一种改进的网络安全事件关联分析系统的制作方法
【专利摘要】本发明设计涉及一种电力网络安全事件关联分析系统,包括数据采集层、分析决策层及界面显示层,其通过将实时发生的网络安全事件与样本报警安全事件和样本绿色安全事件作对比,确定实时发生的网络安全事件的发展趋势,保证网络信息安全。
【专利说明】一种改进的网络安全事件关联分析系统
【技术领域】
[0001] 本发明涉及网络信息安全领域,尤其涉及一种网络安全事件关联分析系统。
【背景技术】
[0002] 当前,网络信息安全领域中既有来自于外部的入侵和攻击,也有来自内部的违规 和泄露。常见的信息安全系统包括防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、 UTM等。但这些安全系统一般只能防堵来自某个特定方面的安全威胁,不具备协同效应。 CN201010613751介绍了一种能够避免形成安全孤岛的网络安全事件关联分析系统,但只是 提出了该系统的架构模型,对于网络安全事件的采集、关联分析的效率和准确性以及系统 操作等方面都有进一步提升的空间。
【发明内容】
[0003] 有鉴于此,本发明主要的目的在于提供一种网络安全事件关联分析系统,以克服 现有技术中的上述缺陷。
[0004] 本发明的网络安全事件关联分析系统,包括数据采集层、集群数据库系统、分析决 策层及界面显示层;其特征在于:数据采集层包括多个状态采集设备、多个网络数据包采 集设备和封装处理器等;集群数据库系统包括监控数据库、关联分析策略数据库、关联分析 结果数据库、安全事件样本数据库等;分析决策层包括关联分析模块和关联分析策略模块 等;界面显示层包括参数设定模块、结果展示模块、查询模块、逻辑中间件等。
【专利附图】
【附图说明】
[0005] 图1是网络安全事件关联分析系统的结构示意图。
【具体实施方式】
[0006] 为使本发明的目的、技术方案和优点更加清楚,将结合附图对本发明作进一步地 详细描述。这种描述是通过示例而非限制的方式介绍了与本发明的原理相一致的具体实施 方式,这些实施方式的描述是足够详细的,以使得本领域技术人员能够实践本发明,在不脱 离本发明的范围和精神的情况下可以使用其他实施方式并且可以改变和/或替换各要素 的结构。因此,不应当从限制性意义上来理解以下的详细描述。
[0007] 如图1所示,本发明的网络安全事件关联分析系统10,包括相互连接的数据采集 层100、集群数据库系统200、分析决策层300和界面显示层400。连接方式可以为以太网 线、数据线、光纤等有线形式连接,也可以使用包括WIFI在内的无线方式连接。
[0008] 数据采集层100主要包括多个状态采集设备110、多个网络数据包采集设备120和 封装处理器130。
[0009] 状态采集设备110,主要实现为传感器或自动化仪表,包括但不仅限于部署在以太 网接口的传感器,可以采集以太网口的网络速度、带宽;部署在远程网络安全设备、网络设 备、主机服务器I/O 口的自动化仪表,可以采集远程设备的主板电压、电流等性能参数。
[0010] 网络数据包采集设备120,主要实现为运行监控脚本,包括但不仅限于安装在服务 器上的监控脚本,实时监测服务器的CPU使用率、内存使用率、硬盘使用率、磁盘IO速度、缓 冲区大小、线程数量、队列长度等性能参数。
[0011] 封装处理器130,用于将状态采集设备110和网络数据包采集设备120所获取的 网络安全事件数据进行预处理和封装,并将封装好的网络安全事件数据传至决策层。对采 集设备所采集到的数据进行预处理包括但不限于剔除明显错误的数据、设定采集设备分类 标志,规范时间等操作。封装处理器130的封装操作通过简单的封装协议进行。封装协议 包括数据包头和采集数据两个部分。数据包头包括三组内容:第一组为采集设备分类标 志码,lbit,用以区分状态采集设备110和网络数据包采集设备120 ;第二组表示采集数据 的时间,精确到秒,8Byte,如果数据采集层100采集的数据时间精确到毫秒,则封装处理器 130在预处理时将其规范化为秒;第三部分表示数据来源设备的MAC地址。由于状态采集 设备110和网络数据包采集设备120分布在整个网络中,因此封装处理器130被设计为支 持TCP/IP、HTTP、FTP、UDP、蓝牙、802. 11等多种网络传输协议,从而能够完成和状态采集设 备110、网络数据包采集设备120的交互,避免异构网络造成的信息传输隔阂。另外,由于封 装处理器130对网络事件数据进行了封装,因此也简化了分析决策层200,使之不必处理各 种网络协议,决策效率更加高效。
[0012] 集群数据库系统200包括监控数据库210、关联分析策略数据库220、关联分析结 果数据库230、安全事件样本数据库240。监控数据库210用于存储数据采集层100所采集 到的性能参数相关的数据,例如状态采集设备110所采集的主板电压、电流等性能参数,网 络数据包采集设备120采集的CPU使用率、内存使用率、硬盘使用率、磁盘IO速度、缓冲区 大小、线程数量、队列长度等性能参数。关联分析策略数据库220用于存储用来进行关联分 析的策略,分为固定策略和用户配置策略两部分。关联分析结果数据库230用于存储关联 分析的历史结果,包括判定为有关联的报警安全事件、绿色安全事件和最新三天内分析的 安全事件。安全事件样本数据库240用于存储样本报警安全事件和样本绿色安全事件的名 称、安全事件的性能参数,包括但不仅限于网速、带宽、CPU使用率、内存使用率、硬盘空间使 用率、磁盘IO速度、缓冲区大小、线程数量、队列长度等。
[0013] 分析决策层300包括关联分析模块310和关联分析策略模块320。关联分析模块 310用于分析数据采集层100的封装处理器130传输来的实时安全事件和安全事件样本数 据240所存储的样本安全事件之间的关联度。关联分析策略模块320用于操作操作关联分 析策略数据库220,包括关联分析策略导入、配置、修改、保存等功能。
[0014] 分析决策层300对实时安全事件的处理步骤具体如下:
[0015] S100,使用关联分析策略模块320从关联分析策略数据库220中读取关联分析策 略,确定要使用的性能参数。
[0016] 不同的关联分析策略使用不同的性能参数。例如某个策略关注于网速、带宽和队 列长度,而另一策略关注于CPU使用率、内存使用率、硬盘空间使用率、磁盘IO速度、缓冲区 大小。
[0017] S110,从安全事件样本数据库240中读取关联分析策略所要求的样本报警安全事 件的相应能参数序列。
[0018] S120,将数据采集层100的封装处理器130传输来采集数据实时存储的监控数据 库210中,同时获取关联分析策略所要求的实时安全事件的相应性能参数。
[0019] S200,获取样本报警安全事件的相应性能参数时间序列集合为{SN},其中N为关 联分析策略中选定的性能参数个数。其中S 1= (S1 (^,S1U2),为样本报警 安全事件的第1个性能参数时间序列,tj2到t m为m段间隔相等的时间间隔。为以此类 推,S2为样本报警安全事件的第2个性能参数时间序列,直到S n为样本报警安全事件的 第N个性能参数时间序列。获取实时安全事件的相应性能参数时间序列集合为(RnKR 1 = {&(、),!?"、),···}为实时安全事件的第1个性能参数时间序列。以此类推,R2为实时安全 事件的第2个性能参数时间序列,直到R n为样本安全事件的第N个性能参数时间序列。
[0020] S300,计算S1U1)与R1U1)的差值Λ 〇1,计算S1U2)与R1U2)的差值Λ 〇2,以此 类推,得到Δ〇Ν ;获取Δ〇1到Δ〇Ν中的最大值Amax和最小值Amin并由此计算出均值
【权利要求】
1. 一种网络安全事件关联分析系统,包括数据采集层、集群数据库系统、分析决策层及 界面显示层;其特征在于:数据采集层包括多个状态采集设备、多个网络数据包采集设备 和封装处理器等;集群数据库系统包括监控数据库、关联分析策略数据库、关联分析结果数 据库、安全事件样本数据库等;分析决策层包括关联分析模块和关联分析策略模块等;界 面显示层包括参数设定模块、结果展示模块、查询模块、逻辑中间件等;所述样本安全事件 数据库存储有样本报警安全事件和样本绿色安全事件。
2. -种利用权利要求1所述的网络安全事件关联分析系统对实时安全事件进行处理 的方法,其特征在于包括以下步骤: S100,使用关联分析策略模块320从关联分析策略数据库220中读取关联分析策略,确 定要使用的性能参数; Sl 10,从安全事件样本数据库240中读取关联分析策略所要求的样本安全事件的相应 能参数序列; S120,将数据采集层100的封装处理器130传输来采集数据实时存储的监控数据库210 中,同时获取关联分析策略所要求的实时安全事件的相应性能参数; S200,获取样本报警安全事件的相应性能参数时间序列集合为{SN},其中N为关联分析 策略中选定的性能参数个数;其中S1= (S1U1), S1U2),…,Sm(〇}为样本报警安全事件的 第1个性能参数时间序列,tj 2到tm为m段间隔相等的时间间隔;以此类推,S2为样本报警 安全事件的第2个性能参数时间序列,直到S n为样本报警安全事件的第N个性能参数时间 序列;获取实时安全事件的相应性能参数时间序列集合为(RnKR 1 = (R1 U1),R1U2), ···}为 实时安全事件的第1个性能参数时间序列;以此类推,R2为实时安全事件的第2个性能参 数时间序列,直到R n为样本安全事件的第N个性能参数时间序列; S300,计算S1U1)与札(心)的差值Λ〇1,计算S1U2)与札⑷)的差值Λ〇2,以此类 推,得到Δ〇Ν ;获取Δ〇1到Δ〇Ν中的最大值Amax和最小值Amin并由此计算出均值
S310,获取51与札关联度为巧,则
为31与札 第k个性能参数的关联系数,P为分辨系数,在0?1之间;以此类推,得到S2与R2的关联 度1"2,最终得到{SN}与{RJ关联度序列{rN}; S400,根据以下公式计算关联度序列{rN}的关联因子K,K标识了实时安全事件和样本 报警安全事件的关联度;
S500,若K大于等于第一阈值Dl,则通知界面显示层向用户提示报警,将其存入关联分 析结果数据库230,并标记为报警安全事件;第一阈值Dl的经验参数为0. 8,并结束处理; 否则继续执行步骤S600。 S600,从安全事件样本数据库240获取样本绿色安全事件的相应性能参数时间序列集 合为{GN},其中N为关联分析策略中选定的性能参数个数。其中G1= (G1 U1) ,G1U2),… ,Gm(tm)}为样本绿色安全事件的第1个性能参数时间序列,tj2到t m为m段间隔相等的时 间间隔。为以此类推,G2为样本绿色安全事件的第2个性能参数时间序列,直到G n为样本 绿色安全事件的第N个性能参数时间序列。 S700,计算61(心)与1?1(七1)的差值A0' 1,计算〇1(七2)与1?1(七2)的差值A 0' 2,以此 类推,得到Λ〇' N ;获取A0' 1到A0' N中的最大值Amax^和最小值Amin'并由此 计算出均值
; S710,获取61与札关联度为r'
,为G1 与R1第k个性能参数的关联系数,P '为分辨系数,在0?1之间,优选0. 5 ;以此类推,得 到G2与R2的关联度r' 2,最终得到{GJ与{RN}关联度序列{V J ; S800,根据以下公式计算关联度序列{τ' N}的关联因子Γ,Γ标识了实时安全事件 和样本绿色安全事件的关联度;
S900,若Γ大于等于第二阈值D2,将其存入关联分析结果数据库230,并标记为绿色 安全事件,D2的经验参数为0. 8。
【文档编号】H04L29/06GK104378367SQ201410619562
【公开日】2015年2月25日 申请日期:2014年11月6日 优先权日:2014年11月6日
【发明者】孙剑波, 邓华, 季翠娜, 王志军, 杨世盛, 李树臣, 葛祖郁, 万海朝, 聂晶, 王朝阳 申请人:国网山东蓬莱市供电公司