[发明专利]一种集中管控中心态势感知与事件响应协同分析实现系统

权利要求书

1.一种集中管控中心态势感知与事件响应协同分析实现系统，其特征在于，提供了能够应用于跨越企业边界的关键基础设施网络事件综合管理的模型，所述实现系统，包括集中管控情报输入组件、公开网络情报输入组件、原始资源存储组件、搜索索引组件和分析引擎组件；

所述集中管控情报输入组件，通过两种方式输入数据或情报，一种是基于集中管控界面输入到集中管控中心，另一种是由集中管控自动提交到集中管控中心；

所述公开网络情报输入组件，主动或被动地从公开网络情报组织获取最新信息；

所述原始资源存储组件，接收来自集中管控情报输入组件的事件信息和共享数据，并对每个事件信息和共享数据的内容进行验证、清理，然后，将以只读方式保存；

所述搜索索引组件，将每个事件信息和共享数据的副本保存在搜索索引中，从中按照事件信息和共享数据ID进行检索，也能够通过对事件信息和共享数据的所有属性进行全文搜索来检索；

所述分析引擎组件，基于特征提取与协同事件分析模型，将从集中管控和公开网络情报采集到的所有数据关联起来，进行分析，并最终为所服务的企业提供威胁情报和缓减策略，整个过程既有自动化的，也有人参与的，包括输入处理组件、评估组件、元数据存储组件、集中管控中心用户仪表盘和管理仪表盘；

所述评估组件，能够从采集的数据中得出结论的核心组件，它以可配置的间隔周期性地查询元数据存储组件和搜索索引组件，基于特征提取与协同事件分析模型，跟踪工件和资源之间的相互依赖关系，估计资源之间的相似性，并将其归属于某一个分组和分类，从而识别并优先考虑当前分析的资源具有最高针对性的资源，发现根原因事件，并且根据此根原因事件来评估该事件影响的严重程度和影响范围，基于事件影响的严重程度和影响范围，向涉及的各个集中管控提供威胁情报和缓减策略，另一方面，评估组件还根据集中管控中心定义的分类法确定根原因事件的类别，然后，评估组件将事件类别映射为威胁类型，事件评估过程的一个重要输出就是由专家团队给出的事件影响分析。

2.如权利要求1所述的一种集中管控中心态势感知与事件响应协同分析实现系统，其特征在于，所述基于特征提取与协同事件分析模型，计算资源与其样本资源的链接，将资源和资源之间的链接确定为中每个工件的分数总和：=+fb，其中，N是在中出现的工件的数量，fb是表示安全经理对链接的优点的反馈值，其值可以大于或小于零，=(TFIDF(,,),TFIDF(,,),freq(, R))，TFIDF(a, r, Rm) 为考虑到在具有相同工件的资源集合中，确定资源r中工件a逆频率的文档频率权重的函数，freq (a, R)为函数返回所有资源集合R中工件a的布尔频率之和，为可定制评分函数。

3.如权利要求1所述的一种集中管控中心态势感知与事件响应协同分析实现系统，其特征在于，所述输入处理组件，从原始资源存储组件和公开网络情报输入组件中采集资源，并检查它们是否出现已知工件或新工件，所有检测到的事件和新工件都保存到元数据存储组件中，而新资源则转发到搜索索引组件中。

4.如权利要求1所述的一种集中管控中心态势感知与事件响应协同分析实现系统，其特征在于，所述元数据存储组件，存储了集中管控中心态势感知与事件响应协同分析实现系统中生成的所有数据，包括已知的工件、工件与资源之间的关系、资源归属于的组和类、集中管控中心的安全人员添加到工件或资源中的注释。

5.如权利要求1所述的一种集中管控中心态势感知与事件响应协同分析实现系统，其特征在于，所述集中管控中心用户仪表盘，是集中管控中心人员使用本申请所述实现系统的主要方式，并支持多屏融合，它提供了包括多个集中管控的安全综合视图和编程接口，并能够快速访问事件报告、查询分析系统、查询分析系统的反馈和搜索资源，为集中管控中心安全经理和专家团队提供可视化的安全态势感知，包括web服务器、数据服务器、主控交换组件和数据库。

6.如权利要求1所述的一种集中管控中心态势感知与事件响应协同分析实现系统，其特征在于，所述管理仪表盘，允许安全管理人员手动调整系统参数并直接访问元数据存储组件，它用于系统维护。

7.如权利要求1所述的一种集中管控中心态势感知与事件响应协同分析实现系统，其特征在于，所述事件影响分析，根据所述的根原因事件和所述的网络拓扑所构成的相互依赖模型来进行事件影响的严重程度和影响范围的分析，对依赖于资产的每个服务的风险进行评估，包括累积风险、风险级别、平均风险和最大风险。