技术领域
[0001] 本
发明涉及网络安全技术领域,尤其是一体化网络安全态势感知方法、装置及计算机设备。
背景技术
[0002] 随着网络的不断发展壮大,传统网络
基础环境发生了较大改变,网络结构更加复杂、边界更加模糊,各种新的安全
风险更多,公司网络与信息安全面临的形势日益严峻复杂,
[0003] 态势感知(Situation Awareness)技术是指在特定的时间和空间下,对环境中各元素或对象进行觉察、理解以及对未来状态预测。将态势感知技术用于自动化及人机
接口系统中时,觉察(Preception)是指检测和获取环境中的重要线索或元素;理解(Comprehension)是指整合觉察到的数据和信息,分析其相关性;预测(Projection)是指基于对环境信息的感知和理解,预测未来的发展趋势。
[0004] 随着信息化的不断推进,以产业互联网为代表的新型产业模式发展势头迅猛,“互联网+”已成为我国经济社会发展的新形态,
电网系统是国家最重要的关键信息基础设施。一旦遭受网络攻击,将严重影响国家经济正常发展,损失不可估量。为了国民资产不受损失,保证良好的经济运作,如何建立完善的关键信息基础一体化态势感知及设施防护体系,实现全天候全方位的态势感知和有效防护,保障我国关键信息基础安全,成为目前亟待解决的问题。
发明内容
[0005] 本发明的目的是提供一体化网络安全态势感知方法、装置及计算机设备,实现网络全方位态势感知并作出响应,为公司的安全运维带来了便利,为信息安全的持续提升提供了技术和数据
支撑。
[0006] 为实现上述目的,本发明采用下述技术方案:
[0007] 本发明第一方面提供了一体化网络安全态势感知方法,包括以下步骤:
[0008] 通过对接网络中的各类安全设备、子系统、安全数据源来获取被监护资产对象以及作为监测管控引擎的安全设备所产生的各类安全信息;
[0009] 根据所述安全信息数据分析被监护资产对象及业务对象受到攻击威胁和自身风险程度,比对外部威胁情报与内部安全信息,得到网络安全态势;
[0010] 通过攻击感知、风险感知、漏洞感知、威胁感知、资产感知、运行感知对安全态势进行呈现;
[0011] 根据所述网络安全态势,按照预设的应急处置方案进行面向安全运维的预警通告及处置。
[0012] 结合第一方面,在第一方面第一种可能的实现方式中,所述通过对接网络中的各类安全设备、子系统、安全数据源来获取被监护资产对象以及作为监测管控引擎的安全设备所产生的各类安全信息,具体包括:
[0013] 采集各类设备或安全子系统上报的异构事件日志,并行实现对结构化以及非结构化海量安全日志信息的采集;
[0014] 对采集的各种日志进行范式化处理,使用系统提供的范式化字段和/或备用扩展字段将多源日志转换成的统一的描述形式;
[0015] 对格式化的日志数据进行索引,同时对原始日志文本全文进行词元提取,并对提取的词元进行索引,实现对格式化字段和全文的索引。
[0016] 结合第一方面,在第一方面第二种可能的实现方式中,所述根据所述安全信息数据分析被监护资产对象及业务对象受到攻击威胁和自身风险程度,比对外部威胁情报与内部安全信息,得到网络安全态势,具体包括:
[0017] 基于
大数据架构的
数据处理技术,采用分布式的信息处理及索引
节点,将比对分析处理任务分摊至若干个处理节点并行运算,由管理中心节点对处理结果统筹和调取。
[0018] 结合第一方面,在第一方面第三种可能的实现方式中,所述基于大数据架构的数据处理技术,采用分布式的信息处理及索引节点,将比对分析处理任务分摊至若干个处理节点并行运算,由管理中心节点对处理结果统筹和调取,具体包括:
[0019] 使用包括但不限于流式计算引擎、CEP引擎、挖掘分析引擎、全文检索引擎、关联分析引擎、情境计算引擎和回溯引擎的数据分析处理引擎进行具体的大规模数据统计以及威胁隐患分析和台式分析,包括批量统计分析、风险计算分析、实时/历史关联分析、威胁KPI分析、趋势分析、全文检索分析。
[0020] 结合第一方面,在第一方面第四种可能的实现方式中,所述通过攻击感知、风险感知、漏洞感知、威胁感知、资产感知、运行感知对安全态势进行呈现,具体包括:
[0021] 对所有攻击行为的来源、目标、规模、影响和结果进行
可视化呈现;
[0022] 对综合安全态势进行可视化呈现;
[0023] 梳理资产及业务对象,并从被监管资产和业务对象
角度呈现安全态势;
[0024] 对网络中各层面暴露的和大概率被利用的弱点及脆弱性信息进行可视化呈现;
[0025] 对潜在威胁源、外部攻击威胁情报、外部漏洞情报进行可视化呈现;
[0026] 从资产及业务系统的异常及威胁信息及运行日志中对资产及业务运行态势进行呈现。
[0027] 结合第一方面,在第一方面第五种可能的实现方式中,所述根据所述网络安全态势,按照预设的应急处置方案进行面向安全运维的预警通告及处置,具体包括:
[0028] 通过触发规则来触发告警或预警,将各种类型的安全信息或态势分析结果作为条件来触发告警或预警;
[0029] 通过多种通告方式将触发的告警和预警信息通知相关责任人员。
[0030] 本发明第二方面提供了一体化网络安全态势感知装置,包括:
[0031] 安全信息获取模
块,通过对接网络中的各类安全设备、子系统、安全数据源来获取被监护资产对象以及作为监测管控引擎的安全设备所产生的各类安全信息;
[0032] 网络安全态势获取模块,根据所述安全信息数据分析被监护资产对象及业务对象受到攻击威胁和自身风险程度,比对外部威胁情报与内部安全信息,得到网络安全态势;
[0033] 安全态势呈现模块,通过攻击感知、风险感知、漏洞感知、威胁感知、资产感知、运行感知对安全态势进行呈现;
[0034] 预警通告处理模块,根据所述网络安全态势,按照预设的应急处置方案进行面向安全运维的预警通告及处置。
[0035] 本发明第二方面的所述一体化网络安全态势感知装置能够实现第一方面的方法,并取得相同的效果。
[0036] 本发明第三方面提供了一种计算机设备,包括处理器和与所述处理器连接的
存储器,所述存储器存储有多条指令,所述指令可被所述处理器加载并执行,以使所述处理器能够执行网络安全态势感知方法。
[0037] 发明内容中提供的效果仅仅是
实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
[0038] 本发明提供的一体化网络安全态势感知方法、装置和计算机设备,通过对全网各类海量安全要素信息的集中获取,并在此基础上面向防护对象进行态势感知分析和呈现,然后通过各种类型的安全信息或态势分析结果作为条件来触发告警或预警,最后通告相关人员,快速做出响应,形成了感知、分析、预警和快速处置一体化智能化的态势感知系统。所以,采用本发明提供的一体化网络安全态势感知系统,可以实现网络全方位态势感知并作出响应,为公司的安全运维带来了便利,为信息安全的持续提升提供了技术和数据支撑。
附图说明
[0040] 图2是本发明装置实施例示意图。
具体实施方式
[0041] 为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
[0042] 本发明提供的方法可以在如下的终端环境中实施,该终端可以包括一个或多个如下部件:处理器、存储器和显示屏。其中,存储器中存储有至少一条指令,所述指令由处理器加载并执行以实现下述实施例所述的网络安全态势感知方法。
[0043] 处理器可以包括一个或者多个处理核心。处理器利用各种接口和线路连接整个终端内的各个部分,通过运行或执行存储在存储器内的指令、程序、代码集或指令集,以及调用存储在存储器内的数据,执行终端的各种功能和处理数据。
[0044] 存储器可以包括随机存储器(Random Access Memory,RAM),也可以包括
只读存储器(Read-Only Memory)。存储器可用于存储指令、程序、代码、代码集或指令。
[0045] 显示屏用于显示各个应用程序的
用户界面。
[0046] 除此之外,本领域技术人员可以理解,上述终端的结构并不构成对终端的限定,终端可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。比如,终端中还包括射频
电路、输入单元、
传感器、音频电路、电源等部件,在此不再赘述。
[0047] 如图1所示,一体化网络安全态势感知方法,包括以下步骤:
[0048] S1、通过对接网络中的各类安全设备、子系统、安全数据源来获取被监护资产对象以及作为监测管控引擎的安全设备所产生的各类安全信息;
[0049] S2、根据所述安全信息数据分析被监护资产对象及业务对象受到攻击威胁和自身风险程度,比对外部威胁情报与内部安全信息,得到网络安全态势;
[0050] S3、通过攻击感知、风险感知、漏洞感知、威胁感知、资产感知、运行感知对安全态势进行呈现;
[0051] S4、根据所述网络安全态势,按照预设的应急处置方案进行面向安全运维的预警通告及处置。
[0052] 作为本发明的一个实施例,步骤S1中,通过对接网络中的各类安全设备、子系统、安全数据源来获取被监护资产对象以及作为监测管控引擎的安全设备所产生的各类安全信息,具体包括:
[0053] S11、采集各类设备或安全子系统上报的异构事件日志,并行实现对结构化以及非结构化海量安全日志信息的采集。
[0054] 网络安全态势感知系统通过对接网络中的各类安全设备、子系统、安全数据源来获取影响网络环境安全态势的各类安全要素信息,这其中包括有攻击类信息、对象弱点类信息、系统运行类信息以及外部威胁情报信息。
[0055] 其中,攻击类信息包括:网络层攻击信息、注入攻击信息、病毒攻击信息、缓冲区溢出攻击信息、分布式拒绝服务攻击信息;对象弱点类信息包括:系统漏洞信息、网络漏洞信息、配置弱点信息;系统运行类信息包括:状态异常信息、操作异常信息、流量
访问异常信息;外部威胁情报信息包括:漏洞情报信息、威胁情报信息。
[0056] 网络安全态势感知系统的数据获取部分负责获取网内被监护资产对象以及作为监测管控引擎的安全设备所产生的各类安全信息。
[0057] 安全数据获取模块除了可采集各类设备或安全子系统上报的异构事件日志外,还可并行实现对结构化以及非结构化海量安全信息的采集。其中结构化数据由一系列标准日志及结构化信息的采集服务接口实现对接,包括但不限于Syslog、SNMP Trap、WMI等,可采集的安全要素信息包括安全事件、运行日志以及性能数据等信息。非结构化数据由一系列文档或文件采集API组成,可采集脆弱性结果、WEB/XML/文本等信息以及各类情报数据。
[0058] 系统可以综合采用多种技术手段,充分适应用户实际网络环境的运行情况,采集用户网络中分散在各个
位置的各种厂商、各种类型的海量日志。系统可以内置对业界大部分常见厂商和设备类型的日志支持,对于目前暂不支持的管理对象,系统还可以提供方便灵活的扩展机制。只要获得管理对象的日志样本以及通讯协议方式,编写一份XML格式日志解析文件,导入系统,即可获得对该管理对象的日志采集能
力,无需编码。
[0059] 为了最大程度地采集各种厂商、各种类型的日志信息,系统没有强求管理对象必须具备什么日志协议,而是支持通过多种协议方式采集日志。这些协议包括并不仅限于:Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、VIP、Web Service等等。
[0060] 本发明中,网络安全态势感知系统可以自带日志采集功能,同时也支持在用户网络中分布式部署多个日志采集器,就近采集管理对象的日志信息,并进行日志的范式化、分类、过滤和归并,然后汇聚到管理中心,从而实现对分散管理对象的日志采集,并有效降低网络中日志流的带宽占用。
[0061] S12、对采集的各种日志进行范式化处理,使用系统提供的范式化字段和/或备用扩展字段将多源日志转换成的统一的描述形式。
[0062] 本发明中,系统对收集的各种日志可以进行范式化处理,将各种不同表达方式的日志转换成的统一的描述形式。分析人员不必再去熟悉不同厂商不同的日志信息,从而大大提升分析和审计工作效率。系统提供的范式化字段包括日志接收时间、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、日志的事件名称、
摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等,除此之外系统还可以提供多个备用字段,供高级日志分析人员分析时使用,字段数量可以有几十个,并且可以根据安全管理人员的需要进行数量扩展,提供更强大的日志描述信息,使范式化后的日志详尽而易读,更能满足复杂的多维度统计分析和审计要求。安全技术人员还根据最佳实践和相关技术标准对每种日志进行了手工分类和分析工作,加入新的日志类型字段,丰富日志所蕴含的信息量,让枯燥的日志信息变的更可理解。
[0063] 另外,本发明中,系统可以将原始日志都原封不动的保存了下来,以备调查取证之用。
安全分析人员也可以直接对原始日志进行全文检索。
[0064] S13、对格式化的日志数据进行索引,同时对原始日志文本全文进行词元提取,并对提取的词元进行索引,实现对格式化字段和全文的索引。
[0065] 系统对格式化的日志数据进行索引,同时采用多样并具有弹性的词元收集方法,对原始日志文本全文进行分词,并对提取的词元进行索引,供后期搜索使用,实现对格式化字段和全文的索引。全文索引不限定原始日志的数据格式,可针对采集的异构的日志进行自动化分析,即使系统没有对采集的日志进行范式化描述,通过全文索引技术,系统依然可以为安全分析人员提供一个灵活方便的分析工具,大大提高使用系统的灵活便利性。
[0066] 在实际应用过程中,通过系统开放的各类信息采集接口对任何类型任何厂商的安全设备或系统监测到的安全数据进行采集汇总。通过丰富和高兼容度的信息采集接口实现安全数据的广泛采集,不限安全设备的厂商或型号,最终都将整合到平台的统一安全要素信息分析展现体系中,形成完整全面的一站式态势感知能力。
[0067] 系统可以对于各种监控对象进行全方位细粒度的监控,具有丰富的监控指标。管理员可以通过丰富的可视化图表查看监控指标信息;可以对监控指标设置告警
阀值;可以将监控指标的数据保存起来,并进行历史分析。
[0068] 系统安全要素采集层的下方是组织网络中各类各厂商的安全设备和系统,以及大量要被防护监控的IT资产。这些设备和资产所能产生的海量安全监控数据和运行日志,包括外部的威胁情报信息都将通过态势感知系统开放的各类信息采集接口进行采集汇总。这实现了态势感知中对可能影响安全态势要素信息获取的重要环节,即合理的整合了环境中已有或将建设的各类安全防护资源形成安全信息源,这也是完整的全方位态势感知系统的实现基础。
[0069] 作为本发明的一个实施例,步骤S2中,根据所述安全信息数据分析被监护资产对象及业务对象受到攻击威胁和自身风险程度,比对外部威胁情报与内部安全信息,得到网络安全态势,具体包括:
[0070] 基于大数据架构的数据处理技术,采用分布式的信息处理及索引节点,将比对分析处理任务分摊至若干个处理节点并行运算,由管理中心节点对处理结果统筹和调取。
[0071] 在汇集了海量多方位安全要素信息的基础上,态势感知平台系统将综合这些数据,面向总体安全态势的认知和监测对数据进行分析,包括对资产及业务对象受到攻击威胁和自身风险程度的分析、复杂攻击的攻击过程及攻击目标分析、攻击的危害及影响范围分析、攻击威胁溯源分析、外部威胁情报与内部安全信息比对分析等。这些分析处理工作将为上层态势呈现提供数据和计算任务的支撑。
[0072] 安全态势分析模块提供了态势感知系统在安全监测、威胁分析和态势分析过程中所需要的大数据分析计算能力。该模块基于大数据架构的数据处理技术,采用分布式的信息处理及索引节点,可将繁重的分析处理任务分摊负载到若干个处理节点并行运算,并由管理中心节点对处理结果进行统筹和调取。该架构可根据数据分析的规模动态的拓展或缩减节点,具有良好的伸缩性,可根据实际的需求完成海量数据的分析处理。
[0073] 本发明中,为应对各类的分析运算场景,该模块可根据需要提供一系列数据分析处理引擎,包括但不限于流式计算引擎、CEP引擎、挖掘分析引擎、全文检索引擎、关联分析引擎、情境计算引擎和回溯引擎。在此基础之上可进行具体的大规模数据统计以及威胁隐患分析和态势分析,包括批量统计分析、风险计算分析、实时/历史关联分析、威胁KPI分析、趋势分析、全文检索分析等多种分析手段。所以,该模块所提供的各类分析引擎和分析处理能力是实现系统态势感知的重要运算分析支撑。
[0074] 作为本发明的一个实施例,步骤S3中,通过攻击感知、风险感知、漏洞感知、威胁感知、资产感知、运行感知对安全态势进行呈现,具体包括:
[0075] 对所有攻击行为的来源、目标、规模、影响和结果进行可视化呈现;
[0076] 对综合安全态势进行可视化呈现;
[0077] 梳理资产及业务对象,并从被监管资产和业务对象角度呈现安全态势;
[0078] 对网络中各层面暴露的和大概率被利用的弱点及脆弱性信息进行可视化呈现;
[0079] 对潜在威胁源、外部攻击威胁情报、外部漏洞情报进行可视化呈现;
[0080] 从资产及业务系统的异常及威胁信息及运行日志中对资产及业务运行态势进行呈现。
[0081] 在实际应用过程中,还可以将所有的安全要素信息的采集和处理都可以围绕上述六个主要维度进行展开,即在态势感知过程中所有的数据分析及可视化呈现都可以在对应的维度中进行,从而有助于把庞大复杂的态势感知信息处理体系进行分维度的理解和构建。
[0082] 作为本发明的一个实施例,步骤S4中,根据所述网络安全态势,按照预设的应急处置方案进行面向安全运维的预警通告及处置,具体包括:
[0083] S41、通过触发规则来触发告警或预警,将各种类型的安全信息或态势分析结果作为条件来触发告警或预警;
[0084] S42、通过多种通告方式将触发的告警和预警信息通知相关责任人员。
[0085] 态势感知系统通过态势分析以及态势呈现所发现的安全问题及相关预警可通过系统内置的预警通告及处置模块进行通告和处置。通过触发规则来触发告警或预警,各种类型的安全信息或态势分析结果作为条件来触发告警或预警,所触发的预警、告警信息有专
门的呈现界面,该界面可提供查询、溯源告警事件等功能,并支持图形化的呈现告警等级及趋势。
[0086] 预警通告及处置模块支持通过多种通告方式,将触发的告警和预警信息快速的通知相关责任人员,使相关人员实时得知安全威胁和态势预警,便于快速做出响应。所支持的通告方式包括:提示框、短信、邮件、脚本联动、飞鸽传书等。
[0087] 对于任何的告警、预警或安全事件的发生,态势感知系统都支持通过工单流处理的方式,将安全问题放在定义好的处置流程中,由
指定的人员和规范的步骤来操作。本发明中,各类告警、预警或安全问题都可以设定对应的处理流程,工单流程自动处置流转,直至问题的解决。通过工单系统,有助于协助用户利用标准化、流程化、自动化的方式来处理安全问题,并可以形成每一个安全问题的处理过程记录,形成处理档案,也可以作为相关问题处理的案例参考。
[0088] 如图2所示,一体化网络安全态势感知装置,包括:
[0089] 安全信息获取模块11,通过对接网络中的各类安全设备、子系统、安全数据源来获取被监护资产对象以及作为监测管控引擎的安全设备所产生的各类安全信息;
[0090] 网络安全态势获取模块12,根据所述安全信息数据分析被监护资产对象及业务对象受到攻击威胁和自身风险程度,比对外部威胁情报与内部安全信息,得到网络安全态势;
[0091] 安全态势呈现模块13,通过攻击感知、风险感知、漏洞感知、威胁感知、资产感知、运行感知对安全态势进行呈现;
[0092] 预警通告处理模块14,根据所述网络安全态势,按照预设的应急处置方案进行面向安全运维的预警通告及处置。
[0093] 本发明还提供一种计算机设备,包括处理器和与所述处理器连接的存储器,所述存储器存储有多条指令,所述指令可被所述处理器加载并执行,以使所述处理器能够执行上述实施例中网络安全态势感知方法。
[0094] 上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种
修改或
变形仍在本发明的保护范围以内。
