一种多维度网络安全事件分级装置的制作方法

本发明涉及计算；推算；计数的
技术领域：
，尤其是数据识别；数据表示；记录载体；记录载体的处理的
技术领域：
，特别涉及一种在网络安全事件元数据的基础上扩展其他维度、进而对网络安全事件进行分级的多维度网络安全事件分级装置。
背景技术：
：根据《信息安全技术信息安全事件分类分级指南》，网络安全事件被划分为四个级别，包括特别重大事件、重大事件、较大事件和一般事件，但在实际的划分过程中，分级标准并没有量化的指标，如特别重大事件的指标包括“重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力”、重大事件的指标包括“重要网络和信息系统遭受严重的系统损失，造成时间中断或局部瘫痪，业务处理能力受到极大影响”等，属于主观判断的范畴，需要人工进行分级。面对日益频繁的网络安全事件，人工的分级方式已经越来越不能满足实时性的要求，基于此，除了人工分级之外，硬件探针以及一些前端小型系统也开始出现，对网络安全事件进行自动评级。专利号为200810106329.0的中国专利“一种对安全事件的分级处理方法及系统”中，采用了通过安全事件的发生次数作为衡量安全事件危害级别的关键指标；专利号为201510884075.5的中国专利“一种网络攻击事件定量分级算法的实现方法”中，采用了攻击源ip、攻击目的ip、攻击开始时间、攻击结束时间、攻击严重等级等元数据来进行分级。然而，以上的技术方案由于信息单一，通常只能使用安全事件的元数据对事件进行分级、评判事件的严重性，往往错误率较高，且在分级后仍然需要人工校验、审核。以拒绝服务攻击事件为例，其元数据有被攻击目标ip、被攻击目标域名、被攻击目标端口、ddos攻击源ip地址、源端口、c&c服务器ip地址、承载协议、攻击类型、总包数、攻击包数、总字节数、攻击字节数、峰值包速率、峰值字节速率、峰值流速率、开始时间、结束时间等，而通常用于分级的依据包括总包数、攻击包数、总字节数、攻击字节数、峰值包速率、峰值字节速率、峰值流速率、开始时间、结束时间，由此可见，元数据仅包含了用于描述攻击事件本身的行为的总包数、攻击包数等维度，这仅能代表此次攻击的力度，并不能代表影响程度，而同一力度的攻击行为，对政府网站或个人网站来说，影响程度是完全不同的，这是评级过程中的盲区。技术实现要素：本发明解决的技术问题是，现有技术中，网络安全事件分级存在人工分级工作量大、分级效率低，而自动分级技术信息来源单一、分级准确性较低、后续仍然需要人工审核的问题，本发明提供了一种优化的多维度网络安全事件分级装置。本发明所采用的技术方案是，一种多维度网络安全事件分级装置，所述分级装置包括输入端和输出端，所述分级装置还包括：一用于通过输入端获得监管资产的基础信息的资产信息基础库、一用于通过输入端和资产信息基础库获得资产多维信息的资产信息扩维模块、一用于通过输入端接收安全事件信息的安全事件接入模块、及一基于资产信息基础库、资产信息扩维模块和安全事件接入模块获得数据并完成安全事件分级的安全事件分级模块；所述安全事件分级模块设置有输出端。优选地，所述资产信息基础库包括若干单位库，任一所述单位库包括系统库；与所述资产信息基础库配合的输入端包括人工录入单元、第三方上报单元及资产探测单元。优选地，所述系统库包括网站系统和邮箱系统。优选地，所述资产信息扩维模块包括：一用于接收到资产基础信息后在互联网上爬取信息的爬虫系统及一用于导入爬虫系统爬取信息并提取有用信息的扩维信息清洗系统，与所述扩维信息清洗系统配合的输入端包括人工录入单元。优选地，所述爬虫系统在互联网上爬取的信息包括与所述资产基础信息相关资产的关联新闻、行业动态及区域重要时政。优选地，所述爬虫系统爬取信息的网站包括政府网站、门户网站。优选地，与所述安全事件接入模块配合的输入端包括探针和用于前端上报安全事件的前端单元。优选地，所述安全事件分级模块包括：一用于录入历史人工分级安全事件以作为标签样本、进而确定回归计算的目标的标签库、一用于输入分级模型的特征并对从资产信息基础库、资产信息扩维模块和安全事件接入模块获得数据进行特征提取的分级模型特征提取单元、一根据分级模型特征提取单元提取的特征计算得到分级评分的分级模型及一将分级评分转化为实际的级别的分级评定单元；所述分级评定单元配合设置有输出端，所述输出端为安全事件展示模块。优选地，所述分级模型包括专家评分分级模型和大数据分级模型；所述专家评分分级模型由专家基于分级模型的特征提取，对每个特征附以相应权重，通过加权累积的方式得到最终的分级评分；所述大数据分级模型以回归算法对特征数据进行回归计算，通过机器学习的方式获取各特征的权重，最后加权累积的方式得到最终的分级评分。优选地，所述分级评定单元将分值范围划分为四个区间，按分级评分从低到高分为一般事件区间、较大事件区间、重大事件区间和特别重大事件区间。本发明提供了一种优化的多维度网络安全事件分级装置，通过设置安全事件接入模块、资产信息基础库和资产信息扩维模块用于爬取、整合多维度的安全事件信息，同时资产信息扩维模块亦能够获得资产信息基础库中的信息，所有的信息、包括安全事件信息整合完毕后交由安全事件分级模块进行分级，安全事件分级模块分级完毕后输出。本发明采用多维度分级，利用爬虫从互联网上获取多维度信息，亦佐以人工录入获取资产信息，提高自动分级准确度，同时解放人工分级工作量，报错率小，分级效率高。附图说明图1为本发明的分级装置的结构示意图，其中，箭头表示信息传递的方向。具体实施方式下面结合实施例对本发明做进一步的详细描述，但本发明的保护范围并不限于此。本发明涉及一种多维度网络安全事件分级装置，采用多维度分级的技术手段完成分级操作，对于具体的分级算法，本领域技术人员完全可以在本发明的技术上自行设计并不断模拟出适用于每个分级主体的最优算法方案，即分级算法并非单一的。所述分级装置包括输入端和输出端，所述分级装置还包括：一用于通过输入端获得监管资产的基础信息的资产信息基础库、一用于通过输入端和资产信息基础库获得资产多维信息的资产信息扩维模块、一用于通过输入端接收安全事件信息的安全事件接入模块、及一基于资产信息基础库、资产信息扩维模块和安全事件接入模块获得数据并完成安全事件分级的安全事件分级模块；所述安全事件分级模块设置有输出端。本发明中，多维度网络安全事件分级装置包括输入端和输出端，分别用于输入信息及输出分级的结果等。本发明中，整个多维度网络安全事件分级装置包括用于爬取、整合多维度的安全事件信息的安全事件接入模块、资产信息基础库和资产信息扩维模块，还包括用于获得整合信息且进行分级的安全事件分级模块。本发明中，资产信息基础库为主要维护的是监管资产的基础信息，监管资产的基础信息录入后，会同步到资产信息扩维模块，由资产信息扩维模块收集资产相关的其他信息。本发明中，资产基础信息库和资产信息扩维模块提供的维度是一个不断累积和完善的过程，主要包括但不限于：（1）资产区域重大活动信息：在重大活动，如g20期间，黑客活动可能会比较频繁，会造成较大的影响；（2）网站用户规模信息：对于用户访问量大的网站，被攻击后造成的影响较大；（3）行业信息：不同行业受攻击后的影响不同，如银行、政府部门受攻击后影响范围较大，私企、教育的影响范围较小；（4）idc机房ip数：idc机房ip数越大，受攻击影响范围越大；（5）舆情热点：根据话题网站对事件的评价，评估影响度。本发明中，安全事件接入系统负责接收各种前端安全设备如探针、前端小系统上报的安全事件，并对安全事件进行数据清洗和数据补全等处理。本发明中，安全事件分级系统使用数据挖掘算法，基于安全事件元数据、资产信息基础信息和资产信息扩维信息完成安全事件的分级。本发明采用多维度分级，利用爬虫从互联网上获取多维度信息，亦佐以人工录入获取资产信息，提高自动分级准确度，同时解放人工分级工作量，报错率小，分级效率高。所述资产信息基础库包括若干单位库，任一所述单位库包括系统库；与所述资产信息基础库配合的输入端包括人工录入单元、第三方上报单元及资产探测单元。所述系统库包括网站系统和邮箱系统。本发明中，系统库包括但不限于网站系统和邮箱系统。所述资产信息扩维模块包括：一用于接收到资产基础信息后在互联网上爬取信息的爬虫系统及一用于导入爬虫系统爬取信息并提取有用信息的扩维信息清洗系统，与所述扩维信息清洗系统配合的输入端包括人工录入单元。所述爬虫系统在互联网上爬取的信息包括与所述资产基础信息相关资产的关联新闻、行业动态及区域重要时政。所述爬虫系统爬取信息的网站包括政府网站、门户网站。本发明中，爬虫系统接收到资产信息基础库输送的资产基础信息后，开始在互联网上爬取资产相关新闻，行业动态，区域重要时政的等信息，爬取的网站包括但不限于政府网站、大型门户网站等。爬取后的信息导入到扩维信息清洗系统，提取有用的信息。本发明中，有用信息包括但不限于诸如“当前资产区域是否有重大活动”、“系统用户规模”、“idc机房ip数”、“受攻击单位是否为舆情热点”等的信息。本发明中，重要时政是指爬取一些时政网站，如“澎湃新闻”、“新华网”等，从中获取前述的“舆情热点”和“当前资产区域是否有重大活动”信息。与所述安全事件接入模块配合的输入端包括探针和用于前端上报安全事件的前端单元。所述安全事件分级模块包括：一用于录入历史人工分级安全事件以作为标签样本、进而确定回归计算的目标的标签库、一用于输入分级模型的特征并对从资产信息基础库、资产信息扩维模块和安全事件接入模块获得数据进行特征提取的分级模型特征提取单元、一根据分级模型特征提取单元提取的特征计算得到分级评分的分级模型及一将分级评分转化为实际的级别的分级评定单元；所述分级评定单元配合设置有输出端，所述输出端为安全事件展示模块。所述分级模型包括专家评分分级模型和大数据分级模型；所述专家评分分级模型由专家基于分级模型的特征提取，对每个特征附以相应权重，通过加权累积的方式得到最终的分级评分；所述大数据分级模型以回归算法对特征数据进行回归计算，通过机器学习的方式获取各特征的权重，最后加权累积的方式得到最终的分级评分。所述分级评定单元将分值范围划分为四个区间，按分级评分从低到高分为一般事件区间、较大事件区间、重大事件区间和特别重大事件区间。本发明中，在安全事件分级模块中，也使用了历史记录来协助评估事件，包括但不限于：（1）当前资产信息的历史影响：可以从当前资产的历史影响来衡量其受攻击后的影响范围；（2）同类型行业历史影响：可以参考同类型行业发生安全事件后的历史影响来衡量攻击后的影响范围；（3）同期同类问题发生次数：同期同类问题发生安全事件的次数越多，影响越大。本发明中，大数据分级模型中应用的回归算法又称逻辑回归算法，是一种广义的线性回归分析模型，常用于数据挖掘，疾病自动诊断，经济预测等领域，如探讨引发疾病的危险因素，并根据危险因素预测疾病发生的概率等，算法中包括因变量和自变量，因变量的值为“是”或“否”，而自变量可以包括很多选项，其既可以是连续的，也可以是分类的，随后通过逻辑回归分析，可以得到自变量的权重，从而建立起因变量和自变量之间的关系，并根据自变量和权重值的组合对因变量进行预测。本发明中，举例说明逻辑回归算法在安全事件分级模块中的应用。首先，在标签库中根据人工分级的安全事件确定因变量，如某次安全事件是否是“特别重大安全事件”，是否是“重大安全事件”，是否是“较大安全事件”，是否是“一般安全事件”。随后，对分级模型特征进行提取，即自变量提取。以ddos攻击为例，包括：（1）安全事件元数据：总包数、攻击包数、总字节数、攻击字节数、峰值包速率、峰值字节速率、持续时间等；（2）资产信息基础库：系统个数、系统等保等级、单位类型、单位行业等；（3）资产信息扩维模块提供的数据：当前资产区域是否有重大活动、系统用户规模、idc机房ip数、受攻击单位是否为舆情热点等。其次，进行自变量提取后，进行预处理，如分类处理，如表1所示为分级模型特征提取单元提取的特征预处理，本实施例中，举例均分为3类，实际分类数可以由本领域技术人员依据需求自行设置。表1：分级模型特征提取单元提取的特征预处理总包数1（1000包以下）2(3000包以下)3（3000包以上）攻击包数1（500包以下）2（2000包以下）3（2000包以上）总字节数1（20k字节以下）2（50k字节以下）3（50k字节以上）攻击字节数1（10k字节以下）2（30k字节以下）3（30k字节以上）峰值包速率1（30pps以下）2（100pps以下）3（100pps以上）峰值字节速率1（1k字节以下）2（3k字节以下）3（3k字节以上）持续时间1（3小时以下）2（12小时以下）3（12小时以上）系统个数1（3个以下）2（7个以下）3（7个以上）系统等保等级1（2级以下）2（3级）3（4～5级）单位类型1（国有企业）2（私有企业）3（其他）行业类型1（信息传输）2（金融）3（其他）当前资产区域是否有重大活动1（有）2（否）系统用户规模1（500以下）2（2k以下）3（2k以上）idc机房ip数1（1k以下）2（2k以下）3（2k以上）受攻击单位是否为舆情热点1（有）2（否）再次，通过逻辑回归分析，得到自变量权重。举例来说：（1）安全事件元数据：总包数（0.5）、攻击包数（1.2）、总字节数（0.3）、攻击字节数（0.2）、峰值包速率（0.1）、峰值字节速率（0.1）、持续时间（0.5）；（2）资产信息基础库：系统个数（0.7）、系统等保等级（2）、单位类型（3.1）、单位行业等（4.3）；（3）资产信息扩维模块提供的数据：当前资产区域是否有重大活动（6.1）、系统用户规模（3.5）、idc机房ip数（0.2）、舆情热点（3.4）。最后进行分级评定，将评分转化为实际的级别，一般情况下，将样本数据的分值统计映射为4类级别，例如将分级评分为0～10的作为一般事件、将分级评分为11～20的作为较大事件、将分级评分为21～30的作为重大事件、将分级评分为31以上的作为特别重大事件。举例来说，有一次安全事件，其数据包括：（1）安全事件元数据：总包数（2k）、攻击包数（600）、总字节数（10k）、攻击字节数（3k）、峰值包速率（10pps）、峰值字节速率（5k）、持续时间（8小时）等；（2）资产信息基础库：系统个数（1个）、系统等保等级（2级）、单位类型（私有企业）、单位行业（金融）等；（3）资产信息扩维模块提供的数据：当前资产区域是否有重大活动（是）、系统用户规模（200）、idc机房ip数（100）、受攻击单位是否为舆情热点（是）等；根据举例的分类和权重，得到总分为：3*0.5+1*1.2+1*0.3+1*0.2+1*0.1+3*0.1+1*0.7+1*2+2*3.1+2*4.3+1*6.1+1*3.5+1*0.2+1*3.4=34.3，判定为特别重大安全事件。本发明中，分级评定单元根据分级模型对样本数据进行计算后得到各个安全事件的评分，将将分值范围划分为四个区间段，分别对应安全事件的四个级别为一般事件区间、较大事件区间、重大事件区间和特别重大事件区间。在实际操作中，根据模型和样本的不同会得到不同的分值区域，除了上述实施例中的分值划分方式外，亦可以将评分的分值范围设置为0～100，将分级评分为0～40的作为一般事件、将分级评分为41～60的作为较大事件、将分级评分为61～80的作为重大事件、将分级评分为81～100的作为特别重大事件。此为本领域技术人员容易理解的内容，本领域技术人员可以依据模型和样本的不同自行设置。本发明中，安全事件展示模块用于将精准分级后的安全事件展示给用户。本发明通过设置安全事件接入模块、资产信息基础库和资产信息扩维模块用于爬取、整合多维度的安全事件信息，同时资产信息扩维模块亦能够获得资产信息基础库中的信息，所有的信息、包括安全事件信息整合完毕后交由安全事件分级模块进行分级，安全事件分级模块分级完毕后输出。本发明采用多维度分级，利用爬虫从互联网上获取多维度信息，亦佐以人工录入获取资产信息，提高自动分级准确度，同时解放人工分级工作量，报错率小，分级效率高。当前第1页12