[发明专利]一种基于图数据库的分层多域可视安全运维方法

说明书

本发明公开一种基于图数据库的分层多域可视安全运维方法，首先将安全运维分为基础安全层、安全分析层和威胁情报层，同时将各层功能划分为单个或多个域，其中划分基础安全层为网络拓扑域、系统服务域、人员信息域和安全策略域，划分安全分析层为依赖关系域、网络安全域和用户安全域，威胁情报层则由相应的威胁情报标准域组成。然后通过将各域的结构关系与属性特征转化为相应的UML图，同时在指定网络位置上部署相应职能的传感器，对各域所需数据进行采集。然后通过相应API，完成UML图向图数据库的映射，最后通过对图数据库数据查询分析实现可视化的安全运维。本发明将图数据库技术与安全运维相结合，降低了安全运维难度，提高了安全运维分析效率。

技术领域

本发明涉及安全运维技术领域，具体涉及一种基于图数据库的分层多域可视安全运维方法。

背景技术

随着信息技术的不断发展，计算机与互联网技术的应用已成为各组织机构实现资源存储、信息共享和业务拓展的基本方法。但与此同时，网络安全问题日益凸显，网络攻击连年增长，攻击手段不断变化，攻击威胁逐年增大，各类安全事件的频发给组织造成了极大的经济损失，在此背景下，安全运维的建设显得十分必要。然而，随着网络规模的不断扩大，网络结构的逐渐复杂，安全产品的不断增多，使得安全运维难度不断增大，传统的安全运维方法渐渐不能满足网络结构不断复杂、网络应用服务不断增加、网络攻击面不断扩大情况下对安全运维敏捷、高效、可见性上的需求，其主要存在的技术问题体现在以下两个方面：

1.传统安全运维方法使用RDBMS关系型数据库管理系统对各类安全数据进行存储与管理，然而随着数据量的不断增大，数据关系的不断复杂，使用RDBMS对数据进行管理存在两个方面的问题：一方面由于其具有严格的Schema及复杂的表关系，导致其在数据库设计建模上需要花费大量的人力物力；另一方面由于其ACID及JOIN操作，导致其在对大数据的查询分析效率及关系表达上不能满足相应的需求。

2.传统的安全运维在可视化上多以折线图、柱状图、饼图等形式呈现网络安全运维状况，这类可视化方法在一定程度上解决了安全运维数据的可视化问题，但其缺乏对整体网络环境安全问题及事件分布的直观物理表达，同时缺乏对整体安全态势的关联呈现。

发明内容

本发明所要解决的是传统安全运维方法在面对复杂网络环境下的数据建模、查询、分析和呈现上所存在的不足，提供一种基于图数据库的分层多域可视安全运维方法。

为解决上述问题，本发明是通过以下技术方案实现的：

一种基于图数据库的分层多域可视安全运维方法，包括步骤如下：

步骤1、构建出一个分层多域安全运维模型；

步骤2、建立分层多域安全运维模型的各个域的UML图；

步骤3、通过在出口网关外部接口位置、提供网络应用服务的位置和用户可接入位置上部署相应职能的传感器，对分层多域安全运维模型的各个域所需数据进行采集；

步骤4、将分层多域安全运维模型的各个UML图映射至图数据库中；

步骤5、对图数据库进行查询及分析，以实现可视化的安全运维。

上述步骤1的子步骤如下：

步骤11、建立一个包括基础安全层、安全分析层和威胁情报层的分层运维模型；

步骤12、向基础安全层中添加拓扑结构域、系统服务域、安全策略域和人员信息域；向安全分析层添加依赖关系域、网络安全域和用户安全域；向威胁情报层添加威胁情报域；

步骤13、分析各域间的邻接关系，将互为邻接域之间的交集描述为一个邻接层；由此构建出一个分层多域安全运维模型；

上述步骤12中，向威胁情报层添加基于STIX标准的威胁情报域。