一种基于网络安全态势感知的网络风险评估方法技术

本发明专利技术公开一种基于网络安全态势感知的网络风险评估方法，包括数据采集平台基于威胁潜伏探针、EDR进行数据的收集；大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术，将特征检测和行为检测相结合，对所述数据进行分析并接收威胁情报；大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估，并将网络风险评估结果发送至告警及控制中心；能够有效解决目前网络安全事件分析难度大，安全威胁处理陷入困局，网络攻击越来越复杂，安全问题难以检测的问题。安全问题难以检测的问题。安全问题难以检测的问题。

【技术实现步骤摘要】
一种基于网络安全态势感知的网络风险评估方法


[0001]本专利技术涉及网络
，具体涉及一种基于网络安全态势感知的网络风险评估方法。

技术介绍

[0002]随着网络信息化工作的不断深入，信息主导警务的趋势日益明显，信息通信网同外部接入单位之间的数据交换量逐渐增大，网络的攻击、入侵、病毒、木马等各种类型的安全威胁日益增大，信息通信网上信息的完整性、安全性面临的挑战越来越多。目前网络风险评估主要面临以下挑战：1）安全事件分析难度大，安全威胁处理陷入困局。随着通信网络的不断延伸与扩展,网络中的设备数量和服务类型也越来越多，网络中的关键安全设备和业务服务器产生了大量的安全事件日志，安全运维人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，工作效率极低，难以发现真正的安全隐患。2）网络攻击越来越复杂，安全问题难以检测。云计算技术的发展将IT资产不断向虚拟化迁移，业务的增删查改变化大，IT业务向互联网、移动互联网、公有云的演进为攻击者提供了更多的攻击向量，安全边界变得越发模糊，而传统的安全防御模式还停留在网络与应用系统，导致看不清资产变化，看不清业务访问关系，更看不清内部的横向攻击、异常访问与违规操作，黑客一旦突破边界以后，往往利用合法用户身份渗透内部其他业务系统，窃取核心数据。因此，有必要提出一种基于网络安全态势感知的网络风险评估方法，以解决上述问题。

技术实现思路

[0003]本专利技术的目的在于提供一种基于网络安全态势感知的网络风险评估方法，以解决目前网络安全事件分析难度大，安全威胁处理陷入困局，网络攻击越来越复杂，安全问题难以检测的问题。
[0004]本专利技术提供一种基于网络安全态势感知的网络风险评估方法，其特征在于，包括：数据采集平台基于威胁潜伏探针、EDR进行数据的收集；大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术，将特征检测和行为检测相结合，对所述数据进行分析并接收威胁情报；大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估，并将网络风险评估结果发送至告警及控制中心；其中，大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估，包括：从网络性能指标中，选取指标进行实验；通过贝叶斯网络进行分析，确定各指标之间的依赖关系，画出贝叶斯网络拓扑结构图；对所述数据的分析结果以及接收到的威胁情报行归一化处理，得到对应指标某一时间段的时间序列图，然后进行统计分析，计算出各指标的先验概率和各指标的后验概率；通过上述计算结果，结合评估系数公式，求出各指标的某个风险因素的概率变化的最大允许量并进行排序，最后计算网络风险率，结合风险等级表查看当前时刻的网络风险等级。
[0005]进一步地，数据采集平台基于威胁潜伏探针、EDR进行数据的收集的步骤中，所述数据包括网络中的网络设备、网络服务、URL、IP地址、端口号、会话重组、资产识别信息、应用解析信息、访问历史信息、协议解析信息、攻击记录以及系统信息；在市级网络的重要汇聚结点和区县网络核心交换旁路部署潜伏威胁探针；所述威胁潜伏探针通过软件设计将网络层和应用层的数据处理进行分离，在底层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层；若应用层发生数据处理失败的情况，不会影响到网络层数据的转发；所述威胁潜伏探针构筑在64位多核并发高速硬件平台之上，将转发平面、安全平面并行运行在多核平台上，多平面并发处理，在计算指令设计上采用无锁并行处理技术，实现多流水线同时处理。
[0006]进一步地，数据采集平台基于威胁潜伏探针、EDR进行数据的收集的步骤中，所述威胁潜伏探针采用单次解析架构实现报文的一次解析一次匹配，提升应用层效率，所述威胁潜伏探针通过软件架构设计实现网络层、应用层的平面分离，将数据通过“0”拷贝技术提取到应用平面上实现威胁特征的统一解析和统一检测；所述威胁潜伏探针利用应用识别技术，在内核驱动层面通过私有协议将所有经过探针的数据包都打上应用的标签，当数据包被提取到内容检测平面进行检测时，设备会找到对应的应用威胁特征，通过使用跳跃式扫描技术跳过无关的应用威胁检测特征；所述威胁潜伏探针用于对网络通信行为进行还原和记录，以供安全人员进行取证分析，还原内容包括：TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为；所述威胁潜伏探针用于实现IP碎片重组、TCP流重组、应用层协议识别与解析，具备多种的入侵攻击模式或恶意URL监测模式，完成模式匹配并生成事件，提取URL记录和域名记录，在特征事件触发时基于五元组和二元组进行原始报文的录制；所述所述威胁潜伏探针采用正则引擎提高正则表达式的匹配速度。
[0007]进一步地，大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术，将特征检测和行为检测相结合，对所述数据进行分析并接收威胁情报的步骤中，大数据分析平台采用上下文关联分析、异常协议分析、特征检测、非法访问分析、异常行为分析、异常行为检测、访问关联分析、智能联动分析、资产检测、安全态势分析、全网流量分析以及攻击检测对所述数据进行分析；所述威胁情报的来源包括千里目威胁情报、CNVD、CNCERT、Virus
‑
Total、CNNVD、ANVA、Exploit DB、MAPP、CVE。
[0008]进一步地，大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术，将特征检测和行为检测相结合，对所述数据进行分析并接收威胁情报的步骤中，所述大数据分析平台用于资产业务管理，所述资产业务管理包括：按照功能划分，内网设备分为资产和业务，大数据分析平台主动识别内网资产，主动发现内网未被定义的设备资产的IP地址；通过资产配置详情展示模块识别内网服务器资产的IP地址，操作系统，开放端口以及传输使用协议和应用；通过业务与资产关系展示模块，按资产IP地址/地址段，组合成为特定的业务组。
[0009]进一步地，大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术，将特征检测和行为检测相结合，对所述数据进行分析并接收威胁情报的步骤中，所述大数据分析平台用于内网流量展示，所述内网流量展示包括：通过访问关系展示模块展示用户、业务系统、互联网之间访问关系，识别访问关系的who、what、when、how；通过颜色区分不同危险等级用户、业务系统；内网违规访问、攻击行为、异常流量的图形化展示，展示内网针对
不同业务资产的正常访问、违规访问、攻击行为、异常流量，并用不同颜色加以区分。
[0010]进一步地，大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术，将特征检测和行为检测相结合，对所述数据进行分析并接收威胁情报的步骤中，所述大数据分析平台内建检测识别知识库，所述检测识别知识库涵盖的入侵防护漏洞特征具备中文介绍，包括漏洞描述、漏洞名称、危险等级、影响系统、对应CVE编号、参考信息和建议的解决方案；所述检测识别知识库具备独立的僵尸主机识别特征库及恶意软件识别特征库本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于网络安全态势感知的网络风险评估方法，其特征在于，包括：数据采集平台基于威胁潜伏探针、EDR进行数据的收集；大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术，将特征检测和行为检测相结合，对所述数据进行分析并接收威胁情报；大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估，并将网络风险评估结果发送至告警及控制中心；其中，大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估，包括：从网络性能指标中，选取指标进行实验；通过贝叶斯网络进行分析，确定各指标之间的依赖关系，画出贝叶斯网络拓扑结构图；对所述数据的分析结果以及接收到的威胁情报行归一化处理，得到对应指标某一时间段的时间序列图，然后进行统计分析，计算出各指标的先验概率和各指标的后验概率；通过上述计算结果，结合评估系数公式，求出各指标的某个风险因素的概率变化的最大允许量并进行排序，最后计算网络风险率，结合风险等级表查看当前时刻的网络风险等级。2.根据权利要求1所述的一种基于网络安全态势感知的网络风险评估方法，其特征在于，数据采集平台基于威胁潜伏探针、EDR进行数据的收集的步骤中，所述数据包括网络中的网络设备、网络服务、URL、IP地址、端口号、会话重组、资产识别信息、应用解析信息、访问历史信息、协议解析信息、攻击记录以及系统信息；在市级网络的重要汇聚结点和区县网络核心交换旁路部署潜伏威胁探针；所述威胁潜伏探针通过软件设计将网络层和应用层的数据处理进行分离，在底层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层；若应用层发生数据处理失败的情况，不会影响到网络层数据的转发；所述威胁潜伏探针构筑在64位多核并发高速硬件平台之上，将转发平面、安全平面并行运行在多核平台上，多平面并发处理，在计算指令设计上采用无锁并行处理技术，实现多流水线同时处理。3.根据权利要求1所述的一种基于网络安全态势感知的网络风险评估方法，其特征在于，数据采集平台基于威胁潜伏探针、EDR进行数据的收集的步骤中，所述威胁潜伏探针采用单次解析架构实现报文的一次解析一次匹配，提升应用层效率，所述威胁潜伏探针通过软件架构设计实现网络层、应用层的平面分离，将数据通过“0”拷贝技术提取到应用平面上实现威胁特征的统一解析和统一检测；所述威胁潜伏探针利用应用识别技术，在内核驱动层面通过私有协议将所有经过探针的数据包都打上应用的标签，当数据包被提取到内容检测平面进行检测时，设备会找到对应的应用威胁特征，通过使用跳跃式扫描技术跳过无关的应用威胁检测特征；所述威胁潜伏探针用于对网络通信行为进行还原和记录，以供安全人员进行取证分析，还原内容包括：TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为；所述威胁潜伏探针用于实现IP碎片重组、TCP流重组、应用层协议识别与解析，具备多种的入侵攻击模式或恶意URL监测模式，完成模式匹配并生成事件，提取URL记录和域名记录，在特征事件触发时基于五元组和二元组进行原始报文的录制；所述所述威胁潜伏探针
采用正则引擎提高正则表达式的匹配速度。4.根据权利要求1所述的一种基于网络安全态势感知的网络风险评估方法，其特征在于，大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术，将特征检测和行为检测相结合，对所述数据进行分析并接收威胁情报的步骤中，大数据分析平台采用上下文关联分析、异常协议分析、特征检测、非法访问分析、异常行为分析、异常行为检测、访问关联分析、智能联动分析、资产检测、安全态势分析、全网流量分析以及攻击检测对所述数据进行分析；所述威胁情报的来源包括千里目威胁情报、CNVD、CNCERT、Virus
‑
Total、CNNVD、ANVA、Exploit DB、MAPP、CVE。5.根据权利要求1所述的一种基于网络安全态势感知的网络风险评估方法，其特征在于，大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术，将特征检测和行为检测相结合，对所述数据进行分析并接收威胁情报的步骤中，所述大数据分析平台用于资产业务管理，所述资产业务管理包括：按照功能划分，内网设备分为资产和业务，大数据分析平台主动识别内网资产，主动发现...

【专利技术属性】
技术研发人员：刘山林，秦笑天，王男，左瑞山，
申请(专利权)人：山东林天信息科技有限责任公司，
类型：发明
国别省市：