一种用于实现数据维护的安全态势感知系统的制作方法

1.本发明属于网络安全防护技术领域，特别是涉及一种用于实现数据维护的安全态势感知系统。


背景技术：

2.随着云计算、大数据、物联网、移动互联网、人工智能等技术的快速发展，企业和组织越来越多的通过这些新技术向外提供服务，这些新技术为企业和组织带来便利的同时，也加剧了企业和组织遭受国内外各种黑客组织攻击的风险；信息安全风险日益增加，而且发现攻击的难度越来越高、时间越来越长，需要建立专门的安全运营团队和平台，全面汇聚企业和组织的安全数据，进行深入分析，实现快速处置，以此来应对不断加剧的风险；而企业和组织要全面提升网络安全防护能力，开展网络安全态势感知工作势在必行，为此，本技术设计了一种用于实现数据维护的安全态势感知系统，用于发现和维护被管理网络的资产信息。


技术实现要素：

3.本发明的目的在于提供一种用于实现数据维护的安全态势感知系统，以解决上述背景技术中提出的问题。
4.为解决上述技术问题，本发明是通过以下技术方案实现的：
5.本发明为一种用于实现数据维护的安全态势感知系统。
6.所述系统由采集探针模块、数据中心模块、数据分析模块和态势应用模块组成；
7.所述采集探针模块用于对被监管网络的安全数据进行检测和收集；
8.所述数据中心模块用于对安全数据经过数据汇入后进行存储；
9.所述数据分析模块用于对核心业务的安全数据进行监测分析后形成安全态势和安全风险；
10.所述态势应用模块用于对数据分析模块形成的安全态势和安全风险进行展示。
11.进一步地，所述采集探针模块包括资产探知模块、脆弱性监测模块、管控探针模块、威胁监测模块和流量审计模块；
12.所述资产探知模块用于对被监管网络的资产信息进行探知；
13.脆弱性监测模块用于对被监管网络的脆弱性信息进行监测；
14.管控探针模块用于让系统通过主被动采集方式，实现多源异构的安全数据采集；
15.威胁监测模块用于对被监管网络能够会产生的或者被产生的威胁进行监测；
16.流量审计模块用于对被监管网中客户的流量日志进行检测。
17.进一步地，所述数据中心模块包括分布式储存计算、数据库、分布式内存计算和分布式文本计算；
18.所述分布式储存用于对数据进行分布式多节点存储；
19.所述数据库用于对检测到的信息数据进行收集；
20.所述分布式内存计算用于对分布式储存内部的内存剩余进行计算；
21.所述分布式文本计算用于对分布式储存内部的信息进行文本计算。
22.进一步地，还包括数据清洗模块和数据接口模块；
23.所述数据清洗模块用于对存储的数据进行过滤、归并、打标签和去隐私的功能进行处理；
24.所述数据接口模块用于让数据在进行收集或者转出。
25.进一步地，所述数据分析模块包括分析建模模块和大数据智能分析模块；
26.所述分析建模模块用于对信息进行整理来对是否危险进行确认；
27.所述大数据智能分析模块用于通过数据分析模块建立的模型进行安全分析和审计分析。
28.进一步地，所述态势应用模块包括态势分析模块、安全监测模块、安全处置模块、安全分析模块、资产管理模块、集中管控模块、治理中心模块和知识情报模块；
29.所述态势分析模块通过收集目标网络的流量、日志、资产、漏洞数据信息，将安全数据按各种场景分析之后提供多维度态势展示，并支持安全态势的大屏展示设置和展示信息筛选过滤设置；
30.所述安全监测模块用于对日志、漏洞、性能进行采集和实时监测，并对接安全设备的日志；
31.所述安全处置模块用于承接整个平台的告警处置模块、漏洞处置模块、安全预警模块、工单管理模块、处置配置模块的管理；
32.所述安全分析模块用于提供日志检索、安全调查、分析建模的安全事件分析场景；
33.所述资产管理模块用于对检测到的资产进行管理；
34.所述集中管控模块用于对安全设备的统一管理能力；
35.所述治理中心模块用于提供多类安全报告模板定义和生成、原始日志快速检索查询、应急预案过程管理、向第三方平台上报数据以及等保过程管理；
36.所述知识情报模块用于提供全面威胁的情报库。
37.进一步地，所述安全监测模块包括日志监测信息模块、漏洞监测模块和性能监测模块；
38.所述日志监测信息模块用于对日志源数量、安全日志数量、审计日志数量、安全日志级别分布、安全日志类型排名和日志量趋势进行检测；
39.所述漏洞监测模块用于联动漏扫设备、导入漏扫报告实现漏洞数据采集；
40.所述性能监测模块用于监测设备总数/异常数以及cpu、内存、磁盘、接口和流量等性能数据。
41.进一步地，所述告警处置模块用于对系统产生的安全事件告警进行详情查看及跟踪处置；
42.所述漏洞处置模块用于通过漏洞及资产双视角进行漏洞进行不同维度查询展示及处置；
43.所述安全预警模块用于按照预备预警、正式预警规则进行安全预警规则管理；
44.所述工单管理模块用于指派相关责任人进行处理；
45.所述处置配置模块用于通过自定义规则配置进行告警配置和过滤规则设置。
46.本发明具有以下有益效果：
47.本发明通过运用主被动采集方式，实现多源异构的安全数据采集；通过检索、调查、关联多类分析手段，实现海量安全数据深度分析；对日志、漏洞、性能进行实时监测及告警，并基于工单实现协同化、高效化的安全处置；采用主被动识别方式，发现和维护被管理网络的资产信息，建立资产关系拓扑；实现多类安全设备集中配置，快速联动；提供全面威胁情报库，对接外部威胁情报数据；从全网、资产、漏洞、攻击多个维度进行全面的态势分析展示。
附图说明
48.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
49.图1为本发明的态势分析与安全运营系统功能架构图；
50.图2为本发明的系统部署图。
具体实施方式
51.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
52.请参阅图1-2所示，本发明为一种用于实现数据维护的安全态势感知系统。
53.本系统至少由采集探针模块、数据中心模块、数据分析模块和态势应用模块组成；
54.其中，采集探针模块用于对被监管网络的安全数据进行检测和收集；
55.具体的，采集探针模块至少包括资产探知模块、脆弱性监测模块、管控探针模块、威胁监测模块和流量审计模块；
56.资产探知模块用于对被监管网络的资产信息进行探知；
57.脆弱性监测模块用于对被监管网络的脆弱性信息进行监测；
58.管控探针模块用于让系统通过主被动采集方式，实现多源异构的安全数据采集；
59.威胁监测模块用于对被监管网络能够会产生的或者被产生的威胁进行监测；
60.流量审计模块用于对被监管网中客户的流量日志进行检测。
61.本实施例中，探针设备包括但不限于脆弱性扫描类、安全管控类、安全威胁检测类、行为审计类等四大类数10种探针设备，运用syslog、snmp等主被动采集方式，实现对被监管网络的资产、漏洞、流量、日志等多源异构安全数据的全面采集。
62.其中，数据中心模块用于对安全数据经过数据汇入后进行存储；
63.数据中心模块包括分布式储存计算、数据库、分布式内存计算和分布式文本计算；
64.分布式储存用于对数据进行分布式多节点存储；
65.数据库用于对检测到的信息数据进行收集；
66.优选的，数据库由nosql数据库和关系型数据库组成。
67.分布式内存计算用于对分布式储存内部的内存剩余进行计算；
68.分布式文本计算用于对分布式储存内部的信息进行文本计算；
69.还包括数据清洗模块和数据接口模块；
70.数据清洗模块用于对存储的数据进行过滤、归并、打标签和去隐私的功能进行处理；
71.数据接口模块用于让数据在进行收集或者转出；
72.从而能够通过系统特有多节点调度技术提升了数据分析能力，实现安全数据的快速关联碰撞分析，及时发现威胁。
73.其中，数据分析模块用于对核心业务的安全数据进行监测分析后形成安全态势和安全风险；
74.数据分析模块包括分析建模模块和大数据智能分析模块；
75.分析建模模块用于对信息进行整理来对是否危险进行确认；
76.进一步的，分析建模模块分为简单模块和复杂模块；
77.简单模块通过对数据的组合运算、关联分析和特征检测进行建立模型，并判断出主机是否出现失陷；
78.复杂模块通过对数据的过滤、情报的匹配和状态的分析进行建立模型，并判断出主机是否出现失陷；
79.大数据智能分析模块用于通过数据分析模块建立的模型进行安全分析和审计分析；
80.其中，态势应用模块用于对数据分析模块形成的安全态势和安全风险进行展示；
81.态势应用模块包括态势分析模块、安全监测模块、安全处置模块、安全分析模块、资产管理模块、集中管控模块、治理中心模块和知识情报模块；
82.态势分析模块通过收集目标网络的流量、日志、资产、漏洞数据信息，将本企业和组织的安全数据按各种场景分析之后提供多维度态势展示，并支持安全态势的大屏展示设置和展示信息筛选过滤设置；
83.进一步的，态势分析包括：全网态势、资产态势、攻击态势、漏洞态势。
84.安全监测模块用于对日志、漏洞、性能进行采集和实时监测，并对接安全设备的日志；
85.安全监测模块包括日志监测信息模块、漏洞监测模块和性能监测模块；
86.日志监测信息模块用于对日志源数量、安全日志数量、审计日志数量、安全日志级别分布、安全日志类型排名和日志量趋势进行检测；
87.漏洞监测模块用于联动漏扫设备、导入漏扫报告实现漏洞数据采集；
88.性能监测模块用于监测设备总数/异常数以及cpu、内存、磁盘、接口和流量等性能数据；
89.安全处置模块用于承接整个平台的告警处置模块、漏洞处置模块、安全预警模块、工单管理模块、处置配置模块的管理；
90.告警处置模块用于对系统产生的安全事件告警进行详情查看及跟踪处置；
91.漏洞处置模块用于通过漏洞及资产双视角进行漏洞进行不同维度查询展示及处置，展示信息包括时间、漏洞名称、漏洞编号、漏洞级别、资产名称、业务系统、漏洞总数等；
92.安全预警模块用于按照预备预警、正式预警规则进行安全预警规则管理；
93.工单管理模块用于指派相关责任人进行处理；
94.处置配置模块用于通过自定义规则配置进行告警配置和过滤规则设置
95.安全分析模块用于提供日志检索、安全调查、分析建模的安全事件分析场景；
96.日志检索提供详情分析、追踪溯源、一键封堵等能力；
97.安全调查场景提供：追踪溯源、威胁画像、资产画像、业务系统画像等综合分析场景能力；
98.分析建模支持内置疑似失陷主机、失陷主机等场景能力。
99.资产管理模块用于对检测到的资产进行管理；
100.包括资产管理、资产探测、资产属性管理和ip资源管理；
101.资产管理通过资产信息、业务系统、软件管理、硬件管理、综合查询进行资产信息维护；
102.资产探测包括备库管理、资产探测、拓扑管理功能；
103.资产属性管理包括认证信息、类型配置、物理位置、资产用户等管理；
104.ip资源管理通过ip集合管理和ip定位库管理实现对ip信息的自定义管理。
105.集中管控模块用于对安全设备的统一管理能力，极大方便了安全运营处置工作和安全设备状态监控工作；
106.集中管控包括管控设备和策略管理两大功能，
107.管控设备的设备概览可动态进行设备管控情况展示，包括总数、在线、离线、日志采集、性能监控、策略管控，管控设备还具备防火墙、僵木蠕、edr等安全设备的集中管控能力；
108.策略管控包括策略概览、策略管理、配置管理、配置审计功能，策略概览监控下发策略统计、配置备份统计等信息，策略管理包括策略新建、删除、查看、编辑、下发、下发记录等，配置管理支持获取运行配置、配置备份、备份策略；配置审计对全部被管设备配置集中审计。
109.治理中心模块用于提供安全报告、合规审计、过程管理、数据上报、等保管理功能，提供多类安全报告模板定义和生成、原始日志快速检索查询、应急预案过程管理、向第三方平台上报数据以及等保过程管理等能力，聚焦于信息安全体系建设过程中的安全治理、合规检查及安全管理等过程，以全局视角出发，辅助决策者对自身网络安全建设做整体规划、管理、检查，促使信息安全目的和战略业务目的保持一致。
110.知识情报模块用于提供全面威胁的情报库；支持自定义威胁情报数据，支持使用云端情报和离线情报，支持对云端威胁情报来源配置包括接口地址、用户名、密码，支持对离线威胁情报进行导入；支持内生情报管理，包括恶意ip地址、恶意url、恶意样本、恶意域名、垃圾邮件等；同时。系统提供各类安全知识管理，安全知识包括但不限于漏洞库、补丁库、病毒库、安全经验、安全要求、封堵申请、白名单、关注名单等。
111.本实施例中，系统的外接设备包括但不限于抗ddos、edr、网络/数据库审计、防火墙、ids、ips、统一威胁管理、waf等各类安全防护设备。
112.在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施
例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
113.以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该本发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。