一种基于异构云环境的安全智能检测方法及系统与流程

本发明涉及异构云环境安全检测方法，尤其涉及一种基于异构云环境的安全智能检测方法及系统。

背景技术：

1、异构云环境安全检测方法，基于异构云环境，对网络安全行为以及网络安全风险项进行智能检测的专业方法，由于异构云环境中，其服务项目具备多样化特征，并且其构建源较多，导致在对其进行安全监测工作时，往往需要每一云端进行复杂的风险项分析工作，对于网络数据的流畅性造成了影响，缺乏一套系统化的安全智能检测方法，以最小化人力成本的方式，达成安全全面检测、监控以及防护、响应效果。

技术实现思路

1、本发明的目的是解决现有技术中存在的缺点，而提出的一种基于异构云环境的安全智能检测方法及系统。

2、为了实现上述目的，本发明采用了如下技术方案：一种基于异构云环境的安全智能检测方法，包括以下步骤：

3、s1：在异构云平台中，通过云端控制服务单元进行服务对接工作，并通过编排系统进行服务项、资源、配置的编排工作，以展现层和运营层提供服务；

4、s2：安全智能管理中心依照网络安全机器人所连接模型库，进行模型训练工作；

5、s3：依照模型库，依次执行安全检测、安全监控、安全防护，并基于以上检测、监控结果，进行安全响应。

6、作为本发明的进一步方案，所述s1中，所述通过云端控制服务单元进行服务对接工作的步骤具体为：

7、s111：基于云端控制服务单元搭载网络控制器对接单元和云管平台对接单元；

8、s112：基于网络控制器对接单元对接服务主机集群，以此连接sdn控制器组和sd-wan控制器组；

9、s113：基于云管平台对接单元对接云管控平台组，以此连接公有云和非公有云；

10、所述编排系统进行服务项、资源、配置的编排工作的步骤具体为：

11、s121：基于异构负载和多场景支持组件，给多场景环境提供支持；

12、s122：基于资产细粒度识别组件进行web管理、安全程序与行为应用、数据库搭载、站点管理、账户管理、主机管理、容器管理等工作；

13、s123：通过服务项集成单元、资源管理单元、配置管理单元，执行服务项、资源以及配置的编排工作。

14、作为本发明的进一步方案，所述s3中，所述安全检测的步骤具体为：

15、s311：通过威胁检测引擎进行文件检测、系统行为检测、网络行为检测、进程行为检测、应用行为检测、日志检测；

16、s312：通过脆弱性检测引擎进行漏洞检测、配置检测、弱口令检测；

17、s313：通过异常检测引擎进行系统异常检测、文件异常检测、系统行为异常检测、进程行为异常检测、网络行为异常检测、应用行为异常检测；

18、所述安全监控的步骤具体为：

19、s321：基于数据流同步，通过数据采集器采集数据；

20、s322：通过平台控制器将所采集数据分配至各数据节点；

21、s323：基于数据节点执行吞吐量监控、时延监控、异常项监控、传输状态监控；

22、所述安全防护的步骤具体为：

23、s331：搭载虚拟防火墙、杀毒软件、系统补丁服务器和资产管理系统；

24、s332：通过风险分析单元，基于风险项关联进行安全风险、运行风险以及配置风险的分析工作；

25、s333：通过风险评估单元，基于风险项目归因达成风险项目的评估功能；

26、所述安全响应的步骤具体为：

27、s341：在安全响应单元中，通过决策单元设置事件响应节点；

28、s342：在触发事件响应节点时，通过源事件追溯单元对源事件进行格式化处理，获得结构化输入数据；

29、s343：执行决策判定；

30、s344：当决策判定结果为全盘杀毒，则调用杀毒软件进行云盘文件杀毒工作，当决策判定结果为补丁更新时，则调用补丁服务器下载补丁文件进行更新，当决策判定结果为风险隔离策略时，则通过虚拟防火墙进行隔离工作，当决策判定结果为查找所有方时，则调用资产管理系统，基于风险发生项目查找资产项目的所有人，并基于联系方式进行联系。

31、一种基于异构云环境的安全智能检测系统是由异构云平台、展现层、运营层、编排系统、云端控制服务单元、网络控制器对接单元、云管平台对接单元组成，所述异构云平台的输出端与展现层、运营层的输入端电性连接，所述展现层、运营层的输出端与编排系统的输入端电性连接，所述编排系统的输出端与云端控制服务单元的输入端电性连接，所述云端控制服务单元的输出端与网络控制器对接单元、云管平台对接单元的输入端电性连接。

32、作为本发明的进一步方案，所述网络控制器对接单元的输出端与云管平台对接单元的输入端电性连接，所述网络控制器对接单元包括服务主机集群，所述服务主机集群包括sdn控制器组和sd-wan控制器组，所述云管平台对接单元包括云管控平台组，所述云管控平台组包括公有云和非公有云。

33、作为本发明的进一步方案，所述编排系统包括服务项集成单元、资源管理单元、配置管理单元，所述服务项集成单元、资源管理单元、配置管理单元的输出端电性连接有异构负载和多场景支持组件、资产细粒度识别组件，所述异构负载和多场景支持组件、资产细粒度识别组件的输出端电性连接有安全智能管理中心，所述安全智能管理中心包括安全检测单元、安全监控单元、安全防护单元，所述安全检测单元、安全监控单元、安全防护单元的输出端电性连接有安全响应单元，所述安全智能管理中心的输出端电性连接有网络安全机器人，所述网络安全机器人的输出端电性连接有模型库，所述模型库包括威胁检测模型、脆弱性检测模型、异常检测模型、风险关联模型、风险归因模型、决策推荐模型。

34、作为本发明的进一步方案，所述安全检测单元的输出端电性连接有威胁检测引擎、脆弱性检测引擎、异常检测引擎，所述威胁检测引擎包括文件检测、系统行为检测、网络行为检测、进程行为检测、应用行为检测、日志检测，所述脆弱性检测引擎包括漏洞检测、配置检测、弱口令检测，所述异常检测引擎包括系统异常检测、文件异常检测、系统行为异常检测、进程行为异常检测、网络行为异常检测、应用行为异常检测。

35、作为本发明的进一步方案，所述安全监控单元的输出端电性连接有数据流同步，所述数据流同步的输出端电性连接有数据采集器、平台控制器，所述数据采集器的输出端与平台控制器的输入端电性连接，所述平台控制器的输出端电性连接有数据节点，所述数据节点的输出端电性连接有吞吐量监控、时延监控、异常项监控、传输状态监控。

36、作为本发明的进一步方案，所述安全防护单元的输出端电性连接有风险分析单元、风险评估单元、虚拟防火墙、杀毒软件、系统补丁服务器、资产管理系统，所述风险分析单元的输出端电性连接有风险项关联，所述风险项关联包括进程行为关联、应用行为关联、进程行为关联、网络环境关联，所述风险项关联的输出端电性连接有安全风险分析、运行风险分析、配置风险分析，所述风险评估单元的输出端电性连接有风险项目归因，所述风险项目归因包括成分归因、软件归因、容器归因、主机归因。

37、作为本发明的进一步方案，所述安全响应单元的输出端电性连接有决策单元，所述决策单元包括事件响应节点和源事件追溯单元，所述事件响应节点的输出端与源事件追溯单元的输入端电性连接，所述源事件追溯单元的输出端电性连接有格式化处理，所述格式化处理的输出端电性连接有结构化输入数据，所述结构化输入数据的输出端电性连接有决策判定，所述决策判定的输出端电性连接有全盘杀毒、补丁更新、风险隔离策略、查找所有方，所述全盘杀毒的输出端电性连接有杀毒软件调用，所述补丁更新的输出端电性连接有补丁服务器调用，所述风险隔离策略的输出端电性连接有虚拟防火墙调用，所述查找所有方的输出端电性连接有资产管理系统调用。

38、与现有技术相比，本发明的优点和积极效果在于：

39、本发明中，通过编排系统，基于异构负载和多场景支持组件，给多场景环境提供支持，基于资产细粒度识别组件进行web管理、安全程序与行为应用、数据库搭载、站点管理、账户管理、主机管理、容器管理等工作，以此通过威胁检测引擎、脆弱性检测引擎、异常检测引擎协同处理，执行安全检测，基于数据流同步，在数据节点执行吞吐量监控、时延监控、异常项监控、传输状态监控，通过安全防护单元，搭载虚拟防火墙、杀毒软件、系统补丁服务器和资产管理系统，并执行风险分析和评估，最终系统化达成安全响应功能，以最小化人力成本的方式，达成了安全全面检测、监控以及防护、响应的效果。