企业网络安全事件管理系统及其方法
企业网络安全事件管理系统及其方法
【技术领域】
[0001] 本发明设及网络安全,特别设及企业网络安全事件管理及预测。
【背景技术】
[0002] 随着企业信息化不断深入,计算机网络在企业内部起着越来越重要的作用。但由 于互连性、开放性等特征,使得计算机网络极易成为恶意攻击的目标和载体。企业网络安全 也越来越受到重视,为此,很多企业根据实际情况选择不同厂家的各类安全设备,构建符合 自身特点的安全体系。在实际使用过程中,网络中部署的各类安全设备都会产生大量的安 全事件和日志记录,但由于各类安全产品往往由不同的厂商提供,各类设备的数据格式存 储各有不同,导致各个安全设备的安全事件信息和安全日志信息的关联性缺失,使得网络 管理人员无法从该些孤岛数据中发现真正的安全威胁。
【发明内容】
[0003] 本发明所要解决的技术问题,就是提供一种企业网络安全事件管理系统及其方法 W实现对网络安全设备产生的网络信息安全事件和日志记录进行有效的采集和分析处理, 基于分析结果实现对安全设备联动防御策略的生成和管理,实现对网络安全态势的评估和 预测,W发现网络潜在安全问题并及时预警,避免网络安全设备的孤岛防御问题。。
[0004] 本发明解决所述技术问题,采用的技术方案是,企业网络安全事件管理系统,包括 安全设备,还包括安全事件数据采集模块、安全事件数据标准化模块、安全事件态势评估和 预测模块、安全设备管理联动防御策略生成模块、状态保护模块及系统管理模块;所述安全 设备分别与安全事件数据采集模块及状态保护模块连接,所述安全事件数据采集模块与安 全事件数据标准化模块连接,安全事件数据标准化模块分别与状态保护模块、安全事件态 势评估和预测模块及安全设备管理联动防御策略生成模块连接,安全事件态势评估与安全 设备管理联动防御策略生成模块连接,安全设备管理联动防御策略生成模块与系统管理模 块连接,系统管理模块与状态管理模块连接;
[0005] 所述系统管理模块,用于实现系统的用户账户管理及系统日志管理功能;
[0006] 所述安全事件数据采集模块,用于对企业网络中的安全设备产生的安全事件信息 进行自动采集;
[0007] 所述安全事件数据标准化模块,用于根据标准化数据模型对采集到的安全事件信 息进行格式化;
[0008] 所述安全事件态势评估和预测模块,用于对格式化安全事件信息进行分析得到网 络信息安全态势,同时对网络安全趋势进行预测;
[0009] 所述安全设备管理联动防御策略生成模块,用于结合网络信息安全态势及预测的 网络安全趋势对各安全设备部署的安全应用策略进行关联分析,生成联动防御策略;
[0010] 所述状态保护模块,用于存储安全设备在不同工作状态下的配置文件,当安全设 备需要恢复某一工作状态时,系统从状态保护模块中调用该状态下的配置文件。
[0011] 具体的,还包括预警模块,所述预警模块分别与安全事件态势评估和预测模块及 安全设备管理联动防御策略生成模块连接;
[0012] 所述预警模块,用于根据安全事件态势评估和预测模块预测的网络安全趋势及安 全设备管理联动防御策略生成模块提供的防御策略进行预警提醒。
[0013] 进一步的,还包括GUI交互界面模块,GUI交互界面模块分别与系统管理模块及预 警模块连接,所述GUI交互界面模炔基于B/S架构;
[0014] 所述GUI交互界面模块,用于进行系统工作状态信息展示及用户操作交互。
[0015] 具体的,所述各类型安全设备产生的安全事件信息的格式标准模型为一个15元 组,具体如下:
[0016] devid;安全设备Id标识,由系统管理员统一配置,入库类型为Int;
[0017] devName;安全设备名称,由系统管理员统一配置,入库类型为String;
[0018] devManufac化re;安全设备厂商,由系统管理员统一配置,入库类型为String;
[0019] devVersion;安全设备版本号,由系统管理员统一配置,入库类型为String;
[0020] devClassify;安全设备详细分类,由系统管理员统一配置,入库类型为String;
[0021] aledName;报警事件名称,由各类安全设备独立生成,入库类型为String;
[002引 event册L;报警事件设及的册L信息,入库类型为String;
[0023] sourcelP;报警事件设及的源IP地址,入库类型为Int;
[0024] sourcePort;报警事件设及的源端口号,入库类型为Int;
[00巧]targetid;报警事件设及的目的IP地址,入库类型为Int;
[0026] targe巧ort;报警事件设及的目的端口号,入库类型为Int;
[0027] even巧rotocol;报警事件设及的协议类型,入库类型为化um;
[0028] evaluateRating;报警事件的风险等级评估,由系统管理员根据安全设备情况统 一配置,入库类型为化um;
[0029] timestamp;报警事件时间信息,入库类型为String;
[0030] in化Details;报警事件详细信息,入库类型为String;
[0031] 具体的,所述安全事件数据采集模块还设置有预留扩展接口。
[0032] 进一步的,所述预留扩展接口至少包括安全事件上报接口及屯、跳同步接口;
[0033] 所述安全设备通过安全事件上报接口完成安全事件数据汇集;
[0034] 所述安全设备通过屯、跳同步接口注册设备并启动屯、跳同步检测。
[00巧]具体的,所述安全事件态势评估和预测模块至少用于从安全威胁类型、威胁程度、 威胁来源、威胁目标四个方面,分别对网络总体安全态势、服务器安全态势和网络终端安全 态势进行总结评估。
[0036] 具体的,所述安全事件态势评估和预测模块至少包括通过化ct-Factor算法建立 的预测模型,所述预测模型W社会学行为惯性定律为基础,将自然天分类为工作日、周末W 及假期=种类型,并分别采用=种类型的历史数据对未来的可能发展趋势进行分类预测, 预测公式如下:
[0037]
[003引其中,a+P= 1,i为当前日期;
[0039]EvaluateValuew;为待预测日期i+1的某类型安全事件取值,如需预测更多日期 的取值,可参照该算法迭代;FactValuei为从安全设备采集到的第i日的被预测类的安全 事件统计数据。
[0040] 企业网络安全事件管理方法,包括W下步骤:
[0041] 步骤1、系统对企业网络中的安全设备产生的安全事件信息进行自动采集;
[0042] 步骤2、系统对采集到的安全事件信息进行标准化格式转换;
[0043] 步骤3、系统对标准化格式转换后的安全事件信息进行分析得到网络信息安全态 势,同时对网络安全趋势进行预测;
[0044] 步骤4、系统根据结合网络信息安全态势及预测的网络安全趋势对各安全设备部 署的安全应用策略进行关联分析,生成联动防御策略,并将其下发至安全设备。
[0045] 具体的,还包括系统存储安全设备在不同工作状态下的配置文件,当安全设备需 要恢复某一工作状态时,系统调用存储中该状态下的配置文件。
[0046] 具体的,还包括系统根据安全设备管理联动防御策略生成模块提供的防御策略进 行预警提醒。
[0047] 具体的,还包括系统通过GUI交互界面进行系统工作状态信息展示及用户操作交 互。
[0048] 具体的,所述步骤1中,系统通过预留扩展接口对企业网络中的安全设备产生的 安全事件信息进行自动采集。
[0049] 具体的,所述步骤2中,所述步骤2中,系统根据各类型安全设备产生的安全事件 信息的格式标准模型对采集到的安全事件信息进行标准化格式转换,各类型安全设备产生 的安全事件信息的格式标准模型为一个15元组,具体如下:
[0050]devid;安全设备Id标识,由系统管理员统一配置,入库类型为Int;
[0051]devName ;安全设备名称,由系统管理员统一配置,入库类型为String ;
[0052]devManufac化re;安全设备厂商,由系统管理员统一配置 ,入库类型为String;
[0053]devVersion;安全设备版本号,由系统管理员统一配置,入库类型为String;
[0054]devClassify;安全设备详细分类,由系统管理员统一配置,入库类型为String; [00巧]aledName;报警事件名称,由各类安全设备独立生成,入库类型为String;
[0056]event册L ;报警事件设及的册L信息,入库类型为String ;
[0057]sourcelP;报警事件设及的源IP地址,入库类型为Int;
[0058]sourcePort ;报警事件设及的源端口号,入库类型为Int ;
[0059]targetid ;报警事件设及的目的IP地址,入库类型为Int ;
[0060]targe巧ort;报警事件设及的目的端口号,入库类型为Int;
[0061]even巧rotocol;报警事件设及的协议类型,入库类型为化um ;
[006引 evaluateRating ;报警事件的风险等级评估,由系统管理员根据安全设备情况统 一配置,入库类型为化um;
[006引timestamp;报警事件时间信息,入库类型为String;
[0064]in化Details;报警事件详细信息,入库类型为String。
[0065] 进一步的,所述预留扩展接口至少包括安全事件上报接口及屯、跳同步接口;
[0066] 所述安全设备通过安全事件上报接口完成安全事件数据汇集;
[0067] 所述安全设备通过屯、跳同步接口注册设备并启动屯、跳同步检测。
[0068] 具体的,所述步骤3中,系统从安全威胁类型、威胁程度、威胁来源及威胁目标四 个方面,分别对网络总体安全态势、服务器安全态势及网络终端安全态势进行总结评估。
[0069] 具体的,所述步骤3中,系统通过化ct-Factor算法建立的预测模型对网络安全趋 势进行预测;
[0070] 所述预测模型W社会学行为惯性定律为基础,将自然天分类为工作日、周末W及 假期=种类型,并分别采用=种类型的历史数据对未来的可能发展趋势进行分类预测,预 测公式如下:
[0071]
[007引其中,曰+0 = 1,i为当前日期;
[007引 EvaluateValuew;为待预测日期i+1的某类型安全事件取值,如需预测更多日期 的取值,可参照该算法迭代;
[0074] FactValuei为从安全设备采集到的第i日的被预测类的安全事件统计数据。
[00巧]本发明的有益效果是:通过对企业网络中部署的安全设备进行管理,对安全设备 产生的安全事件信息和日志记录进行标准化汇聚和采集,形成可供进一步分析和使用的网 络安全事件信息库。在此基础上,实现对安全设备联动防御策略的生成和管理,实现对网络 信息安全态势的评估和预测,W发现网络潜在安全问题并及时预警。
[0076] 为了兼容后续部署的安全设备,安全事件信息标准化数据采集模块提供预留扩展 接口,允许网络上的安全设备主动向管理平台提供安全事件信息。数据采集预留扩展接口 包括安全事件上报接口W及屯、跳同步接口,设备通过屯、跳同步接口注册设备并启动屯、跳同 步检测,通过安全事件上报接口完成安全事件数据汇集。
[0077]另外,安全事件信息标准化数据模型设计了一种用于采集各类型安全设备产生的 安全事件信息的格式标准,具有很好的通用性。
[0078] 同时,网络信息安全态势预测模块根据安全威胁类型 (WAF,IPS,DOS,MaliciousU化,Virus}的相关事件信息,利用化ct-Factor算法建立预测模 型,并在安全管理平台运行过程中不断对模型进行训练和修正,W实现网络信息安全态势 预测功能并不断提高预测的准确性。
[0079]另外,状态保护模块,用于存储安全设备在不同工作状态下的配置文件,当安全设 备需要恢复某一工作状态时,系统从状态保护模块中调用该状态下的配置文件。
【附图说明】
[0080]图1为本发明企业网络安全事件管理系统及其方法实施例的系统框图;
[0081] 图2为本发明企业网络安全事件管理系统及其方法实施例的网络安全事件管理 系统网络拓扑结构图;
[0082] 图3为本发明企业网络安全事件管理系统及其方法实施例的数据采集接口工作 流程图;
[0083] 图4为本发明企业网络安全事件管理系统及其方法实施例的网络信息安全态势 评估逻辑图;
[0084] 图5为本发明企业网络安全事件管理系统及其方法实施例的网络信息安全态势 预测接口工作流程图;
[0085] 图6为本发明企业网络安全事件管理系统及其方法实施例的安全管理平台B/S= 层架构图。
【具体实施方式】
[0086] 下面结合附图及实施例详细描述本发明的技术方案:
[0087] 本发明针对现有技术中网络中部署的各类安全设备都会产生大量的安全事件和 日志记录,但由于各类安全产品往往由不同的厂商提供,各类设备的数据格式存储各有不 同,导致各个安全设备的安全事件信息和安全日志信息的关联性缺失,使得网络管理人员 无法从该些孤岛数据中发现真正的安全威胁的问题,提供一种企业网络安全事件管理系 统,包括安全设备,还包括安全事件数据采集模块、安全事件数据标准化模块、安全事件态 势评估和预测模块、安全设备管理联动防御策略生成模块、状态保护模块及系统管理模块; 所述安全设备分别与安全事件数据采集模块及状态保护模块连接,所述安全事件数据采集 模块与安全事件数据标准化模块连接,安全事件数据标准化模块分别与状态保护模块、安 全事件态势评估和预测模块及安全设备管理联动防御策略生成模块连接,安全事件态势评 估与安全设备管理联动防御策略生成模块连接,安全设备管理联动防御策略生成模块与 系统管理模块连接,系统管理模块与状态管理模块连接;所述系统管理模块,用于实现系 统的用户账户管理及系统日志管理功能;所述安全事件数据采集模块,用于对企业网络中 的安全设备产生的安全事件信息进行自动采集;所述安全事件数据标准化模块,用于根据 各类型安全设备产生的安全事件信息的格式标准模型对采集到的安全事件信息进行格式 化;所述安全事件态势评估和预测模块,用于对格式化安全事件信息进行分析得到网络信 息安全态势,同时对网络安全趋势进行预测;所述安全设备管理联动防御策略生成模块,用 于结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的安全应用策略进行 关联分析,生成联动防御策略;所述状态保护模块,用于存储安全设备在不同工作状态下的 配置文件,当安全设备需要恢复某一工作状态时,系统从状态保护模块中调用该状态下的 配置文件。企业网络安全事件管理方法,首先,系统对企业网络中的安全设备产生的安全 事件信息进行自动采集;其次,系统对采集到的安全事件信息进行标准化格式转换;然后, 系统对标准化格式转换后的安全事件信息进行分析得到网络信息安全态势,同时对网络安 全趋势进行预测;最后,系统根据结合网络信息安全态势及预测的网络安全趋势对各安全 设备部署的安全应用策略进行关联分析,生成联动防御策略,并将其下发至安全设备。通 过对企业网络中部署的安全设备进行管理,对安全设备产生的安全事件信息和日志记录进 行标准化汇聚和采集,形成可供进一步分析和使用的网络安全事件信息库。在此基础上, 实现对安全设备联动防御策略的生成和管理,实现对网络信息安全态势的评估和预测,W 发现网络潜在安全问题并及时预警。为了兼容后续部署的安全设备,安全事件信息标准化 数据采集模块提供预留扩展接口,允许网络上的安全设备主动向管理平台提供安全事件信 息。数据采集预留扩展接口包括安全事件上报接口W及屯、跳同步接口,设备通过屯、跳同步 接口注册设备并启动屯、跳同步检测,通过安全事件上报接口完成安全事件数据汇集。另 夕F,安全事件信息标准化数据模型设计了一种用于采集各类型安全设备产生的安全事件信 息的格式标准,具有很好的通用性。同时,网络信息安全态势预测模块根据安全威胁类型 (WAF,IPS,DOS,MaliciousU化,Virus}的相关事件信息,利用化ct-Factor算法建立预测模 型,并在安全管理平台运行过程中不断对模型进行训练和修正,W实现网络信息安全态势 预测功能并不断提高预测的准确性。另外,状态保护模块,用于存储安全设备在不同工作状 态下的配置文件,当安全设备需要恢复某一工作状态时,系统从状态保护模块中调用该状 态下 的配置文件。
[008引实施例
[0089] 本例的企业网络安全事件管理系统主要对企业网络中部署的安全设备进行管理, 通过对安全设备产生的安全事件信息和日志记录进行标准化汇聚和采集,形成可供进一步 分析和使用的网络安全事件信息库。在此基础上,实现对安全设备联动防御策略的生成和 管理,实现对网络信息安全态势的评估和预测,W发现网络潜在安全问题并及时预警。
[0090] 企业网络安全事件管理系统为B/S交互式系统,平台后端运行在独立的服务器之 上,用户通过浏览器访问平台前端发布的GUI交互界面,并通过该界面应用平台功能。
[0091] 网络安全管理平台系统架构,如图1所示,包括安全设备、安全事件数据采集模 块、安全事件数据标准化模块、安全事件态势评估和预测模块、安全设备管理联动防御策略 生成模块、状态保护模块及系统管理模块;所述安全设备分别与安全事件数据采集模块及 状态保护模块连接,所述安全事件数据采集模块与安全事件数据标准化模块连接,安全事 件数据标准化模块分别与状态保护模块、安全事件态势评估和预测模块及安全设备管理联 动防御策略生成模块连接,安全事件态势评估与安全设备管理联动防御策略生成模块连 接,安全设备管理联动防御策略生成模块与系统管理模块连接,系统管理模块与状态管理 模块连接;所述系统管理模块,用于实现系统的用户账户管理及系统日志管理功能;所述 安全事件数据采集模块,用于对企业网络中的安全设备产生的安全事件信息进行自动采 集;所述安全事件数据标准化模块,用于根据各类型安全设备产生的安全事件信息的格式 标准模型对采集到的安全事件信息进行格式化;所述安全事件态势评估和预测模块,用于 对格式化安全事件信息进行分析得到网络信息安全态势,同时对网络安全趋势进行预测; 所述安全设备管理联动防御策略生成模块,用于结合网络信息安全态势及预测的网络安全 趋势对各安全设备部署的安全应用策略进行关联分析,生成联动防御策略;所述状态保护 模块,用于存储安全设备在不同工作状态下的配置文件,当安全设备需要恢复某一工作状 态时,系统从状态保护模块中调用该状态下的配置文件。
[0092] 优选的,还包括预警模块,所述预警模块分别与安全事件态势评估和预测模块及 安全设备管理联动防御策略生成模块连接;
[0093] 所述预警模块,用于根据安全事件态势评估和预测模块预测的网络安全趋势及安 全设备管理联动防御策略生成模块提供的防御策略进行预警提醒。可W是通过网络通讯方 式下方预警信息至用户移动终端或者其他任何具有提醒功能的预警方式。同时,GUI交互 界面模块分别与系统管理模块及预警模块连接,用于进行系统工作状态信息展示及用户操 作交互。
[0094] 上述企业网络安全事件管理系统采用B/S架构,前端支持IE、Firefox等主流浏览 器,后端运行在化un化系统上,采用Apache进行HTTPS服务发布。网络拓扑结构如图2所 /J、- 〇
[0095] 下面分别对本例中的安全事件数据采集模块、安全事件数据标准化模块、安全事 件态势评估和预测模块、安全设备管理联动防御策略生成模块进行进一步的描述。
[0096] -、安全事件数据采集模块及安全事件数据标准化模块;
[0097] 安全事件数据采集模块及安全事件数据标准化模块主要实现W下=个方面的功 能:
[0098] (1)构建安全事件信息标准化数据模型;
[0099] 具体的,安全事件信息标准化数据模型设计了一种用于采集各类型安全设备产生 的安全事件信息的格式标准,具有很好的通用性。
[0100] 标准化数据模型定位为一个15元组:
[0101] <devld, devName, devManufacture, devVersion, devClassify, alertName, even tURL, sourcelP, sourcePort, targetid, targetPort, eventProtocol, evaluateRating, t imeStamp, infoDetails〉
[0102] devid;安全设备Id标识,由系统管理员统一配置,入库类型为Int;
[0103] devName;安全设备名称,由系统管理员统一配置,入库类型为String;
[0104] devManufac化re;安全设备厂商,由系统管理员统一配置,入库类型为String;
[0105] devVersion;安全设备版本号,由系统管理员统一配置,入库类型为String;
[0106] devClassify ;安全设备详细分类,由系统管理员统一配置,入库类型为String ;
[0107] aledName;报警事件名称,由各类安全设备独立生成,入库类型为String;
[0108] eventU化:报警事件设及的U化信息,入库类型为String;
[0109] sourcelP;报警事件设及的源IP地址,入库类型为Int;
[0110] sourcePort ;报警事件设及的源端口号,入库类型为Int ;
[0111] targetid ;报警事件设及的目的IP地址,入库类型为Int ;
[0112] targe巧ort;报警事件设及的目的端口号,入库类型为Int;
[0113] even巧rotocol;报警事件设及的协议类型,入库类型为化um;
[0114] evaluateRating ;报警事件的风险等级评估,由系统管理员根据安全设备情况统 一配置,入库类型为化um;
[0115] timestamp;报警事件时间信息,入库类型为String;
[0116] in化Details;报警事件详细信息,入库类型为String。
[0117] (2)对网络中部署的安全设备产生的安全事件信息进行自动采集,并将采集数据 根据标准化数据模型进行格式化存储。
[0118] 安全事件信息自动采集功能主要实现对网络中部署的安全设备产生的日志记录 分析,并从中根据标准化数据模型提取出安全事件数据。例如,当前网络中部署的安全相关 设备主要为深信服AF、SG,根据该两类设备提供的数据访问方式进行自动采集。
[0119] 网络安全事件管理系统直接使用网络安全设备的内置数据库或外置数据库作为 数据源,数据采集接口定义如表1所示:
[0120] 表1;数据采集接口定义
[0121]
[0123] (3)预留设备数据采集扩展接口 :
[0124] 为兼容后续部署的安全设备,安全事件信息标准化数据采集模块提供预留扩展接 口,允许网络上的安全设备主动向管理平台提供安全事件信息。数据采集预留扩展接口包 括安全事件上报接口W及屯、跳同步接口,设备通过屯、跳同步接口注册设备并启动屯、跳同步 检测,通过安全事件上报接口完成安全事件数据汇集。安全事件上报接口如表2所示:
[01巧]表2 ;安全事件上报接口 [0126]
[0127] 通过安全事件上报接口,安全设备厂商可实现设备与系统的主动适配,即当本专 利所述系统在某企业上线运行后,新进入该企业的安全设备可遵从本接口规范将其产生的 安全事件信息进行主动上报,从而实现系统的可扩展性和安全事件信息的融合。
[012引 表3 ;屯、跳问步接口 ;
[0129]
[0131] 屯、跳同步接口如表3所示,通过本接口,本发明所述系统可W接入系统的安全设 备进行屯、跳感知,监控和掌握系统内各安全设备的运行情况,可避免因安全设备失效而引 起的系统失效。
[0132] 二、网络信息安全态势评估和预测模块
[0133] 网络信息安全态势评估和预测模块主要完成W下两个方面的功能:
[0134] (1)、实现对不同安全设备的标准化数据进行逻辑关联和启发式分析,综合评估和 展示
[0135] 网络信息安全态势。
[0136] (2)、采用化ct-Factor算法建立预测模型,对网络安全趋势进行预测。
[0137] 安全事件态势评估和预测模块从安全威胁类型、威胁程度、威胁来源、威胁目标四 个方面,分别对网络总体安全态势(RoundlyStat)、服务器安全态势(ServerStat)和网络 终端安全态势(ClientStat)进行总结和评估,网络信息安全态势评估数据类图如表4所 /J、 - 〇
[013引表4 ;网络信息安全态势评估数据类
[0139]
[0140] 其中,网络信息安全态势评估接口定义如表5所示:
[0141] 表5 ;网络信息安全态势评估接口定义
[0142]
[0143]
[0144] 网络信息安全态势预测模块根据安全威胁类型 (WAF,IPS,DOS,MaliciousU化,Virus}的相关事件信息,利用化ct-Factor算法建立预测模 型,并在安全管理平台运行过程中不断对模型进行训练和修正,W实现网络信息安全态势 预测功能并不断提高预测的准确性。
[0145] 化ct-Factor算法W社会学行为惯性定律为基础,将自然天分类为工作日、周末W 及假期=种类型,并分别采用=种类型的历史数据对未来的可能发展趋势进行分类预测, 预测参照W下公式进行:
[0146]
[0147] 其中,a+P= 1,i为当前日期;EvaluateValuew;为待预测日期的某类型安全 事件取值,如需预测更多日期的取值,可参照该算法迭代,但经验值表明预测时间不宜超 过7天。如果需要进行更长时间的预测,需要调整j的取值和对应的a和P的经验值。 FactValuei为从安全设备采集到的第i日的被预测类的安全事件统计数据。a和P为经 验取值,用于对行为惯性进行预测调整。其中a经验值为0.85, 0经验值为0.15。网络 信息安全态势预测接口定义如表6及表7所示:
[0148] 表6;算法接口 [01491
[0150]
[0153] =、安全设备管理联动防御策略生成模块
[0154] 安全设备管理和联动防御策略生成模块主要实现W下两个方面的功能:
[0155] (1)对网络中部署的安全设备的安全应用策略进行统一的管理,建立安全设备配 置基线;
[0156] 安全设备管理建立设备配置基线,并在此基础上根据安全管理平台用户的需求对 被管理设备的配置文件进行自动/手动的备份和管理,提供设备配置文件版本回滚的功 能。另一方面,安全设备管理通过UI提供对被管理设备的控制中屯、访问页面。安全设备管 理数据类如表8所示。
[0157] 表8 ;安全设备管理数据类别:
[015 引
[0160] 安全设备管理接口定义如下表所示:
[016。 表9;设备配置同步接口
[0162]
[0163] 表10;配置回滚接口
[0164]
[0165] (2)结合网络信息安全态势评估功能,对各安全设备已部署的安全应用策略进行 关联分析,实现安全设备联动防御策略的生成。
[0166] 安全设备联动防御策略生成模块W网络安全事件报警信息为核屯、,结合网络中部 署的接入到安全管理平台的设备,逐条对报警信息进行联动分析。分析过程中,使用事件信 息中的源IP、目的IP、记录时间等属性作为事件标识,对安全设备数据信息进行联合查询, 从多个维度对该安全事件进行联动分析,并根据分析结果生成联动防御策略,供安全管理 平台用户参考。
[0167] 四、GUI交互模块
[0168] 基于B/S的GUI交互模块主要实现W下两个方面的功能:
[0169] (1)基于B/S架构部署网络安全管理平台,平台前端通过浏览器访问GUI交互界 面;
[0170] 网络安全管理平台采用B/S架构实现,服务器端采用化un化操作系统W及 Apache、MySQL、PHP、JDK、Matl油等支撑软件,用户端采用IE、Firefox浏览器。
[017。 在构建时,平台借鉴Struts框架和MVC设计模式的思想,将平台划分为S个层次: 应用表示层、业务逻辑层、数据访问层,如图6所示。
[0172] (2)基于B/S的GUI交互模块实现的交互功能主要包括W下几个方面:
[0173] 1、实现对网络安全设备、安全事件W及其他功能模块产生的各类型的信息展示和 功能操作进行交互;
[0174] 2、通过平台实现对不同安全设备安全基线的管理交互;
[0175] 3、通过平台实现对各网络安全设备数据的协同处理和评估分析并将分析结果通 过图表进行展示交互;
[0176] 4、通过平台实现对在分析安全设备数据的基础上,对未来网络信息安全的趋势进 行预测并W曲线图表展示进行交互;
[0177] 5、通过平台实现对记录本设备的系统日志、设备运行情况等信息的查询交互。
[0178] 6、其他管理平台需通过UI交互的功能。
[0179] 五、系统管理模块
[0180] 基于B/S的GUI交互模块的系统管理模块主要实现用户管理、系统日志等常用系 统管理功能。
[0181] (1)用户管理主要实现对于本系统用户的增加、用户的删除、用户信息的修改、用 户的
[0182] 禁用及用户的启用等用户常规管理;
[0183] (2)系统日志实现对不同用户登录退出平台记录、不同用户对系统整个操作过程 信息的
[0184]记录。
[0185] (3)实现对网络安全设备、安全事件W及其他功能模块产生的各类型的信息展示 和功能
[0186] 操作交互。
[0187] 综上所述,本发明通过对企业网络中部署的安全设备进行管理,对安全设备产生 的安全事件信息和日志记录进行标准化汇聚和采集,形成可供进一步分析和使用的网络安 全事件信息库。在此基础上,实现对安全设备联动防御策略的生成和管理,实现对网络信 息安全态势的评估和预测,W发现网络潜在安全问题并及时预警。为了兼容后续部署的安 全设备,安全事件信息标准化数据采集模块提供预留扩展接口,允许网络上的安全设备主 动向管理平台提供安全事件信息。数据采集预留扩展接口包括安全事件上报接口W及屯、跳 同步接口,设备通过屯、跳同步接口注册设备并启动屯、跳同步检测,通过安全事件上报接口 完成安全事件数据汇集。另外,安全事件信息标准化数据模型设计了一种用于采集各类型 安全设备产生的安全事件信息的格式标准,具有很好的通用性。同时,网络信息安全态势 预测模块根据安全威胁类型{WAF,IPS,DOS,MaliciousU化,Virus}的相关事件信息,利用 化ct-Factor算法建立预测模型,并在安全管理平台运行过程中不断对模型进行训练和修 正,W实现网络信息安全态势预测功能并不断提高预测的准确性。另外,状态保护模块,用 于存储安全设备在不同工作状态下的配置文件,当安全设备需要恢复某一工作状态时,系 统从状态保护模块中调用该状态下的配置文件。
【主权项】
1. 企业网络安全事件管理系统,包括安全设备,其特征在于,还包括安全事件数据采集 模块、安全事件数据标准化模块、安全事件态势评估和预测模块、安全设备管理联动防御策 略生成模块、状态保护模块及系统管理模块;所述安全设备分别与安全事件数据采集模块 及状态保护模块连接,所述安全事件数据采集模块与安全事件数据标准化模块连接,安全 事件数据标准化模块分别与状态保护模块、安全事件态势评估和预测模块及安全设备管理 联动防御策略生成模块连接,安全事件态势评估与安全设备管理联动防御策略生成模块连 接,安全设备管理联动防御策略生成模块与系统管理模块连接,系统管理模块与状态管理 模块连接; 所述系统管理模块,用于实现系统的用户账户管理及系统日志管理功能; 所述安全事件数据采集模块,用于对企业网络中的安全设备产生的安全事件信息进行 自动米集; 所述安全事件数据标准化模块,用于根据各类型安全设备产生的安全事件信息的格式 标准模型对采集到的安全事件信息进行格式化; 所述安全事件态势评估和预测模块,用于对格式化安全事件信息进行分析得到网络信 息安全态势,同时对网络安全趋势进行预测; 所述安全设备管理联动防御策略生成模块,用于结合网络信息安全态势及预测的网络 安全趋势对各安全设备部署的安全应用策略进行关联分析,生成联动防御策略; 所述状态保护模块,用于存储安全设备在不同工作状态下的配置文件,当安全设备需 要恢复某一工作状态时,系统从状态保护模块中调用该状态下的配置文件。2. 根据权利要求1所述的企业网络安全事件管理系统,其特征在于,还包括预警模块, 所述预警模块分别与安全事件态势评估和预测模块及安全设备管理联动防御策略生成模 块连接; 所述预警模块,用于根据安全事件态势评估和预测模块预测的网络安全趋势及安全设 备管理联动防御策略生成模块提供 的防御策略进行预警提醒。3. 根据权利要求1或2所述的企业网络安全事件管理系统,其特征在于,还包括⑶I 交互界面模块,Gn交互界面模块与系统管理模块连接,所述CTI交互界面模炔基于B/S架 构; 所述⑶I交互界面模块,用于进行系统工作状态信息展示及用户操作交互。4. 根据权利要求1所述的企业网络安全事件管理系统,其特征在于,所述各类型安全 设备产生的安全事件信息的格式标准模型为一个15元组,具体如下: devld :安全设备Id标识,由系统管理员统一配置,入库类型为Int ; devName :安全设备名称,由系统管理员统一配置,入库类型为String ; devManufacture :安全设备厂商,由系统管理员统一配置,入库类型为String ; devVersion :安全设备版本号,由系统管理员统一配置,入库类型为String ; devClassify :安全设备详细分类,由系统管理员统一配置,入库类型为String ; alertName :报警事件名称,由各类安全设备独立生成,入库类型为String ; eventURL :报警事件涉及的URL信息,入库类型为String ; sourceIP :报警事件涉及的源IP地址,入库类型为Int ; sourcePort :报警事件涉及的源端口号,入库类型为Int ; targetld :报警事件涉及的目的IP地址,入库类型为Int ; targetPort :报警事件涉及的目的端口号,入库类型为Int ; eventProtocol :报警事件涉及的协议类型,入库类型为Enum ; evaluateRating :报警事件的风险等级评估,由系统管理员根据安全设备情况统一配 置,入库类型为Enum ; timeStamp :报警事件时间信息,入库类型为String ; infoDetails :报警事件详细信息,入库类型为String。5. 根据权利要求1所述的企业网络安全事件管理系统,其特征在于,所述安全事件数 据采集模块还设置有预留扩展接口。6. 根据权利要求5所述的企业网络安全事件管理系统,其特征在于,所述预留扩展接 口至少包括安全事件上报接口及心跳同步接口; 所述安全设备通过安全事件上报接口完成安全事件数据汇集; 所述安全设备通过心跳同步接口注册设备并启动心跳同步检测。7. 根据权利要求1所述的企业网络安全事件管理系统,其特征在于,所述安全事件态 势评估和预测模块至少用于从安全威胁类型、威胁程度、威胁来源、威胁目标四个方面,分 别对网络总体安全态势、服务器安全态势和网络终端安全态势进行总结评估。8. 根据权利要求1所述的企业网络安全事件管理系统,其特征在于,所述安全事件态 势评估和预测模块至少包括通过Fact-Factor算法建立的预测模型,所述预测模型以社会 学行为惯性定律为基础,将自然天分类为工作日、周末以及假期三种类型,并分别采用三种 类型的历史数据对未来的可能发展趋势进行分类预测,预测公式如下:其中,α + β = 1,i为当前日期; EvaluateValuew为待预测日期i+Ι的某类型安全事件取值,如需预测更多日期的取 值,可参照该算法迭代; FactValuei为从安全设备采集到的第i日的被预测类的安全事件统计数据。9. 企业网络安全事件管理方法,其特征在于,包括以下步骤: 步骤1、系统对企业网络中的安全设备产生的安全事件信息进行自动采集; 步骤2、系统对采集到的安全事件信息进行标准化格式转换; 步骤3、系统对标准化格式转换后的安全事件信息进行分析得到网络信息安全态势,同 时对网络安全趋势进行预测; 步骤4、系统根据结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的 安全应用策略进行关联分析,生成联动防御策略,并将其下发至安全设备。10. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,还包括系统存储 安全设备在不同工作状态下的配置文件,当安全设备需要恢复某一工作状态时,系统调用 存储中该状态下的配置文件。11. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,还包括系统根据 安全设备管理联动防御策略生成模块提供的防御策略进行预警提醒。12. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,还包括以下步 骤: 系统通过交互界面进行系统工作状态信息展示及用户操作交互。13. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,所述步骤1中,系 统通过预留扩展接口对企业网络中的安全设备产生的安全事件信息进行自动采集。14. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,所述步骤2中,系 统根据各类型安全设备产生的安全事件信息的格式标准模型对采集到的安全事件信息进 行标准化格式转换,各类型安全设备产生的安全事件信息的格式标准模型为一个15元组, 具体如下: devld :安全设备Id标识,由系统管理员统一配置,入库类型为Int ; devName :安全设备名称,由系统管理员统一配置,入库类型为String ; devManufacture :安全设备厂商,由系统管理员统一配置,入库类型为String ; devVersion :安全设备版本号,由系统管理员统一配置,入库类型为String ; devClassify :安全设备详细分类,由系统管理员统一配置,入库类型为String ; alertName :报警事件名称,由各类安全设备独立生成,入库类型为String ; eventURL :报警事件涉及的URL信息,入库类型为String ; sourceIP :报警事件涉及的源IP地址,入库类型为Int ; sourcePort :报警事件涉及的源端口号,入库类型为Int ; targetld :报警事件涉及的目的IP地址,入库类型为Int ; targetPort :报警事件涉及的目的端口号,入库类型为Int ; eventProtocol :报警事件涉及的协议类型,入库类型为Enum ; evaluateRating :报警事件的风险等级评估,由系统管理员根据安全设备情况统一配 置,入库类型为Enum ; timeStamp :报警事件时间信息,入库类型为String ; infoDetails :报警事件详细信息,入库类型为String。15. 根据权利要求14所述的企业网络安全事件管理方法,其特征在于,所述预留扩展 接口至少包括安全事件上报接口及心跳同步接口; 所述安全设备通过安全事件上报接口完成安全事件数据汇集; 所述安全设备通过心跳同步接口注册设备并启动心跳同步检测。16. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,所述步骤3中,系 统从安全威胁类型、威胁程度、威胁来源及威胁目标四个方面,分别对网络总体安全态势、 服务器安全态势及网络终端安全态势进行总结评估。17. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,所述步骤3中,系 统通过Fact-Factor算法建立的预测模型对网络安全趋势进行预测; 所述预测模型以社会学行为惯性定律为基础,将自然天分类为工作日、周末以及假期 三种类型,并分别采用三种类型的历史数据对未来的可能发展趋势进行分类预测,预测公 式如下:其中,α + β = 1,i为当前日期; EvaluateValuew:为待预测日期i+1的某类型安全事件取值,如需预测更多日期的取 值,可参照该算法迭代; FactValuei为从安全设备采集到的第i日的被预测类的安全事件统计数据。
【专利摘要】本发明涉及网络安全。本发明提供一种企业网络安全事件管理系统,包括安全设备、安全事件数据采集模块、安全事件数据标准化模块、安全事件态势评估和预测模块、安全设备管理联动防御策略生成模块、状态保护模块及系统管理模块。首先,系统对企业网络中的安全设备产生的安全事件信息进行自动采集;其次,系统对采集到的安全事件信息进行标准化格式转换;然后,系统对标准化格式转换后的安全事件信息进行分析得到网络信息安全态势,同时对网络安全趋势进行预测;最后,系统根据结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的安全应用策略进行关联分析,生成联动防御策略,并将其下发至安全设备。适用于企业网络安全事件管理。
【IPC分类】H04L12/24, H04L29/06
【公开号】CN104901838
【申请号】CN201510346924
【发明人】柳影, 李 杰, 侯波, 丁旭阳
【申请人】中国电建集团成都勘测设计研究院有限公司
【公开日】2015年9月9日
【申请日】2015年6月23日
【技术领域】
[0001] 本发明设及网络安全,特别设及企业网络安全事件管理及预测。
【背景技术】
[0002] 随着企业信息化不断深入,计算机网络在企业内部起着越来越重要的作用。但由 于互连性、开放性等特征,使得计算机网络极易成为恶意攻击的目标和载体。企业网络安全 也越来越受到重视,为此,很多企业根据实际情况选择不同厂家的各类安全设备,构建符合 自身特点的安全体系。在实际使用过程中,网络中部署的各类安全设备都会产生大量的安 全事件和日志记录,但由于各类安全产品往往由不同的厂商提供,各类设备的数据格式存 储各有不同,导致各个安全设备的安全事件信息和安全日志信息的关联性缺失,使得网络 管理人员无法从该些孤岛数据中发现真正的安全威胁。
【发明内容】
[0003] 本发明所要解决的技术问题,就是提供一种企业网络安全事件管理系统及其方法 W实现对网络安全设备产生的网络信息安全事件和日志记录进行有效的采集和分析处理, 基于分析结果实现对安全设备联动防御策略的生成和管理,实现对网络安全态势的评估和 预测,W发现网络潜在安全问题并及时预警,避免网络安全设备的孤岛防御问题。。
[0004] 本发明解决所述技术问题,采用的技术方案是,企业网络安全事件管理系统,包括 安全设备,还包括安全事件数据采集模块、安全事件数据标准化模块、安全事件态势评估和 预测模块、安全设备管理联动防御策略生成模块、状态保护模块及系统管理模块;所述安全 设备分别与安全事件数据采集模块及状态保护模块连接,所述安全事件数据采集模块与安 全事件数据标准化模块连接,安全事件数据标准化模块分别与状态保护模块、安全事件态 势评估和预测模块及安全设备管理联动防御策略生成模块连接,安全事件态势评估与安全 设备管理联动防御策略生成模块连接,安全设备管理联动防御策略生成模块与系统管理模 块连接,系统管理模块与状态管理模块连接;
[0005] 所述系统管理模块,用于实现系统的用户账户管理及系统日志管理功能;
[0006] 所述安全事件数据采集模块,用于对企业网络中的安全设备产生的安全事件信息 进行自动采集;
[0007] 所述安全事件数据标准化模块,用于根据标准化数据模型对采集到的安全事件信 息进行格式化;
[0008] 所述安全事件态势评估和预测模块,用于对格式化安全事件信息进行分析得到网 络信息安全态势,同时对网络安全趋势进行预测;
[0009] 所述安全设备管理联动防御策略生成模块,用于结合网络信息安全态势及预测的 网络安全趋势对各安全设备部署的安全应用策略进行关联分析,生成联动防御策略;
[0010] 所述状态保护模块,用于存储安全设备在不同工作状态下的配置文件,当安全设 备需要恢复某一工作状态时,系统从状态保护模块中调用该状态下的配置文件。
[0011] 具体的,还包括预警模块,所述预警模块分别与安全事件态势评估和预测模块及 安全设备管理联动防御策略生成模块连接;
[0012] 所述预警模块,用于根据安全事件态势评估和预测模块预测的网络安全趋势及安 全设备管理联动防御策略生成模块提供的防御策略进行预警提醒。
[0013] 进一步的,还包括GUI交互界面模块,GUI交互界面模块分别与系统管理模块及预 警模块连接,所述GUI交互界面模炔基于B/S架构;
[0014] 所述GUI交互界面模块,用于进行系统工作状态信息展示及用户操作交互。
[0015] 具体的,所述各类型安全设备产生的安全事件信息的格式标准模型为一个15元 组,具体如下:
[0016] devid;安全设备Id标识,由系统管理员统一配置,入库类型为Int;
[0017] devName;安全设备名称,由系统管理员统一配置,入库类型为String;
[0018] devManufac化re;安全设备厂商,由系统管理员统一配置,入库类型为String;
[0019] devVersion;安全设备版本号,由系统管理员统一配置,入库类型为String;
[0020] devClassify;安全设备详细分类,由系统管理员统一配置,入库类型为String;
[0021] aledName;报警事件名称,由各类安全设备独立生成,入库类型为String;
[002引 event册L;报警事件设及的册L信息,入库类型为String;
[0023] sourcelP;报警事件设及的源IP地址,入库类型为Int;
[0024] sourcePort;报警事件设及的源端口号,入库类型为Int;
[00巧]targetid;报警事件设及的目的IP地址,入库类型为Int;
[0026] targe巧ort;报警事件设及的目的端口号,入库类型为Int;
[0027] even巧rotocol;报警事件设及的协议类型,入库类型为化um;
[0028] evaluateRating;报警事件的风险等级评估,由系统管理员根据安全设备情况统 一配置,入库类型为化um;
[0029] timestamp;报警事件时间信息,入库类型为String;
[0030] in化Details;报警事件详细信息,入库类型为String;
[0031] 具体的,所述安全事件数据采集模块还设置有预留扩展接口。
[0032] 进一步的,所述预留扩展接口至少包括安全事件上报接口及屯、跳同步接口;
[0033] 所述安全设备通过安全事件上报接口完成安全事件数据汇集;
[0034] 所述安全设备通过屯、跳同步接口注册设备并启动屯、跳同步检测。
[00巧]具体的,所述安全事件态势评估和预测模块至少用于从安全威胁类型、威胁程度、 威胁来源、威胁目标四个方面,分别对网络总体安全态势、服务器安全态势和网络终端安全 态势进行总结评估。
[0036] 具体的,所述安全事件态势评估和预测模块至少包括通过化ct-Factor算法建立 的预测模型,所述预测模型W社会学行为惯性定律为基础,将自然天分类为工作日、周末W 及假期=种类型,并分别采用=种类型的历史数据对未来的可能发展趋势进行分类预测, 预测公式如下:
[0037]
[003引其中,a+P= 1,i为当前日期;
[0039]EvaluateValuew;为待预测日期i+1的某类型安全事件取值,如需预测更多日期 的取值,可参照该算法迭代;FactValuei为从安全设备采集到的第i日的被预测类的安全 事件统计数据。
[0040] 企业网络安全事件管理方法,包括W下步骤:
[0041] 步骤1、系统对企业网络中的安全设备产生的安全事件信息进行自动采集;
[0042] 步骤2、系统对采集到的安全事件信息进行标准化格式转换;
[0043] 步骤3、系统对标准化格式转换后的安全事件信息进行分析得到网络信息安全态 势,同时对网络安全趋势进行预测;
[0044] 步骤4、系统根据结合网络信息安全态势及预测的网络安全趋势对各安全设备部 署的安全应用策略进行关联分析,生成联动防御策略,并将其下发至安全设备。
[0045] 具体的,还包括系统存储安全设备在不同工作状态下的配置文件,当安全设备需 要恢复某一工作状态时,系统调用存储中该状态下的配置文件。
[0046] 具体的,还包括系统根据安全设备管理联动防御策略生成模块提供的防御策略进 行预警提醒。
[0047] 具体的,还包括系统通过GUI交互界面进行系统工作状态信息展示及用户操作交 互。
[0048] 具体的,所述步骤1中,系统通过预留扩展接口对企业网络中的安全设备产生的 安全事件信息进行自动采集。
[0049] 具体的,所述步骤2中,所述步骤2中,系统根据各类型安全设备产生的安全事件 信息的格式标准模型对采集到的安全事件信息进行标准化格式转换,各类型安全设备产生 的安全事件信息的格式标准模型为一个15元组,具体如下:
[0050]devid;安全设备Id标识,由系统管理员统一配置,入库类型为Int;
[0051]devName ;安全设备名称,由系统管理员统一配置,入库类型为String ;
[0052]devManufac化re;安全设备厂商,由系统管理员统一配置 ,入库类型为String;
[0053]devVersion;安全设备版本号,由系统管理员统一配置,入库类型为String;
[0054]devClassify;安全设备详细分类,由系统管理员统一配置,入库类型为String; [00巧]aledName;报警事件名称,由各类安全设备独立生成,入库类型为String;
[0056]event册L ;报警事件设及的册L信息,入库类型为String ;
[0057]sourcelP;报警事件设及的源IP地址,入库类型为Int;
[0058]sourcePort ;报警事件设及的源端口号,入库类型为Int ;
[0059]targetid ;报警事件设及的目的IP地址,入库类型为Int ;
[0060]targe巧ort;报警事件设及的目的端口号,入库类型为Int;
[0061]even巧rotocol;报警事件设及的协议类型,入库类型为化um ;
[006引 evaluateRating ;报警事件的风险等级评估,由系统管理员根据安全设备情况统 一配置,入库类型为化um;
[006引timestamp;报警事件时间信息,入库类型为String;
[0064]in化Details;报警事件详细信息,入库类型为String。
[0065] 进一步的,所述预留扩展接口至少包括安全事件上报接口及屯、跳同步接口;
[0066] 所述安全设备通过安全事件上报接口完成安全事件数据汇集;
[0067] 所述安全设备通过屯、跳同步接口注册设备并启动屯、跳同步检测。
[0068] 具体的,所述步骤3中,系统从安全威胁类型、威胁程度、威胁来源及威胁目标四 个方面,分别对网络总体安全态势、服务器安全态势及网络终端安全态势进行总结评估。
[0069] 具体的,所述步骤3中,系统通过化ct-Factor算法建立的预测模型对网络安全趋 势进行预测;
[0070] 所述预测模型W社会学行为惯性定律为基础,将自然天分类为工作日、周末W及 假期=种类型,并分别采用=种类型的历史数据对未来的可能发展趋势进行分类预测,预 测公式如下:
[0071]
[007引其中,曰+0 = 1,i为当前日期;
[007引 EvaluateValuew;为待预测日期i+1的某类型安全事件取值,如需预测更多日期 的取值,可参照该算法迭代;
[0074] FactValuei为从安全设备采集到的第i日的被预测类的安全事件统计数据。
[00巧]本发明的有益效果是:通过对企业网络中部署的安全设备进行管理,对安全设备 产生的安全事件信息和日志记录进行标准化汇聚和采集,形成可供进一步分析和使用的网 络安全事件信息库。在此基础上,实现对安全设备联动防御策略的生成和管理,实现对网络 信息安全态势的评估和预测,W发现网络潜在安全问题并及时预警。
[0076] 为了兼容后续部署的安全设备,安全事件信息标准化数据采集模块提供预留扩展 接口,允许网络上的安全设备主动向管理平台提供安全事件信息。数据采集预留扩展接口 包括安全事件上报接口W及屯、跳同步接口,设备通过屯、跳同步接口注册设备并启动屯、跳同 步检测,通过安全事件上报接口完成安全事件数据汇集。
[0077]另外,安全事件信息标准化数据模型设计了一种用于采集各类型安全设备产生的 安全事件信息的格式标准,具有很好的通用性。
[0078] 同时,网络信息安全态势预测模块根据安全威胁类型 (WAF,IPS,DOS,MaliciousU化,Virus}的相关事件信息,利用化ct-Factor算法建立预测模 型,并在安全管理平台运行过程中不断对模型进行训练和修正,W实现网络信息安全态势 预测功能并不断提高预测的准确性。
[0079]另外,状态保护模块,用于存储安全设备在不同工作状态下的配置文件,当安全设 备需要恢复某一工作状态时,系统从状态保护模块中调用该状态下的配置文件。
【附图说明】
[0080]图1为本发明企业网络安全事件管理系统及其方法实施例的系统框图;
[0081] 图2为本发明企业网络安全事件管理系统及其方法实施例的网络安全事件管理 系统网络拓扑结构图;
[0082] 图3为本发明企业网络安全事件管理系统及其方法实施例的数据采集接口工作 流程图;
[0083] 图4为本发明企业网络安全事件管理系统及其方法实施例的网络信息安全态势 评估逻辑图;
[0084] 图5为本发明企业网络安全事件管理系统及其方法实施例的网络信息安全态势 预测接口工作流程图;
[0085] 图6为本发明企业网络安全事件管理系统及其方法实施例的安全管理平台B/S= 层架构图。
【具体实施方式】
[0086] 下面结合附图及实施例详细描述本发明的技术方案:
[0087] 本发明针对现有技术中网络中部署的各类安全设备都会产生大量的安全事件和 日志记录,但由于各类安全产品往往由不同的厂商提供,各类设备的数据格式存储各有不 同,导致各个安全设备的安全事件信息和安全日志信息的关联性缺失,使得网络管理人员 无法从该些孤岛数据中发现真正的安全威胁的问题,提供一种企业网络安全事件管理系 统,包括安全设备,还包括安全事件数据采集模块、安全事件数据标准化模块、安全事件态 势评估和预测模块、安全设备管理联动防御策略生成模块、状态保护模块及系统管理模块; 所述安全设备分别与安全事件数据采集模块及状态保护模块连接,所述安全事件数据采集 模块与安全事件数据标准化模块连接,安全事件数据标准化模块分别与状态保护模块、安 全事件态势评估和预测模块及安全设备管理联动防御策略生成模块连接,安全事件态势评 估与安全设备管理联动防御策略生成模块连接,安全设备管理联动防御策略生成模块与 系统管理模块连接,系统管理模块与状态管理模块连接;所述系统管理模块,用于实现系 统的用户账户管理及系统日志管理功能;所述安全事件数据采集模块,用于对企业网络中 的安全设备产生的安全事件信息进行自动采集;所述安全事件数据标准化模块,用于根据 各类型安全设备产生的安全事件信息的格式标准模型对采集到的安全事件信息进行格式 化;所述安全事件态势评估和预测模块,用于对格式化安全事件信息进行分析得到网络信 息安全态势,同时对网络安全趋势进行预测;所述安全设备管理联动防御策略生成模块,用 于结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的安全应用策略进行 关联分析,生成联动防御策略;所述状态保护模块,用于存储安全设备在不同工作状态下的 配置文件,当安全设备需要恢复某一工作状态时,系统从状态保护模块中调用该状态下的 配置文件。企业网络安全事件管理方法,首先,系统对企业网络中的安全设备产生的安全 事件信息进行自动采集;其次,系统对采集到的安全事件信息进行标准化格式转换;然后, 系统对标准化格式转换后的安全事件信息进行分析得到网络信息安全态势,同时对网络安 全趋势进行预测;最后,系统根据结合网络信息安全态势及预测的网络安全趋势对各安全 设备部署的安全应用策略进行关联分析,生成联动防御策略,并将其下发至安全设备。通 过对企业网络中部署的安全设备进行管理,对安全设备产生的安全事件信息和日志记录进 行标准化汇聚和采集,形成可供进一步分析和使用的网络安全事件信息库。在此基础上, 实现对安全设备联动防御策略的生成和管理,实现对网络信息安全态势的评估和预测,W 发现网络潜在安全问题并及时预警。为了兼容后续部署的安全设备,安全事件信息标准化 数据采集模块提供预留扩展接口,允许网络上的安全设备主动向管理平台提供安全事件信 息。数据采集预留扩展接口包括安全事件上报接口W及屯、跳同步接口,设备通过屯、跳同步 接口注册设备并启动屯、跳同步检测,通过安全事件上报接口完成安全事件数据汇集。另 夕F,安全事件信息标准化数据模型设计了一种用于采集各类型安全设备产生的安全事件信 息的格式标准,具有很好的通用性。同时,网络信息安全态势预测模块根据安全威胁类型 (WAF,IPS,DOS,MaliciousU化,Virus}的相关事件信息,利用化ct-Factor算法建立预测模 型,并在安全管理平台运行过程中不断对模型进行训练和修正,W实现网络信息安全态势 预测功能并不断提高预测的准确性。另外,状态保护模块,用于存储安全设备在不同工作状 态下的配置文件,当安全设备需要恢复某一工作状态时,系统从状态保护模块中调用该状 态下 的配置文件。
[008引实施例
[0089] 本例的企业网络安全事件管理系统主要对企业网络中部署的安全设备进行管理, 通过对安全设备产生的安全事件信息和日志记录进行标准化汇聚和采集,形成可供进一步 分析和使用的网络安全事件信息库。在此基础上,实现对安全设备联动防御策略的生成和 管理,实现对网络信息安全态势的评估和预测,W发现网络潜在安全问题并及时预警。
[0090] 企业网络安全事件管理系统为B/S交互式系统,平台后端运行在独立的服务器之 上,用户通过浏览器访问平台前端发布的GUI交互界面,并通过该界面应用平台功能。
[0091] 网络安全管理平台系统架构,如图1所示,包括安全设备、安全事件数据采集模 块、安全事件数据标准化模块、安全事件态势评估和预测模块、安全设备管理联动防御策略 生成模块、状态保护模块及系统管理模块;所述安全设备分别与安全事件数据采集模块及 状态保护模块连接,所述安全事件数据采集模块与安全事件数据标准化模块连接,安全事 件数据标准化模块分别与状态保护模块、安全事件态势评估和预测模块及安全设备管理联 动防御策略生成模块连接,安全事件态势评估与安全设备管理联动防御策略生成模块连 接,安全设备管理联动防御策略生成模块与系统管理模块连接,系统管理模块与状态管理 模块连接;所述系统管理模块,用于实现系统的用户账户管理及系统日志管理功能;所述 安全事件数据采集模块,用于对企业网络中的安全设备产生的安全事件信息进行自动采 集;所述安全事件数据标准化模块,用于根据各类型安全设备产生的安全事件信息的格式 标准模型对采集到的安全事件信息进行格式化;所述安全事件态势评估和预测模块,用于 对格式化安全事件信息进行分析得到网络信息安全态势,同时对网络安全趋势进行预测; 所述安全设备管理联动防御策略生成模块,用于结合网络信息安全态势及预测的网络安全 趋势对各安全设备部署的安全应用策略进行关联分析,生成联动防御策略;所述状态保护 模块,用于存储安全设备在不同工作状态下的配置文件,当安全设备需要恢复某一工作状 态时,系统从状态保护模块中调用该状态下的配置文件。
[0092] 优选的,还包括预警模块,所述预警模块分别与安全事件态势评估和预测模块及 安全设备管理联动防御策略生成模块连接;
[0093] 所述预警模块,用于根据安全事件态势评估和预测模块预测的网络安全趋势及安 全设备管理联动防御策略生成模块提供的防御策略进行预警提醒。可W是通过网络通讯方 式下方预警信息至用户移动终端或者其他任何具有提醒功能的预警方式。同时,GUI交互 界面模块分别与系统管理模块及预警模块连接,用于进行系统工作状态信息展示及用户操 作交互。
[0094] 上述企业网络安全事件管理系统采用B/S架构,前端支持IE、Firefox等主流浏览 器,后端运行在化un化系统上,采用Apache进行HTTPS服务发布。网络拓扑结构如图2所 /J、- 〇
[0095] 下面分别对本例中的安全事件数据采集模块、安全事件数据标准化模块、安全事 件态势评估和预测模块、安全设备管理联动防御策略生成模块进行进一步的描述。
[0096] -、安全事件数据采集模块及安全事件数据标准化模块;
[0097] 安全事件数据采集模块及安全事件数据标准化模块主要实现W下=个方面的功 能:
[0098] (1)构建安全事件信息标准化数据模型;
[0099] 具体的,安全事件信息标准化数据模型设计了一种用于采集各类型安全设备产生 的安全事件信息的格式标准,具有很好的通用性。
[0100] 标准化数据模型定位为一个15元组:
[0101] <devld, devName, devManufacture, devVersion, devClassify, alertName, even tURL, sourcelP, sourcePort, targetid, targetPort, eventProtocol, evaluateRating, t imeStamp, infoDetails〉
[0102] devid;安全设备Id标识,由系统管理员统一配置,入库类型为Int;
[0103] devName;安全设备名称,由系统管理员统一配置,入库类型为String;
[0104] devManufac化re;安全设备厂商,由系统管理员统一配置,入库类型为String;
[0105] devVersion;安全设备版本号,由系统管理员统一配置,入库类型为String;
[0106] devClassify ;安全设备详细分类,由系统管理员统一配置,入库类型为String ;
[0107] aledName;报警事件名称,由各类安全设备独立生成,入库类型为String;
[0108] eventU化:报警事件设及的U化信息,入库类型为String;
[0109] sourcelP;报警事件设及的源IP地址,入库类型为Int;
[0110] sourcePort ;报警事件设及的源端口号,入库类型为Int ;
[0111] targetid ;报警事件设及的目的IP地址,入库类型为Int ;
[0112] targe巧ort;报警事件设及的目的端口号,入库类型为Int;
[0113] even巧rotocol;报警事件设及的协议类型,入库类型为化um;
[0114] evaluateRating ;报警事件的风险等级评估,由系统管理员根据安全设备情况统 一配置,入库类型为化um;
[0115] timestamp;报警事件时间信息,入库类型为String;
[0116] in化Details;报警事件详细信息,入库类型为String。
[0117] (2)对网络中部署的安全设备产生的安全事件信息进行自动采集,并将采集数据 根据标准化数据模型进行格式化存储。
[0118] 安全事件信息自动采集功能主要实现对网络中部署的安全设备产生的日志记录 分析,并从中根据标准化数据模型提取出安全事件数据。例如,当前网络中部署的安全相关 设备主要为深信服AF、SG,根据该两类设备提供的数据访问方式进行自动采集。
[0119] 网络安全事件管理系统直接使用网络安全设备的内置数据库或外置数据库作为 数据源,数据采集接口定义如表1所示:
[0120] 表1;数据采集接口定义
[0121]
[0123] (3)预留设备数据采集扩展接口 :
[0124] 为兼容后续部署的安全设备,安全事件信息标准化数据采集模块提供预留扩展接 口,允许网络上的安全设备主动向管理平台提供安全事件信息。数据采集预留扩展接口包 括安全事件上报接口W及屯、跳同步接口,设备通过屯、跳同步接口注册设备并启动屯、跳同步 检测,通过安全事件上报接口完成安全事件数据汇集。安全事件上报接口如表2所示:
[01巧]表2 ;安全事件上报接口 [0126]
[0127] 通过安全事件上报接口,安全设备厂商可实现设备与系统的主动适配,即当本专 利所述系统在某企业上线运行后,新进入该企业的安全设备可遵从本接口规范将其产生的 安全事件信息进行主动上报,从而实现系统的可扩展性和安全事件信息的融合。
[012引 表3 ;屯、跳问步接口 ;
[0129]
[0131] 屯、跳同步接口如表3所示,通过本接口,本发明所述系统可W接入系统的安全设 备进行屯、跳感知,监控和掌握系统内各安全设备的运行情况,可避免因安全设备失效而引 起的系统失效。
[0132] 二、网络信息安全态势评估和预测模块
[0133] 网络信息安全态势评估和预测模块主要完成W下两个方面的功能:
[0134] (1)、实现对不同安全设备的标准化数据进行逻辑关联和启发式分析,综合评估和 展示
[0135] 网络信息安全态势。
[0136] (2)、采用化ct-Factor算法建立预测模型,对网络安全趋势进行预测。
[0137] 安全事件态势评估和预测模块从安全威胁类型、威胁程度、威胁来源、威胁目标四 个方面,分别对网络总体安全态势(RoundlyStat)、服务器安全态势(ServerStat)和网络 终端安全态势(ClientStat)进行总结和评估,网络信息安全态势评估数据类图如表4所 /J、 - 〇
[013引表4 ;网络信息安全态势评估数据类
[0139]
[0140] 其中,网络信息安全态势评估接口定义如表5所示:
[0141] 表5 ;网络信息安全态势评估接口定义
[0142]
[0143]
[0144] 网络信息安全态势预测模块根据安全威胁类型 (WAF,IPS,DOS,MaliciousU化,Virus}的相关事件信息,利用化ct-Factor算法建立预测模 型,并在安全管理平台运行过程中不断对模型进行训练和修正,W实现网络信息安全态势 预测功能并不断提高预测的准确性。
[0145] 化ct-Factor算法W社会学行为惯性定律为基础,将自然天分类为工作日、周末W 及假期=种类型,并分别采用=种类型的历史数据对未来的可能发展趋势进行分类预测, 预测参照W下公式进行:
[0146]
[0147] 其中,a+P= 1,i为当前日期;EvaluateValuew;为待预测日期的某类型安全 事件取值,如需预测更多日期的取值,可参照该算法迭代,但经验值表明预测时间不宜超 过7天。如果需要进行更长时间的预测,需要调整j的取值和对应的a和P的经验值。 FactValuei为从安全设备采集到的第i日的被预测类的安全事件统计数据。a和P为经 验取值,用于对行为惯性进行预测调整。其中a经验值为0.85, 0经验值为0.15。网络 信息安全态势预测接口定义如表6及表7所示:
[0148] 表6;算法接口 [01491
[0150]
[0153] =、安全设备管理联动防御策略生成模块
[0154] 安全设备管理和联动防御策略生成模块主要实现W下两个方面的功能:
[0155] (1)对网络中部署的安全设备的安全应用策略进行统一的管理,建立安全设备配 置基线;
[0156] 安全设备管理建立设备配置基线,并在此基础上根据安全管理平台用户的需求对 被管理设备的配置文件进行自动/手动的备份和管理,提供设备配置文件版本回滚的功 能。另一方面,安全设备管理通过UI提供对被管理设备的控制中屯、访问页面。安全设备管 理数据类如表8所示。
[0157] 表8 ;安全设备管理数据类别:
[015 引
[0160] 安全设备管理接口定义如下表所示:
[016。 表9;设备配置同步接口
[0162]
[0163] 表10;配置回滚接口
[0164]
[0165] (2)结合网络信息安全态势评估功能,对各安全设备已部署的安全应用策略进行 关联分析,实现安全设备联动防御策略的生成。
[0166] 安全设备联动防御策略生成模块W网络安全事件报警信息为核屯、,结合网络中部 署的接入到安全管理平台的设备,逐条对报警信息进行联动分析。分析过程中,使用事件信 息中的源IP、目的IP、记录时间等属性作为事件标识,对安全设备数据信息进行联合查询, 从多个维度对该安全事件进行联动分析,并根据分析结果生成联动防御策略,供安全管理 平台用户参考。
[0167] 四、GUI交互模块
[0168] 基于B/S的GUI交互模块主要实现W下两个方面的功能:
[0169] (1)基于B/S架构部署网络安全管理平台,平台前端通过浏览器访问GUI交互界 面;
[0170] 网络安全管理平台采用B/S架构实现,服务器端采用化un化操作系统W及 Apache、MySQL、PHP、JDK、Matl油等支撑软件,用户端采用IE、Firefox浏览器。
[017。 在构建时,平台借鉴Struts框架和MVC设计模式的思想,将平台划分为S个层次: 应用表示层、业务逻辑层、数据访问层,如图6所示。
[0172] (2)基于B/S的GUI交互模块实现的交互功能主要包括W下几个方面:
[0173] 1、实现对网络安全设备、安全事件W及其他功能模块产生的各类型的信息展示和 功能操作进行交互;
[0174] 2、通过平台实现对不同安全设备安全基线的管理交互;
[0175] 3、通过平台实现对各网络安全设备数据的协同处理和评估分析并将分析结果通 过图表进行展示交互;
[0176] 4、通过平台实现对在分析安全设备数据的基础上,对未来网络信息安全的趋势进 行预测并W曲线图表展示进行交互;
[0177] 5、通过平台实现对记录本设备的系统日志、设备运行情况等信息的查询交互。
[0178] 6、其他管理平台需通过UI交互的功能。
[0179] 五、系统管理模块
[0180] 基于B/S的GUI交互模块的系统管理模块主要实现用户管理、系统日志等常用系 统管理功能。
[0181] (1)用户管理主要实现对于本系统用户的增加、用户的删除、用户信息的修改、用 户的
[0182] 禁用及用户的启用等用户常规管理;
[0183] (2)系统日志实现对不同用户登录退出平台记录、不同用户对系统整个操作过程 信息的
[0184]记录。
[0185] (3)实现对网络安全设备、安全事件W及其他功能模块产生的各类型的信息展示 和功能
[0186] 操作交互。
[0187] 综上所述,本发明通过对企业网络中部署的安全设备进行管理,对安全设备产生 的安全事件信息和日志记录进行标准化汇聚和采集,形成可供进一步分析和使用的网络安 全事件信息库。在此基础上,实现对安全设备联动防御策略的生成和管理,实现对网络信 息安全态势的评估和预测,W发现网络潜在安全问题并及时预警。为了兼容后续部署的安 全设备,安全事件信息标准化数据采集模块提供预留扩展接口,允许网络上的安全设备主 动向管理平台提供安全事件信息。数据采集预留扩展接口包括安全事件上报接口W及屯、跳 同步接口,设备通过屯、跳同步接口注册设备并启动屯、跳同步检测,通过安全事件上报接口 完成安全事件数据汇集。另外,安全事件信息标准化数据模型设计了一种用于采集各类型 安全设备产生的安全事件信息的格式标准,具有很好的通用性。同时,网络信息安全态势 预测模块根据安全威胁类型{WAF,IPS,DOS,MaliciousU化,Virus}的相关事件信息,利用 化ct-Factor算法建立预测模型,并在安全管理平台运行过程中不断对模型进行训练和修 正,W实现网络信息安全态势预测功能并不断提高预测的准确性。另外,状态保护模块,用 于存储安全设备在不同工作状态下的配置文件,当安全设备需要恢复某一工作状态时,系 统从状态保护模块中调用该状态下的配置文件。
【主权项】
1. 企业网络安全事件管理系统,包括安全设备,其特征在于,还包括安全事件数据采集 模块、安全事件数据标准化模块、安全事件态势评估和预测模块、安全设备管理联动防御策 略生成模块、状态保护模块及系统管理模块;所述安全设备分别与安全事件数据采集模块 及状态保护模块连接,所述安全事件数据采集模块与安全事件数据标准化模块连接,安全 事件数据标准化模块分别与状态保护模块、安全事件态势评估和预测模块及安全设备管理 联动防御策略生成模块连接,安全事件态势评估与安全设备管理联动防御策略生成模块连 接,安全设备管理联动防御策略生成模块与系统管理模块连接,系统管理模块与状态管理 模块连接; 所述系统管理模块,用于实现系统的用户账户管理及系统日志管理功能; 所述安全事件数据采集模块,用于对企业网络中的安全设备产生的安全事件信息进行 自动米集; 所述安全事件数据标准化模块,用于根据各类型安全设备产生的安全事件信息的格式 标准模型对采集到的安全事件信息进行格式化; 所述安全事件态势评估和预测模块,用于对格式化安全事件信息进行分析得到网络信 息安全态势,同时对网络安全趋势进行预测; 所述安全设备管理联动防御策略生成模块,用于结合网络信息安全态势及预测的网络 安全趋势对各安全设备部署的安全应用策略进行关联分析,生成联动防御策略; 所述状态保护模块,用于存储安全设备在不同工作状态下的配置文件,当安全设备需 要恢复某一工作状态时,系统从状态保护模块中调用该状态下的配置文件。2. 根据权利要求1所述的企业网络安全事件管理系统,其特征在于,还包括预警模块, 所述预警模块分别与安全事件态势评估和预测模块及安全设备管理联动防御策略生成模 块连接; 所述预警模块,用于根据安全事件态势评估和预测模块预测的网络安全趋势及安全设 备管理联动防御策略生成模块提供 的防御策略进行预警提醒。3. 根据权利要求1或2所述的企业网络安全事件管理系统,其特征在于,还包括⑶I 交互界面模块,Gn交互界面模块与系统管理模块连接,所述CTI交互界面模炔基于B/S架 构; 所述⑶I交互界面模块,用于进行系统工作状态信息展示及用户操作交互。4. 根据权利要求1所述的企业网络安全事件管理系统,其特征在于,所述各类型安全 设备产生的安全事件信息的格式标准模型为一个15元组,具体如下: devld :安全设备Id标识,由系统管理员统一配置,入库类型为Int ; devName :安全设备名称,由系统管理员统一配置,入库类型为String ; devManufacture :安全设备厂商,由系统管理员统一配置,入库类型为String ; devVersion :安全设备版本号,由系统管理员统一配置,入库类型为String ; devClassify :安全设备详细分类,由系统管理员统一配置,入库类型为String ; alertName :报警事件名称,由各类安全设备独立生成,入库类型为String ; eventURL :报警事件涉及的URL信息,入库类型为String ; sourceIP :报警事件涉及的源IP地址,入库类型为Int ; sourcePort :报警事件涉及的源端口号,入库类型为Int ; targetld :报警事件涉及的目的IP地址,入库类型为Int ; targetPort :报警事件涉及的目的端口号,入库类型为Int ; eventProtocol :报警事件涉及的协议类型,入库类型为Enum ; evaluateRating :报警事件的风险等级评估,由系统管理员根据安全设备情况统一配 置,入库类型为Enum ; timeStamp :报警事件时间信息,入库类型为String ; infoDetails :报警事件详细信息,入库类型为String。5. 根据权利要求1所述的企业网络安全事件管理系统,其特征在于,所述安全事件数 据采集模块还设置有预留扩展接口。6. 根据权利要求5所述的企业网络安全事件管理系统,其特征在于,所述预留扩展接 口至少包括安全事件上报接口及心跳同步接口; 所述安全设备通过安全事件上报接口完成安全事件数据汇集; 所述安全设备通过心跳同步接口注册设备并启动心跳同步检测。7. 根据权利要求1所述的企业网络安全事件管理系统,其特征在于,所述安全事件态 势评估和预测模块至少用于从安全威胁类型、威胁程度、威胁来源、威胁目标四个方面,分 别对网络总体安全态势、服务器安全态势和网络终端安全态势进行总结评估。8. 根据权利要求1所述的企业网络安全事件管理系统,其特征在于,所述安全事件态 势评估和预测模块至少包括通过Fact-Factor算法建立的预测模型,所述预测模型以社会 学行为惯性定律为基础,将自然天分类为工作日、周末以及假期三种类型,并分别采用三种 类型的历史数据对未来的可能发展趋势进行分类预测,预测公式如下:其中,α + β = 1,i为当前日期; EvaluateValuew为待预测日期i+Ι的某类型安全事件取值,如需预测更多日期的取 值,可参照该算法迭代; FactValuei为从安全设备采集到的第i日的被预测类的安全事件统计数据。9. 企业网络安全事件管理方法,其特征在于,包括以下步骤: 步骤1、系统对企业网络中的安全设备产生的安全事件信息进行自动采集; 步骤2、系统对采集到的安全事件信息进行标准化格式转换; 步骤3、系统对标准化格式转换后的安全事件信息进行分析得到网络信息安全态势,同 时对网络安全趋势进行预测; 步骤4、系统根据结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的 安全应用策略进行关联分析,生成联动防御策略,并将其下发至安全设备。10. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,还包括系统存储 安全设备在不同工作状态下的配置文件,当安全设备需要恢复某一工作状态时,系统调用 存储中该状态下的配置文件。11. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,还包括系统根据 安全设备管理联动防御策略生成模块提供的防御策略进行预警提醒。12. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,还包括以下步 骤: 系统通过交互界面进行系统工作状态信息展示及用户操作交互。13. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,所述步骤1中,系 统通过预留扩展接口对企业网络中的安全设备产生的安全事件信息进行自动采集。14. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,所述步骤2中,系 统根据各类型安全设备产生的安全事件信息的格式标准模型对采集到的安全事件信息进 行标准化格式转换,各类型安全设备产生的安全事件信息的格式标准模型为一个15元组, 具体如下: devld :安全设备Id标识,由系统管理员统一配置,入库类型为Int ; devName :安全设备名称,由系统管理员统一配置,入库类型为String ; devManufacture :安全设备厂商,由系统管理员统一配置,入库类型为String ; devVersion :安全设备版本号,由系统管理员统一配置,入库类型为String ; devClassify :安全设备详细分类,由系统管理员统一配置,入库类型为String ; alertName :报警事件名称,由各类安全设备独立生成,入库类型为String ; eventURL :报警事件涉及的URL信息,入库类型为String ; sourceIP :报警事件涉及的源IP地址,入库类型为Int ; sourcePort :报警事件涉及的源端口号,入库类型为Int ; targetld :报警事件涉及的目的IP地址,入库类型为Int ; targetPort :报警事件涉及的目的端口号,入库类型为Int ; eventProtocol :报警事件涉及的协议类型,入库类型为Enum ; evaluateRating :报警事件的风险等级评估,由系统管理员根据安全设备情况统一配 置,入库类型为Enum ; timeStamp :报警事件时间信息,入库类型为String ; infoDetails :报警事件详细信息,入库类型为String。15. 根据权利要求14所述的企业网络安全事件管理方法,其特征在于,所述预留扩展 接口至少包括安全事件上报接口及心跳同步接口; 所述安全设备通过安全事件上报接口完成安全事件数据汇集; 所述安全设备通过心跳同步接口注册设备并启动心跳同步检测。16. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,所述步骤3中,系 统从安全威胁类型、威胁程度、威胁来源及威胁目标四个方面,分别对网络总体安全态势、 服务器安全态势及网络终端安全态势进行总结评估。17. 根据权利要求8所述的企业网络安全事件管理方法,其特征在于,所述步骤3中,系 统通过Fact-Factor算法建立的预测模型对网络安全趋势进行预测; 所述预测模型以社会学行为惯性定律为基础,将自然天分类为工作日、周末以及假期 三种类型,并分别采用三种类型的历史数据对未来的可能发展趋势进行分类预测,预测公 式如下:其中,α + β = 1,i为当前日期; EvaluateValuew:为待预测日期i+1的某类型安全事件取值,如需预测更多日期的取 值,可参照该算法迭代; FactValuei为从安全设备采集到的第i日的被预测类的安全事件统计数据。
【专利摘要】本发明涉及网络安全。本发明提供一种企业网络安全事件管理系统,包括安全设备、安全事件数据采集模块、安全事件数据标准化模块、安全事件态势评估和预测模块、安全设备管理联动防御策略生成模块、状态保护模块及系统管理模块。首先,系统对企业网络中的安全设备产生的安全事件信息进行自动采集;其次,系统对采集到的安全事件信息进行标准化格式转换;然后,系统对标准化格式转换后的安全事件信息进行分析得到网络信息安全态势,同时对网络安全趋势进行预测;最后,系统根据结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的安全应用策略进行关联分析,生成联动防御策略,并将其下发至安全设备。适用于企业网络安全事件管理。
【IPC分类】H04L12/24, H04L29/06
【公开号】CN104901838
【申请号】CN201510346924
【发明人】柳影, 李 杰, 侯波, 丁旭阳
【申请人】中国电建集团成都勘测设计研究院有限公司
【公开日】2015年9月9日
【申请日】2015年6月23日
最新回复(0)