[发明专利]一种面向多维立体网络的安全事件预警方法

说明书

本发明公开了一种面向多维立体网络的安全事件预警方法，根据网络安全自身的特点，结合国家网络安全现状和未来发展趋势，通过对网络系统内发生安全事件进行分析，利用基于网络安全态势感知的预警系统相关技术，建立多维立体安全事件联合预警机制，满足常规性、应急性、专项性安全事件和网络安全态势的预警通报业务需求。基于网络安全态势感知的预警系统相关技术利用来分析态势和理解态势，能够在最短的时间内发现和预警，便于准备应急和处置方案。

技术领域

本发明涉及安全预警技术领域，具体涉及一种面向多维立体网络的安全事件预警方法。

背景技术

随着互联网及网络技术的发展，互联网的规模和应用领域不断壮大，其基础性和全局性的地位逐渐增强，同时网络攻击和破坏行为也日益普遍，且逐渐呈现出组织严密化、行为趋利化和目标直接化等特点。网络安全问题层出不穷，网络入侵、网络攻击等非法活动威胁了我国的信息安全，网络攻击的目标是能源、电力、金融等重要基础设施，最终造成基础设施破坏和产生不良社会影响，计算机病毒、网络入侵与攻击等各种安全事件给网络带来的威胁和危害越来越大，迫切需要建立和完善安全事件预警体系，提高整体的网络安全保障水平。

然而，当前网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备，由于彼此间缺乏有效的协作，使得各类安全产品的效能无法得到充分地发挥。网络系统的安全问题没有从根本上得以解决，且已成为影响Internet及其各类应用发展的主要问题。网络安全态势感知作为对已发现的安全事件的感知和防御技术手段，重点在反映当前网络安全态势，更重要的是能够对网络中潜在的攻击做出预测，从而对潜在攻击做出主动防御，因此构建一套足以及时、可靠、有效应对网络攻击的安全事件预警体系十分必要，并通过这个指标体系对网络系统内发生安全事件的实时监控与分析、评估、预警，可以及时发现正在发生的安全相关活动和事件，分析这些活动的危害程度和严重级别等，并分析对安全事件的有效控制措施，可以全面实时掌握网络系统内的安全状况。

目前用于安全事件预警的现有技术包括有网络安全态势感知技术。现有的安全态势感知技术或系统都是通过监控和识别受保护网络上的入侵企图和入侵行为实现的，安全系统采集的安全日志信息是主要的数据源，以安全事件为研究对象，结合监测网络系统内的资源状况以及软硬件存在的脆弱性，从系统被攻击的次数、频率和威胁程度等等情况来着手来评估威胁攻击给该网络造成的危害程度，通过统计分析和关联分析技术，并综合各评价向量对网络安全态势进行评估。现有技术依托于系统配置信息和系统运行信息，为网络安全态势提供了一种客观的安全态势评测方法。

然而，现有的安全事件预警技术具有滞后性，因网络入侵行为逐渐趋于复杂化和间接化，尤其是当网络过于复杂，数据量迅猛发展的当前，评估效率显得尤为低下，无法胜任安全预警的任务和目标：

1)传统网络安全态势感知存在数据片段化和态势感知片面化的问题，难以全面完整评估安全事件在全国范围内造成的危害和损失，特别缺少安全事件对社会及其公众利益造成的社会影响。

2)现有安全态势感知缺乏对将来可能发生的网络威胁攻击的预测，缺乏安全事件预测的有效手段，预警技术的核心问题之一是攻击预测以及攻击的危害程度，目的是对由攻击方或授权代理引起的网络攻击推断出未来的定量结果。

发明内容

针对现有技术的不足，本发明旨在提供一种面向多维立体网络的安全事件预警方法，提升网络空间安全监测与预警一体化的多系统协同能力。

为了实现上述目的，本发明采用如下技术方案：

一种面向多维立体网络的安全事件预警方法，具体过程为：

S1、配置用于预警分析的相关数据库，所述相关数据库包括关联规则库、指数模型库和全网模型库；

所述关联规则库中配置有：安全专家总结得到的安全事件与漏洞的关联规则、安全事件与资产的关联规则、安全事件与安全事件的关联规则，根据关联规则库中的关联规则能够对安全数据进行基于规则的关联分析和数据挖掘；