本發(fā)明提供一種安全運(yùn)維管理方法及系統(tǒng)，包括：采集網(wǎng)絡(luò)安全事件；建立基線模型；選取設(shè)定時(shí)間周期網(wǎng)絡(luò)安全事件的數(shù)據(jù)量為訓(xùn)練集；將時(shí)間周期分成多個(gè)子時(shí)間周期，每子時(shí)間周期包括多個(gè)時(shí)間點(diǎn)，將每個(gè)子時(shí)間周期的每個(gè)時(shí)間點(diǎn)的數(shù)據(jù)量為樣本點(diǎn)分別代入基線模型進(jìn)行訓(xùn)練，得到每個(gè)時(shí)間點(diǎn)的基線值及其置信區(qū)間；監(jiān)測(cè)設(shè)定時(shí)間周期后每個(gè)時(shí)間點(diǎn)的數(shù)據(jù)量是否在對(duì)應(yīng)基線置信區(qū)間內(nèi)；根據(jù)監(jiān)測(cè)結(jié)果發(fā)出決策，包括：若在置信區(qū)間內(nèi)，將所述時(shí)間點(diǎn)數(shù)據(jù)量納入訓(xùn)練集，重新計(jì)算時(shí)間點(diǎn)基線值及其置信區(qū)間；若不在置信區(qū)間內(nèi)，產(chǎn)生基線預(yù)警，或?qū)r(shí)間點(diǎn)數(shù)據(jù)量納入訓(xùn)練集，重新計(jì)算時(shí)間點(diǎn)基線值及其置信區(qū)間，或清除歷史數(shù)據(jù)，將時(shí)間點(diǎn)數(shù)據(jù)量作為基線值。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，更為具體地，涉及一種安全運(yùn)維管理方法及系統(tǒng)。

背景技術(shù)

網(wǎng)絡(luò)安全事件預(yù)警分析中可以利用異常檢測(cè)，異常檢測(cè)用于處理之前未知的事件。基線技術(shù)的使用是異常檢測(cè)的一種手段，為網(wǎng)絡(luò)安全事件提供標(biāo)準(zhǔn)度量，例如，有人試圖使用拒絕服務(wù)攻擊的手段攻擊企業(yè)內(nèi)的IT資產(chǎn)，使其無法對(duì)外提供服務(wù)，此時(shí)可以使用統(tǒng)計(jì)基線技術(shù)，分析IT資產(chǎn)的連接何時(shí)增加，并且能夠在拒絕服務(wù)攻擊成為安全問題前檢測(cè)出來。

通常采用閾值用于確定何時(shí)某些指標(biāo)超過了基線的值。在此過程中閾值需要自動(dòng)化創(chuàng)建，例如是查看每小時(shí)內(nèi)的日志數(shù)據(jù)，執(zhí)行下面的操作：

1、收集最近10分鐘內(nèi)的日志數(shù)據(jù)/事件計(jì)數(shù)

2、收集1小時(shí)內(nèi)的日志數(shù)據(jù)/事件計(jì)數(shù)

3、收集1天內(nèi)的日志數(shù)據(jù)/事件計(jì)數(shù)

根據(jù)收集到的計(jì)數(shù)信息，可以從中分析出異常情況，這樣提供可用的基本閾值，特別是分析說明這些事件來源是未知的情況。

為了建立基線，需要有許多規(guī)范化形式的數(shù)據(jù)以及專家知識(shí)庫(kù)積累。通過專家知識(shí)庫(kù)的積累辨別正常情況或不正常情況，不進(jìn)行訓(xùn)練數(shù)據(jù)。

上述基線方法具有以下問題：

(1)沒有自定義采集周期，無法通過統(tǒng)計(jì)方法來計(jì)算出實(shí)際情況的基線；

(2)沒有考慮到每個(gè)周期樣本點(diǎn)的變化情況，從而無法生成動(dòng)態(tài)基線；

(3)無法取出樣本點(diǎn)中的異樣數(shù)據(jù)，從而重新計(jì)算基線；

(4)沒有忙時(shí)和閑時(shí)概念，沒有考慮到運(yùn)維實(shí)際環(huán)境的忙閑時(shí)變化問題。

發(fā)明內(nèi)容

鑒于上述問題，本發(fā)明的目的是提供一種生成實(shí)際動(dòng)態(tài)基線的安全運(yùn)維管理方法及系統(tǒng)。

根據(jù)本發(fā)明的一個(gè)方面，提供一種安全運(yùn)維管理系統(tǒng)，包括：采集模塊，采集網(wǎng)絡(luò)安全事件；基線構(gòu)建模塊，建立基線模型，選取設(shè)定時(shí)間周期采集模塊采集的網(wǎng)絡(luò)安全事件的數(shù)據(jù)量作為訓(xùn)練集，將所述時(shí)間周期分成多個(gè)子時(shí)間周期，每個(gè)子時(shí)間周期包括多個(gè)時(shí)間點(diǎn)，將每個(gè)子時(shí)間周期的每個(gè)時(shí)間點(diǎn)的所述數(shù)據(jù)量作為樣本點(diǎn)分別代入基線模型進(jìn)行訓(xùn)練，得到每個(gè)時(shí)間點(diǎn)的基線值及其對(duì)應(yīng)的置信區(qū)間，各時(shí)間點(diǎn)的基線值的集合為基線數(shù)據(jù)；預(yù)警監(jiān)測(cè)模塊，監(jiān)測(cè)所述設(shè)定時(shí)間周期后每個(gè)時(shí)間點(diǎn)的數(shù)據(jù)量是否在對(duì)應(yīng)的基線構(gòu)建模塊構(gòu)建的所述時(shí)間點(diǎn)的置信區(qū)間內(nèi)，將監(jiān)測(cè)結(jié)果發(fā)送給決策模塊；決策模塊，根據(jù)預(yù)警監(jiān)測(cè)模塊的監(jiān)測(cè)結(jié)果發(fā)出決策，所述決策包括：當(dāng)時(shí)間點(diǎn)的數(shù)據(jù)量在其基線的置信區(qū)間內(nèi)時(shí)，將所述時(shí)間點(diǎn)的數(shù)據(jù)量納入訓(xùn)練集，重新計(jì)算所述時(shí)間點(diǎn)的基線值及其置信區(qū)間；當(dāng)時(shí)間點(diǎn)的數(shù)據(jù)量不在其基線的置信區(qū)間內(nèi)時(shí)，產(chǎn)生基線預(yù)警或?qū)⑺鰰r(shí)間點(diǎn)的數(shù)據(jù)量納入訓(xùn)練集或清除歷史數(shù)據(jù)，將所述時(shí)間點(diǎn)的數(shù)據(jù)量作為基線值。