技术领域
[0001] 本
发明涉及一种安全事件上报平台,具体涉及一种基于大数据的安全事件上报平台及方法。
背景技术
[0002] 随着互联网的发展,安全事件中的
人工智能处理越来越多,但现有的安全事件处理时中绝大部分还依赖于人工处理,人工处理效率慢,且不安全;而即使有人工智能进行辅助处理,但其通常只是简单自动化,其正确性不高,容易引起误报。
[0003] 现阶段各厂家扫描结果数据量大,需要人工将数据进行归纳分析,并通过人验证确认,费时费
力,从获取扫描结果到完成上报的生命周期相对较长,在这周期内,这些漏洞很可能已经对客户单位造成很多不必要的损失,因此缩小发现乃至上报整个流程的时间至关重要。
发明内容
[0005] 本发明要解决的技术问题是提供一种高效的基于大数据的安全事件上报平台及方法。
[0006] 为解决上述技术问题,本发明提供一种基于大数据的安全事件上报平台,包括原始数据模
块、安全事件分析模块、安全事件库和上报模块。
[0007] 所述原始数据模块可以接收来各厂商扫描器返回的扫描结果,并对数据进行清洗、过滤、整合处理,将接收到的存在关联性的数据,通过关联补齐后形成完整的数据。
[0008] 所述安全事件分析模块,内置有对安全事件进行匹配分析的多种安全事件模型;
[0009] 所述安全事件库通过安全事件分析模型验证分析后,经过规范化、标准化处理,依据
时空、区域分类
整理,统一存储在安全事件库中并做
可视化展示,动态
感知安全事件发生情况并可做初步感知预测。
[0010] 所述上报模块可在平台配置上报的区域、时间,并可添加上报白名单、重点关注某单位关注
网站的安全性,实现选择性上报。
[0011] 本发明还提供一种基于大数据的安全事件上报方法:包括以下步骤:
[0012] 步骤1)、根据平台制定的安全事件字段标准,接收本地、
云端以及第三方扫描设备推送的原始扫描数据,经过
数据集市对数据进行治理,形成规范的有效数据,亦可依靠
机器学习发现衍生事件或者其他漏洞威胁。
[0013] 步骤2)、安全事件分析模块,内置有对安全事件进行匹配分析的多种安全事件模型,对扫描结果逐一进行匹配分析,得出全面的安全事件分析报告。
[0014] 步骤3)、安全事件库通过安全事件分析模型验证分析后的事件,转至安全事件库分类存储,基于区域(城市)、数量、趋势、类型等多维度,做可视化展示,直观呈现安全事件现状,感知、预测未来的安全事件发生可能性,提起防范、提前预警。
[0015] 步骤4)、已经通过验证并上传附近截图的安全事件、也可在上报模块查询获取。可针对特定安全事件人工上报,也通过设置上报的区域(可精确到县级),时间、
频率、黑名单、白名单等参数,结合上级上报要求以及下级单位上报意愿等因素,选择性的上报安全事件。
[0016] 作为对本发明基于大数据的安全事件上报平台的基于大数据的安全事件上报方法的进一步改进:
[0017] 步骤2)中:
[0018] 安全事件模型包括:黑页模型、暗链模型、反共模型、博彩模型、色情模型、非法广告模型、后
门模型、钓鱼模型、挂
马模型;
[0019] 对网站的页面快照、页面源码、敏感词、可用性汇总,通过对爬行下来的页面上的特征,与各安全事件模型中特征库里的特征进行匹配,从而发现被篡改的页面、通过浏览器ua获得两次结果进行对比,抓取被篡改的部分,安全事件模型分析被篡改的内容是属于什么类型。
[0020] 作为对本发明基于大数据的安全事件上报平台的基于大数据的安全事件上报方法的进一步改进:
[0021] 步骤2)中:
[0022] 安全事件模型内部规则库的字段包括事件类别、网站类型、网站名称、网站URL、(源、目的)ip地址、发生时间、类型标识、网站管辖地所属、备注信息、附件截图。
[0023] 作为对本发明基于大数据的安全事件上报平台的基于大数据的安全事件上报方法的进一步改进:
[0024] 在步骤4)中:在上报模块配置上报的区域、时间,并可添加上报白名单、重点关注某单位关注网站的安全性,实现选择性上报;遇到己方客户不希望上报的情况,亦可添加上报黑名单,规避上报
风险保护客户切身利益。
[0025] 本发明基于大数据的安全事件上报平台及方法的技术优势为:
[0026] 本发明可以显著提高安全事件上报的持续性、准确性,保证安全事件发现上报的实时性,减少人工发现、验证分析的时间。第一时间通报相关单位、规避不必要的风险,减小损失。通过大数据安全事件上报平台快速利用原始扫描结果,自动化、准确的满足上级部门上报安全事件的要求。完全释放了因扫描数据量巨大、格式复杂带来的人工压力,解放了大量验证分析时间,同时也避免了同一网站多次上报的情况发生。
[0027] 关键点:
[0028] 1、基于统一的安全事件字段标准,能够对获取的原始扫描数据进行快速、准确的治理
[0029] 2、可以自定义安全事件规则,动态调整匹配;
[0030] 3、安全事件可通过模型自动验证分析安全事件,降低误报率。
[0031] 保护点:
[0032] 1、形成一个集成型安全事件平台,统一高效的管理安全事件,并感知预测安全事件的发生,尽可能规避网站风险;
[0033] 2、保护下级单位形象,保证上报唯一性,避免同一安全事件多次上报。
附图说明
[0034] 下面结合附图对本发明的具体实施方式作进一步详细说明。
[0035] 图1为本发明基于大数据的安全事件上报平台的流程示意图;
[0036] 图2为数据分析的流程示意图;
[0037] 图3为事件规则、数据流转的流程示意图;
[0038] 图4为事件可视化展示的示意图。
具体实施方式
[0039] 下面结合具体
实施例对本发明进行进一步描述,但本发明的保护范围并不仅限于此。
[0040] 实施例1、基于大数据的安全事件上报平台及方法,如图1-4所示,包括原始数据模块、安全事件分析模块、安全事件库和上报模块。
[0041] (1)本地、云端以及第三方扫描设备通过人工途径或者其他方式获取到的已确认的安全事件,可以直接存储到安全事件库中;本地、云端以及第三方扫描设备通过人工途径或者其他方式获取到的未确认的安全事件作为原始扫描数据发送给原始数据模块,原始数据模块对数据进行清洗、过滤、整合处理,将接收到的存在关联性的数据,通过关联补齐后形成汇总数据。原始数据通过基于数据流方法的引擎和基于物化或ETL方法的引擎对数据清洗、去重、数据关联集成得到汇总数据。通过对已存在安全事件的网站进行持续关注分析,挖掘衍生漏洞、事件。总结网站发生事件的时间规律、典型突破口规律等得到汇总数据从而得到汇总数据中的时间汇总、衍生事件、其他发现。
[0042] 原始扫描数据包括网站隐患信息、网站关联信息、区域归属信息和时间流转信息。
[0043] (2)安全事件分析模块,内置有对安全事件进行匹配分析的多种安全事件模型,目前平台支持的固定模型有9种:黑页模型、暗链模型、反共模型、博彩模型、色情模型、非法广告模型、后门模型、钓鱼模型、挂马模型,会对汇总数据逐一进行匹配分析,得出全面的安全事件分析报告。
[0044] 监测汇总的数据现阶段主要是指的针对某一网站的页面快照、页面源码、敏感词、可用性汇总,通过对爬行下来的页面上的特征,与各安全事件模型中特征库里的特征进行匹配,从而发现被篡改的页面、通过浏览器ua获得两次结果进行对比,抓取被篡改的部分,多种安全事件模型分析被篡改的内容是属于什么类型。
[0045] 安全事件模型也支持
修改,平台专家可自定义安全事件模型内部的规则库,调整自动验证某一类安全事件的效率。安全事件模型的内部规则库(内部规则库是安全事件模型的子集)主要包含以下几个字段:事件类别、网站类型、网站名称、网站URL、(源、目的)ip地址、发生时间、类型标识、网站管辖地所属、备注信息、附件截图。使用安全事件模型逐一对数据经过严格的分析验证后、排除误报率,生成安全事件报告。
[0046] (3)安全事件库,通过安全事件分析模型验证分析后得到的全面的安全事件分析报告,经过规范化、标准化处理,依据区域归属信息和时间流转信息分类整理,统一存储在安全事件库中并做可视化展示,动态感知安全事件发生情况并可做初步感知预测。初步感知预测为:通过对发生安全事件的时间、区域、发生规律、主要类型的统计,感知安全事件的发生。
[0047] 通过对安全事件库中的事件发生时间、区域、发生规律进行统计和可视化展示,预判之后可能会发生的时间、区域、以及规律。IP维度:对收集到的一段时间内的海量安全事件的报送IP地址进行熵值计算,得到这些安全事件报送IP聚合度的变化幅度,以此来刻画这段时间内这些安全事件所属网络的安全状态,并预测下一步的整体的安全事件发生走势。
[0048] 通过安全事件分析模型验证分析后的事件,转至安全事件库分类存储,基于区域(城市)、数量、趋势、类型等多维度,做可视化展示,直观呈现安全事件现状,感知、预测未来的安全事件发生可能性,提起防范、提前预警。
[0049] (4)上报模块,可在平台配置上报的区域、时间,并可添加上报白名单、重点关注某单位关注网站的安全性,实现选择性上报。遇到己方客户不希望上报的情况,亦可添加上报黑名单,规避上报风险保护客户切身利益。
[0050] 已经通过验证的安全事件、也可在上报模块查询获取。可针对特定安全事件人工上报并人工上传相应截图,也通过设置上报的区域(可精确到县级),时间、频率、黑名单、白名单等参数,结合上级上报要求以及下级单位上报意愿等因素,选择性的上报安全事件。
[0051] 具体包括以下步骤:
[0052] 步骤1)、根据平台制定的安全事件字段标准,接收本地、云端以及第三方扫描设备推送的原始扫描数据,经过数据集市对数据进行治理,形成规范的有效数据,亦可依靠机器学习发现衍生事件或者其他漏洞威胁。
[0053] 步骤2)、安全事件分析模块,内置有对安全事件进行匹配分析的多种安全事件模型,对扫描结果逐一进行匹配分析,得出全面的安全事件分析报告。
[0054] 步骤3)、安全事件库通过安全事件分析模型验证分析后的事件,转至安全事件库分类存储,基于区域(城市)、数量、趋势、类型等多维度,做可视化展示,直观呈现安全事件现状,感知、预测未来的安全事件发生可能性,提起防范、提前预警。
[0055] 步骤4)、已经通过验证并上传附近截图的安全事件、也可在上报模块查询获取。可针对特定安全事件人工上报,也通过设置上报的区域(可精确到县级),时间、频率、黑名单、白名单等参数,结合上级上报要求以及下级单位上报意愿等因素,选择性的上报安全事件。
[0056] 术语1:
[0057] 安全事件上报平台——此平台支持接收各厂商扫描结果,进行清洗/过滤后将数据规范化、标准化,做时空、区域关联。通过安全事件分析模型形成准确安全事件报告,并可通过配置上报黑白名单,实现安全事件选择性自动上报。
[0058] 术语2:
[0059] 安全事件字段标准——由GA部初拟各大厂商参与商讨的各类安全事件字段规范,具有统一性和规范性,易于实现安全事件标准化、规范化以及安全事件传输。
[0060] 术语3:
[0061] 大数据分析模型——接收清洗整合后的扫描结果,经过内嵌的篡改分析模型、暗链分析模型等数据模型自动验证分析后确认网站是否真实存在暗链、篡改、黑页等威胁,形成安全事件验证报告,附有验证过程以及截图,保证事件100%存在。
[0062] 某G部门想常年关注全国各网站网络安全情况,需要准确、实时收集各厂家发现的安全事件并通报。A厂商可通过大数据安全事件通报平台自动化验证分析,快速准确的将安全事件上报给G部门,满足G部门对全国各厂商的安全事件上报要求,并在平台统一汇总管理安全事件,掌握安全事件动态。
[0063] 接入某C厂家的扫描数据(全省扫描),使用大数据安全事件上报平台,通过配置上报区域为某市,在平台确认已上报的安全事件区域是否准确,并人工确认上报的安全事件是否100%准确。
[0064] 最后,还需要注意的是,以上列举的仅是本发明的若干个具体实施例。显然,本发明不限于以上实施例,还可以有许多
变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
