网络安全态势感知系统及方法与流程

本发明属于网络信息安全技术领域，更具体地，涉及一种网络安全态势感知系统及方法。

背景技术：

网络安全是国家安全的重要组成部分，是新形势、新时代国际间竞争对抗的重要方面，是国家社会持续发展、长久安定的重要保障。随着网络规模和复杂性不断增大，网络的攻击技术不断革新，新型攻击工具大量涌现，传统的网络安全技术显得力不从心，网络入侵不可避免，网络安全问题越发严峻。单凭一种或几种安全技术很难应对复杂的安全问题，网络安全人员的关注点也从单个安全问题的解决，发展到研究整个网络的安全状态及其变化趋势。

现有的海量安全数据缺少分析，大量的检测结果只是单一反映某个系统存在的问题，呈现方式也多种多样，对多种安全设备的告警、海量的安全数据无法进行统一展示、关联分析、数据挖掘和攻击溯源，仅靠人工很难识别出众多安全事件中的内在联系，很可能会忽略一些恶意用户的蓄意攻击行为，影响了安全事件的及时发现、有效处置。

多种安全设备单独管理，安全设备部署缺乏统一规划、统一管理，大量不同种类的安全设备由各业务或系统责任部门单独管理，缺乏快速联动机制，影响速度和处理速度都比较慢。部门安全事件的处置需要各专业相互配合，当前仅仅依靠人工沟通，定位与响应速度受到很大限制。安全事件处置效率低下，是由于缺乏统一化的安全事件统一监测和一键处置工具；非安全专业维护和监控人员识别分析安全事件能力的有限，应急响应速度有待提升；传报流程过长，且主要通过电话邮件等方式逐级传报，耗时比较长。

技术实现要素：

为此，需要提供一种能够对网络攻击和威胁能够及时响应的网络安全态势感知系统，预先设置了响应方案，响应及时，无需等待。

为实现上述目的，本发明提供了如下技术方案：

网络安全态势感知系统，包括，

数据采集单元，用于采集网络中的安全日志、系统日志、漏洞数据和流量数据等网络安全要素；

网络安全态势分析单元，连接数据采集单元，对网络安全要素数据进行分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析；

网络安全态势评估单元，连接网络安全态势分析单元，根据网络安全态势分析单元的分析结果，评估当前网络的安全状态；

网络安全态势预测单元，连接网络安全态势分析单元和网络安全态势评估单元，根据当前网络的安全状态和历史信息，预测网络安全状态的发展趋势；

网络安全态势联动单元，连接网络安全态势评估单元和网络安全态势预测单元，根据当前网络安全状态及其发展趋势，对安全事件进行处置；

网络安全态势溯源单元，连接网络安全态势评估单元，定位攻击源、发现攻击路径、取证攻击行为；

所述网络安全态势分析单元包括：

数据分类模块，用于将数据分为攻击数据和漏洞数据；

攻击挖掘模块，用于挖掘遇到的网络攻击信息；

漏洞分析模块，用于分析漏洞数据的安全隐患；

所述网络安全态势评估单元包括：

攻击态势评估模块，连接攻击挖掘模块，用于评估网络攻击信息，得到攻击态势；

漏洞态势评估模块，连接漏洞分析模块，用于评估网络漏洞信息，得到漏洞态势；

网络安全态势总评估模块，连接攻击态势评估模块和漏洞态势评估模块，根据攻击态势和漏洞态势得到网络安全态势。

本技术方案进一步的优化，所述网络安全态势联动单元包括：

网络安全态势告警模块，根据当前网络的安全状态和发展趋势触发不同级别的报警；

网络安全态势处置模块，根据预先设定的应急方案自动处理网络安全；

网络安全态势联动处置模块，反ddos流量攻击、反垃圾短彩信、反dns劫持、反网页篡改和反cdn劫持同时启动。

本技术方案进一步的优化，所述网络安全态势溯源单元包括：

智能搜索模块，用于搜索日志或事件的源头；

攻击分析模块，用于定位攻击源、发现攻击路径，分析攻击的影响；

取证模块，用于保存攻击行为的证据信息。

本技术方案进一步的优化，所述攻击态势评估模块和漏洞态势评估模块均采用层次模型评估。

本技术方案进一步的优化，所述网络安全态势总评估模块的网络安全态势公式为，

网络安全态势＝a*攻击态势+(1-a)*漏洞态势。

网络安全态势感知方法，包括如下步骤，

步骤s1，从采集网络中的安全日志、系统日志、漏洞数据和流量数据等网络安全要素；

步骤s2，对网络安全要素数据进行分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析；

步骤s3，根据步骤s2的分析结果，评估当前网络的安全状态；

步骤s4，根据当前网络的安全状态和历史信息，预测网络安全状态的发展趋势；

步骤s5，根据当前网络安全状态及其发展趋势，对安全事件进行处置；

步骤s6，定位攻击源、发现攻击路径、取证攻击行为；

所述步骤s2包括：

步骤s21，将数据分为攻击数据和漏洞数据；

步骤s22，分析攻击数据，获取挖掘遇到的网络攻击信息；

步骤s23，分析漏洞数据的安全隐患；

所述步骤s3包括：

步骤s31，评估网络攻击信息，得到攻击态势；

步骤s32，评估网络漏洞信息，得到漏洞态势；

步骤s33，根据攻击态势和漏洞态势得到网络安全态势。

本技术方案进一步的优化，所述步骤s5包括：

步骤s51，根据当前网络的安全状态和发展趋势触发不同级别的报警；

步骤s52，根据预先设定的应急方案自动处理网络安全；

步骤s53，反ddos流量攻击、反垃圾短彩信、反dns劫持、反网页篡改和反cdn劫持同时启动。

本技术方案进一步的优化，所述步骤s6包括：

步骤s61，搜索日志或事件的源头；

步骤s62，用于定位攻击源、发现攻击路径，分析攻击的影响；

步骤s63，用于保存攻击行为的证据信息。

本技术方案进一步的优化，所述步骤s3采用层次模型评估。

本技术方案进一步的优化，所述步骤s33的网络安全态势公式为，

网络安全态势＝a*攻击态势+(1-a)*漏洞态势。

区别于现有技术，上述技术方案具有如下优势：

1.本发明通过网络安全联动针对网络安全问题，及时进行告警，告警同时自动响应处理，无需等待人工处理，提高了网络安全性。

2.对于网络安全问题，本发明不仅提出了及时应对方案，而且对于攻击行为，及时保存攻击证据，分析攻击对网络的影响，便于采集应对措施，防止同类攻击的再次发生。

附图说明

图1为网络安全态势感知系统的结构图；

图2为攻击次数分析示意图；

图3为漏洞数据分析示意图；

图4为网络安全态势感知方法流程图；

图5为网络安全态势分析流程图。

具体实施方式

为详细说明技术方案的技术内容、构造特征、所实现目的及效果，以下结合具体实施例并配合附图详予说明。

参阅图1所示，为网络安全态势感知系统的结构图，网络安全态势感知系统，包括数据采集单元、网络安全态势分析单元、网络安全态势评估单元、网络安全态势预测单元、网络安全态势联动单元和网络安全态势溯源单元，网络安全态势分析单元分别与数据采集单元和网络安全态势评估单元连接，网络安全态势预测单元与网络安全态势分析单元和网络安全态势评估单元连接，网络安全态势联动单元连接网络安全态势评估单元和网络安全态势预测单元，网络安全态势溯源单元与网络安全态势评估单元连接。

数据采集单元，用于采集网络中的安全日志、系统日志、漏洞数据和流量数据等网络安全要素。监控互联网、局域网、移动网、政府网站、重点单位等，或者监控特定的服务器，获取该服务器的数据。

网络安全态势分析单元，连接数据采集单元，对网络安全要素数据进行分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析。数据采集单元采集的网络安全要素数据为最原始数据，数据比较多混乱，为了便于后续对数据进行处理，网络安全态势分析单元对数据进行预处理。

该实施例的网络安全态势分析单元包括：

数据分类模块，用于将数据分为攻击数据和漏洞数据。数据分类模块与数据采集单元连接，数据采集单元将采集到的网络安全要素传输给数据分类模块，数据分类模块对其进行分类和预处理，分为攻击数据和漏洞数据。为了便于后续对数据进行处理。数据处理包括特征提取、特征融合等，使得数据格式统一，便于分析。

攻击挖掘模块，用于挖掘遇到的网络攻击信息，分析网络攻击信息，攻击类型、攻击频率等。

漏洞分析模块，用于分析漏洞数据的安全隐患，漏洞是网络自身的，通过对网络自身的漏洞分析，采用主动防御方式修补漏洞，维护网络安全。

参阅图2所示，为攻击次数分析示意图，参阅图3所示，为漏洞数据分析示意图。

网络安全态势评估单元，连接网络安全态势分析单元，根据网络安全态势分析单元的分析结果，评估当前网络的安全状态。

该实施例的网络安全态势评估单元包括：

攻击态势评估模块，连接攻击挖掘模块，用于评估网络攻击信息，得到攻击态势。

漏洞态势评估模块，连接漏洞分析模块，用于评估网络漏洞信息，得到漏洞态势。

该实施例的攻击态势评估模块和漏洞态势评估模块均采用层次模型评估。层次模型是指用一颗“有向树”的数据结构来表示表示各类实体以及实体间的联系，树中每一个节点代表一个记录类型，树状结构表示实体型之间的联系。

网络安全态势总评估模块，连接攻击态势评估模块和漏洞态势评估模块，根据攻击态势和漏洞态势得到网络安全态势。

该实施例的网络安全态势总评估模块的网络安全态势公式为，

网络安全态势＝a*攻击态势+(1-a)*漏洞态势。其中a为权重，初始a为随机数，取值范围为0-1，后面根据预测和实际的差值进行调整。

网络安全态势预测单元，连接网络安全态势分析单元和网络安全态势评估单元，根据当前网络的安全状态和历史信息，预测网络安全状态的发展趋势，并将预测结果进行显示，以便于网络监控者进行监控，并及时采取应对措施。

网络安全态势联动单元，连接网络安全态势评估单元和网络安全态势预测单元，根据当前网络安全状态及其发展趋势，对安全事件进行处置。传统的网络安全态势感知系统仅仅负责对网络安全进行监控，显示监控结果，需要监管人员根据监控结果人为采取应对措施。对于深夜，人比较累的时候，往往反映迟钝，或者监控不及时，网络安全存在很大的隐患。

网络安全态势联动单元包括：

网络安全态势告警模块，根据当前网络的安全状态和发展趋势触发不同级别的报警，该预警方式，能够提前告知监管者网络面临的威胁，提前采取应对措施，降低风险。

网络安全态势处置模块，根据预先设定的应急方案自动处理网络安全。该实施例对于网络安全预先设置了应对措施，无需人为操作，自动响应应对措施，维护网络安全。例如，漏洞修复，同一ip持续攻击提高防火墙级别，以保护网络安全。

网络安全态势联动处置模块，反ddos流量攻击、反垃圾短彩信、反dns劫持、反网页篡改和反cdn劫持同时启动。

网络安全态势溯源单元，连接网络安全态势评估单元，定位攻击源、发现攻击路径、取证攻击行为。该实施例的网络安全态势溯源单元包括：

智能搜索模块，用于搜索日志或事件的源头；

攻击分析模块，用于定位攻击源、发现攻击路径，分析攻击的影响；

取证模块，用于保存攻击行为的证据信息。

参阅图4所示，为网络安全态势感知方法流程图，包括如下步骤，

步骤s1，从采集网络中的安全日志、系统日志、漏洞数据和流量数据等网络安全要素。

步骤s2，对网络安全要素数据进行分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析。

参阅图5所示，为网络安全态势分析流程图，步骤s2包括：

步骤s21，将数据分为攻击数据和漏洞数据；

步骤s22，分析攻击数据，获取挖掘遇到的网络攻击信息；

步骤s23，分析漏洞数据的安全隐患。

步骤s3，根据步骤s2的分析结果，评估当前网络的安全状态。

该实施例的步骤s3包括：

步骤s31，评估网络攻击信息，得到攻击态势；

步骤s32，评估网络漏洞信息，得到漏洞态势；

步骤s33，根据攻击态势和漏洞态势得到网络安全态势，网络安全态势公式为，

网络安全态势＝a*攻击态势+(1-a)*漏洞态势，其中a为权重，初始a为随机数，取值范围为0-1。

需要说明的是，该实施例的步骤s3采用层次模型评估。

步骤s4，根据当前网络的安全状态和历史信息，预测网络安全状态的发展趋势；

步骤s5，根据当前网络安全状态及其发展趋势，对安全事件进行处置。

该实施例的步骤s5包括：

步骤s51，根据当前网络的安全状态和发展趋势触发不同级别的报警；

步骤s52，根据预先设定的应急方案自动处理网络安全；

步骤s53，反ddos流量攻击、反垃圾短彩信、反dns劫持、反网页篡改和反cdn劫持同时启动。

步骤s6，定位攻击源、发现攻击路径、取证攻击行为；

该实施例的步骤s6包括：

步骤s61，搜索日志或事件的源头；

步骤s62，用于定位攻击源、发现攻击路径，分析攻击的影响；

步骤s63，用于保存攻击行为的证据信息。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括……”或“包含……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的要素。此外，在本文中，“大于”、“小于”、“超过”等理解为不包括本数；“以上”、“以下”、“以内”等理解为包括本数。

尽管已经对上述各实施例进行了描述，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改，所以以上所述仅为本发明的实施例，并非因此限制本发明的专利保护范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围之内。