安全问题的识别需求确定各安全问题对应的各识别特征组；识别特征组由各识别特征进行组成，一个安全问题可以对应多个识别特征组，即当确定监测数据具有该识别特征组对应的各识别特征时，即可确定具有该安全问题，具体的需要根据各安全问题的实际情况进行设置；在实际应用中，根据各安全问题的识别、处理技术可以直接确定对应的各识别特征组，并可以设置各识别特征组对应的特征处理方式，即对监测数据进行处理，使其能够实现识别对应的识别特征；

根据各安全问题对应的各识别特征组和特征处理方确定为了实现对各安全问题进行监测具有的各种安全监测方式，标记为待选监测方式，即任意选择各安全问题对应的识别特征组，根据各识别特征组对应的特征处理方式形成对应的待选监测方式；

根据用户的历史运维数据设置模拟数据，模拟数据即为模拟设置的在实际监测过程中可能遇到的各种安全问题对应的监测数据；

通过模拟数据对各待选监测方式进行模拟，生成各待选监测方式对于各安全问题的监测问题图；监测问题图的横轴为时间，纵轴为时间评估值；

对各监测问题图进行拟合，获得对应的问题函数，将问题函数标记为H(t)；根据公式计算相应安全问题的单一值；

式中：PA为单一值；t1和t2均为时间，即t1位第一次识别到该安全问题的基准特征的时间，t2位确定该安全问题对应的时间；即与图2中的t1和t2相同；PWt2为t2时间对应的时间评估值；

单一值越小，表明待选监测方式越适合对该安全问题进行监测；

获取各安全问题的问题比重，根据各安全问题的问题比重设置各安全问题的权重系数，具体的需要结合用户对各安全问题的重视、侧重方向进行设置；

将安全问题标记为j，j=1、2、……、m，m为正整数；将各安全问题对应的单一值和权重系数分别标记为PAj和ηj；

根据公式计算对应的监测值；式中：QY为监测值；

选择监测值最小的待选监测方式为目标安全监测方式。

通过设置监测准备模块，实现对用户的运维监测进行优化，提高对各安全问题的监测效率，综合衡量识别到安全问题的时间以及各安全问题的重要性进行确定目标监测方式。

通过模拟数据对各待选监测方式进行模拟的方法包括：

通过待选监测方式对模拟数据进行实时监测，记录各时刻识别的各识别特征，将已经识别的识别特征标记为基准特征，将各基准特征整合为基准特征组；

通过基准特征组匹配包括各基准特征的识别特征组，根据识别特征组确定对应的安全问题，将识别的安全问题标记为概率问题；

根据历史安全事件数据统计各安全问题的发生概率，计算各发生概率的占全部安全问题的比重，标记为问题比重；并根据历史安全事件数据分析各安全问题的损失情况，根据各损失情况计算各安全问题的损失比重；根据公式WA=b1×WB+b2×SL计算各安全问题的问题值；式中：WA为问题值；b1、b2均为比例系数，取值范围为0<b1≤1，0<b2≤1；WB为问题比重；SL为损失比重；将各安全问题对应的问题值进行整理，设置对应问题值匹配表；

将各概率问题输入到问题值匹配表中进行匹配，获得各概率问题对应的问题值；根据公式计算对应时间评估值；式中：PW为时间评估值；i表示对应的概率问题，i=1、2、……、n，n为正整数；WAi为对应概率问题的问题值；

根据时间对应的时间评估值生成对应的监测问题图。

示例性的如图2所示；随着通过待选监测方式对模拟数据进行监测，当在A点时识别到对应的基准特征组，根据基准特征组确定各概率问题和对应的时间评估值，此时为相应安全问题的刚发现时间，即t1；但是因为识别特征不足，导致不能明确真实的安全问题，因此需要结合后续特征的识别，当到达B点对应的时间时，识别到新的基准特征，形成新的基准特征组，此时对各概率问题进行筛选，获得小于A点时间评估值的新的时间评估值；但是此时还是具有多个概率问题，当到达C点对应的时间时，即t2；此时只有一个概率问题，即真实的安全问题；其中PW为时间评估值，t为时间。

所述监测模块用于进行安全监测，获得对应的安全监测数据。

所述分析模块用于对监测数据进行分析，获取对应的安全监测数据，对安全监测数据进行实时特征识别，即根据目标安全监测方式确定各安全问题对应的识别特征组，根据识别特征组进行相应的特征识别；根据目标安全监测方式建立对应的异常监测模型，即根据是否识别到各识别特征建立的判断模型，当识别到相应的识别特征时，判断监测异常，反之为正常情况，异常监测模型的表达式为，s为输入数据，即对应的监测数据；输出数据为异常监测值1或0；

通过异常监测模型对安全监测数据进行实时识别，获得对应的异常监测值，当异常监测值为0时，不进行相应操作，当异常监测值为1时，进行异常预警，并进行相应的应急处理。

其中，进行应急处理的方法包括：

根据各安全问题建立对应的应急方案，具体的根据用户的管理制度进行设置；根据应急方案设置对应的应急准备措施，即为各应急方案设置一个事先准备的措施，当明确为该安全问题时，可以基于提前的应急准备进行快速处理，提高应急处理效率；将各应急方案、应急准备措施进行整理，建立对应的应急库；

将刚出现异常监测值为1的安全监测数据对应的时间标记为定位时间，从定位时间开始实时识别对应的识别特征，标记为监测特征，根据识别的监测特征形成实时的监测特征组；

根据监测特征组确定可能的各安全问题，标记为待选问题；根据监测特征组计算各待选问题的待选概率，将待选概率大于阈值X1的待选问题标记为准备问题；根据监测特征组的变动，各待选问题的待选概率是处于变动中的；

根据准备问题从应急库中匹配对应的应急准备措施，根据获得的应急准备措施进行应急准备；

当根据监测特征组明确对应的安全问题时，标记为目标问题，根据目标问题对应的应急方案进行应急处理。

根据监测特征组计算各待选问题的待选概率的方法包括：

建立特征记录库，特征记录库内设置各安全问题对应的储存记录节点，储存记录节点用于储存该安全问题的特征记录数据，特征记录数据为记录确定该安全问题为目标问题时的各监测特征的识别顺序，每次确定为目标问题均会生成一个特征记录数据储存在对应的储存记录节点中；

识别监测特征组中各监测特征的识别顺序，形成参照数据，即识别顺序，将参照数据输入到特征记录库中各待选问题对应的储存记录节点中进行匹配计算，获得对应的匹配值；

根据公式计算对应的待选概率；

式中：DLc为待选概率，c表示对应的待选问题，c=1、2、……、v，n为正整数；PRc为匹配值。

匹配值的计算方法包括：

建立匹配模型，匹配模型用于判断参照数据与对应特征记录数据是否匹配，即当前参照数据对应的各监测特征的顺序与特征记录数据中对应的顺序相同，视为满足匹配要求；若符合匹配要求，输出1，反之输出0；表达式为，式中：f为输出数据，即参照数据与对应的特征记录数据；输出数据为匹配单一值1或0；

通过匹配模型对输入到储存记录节点内的参照数据进行分析，获得各匹配单一值；计算各匹配单一值之和，标记为初始值；

根据公式PR=CR/UY计算对应的匹配值；式中：PR为匹配值；CR为初始值；UY为储存记录节点内特征记录数据的数量。

在另一个实施例中，计算各待选问题的待选概率还可以直接采用平均计算的方式，即将各待选问题的待选概率视为相同，直接计算对应的平均值；但是这种方式需要基于待选问题的数量对阈值X1进行调整。

上述公式均是去除量纲取其数值计算，公式是由采集大量数据进行软件模拟得到最接近真实情况的一个公式，公式中的预设参数和预设阈值由本领域的技术人员根据实际情况设定或者大量数据模拟获得。

以上实施例仅用以说明本发明的技术方法而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方法进行修改或等同替换，而不脱离本发明技术方法的精神和范围。

Claims (8)

1.一种安全运维实时预警一体化系统，其特征在于，包括监测准备模块、监测模块和分析模块；

所述监测准备模块用于对用户的安全条件进行分析，确定各待选监测方式，设置模拟数据，通过模拟数据对各待选监测方式进行模拟，生成各待选监测方式对于各安全问题的监测问题图；所述监测问题图的横轴为时间，纵轴为时间评估值；

根据所述监测问题图评估对应的单一值；设置各安全问题的权重系数；

将安全问题标记为j，j=1、2、……、m，m为正整数；将各安全问题对应的单一值和权重系数分别标记为PAj和ηj；

根据公式计算对应的监测值；式中：QY为监测值；

选择监测值最小的待选监测方式为目标安全监测方式，根据所述目标安全监测方式进行监测准备；

所述监测模块用于进行安全监测，获得对应的安全监测数据；

所述分析模块用于对监测数据进行分析，获取安全监测数据，根据目标安全监测方式建立对应的异常监测模型，异常监测模型的表达式为，式中：s为输入数据；输出数据为异常监测值1或0；

通过异常监测模型对安全监测数据进行实时识别，获得对应的异常监测值；

当异常监测值为0时，不进行相应操作；

当异常监测值为1时，进行异常预警，并进行相应的应急处理。

2.根据权利要求1所述的一种安全运维实时预警一体化系统，其特征在于，待选监测方式的确定方法包括：

确定用户的安全条件，根据所述安全条件进行数据采集，获得历史安全事件数据；

根据所述历史安全事件数据确定各安全问题，设置各所述安全问题对应的各识别特征组以及各识别特征组对应的特征处理方式；

根据各识别特征组和特征处理方设置各待选监测方式。

3.根据权利要求2所述的一种安全运维实时预警一体化系统，其特征在于，监测问题图的设置方法包括：

通过待选监测方式对模拟数据进行实时监测，记录各时刻识别的各识别特征，将已经识别的识别特征标记为基准特征，将各基准特征整合为基准特征组；

通过基准特征组匹配包括各基准特征的识别特征组，根据识别特征组确定对应的安全问题，将识别的安全问题标记为概率问题；

为各概率问题匹配对应的问题值，根据公式计算对应时间评估值；

式中：PW为时间评估值；i表示对应的概率问题，i=1、2、……、n，n为正整数；WAi为对应概率问题的问题值；

根据时间评估值和相应时间生成对应的监测问题图。

4.根据权利要求3所述的一种安全运维实时预警一体化系统，其特征在于，根据概率问题匹配问题值的方法包括：

根据历史安全事件数据统计各安全问题的发生概率，根据各发生概率计算对应的问题比重；并根据历史安全事件数据确定各安全问题的损失比重；

根据公式WA=b1×WB+b2×SL计算各安全问题的问题值；

式中：WA为问题值；b1、b2均为比例系数，取值范围为0<b1≤1，0<b2≤1；WB为问题比重；SL为损失比重；

将各安全问题对应的问题值进行整理，设置对应问题值匹配表；

将各概率问题输入到问题值匹配表中进行匹配，获得各概率问题对应的问题值。

5.根据权利要求3所述的一种安全运维实时预警一体化系统，其特征在于，单一值的评估方法包括：

对各监测问题图进行拟合，获得对应的问题函数，将问题函数标记为H(t)；

根据公式计算相应安全问题的单一值；

式中：PA为单一值；t1和t2均为时间；PWt2为t2时间对应的时间评估值。

6.根据权利要求1所述的一种安全运维实时预警一体化系统，其特征在于，进行应急处理的方法包括：

建立应急库，所述应急库用于储存各安全问题对应的应急方案和应急处理方案对应的应急准备措施；

根据异常监测值的识别时间确定定位时间，从定位时间开始实时识别对应的识别特征，标记为监测特征，根据识别的监测特征形成实时的监测特征组；

根据监测特征组确定各待选问题；根据监测特征组计算各待选问题的待选概率，将待选概率大于阈值X1的待选问题标记为准备问题；

根据准备问题从应急库中匹配对应的应急准备措施，根据获得的应急准备措施进行应急准备；

当根据监测特征组确定目标问题时，根据目标问题匹配对应的应急方案，根据获得的应急方案进行应急处理。

7.根据权利要求6所述的一种安全运维实时预警一体化系统，其特征在于，根据监测特征组计算各待选问题的待选概率的方法包括：

建立特征记录库，所述特征记录库内设置各安全问题对应的储存记录节点，所述储存记录节点用于储存所述安全问题对应的特征记录数据；

识别监测特征组中各监测特征的识别顺序，形成参照数据，将参照数据输入到特征记录库中各待选问题对应的储存记录节点中进行匹配计算，获得对应的匹配值；

根据公式计算对应的待选概率；

式中：DLc为待选概率，c表示对应的待选问题，c=1、2、……、v，n为正整数；PRc为匹配值。

8.根据权利要求7所述的一种安全运维实时预警一体化系统，其特征在于，匹配值的计算方法包括：

建立匹配模型，匹配模型的表达式为，式中：f为参照数据与对应的特征记录数据；输出数据为匹配单一值1或0；

通过匹配模型对输入到储存记录节点内的参照数据进行分析，获得各匹配单一值；计算各匹配单一值之和，标记为初始值；

根据公式PR=CR/UY计算对应的匹配值；

式中：PR为匹配值；CR为初始值；UY为储存记录节点内特征记录数据的数量。