[发明专利]一种安全态势分析统计方法

说明书

技术领域

本发明涉及信息安全技术领域，具体地说是一种实用性强、安全态势分析统计方法。

背景技术

快速发展的互联网技术不断地改变人们的生活方式，然而，多层面的安全威胁和安全风险也不断出现。对于一个大型网络，在网络安全层面，除了访问控制、入侵检测、身份识别等基础技术手段，需要安全运维和管理人员能够及时感知网络中的异常事件与整体安全态势。对于安全运维人员来说，如何从成千上万的安全事件和日志中找到最有价值、最需要处理和解决的安全问题，从而保障网络的安全状态，是他们最关心也是最需要解决的问题。与此同时，对于安全管理者和高层管理者而言，如何描述当前网络安全的整体状况，如何预测和判断风险发展的趋势，如何指导下一步安全建设与规划，则是一道持久的难题。

随着大数据技术的成熟、应用与推广，大数据技术特有的海量存储、并行计算、高效查询等特点，为大规模网络安全态势感知的关键技术创造了突破的机遇。基于此，现提供一种基于大数据技术的安全态势分析统计方法，该方法利用大数据技术对信息系统中的日志进行处理，分析统计当前的安全态势，为整个信息系统提供“全景式”的安全状态呈现。

发明内容

本发明的技术任务是针对以上不足之处，提供一种实用性强、安全态势分析统计方法。

一种安全态势分析统计方法，其具体实现过程为：

一、数据预处理：信息系统采集数据后，根据不同的数据需求，对海量数据个体的安全事件日志进行分级存储，对数据进行清理、整合及分类，依次存储到各类日志库中；

二、数据分析：设置日志分析参数、配置规则，对日志数据进行分析处理和挖掘，形成单独数据个体的追踪数据流；

三、设置安全服务：通过对大数据的分析处理和比对，形成特征库或资源库，该安全服务模块利用特征库通过服务总线对外提供日志分析服务；

四、设置安全态势呈现：呈现整个系统的数据安全态势。

所述步骤一中对日志进行分类成计算设施日志、业务系统日志、安全设备日志、网络设备日志。

所述步骤一中的信息存储在大数据平台下的内存数据库，磁盘数据库，分布式文件系统中。

内存数据库通过采用开源分布式内存数据H2；磁盘数据库作内存数据库的持久化存储，采用开源数据库MySQL，该磁盘数据库将信息定期导入到分布式文件系统中，供管理平台进行数据分析，挖掘大数据的价值；分布式存储系统则采用大数据存储的Hadoop集群。

所述步骤二中的数据分析是通过Mahout搭建数据挖掘引擎，提供数据安全挖掘模型，结合聚类、趋势分析的挖掘算法，为客户提供数据挖掘平台，对海量安全数据进行智能分析。

所述步骤三中设置安全服务，形成特征库或资源库的过程为：采用大数据存储Hadoop、HDFS、Hbase，分布式处理MapReduce处理海量的日志信息，从中挖掘出具有价值的信息，并分别形成系统管理员资源库、业务用户资源库、网络地址资源库、软件资源库、服务资源库以及系统用户行为特征库、应用用户行为特征库、应用业务安全特征库、网络攻击特征库、专家知识库，供安全服务的请求及调用。

所述步骤四中安全态势呈现包括以下四种呈现形式：

1）多维度查询：提供多维度、细粒度查询条件，用户通过设定时间、设备、数据标识、数据生命周期状态、操作行为条件，查询数据个体的安全事件；查询结果支持线索化展示方式，用户通过看到数据在产生、修改、流转、销毁所有的全景式安全事件，对数据进行溯源追踪，实现到“事后审计”的功能；

2）数据透视表：用户通过管理平台统计界面，通过拖拽行、列的条件，利用Apache Pivot组件和延迟加载实时生成数据透视表；用户通过预设置数据透视表模板，后台系统自动定时生成透视图，在平台界面展示，或通过邮件发给用户；

3）静态统计图：采用JFreeChart开源组件，根据用户设定的条件，生成柱状图、饼图，展示给客户；

4）3D效果展示图：通过安全态势展示引擎iSec3D，提供动态3D安全威胁星云图。

本发明的一种安全态势分析统计方法，具有以下优点：

该发明的一种安全态势分析统计方法利用大数据技术的处理框架对信息系统所搜集的安全事件日志进行深度挖掘分析，对当前的安全态势进行多维度、细粒度的统计，并以“全景式”的图形界面进行展示，实用性强，适用范围广泛，易于推广。

附图说明

附图1为本发明的实现示意图。

附图2为本发明的管理存储架构图。

具体实施方式