本发明涉及动态预警,特别涉及一种网络与信息安全动态预警系统。
背景技术:
1、网络与信息安全动态预警系统的研究现状不断发展,以适应不断变化的网络威胁和技术环境。这些系统越来越依赖于先进的技术,如机器学习和大数据分析,以提供更快速、准确和自动化的预警和响应能力,以保护组织的网络和信息资产,其中,威胁情报信息对网络安全的影响巨大,威胁信息对于网络与信息安全至关重要,它提供了有关当前威胁和漏洞的关键信息,帮助组织更好地保护其网络和信息资产,安全团队应积极收集、分析和利用威胁信息,以提高其安全防御和响应能力。
2、因此,本发明提供一种网络与信息安全动态预警系统。
技术实现思路
1、本发明提供一种网络与信息安全动态预警系统,用以通过获取历史威胁情报并进行分析,并提取有效样本,根据有效样本进行样本训练构建网络信息模型,对当下发生事件基于网络信息模型进行异常分析,对异常访问行为进行溯源与锁定,对异常访问行为进行及时威胁响应与预警处理,实现当前威胁和漏洞关键信息的及时获取,有助于系统的对网络与信息进行保护,收集、分析与利用威胁信息,提高网络的安全防御和响应能力。
2、本发明提供一种网络与信息安全动态预警系统,包括:
3、威胁情报集成模块:获取历史威胁情报并进行分析,来向每条历史威胁情报标记威胁等级与潜在风险权重;
4、模型构建模块:从历史威胁情报中提取有效样本,并对所述有效样本的样本参数进行样本训练,构建得到网络信息模型;
5、异常分析模块:根据网络信息模型对当下发生事件进行异常分析,同时,溯源当下发生事件的网络访问话题与访问ip并进行异常访问行为的确定;
6、预警模块:基于异常分析结果以及异常访问行为的确定结果,对所述当下发生事件进行威胁响应与预警处理。
7、本发明提供一种网络与信息安全动态预警系统,威胁情报集成模块,包括:
8、事件确定单元:捕捉每条历史威胁情报的所有安全事件,并按照第一分析函数g1(w1,w2,w3,w4,wt)确定每个安全事件的分类等级,并按照第二分析函数g2(dw1,dw2,dw3,dw4,dwt)向每个安全事件配置潜在风险,其中,w1为事件威胁严重性;w2为事件威胁紧急程度;w3为事件威胁可信度;w4为事件潜在影响范围;wt为事件威胁处理时间;dw1表示基于潜在损害程度对w1的严重性划分参数;dw2表示基于威胁处理时限对w2的紧急程度划分参数;dw3表示基于实际威胁的可能性对w3的可信度划分参数;dw4表示基于威胁影响扩散程度对w4的影响范围划分参数;dwt表示基于时间响应对wt的响应长短划分参数;
9、第一标定单元:根据每条历史威胁情报所存在的所有安全事件的分类等级向对应历史威胁情报进行威胁等级的第一标定;
10、第二标定单元:根据同个历史威胁情报的所有潜在风险,向对应历史威胁情报进行潜在风险权重的第二标定。
11、本发明提供一种网络与信息安全动态预警系统,第一标定单元,包括:
12、相似度确定块:确定每个安全事件的内源威胁以及外源威胁,并进行基础属性的相似度计算,进而根据所述相似度与预设阈值的差值,对相应安全事件的分类等级进行调整;
13、等级确定块:基于调整后的分类等级,确定得到对应历史威胁情报的威胁等级,并进行标定。
14、本发明提供一种网络与信息安全动态预警系统,所述第二标定单元,包括:
15、真实度确定块:根据对应历史威胁情报涉及到的所有安全事件,从事件-信标映射表中匹配得到特征信标,并计算对应历史威胁情报中每项特征信标基于所有安全事件的综合潜在威胁真实度以及基于每个安全事件的单独威胁真实度;
16、潜在风险权重块:计算对应历史威胁情报涉及到的每个潜在威胁被安全网络防火墙监测到的有效系数:
17、;其中,表示第个潜在威胁被安全网络防火墙监测到的有效系数;表示与第个潜在威胁所匹配的第i个特征信标的综合潜在威胁真实度;表示第个潜在威胁被安全网络防火墙检测到的预设概率;表示第个潜在威胁在同个历史威胁情报涉及到的所有安全事件中的出现频次;表示与第个潜在威胁所匹配的第i个特征信标所涉及到所有单独威胁真实度的平均真实度;表示同个历史威胁情报涉及到的所有安全事件的所有潜在威胁的出现总频次;表示与第个潜在威胁所匹配的特征信标的总个数;表示所匹配的所有单独威胁真实度中大于的总个数;表示指数函数符号;ln表示对数函数符号;表示与第个潜在威胁所匹配的第i个特征信标所涉及到所有单独威胁真实度中的最大值;
18、根据同个历史威胁情报中的所有潜在威胁的有效系数,确定对应历史威胁情报的潜在风险权重;
19、;其中,表示对应历史威胁情报中所存在的m个有效系数中的最大系数;表示基于历史威胁信息的每条历史威胁情报的总风险系数;表示对应历史威胁情报的潜在风险权重。
20、本发明提供一种网络与信息安全动态预警系统,模型构建模块,包括:
21、样本提取单元:从历史威胁信息中提取囊括不同威胁类型以及不同威胁等级的有效样本;
22、模型构建单元:设定对所有威胁等级以及威胁类型的划分条件,并从所述有效样本中提取满足每个划分条件的第二样本,分析所述第二样本的共有特征以及特有特征,进而构建全面威胁数据集,对所述全面威胁数据集进行训练,构建威胁识别模型;
23、向量构建单元:基于满足每个划分条件的第二样本的潜在风险权重,构建得到对应划分条件的权重向量;
24、模型优化单元:基于所述权重向量对所述威胁识别模型进行优化,得到网络信息模型。
25、本发明提供一种网络与信息安全动态预警系统,异常分析模块,包括:
26、溯源单元:溯源所述当下发生事件的事件源头;
27、行为确定单元:根据所述事件源头的访问ip的ip威胁敏感度以及所述当下发生事件涉及到的网络访问话题的话题威胁敏感度,从当下发生事件中确定异常访问行为。
28、本发明提供一种网络与信息安全动态预警系统,预警模块,包括:
29、标准化单元:对异常分析结果以及异常访问行为的确定结果进行结果标准化;
30、值确定单元:基于标准化结果,确定当下发生事件的威胁值;
31、等级确定单元:根据所述威胁值与预设值的差异,确定威胁响应等级;
32、预警单元:基于等级-预警映射表,确定与所述威胁响应等级一致的预警报告。
33、本发明提供一种网络与信息安全动态预警系统,所述标准化单元,包括:
34、第一获取块:从标准化数据库中获取针对网络信息模型的第一标准化机制,并对异常分析结果进行第一标准化;
35、第二获取块:从标准化数据库中获取针对事件溯源的第二标准化机制,并对异常访问行为的确定结果进行第二标准化。
36、本发明提供一种网络与信息安全动态预警系统,值确定单元,包括:
37、值获取块:从第一标准化结果中获取每个发生指标的第一标准值,同时,从第二标准化结果中获取每个发生指标的第二标准值;
38、计算块:根据第一标准值以及第二标准值,来计算当下发生事件的威胁值。
39、本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
40、下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。