基于多源异构的信息安全综合管理系统的制作方法
【技术领域】
:
[0001]本发明涉及网络技术、数据分析和网络安全领域,特别涉及一种基于多源异构的信息安全综合管理系统。
【背景技术】
:
[0002]基于多源异构的信息的研宄应用于社会发展的各个方面,如在智慧城市的建设中,面对不同的信息源及难以统计的信息终端,各种信息域的处理及信息终端之间的通信是一个巨大的研宄问题,随着覆盖领域越来越全面深入,各种异构数据的集成与融合迫切需要解决。除此之外,在网络舆情监控、轨交情况监控领域,对多源异构数据的综合研宄,也越来越被产业界和学术界重视。同时,随着基于多源异构的信息研宄范围的扩大,信息的安全性考虑以及综合管理,已成为一个亟待解决的问题。
[0003]目前,国内在多源异构的监测系统方面仍缺乏成体系的理论框架,国内的研宄机构或安全厂商已经实现了多个数据层面的监测和分析能力,但在关联分析上却少有突破,因此也呈现出各个层面的安全预警信息相对孤立而无法形成联动预警的局面。现有的网络系统安全分析主要是针对已经存在的漏洞攻击进行分析和监测。这种安全防御存在较为严重的不足,尤其对于电力系统网络,如果电力系统遭到网络攻击的威胁,其后果不单只是在信息领域,将直接影响到生活和生产的各个用电领域。
[0004]现有的安全系统缺乏对网络攻击深度分析与监测,从而导致安全防御能力仍然不足,表现在以下二个方面。第一,缺乏对电网中的基于多源异构的信息安全监测数据采集、融合和关联分析的有效技术及产品。对防火墙、入侵监测、漏洞扫描等安全构件分布在网络的不同环节,其安全数据也存在异构性,当把这些安全数据进行整合和分析的时候,存在兼容性、异构性等问题,因而不能使这些安全监测数据成为上层安全决策有效资源。因此必须有效解决这些多源异构安全监测数据的采集、融合问题,进而对其进行有效的关联分析,为进一步的安全防御行为提供有效的依据;第二,缺乏基于网络和主机特征的信息安全攻击深度分析技术,特别是缺乏面向电网业务的专有攻击深度分析技术。基于网络和主机的特征来实现入侵监测是相对比较成熟的技术,但是现有技术主要是对网络和主机的一些常规的参数进行分析,缺乏对网络流量、物理层参量等资源的跨层参数的深度分析。同时,目前已有的方法基本是使用基于误用检测的入侵检测系统(IDS)、入侵防御系统(IPS)、防病毒软件等。这类安全措施采用被动防御方式,只能检测已知的攻击事实,这类安全措施对攻击的检测十分依赖于特征库中特征码的数量和质量。当有Oday、APT等新型未知攻击手段的实时监测与防御新型攻击产生时,受特征库中特征码局限性的影响,不能产生报警。
[0005]因此,必须在电网系统环境中对能够引起系统安全态势发生变化的安全要素进行感知和理解,对于电网环境下各种信息终端采集的信息进行综合安全管理及分析,在此基础上,对安全态势进行联动预警,达到对网络攻击防范于未然的效果,从而最大可能的降低由于网络攻击造成的电力系统的损失。
【发明内容】
:
[0006]为了解决上述现有技术的不足,本发明提供一种基于多源异构的信息安全综合管理系统,通过监控用户网络环境中各种类型资产设备的安全情况,采集整理信息并进行融合与存储,从而进行关联分析并定位事件源,进行联动响应与告警提示。
[0007]本发明的技术方案如下:
[0008]一种基于多源异构的信息安全综合管理系统,其特点在于,包括管理中心端、管理代理端、采集代理端和相关的网络安全设备;
[0009]所述的管理中心端,对采集到的数据进行数据处理,并存储海量数据;
[0010]所述的管理代理端,对每个采集代理端上报上来的数据进行集中管理和统计分析,并将分析的结果上报到管理中心端,用于提供系统的拓补图WEB、状态展示WEB、统计及报表和事件分析及处理;
[0011]所述的采集代理端,采集多源异构数据信息,其事件和统计数据的传送拥有各自独立的通道;
[0012]所示的网络安全设备,包括防火墙和IPS安全设备,用以实现对网络的安全管控。
[0013]所述的管理中心端包括事件统计分析模块和数据统计分析模块;
[0014]所述的事件统计分析模块,包括安全事件预处理、事件归一化和事件归并:
[0015]所述的安全事件预处理对采集到的安全信息进行甄别,筛选出安全事件相关信息,剔除无用信息。
[0016]所述的事件归一化是将收集到的来源各种设备不同格式的事件归一化为统一的标准事件格式;
[0017]所述的事件归并是通过归并,减少事件数量,提高系统的处理能力。
[0018]所述的数据统计分析模块包括数据关联分析及数据标准化:
[0019]所述的数据关联分析是实现对来自不同安全设备/系统产生的不同类型的事件进行实时关联,在海量事件中准确定位安全问题;
[0020]所述的数据标准化是对于已知的安全事件应能够及时发现并告警,报警信息能够按照不同管理域、不同类别和不同威胁等级进行事件等级处理。
[0021]所述的管理代理端,包括拓补发现管理中心、状态监控中心及事件和上报数据处理中心:
[0022]所述的拓补发现管理中心,用于编辑整个网络结构及网络设备、查看网络设备的状态及流量、查看网络设备实时动态信息、自动发现网络设备。
[0023]所述的状态监控中心,通过监控设备获得设备运行状态信息,结合拓补发现管理中心,在拓补管理端实时显示个节点的运行状态信息和性能指标,为安全管理代理提供原始数据。
[0024]所述的事件和上报数据处理中心,对每个采集代理端上报的安全事件信息数据进行集中管理和统计分析,并将分析的结果上报到管理中心端。
[0025]所述的采集代理端,包括设备发现模块,状态监控模块及事件和日志采集模块:
[0026]所述的设备发现模块,采集设备的硬件参数信息;
[0027]所述的状态监控模块,负责对所传播的数据进行捕获及分析工作;
[0028]所述的事件和日志采集模块,判断捕获到的信息识别是否含有标签,且根据识别结果和信息判断是安全事件信息还是日志信息,将信息送入后续的管理代理端事件和上报数据处理中心进行具体分析。
[0029]与现有技术相比,本发明的有益效果是实现了管理数据的标准化、管理接口的标准化,从而保证平台具有良好的可用性、开放性和易维护性;通过强大的数据采集模块对网络中种类繁多的运行数据进行分布采集,集中存放,大大提高了网络管理员对网络状况的实时监控能力;对网络中安全设备,安全资源,以及路由器、应用服务器等设备实现历史数据分析管理及信息综合审计,能够图形化地将分析结果显示给用户,交互体验更佳。
【附图说明】
:
[0030]图1系统基本架构及工作流程图。
[0031]图2多源异构安全监测数据采集框架图
[0032]图3数据采集系统框架图
[0033]图4关联分析框架图
【具体实施方式】
:
[0034]下面是对本发明的实施例作详细说明,本发明实施例在以本发明技术方案为前提下实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下面的实施例。
[0035]参照图1,一种基于多源异构的信息安全综合管理系统包括:管理中心端、管理代理端、采集代理端和相关的网络安全设备。其中,采集代理端包括三个数据采集模块,分别是设备发现模块,用以采集设备信息;状态监控模块,用以采集网络状态信息;事件和日志采集模块,用以采集安全事件信息和日志信息。所述状态监控模块和事件日志采集模块的数据抓取系统是一种基于多Agent的网络数据采集系统,包括基于SNMP、CDP的主动数据采集方法、基于sFlow技术的主动数据采集方法、基于多协议的网络数据主动采集方法和基于侦听网络数据包的被动流量采集方法。
[0036]基于多Agent的网络数据采集系统主要是设计一种基于Agent的数据采集模型,通过Agent之间的通信来协调各个采集Agent之间的工作