基于态势感知的网络安全监控系统的制作方法

1.本发明涉及系统安全数据处理技术领域，尤其涉及一种基于态势感知的网络安全监控系统。


背景技术：

2.态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式。
3.近几年来，随着各行各业的信息化水平的要求不断提高、信息化建设工作的深入开展、各种行业性的核心业务系统陆续上线运行，信息技术在支撑各业务运转、改造传统产业经营管理模式、推动企业管理创新等方面扮演着越来越重要的角色，同时，信息系统的技术复杂度、业务关联性和数据安全性难度也不断提升，对信息系统的安全和稳定可靠的要求也越来越高。现有技术中，在对系统进行数据安全监控时，通常根据但种类数据进行安全监控，导致系统安全监控效率低。


技术实现要素：

4.为此，本发明提供一种基于态势感知的网络安全监控系统，用以克服现有技术中由于无法结合多种类数据进行精确分析导致的系统安全监控效率低的问题。
5.为实现上述目的，本发明提供一种基于态势感知的网络安全监控系统，包括，数据采集模块，用以实时采集系统安全数据，所述系统安全数据包括节点数据、网络数据和应用数据；数据存储模块，用以存储实时采集的系统安全数据，其与所述数据采集模块连接；数据分析模块，用以对所述系统安全数据进行数据分析，并生成数据分析结果，其与所述数据存储模块连接，所述数据分析模块还用以建立坐标系，并绘制节点数据、网络数据和应用数据在预设周期内的数据量变化曲线，所述数据分析模块还用以根据系统总运行时间ta确定建立坐标系时的周期长度，所述数据分析模块还用以根据各数据量变化曲线的斜率k计算实时采集数据的数据安全系数a，并根据数据安全系数a计算系统安全系数n；安全判定模块，用以根据所述数据分析结果对系统进行安全性判定，其与所述数据分析模块连接，所述安全判定模块还用以根据所述系统安全系数n进行安全性判定，并确定存在安全风险时的风险等级；安全预警模块，用以根据安全性判定结果进行不同程度安全预警，其与所述安全判定模块连接。
6.进一步地，所述数据分析模块在进行数据分析时，所述数据分析模块获取历史系统安全数据，并以运行时间为x轴，数据量为y轴，周期起点为坐标原点建立平面直角坐标系，周期长度包括数据采集前一周和数据采集前一天，所述数据分析模块根据历史积累数据量在直角坐标系中分别绘制出节点数据、网络数据和应用数据在周期内的数据量变化曲线。
7.进一步地，所述数据分析模块在设置周期长度时，将系统总运行时间ta与预设运行时间ta0进行比对，并根据比对结果进行设置，其中，当ta≤ta0时，所述数据分析模块将周期长度设为tb1；当ta＞ta0时，所述数据分析模块将周期长度设为tb2；其中，tb1为第一预设周期长度，tb2为第二预设周期长度，tb1＜tb2。
8.进一步地，所述数据分析模块在确定各数据量变化曲线后，根据数据量变化曲线计算数据安全系数a，所述数据分析模块获取数据量变化曲线内的拐点数量b，并根据拐点数量b采取不同方式计算实时采集数据的数据安全系数a，其中，当b=0时，所述数据分析模块获取数据量变化曲线的斜率k，并根据斜率k计算实时采集数据的数据安全系数a，设定a=（c-ca）/tbi/k，i=1,2，式中，c为实时采集的数据量，ca为周期起点时的数据量，tbi为周期长度；当0＜b时，所述数据分析模块获取数据量变化曲线中时间最近的拐点后的曲线斜率ka，并根据斜率ka计算实时采集数据的数据安全系数a，设定a=（c-cb）/（tbi-tc）/ka，式中，cb为最近拐点处的数据量，tc为最近拐点处的运行时间。
9.进一步地，所述数据分析模块在对各类数据的数据安全系数计算完成后，所述数据分析模块还设有系统安全系数n，设定n=g1
×
|a1-1| g2
×
|a2-1| g3
×
|a3-1|，其中，a1为节点数据的数据安全系数，a2为网络数据的数据安全系数，a3为应用数据的数据安全系数，g1为第一比例系数，g2为第二比例系数，g3为第三比例系数，g1 g2 g3=1。
10.进一步地，所述数据分析模块在确定各比例系数的大小关系时，将|a1-1|、|a2-1|和|a3-1|按照大小顺序进行排列，并将该大小顺序作为与其相乘的比例系数的大小顺序，其中，当|a1-1|＞|a2-1|＞|a3-1|时，g1＞g2＞g3；当|a1-1|=|a2-1|=|a3-1|时，g1=g2=g3；当|a1-1|＞|a2-1|=|a3-1|时，g1＞g2=g3。
11.进一步地，所述安全判定模块将系统安全系数n与预设系统安全系数n0进行比对，并根据比对结果进行安全性判定，其中，当n≤n0时，所述安全判定模块判定系统数据无风险；当n0＜n时，所述安全判定模块判定系统数据存在安全风险，并根据系统安全系数计算公式中风险因子数量确定风险等级。
12.进一步地，所述安全判定模块在确定风险因子时，所述安全判定模块将系统安全系数n的计算因子gi
×
|ai-1|与1/3
×
n0进行比对，设定i=1,2,3，若gi
×
|ai-1|＞1/3
×
n0，所述安全判定模块将该计算因子作为风险因子。
13.进一步地，所述安全判定模块在判定系统数据的风险等级时，获取系统安全系数计算公式中风险因子数量l，并根据风险因子数量l进行风险等级判定，其中，当l=1时，所述安全判定模块判定系统数据存在低等级风险；当l=2时，所述安全判定模块判定系统数据存在中等级风险；当l=3时，所述安全判定模块判定系统数据存在高等级风险。
14.进一步地，所述安全预警模块根据所述安全判定模块的风险等级判定结果进行相应的预警，其中，
当判定系统数据存在低等级风险时，所述安全预警模块提示系统安全数据内一类数据存在缺失或病毒风险；当判定系统数据存在中等级风险时，所述安全预警模块提示系统安全数据内两类数据存在缺失或病毒风险；当判定系统数据存在高等级风险时，所述安全预警模块提示系统安全数据内各类数据均存在缺失或病毒风险。
15.与现有技术相比，本发明的有益效果在于，所述数据分析模块通过建立坐标系，并在坐标系中绘制各类数据量变化曲线，可有效反映各类数据数据量的变化，从而便于根据历史数据进行安全性分析，以提高系统安全性，所述数据分析模块在设置坐标系的原点时，以周期起点为坐标原点，那么数据量变化曲线在x轴的水平长度则为周期长度，因此通过设置周期长度可有效控制数据量变化曲线的精度，从而提高数据分析精确度，以提高系统安全性，所述数据分析模块在设置周期长度时，通过将系统总运行时间ta与预设值进行比对进行设置，以使周期长度总运行时间ta的增加而增大，以提高数据分析精确度，同时通过周期长度可限制数据量变化曲线的长度，以保证曲线内的数据量均为近期数据，以进一步提高数据分析精确度。
16.尤其，所述数据分析模块在根据各数据量变化曲线计算各类数据的数据安全系数时，根据数据量变化曲线中是否存在拐点以采取不同方式进行计算，以保证计算数据安全系数的精确度，以提高对系统安全性判定的准确度，从而提高对系统的数据安全监控效率，当数据量变化曲线中不存在拐点时，直接根据数据量变化曲线的斜率计算数据安全系数，若数据量变化曲线中存在拐点，则以数据量变化曲线中距采集数据时最近的一段曲线作为参考曲线，即以时间最近的拐点后的曲线为参考曲线，并根据该段参考曲线的斜率计算数据安全系数，以提高数据安全系数的精确度。
17.尤其，所述数据分析模块在根据各类数据的数据安全系数计算系统安全系数n时，还设有比例系数gi，通过设置比例系数以保证系统安全系数n计算的精确度，使系统安全系数随各类数据的数据安全系数变化，且通过设置各比例系数gi间的大小关系，可进一步提高计算系统安全系数n的精确度，从而提高对系统的数据安全监控效率。
18.尤其，所述安全判定模块在对系统进行安全性判定时，通过将系统安全系数n与预设值进行比对以确定是否存在风险，若系统安全系数n在预设值以内，则证明实时采集的各类型数据满足要求，系统无风险，若系统安全系数n大于预设值，则证明各类型数据中存在风险数据，所述安全判定模块进一步确定风险等级，以提高预警的精确度，从而提高对系统的数据安全监控效率。
19.尤其，所述安全判定模块通过进行风险因子判定，并根据风险因子数量进行风险等级判定，可有效保证风险等级判定结果的准确度，风险因子数量代表存在风险的数据类型的数量，通过精确风险等级判定进一步提高对系统的数据安全监控效率。
20.尤其，所述安全预警模块通过根据安全判定结果进行预警，可有效提高预警的精确度，从而进一步提高对系统的数据安全监控效率。
附图说明
21.图1为本实施例基于态势感知的网络安全监控系统的结构示意图。
具体实施方式
22.为了使本发明的目的和优点更加清楚明白，下面结合实施例对本发明作进一步描述；应当理解，此处所描述的具体实施例仅仅用于解释本发明，并不用于限定本发明。
23.下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是，这些实施方式仅仅用于解释本发明的技术原理，并非在限制本发明的保护范围。
24.此外，还需要说明的是，在本发明的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域技术人员而言，可根据具体情况理解上述术语在本发明中的具体含义。
25.请参阅图1所示，其为本实施例基于态势感知的网络安全监控系统的结构示意图，所述网络安全监控系统包括，数据采集模块，用以实时采集系统安全数据，所述系统安全数据包括节点数据、网络数据和应用数据；数据存储模块，用以存储实时采集的系统安全数据，其与所述数据采集模块连接，数据存储模块存储系统安全数据的数据量及其采集的时间节点；数据分析模块，用以对所述系统安全数据进行数据分析，并生成数据分析结果，其与所述数据存储模块连接；安全判定模块，用以根据所述数据分析结果对系统进行安全性判定，其与所述数据分析模块连接；安全预警模块，用以根据安全性判定结果进行不同程度安全预警，其与所述安全判定模块连接。
26.具体而言，本实施例所述网络安全监控系统可应用于工业控制网络的安全监控，还可应用于普通计算机网络的安全监控，通过对系统安全数据进行分析判断以进行风险预警，从而提高系统安全性。
27.具体而言，所述数据分析模块在进行数据分析时，所述数据分析模块获取历史系统安全数据，并以运行时间为x轴，数据量为y轴，周期起点为坐标原点建立平面直角坐标系，定义周期起点为数据分析周期的起点，周期长度可以为一周或一天等，且为数据采集前一周或一天，所述数据分析模块根据历史积累数据量在直角坐标系中分别绘制出节点数据、网络数据和应用数据在周期内的数据量变化曲线。
28.具体而言，所述数据分析模块在设置周期长度时，将系统总运行时间ta与预设运行时间ta0进行比对，并根据比对结果进行设置，其中，当ta≤ta0时，所述数据分析模块将周期长度设为tb1；当ta＞ta0时，所述数据分析模块将周期长度设为tb2；其中，tb1为第一预设周期长度，tb2为第二预设周期长度，tb1＜tb2。
29.具体而言，本实施例中所述数据分析模块通过建立坐标系，并在坐标系中绘制各类数据量变化曲线，可有效反映各类数据数据量的变化，从而便于根据历史数据进行安全性分析，以提高系统安全性，所述数据分析模块在设置坐标系的原点时，以周期起点为坐标原点，那么数据量变化曲线在x轴的水平长度则为周期长度，因此通过设置周期长度可有效
控制数据量变化曲线的精度，从而提高数据分析精确度，以提高系统安全性，所述数据分析模块在设置周期长度时，通过将系统总运行时间ta与预设值进行比对进行设置，以使周期长度总运行时间ta的增加而增大，以提高数据分析精确度，同时通过周期长度可限制数据量变化曲线的长度，以保证曲线内的数据量均为近期数据，以进一步提高数据分析精确度。可以理解的是，本实施例未对坐标系中x轴的时间单位做具体限制，本领域技术人员需以系统总运行时间确定周期长度，再根据周期长度确定时间单位，系统总运行时间越长周期越长时间单位越大，时间单位包括天、小时和分钟等，以保证数据量变化曲线的精确度。
30.具体而言，所述数据分析模块在确定各数据量变化曲线后，根据数据量变化曲线计算数据安全系数a，所述数据分析模块获取数据量变化曲线内的拐点数量b，并根据拐点数量b采取不同方式计算实时采集数据的数据安全系数a，其中，当b=0时，所述数据分析模块获取数据量变化曲线的斜率k，并根据斜率k计算实时采集数据的数据安全系数a，设定a=（c-ca）/tbi/k，i=1,2，式中，c为实时采集的数据量，ca为周期起点时的数据量，tbi为周期长度；当0＜b时，所述数据分析模块获取数据量变化曲线中时间最近的拐点后的曲线斜率ka，并根据斜率ka计算实时采集数据的数据安全系数a，设定a=（c-cb）/（tbi-tc）/ka，式中，cb为最近拐点处的数据量，tc为最近拐点处的运行时间。
31.具体而言，本实施例中所述数据分析模块在根据各数据量变化曲线计算各类数据的数据安全系数时，根据数据量变化曲线中是否存在拐点以采取不同方式进行计算，以保证计算数据安全系数的精确度，以提高对系统安全性判定的准确度，从而提高对系统的数据安全监控效率，当数据量变化曲线中不存在拐点时，直接根据数据量变化曲线的斜率计算数据安全系数，若数据量变化曲线中存在拐点，则以数据量变化曲线中距采集数据时最近的一段曲线作为参考曲线，即以时间最近的拐点后的曲线为参考曲线，并根据该段参考曲线的斜率计算数据安全系数，以提高数据安全系数的精确度。可以理解的是，本实施例中实时采集的数据量为该类型数据的累计数据量，因此标准的数据量变化曲线应为正比例函数曲线，所述数据分析模块在计算曲线斜率时，以该曲线两端点坐标即可计算出曲线斜率，通过曲线斜率计算数据安全系数，可有效提高安全分析的精确度，从而提高对系统的数据安全监控效率。
32.具体而言，所述数据分析模块在对各类数据的数据安全系数计算完成后，所述数据分析模块还设有系统安全系数n，设定n=g1
×
|a1-1| g2
×
|a2-1| g3
×
|a3-1|，其中，a1为节点数据的数据安全系数，a2为网络数据的数据安全系数，a3为应用数据的数据安全系数，g1为第一比例系数，g2为第二比例系数，g3为第三比例系数，g1 g2 g3=1，如g1=0.4，g2=0.3，g3=0.3等。
33.具体而言，所述数据分析模块在确定各比例系数的大小关系时，将|a1-1|、|a2-1|和|a3-1|按照大小顺序进行排列，并将该大小顺序作为与其相乘的比例系数的大小顺序，其中，当|a1-1|＞|a2-1|＞|a3-1|时，g1＞g2＞g3；当|a1-1|=|a2-1|=|a3-1|时，g1=g2=g3；当|a1-1|＞|a2-1|=|a3-1|时，g1＞g2=g3。
34.具体而言，本实施例中所述数据分析模块在根据各类数据的数据安全系数计算系
统安全系数n时，还设有比例系数gi，通过设置比例系数以保证系统安全系数n计算的精确度，使系统安全系数随各类数据的数据安全系数变化，且通过设置各比例系数gi间的大小关系，可进一步提高计算系统安全系数n的精确度，从而提高对系统的数据安全监控效率。可以理解的是，本实施例未对各比例系数gi的取值做具体限定，尽管限定了大小关系，在设置具体取值时，本领域技术人员可随机设置，只需满足三个比例系数之和为1即可，以保证系统安全系数n计算的精确度。
35.具体而言，所述安全判定模块将系统安全系数n与预设系统安全系数n0进行比对，并根据比对结果进行安全性判定，其中，当n≤n0时，所述安全判定模块判定系统数据无风险；当n0＜n时，所述安全判定模块判定系统数据存在安全风险，并根据系统安全系数计算公式中风险因子数量确定风险等级。
36.具体而言，本实施例中所述安全判定模块在对系统进行安全性判定时，通过将系统安全系数n与预设值进行比对以确定是否存在风险，若系统安全系数n在预设值以内，则证明实时采集的各类型数据满足要求，系统无风险，若系统安全系数n大于预设值，则证明各类型数据中存在风险数据，所述安全判定模块进一步确定风险等级，以提高预警的精确度，从而提高对系统的数据安全监控效率。
37.具体而言，所述安全判定模块在确定风险因子时，所述安全判定模块将系统安全系数n的计算因子gi
×
|ai-1|与1/3
×
n0进行比对，设定i=1,2,3，若gi
×
|ai-1|＞1/3
×
n0，所述安全判定模块将该计算因子作为风险因子。
38.具体而言，所述安全判定模块在判定系统数据的风险等级时，获取系统安全系数计算公式中风险因子数量l，并根据风险因子数量l进行风险等级判定，其中，当l=1时，所述安全判定模块判定系统数据存在低等级风险；当l=2时，所述安全判定模块判定系统数据存在中等级风险；当l=3时，所述安全判定模块判定系统数据存在高等级风险。
39.具体而言，本实施例中通过进行风险因子判定，并根据风险因子数量进行风险等级判定，可有效保证风险等级判定结果的准确度，风险因子数量代表存在风险的数据类型的数量，通过精确风险等级判定进一步提高对系统的数据安全监控效率。
40.具体而言，所述安全预警模块根据所述安全判定模块的风险等级判定结果进行相应的预警，其中，当判定系统数据存在低等级风险时，所述安全预警模块提示系统安全数据内一类数据存在缺失或病毒风险；当判定系统数据存在中等级风险时，所述安全预警模块提示系统安全数据内两类数据存在缺失或病毒风险；当判定系统数据存在高等级风险时，所述安全预警模块提示系统安全数据内各类数据均存在缺失或病毒风险。
41.具体而言，本实施例所述安全预警模块通过根据安全判定结果进行预警，可有效提高预警的精确度，从而进一步提高对系统的数据安全监控效率。
42.至此，已经结合附图所示的优选实施方式描述了本发明的技术方案，但是，本领域技术人员容易理解的是，本发明的保护范围显然不局限于这些具体实施方式。在不偏离本
发明的原理的前提下，本领域技术人员可以对相关技术特征做出等同的更改或替换，这些更改或替换之后的技术方案都将落入本发明的保护范围之内。