2. 专利
    3. 一种应用于云平台的网络安全设备管理系统的制作方法

    一种应用于云平台的网络安全设备管理系统的制作方法

    专利2022-07-07  142

    本发明涉及网络安全
    技术领域
    ,尤其涉及一种应用于云平台的网络安全设备管理系统。
    背景技术
    :目前云平台相关管理部门采用了众多网络管理工具对云平台进行监控与管理。对于目前实施保护的重要信息系统均借助多种类多厂商安全设备,这些设备与被保护对象共同构成多源异构高并发数据环境。在网络监测的应用场景里,网络安全管理工具会直接或者间接地借助各类网络安全设备,通过综合各方面采集得到的日志信息,管理员能够充分理解网络安全态势。目前,网络安全监管存在一定的问题。其中,最关键的是如何理解采集的日志信息集合。针对不同厂商的不同设备,如何通过原始运行日志信息来实现服务器的风险判断。技术实现要素:本发明所要解决的技术问题在于,提出一种应用于云平台的网络安全设备管理系统,以便于管理网络中实时发生的事件状态。为了解决上述技术问题,本发明提供一种应用于云平台的网络安全设备管理系统,包括网络安全设备以及服务器,所述网络安全设备用于监控流入/流出服务器的流量数据,还包括:接口转换模块,用于连接不同的网络安全设备,并采集不同的网络安全设备的原始运行日志;告警单元,用于对不同的网络安全设备的原始运行日志进行联立分析,从而得到服务器的网络安全风险情况,并执行相应的报警策略;资产风险分析模块,用于根据网络安全风险情况,判断服务器受影响后所造成的资产安全风险情况。进一步地,所述接口转换模块包括应用接口层、管理服务器以及设备连接层;应用接口层,用于供用户访问管理服务器,进而实现对网络安全设备的配制设置以及网络安全设备的原始运行日志的上传;设备连接层,用于连接多种不同的网络安全设备,并将多种不同的网络安全设备的数据格式转换为统一的xml格式;管理服务器,用于通过所述设备连接层采集不同网络安全设备的原始运行日志,并存储至管理服务器所对应的存储器中。进一步地,所述网络安全设备包括防火墙设备、防病毒设备、漏洞扫描设备的一种或多种。进一步地,所述告警单元包括:收集模块,用于对同一类型的网络安全设备进行原始运行日志的收集并进行归一化处理,生成不同类别的原始运行数据集合,所述不同类别的原始运行数据集合包括:防火墙运行数据集合、防病毒运行数据集合、漏洞扫描运行数据集合;风险评估模块,内设简单事件关联、事件序列关联规则,通过所述简单事件关联、事件序列关联规则将防火墙运行数据集合、防病毒运行数据集合、漏洞扫描运行数据集合组合成防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合,并分别判断防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中存在的异常安全事件。安全事件评估模块,内设第一评判规则,根据第一评判规则,判断异常安全事件的风险等级,并对风险等级大于阈值的安全事件,发出告警信息;所述告警策略获取模块,用于接收所述告警信息,并从告警数据库中获取相应的告警策略;告警执行模块,用于根据所述告警策略,执行告警策略。进一步地,所述资产风险分析模块包括:资产威胁评估模块,内设第二评判规则,根据第二评判规则以及异常安全事件的风险等级,判断服务器的受威胁程度;资产重要程度评估模块,内设第三评判规则,根据第三评判规则判断服务器的重要程度;资产风险计算模块,根据服务器的受威胁程度以及服务器的重要程度,计算资产的风险值。进一步地,所述第一评判规则包括:通过专家打分法来判断异常安全事件对服务器的影响程度,通过影响程度的不同来确定安全事件的级别;同时对不同安全事件的级别进行赋值,得到第一赋值结果。进一步地,所述第二评判规则包括:分别计算防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中的异常安全事件的发生次数;通过专家打分法针对防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中的异常安全事件的不同发生次数进行分别赋值,得到第二赋值结果。进一步地,所述第三评判规则包括:通过专家打分法来判断服务器对整体网络的重要程度;同时针对不同重要程度的级别进行赋值,得到第三赋值结果。本发明实施例的有益效果在于:通过识别网络环境中各类设备产生的日志,用事件详细分类解释网络状况,针对所有事件集合,明确地给出了事件的详细分类情况,便于管理人员理解网络中实时发生的事件状态,对网络中各类事态有通用的衡量标准;对纳入事件体系的事态有进一步量化的基础;事件体系的动态性能弥补安全监管过程中被管理员忽视的重要安全事实;具体详细的事件分类易于完成信息的识别。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明提供的一种应用于云平台的网络安全设备管理系统的模块整体示意图。图2为本发明提供的一种应用于云平台的网络安全设备管理系统的告警单元示意图。具体实施方式以下各实施例的说明是参考附图,用以示例本发明可以用以实施的特定实施例。请参见图1至图2,本发明公开了一种应用于云平台的网络安全设备管理系统,包括网络安全设备以及服务器,所述网络安全设备用于监控流入/流出服务器的流量数据,还包括:接口转换模块,用于连接不同的网络安全设备,并采集不同的网络安全设备的原始运行日志;告警单元,用于对不同的网络安全设备的原始运行日志进行联立分析,从而得到服务器的网络安全风险情况,并执行相应的报警策略;资产风险分析模块,并根据网络安全风险情况,判断服务器受影响后所造成的资产安全风险情况。在本发明的优选实施例中,可选的,所述接口转换模块包括应用接口层、管理服务器以及设备连接层;应用接口层,用户通过应用接口层来访问管理服务器,进而实现对网络安全设备的配制设置以及网络安全设备的原始运行日志的上传;设备连接层,用于连接多种不同的网络安全设备,并将多种不同的网络安全设备的数据格式转换为统一的xml格式;管理服务器,用于通过所述设备连接层采集不同网络安全设备的原始运行日志,并存储至管理服务器所对应的存储器中。优选的,所述网络安全设备包括防火墙设备、防病毒设备、漏洞扫描设备的一种或多种。优选的,所述告警单元包括:收集模块,用于对同一类型的网络安全设备进行原始运行日志的收集并进行归一化处理,生成不同类别的原始运行数据集合,所述不同类别的原始运行数据集合包括:防火墙运行数据集合、防病毒运行数据集合、漏洞扫描运行数据集合;风险评估模块,内设简单事件关联、事件序列关联规则,通过所述简单事件关联、事件序列关联规则将防火墙运行数据集合、防病毒运行数据集合、漏洞扫描运行数据集合组合成防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合,并分别判断防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中存在的异常安全事件需要说明的是,简单事件关联是根据原始日志信息之间的与、或、非等关系将多条日志组合成新的事件;事件序列关联是把日志触发的先后顺序作为组合成新事件的规则,操作人员根据安全需求不同,可以自由对相应的操作关联规则进行设置。安全事件评估模块,内设第一评判规则,根据第一评判规则,判断异常安全事件的风险等级,并对风险等级大于阈值的安全事件,发出告警信息;需要说明的是,所述第一评判规则包括:通过专家打分法来判断异常安全事件对服务器的影响程度,通过影响程度的不同来确定安全事件的级别;同时对不同安全事件的级别进行赋值,得到第一赋值结果,其具体如表1所示:表1赋值异常安全事件的级别5极高4高3中2低1微需要说明的是,对异常安全事件的级别在中级以上的,发出告警信息。所述告警策略获取模块,用于接收所述告警信息,并从告警数据库中获取相应的告警策略;告警执行模块,用于根据所述告警策略,执行告警策略。优选的,所述资产风险分析模块包括:资产威胁评估模块,内设第二评判规则,根据第二评判规则以及异常安全事件的风险等级,判断服务器的受威胁程度;需要说明的是,所述第二评判规则包括:分别计算防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中的异常安全事件的发生次数;通过专家打分法针对防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中的异常安全事件的不同发生次数进行分别赋值,得到第二赋值结果。以防火墙运行事件集合中的异常安全事件发生次数来举例,具体赋值情况如表2所示:表2资产重要程度评估模块,内设第三评判规则,根据第三评判规则判断服务器的重要程度;需要说明的是,所述第三评判规则包括:通过专家打分法来判断服务器对整体网络的重要程度;同时针对不同重要程度的级别进行赋值,得到第三赋值结果,其具体如表3所示:表3赋值对整体网络影响情况5对整体网络至关重要影响巨大4对整体网络影响大3对整体网络影响不大2对整体网络影响较小1对整体网络影响可以忽略资产风险计算模块,根据服务器的受威胁程度以及服务器的重要程度,计算资产的风险值。需要说明的是,其具体计算方式为:首先通过下式计算分别计算防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中服务器的异常安全事件的攻击级别:服务器资产风险级别=整体攻击级别×服务器对网络影响结果当防火墙运行事件集合中,异常安全事件出现次数为170次,最严重的级别为高级;防病毒运行事件集合中,异常安全事件出现次数为120次,最严重的级别为极高;漏洞扫描运行事件集合中,异常安全事件出现次数为90次,最严重级别为极高;并且已知该服务器崩溃后对网络的影响较大;资产风险值的结果介于1到30之间,资产风险值的评判结果具体如表4所示:表4资产风险值结果范围极高【25,30】高【19,24】中【13,18】低【7,12】微【1,6】通过以上计算结果,可判断服务器的资产风险级别为中级,在后期改进中,可重点针对该服务器的安全设置进行修正。通过上述说明可知,本发明实施例的有益效果在于:通过识别网络环境中各类设备产生的日志,用事件详细分类解释网络状况,针对所有事件集合,明确地给出了事件的详细分类情况,便于管理人员理解网络中实时发生的事件状态,对网络中各类事态有通用的衡量标准;对纳入事件体系的事态有进一步量化的基础;事件体系的动态性能弥补安全监管过程中被管理员忽视的重要安全事实;具体详细的事件分类易于完成信息的识别。以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。当前第1页1 2 3 
    技术特征:

    1.一种应用于云平台的网络安全设备管理系统,包括网络安全设备以及服务器,所述网络安全设备用于监控流入/流出服务器的流量数据,其特征在于,还包括:

    接口转换模块,用于连接不同的网络安全设备,并采集不同的网络安全设备的原始运行日志;

    告警单元,用于对不同的网络安全设备的原始运行日志进行联立分析,从而得到服务器的网络安全风险情况,并执行相应的报警策略;

    资产风险分析模块,用于根据网络安全风险情况,判断服务器受影响后所造成的资产安全风险情况。

    2.根据权利要求1所述的应用于云平台的网络安全设备管理系统,其特征在于,所述接口转换模块包括应用接口层、管理服务器以及设备连接层;

    应用接口层,用于供用户访问管理服务器,进而实现对网络安全设备的配制设置以及网络安全设备的原始运行日志的上传;

    设备连接层,用于连接多种不同的网络安全设备,并将多种不同的网络安全设备的数据格式转换为统一的xml格式;

    管理服务器,用于通过所述设备连接层采集不同网络安全设备的原始运行日志,并存储至管理服务器所对应的存储器中。

    3.根据权利要求1所述的应用于云平台的网络安全设备管理系统,其特征在于,所述网络安全设备包括防火墙设备、防病毒设备、漏洞扫描设备的一种或多种。

    4.根据权利要求3所述的应用于云平台的网络安全设备管理系统,其特征在于,所述告警单元包括:

    收集模块,用于对同一类型的网络安全设备进行原始运行日志的收集并进行归一化处理,生成不同类别的原始运行数据集合,所述不同类别的原始运行数据集合包括:防火墙运行数据集合、防病毒运行数据集合、漏洞扫描运行数据集合;

    风险评估模块,内设简单事件关联、事件序列关联规则,通过所述简单事件关联、事件序列关联规则将防火墙运行数据集合、防病毒运行数据集合、漏洞扫描运行数据集合组合成防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合,并分别判断防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中存在的异常安全事件。

    安全事件评估模块,内设第一评判规则,根据第一评判规则,判断异常安全事件的风险等级,并对风险等级大于阈值的安全事件,发出告警信息;

    所述告警策略获取模块,用于接收所述告警信息,并从告警数据库中获取相应的告警策略;

    告警执行模块,用于根据所述告警策略,执行告警策略。

    5.根据权利要求4所述的应用于云平台的网络安全设备管理系统,其特征在于,所述资产风险分析模块包括:

    资产威胁评估模块,内设第二评判规则,根据第二评判规则以及异常安全事件的风险等级,判断服务器的受威胁程度;

    资产重要程度评估模块,内设第三评判规则,根据第三评判规则判断服务器的重要程度;

    资产风险计算模块,根据服务器的受威胁程度以及服务器的重要程度,计算资产的风险值。

    6.根据权利要求4所述的应用于云平台的网络安全设备管理系统,其特征在于,所述第一评判规则包括:通过专家打分法来判断异常安全事件对服务器的影响程度,通过影响程度的不同来确定安全事件的级别;

    同时对不同安全事件的级别进行赋值,得到第一赋值结果。

    7.根据权利要求5所述的应用于云平台的网络安全设备管理系统,其特征在于,所述第二评判规则包括:分别计算防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中的异常安全事件的发生次数;

    通过专家打分法针对防火墙运行事件集合、防病毒运行事件集合、漏洞扫描运行事件集合中的异常安全事件的不同发生次数进行分别赋值,得到第二赋值结果。

    8.根据权利要求5所述的应用于云平台的网络安全设备管理系统,其特征在于,所述第三评判规则包括:通过专家打分法来判断服务器对整体网络的重要程度;

    同时针对不同重要程度的级别进行赋值,得到第三赋值结果。

    技术总结
    本发明公开一种应用于云平台的网络安全设备管理系统,包括网络安全设备以及服务器,网络安全设备用于监控流入/流出服务器的流量数据,还包括:接口转换模块,用于连接不同的网络安全设备,并采集不同的网络安全设备的原始运行日志;告警单元,用于对不同的网络安全设备的原始运行日志进行联立分析,从而得到服务器的网络安全风险情况,并执行相应的报警策略;资产风险分析模块,用于根据网络安全风险情况,判断服务器受影响后所造成的资产安全风险情况。本发明实施例的有益效果在于:通过识别网络环境中各类设备产生的日志,用事件详细分类解释网络状况,便于管理人员理解网络中实时发生的事件状态,对网络中各类事态有通用的衡量标准。

    技术研发人员:刘昕林;刘威;罗伟峰
    受保护的技术使用者:深圳供电局有限公司
    技术研发日:2020.11.04
    技术公布日:2021.03.12

    转载请注明原文地址:https://wp.8miu.com/read-8064.html

    专利

    最新回复(0)