本發明專利技術公開了一種網絡信息安全分析系統,涉及信息安全技術領域,包括日志采集單元和情報采集單元,所述日志采集單元用于收集、存儲和管理網絡設備、操作系統、應用程序、安全設備和應用防火墻,生成的日志信息,以便通過對日志的分析和監控,幫助檢測潛在的安全漏洞、異常活動和攻擊行為,所述情報采集單元監測公開的威脅情報源,威脅情報源包括CVE數據庫和黑客論壇,獲取最新的威脅信息,威脅信息包括黑客組織的活動與新型威脅的特征和攻擊方式。本發明專利技術通過日志采集單元幫助檢測潛在的安全漏洞、異常活動、攻擊行為等,并提供故障診斷和審計跟蹤功能,通過情報采集單元提供實時的威脅情報和建議,幫助系統防范和應對可能的攻擊。幫助系統防范和應對可能的攻擊。幫助系統防范和應對可能的攻擊。
【技術實現步驟摘要】
一種網絡信息安全分析系統
[0001]本專利技術涉及信息安全
,具體為一種網絡信息安全分析系統。
技術介紹
[0002]網絡信息安全是指對計算機網絡系統、設備和數據的保護,以防止未經授權的訪問、使用、披露、破壞、篡改和竊取等威脅,它包括了一系列技術、策略和措施,旨在確保網絡及其所連接的設備和數據的機密性、完整性和可用性,網絡信息安全的主要目標是保護網絡系統與數據免受各種威脅和攻擊,例如黑客入侵、病毒和惡意軟件、網絡釣魚、數據泄露等;
[0003]但是現有的網絡信息安全缺乏分析系統,缺乏網絡信息安全分析系統可能意味著無法及時檢測和識別潛在的安全威脅,如惡意軟件、網絡攻擊和異常行為等,黑客或攻擊者可能有更多時間進行破壞或竊取數據,在沒有網絡信息安全分析系統的情況下,當安全事件發生時,很難快速做出反應并采取相應的措施進行處置,這可能導致安全事件擴大化,造成更嚴重的影響和損失。
技術實現思路
[0004]本專利技術的目的在于提供一種網絡信息安全分析系統,以解決上述
技術介紹
中提出的問題。
[0005]為實現上述目的,本專利技術提供如下技術方案:一種網絡信息安全分析系統,包括日志采集單元、情報采集單元、攻擊檢測單元、預警單元、事件響應單元、弱點掃描單元、安全分析單元、報告生成單元和數據存儲單元;
[0006]所述日志采集單元用于收集、存儲和管理網絡設備、操作系統、應用程序、安全設備和應用防火墻,生成的日志信息,以便通過對日志的分析和監控,幫助檢測潛在的安全漏洞、異常活動和攻擊行為,并將生成的日志信息傳輸至數據存儲單元;
[0007]所述情報采集單元監測公開的威脅情報源,威脅情報源包括CVE數據庫和黑客論壇,獲取最新的威脅信息,威脅信息包括黑客組織的活動與新型威脅的特征和攻擊方式,并將采集的情報傳輸至數據存儲單元;
[0008]所述數據存儲單元將日志采集單元發出的日志信息存儲到第一數據庫中,將情報采集單元采集的情報存儲到第二數據庫中,并將第一數據庫和第二數據庫中的數據根據攻擊檢測單元的調用條件傳輸至攻擊檢測單元。
[0009]優選的,所述攻擊檢測單元通過數據存儲單元發出的數據,通過將日志信息和情報采集進行對比,從而識別潛在的攻擊,并及時發出警報以通知管理員采取相應的應對措施,所述預警單元包括認證異常、網絡活動異常、惡意軟件活動、安全配置異常和威脅情報關聯分析異常的預警警報。
[0010]優選的,所述事件響應單元根據攻擊檢測單元識別的潛在攻擊,并根據識別的潛在攻擊,采用相應的事件響應,事件響應包括自動隔離感染設備、關閉受攻擊的服務、阻止
惡意流量和重置受損賬戶密碼,并將響應的事件信息傳輸至安全分析單元,所述弱點掃描單元用于主動掃描和評估系統中存在的漏洞和弱點,使用自動化掃描工具,對系統中的設備和應用程序進行定期掃描,發現可能存在的漏洞和弱點,結合第二數據庫的信息源,對掃描結果進行篩選、評估和整理,且將掃描的弱點信息傳輸至安全分析單元。
[0011]優選的,所述安全分析單元通過事件響應單元發出的響應的事件信息和弱點掃描單元發出的掃描的弱點信息,使用數據分析算法,對收集到的日志、網絡流量、事件數據等進行分析,發現潛在的威脅和異常行為,并將發現的潛在的威脅和異常行為信息傳輸至報告生成單元,所述報告生成單元建立可視化報告,將安全分析單元發出的潛在的威脅和異常行為信息,通過可視化報告進行顯示,幫助管理員理解和評估網絡安全狀況,數據分析算法具體為:
[0012][0013]其中,P表示攻擊概率,x表示表示數據序列,c表示預定值,y表示特征數據,ε表示權系數。
[0014]優選的,所述日志采集單元包括網絡設備日志采集模塊和操作系統日志采集模塊,所述網絡設備日志采集模塊采集防火墻的阻止的連接、訪問控制規則匹配和入侵檢測的日志,采集路由器和交換機的網絡設備運行狀態、鏈路狀態變化和路由更新的日志,采集VPN的用戶連接和認證信息、隧道建立和關閉事件的日志,所述操作系統日志采集模塊采集身份驗證的記錄用戶登錄、注銷、會話開始和結束事件的日志,采集安全審計的文件和目錄訪問和系統權限變更的日志,采集系統的系統啟動、關機、錯誤和警告信息的日志。
[0015]優選的,所述日志采集單元還包括應用程序日志采集模塊、安全設備日志采集模塊和防火墻日志采集模塊,所述應用程序日志采集模塊采集Web服務器的訪問日志、請求響應時間和異常報告的日志,采集數據庫的數據庫啟停、SQL查詢和事務處理的日志,所述安全設備日志采集模塊采集入侵檢測和防病毒設備日志,包括記錄檢測到的惡意文件、病毒活動和攻擊事件,所述防火墻日志采集模塊采集應用層訪問控制、惡意請求攔截和漏洞掃描日志。
[0016]優選的,所述情報采集單元包括威脅情報采集模塊和黑客論壇采集模塊,所述威脅情報采集模塊通過連接MITREATT&CK開放的威脅情報平臺的接口,獲取關于惡意行為、攻擊模式和威脅漏洞的信息,所述黑客論壇采集模塊通過黑客論壇、安全博客和安全研究團隊提供最新威脅的信息。
[0017]優選的,所述認證異常預警模塊、網絡活動異常預警模塊、惡意軟件異常預警模塊、安全配置異常預警模塊和威脅情報關聯模塊,所述認證異常預警模塊當某個用戶在短時間內多次失敗登錄嘗試超過設定閾值時觸發警報,當用戶登錄位置與其常用地點不匹配時觸發警報,所述網絡活動異常預警模塊當網絡設備的入站或出站流量超過正常范圍或異常增加時觸發警報,當有大量未經授權的端口掃描活動時觸發警報,所述惡意軟件異常預警模塊當有被殺毒軟件或安全設備標記為惡意的文件傳輸或創建時觸發警報,所述安全配置異常預警模塊當安全策略配置文件或訪問控制規則發生不明確的更改時觸發警報,所述威脅情報關聯模塊當某個設備與已知的惡意IP或域名進行通信時觸發警報,并且當系統上出現與已知的攻擊工具相關的活動時觸發警報。
[0018]與現有技術相比,本專利技術的有益效果是:
[0019]本專利技術通過日志采集單元幫助檢測潛在的安全漏洞、異常活動、攻擊行為等,并提供故障診斷和審計跟蹤功能,通過情報采集單元提供實時的威脅情報和建議,幫助系統防范和應對可能的攻擊,通過攻擊檢測單元能夠檢測異常的網絡流量、協議違規、惡意軟件等來識別潛在的攻擊,通過預警單元發出警報以通知管理員采取相應的應對措施,通過事件響應單元隔離受感染的設備、關閉受攻擊的服務和重置受損的賬戶,以最小化被攻擊造成的損失,通過弱點掃描單元識別潛在的漏洞,從而減少系統遭受攻擊的風險,通過安全分析單元對收集到的數據進行分析和整理,從而可以幫助管理員獲取和理解網絡安全狀況,識別潛在的風險和漏洞。
附圖說明
[0020]圖1為本專利技術實施例提供整體系統流程圖;
[0021]圖2為本專利技術實施例提供的日志采集單元的內部模塊框圖;
[0022]圖3為本專利技術實施例提供的情報采集單元的內部模塊框圖;
[0023]圖4為本專利技術實施例提供的預警單元的內部模塊框圖。
[0024]圖中:1、日志采集單元;101、網絡設備本文檔來自技高網...
【技術保護點】
【技術特征摘要】
1.一種網絡信息安全分析系統,其特征在于包括日志采集單元(1)、情報采集單元(2)、攻擊檢測單元(3)、預警單元(4)、事件響應單元(5)、弱點掃描單元(6)、安全分析單元(7)、報告生成單元(8)和數據存儲單元(9);所述日志采集單元(1)用于收集、存儲和管理網絡設備、操作系統、應用程序、安全設備和應用防火墻,生成的日志信息,以便通過對日志的分析和監控,幫助檢測潛在的安全漏洞、異常活動和攻擊行為,并將生成的日志信息傳輸至數據存儲單元(9);所述情報采集單元(2)監測公開的威脅情報源,威脅情報源包括CVE數據庫和黑客論壇,獲取最新的威脅信息,威脅信息包括黑客組織的活動與新型威脅的特征和攻擊方式,并將采集的情報傳輸至數據存儲單元(9);所述數據存儲單元(9)將日志采集單元(1)發出的日志信息存儲到第一數據庫中,將情報采集單元(2)采集的情報存儲到第二數據庫中,并將第一數據庫和第二數據庫中的數據根據攻擊檢測單元(3)的調用條件傳輸至攻擊檢測單元(3)。2.根據權利要求2所述的一種網絡信息安全分析系統,其特征在于:所述攻擊檢測單元(3)通過數據存儲單元(9)發出的數據,通過將日志信息和情報采集進行對比,從而識別潛在的攻擊,并及時發出警報以通知管理員采取相應的應對措施,所述預警單元(4)包括認證異常、網絡活動異常、惡意軟件活動、安全配置異常和威脅情報關聯分析異常的預警警報。3.根據權利要求3所述的一種網絡信息安全分析系統,其特征在于:所述事件響應單元(5)根據攻擊檢測單元(3)識別的潛在攻擊,并根據識別的潛在攻擊,采用相應的事件響應,事件響應包括自動隔離感染設備、關閉受攻擊的服務、阻止惡意流量和重置受損賬戶密碼,并將響應的事件信息傳輸至安全分析單元(7),所述弱點掃描單元(6)用于主動掃描和評估系統中存在的漏洞和弱點,使用自動化掃描工具,對系統中的設備和應用程序進行定期掃描,發現可能存在的漏洞和弱點,結合第二數據庫的信息源,對掃描結果進行篩選、評估和整理,且將掃描的弱點信息傳輸至安全分析單元(7)。4.根據權利要求4所述的一種網絡信息安全分析系統,其特征在于:所述安全分析單元(7)通過事件響應單元(5)發出的響應的事件信息和弱點掃描單元(6)發出的掃描的弱點信息,使用數據分析算法,對收集到的日志、網絡流量、事件數據等進行分析,發現潛在的威脅和異常行為,并將發現的潛在的威脅和異常行為信息傳輸至報告生成單元(8),所述報告生成單元(8)建立可視化報告,將安全分析單元(7)發出的潛在的威脅和異常行為信息,通過可視化報告進行顯示,幫助管理員理解和評估網絡安全狀況。5.根據權利要求1所述的一種網絡信息安全分析系統,其特征...
【專利技術屬性】
技術研發人員:羅富財,李佳男,許廷發,
申請(專利權)人:羅富財,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。