一种网络安全数字化运营平台

技术领域

本发明涉及网络安全技术领域，具体来说，涉及一种网络安全数字化运营平台。

背景技术

从网络安全数据化角度出发，各个安全能力都有哪些数据一直说不清，导致网络安全大数据底层的数据获取不全面、不清晰。目前网络安全自动化方面还在初级阶段，各个安全能力都有哪些指令各个用户并不清楚，导致安全事件响应动作匮乏，联动效果有限。

传统网络威胁发现方式多依赖于各个安全能力告警数据，告警数据属于“黑名单”方式，通过已知数据特征的检测发现已知威胁，告警数量多且误报率高，无法应对日益复杂的网络威胁需求。

传统网络安全运营中心经常提的是具备哪些能力，能解决哪些问题。仅能解决网络安全运营中的少部分问题。无法应对网络安全运营日益增长的需求。

而网络安全数字化运营平台关注的是用户在运营工作过程中遇到哪些问题，与用户探讨如何通过数据去解决问题。

针对相关技术中的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中的问题，本发明提出一种网络安全数字化运营平台，以克服现有相关技术所存在的上述技术问题。

为此，本发明采用的具体技术方案如下：

一种网络安全数字化运营平台，包括安全能力数据分析中心模块、网络安全数据分析中心模块和网络安全数字化运营中心模块三部分组成；

安全能力数据分析中心模块由安全能力态势子模块、安全能力管理子模块、安全能力画像子模块、平台能力画像子模块、运营能力画像子模块、API文档管理子模块和能力对接管理子模块组成，安全能力画像子模块解决安全能力数据说明、指令说明以及能力质量评估；能力对接管理子模块解决数字化运营平台与安全能力、安全平台、运营平台快速对接；

网络安全数据分析中心模块由能力数据采集子模块、业务关联分析子模块、网络行为建模子模块、业务行为画像子模块、资产行为画像子模块、访客行为画像子模块组成；网络安全数据分析中心模块是基于网络安全数据分析算法，结合从底层安全能力获取指定的数据，感知网络异常行为而形成的网络安全数据分析中心为上层的网络安全数字化运营赋能；

网络安全数字化运营中心模块由数据采集子模块、数据应用子模块、数据分析子模块、事件响应子模块、事件处置子模块以及数据可视化子模块组成；通过数字化的运营思路聚焦解决网络安全运营存在问题，推动网络安全数字化转型，提升网络安全运营效率。

作为优选的，所述安全能力数据分析中心模块包括安全能力态势展现整体安全能力、平台能力、运营能力的态势，包括且不限于能力数量、能力覆盖对接厂商、能力分类数量统计以及能力与数字化运营中心对接情况展示；

安全能力管理主要从管理维度阐述企业内部各个单位有多少网络安全能力，同时展现该能力的一些基本信息，点击安全能力IP还可以跳转到安全能力画像；

安全能力管理支持以树状图的方式展现集团组织架构及具备安全能力的数量；

安全能力基本信息包含且不限于能力分类、IP、部署位置、能力名称、能力厂商、能力评分、能力数据、能力指令、能力版本、在线/离线、授权截止时间、售后人员、联系方式。

作为优选的，安全能力画像指的是针对某一个安全能力的基础信息、部署信息、对接信息、能力数据、能力指令维度信息梳理；

基础信息包括且不限于产品名称、能力分类、能力厂商、能力评分、售后单位/人员/联系方式、在线数量/总体数量、API多少能力数据种类、API多少能力指令数量、API文档版本编号；能力评分指的即是安全能力质量评估分值，API文档版本编号具备跳转链接，点击可跳转对应API接口文档；

部署信息包括且不限于序号、IP、软件/硬件、产品型号、性能指标、能力版本、授权截止时间、在线/离线、部署位置；

全能力对接信息指的是安全能力与各个对接平台的对接情况；信息内容包含且不限于序号、能力IP、平台IP、平台名称、数据对接、数据种类、能力对接、能力种类；

以安全能力API说明文档为主，kafka、Syslog接口说明文档为辅，结合安全能力产品界面数据梳理，统计每一个安全能力中所具备的数据种类及数据字段，明确安全能力中具备的数据内容；

能力数据梳理说明包含且不限于数据维度、数据种类及对应的数据字段；

以主机安全能力API接口主机信息为例，数据维度“API接口”，数据种类“主机信息”，数据字段“主机IP、连接IP、外网IP、内网IP、业务组ID、业务组名；

梳理每一个安全能力中所具备的指令如扫描、杀毒、拦截指令，并梳理每个指令涉及操作的请求参数字段。

作为优选的，在同一类安全能力中，以安全能力数据种类丰富性、数据识别准确性、数据检测准确性、指令能力丰富性维度对网络安全能力质量进行评估，并输出安全能力质量评估分值，以100分为满分；

数据种类丰富性以主机安全能力为例，包括但不限于主机信息、进程信息、端口信息、系统账号信息、用户组信息、web应用信息，数据种类越丰富代表该能力在数据种类丰富性方面能力卓越，评分较高；

数据识别准确性多指行为识别数据，如网络行为识别数量、字段准确性，对于同一流量数据，A能识别100个会话，B只能识别20个会话，这样A的数据识别准确性就要优于B；

数据检测准确性多指威胁检测数据，如入侵检测告警、网络威胁告警，在日常的数字化运营过程中统计误报告警数量和告警总数量进行计算得出告警误报率；例如C的告警误报率低于D的告警误报率，则C的数据检测准确性高于D；

指令能力丰富性指的是同一类安全能力，指令数量的多少和请求参数覆盖面的情况进行评估；

安全能力数据种类丰富性、数据识别准确性、数据检测准确性、指令能力丰富性每个维度百分制进行独立评估，评估后根据不同安全能力类型进行四个维度加权处理得出总体评分，总体评分满分为100分；

平台能力画像指的是针对某一个安全平台的基础信息、部署信息、对接信息、原始数据、结果数据、平台指令维度信息梳理；

以安全平台API接收说明文档为主，kafka、Syslog接口说明文档为辅，结合安全平台产品界面数据梳理，梳理每一个安全平台中所具备的原始数据和结果数据，明确安全平台中的数据信息；

以各大厂商各种安全平台API说明文档为主，梳理每一个安全平台中所具备的指令如扫描、杀毒、拦截指令，并梳理每个指令涉及操作的请求参数字段；

在同一类安全平台中，以安全平台原始数据种类丰富性、结果数据分析准确性、指令能力丰富性维度对网络安全平台质量进行评估，并输出安全能力质量评估分值，以100分为满分；

运营能力多指网络安全数据化运营中心在企业履行工作职责的时候需要对接的即时通讯系统、组织架构系统、工作流程系统、可视化系统协同运营的平台及系统；

运营能力画像指的是针对某一个安全平台的基础信息、部署信息、对接信息、原始数据、结果数据、平台指令维度信息梳理；

以运营能力API接收说明文档为主，其它接口说明文档为辅，结合用户需求完善运营能力数据梳理，统计每一个运营能力中所具备的数据种类及数据字段，明确运营能力中的数据信息；

安全能力指令梳理和平台能力指令梳理均为网络安全自动化可以实现的动作，运营能力更多是协助数字化安全运营中心发布信息或者获取集团组织数据；

安全能力数据分析中心模块中的数据梳理和指令梳理内容多来源于各大厂商产品的API文档，故后续以API文档为单位，每一个API文档对应固定的安全或平台，自动呈现对应的数据和指令；

当安全能力数据分析中心模块中任意能力画像、平台画像、运营画像关联某API文档之时，自动生成对应的数据和指令；

API文档管理主要从管理维度阐述安全能力数据分析中心模块中一共有多少API接口文档，以及每个厂商、每个能力分类下面有多少API接口文档，同时展现该API接口文档的一些基本信息，包含且不限于序号、API文档名称、能力厂商、能力分类、能力名称、能力评分、能力数据数量、能力指令数量、文件链接；

能力对接管理通过获取API文档中调用接口参数帮助网络安全数字化运营中心与对应的能力或平台快速对接完成数据采集及指令下发工作；

能力对接管理以表格的形式展现能力对接现状，包含且不限于序号、IP、平台IP、平台名称、数据对接(开启/关闭)、数据种类、能力对接、能力种类；

新增能力对接包含对接能力IP、对接平台IP、API文档名称、对接数据选择、对接指令选择。

作为优选的，所述网络安全数据分析中心模块包括能力数据采集、业务关联分析、网络行为建模、业务行为画像、资产行为画像和访客行为画像；

能力数据采集主要说明通过API接口从全流量、终端安全、主机安全安全能力获取网络行为数据并关联；

基础数据采集仅需采集业务区域流量数据，需要采集业务区域东西向、南北向全部流量数据进行分析；

完整数据采集不仅包含业务区域流量数据，还需包含终端行为数据和主机行为数据；

如需全流程行为分析，需要将终端数据、流量数据以及主机数据进行数据关联；单纯基于流量数据进行分析不需要数据关联，仅需要单一的流量数据即可完成分析要求；

业务关联分析根据流量数据梳理资产IP及业务系统关联资产，为业务识别和业务行为识别做基础；

收集业务区域流量数据，根据用户提供的网段信息，明确哪些IP属于业务区域资产IP，明确哪些IP属于外网访客IP、内网访客IP；

对业务区域IP资产进行分类，如业务系统、网络设备、安全设备；用户已有信息与IT资产行为结合判断资产分类，明确网络设备、安全设备IP后，剩余IP资产按照业务资产进行统一关联分析；

基于流量数据tcp会话和udp会话人工推测判断哪些IP资产是一个业务系统，新建业务系统并将这些IP资产进行关联分析，形成一个业务系统；逐步将所有IP资产进行分析推测，以业务系统的维度将资产关联在一起；

将通过数据分析判断梳理出的业务系统结合用户的业务资产清单进行整合并完善业务名称及业务所属部门；

网络行为建模主要是基于对业务行为的理解，单纯利用行为数据判断网络行为属于正常行为、可疑行为亦或是异常行为；

一个网络协议(如http、https、SMTP、FTP、DNS)为一种行为，一次网络会话为一个行为；每个业务系统行为相对固定，无论是对外提供服务的web应用服务器，亦或是内部交互的数据库服务器，都是通过指定端口提供服务，即使部分协议通过更多随机端口提供服务，也可以通过该协议定位一种行为；

模型的建立是在流量数据中寻找行为共性数据，定义一个行为；

初期进行人工干预，判断哪些行为是该业务的正常行为，通过行为数据建立行为模型，后续属于该行为模型的数据都进入正常行为库；

当明确哪些行为是明确的异常行为后，与正常行为模型建立的方式相同，建立异常行为模型，异常行为进入异常行为库；

一部分行为既不能明确是正常行为，又不能明确是异常行为，无需建立可疑行为模型，该类行为都进入可疑行为库，待人工进一步分析研判；

针对业务的行为分析判断，并非一成不变；初期优先考虑少量维度定义行为模型，对行为数据进行快速初筛；待后续逐步增加判断字段精细化完善正常和异常模型，提升行为判断的准确性；同时随着时代的发展，业务的变化，行为模型也需要不断的优化以适应新的业务场景。

作为优选的，所述业务行为画像包括业务基本信息、业务行为展示、业务行为模型三部分；

业务基本信息包括且不限于业务名称、业务所属单位、业务系统组成；

网络行为根据流量数据梳理每个业务系统每天/每周/每月的网络行为，并将正常行为、可疑行为和异常行为区分展现；

行为的展现形式为表格，包括且不限于时间、源IP、目的IP、协议、端口全部流量数据字段；

正常行为包含业务系统内部交互行为、正常业务行为、业务资产主动行为；

业务行为模型主要体现单一业务系统中建立过哪些正常行为模型、异常行为模型；可随时根据业务的变化，增添、调整或删减业务模型以匹配业务发展；

资产行为画像主要分为资产基本信息、资产行为展示、资产行为模型三部分；

资产基本信息包括且不限于资产IP、资产分类、内网/外网、资产所属单位；

资产网络行为根据流量数据梳理单一资产IP每天/每周/每月的网络行为，并将正常行为、可疑行为和异常行为区分展现；

行为的展现形式为表格，包括且不限于时间、源IP、目的IP、协议、端口全部流量数据字段；

资产行为模型主要体现单一IP资产中建立过哪些正常行为模型、异常行为模型；可随时根据IP资产的变化，增添、调整或删减行为模型；

访客行为画像主要指针对访问业务系统的内网/外网终端资产IP，将其行为以IP画像的方式记录下来，便于后续进行事件调查及分析研判使用；

访客行为画像主要分为访客基本信息和访客行为展示两部分组成；

访客基本信息包括且不限于访客IP、内网/外网、最早记录时间、历史访问行为、历史访问对象及端口；

访客行为展示根据流量数据梳理每个访客IP每天/每周/每月的网络行为；

行为的展现形式为表格，包括且不限于时间、源IP、目的IP、协议、端口全部流量数据字段；

访问行为以协议的维度进行分别展示，展现每个行为的时间、源IP、目的IP、端口、上下行数据量、访问成功/失败全部流量数据字段。

作为优选的，数据分析中心中建立正常行为模型、异常行为模型，将行为数据分入三个库，形成正常行为数据、可疑行为数据、异常行为数据三类行为数据；

全流量分析能力多台部署，采集业务系统每一个网络交互行为，将采集到的流量信息通过API接口上传到对应的数据分析中心；

数据分析中心通过API接口采集终端安全能力和主机安全能力的行为数据；

数据分析中心通过API接口的方式采集终端安全能力、全流量分析能力、主机安全能力的关键数据；

作为优选的，所述网络安全数字化安全运营中心数据采集通过API接口、Syslog多种方式聚合各种安全能力关键数据，并接收网络安全数字化运营中心模块数据，同时支持按需从各种安全能力提取需要的数据；

数据应用模块主要是实现基础数据展示，以业务态势、资产态势、访客态势、行为态势、告警态势、风险态势、能力态势维度展现网络安全运营工作中需要关注的内容；

以业务墙的方式展示一个单位全部的业务系统安全态势，每一个方框代表一个业务系统，从异常行为、潜在攻击、潜在风险三个维度评估一个业务系统的安全状态；

安全状态根据不同分值呈现不同颜色，满分100分；异常行为权重60％，潜在攻击权重20％，潜在风险权重20％；

选择任意业务系统方框即可跳转至对应业务系统的业务画像界面；

业务梳理界面左边是树桩的企业架构图，说明多级主分公司的同时也明确每个公司具备的业务系统数量；

右边以表格的形式展现指定公司的业务系统信息，包含且不限于业务唯一标识、业务名称、业务所属单位、业务所属部门、业务重要性、级保护级别、异常行为数、潜在攻击数、潜在风险数；

支持业务名称、业务唯一标识对业务进行检索；

业务画像包含业务基本信息、潜在攻击信息、潜在风险信息、业务行为信息、业务行为模型三部分；

业务基本信息包含且不限于业务唯一标识、业务名称、业务所属单位、业务所属部门、业务重要性、级保护级别、异常行为数、潜在攻击数、潜在风险数、业务系统组成；

以表格的形式展现业务系统组成的IP资产信息，包括且不限于资产唯一标识、IP、所属区域、资产名称、组件数量、操作系统、端口数量信息；表格每一行最右侧支持资产编辑，编辑内容主要包含是否移除该资产IP；

单击业务系统组成资产IP，可跳转至对应资产IP画像；

潜在攻击信息以列表的方式展现经过数据分析模块处理后且与该业务所涉及资产相关的告警数据；

潜在风险信息以列表的方式展现通过多源渠道如漏扫、主机安全收集上来的业务资产风险数据；

业务行为信息将展示每个业务系统每天/每周/每月的网络行为，并将正常行为、可疑行为和异常行为区分展现；

行为的展现形式为表格，包括且不限于时间、源IP、目的IP、协议、端口全部流量数据字段；

正常行为信息包含业务系统内部交互行为、正常业务行为、业务资产主动行为；

业务行为模型主要体现单一业务系统中建立过哪些正常行为模型、异常行为模型；可随时根据业务的变化，增添、调整或删减业务模型以匹配业务发展。

作为优选的，资产信息来源包括且不限于资产测绘、主机安全、终端安全、流量识别；数据以主机安全、终端安全为主，资产测绘为辅，流量识别作为资产信息补充；

资产梳理界面左边是树桩的企业架构图，说明多级主分公司的同时也明确每个公司具备的IT资产数量；

资产梳理界面右边是表格形式呈现资产信息，表格上方展现现存资产数量、新增资产数量、离线资产数量；同时表格以标签的形式显示主机资产、安全资产、网络资产、终端资产、其它资产；

每个标签下面一个表格，表格中展示信息包括且不限于资产唯一标识、IP、所属区域、资产名称、组件数量、操作系统、端口数量信息；表格每一行最右侧支持资产编辑，编辑内容主要包含所属区域、资产名称、所属业务系统或所属业务标识；

支持IP、所属区域、所属业务系统维度对资产进行检索；支持依据IP、组件数量、端口数量进行资产排列；

资产基本信息包含且不限于资产唯一标识、资产名称、资产所属单位、资产所属部门、资产重要性、异常行为数、潜在攻击数、潜在风险数；

以表格的形式展现该IP资产支持的业务系统，业务基本信息包含且不限于业务唯一标识、业务名称、业务所属单位、业务所属部门、业务重要性、级保护级别、异常行为数、潜在攻击数、潜在风险数；

单击业务系统名称，可跳转至对应业务系统画像；

潜在攻击信息以列表的方式展现经过数据分析模块处理后且与该资产相关的告警数据；

潜在风险信息以列表的方式展现通过多源渠道如漏扫、主机安全收集上来的IP资产风险数据；

资产行为信息将展示每个资产每天/每周/每月的网络行为，并将正常行为、可疑行为和异常行为区分展现；

行为的展现形式为表格，包括且不限于时间、源IP、目的IP、协议、端口全部流量数据字段；

正常行为信息为匹配上正常行为模型的行为数据；主要指该资产正常的业务服务行为以及必要的基本行为；

异常行为信息为匹配上异常行为模型的行为数据；

可疑行为信息为未匹配正常行为和异常行为模型的行为数据；

资产行为模型主要体现单一资产中建立过哪些正常行为模型、异常行为模型；可随时根据资产的变化，增添、调整或删减模型以匹配资产变化；

以每天/每周/每月的时间维度统计访客行为信息；包括且不限于访客数量、访客行为、被访问业务数量以及被访问其它资产数量；

总体访客数量、内网访客数量、互联网访客数量、第三方访客数量；

访客行为展示整体访问行为及数量、内网访客行为及数量、互联网访客行为及数量、第三方访客行为及数量；

选择内网访客数量、互联网访客数量、第三方访客数量分别跳转到对应的内网访客态势、互联网访客态势和第三方访客态势；

以表格的形式展现被访问业务系统及数量，选择业务系统可跳转至对应业务系统的业务画像；

以表格的形式展现被访问其它资产IP及数量，选择资产IP可跳转至对应资产IP画像；

内网访客态势主要依赖于IP地址段的划分，从访问我方业务系统的流量信息中获取内网访客的访问行为，包含且不限于访问协议、访问对象、访问结果、上传/下载数据量。

作为优选的，访客基本信息包含且不限于IP、公司、城市、最初访问时间、最近访问时间、访问行为、访问对象；

潜在攻击信息以列表的方式展现经过数据分析模块处理后且与该内网访客相关的告警数据；

访客行为信息以表格的形式展现每日/每周/每月该用户正常/可疑/异常访问行为信息，包含且不限于源IP、目的IP、协议、业务系统、访问结果、上传/下载数据量；

与访问权限控制类安全能力对接，获取每个访客IP所具备的访问权限；

用户访客态势主要指具备人员身份认证的环境，以人为单位进行访问态势梳理；访问行为信息来源于统一身份认证系统行为记录与流量信息相结合；包含且不限于访问协议、访问对象、访问结果、上传/下载数据量；

以每天/每周/每月的时间维度统计行为态势信息；

统计每天/每周/每月业务区域的行为种类数量、可疑行为数量、异常行为数量，并以趋势图的方式实时展现正常行为、可疑行为、异常行为数量趋势；

行为梳理界面左边是树桩的企业架构图，说明多级主分公司的同时也明确每个公司业务正常行为、可疑行为和异常行为以及对应行为数量；

右边以表格的形式展现指定公司对应的正常行为、可疑行为和异常行为信息，包含且不限于行为种类、源IP、目的IP、源端口、目的端口、业务名称；

支持行为种类、业务名称、IP维度对行为信息进行检索；

选择业务名称，跳转至业务画像界面；

行为梳理界面左边是树桩的访客组织包括且不限于内部访客、用户访客、互联网访客、第三方访客，并明确每一类访客正常行为数量、可疑行为数量和异常行为数量；

右边以表格的形式展现指定访客对应的正常行为、可疑行为和异常行为信息，包含且不限于行为种类、源IP、目的IP、源端口、目的端口、业务名称；

支持行为种类、业务名称、IP维度对行为信息进行检索；

选择业务名称，跳转至业务画像界面；

选择IP，业务区IP跳转至IP资产画像、访客IP跳转至对应的访客画像；

以数据的方式展现内部风险总数、高危数量、中危数量以及低危数量；并以风险统计的方式展现个风险类别影响的资产数量；

统计网络中存在的漏洞风险，进行漏洞画像；需要包含信息漏洞名称、漏洞编号、漏洞公开时间、危害级别、影响产品、漏洞编号、漏洞描述、漏洞类型、参考链接、漏洞解决方案、漏洞补丁、验证信息；

同时漏洞画像中包含该漏洞影响哪些业务系统中的哪个主机/数据库及对应IP，输出哪些业务系统可能存在该漏洞；

展示威胁情报来源、情报类型分布和情报录入趋势；通过数据展示各个情报类型的情报数量；

安全能力基本信息包括且不限于产品名称、能力分类、能力厂商、能力评分、售后单位/人员/联系方式、在线数量/总体数量、API多少能力数据种类、API多少能力指令数量、API文档版本编号；

以表格的形式展现安全能力运营信息，包含且不限于序号、IP、软件/硬件、产品型号、性能指标、能力版本、授权截止时间、在线/离线、部署位置；

统计每个安全能力聚合后的告警数据数量及误报数据数量，通过计算得出安全能力误报率；

潜在攻击信息以列表的方式展现经过数据分析模块处理后且与该安全能力相关的告警数据；

潜在风险信息以列表的方式展现通过多源渠道如漏扫、主机安全收集上来的安全能力风险数据；

能力行为模型主要体现单一安全能力中建立过哪些正常行为模型、异常行为模型；可随时根据安全能力的变化，增添、调整或删减模型以匹配安全能力变化；

能力误报信息主要指针对分析研判后的告警数据加白处理进入误报信息库的数据；逐一进入每个安全能力画像中，用以评估安全能力威胁检测质量；

资产数据信息采集方式包括且不限于资产测绘、主机安全、流量分析等安全能力；

根据资产会话访问关系及端口，以业务的维度梳理资产关联关系，并由用户方确认并提供业务名称等信息；

通过API、Syslog方式采集全量安全能力告警数据，通过五元组方式将告警信息聚类去重，降低告警数据数量；

优先处理流量类告警数据，流量告警数据基于源IP、目的IP的维度将流量告警数据与流量行为元数据关联，行为元数据是每个协议的数据包包头字段，可通过API的方式从流量分析能力中提取；

将告警数据分为两部分，一部分为正常业务行为被误识别，可通过元数据判断该告警为误报；另一部分为访客发起非正常业务类的访问，该访问无论是否成功都对业务算潜在攻击行为，记为潜在攻击信息；

内部风险数据获取渠道包括且不限于漏扫、主机安全，通过API的方式获取内部风险数据；

外部风险数据主要指黑IP、黑域名风险情报数据，通过API的方式从威胁情报平台获取；

针对漏洞数据，经漏洞验证或执行人员反馈不可修复，对该漏洞数据加灰，表示该漏洞无法修复；同时降低已存在漏洞未处置数量；

经过安全事件研判，明确攻击事件成立后，分析该攻击事件利用的攻击方式方法，反推网络安全风险点，并基于安全风险数据标识对内网中存在该风险点资产进行检索，支持该类风险新建及数据统计；

数据分析中心上传的正常行为、可疑行为以及异常行为等行为数据与告警数据(源IP、目的IP或五元组数据)、外部风险数据(情报数据)进行关联；

关联后的数据进行人工判断，判断正常行为中是否存在可疑行为或异常行为，同时完善正常行为模型、异常行为模型；

基于行为分析中的异常行为模型，建立业务系统共性异常行为模型，并通过表格的形式进行异常行为碰撞展现；

误报数据分析界面左边是树桩的企业架构图，说明多级主分公司具备的安全能力的同时也明确每个安全能力误报数据数量，右边以表格的形式展现该安全能力的误报告警数据；

经研判分析的安全事件一旦成立，反查误报数据中是否存在误判的数据，如果有证明该数据有效，移除误报数据库并分析误判原因；

基于分析研判后的告警数据进行分析，梳理攻击源IP最早访问时间以及近一天/一周/一月在内网中的全部访问对象、访问行为及触发的告警信息；

尝试推测攻击源IP攻击方式方法以及攻击意图；

基于任意一次准确的安全事件研判分析后，定位攻击者攻击的方式方法并探索内网中潜在的风险点，用数据描述潜在的风险点并检索其它业务系统是否存在共性的潜在风险点进行整改；

基于访客的可疑行为或异常行为，定位是否对业务系统造成潜在危害的点，同时对正常行为模型/异常行为模型进行修正；

基于攻击方法(告警分类/协议)相似的行为或攻击目标相似的行为进行关联分析，探索其中是否存在必要的关联，进而感知内网存在的网络威胁；

根据用户的场景制定不同的安全事件响应流程，包括且不限于环节数量、角色数量、工作职责；

安全事件监察员或其它事件观察员当发现异常行为或事件时发起流程，并对事件进行分拨；

处置人员对事件进行跟进处置并上报处置结果；

事件完成后对安全风险点进行整改并关闭事件响应流程；

统计通告事件数量及工作质量，对工作量及工作质量进行展现；

工作成果展示包括且不限于安全能力动作及安全防护成果呈现；

安全工作任务界面左边树状图展示组织架构及每个组织的指令能力，右边表格展现每个任务名称及执行情况；

定义不同场景的防护动作集，包含且不限于防火墙、阻断器等。设定三级防护，一级防护一键极致，二级防护一键收紧，三级防护一键常态。实现安全事件特殊场景紧急响应；

基于业务态势数据，在可视化大屏上通过拖拽的方式呈现业务安全态势；

基于潜在攻击数据，在可视化大屏上通过拖拽的方式呈现潜在攻击态势；

基于潜在风险数据，在可视化大屏上通过拖拽的方式呈现潜在风险态势；

基于异常行为数据，在可视化大屏上通过拖拽的方式呈现异常行为态势；

基于安全能力数据，在可视化大屏上通过拖拽的方式呈现安全能力态势及安全事件处置效果态势；

根据用户不同的需求，提供自定义数据展现，并通过拖拽的方式实现自定义可视化态势。

本发明的有益效果为：通过梳理底层安全能力数据，为安全运营提供全面、准确数据基础，并建立安全能力评估方法，推动网络安全产品高质量发展。通过建立正常行为模型的数据分析方法感知网络中存在的异常行为，提升网络威胁感知的准确率。通过数字化的运营思路聚焦解决网络安全运营存在问题，推动网络安全数字化转型，提升网络安全运营效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的网络行为建模示意图。

图2是根据本发明实施例的整体部署拓扑示意图之一；

图3是根据本发明实施例的整体部署拓扑示意图之二；

图4是根据本发明实施例的安全数据采集示意图

图5是根据本发明实施例的数据流转说明示意图；

图6是根据本发明实施例的安全能力画像示意图；

具体实施方式

为进一步说明各实施例，本发明提供有附图，这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理，配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点，图中的组件并未按比例绘制，而类似的组件符号通常用来表示类似的组件。

根据本发明的实施例，提供了一种网络安全数字化运营平台。

实施例一；

如图1-6所示，根据本发明实施例的网络安全数字化运营平台，包括安全能力数据分析中心模块、网络安全数据分析中心模块和网络安全数字化运营中心模块三部分组成；

安全能力数据分析中心模块由安全能力态势子模块、安全能力管理子模块、安全能力画像子模块、平台能力画像子模块、运营能力画像子模块、API文档管理子模块和能力对接管理子模块组成，安全能力画像子模块解决安全能力数据说明、指令说明以及能力质量评估；能力对接管理子模块解决数字化运营平台与安全能力、安全平台、运营平台快速对接；

网络安全数据分析中心模块由能力数据采集子模块、业务关联分析子模块、网络行为建模子模块、业务行为画像子模块、资产行为画像子模块、访客行为画像子模块组成；网络安全数据分析中心模块是基于网络安全数据分析算法，结合从底层安全能力获取指定的数据，感知网络异常行为而形成的网络安全数据分析中心为上层的网络安全数字化运营赋能；

网络安全数字化运营中心模块由数据采集子模块、数据应用子模块、数据分析子模块、事件响应子模块、事件处置子模块以及数据可视化子模块组成；通过数字化的运营思路聚焦解决网络安全运营存在问题，推动网络安全数字化转型，提升网络安全运营效率。

实施例二；

如图1-6所示，所述安全能力数据分析中心模块包括安全能力态势展现整体安全能力、平台能力、运营能力的态势，包括且不限于能力数量(安全能力数量、安全平台数量、运营平台数量)、能力覆盖对接厂商、能力分类数量统计以及能力与数字化运营中心对接情况展示；

安全能力管理主要从管理维度阐述企业内部各个单位有多少网络安全能力，同时展现该能力的一些基本信息，点击安全能力IP还可以跳转到安全能力画像；

安全能力管理支持以树状图的方式展现集团组织架构及具备安全能力的数量；

安全能力基本信息包含且不限于能力分类、IP、部署位置、能力名称、能力厂商、能力评分、能力数据、能力指令、能力版本、在线/离线、授权截止时间、售后人员、联系方式。

安全能力画像指的是针对某一个安全能力的基础信息、部署信息、对接信息、能力数据、能力指令维度信息梳理；

基础信息包括且不限于产品名称、能力分类、能力厂商、能力评分、售后单位/人员/联系方式、在线数量/总体数量、API多少能力数据种类、API多少能力指令数量、API文档版本编号；能力评分指的即是安全能力质量评估分值，API文档版本编号具备跳转链接，点击可跳转对应API接口文档；

部署信息包括且不限于序号、IP、软件/硬件、产品型号、性能指标、能力版本、授权截止时间、在线/离线、部署位置；

全能力对接信息指的是安全能力与各个对接平台的对接情况；信息内容包含且不限于序号、能力IP、平台IP、平台名称、数据对接(开启/关闭)、数据种类、能力对接、能力种类；

以安全能力API说明文档为主，kafka、Syslog接口说明文档为辅，结合安全能力产品界面数据梳理，统计每一个安全能力中所具备的数据种类及数据字段，明确安全能力中具备的数据内容；

能力数据梳理说明包含且不限于数据维度(API数据、全量数据(非API)、Syslog数据、kafka数据)、数据种类及对应的数据字段；

以主机安全能力API接口主机信息为例，数据维度“API接口”，数据种类“主机信息”，数据字段“主机IP、连接IP、外网IP、内网IP、业务组ID、业务组名；

梳理每一个安全能力中所具备的指令如扫描、杀毒、拦截指令，并梳理每个指令涉及操作的请求参数字段。

在同一类安全能力中，以安全能力数据种类丰富性、数据识别准确性、数据检测准确性、指令能力丰富性维度对网络安全能力质量进行评估，并输出安全能力质量评估分值，以100分为满分；

数据种类丰富性以主机安全能力为例，包括但不限于主机信息、进程信息、端口信息、系统账号信息、用户组信息、web应用信息，数据种类越丰富代表该能力在数据种类丰富性方面能力卓越，评分较高；

数据识别准确性多指行为识别数据，如网络行为识别数量、字段准确性，对于同一流量数据，A能识别100个会话，B只能识别20个会话，这样A的数据识别准确性就要优于B；

数据检测准确性多指威胁检测数据，如入侵检测告警、网络威胁告警，在日常的数字化运营过程中统计误报告警数量和告警总数量进行计算得出告警误报率；例如C的告警误报率(误报告警数量/告警数量*100％)低于D的告警误报率，则C的数据检测准确性高于D；

指令能力丰富性指的是同一类安全能力，指令数量的多少和请求参数覆盖面的情况进行评估；

安全能力数据种类丰富性、数据识别准确性、数据检测准确性、指令能力丰富性每个维度百分制进行独立评估，评估后根据不同安全能力类型进行四个维度加权处理得出总体评分，总体评分满分为100分；

平台能力画像指的是针对某一个安全平台(SOC平台、态感平台安全平台)的基础信息、部署信息、对接信息、原始数据、结果数据、平台指令维度信息梳理；

以安全平台API接收说明文档为主，kafka、Syslog接口说明文档为辅，结合安全平台产品界面数据梳理，梳理每一个安全平台中所具备的原始数据(从前端安全能力采集的原始数据)和结果数据(在平台上经过数据分析得到的结果数据)，明确安全平台中的数据信息；

以各大厂商各种安全平台API说明文档为主，梳理每一个安全平台中所具备的指令如扫描、杀毒、拦截指令，并梳理每个指令涉及操作的请求参数字段；

在同一类安全平台中，以安全平台原始数据种类丰富性、结果数据分析准确性、指令能力丰富性维度对网络安全平台质量进行评估，并输出安全能力质量评估分值，以100分为满分；

运营能力多指网络安全数据化运营中心在企业履行工作职责的时候需要对接的即时通讯系统、组织架构系统、工作流程系统、可视化系统协同运营的平台及系统；

运营能力画像指的是针对某一个安全平台的基础信息、部署信息、对接信息、原始数据、结果数据、平台指令维度信息梳理；

以运营能力API接收说明文档为主，其它接口说明文档为辅，结合用户需求完善运营能力数据梳理，统计每一个运营能力中所具备的数据种类及数据字段，明确运营能力中的数据信息；

安全能力指令梳理和平台能力指令梳理均为网络安全自动化可以实现的动作，运营能力更多是协助数字化安全运营中心发布信息或者获取集团组织数据；

安全能力数据分析中心模块中的数据梳理和指令梳理内容多来源于各大厂商产品的API文档，故后续以API文档为单位，每一个API文档对应固定的安全或平台，自动呈现对应的数据和指令；

当安全能力数据分析中心模块中任意能力画像、平台画像、运营画像关联某API文档之时，自动生成对应的数据和指令；

API文档管理主要从管理维度阐述安全能力数据分析中心模块中一共有多少API接口文档，以及每个厂商、每个能力分类下面有多少API接口文档，同时展现该API接口文档的一些基本信息，包含且不限于序号、API文档名称、能力厂商、能力分类、能力名称、能力评分、能力数据数量、能力指令数量、文件链接；

能力对接管理通过获取API文档中调用接口参数帮助网络安全数字化运营中心与对应的能力或平台快速对接完成数据采集及指令下发工作；

能力对接管理以表格的形式展现能力对接现状，包含且不限于序号、IP、平台IP、平台名称、数据对接(开启/关闭)、数据种类、能力对接(开启/关闭)、能力种类；

新增能力对接包含对接能力IP、对接平台IP、API文档名称、对接数据选择、对接指令选择。

实施例三；

如图1-6所示，所述网络安全数据分析中心模块包括能力数据采集、业务关联分析、网络行为建模、业务行为画像、资产行为画像和访客行为画像；

能力数据采集主要说明通过API接口从全流量、终端安全、主机安全安全能力获取网络行为数据并关联；

基础数据采集仅需采集业务区域流量数据，需要采集业务区域东西向、南北向全部流量数据进行分析；

完整数据采集不仅包含业务区域流量数据，还需包含终端行为数据和主机行为数据；

如需全流程行为分析，需要将终端数据、流量数据以及主机数据进行数据关联；单纯基于流量数据进行分析不需要数据关联，仅需要单一的流量数据即可完成分析要求；

业务关联分析根据流量数据梳理资产IP及业务系统关联资产，为业务识别和业务行为识别做基础；

收集业务区域流量数据，根据用户提供的网段信息，明确哪些IP属于业务区域资产IP，明确哪些IP属于外网访客IP、内网访客IP；

对业务区域IP资产进行分类，如业务系统、网络设备、安全设备；用户已有信息与IT资产行为结合判断资产分类，明确网络设备、安全设备IP后，剩余IP资产按照业务资产进行统一关联分析；

基于流量数据tcp会话和udp会话人工推测判断哪些IP资产是一个业务系统，新建业务系统并将这些IP资产进行关联分析，形成一个业务系统；逐步将所有IP资产进行分析推测，以业务系统的维度将资产关联在一起；

将通过数据分析判断梳理出的业务系统结合用户的业务资产清单进行整合并完善业务名称及业务所属部门；

网络行为建模主要是基于对业务行为的理解，单纯利用行为数据判断网络行为属于正常行为、可疑行为亦或是异常行为；

一个网络协议(如http、https、SMTP、FTP、DNS)为一种行为，一次网络会话为一个行为；每个业务系统行为相对固定，无论是对外提供服务的web应用服务器，亦或是内部交互的数据库服务器，都是通过指定端口提供服务，即使部分协议通过更多随机端口提供服务，也可以通过该协议定位一种行为；

模型的建立是在流量数据中寻找行为共性数据，定义一个行为；

初期进行人工干预，判断哪些行为是该业务的正常行为，通过行为数据建立行为模型，后续属于该行为模型的数据都进入正常行为库；

当明确哪些行为是明确的异常行为后，与正常行为模型建立的方式相同，建立异常行为模型，异常行为进入异常行为库；

一部分行为既不能明确是正常行为，又不能明确是异常行为，无需建立可疑行为模型，该类行为都进入可疑行为库，待人工进一步分析研判；

针对业务的行为分析判断，并非一成不变；初期优先考虑少量维度定义行为模型，对行为数据进行快速初筛；待后续逐步增加判断字段精细化完善正常和异常模型，提升行为判断的准确性；同时随着时代的发展，业务的变化，行为模型也需要不断的优化以适应新的业务场景。

所述业务行为画像包括业务基本信息、业务行为展示、业务行为模型三部分；

业务基本信息包括且不限于业务名称、业务所属单位、业务系统组成；

网络行为根据流量数据梳理每个业务系统每天/每周/每月的网络行为，并将正常行为、可疑行为和异常行为区分展现；

行为的展现形式为表格，包括且不限于时间、源IP、目的IP、协议、端口全部流量数据字段；

正常行为包含业务系统内部交互行为(应用与应用、应用与数据库)、正常业务行为、业务资产主动行为；

业务行为模型主要体现单一业务系统中建立过哪些正常行为模型、异常行为模型；可随时根据业务的变化，增添、调整或删减业务模型以匹配业务发展；

资产行为画像主要分为资产基本信息、资产行为展示、资产行为模型三部分；

资产基本信息包括且不限于资产IP、资产分类(终端、网络设备、安全设备、主机)、内网/外网、资产所属单位；

资产网络行为根据流量数据梳理单一资产IP每天/每周/每月的网络行为，并将正常行为、可疑行为和异常行为区分展现；

行为的展现形式为表格，包括且不限于时间、源IP、目的IP、协议、端口全部流量数据字段；

资产行为模型主要体现单一IP资产中建立过哪些正常行为模型、异常行为模型；可随时根据IP资产的变化，增添、调整或删减行为模型；

访客行为画像主要指针对访问业务系统的内网/外网终端资产IP，将其行为以IP画像的方式记录下来，便于后续进行事件调查及分析研判使用；

访客行为画像主要分为访客基本信息和访客行为展示两部分组成；

访客基本信息包括且不限于访客IP、内网/外网、最早记录时间、历史访问行为(协议)、历史访问对象(内网IP/业务系统)及端口；

访客行为展示根据流量数据梳理每个访客IP每天/每周/每月的网络行为；

行为的展现形式为表格，包括且不限于时间、源IP、目的IP、协议、端口全部流量数据字段；

访问行为以协议的维度进行分别展示，展现每个行为(协议)的时间、源IP、目的IP、端口、上下行数据量、访问成功/失败全部流量数据字段。

数据分析中心中建立正常行为模型、异常行为模型，将行为数据分入三个库，形成正常行为数据、可疑行为数据、异常行为数据三类行为数据；

全流量分析能力多台部署，采集业务系统每一个网络交互行为，将采集到的流量信息通过API接口上传到对应的数据分析中心；

数据分析中心通过API接口采集终端安全能力和主机安全能力的行为数据；

数据分析中心通过API接口的方式采集终端安全能力、全流量分析能力、主机安全能力的关键数据；

实施例四；

如图1-6所示，所述网络安全数字化安全运营中心数据采集通过API接口、Syslog多种方式聚合各种安全能力关键数据，并接收网络安全数字化运营中心模块数据，同时支持按需从各种安全能力提取需要的数据；

数据应用模块主要是实现基础数据展示，以业务态势、资产态势、访客态势、行为态势、告警态势、风险态势、能力态势维度展现网络安全运营工作中需要关注的内容；

以业务墙的方式展示一个单位全部的业务系统安全态势，每一个方框代表一个业务系统，从异常行为、潜在攻击(告警数据)、潜在风险(风险数据)三个维度评估一个业务系统的安全状态；

安全状态根据不同分值呈现不同颜色，满分100分；异常行为权重60％，潜在攻击权重20％，潜在风险权重20％；

选择任意业务系统方框即可跳转至对应业务系统的业务画像界面；

业务梳理界面左边是树桩的企业架构图，说明多级主分公司的同时也明确每个公司具备的业务系统数量；

右边以表格的形式展现指定公司的业务系统信息，包含且不限于业务唯一标识、业务名称、业务所属单位、业务所属部门、业务重要性、级保护级别、异常行为数、潜在攻击数、潜在风险数；

支持业务名称、业务唯一标识对业务进行检索；

业务画像包含业务基本信息、潜在攻击信息(告警数据)、潜在风险信息(风险数据)、业务行为信息、业务行为模型三部分；

业务基本信息包含且不限于业务唯一标识、业务名称、业务所属单位、业务所属部门、业务重要性、级保护级别、异常行为数、潜在攻击数、潜在风险数、业务系统组成(应用/数据库)；

以表格的形式展现业务系统组成的IP资产信息，包括且不限于资产唯一标识、IP、所属区域、资产名称、组件数量、操作系统、端口数量信息；表格每一行最右侧支持资产编辑，编辑内容主要包含是否移除该资产IP；

单击业务系统组成资产IP，可跳转至对应资产IP画像；

潜在攻击信息以列表的方式展现经过数据分析模块处理后且与该业务所涉及资产相关的告警数据；

潜在风险信息以列表的方式展现通过多源渠道如漏扫、主机安全收集上来的业务资产风险数据；

业务行为信息将展示每个业务系统每天/每周/每月的网络行为，并将正常行为、可疑行为和异常行为区分展现；

行为的展现形式为表格，包括且不限于时间、源IP、目的IP、协议、端口全部流量数据字段；

正常行为信息包含业务系统内部交互行为(应用与应用、应用与数据库)、正常业务行为、业务资产主动行为；

业务行为模型主要体现单一业务系统中建立过哪些正常行为模型、异常行为模型；可随时根据业务的变化，增添、调整或删减业务模型以匹配业务发展。

资产信息来源包括且不限于资产测绘、主机安全、终端安全、流量识别；数据以主机安全、终端安全为主，资产测绘为辅，流量识别作为资产信息补充；

资产梳理界面左边是树桩的企业架构图，说明多级主分公司的同时也明确每个公司具备的IT资产数量；

资产梳理界面右边是表格形式呈现资产信息，表格上方展现现存资产数量、新增资产数量、离线资产数量；同时表格以标签的形式显示主机资产(数量)、安全资产(数量)、网络资产(数量)、终端资产(数量)、其它资产(数量)；

每个标签下面一个表格，表格中展示信息包括且不限于资产唯一标识、IP、所属区域、资产名称、组件数量、操作系统、端口数量信息；表格每一行最右侧支持资产编辑，编辑内容主要包含所属区域、资产名称、所属业务系统或所属业务标识；

支持IP、所属区域、所属业务系统维度对资产进行检索；支持依据IP、组件数量、端口数量进行资产排列；

资产基本信息包含且不限于资产唯一标识、资产名称、资产所属单位、资产所属部门、资产重要性、异常行为数、潜在攻击数、潜在风险数；

以表格的形式展现该IP资产支持的业务系统，业务基本信息包含且不限于业务唯一标识、业务名称、业务所属单位、业务所属部门、业务重要性、级保护级别、异常行为数、潜在攻击数、潜在风险数；

单击业务系统名称，可跳转至对应业务系统画像；

潜在攻击信息以列表的方式展现经过数据分析模块处理后且与该资产相关的告警数据；

潜在风险信息以列表的方式展现通过多源渠道如漏扫、主机安全收集上来的IP资产风险数据；

资产行为信息将展示每个资产每天/每周/每月的网络行为，并将正常行为、可疑行为和异常行为区分展现；

行为的展现形式为表格，包括且不限于时间、源IP、目的IP、协议、端口全部流量数据字段；

正常行为信息为匹配上正常行为模型的行为数据；主要指该资产正常的业务服务行为以及必要的基本行为；

异常行为信息为匹配上异常行为模型的行为数据；

可疑行为信息为未匹配正常行为和异常行为模型的行为数据；

资产行为模型主要体现单一资产中建立过哪些正常行为模型、异常行为模型；可随时根据资产的变化，增添、调整或删减模型以匹配资产变化；

以每天/每周/每月的时间维度统计访客行为信息；包括且不限于访客数量、访客行为、被访问业务数量以及被访问其它资产数量；

总体访客数量(非业务系统区IP数量合)、内网访客数量、互联网访客数量、第三方访客数量；

访客行为展示整体访问行为(网络协议)及数量、内网访客行为及数量、互联网访客行为及数量、第三方访客行为及数量；

选择内网访客数量、互联网访客数量、第三方访客数量分别跳转到对应的内网访客态势、互联网访客态势和第三方访客态势；

以表格的形式展现被访问业务系统及数量，选择业务系统可跳转至对应业务系统的业务画像；

以表格的形式展现被访问其它资产IP及数量，选择资产IP可跳转至对应资产IP画像；

内网访客态势主要依赖于IP地址段的划分，从访问我方业务系统的流量信息中获取内网访客的访问行为，包含且不限于访问协议、访问对象、访问结果(成功/失败)、上传/下载数据量。

访客基本信息包含且不限于IP、公司、城市、最初访问时间、最近访问时间、访问行为(协议)、访问对象(业务/资产)；

潜在攻击信息以列表的方式展现经过数据分析模块处理后且与该内网访客相关的告警数据；

访客行为信息以表格的形式展现每日/每周/每月该用户正常/可疑/异常访问行为信息，包含且不限于源IP、目的IP、协议、业务系统、访问结果(成功/失败)、上传/下载数据量；

与访问权限控制类安全能力对接，获取每个访客IP所具备的访问权限；

用户访客态势主要指具备人员身份认证的环境，以人为单位进行访问态势梳理；访问行为信息来源于统一身份认证系统行为记录与流量信息相结合；包含且不限于访问协议、访问对象、访问结果(成功/失败)、上传/下载数据量；

以每天/每周/每月的时间维度统计行为态势信息；

统计每天/每周/每月业务区域的行为种类(协议)数量、可疑行为数量、异常行为数量，并以趋势图的方式实时展现正常行为、可疑行为、异常行为数量趋势；

行为梳理界面左边是树桩的企业架构图，说明多级主分公司的同时也明确每个公司业务正常行为、可疑行为和异常行为以及对应行为数量；

右边以表格的形式展现指定公司对应的正常行为、可疑行为和异常行为信息，包含且不限于行为种类(协议，如http、DNS)、源IP、目的IP、源端口、目的端口、业务名称；

支持行为种类(协议)、业务名称、IP维度对行为信息进行检索；

选择业务名称，跳转至业务画像界面；

行为梳理界面左边是树桩的访客组织包括且不限于内部访客、用户访客、互联网访客、第三方访客，并明确每一类访客正常行为数量、可疑行为数量和异常行为数量；

右边以表格的形式展现指定访客对应的正常行为、可疑行为和异常行为信息，包含且不限于行为种类(协议，如http、DNS)、源IP、目的IP、源端口、目的端口、业务名称；

支持行为种类(协议)、业务名称、IP维度对行为信息进行检索；

选择业务名称，跳转至业务画像界面；

选择IP，业务区IP跳转至IP资产画像、访客IP跳转至对应的访客画像；

以数据的方式展现内部风险总数、高危数量、中危数量以及低危数量；并以风险统计的方式展现个风险类别影响的资产数量；

统计网络中存在的漏洞风险，进行漏洞画像；需要包含信息漏洞名称、漏洞编号(CNVD/CNNVD)、漏洞公开时间、危害级别、影响产品、漏洞编号(CVE-ID)、漏洞描述、漏洞类型、参考链接、漏洞解决方案、漏洞补丁、验证信息；

同时漏洞画像中包含该漏洞影响哪些业务系统中的哪个主机/数据库及对应IP，输出哪些业务系统可能存在该漏洞(业务名称+主机/数据库+IP)

展示威胁情报来源、情报类型分布和情报录入趋势；通过数据展示各个情报类型的情报数量；

安全能力基本信息包括且不限于产品名称、能力分类、能力厂商、能力评分、售后单位/人员/联系方式、在线数量/总体数量、API多少能力数据种类、API多少能力指令数量、API文档版本编号；

以表格的形式展现安全能力运营信息，包含且不限于序号、IP、软件/硬件、产品型号、性能指标、能力版本、授权截止时间、在线/离线、部署位置；

统计每个安全能力聚合后的告警数据数量及误报数据数量，通过计算得出安全能力误报率；

潜在攻击信息以列表的方式展现经过数据分析模块处理后且与该安全能力相关的告警数据；

潜在风险信息以列表的方式展现通过多源渠道如漏扫、主机安全收集上来的安全能力风险数据；

能力行为模型主要体现单一安全能力中建立过哪些正常行为模型、异常行为模型；可随时根据安全能力的变化，增添、调整或删减模型以匹配安全能力变化；

能力误报信息主要指针对分析研判后的告警数据加白处理进入误报信息库的数据；逐一进入每个安全能力画像中，用以评估安全能力威胁检测质量；

通过API、Syslog方式采集全量安全能力告警数据，通过五元组方式将告警信息聚类去重，降低告警数据数量；

优先处理流量类告警数据，流量告警数据基于源IP、目的IP的维度将流量告警数据与流量行为元数据关联，行为元数据是每个协议的数据包包头字段，可通过API的方式从流量分析能力中提取；

将告警数据分为两部分，一部分为正常业务行为被误识别，可通过元数据判断该告警为误报；另一部分为访客发起非正常业务类的访问，该访问无论是否成功都对业务算潜在攻击行为，记为潜在攻击信息；

内部风险数据获取渠道包括且不限于漏扫、主机安全，通过API的方式获取内部风险数据；

外部风险数据主要指黑IP、黑域名风险情报数据，通过API的方式从威胁情报平台获取；

针对漏洞数据，经漏洞验证或执行人员反馈不可修复(打补丁)，对该漏洞数据加灰，表示该漏洞无法修复；同时降低已存在漏洞未处置数量；

经过安全事件研判，明确攻击事件成立后，分析该攻击事件利用的攻击方式方法，反推网络安全风险点，并基于安全风险数据标识对内网中存在该风险点资产进行检索，支持该类风险新建及数据统计；

数据分析中心上传的正常行为、可疑行为以及异常行为等行为数据与告警数据(源IP、目的IP或五元组数据)、外部风险数据(情报数据)进行关联；

关联后的数据进行人工判断，判断正常行为中是否存在可疑行为或异常行为，同时完善正常行为模型、异常行为模型；

基于行为分析中的异常行为模型，建立业务系统共性异常行为模型，并通过表格的形式进行异常行为碰撞展现；

误报数据分析界面左边是树桩的企业架构图，说明多级主分公司具备的安全能力的同时也明确每个安全能力误报数据数量，右边以表格的形式展现该安全能力的误报告警数据；

经研判分析的安全事件一旦成立，反查误报数据中是否存在误判的数据，如果有证明该数据有效，移除误报数据库并分析误判原因；

基于分析研判后的告警数据进行分析，梳理攻击源IP最早访问时间以及近一天/一周/一月在内网中的全部访问对象、访问行为及触发的告警信息；

尝试推测攻击源IP攻击方式方法以及攻击意图；

基于任意一次准确的安全事件研判分析后，定位攻击者攻击的方式方法并探索内网中潜在的风险点，用数据描述潜在的风险点并检索其它业务系统是否存在共性的潜在风险点进行整改；

基于访客的可疑行为或异常行为，定位是否对业务系统造成潜在危害的点，同时对正常行为模型/异常行为模型进行修正；

基于攻击方法(告警分类/协议)相似的行为或攻击目标相似的行为进行关联分析，探索其中是否存在必要的关联，进而感知内网存在的网络威胁；

根据用户的场景制定不同的安全事件响应流程，包括且不限于环节数量、角色数量、工作职责；

安全事件监察员或其它事件观察员当发现异常行为或事件时发起流程，并对事件进行分拨；

处置人员对事件进行跟进处置并上报处置结果；

事件完成后对安全风险点进行整改并关闭事件响应流程；

统计通告事件数量及工作质量，对工作量及工作质量进行展现；

工作成果展示包括且不限于安全能力动作及安全防护成果呈现；

安全工作任务界面左边树状图展示组织架构及每个组织的指令能力，右边表格展现每个任务名称及执行情况；

定义不同场景的防护动作集，包含且不限于防火墙、阻断器等。设定三级防护，一级防护一键极致，二级防护一键收紧，三级防护一键常态。实现安全事件特殊场景紧急响应；

基于业务态势数据，在可视化大屏上通过拖拽的方式呈现业务安全态势；

基于潜在攻击数据，在可视化大屏上通过拖拽的方式呈现潜在攻击态势；

基于潜在风险数据，在可视化大屏上通过拖拽的方式呈现潜在风险态势；

基于异常行为数据，在可视化大屏上通过拖拽的方式呈现异常行为态势；

基于安全能力数据，在可视化大屏上通过拖拽的方式呈现安全能力态势及安全事件处置效果态势；

根据用户不同的需求，提供自定义数据展现，并通过拖拽的方式实现自定义可视化态势。

综上所述，借助于本发明的上述技术方案，通过API接口聚合全量安全能力，为解决用户问题赋能，数据源丰富。主动采集各个安全能力中的告警数据、行为数据、资产数据、风险数据、情报数据等各类数据为安全运营提供基础的数据支撑。

具备专业的网络安全数字化运营中心模块为网络安全数字化运营中心提供数据分析能力，感知业务系统异常行为。异常行为和安全告警相结合，形成网络威胁双轨判断机制，将网络威胁分为告警误报(业务正常行为)、潜在攻击行为和已造成实质性威胁三部分。大幅度提高威胁判断准确性，降低告警误报，实现安全事件可闭环。

网络安全数字化运营中心以生态化的方式，通过API接口与全量安全能力对接，实现指令下发提高安全运营效率。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、同替换、改进，均应包含在本发明的保护范围之内。