本發明公開一種基于圖數據庫的分層多域可視安全運維方法，首先將安全運維分為基礎安全層、安全分析層和威脅情報層，同時將各層功能劃分為單個或多個域，其中劃分基礎安全層為網絡拓撲域、系統服務域、人員信息域和安全策略域，劃分安全分析層為依賴關系域、網絡安全域和用戶安全域，威脅情報層則由相應的威脅情報標準域組成。然后通過將各域的結構關系與屬性特征轉化為相應的UML圖，同時在指定網絡位置上部署相應職能的傳感器，對各域所需數據進行采集。然后通過相應API，完成UML圖向圖數據庫的映射，最后通過對圖數據庫數據查詢分析實現可視化的安全運維。本發明將圖數據庫技術與安全運維相結合，降低了安全運維難度，提高了安全運維分析效率。

技術領域

本發明涉及安全運維技術領域，具體涉及一種基于圖數據庫的分層多域可視安全運維方法。

背景技術

隨著信息技術的不斷發展，計算機與互聯網技術的應用已成為各組織機構實現資源存儲、信息共享和業務拓展的基本方法。但與此同時，網絡安全問題日益凸顯，網絡攻擊連年增長，攻擊手段不斷變化，攻擊威脅逐年增大，各類安全事件的頻發給組織造成了極大的經濟損失，在此背景下，安全運維的建設顯得十分必要。然而，隨著網絡規模的不斷擴大，網絡結構的逐漸復雜，安全產品的不斷增多，使得安全運維難度不斷增大，傳統的安全運維方法漸漸不能滿足網絡結構不斷復雜、網絡應用服務不斷增加、網絡攻擊面不斷擴大情況下對安全運維敏捷、高效、可見性上的需求，其主要存在的技術問題體現在以下兩個方面：

1.傳統安全運維方法使用RDBMS關系型數據庫管理系統對各類安全數據進行存儲與管理，然而隨著數據量的不斷增大，數據關系的不斷復雜，使用RDBMS對數據進行管理存在兩個方面的問題：一方面由于其具有嚴格的Schema及復雜的表關系，導致其在數據庫設計建模上需要花費大量的人力物力；另一方面由于其ACID及JOIN操作，導致其在對大數據的查詢分析效率及關系表達上不能滿足相應的需求。

2.傳統的安全運維在可視化上多以折線圖、柱狀圖、餅圖等形式呈現網絡安全運維狀況，這類可視化方法在一定程度上解決了安全運維數據的可視化問題，但其缺乏對整體網絡環境安全問題及事件分布的直觀物理表達，同時缺乏對整體安全態勢的關聯呈現。

發明內容

本發明所要解決的是傳統安全運維方法在面對復雜網絡環境下的數據建模、查詢、分析和呈現上所存在的不足，提供一種基于圖數據庫的分層多域可視安全運維方法。

為解決上述問題，本發明是通過以下技術方案實現的：

一種基于圖數據庫的分層多域可視安全運維方法，包括步驟如下：

步驟1、構建出一個分層多域安全運維模型；

步驟2、建立分層多域安全運維模型的各個域的UML圖；

步驟3、通過在出口網關外部接口位置、提供網絡應用服務的位置和用戶可接入位置上部署相應職能的傳感器，對分層多域安全運維模型的各個域所需數據進行采集；

步驟4、將分層多域安全運維模型的各個UML圖映射至圖數據庫中；

步驟5、對圖數據庫進行查詢及分析，以實現可視化的安全運維。

上述步驟1的子步驟如下：

步驟11、建立一個包括基礎安全層、安全分析層和威脅情報層的分層運維模型；

步驟12、向基礎安全層中添加拓撲結構域、系統服務域、安全策略域和人員信息域；向安全分析層添加依賴關系域、網絡安全域和用戶安全域；向威脅情報層添加威脅情報域；

步驟13、分析各域間的鄰接關系，將互為鄰接域之間的交集描述為一個鄰接層；由此構建出一個分層多域安全運維模型；

上述步驟12中，向威脅情報層添加基于STIX標準的威脅情報域。