一种网络安全感知系统、方法、设备及存储介质与流程

本发明涉及计算机，尤其涉及一种网络安全感知系统、方法、设备及存储介质。

背景技术：

1、在网络安全的大数据背景下，针对繁杂的安全数据，如何实现统筹存储与管理、实时告警安全事件和快速定位安全事件等，已经成为网络安全领域的重要研究方向之一。

2、目前，现有的网络安全感知方法，通常是利用现有的日志分析平台，例如，云智慧的智能运维平台或者splunk日志分析平台等，对不同安全设备产生的日志数据进行分析，进而根据分析结果实现网络安全感知。然而，在现有技术中，现有的日志分析平台，需要将日志数据上传到云端，数据安全性难以保障，而且，无法实现对日志数据的自动化处理，导致网络安全感知的响应速度和效率较低。

技术实现思路

1、本发明提供了一种网络安全感知系统、方法、设备及存储介质，可以降低数据泄露风险，提升数据安全性，可以提升网络安全感知的响应效率。

2、根据本发明的一方面，提供了一种网络安全感知系统，包括数据存储模块、数据分析模块、安全编排自动化与响应模块和可视化展示模块；

3、所述数据存储模块与所述数据分析模块连接，用于根据采集的日志数据对应的日志聚类，获取所述日志数据匹配的日志索引，存储所述日志数据到所述日志索引，以及在接收到所述数据分析模块的数据读取指令时，发送所述数据读取指令对应的日志数据到所述数据分析模块；

4、所述数据分析模块分别与所述可视化展示模块和所述安全编排自动化与响应模块连接，用于发送数据读取指令到所述数据存储模块，以及接收所述安全编排自动化与响应模块发送的预编排的自动化响应流程，并根据所述自动化响应流程对所述日志数据进行安全事件分析，以获取安全感知结果，并发送所述安全感知结果到所述可视化展示模块；

5、所述安全编排自动化与响应模块，用于根据用户针对自动化响应流程的编排操作，生成预编排的自动化响应流程，以及发送所述预编排的自动化响应流程到所述数据分析模块；

6、所述可视化展示模块，用于对所述安全感知结果进行用户展示。

7、可选的，网络安全感知系统，还包括日志采集模块和数据缓存模块；

8、所述日志采集模块与所述数据缓存模块连接，用于采集网络安全设备的日志数据，发送所述日志数据到所述数据缓存模块；

9、所述数据缓存模块与所述数据存储模块连接，用于采用数据队列对所述日志数据进行暂存，并基于预设数据输出规则，发送暂存的日志数据到所述数据存储模块。

10、可选的，所述日志数据包括防火墙日志、域名服务器日志、负载均衡日志、抗分布式拒绝服务攻击设备日志、虚拟专用网络设备日志、网页应用防火墙日志、邮件网关日志、网络入侵检测设备日志、主机入侵检测设备日志、防病毒设备日志、堡垒机设备日志、威胁情报设备日志和资产信息日志中的至少一项。

11、可选的，所述数据存储模块，具体用于：

12、对所述日志数据进行聚类处理，以获取所述日志数据对应的日志聚类；

13、根据所述日志数据对应的日志聚类，以及预设的日志聚类与日志索引之间的对应关系，获取所述日志数据对应的日志索引，并存储所述日志数据到所述日志索引；

14、其中，所述日志索引包括网络日志索引、网络入侵检测日志索引、主机日志索引、主机防护日志索引、应用日志索引、应用防护日志索引和聚合日志索引中的至少一项。

15、可选的，所述数据分析模块包括安全数据清洗单元、安全事件告警单元、用户行为分析单元和数据分析联动单元；

16、所述安全数据清洗单元分别与所述安全事件告警单元和所述用户行为分析单元连接，用于对所述日志数据进行数据清洗，以获取对应统一数据格式的格式化日志，以及发送所述格式化日志到所述安全事件告警单元和所述用户行为分析单元；

17、所述安全事件告警单元与所述数据分析联动单元连接，用于对所述格式化日志进行安全情报分析，以获取潜在安全威胁，对所述格式化日志进行安全漏洞分析，以获取网络安全漏洞，对所述格式化日志进行安全攻击分析，以获取网络攻击信息，以及发送所述潜在安全威胁、所述网络安全漏洞和所述网络攻击信息到所述数据分析联动单元；

18、所述用户行为分析单元与所述数据分析联动单元连接，用于对所述格式化日志进行安全行为分析，以获取潜在风险行为，以及发送所述潜在风险行为到所述数据分析联动单元；

19、所述数据分析联动单元，用于根据所述潜在安全威胁、所述网络安全漏洞、所述网络攻击信息和所述潜在风险行为，生成推送信息并发送到自动化服务网关，以通过所述自动化服务网关根据所述推送信息进行风险互联网协议地址拦截。

20、可选的，所述可视化展示模块还用于根据所述安全感知结果，获取所述日志数据对应的网络安全态势，并对所述网络安全态势进行可视化展示。

21、可选的，所述网络安全态势包括安全通信网络态势、安全计算环境态势和安全区域边界态势中的至少一项；

22、其中，所述安全通信网络态势包括网络安全访问控制态势、网络全流量入侵态势、虚拟专用网络访问态势和网络访问流量压力态势中的至少一项；

23、所述安全计算环境态势包括用户访问态势、主机入侵态势和防病毒态势中的至少一项；

24、所述安全区域边界态势包括网页应用防火墙态势、抗分布式拒绝服务态势和威胁情报态势中的至少一项。

25、根据本发明的另一方面，提供了一种网络安全感知方法，应用于本发明任一实施例所述的网络安全感知系统，包括：

26、通过数据存储模块根据采集的日志数据对应的日志聚类，获取所述日志数据匹配的日志索引，并存储所述日志数据到所述日志索引；

27、通过安全编排自动化与响应模块根据用户针对自动化响应流程的编排操作，生成预编排的自动化响应流程；

28、通过数据分析模块根据所述自动化响应流程对所述日志数据进行安全事件分析，以获取安全感知结果，并通过可视化展示模块对所述安全感知结果进行用户展示。

29、根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：

30、至少一个处理器；以及

31、与所述至少一个处理器通信连接的存储器；其中，

32、所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的网络安全感知方法。

33、根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的网络安全感知方法。

34、本发明实施例的技术方案，首先，通过数据存储模块根据采集的日志数据对应的日志聚类，获取日志数据匹配的日志索引，并存储日志数据到日志索引；然后，通过安全编排自动化与响应模块根据用户针对自动化响应流程的编排操作，生成预编排的自动化响应流程；最后，通过数据分析模块根据自动化响应流程对日志数据进行安全事件分析，以获取安全感知结果，并通过可视化展示模块对安全感知结果进行用户展示；通过对日志数据进行索引存储，并通过生成自动化响应流程，以及根据自动化响应流程进行日志数据的自动安全事件分析，可以降低数据泄露风险，提升数据安全性，可以提升网络安全感知的响应效率。

35、应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。