本发明涉及电子信息网络,具体为基于多源数据异常监测的电子信息网络安全系统。
背景技术:
1、网络安全是国家安全的重要组成部分,是新形势、新时代国际间竞争对抗的重要方面,是国家社会持续发展、长久安定的重要保障。随着网络规模和复杂性不断增大,网络的攻击技术不断革新,新型攻击工具大量涌现,传统的网络安全技术显得力不从心,网络入侵不可避免,网络安全问题越发严峻。
2、公开号为cn109889502a的中国专利公开了一种网络安全计算机系统以及其实现方法。该方法包括:s1、构建网络安全计算机系统;
3、s2、通过切换装置设置所述网络安全计算机系统分别以外网计算机或者内网计算机进行工作,当所述网络安全计算机系统以内网计算机进行工作时,执行步骤s3,否则执行步骤s4;s3、所述内网计算机通过tf卡和vga接口构建内网计算机工作环境,并支持安全监视器和智能监视器功能;s4、关闭所述内网计算机,所述外网计算机通过emmc系统构建外网计算机工作环境,进入通用计算机状态,该网络安全计算机系统和方法,能够保证高等级网络系统的机密性和完整性,确保在支持内外网计算机并存的同时,实现内外双网间的完全物理隔离。但是上述专利在实际使用过程中存在以下缺陷:
4、不能及时地发现多源数据异常风险行为,且对于电子信息多源数据的异常风险行为不能及时地进行监测管控及预警,其电子信息网络安全精准防控效果差。
技术实现思路
1、本发明的目的在于提供基于多源数据异常监测的电子信息网络安全系统,可及时发现多源数据异常风险行为,实时掌握电子信息网络安全状况,且对于电子信息多源数据的异常风险行为能及时地进行监测管控及预警,其电子信息网络安全精准防控效果好,解决了上述背景技术中提出的问题。
2、为实现上述目的,本发明提供如下技术方案:
3、基于多源数据异常监测的电子信息网络安全系统,包括
4、多源数据采集模块,用于实时地获取电子信息多源数据,获取从电子信息网络安全服务器采集的安全日志、系统日志、漏洞数据和流量数据,确定实时采集的电子信息多源数据;
5、多源数据处理模块,用于对实时采集的电子信息多源数据进行综合处理,按照电子信息网络安全管控需求,从获取的电子信息多源数据中提取出符合电子信息网络安全管控需求的电子信息多源数据,对电子信息多源数据进行检索、分组及计算,确定电子信息多源数据信息;
6、多源数据分析模块,用于对电子信息多源数据信息进行关联分析,融合大数据分析和人工智能技术,深度解析电子信息多源数据信息,对电子信息多源数据信息进行分析与评估,确定电子信息网络安全态势感知;
7、多源数据管控模块,用于对电子信息多源数据信息进行监测管控,根据确定的电子信息网络安全态势感知,对电子信息多源数据的异常风险行为进行监测管控及预警,为电子信息网络安全预警提供依据。
8、优选的,对电子信息多源数据的异常风险行为进行预警,包括:
9、基于多源数据异常风险行为信息对应的正常电子信息多源数据以及所述正常多源数据的组合方式,将所述多源数据异常风险行为信息对应的电子信息多源数据进行分割得到多个数据片段;
10、对所述电子信息多源数据进行特征提取,获取整体特征,同时,对各个数据片段进行特征提取,获得片段数据特征;
11、基于所述整体特征与片段数据特征的数据映射关系,分别对各个数据片段进行属性赋值,获得每个数据片段对应的属性值;
12、根据所述属性值以及下列算法,计算各个数据片段对应的影响权重值;
13、
14、其中,α=min(x1,x2,…,xn);β=max(x1,x2,…,xn);
15、ωi表示多源数据异常风险行为信息对应的电子信息多源数据的第i个数据片段的影响权重值;xi表示多源数据异常风险行为信息对应的电子信息多源数据的第i个数据片段的属性值;n表示多源数据异常风险行为信息对应的电子信息多源数据全部数据片段的总数;
16、获取所述电子信息多源数据中多源数据异常风险行为信息对应的风险异常数据片段的影响权重值,根据所述影响权重值以及下列公式,计算多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级进行评估:
17、
18、其中,γ表示多源数据异常风险行为信息对应的电子信息多源数据的风险值;m表示多源数据异常风险行为信息对应的电子信息多源数据中多源数据异常风险行为信息对应数据片段的总数:ωj表示所述电子信息多源数据中第j个
19、风险异常数据片段的影响权重值;δ表示特征平衡因子,取值范围在(0,0.15);ε表示系统误差因子,取值范围在(0,0.05);
20、当所述风险值小于等于第一预设值时,判定所述多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级为一级风险,并向管理员发送一级预警;
21、当所述风险值大于第一预设值且大于第二预设值时,判定所述多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级为二级风险,并向管理员发送二级预警
22、当所述风险值大于等于第二预设值时,判定所述多源数据异常风险行为信息对应的电子信息多源数据的异常风险等级为三级风险,并向管理员发送三级预警。
23、优选的,所述多源数据处理模块包括
24、多源数据提取单元,用于对实时采集的电子信息多源数据进行提取,按照电子信息网络安全管控需求,从获取的电子信息多源数据中提取出符合电子信息网络安全管控需求的电子信息多源数据;
25、多源数据检索单元,用于对提取的电子信息多源数据进行检索,按照追溯法对提取的电子信息多源数据进行检索,过滤掉对多源数据异常监测无用的电子信息多源数据,保留下对多源数据异常监测有用的电子信息多源数据;
26、多源数据分组单元,用于对检索的电子信息多源数据进行分组,按照穷尽性原则,将对多源数据异常监测有用的电子信息多源数据划分为不同的组别,确定不同的电子信息多源数据组;
27、多源数据计算单元,用于对分组的电子信息多源数据进行计算,按照算术及逻辑运算,对不同的电子信息多源数据组内的电子信息多源数据进行计算,确定电子信息多源数据信息。
28、优选的,对实时采集的电子信息多源数据进行综合处理,执行以下操作:
29、获取实时采集的电子信息多源数据;
30、按照电子信息网络安全管控需求,从获取的电子信息多源数据中提取出符合电子信息网络安全管控需求的电子信息多源数据;
31、获取提取的电子信息多源数据;
32、按照追溯法对提取的电子信息多源数据进行检索,过滤掉对多源数据异常监测无用的电子信息多源数据,保留下对多源数据异常监测有用的电子信息多源数据;
33、获取对多源数据异常监测有用的电子信息多源数据;
34、按照穷尽性原则,将对多源数据异常监测有用的电子信息多源数据划分为不同的组别,确定不同的电子信息多源数据组;
35、获取电子信息多源数据组内的电子信息多源数据;
36、按照算术及逻辑运算,对不同的电子信息多源数据组内的电子信息多源数据进行计算,确定电子信息多源数据信息。
37、优选的,对电子信息多源数据信息进行关联分析,执行以下操作:
38、获取处理后的电子信息多源数据信息;
39、融合大数据分析和人工智能技术,深度解析电子信息多源数据信息,对电子信息多源数据信息进行分析与评估,确定电子信息网络安全态势感知;
40、针对电子信息多源数据信息存在异常风险行为的情况,则确定的电子信息网络安全态势感知为该电子信息网络安全系统存在电子信息网络安全风险;
41、针对电子信息多源数据信息不存在异常风险行为的情况,则确定的电子信息网络安全态势感知为该电子信息网络安全系统不存在电子信息网络安全风险。
42、优选的,分析电子信息多源数据信息是否存在异常风险行为,执行以下操作:
43、获取处理后的电子信息多源数据信息;
44、参照存储的电子信息多源数据标准,对获取的电子信息多源数据信息进行对比关联分析,深度解析电子信息多源数据信息,确定出基于多源数据异常监测的分析评估报告;
45、针对获取的电子信息多源数据信息与存储的电子信息多源数据标准不一致的情况,则确定的基于多源数据异常监测的分析评估报告为该电子信息多源数据信息存在多源数据异常风险行为;
46、针对获取的电子信息多源数据信息与存储的电子信息多源数据标准一致的情况,则确定的基于多源数据异常监测的分析评估报告为该电子信息多源数据信息不存在多源数据异常风险行为。
47、优选的,对电子信息多源数据信息进行监测管控,执行以下操作:
48、根据确定的电子信息网络安全态势感知,对电子信息多源数据的异常风险行为进行监测管控及预警;
49、获取该电子信息网络安全系统存在的电子信息网络安全风险情况,针对电子信息网络安全风险情况调用相对应地多源数据异常风险行为解除策略,按照多源数据异常风险行为解除策略对电子信息多源数据信息的多源数据异常风险行为进行解除管理。
50、优选的,针对电子信息网络安全风险情况调用相对应地多源数据异常风险行为解除策略,包括
51、获取电子信息网络安全风险情况,根据电子信息网络安全风险情况,确定出电子信息网络安全的多源数据异常风险行为信息;
52、根据电子信息网络安全的多源数据异常风险行为信息,调取出存储的多个多源数据异常风险行为解除策略,从多个多源数据异常风险行为解除策略中索引出与该电子信息网络安全的多源数据异常风险行为相对应的多源数据异常风险行为解除策略,且将该多源数据异常风险行为解除策略提取出来,按照该多源数据异常风险行为解除策略对电子信息多源数据信息的多源数据异常风险行为进行解除管理。
53、优选的,从多个多源数据异常风险行为解除策略中索引出与该电子信息网络安全的多源数据异常风险行为相对应的多源数据异常风险行为解除策略,执行以下操作:
54、获取电子信息网络安全的多源数据异常风险行为信息;
55、提取该电子信息网络安全的多源数据异常风险行为信息的关键词,依据该电子信息网络安全的多源数据异常风险行为信息的关键词,从多个多源数据异常风险行为解除策略中索引出与该电子信息网络安全的多源数据异常风险行为相对应的多源数据异常风险行为解除策略。
56、优选的,提取电子信息网络安全的多源数据异常风险行为信息的关键词,包括:
57、获取预设时段内的多个多源数据异常风险行为信息对应的多个异常多源数据,并确定各个异常多源数据的风险异常数据片段以及所述风险异常数据片段的调用路径;
58、基于风险异常数据片段以及所述风险异常数据片段的调用路径,对多个异常多源数据进行对比,建立风险关系关联图谱;
59、同时,分别对各个多源数据异常风险行为信息的风险异常数据片段进行标记,获得标记片段,并根据风险异常数据片段的调用路径,判断同一异常多源数据对应的标记片段是否都是同源数据;
60、若是,向所述异常多源数据添加数据源标签,并根据数据源标签获取同类风险对应的多源数据异常风险行为信息,建立第一风险信息集;
61、否则,基于风险关系关联图谱,确定所述异常多源数据的多个关联风险数据,分别获取所述多源数据异常风险行为信息对应的多个数据源以及多个关联风险数据的对应的对应的多个数据源;
62、根据多个数据源的对比,分别计算所述异常多源数据与各个关联风险数据的风险重叠率,当风险重叠率达到预设阈值时,判定所述异常多源数据与关联风险数据的风险相似,建立第二风险信息集;
63、选取第一风险信息集或者第二风险信息集中分任意一个多源数据异常风险行为信息作为目标数据,对目标数据的风险关键词进行提取。
64、与现有技术相比,本发明的有益效果是:
65、1、本发明通过实时获取电子信息多源数据,对电子信息多源数据进行综合处理,确定电子信息多源数据信息,对电子信息多源数据信息进行分析与评估,确定电子信息网络安全态势感知,根据确定的电子信息网络安全态势感知,对电子信息多源数据的异常风险行为进行监测管控及预警,可及时地发现多源数据异常风险行为,实时掌握电子信息网络安全状况,且对于电子信息多源数据的异常风险行为能及时地进行监测管控及预警,为电子信息网络安全威胁的发现、跟踪、分析和预警提供技术支撑。
66、2、本发明通过根据确定的电子信息网络安全态势感知,对电子信息多源数据的异常风险行为进行监测管控及预警,获取该电子信息网络安全系统存在的电子信息网络安全风险情况,针对电子信息网络安全风险情况调用相对应地多源数据异常风险行为解除策略,按照多源数据异常风险行为解除策略对电子信息多源数据信息的多源数据异常风险行为进行解除管理,其电子信息网络安全精准防控效果好。