[发明专利]网络安全等级保护中态势感知信息的处理方法及系统

权利要求书

1.一种网络安全等级保护中态势感知信息的处理方法，其特征在于包括步骤：

获取用户基于即时通信工具选择的等保服务对象，通过对应的设备交互界面输出该等保服务对象的关联网络设备信息；其中，基于等保服务对象，在即时通信工具中建立与所述等保服务对象对应的等保联系人对象，对应所述等保服务对象设置有关联网络设备和关联联系人信息，所述关联联系人对应前述关联网络设备设置，所述等保联系人对象显示在联系人列表中，该等保联系人对象作为前述等保服务对象的设备信息访问入口；此时，输出该等保服务对象的关联网络设备信息的步骤为：采集用户针对前述等保联系人对象的触发操作，输出对应等保服务对象的设备交互界面，所述设备交互界面是设备信息展示窗口，所述设备交互界面中输出有等保服务对象的名称，以及对应的关联网络设备和关联联系人信息；

获取用户在前述设备交互界面发送的处理事项信息，判断所述处理事项是否包含网络安全态势感知分析事项；

判定包括网络安全态势感知分析事项时，获取需要进行网络安全态势感知分析的目标关联网络设备的日志数据和/或网络流量数据，分析前述日志数据和/或网络流量数据以获取安全事件信息；基于所述安全事件信息生成目标关联网络设备的网络安全态势曲线，所述网络安全态势曲线用于指示安全事件个数随时间的变化趋势；

将所述网络安全态势曲线在设备交互界面输出；

其中，在设备交互界面中输出关联网络设备信息时，对应每个关联网络设备设置有一一对应的网络设备图标；采集用户对网络设备图标的触发操作，输出对应关联网络设备的网络安全态势曲线；

其中，获取用户在前述设备交互界面中发送的与网络安全等级保护相关的处理事项信息，触发与处理事项相关的关联网络设备进行事项处理；其中，触发与处理事项相关的关联网络设备进行事项处理的步骤包括：获取用户在设备交互界面中发送的与网络安全等级保护相关的处理事项信息，对处理事项信息进行语义分析，获取每个处理事项的事项名称、事项编号和/或事项图标；基于预设的事项处理表，所述事项处理表中存储有事项名称、事项编号和/或事项图标与具体测评内容的映射关系，根据前述事项名称、事项编号和/或事项图标获取对应的具体测评内容，所述具体测评内容包括测评设备对象和测评要求；触发与前述测评设备对象匹配的关联网络设备进入测评状态，测评完成后得到该关联网络设备的测评结果文件；

其中，所述设备交互界面包括等保服务对象名称栏、发送信息输出栏、发送信息输入栏和关联信息栏，所述发送信息输入栏用于采集用户输入的信息，所述发送信息输出栏用于输出用户发送的信息记录，所述关联信息栏用于输出关联网络设备和关联联系人信息；以及，

基于预设的风险等级模型获取每个安全事件对应的风险等级信息，并根据风险等级对每个安全事件进行标识；在输出网络安全态势曲线，输出总态势曲线和基于风险等级的态势曲线；所述总态势曲线将任一时刻发生的安全事件的总数作为该时刻的安全态势值；所述基于风险等级的态势曲线与各安全事件标识的风险等级对应，对于任一风险等级，获取标识为该风险等级的所有安全事件信息，将任一时刻发生的属于该风险等级的安全事件总数作为该时刻的安全态势值；

所述风险等级至少包括高风险等级、中风险等级和低风险等级，对各风险等级安全事件的出现时间进行比对分析，获取高风险等级安全事件、中风险等级安全事件和低风险等级安全事件在时间上的关联规则；基于预设时间周期更新目标关联网络设备的安全事件信息，在出现低风险等级安全事件时，基于前述时间上的关联规则预测高风险等级安全事件和中风险等级安全事件的发生概率和发生时间，当预测的发生概率大于预设阈值时，将预测信息发送给前述目标关联网络设备的关联联系人。

2.根据权利要求1所述的方法，其特征在于：所述安全事件信息包括日志安全事件信息和流量安全事件信息，所述日志安全事件信息为从日志数据中提取的异常事件及异常事件发生时间信息，所述异常事件包括病毒攻击事件、木马攻击事件、DOS攻击事件和/或蠕虫攻击事件；

所述流量安全事件为从网络流量数据中提取的流量异常事件以及流量异常事件发生时间，所述流量异常事件包括预设时间段流量异常事件、日流量异常事件、周流量异常事件、月流量异常事件和/或季度流量异常事件。