[发明专利]一种新型安全智慧平台的实现架构

说明书

技术领域

本发明涉及信息安全、人工智能技术领域，尤其涉及到构建智能、快速和高效的新型安全智慧平台的框架。

背景技术

本发明中包含的英文简称如下：

LOF：Local Outlier Factor 局部异常因子

SOC：Security Operation Center安全管理中心

ID：identifier 身份识别唯一编号

IDS：Intrusion Detection Systems入侵检测系统

SNMP：Simple Network Management Protocol简单网络管理协议

安全生产历来是保障各项工作有序开展的前提，也是考核各级领导干部的否决指标。企业IT网络及信息安全运维体系是各类工厂与企业安全生产工作的重要组成部分。保障企业IT系统和工业网络及信息系统高效稳定地运行，是工厂和企业一切市场经营活动和正常运作的基础。

当前，工厂和企业的IT网络与工业控制系统都不同程度地部署了各种不同的智能管理控制系统和安全设备，有效地提高了劳动生产率，降低了运营成本，已经成为工厂和企业高效运营的重要支撑和生产环节中不可缺少的一环。一方面，因为一旦工业网络及各控制系统出现安全事件或故障，如果不能及时发现、及时处理、及时恢复，这势必会影响工厂和企业的正常经营秩序，甚至导致工厂停产，影响到工厂和企业的生存，对于企业IT系统和工业网络的安全保障就显得格外重要；另一方面，由于各种网络攻击技术也变得越来越先进，越来越普及化，工厂和企业的工业网络系统面临着随时被攻击的危险，甚至经常遭受不同程度的入侵和破坏，严重干扰了企业办公系统和工厂工业网络的正常运行，严重干扰了企业运营和正常生产秩序；日益严峻的安全威胁迫使企业不得不加强对IT系统和工业网络的安全防护，不断追求多层次、立体化的安全防御体系，建设新型安全智慧平台，实时跟踪系统事件、实时检测和预测各种安全攻击、及时采取相应的控制动作，消除或缩减攻击所造成的损失或危害，尽一切可能来保护企业IT系统和工业网络的正常运营。

已部署的信息安全运维设备，例如：安全管理、SOC、网管、OMC等，通过采集诸如设备IDS、防火墙、IPS、堡垒机、4A等的日志，进行关联分析，然后发出告警。然而，这些安全运维设备的智能化程度不高，尤其是像IDS这样设备产生的大量告警中，有很大一部分是误报，但是使用已有的安全智能平台不能降低误报率。另一方面，已有的安全智能平台，关联规则不能自动化生成。

为此，如何利用信息化手段提高工厂和企业的运营效益，优化工厂和企业的IT和工业控制系统，使得它能够为各类工厂和企业提供专业的和高性价比的信息安全运维服务，即成为尤其是信息安全运维管理设计上必须要解决的一个重要课题。

发明内容

本发明提供了一种新型安全智慧平台的实现架构，能够自动生成告警关联规则，全智能化的安全日志分析，做到无人值守的安全运维。

本发明的一种新型安全智慧平台的实现架构，应用于能够为多个工厂和企业提供各种安全服务和运维监控服务的智能化的安全运维监控服务平台中。

所述安全服务包括配置管理/基线管理、安全风险评估、威胁检测、漏洞扫描、防病毒等。

所述运维监控服务包括配置管理、故障管理、性能管理、问题管理、变更管理等。

所述架构包括告警关联规则自动生成模块、告警在线关联模块、告警关联图优先级划分模块、告警上报和分发模块、工单派发模块。

所述告警关联规则自动生成模块，就是利用历史告警信息构建相关性模型，自动生成告警关联规则，由所述告警在线关联模块来使用和周期性地更新（或实时地更新）。该告警相关性模型由两个知识库所组成：（i）告警关联强度（ii）告警关联规则。告警关联强度即表示两个告警类型和的相关性程度。更具体地说，它表示类型的告警发生在告警之后的概率的大小。

所述告警在线关联模块，在告警之前的秒时间之内发生的告警为S=，对每一实时收到的告警进行相关性分析。为了确定和S里的告警是否相关，可以查询地所述告警关联规则自动生成模块里的两个知识库，获得告警类型的告警关联强度和告警关联规则。如果两个告警满足如下条件，则意味着相关:

（1）和两个告警类型的关联强度

（2）和两个告警类型的规则，和至少同时满足它们之中的一个规则。

每一个被分析的告警存储在内存数据库里。如果该告警与相关，则被添加到。因此，一条边被添加到告警关联图里，以此来描述相关性。