【技术实现步骤摘要】
一种基于网络安全态势感知的网络风险评估方法
[0001]本专利技术涉及网络
,具体涉及一种基于网络安全态势感知的网络风险评估方法。
技术介绍
[0002]随着网络信息化工作的不断深入,信息主导警务的趋势日益明显,信息通信网同外部接入单位之间的数据交换量逐渐增大,网络的攻击、入侵、病毒、木马等各种类型的安全威胁日益增大,信息通信网上信息的完整性、安全性面临的挑战越来越多。目前网络风险评估主要面临以下挑战:1)安全事件分析难度大,安全威胁处理陷入困局。随着通信网络的不断延伸与扩展,网络中的设备数量和服务类型也越来越多,网络中的关键安全设备和业务服务器产生了大量的安全事件日志,安全运维人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,工作效率极低,难以发现真正的安全隐患。2)网络攻击越来越复杂,安全问题难以检测。云计算技术的发展将IT资产不断向虚拟化迁移,业务的增删查改变化大,IT业务向互联网、移动互联网、公有云的演进为攻击者提供了更多的攻击向量,安全边界变得越发模糊,而传统的安全防御模式还停留在网络与应用系统,导致看不清资产变化,看不清业务访问关系,更看不清内部的横向攻击、异常访问与违规操作,黑客一旦突破边界以后,往往利用合法用户身份渗透内部其他业务系统,窃取核心数据。因此,有必要提出一种基于网络安全态势感知的网络风险评估方法,以解决上述问题。
技术实现思路
[0003]本专利技术的目的在于提供一种基于网络安全态势感知的网络风险评估方法,以解决目前网络安全事件分析难 ...
【技术保护点】
【技术特征摘要】
1.一种基于网络安全态势感知的网络风险评估方法,其特征在于,包括:数据采集平台基于威胁潜伏探针、EDR进行数据的收集;大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术,将特征检测和行为检测相结合,对所述数据进行分析并接收威胁情报;大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估,并将网络风险评估结果发送至告警及控制中心;其中,大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估,包括:从网络性能指标中,选取指标进行实验;通过贝叶斯网络进行分析,确定各指标之间的依赖关系,画出贝叶斯网络拓扑结构图;对所述数据的分析结果以及接收到的威胁情报行归一化处理,得到对应指标某一时间段的时间序列图,然后进行统计分析,计算出各指标的先验概率和各指标的后验概率;通过上述计算结果,结合评估系数公式,求出各指标的某个风险因素的概率变化的最大允许量并进行排序,最后计算网络风险率,结合风险等级表查看当前时刻的网络风险等级。2.根据权利要求1所述的一种基于网络安全态势感知的网络风险评估方法,其特征在于,数据采集平台基于威胁潜伏探针、EDR进行数据的收集的步骤中,所述数据包括网络中的网络设备、网络服务、URL、IP地址、端口号、会话重组、资产识别信息、应用解析信息、访问历史信息、协议解析信息、攻击记录以及系统信息;在市级网络的重要汇聚结点和区县网络核心交换旁路部署潜伏威胁探针;所述威胁潜伏探针通过软件设计将网络层和应用层的数据处理进行分离,在底层以应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层;若应用层发生数据处理失败的情况,不会影响到网络层数据的转发;所述威胁潜伏探针构筑在64位多核并发高速硬件平台之上,将转发平面、安全平面并行运行在多核平台上,多平面并发处理,在计算指令设计上采用无锁并行处理技术,实现多流水线同时处理。3.根据权利要求1所述的一种基于网络安全态势感知的网络风险评估方法,其特征在于,数据采集平台基于威胁潜伏探针、EDR进行数据的收集的步骤中,所述威胁潜伏探针采用单次解析架构实现报文的一次解析一次匹配,提升应用层效率,所述威胁潜伏探针通过软件架构设计实现网络层、应用层的平面分离,将数据通过“0”拷贝技术提取到应用平面上实现威胁特征的统一解析和统一检测;所述威胁潜伏探针利用应用识别技术,在内核驱动层面通过私有协议将所有经过探针的数据包都打上应用的标签,当数据包被提取到内容检测平面进行检测时,设备会找到对应的应用威胁特征,通过使用跳跃式扫描技术跳过无关的应用威胁检测特征;所述威胁潜伏探针用于对网络通信行为进行还原和记录,以供安全人员进行取证分析,还原内容包括:TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为;所述威胁潜伏探针用于实现IP碎片重组、TCP流重组、应用层协议识别与解析,具备多种的入侵攻击模式或恶意URL监测模式,完成模式匹配并生成事件,提取URL记录和域名记录,在特征事件触发时基于五元组和二元组进行原始报文的录制;所述所述威胁潜伏探针
采用正则引擎提高正则表达式的匹配速度。4.根据权利要求1所述的一种基于网络安全态势感知的网络风险评估方法,其特征在于,大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术,将特征检测和行为检测相结合,对所述数据进行分析并接收威胁情报的步骤中,大数据分析平台采用上下文关联分析、异常协议分析、特征检测、非法访问分析、异常行为分析、异常行为检测、访问关联分析、智能联动分析、资产检测、安全态势分析、全网流量分析以及攻击检测对所述数据进行分析;所述威胁情报的来源包括千里目威胁情报、CNVD、CNCERT、Virus
‑
Total、CNNVD、ANVA、Exploit DB、MAPP、CVE。5.根据权利要求1所述的一种基于网络安全态势感知的网络风险评估方法,其特征在于,大数据分析平台采用用户和实体行为分析、威胁建模及机器学习技术,将特征检测和行为检测相结合,对所述数据进行分析并接收威胁情报的步骤中,所述大数据分析平台用于资产业务管理,所述资产业务管理包括:按照功能划分,内网设备分为资产和业务,大数据分析平台主动识别内网资产,主动发现...
【专利技术属性】
技术研发人员:刘山林,秦笑天,王男,左瑞山,
申请(专利权)人:山东林天信息科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。