技術(shù)領(lǐng)域

本發(fā)明涉及屬于信息技術(shù)領(lǐng)域，尤其涉及一種針對企業(yè)內(nèi)部網(wǎng)絡(luò)中網(wǎng)絡(luò)運行狀況的分析方法。

背景技術(shù)

目前，對于網(wǎng)絡(luò)運行狀態(tài)的分析主要基于網(wǎng)絡(luò)性能和故障的監(jiān)控和分析，采用的主要技術(shù)是SNMP協(xié)議，網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)通過SNMP獲取網(wǎng)絡(luò)設(shè)備和主機的運行參數(shù)，通過對運行參數(shù)的分析，得到網(wǎng)絡(luò)的性能和故障情況，從而實現(xiàn)對網(wǎng)絡(luò)運行狀態(tài)的監(jiān)控。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展和應(yīng)用，網(wǎng)絡(luò)中部署了越來越多的安全設(shè)備，這些安全設(shè)備會產(chǎn)生大量的安全日志或安全事件，它們反映了網(wǎng)絡(luò)運行的安全狀況，網(wǎng)絡(luò)安全狀況是網(wǎng)絡(luò)整體運行狀態(tài)的重要指標(biāo)，需要被管理員實施關(guān)注和監(jiān)控。目前的網(wǎng)絡(luò)管理系統(tǒng)只針對網(wǎng)絡(luò)性能和故障的分析監(jiān)控，缺乏對網(wǎng)絡(luò)安全的分析和監(jiān)控，不能反映網(wǎng)絡(luò)總體運行情況。同時，雖然很多安全管理系統(tǒng)實現(xiàn)對安全日志或安全事件的管理，但往往只實現(xiàn)了安全日志記錄的采集、存儲、查詢、統(tǒng)計等功能，缺乏安全日志分析挖掘功能，不能反映出安全日志對網(wǎng)絡(luò)狀態(tài)的影響。

每條安全日志反映了網(wǎng)絡(luò)某個設(shè)備所受到的安全攻擊、安全隱患或者所處的安全狀態(tài)，表明網(wǎng)絡(luò)中某個局部的狀態(tài)信息。同時相同的安全事件發(fā)生在不同的設(shè)備上所產(chǎn)生的影響不一樣，需要根據(jù)該事件對設(shè)備可用性、保密性、完整性三個方面的不同影響進(jìn)行分析，例如，主要對數(shù)據(jù)的保密性或者完整性造成威脅的安全事件如果發(fā)生在交換機上，它所造成的危害遠(yuǎn)遠(yuǎn)小于發(fā)生在服務(wù)器上的危害。因此對安全事件的分析不僅僅需要分析該安全日志的嚴(yán)重性，還需要分析該安全事件所發(fā)生的主體設(shè)備，需要將各安全事件定位到所發(fā)生的設(shè)備上，根據(jù)設(shè)備的屬性進(jìn)行分析，才能準(zhǔn)確獲取該事件對網(wǎng)絡(luò)整體的影響。

現(xiàn)在已有的網(wǎng)絡(luò)管理系統(tǒng)僅針對網(wǎng)絡(luò)設(shè)備、主機的性能和故障進(jìn)行分析與監(jiān)控，安全管理系統(tǒng)僅針對安全日志和安全事件進(jìn)行分析，沒有實現(xiàn)將安全日志與設(shè)備屬性進(jìn)行綜合分析。本發(fā)明利用安全日志，結(jié)合設(shè)備屬性以及網(wǎng)絡(luò)性能、故障監(jiān)控，從而實現(xiàn)對網(wǎng)絡(luò)總體運行態(tài)勢的分析監(jiān)控功能。

發(fā)明內(nèi)容

為了解決上述的技術(shù)問題，本發(fā)明的目的是提供一種網(wǎng)絡(luò)態(tài)勢分析方法，其不僅能夠?qū)Π踩罩具M(jìn)行分析處理，還能夠根據(jù)安全日志發(fā)生的主體的屬性判斷安全日志對網(wǎng)絡(luò)態(tài)勢的影響，進(jìn)而克服了現(xiàn)有的網(wǎng)絡(luò)管理與監(jiān)控系統(tǒng)的缺陷。

為了實現(xiàn)上述的目的，本發(fā)明采用了以下的技術(shù)方案：

一種網(wǎng)絡(luò)態(tài)勢分析方法，該方法包括以下的步驟：

A：設(shè)置各安全產(chǎn)品向網(wǎng)絡(luò)態(tài)勢分析系統(tǒng)發(fā)送安全日志，當(dāng)安全產(chǎn)品產(chǎn)生安全日志時自動發(fā)送給態(tài)勢分析系統(tǒng)；

B：系統(tǒng)采集到一條安全日志后，對該安全日志進(jìn)行分析處理；

C：對采集到的安全日志根據(jù)其屬性從可用性、保密性和完整性三個方面進(jìn)行分類，將該安全日志歸納到其中某一類；

D：根據(jù)安全日志發(fā)生主體的IP地址將該日志發(fā)生地主體定位到一個網(wǎng)絡(luò)域的一臺設(shè)備上；

E：判斷安全日志的分類與日志發(fā)生主體設(shè)備的安全屬性是否一致；

F：如果安全日志的分類與日志發(fā)生主體設(shè)備的安全屬性不一致，該安全日志影響因子A設(shè)置為0.5；

G：如果安全日志的分類與日志發(fā)生主體設(shè)備的安全屬性一致，該安全日志影響因子A設(shè)置為1；

H：根據(jù)安全日志發(fā)生的主體設(shè)備獲取該設(shè)備的性能與故障事件；

I：判斷設(shè)備是否發(fā)生性能與故障事件；

J：如果設(shè)備沒有發(fā)生性能與故障事件，該安全日志影響值B設(shè)置為0；

K：如果設(shè)備發(fā)生了性能與故障事件，該安全日志影響值B設(shè)置為100；

L：根據(jù)安全日志影響因子A和影響值B，計算該安全日志對網(wǎng)絡(luò)態(tài)勢的影響值為：A×B。

本發(fā)明根據(jù)不同的安全日志對網(wǎng)絡(luò)態(tài)勢的影響不同，并且隨著設(shè)備資產(chǎn)的屬性變化及網(wǎng)絡(luò)性能故障事件的變化而調(diào)整。該方法對每條安全日志都進(jìn)行分析處理，得出每條安全日志對網(wǎng)絡(luò)的影響，其中，影響值最大的安全日志就是對網(wǎng)絡(luò)態(tài)勢影響最嚴(yán)重的事件，這為管理員解決網(wǎng)絡(luò)安全問題提供可靠依據(jù)。

附圖說明

圖1為本發(fā)明的網(wǎng)絡(luò)態(tài)勢分析系統(tǒng)的結(jié)構(gòu)示意圖。

圖2為本發(fā)明的態(tài)勢分析流程圖。

具體實施方式

本發(fā)明是一種使用在網(wǎng)絡(luò)管理領(lǐng)域的網(wǎng)絡(luò)態(tài)勢分析系統(tǒng)和分析方法。下面以具體實施例對本發(fā)明做出具體說明。