[发明专利]一种改进的网络安全事件关联分析方法

说明书

技术领域

本发明涉及网络信息安全领域，尤其涉及一种网络安全事件关联分析方法。

背景技术

当前，网络信息安全领域中既有来自于外部的入侵和攻击，也有来自内部的违规和泄露。常见的信息安全系统包括防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM等。但这些安全系统一般只能防堵来自某个特定方面的安全威胁，不具备协同效应。CN201010613751介绍了一种能够避免形成安全孤岛的网络安全事件关联分析系统，但只是提出了该系统的架构模型，对于网络安全事件的采集、关联分析的效率和准确性以及系统操作等方面都有进一步提升的空间。

发明内容

有鉴于此，本发明主要的目的在于提供一种网络安全事件关联分析系统，以克服现有技术中的上述缺陷。

本发明的网络安全事件关联分析系统，包括数据采集层、集群数据库系统、分析决策层及界面显示层；其特征在于：数据采集层包括多个状态采集设备、多个网络数据包采集设备和封装处理器等；集群数据库系统包括监控数据库、关联分析策略数据库、关联分析结果数据库、安全事件样本数据库等；分析决策层包括关联分析模块和关联分析策略模块等；界面显示层包括参数设定模块、结果展示模块、查询模块、逻辑中间件等。

附图说明

图1是网络安全事件关联分析系统的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，将结合附图对本发明作进一步地详细描述。这种描述是通过示例而非限制的方式介绍了与本发明的原理相一致的具体实施方式，这些实施方式的描述是足够详细的，以使得本领域技术人员能够实践本发明，在不脱离本发明的范围和精神的情况下可以使用其他实施方式并且可以改变和/或替换各要素的结构。因此，不应当从限制性意义上来理解以下的详细描述。

如图1所示，本发明的网络安全事件关联分析系统，包括相互连接的数据采集层100、集群数据库系统200、分析决策层300和界面显示层400。连接方式可以为以太网线、数据线、光纤等有线形式连接，也可以使用包括WIFI在内的无线方式连接。

数据采集层100主要包括多个状态采集设备110、多个网络数据包采集设备120和封装处理器130。

状态采集设备110，主要实现为传感器或自动化仪表，包括但不仅限于部署在以太网接口的传感器，可以采集以太网口的网络速度、带宽；部署在远程网络安全设备、网络设备、主机服务器I/O口的自动化仪表，可以采集远程设备的主板电压、电流等性能参数。

网络数据包采集设备120，主要实现为运行监控脚本，包括但不仅限于安装在服务器上的监控脚本，实时监测服务器的CPU使用率、内存使用率、硬盘使用率、磁盘IO速度、缓冲区大小、线程数量、队列长度等性能参数。

封装处理器130，用于将状态采集设备110和网络数据包采集设备120所获取的网络安全事件数据进行预处理和封装，并将封装好的网络安全事件数据传至决策层。对采集设备所采集到的数据进行预处理包括但不限于剔除明显错误的数据、设定采集设备分类标志，规范时间等操作。封装处理器130的封装操作通过简单的封装协议进行。封装协议包括数据包头和采集数据两个部分。数据包头包括三组内容：第一组为采集设备分类标志码，1bit，用以区分状态采集设备110和网络数据包采集设备120；第二组表示采集数据的时间，精确到秒，8Byte，如果数据采集层100采集的数据时间精确到毫秒，则封装处理器130在预处理时将其规范化为秒；第三部分表示数据来源设备的MAC地址。由于状态采集设备110和网络数据包采集设备120分布在整个网络中，因此封装处理器130被设计为支持TCP/IP、HTTP、FTP、UDP、蓝牙、802.11等多种网络传输协议，从而能够完成和状态采集设备110、网络数据包采集设备120的交互，避免异构网络造成的信息传输隔阂。另外，由于封装处理器130对网络事件数据进行了封装，因此也简化了分析决策层300，使之不必处理各种网络协议，决策效率更加高效。