[发明专利]一种基于大数据的网络安全状态监测系统及方法

权利要求书

1.一种基于大数据的网络安全状态监测方法，其特征在于，所述监测方法包括：

步骤S100：调取目标计算机设备的运行日志和设备维护记录，在所述运行日志和设备维护记录中，对所述目标计算机发生过的所有历史安全事件进行事件信息的采集；

步骤S200：在所述目标计算机设备发生过的所有历史安全事件中，进行相似事件分析，分别得到对应事件引发源为系统外部攻击的第一安全事件集和对应事件引发源为系统内部用户操作的第二安全事件集；将所述第一安全事件集内各第一安全事件基于攻击特征的相似度进行进一步划分，得到若干个第一相似事件集；将所述第二安全事件集内各第二安全事件基于用户操作缺陷的相似度进行进一步划分，得到若干个第二相似事件集；

所述步骤S200包括：

步骤S201：在目标计算机设备的历史运行日志和历史设备维护记录中，捕捉各历史安全事件的事件引发源；将所有历史安全事件基于事件引发源的不同进行划分，得到第一安全事件集和第二安全事件集；在所述第一安全事件集内各安全事件均由系统外部攻击造成；在所述第二安全事件集内各安全事件均由系统内部用户操作引起；

步骤S202：在目标计算机设备的历史运行日志和历史设备维护记录中，对所述第一安全事件集内各安全事件对应的系统外部攻击提取攻击特征，所述攻击特征包括攻击源、攻击行为、攻击路径；将所述第一安全事件集内各安全事件基于攻击特征进行进一步划分，得到若干个第一相似事件集；在每一个第一相似事件集内，两两第一安全事件之间的第一相似度大于相似度阈值；所述第一相似度是指攻击特征相似度；

步骤S203：在目标计算机设备的历史运行日志和历史设备维护记录中，对所述第二安全事件集内各历史安全事件捕捉缺陷操作；所述缺陷操作是指，在对应的所述各历史安全事件发生之前，引发计算机设备反馈风险提示的用户操作；分别将所述第二安全事件集内各历史安全事件对应的缺陷操作进行汇集，得到对应各历史安全事件的用户操作缺陷集；将所述第二安全事件集内各安全事件基于对应的用户操作缺陷集进行进一步划分，得到若干个第二相似事件集，在每一个第二相似事件集内，两两第二安全事件之间的第二相似度大于相似度阈值；所述第二相似度是指用户操作缺陷集相似度；

步骤S300：分别对各相似事件序列集筛选基准事件，基于所述基准事件对各相似事件序列集进行对应相似度信息的提取；

步骤S300包括：

步骤S301：分别将每个第一相似事件集和每个第二相似事件集内各安全事件按照事件发生的时间先后进行排序，对应得到若干个第一相似事件序列集和第二相似事件序列集；分别对每个所述第一相似事件序列集和第二相似事件序列集抓取第一个安全事件，分别将所述第一个安全事件作为各相似事件序列集的基准事件；

步骤S302：设第i个第一相似事件序列集A_i中的基准事件为设第j个第二相似事件序列集B_j中的基准事件为第i个第一相似事件序列集A_i为第j个第一相似事件序列集B_j为其中，分别表示在第i个第一相似事件序列集A_i中，位于基准事件之后的第1，…，第n个第一安全事件；分别表示在第j个第一相似事件序列集B_j中，位于基准事件之后的第1，…，第m个第二安全事件；

步骤S303：分别获取第i个第一相似事件序列集内每相邻两个第一安全事件之间的攻击特征相似度，得到对应第i个第一相似事件序列集的第一相似度集合其中，分别表示与与与之间的第一相似度；

步骤S304；分别获取第j个第二相似事件序列集内每相邻两个第二安全事件之间的第二相似度，得到对应第j个第二相似事件序列集的第二相似度集合其中，分别表示与与与之间的第二相似度；

步骤S400：对各相似事件序列集内各安全事件之间进行偏差信息的提取和整合；

所述步骤S400包括：

步骤S401：将与各历史安全事件对应的系统漏洞集内各系统漏洞分别与修复指令集内各修复指令之间一一进行组合对构建，得到由所有历史安全事件对应的所有系统漏洞和所有修复指令之间构建得到的所有组合对集；

步骤S402：分别获取第一相似事件序列集内，每相邻两个第一安全事件各自对应的系统漏洞集和修复指令集，计算得到所述每相邻两个第一安全事件之间的第一偏差漏洞集P₁，以及所述每相邻两个第一安全事件之间的第一偏差修复指令集G₁；分别获取第二相似事件序列集内，每相邻两个第二安全事件各自对应的系统漏洞集和修复指令集，计算得到所述每相邻两个第二安全事件之间的第一偏差漏洞集S₁，以及所述每相邻两个第一安全事件之间的第一偏差修复指令集R₁；

步骤S403：分别获取由P₁内各系统漏洞与G₁内各修复指令之间构建得到的组合对集{P₁G₁⁽¹⁾，P₁G₁⁽²⁾，…，P₁G₁^(c)}；其中，P₁G₁⁽¹⁾，P₁G₁⁽²⁾，…，P₁G₁^(c)分别表示由P₁内各系统漏洞与G₁内各修复指令之间构建得到的第一种、第二种、…、第v种组合对；分别对P₁G₁⁽¹⁾，P₁G₁⁽²⁾，…，P₁G₁^(c)累计在所述所有组合对集中出现的频数；设置频数阈值，将在小于频数阈值的组合对中出现的系统漏洞从P₁中剔除，得到第二偏差漏洞集P₂；将在小于频数阈值的组合对中出现的修复指令从G₁中剔除，得到第二偏差修复指令集G₂；

步骤S404：分别获取由S₁内各系统漏洞与R₁内各修复指令之间构建得到的组合对集{S₁R₁⁽¹⁾，S₁R₁⁽²⁾，…，S₁R₁^(z)}；其中，S₁R₁⁽¹⁾，S₁R₁⁽²⁾，…，S₁R₁^(z)分别表示由S₁内各系统漏洞与R₁内各修复指令之间构建得到的第一种、第二种、…、第v种组合对；分别对S₁R₁⁽¹⁾，S₁R₁⁽²⁾，…，S₁R₁^(z)累计在所述所有组合对集中出现的频数；设置频数阈值，将在小于频数阈值的组合对中出现的系统漏洞从S₁中剔除，得到第二偏差漏洞集S₂；将在小于频数阈值的组合对中出现的修复指令从R₁中剔除，得到第二偏差修复指令集R₂；

步骤S500：分别对各相似事件序列集计算事件特征偏离度；

步骤S600：设置事件特征偏离度阈值，将大于所述事件特征偏离度阈值的相似事件序列集进行信息提取，预警运维人员所述目标计算机设备存在网络安全状态异常现象，提醒所述运维人员对所述目标计算机设备进行计算机参数的设置调整或者对目标计算机设备进一步排查系统漏洞。