一种基于图数据库的分层多域可视安全运维方法与流程

本发明涉及安全运维技术领域，具体涉及一种基于图数据库的分层多域可视安全运维方法。

背景技术：

随着信息技术的不断发展，计算机与互联网技术的应用已成为各组织机构实现资源存储、信息共享和业务拓展的基本方法。但与此同时，网络安全问题日益凸显，网络攻击连年增长，攻击手段不断变化，攻击威胁逐年增大，各类安全事件的频发给组织造成了极大的经济损失，在此背景下，安全运维的建设显得十分必要。然而，随着网络规模的不断扩大，网络结构的逐渐复杂，安全产品的不断增多，使得安全运维难度不断增大，传统的安全运维方法渐渐不能满足网络结构不断复杂、网络应用服务不断增加、网络攻击面不断扩大情况下对安全运维敏捷、高效、可见性上的需求，其主要存在的技术问题体现在以下两个方面：

1.传统安全运维方法使用rdbms关系型数据库管理系统对各类安全数据进行存储与管理，然而随着数据量的不断增大，数据关系的不断复杂，使用rdbms对数据进行管理存在两个方面的问题：一方面由于其具有严格的schema及复杂的表关系，导致其在数据库设计建模上需要花费大量的人力物力；另一方面由于其acid及join操作，导致其在对大数据的查询分析效率及关系表达上不能满足相应的需求。

2.传统的安全运维在可视化上多以折线图、柱状图、饼图等形式呈现网络安全运维状况，这类可视化方法在一定程度上解决了安全运维数据的可视化问题，但其缺乏对整体网络环境安全问题及事件分布的直观物理表达，同时缺乏对整体安全态势的关联呈现。

技术实现要素：

本发明所要解决的是传统安全运维方法在面对复杂网络环境下的数据建模、查询、分析和呈现上所存在的不足，提供一种基于图数据库的分层多域可视安全运维方法。

为解决上述问题，本发明是通过以下技术方案实现的：

一种基于图数据库的分层多域可视安全运维方法，包括步骤如下：

步骤1、构建出一个分层多域安全运维模型；

步骤2、建立分层多域安全运维模型的各个域的uml图；

步骤3、通过在出口网关外部接口位置、提供网络应用服务的位置和用户可接入位置上部署相应职能的传感器，对分层多域安全运维模型的各个域所需数据进行采集；

步骤4、将分层多域安全运维模型的各个uml图映射至图数据库中；

步骤5、对图数据库进行查询及分析，以实现可视化的安全运维。

上述步骤1的子步骤如下：

步骤11、建立一个包括基础安全层、安全分析层和威胁情报层的分层运维模型；

步骤12、向基础安全层中添加拓扑结构域、系统服务域、安全策略域和人员信息域；向安全分析层添加依赖关系域、网络安全域和用户安全域；向威胁情报层添加威胁情报域；

步骤13、分析各域间的邻接关系，将互为邻接域之间的交集描述为一个邻接层；由此构建出一个分层多域安全运维模型；

上述步骤12中，向威胁情报层添加基于stix标准的威胁情报域。

上述步骤4中，所述图数据库为neo4j或orientdb。

从uml图映射到neo4j图数据库的过程为：将uml图中的类作为neo4j图数据库中的节点，将uml图中类的属性作为neo4j图数据库中相应节点的属性，将uml图中的类所在域的名称作为neo4j图数据库中相应域的节点的标签，将uml图中连接关系作为neo4j图数据库中两个相应节点之间的关系。

从uml图映射到orientdb图数据库的过程为：根据建立的域及域内的继承关系，将uml模型的各层级关系表示为orientdb图数据库中的逐层继承关系，uml图中组合、继承等关系在orientdb图数据库中使用类的定义与继承进行实现，将uml图中的类作为orientdb图数据库的顶点，将uml图中各类之间的连接关系作为orientdb图数据库的边。

本发明将图数据与安全运维相结合，利用图数据技术，解决了安全运维分析与管理上出现的复杂网络难以管理、运维敏捷性不高、查询分析效率较低与可视化程度不高等问题，与现有技术相比，本发明的有益效果为：

1.利用图数据具有处理大数据及复杂关系的能力，用其描述关系复杂的网络环境与安全事件，解决了复杂网络下安全运维难的问题；

2.利用图数据库无须对数据库模型进行过多设计，以及其具有的schema-less特点，减少了开发成本与建模时间，提高了运维的敏捷性；

3.利用图数据库查询无须join操作的特点，及其具有横向扩展的能力，提高了数据查询时的执行效率；

4.利用图数据库原生的图分析技术及可视化查询技术，提高了安全运维人员的查询分析效率，帮助其迅速发现、定位与解决安全问题。

附图说明

图1是基于图数据库的分层多域可视安全运维方法的总体框架图；

图2是图1中拓扑结构域的uml图；

图3是图1中系统服务域的uml图；

图4是图1中安全策略域的uml图；

图5是图1中人员管理域的uml图；

图6是图1中依赖关系域的uml图；

图7是图1中网络安全域的uml图；

图8是图1中用户安全域的uml图；

图9是图1中威胁情报域的uml图。

具体实施方式

本发明将安全运维分为基础安全层、安全分析层和威胁情报层，同时将各层功能划分为单个或多个域，其中划分基础安全层为拓扑结构域、系统服务域、人员信息域和安全策略域，划分安全分析层为依赖关系域、网络安全域和用户安全域，威胁情报层则由相应的威胁情报标准域组成。方法通过将各域的结构关系与属性特征转化为相应的uml图，同时在指定网络位置上部署相应职能的传感器，对各域所需数据进行采集，并通过相应api，完成uml图向图数据库的映射，实现可视化的安全运维。方法将图数据库技术与安全运维相结合，降低了安全运维难度，提高了安全运维分析效率。

下面以orientdb图数据库为例，对一种基于图数据库的分层多域可视安全运维方法进行说明，具体包括步骤如下：

步骤s1、建立一个分层多域安全运维模型，如图1所示。

s11、建立一个分层运维模型，模型分为三层：基础安全层，用于描述网络基本环境与基本安全信息；安全分析层，用于对各类安全问题及安全事件进行查询与分析；威胁情报层，用于对安全分析层的内容进行关联整合，还原出攻击画像。

s12、向各层模型中添加单个或多个相应的域，其中向基础安全层中添加拓扑结构域、系统服务域、安全策略域和人员信息域；向安全分析层添加依赖关系域、网络安全域和用户安全域；向威胁情报层添加基于stix标准的威胁情报域。

s13、分析各域间的邻接关系，将互为邻接域之间的交集描述为一个邻接层，用以表明各域间的连通性及其通信介质。

步骤s2、建立各域相应的uml图。

对于拓扑结构域的uml图的构建：根据组织机构中相应的网络拓扑图,对其进行分割、提取、分类等操作，将其转化为相应的uml图。其中，将网络拓扑分割为网络设备、计算机和安全区域几个类；将网络设备和计算机中的接口这一概念提取出来，作为一个单独的类。网络设备作为父类派生出通信设备和安全设备等子类，同时，通信设备又作为父类派生出路由器和交换机等子类，安全设备又作为父类派生出防火墙和网闸等子类。计算机作为父类派生出服务器和用户终端等子类，同时，用户终端又作为父类派生出个人计算机、笔记本电脑、手机和平板等子类。安全域由非信任区域、非军事区域、信任区域、数据中心等复合聚合而成。各类网络设备之间以路由、交换、连接等关系连接。如图2所示。

对于系统服务域的uml图的构建：结合拓扑结构域，将网络环境中各服务器及关键终端使用的操作系统和开放的各类服务与应用信息转化为相应的uml图。其中，系统服务由操作系统、服务、应用等类复合聚合而成，同时网络接口作为单独的类通过开放端口监听服务类，计算机类、操作系统类、服务类以及应用类之间以运行和实例等关系相连。如图3所示。

对于安全策略域的uml图的构建：根据网络环境中相应网络安全防御设备制定的一系列规则与安全策略信息，将安全设备、域和接口类聚合，相互之间以行为和策略关系相连。同时，将人员、账号、服务和应用作为单独的类聚合，相互之间通过行为关系相连。如图4所示。

对于人员管理域的uml图的构建：根据相应的人员管理信息，对人员的部门、所在小组、拥有的计算机与账号、账号的权限等信息转化为相应的uml图。人员管理由人员、部门和组这几个类复合聚合而成，部门作为父类根据组织机构实际情况派生出研发部、财务部、人事部等子类。如图5所示。

对于依赖关系域的uml图的构建：根据基础安全层的网络拓扑及系统服务信息制定相应的安全依赖关系uml图。其中，依赖关系由操作系统、网络服务、应用、服务及编程语等类聚合而成，这些类之间存在依赖关系，而这些类都存在漏洞，漏洞由cve漏洞、svss系统、等级和解决方案等类聚合而成。操作系统作为父类派生出windows、linux、mac等子类；网络服务作为子类派生出dns服务、web服务、文件服务、电子邮件服务等子类；编程语言作为父类派生出java语言、python语言、php语言等子类。如图6所示。

对于网络安全域的uml图的构建：根据基于网络的和基于主机的安全事件及异常信息构建uml图，其中，网络安全由安全事件源、异常、基于特征的检查、等级和事件序列这些类聚合而成，这些类之间以相应的行为关系连接。时间序列由年、月、日、时、分和时间戳这些类复合聚合而成，等级由致命、高危、中危、低危和信息这些类聚合而成。异常作为父类派生出网络异常、主机异常等子类，基于特征的检查作为父类派生出网络入侵检测系统、基于主机入侵检测系统等子类。如图7所示。

对于用户安全域的uml图的构建：将超过安全阈值的用户行为转化为uml图，其中，用户安全由用户、安全信息源、异常行为、时间序列和等级这些类聚和而成，这些类之间通过相应行为关系相连。安全信息源由用户行为分析类和被动实时资产检测系统类聚合而成。异常行为作为父类派生出终端监控、账户行为、资源访问等子类，同时，终端监控作为父类派生出键盘输入、屏幕活动、应用监控等子类，账户行为作为父类派生出账户活动、账户访问等子类，资源访问作为父类派生出网站访问、电子邮件收发、文件传输等子类。如图8所示。

对于威胁情报域的uml图的构建：将stix威胁情报标准提供的图模型转换为相应的uml图。其中，威胁情报由攻击者、受害者、攻击技术手法、漏洞、威胁特征指标和攻击应对措施这些类聚合而成，攻击者又由攻击动机、入侵、威胁源等类聚合而成，攻击技术手法由攻击模式、恶意软件、工具等类聚合而成，各个类之间根据相应的行为关系相连。如图9所示。

对域与域之间相交的节点与边进行标注，其继承于多个类，是域与域之间进行通信的桥梁。

步骤s3、采集安全运维所需数据。

s31、在出口网关外部接口位置部署流数据采集传感器(如netflow传感器)，用于采集流数据，该位置由于没有防火墙过滤以及pnat的原因，数据更为丰富与准确，此类数据作为网络安全域与用户安全域的数据源。

s32、在dmz区域及数据中心等提供网络应用服务的位置部署具有漏洞扫描、入侵检测、网络流量采集技日志采集功能的传感器(如nessus、snort/suricata、ossec、bro、syslog-ng等传感器)，用于采集网络脆弱性数据、网络安全事件及网络流量与日志信息等各类网络安全信息，此类数据作为依赖关系域和网络安全域的数据源。

s33、在办公网络、无线网络及关键用户终端等用户可接入位置上部署相应职能的用户行为分析传感器(如ueba、prads等传感器)，用于建立用户行为基线，同时对用户的异常行为产生报警，此类数据作为用户安全域的数据源。

步骤s4、将uml图映射至图数据库中。

s41、根据建立的域及域内的继承关系，将uml模型的各层级关系表示为图数据库中的逐层继承关系。根据图数据库的不同，uml图组合、继承等关系在图数据中的映射稍有差异,根据不同图数据库进行映射，如在orientdb图数据库中，使用类的定义与继承进行实现，如在neo4j图数据库中，上述关系使用标签进行实现。

s42、将uml模型中的各个类与对象作为图数据库的节点，将uml模型中组合、聚合、依赖等关系作为图数据库中边的关系，同时将uml模型中抽象类的关系在图数据库映射为子类的对应关系。

由于不同图数据库内部存储数据方式不同，相应的映射过程也有所不同。

对neo4j而言，从uml图映射到neo4j图数据库的过程为：将uml图中的类作为neo4j图数据库中的节点，将uml图中类的属性作为neo4j图数据库中相应节点的属性，将uml图中的类所在域的名称作为neo4j图数据库中相应域的节点的标签，将uml图中连接关系作为neo4j图数据库中两个相应节点之间的关系。

对orientdb而言，从uml图映射到orientdb图数据库的过程为：根据建立的域及域内的继承关系，将uml模型的各层级关系表示为orientdb图数据库中的逐层继承关系，uml图中组合、继承等关系在orientdb图数据库中使用类的定义与继承进行实现，将uml图中的类作为orientdb图数据库的顶点，将uml图中各类之间的连接关系作为orientdb图数据库的边。

步骤s5、进行可视化的安全运维查询与分析。

如对基础安全层进行查询可以了解网络环境及基本安全控制信息。例如，通过selectfrombasissecurity命令，可返回网络拓扑环境图、拓扑图中各服务器开放的应用状况、各用户终端对应的用户信息、以及网络环境的相关安全策略，其以图的形式进行呈现，通过该图可迅速了解网络环境概况。

如对安全分析层进行查询可以分析网络安全事件。例如，通过traversein(“depend_on”)from(selectin(“has”)fromvulnerability)while$depth<＝3strategybreadth_first命令，查询网络环境中存在的漏洞节点及其3层依赖关系内的所有节点，从而找出相关威胁，由此可对安全状况进行更准确的评估。

如对威胁情报层进行查询可以了解攻击者的攻击轨迹，一方面可以用于分析攻击者的攻击思路，另一方面可以用于分析环境中的潜在威胁点，通过可视化的查询分析，可以实现更准确更高效的安全运维。

本发明方法将图数据库技术与安全运维相结合，利用图数据库在处理与分析强关系型模型上的优势，解决安全运维中数据关联与可视查询分析问题。其中，主要利用图数据库灵活的变更能力以及其schema-less的特点，减少数据库建模时间，提高敏捷性；利用图数据库查询无需执行join操作的先天性能优势及其自身提供的横向扩展能力，提高数据的查询分析效率；利用图数据库原生的图分析技术与可视查询技术，降低安全运维复杂度，帮助安全运维人员迅速发现问题、定位问题与解决问题，减少关联分析的时间开销，在尽可能短的时间内排除威胁，实现敏捷、高效的安全运维。

需要说明的是，尽管以上本发明所述的实施例是说明性的，但这并非是对本发明的限制，因此本发明并不局限于上述具体实施方式中。在不脱离本发明原理的情况下，凡是本领域技术人员在本发明的启示下获得的其它实施方式，均视为在本发明的保护之内。