基于安全信号匹配的计算机网络安全分析系统的制作方法

本技术涉及网络安全领域，具体涉及基于安全信号匹配的计算机网络安全分析系统。

背景技术：

1、在当前信息时代，网络安全和信息安全已经成为了一个非常重要的问题。随着信息技术的不断发展和应用，网络攻击和信息泄露的风险也越来越高。重要时期安全保障服务（简称重保服务）就是其中一项非常重要的保障措施。针对重保期间涉及到人员管理，安全威胁的识别与预警，事件的响应处置与跟进，重要资产的监测管理，重点攻击对象的入侵监测，全局的安全管理与监控工作，没有一套完整的数字化流程将以上工作串联，较为分散。影响了重保工作过程中的信息传递和事件发现到响应处置的效率，增加了重保期间的网络安全隐患。

技术实现思路

1、基于所述现有技术方案有必要针对上述问题，本发明提供一种基于安全信号匹配的计算机网络安全分析系统，通过数字化的方式管理重保项目，整合人员管理、客户管理、告警分流、事件管理、黑ip管理、工单管理、项目管理涉及到重保相关工作完成全流程数字化，以计算机应用程序的形式呈现整合后的工作流程，参与重保项目工作的安全运营人员与安全责任主体方人员共同使用该应用程序进行重保期间的工作协同与管理，通过此方法来提高重保过程中的工作效率，降低重保期间的网络安全隐患。

2、本发明采取的技术方案如下：本发明提供一种基于安全信号匹配的计算机网络安全分析系统，包括告警分流装置、告警数据标识装置、任务流转装置，所述计算机网络安全分析系统采用数字化重保管理方法对计算机网络进行安全分析。

3、所述数字化重保管理方法包括以下步骤：

4、步骤s1：创建重保项目，获取安全责任主体，获取运营工作人员数据；

5、步骤s2：点击进入重保项目，以开始管理和查看重保项目内容，重保项目包括重保概览、重保资产、黑名单ip库、重保告警模块和重保事件模块；

6、步骤s3：在重保项目设置中使用告警分流装置将重保告警分流，告警分流装置记录开始时间，并将时间匹配的重保告警分流至对应重保项目；

7、步骤s4：告警分流装置提供不同日志类型的分类选项，将命中分类的重保告警进行分流；

8、步骤s5：使用告警数据标识装置对分流后的重保告警进行标识，生成红名单标识或黑名单标识，红名单标识或黑名单标识作为优先级依据，标识后的重保告警数据成为告警数据a；

9、步骤s6：安全运营人员分析研判告警数据a，生成属于重保项目的安全事件数据；

10、步骤s7：执行下一步操作，包括变更安全事件数据的状态或根据安全事件数据生成安全事件报告；

11、步骤s8：通过任务流转装置对安全事件报告的相关数据执行流转，实现数据共享和跟踪，任务流转装置的单次执行过程定义为任务；

12、步骤s9：生成关于安全事件报告和安全事件数据的安全事件，在不同客户端间流转，直至安全事件完成闭环，重保项目结束后，操作限制，重保项目归档。

13、进一步的，在步骤s3中，重保告警分流的具体方法包括以下步骤：

14、步骤s31：收集初始重保告警数据，并进行预处理；

15、步骤s32：从初始重保告警数据中进行特征提取；

16、步骤s33：根据dbscan算法进行领域定义；

17、步骤s34：进行参数设置，确定dbscan算法的参数，包括领域范围eps和邻居阈值minpts，用数据集来统称以上两个参数，通过自动参数搜索来确定领域范围和邻居阈值的最佳参数；

18、步骤s35：根据给定的邻域参数eps和minpts确定所有的核心对象；

19、步骤s36：选择一个未处理过的核心对象，找到由其密度可达的点生成聚类簇，并不断重复以上操作直至所有核心对象都被访问过。

20、进一步的，在步骤s34中，使用dbscan算法进行自动参数搜索的具体方法包括以下步骤：

21、步骤s341：对于整体的搜索和分类状况，采用七元组来描述第i步的全局状态（i=1,2,...）：

22、

23、其中，是dbscan聚类的状态， 是目前的参数组，是当前的领域范围，是当前的邻居阈值，是一系列平方距离的集合，包括与其空间的边界和的距离，与其空间边界和的距离，聚类是将相似的数据，包括eps和minpts都分成聚类簇，反之，聚类簇是具有相似性数据的分组，表示聚类簇的数量与数据的数量|v|的比值；

24、步骤s342：对于第i步类别的局部状态，定义一个元组：

25、

26、其中，是类别的中心对象的特征，是特征的维度数目，代表聚类簇中对象的数目；

27、步骤s343：在自动参数搜索过程中，聚类簇数目在每一步中都会变化，使用注意力机制将全局状态和多个局部状态编码为一个定长的状态表征：

28、

29、其中，和分别是以全局状态和局部状态为输入的全连接网络，σ代表relu激活函数，||代表拼接操作，是dbscan聚类在第n步的状态，是类别的注意力权重，计算公式如下：

30、；

31、步骤s344：分别将每个聚类簇的局部状态和全局状态串联，然后用一个全连接网络来打分，并且标准化这个分数作为每个聚类簇的注意力机制的系数；

32、步骤s345：每个聚类簇的操作在动作空间中完成，而动作空间包含相应的动作，动作空间定义a为，其中left和right分别代表减少和增加参数eps，down和up代表减少和增大参数minpts，而stop代表停止搜索，具体的，建立actor作为策略网络来基于目前的状态来决定动作:

33、

34、其中actor 是一个三层的多层感知机(mlp)；

35、步骤s346：从第i步到第i+1的动作-参数变化过程可以如下定义：

36、

37、其中，和分别是第i步和第i+1步的参数组和，是增加或者减少的动作幅度大小；

38、步骤s347：对于完整一轮的搜索过程，使用以下终止条件：

39、，超出边界停止

40、，超出最大步数限制停止

41、，停止动作

42、其中,是一轮自动参数搜索中的最大搜索步数。

43、进一步的，在步骤s5中，使用告警数据标识装置对分流后的重保告警进行标识的具体方法包括以下步骤：

44、步骤s51：从收集的重保告警数据中提取ip地址信息，ip地址信息包括攻击者ip和受害者ip，将ip地址信息与历史红名单标识和黑名单标识进行数据对比；

45、步骤s52：对提取的ip地址信息进行分析，获取关于该ip地址信息的详细信息，包括地理位置、历史攻击记录；

46、步骤s53：从ip地址信息的分析结果中提取ip特征，ip特征包括攻击频率和攻击类型；

47、步骤s54：基于告警数据标识装置的标识规则和策略，对ip地址信息进行判断，根据攻击频率、恶意行为、历史记录来确定是否将ip地址信息列入红名单或黑名单；

48、步骤s55：如果ip地址信息满足红名单规则，认定该ip地址信息为受害者ip，受害者ip列入红名单，红名单中的ip地址信息是常受攻击的目标，需要特别加强保护措施；

49、步骤s56：如果ip地址信息满足黑名单规则，认定该ip地址信息为恶意ip，恶意ip列入黑名单，黑名单中的ip地址信息是常见攻击源，需要特别关注和防范；

50、步骤s57：对于红名单和黑名单中的ip地址信息进行标识和记录，将其与相应的红名单标识或黑名单标识关联；

51、步骤s58：当有新的重保告警数据中包含着红名单或黑名单中的ip地址信息时，告警数据标识装置会根据标识和分类的结果，优先处理这些新的重保告警数据，以及时采取适当的安全措施；

52、步骤s59：红名单或黑名单中的内容需要定期进行更新，以保持最新的攻击趋势和威胁情报的一致性。

53、进一步的，在步骤s8中，任务流转装置对安全事件报告相关数据执行流转的具体方法包括以下步骤：

54、步骤s81：管理人员在任务流转装置中配置任务流转的节点、角色、规则和超时时间，每个节点需要不同的角色审核或处理，设置超时时间可确保安全事件报告不会长时间滞留；

55、步骤s82：当任务流转装置中的某个事件需要进行处理，任务流转装置会自动创建一个处理任务，并将处理任务流转到起始节点；

56、步骤s83：处理任务根据起始节点的配置分配给相应的角色，包括安全责任主体、运营人员；

57、步骤s84：接收处理任务的管理人员进行审核或处理，需要查看相关的安全事件报告数据，然后进行决策；

58、步骤s85：如果处理任务在预设的超时时间内未被处理，任务流转装置会执行相应的操作，包括自动流转至下一节点或发送提醒通知；

59、步骤s86：根据步骤s44的审核结果，处理任务流转到下一个节点或回到前一个节点，或被标记为已完成；

60、步骤s87：处理任务被处理完成后，任务流转装置会将处理任务标记为已关闭，同时记录处理结果和操作日志。

61、采用上述方案本发明取得的有益效果如下：

62、本技术主要通过数字化的方式管理重保项目，整合人员管理、客户管理、告警分流、事件管理、黑ip管理、工单管理、项目管理涉及到重保相关工作完成全流程数字化，以计算机应用程序的形式呈现整合后的工作流程，参与重保项目工作的安全运营人员与安全责任主体方人员共同使用该应用程序进行重保期间的工作协同与管理，通过此方法来提高重保过程中的工作效率，降低重保期间的网络安全隐患；

63、本发明在数字化管理系统中引入了告警分流装置、告警数据标识装置和任务流转装置的结构和流程，通过智能化的处理和协同作用，实现了更高效、精准的管理方式；

64、使用dbscan算法，相比较于k-means算法，dbscan算法不需要预先声明聚类数量，并且可以在聚类的同时发现异常点；

65、在dbscan算法中，使用自动参数搜索框架，具有高强的灵活性；

66、聚类结果没有偏倚，相比k-means之类的聚类算法初始值对聚类结果的影响更小。