The invention provides a security operation and maintenance management method and system, including: collecting network security events; establishing a baseline model; selecting the data amount of network security events with set time period as a training set; dividing the time period into multiple sub-time periods, each sub-time period including multiple time points, and each sub-time period. The baseline value and its confidence interval of each time point are obtained by substituting the data of each time point into the baseline model, monitoring whether the data of each time point is in the corresponding baseline confidence interval after setting the time period, and making decisions according to the monitoring results, including: if in the confidence interval, the baseline value and its confidence interval are obtained. The baseline value and its confidence interval are recalculated if the time point data are included in the training set. If the baseline warning is not generated within the confidence interval, or the time point data is included in the training set, the baseline value and its confidence interval of the time point are recalculated, or the historical data is cleared, and the time point data is taken as the baseline value.
【技术实现步骤摘要】
安全运维管理方法及系统
本专利技术涉及网络安全
,更为具体地,涉及一种安全运维管理方法及系统。
技术介绍
网络安全事件预警分析中可以利用异常检测,异常检测用于处理之前未知的事件。基线技术的使用是异常检测的一种手段,为网络安全事件提供标准度量,例如,有人试图使用拒绝服务攻击的手段攻击企业内的IT资产,使其无法对外提供服务,此时可以使用统计基线技术,分析IT资产的连接何时增加,并且能够在拒绝服务攻击成为安全问题前检测出来。通常采用阈值用于确定何时某些指标超过了基线的值。在此过程中阈值需要自动化创建,例如是查看每小时内的日志数据,执行下面的操作:1、收集最近10分钟内的日志数据/事件计数2、收集1小时内的日志数据/事件计数3、收集1天内的日志数据/事件计数根据收集到的计数信息,可以从中分析出异常情况,这样提供可用的基本阈值,特别是分析说明这些事件来源是未知的情况。为了建立基线,需要有许多规范化形式的数据以及专家知识库积累。通过专家知识库的积累辨别正常情况或不正常情况,不进行训练数据。上述基线方法具有以下问题:(1)没有自定义采集周期,无法通过统计方法来计算出实际情况的基线;(2)没有考虑到每个周期样本点的变化情况,从而无法生成动态基线;(3)无法取出样本点中的异样数据,从而重新计算基线;(4)没有忙时和闲时概念,没有考虑到运维实际环境的忙闲时变化问题。
技术实现思路
鉴于上述问题,本专利技术的目的是提供一种生成实际动态基线的安全运维管理方法及系统。根据本专利技术的一个方面,提供一种安全运维管理系统,包括:采集模块,采集网络安全事件;基线构建模块,建立基线模型,...
【技术保护点】
1.一种安全运维管理系统,其特征在于,包括:采集模块,采集网络安全事件;基线构建模块,建立基线模型,选取设定时间周期采集模块采集的网络安全事件的数据量作为训练集,将所述时间周期分成多个子时间周期,每个子时间周期包括多个时间点,将每个子时间周期的每个时间点的所述数据量作为样本点分别代入基线模型进行训练,得到每个时间点的基线值及其对应的置信区间,各时间点的基线值的集合为基线数据;预警监测模块,监测所述设定时间周期后每个时间点的数据量是否在对应的基线构建模块构建的所述时间点的置信区间内,将监测结果发送给决策模块;决策模块,根据预警监测模块的监测结果发出决策,所述决策包括:当时间点的数据量在其基线的置信区间内时,将所述时间点的数据量纳入训练集,重新计算所述时间点的基线值及其置信区间;当时间点的数据量不在其基线的置信区间内时,产生基线预警或将所述时间点的数据量纳入训练集或清除历史数据,将所述时间点的数据量作为基线值。
【技术特征摘要】
1.一种安全运维管理系统,其特征在于,包括:采集模块,采集网络安全事件;基线构建模块,建立基线模型,选取设定时间周期采集模块采集的网络安全事件的数据量作为训练集,将所述时间周期分成多个子时间周期,每个子时间周期包括多个时间点,将每个子时间周期的每个时间点的所述数据量作为样本点分别代入基线模型进行训练,得到每个时间点的基线值及其对应的置信区间,各时间点的基线值的集合为基线数据;预警监测模块,监测所述设定时间周期后每个时间点的数据量是否在对应的基线构建模块构建的所述时间点的置信区间内,将监测结果发送给决策模块;决策模块,根据预警监测模块的监测结果发出决策,所述决策包括:当时间点的数据量在其基线的置信区间内时,将所述时间点的数据量纳入训练集,重新计算所述时间点的基线值及其置信区间;当时间点的数据量不在其基线的置信区间内时,产生基线预警或将所述时间点的数据量纳入训练集或清除历史数据,将所述时间点的数据量作为基线值。2.根据权利要求1所述的安全运维管理系统,其特征在于,还包括:重置基线模块,根据训练集增加的样本点更新基线及其置信区间,包括计算策略设定单元、历史加载单元、样本点更新单元、新基线生成单元,其中:所述计算策略设定单元设定样本点的计算策略,所述计算策略包括距离最短策略、时间最长策略和指定时间策略中的一种或多种;历史加载单元,加载基线的历史数据;样本点更新单元,根据设定的计算策略重新生成各时间点的样本点;新基线生成单元,将更新后的样本点代入基线模型进行训练,更新各时间点的基线值及其对应的置信区间。3.根据权利要求1所述的安全运维管理系统,其特征在于,所述决策模块包括:第一判断单元,判断时间点的数据量是否为报警数据,所述报警数据为超过置信区间的数据点的数据量,将报警数据发送给第二判断单元,将非报警数据发送给第一更新单元;第二判断单元,判断是否清除历史基线数据,如果清楚历史基线数据,将报警数据发送给第二更新单元,如果不清楚历史基线数据,将报警数据发送给第一更新单元;第一更新单元,将第一判断单元发送的非报警数据或第二判断单元发送的报警数据,纳入训练集,重新计算所述时间点的基线值及其置信区间;第二更新单元,将报警数据作为对应的时间点的基线值。4.根据权利要求1所述的安全运维管理系统,其特征在于,所述基线构建模块包括:第一加载单元,加载训练参数,所述训练参数包括时间周期、子时间周期、时间点、资产范围和训练系数中的一种或多种,所述训练系数为资产对应的权重;选取单元,从采集模块选取符合训练参数的训练集;聚类单元,对各时间点的训练集内的样本点进行聚类;正常样本点生成单元,将各时间点的聚类结果中的样本点作为正常样本点;基线构建单元,构建基线模型;训练单元,将各时间点的正常样本点代入基线构建单元构建的基线模型,得到各时间点的基线值及其置信区间。5.根据权利要求1所述的安全运维管理系统,其特征在于,所述预警监测模块包括:启动单元,在启动时间,发送指令给第二加载单元和查询单元,所述启动时间为所述设定时间周期后时间点和延时时间之和;第二加载单元,接收到启动单元指令后,从基线构建模块加载基线数据;查询单元,接收到启动单元指令后,从采集模块调用启动时间前的时间点的数据量;第三判断单元,判...
【专利技术属性】
技术研发人员:欧阳云飞,
申请(专利权)人:北京仁和诚信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。