技術領域

本發明涉及網絡安全技術領域，特別是指一種基于大數據的網絡安全態 勢感知預警方法和系統。

背景技術

隨著大數據、云計算、物聯網、工業互聯網等新興互聯網技術應用的不 斷深入，企業信息化程度也越來越高，對信息系統的依賴程度達到了前所未 有的高度，與此同時，也導致了各種新型網絡攻擊、敏感信息泄露等惡意信 息安全事件頻繁發生。國家互聯網應急中心調查顯示，2015年涉及重要行業 和政府部門的高危漏洞事件增多，基礎應用或通用軟件漏洞風險凸顯，安全 形勢日趨嚴峻。特別是對于國家電網公司這樣的特大型企業，企業信息系統 規模屬于全球企業前列，安全問題更加不容忽視，因為如果電力系統遭到網 絡安全攻擊的威脅，則不單單是信息領域的安全問題，很有可能間接導致工 業生產和社會生活的電力供應問題，從而影響國家安全。因此，為了不斷應 對新的安全挑戰，國家電網公司先后部署了防火墻、UTM、IPS、IDS、漏洞 掃描系統、防病毒系統、終端管理系統、WAF、DB-AUDIT以及安全監控平 臺等，構建起一道道安全防線。然而，形式并不樂觀，現有電力系統的安全 防御設施防御能力仍然不足，主要表現在以下三個方面：

這些傳統的安全產品都只能抵御來自某個方面的安全威脅，形成了一個 個的“安全防御孤島”，缺乏對海量多維度的信息安全數據進行有效的融合關 聯分析，無法產生協同效應，不能使這些安全監測數據成為上層安全決策有 效資源。

這些傳統的安全防御設施大多數都通過分析某些安全設備的日志對已經 發生的攻擊行為進行分析和監測，基本都是被動防御的思路，缺乏網絡安全 態勢感知與聯動預警的能力，當檢測到網絡攻擊事件之后再采取相應的應急 措施，往往為時已晚，因為此時網絡攻擊已經發生過去了，攻擊已經造成了 不可挽回的損失。

這些復雜的IT資源及其安全防御設施在運行過程中不斷產生大量的安全 日志和事件，形成了大量的“信息孤島”，有限的安全管理人員面對這些數 量巨大、彼此割裂的安全大數據，操作著各種產品自身的控制臺界面和告警 窗口，顯得束手無策，工作效率極低，難以發現真正的安全隱患。

發明內容

有鑒于此，本發明的目的在于提出一種基于大數據的網絡安全態勢感知 預警方法和系統，解決了傳統安全防御手段存在的不足。

基于上述目的本發明提供的一種基于大數據的網絡安全態勢感知預警方 法，包括步驟：

收集自互聯網、民間組織、政府機構以及公司內部的情報信息；

獲取安全設備、網絡設備、主機及其他安全防護系統產生的日志和網絡 流量，并對采集到的原始數據進行實時的預處理，再將預處理后的數據進行 標準化，轉換成統一標準的安全數據；

根據不同的攻擊行為進行場景建模，并結合所述情報信息和安全數據進 行關聯分析，進而生成預警信息；

將所述預警信息進行審核處理，將審核通過的所述預警信息進行可視化 展示。

優選的，所述情報信息包括：黑客攻擊行為特征、漏洞庫信息、信譽庫 信息。

優選的，所述預處理包括：數據去重、數據噪聲去除、數據增強。

優選的，在進行所述標準化時，進一步從所述原始數據提取信息，提取 的信息包括：設備基本信息、設備狀態信息、網絡安全事件、設備策略、通 信命令。

優選的，所述結合所述情報信息和安全數據進行關聯分析的步驟進一步 包括：

通過預制多種不同的安全分析引擎，再借助大數據平臺的超強計算能 力，對海量內外網數據、事件、文件等進行關聯分析和檢索，實時在線檢 測、離線檢測，發現高級的APT攻擊和信息泄漏行為。

本發明還提供了一種基于大數據的網絡安全態勢感知預警系統，包括：

情報收集模塊，用于收集自互聯網、民間組織、政府機構以及公司內部 的情報信息；

深度監測模塊，用于獲取安全設備、網絡設備、主機及其他安全防護系 統產生的日志和網絡流量，并對采集到的原始數據進行實時的預處理，再將 預處理后的數據進行標準化，轉換成統一標準的安全數據；

數據分析模塊，用于根據不同的攻擊行為進行場景建模，并結合所述情 報信息和安全數據進行關聯分析，進而生成預警信息；

預警處置模塊，用于將所述預警信息進行審核處理，將審核通過的所述 預警信息進行可視化展示。