本發(fā)明涉及安全事件數(shù)據(jù)管理,尤其是涉及基于智能定級的安全事件數(shù)據(jù)管理系統(tǒng)。
背景技術(shù):
1、安全事件是指任何可能對信息系統(tǒng)的機密性、完整性、可用性或?qū)I(yè)務(wù)運營造成負面影響的事件。它可以是由惡意行為(如黑客攻擊、病毒感染、勒索軟件攻擊等)、系統(tǒng)故障、人為錯誤或自然災(zāi)難引起的。以下是對安全事件的具體描述:涉及未經(jīng)授權(quán)的數(shù)據(jù)訪問、泄露或暴露;涉及數(shù)據(jù)或系統(tǒng)的篡改、損壞或破壞;涉及系統(tǒng)或服務(wù)的中斷、拒絕服務(wù)攻擊等;對組織的運營、聲譽或財務(wù)狀況產(chǎn)生負面影響;
2、安全事件可能包括但不限于以下幾種類型:
3、網(wǎng)絡(luò)攻擊:如ddos攻擊、釣魚攻擊、sql注入等。
4、惡意軟件:如病毒、木馬、蠕蟲、勒索軟件等。
5、數(shù)據(jù)泄露:未經(jīng)授權(quán)的數(shù)據(jù)訪問或數(shù)據(jù)傳輸。
6、系統(tǒng)漏洞利用:利用軟件或系統(tǒng)的安全漏洞。
7、現(xiàn)有的安全事件分級技術(shù)雖然在提高網(wǎng)絡(luò)安全防護方面發(fā)揮了重要作用,但也存在一些缺陷:
8、許多分級方法依賴于人工判斷,這可能導(dǎo)致分級結(jié)果的主觀性和不一致性;安全事件的復(fù)雜性不斷增加,而現(xiàn)有的分級模型可能無法適應(yīng)所有類型的事件,導(dǎo)致分級不準確;傳統(tǒng)的分級方法可能無法及時響應(yīng)新的威脅或攻擊手段,導(dǎo)致在處理新興安全事件時出現(xiàn)滯后;不同組織可能采用不同的分級標準和方法,這導(dǎo)致跨組織的安全事件比較和協(xié)作困難;許多分級系統(tǒng)基于歷史數(shù)據(jù)訓(xùn)練模型,這可能無法準確預(yù)測或分級新的攻擊模式。一些分級方法可能忽略了安全事件的上下文信息,如攻擊者的意圖、目標資產(chǎn)的重要性等,這可能導(dǎo)致分級結(jié)果不夠精確;現(xiàn)有的分級系統(tǒng)可能會產(chǎn)生誤報(將非安全事件錯誤地標記為安全事件)或漏報(未能識別真正的安全事件)。
9、為了克服這些缺陷,亟需設(shè)計基于智能定級的安全事件數(shù)據(jù)管理系統(tǒng)來提高分級的準確性和效率。
技術(shù)實現(xiàn)思路
1、為了解決上述安全事件分級的技術(shù)問題,本發(fā)明提供基于智能定級的安全事件數(shù)據(jù)管理系統(tǒng)。采用如下的技術(shù)方案:
2、基于智能定級的安全事件數(shù)據(jù)管理系統(tǒng),包括網(wǎng)絡(luò)流量采集器、日志收集器、數(shù)據(jù)預(yù)處理單元、安全事件預(yù)定級單元、預(yù)定級廣播報警單元、智能定級單元和中心服務(wù)器,所述網(wǎng)絡(luò)流量采集器用于采集被檢測目標的網(wǎng)絡(luò)流量數(shù)據(jù),將網(wǎng)絡(luò)流量數(shù)據(jù)發(fā)送給數(shù)據(jù)預(yù)處理單元,所述日志收集器每隔設(shè)定時間間隔采集被檢測目標的系統(tǒng)日志數(shù)據(jù),所述數(shù)據(jù)預(yù)處理單元分別與網(wǎng)絡(luò)流量采集器和日志收集器通信連接,解析網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù),并提取破壞性事件特征數(shù)據(jù),每隔設(shè)定時間將網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)打包形成完整安全事件數(shù)據(jù)包,安全事件預(yù)定級單元與數(shù)據(jù)預(yù)處理單元通信交互破壞性事件特征數(shù)據(jù),安全事件預(yù)定級單元設(shè)有破壞性安全事件特征數(shù)據(jù)庫,將破壞性事件特征數(shù)據(jù)遍歷破壞性安全事件特征數(shù)據(jù)庫進行匹配,當判定匹配達到設(shè)定匹配標準則判斷出現(xiàn)破壞性安全事件,安全事件預(yù)定級單元控制預(yù)定級廣播報警單元進行網(wǎng)絡(luò)廣播報警和聲光報警,每隔設(shè)定時間智能定級單元與數(shù)據(jù)預(yù)處理單元通信交互完整安全事件數(shù)據(jù)包,基于訓(xùn)練好的安全事件定級模型進行安全事件分級,所述中心服務(wù)器分別與安全事件預(yù)定級單元、預(yù)定級廣播報警單元和智能定級單元通信連接。
3、可選的,數(shù)據(jù)預(yù)處理單元包括預(yù)處理存儲器和數(shù)據(jù)分析芯片,所述預(yù)處理存儲器分別與網(wǎng)絡(luò)流量采集器和日志收集器的數(shù)據(jù)輸出端通信連接,并與安全事件預(yù)定級單元和智能定級單元的數(shù)據(jù)輸入端通信連接;
4、所述數(shù)據(jù)分析芯片與預(yù)處理存儲器通信連接,按照設(shè)定時間間隔作為解析周期分別解析網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)得到基于時序的網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù),基于時序的網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)組成完整安全事件數(shù)據(jù)包,在下個解析周期前將完整安全事件數(shù)據(jù)包發(fā)送給智能定級單元;
5、數(shù)據(jù)分析芯片實時分析網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù),提取破壞性特征數(shù)據(jù),當判斷存在破壞性安全事件特征數(shù)據(jù)時,將破壞性安全事件特征數(shù)據(jù)立即發(fā)送給安全事件預(yù)定級單元。
6、通過采用上述技術(shù)方案,網(wǎng)絡(luò)流量采集器可以是pcaps、netscout等工具,可以實時監(jiān)控被檢測目標捕獲網(wǎng)絡(luò)流量數(shù)據(jù),日志收集器可以是被檢測目標系統(tǒng)中集成的日志收集模塊,可以實現(xiàn)系統(tǒng)日志數(shù)據(jù)的采集;
7、數(shù)據(jù)預(yù)處理單元在設(shè)定時間間隔收集網(wǎng)絡(luò)流量采集器和日志收集器的網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù),在時間間隔后將網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)打包形成完整安全事件數(shù)據(jù)包,并發(fā)送給智能定級單元;
8、在這個時間間隔中,數(shù)據(jù)預(yù)處理單元需要實時分析網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù),提取其中的破壞性事件特征數(shù)據(jù),破壞性事件特征數(shù)據(jù)是指具有攻擊相關(guān)特征的數(shù)據(jù)、具有木馬病毒特征的數(shù)據(jù)等,這些破壞性事件特征數(shù)據(jù)需要立即傳輸給安全事件預(yù)定級單元,安全事件預(yù)定級單元無須經(jīng)過復(fù)雜的模型計算來實現(xiàn)定級,只需將破壞性事件特征數(shù)據(jù)在遍歷破壞性安全事件特征數(shù)據(jù)庫進行匹配,匹配可以是關(guān)鍵詞匹配,如果滿足設(shè)定匹配標準,例如達到多個匹配成功的關(guān)鍵詞,就可以認為大概率發(fā)生了具有破壞性的安全事件,這時需要將判斷出現(xiàn)安全事件的結(jié)果與預(yù)定級廣播報警單元交互,預(yù)定級廣播報警單元進行網(wǎng)絡(luò)廣播報警和聲光報警,網(wǎng)絡(luò)廣播報警的目的是在網(wǎng)絡(luò)上進行廣播報警,例如采用app提醒工作人員的智能終端報警,還可以在中心服務(wù)器的大屏幕進行警示。
9、實現(xiàn)了快速的安全事件預(yù)定級,同時進行網(wǎng)絡(luò)廣播報警和聲光報警,降低安全事件的破壞性,使工作人員盡快介入處置。
10、在設(shè)定時間間隔后,數(shù)據(jù)預(yù)處理單元每隔設(shè)定時間將網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)打包形成完整安全事件數(shù)據(jù)包,并與智能定級單元交互完整安全事件數(shù)據(jù)包,智能定級單元基于訓(xùn)練好的安全事件定級模型進行安全事件分級,安全事件定級模型可以是機器學(xué)習(xí)模型部署。
11、可選的,設(shè)定時間間隔是1-5分鐘。
12、通過采用上述技術(shù)方案,安全事件的破壞一般很迅速,對于安全事件的分級應(yīng)當盡可能地快速,盡快地對安全事件進行定級有助于工作人員依據(jù)相關(guān)預(yù)定方案進行應(yīng)對。
13、可選的,安全事件預(yù)定級單元包括預(yù)定級存儲器和預(yù)定級計算機,所述預(yù)定級存儲器的數(shù)據(jù)輸入端與預(yù)處理存儲器通信交互破壞性事件特征數(shù)據(jù),預(yù)定級存儲器存儲破壞性安全事件特征數(shù)據(jù)庫,所述預(yù)定級計算機與預(yù)定級存儲器通信連接,提取破壞性事件特征數(shù)據(jù)的關(guān)鍵特征,將關(guān)鍵特征作為查詢項遍歷破壞性安全事件特征數(shù)據(jù)庫,當預(yù)定級計算機判斷匹配結(jié)果達到設(shè)定匹配標準則判斷出現(xiàn)破壞性安全事件,并與預(yù)定級廣播報警單元交互出現(xiàn)破壞性安全事件的結(jié)果。
14、可選的,破壞性事件特征數(shù)據(jù)的關(guān)鍵特征是攻擊類型、攻擊方法、攻擊工具、攻擊網(wǎng)絡(luò)地址、數(shù)據(jù)修改、數(shù)據(jù)加密;
15、設(shè)定匹配標準是:對于破壞性安全事件特征數(shù)據(jù)庫中的單個完整破壞性安全事件特征數(shù)據(jù),至少存在三個關(guān)鍵特征匹配成功,則判斷出現(xiàn)破壞性安全事件。
16、通過采用上述技術(shù)方案,預(yù)定級計算機對出現(xiàn)破壞性安全事件的判斷是基于關(guān)鍵特征的遍歷匹配實現(xiàn);
17、先構(gòu)建破壞性安全事件特征數(shù)據(jù)庫存儲已知破壞性安全事件的標準化特征完整。
18、從安全事件數(shù)據(jù)中提取關(guān)鍵特征,這些特征可以是攻擊類型、攻擊方法、攻擊工具、攻擊網(wǎng)絡(luò)地址、數(shù)據(jù)修改、數(shù)據(jù)加密等,將提取的特征轉(zhuǎn)換為標準格式;
19、將采用匹配工具將關(guān)鍵特征遍歷破壞性安全事件特征數(shù)據(jù)庫,對于單個完整破壞性安全事件特征數(shù)據(jù),當判斷至少存在三個關(guān)鍵特征匹配成功,則判斷出現(xiàn)破壞性安全事件。
20、例如單個完整破壞性安全事件包括以下特征:
21、某區(qū)域網(wǎng)絡(luò)地址,采用某攻擊手段(包括攻擊類型、攻擊方法、攻擊工具),實現(xiàn)了數(shù)據(jù)修改和數(shù)據(jù)加密;
22、若關(guān)鍵特征為某區(qū)域網(wǎng)絡(luò)地址、數(shù)據(jù)修改和數(shù)據(jù)加密,則實現(xiàn)了三個關(guān)鍵特征匹配成功,此時判斷出現(xiàn)破壞性安全事件。
23、可選的,預(yù)定級廣播報警單元包括報警信號生成芯片、聲光報警器和緩存器,所述報警信號生成芯片與預(yù)定級計算機通信連接,報警信號生成芯片控制聲光報警器的執(zhí)行動作,當預(yù)定級計算機與報警信號生成芯片交互出現(xiàn)破壞性安全事件的信號時,報警信號生成芯片生成線上報警數(shù)據(jù)和聲光報警控制指令并存儲在緩存器,中心服務(wù)器與緩存器交互線上報警數(shù)據(jù),并顯示線上報警畫面,所述報警信號生成芯片基于聲光報警控制指令控制聲光報警器進行聲光報警,所述聲光報警器安裝在中心服務(wù)器所在的控制中心。
24、通過采用上述技術(shù)方案,預(yù)定級廣播報警單元的目的是在最短的時間內(nèi)通知相關(guān)工作人員進行安全事件緊急處置,采用了線上和線下兩種報警模式,線上報警數(shù)據(jù)可以使中心服務(wù)器顯示報警信息,還可以通過與工作人員的手持終端,智能手機等交互報警信號來實現(xiàn)線上報警,線下報警是基于安裝在中心服務(wù)器所在的控制中心的聲光報警器實現(xiàn)。
25、可選的,智能定級單元包括定級存儲器和分析定級計算機,所述定級存儲器與預(yù)處理存儲器通信連接,每隔設(shè)定時間間隔交互完整安全事件數(shù)據(jù)包,所述分析定級計算機與定級存儲器通信連接,分析定級計算機解析完整安全事件數(shù)據(jù)包,得到基于時序的完整安全事件數(shù)據(jù),分析定級計算機部署訓(xùn)練好的安全事件定級模型,將基于時序的完整安全事件數(shù)據(jù)輸入安全事件定級模型,安全事件定級模型輸出安全事件定級結(jié)果,分析定級計算機與中心服務(wù)器交互安全事件定級結(jié)果。
26、可選的,安全事件定級模型基于隨機森林模型實現(xiàn),安全事件定級模型的定級邏輯是:先提取基于時序的完整安全事件數(shù)據(jù)中安全事件分級相關(guān)的特征,采用機器學(xué)習(xí)技術(shù)選擇對模型預(yù)測能力貢獻最大的特征;
27、設(shè)安全事件分級相關(guān)的特征集記為,其中每個特征均進行標準化,n是特征的數(shù)量,隨機森林模型輸出安全事件屬于每個級別的概率分布,m是級別的數(shù)量。
28、可選的,隨機森林模型分級公式如下:
29、;
30、其中l(wèi)是模型預(yù)測的安全事件級別,是安全事件屬于第i級的概率。
31、通過采用上述技術(shù)方案,分析定級計算機可以基于隨機森林模型實現(xiàn)安全事件的智能定級,為工作人員提供準確的安全事件級別數(shù)據(jù),還同時提供關(guān)聯(lián)數(shù)據(jù),為工作人員應(yīng)對安全事件提供數(shù)據(jù)支撐。
32、綜上所述,本發(fā)明包括以下至少一種有益技術(shù)效果:
33、本發(fā)明能提供基于智能定級的安全事件數(shù)據(jù)管理系統(tǒng),網(wǎng)絡(luò)流量采集器實時監(jiān)控被檢測目標捕獲網(wǎng)絡(luò)流量數(shù)據(jù),日志收集器實現(xiàn)系統(tǒng)日志數(shù)據(jù)的采集;數(shù)據(jù)預(yù)處理單元需要實時分析網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù),提取其中的破壞性事件特征數(shù)據(jù),破壞性事件特征數(shù)據(jù)需要立即傳輸給安全事件預(yù)定級單元,安全事件預(yù)定級單元無須經(jīng)過復(fù)雜的模型計算來實現(xiàn)定級,只需將破壞性事件特征數(shù)據(jù)在遍歷破壞性安全事件特征數(shù)據(jù)庫進行匹配,如果滿足設(shè)定匹配標準,將判斷出現(xiàn)安全事件的結(jié)果與預(yù)定級廣播報警單元交互,預(yù)定級廣播報警單元進行網(wǎng)絡(luò)廣播報警和聲光報警,實現(xiàn)了快速的安全事件預(yù)定級,同時進行網(wǎng)絡(luò)廣播報警和聲光報警,降低安全事件的破壞性,使工作人員盡快介入處置。
34、數(shù)據(jù)預(yù)處理單元每隔設(shè)定時間將網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)打包形成完整安全事件數(shù)據(jù)包,智能定級單元基于訓(xùn)練好的安全事件定級模型進行安全事件分級,為工作人員提供準確的安全事件級別數(shù)據(jù),還同時提供關(guān)聯(lián)數(shù)據(jù),為工作人員應(yīng)對安全事件提供數(shù)據(jù)支撐。