一种网络安全事件处置与评估系统的制作方法

1.本发明涉及网络空间安全技术领域，具体涉及一种网络安全事件处置与评估系统。


背景技术：

2.提高运维人员应对安全事件的处置能力迫在眉睫。
3.现有的网络安全效能评估模式仅针对网络安全产品或防护系统，没有面向安全事件处置。只侧重于评估安全风险的发现和抵御能力，而忽略了安全风险的解决能力。
4.同时，大多数单位部署的网络安全防护系统均涵盖多个厂商的多种安全产品，安全风险事件涉及面广，单一安全厂商难以实现综合性评估。
5.网络安全运维人员是保障网络安全的重要一环，个人的能力不能成为“木桶”的短板。而目前缺乏对安全运维人员能力水平的统计分析与评价手段，也就无法有效地进行针对性提升训练。


技术实现要素：

6.本发明的目的是提供一种网络安全事件处置与评估系统，该系统能够对多种安全产品的风险告警事件集成处置，并使用事件关联分析算法对处置结果进行效能评估，通过多次迭代得到应对各类安全风险事件的最佳处置方案，提升安全运维人员处理安全风险事件的能力水平。
7.本发明采用的技术方案为：
8.一种网络安全事件处置与评估系统，包括：
9.态势感知模块用于收集暴露在互联网中各类资产设备的访问流量，然后对网络行为作出判断，如果确定有威胁行为，则发送告警信息至安全事件处置模块，同时将当前时刻遭受攻击的资产设备环境信息和告警数量作为初始状态发送至效果评估模块；还用于对流量存储模块发送的重放流量进行分析，然后将分析结果作为完结状态发送至效果评估模块；其中，告警信息包括威胁行为的目标资产、威胁类型和攻击实施方式，分析结果包括环境信息、告警数量以及同一安全事件是否再次出现；
10.安全事件处置模块用于接收由态势感知模块发送的告警信息，向处置行为推荐模块的方法库发送推荐方法请求或重新设定安全事件处置方法；并按照处置行为推荐模块发送的安全事件处置方法或设定的安全事件处置方法进行处置，同时将处置的过程记录至流量存储模块并发送至效果评估模块；
11.流量存储模块用于存储安全事件处置后的流量，并每隔设定时间发送给态势感知平台进行重放；
12.效果评估模块用于结合资产设备初始状态与完结状态的指标对安全事件的处置过程做出效能评估，将评估结果及过程记录分别发送至处置行为推荐模块和人才赋能模块；
13.处置行为推荐模块用于接收经过评估后的应对各类安全事件的处置方法，然后采用聚类算法对安全事件及相应的处置方法打上标签并存储在方法库中；当有安全事件报警时，根据安全事件的信息匹配方法库中相似度最高的安全事件及处置方法发送至安全事件处置模块；
14.人才赋能模块用于接收网络安全事件处置效能评估情况，并且以雷达图的形式展示设定时间内应对网络安全事件的技能情况和平均水平。
15.其中，所述的效果评估模块对安全事件的处置过程做出效能评估，具体过程为：
16.基于事件关联分析的方法获取与安全事件处置关联的各类安全事件的事件威胁等级、事件确信度、事件与处置的关联程度、事件发生次数及事件影响的所有设备信息；
17.针对每一类安全事件，根据预设的各类设备类型对应的权重，按照预设的设备维度计算方法，计算得到该类安全事件的设备维度评估结果；
18.根据各类安全事件的事件发生次数，按照预设的次数维度计算方法，计算得到各类安全事件的次数维度评估结果；
19.针对每一类安全事件，根据事件威胁等级、事件确信度、事件与处置的关联程度、事件发生是否在处置发生之前、设备维度评估结果以及次数维度评估结果，计算得到各类安全事件的事件维度评估结果；
20.根据安全事件处置所关联的各类安全事件的事件维度评估结果，将各类安全事件的事件维度评估结果累加，计算得到安全事件处置的评估结果。
21.本发明的有益效果为：
22.本发明基于互联网安全防护系统，对各类安全防护产品进行流量采集并集成处置，对事件处置结果进行效能评估，根据安全事件智能推荐处置操作建议，同时统计历史数据展示运维人员的处置水平。这样不但可以使运维人员在使用过程中逐渐掌握应对某类安全事件的最高效处置方案，还能将其处置响应能力以图表的形式呈现，形象展示了该运维人员的能力变化过程。
附图说明
23.图1是本发明网络安全事件处置与评估系统的流程示意图。
24.图2是本发明的一种实施方式的应用实例结构图。
具体实施方式
25.为了使本发明的目的及优点更加清楚明白，下面结合附图和具体实施例对本发明做进一步的说明。应当理解，以下文字仅仅用以描述本发明的一种或几种具体实施方式，并不对本发明具体请求的保护范围进行严格限定。
26.如图1所示，一种网络安全事件处置与评估系统实施例，包括：
27.态势感知模块用于收集暴露在互联网中各类资产设备的访问流量，然后对网络行为作出判断，如果确定有威胁行为，则发送告警信息至安全事件处置模块，同时将当前时刻遭受攻击的资产设备环境信息和告警数量作为初始状态发送至效果评估模块；还用于对流量存储模块发送的重放流量进行分析，然后将分析结果作为完结状态发送至效果评估模块；其中，告警信息包括威胁行为的目标资产、威胁类型和攻击实施方式，分析结果包括环
境信息、告警数量以及同一安全事件是否再次出现；
28.安全事件处置模块用于接收由态势感知模块发送的告警信息，向处置行为推荐模块的方法库发送推荐方法请求或重新设定安全事件处置方法；并按照处置行为推荐模块发送的安全事件处置方法或设定的安全事件处置方法进行处置，同时将处置的过程记录至流量存储模块并发送至效果评估模块；
29.流量存储模块用于存储安全事件处置后的流量，并每隔设定时间发送给态势感知平台进行重放；
30.效果评估模块用于结合资产设备初始状态与完结状态的指标对安全事件的处置过程做出效能评估，将评估结果及过程记录分别发送至处置行为推荐模块和人才赋能模块；
31.处置行为推荐模块用于接收经过评估后的应对各类安全事件的处置方法，然后采用聚类算法对安全事件及相应的处置方法打上标签并存储在方法库中；当有安全事件报警时，根据安全事件的信息匹配方法库中相似度最高的安全事件及处置方法发送至安全事件处置模块；
32.人才赋能模块用于接收网络安全事件处置效能评估情况，并且以雷达图的形式展示设定时间内应对网络安全事件的技能情况和平均水平。
33.其中，所述的效果评估模块对安全事件的处置过程做出效能评估，具体过程为：
34.1)基于事件关联分析的方法获取与安全事件处置关联的各类安全事件的事件威胁等级、事件确信度、事件与处置的关联程度、事件发生次数及事件影响的所有设备信息；
35.事件威胁等级：t；预设规则下的事件的威胁等级；例如，可划分为严重、高危、中危、低危；
36.事件确信度：n；预设规则下的事件的确信程度；例如，可划分为确定、高可信度、中可信度、低可信度；
37.事件与处置的关联程度：v；基于事件关联分析的事件与处置的关联程度；
38.事件发生次数：f；预设规则下，一定时间内事件的发生次数；时间阈值可以根据应用实际需要调整；
39.事件影响的所有设备信息：包括事件影响的设备总数p，每个设备的设备类型h
t
；设备类型为预设的设备所属的类型，例如内网主机、管理员主机、业务主机、防火墙设备、安全分析设备、网络交换设备等；
40.2)针对每一类安全事件，根据预设的各类设备类型对应的权重，按照预设的设备维度计算方法，计算得到该类安全事件的设备维度评估结果；
41.具体的，根据预设的各类设备类型对应的权重，按照预设的设备维度计算方法，计算得到该类安全事件的设备维度评估结果；例如，将事件影响的每个设备的设备权重累加得到设备维度评估结果，设备维度评估结果为
42.3)根据各类安全事件的事件发生次数，按照预设的次数维度计算方法，计算得到各类安全事件的次数维度评估结果；
43.具体的，根据各类安全事件的事件发生次数，按照预设的次数维度计算方法，计算得到各类安全事件的次数维度评估结果；例如，次数维度评估结果为log(1+f)；
44.4)针对每一类安全事件，根据事件威胁等级、事件确信度、事件与处置的关联程
度、事件发生是否在处置发生之前、设备维度评估结果以及次数维度评估结果，计算得到各类安全事件的事件维度评估结果；
45.具体的，根据预设的各种事件威胁等级对应的权重，结合事件确信度、事件与处置的关联程度、事件发生是否在处置发生之前、设备维度评估结果以及次数维度评估结果，按照预设的事件维度计算方法，计算得到各类安全事件的事件维度评估结果；事件发生是否在处置发生之前，u，当事件发生在处置之前，u＝1，当事件发生在处置之后，u＝-1；例如，事件维度评估结果为
46.5)根据安全事件处置所关联的各类安全事件的事件维度评估结果，将各类安全事件的事件维度评估结果累加，计算得到安全事件处置的评估结果。
47.具体的，根据安全事件处置所关联的各类安全事件的事件维度评估结果，将各类安全事件的事件维度评估结果累加，计算得到安全事件处置的评估结果；例如，
48.安全事件处置的评估结果为
49.应用实例如图2所示，包括威胁信息收集单元1、处置与评估单元2和风险资产单元3；本发明的网络安全事件处置与评估系统设在处置与评估单元2中。
50.威胁信息收集单元1收集各类安全产品检测到网络攻击的流量信息，并将流量和日志信息发往处置与评估单元2；接收从处置与评估单元2返回的流量，然后再次对网络环境进行检测，确认安全风险是否解除。
51.处置与评估单元2接收从威胁信息收集单元1发送的流量和日志信息，匹配相似安全事件的记录，推荐处置策略。安全运维人员根据策略对风险资产单元3中的被攻击设备做出处理，处置与评估单元2接收风险资产单元3的处置结果并做出效能评估，并将事件存入数据库中。
52.风险资产单元3接收到由处置与评估单元2发出的对高危风险设备的具体处置操作步骤。对相应设备完成处置后，将结果反馈给处置与评估单元2。

技术特征：
1.一种网络安全事件处置与评估系统，其特征在于，包括：态势感知模块用于收集暴露在互联网中各类资产设备的访问流量，然后对网络行为作出判断，如果确定有威胁行为，则发送告警信息至安全事件处置模块，同时将当前时刻遭受攻击的资产设备环境信息和告警数量作为初始状态发送至效果评估模块；还用于对流量存储模块发送的重放流量进行分析，然后将分析结果作为完结状态发送至效果评估模块；其中，告警信息包括威胁行为的目标资产、威胁类型和攻击实施方式，分析结果包括环境信息、告警数量以及同一安全事件是否再次出现；安全事件处置模块用于接收由态势感知模块发送的告警信息，向处置行为推荐模块的方法库发送推荐方法请求或重新设定安全事件处置方法；并按照处置行为推荐模块发送的安全事件处置方法或设定的安全事件处置方法进行处置，同时将处置的过程记录至流量存储模块并发送至效果评估模块；流量存储模块用于存储安全事件处置后的流量，并每隔设定时间发送给态势感知平台进行重放；效果评估模块用于结合资产设备初始状态与完结状态的指标对安全事件的处置过程做出效能评估，将评估结果及过程记录分别发送至处置行为推荐模块和人才赋能模块；处置行为推荐模块用于接收经过评估后的应对各类安全事件的处置方法，然后采用聚类算法对安全事件及相应的处置方法打上标签并存储在方法库中；当有安全事件报警时，根据安全事件的信息匹配方法库中相似度最高的安全事件及处置方法发送至安全事件处置模块；人才赋能模块用于接收网络安全事件处置效能评估情况，并且以雷达图的形式展示设定时间内应对网络安全事件的技能情况和平均水平。2.根据权利要求1所述的一种网络安全事件处置与评估系统，其特征在于，所述的效果评估模块对安全事件的处置过程做出效能评估，具体过程为：基于事件关联分析的方法获取与安全事件处置关联的各类安全事件的事件威胁等级、事件确信度、事件与处置的关联程度、事件发生次数及事件影响的所有设备信息；针对每一类安全事件，根据预设的各类设备类型对应的权重，按照预设的设备维度计算方法，计算得到安全事件的设备维度评估结果；根据各类安全事件的事件发生次数，按照预设的次数维度计算方法，计算得到各类安全事件的次数维度评估结果；针对每一类安全事件，根据事件威胁等级、事件确信度、事件与处置的关联程度、事件发生是否在处置发生之前、设备维度评估结果以及次数维度评估结果，计算得到各类安全事件的事件维度评估结果；根据安全事件处置所关联的各类安全事件的事件维度评估结果，将各类安全事件的事件维度评估结果累加，计算得到安全事件处置的评估结果。

技术总结
本发明涉及网络空间安全技术领域，具体涉及一种网络安全事件处置与评估系统。本发明基于互联网安全防护系统，对态势感知、云防等各类安全防护产品进行流量采集和威胁行为识别，发现安全事件后发出告警并由运维人员作出处置，然后对处置方法进行效能评估，将评估高的处置方法打标签存入方法库中，再出现类似安全事件发生时，根据匹配结果推荐相应的处置方法，帮助运维人员作出决策。最后统计处置安全事件流程的历史数据，以雷达图的形式展示运维人员掌握应对攻击威胁的技能情况。这样不但可以使运维人员在使用过程中不断迭代应对各类安全事件的处置方案以获得最优解；还能以图形化的方式呈现运维人员的能力水平，达到查漏补缺、专项提升的目的。专项提升的目的。专项提升的目的。


技术研发人员：赵海强 张翼飞 高小涵 贾哲 焦利彬 李皓 杨晓鹏
受保护的技术使用者：中国电子科技集团公司第五十四研究所
技术研发日：2023.03.22
技术公布日：2023/7/7