基于安全信号匹配的计算机网络安全分析系统技术方案

本发明专利技术属于网络安全领域，具体是指一种基于安全信号匹配的计算机网络安全分析系统，包括告警分流装置、告警数据标识装置和任务流转装置，采用数字化重保管理方法实现了网络安全事件的高效管理与协同处理，提高了重保过程中的工作效率，降低重保期间的网络安全隐患，该系统整合了人员管理、客户管理、告警分流、事件管理、黑IP管理、工单管理和项目管理环节，使用了DBSCAN算法，不需要预先声明聚类数量，各项工作流程更加紧密协调，信息传递更加高效，通过数字化的方式实现了网络安全事件的全流程管理与协同处理，充分发挥了安全信号匹配技术在网络安全领域的优势，提升了重保工作的效率与质量，降低了网络安全风险。降低了网络安全风险。

【技术实现步骤摘要】
基于安全信号匹配的计算机网络安全分析系统


[0001]本申请涉及网络安全领域，具体涉及基于安全信号匹配的计算机网络安全分析系统。

技术介绍

[0002]在当前信息时代，网络安全和信息安全已经成为了一个非常重要的问题。随着信息技术的不断发展和应用，网络攻击和信息泄露的风险也越来越高。重要时期安全保障服务（简称重保服务）就是其中一项非常重要的保障措施。针对重保期间涉及到人员管理，安全威胁的识别与预警，事件的响应处置与跟进，重要资产的监测管理，重点攻击对象的入侵监测，全局的安全管理与监控工作，没有一套完整的数字化流程将以上工作串联，较为分散。影响了重保工作过程中的信息传递和事件发现到响应处置的效率，增加了重保期间的网络安全隐患。

技术实现思路

[0003]基于所述现有技术方案有必要针对上述问题，本专利技术提供一种基于安全信号匹配的计算机网络安全分析系统，通过数字化的方式管理重保项目，整合人员管理、客户管理、告警分流、事件管理、黑ip管理、工单管理、项目管理涉及到重保相关工作完成全流程数字化，以计算机应用程序的形式呈现整合后的工作流程，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于安全信号匹配的计算机网络安全分析系统，应用于网络安全，包括告警分流装置、告警数据标识装置、任务流转装置，其特征在于，所述计算机网络安全分析系统采用数字化重保管理方法对计算机网络进行安全分析；所述数字化重保管理方法包括以下步骤：步骤S1：创建重保项目，获取安全责任主体，获取运营工作人员数据；步骤S2：点击进入重保项目，以开始管理和查看重保项目内容，重保项目包括重保概览、重保资产、黑名单ip库、重保告警模块和重保事件模块；步骤S3：在重保项目设置中使用告警分流装置将重保告警分流，告警分流装置记录开始时间，并将时间匹配的重保告警分流至对应重保项目；步骤S4：告警分流装置提供不同日志类型的分类选项，将命中分类的重保告警进行分流；步骤S5：使用告警数据标识装置对分流后的重保告警进行标识，生成红名单标识或黑名单标识，红名单标识或黑名单标识作为优先级依据，标识后的重保告警数据成为告警数据A；步骤S6：安全运营人员分析研判告警数据A，生成属于重保项目的安全事件数据；步骤S7：执行下一步操作，包括变更安全事件数据的状态或根据安全事件数据生成安全事件报告；步骤S8：通过任务流转装置对安全事件报告的相关数据执行流转，实现数据共享和跟踪，任务流转装置的单次执行过程定义为任务；步骤S9：生成关于安全事件报告和安全事件数据的安全事件，在不同客户端间流转，直至安全事件完成闭环，重保项目结束后，操作限制，重保项目归档。2.根据权利要求1所述的一种基于安全信号匹配的计算机网络安全分析系统，其特征在于：在步骤S3中，告警分流的具体方法包括以下步骤：步骤S31：收集初始重保告警数据，并进行预处理；步骤S32：从初始重保告警数据中进行特征提取；步骤S33：根据DBSCAN算法进行领域定义；步骤S34：进行参数设置，确定DBSCAN算法的参数，包括领域范围ε和邻居阈值MinPts，用数据集来统称以上两个参数，通过自动参数搜索来确定领域范围和邻居阈值的最佳参数；步骤S35：根据给定的邻域参数Eps和MinPts确定所有的核心对象；步骤S36：选择一个未处理过的核心对象，找到由其密度可达的点生成聚类簇，并不断重复以上操作直至所有核心对象都被访问过。3.根据权利要求2所述的一种基于安全信号匹配的计算机网络安全分析系统，其特征在于：在步骤S34中，使用DBSCAN算法进行自动参数搜索的具体方法包括以下步骤：步骤S341：对于整体的搜索和分类状况，采用七元组描述第i步的全局状态（i=1,2,...）：
其中，是DBSCAN聚类的状态， 是目前的参数组，是当前的领域范围，是当前的邻居阈值，是一系列平方距离的集合，包括与其空间的边界和的距离，与其空间边界和的距离，聚类是将相似的数据，包括Eps和MinPts都分成聚类簇，反之，聚类簇是具有相似性数据的分组，表示聚类簇的数量与数据的数量|V|的比值；步骤S342：对于第i步类别的局部状态，定义一个元组：其中，是类别的中心对象的特征，是特征的维度数目，代表聚类簇中对象的数目；步骤S343：在自动参数搜索过程中，聚类簇数目在每一步中都会变化，使用注意力机制将全局状态和多个局部状态编码为一个定长的状态表征：其中，和分别是以全局状态和局部状态为输入的全连接网络，σ代表ReLU激活函数，||代表拼接操作，是DBSCAN聚类在第n步的状态，是类别的注意力权重，计算公式如下：；步骤S344：分别将每个聚类簇的局部状态和全局状态串联，然后用一个全连接网络来打分，并且标准化这个分数作为每个聚类簇的注意力机制的系数；步骤S345：每个聚类簇的操作在动作空间中完成，动作空间包含相应的动作，动作空间定义A为，其中left和right分别代表减少和增加参数Eps，down和up代表减少和增大参数MinPts，而stop代表停止搜索，具体的，建立Actor作为策略网络来基于目前的状态来决定动作:其中Actor 是一个三层的多层感知机(MLP)；步骤S346：从第i步到第i+1的动作
‑
参数变化过程可以如下定义：其中，和分别是第i步和第i+1步的参数组和
，是增加或者减少的...

【专利技术属性】
技术研发人员：杨浩，王鑫，刘顺，胡阳，戚哲明，
申请(专利权)人：奇安星城网络安全运营服务长沙有限公司，
类型：发明
国别省市：