一種基於告警策略的網絡安全管理系統的製作方法

2023-06-02 00:56:06

本發明涉及網絡安全
技術領域：
，具體涉及一種基於告警策略的網絡安全管理系統。
背景技術：
：目前，針對於網絡的安全管理系統集中了防火牆、防病毒設備、入侵檢測設備、漏洞掃描設備等，將各種安全產品產生的安全事件關聯起來，利用關聯分析算法和風險估計手段，發現網絡中的風險，及時產生告警信息，形成一個集中的監控、管理網絡平臺，有效的抵禦網絡安全威脅。相關技術中的安全管理系統集成了各類安全產品和設施，構建了龐大的資料庫，同時支持對安全事件優先級別的修正，為事件的關聯分析和風險評估提供了很好的數據來源，但是缺乏對告警信息自身的修正和管理，不具有對系統實時變化的靈活性，導致產生的告警可能是過時的，不重要的信息。技術實現要素：針對上述問題，本發明提供一種基於告警策略的網絡安全管理系統。本發明的目的採用以下技術方案來實現：一種基於告警策略的網絡安全管理系統，包括依次連接的安全事件收集模塊、風險實時評估模塊、告警策略獲取模塊和告警執行模塊；所述安全事件收集模塊用於通過網絡安全設備對安全日誌進行歸一化處理，生成安全事件，並對所述安全事件進行收集；所述風險實時評估模塊用於評估所述安全事件的風險度；並針對風險度大於預設風險度閾值的安全事件，發出告警信息；所述告警策略獲取模塊用於接收所述告警信息，並獲取相應的告警策略；所述告警執行模塊用於根據所述告警策略，執行告警。所述風險實時評估模塊包括：(1)評估指標系統生成單元，用於生成針對於網絡安全事件的評價指標系統，所述評價指標系統由評價網絡安全事件的專家組制定，其包括目標層、準則層和指標層，所述目標層定義為待評估的網絡安全事件，所述準則層包括網絡安全事件的可靠程度、網絡安全事件發生後的影響程度和不可控性三個母指標，所述指標層包括對應於母指標的各項子指標，其中考慮系統所採取安全措施對風險的消減和控制作用，定義不可控性為網絡安全事件發生後使安全措施失效的能力特性；(2)評價等級系統生成單元，用於生成對應於評價指標系統的評價等級系統，所述評價等級系統由評價網絡安全事件的專家組制定，其包括多個評價等級，每一個評價等級對應一個等級模糊子集；(3)指標量化單元，用於對子指標對對應母指標的影響程度進行評定，並對評定結果進行量化；(4)指標權重計算單元，用於引用層次分析法計算母指標和子指標的權重向量；(5)隸屬度矩陣構建單元，用於根據所述評價指標系統，計算母指標對所述等級模糊子集的隸屬度，構建母指標的隸屬度矩陣；(6)模糊綜合評價結果計算單元，用於根據隸屬度矩陣和權重向量計算模糊綜合評價結果；(7)風險評估單元，用於根據權重向量及模糊綜合評價結果向量計算網絡安全事件的風險度。其中，所述網絡安全設備包括：防火牆設備、防病毒設備、入侵檢測設備、漏洞掃描設備中的一種或多種。所述預設風險度閾值的設定範圍為[45％,50％]。優選地，所述預設風險度閾值為50％。其中，所述指標量化模塊運作時具體執行：設P、D、C分別表示網絡安全事件的可靠程度、網絡安全事件發生後的影響程度和不可控性,評價網絡安全事件的專家組對母指標y的第x個子指標的量化值進行n次評定得到的量化值集為y＝P,D,C，母指標y的第x個子指標的最終量化值為：Ixy′=ΣinIxiyn,Ixy′0,1]]>其中，所述隸屬度矩陣構建模塊計算母指標對所述等級模糊子集的隸屬度時，具體執行以下操作：定義等級模糊子集為{vj,j＝1,2,...,5}，並定義用於描述母指標的影響程度對等級模糊子集的隸屬度的隸屬函數：其中，ρ為由評價網絡安全事件的專家組專家確定的母指標y的第x個子指標的最終量化值，為等級模糊子集{vj,j＝1,2,...,5}對應的標準取值，μ為評價網絡安全事件的專家組對所述最終量化值的確信度；根據所述隸屬函數，分別構造P，D，C三個母指標的隸屬度矩陣RP,RD,RC：RP=fv1(I1P′)fv2(I1P′)...fv5(I1P′)fv1(I2P′)fv2(I2P′)...fv5(I2P′)fv1(INPP′)fv2(INPP′)...fv5(INPP′)]]>RD=fv1(I1D′)fv2(I1D′)...fv5(I1D′)fv1(I2D′)fv2(I2D′)...fv5(I2D′)fv1(INDD′)fv2(INDD′)...fv5(INDD′)]]>RC=fv1(I1C′)fv2(I1C′)...fv5(I1C′)fv1(I2C′)fv2(I2C′)...fv5(I2C′)fv1(INCC′)fv2(INCC′)...fv5(INCC′)]]>其中，NP表示母指標P包含的子指標個數，ND表示母指標D包含的子指標個數，NC表示母指標C包含的子指標個數；其中，所述模糊綜合評價結果計算模塊計算模糊綜合評價結果M的計算公式為：M=W*mP*RPmD*RDmC*RC=(L1,L2,...,L5)]]>其中，設根據權重向量得到的母指標P、D、C所對應的權重模糊子集為W＝{wP,wD,wC}，根據權重向量得到的母指標P、D、C下的子指標集所對應的權重模糊子集分別為mP、mD、mC，*表示廣義模糊合成運算；其中，計算所述風險度時，設等級模糊子集對應的等級賦值為{Hj,j＝1,2,..,5}，即等級vj對應數值Hj，且等級vj從低至高時所述Hj取值遞增，所述風險度的計算公式為：本發明的有益效果為：(1)能實現對告警信息自身的修正和管理，提高了網絡安全的可控性、實時性和靈活性，同時保證了輸出告警信息的可靠性，有效阻斷網絡中的安全威脅，且通過模糊矩陣以及層次分析法在風險評估中的應用，可對風險評估過程中出現的各種不確定因素、指標進行分析；(2)定義了用於描述母指標的影響程度對等級模糊子集的隸屬度的隸屬函數，並利用所述隸屬函數進行隸屬度矩陣構造，計算出的隸屬度服從正態分布，避免了人為主觀因素的影響，增強了評估結果的客觀性；(3)提出了模糊綜合評價結果和風險度的計算公式，該計算公式儘可能全面地考慮了影響風險的因素，強調了安全措施有效性對系統風險度的影響，實現了對網絡安全事件的事後評估，提高了系統評估精度。附圖說明利用附圖對本發明作進一步說明，但附圖中的實施例不構成對本發明的任何限制，對於本領域的普通技術人員，在不付出創造性勞動的前提下，還可以根據以下附圖獲得其它的附圖。圖1是本發明各模塊的連接示意圖；圖2是本發明風險評價系統的結構示意圖。附圖標記：安全事件收集模塊1、風險實時評估模塊2、告警策略獲取模塊3、告警執行模塊4。具體實施方式結合以下實施例對本發明作進一步描述。實施例1參見圖1、圖2，本實施例基於告警策略的網絡安全管理系統，包括依次連接的安全事件收集模塊1、風險實時評估模塊2、告警策略獲取模塊3和告警執行模塊4；所述安全事件收集模塊1用於通過網絡安全設備對安全日誌進行歸一化處理，生成安全事件，並對所述安全事件進行收集；所述風險實時評估模塊2用於評估所述安全事件的風險度；並針對風險度大於預設風險度閾值的安全事件，發出告警信息；所述告警策略獲取模塊3用於接收所述告警信息，並獲取相應的告警策略；所述告警執行模塊4用於根據所述告警策略，執行告警。所述風險實時評估模塊2包括：(1)評估指標系統生成單元，用於生成針對於網絡安全事件的評價指標系統，所述評價指標系統由評價網絡安全事件的專家組制定，其包括目標層、準則層和指標層，所述目標層定義為待評估的網絡安全事件，所述準則層包括網絡安全事件的可靠程度、網絡安全事件發生後的影響程度和不可控性三個母指標，所述指標層包括對應於母指標的各項子指標，其中考慮系統所採取安全措施對風險的消減和控制作用，定義不可控性為網絡安全事件發生後使安全措施失效的能力特性；(2)評價等級系統生成單元，用於生成對應於評價指標系統的評價等級系統，所述評價等級系統由評價網絡安全事件的專家組制定，其包括多個評價等級，每一個評價等級對應一個等級模糊子集；(3)指標量化單元，用於對子指標對對應母指標的影響程度進行評定，並對評定結果進行量化；(4)指標權重計算單元，用於引用層次分析法計算母指標和子指標的權重向量；(5)隸屬度矩陣構建單元，用於根據所述評價指標系統，計算母指標對所述等級模糊子集的隸屬度，構建母指標的隸屬度矩陣；(6)模糊綜合評價結果計算單元，用於根據隸屬度矩陣和權重向量計算模糊綜合評價結果；(7)風險評估單元，用於根據權重向量及模糊綜合評價結果向量計算網絡安全事件的風險度。其中，所述網絡安全設備包括：防火牆設備、防病毒設備、入侵檢測設備、漏洞掃描設備中的一種或多種。本實施例能實現對告警信息自身的修正和管理，提高了網絡安全的可控性、實時性和靈活性，同時保證了輸出告警信息的可靠性，有效阻斷網絡中的安全威脅，且通過模糊矩陣以及層次分析法在風險評估中的應用，可對風險評估過程中出現的各種不確定因素、指標進行分析。實施例2參見圖1、圖2，本實施例基於告警策略的網絡安全管理系統，包括依次連接的安全事件收集模塊1、風險實時評估模塊2、告警策略獲取模塊3和告警執行模塊4；所述安全事件收集模塊1用於通過網絡安全設備對安全日誌進行歸一化處理，生成安全事件，並對所述安全事件進行收集；所述風險實時評估模塊2用於評估所述安全事件的風險度；並針對風險度大於預設風險度閾值的安全事件，發出告警信息；所述告警策略獲取模塊3用於接收所述告警信息，並獲取相應的告警策略；所述告警執行模塊4用於根據所述告警策略，執行告警。所述風險實時評估模塊2包括：(1)評估指標系統生成單元，用於生成針對於網絡安全事件的評價指標系統，所述評價指標系統由評價網絡安全事件的專家組制定，其包括目標層、準則層和指標層，所述目標層定義為待評估的網絡安全事件，所述準則層包括網絡安全事件的可靠程度、網絡安全事件發生後的影響程度和不可控性三個母指標，所述指標層包括對應於母指標的各項子指標，其中考慮系統所採取安全措施對風險的消減和控制作用，定義不可控性為網絡安全事件發生後使安全措施失效的能力特性；(2)評價等級系統生成單元，用於生成對應於評價指標系統的評價等級系統，所述評價等級系統由評價網絡安全事件的專家組制定，其包括多個評價等級，每一個評價等級對應一個等級模糊子集；(3)指標量化單元，用於對子指標對對應母指標的影響程度進行評定，並對評定結果進行量化；(4)指標權重計算單元，用於引用層次分析法計算母指標和子指標的權重向量；(5)隸屬度矩陣構建單元，用於根據所述評價指標系統，計算母指標對所述等級模糊子集的隸屬度，構建母指標的隸屬度矩陣；(6)模糊綜合評價結果計算單元，用於根據隸屬度矩陣和權重向量計算模糊綜合評價結果；(7)風險評估單元，用於根據權重向量及模糊綜合評價結果向量計算網絡安全事件的風險度。其中，所述網絡安全設備包括：防火牆設備、防病毒設備、入侵檢測設備、漏洞掃描設備中的一種或多種。本實施例設定預設風險度閾值為50％。實施例3參見圖1、圖2，本實施例基於告警策略的網絡安全管理系統，包括依次連接的安全事件收集模塊1、風險實時評估模塊2、告警策略獲取模塊3和告警執行模塊4；所述安全事件收集模塊1用於通過網絡安全設備對安全日誌進行歸一化處理，生成安全事件，並對所述安全事件進行收集；所述風險實時評估模塊2用於評估所述安全事件的風險度；並針對風險度大於預設風險度閾值的安全事件，發出告警信息；所述告警策略獲取模塊3用於接收所述告警信息，並獲取相應的告警策略；所述告警執行模塊4用於根據所述告警策略，執行告警。所述風險實時評估模塊2包括：(1)評估指標系統生成單元，用於生成針對於網絡安全事件的評價指標系統，所述評價指標系統由評價網絡安全事件的專家組制定，其包括目標層、準則層和指標層，所述目標層定義為待評估的網絡安全事件，所述準則層包括網絡安全事件的可靠程度、網絡安全事件發生後的影響程度和不可控性三個母指標，所述指標層包括對應於母指標的各項子指標，其中考慮系統所採取安全措施對風險的消減和控制作用，定義不可控性為網絡安全事件發生後使安全措施失效的能力特性；(2)評價等級系統生成單元，用於生成對應於評價指標系統的評價等級系統，所述評價等級系統由評價網絡安全事件的專家組制定，其包括多個評價等級，每一個評價等級對應一個等級模糊子集；(3)指標量化單元，用於對子指標對對應母指標的影響程度進行評定，並對評定結果進行量化；(4)指標權重計算單元，用於引用層次分析法計算母指標和子指標的權重向量；(5)隸屬度矩陣構建單元，用於根據所述評價指標系統，計算母指標對所述等級模糊子集的隸屬度，構建母指標的隸屬度矩陣；(6)模糊綜合評價結果計算單元，用於根據隸屬度矩陣和權重向量計算模糊綜合評價結果；(7)風險評估單元，用於根據權重向量及模糊綜合評價結果向量計算網絡安全事件的風險度。其中，所述網絡安全設備包括：防火牆設備、防病毒設備、入侵檢測設備、漏洞掃描設備中的一種或多種。本實施例設定預設風險度閾值為45％。實施例4參見圖1、圖2，本實施例基於告警策略的網絡安全管理系統，包括依次連接的安全事件收集模塊1、風險實時評估模塊2、告警策略獲取模塊3和告警執行模塊4；所述安全事件收集模塊1用於通過網絡安全設備對安全日誌進行歸一化處理，生成安全事件，並對所述安全事件進行收集；所述風險實時評估模塊2用於評估所述安全事件的風險度；並針對風險度大於預設風險度閾值的安全事件，發出告警信息；所述告警策略獲取模塊3用於接收所述告警信息，並獲取相應的告警策略；所述告警執行模塊4用於根據所述告警策略，執行告警。所述風險實時評估模塊2包括：(1)評估指標系統生成單元，用於生成針對於網絡安全事件的評價指標系統，所述評價指標系統由評價網絡安全事件的專家組制定，其包括目標層、準則層和指標層，所述目標層定義為待評估的網絡安全事件，所述準則層包括網絡安全事件的可靠程度、網絡安全事件發生後的影響程度和不可控性三個母指標，所述指標層包括對應於母指標的各項子指標，其中考慮系統所採取安全措施對風險的消減和控制作用，定義不可控性為網絡安全事件發生後使安全措施失效的能力特性；(2)評價等級系統生成單元，用於生成對應於評價指標系統的評價等級系統，所述評價等級系統由評價網絡安全事件的專家組制定，其包括多個評價等級，每一個評價等級對應一個等級模糊子集；(3)指標量化單元，用於對子指標對對應母指標的影響程度進行評定，並對評定結果進行量化；(4)指標權重計算單元，用於引用層次分析法計算母指標和子指標的權重向量；(5)隸屬度矩陣構建單元，用於根據所述評價指標系統，計算母指標對所述等級模糊子集的隸屬度，構建母指標的隸屬度矩陣；(6)模糊綜合評價結果計算單元，用於根據隸屬度矩陣和權重向量計算模糊綜合評價結果；(7)風險評估單元，用於根據權重向量及模糊綜合評價結果向量計算網絡安全事件的風險度。其中，所述網絡安全設備包括：防火牆設備、防病毒設備、入侵檢測設備、漏洞掃描設備中的一種或多種。其中，所述指標量化模塊運作時具體執行：設P、D、C分別表示網絡安全事件的可靠程度、網絡安全事件發生後的影響程度和不可控性,評價網絡安全事件的專家組對母指標y的第x個子指標的量化值進行n次評定得到的量化值集為y＝P,D,C，母指標y的第x個子指標的最終量化值為：Ixy′=ΣinIxiyn,Ixy′0,1]]>其中，所述隸屬度矩陣構建模塊計算網絡安全事件對所述等級模糊子集的隸屬度時，具體執行以下操作：定義等級模糊子集為{vj,j＝1,2,...,5}，並定義用於描述母指標的影響程度對等級模糊子集的隸屬度的隸屬函數：其中，ρ為由評價網絡安全事件的專家組專家確定的母指標y的第x個子指標的最終量化值，為等級模糊子集{vj,j＝1,2,...,5}對應的標準取值，μ為評價網絡安全事件的專家組對所述最終量化值的確信度；根據所述隸屬函數，分別構造P，D，C三個母指標的隸屬度矩陣RP,RD,RC：RP=fv1(I1P′)fv2(I1P′)...fv5(I1P′)fv1(I2P′)fv2(I2P′)...fv5(I2P′)fv1(INPP′)fv2(INPP′)...fv5(INPP′)]]>RD=fv1(I1D′)fv2(I1D′)...fv5(I1D′)fv1(I2D′)fv2(I2D′)...fv5(I2D′)fv1(INDD′)fv2(INDD′)...fv5(INDD′)]]>RC=fv1(I1C′)fv2(I1C′)...fv5(I1C′)fv1(I2C′)fv2(I2C′)...fv5(I2C′)fv1(INCC′)fv2(INCC′)...fv5(INCC′)]]>其中，NP表示母指標P包含的子指標個數，ND表示母指標D包含的子指標個數，NC表示母指標C包含的子指標個數；本實施例定義了用於描述母指標的影響程度對等級模糊子集的隸屬度的隸屬函數，並利用所述隸屬函數進行隸屬度矩陣構造，計算出的隸屬度服從正態分布，避免了人為主觀因素的影響，增強了評估結果的客觀性。實施例5參見圖1、圖2，本實施例基於告警策略的網絡安全管理系統，包括依次連接的安全事件收集模塊1、風險實時評估模塊2、告警策略獲取模塊3和告警執行模塊4；所述安全事件收集模塊1用於通過網絡安全設備對安全日誌進行歸一化處理，生成安全事件，並對所述安全事件進行收集；所述風險實時評估模塊2用於評估所述安全事件的風險度；並針對風險度大於預設風險度閾值的安全事件，發出告警信息；所述告警策略獲取模塊3用於接收所述告警信息，並獲取相應的告警策略；所述告警執行模塊4用於根據所述告警策略，執行告警。所述風險實時評估模塊2包括：(1)評估指標系統生成單元，用於生成針對於網絡安全事件的評價指標系統，所述評價指標系統由評價網絡安全事件的專家組制定，其包括目標層、準則層和指標層，所述目標層定義為待評估的網絡安全事件，所述準則層包括網絡安全事件的可靠程度、網絡安全事件發生後的影響程度和不可控性三個母指標，所述指標層包括對應於母指標的各項子指標，其中考慮系統所採取安全措施對風險的消減和控制作用，定義不可控性為網絡安全事件發生後使安全措施失效的能力特性；(2)評價等級系統生成單元，用於生成對應於評價指標系統的評價等級系統，所述評價等級系統由評價網絡安全事件的專家組制定，其包括多個評價等級，每一個評價等級對應一個等級模糊子集；(3)指標量化單元，用於對子指標對對應母指標的影響程度進行評定，並對評定結果進行量化；(4)指標權重計算單元，用於引用層次分析法計算母指標和子指標的權重向量；(5)隸屬度矩陣構建單元，用於根據所述評價指標系統，計算母指標對所述等級模糊子集的隸屬度，構建母指標的隸屬度矩陣；(6)模糊綜合評價結果計算單元，用於根據隸屬度矩陣和權重向量計算模糊綜合評價結果；(7)風險評估單元，用於根據權重向量及模糊綜合評價結果向量計算網絡安全事件的風險度。其中，所述網絡安全設備包括：防火牆設備、防病毒設備、入侵檢測設備、漏洞掃描設備中的一種或多種。其中，所述指標量化模塊運作時具體執行：設P、D、C分別表示網絡安全事件的可靠程度、網絡安全事件發生後的影響程度和不可控性,評價網絡安全事件的專家組對母指標y的第x個子指標的量化值進行n次評定得到的量化值集為y＝P,D,C，母指標y的第x個子指標的最終量化值為：Ixy′=ΣinIxiyn,Ixy′0,1]]>其中，所述隸屬度矩陣構建模塊計算網絡安全事件對所述等級模糊子集的隸屬度時，具體執行以下操作：定義等級模糊子集為{vj,j＝1,2,...,5}，並定義用於描述母指標的影響程度對等級模糊子集的隸屬度的隸屬函數：其中，ρ為由評價網絡安全事件的專家組專家確定的母指標y的第x個子指標的最終量化值，為等級模糊子集{vj,j＝1,2,...,5}對應的標準取值，μ為評價網絡安全事件的專家組對所述最終量化值的確信度；根據所述隸屬函數，分別構造P，D，C三個母指標的隸屬度矩陣RP,RD,RC：RP=fv1(I1P′)fv2(I1P′)...fv5(I1P′)fv1(I2P′)fv2(I2P′)...fv5(I2P′)fv1(INPP′)fv2(INPP′)...fv5(INPP′)]]>RD=fv1(I1D′)fv2(I1D′)...fv5(I1D′)fv1(I2D′)fv2(I2D′)...fv5(I2D′)fv1(INDD′)fv2(INDD′)...fv5(INDD′)]]>RC=fv1(I1C′)fv2(I1C′)...fv5(I1C′)fv1(I2C′)fv2(I2C′)...fv5(I2C′)fv1(INCC′)fv2(INCC′)...fv5(INCC′)]]>其中，NP表示母指標P包含的子指標個數，ND表示母指標D包含的子指標個數，NC表示母指標C包含的子指標個數；其中，所述模糊綜合評價結果計算模塊計算模糊綜合評價結果M的計算公式為：M=W*mP*RPmD*RDmC*RC=(L1,L2,...,L5)]]>其中，設根據權重向量得到的母指標P、D、C所對應的權重模糊子集為W＝{wP,wD,wC}，根據權重向量得到的母指標P、D、C下的子指標集所對應的權重模糊子集分別為mP、mD、mC，*表示廣義模糊合成運算；其中，計算所述風險度時，設等級模糊子集對應的等級賦值為{Hj,j＝1,2,..,5}，即等級vj對應數值Hj，且等級vj從低至高時所述Hj取值遞增，所述風險度的計算公式為：本實施例基於實施例4的基礎上，繼續提出了模糊綜合評價結果和風險度的計算公式，該計算公式儘可能全面地考慮了影響風險的因素，強調了安全措施有效性對系統風險度的影響，實現了對網絡安全事件的事後評估，提高了系統評估精度。最後應當說明的是，以上實施例僅用以說明本發明的技術方案，而非對本發明保護範圍的限制，儘管參照較佳實施例對本發明作了詳細地說明，本領域的普通技術人員應當理解，可以對本發明的技術方案進行修改或者等同替換，而不脫離本發明技術方案的實質和範圍。當前第1頁1&nbsp2&nbsp3&nbsp