本發明提供一種安全運維管理方法及系統，包括：采集網絡安全事件；建立基線模型；選取設定時間周期網絡安全事件的數據量為訓練集；將時間周期分成多個子時間周期，每子時間周期包括多個時間點，將每個子時間周期的每個時間點的數據量為樣本點分別代入基線模型進行訓練，得到每個時間點的基線值及其置信區間；監測設定時間周期后每個時間點的數據量是否在對應基線置信區間內；根據監測結果發出決策，包括：若在置信區間內，將所述時間點數據量納入訓練集，重新計算時間點基線值及其置信區間；若不在置信區間內，產生基線預警，或將時間點數據量納入訓練集，重新計算時間點基線值及其置信區間，或清除歷史數據，將時間點數據量作為基線值。

技術領域

本發明涉及網絡安全技術領域，更為具體地，涉及一種安全運維管理方法及系統。

背景技術

網絡安全事件預警分析中可以利用異常檢測，異常檢測用于處理之前未知的事件。基線技術的使用是異常檢測的一種手段，為網絡安全事件提供標準度量，例如，有人試圖使用拒絕服務攻擊的手段攻擊企業內的IT資產，使其無法對外提供服務，此時可以使用統計基線技術，分析IT資產的連接何時增加，并且能夠在拒絕服務攻擊成為安全問題前檢測出來。

通常采用閾值用于確定何時某些指標超過了基線的值。在此過程中閾值需要自動化創建，例如是查看每小時內的日志數據，執行下面的操作：

1、收集最近10分鐘內的日志數據/事件計數

2、收集1小時內的日志數據/事件計數

3、收集1天內的日志數據/事件計數

根據收集到的計數信息，可以從中分析出異常情況，這樣提供可用的基本閾值，特別是分析說明這些事件來源是未知的情況。

為了建立基線，需要有許多規范化形式的數據以及專家知識庫積累。通過專家知識庫的積累辨別正常情況或不正常情況，不進行訓練數據。

上述基線方法具有以下問題：

(1)沒有自定義采集周期，無法通過統計方法來計算出實際情況的基線；

(2)沒有考慮到每個周期樣本點的變化情況，從而無法生成動態基線；

(3)無法取出樣本點中的異樣數據，從而重新計算基線；

(4)沒有忙時和閑時概念，沒有考慮到運維實際環境的忙閑時變化問題。

發明內容

鑒于上述問題，本發明的目的是提供一種生成實際動態基線的安全運維管理方法及系統。

根據本發明的一個方面，提供一種安全運維管理系統，包括：采集模塊，采集網絡安全事件；基線構建模塊，建立基線模型，選取設定時間周期采集模塊采集的網絡安全事件的數據量作為訓練集，將所述時間周期分成多個子時間周期，每個子時間周期包括多個時間點，將每個子時間周期的每個時間點的所述數據量作為樣本點分別代入基線模型進行訓練，得到每個時間點的基線值及其對應的置信區間，各時間點的基線值的集合為基線數據；預警監測模塊，監測所述設定時間周期后每個時間點的數據量是否在對應的基線構建模塊構建的所述時間點的置信區間內，將監測結果發送給決策模塊；決策模塊，根據預警監測模塊的監測結果發出決策，所述決策包括：當時間點的數據量在其基線的置信區間內時，將所述時間點的數據量納入訓練集，重新計算所述時間點的基線值及其置信區間；當時間點的數據量不在其基線的置信區間內時，產生基線預警或將所述時間點的數據量納入訓練集或清除歷史數據，將所述時間點的數據量作為基線值。