[发明专利]一种集中管控中心态势感知与事件响应协同分析实现系统

说明书

本发明公开了一种集中管控中心态势感知与事件响应协同分析实现系统，其特征在于，提供了能够应用于跨越企业边界的关键基础设施网络事件综合管理的模型，所述实现系统，包括集中管控情报输入组件、公开网络情报输入组件、原始资源存储组件、搜索索引组件和分析引擎组件；所述分析引擎组件，包括输入处理组件、评估组件、元数据存储组件、集中管控中心用户仪表盘和管理仪表盘。通过本发明，解决了跨越企业边界的数据共享、安全态势感知与事件响应协同的问题。

技术领域

本发明涉及网络安全、SOC（Security operation center）、信息共享、数据加密、网络事件处理和网络事件报告的技术领域，尤其涉及到一种集中管控中心态势感知与事件响应协同分析实现系统。

背景技术

安全生产历来是保障各项工作有序开展的前提，也是考核各级领导干部的否决指标。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络及信息系统高效稳定地运行，是企业一切市场经营活动和正常运作的基础。

当前，企业的网络及信息系统都不同程度地部署了各种不同的集中管控的设备，有效地提高了劳动生产率，降低了运营成本，已经成为企业高效运营的重要支撑和生产环节中不可缺少的一环。一方面，因为一旦网络及各业务系统出现安全事件或故障，如果不能及时发现、及时处理、及时恢复，这势必直接影响承载在其上所有业务的运行，影响企业的正常运营秩序，涉及到客户的系统将直接导致用户投诉，满意度下降，企业形象受到损害，对于企业网络的安全保障就显得格外重要。另一方面，现代的高级网络威胁，尤其是多阶段的网络攻击，例如，Stuxnet，利用了企业之间的相互依赖性，网络攻击者侵入了多个企业，将它们被用作到达目标的垫脚石。因此，为了应对这类威胁，多个企业之间需要一种协同机制来保护其业务，这种机制不完全使用从本企业采集的信息，而是另外还要采集其它企业共享或公开的相关观察结果，加以分析，及时披露此类网络攻击和迅速部署缓减策略等，并作出快速协同和协同反应。快速协同和协同反应是减轻网络威胁影响到越来越多的企业和/或减轻网络威胁进一步地在多个企业之间传播和连锁影响的关键；但是，现有的集中管控，仅负责本企业范围内的安全运维与管理服务。集中管控之间是相互隔离和孤立的，没有任何的联系。

由于各种网络攻击技术也变得越来越先进，越来越普及化，企业的网络系统面临着随时被攻击的危险，经常遭受不同程度的入侵和破坏，严重干扰了企业网络的正常运行；日益严峻的安全威胁迫使企业不得不加强对网络及业务系统的安全防护，不断追求多层次、立体化的安全防御体系，尽一切可能来保护企业网络及业务系统正常运营。

发明内容

为了解决上述技术问题，本发明提供了一种集中管控中心态势感知与事件响应协同分析实现系统，基于特征提取与协同事件分析模型，所述实现系统的组件从集中管控和公开网络情报采集数据，将采集到的所有数据关联起来，进行分析，并最终为所服务的企业提供威胁情报和缓减策略，整个过程既有自动化的，也有人参与的，以确保集中管控中心能够对集中管控的发生事件做出充分的决策并快速实施应对措施，解决了跨越企业边界的数据共享、安全态势感知与事件响应协同的问题。

一种集中管控中心态势感知与事件响应协同分析实现系统，其特征在于，提供了能够应用于跨越企业边界的关键基础设施网络事件综合管理的模型，所述实现系统，包括集中管控情报输入组件、公开网络情报输入组件、原始资源存储组件、搜索索引组件和分析引擎组件；

所述集中管控情报输入组件，通过两种方式输入数据或情报，一种是基于集中管控界面输入到集中管控中心，另一种是由集中管控自动提交到集中管控中心；

所述公开网络情报输入组件，主动或被动地从公开网络情报组织获取最新信息；

所述原始资源存储组件，接收来自集中管控情报输入组件的事件信息和共享数据，并对每个事件信息和共享数据的内容进行验证、清理，然后，将以只读方式保存；

所述搜索索引组件，将每个事件信息和共享数据的副本保存在搜索索引中，从中按照事件信息和共享数据ID进行检索，也能够通过对事件信息和共享数据的所有属性进行全文搜索来检索；