基于网络安全态势感知系统的异常行为监测系统及方法与流程

1.本发明涉及大数据技术领域，具体为基于网络安全态势感知系统的异常行为监测系统及方法。


背景技术：

2.网络安全态势感知系统通过采集服务器、交换机、路由器、加密装置、隔离装置等设备的运行数据，并采用数学模型、知识推理等方法对采集到的数据进行处理，从而进行全局网络安全实时状态评估的方式对网络异常行为进行监测，相对于传统的网络安全设施，网络安全态势感知系统建立在大数据收集论证的基础上，对异常行为进行监测和预警，能够更好地帮助企业做好网络安全的防范措施；
3.现有方式中，对异常行为进行监测的方式仍存在一些问题：首先，在监测并采集到设备数据后，存在信息孤岛问题，无法实现关联数据共享，无法将相关联的监测数据进行汇总并匹配，以减少监测数据的分析量并及时预防更多的网络异常行为；其次，网络安全态势感知系统的部署模式各不相同，现有方式按照需求来随机选择部署模式，无法实现资源即部署模式配置合理化，在降低监测效率的同时增加了一定的监测成本。
4.所以，人们需要基于网络安全态势感知系统的异常行为监测系统及方法来解决上述问题。


技术实现要素：

5.本发明的目的在于提供基于网络安全态势感知系统的异常行为监测系统及方法，以解决上述背景技术中提出的问题。
6.为了解决上述技术问题，本发明提供如下技术方案：基于网络安全态势感知系统的异常行为监测系统，其特征在于：所述系统包括：感知数据采集模块、数据库、部署模式选择模块、异常行为监测模块和数据转发管理模块；
7.所述感知数据采集模块用于采集感知数据的处理信息和监测设备的使用信息；
8.所述数据库用于存储并管理采集到的所有数据；
9.所述部署模式选择模块用于为态势感知系统选择并分配部署模式；
10.所述异常行为监测模块用于根据选择的部署模式进行态势感知，对设备进行监测；
11.所述数据转发管理模块用于汇总并整理监测到的数据，转发整理好的监测数据。
12.进一步的，所述感知数据采集模块包括调取信息采集单元、部署信息采集单元和设备信息采集单元，所述调取信息采集单元用于采集历史感知数据的被调取信息；所述部署信息采集单元用于采集不同部署模式下感知数据需要的成本数据；所述设备信息采集单元用于采集被监测设备的使用信息，将采集到的所有数据传输到所述数据库中。
13.进一步的，所述部署模式选择模块包括部署成本分析单元、需求数据分析单元和部署模式分配单元，所述部署成本分析单元用于分析网络安全态势感知系统选择不同部署
模式监测设备的成效比例；所述需求数据分析单元用于分析需要监测的设备对网络安全的影响程度；所述部署模式分配单元用于为态势感知系统选择并分配不同的部署模式。
14.进一步的，所述异常行为监测模块包括态势感知单元和行为异常预警单元，所述态势感知单元用于依据选择的部署模式对网络安全进行态势感知，对设备进行监测；所述行为异常预警单元用于在监测到设备出现异常行为时发出异常警报信号，并将感知数据传输到所述数据转发管理模块中。
15.所述数据转发管理模块包括感知数据收集单元、数据显示调整单元和汇总数据转发单元，所述感知数据收集单元用于接收并汇总感知数据；所述数据显示调整单元用于调整汇总数据的显示位置，整理汇总的数据：同步显示汇总在一起的数据；所述汇总数据转发单元用于将整理好的汇总数据转发至上级管理系统。
16.基于网络安全态势感知系统的异常行为监测方法，其特征在于：包括以下步骤：
17.z01：采集感知数据的被调取信息、不同部署模式下的成本数据以及被监测设备的使用信息；
18.z02：分析态势感知系统选择不同部署模式监测设备的成效比例以及被监测设备对网络安全的影响程度；
19.z03：选择并分配部署模式对设备进行异常行为监测；
20.z04：依据选择好的部署模式对设备进行监测，在监测到设备出现异常行为时发送告警信号；
21.z05：汇总并整理监测到的数据，将整理好的监测数据转发至上级管理系统。
22.进一步的，在步骤z01-z02中：采集到态势感知系统的部署模式共有m个，在t至t时间段内，不同部署模式下对随机一个设备数据进行采集的次数集合为b＝{b1，b2，
…
，bm}，告警次数集合为n＝{n1，n2，
…
，nm}，无效告警总次数集合为m＝{m1，m2，
…
，mm}，采用不同部署模式对设备进行监测需要的成本集合为r＝{r1，r2，
…
，rm}，根据下列公式计算选择随机一个部署模式对设备进行监测的成效比例wi：
[0023][0024]
得到采用不同部署模式对设备进行监测的成效比例集合为w＝{w1，w2，
…
，wm}，其中，bi表示在t至t时间段内，采用随机一个部署模式对随机一个设备数据进行采集的次数，ni表示对应部署模式下的告警次数，mi表示无效告警次数，ri表示对应部署模式下对设备进行监测需要成本，采集到监测到的设备运行数据被调取次数集合为a＝{a1，a2，
…
，an}，被监测设备被维护的次数集合为c＝{c1，c2，
…
，cn}，在感知到随机一个被监测设备出现网络异常行为时的告警级别系数集合为l＝{l1，l2，
…
，lk}，无效告警级别系数集合为l’＝{l1’，l2’，
…
，lp’}，其中，n表示被监测设备数量，k表示对随机一个被监测设备进行告警的次数，p表示无效告警次数，根据下列公式计算随机一个被监测设备对网络安全的影响程度ki：
[0025][0026]
得到被监测设备对网络安全的影响程度集合为k＝{k1，k2，
…
，kn}，其中，ai表示
随机一个被监测设备运行数据被调取次数，ci表示对应设备被维护次数，li表示随机一次感知到对应设备出现网络异常行为时的告警级别系数，li’表示随机一次无效告警级别系数，成效比例指的是采用随机一个部署模式对设备进行监测的效率和成本比例，依据采集以往在不同部署模式下监测随机一个设备时，在一定时间段内采集到的数据、监测到异常行为时的告警次数分析监测效率，在一定时间段内采集到数据的次数越多、告警次数越多，判断监测效率越高，由于告警存在误差，将实际核对后得到的无效告警次数加入监测效率分析中，提高了分析结果的准确性，计算监测效率与成本的比值的目的在于得到不同部署模式下监测设备的综合效益，成本越低、效率越高，说明综合效益越高；不同设备出现异常行为对网络安全的影响程度不同，通过采集并分析设备数据分析设备对网络安全的影响程度，目的在于匹配合适的部署模式，实现了资源配置的合理化，以最高综合效益对设备进行监测。
[0027]
进一步的，在步骤z03中：选择并分配部署模式对设备进行异常行为监测：将被监测设备对网络安全的影响程度数据随机分为m组，得到每组数据中影响程度总和集合为k
sum
＝{k
sum1
，k
sum2
，...，k
summ
}，根据公式寻找最优分组方式，其中，k
sumi
表示随机一组数据中影响程度总和，比较以不同分组方式计算出的length：筛选出使得length值最大的分组方式，length值表示将影响程度数据分为m组后m组数据的方差，在以使得length值最大的分组方式进行分组后，以每组数据中影响程度总和从大到小的顺序将m组数据进行排列，将采用不同部署模式对设备进行监测的成效比例从大到小进行排列，匹配排序后的影响程度和成效比例：为每组数据中影响程度对应的被监测设备选择与对应组数据中影响程度总和次序相同的成效比例对应的部署模式，为属于同一组数据中的影响程度对应的设备选择相同的部署模式进行监测，由于部署模式与设备数量可能不同，无法一一匹配，通过随机分组的方式将设备分为与部署模式数量相同的组数，由于存在多种分组方式，通过比较计算分组后数据方差的方式寻找最优解，即最优分配方式，使得组间数据差异最大化，有利于实现采用对应部署模式对设备进行监测的综合效益最大化。
[0028]
进一步的，在步骤z04-z05中：以选择好的部署模式对被监测设备进行监测，在监测到设备出现异常时，发出告警信号，汇总并整理监测到的数据：以当前部署模式监测到随机一个设备的告警级别系数集合为d＝{d1，d2，
…
，dq}，无效告警级别系数集合为d＝{d1，d2，
…
，df}，得到随机一个设备的异常程度qi：其中，q表示以当前部署模式监测随机一个设备的告警次数，f表示以当前部署模式监测随机一个设备的无效告警次数，di表示以当前部署模式随机一次监测到随机一个设备的告警级别系数，di表示以当前部署模式随机一次监测到随机一个设备的无效告警级别系数，得到异常程度集合为q＝{q1，q2，
…
，qn}，比较被监测设备的异常程度，设置异常程度差异阈值为q
阈
，将设备功能相似且满足qi-qj《q
阈
的两个被监测设备的运行数据进行汇总，其中，qi和qj表示随机两个设备的异常程度，将汇总好的数据转发至上级管理系统，采集的信息得不到共享，会出现信息孤岛问题，选择功能相似且告警情况相近的数据，将对应数据进行汇总，转发至上级管理系统，上级管理系统接收到的数据时相关联的汇总数据，有利于相关人员对数据进行对比分析，降低了感知数据的分析难度。
[0029]
与现有技术相比，本发明所达到的有益效果是：
[0030]
本发明通过大数据分析在不同部署模式下对设备进行监测的成效比例，同步分析被监测设备异常对网络安全的影响程度，将成效比例与影响程度数值进行匹配，考虑到两者的数据量可能存在不同，无法进行一一匹配，通过随机分组的方式将设备分为与部署模式数量相同的组数，由于存在多种分组方式，通过比较计算分组后数据方差的方式寻找最优解，即最优分配方式，使得组间数据差异最大化，有利于为监测设备匹配合适的部署模式，实现了资源配置的合理化，进一步实现了采用对应部署模式对设备进行监测的综合效益最大化；通过功能相似且告警情况相近的数据进行汇总显示，转发至上级管理系统，缓解了信息孤岛问题，实现了监测数据共享，同时降低了相关人员对感知数据进行分析时的难度。
附图说明
[0031]
附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：
[0032]
图1是本发明基于网络安全态势感知系统的异常行为监测系统的结构图；
[0033]
图2是本发明基于网络安全态势感知系统的异常行为监测方法的步骤图。
具体实施方式
[0034]
以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。
[0035]
请参阅图1-图2，本发明提供技术方案：基于网络安全态势感知系统的异常行为监测系统，其特征在于：系统包括：感知数据采集模块、数据库、部署模式选择模块、异常行为监测模块和数据转发管理模块；
[0036]
感知数据采集模块用于采集感知数据的处理信息和监测设备的使用信息；
[0037]
数据库用于存储并管理采集到的所有数据；
[0038]
部署模式选择模块用于为态势感知系统选择并分配部署模式；
[0039]
异常行为监测模块用于根据选择的部署模式进行态势感知，对设备进行监测；
[0040]
数据转发管理模块用于汇总并整理监测到的数据，转发整理好的监测数据。
[0041]
感知数据采集模块包括调取信息采集单元、部署信息采集单元和设备信息采集单元，调取信息采集单元用于采集历史感知数据的被调取信息；部署信息采集单元用于采集不同部署模式下感知数据需要的成本数据；设备信息采集单元用于采集被监测设备的使用信息，将采集到的所有数据传输到数据库中。
[0042]
部署模式选择模块包括部署成本分析单元、需求数据分析单元和部署模式分配单元，部署成本分析单元用于分析网络安全态势感知系统选择不同部署模式监测设备的成效比例；需求数据分析单元用于分析需要监测的设备对网络安全的影响程度；部署模式分配单元用于为态势感知系统选择并分配不同的部署模式，部署模式可以是单机单网模式、单机双网模式等。
[0043]
异常行为监测模块包括态势感知单元和行为异常预警单元，态势感知单元用于依据选择的部署模式对网络安全进行态势感知，对设备进行监测；行为异常预警单元用于在
监测到设备出现异常行为时发出异常警报信号，并将感知数据传输到数据转发管理模块中。
[0044]
数据转发管理模块包括感知数据收集单元、数据显示调整单元和汇总数据转发单元，感知数据收集单元用于接收并汇总感知数据；数据显示调整单元用于调整汇总数据的显示位置，整理汇总的数据：同步显示汇总在一起的数据；汇总数据转发单元用于将整理好的汇总数据转发至上级管理系统。
[0045]
基于网络安全态势感知系统的异常行为监测方法，其特征在于：包括以下步骤：
[0046]
z01：采集感知数据的被调取信息、不同部署模式下的成本数据以及被监测设备的使用信息；
[0047]
z02：分析态势感知系统选择不同部署模式监测设备的成效比例以及被监测设备对网络安全的影响程度；
[0048]
z03：选择并分配部署模式对设备进行异常行为监测；
[0049]
z04：依据选择好的部署模式对设备进行监测，在监测到设备出现异常行为时发送告警信号；
[0050]
z05：汇总并整理监测到的数据，将整理好的监测数据转发至上级管理系统。
[0051]
在步骤z01-z02中：采集到态势感知系统的部署模式共有m个，在t至t时间段内，不同部署模式下对随机一个设备数据进行采集的次数集合为b＝{b1，b2，
…
，bm}，告警次数集合为n＝{n1，n2，
…
，nm}，无效告警总次数集合为m＝{m1，m2，
…
，mm}，采用不同部署模式对设备进行监测需要的成本集合为r＝{r1，r2，
…
，rm}，根据下列公式计算选择随机一个部署模式对设备进行监测的成效比例wi：
[0052][0053]
得到采用不同部署模式对设备进行监测的成效比例集合为w＝{w1，w2，
…
，wm}，其中，bi表示在t至t时间段内，采用随机一个部署模式对随机一个设备数据进行采集的次数，ni表示对应部署模式下的告警次数，mi表示无效告警次数，ri表示对应部署模式下对设备进行监测需要成本，采集到监测到的设备运行数据被调取次数集合为a＝{a1，a2，
…
，an}，被监测设备被维护的次数集合为c＝{c1，c2，
…
，cn}，在感知到随机一个被监测设备出现网络异常行为时的告警级别系数集合为l＝{l1，l2，
…
，lk}，无效告警级别系数集合为l’＝{l1’，l2’，
…
，lp’}，其中，n表示被监测设备数量，k表示对随机一个被监测设备进行告警的次数，p表示无效告警次数，根据下列公式计算随机一个被监测设备对网络安全的影响程度ki：
[0054][0055]
得到被监测设备对网络安全的影响程度集合为k＝{k1，k2，
…
，kn}，其中，ai表示随机一个被监测设备运行数据被调取次数，ci表示对应设备被维护次数，li表示随机一次感知到对应设备出现网络异常行为时的告警级别系数，li’表示随机一次无效告警级别系数，为被监测设备匹配合适的部署模式，实现了资源配置的合理化，降低了监测成本，以最高综合效益对设备进行监测。
[0056]
在步骤z03中：选择并分配部署模式对设备进行异常行为监测：将被监测设备对网络安全的影响程度数据随机分为m组，得到每组数据中影响程度总和集合为k
sum
＝{k
sum1
，k
sum2
，...，k
summ
}，根据公式寻找最优分组方式，其中，k
sumi
表示随机一组数据中影响程度总和，比较以不同分组方式计算出的length：筛选出使得length值最大的分组方式，length值表示将影响程度数据分为m组后m组数据的方差，在以使得length值最大的分组方式进行分组后，以每组数据中影响程度总和从大到小的顺序将m组数据进行排列，将采用不同部署模式对设备进行监测的成效比例从大到小进行排列，匹配排序后的影响程度和成效比例：为每组数据中影响程度对应的被监测设备选择与对应组数据中影响程度总和次序相同的成效比例对应的部署模式，为属于同一组数据中的影响程度对应的设备选择相同的部署模式进行监测，通过比较计算分组后数据方差的方式寻找最优解，即最优分配方式，使得组间数据差异最大化，有利于实现采用对应部署模式对设备进行监测的综合效益最大化。
[0057]
在步骤z04-z05中：以选择好的部署模式对被监测设备进行监测，在监测到设备出现异常时，发出告警信号，汇总并整理监测到的数据：以当前部署模式监测到随机一个设备的告警级别系数集合为d＝{d1，d2，
…
，dq}，无效告警级别系数集合为d＝{d1，d2，
…
，df}，得到随机一个设备的异常程度qi：其中，q表示以当前部署模式监测随机一个设备的告警次数，f表示以当前部署模式监测随机一个设备的无效告警次数，di表示以当前部署模式随机一次监测到随机一个设备的告警级别系数，di表示以当前部署模式随机一次监测到随机一个设备的无效告警级别系数，得到异常程度集合为q＝{q1，q2，
…
，qn}，比较被监测设备的异常程度，设置异常程度差异阈值为q
阈
，将设备功能相似且满足qi-qj《q
阈
的两个被监测设备的运行数据进行汇总，其中，qi和qj表示随机两个设备的异常程度，将汇总好的数据转发至上级管理系统，相关人员通过对比分析汇总数据，降低了感知数据的分析难度。
[0058]
实施例一：采集到态势感知系统的部署模式共有m＝4个，在t＝10：00至t＝10：10时间段内，不同部署模式下对随机一个设备数据进行采集的次数集合为b＝{b1，b2，b3，b4}＝{3，5，2，4}，告警次数集合为n＝{n1，n2，n3，n4}＝{1，5，2，3}，无效告警次数集合为m＝{m1，m2，m3，m4}＝{0，2，1，3}，采用不同部署模式对设备进行监测需要的成本集合为r＝{r1，r2，r3，r4}＝{20，100，50，30}，根据公式得到采用不同部署模式对设备进行监测的成效比例集合为w＝{w1，w2，w3，w4}＝{0.41，0.20，0.14，0.19}，采集到监测到的设备运行数据被调取次数集合为a＝{a1，a2，a3，a4，a5}＝{5，6，8，2，1}，被监测设备被维护的次数集合为c＝{c1，c2，c3，c4，c5}＝{2，3，1，0，5}，在感知到随机一个被监测设备出现网络异常行为时的告警级别系数集合为l＝{l1，l2，l3}＝{4，3，2}，无效告警级别系数集合为l’＝{l1’}＝{2}，根据公式得到被监测设备对网络安全的影响程度集合为k＝{k1，k2，k3，k4，k5}＝{0.41，0.27，0.68，0.18，0.5}，
将被监测设备对网络安全的影响程度数据随机分为m＝4组，得到每组数据中影响程度总和集合为k
sum
＝{k
sum1
，k
sum2
，k
sum3
，k
sum4
}，根据公式寻找最优分组方式，比较以不同分组方式计算出的length：筛选出使得length值最大的分组方式：将k3和k5对应的设备分为一组，剩余设备各自为一组，分组后以每组数据中影响程度总和从大到小的顺序将m组数据进行排列，匹配排序后的影响程度和成效比例：为k3和k5对应的设备选择w1对应的部署模式，为k1对应的设备选择w2对应的部署模式，为k2对应的设备选择w4对应的部署模式，为k4对应的设备选择w3对应的部署模式，以选择好的部署模式对被监测设备进行监测。
[0059]
最后应说明的是：以上所述仅为本发明的优选实例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。