1.本发明涉及网络安全监测技术领域,具体涉及一种网络安全运维热力图的生成方法。
背景技术:2.网络安全运维事项是以信息资产为基础的活动,网络运营单位配备了专业的网络安全运维人员,进行日常评估检查、异常监测、事件处置等网络安全运维活动,用来保证业务系统的正常运行。但随着网络安全数据的爆炸式增长,异构的数据源和持续增长的数据量给分析人员带来了繁重的认知负担,对于多级管理层级架构的上级和总部单位进行运维活动管理人员的人员,面临各种各样、数据庞杂的运维活动,很难进行有效的分析和管理。
3.除了日常的网络安全运维活动,在一些专项行动或重大活动期间,以及存在突发的网络安全事件,频繁的网络安全运维事项需要管理人员进行重点关注。如能利用网络安全运维热力图,借助可视化的方法直观的展示网络安全运维事项的总体态势,方便网络安全管理人员快速掌握整体情况,网络安全管理人员便能够从大量的事件、或者运维报告中发现深层次问题。如何对海量的网络安全运维事项进行自动分类和热度计算,将杂乱、抽象的网络安全事项转化成数字并进行汇总,实现可视化展示,是网络安全管理人员普遍面临的难题。
技术实现要素:4.为了解决上述网络安全管理人员面临的技术问题,本发明提供了一种网络安全运维热力图的生成方法,自动实现对繁杂网络安全运维事项进行分类,用图形化的方式对网络安全运维热点事项进行集中展示,为网络安全管理人员提供决策提供参考。
5.为达到上述目的,本发明采用如下技术方案:
6.一种网络安全运维热力图的生成方法,包括以下步骤:
7.(1)从网络安全设备获取安全事项,这类事项通过定义接口规范实现自动提取;运维人员及相关方进行的运维工作,这类事项通过手动录入,将自动获取事项和手动录入事项合并后得到网络安全运维事项集;
8.(2)按照朴素贝叶斯分类法进行分类前,给出网络安全运维事项热度分类,检查阶段的热度类别共三个:资产管理类、检查评估类和预警通报类,运行监测阶段两个:态势感知及安全监测设备发出的异常报警类和安全警告类,运维处置阶段四个:安全加固类、攻击阻断类、溯源分析类和应急恢复类,运维事项热度分类集c=(y1,y2…
y9);
9.选择网络安全运维事项的特征属性,选出a1:运维阶段,a2:发起方,a3:执行方,a4:影响资产范围,共4个作为特征属性;
10.给出属性划分,a1:运维阶段{a=检查,a=监测,a=处置},a2:发起方{a=本单位,a=上级单位,a=行业主管单位},a3:执行方{a=本单位,a=外委单位},a4:影响资产范围:{a《=5,5《a《50,a》=50};
11.在网络安全运维事项集中选择10%作为训练样本集,计算每个热度类别在训练样本中的出现频率及每个特征属性划分对每个热度类别的条件概率估计,得到分类器;
12.(3)对网络安全运维事项集中除训练样本集外的每个事项,计算该事项特征属性概率p(ai|yi),计算每个热度类别对应的概率p(yi),取的最大值,作为该事项的热度分类,根据步骤(2)得到对应的类别热度值,对事项影响的资产范围按照资产管理系统中资产价值计算事项对应的范围热度值,类别热度值与范围热度值相乘得到事项综合热度值;
13.(4)对得到的事项综合热度值,根据事项主体所在的网络单元、组织机构从两个层面进行累加汇总计算,按照查询的时间范围将热度值在企业组织机构分布图中进行标注,企业组织机构分布图可以是地图,或者是组织机构层级图,大小表示累计热度值,颜色表示平均热度值,平均热度值等于累计热度值除以累计资产价值,为防止事项过多单位的圆圈过大,将累计综合热度值分成5级,平均热度值分成8级进行归类标注。
14.本发明进一步的改进在于,步骤(1)中,获取的安全事项包括异常流量的识别、威胁事件的报警和针对攻击的阻断。
15.本发明进一步的改进在于,步骤(1)中,运维人员及相关方进行的运维工作包括评估检查、预警通报、溯源分析、应急恢复和安全加固。
16.本发明进一步的改进在于,步骤(1)中,网络安全运维事项集中每个事项的基本属性包括:名称、事项主体、运维阶段、发生时间、发起方、执行方、影响资产范围和执行方式,属性值允许为空。
17.本发明进一步的改进在于,步骤(2)中,运维事项热度分类集c=(y1,y2…
y9),对应的类别热度值为0.3、0.6、0.9、1.5、2.0、2.2、2.4、2.6、2.8。
18.本发明进一步的改进在于,根据显示的组织机构层级,中间层级单位的热度值是变化的,如果最小显示层级是该中间层级,则中间层级单位的热度值是中间层级单位和中间层级单位下属单位的综合值,如果最小显示层级不是该中间层级,中间层级单位的热度值仅为本部的热度值。
19.本发明进一步的改进在于,该方法对自动发生的事项和人员手动事项进行统一自动分类,按自动事项和手动事项分别进行统计。
20.本发明进一步的改进在于,该方法能够按网络单元和组织机构两个层面进行展示,满足多级管理架构的企业进行网络安全运维事项精细化管理的需求。
21.本发明至少具有以下有益的技术效果:
22.本发明提供的一种网络安全运维热力图的生成方法,直观展示安全运维事项的强度和广度,提供了自动和手动两类网络安全运维事项热度的统一计算方法,能够对大量安全运维事项进行热度自动分类、计算,将杂乱、抽象的网络安全事项转化成数字和图形并进行汇总,可进行关联分析发现深层次的问题,满足多层管理架构企业进行网络安全管理的需要。
附图说明
23.图1为本发明网络安全运维热力图的生成方法示意图。
具体实施方式
24.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
25.如图1所示,本发明提供的一种网络安全运维热力图的生成方法,以某发电企业为例进行说明,该发电企业在各级单位都安装了态势感知系统,自动事项集从该发电企业的态势感知系统获取,手动事项集由该发电企业各级单位进行手动录入,录入发电企业总部的网络安全管理基础管理系统,网络安全事项集以一个月内的自动、手动事项为初始事项集为例进行说明,按以下步骤生成络安全运维热力图:
26.(1)从网络安全设备获取安全事件,包括异常流量的识别、威胁事件的报警、针对攻击的阻断,这类事项通过定义接口规范可实现自动提取;运维人员及相关方进行的运维工作,包括评估检查、预警通报、溯源分析、应急恢复、安全加固,这类事项需要手动录入,将自动获取事项和手动录入事项合并后得到网络安全运维事项集;
27.网络安全运维事项集中每个事项的基本属性包括:名称、事项主体、运维阶段、发生时间、发起方、执行方、影响资产范围、执行方式,属性值允许为空;
28.(2)按照朴素贝叶斯分类法进行分类前,给出网络安全运维事项热度分类,检查阶段的热度类别共三个:资产管理类、检查评估类、预警通报类,运行监测阶段两个:态势感知和安全监测类设备发出的异常报警类、安全警告类,运维处置阶段四个:安全加固类、攻击阻断类、溯源分析类、应急恢复类,运维事项热度分类集c=(y1,y2…
y9),对应的类别热度值为0.3、0.6、0.9、1.5、2.0、2.2、2.4、 2.6、2.8;
29.选择网络安全运维事项的特征属性,选出a1:运维阶段,a2:发起方,a3:执行方,a4:影响资产范围,共4个作为特征属性;
30.给出属性划分,a1:运维阶段{a=检查,a=监测,a=处置},a2:发起方{a=本单位,a=上级单位,a=行业主管单位},a3:执行方{a=本单位,a=外委单位},a4:影响资产范围:{a《=5,5《a《50,a》=50};
31.在网络安全运维事项集中选择10%作为训练样本集,计算每个热度类别在训练样本中的出现频率及每个特征属性划分对每个热度类别的条件概率估计,得到分类器;
32.(3)对网络安全运维事项集中除训练样本集外的每个事项,计算该事项特征属性概率p(ai|yi),计算每个热度类别对应的概率p(yi),取的最大值,作为该事项的热度分类,根据(2)可得到对应的类别热度值,对事项影响的资产范围按照资产管理系统中资产价值计算事项对应的范围热度值,类别热度值与范围热度值相乘得到事项综合热度值;
33.(4)对得到的事项综合热度值,根据事项主体所在的网络单元、组织机构从两个层面进行累加汇总计算,查询时间为初始事项集对应的1个月,该发电企业属于全国性分布,按企业组织机构地理位置分布图进行标注,大小表示累计热度值,颜色表示平均热度值。
34.本发明并不对运维效果进行评价,只是按时间进行分类统计,对影响进行确认,累
加事项热度,方便追踪热点安全运维事项及影响范围。
35.本发明阐述的实例只是用于帮助阐述本发明,并未对技术方案的所有细节进行详尽叙述,本领域技术人员对部分技术实现过程进行的替换、修改,并不使相应技术方案的本质脱离本发明实施案例的精神和范围。
技术特征:1.一种网络安全运维热力图的生成方法,其特征在于,包括以下步骤:(1)从网络安全设备获取安全事项,这类事项通过定义接口规范实现自动提取;运维人员及相关方进行的运维工作,这类事项通过手动录入,将自动获取事项和手动录入事项合并后得到网络安全运维事项集;(2)按照朴素贝叶斯分类法进行分类前,给出网络安全运维事项热度分类,检查阶段的热度类别共三个:资产管理类、检查评估类和预警通报类,运行监测阶段两个:态势感知及安全监测设备发出的异常报警类和安全警告类,运维处置阶段四个:安全加固类、攻击阻断类、溯源分析类和应急恢复类,运维事项热度分类集c=(y1,y2…
y9);选择网络安全运维事项的特征属性,选出a1:运维阶段,a2:发起方,a3:执行方,a4:影响资产范围,共4个作为特征属性;给出属性划分,a1:运维阶段{a=检查,a=监测,a=处置},a2:发起方{a=本单位,a=上级单位,a=行业主管单位},a3:执行方{a=本单位,a=外委单位},a4:影响资产范围:{a<=5,5<a<50,a>=50};在网络安全运维事项集中选择10%作为训练样本集,计算每个热度类别在训练样本中的出现频率及每个特征属性划分对每个热度类别的条件概率估计,得到分类器;(3)对网络安全运维事项集中除训练样本集外的每个事项,计算该事项特征属性概率p(a
i
|y
i
),计算每个热度类别对应的概率p(y
i
),取的最大值,作为该事项的热度分类,根据步骤(2)得到对应的类别热度值,对事项影响的资产范围按照资产管理系统中资产价值计算事项对应的范围热度值,类别热度值与范围热度值相乘得到事项综合热度值;(4)对得到的事项综合热度值,根据事项主体所在的网络单元、组织机构从两个层面进行累加汇总计算,按照查询的时间范围将热度值在企业组织机构分布图中进行标注,企业组织机构分布图可以是地图,或者是组织机构层级图,大小表示累计热度值,颜色表示平均热度值,平均热度值等于累计热度值除以累计资产价值,为防止事项过多单位的圆圈过大,将累计综合热度值分成5级,平均热度值分成8级进行归类标注。2.根据权利要求1所述的网络安全运维热力图的生成方法,其特征在于,步骤(1)中,获取的安全事项包括异常流量的识别、威胁事件的报警和针对攻击的阻断。3.根据权利要求1所述的网络安全运维热力图的生成方法,其特征在于,步骤(1)中,运维人员及相关方进行的运维工作包括评估检查、预警通报、溯源分析、应急恢复和安全加固。4.根据权利要求1所述的网络安全运维热力图的生成方法,其特征在于,步骤(1)中,网络安全运维事项集中每个事项的基本属性包括:名称、事项主体、运维阶段、发生时间、发起方、执行方、影响资产范围和执行方式,属性值允许为空。5.根据权利要求1所述的网络安全运维热力图的生成方法,其特征在于,步骤(2)中,运维事项热度分类集c=(y1,y2…
y9),对应的类别热度值为0.3、0.6、0.9、1.5、2.0、2.2、2.4、2.6、2.8。6.根据权利要求1所述的网络安全运维热力图的生成方法,其特征在于,根据显示的组织机构层级,中间层级单位的热度值是变化的,如果最小显示层级是该中间层级,则中间层
级单位的热度值是中间层级单位和中间层级单位下属单位的综合值,如果最小显示层级不是该中间层级,中间层级单位的热度值仅为本部的热度值。7.根据权利要求1所述的网络安全运维热力图的生成方法,其特征在于,该方法对自动发生的事项和人员手动事项进行统一自动分类,按自动事项和手动事项分别进行统计。8.根据权利要求1所述的网络安全运维热力图的生成方法,其特征在于,该方法能够按网络单元和组织机构两个层面进行展示,满足多级管理架构的企业进行网络安全运维事项精细化管理的需求。
技术总结本发明公开了一种网络安全运维热力图的生成方法,包括步骤:从安全设备中提取报警及阻断等事项,加上运维人员的检查评估及整改等事项构成运维事项集;再从事项集中选择部分组成事项热度分类训练样本集,确定事项的特征属性并构建分类器,然后对训练样本集外的事项进行分类,得到事项的热度类别及对应的热度值,由事项作用的资产范围得到范围热度值,两者相乘得到事项综合热度值;最后在企业组织机构图上按计算的热度值绘制网络安全运维热力图,大小表示累加热度值,颜色表示平均热度值。本发明能对大量安全运维事项进行热度自动分类、计算,直观展示安全运维事项的强度和广度,可进行关联分析,满足多层管理架构企业进行网络安全管理的需要。全管理的需要。全管理的需要。
技术研发人员:刘超飞 崔逸群 肖力炀 刘迪 毕玉冰 朱博迪 胥冠军 王文庆 邓楠轶
受保护的技术使用者:华能集团技术创新中心有限公司
技术研发日:2022.06.17
技术公布日:2022/11/1
