企业网络安全事件管理系统及其方法
【技术领域】
[0001] 本发明设及网络安全,特别设及企业网络安全事件管理及预测。
【背景技术】
[0002] 随着企业信息化不断深入,计算机网络在企业内部起着越来越重要的作用。但由 于互连性、开放性等特征,使得计算机网络极易成为恶意攻击的目标和载体。企业网络安全 也越来越受到重视,为此,很多企业根据实际情况选择不同厂家的各类安全设备,构建符合 自身特点的安全体系。在实际使用过程中,网络中部署的各类安全设备都会产生大量的安 全事件和日志记录,但由于各类安全产品往往由不同的厂商提供,各类设备的数据格式存 储各有不同,导致各个安全设备的安全事件信息和安全日志信息的关联性缺失,使得网络 管理人员无法从该些孤岛数据中发现真正的安全威胁。
【发明内容】
[0003] 本发明所要解决的技术问题,就是提供一种企业网络安全事件管理系统及其方法 W实现对网络安全设备产生的网络信息安全事件和日志记录进行有效的采集和分析处理, 基于分析结果实现对安全设备联动防御策略的生成和管理,实现对网络安全态势的评估和 预测,W发现网络潜在安全问题并及时预警,避免网络安全设备的孤岛防御问题。。
[0004] 本发明解决所述技术问题,采用的技术方案是,企业网络安全事件管理系统,包括 安全设备,还包括安全事件数据采集模块、安全事件数据标准化模块、安全事件态势评估和 预测模块、安全设备管理联动防御策略生成模块、状态保护模块及系统管理模块;所述安全 设备分别与安全事件数据采集模块及状态保护模块连接,所述安全事件数据采集模块与安 全事件数据标准化模块连接,安全事件数据标准化模块分别与状态保护模块、安全事件态 势评估和预测模块及安全设备管理联动防御策略生成模块连接,安全事件态势评估与安全 设备管理联动防御策略生成模块连接,安全设备管理联动防御策略生成模块与系统管理模 块连接,系统管理模块与状态管理模块连接;
[0005] 所述系统管理模块,用于实现系统的用户账户管理及系统日志管理功能;
[0006] 所述安全事件数据采集模块,用于对企业网络中的安全设备产生的安全事件信息 进行自动采集;
[0007] 所述安全事件数据标准化模块,用于根据标准化数据模型对采集到的安全事件信 息进行格式化;
[0008] 所述安全事件态势评估和预测模块,用于对格式化安全事件信息进行分析得到网 络信息安全态势,同时对网络安全趋势进行预测;
[0009] 所述安全设备管理联动防御策略生成模块,用于结合网络信息安全态势及预测的 网络安全趋势对各安全设备部署的安全应用策略进行关联分析,生成联动防御策略;
[0010] 所述状态保护模块,用于存储安全设备在不同工作状态下的配置文件,当安全设 备需要恢复某一工作状态时,系统从状态保护模块中调用该状态下的配置文件。
[0011] 具体的,还包括预警模块,所述预警模块分别与安全事件态势评估和预测模块及 安全设备管理联动防御策略生成模块连接;
[0012] 所述预警模块,用于根据安全事件态势评估和预测模块预测的网络安全趋势及安 全设备管理联动防御策略生成模块提供的防御策略进行预警提醒。
[0013] 进一步的,还包括GUI交互界面模块,GUI交互界面模块分别与系统管理模块及预 警模块连接,所述GUI交互界面模炔基于B/S架构;
[0014] 所述GUI交互界面模块,用于进行系统工作状态信息展示及用户操作交互。
[0015] 具体的,所述各类型安全设备产生的安全事件信息的格式标准模型为一个15元 组,具体如下:
[0016] devid;安全设备Id标识,由系统管理员统一配置,入库类型为Int;
[0017] devName;安全设备名称,由系统管理员统一配置,入库类型为String;
[0018] devManufac化re;安全设备厂商,由系统管理员统一配置,入库类型为String;
[0019] devVersion;安全设备版本号,由系统管理员统一配置,入库类型为String;
[0020] devClassify;安全设备详细分类,由系统管理员统一配置,入库类型为String;
[0021] aledName;报警事件名称,由各类安全设备独立生成,入库类型为String;
[002引 event册L;报警事件设及的册L信息,入库类型为String;
[0023] sourcelP;报警事件设及的源IP地址,入库类型为Int;
[0024] sourcePort;报警事件设及的源端口号,入库类型为Int;
[00巧]targetid;报警事件设及的目的IP地址,入库类型为Int;
[0026] targe巧ort;报警事件设及的目的端口号,入库类型为Int;
[0027] even巧rotocol;报警事件设及的协议类型,入库类型为化um;
[0028] evaluateRating;报警事件的风险等级评估,由系统管理员根据安全设备情况统 一配置,入库类型为化um;
[0029] timestamp;报警事件时间信息,入库类型为String;
[0030] in化Details;报警事件详细信息,入库类型为String;
[0031] 具体的,所述安全事件数据采集模块还设置有预留扩展接口。
[0032] 进一步的,所述预留扩展接口至少包括安全事件上报接口及屯、跳同步接口;
[0033] 所述安全设备通过安全事件上报接口完成安全事件数据汇集;
[0034] 所述安全设备通过屯、跳同步接口注册设备并启动屯、跳同步检测。
[00巧]具体的,所述安全事件态势评估和预测模块至少用于从安全威胁类型、威胁程度、 威胁来源、威胁目标四个方面,分别对网络总体安全态势、服务器安全态势和网络终端安全 态势进行总结评估。
[0036] 具体的,所述安全事件态势评估和预测模块至少包括通过化ct-Factor算法建立 的预测模型,所述预测模型W社会学行为惯性定律为基础,将自然天分类为工作日、周末W 及假期=种类型,并分别采用=种类型的历史数据对未来的可能发展趋势进行分类预测, 预测公式如下:
[0037]
[003引其中,a+P= 1,i为当前日期;
[0039]EvaluateValuew;为待预测日期i+1的某类型安全事件取值,如需预测更多日期 的取值,可参照该算法迭代;FactValuei为从安全设备采集到的第i日的被预测类的安全 事件统计数据。
[0040] 企业网络安全事件管理方法,包括W下步骤:
[0041] 步骤1、系统对企业网络中的安全设备产生的安全事件信息进行自动采集;
[0042] 步骤2、系统对采集到的安全事件信息进行标准化格式转换;
[0043] 步骤3、系统对标准化格式转换后的安全事件信息进行分析得到网络信息安全态 势,同时对网络安全趋势进行预测;
[0044] 步骤4、系统根据结合网络信息安全态势及预测的网络安全趋势对各安全设备部 署的安全应用策略进行关联分析,生成联动防御策略,并将其下发至安全设备。
[0045] 具体的,还包括系统存储安全设备在不同工作状态下的配置文件,当安全设备需 要恢复某一工作状态时,系统调用存储中该状态下的配置文件。
[0046] 具体的,还包括系统根据安全设备管理联动防御策略生成模块提供的防御策略进 行预警提醒。
[0047] 具体的,还包括系统通过GUI交互界面进行系统工作状态信息展示及用户操作交 互。
[0048] 具体的,所述步骤1中,系统通过预留扩展接口对企业网络中的安全设备产生的 安全事件信息进行自动采集。
[0049] 具体的,所述步骤2中,所述步骤2中,系统根据各类型安全设备产生的安全事件 信息的格式标准模型对采集到的安全事件信息进行标准化格式转换,各类型安全设备产生 的安全事件信息的格式标准模型为一个15元组,具体如下:
[0050]devid;安全设备Id标识,由系统管理员统一配置,入库类型为Int;
[0051]devName ;安全设备名称,由系统管理员统一配置,入库类型为String ;
[0052]devManufac化re;安全设备厂商,由系统管理员统一配置