[发明专利]基于网络安全监控和数据分析的应急响应系统及方法

权利要求书

1.一种基于网络安全监控和数据分析的应急响应系统，其特征在于，包括：

数据采集模块，用于采集待监控系统的状态信息和用户信息；

数据管理模块，用于对采集的所述状态信息和用户信息进行分类、处理并存储于数据存储模块；

检查模块，用于定期对所述数据存储模块中的状态信息和用户信息进行检查；

分析模块，用于对所述检查模块的检查结果进行分析；

策略管理模块，用于基于所述分析模块的分析结果制定或更新相应的网络准入策略或监控策略；

监控模块，用于结合网络准入策略和监控策略对待监控系统进行监控；

响应模块，在所述监控模块和检查模块发现异常时，用于发出异常告警并根据响应策略进行自动处理。

2.根据权利要求1所述的应急响应系统，其特征在于，所述检查模块具体用于：

对待监测系统内不同密级、不同职责范围的不同终端所能提供的服务、可接入的软件、所启用的安全策略分别进行检查；

以及对不同终端中导致网络安全风险的状态信息和用户信息进行检查。

3.根据权利要求2所述的应急响应系统，其特征在于，所述分析模块具体用于：

判断相同密级、相同职责范围的相同终端对每一服务的提供率、每一软件的接入率或每一安全策略的启用率是否达到对应的预设阈值；

分析获得不同密级、不同职责范围的不同终端中需要进行监控的状态信息或用户信息。

4.根据权利要求3所述的应急响应系统，其特征在于，所述策略管理模块具体用于：

对于提供率、接入率或启用率大于等于对应预设阈值的服务、软件或安全策略进行授权；以及对于提供率、接入率或启用率小于对应预设阈值的服务、软件或安全策略进行禁止，从而生成对应的网络准入策略；

根据不同密级、不同职责范围的不同终端中需要进行监控的状态信息和用户信息生成对应的网络监控策略；

还用于根据定期检查的分析结果更新所述网络准入策略和网络监控策略。

5.根据权利要求1-4所述的应急响应系统，其特征在于，所述监控模块进一步用于：

根据所述网络准入策略生成或更新对应的网络准入监控模型，以对服务的提供、软件的接入或安全策略的启用进行监控；以及根据所述监控策略生成或更新对应的网络监控模型，以对所述待监控系统内的不同终端进行监控。

6.根据权利要求1所述的应急响应系统，其特征在于，所述响应模块具体用于：根据所述待监控系统异常事件的等级发出对应等级的告警，并生成异常报告进行显示。

7.根据权利要求6所述的应急响应系统，其特征在于，基于待监控系统发生异常时，对管理人员的操作数据进行学习训练获得对应的响应策略模型；所述响应策略模型用于所述待监控系统再次发生同样的异常时，直接对异常进行处理。

8.一种基于网络安全监控和数据分析的应急响应方法，其特征在于，包括：

采集待监控系统的状态信息和用户信息；

对采集的所述状态信息和用户信息进行分类、处理并存储于数据库；

定期对所述数据库中的状态信息和用户信息进行检查；

对检查结果进行分析；

基于分析结果制定或更新相应的网络准入策略或监控策略；

结合网络准入策略和监控策略对待监控系统进行监控；

在所述监控模块和检查模块发现异常时，发出异常告警并根据响应策略进行自动处理。