本发明专利技术设计涉及一种电力网络安全事件关联分析方法,基于数据采集层、分析决策层及界面显示层的电力网络安全事件关联分析系统,该方法通过将实时发生的网络安全事件与样本安全事件作对比,确定实时发生的网络安全事件的发展趋势,保证网络信息安全。
【技术实现步骤摘要】
一种网络安全事件关联分析系统
本专利技术涉及网络信息安全领域,尤其涉及一种网络安全事件关联分析系统。
技术介绍
当前,网络信息安全领域中既有来自于外部的入侵和攻击,也有来自内部的违规 和泄露。常见的信息安全系统包括防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、 UTM等。但这些安全系统一般只能防堵来自某个特定方面的安全威胁,不具备协同效应。 CN201010613751介绍了一种能够避免形成安全孤岛的网络安全事件关联分析系统,但只是 提出了该系统的架构模型,对于网络安全事件的采集、关联分析的效率和准确性以及系统 操作等方面都有进一步提升的空间。
技术实现思路
有鉴于此,本专利技术主要的目的在于提供一种网络安全事件关联分析系统,以克服 现有技术中的上述缺陷。 本专利技术的网络安全事件关联分析系统,包括数据采集层、集群数据库系统、分析决 策层及界面显示层;其特征在于:数据采集层包括多个状态采集设备、多个网络数据包采 集设备和封装处理器等;集群数据库系统包括监控数据库、关联分析策略数据库、关联分析 结果数据库、安全事件样本数据库等;分析决策层包括关联分析模块和关联分析策略模块 等;界面显示层包括参数设定模块、结果展示模块、查询模块、逻辑中间件等。 【附图说明】 图1是网络安全事件关联分析系统的结构示意图。 【具体实施方式】 为使本专利技术的目的、技术方案和优点更加清楚,将结合附图对本专利技术作进一步地 详细描述。这种描述是通过示例而非限制的方式介绍了与本专利技术的原理相一致的具体实施 方式,这些实施方式的描述是足够详细的,以使得本领域技术人员能够实践本专利技术,在不脱 离本专利技术的范围和精神的情况下可以使用其他实施方式并且可以改变和/或替换各要素 的结构。因此,不应当从限制性意义上来理解以下的详细描述。 如图1所示,本专利技术的网络安全事件关联分析系统10,包括相互连接的数据采集 层100、集群数据库系统200、分析决策层300和界面显示层400。连接方式可以为以太网 线、数据线、光纤等有线形式连接,也可以使用包括WIFI在内的无线方式连接。 数据采集层100主要包括多个状态采集设备110、多个网络数据包采集设备120和 封装处理器130。 状态采集设备110,主要实现为传感器或自动化仪表,包括但不仅限于部署在以太 网接口的传感器,可以采集以太网口的网络速度、带宽;部署在远程网络安全设备、网络设 备、主机服务器I/O 口的自动化仪表,可以采集远程设备的主板电压、电流等性能参数。 网络数据包采集设备120,主要实现为运行监控脚本,包括但不仅限于安装在服务 器上的监控脚本,实时监测服务器的CPU使用率、内存使用率、硬盘使用率、磁盘IO速度、缓 冲区大小、线程数量、队列长度等性能参数。 封装处理器130,用于将状态采集设备110和网络数据包采集设备120所获取的 网络安全事件数据进行预处理和封装,并将封装好的网络安全事件数据传至决策层。对采 集设备所采集到的数据进行预处理包括但不限于剔除明显错误的数据、设定采集设备分类 标志,规范时间等操作。封装处理器130的封装操作通过简单的封装协议进行。封装协议 包括数据包头和采集数据两个部分。数据包头包括三组内容:第一组为采集设备分类标 志码,lbit,用以区分状态采集设备110和网络数据包采集设备120 ;第二组表示采集数据 的时间,精确到秒,8Byte,如果数据采集层100采集的数据时间精确到毫秒,则封装处理器 130在预处理时将其规范化为秒;第三部分表示数据来源设备的MAC地址。由于状态采集 设备110和网络数据包采集设备120分布在整个网络中,因此封装处理器130被设计为支 持TCP/IP、HTTP、FTP、UDP、蓝牙、802. 11等多种网络传输协议,从而能够完成和状态采集设 备110、网络数据包采集设备120的交互,避免异构网络造成的信息传输隔阂。另外,由于封 装处理器130对网络事件数据进行了封装,因此也简化了分析决策层200,使之不必处理各 种网络协议,决策效率更加高效。 集群数据库系统200包括监控数据库210、关联分析策略数据库220、关联分析结 果数据库230、安全事件样本数据库240。监控数据库210用于存储数据采集层100所采集 到的性能参数相关的数据,例如状态采集设备110所采集的主板电压、电流等性能参数,网 络数据包采集设备120采集的CPU使用率、内存使用率、硬盘使用率、磁盘IO速度、缓冲区 大小、线程数量、队列长度等性能参数。关联分析策略数据库220用于存储用来进行关联分 析的策略,分为固定策略和用户配置策略两部分。关联分析结果数据库230用于存储关联 分析的历史结果,包括判定为有关联的报警安全事件、绿色安全事件和最新三天内分析的 安全事件。安全事件样本数据库240用于存储样本安全事件的名称、安全事件的性能参数, 包括但不仅限于网速、带宽、CPU使用率、内存使用率、硬盘空间使用率、磁盘IO速度、缓冲 区大小、线程数量、队列长度等。 分析决策层300包括关联分析模块310和关联分析策略模块320。关联分析模块 310用于分析数据采集层100的封装处理器130传输来的实时安全事件和安全事件样本数 据240所存储的样本安全事件之间的关联度。关联分析策略模块320用于操作操作关联分 析策略数据库220,包括关联分析策略导入、配置、修改、保存等功能。 分析决策层300对实时安全事件的处理步骤具体如下: S100,使用关联分析策略模块320从关联分析策略数据库220中读取关联分析策 略,确定要使用的性能参数。 不同的关联分析策略使用不同的性能参数。例如某个策略关注于网速、带宽和队 列长度,而另一策略关注于CPU使用率、内存使用率、硬盘空间使用率、磁盘IO速度、缓冲区 大小。 S110,从安全事件样本数据库240中读取关联分析策略所要求的样本安全事件的 相应能参数序列。 S120,将数据采集层100的封装处理器130传输来采集数据实时存储的监控数据 库210中,同时获取关联分析策略所要求的实时安全事件的相应性能参数。 S200,获取样本安全事件的相应性能参数时间序列集合为{SN},其中N为关联分析 策略中选定的性能参数个数。其中S1= (S1U1), S1U2),…,Sm(tm)}为样本安全事件的第1 个性能参数时间序列,At2到tm为m段间隔相等的时间间隔。为以此类推,S2为样本安全 事件的第2个性能参数时间序列,直到Sn为样本安全事件的第N个性能参数时间序列。获 取实时安全事件的相应性能参数时间序列集合为{RN},R1 ={&&),&(&),--?}为实时安 全事件的第1个性能参数时间序列。以此类推,R2为实时安全事件的第2个性能参数时间 序列,直到Rn为样本安全事件的第N个性能参数时间序列。 S300,计算S1U1)与R1U1)的差值Aol,计算S 1U2)与R1U2)的差值A 〇2,以此 类推,得到AoN ;获取Aol到AoN中的最大值Amax和最小值Amin并由此计算出均值本文档来自技高网...
【技术保护点】
一种网络安全事件关联分析系统,包括数据采集层、集群数据库系统、分析决策层及界面显示层;其特征在于:数据采集层包括多个状态采集设备、多个网络数据包采集设备和封装处理器等;集群数据库系统包括监控数据库、关联分析策略数据库、关联分析结果数据库、安全事件样本数据库等;分析决策层包括关联分析模块和关联分析策略模块等;界面显示层包括参数设定模块、结果展示模块、查询模块、逻辑中间件等。
【技术特征摘要】
1. 一种网络安全事件关联分析系统,包括数据采集层、集群数据库系统、分析决策层及 界面显示层;其特征在于:数据采集层包括多个状态采集设备、多个网络数据包采集设备 和封装处理器等;集群数据库系统包括监控数据库、关联分析策略数据库、关联分析结果数 据库、安全事件样本数据库等;分析决策层包括关联分析模块和关联分析策略模块等;界 面显示层包括参数设定模块、结果展示模块、查询模块、逻辑中间件等。2. -种利用权利要求1所述的网络安全事件关联分析系统对实时安全事件进行处理 的方法,其特征在于包括以下步骤: S100,使用关联分析策略模块320从关联分析策略数据库220中读取关联分析策略,确 定要使用的性能参数; S110,从安全事件样本数据库240中读取关联分析策略所要求的样本安全事件的相应 能参数序列; S120,将数据采集层100的封装处理器130传输来采集数据实时存储的监控数据库210 中,同时获取关联分析策略所要求的实时安全事件的相应性能参数; S200,获取样本安全事件的相应性能参数时间序列集合为{SN},其中N为关联分析策略 中选定的性能参数个数;其中S1 = (S1 (t),S1U2),…,SniUniM为样本安全事件的第1个性 能参数时间序列,tit 2到tm为m段间隔相等的时间...
【专利技术属性】
技术研发人员:季翠娜,孙剑波,邓华,杨世盛,李树臣,葛祖郁,王志军,丛宽堂,马世波,仲惟师,
申请(专利权)人:国网山东蓬莱市供电公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。