[发明专利]一种基于网络安全态势感知的网络风险评估方法

说明书

本发明公开一种基于网络安全态势感知的网络风险评估方法，包括数据采集平台基于威胁潜伏探针、EDR进行数据的收集；大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术，将特征检测和行为检测相结合，对所述数据进行分析并接收威胁情报；大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估，并将网络风险评估结果发送至告警及控制中心；能够有效解决目前网络安全事件分析难度大，安全威胁处理陷入困局，网络攻击越来越复杂，安全问题难以检测的问题。

技术领域

本发明涉及网络技术领域，具体涉及一种基于网络安全态势感知的网络风险评估方法。

背景技术

随着网络信息化工作的不断深入，信息主导警务的趋势日益明显，信息通信网同外部接入单位之间的数据交换量逐渐增大，网络的攻击、入侵、病毒、木马等各种类型的安全威胁日益增大，信息通信网上信息的完整性、安全性面临的挑战越来越多。目前网络风险评估主要面临以下挑战：1）安全事件分析难度大，安全威胁处理陷入困局。随着通信网络的不断延伸与扩展,网络中的设备数量和服务类型也越来越多，网络中的关键安全设备和业务服务器产生了大量的安全事件日志，安全运维人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，工作效率极低，难以发现真正的安全隐患。2）网络攻击越来越复杂，安全问题难以检测。云计算技术的发展将IT资产不断向虚拟化迁移，业务的增删查改变化大，IT业务向互联网、移动互联网、公有云的演进为攻击者提供了更多的攻击向量，安全边界变得越发模糊，而传统的安全防御模式还停留在网络与应用系统，导致看不清资产变化，看不清业务访问关系，更看不清内部的横向攻击、异常访问与违规操作，黑客一旦突破边界以后，往往利用合法用户身份渗透内部其他业务系统，窃取核心数据。因此，有必要提出一种基于网络安全态势感知的网络风险评估方法，以解决上述问题。

发明内容

本发明的目的在于提供一种基于网络安全态势感知的网络风险评估方法，以解决目前网络安全事件分析难度大，安全威胁处理陷入困局，网络攻击越来越复杂，安全问题难以检测的问题。

本发明提供一种基于网络安全态势感知的网络风险评估方法，其特征在于，包括：数据采集平台基于威胁潜伏探针、EDR进行数据的收集；大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术，将特征检测和行为检测相结合，对所述数据进行分析并接收威胁情报；大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估，并将网络风险评估结果发送至告警及控制中心；其中，大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估，包括：从网络性能指标中，选取指标进行实验；通过贝叶斯网络进行分析，确定各指标之间的依赖关系，画出贝叶斯网络拓扑结构图；对所述数据的分析结果以及接收到的威胁情报行归一化处理，得到对应指标某一时间段的时间序列图，然后进行统计分析，计算出各指标的先验概率和各指标的后验概率；通过上述计算结果，结合评估系数公式，求出各指标的某个风险因素的概率变化的最大允许量并进行排序，最后计算网络风险率，结合风险等级表查看当前时刻的网络风险等级。

进一步地，数据采集平台基于威胁潜伏探针、EDR进行数据的收集的步骤中，所述数据包括网络中的网络设备、网络服务、URL、IP地址、端口号、会话重组、资产识别信息、应用解析信息、访问历史信息、协议解析信息、攻击记录以及系统信息；在市级网络的重要汇聚结点和区县网络核心交换旁路部署潜伏威胁探针；所述威胁潜伏探针通过软件设计将网络层和应用层的数据处理进行分离，在底层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层；若应用层发生数据处理失败的情况，不会影响到网络层数据的转发；所述威胁潜伏探针构筑在64位多核并发高速硬件平台之上，将转发平面、安全平面并行运行在多核平台上，多平面并发处理，在计算指令设计上采用无锁并行处理技术，实现多流水线同时处理。