一种基于人工智能网络安全事件快速响应系统的制作方法

1.本发明涉及网络安全技术领域，尤其是指一种基于人工智能网络安全事件快速响应系统。


背景技术：

2.近年来由于逐步加强网络安全建设，在电网内网部署了web应用防护系统，漏洞扫描系统，态势感知平台，ips，终端准入系统，日志审计系统，防病毒系统，防火墙及其他安全应用系统。但这些系统或应用存在安全漏洞时，需通过人工对平台进行实时监控，发现后下载相关漏洞信息并制作督查整改单，通过内网oa系统下发/反馈通知，再人工复测闭环，导致督查整改流程困难、工作效率较低，因此需要设计一套合适的漏洞整改自动化作业流程管控系统帮助安全分析人员进行漏洞预警、督查整改。


技术实现要素：

3.本发明的目的是克服现有技术中的缺点，提供一种基于人工智能网络安全事件快速响应系统。
4.本发明的目的是通过下述技术方案予以实现：一种基于人工智能网络安全事件快速响应系统，包括数据采集模块，用于采集数据，数据为异构数据；数据融合模块，通过找出数据的相关性对数据采集模块的异构数据进行多维度数据融合；数据安全分析模块，用于对融合后的异构数据进行分析，融合后的异构数据与数据分析模块内的标准数据库进行比对、验证，找出异常数据；数据展示模块，用于对融合后的异构数据进行展示。
5.作为优选，所述的找出数据的相关性的方式包括属性融合、关系拓展和群体聚类。
6.作为优选，所述的异构数据融合的方法为首先确定异构数据的种类，种类包括结构化数据、半结构化数据和非结构化数据，对于结构化数据，根据结构化关系模型，将结构化数据进行融合；对于半结构化数据，找出结构特征，根据结构特征对数据进行融合；对于非结构化数据，不进行融合。
7.作为优选，所述的数据安全分析模块还对异构数据的变化趋势进行预测，数据安全分析模块包括通过模糊朴素贝叶斯的fcm算法构造的复合模型，通过复合模型对于融合后的结构化数据的趋势进行预测，若预测的结果超过设定的阈值范围，则判断异构数据存在风险，并提醒相关人员，若预测的结果在设定的阈值范围内则继续保持监控。
8.作为优选，基于人工智能网络安全事件快速响应系统还包括策略处置模块，策略处置模块内设有可编排的自动化响应策略，对于异常的异构数据或存在风险的异构数据，策略处置模块寻找是否有与之对应的自动化响应策略，若有，执行自动化响应策略；若没有，则提醒相关人员，相关人员对自动化响应策略进行编排更新，使自动化响应策略及时对
异常的异构数据或存在风险的异构数据进行处置。
9.作为优选，所述的标准数据库包括poc验证代码库、高危ip地址库和高危域名地址库。
10.作为优选，所述的数据分析模块包括web应用防护系统，漏洞扫描系统，态势感知平台，ips，终端准入系统，日志审计系统，防病毒系统和防火墙，对于不同的异构数据，找出相匹配的具体的数据分析模块进行分析。
11.作为优选，基于人工智能网络安全事件快速响应系统还包括数据存储模块，数据存储模块用于存储异构数据，同时对于异常数据及其后续的处理日志进行存储记录。
12.作为优选，数据展示模块为以react架构作为可视化平台。
13.本发明的有益效果是：本发明通过对系统的安全日志、数据进行采集、融合并进行分析，构成一套完整、清晰的安全情况实时展现系统，从网络安全运行态势、安全态势、安全隐患、终端安全及作业流程、报表自动化来赋能安全生产、安全管理，站在公司网络安全全局信息的基础上，多维度的展现可清晰看到公司网络安全现状，更好的防范网络安全威胁，管控网络安全隐患，实现网络与信息安全的全天候全方位感知和“统一监测、统一预警、统一指挥”，提供有助于领导决策的信息安全全面的针对性支撑分析、决策依据。
附图说明
14.图1是本发明的一种原理框图。
15.图2是本发明的一种具体功能模块图。
16.其中：1、数据采集模块，2、数据融合模块，3、数据安全分析模块，4、数据展示模块，5、数据存储模块。
具体实施方式
17.下面结合附图和实施例对本发明进一步描述。
18.实施例：一种基于人工智能网络安全事件快速响应系统，如图1所示，包括数据采集模块，用于采集数据，数据为异构数据；数据融合模块，通过找出数据的相关性对数据采集模块的异构数据进行多维度数据融合；数据安全分析模块，用于对融合后的异构数据进行分析，融合后的异构数据与数据分析模块内的标准数据库进行比对、验证，找出异常数据；数据展示模块，用于对融合后的异构数据进行展示。
19.数据展示模块为以react架构作为可视化平台。为了能够直观、快捷的将系统面临的安全威胁展示出来，本平台通过web形式展示，主要采用react，javascript，css，j2ee、nodejs，angularjs，highcharts等技术实现。通过大屏幕细致化呈现全网安全状况，帮助运维人员实时掌握整体安全态势，辅助安全决策；提供专业实用的安全报告与运营绩效评价，直观量化安全工作价值。
20.所述的找出数据的相关性的方式包括属性融合、关系拓展和群体聚类。
21.所述的异构数据融合的方法为首先确定异构数据的种类，种类包括结构化数据、
半结构化数据和非结构化数据，对于结构化数据，根据结构化关系模型，将结构化数据进行融合；对于半结构化数据，找出结构特征，根据结构特征对数据进行融合；对于非结构化数据，不进行融合。
22.所述的数据安全分析模块还对异构数据的变化趋势进行预测，数据安全分析模块包括通过模糊朴素贝叶斯的fcm算法构造的复合模型，通过复合模型对于融合后的结构化数据的趋势进行预测，若预测的结果超过设定的阈值范围，则判断异构数据存在风险，并提醒相关人员，若预测的结果在设定的阈值范围内则继续保持监控。
23.基于人工智能网络安全事件快速响应系统还包括策略处置模块，策略处置模块内设有可编排的自动化响应策略，对于异常的异构数据或存在风险的异构数据，策略处置模块寻找是否有与之对应的自动化响应策略，若有，执行自动化响应策略；若没有，则提醒相关人员，相关人员对自动化响应策略进行编排更新，使自动化响应策略及时对异常的异构数据或存在风险的异构数据进行处置。
24.本系统中内置的自动化响应策略具体如下：github敏感信息泄露内部或外部检测到某个github页面包含企业敏感信息，规则触发自动化完成相应应急处置流程，并产出事件日志。
25.web攻击事件响应waf上出现攻击拦截事件，规则触发自动化完成相应应急处置流程，并产出事件日志。
26.主机异常登录场景安全告警发现主机异常登录事件，规则触发自动化完成相应应急处置流程，并产出事件日志。
27.病毒告警事件防病毒软件告警发现病毒，规则触发自动化完成相应应急处置流程，并产出事件日志。
28.webshell检测告警waf或agent监控发现webshell，规则触发自动化完成相应应急处置流程，并产出事件日志。
29.dns异常日志dns请求日志发现异常，规则触发自动化完成相应应急处置流程，并产出事件日志。
30.主机漏洞告警收到服务器主机漏洞告警后威胁情报信息，规则触发自动化完成相应应急处置流程，并产出事件日志。
31.第三方漏洞预警响应漏扫等设备通知某第三方组件存在安全漏洞，规则触发自动化完成相应应急处置流程，并产出事件日志。
32.项目上线之源代码安全扫描公司内部项目系统通知x项目进入安全测试环节，规则触发自动化完成相应应急处置流程，并产出事件日志。
33.敏感信息泄露检查某敏感文档泄露，需要安全团队调查哪些人接触过，规则触发自动化完成相应应急处置流程，并产出事件日志。
34.重大安全事件告警发生重要安全事件，需要一键通告。如ddos、光纤挖断、p0事故等，规则触发自动化完成相应应急处置流程，并产出事件日志。
35.局域网arp攻击交换机告警或网络客户端检测到arp告警，规则触发自动化完成相应应急处置流程，并产出事件日志。
36.内部系统异常访问内部系统api或url被恶意访问，规则触发自动化完成相应应急处置流程，并产出事件日志。
37.安全客户端掉线服务器或终端上的安全客户端掉线，无响应，规则触发自动化完成相应应急处置流程，并产出事件日志sql注入攻击核实。
38.waf或其它安全产品检测到sql注入，规则触发自动化完成相应应急处置流程，并产出事件日志防火墙设备异常。
39.防火墙设备资源使用率较高或其它故障，规则触发自动化完成相应应急处置流程，并产出事件日志交换机故障。
40.交换机设备出现故障或安全问题，规则触发自动化完成相应应急处置流程，并产出事件日志一键隔离主机。
41.紧急安全事件响应——一键隔离，规则触发自动化完成相应应急处置流程，并产出事件日志。
42.所述的标准数据库包括poc验证代码库、高危ip地址库和高危域名地址库。
43.poc验证代码库：包含了3000 poc验证脚本，涵盖当前主流网络信息系统和数据库，以及虚拟化设备、移动设备、网络设备、安全设备等多种设备类型。
44.高危ip地址库：共计收纳高危ip地址390万个，包含了国内外56个尖端机构所发布的历史高危ip地址信息。
45.高危域名地址库：共计收纳高危域名地址142万个，包含了国内外56个尖端机构所发布的历史高危域名地址信息。
46.所述的数据分析模块包括web应用防护系统，漏洞扫描系统，态势感知平台，ips，终端准入系统，日志审计系统，防病毒系统和防火墙，对于不同的异构数据，找出相匹配的具体的数据分析模块进行分析。
47.基于人工智能网络安全事件快速响应系统还包括数据存储模块，数据存储模块用于存储异构数据，同时对于异常数据及其后续的处理日志进行存储记录。
48.在本实施例中，如图2所示，系统包括：
资产中心：资产统计、全公司设备总量、全公司年攻击总量、全公司告警设备总量。
49.监控中心：安全态势、本月攻击等级比例、本月安全态势分析、本月攻击统计、攻击趋势、本月内网病毒情况、本月内网终端版本情况、本月全市漏洞数量。
50.告警中心：昨日病毒趋势分析、本月内网病毒top10、综合事件处置进展、内网出入口实时流量。
51.作业中心：安全事件统计、安全能力调度。
52.场景中心：站在公司网络安全全局信息的基础上，多维度的展现可清晰看到公司网络安全现状，更好的防范网络安全威胁，管控网络安全隐患。
53.可视化大屏：对系统数据进行可视化展示。
54.系统设置：包含系统的用户管理和模块化管理。
55.接入资源：系统对接的平台、系统、资源、数据的集约化管理。
56.任务管理：目前在行安全任务的集约化管理。
57.基础数据：存储业务方所提供的网络安全相关的基础化数据。
58.日志中心：系统运维日志的管理中心。
59.台账中心：系统运行产生的数据台账管理。
60.风险中心：系统风险管控的管理平台。
61.本系统的安装部署包括以下4个阶段：1.前期准备(1)办公场所做好办公环境的准备工作，包括：内网电脑、内网u盘、内网邮箱、内线电话；内网邮箱、电话方便与各地市单位人员传递资料，内网u盘用于系统环境搭建、发布程序包时拷贝文件。
62.(2)网络环境测试内网办公电脑是否能操作相应服务器，如不能及时联系信通开通对应权限。
63.(3)组建团队完成实施团队组建，确立项目实施组织结构和职责分工。
64.(4)协调资源1)协调研发厂商提供测试验证后的网省项目部署包。
65.2)协调研发厂商提供实施人员现场测试方案。
66.3)协调研发厂商提供测试用demo。
67.2.数据收集及处理(1)分析平台部署、数据、存储、应用现状、收集有记录的本地化差异信息。
68.(2)准备并搭建数据验证环境；(3)转入系统测试环境数据；(4)构建标准数据库；(5)平台的初始化数据导入；(6)从标准数据的完整性、差异化数据的合法性，代码的一致性等方面对验证数据与源数据进行比对、验证；(7)组织对数据验证结果进行确认、整改；
(8)记录业务验证结果，用于支撑制定数据转换。平台试运行切换策略。
69.3.软硬件环境准(1)收集现场服务器信息提供开发确认硬件是否符合部署要求；(2)收集现场服务器weblogic、oracle、jdk等软件版本提供开发确认软件是否符合部署要求。
70.4.应用安装部署(1)数据库测试环境已具备的情况下，开展测试库数据库初始化的工作。本部分工作主要包括初始化测试库数据、调试测试数据库数据、验证测试库数据三部分。此环节在实施过程中尤为重要，实施时需特别注意，如果过程中出现问题或者疑问，需及时与营销系统营配调一体化适应性调整项目开发厂商及时联系沟通，保证实施的顺利进行。
71.(2)测试数据库初始化任务完成后，即可开展接口/前置测试环境部署工作。主要包括：新建系统用户、检查linux系统版本、检查程序配置参数、安装部署所需jdk软件、部署前置程序、部署接口程序几个部分。
72.(3)测试数据库初始化任务完成后，即可开展应用测试环境搭建。搭建工作主要包括：检查软硬件资源、配置操作系统相关参数、检查weblogic软件、搭建程序所需的weblogic集群等4个部分。
73.在本技术所提供的实施例中，应该理解到，所描述的结构和方法，可以通过其它的方式实现。例如，以上所描述的关于结构的实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个结构，或一些特征可以忽略，或不执行。
74.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
75.另外，在本技术实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
76.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
77.以上所述的实施例只是本发明的一种较佳的方案，并非对本发明作任何形式上的限制，在不超出权利要求所记载的技术方案的前提下还有其它的变体及改型。