本發明公開了基于安全態勢感知的網絡運行維護系統及方法，包括步驟S100：對網絡運行歷史中發生的安全事件進行捕捉采集，提取每一次歷史安全事件對應的事件特征；步驟S200：基于每一次歷史安全事件對應的事件特征構建對應每一次歷史安全事件的事件邏輯條得到所有安全事件的事件邏輯條集合；步驟S300：對所有的安全事件進行鏈接對建立得到鏈接對集；步驟S400：基于鏈接對集在大規模網絡環境中對能夠引起網絡態勢發生變化的安全要素進行獲取；并對各安全要素與體現網絡態勢變化的各項安全指標狀態之間存在的映射關系進行挖掘；步驟S500：維護系統對網絡運行過程中各安全要素狀態進行捕捉并監測。

技術領域

本發明涉及計算機網絡安全維護技術領域，具體為基于安全態勢感知的網絡運行維護系統及方法。

背景技術

計算機網絡運行維護是一個需要長期進行并與業務正常、安全、有效運行密切相關的組織管理活動；在網絡運維的過程中經常會產生各種各樣的安全事件，但是網絡自身也具備一定的安全彈性空間，在這范圍內，網絡可以實現自適應和自調整解決一些簡單和輕微的安全事件帶來的影響；每一件安全事件在網絡運行的過程中都能通過對一些外現的安全指標狀態變化來體現，而每一次安全事件的發生都是因為網絡運行過程中某些安全因素被破壞了導致的；如果將會導致安全事件發生的安全要素作為網絡運行維護過程中的重點監測對象，對于網絡運行維護能夠起到提前預測安全事件的作用。

發明內容

本發明的目的在于提供基于安全態勢感知的網絡運行維護系統及方法，以解決上述背景技術中提出的問題。

為了解決上述技術問題，本發明提供如下技術方案：基于安全態勢感知的網絡運行維護方法，維護方法包括：

步驟S100：分別從網絡安全設備、網絡日志、網絡流量層安全設備中對網絡運行歷史中發生的安全事件進行捕捉采集，提取每一次歷史安全事件對應的事件特征；

步驟S200：基于每一次歷史安全事件對應的事件特征構建對應每一次歷史安全事件的事件邏輯條得到所有安全事件的事件邏輯條集合；

步驟S300：基于事件邏輯條集合內各事件邏輯條對所有的安全事件進行鏈接對建立得到鏈接對集；

步驟S400：基于鏈接對集在大規模網絡環境中對能夠引起網絡態勢發生變化的安全要素進行獲取；并對各安全要素與體現網絡態勢變化的各項安全指標狀態之間存在的映射關系進行挖掘；

步驟S500：維護系統對網絡運行過程中各安全要素狀態進行捕捉并監測。

進一步的，步驟S100對每一次歷史安全事件對應的事件特征進行提取的過程包括：

步驟S101：提取每一安全事件對應的攻擊源、攻擊路徑、攻擊行為作為每一安全事件的第一事件特征；提取每一安全事件發生時，當下網絡運行態勢中各項安全指標的狀態作為每一安全事件的第二事件特征；其中，第二事件特征具體以當前網絡中開始出現嘗試修復的指令前各項安全指標所呈現的狀態為基準；

步驟S102：捕捉每一安全事件從對應攻擊源在網絡中采取對應攻擊行為并沿著對應攻擊路徑開始至網絡內呈現對應的第二事件特征時截止的總時長，總時長即為安全事件對應的響應時長；捕捉每一安全事件從網絡內呈現對應的第二事件特征時開始至網絡內各項安全指標恢復正常時截止的總時長，總時長即為安全事件對應的恢復時長；將對應的響應時長和恢復時長作為每一安全事件的第三事件特征；

上述對各安全事件提取到的各事件特征可以直觀體現網絡運行過程中發生的各安全事件產生的原因；且提取各安全事件發生后所需要的響應時長及恢復時長作為該安全事件的時間特征值之一是為了通過響應時長及恢復時長間接體現出各安全事件對網絡運行過程中產生的影響大小；響應時長越長說明該安全事件的蟄伏期長，恢復時間越長說明修復該安全事件產生的網絡問題所需要的流程越復雜；而對各安全事件提取事件特征同樣是為了后續進行事件邏輯條的建立以及鏈接對的建立提供技術鋪墊。