一种网络安全审计管理方法及系统与流程

1.本发明大体涉及网络安全技术领域，具体涉及一种网络安全审计管理方法及系统。


背景技术：

2.随着互联网技术的迅速发展，网络系统变得更加庞大，网络安全问题以成为互联网所面临的重大挑战之一，人们对网络安全的要求逐渐提高。通过网络安全审计技术对审计信息数据进行快速、全面的分析，可以很好地发现网络系统中存在的一些网络安全问题。
3.对于一些基数庞大且结构复杂的审计信息数据，在通过网络安全审计技术对其进行审计分析的过程中，审计工作量较大，可能导致审计得到的结果不够全面，达到预期的审计效果存在困难。


技术实现要素：

4.本发明的目的在于提供一种网络安全审计管理方法及系统，以解决上述背景技术中提出的技术问题。
5.针对上述问题，第一方面，本发明提供了一种网络安全审计管理方法，包括：
6.获取审计信息数据库的参数信息，根据所述参数信息确定数据提取规则，所述审计信息数据库中存储有用于网络安全审计的网络数据；
7.基于所述数据提取规则从所述审计信息数据库中提取得到待处理数据，构建得到第一数据库，所述第一数据库中的数据以数据组的形式储存；
8.通过预先构建的安全评估模型对所述第一数据库进行安全分析，得到安全分析结果，所述安全分析结果记录有多个模糊特征主体，建立模糊特征主体集合g；
9.逐一用集合g中的元素遍历所述第一数据库，选择出每个模糊特征主体的关联数据，为所述第一数据库中对应的关联数据添加主体识别标签，遍历结束后得到第二数据库；
10.遍历集合g，分别以集合g中的每一个模糊特征主体为聚类中心，基于所述第二数据库构建多个数据包，得到局部特征信息；
11.根据所有数据包中的主体识别标签确定数据包之间的关联信息，得到全局特征信息；
12.根据所述局部特征信息和全局特征信息构建目标数据库，通过审计设备对所述目标数据库进行网络安全审计。
13.进一步地，所述逐一用集合g中的元素遍历所述第一数据库，选择出每个模糊特征主体的关联数据，为所述第一数据库中对应的关联数据添加主体识别标签，包括：
14.对于集合g，g＝{g(r)1，g(r)2，
…
，g(r)n}，其中，n表示集合g中元素的数量，对于集合g中的任意一个元素g(r)i，r表示元素的特征信息，i表示元素的项数；
15.分别用集合g中的元素遍历所述第一数据库，对于任意一个元素g(r)i，根据该元素的特征信息从所述第一数据库中选择出与该元素对应的关联数据，确定该元素的主体识
别标签，为选择出的关联数据添加主体识别标签。
16.进一步地，所述遍历集合g，分别以集合g中的每一个模糊特征主体为聚类中心，基于所述第二数据库构建多个数据包，包括：
17.对于集合g中的任意一个元素g(r)i，对所述第二数据库进行标签识别，根据该元素的主体识别标签从所述第二数据库复制出带有该元素对应的主体识别标签的目标数据组，以该元素对应的模糊特征主体为聚类中心，将复制得到的目标数据组与其关联，构建得到数据包，其中，数据包中的目标数据组携带有对应的主体识别标签；
18.遍历集合g后得到多个数据包，数据包的数量等于集合g中元素的数量。
19.进一步地，所述根据所有数据包中的主体识别标签确定数据包之间的关联信息包括：
20.构建全局关联特征图谱，所述全局关联特征图谱记录有所有的数据包个体；
21.以数据包个体对应的模糊特征主体确定该数据包个体的标识符，其中，数据包个体的标识符具体为该数据包个体对应的模糊特征主体所对应的主体识别标签；
22.对于任意一个数据包个体，根据该数据包个体所携带的标识符将其与存在关联的其它数据包个体建立连接关系，统计与该数据包个体存在连接关系的数据包个体的数量，得到该数据包个体的第一关联参数；
23.对于该数据包个体和任意一个与其建立好连接关系的数据包个体，统计两者同时包含的目标数据组的数量，得到该数据包个体的第二关联参数；
24.根据所述第一关联参数和所述第二关联参数计算该数据包个体的全局特征参量；
25.用所述全局关联特征图谱和每个数据包个体的所述全局特征参量作为数据包之间的关联信息。
26.进一步地，根据所述第一关联参数和所述第二关联参数计算任意一个数据包个体的全局特征参量，包括：
27.根据所述第一关联参数和所述第二关联参数计算得到任意一个数据包个体的全局特征参量的计算表示公式如下：
[0028][0029]
式中，q表示全局特征参量，f1表示第一关联参数，f2表示第二关联参数，α、β分别为第一关联参数f1和第二关联参数f2的修正参数。
[0030]
进一步地，所述获取审计信息数据库的参数信息，根据所述参数信息确定数据提取规则，包括：
[0031]
所述参数信息包括所述审计信息数据库的数据存储容量、数据存储量和数据传输速率，根据所述数据存储容量和所述数据传输速率对第一预设提取比例进行调整，得到第二预设提取比例，以所述第二预设提取比例作为所述审计信息数据库的数据提取比例，得到所述数据提取规则。
[0032]
第二方面，本发明提供了一种网络安全审计管理系统，所述系统应用上述任一项所述的一种网络安全审计管理方法，所述系统包括：
[0033]
数据获取模块，用于获取审计信息数据库的参数信息，根据所述参数信息确定数据提取规则，基于所述数据提取规则从所述审计信息数据库中提取得到待处理数据；
[0034]
第一构建模块，用于根据从所述审计信息数据库中提取得到的所述待处理数据构建得到第一数据库；
[0035]
第一数据分析模块，用于对所述第一数据库进行安全分析，得到安全分析结果，根据所述安全分析结果建立模糊特征主体集合g；
[0036]
第二数据分析模块，用于对所述模糊特征主体集合g和所述第一数据库进行局部特征分析和全局特征分析，得到局部特征信息和全局特征信息；
[0037]
第二构建模块，用于根据所述局部特征信息和全局特征信息构建目标数据库。
[0038]
进一步地，对于第二数据分析模块，还包括：
[0039]
计算单元，用于计算全局特征参量；
[0040]
第二数据分析模块对所述模糊特征主体集合g和所述第一数据库进行全局特征分析，得到第一关联参数和第二关联参数，所述计算单元根据所述第一关联参数和所述第二关联参数计算得到所述全局特征参量。
[0041]
本发明的有益效果如下：
[0042]
本发明基于先验知识和风险特征指标对审计信息数据库中的信息进行预处理，减少数据量，对预处理后的数据进行局部特征分析和全局特征分析，得到局部特征信息和全局特征信息，基于局部特征信息和全局特征信息构建得到目标数据库，通过审计设备对目标数据库进行审计，降低审计工作量，提升审计速度，增强审计效果。
附图说明
[0043]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图示出的结构获得其他的附图。
[0044]
图1为本发明实施例中一种网络安全审计管理方法的流程示意图。
[0045]
图2为本发明实施例中一种网络安全审计管理系统的结构示意图。
具体实施方式
[0046]
为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术部分实施例进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本技术，并不用于限定本技术。然而，本领域的普通技术人员可以理解，在本技术的各实施例中，为了使读者更好地理解本技术而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施例的种种变化和修改，也可以实现本技术所要求保护的技术方案。
[0047]
实施例1
[0048]
参见图1，本实施例提供一种网络安全审计管理方法，包括以下内容：
[0049]
s1、获取审计信息数据库的参数信息，根据参数信息确定数据提取规则，审计信息数据库中存储有用于网络安全审计的网络数据；
[0050]
在一个具体的实施过程中，可以获取存储有用于网络安全审计的网络数据的审计信息数据库的参数信息，参数信息至少包括有审计信息数据库的数据存储容量、数据存储量和数据传输速率，正常情况下，在对审计信息数据库中的进行提取时，以第一预设提取比
例进行数据提取，第一预设提取比例的预先设定的标准参量，在其它条件不变的情况下，随着审计信息数据库的数据存储量发生变化，根据第一预设提取比例进行数据提取时，提取所需时间以及提取得到的数据总量将随之变化，为了提升后续对数据进行审计分析的效率，可根据数据存储量对第一预设提取比例进行适应性地调整，同时进行数据提取时的提取所需时间也跟审计信息数据库的数据存储容量和数据传输速率相关，因此，可根据数据存储容量、数据存储量和数据传输速率对第一预设提取比例进行适应性调整，得到第二预设提取比例，将第二预设提取比例作为从审计信息数据库提取数据过程的数据提取比例，得到数据提取规则。
[0051]
可以想到的是，在从审计信息数据库中提取数据的过程中，可根据现有的先验知识对数据进行简单的筛选，除去部分与网络安全问题关联度低的数据，具体的筛选方式可根据实际需要的审计精度进行调整。
[0052]
s2、基于数据提取规则从审计信息数据库中提取得到待处理数据，构建得到第一数据库；
[0053]
在一个具体的实施过程中，待处理数据以数据组的形式储存在第一数据库中。
[0054]
s3、通过预先构建的安全评估模型对第一数据库进行安全分析，得到安全分析结果，安全分析结果记录有多个模糊特征主体，建立模糊特征主体集合g；
[0055]
在一个具体的实施过程中，可根据历史发生的网络安全事件所对应的数据信息，确定风险特征指标，根据风险特征指标构建得到安全评估模型，通过安全评估模型对第一数据库中包含的数据组进行安全分析，找出不满足风险特征指标的数据，得到多个模糊特征主体，并为多个模糊特征主体建立得到模糊特征主体集合g，模糊特征主体集合g中的任意一个元素均代表一个模糊特征主体。
[0056]
s4、逐一用集合g中的元素遍历第一数据库，选择出每个模糊特征主体的关联数据，为第一数据库中对应的关联数据添加主体识别标签，遍历结束后得到第二数据库；
[0057]
在一个具体的实施过程中，对于集合g，表示为g＝(g(r)1，g(r)2，
…
，g(r)n}，其中，n表示集合g中元素的数量，对于集合g中的任意一个元素g(r)i，r表示元素的特征信息，i表示元素的项数；
[0058]
每个元素所携带的特征信息包括至少一个特征项，通过每个元素所携带的特征信息，遍历第一数据库中的每一组数据组，判断数据组所包含的特征信息中是否存在与该元素所携带的特征信息中的一个或多个特征项相同的特征项，若有至少一个特征项相同，则表示对应的数据组与该元素代表的模糊特征主体关联；
[0059]
可预先确定每个模糊特征主体的主体识别标签，每个模糊特征主体均对应一个主体识别标签，主体识别标签作为唯一身份标识用于表征对应的模糊特征主体的身份，在确定每个模糊特征主体的关联数据后，为对应的数据组添加主体识别标签，用于表示其与模糊特征主体存在关联，用集合g中的每一个元素遍历第一数据库后，得到第二数据库，第二数据库中的部分或全部数据组将携带有主体识别标签，携带的主体识别标签可能是一个或多个。
[0060]
s5、遍历集合g，分别以集合g中的每一个模糊特征主体为聚类中心，基于第二数据库构建多个数据包，得到局部特征信息；
[0061]
在一个具体的实施过程中，可根据模糊特征主体所对应的主体识别标签，在第二
数据库中为每一个模糊特征主体复制出与其存在关联的数据组，在复制的过程中将数据组所携带的主体识别标签同步进行复制，以每一个模糊特征主体为聚类中心构建得到多个数据包，得到局部特征信息。
[0062]
s6、根据所有数据包中的主体识别标签确定数据包之间的关联信息，得到全局特征信息；
[0063]
在一个具体的实施过程中，对于任意一个数据包，可统计其包含的数据组所携带的主体识别标签的类型，得到其与其它数据包之间的关联信息，从而得到全局特征信息。
[0064]
s7、根据局部特征信息和全局特征信息构建目标数据库，通过审计设备对目标数据库进行网络安全审计。
[0065]
本实施例提供的一种网络安全审计管理方法，通过先验知识和风险特征指标对审计信息数据库中的信息进行预处理，减少数据量，对预处理后的数据进行局部特征分析和全局特征分析，构建得到目标数据库，有利于提升通过审计设备对审计信息数据库中的信息进行网络安全审计的速度，降低审计工作量，增强审计效果。
[0066]
在一个具体的实施过程中，对于步骤s5，遍历集合g，分别以集合g中的每一个模糊特征主体为聚类中心，基于第二数据库构建多个数据包，包括：
[0067]
对于集合g中的任意一个元素g(r)i，对第二数据库进行标签识别，根据该元素的主体识别标签从第二数据库复制出带有该元素对应的主体识别标签的目标数据组，以该元素对应的模糊特征主体为聚类中心，将复制得到的目标数据组与其关联，构建得到数据包，其中，数据包中的目标数据组携带有对应的主体识别标签，遍历集合g后得到多个数据包，可以想到的是，数据包的数量等于集合g中元素的数量。
[0068]
在一个具体的实施过程中，对于步骤s6，根据所有数据包中的主体识别标签确定数据包之间的关联信息包括：
[0069]
构建全局关联特征图谱，全局关联特征图谱记录有所有的数据包个体；
[0070]
以数据包个体对应的模糊特征主体确定该数据包个体的标识符，其中，数据包个体的标识符具体为该数据包个体对应的模糊特征主体所对应的主体识别标签；
[0071]
具体地，每个数据包个体对应一个模糊特征主体，每个模糊特征主体对应一个唯一身份标识，即唯一一个身份识别标签用于表征身份，将数据包个体对应的主体识别标签作为该数据包个体的标识符。
[0072]
对于任意一个数据包个体，根据该数据包个体所携带的标识符将其与存在关联的其它数据包个体建立连接关系，统计与该数据包个体存在连接关系的数据包个体的数量，得到该数据包个体的第一关联参数；
[0073]
具体地，每个数据包个体携带有多个主体识别标签，对于任意一个数据包个体，除去其本身所对应的主体识别标签，剩余的主体识别标签分别表示一个数据包个体，因此可建立其与存在关联的其它数据包个体之间的连接关系，并且可统计得到与该数据包个体存在连接关系的数据包个体的数量，即剩余的主体识别标签的数量。
[0074]
对于该数据包个体和任意一个与其建立好连接关系的数据包个体，统计两者同时包含的目标数据组的数量，得到该数据包个体的第二关联参数；
[0075]
具体地，每个数据包个体包含有至少一组数据组，所包含的任意一种数据组包含有至少一个主体识别标签，对于包含有大于一个主体识别标签的数据组，必定存在至少一
个数据包个体也包含有该数据组，并且该数据包个体与前述的至少一个数据包个体之间建立有连接关系，对于这两个数据包个体，至少同时包含有一组相同的数据组，记录同时包含有一组相同的数据组的数量，将其作为该数据包个体的第二关联参数。
[0076]
根据第一关联参数和第二关联参数计算该数据包个体的全局特征参量；
[0077]
具体地，在本实施例中，根据第一关联参数和第二关联参数计算得到任意一个数据包个体的全局特征参量的计算表示公式如下：
[0078][0079]
式中，q表示全局特征参量，f1表示第一关联参数，f2表示第二关联参数，α、β分别为第一关联参数f1和第二关联参数f2的修正参数。
[0080]
在计算得到每个数据包个体的全局特征参量后，用全局关联特征图谱和每个数据包个体的全局特征参量作为数据包之间的关联信息，将前述的关联信息作为全局特征信息。
[0081]
在一个具体的实施过程中，将第一关联参数和第二关联参数，添加到全局关联特征图谱中，便于查询所有数据包个体之间的关联情况。
[0082]
在一个具体的实施过程中，在得到局部特征信息和全局特征信息后，可建立得到目标数据库，目标数据库中包括有与审计信息数据库中对应的局部特征信息和全局特征信息，通过审计设备直接对目标数据库进行网络安全审计，降低审计的工作量，提升审计效率。
[0083]
实施例2
[0084]
参见图2，在实施例1的基础上，本实施例提供一种网络安全审计管理系统，包括：
[0085]
数据获取模块，用于获取审计信息数据库的参数信息，根据参数信息确定数据提取规则，基于数据提取规则从审计信息数据库中提取得到待处理数据；
[0086]
第一构建模块，用于根据从审计信息数据库中提取得到的待处理数据构建得到第一数据库；
[0087]
第一数据分析模块，用于对第一数据库进行安全分析，得到安全分析结果，根据安全分析结果建立模糊特征主体集合g；
[0088]
第二数据分析模块，用于对模糊特征主体集合g和第一数据库进行局部特征分析和全局特征分析，得到局部特征信息和全局特征信息；
[0089]
具体地，逐一用集合g中的元素遍历第一数据库，选择出每个模糊特征主体的关联数据，为第一数据库中对应的关联数据添加主体识别标签，遍历结束后得到第二数据库；
[0090]
遍历集合g，分别以集合g中的每一个模糊特征主体为聚类中心，基于第二数据库构建多个数据包，得到局部特征信息；
[0091]
根据所有数据包中的主体识别标签确定数据包之间的关联信息，得到全局特征信息；
[0092]
第二构建模块，用于根据局部特征信息和全局特征信息构建目标数据库。
[0093]
在一个具体的实施过程中，对于第二数据分析模块，还包括：
[0094]
计算单元，用于计算全局特征参量；
[0095]
第二数据分析模块对模糊特征主体集合g和第一数据库进行全局特征分析，得到
第一关联参数和第二关联参数，通过计算单元根据第一关联参数和第二关联参数计算得到全局特征参量。
[0096]
应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。本说明书中未作详细描述的部分属于本领域专业技术人员公知的现有技术。

技术特征：
1.一种网络安全审计管理方法，其特征在于，包括：获取审计信息数据库的参数信息，根据所述参数信息确定数据提取规则，所述审计信息数据库中存储有用于网络安全审计的网络数据；基于所述数据提取规则从所述审计信息数据库中提取得到待处理数据，构建得到第一数据库，所述第一数据库中的数据以数据组的形式储存；通过预先构建的安全评估模型对所述第一数据库进行安全分析，得到安全分析结果，所述安全分析结果记录有多个模糊特征主体，建立模糊特征主体集合g；逐一用集合g中的元素遍历所述第一数据库，选择出每个模糊特征主体的关联数据，为所述第一数据库中对应的关联数据添加主体识别标签，遍历结束后得到第二数据库；遍历集合g，分别以集合g中的每一个模糊特征主体为聚类中心，基于所述第二数据库构建多个数据包，得到局部特征信息；根据所有数据包中的主体识别标签确定数据包之间的关联信息，得到全局特征信息；根据所述局部特征信息和全局特征信息构建目标数据库，通过审计设备对所述目标数据库进行网络安全审计。2.如权利要求1所述的一种网络安全审计管理方法，其特征在于，所述逐一用集合g中的元素遍历所述第一数据库，选择出每个模糊特征主体的关联数据，为所述第一数据库中对应的关联数据添加主体识别标签，包括：对于集合g，g＝{g(r)1,g(r)2,
…
,g(r)
n
}，其中，n表示集合g中元素的数量，对于集合g中的任意一个元素g(r)
i
，r表示元素的特征信息，i表示元素的项数；分别用集合g中的元素遍历所述第一数据库，对于任意一个元素g(r)
i
，根据该元素的特征信息从所述第一数据库中选择出与该元素对应的关联数据，确定该元素的主体识别标签，为选择出的关联数据添加主体识别标签。3.如权利要求2所述的一种网络安全审计管理方法，其特征在于，所述遍历集合g，分别以集合g中的每一个模糊特征主体为聚类中心，基于所述第二数据库构建多个数据包，包括：对于集合g中的任意一个元素g(r)
i
，对所述第二数据库进行标签识别，根据该元素的主体识别标签从所述第二数据库复制出带有该元素对应的主体识别标签的目标数据组，以该元素对应的模糊特征主体为聚类中心，将复制得到的目标数据组与其关联，构建得到数据包，其中，数据包中的目标数据组携带有对应的主体识别标签；遍历集合g后得到多个数据包，数据包的数量等于集合g中元素的数量。4.如权利要求3所述的一种网络安全审计管理方法，其特征在于，所述根据所有数据包中的主体识别标签确定数据包之间的关联信息包括：构建全局关联特征图谱，所述全局关联特征图谱记录有所有的数据包个体；以数据包个体对应的模糊特征主体确定该数据包个体的标识符，其中，数据包个体的标识符具体为该数据包个体对应的模糊特征主体所对应的主体识别标签；对于任意一个数据包个体，根据该数据包个体所携带的标识符将其与存在关联的其它数据包个体建立连接关系，统计与该数据包个体存在连接关系的数据包个体的数量，得到该数据包个体的第一关联参数；对于该数据包个体和任意一个与其建立好连接关系的数据包个体，统计两者同时包含
的目标数据组的数量，得到该数据包个体的第二关联参数；根据所述第一关联参数和所述第二关联参数计算该数据包个体的全局特征参量；用所述全局关联特征图谱和每个数据包个体的所述全局特征参量作为数据包之间的关联信息。5.如权利要求4所述的一种网络安全审计管理方法，其特征在于，根据所述第一关联参数和所述第二关联参数计算任意一个数据包个体的全局特征参量，包括：根据所述第一关联参数和所述第二关联参数计算得到任意一个数据包个体的全局特征参量的计算表示公式如下：式中，q表示全局特征参量，f1表示第一关联参数，f2表示第二关联参数，α、β分别为第一关联参数f1和第二关联参数f2的修正参数。6.如权利要求1所述的一种网络安全审计管理方法，其特征在于，所述获取审计信息数据库的参数信息，根据所述参数信息确定数据提取规则，包括：所述参数信息包括所述审计信息数据库的数据存储容量、数据存储量和数据传输速率，根据所述数据存储容量和所述数据传输速率对第一预设提取比例进行调整，得到第二预设提取比例，以所述第二预设提取比例作为所述审计信息数据库的数据提取比例，得到所述数据提取规则。7.一种网络安全审计管理系统，其特征在于，所述系统应用权利要求1-6任一项所述的一种网络安全审计管理方法，所述系统包括：数据获取模块，用于获取审计信息数据库的参数信息，根据所述参数信息确定数据提取规则，基于所述数据提取规则从所述审计信息数据库中提取得到待处理数据；第一构建模块，用于根据从所述审计信息数据库中提取得到的所述待处理数据构建得到第一数据库；第一数据分析模块，用于对所述第一数据库进行安全分析，得到安全分析结果，根据所述安全分析结果建立模糊特征主体集合g；第二数据分析模块，用于对所述模糊特征主体集合g和所述第一数据库进行局部特征分析和全局特征分析，得到局部特征信息和全局特征信息；第二构建模块，用于根据所述局部特征信息和全局特征信息构建目标数据库。8.如权利要求7所述的一种网络安全审计管理系统，其特征在于，对于第二数据分析模块，还包括：计算单元，用于计算全局特征参量；第二数据分析模块对所述模糊特征主体集合g和所述第一数据库进行全局特征分析，得到第一关联参数和第二关联参数，所述计算单元根据所述第一关联参数和所述第二关联参数计算得到所述全局特征参量。

技术总结
本发明提供一种网络安全审计管理方法及系统。一种网络安全审计管理方法，包括：提取得到待处理数据，构建得到第一数据库；对第一数据库进行分析，建立模糊特征主体集合G；用集合G遍历第一数据库，选择出关联数据，为关联数据添加主体识别标签得到第二数据库；遍历集合G，构建得到多个数据包，得到局部特征信息；确定数据包之间的关联信息，得到全局特征信息；根据局部特征信息和全局特征信息构建目标数据库。本发明通过对审计信息数据库中的信息进行预处理，减少数据量，对预处理后的数据进行分析，得到局部特征信息和全局特征信息，构建得到目标数据库，通过审计设备对目标数据库进行审计，提升审计速度，增强审计效果。增强审计效果。增强审计效果。


技术研发人员：张磊 金铮 施彦坤 朱旭晖
受保护的技术使用者：杭州西软计算机工程有限公司
技术研发日：2023.05.25
技术公布日：2023/8/14