一种集中管控中心态势感知与事件响应协同分析实现系统的制作方法

1.本发明涉及网络安全、soc（security operation center）、信息共享、数据加密、网络事件处理和网络事件报告的技术领域，尤其涉及到一种集中管控中心态势感知与事件响应协同分析实现系统。


背景技术：

2.安全生产历来是保障各项工作有序开展的前提，也是考核各级领导干部的否决指标。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络及信息系统高效稳定地运行，是企业一切市场经营活动和正常运作的基础。
3.当前，企业的网络及信息系统都不同程度地部署了各种不同的集中管控的设备，有效地提高了劳动生产率，降低了运营成本，已经成为企业高效运营的重要支撑和生产环节中不可缺少的一环。一方面，因为一旦网络及各业务系统出现安全事件或故障，如果不能及时发现、及时处理、及时恢复，这势必直接影响承载在其上所有业务的运行，影响企业的正常运营秩序，涉及到客户的系统将直接导致用户投诉，满意度下降，企业形象受到损害，对于企业网络的安全保障就显得格外重要。另一方面，现代的高级网络威胁，尤其是多阶段的网络攻击，例如，stuxnet，利用了企业之间的相互依赖性，网络攻击者侵入了多个企业，将它们被用作到达目标的垫脚石。因此，为了应对这类威胁，多个企业之间需要一种协同机制来保护其业务，这种机制不完全使用从本企业采集的信息，而是另外还要采集其它企业共享或公开的相关观察结果，加以分析，及时披露此类网络攻击和迅速部署缓减策略等，并作出快速协同和协同反应。快速协同和协同反应是减轻网络威胁影响到越来越多的企业和/或减轻网络威胁进一步地在多个企业之间传播和连锁影响的关键；但是，现有的集中管控，仅负责本企业范围内的安全运维与管理服务。集中管控之间是相互隔离和孤立的，没有任何的联系。
4.由于各种网络攻击技术也变得越来越先进，越来越普及化，企业的网络系统面临着随时被攻击的危险，经常遭受不同程度的入侵和破坏，严重干扰了企业网络的正常运行；日益严峻的安全威胁迫使企业不得不加强对网络及业务系统的安全防护，不断追求多层次、立体化的安全防御体系，尽一切可能来保护企业网络及业务系统正常运营。


技术实现要素：

5.为了解决上述技术问题，本发明提供了一种集中管控中心态势感知与事件响应协同分析实现系统，基于特征提取与协同事件分析模型，所述实现系统的组件从集中管控和公开网络情报采集数据，将采集到的所有数据关联起来，进行分析，并最终为所服务的企业提供威胁情报和缓减策略，整个过程既有自动化的，也有人参与的，以确保集中管控中心能够对集中管控的发生事件做出充分的决策并快速实施应对措施，解决了跨越企业边界的数据共享、安全态势感知与事件响应协同的问题。
6.一种集中管控中心态势感知与事件响应协同分析实现系统，其特征在于，提供了
能够应用于跨越企业边界的关键基础设施网络事件综合管理的模型，所述实现系统，包括集中管控情报输入组件、公开网络情报输入组件、原始资源存储组件、搜索索引组件和分析引擎组件；所述集中管控情报输入组件，通过两种方式输入数据或情报，一种是基于集中管控界面输入到集中管控中心，另一种是由集中管控自动提交到集中管控中心；所述公开网络情报输入组件，主动或被动地从公开网络情报组织获取最新信息；所述原始资源存储组件，接收来自集中管控情报输入组件的事件信息和共享数据，并对每个事件信息和共享数据的内容进行验证、清理，然后，将以只读方式保存；所述搜索索引组件，将每个事件信息和共享数据的副本保存在搜索索引中，从中按照事件信息和共享数据id进行检索，也能够通过对事件信息和共享数据的所有属性进行全文搜索来检索；所述分析引擎组件，基于特征提取与协同事件分析模型，将从集中管控和公开网络情报采集到的所有数据关联起来，进行分析，并最终为所服务的企业提供威胁情报和缓减策略，整个过程既有自动化的，也有人参与的，包括输入处理组件、评估组件、元数据存储组件、集中管控中心用户仪表盘和管理仪表盘；所述评估组件，能够从采集的数据中得出结论的核心组件，它以可配置的间隔周期性地查询元数据存储组件和搜索索引组件，基于特征提取与协同事件分析模型，跟踪工件和资源之间的相互依赖关系，估计资源之间的相似性，并将其归属于某一个分组和分类，从而识别并优先考虑当前分析的资源具有最高针对性的资源，发现根原因事件，并且根据此根原因事件来评估该事件影响的严重程度和影响范围，基于事件影响的严重程度和影响范围，向涉及的各个集中管控提供威胁情报和缓减策略，另一方面，评估组件还根据集中管控中心定义的分类法确定根原因事件的类别，然后，评估组件将事件类别映射为威胁类型，事件评估过程的一个重要输出就是由专家团队给出的事件影响分析。
7.进一步地，所述基于特征提取与协同事件分析模型，计算资源与其样本资源的链接，将资源和资源之间的链接确定为中每个工件的分数总和：=+fb，其中，n是在中出现的工件的数量，fb是表示安全经理对链接的优点的反馈值，其值可以大于或小于零，=(tfidf(,,),tfidf(,,),freq(, r))，tfidf(a, r, rm) 为考虑到在具有相同工件的资源集合中，确定资源r中工件a逆频率的文档频率权重的函数，freq (a, r)为函数返回所有资源集合r中工件a的布尔频率之和，为可定制评分函数。
8.进一步地，所述输入处理组件，从原始资源存储组件和公开网络情报输入组件中采集资源，并检查它们是否出现已知工件或新工件，所有检测到的事件和新工件都保存到元数据存储组件中，而新资源则转发到搜索索引组件中。
9.进一步地，所述元数据存储组件，存储了集中管控中心态势感知与事件响应协同分析实现系统中生成的所有数据，包括已知的工件、工件与资源之间的关系、资源归属于的组和类、集中管控中心的安全人员添加到工件或资源中的注释。
10.进一步地，所述集中管控中心用户仪表盘，是集中管控中心人员使用本技术所述实现系统的主要方式，并支持多屏融合，它提供了包括多个集中管控的安全综合视图和编程接口，并能够快速访问事件报告、查询分析系统、查询分析系统的反馈和搜索资源，为集
中管控中心安全经理和专家团队提供可视化的安全态势感知，包括web服务器、数据服务器、主控交换组件和数据库。
11.进一步地，所述管理仪表盘，允许安全管理人员手动调整系统参数并直接访问元数据存储组件，它用于系统维护。
12.进一步地，所述事件影响分析，根据所述的根原因事件和所述的网络拓扑所构成的相互依赖模型来进行事件影响的严重程度和影响范围的分析，对依赖于资产的每个服务的风险进行评估，包括累积风险、风险级别、平均风险和最大风险。
13.本发明的技术效果在于：在本发明中，提供了一种集中管控中心态势感知与事件响应协同分析实现系统，其特征在于，提供了能够应用于跨越企业边界的关键基础设施网络事件综合管理的模型，所述实现系统，包括集中管控情报输入组件、公开网络情报输入组件、原始资源存储组件、搜索索引组件和分析引擎组件；所述分析引擎组件，包括输入处理组件、评估组件、元数据存储组件、集中管控中心用户仪表盘和管理仪表盘。通过本发明，解决了跨越企业边界的数据共享、安全态势感知与事件响应协同的问题。
附图说明
14.图1是一种集中管控中心态势感知与事件响应协同分析实现系统的集中管控中心的架构示意图；图2是一种集中管控中心态势感知与事件响应协同分析实现系统的工件关系的示意图；图3是一种集中管控中心态势感知与事件响应协同分析实现系统的资源链接的示意图；图4是一种集中管控中心态势感知与事件响应协同分析实现系统的组件示意图；图5是一种集中管控中心态势感知与事件响应协同分析实现系统的事件影响的严重程度的示意图；图6是一种集中管控中心态势感知与事件响应协同分析实现系统的gui的示意图。
具体实施方式
15.下面是根据附图和实例对本发明的进一步详细说明：图1是一种集中管控中心态势感知与事件响应的协同分析实现系统的集中管控中心的数据处理流程的模块示意图。本技术包括集中管控和集中管控中心两种节点，集中管控中心为中心节点，而集中管控为边缘节点，构成星型网络拓扑图结构。集中管控中心从边缘节点的集中管控采集数据，甚至从公开网络情报/或开放网络情况/或第三方采集数据，而集中管控自动转发自身采集数据到集中管控中心的采集模块，而且还向集中管控中心上报可能具有跨企业相关性的战略事件，并负责所属企业范围内的入侵和威胁检测。
16.一旦事件数据在集中管控中心被采集、清洗和划分优先顺序之后，数据聚合和事件分析就开始了。分析引擎就是负责这些功能的组件。
17.分析引擎从多个可信来源采集安全情报，将相关信息与已报告的网络事件相结合和关联，并就发生的安全问题得出可能的结论。事件信息关联考虑了知识库中可用的所有
相关数据。这包括以前为应对类似事件而采用的所建议的解决方案和缓减策略，以及被认为对解决过去类似情况有用的建议和观察结果。所述的实现系统，能够自动确定报告问题与知识库中包含的所有其他重要资源之间的相似性，以便简化分析；此外，还考虑并参考安全人员的反馈。安全人员（包括安全经理、安全运维服务人员和专家团队）可以通过接受或拒绝每个自动关联（或导出的结论），对它们的有用性进行评分并提供有关它们的评论来训练系统。
18.集中管控中心的存储模块保留了两个数据存储器，大数据存储子模块作为一个内部数据存储器，用于数据采集和数据融合，而另一个外部数据存储器用于数据共享。集中管控只能访问集中管控中心的外部存储器，内部存储器是私有的，只能由集中管控中心本身访问（此处存储机密信息）。加密的数据可以存储在外部数据存储器中。这有助于信息共享并保持高度的安全性，因为未经授权的用户无法访问信息，即解密加密的数据。
19.集中管控生态系统内的安全信息共享基于共享实体之间建立的信任关系。在集中管控生态系统内所预见的层次结构中，集中管控报告安全信息需要信任它的集中管控中心，集中管控中心负责采集和分析这些信息。另一方面，从不同的集中管控获取安全信息的集中管控中心必须评估报告实体的可信性，以便正确地解释、判断和优先排序所接收的信息。奖励机制可以激励集中管控及时提供相关的、信息丰富的事件报告。共享高质量安全信息的集中管控得到了回报，它们在共享社区中的声誉也得到了提高。
20.在某些报告的事件中，快速协同和协同反应是减轻影响和/或减轻进一步传播和连锁影响的关键。因此，需要一个协同功能来支持分散的利益相关者和虚拟社区，并集成广泛的协同功能，为用户提供一个单一的、统一的解决方案。这种先进的网络防御协同工具应支持：1、外循环的开放合作工作；2、内循环的小组合作工作和网络防御决策支持；3、增强态势感知和对抗复杂攻击；协同功能必须建立在集中管控中心层次上。各个集中管控都要连接到集中管控中心协同环境上。
21.具体地说，图1态势感知与事件响应的协同分析实现的过程，按照图1中箭头所示的方向进行。
22.首先，由互联接入模块的安全网关子模块和解密子模块来接收加密数据（如果数据已被加密的话），并转发给采集模块，所述数据包括多个集中管控发送过来的采集数据、多个集中管控共享的战略信息和公开的网络情报信息。
23.采集模块采用先进的数据采集和数据融合技术，实现了多种数据的快速导入和清洗；然后，转发给处理模块。
24.处理模块根据信誉管理报告适配子模块，来划分这些数据的优先级，并发送给聚合和分析模；为了实现可信和有效的信息交换，本技术根据一组静态和动态参数，采用一种机制来评估集中管控的信誉。该模型根据每个报告实体的可信度确定其服务级别。高度信任的集中管控得益于集中管控中心的事件处理的更高优先级，对相关非机密安全信息的完全访问以及定制的事件缓减支持；信誉属性用一个介于1和5之间的评分值来表示，该评分值对集中管控的可信度及其生成的事件报告的质量进行了评级，将加密算法应用于共享信
息时会考虑此信誉属性，因此特定的详细信息只能由信誉度较高的集中管控来访问，而信誉度较低的集中管控只能访问通用安全报告。
25.聚合和分析模块的事件聚合子模块和事件分析和关联子模块，基于特征提取算法聚合采集的数据，并允许分析引擎对其进行检查，并将其与安全存储在知识库中的先前处理的资源进行比较，然后，发送给评估模块。
26.最后，评估模块允许通过评估分析结果并得出报告事件的根原因（root cause）来获得网络态势感知，然后基于详细的动态的网络拓扑所构成的相互依赖模型进行影响分析，得出缓减措施。
27.整个事件响应的协同分析的过程，由工单工作流管理器组织，并由可视化的仪表盘支持，该仪表盘可在整个过程的不同阶段及时向安全人员显示相关信息。
28.整个事件响应的协同分析的管理过程，由负责关键决策任务的安全运维服务人员、安全经理和专家团队进行监督。
29.建立安全连接，从其他集中管控或公开资源处导入事件报告和威胁数据，向集中管控导出威胁情报和缓减策略，并与第三方组织交换相关信息。这些操作通过互连输入模块和互联输出模块来执行，互连输入模块和互联输出模块包括安全网关和高级加密与解密方法。协同模块提供多种即时通信机制，实现不同集中管控和集中管控中心之间的即时信息交换。
30.为了方便维护任务和审核过程，每个模块或子模块都采用了高级日志功能，并将日志消息转发到存储模块的大数据存储子模块中。
31.图2是一种集中管控中心态势感知与事件响应协同分析实现系统的工件关系的示意图。它描绘了包括在不同资源中的工件（artifact）的示例，并给出了四个资源如何彼此链接的示意图。连接资源的线的厚度表示资源之间的重要性，并与计算的链接成比例。本技术将资源定义为采集并存储在所述实现系统中的任何相关文档，例如，来自各个集中管控的事件报告、安全建议、安全咨询、论坛帖子或电子邮件。资源在集中管控中心的处理过程中是不会改变的。安全人员和分析引擎都可以将资源属性分为组和类。现有类由集中管控中心人员来定义，而组则由知识库评估分析系统发现。
32.图3是一种集中管控中心态势感知与事件响应协同分析实现系统的资源链接的示意图。它给出了工件关系图。一个工件标识一个特定的概念和无限数量的文本表示（短语或正则表达式）。系统使用这些表示来检测文本中的概念，例如术语“windows 7”和“ms
‑
win7”标识相同的工件“mswindows 7”。两个工件可以建立多个单边的“is
‑
a”关系，比如linux is
‑
a操作系统，或者fedora和debian is
‑
a linux。工件出现的频率是用于估计资源之间相似性的基本度量之一。作为工件反映的概念越多，每个资源的可用信息就越多。
33.标签tag是一个文本标签，可以附加到一个资源或工件上，显示它们与其中未明确提及的某个概念的连接。例如，集中管控中心的服务提供商可能会将描述具有高度针对性的鱼叉式网络钓鱼攻击的报告标记为“疑似apt”和“社会工程”，尽管其中没有apt（advanced persistent threat 高级持续性威胁）或社会工程这两个术语。标签还帮助操作人员以直观和灵活的方式对资源和工件进行分组。
34.资源可以由集中管控或集中管控中心的人员手动添加到本技术所述的态势感知与事件响应的协同分析系统中，也可以通过预配置的导入接口（如web爬虫或远程数据库
api）自动添加到态势感知与事件响应的协同分析系统中。当所述实现系统获取一个新文档时，它的文本首先被索引到搜索引擎；然后在系统中创建一个资源对象，引用搜索索引条目。因此，将扫描资源的文本以查找系统已知的工件或可能的新工件。基于检测到的工件和原始文本本身，系统尝试将资源属性为已知的类和组。最后，新资源被转发给安全经理进行评估，安全经理可以确认或拒绝。工件可以由系统根据预定义的规则创建，也可以由集中管控或集中管控中心的安全经理手动创建。所有存储的资源将定期扫描新添加的工件的出现；如果工件被删除，其出现的记录也将被删除。此外，如果系统发现与安全经理定义的某个规则相匹配的短语，例如“以大写字母开头的两个单词”，则系统可能会创建新的工件。这种行为不同于基于正则表达式检测单个工件的表示：在这种情况下，文本匹配被标记为现有工件的出现，这里创建一个新工件，并将其第一个表示字符串设置为与规则匹配的字符串。
35.本技术所述的态势感知与事件响应协同分析实现系统的分析过程旨在识别与所研究资源或给定文本相关的所有现有资源，推导资源之间可能的相关性，并揭示资源随时间和地点分布的模式。下面将介绍本技术的分析引擎所采用的事件分析模型。
36.资源链接过程基于资源和工件之间的相互关系。如果资源的文本至少包含某个工件，则认为该工件与资源相关。每个关系进一步被称为资源中工件的出现。一个资源可能有也可能没有任意数量的任何工件。
37.给定某个资源，包含工件、、和，该算法计算其与样本资源的链接。
38.设r是所有资源的集合，是至少有一个与相同的工件的资源集合。假设={，，，}，并设是和中出现的一组工件。假设它包含工件、和：={、}。
39.现在，对于中的每个工件，将评级分数定义为：=(tfidf(,,),tfidf(,,),freq(, r))其中：tfidf(a, r, rm) 为考虑到具有相同工件的资源集合，确定资源r中工件a逆频率的文档频率权重的函数；freq (a, r)为函数返回所有资源集r中工件a的布尔频率之和；为可定制评分函数；然后，将和之间的链接确定为中每个工件的分数总和：=+fb其中，其中n是在中出现的工件的数量，fb是表示安全经理对链接的优点的反馈的可选值（其值可以大于或小于零）。
40.如图3所示，给出了四个资源如何彼此链接。连接资源的连线的厚度表明资源之间的重要性，并且与计算的链接成比例。
41.图4是一种集中管控中心态势感知与事件响应协同分析实现系统的组件示意图，包括集中管控情报输入组件、公开网络情报输入组件、原始资源存储组件、搜索索引组件和分析引擎组件；所述集中管控情报输入组件，通过两种方式输入数据或情报，一种是基于集中管控界面gui输入，另一种是由集中管控自动提交给集中管控中心；
所述公开网络情报输入组件，主动或被动地从公开网络情报或各个集中管控中获取新的资源或文件情报。
42.所述原始资源存储组件，接收来自集中管控情报输入组件的资源或文档（或者说，事件和共享数据），并对每个资源或文档的内容进行验证、清理，然后，将以只读方式保存。
43.所述搜索索引组件，将每个资源的副本保存在搜索索引中，从中按照资源id进行检索，也能够通过对资源的所有属性进行全文搜索来检索。
44.所述分析引擎组件，基于特征提取与协同事件分析模型，将从集中管控和公开网络情报采集到的所有数据关联起来，进行分析，并最终为所服务的企业提供威胁情报和缓减策略，整个过程既有自动化的，也有人参与的，包括输入处理组件、评估组件、元数据存储组件、集中管控中心用户仪表盘和管理仪表盘。
45.进一步地，所述输入处理组件，从原始资源存储组件和公开网络情报输入组件中采集资源，并检查它们是否出现已知工件或可能的新工件。所有检测到的事件和新工件都保存到元数据存储组件中，而新资源则转发到搜索索引组件中；同时，根据诸如信誉属性来划分这些数据优先级。
46.进一步地，所述评估组件，能够从积累的数据中得出结论的核心组件，它以可配置的间隔周期性地查询元数据存储组件和搜索索引组件，以跟踪工件和资源之间的相互依赖关系，它还可以估计资源之间的相似性，将它们归属于某一个分组，并建议对它们进行分类，以识别并优先考虑当前分析的资源具有最高针对性的资源和找出根原因事件，并且根据此根原因事件来评估该事件影响的严重程度和影响范围，另一方面，评估组件就根据集中管控中心定义的分类法确定根原因事件的类别，然后，评估组件将事件类别映射为威胁类型。事件评估过程的一个重要输出就是由专家团队通过影响分析而确定事件影响的严重程度和影响范围，该事件影响的严重程度必须让所属集中管控或所属企业考虑，事件评估过程还要考虑受影响的服务和场所，以评估与事件相关的威胁相关的风险。这需要在评估阶段了解部署在不同场所的可用资产，涉及资产管理和由资产构成的网络拓扑图，这需要集中管控将共享诸如运营服务列表和其在各地的站点位置的信息，以及需要集中管控共享服务依赖的信息。当其中一个集中管控中心识别出一个大规模的网络攻击目标时，它会向受影响的集中管控共享和发布该攻击信息。因此，即使集中管控目前还没有受到网络攻击的直接影响，也可以提高这些受影响的集中管控的感知水平。在确定事件影响的严重程度之后，负责缓减措施的安全专家开始决定如何处理事件以及通知谁。由于事件对每个企业的影响很可能不同，集中管控中心只能建议如何应对威胁。集中管控中心给出的建议可以说明应该做什么以及为什么这么做很重要，但如何做是所属的集中管控的责任，因为只有它们才能知道它们的过程的目标组件的关键性。在集中管控的安全运维服务人员在实施任何保护机制之前进行适当的影响分析和风险评估，以避免对正常运行造成负面影响。
47.进一步地，所述元数据存储组件，存储了集中管控中心态势感知与事件响应协同分析实现系统中生成的所有数据，包括已知的工件、工件与资源之间的关系、资源归属于的组和类、集中管控中心的安全人员添加到工件或资源中的注释。
48.进一步地，所述集中管控中心用户仪表盘，是集中管控中心人员使用本技术所述实现系统的主要方式，并支持多屏融合，它提供了包括多个集中管控的安全综合视图和编程接口，能够快速访问事件报告、查询分析系统、查询分析系统的反馈和搜索资源，为集中
管控中心安全经理和专家团队提供可视化的安全态势感知。
49.进一步地，所述管理仪表盘，允许管理人员手动调整系统参数并直接访问元数据存储组件，它用于系统维护。
50.图5是一种集中管控中心态势感知与事件响应协同分析实现系统的事件影响的严重程度的示意图，对依赖于资产的每个服务的风险进行评估。
51.风险评估过程基于以下原则：1、累积风险：每项服务和每种威胁类型的风险值评估为一年期间事件影响严重程度和事件发生率的乘积。整个服务风险值称为服务累积风险。它是与服务相关的所有威胁的风险值之和；2、风险级别：已确定累积风险的阈值；3、平均风险和最大风险：作为补充信息显示。这有助于理解是否由于大量事件、高影响事件或两者都造成了高风险。
52.集中管控风险级别用与服务相同的阈值，从集中管控累积风险（集中管控的服务累积风险之和）中推导出来的。集中管控中心风险级别由考虑其所有集中管控时的最大或平均风险级别给出。选择计算（最大值或平均值）是一个配置参数。
53.当集中管控中心安全经理处理输入的事件报告时，gui（graphical user interface图形界面）将使用评估组件的搜索和过滤api来显示与当前上下文相关的资源列表。安全经理可以通过设置额外的筛选条件来缩小结果集的范围（例如，仅显示2021年4月2日添加的资源和来自两个特定来源的资源）。
54.图6是一种集中管控中心态势感知与事件响应协同分析实现系统的gui的示意图。仪表盘由一个web服务器和一个专用于安全态势感知的数据服务器所组成，并嵌入了一个主控交换组件，该组件旨在将连接到仪表盘的安全运维人员的请求切换到数据服务器。来自多个数据服务器的反馈由主控交换整合。仪表盘不存储来自数据服务器的数据，以避免重复。它们只被处理并保存在内存中。然而，仪表盘有一个特定的数据库，用于存储用户帐户和特定于该仪表盘的其它数据。
55.本技术支持多屏融合，移动仪表盘为现场人员提供网络安全事件和威胁相关数据。安全经理能够根据移动仪表盘设备上显示的现场信息做出合格的决策。
56.为了建立良好的集中管控中心安全态势感知并为所有的集中管控增加价值，集中管控平等且及时地分享有关事件的信息非常重要。因此，本技术支持为各个集中管控来创建sla（ser
‑ꢀ
vice level agreements 服务级别协议）。此外，通过定义向集中管控中心报告事件的时间限制，事件信息可以作为早期预警进行共享。
57.以上所述仅为本发明的较佳实施例，并非用来限定本发明的实施范围；凡是依本发明所作的等效变化与修改，都被视为本发明的专利范围所涵盖。