【技术实现步骤摘要】
本专利技术涉及网络安全,特别是一种本地安全管理系统及方法。
技术介绍
1、目前,传统本地安全防护措施基本上覆盖了网络层、主机层、应用层以及数据层,但现有网络安全隐患仍然存在。
2、主要需求有安全态势感知需求:针对单位网络整体范围或某一特定时间,形成整体安全态势感知及对未来短期的预测,通过态势分析能够很好的洞察单位内部整体安全状态,需要通过量化的评判指标能够直观的理解当前态势情况;网络威胁检测需求:实时进行网络威胁检测,消除安全孤岛所导致的数据割裂问题,同时能够实时监测网络中各组成部分的安全状态,包括ips(入侵防御系统,intrusion prevention system)单方面监测到的安全事件上,ips与审计系统关联多发现的高风险网络行为等。
3、还有内部威胁发现需求:内部安全威胁一般是比较难以发现和防范的,但是统计数据显示,超过2/3的安全攻击和数据泄露都源自组织内部,本地平台需要能够建立各类场景化的安全模型,以实现快速准确的发现各种内部人员违规或高危的操作;攻击溯源取证需求:目前安全事件难以找到源头,难以发现攻击过程,难以了解安全攻击状态。因此,需要对安全事件实现攻击溯源取证。
4、因此,亟需一种本地安全管理平台,能够直观洞察当前安全态势,消除安全孤岛实时监测网络中各组成部分的安全状态,快速准确的发现内部危险,实现攻击溯源取证。
技术实现思路
1、鉴于现有的网络安全隐患存在的问题,提出了本专利技术。
2、因此,本专利技术所要解
3、为解决上述技术问题,本专利技术提供如下技术方案:
4、第一方面,本专利技术实施例提供了一种本地安全管理系统,其包括指挥运营单元包括安全态势分析模块、安全事件管理模块、溯源分析模块、响应处置模块、评估改进模块以及指挥调度模块;安全态势分析模块用于设定检测分析单元和指挥运营单元需要展示分析的数据类型并进行展示;安全事件管理模块用于配置查询条件,并配置安全事件与严重等级和威胁分值的关联表,溯源分析模块内置多种威胁溯源方式,响应处置模块用于可视化编排安全策略,指挥调度模块用于内置任务规划内容包;以及,检测分析单元包括多个引擎工具和检测工具,用于对神经元单元记录的打点数据和样本数据进行检测分析。
5、作为本专利技术本地安全管理系统的一种优选方案,其中:安全事件管理模块具体用于配置查询条件调用检测分析单元的引擎工具;持续自动分析和关联整合攻击相关的安全数据信息,按攻击时序生成安全事件,根据关联表获得严重等级及威胁分值,将安全事件标注严重等级及威胁分值后转换为可视化的攻击链路图;威胁溯源方式包括各类交互式检索分析以及自动化威胁溯源结果展示;交互式检索分析为按照威胁种类,分别设置每种威胁种类的多个字段关键字,对时间窗口自定义查询,设置过滤条件查询,以时间轴维度通过进行上述查询,溯源展示安全事件过程以及全部上下文信息,自动智能聚合关联的日志、流量和告警信息,对日志和流量数据进行信息下钻,获得威胁源头的路径;安全策略包括日常安全任务、响应预案、告警以及事件处置;日常安全任务通过定时触发或手动触发,用于日常检测所有本地威胁;响应预案预设动作脚本,用于与多种主流设备及系统联动,执行告警和联动响应主流设备及系统进行事件处置;任务规划内容包包括护网阶段、护网阶段重点任务及说明,根据护网阶段重点任务对神经元单元、检测分析单元、大数据单元以及云端服务单元进行规划、分解、分配和跟踪调度;评估改进模块用于对安全时间进行评估分析和提供改进方案。
6、作为本专利技术本地安全管理系统的一种优选方案,其中:评估改进模块还用于提供可视化bi分析、资产分析评估、智能仪表盘展示、自动化报告以及持续评估功能;可视化bi分析将安全事件进行图表展示;图表展示包括直方图、折线图、面积图、饼图以及表格;资产分析评估的维度信息包括资产重要性、资产脆弱性情况和资产受到威胁攻击情况;智能仪表盘展示通过界面展示安全事件,将直接下钻到详细安全事件的事件内容,并通过安全事件的事件内容下钻到关联资产和威胁源头;自动化报告为配置报告周期后,根据预设的“宏”自动化生成预定义的报告,报告为对安全概况、事件、ip地址、端口、服务、安全事件的严重等级及威胁分值、攻击种类以及用户进行统计。
7、作为本专利技术本地安全管理系统的一种优选方案,其中:本地安全管理系统还包括,神经元单元用于通过检测设备与响应产品分类收集打点数据和样本数据,且神经元单元根据指挥运营单元的调度动态调整打点数据的打点范围及按需上传打点数据至检测分析单元;云端服务单元与检测分析单元实现交互。
8、作为本专利技术本地安全管理系统的一种优选方案,其中:终端神经元包括终端行为数据记录和用户行为数据记录;终端行为数据记录为对文件行为数据、注册表行为数据、进程操作行为数据、文件释放行为数据、内存操作行为数据、进程网络访问行为数据的记录;用户行为数据记录为对用户web访问数据、用户账号登录数据、用户应用安装运行数据、用户外设使用数据的记录;网络神经元用于对网络行为的全记录;网络神经元支持对网络流量的dpi和dfi分析,支持高速大流量采集,支持af-packet或dpdk模式下,网络流量旁路镜像多网口采集,支持流量采集黑白名单;支持各类抓包工具对采集到的流量进行自动分割和提取,将全量网络流量转化成的标准化字段存储;支持对全量的原始pcap包进行数据存储;支持对多个传输协议传输的可执行文件、文档文件、压缩文件还原。
9、作为本专利技术本地安全管理系统的一种优选方案,其中:查杀云通过云端提供多维度的检测和查杀服务;沙箱云用于提供多样化云端沙箱的订阅服务并包括针对不同终端、不同系统、不同应用以及不同场景的沙箱,并将行为分析和传统的特征匹配通过自动化或人机协同的沙箱结合起来,发现未知威胁;分析云通过api调用向外赋能,并通过在分析云开发和运行新的分析工具为外部专家提供平台服务;知识云用于将网络攻击技战术、攻击工具和攻击者组织的信息提供云端订阅服务。
10、作为本专利技术本地安全管理系统的一种优选方案,其中:漏洞云用于提供公共的漏洞招领、企业专属的src、定向的漏洞众测以及基于漏洞感知的威胁情报的云端订阅服务;情报云通过情报集成、深度分析、api提供威胁情报查询以及云端订阅服务;专家云用于提供专家咨询的云端订阅服务;实战云通过云端攻击行为分析中心分析攻防技战法,输出攻防成果报告,还用于提供防御方案验证、应急响应训练、安全设备评估以及信息系统深度评估的云端订阅服务;培训云用于提供安全培训课程的云端订阅服务。
11、作为本专利技术本地安全管理系统的一种优选方案,其中:大数据单元,包括数据采集模块、数据解析模块、数据标准化模块、数据丰富化模块、数据存储模块、数据检索与计算模块;数据采集模块,通过从各种数据源采集不同格式的数据,数据解析模块,通过对采集到的原始数据进行解析和提取;
12、数据标准化模块,用于将处理和转换的数据标准化到本文档来自技高网...
【技术保护点】
1.一种本地安全管理系统,其特征在于:包括,
2.如权利要求1所述的本地安全管理系统,其特征在于:所述安全事件管理模块包括具体用于配置查询条件调用检测分析单元的引擎工具,并持续自动分析和关联整合攻击相关的安全数据信息,按攻击时序生成安全事件,根据关联表获得严重等级及威胁分值,将安全事件标注严重等级及威胁分值后转换为可视化的攻击链路图;
3.如权利要求2所述的本地安全管理系统,其特征在于:所述评估改进模块还用于提供可视化BI分析、资产分析评估、智能仪表盘展示、自动化报告以及持续评估功能;
4.如权利要求1所述的本地安全管理系统,其特征在于:本地安全管理系统还包括,
5.如权利要求4所述的本地安全管理系统,其特征在于:所述神经元单元包括终端神经元和网络神经元;
6.如权利要求4所述的本地安全管理系统,其特征在于:所述云端服务单元包括查杀云、沙箱云、分析云、知识云、漏洞云、情报云、专家云、实战云以及培训云;
7.如权利要求6所述的本地安全管理系统,其特征在于:
8.如权利要求1所述的本地安全管理系统,其
9.如权利要求1所述的本地安全管理系统,其特征在于:所述引擎工具包括以下至少之一:查杀引擎、API检测引擎、终端行为分析引擎、网络行为分析引擎、沙箱检测引擎、关联分析引擎、情报检测引擎以及AI分析引擎;所述检测工具包括样本云检测、ATT&CK检测。
10.一种基于物联网的多源电网信息融合方法,基于权利要求1~9任一所述的基于物联网的多源电网信息融合系统,其特征在于:大数据单元采用分布式存储架构包括以下步骤:
...【技术特征摘要】
1.一种本地安全管理系统,其特征在于:包括,
2.如权利要求1所述的本地安全管理系统,其特征在于:所述安全事件管理模块包括具体用于配置查询条件调用检测分析单元的引擎工具,并持续自动分析和关联整合攻击相关的安全数据信息,按攻击时序生成安全事件,根据关联表获得严重等级及威胁分值,将安全事件标注严重等级及威胁分值后转换为可视化的攻击链路图;
3.如权利要求2所述的本地安全管理系统,其特征在于:所述评估改进模块还用于提供可视化bi分析、资产分析评估、智能仪表盘展示、自动化报告以及持续评估功能;
4.如权利要求1所述的本地安全管理系统,其特征在于:本地安全管理系统还包括,
5.如权利要求4所述的本地安全管理系统,其特征在于:所述神经元单元包括终端神经元和网络神经元;
6.如权利...
【专利技术属性】
技术研发人员:宾冬梅,杨春燕,谢铭,韩松明,黎新,蒙亮,凌颖,
申请(专利权)人:广西电网有限责任公司电力科学研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。