【技術實現步驟摘要】
本專利技術涉及安全設備數據處理,尤其涉及一種面向多源異構安全設備的聯動處置方法及系統。
技術介紹
1、電力企業在實際應用中采用了很多網絡安全產品,包括防火墻、入侵檢測系統、病毒防護系統、漏洞掃描系統等,以保障電力網絡環境的安全性。然而,各安全產品仍然停留在“單兵作戰”的局面,無法滿足現電力企業網絡安全事件頻發、安全威脅日益突出的現狀。
2、目前還無法實現網絡安全設備獨立、靜態、單一的防護,也無法滿足網絡安全管理的自動化和動態性要求,實現網絡的整體安全,無法從全局的角度解決系統中存在的安全問題,對系統進行完整的安全防護,最大限度的降低安全風險。因此,如何在面臨網絡安全事件時使得多源異構安全設備有效的進行聯動處置是目前亟待解決的技術問題。
技術實現思路
1、鑒于上述現有存在的問題,提出了本專利技術。
2、因此,本專利技術提供了一種面向多源異構安全設備的聯動處置方法及系統解決目前難以實現網絡安全設備獨立、靜態、單一的防護,數據傳輸難以聯動,無法從全局的角度解決系統中存在的安全問題。
3、為解決上述技術問題,本專利技術提供如下技術方案:
4、第一方面,本專利技術提供了一種面向多源異構安全設備的聯動處置方法,包括:獲取異構安全設備的安全數據,預處理后得到的第一安全數據;
5、通過關聯規則算法對第一安全數據進行處理,獲取潛在威脅事件;
6、基于設定的閾值對所述潛在威脅事件進行判斷,若判斷為觸發策略規則,則從策略知識庫中檢索
7、基于處置策略下發相應的指令,聯動相應設備查詢。
8、作為本專利技術所述的面向多源異構安全設備的聯動處置方法的一種優選方案,其中:所述預處理包括對數據進行過濾,具體包括:
9、輸入所述安全數據,提取數據屬性信息;
10、基于優先級和關鍵字段的過濾規則對所述屬性信息進行過濾;
11、若屬性信息與過濾規則匹配成功,則刪除對應的屬性信息;
12、若屬性信息與過濾規則匹配失敗,則保存安全數據,以用于規范化得到第一安全數據。
13、作為本專利技術所述的面向多源異構安全設備的聯動處置方法的一種優選方案,其中:通過關聯規則算法對第一安全數據進行處理,獲取潛在威脅事件,包括:
14、通過改進的apriori算法遍歷第一安全數據事務項子集,并迭代生成安全數據事務候選項集;
15、針對每個安全數據事務候選項集,將滿足最小支持度閾值的事務候選項集作為安全數據事務頻繁項集;
16、對于每個安全數據事務頻繁項集,生成其所有可能的非空子集,作為關聯規則的前項;
17、對于每個關聯規則的前項,依據規則參數的最小閾值設定篩選出滿足要求的關聯規則并輸出;
18、根據關聯規則確定潛在威脅事件。
19、作為本專利技術所述的面向多源異構安全設備的聯動處置方法的一種優選方案,其中:對所述潛在威脅事件進行判斷,具體包括:
20、劃分潛在威脅事件等級,不同等級事件對應關聯規則參數的不同閾值區間;
21、若對應關聯規則參數值超出設定閾值,相應的等級事件則觸發對應的策略規則。
22、作為本專利技術所述的面向多源異構安全設備的聯動處置方法的一種優選方案,其中:若對應關聯規則參數未超出設定閾值,則將相應的等級事件轉入人工判斷項目。
23、作為本專利技術所述的面向多源異構安全設備的聯動處置方法的一種優選方案,其中:所述獲取異構安全設備的安全數據通過預設的數據接入接口進行,所述數據接入接口包括:數據字段、數據上報過程中安全設備與聯動處置系統間數據傳輸加密方式以及認證方式。
24、第二方面,本專利技術提供了一種面向多源異構安全設備的聯動處置系統,包括:獲取模塊,用于獲取異構安全設備的安全數據,預處理后得到的第一安全數據;
25、處理模塊,用于通過關聯規則算法對第一安全數據進行處理,獲取潛在威脅事件;
26、判斷模塊,用于基于設定的閾值對所述潛在威脅事件進行判斷,若判斷為觸發策略規則,則從策略知識庫中檢索相應處置策略;
27、聯動模塊,用于基于處置策略下發相應的指令,聯動相應設備查詢。
28、作為本專利技術所述的面向多源異構安全設備的聯動處置系統的一種優選方案,其中:所述判斷模塊包括:
29、劃分模塊,用于劃分潛在威脅事件等級,不同等級事件對應關聯規則參數的不同閾值區間;
30、第一判斷模塊,用于對應關聯規則參數值超出設定閾值,相應的等級事件則觸發對應的策略規則;
31、第二判斷模塊,用于若對應關聯規則參數未超出設定閾值,則將相應的等級事件轉入人工判斷項目。
32、第三方面,本專利技術提供了一種計算設備,包括:
33、存儲器和處理器;
34、所述存儲器用于存儲計算機可執行指令,所述處理器用于執行所述計算機可執行指令,該計算機可執行指令被處理器執行時實現面向多源異構安全設備的聯動處置方法的步驟。
35、第四方面,本專利技術提供了一種計算機可讀存儲介質,其存儲有計算機可執行指令,該計算機可執行指令被處理器執行時實現所述面向多源異構安全設備的聯動處置方法的步驟。
36、與現有技術相比,本專利技術的有益效果:本專利技術通過提出面向多源異構安全設備的聯動處置方法,能夠將防火墻與入侵檢測系統等不同設備的多源異構安全設備告警日志等安全數據聯合起來利用關聯規則算法挖掘出關聯規則,根據挖掘出的關聯規則獲取潛在威脅事件,有效、準確、實時地自動生成聯動處置策略,最終實現多源異構安全設備的聯動處置,減少人力物力資源浪費。
本文檔來自技高網...【技術保護點】
1.一種面向多源異構安全設備的聯動處置方法,其特征在于,包括:
2.如權利要求1所述的面向多源異構安全設備的聯動處置方法,其特征在于,所述預處理包括對數據進行過濾,具體包括:
3.如權利要求2所述的面向多源異構安全設備的聯動處置方法,其特征在于,通過關聯規則算法對第一安全數據進行處理,獲取潛在威脅事件,包括:
4.如權利要求3所述的面向多源異構安全設備的聯動處置方法,其特征在于,對所述潛在威脅事件進行判斷,具體包括:
5.如權利要求4所述的面向多源異構安全設備的聯動處置方法,其特征在于,若對應關聯規則參數未超出設定閾值,則將相應的等級事件轉入人工判斷項目。
6.如權利要求1或5所述的面向多源異構安全設備的聯動處置方法,其特征在于,所述獲取異構安全設備的安全數據通過預設的數據接入接口進行,所述數據接入接口包括:數據字段、數據上報過程中安全設備與聯動處置系統間數據傳輸加密方式以及認證方式。
7.一種應用如權利要求1-6任一所述的面向多源異構安全設備的聯動處置方法的系統,其特征在于,包括:
8.如權利要
9.一種電子設備,包括:
10.一種計算機可讀存儲介質,其存儲有計算機可執行指令,該計算機可執行指令被處理器執行時實現權利要求1至6任意一項所述面向多源異構安全設備的聯動處置方法的步驟。
...【技術特征摘要】
1.一種面向多源異構安全設備的聯動處置方法,其特征在于,包括:
2.如權利要求1所述的面向多源異構安全設備的聯動處置方法,其特征在于,所述預處理包括對數據進行過濾,具體包括:
3.如權利要求2所述的面向多源異構安全設備的聯動處置方法,其特征在于,通過關聯規則算法對第一安全數據進行處理,獲取潛在威脅事件,包括:
4.如權利要求3所述的面向多源異構安全設備的聯動處置方法,其特征在于,對所述潛在威脅事件進行判斷,具體包括:
5.如權利要求4所述的面向多源異構安全設備的聯動處置方法,其特征在于,若對應關聯規則參數未超出設定閾值,則將相應的等級事件轉入人工判斷項目。
6.如權利要求1或...
【專利技術屬性】
技術研發人員:孫煒,胡游君,林永峰,劉劍,李潔,林冰潔,俞皓,王旭東,張付存,洪昊,沈偉,曹永健,張光欣,張國強,張麒,王清華,崔潔,王建寬,董鵬,石偉,吳超,王洪帥,魯國亮,馬騰鵬,馬增洲,潘易辰,王志勇,
申請(專利權)人:國網天津市電力公司電力科學研究院,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。