一種改進(jìn)的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)的制作方法
【專利摘要】本發(fā)明設(shè)計(jì)涉及一種電力網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),包括數(shù)據(jù)采集層、分析決策層及界面顯示層,其通過(guò)將實(shí)時(shí)發(fā)生的網(wǎng)絡(luò)安全事件與樣本報(bào)警安全事件和樣本綠色安全事件作對(duì)比,確定實(shí)時(shí)發(fā)生的網(wǎng)絡(luò)安全事件的發(fā)展趨勢(shì),保證網(wǎng)絡(luò)信息安全。
【專利說(shuō)明】一種改進(jìn)的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)信息安全領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)。
【背景技術(shù)】
[0002] 當(dāng)前,網(wǎng)絡(luò)信息安全領(lǐng)域中既有來(lái)自于外部的入侵和攻擊,也有來(lái)自內(nèi)部的違規(guī) 和泄露。常見(jiàn)的信息安全系統(tǒng)包括防病毒系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、 UTM等。但這些安全系統(tǒng)一般只能防堵來(lái)自某個(gè)特定方面的安全威脅,不具備協(xié)同效應(yīng)。 CN201010613751介紹了一種能夠避免形成安全孤島的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),但只是 提出了該系統(tǒng)的架構(gòu)模型,對(duì)于網(wǎng)絡(luò)安全事件的采集、關(guān)聯(lián)分析的效率和準(zhǔn)確性以及系統(tǒng) 操作等方面都有進(jìn)一步提升的空間。
【發(fā)明內(nèi)容】
[0003] 有鑒于此,本發(fā)明主要的目的在于提供一種網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),以克服 現(xiàn)有技術(shù)中的上述缺陷。
[0004] 本發(fā)明的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),包括數(shù)據(jù)采集層、集群數(shù)據(jù)庫(kù)系統(tǒng)、分析決 策層及界面顯示層;其特征在于:數(shù)據(jù)采集層包括多個(gè)狀態(tài)采集設(shè)備、多個(gè)網(wǎng)絡(luò)數(shù)據(jù)包采 集設(shè)備和封裝處理器等;集群數(shù)據(jù)庫(kù)系統(tǒng)包括監(jiān)控?cái)?shù)據(jù)庫(kù)、關(guān)聯(lián)分析策略數(shù)據(jù)庫(kù)、關(guān)聯(lián)分析 結(jié)果數(shù)據(jù)庫(kù)、安全事件樣本數(shù)據(jù)庫(kù)等;分析決策層包括關(guān)聯(lián)分析模塊和關(guān)聯(lián)分析策略模塊 等;界面顯示層包括參數(shù)設(shè)定模塊、結(jié)果展示模塊、查詢模塊、邏輯中間件等。
【專利附圖】
【附圖說(shuō)明】
[0005] 圖1是網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0006] 為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,將結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步地 詳細(xì)描述。這種描述是通過(guò)示例而非限制的方式介紹了與本發(fā)明的原理相一致的具體實(shí)施 方式,這些實(shí)施方式的描述是足夠詳細(xì)的,以使得本領(lǐng)域技術(shù)人員能夠?qū)嵺`本發(fā)明,在不脫 離本發(fā)明的范圍和精神的情況下可以使用其他實(shí)施方式并且可以改變和/或替換各要素 的結(jié)構(gòu)。因此,不應(yīng)當(dāng)從限制性意義上來(lái)理解以下的詳細(xì)描述。
[0007] 如圖1所示,本發(fā)明的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)10,包括相互連接的數(shù)據(jù)采集 層100、集群數(shù)據(jù)庫(kù)系統(tǒng)200、分析決策層300和界面顯示層400。連接方式可以為以太網(wǎng) 線、數(shù)據(jù)線、光纖等有線形式連接,也可以使用包括WIFI在內(nèi)的無(wú)線方式連接。
[0008] 數(shù)據(jù)采集層100主要包括多個(gè)狀態(tài)采集設(shè)備110、多個(gè)網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備120和 封裝處理器130。
[0009] 狀態(tài)采集設(shè)備110,主要實(shí)現(xiàn)為傳感器或自動(dòng)化儀表,包括但不僅限于部署在以太 網(wǎng)接口的傳感器,可以采集以太網(wǎng)口的網(wǎng)絡(luò)速度、帶寬;部署在遠(yuǎn)程網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)設(shè) 備、主機(jī)服務(wù)器I/O 口的自動(dòng)化儀表,可以采集遠(yuǎn)程設(shè)備的主板電壓、電流等性能參數(shù)。
[0010] 網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備120,主要實(shí)現(xiàn)為運(yùn)行監(jiān)控腳本,包括但不僅限于安裝在服務(wù) 器上的監(jiān)控腳本,實(shí)時(shí)監(jiān)測(cè)服務(wù)器的CPU使用率、內(nèi)存使用率、硬盤(pán)使用率、磁盤(pán)IO速度、緩 沖區(qū)大小、線程數(shù)量、隊(duì)列長(zhǎng)度等性能參數(shù)。
[0011] 封裝處理器130,用于將狀態(tài)采集設(shè)備110和網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備120所獲取的 網(wǎng)絡(luò)安全事件數(shù)據(jù)進(jìn)行預(yù)處理和封裝,并將封裝好的網(wǎng)絡(luò)安全事件數(shù)據(jù)傳至決策層。對(duì)采 集設(shè)備所采集到的數(shù)據(jù)進(jìn)行預(yù)處理包括但不限于剔除明顯錯(cuò)誤的數(shù)據(jù)、設(shè)定采集設(shè)備分類(lèi) 標(biāo)志,規(guī)范時(shí)間等操作。封裝處理器130的封裝操作通過(guò)簡(jiǎn)單的封裝協(xié)議進(jìn)行。封裝協(xié)議 包括數(shù)據(jù)包頭和采集數(shù)據(jù)兩個(gè)部分。數(shù)據(jù)包頭包括三組內(nèi)容:第一組為采集設(shè)備分類(lèi)標(biāo) 志碼,lbit,用以區(qū)分狀態(tài)采集設(shè)備110和網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備120 ;第二組表示采集數(shù)據(jù) 的時(shí)間,精確到秒,8Byte,如果數(shù)據(jù)采集層100采集的數(shù)據(jù)時(shí)間精確到毫秒,則封裝處理器 130在預(yù)處理時(shí)將其規(guī)范化為秒;第三部分表示數(shù)據(jù)來(lái)源設(shè)備的MAC地址。由于狀態(tài)采集 設(shè)備110和網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備120分布在整個(gè)網(wǎng)絡(luò)中,因此封裝處理器130被設(shè)計(jì)為支 持TCP/IP、HTTP、FTP、UDP、藍(lán)牙、802. 11等多種網(wǎng)絡(luò)傳輸協(xié)議,從而能夠完成和狀態(tài)采集設(shè) 備110、網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備120的交互,避免異構(gòu)網(wǎng)絡(luò)造成的信息傳輸隔閡。另外,由于封 裝處理器130對(duì)網(wǎng)絡(luò)事件數(shù)據(jù)進(jìn)行了封裝,因此也簡(jiǎn)化了分析決策層200,使之不必處理各 種網(wǎng)絡(luò)協(xié)議,決策效率更加高效。
[0012] 集群數(shù)據(jù)庫(kù)系統(tǒng)200包括監(jiān)控?cái)?shù)據(jù)庫(kù)210、關(guān)聯(lián)分析策略數(shù)據(jù)庫(kù)220、關(guān)聯(lián)分析結(jié) 果數(shù)據(jù)庫(kù)230、安全事件樣本數(shù)據(jù)庫(kù)240。監(jiān)控?cái)?shù)據(jù)庫(kù)210用于存儲(chǔ)數(shù)據(jù)采集層100所采集 到的性能參數(shù)相關(guān)的數(shù)據(jù),例如狀態(tài)采集設(shè)備110所采集的主板電壓、電流等性能參數(shù),網(wǎng) 絡(luò)數(shù)據(jù)包采集設(shè)備120采集的CPU使用率、內(nèi)存使用率、硬盤(pán)使用率、磁盤(pán)IO速度、緩沖區(qū) 大小、線程數(shù)量、隊(duì)列長(zhǎng)度等性能參數(shù)。關(guān)聯(lián)分析策略數(shù)據(jù)庫(kù)220用于存儲(chǔ)用來(lái)進(jìn)行關(guān)聯(lián)分 析的策略,分為固定策略和用戶配置策略兩部分。關(guān)聯(lián)分析結(jié)果數(shù)據(jù)庫(kù)230用于存儲(chǔ)關(guān)聯(lián) 分析的歷史結(jié)果,包括判定為有關(guān)聯(lián)的報(bào)警安全事件、綠色安全事件和最新三天內(nèi)分析的 安全事件。安全事件樣本數(shù)據(jù)庫(kù)240用于存儲(chǔ)樣本報(bào)警安全事件和樣本綠色安全事件的名 稱、安全事件的性能參數(shù),包括但不僅限于網(wǎng)速、帶寬、CPU使用率、內(nèi)存使用率、硬盤(pán)空間使 用率、磁盤(pán)IO速度、緩沖區(qū)大小、線程數(shù)量、隊(duì)列長(zhǎng)度等。
[0013] 分析決策層300包括關(guān)聯(lián)分析模塊310和關(guān)聯(lián)分析策略模塊320。關(guān)聯(lián)分析模塊 310用于分析數(shù)據(jù)采集層100的封裝處理器130傳輸來(lái)的實(shí)時(shí)安全事件和安全事件樣本數(shù) 據(jù)240所存儲(chǔ)的樣本安全事件之間的關(guān)聯(lián)度。關(guān)聯(lián)分析策略模塊320用于操作操作關(guān)聯(lián)分 析策略數(shù)據(jù)庫(kù)220,包括關(guān)聯(lián)分析策略導(dǎo)入、配置、修改、保存等功能。
[0014] 分析決策層300對(duì)實(shí)時(shí)安全事件的處理步驟具體如下:
[0015] S100,使用關(guān)聯(lián)分析策略模塊320從關(guān)聯(lián)分析策略數(shù)據(jù)庫(kù)220中讀取關(guān)聯(lián)分析策 略,確定要使用的性能參數(shù)。
[0016] 不同的關(guān)聯(lián)分析策略使用不同的性能參數(shù)。例如某個(gè)策略關(guān)注于網(wǎng)速、帶寬和隊(duì) 列長(zhǎng)度,而另一策略關(guān)注于CPU使用率、內(nèi)存使用率、硬盤(pán)空間使用率、磁盤(pán)IO速度、緩沖區(qū) 大小。
[0017] S110,從安全事件樣本數(shù)據(jù)庫(kù)240中讀取關(guān)聯(lián)分析策略所要求的樣本報(bào)警安全事 件的相應(yīng)能參數(shù)序列。
[0018] S120,將數(shù)據(jù)采集層100的封裝處理器130傳輸來(lái)采集數(shù)據(jù)實(shí)時(shí)存儲(chǔ)的監(jiān)控?cái)?shù)據(jù) 庫(kù)210中,同時(shí)獲取關(guān)聯(lián)分析策略所要求的實(shí)時(shí)安全事件的相應(yīng)性能參數(shù)。
[0019] S200,獲取樣本報(bào)警安全事件的相應(yīng)性能參數(shù)時(shí)間序列集合為{SN},其中N為關(guān) 聯(lián)分析策略中選定的性能參數(shù)個(gè)數(shù)。其中S 1= (S1 (^,S1U2),為樣本報(bào)警 安全事件的第1個(gè)性能參數(shù)時(shí)間序列,tj2到t m為m段間隔相等的時(shí)間間隔。為以此類(lèi) 推,S2為樣本報(bào)警安全事件的第2個(gè)性能參數(shù)時(shí)間序列,直到S n為樣本報(bào)警安全事件的 第N個(gè)性能參數(shù)時(shí)間序列。獲取實(shí)時(shí)安全事件的相應(yīng)性能參數(shù)時(shí)間序列集合為(RnKR 1 = {&(、),!?"、),···}為實(shí)時(shí)安全事件的第1個(gè)性能參數(shù)時(shí)間序列。以此類(lèi)推,R2為實(shí)時(shí)安全 事件的第2個(gè)性能參數(shù)時(shí)間序列,直到R n為樣本安全事件的第N個(gè)性能參數(shù)時(shí)間序列。
[0020] S300,計(jì)算S1U1)與R1U1)的差值Λ 〇1,計(jì)算S1U2)與R1U2)的差值Λ 〇2,以此 類(lèi)推,得到Δ〇Ν ;獲取Δ〇1到Δ〇Ν中的最大值A(chǔ)max和最小值A(chǔ)min并由此計(jì)算出均值
【權(quán)利要求】
1. 一種網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng),包括數(shù)據(jù)采集層、集群數(shù)據(jù)庫(kù)系統(tǒng)、分析決策層及 界面顯示層;其特征在于:數(shù)據(jù)采集層包括多個(gè)狀態(tài)采集設(shè)備、多個(gè)網(wǎng)絡(luò)數(shù)據(jù)包采集設(shè)備 和封裝處理器等;集群數(shù)據(jù)庫(kù)系統(tǒng)包括監(jiān)控?cái)?shù)據(jù)庫(kù)、關(guān)聯(lián)分析策略數(shù)據(jù)庫(kù)、關(guān)聯(lián)分析結(jié)果數(shù) 據(jù)庫(kù)、安全事件樣本數(shù)據(jù)庫(kù)等;分析決策層包括關(guān)聯(lián)分析模塊和關(guān)聯(lián)分析策略模塊等;界 面顯示層包括參數(shù)設(shè)定模塊、結(jié)果展示模塊、查詢模塊、邏輯中間件等;所述樣本安全事件 數(shù)據(jù)庫(kù)存儲(chǔ)有樣本報(bào)警安全事件和樣本綠色安全事件。
2. -種利用權(quán)利要求1所述的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析系統(tǒng)對(duì)實(shí)時(shí)安全事件進(jìn)行處理 的方法,其特征在于包括以下步驟: S100,使用關(guān)聯(lián)分析策略模塊320從關(guān)聯(lián)分析策略數(shù)據(jù)庫(kù)220中讀取關(guān)聯(lián)分析策略,確 定要使用的性能參數(shù); Sl 10,從安全事件樣本數(shù)據(jù)庫(kù)240中讀取關(guān)聯(lián)分析策略所要求的樣本安全事件的相應(yīng) 能參數(shù)序列; S120,將數(shù)據(jù)采集層100的封裝處理器130傳輸來(lái)采集數(shù)據(jù)實(shí)時(shí)存儲(chǔ)的監(jiān)控?cái)?shù)據(jù)庫(kù)210 中,同時(shí)獲取關(guān)聯(lián)分析策略所要求的實(shí)時(shí)安全事件的相應(yīng)性能參數(shù); S200,獲取樣本報(bào)警安全事件的相應(yīng)性能參數(shù)時(shí)間序列集合為{SN},其中N為關(guān)聯(lián)分析 策略中選定的性能參數(shù)個(gè)數(shù);其中S1= (S1U1), S1U2),…,Sm(〇}為樣本報(bào)警安全事件的 第1個(gè)性能參數(shù)時(shí)間序列,tj 2到tm為m段間隔相等的時(shí)間間隔;以此類(lèi)推,S2為樣本報(bào)警 安全事件的第2個(gè)性能參數(shù)時(shí)間序列,直到S n為樣本報(bào)警安全事件的第N個(gè)性能參數(shù)時(shí)間 序列;獲取實(shí)時(shí)安全事件的相應(yīng)性能參數(shù)時(shí)間序列集合為(RnKR 1 = (R1 U1),R1U2), ···}為 實(shí)時(shí)安全事件的第1個(gè)性能參數(shù)時(shí)間序列;以此類(lèi)推,R2為實(shí)時(shí)安全事件的第2個(gè)性能參 數(shù)時(shí)間序列,直到R n為樣本安全事件的第N個(gè)性能參數(shù)時(shí)間序列; S300,計(jì)算S1U1)與札(心)的差值Λ〇1,計(jì)算S1U2)與札⑷)的差值Λ〇2,以此類(lèi) 推,得到Δ〇Ν ;獲取Δ〇1到Δ〇Ν中的最大值A(chǔ)max和最小值A(chǔ)min并由此計(jì)算出均值
S310,獲取51與札關(guān)聯(lián)度為巧,則
為31與札 第k個(gè)性能參數(shù)的關(guān)聯(lián)系數(shù),P為分辨系數(shù),在0?1之間;以此類(lèi)推,得到S2與R2的關(guān)聯(lián) 度1"2,最終得到{SN}與{RJ關(guān)聯(lián)度序列{rN}; S400,根據(jù)以下公式計(jì)算關(guān)聯(lián)度序列{rN}的關(guān)聯(lián)因子K,K標(biāo)識(shí)了實(shí)時(shí)安全事件和樣本 報(bào)警安全事件的關(guān)聯(lián)度;
S500,若K大于等于第一閾值Dl,則通知界面顯示層向用戶提示報(bào)警,將其存入關(guān)聯(lián)分 析結(jié)果數(shù)據(jù)庫(kù)230,并標(biāo)記為報(bào)警安全事件;第一閾值Dl的經(jīng)驗(yàn)參數(shù)為0. 8,并結(jié)束處理; 否則繼續(xù)執(zhí)行步驟S600。 S600,從安全事件樣本數(shù)據(jù)庫(kù)240獲取樣本綠色安全事件的相應(yīng)性能參數(shù)時(shí)間序列集 合為{GN},其中N為關(guān)聯(lián)分析策略中選定的性能參數(shù)個(gè)數(shù)。其中G1= (G1 U1) ,G1U2),… ,Gm(tm)}為樣本綠色安全事件的第1個(gè)性能參數(shù)時(shí)間序列,tj2到t m為m段間隔相等的時(shí) 間間隔。為以此類(lèi)推,G2為樣本綠色安全事件的第2個(gè)性能參數(shù)時(shí)間序列,直到G n為樣本 綠色安全事件的第N個(gè)性能參數(shù)時(shí)間序列。 S700,計(jì)算61(心)與1?1(七1)的差值A(chǔ)0' 1,計(jì)算〇1(七2)與1?1(七2)的差值A(chǔ) 0' 2,以此 類(lèi)推,得到Λ〇' N ;獲取A0' 1到A0' N中的最大值A(chǔ)max^和最小值A(chǔ)min'并由此 計(jì)算出均值
; S710,獲取61與札關(guān)聯(lián)度為r'
,為G1 與R1第k個(gè)性能參數(shù)的關(guān)聯(lián)系數(shù),P '為分辨系數(shù),在0?1之間,優(yōu)選0. 5 ;以此類(lèi)推,得 到G2與R2的關(guān)聯(lián)度r' 2,最終得到{GJ與{RN}關(guān)聯(lián)度序列{V J ; S800,根據(jù)以下公式計(jì)算關(guān)聯(lián)度序列{τ' N}的關(guān)聯(lián)因子Γ,Γ標(biāo)識(shí)了實(shí)時(shí)安全事件 和樣本綠色安全事件的關(guān)聯(lián)度;
S900,若Γ大于等于第二閾值D2,將其存入關(guān)聯(lián)分析結(jié)果數(shù)據(jù)庫(kù)230,并標(biāo)記為綠色 安全事件,D2的經(jīng)驗(yàn)參數(shù)為0. 8。
【文檔編號(hào)】H04L29/06GK104378367SQ201410619562
【公開(kāi)日】2015年2月25日 申請(qǐng)日期:2014年11月6日 優(yōu)先權(quán)日:2014年11月6日
【發(fā)明者】孫劍波, 鄧華, 季翠娜, 王志軍, 楊世盛, 李樹(shù)臣, 葛祖郁, 萬(wàn)海朝, 聶晶, 王朝陽(yáng) 申請(qǐng)人:國(guó)網(wǎng)山東蓬萊市供電公司