基于安全云的网络安全运营分析方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术公开了一种基于安全云的网络安全运营分析方法，包括步骤：接收安全监测系统发送的网络安全事件上报信息；根据网络安全事件的日志信息确定网络安全事件的类型及提取网络安全事件的第一关键特征信息和第二关键特征信息；将第一关键特征信息与安全云平台中预存的对应类型下的特征库进行匹配，确定与网络安全事件对应的推荐处置手段及推荐处置主体；将第二关键特征信息输入到安全云平台中预先构建好的对应类型下的网络安全态势量化评估模型中，获得网络安全事件对应的风险等级标签；根据网络安全事件对应的风险等级标签和推荐处置手段生成与处置工单，并将处置工单发送至推荐处置主体。至推荐处置主体。至推荐处置主体。

【技术实现步骤摘要】
基于安全云的网络安全运营分析方法、装置、电子设备及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种基于安全云的网络安全运营分析方法、装置、电子设备及存储介质。

技术介绍

[0002]随着因特网在全球的普及和发展，越来越多的计算机用户可以通过网络足不出户地享受丰富的信息资源，方便快捷地收发信息。计算机网络已经和人们的学习、工作紧密的联系在一起，成为许多人生活中不可获取的重要部分。但是，在人们享受网络带来的巨大便利时，计算机网络的安全性也日益受到关注。计算机网络安全的检测是计算机安全的重中之重。
[0003]在目前的网络安全运营的方案中，现有的安全监测系统在检测到网络安全事件时，通常会上报服务器，由安全监测人员对网络安全事件的地区、单位、负责人等信息进行查询，并通知网络安全事件的单位或负责人进行处理。但是这种人工的方式处理速度较慢，并且容易出现查询错误，无法对网络安全事件的发现研判处置进度进行有效的监督和指导，对网络安全事件的解决进度存在不了解、督导难和指挥难的问题，从而影响网络安全事件的处置效率和效果。

技术实现思路

[0004]本专利技术的目的在于提供一种基于安全云的网络安全运营分析方法、装置、电子设备及存储介质，其能够有效解决现有技术中所存在的上述技术问题。
[0005]为了实现上述目的，本专利技术的一实施例提供了一种基于安全云的网络安全运营分析方法，包括步骤：
[0006]S1、接收安全监测系统发送的网络安全事件上报信息，所述上报信息中包含所述网络安全事件的日志信息；
[0007]S2、根据所述网络安全事件的日志信息确定所述网络安全事件的类型及提取所述网络安全事件的第一关键特征信息和第二关键特征信息；
[0008]S3、将所述第一关键特征信息与安全云平台中预存的所述对应所述类型下的特征库进行匹配，确定与所述网络安全事件对应的推荐处置手段及推荐处置主体；
[0009]S4、将所述第二关键特征信息输入到安全云平台中预先构建好的对应所述类型下的网络安全态势量化评估模型中，获得所述网络安全事件对应的风险等级标签；其中，所述网络安全态势量化评估模型通过采集不同类型的历史网络安全事件数据及预置的风险等级对构建的神经网络模型进行训练得到；
[0010]S5、根据所述网络安全事件对应的风险等级标签和推荐处置手段生成与所述网络安全事件匹配的处置工单，将所述处置工单对所述网络安全事件的处置状态设置为“待处置”，并将所述处置工单发送至所述推荐处置主体，使所述推荐处置主体按照风险等级标签
的优先级处理顺序和所述推荐处置手段对所述网络安全事件进行处置；
[0011]S6、接收到所述推荐处置主体发送的网络安全事件处置完成报告时，将所述处置工单对所述网络安全事件的处置状态设置为“已处置”，并在判断所述网络安全事件处置完成报告中的实际处置手段与所述推荐处置手段不同时，根据处置结果对所述实际处置手段和推荐处置手段进行对比评价，当评价得出所述实际处置手段优于所述推荐处置手段时，根据所述实际处置手段对所述安全云平台中预存的特征库进行更新。
[0012]优选地，在所述步骤S5与S6之间还包括步骤：
[0013]实时监控所述处置工单对所述网络安全事件的处置状态，当所述处置工单对所述网络安全事件的处置状态为“待处置”的时间大于等于预置的所述网络安全事件对应的风险等级标签的处置时间阈值的1/2时，向所述推荐处置主体发送网络安全事件处置提醒信息。
[0014]优选地，在所述步骤S3中，在将所述第一关键特征信息与安全云平台中预存的所述对应所述类型下的特征库进行匹配时，还确定与所述网络安全事件对应的后备推荐处置主体；在所述步骤S5与S6之间进一步包括步骤：
[0015]实时监控所述处置工单对所述网络安全事件的处置状态，当所述处置工单对所述网络安全事件的处置状态为“待处置”的时间大于等于预置的所述网络安全事件对应的风险等级标签的处置时间阈值时，则将发送至所述推荐处置主体的所述处置工单对所述网络安全事件的处置状态为“无法处置”，并将所述处置工单转发送至所述后备推荐处置主体，使所述后备推荐处置主体按照风险等级标签的优先级处理顺序和所述推荐处置手段对所述网络安全事件进行处置。
[0016]优选地，所述网络安全事件的类型包括网络攻击事件和漏洞事件；
[0017]当所述网络安全事件的类型为网络攻击事件时，所述第一关键特征信息包括攻击来源信息、攻击对象信息和攻击手段信息；所述步骤S3进一步包括：根据所述攻击来源信息与预先生成的攻击记录进行匹配，确定与所述攻击来源信息对应的攻击次数；若所述攻击次数大于预设阈值，则所述推荐处置手段固定为对所述网络攻击事件进行联动处置；其中，所述攻击记录通过以下步骤生成：在提取所述网络攻击事件的第一特征信息之后，根据所述网络攻击事件的攻击来源信息更新所述攻击记录，并将与所述攻击来源信息对应的攻击次数的计数加一；所述第二关键特征信息包括所述网络安全态势量化评估模型所需参与的网络攻击信息；所述网络攻击信息包括攻击来源信息、攻击对象信息、攻击手段信息、协议、攻击对象访问权限、网络攻击类型或攻击对象的系统脆弱性；
[0018]当所述网络安全事件的类型包括漏洞事件时，所述第一关键特征信息包括url和漏洞类型；所述第二关键特征信息包括所述网络安全态势量化评估模型所需参与的漏洞信息，所述漏洞信息包括漏洞名称、漏洞发现的时间、漏洞所在的主机，漏洞的类型、漏洞的严重度和漏洞对应的端口。
[0019]本专利技术的又一实施例对应提供一种基于安全云的网络安全运营分析装置，包括：
[0020]接收模块，用于接收安全监测系统发送的网络安全事件上报信息，所述上报信息中包含所述网络安全事件的日志信息；
[0021]信息提取模块，用于根据所述网络安全事件的日志信息确定所述网络安全事件的类型及提取所述网络安全事件的第一关键特征信息和第二关键特征信息；
[0022]匹配模块，用于将所述第一关键特征信息与安全云平台中预存的所述对应所述类型下的特征库进行匹配，确定与所述网络安全事件对应的推荐处置手段及推荐处置主体；
[0023]评估模块，用于将所述第二关键特征信息输入到安全云平台中预先构建好的对应所述类型下的网络安全态势量化评估模型中，获得所述网络安全事件对应的风险等级标签；其中，所述网络安全态势量化评估模型通过采集不同类型的历史网络安全事件数据及预置的风险等级对构建的神经网络模型进行训练得到；
[0024]处置工单生成模块，用于根据所述网络安全事件对应的风险等级标签和推荐处置手段生成与所述网络安全事件匹配的处置工单，将所述处置工单对所述网络安全事件的处置状态设置为“待处置”，并将所述处置工单发送至所述推荐处置主体，使所述推荐处置主体按照风险等级标签的优先级处理顺序和所述推荐处置手段对所述网络安全事件进行处置；
[0025]更新模块，用于在接收到所述推荐处置主体发送的网络安全事件处置完成报告时，将所述处置工单对所述网络安全事本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于安全云的网络安全运营分析方法，其特征在于，包括步骤：S1、接收安全监测系统发送的网络安全事件上报信息，所述上报信息中包含所述网络安全事件的日志信息；S2、根据所述网络安全事件的日志信息确定所述网络安全事件的类型及提取所述网络安全事件的第一关键特征信息和第二关键特征信息；S3、将所述第一关键特征信息与安全云平台中预存的所述对应所述类型下的特征库进行匹配，确定与所述网络安全事件对应的推荐处置手段及推荐处置主体；S4、将所述第二关键特征信息输入到安全云平台中预先构建好的对应所述类型下的网络安全态势量化评估模型中，获得所述网络安全事件对应的风险等级标签；其中，所述网络安全态势量化评估模型通过采集不同类型的历史网络安全事件数据及预置的风险等级对构建的神经网络模型进行训练得到；S5、根据所述网络安全事件对应的风险等级标签和推荐处置手段生成与所述网络安全事件匹配的处置工单，将所述处置工单对所述网络安全事件的处置状态设置为“待处置”，并将所述处置工单发送至所述推荐处置主体，使所述推荐处置主体按照风险等级标签的优先级处理顺序和所述推荐处置手段对所述网络安全事件进行处置；S6、当接收到所述推荐处置主体发送的网络安全事件处置完成报告时，将所述处置工单对所述网络安全事件的处置状态设置为“已处置”，并在判断所述网络安全事件处置完成报告中的实际处置手段与所述推荐处置手段不同时，根据处置结果对所述实际处置手段和推荐处置手段进行对比评价，当评价得出所述实际处置手段优于所述推荐处置手段时，根据所述实际处置手段对所述安全云平台中预存的特征库进行更新。2.根据权利要求1所述的基于安全云的网络安全运营分析方法，其特征在于，在所述步骤S5与S6之间还包括步骤：实时监控所述处置工单对所述网络安全事件的处置状态，当所述处置工单对所述网络安全事件的处置状态为“待处置”的时间大于等于预置的所述网络安全事件对应的风险等级标签的处置时间阈值的1/2时，向所述推荐处置主体发送网络安全事件处置提醒信息。3.根据权利要求2所述的基于安全云的网络安全运营分析方法，其特征在于，在所述步骤S3中，在将所述第一关键特征信息与安全云平台中预存的所述对应所述类型下的特征库进行匹配时，还确定与所述网络安全事件对应的后备推荐处置主体；在所述步骤S5与S6之间进一步包括步骤：实时监控所述处置工单对所述网络安全事件的处置状态，当所述处置工单对所述网络安全事件的处置状态为“待处置”的时间大于等于预置的所述网络安全事件对应的风险等级标签的处置时间阈值时，则将发送至所述推荐处置主体的所述处置工单对所述网络安全事件的处置状态为“无法处置”，并将所述处置工单转发送至所述后备推荐处置主体，使所述后备推荐处置主体按照风险等级标签的优先级处理顺序和所述推荐处置手段对所述网络安全事件进行处置。4.根据权利要求1所述的基于安全云的网络安全运营分析方法，其特征在于，所述网络安全事件的类型包括网络攻击事件和漏洞事件；当所述网络安全事件的类型为网络攻击事件时，所述第一关键特征信息包括攻击来源信息、攻击对象信息和攻击手段信息；所述步骤S3进一步包括：根据所述攻击来源信息与预
先生成的攻击记录进行匹配，确定与所述攻击来源信息对应的攻击次数；若所述攻击次数大于预设阈值，则所述推荐处置手段固定为对所述网络攻击事件进行联动处置；其中，所述攻击记录通过以下步骤生成：在提取所述网络攻击事件的第一特征信息之后，根据所述网络攻击事件的攻击来源信息更新所述攻击记录，并将与所述攻击来源信息对应的攻击次数的计数加一；所述第二关键特征信息包括所述网络安全态势量化评估模型所需参与的网络攻击信息；所述网络攻击信息包括攻击来源信息、攻击对象信息、攻击手段信息、协议、攻击对象访问权限、网络攻击类型或攻击对象的系统脆弱性；当所述网络安全事件的类型包括漏洞事件时，所述第一关键特征信息包括URL和漏洞类型；所述第二关键特征信息包括所述网络安全态势量化评估模型所需参与的漏洞信息，所述漏洞信息包括漏洞名称、漏洞发现的时间、漏洞所在的主机，漏洞的类型、漏洞的严重度和漏洞对应的端口。5.一种基于安全云的网络安全运营分析装置，其特征在于，包括：接收模块，用于接收安全监测系统发送的网络安全事件上报信息，所述上报信息中包含所述网络安全事件的日志信息；信息提取模块，用于根据所述网络安全事件的日志信息确定所述网络安全事件的类型...

【专利技术属性】
技术研发人员：王茂奎，张家庆，陈振华，朱金村，林绵鑫，
申请(专利权)人：广州谦益科技有限公司，
类型：发明
国别省市：