[发明专利]一种基于大数据的网络安全感知和预警的方法及系统

说明书

本发明提供了一种基于大数据的网络安全感知和预警的方法及系统，涉及网络安全技术领域，本方法包括步骤：S1：获取网络设备、安全设备、主机、应用及数据库的多维日志协议信息，通过至少一个处理器对多维日志协议信息进行预设分析处理，确定安全威胁和异常行为事件；S2：从网络的多维日志协议信息中提取各个设备的网络信息，网络信息包括设备的标识、设备受到的攻击数量以及历史运行数据。本方法能够通过对多维日志协议信息进行预设分析处理，再通过网络拓扑中节点自身的安全性，以及通过度反应的脆弱性，对网络态势进行预测，进而进行安全报警，该方式更加灵活准确，能够提升网络安全预警的准确性。

技术领域

本发明涉及网络安全技术领域，具体而言，涉及一种基于大数据的网络安全感知和预警的方法及系统。

背景技术

随着大数据、云计算、物联网、工业互联网等新兴互联网技术应用的不断深入，企业信息化程度也越来越高，对信息系统的依赖程度达到了前所未有的高度，与此同时，也导致了各种新型网络攻击、敏感信息泄露等恶意信息安全事件频繁发生。涉及重要行业和政府部门的高危漏洞事件增多，基础应用或通用软件漏洞风险凸显，安全形势日趋严峻。特别是对于大型企业，企业信息系统规模属于全球企业前列，安全问题更加不容忽视。然而，现有的安全防御设施防御能力仍然不足，主要表现在以下三个方面：这些传统的安全产品都只能抵御来自某个方面的安全威胁，形成了一个个的“安全防御孤岛”，缺乏对海量多维度的信息安全数据进行有效的融合关联分析，不能使这些安全监测数据成为上层安全决策有效资源。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于大数据的网络安全感知和预警的方法及系统。

为解决上述问题，本发明提供一种基于大数据的网络安全感知和预警的方法，包括步骤：

S1：获取网络设备、安全设备、主机、应用及数据库的多维日志协议信息，通过至少一个处理器对多维日志协议信息进行预设分析处理，确定安全威胁和异常行为事件；

S2：从网络的多维日志协议信息中提取各个设备的网络信息，网络信息包括设备的标识、设备受到的攻击数量以及历史运行数据；

S3：将针对于网络拓扑中的每一个节点，根据该节点的度以及该节点处的设备的网络信息，确定该节点的安全状态；

S4：根据各个节点的安全状态确定网络是否安全，若不安全，通过建立违规外联检测能力，结合UEBA，分析用户异常行为操作和危害程度，通过安全自动化编排和响应联动安全设备进行提醒或阻拦；

S5：将不安全的多维日志协议信息中敏感数据进行预设分类分级处理，对处理后的敏感数据进行识别和跟踪管理；

S6：通过日志审计平台收集存储网络中的网络设备运行状况、用户行为和不安全的多维日志协议信息，生成审计报表并存储。

在上述方法中，通过收集网络设备、安全设备、主机、应用及数据库的Syslog、SNMP的日志协议信息，建立信息资产的综合性管理平台，通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，并通过周期性合规型和事件型报表为管理人员提供全局的视角，确保网络的运营安全。并增加了对安全事件的追溯的能力及手段，方便管理员进行事件跟踪和定位，并为事件的还原提供有力证据。

在上述方法中，建立违规外联检测能力，结合UEBA等手段，分析用户异常行为操作和危害程度，可更加迅速地发现违规操作，通过安全自动化编排和响应（SOAR）联动安全设备进行提醒或阻拦，以便及时采取安全措施，减少损失。

进一步地，所述步骤S1中的多维日志协议信息包括Syslog和SNMP日志协议，覆盖网络设备、主机及应用，并通过预置的解析规则进行日志的解析、过滤及分析。

进一步地，所述步骤S1中的预设分析处理包括：

S11：对安全事件日志的攻击、入侵和异常进行分析处理；

S12：对行为事件日志的内控和违规进行分析处理；