一种集中管控安全系统的制作方法

本申请涉及网络信息安全技术领域，尤其涉及一种集中管控安全系统。

背景技术

现有网络安全系统的可视化功能单一，只能被动显示相关安全信息，不能接受用户的主动变更，更不能实现相关安全资源的主动部署，企业使用起来很不方便，效率也比较低，急需一种可以提供网络安全主动部署的网络系统。

技术实现要素：

本发明的目的在于提供一种集中管控安全系统，通过集中管控单元和可视化交互单元，可以实现将现有的网络管控功能与可视化交互功能结合起来，用户可以在可视化交互界面根据网络状况，主动部署安全资源进行针对性防御。

第一方面，本申请提供一种集中管控安全系统，所述系统包括：

防火墙，用于接收外部网络的流量数据包，根据数据包的五元组实施预先设置的防范策略，将过滤后的数据包传递给集中管控单元；

集中管控单元，用于接收防火墙传递过来的数据包，从中提取关键字段和网络信息，分析数据包是否包含攻击，以及识别用户的网络行为，根据所述分析和网络行为对用户所属的流量进行控制；

可视化交互单元，用于全面显示安全策略，用户可以根据所属集中管控单元的分析和识别的结果，主动部署防御措施。

结合第一方面，在第一方面第一种可能的实现方式中，所述集中管控单元包括访问分析模块、行为画像模块、溯源分析模块和流量控制模块；

所述访问分析模块，用于学习归纳出用户的访问关系模型，将所述数据包与访问关系模型进行匹配，判断用户访问是否异常；

所述行为画像模块，用于提取所述数据包的网络信息，根据所述网络信息判断出用户的网络行为；

所述溯源分析模块，用于从时间、空间多重维度进行深度关联分析和数据挖掘，梳理出攻击事件的发生脉络和攻击路径，获取攻击者的特征属性，建立攻击者关系模型；

所述流量控制模块，用于根据以上模块的结果，对用户的流量进行控制。

结合第一方面，在第一方面第二种可能的实现方式中，所述可视化交互单元包括安全域基础架构可视化模块、安全合规路径可视化模块、安全基线矩阵可视化模块、流量安全可视化模块和安全策略管理交互模块；

所述安全域基础架构可视化模块，用于实现网络防火墙、路由器、交换机等设备安全策略信息的自动提取与解析管理；

所述安全合规路径可视化模块，用于结合各行业业务流程、应用架构、数据架构等信息，分析各核心业务系统关键数据的合规基线策略，实现在安全域基础架构图层查询与展示基于业务的合规路径；

所述安全基线矩阵可视化模块，用于通过针对性对行业用户网络安全策略体系与业务系统分析，建立安全域间的安全策略矩阵、系统间的安全策略矩阵、用户与系统间的安全策略矩阵，实现安全策略合规矩阵的可视化展示，以及对基线的持续监测；

所述流量安全可视化模块，用于通过对节点镜像流量进行多维度、深层次的应用协议识别与内容解析，结合大数据智能分析，实现以丰富的图形化的方式展示网络整体运行状况、网络质量以及业务服务质量、网络行为、预警信息；所述安全策略管理交互模块，用于分析相关设备的冗余、冲突、无效策略，接受用户申请主动部署不同的安全策略，调整各网络安全设备的执行功能，实现策略变更申请、分析、调整可视化。

结合第一方面，在第一方面第三种可能的实现方式中，所述可视化交互单元包括对网络流量osi七层流量监控分析，可显示全双工接口的收发和全部的流量、数据包信息，提供对主机、协议、会话的分析内容呈现，以及支持关联分析和模糊查询。

结合第一方面，在第一方面第四种可能的实现方式中，所述系统可分析的攻击包括网络攻击、蠕虫、木马、异常连接、敏感数据外发和违规操作行为。

结合第一方面，在第一方面第五种可能的实现方式中，所述系统支持多维度安全信息可视化，包括风险和安全态势可视化、资产和拓扑可视化、预警可视化、事件可视化和攻击路径可视化。

本发明提供一种集中管控安全系统，所述系统包括防火墙、集中管控单元和可视化交互单元，集中管控单元实现流量分析、行为识别、流量控制，可视化交互单元实现全维度显示安全策略和网络状况、以及接受用户交互，从而将现有的网络管控功能与可视化交互功能结合起来，用户可以在可视化交互界面根据网络状况，主动部署安全资源进行针对性防御，大幅提高用户使用效率。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明集中管控安全系统的一个实施例的框架图。

图2为本发明集中管控单元的一个实施例的框架图。

图3为本发明可视化交互单元的一个实施例的框架图。

具体实施方式

下面结合附图对本发明的优选实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

图1为本发明提供的集中管控安全系统的一个实施例的框架图，所述系统包括：

防火墙101，用于接收外部网络的流量数据包，根据数据包的五元组实施预先设置的防范策略，将过滤后的数据包传递给集中管控单元；

集中管控单元102，用于接收防火墙传递过来的数据包，从中提取关键字段和网络信息，分析数据包是否包含攻击，以及识别用户的网络行为，根据所述分析和网络行为对用户所属的流量进行控制；

可视化交互单元103，用于全面显示安全策略，用户可以根据所属集中管控单元的分析和识别的结果，主动部署防御措施。

图2为本发明提供的集中管控单元的一个实施例的框架图，所述集中管控单元包括访问分析模块201、行为画像模块202、溯源分析模块203和流量控制模块204；

所述访问分析模块201，用于学习归纳出用户的访问关系模型，将所述数据包与访问关系模型进行匹配，判断用户访问是否异常；

所述行为画像模块202，用于提取所述数据包的网络信息，根据所述网络信息判断出用户的网络行为；

所述溯源分析模块203，用于从时间、空间多重维度进行深度关联分析和数据挖掘，梳理出攻击事件的发生脉络和攻击路径，获取攻击者的特征属性，建立攻击者关系模型；

所述流量控制模块204，用于根据以上模块的结果，对用户的流量进行控制。

具体的，访问分析模块201，用于接收防火墙传递过来的数据包，从服务器获取用户的历史访问数据，学习归纳出用户的访问关系模型，将所述数据包与访问关系模型进行匹配，判断用户访问是否异常，将判断结果传递给可视化模块。

具体的，行为画像模块202，用于接收防火墙传递过来的数据包，提取所述数据包的网络信息，根据所述网络信息判断出用户的网络行为，将网络行为与用户标识一并传递给可视化模块。

具体的，溯源分析模块203，用于采集各类网络设备的日志信息，从时间、空间多重维度进行深度关联分析和数据挖掘，梳理出攻击事件的发生脉络和攻击路径，获取攻击者的相关信息和行为，从所述相关信息和行为中提取出特征属性，基于所述特征属性，建立攻击者关系模型，将攻击者关系模型传递给可视化模块。

具体的，流量控制模块204，用于根据所述访问分析模块的判断结果、所述行为画像模块得出的网络行为，对用户的流量进行控制。

在一些优选实施例中，所述学习归纳出用户的访问关系模型，包括：

根据用户的访问流量，识别出流量包含的各种业务；

根据预先定义的各种业务对应的权重值、以及业务种类数量对应的系数，计算所述用户的访问关系值；

根据所述用户的访问关系值，确定所述用户所属的类型，进而得出所述类型对应的访问关系模型。

计算所述特定对象的访问关系值可以采用如下公式：

value＝(service1*weight1+service2*weight2+……+servicen*weightn)*coeff

其中，value为某一特定对象的访问关系值，servicen为某一种业务，weightn为权重值，coeff为某一特定对象业务种类数量对应的系数。

对于业务多样、流量变化比较大的所述访问关系模型，采用实时采集访问流量的方式；对于业务单一、流量相对固定的所述访问关系模型，采用固定周期采集访问流量的方式。

在一些优选实施例中，所述判断用户访问是否异常，包括：

判断所述用户是否偏离访问关系模型的基准；

如果判断为是，则认定所述特定对象访问异常；如果判断为否，则认定所述特定对象访问正常。

所述判断所述特定对象是否偏离访问关系模型的基准，具体包括：

根据访问关系模型确定用户访问关系的平均值；

根据所述特定对象的实时访问数据计算实时访问关系值；

计算所述特定对象的实时访问关系值与所述平均值的差值，判断所述差值是否大于预先定义的阈值；

如果判断为是，则认定所述特定对象访问异常；如果判断为否，则认定所述特定对象访问正常。

在一些优选实施例中，所述行为画像模块还包括采用滑动时间窗口引入实时采集的网络信息。

在一些优选实施例中，所述采用滑动时间窗口引入实时采集的网络信息，具体包括：

获取初始滑动时间窗口的网络信息；

利用特征和权值估计出滑动时间窗口的位置序列；

使用所述位置序列中的窗口时刻采集所述用户的访问流量；

从所述访问流量中获取携带的网络信息。

在一些优选实施例中，所述梳理出攻击事件的发生脉络和攻击路径之前，还包括：对采集的所述日志信息从时间、空间多重维度进行深度关联分析和数据挖掘，建立规则库；

将疑似攻击的溯源信息与规则库中的信息进行对比，通过传播查询和追溯查询构建溯源图，根据所述溯源图获取攻击事件的发生脉络和攻击路径。

图3为本发明提供的可视化交互单元的一个实施例的框架图，所述可视化交互单元包括安全域基础架构可视化模块301、安全合规路径可视化模块302、安全基线矩阵可视化模块303、流量安全可视化模块304和安全策略管理交互模块305；

所述安全域基础架构可视化模块301，用于实现网络防火墙、路由器、交换机等设备安全策略信息的自动提取与解析管理；

所述安全合规路径可视化模块302，用于结合各行业业务流程、应用架构、数据架构等信息，分析各核心业务系统关键数据的合规基线策略，实现在安全域基础架构图层查询与展示基于业务的合规路径；

所述安全基线矩阵可视化模块303，用于通过针对性对行业用户网络安全策略体系与业务系统分析，建立安全域间的安全策略矩阵、系统间的安全策略矩阵、用户与系统间的安全策略矩阵，实现安全策略合规矩阵的可视化展示，以及对基线的持续监测；

所述流量安全可视化模块304，用于通过对节点镜像流量进行多维度、深层次的应用协议识别与内容解析，结合大数据智能分析，实现以丰富的图形化的方式展示网络整体运行状况、网络质量以及业务服务质量、网络行为、预警信息；

所述安全策略管理交互模块305，用于分析相关设备的冗余、冲突、无效策略，接受用户申请主动部署不同的安全策略，调整各网络安全设备的执行功能，实现策略变更申请、分析、调整可视化。

在一些优选实施例中，所述可视化交互单元包括对网络流量osi七层流量监控分析，可显示全双工接口的收发和全部的流量、数据包信息，提供对主机、协议、会话的分析内容呈现，以及支持关联分析和模糊查询。

在一些优选实施例中，所述系统可分析的攻击包括网络攻击、蠕虫、木马、异常连接、敏感数据外发和违规操作行为。

在一些优选实施例中，所述系统支持多维度安全信息可视化，包括风险和安全态势可视化、资产和拓扑可视化、预警可视化、事件可视化和攻击路径可视化。

具体实现中，本发明还提供一种计算机存储介质，其中，该计算机存储介质可以存储有程序，该程序执行时可包括本发明提供的用户访问合规性分析的方法的各实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称：rom)或随机存储记忆体(简称：ram)等。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书各个实施例之间相同相似的部分互相参见即可。尤其，对于实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本发明实施方式并不构成对本发明保护范围的限定。