本发明专利技术公开了一种集中管控中心态势感知与事件响应协同分析实现系统,其特征在于,提供了能够应用于跨越企业边界的关键基础设施网络事件综合管理的模型,所述实现系统,包括集中管控情报输入组件、公开网络情报输入组件、原始资源存储组件、搜索索引组件和分析引擎组件;所述分析引擎组件,包括输入处理组件、评估组件、元数据存储组件、集中管控中心用户仪表盘和管理仪表盘。通过本发明专利技术,解决了跨越企业边界的数据共享、安全态势感知与事件响应协同的问题。协同的问题。协同的问题。
【技术实现步骤摘要】
一种集中管控中心态势感知与事件响应协同分析实现系统
[0001]本专利技术涉及网络安全、SOC(Security operation center)、信息共享、数据加密、网络事件处理和网络事件报告的
,尤其涉及到一种集中管控中心态势感知与事件响应协同分析实现系统。
技术介绍
[0002]安全生产历来是保障各项工作有序开展的前提,也是考核各级领导干部的否决指标。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络及信息系统高效稳定地运行,是企业一切市场经营活动和正常运作的基础。
[0003]当前,企业的网络及信息系统都不同程度地部署了各种不同的集中管控的设备,有效地提高了劳动生产率,降低了运营成本,已经成为企业高效运营的重要支撑和生产环节中不可缺少的一环。一方面,因为一旦网络及各业务系统出现安全事件或故障,如果不能及时发现、及时处理、及时恢复,这势必直接影响承载在其上所有业务的运行,影响企业的正常运营秩序,涉及到客户的系统将直接导致用户投诉,满意度下降,企业形象受到损害,对于企业网络的安全保障就显得格外重要。另一方面,现代的高级网络威胁,尤其是多阶段的网络攻击,例如,Stuxnet,利用了企业之间的相互依赖性,网络攻击者侵入了多个企业,将它们被用作到达目标的垫脚石。因此,为了应对这类威胁,多个企业之间需要一种协同机制来保护其业务,这种机制不完全使用从本企业采集的信息,而是另外还要采集其它企业共享或公开的相关观察结果,加以分析,及时披露此类网络攻击和迅速部署缓减策略等,并作出快速协同和协同反应。快速协同和协同反应是减轻网络威胁影响到越来越多的企业和/或减轻网络威胁进一步地在多个企业之间传播和连锁影响的关键;但是,现有的集中管控,仅负责本企业范围内的安全运维与管理服务。集中管控之间是相互隔离和孤立的,没有任何的联系。
[0004]由于各种网络攻击技术也变得越来越先进,越来越普及化,企业的网络系统面临着随时被攻击的危险,经常遭受不同程度的入侵和破坏,严重干扰了企业网络的正常运行;日益严峻的安全威胁迫使企业不得不加强对网络及业务系统的安全防护,不断追求多层次、立体化的安全防御体系,尽一切可能来保护企业网络及业务系统正常运营。
技术实现思路
[0005]为了解决上述技术问题,本专利技术提供了一种集中管控中心态势感知与事件响应协同分析实现系统,基于特征提取与协同事件分析模型,所述实现系统的组件从集中管控和公开网络情报采集数据,将采集到的所有数据关联起来,进行分析,并最终为所服务的企业提供威胁情报和缓减策略,整个过程既有自动化的,也有人参与的,以确保集中管控中心能够对集中管控的发生事件做出充分的决策并快速实施应对措施,解决了跨越企业边界的数据共享、安全态势感知与事件响应协同的问题。
[0006]一种集中管控中心态势感知与事件响应协同分析实现系统,其特征在于,提供了
能够应用于跨越企业边界的关键基础设施网络事件综合管理的模型,所述实现系统,包括集中管控情报输入组件、公开网络情报输入组件、原始资源存储组件、搜索索引组件和分析引擎组件;所述集中管控情报输入组件,通过两种方式输入数据或情报,一种是基于集中管控界面输入到集中管控中心,另一种是由集中管控自动提交到集中管控中心;所述公开网络情报输入组件,主动或被动地从公开网络情报组织获取最新信息;所述原始资源存储组件,接收来自集中管控情报输入组件的事件信息和共享数据,并对每个事件信息和共享数据的内容进行验证、清理,然后,将以只读方式保存;所述搜索索引组件,将每个事件信息和共享数据的副本保存在搜索索引中,从中按照事件信息和共享数据ID进行检索,也能够通过对事件信息和共享数据的所有属性进行全文搜索来检索;所述分析引擎组件,基于特征提取与协同事件分析模型,将从集中管控和公开网络情报采集到的所有数据关联起来,进行分析,并最终为所服务的企业提供威胁情报和缓减策略,整个过程既有自动化的,也有人参与的,包括输入处理组件、评估组件、元数据存储组件、集中管控中心用户仪表盘和管理仪表盘;所述评估组件,能够从采集的数据中得出结论的核心组件,它以可配置的间隔周期性地查询元数据存储组件和搜索索引组件,基于特征提取与协同事件分析模型,跟踪工件和资源之间的相互依赖关系,估计资源之间的相似性,并将其归属于某一个分组和分类,从而识别并优先考虑当前分析的资源具有最高针对性的资源,发现根原因事件,并且根据此根原因事件来评估该事件影响的严重程度和影响范围,基于事件影响的严重程度和影响范围,向涉及的各个集中管控提供威胁情报和缓减策略,另一方面,评估组件还根据集中管控中心定义的分类法确定根原因事件的类别,然后,评估组件将事件类别映射为威胁类型,事件评估过程的一个重要输出就是由专家团队给出的事件影响分析。
[0007]进一步地,所述基于特征提取与协同事件分析模型,计算资源与其样本资源的链接,将资源和资源之间的链接确定为中每个工件的分数总和:=+fb,其中,N是在中出现的工件的数量,fb是表示安全经理对链接的优点的反馈值,其值可以大于或小于零,=(TFIDF(,,),TFIDF(,,),freq(, R)),TFIDF(a, r, Rm) 为考虑到在具有相同工件的资源集合中,确定资源r中工件a逆频率的文档频率权重的函数,freq (a, R)为函数返回所有资源集合R中工件a的布尔频率之和,为可定制评分函数。
[0008]进一步地,所述输入处理组件,从原始资源存储组件和公开网络情报输入组件中采集资源,并检查它们是否出现已知工件或新工件,所有检测到的事件和新工件都保存到元数据存储组件中,而新资源则转发到搜索索引组件中。
[0009]进一步地,所述元数据存储组件,存储了集中管控中心态势感知与事件响应协同分析实现系统中生成的所有数据,包括已知的工件、工件与资源之间的关系、资源归属于的组和类、集中管控中心的安全人员添加到工件或资源中的注释。
[0010]进一步地,所述集中管控中心用户仪表盘,是集中管控中心人员使用本申请所述实现系统的主要方式,并支持多屏融合,它提供了包括多个集中管控的安全综合视图和编程接口,并能够快速访问事件报告、查询分析系统、查询分析系统的反馈和搜索资源,为集
中管控中心安全经理和专家团队提供可视化的安全态势感知,包括web服务器、数据服务器、主控交换组件和数据库。
[0011]进一步地,所述管理仪表盘,允许安全管理人员手动调整系统参数并直接访问元数据存储组件,它用于系统维护。
[0012]进一步地,所述事件影响分析,根据所述的根原因事件和所述的网络拓扑所构成的相互依赖模型来进行事件影响的严重程度和影响范围的分析,对依赖于资产的每个服务的风险进行评估,包括累积风险、风险级别、平均风险和最大风险。
[0013]本专利技术的技术效果在于:在本专利技术中,提供了一种集中管控中心态势感知与事件响应协同分析实现系统,其特征在于,提供了能够应用于跨越企业边界的关键基础设施网络事件综合管理的模型,所述实现系统,包括集中管控情报输入组件、公开网络情报输入组件、原始资本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种集中管控中心态势感知与事件响应协同分析实现系统,其特征在于,提供了能够应用于跨越企业边界的关键基础设施网络事件综合管理的模型,所述实现系统,包括集中管控情报输入组件、公开网络情报输入组件、原始资源存储组件、搜索索引组件和分析引擎组件;所述集中管控情报输入组件,通过两种方式输入数据或情报,一种是基于集中管控界面输入到集中管控中心,另一种是由集中管控自动提交到集中管控中心;所述公开网络情报输入组件,主动或被动地从公开网络情报组织获取最新信息;所述原始资源存储组件,接收来自集中管控情报输入组件的事件信息和共享数据,并对每个事件信息和共享数据的内容进行验证、清理,然后,将以只读方式保存;所述搜索索引组件,将每个事件信息和共享数据的副本保存在搜索索引中,从中按照事件信息和共享数据ID进行检索,也能够通过对事件信息和共享数据的所有属性进行全文搜索来检索;所述分析引擎组件,基于特征提取与协同事件分析模型,将从集中管控和公开网络情报采集到的所有数据关联起来,进行分析,并最终为所服务的企业提供威胁情报和缓减策略,整个过程既有自动化的,也有人参与的,包括输入处理组件、评估组件、元数据存储组件、集中管控中心用户仪表盘和管理仪表盘;所述评估组件,能够从采集的数据中得出结论的核心组件,它以可配置的间隔周期性地查询元数据存储组件和搜索索引组件,基于特征提取与协同事件分析模型,跟踪工件和资源之间的相互依赖关系,估计资源之间的相似性,并将其归属于某一个分组和分类,从而识别并优先考虑当前分析的资源具有最高针对性的资源,发现根原因事件,并且根据此根原因事件来评估该事件影响的严重程度和影响范围,基于事件影响的严重程度和影响范围,向涉及的各个集中管控提供威胁情报和缓减策略,另一方面,评估组件还根据集中管控中心定义的分类法确定根原因事件的类别,然后,评估组件将事件类别映射为威胁类型,事件评估过程的一个重要输出就是由专家团队给出的事件影响分析。2.如权利要求1所述的一种集中管控中心态势感知与事件响应协同分析实现系统,其特征在于,所述基于特征提取与协同事件分析模型,计算资源与其样本资源的链接,将资源和资源之间的链接确定为中每个工件的分数...
【专利技术属性】
技术研发人员:ꢀ五一IntClG零六Q一零一零,
申请(专利权)人:南京联成科技发展股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。