技术领域
[0001] 本
发明涉及一种信息安全系统,具体涉及一种基于知识图谱的信息安全系统。
背景技术
[0002] 随着网络技术的高速发展,网络在人们的生活和工作中得到广泛应用,并且变得不可缺失,由于网络在日常生活中的重要性,所以网络是否稳定直接关系到人们各种活
动能够顺利进行。因此,网络安全维护变成了网络技术的重要组成部分,其能为用户提供安全稳定的网络环境,是基于网络开展的各类活动顺利进行的重要保障。
[0003] 现有的网络安全维护基本上是通过安全
服务器对各网络
节点进行监测,监测到的网络故障都是以文字列表的形式进行呈现,如果某个网络节点出现网络故障,相应的文字
位置上会进行提示。然而,这种以文字方式进行呈现网络故障的方式在存在大量网络节点时,会使得查看变得困难,且会给人一种眼花缭乱的感觉。因此,需要提供一种能够更加直观
可视化的呈现网络故障的方案。
发明内容
[0004] 针对上述技术问题,本发明
实施例提供基于知识图谱的信息安全系统,能够以知识图谱的形式呈现网络节点监测到的异常代码。
[0005] 本发明采用的技术方案为:
[0006] 本发明实施例提供一种基于知识图谱的信息安全系统,包括:显示装置、安全服务器和多个网络节点,所述安全服务器分别与所述显示装置和所述网络节点通信连接;
[0007] 所述网络节点用于记录并存储所属节点的安全日志,所述安全日志包括异常记录,并用于将所述异常记录按照预设的固定时间发送给所述安全服务器;
[0008] 所述安全服务器用于将接收到的异常记录以知识图谱的形式呈现在显示装置上;所述知识图谱的呈现包括使用第一图像呈现节点和使用第二图像呈现节点间的关系。
[0009] 可选地,所述安全服务器用于将接收到的异常记录以知识图谱的形式呈现在显示装置上包括:在显示装置上以第一图像显示出现过异常代码的网络节点及其标识,如果两个网络节点在第一时间
阈值内存在相同的异常代码,则使用第二图像连接两个网络节点。
[0010] 可选地,所述知识图谱上的第一图像为圆形图像,所述圆形的半径大小与圆形连接的第二图像的数量呈正比;
[0011] 所述第二图像为弧形的连接实线,所述连接实线具有方向,所述方向由异常代码出现时间早的网络节点指向异常代码出现晚的网络节点。
[0012] 可选地,如果在所述显示装置上触发所述知识图谱上的任意一个第二图像,则在所述显示装置上显示多个第一控件,每个第一控件包括文本框和位于文本框下方的列表,其中,所述文本框用于呈现每个异常代码,所述列表用于呈现按照出现该异常代码的时间关系排序的所有网络节点,以及使用第二图像连接在所述知识图谱中共享过同一网络节点的异常代码所在的文本框。
[0013] 可选地,所述第二图像为连接实线,所述连接实线具有方向,所述方向由异常代码出现时间早的网络节点指向异常代码出现晚的网络节点。
[0014] 可选地,所述文本框之间的连接实线的粗细程度表示对应两个异常代码之间共享的网络节点的数量。
[0015] 可选地,所述安全服务器还用于将接收到的所有异常记录中的异常代码进行归类,并将归类后的异常代码以知识图谱的形式呈现在显示装置上。
[0016] 可选地,所述安全服务器将接收到的所有异常记录中的含义相近的异常代码使用同一个异常代码表示;
[0017] 所述将归类后的异常代码以知识图谱的形式呈现在显示装置上包括:
[0018] 在显示装置上以第一图像显示出现过归类后的异常代码的网络节点,如果两个网络节点在第一时间阈值内存在相同的异常代码,则使用第二图像连接两个网络节点。
[0019] 可选地,所述安全服务器还用于对没有与安全服务器的时钟进行同步的网络节点的时钟进行调整。
[0020] 可选地,所述安全服务器还用于对没有与安全服务器的时钟进行同步的网络节点的时钟进行调整,具体包括:
[0021] 所述安全服务器在接收到没有进行同步的网络节点在第一时间发送的异常记录时,记录接收时服务器的时间第二时间,并将第二时间减去第一时间得到的第一时间差值在第三时间返回给所述网络节点;
[0022] 所述网络节点在接收到所述第一时间差值和所述第三时间时,记录自身当前时间第四时间,并将第四时间减去第三时间得到第二时间差值,如果第以时间差值与第二时间差值的差的绝对值在第二时间阈值内,则将表征已进行时钟同步并将表征已同步的同步标识发送给所述安全服务器。
[0023] 本发明实施例提供的基于知识图谱的信息安全系统,由于安全服务器将网络节点监测到的异常代码以知识图谱的形式进行呈现,包括将网络节点作为知识图谱的实体和两实体之间的关系为在第一时间阈值内存在相同的异常代码的方式进行一级呈现,以及通过点击一级呈现的图谱的任何一条关系边,则会进行二级呈现,该二级呈现包括呈现每个异常代码和按照出现该异常代码的时间关系排序的所有网络节点,以及它们之间的关系,从而能够使得用户准确、清晰直观地知道网络上哪些节点存在异常记录,异常记录主要包括哪些类型,能够实现可视化操作。
附图说明
[0024] 图1为本发明实施例提供的基于知识图谱的信息安全系统的结构示意图;
[0025] 图2和图3分别是本发明实施例呈现的知识图谱示意图。
具体实施方式
[0026] 为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
[0027] 如图1所示,本发明实施例提供一种基于知识图谱的信息安全系统,包括:显示装置1、安全服务器2和多个网络节点3(节点A、节点B、节点C…),所述安全服务器2分别与所述显示装置1和所述网络节点3通信连接。所述网络节点3用于记录并存储所属节点的安全日志,所述安全日志可包括异常记录,并用于将所述异常记录按照预设的固定时间发送给所述安全服务器。所述安全服务器2用于将接收到的异常记录以知识图谱的形式呈现在显示装置1上;优选的,所述知识图谱的呈现包括使用第一图像呈现节点和使用第二图像呈现节点间的关系。
[0028] 在本发明实施例中,安全服务器2会在每个预设时刻接收网络节点3发送的异常记录,并会利用当前时刻接收到的异常记录更新上一时刻在显示装置1上呈现的知识图谱,相邻两个预设时刻之间的间隔大于等于预设的固定时间。
[0029] 在本发明实施例中,网络节点3可为网络设备、PC、服务器、
防火墙、网关、路由器等。每个网络节点会记录所属节点上的安全日志并进行存储,安全日志可为log文件、或其他文本类型的文件。异常记录可包括时间、异常代码和异常描述,例如,“201912170931、ER0003、特定IP
访问量超峰值”,其中时间为2019年12月17日9时31分,异常代码为ER0003,异常描述为“特定IP访问量超峰值”。本领域技术人员理解,时间可以采用
现有技术中任意时间格式和时间
精度,但本发明中优选的时间精度为“分”或“秒”。网络节点3发送异常记录的预设的固定时间可为每天或者每小时,也可以用户自定义。
[0030] 在本发明实施例中,显示装置1可为显示屏或者大屏幕,优选的使用大屏幕。这样,通过在显示装置1上以知识图谱的方式呈现所有的异常代码,能够方便用户直观地知道网络上哪些网络节点存在异常以及异常之间的关系,实现可视化操作。
[0031] 进一步的,如图2所示,在本发明一个实施例中,安全服务器2会在显示装置1上以第一图像显示出现过异常代码的网络节点及其标识,如果两个网络节点在第一时间阈值T1内存在相同的异常代码,则使用第二图像连接两个网络节点。优选的,第一时间阈值T1与本发明中的时间精度相关,例如为时间精度的若干倍,优选的为2-5倍。例如,图2中,节点A和节点B在T1时间内存在异常代码ER1和ER2,因此两者之间存在两个第二图像。在一个优选示例中,所述知识图谱上的第一图像可为圆形图像,所述圆形的半径大小与圆形连接的第二图像的数量呈正比,从而使得第二图像的数量越多,圆形的半径越大;进一步的,当节点连接的第二图像数量超过第一数量阈值(例如10个)时,表征节点的圆形半径固定,不再根据比例增加。在一个优选示例中,所述第二图像可为弧形的连接实线,并且,所述连接实线具有方向,所述方向由异常代码出现时间早的网络节点指向异常代码出现晚的网络节点;进一步的,在显示装置1呈现的知识图谱中,第二图像出现的数量越多,每个第二图像的粗细程度就越粗,例如根据比例增加,当某个第二图像的数量超过第二数量阈值(例如10个)时,粗细程度固定,不再根据比例增加。根据该实施例,能够使得显示装置1上准确、清晰的呈现出现异常的节点及其关联关系。
[0032] 进一步地,在本发明实施例中,如果在所述显示装置上触发(例如通过点击方式)知识图谱(例如图2)上的任意一个第二图像,则会在所述显示装置1上显示多个第一控件,如图3所示,每个第一控件包括文本框和位于文本框下方的列表,其中,所述文本框用于呈现每个异常代码,所述列表用于呈现按照出现该异常代码的时间关系排序的所有网络节点,以及使用第二图像连接在所述知识图谱中共享过同一网络节点的异常代码所在的文本框。例如,点击图2中的“关系”“边”ER1,就会把出现异常代码的所有节点以列表形式呈现并依时间关系排序。优选地,在该实施例中,连接两个文本框的第二图像可为连接实线,所述连接实线具有方向,所述方向由异常代码出现时间早的网络节点指向异常代码出现晚的网络节点。此外,所述文本框之间的连接实线的粗细程度表示对应两个异常代码之间共享的网络节点的数量,即共享的网络节点越多,连接实线越粗。也就是说,在本发明实施例中,安全服务器2能够对网络节点监测到的异常代码进行图2所示的一级呈现和图3所示的二级呈现,从而能够更全面地了解和掌握异常出现的情况。
[0033] 进一步地,在本发明实施例中,所述安全服务器2还用于将接收到的所有异常记录中的异常代码进行归类,并将归类后的异常代码以知识图谱的形式呈现在显示装置上。具体地,在安全服务器2中存储有异常代码聚类表,每个异常代码聚类中包括多个不同的代码但属于同一类的代码,这样,当安全服务器2接收到多个含义不同但相近的异常代码时,会将这些含义相近的异常代码用同一个代码进行表示,以精简知识图谱,即,安全服务器2会将接收到的所有异常记录中的含义相近的异常代码使用同一个异常代码表示。在对异常代码归类后,安全服务器2会以与前述相同的呈现方式呈现知识图谱,即:在显示装置上以第一图像显示出现过异常代码的网络节点,如果两个网络节点在第一时间阈值内存在相同的异常代码,则使用第二图像连接两个网络节点。不同的是,使用的异常代码是归类后的异常代码。也就是说,在前述实施例中,由于没有对异常代码进行归类,某些包含不同但同属于同一类的代码的网络节点之间可能不存在关系,而在归类后,这些网络节点之间变得有关系了。
[0034] 进一步地,在本发明实施例中,所述安全服务器2还用于对没有与安全服务器的时钟进行同步的网络节点的时钟进行调整。由于对早期设备兼容等原因,安全系统中的一些网络节点的时钟并未和系统中的时钟服务器进行同步,因此,安全服务器需要对这些网络节点进行时钟同步。没有同步的网络节点的时钟状态可在安全服务器2中用标志“0”表示,而已经同步过的网络节点可用标志“1”表示。
[0035] 进一步地,所述安全服务器2对没有与安全服务器的时钟进行同步的网络节点的时钟进行调整,可具体包括:
[0036] 所述安全服务器在接收到没有进行同步的网络节点在第一时间发送的异常记录时,记录接收时服务器的时间第二时间,并将第二时间减去第一时间得到的第一时间差值在第三时间返回给所述网络节点;
[0037] 所述网络节点在接收到所述第一时间差值和所述第三时间时,记录自身当前时间第四时间,并将第四时间减去第三时间得到第二时间差值,如果第以时间差值与第二时间差值的差的绝对值在第二时间阈值T2内,则将表征已进行时钟同步并将表征已同步的同步标识发送给所述安全服务器。优选的,第二时间阈值T2与本发明中的时间精度相关,例如为时间精度的50%。
[0038] 具体地,标志为“0”的网络节点在向安全服务器发送安全日志时,可通过如下步骤与安全服务器的时钟同步:
[0039] S100、标志为“0”的网络节点向安全服务器发送异常记录,网络节点的当前时间为t1;
[0040] S200、安全服务器获取异常记录,记录接收时服务器的时间t2,并用t2-t1得到Δt1;
[0041] S300、安全服务器将Δt1返回给网络节点,返回时带有自身的发送时间t3;
[0042] S400、网络节点接收到Δt1和t3时,获取自身当前时间t4,并用t3-t4得到Δt2,如果|Δt1-Δt2|在第二时间阈值T2之内,则向服务器返回表示已同步的标识“ACK-OK”;否则,返回步骤S100;
[0043] S500、安全服务器接收到标识“ACK-OK”,时间同步成功。
[0044] 在本发明的另一简洁实施例中,第一时间阈值T1大于第二时间阈值T2,优选,T1>>T2,例如T1可为分钟级,T2可为毫秒级。
[0045] 综上,本发明实施例的基于知识图谱的信息安全系统,由于安全服务器将网络节点监测到的异常代码以知识图谱的形式进行呈现,包括将网络节点作为知识图谱的实体和两实体之间的关系为在第一时间阈值内存在相同的异常代码的方式进行一级呈现,以及通过点击一级呈现的图谱的任何一条关系边,则会进行二级呈现,该二级呈现包括呈现每个异常代码和按照出现该异常代码的时间关系排序的所有网络节点,以及它们之间的关系,从而能够使得用户直观地知道网络上哪些节点存在异常记录,异常记录主要包括哪些类型,能够实现可视化操作。
[0046] 以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉
本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行
修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以
权利要求的保护范围为准。
