一种网络安全态势感知装置及其系统

技术领域

本发明涉及网络安全技术领域，尤其涉及了一种网络安全态势感知装置及其系统。

背景技术

随着计算机技术的发展，随着网络规模的不断扩大。任务关键网络系统所面临的安全风险日益增大其关键任务，服务一旦中断，将造成生命、财产等的重大影响和损失。网络系统的安全问题正逐渐成为当下人们的研究焦点所在，随着网络规模的不断壮大，网络结构的日益复杂，网络病毒、Dos/DDos攻击等构成的威胁和损失越来越大，传统的网络安全管理模式仅仅依靠防火墙、防病毒、IDS等单--的网络安全防护技术来实现被动的网络安伞管理，己满足不了目前网络安全的要求，网络安全态势感知研究便应运而生。当前，网络系统的安全问题已经引起社会各方面的高度重视，各国政府都投入了大量的人力、物力和财力进行网络安全相关理论和技术的研究。我国将信息系统安全技术列为21世纪重点发展领域，并作为国家863计划和国家自然科学基金的重点支持课题，2001年8月重新组建国家信息化领导小组，全力推进信息安全的国家级规划，统管国家信息安全保障体系框架的建立。近年来社会上发生了越来越多的网络安全事故并且造成了巨大经济损失和社会效益的降低，为了尽可能地预防或者避免类似事件的发生，网络用户需要随时熟悉当前工作的网络环境，感知当前的网络安全态势，做出相应的防范或者预案，这样才能最大程度上地降低风险和财产损失。因此，网络安全态势感知相关方面的研究现在具有十分重要的研究意义。

如中国专利(公开号：CN111740983A)公开了一种计算机网络安全态势感知系统及方法，包括数据采集单元、当前网络信息单元、网络态势分析单元、网络态势预测单元、网络态势评估单元、网络安全态势溯源单元和网络安全态势清理修补单元。该计算机网络安全态势感知系统及方法，可对预测的网络安全发展趋势进行评估，得出发展趋势中的攻击数据和漏洞数据，并通过网络安全态势处置模块对攻击数据进行清理，漏洞修补模块对漏洞数据进行修补，从而保证发展趋势的网络安全。

上述现有技术中网络安全态势的感知系统多是判断采集得到的数据是否出现问题和数据发展的预测，但是只能对特征数据的向后发展进行预测分析，数据向前方向的了解判断不够全面，并不涉及全体数据和特征数据的比对判断，可能出现感知检测不够全面及时。

发明内容

本发明针对现有技术中网络安全态势的感知系统多是判断采集得到的数据是否出现问题和数据发展的预测，但是只能对特征数据的向后发展进行预测分析，数据向前方向的了解判断不够全面，并不涉及全体数据和特征数据的比对判断，可能出现感知检测不够全面及时的问题，提供了一种网络安全态势感知装置及其系统。

为了解决上述技术问题，本发明通过下述技术方案得以解决：

一种网络安全态势感知系统，包括数据采集模块，所述数据采集模块的输出端与网络数据预处理模块的输入端电连接，所述网络数据预处理模块的输出端与网络态势分析单元的输入端电连接，所述网络态势分析单元的输出端与网络态势评估单元的输入端电连接，所述网络态势评估单元的输出端与网络态势预测单元的输入端电连接，所述网络态势预测单元的输出端与数据匹配单元的输入端电连接，所述数据匹配单元的输出端与特征匹配单元的输入端电连接，所述特征匹配单元的输出端与可视化展示模块的输入端电连接，所述特征匹配单元的输出端与网络安全态势联动单元的输入端电连接。

其中还包括数据更新单元，该单元将每次分析结果与数据存储单元中已有数据进行比对，将多余重复数据删除后将数据存储至数据存储单元中，实现对数据存储单元的数据更新和补充，网络态势分析单元对网络安全态势进行评估和预测，得出发展趋势中攻击数据和漏洞数据，并对网络安全事件进行处置，同时结合采集的网络数据和特征数据与历史中的网络攻击和漏洞数据进行比对，获取网络数据与历史安全事件数据的相似点并评估再次发生攻击和漏洞的几率。

作为优选，所述网络态势分析单元的输出端与网络数据追溯单元的输入端电连接，所述网络数据追溯单元的输出端与数据更新单元的输入端电连接，所述网络数据追溯单元的输出端与网络态势评估单元的输入端电连接，所述数据更新单元与数据存储单元双向电连接，所述数据存储单元的输出端与数据匹配单元和特征匹配单元的输入端电连接。

作为优选，所述网络态势分析单元包括：

数据分类模块，用于将数据分为攻击数据和漏洞数据；

漏洞挖掘模块，用于挖掘遇到的网络漏洞信息；

攻击挖掘模块，用于对遇到的网络攻击信息进行挖掘；

特征提取模块，用于对网络数据中特征数据的提取。

作为优选，所述网络数据追溯单元，用于对攻击信息和漏洞信息的追踪溯源，得到攻击过程的攻击路径、攻击源头和攻击行为的取证；

所述数据更新单元包括：

对比单元，用于对网络数据追溯单元得出的网络数据与数据存储单元中数据进行比对；

删除单元，用于对重复数据和相似数据的删除；

数据更新单元，用于将新出现的攻击信息和漏洞信息相关数据存储至数据存储单元中。

作为优选，所述网络安全态势联动单元包括：

网络安全态势报警单元，根据当前网络安全态势触发报警；

网络安全态势处置单元，存储或启用相应网络安全应急预案；

网络安全态势联动单元，根据当前网络安全状态、发展趋势及其历史信息，对安全事件进行处置。

作为优选，网络安全应急预案包括计算机安全应急预案单元、信息系统安全应急预案单元、互联网安全应急预案单元、专网安全应急预案单元、内网安全应急预案单元，其中，计算机安全应急预案单元针对计算机而预设的应急预案，用于保护计算机的硬件、软件、数据；信息系统安全应急预案单元是针对数据安全，确保信息数据的保密性、完整性、可用性；互联网安全应急预案单元针对互联网上信息的保密性、完整性、可用性、真实性和可控性而提出的应急预案；专网安全应急预案单元针对定对象服务的网络而提出的应急预案；内网安全应急预案单元针对企业内部网络信息系统的一系列安全策略和措施的总和而提出的应急预案。

作为优选，所述网络态势评估单元，用于根据网络态势分析单元的分析结果评估当前的网络安全状态，网络态势评估单元所用的评估方法包括用于态势感知始于感知的Endsley模型、用于循环对抗的OODA模型、用于数据融合的JDL模型和用于假设与推理的RPD模型，所述网络态势预测单元，用于根据当前网络安全状态和历史信息，预测网络安全的发展趋势。

作为优选，所述数据匹配单元，用于对结合数据库中存储的相关攻击或漏洞案例对采集的网络数据进行对比，根据当前数据和历史数据的类比判断是否存在攻击或漏洞数据；

所述特征匹配单元，结合网络数据提取的相关特征信息与历史案例进行对比，根据特征对攻击和漏洞信息进行对比匹配。

作为优选，所述可视化展示模块，用于将网络态势的分析和预测结果进行可视化。

一种网络安全态势感知装置，包括可视化展示模块，所述可视化展示模块的四角处均设置有两个防护角，相邻两个所述防护角的相对面均设置有螺纹柱，两个所述螺纹柱设置在同一螺纹筒内，所述螺纹筒的外表面设置有轴承，所述轴承设置在可视化展示模块的外表面，所述防护角的左侧面开设有放置槽，所述放置槽内壁设置有缓冲板，所述缓冲板的右侧面设置有弹簧，所述弹簧的右端设置有连接杆，所述连接杆的右侧面搭接有挤压块，所述挤压块设置在可视化展示模块的外表面，所述连接杆的两端均设置有滑块，所述滑块设置在滑槽内，所述滑槽开设在放置槽内壁的上表面，所述连接杆与挤压块具有相反磁性。

本发明由于采用了以上技术方案，具有显著的技术效果：

1、本发明可对网络安全态势进行评估和预测，得出发展趋势中攻击数据和漏洞数据，并对网络安全事件进行处置，同时可结合采集的网络数据和特征数据与历史中的网络攻击和漏洞数据进行比对，及时发现网络数据与历史安全事件数据的相似点和再次发生攻击和漏洞的几率，在一定程度上保证网络安全态势的感知更加全面，从而在一定程度上保证网络安全。

2、本发明中网络态势评估单元所用的评估方法包括用于态势感知始于感知的Endsley模型、用于循环对抗的OODA模型、用于数据融合的JDL模型和用于假设与推理的RPD模型，可较为全面的针对网络数据进行分析和处理。

3、本发明中数据更新单元，可将每次分析结果与数据存储单元中已有数据进行比对，将多余重复数据删除后将数据存储至数据存储单元中，实现对数据存储单元的数据更新和补充，实现对数据存储单元中存储数据的不断完善，保证数据的比对和匹配过程更加全面充分。

4、本发明中网络安全应急预案中包括多种预案，根据出现的网络安全事件进行快速反应，并根据网络安全事件选择对应安全应急预案进行处置，可极大的避免损失。

4、本发明中设置防护角、螺纹柱、螺纹筒、弹簧、缓冲板、挤压块和连接杆，直接转动螺纹筒，此时相邻两防护角相互远离移动，同时挤压块挤压连接杆和缓冲板移动，当缓冲板移动出放置槽，且防护角突出可视化展示模块后，防护角和缓冲板可对可视化展示模块起到防护作用，避免可视化展示模块在转移存放过程中侧面受到挤压或大幅震动，保证可视化展示模块转移存放过程更加安全。

附图说明

图1是本发明的系统连接结构示意图。

图2是本发明的网络态势分析单元内部结构示意图。

图3是本发明的数据更新单元内部结构示意图。

图4是本发明的网络安全态势联动单元内部结构示意图。

附图中各数字标号所指代的部位名称如下：1数据采集模块、2网络数据预处理模块、3网络态势分析单元、31数据分类模块、32漏洞挖掘模块、33攻击挖掘模块、34特征提取模块、4网络数据追溯单元、5网络态势评估单元、6数据更新单元、61对比单元、62删除单元、7数据存储单元、8网络态势预测单元、9数据匹配单元、10特征匹配单元、11可视化展示模块、12网络安全态势联动单元、121网络安全态势报警单元、122网络安全态势处置单元、13防护角、14橡胶垫、15螺纹柱、16螺纹筒、17轴承、18放置槽、19缓冲板、20弹簧、21连接杆、22挤压块、23滑块、24滑槽。

具体实施方式

下面结合附图与实施例对本发明作进一步详细描述。

一种网络安全态势感知系统，如图1-图4所示，包括数据采集模块1，数据采集模块1的输出端与网络数据预处理模块2的输入端电连接，网络数据预处理模块2的输出端与网络态势分析单元3的输入端电连接，网络态势分析单元3的输出端与网络态势评估单元5的输入端电连接，网络态势评估单元5的输出端与网络态势预测单元8的输入端电连接，网络态势预测单元8的输出端与数据匹配单元9的输入端电连接，数据匹配单元9的输出端与特征匹配单元10的输入端电连接，特征匹配单元10的输出端与可视化展示模块11的输入端电连接，特征匹配单元10的输出端与网络安全态势联动单元12的输入端电连接。

其中还包括数据更新单元，该单元将每次分析结果与数据存储单元中已有数据进行比对，将多余重复数据删除后将数据存储至数据存储单元中，实现对数据存储单元的数据更新和补充，网络态势分析单元对网络安全态势进行评估和预测，得出发展趋势中攻击数据和漏洞数据，并对网络安全事件进行处置，同时结合采集的网络数据和特征数据与历史中的网络攻击和漏洞数据进行比对，获取网络数据与历史安全事件数据的相似点并评估再次发生攻击和漏洞的几率。该种设计可以使得对攻击信息和漏洞信息的追踪溯源，得到攻击过程的攻击路径、攻击源头和攻击行为的取证，使得在进行对特征数据的向后发展和数据向前方向的了解判断更加全面，能够对全体数据和特征数据的比对判断，感知检测全面及时。

具体的，网络态势分析单元3的输出端与网络数据追溯单元4的输入端电连接，网络数据追溯单元4的输出端与数据更新单元6的输入端电连接，网络数据追溯单元4的输出端与网络态势评估单元5的输入端电连接，数据更新单元6与数据存储单元7双向电连接，数据存储单元7的输出端与数据匹配单元9和特征匹配单元10的输入端电连接。

具体的，网络态势分析单元3包括：

数据分类模块31，用于将数据分为攻击数据和漏洞数据；

漏洞挖掘模块32，用于挖掘遇到的网络漏洞信息；

攻击挖掘模块33，用于对遇到的网络攻击信息进行挖掘；

特征提取模块34，用于对网络数据中特征数据的提取。

具体的，网络数据追溯单元4，用于对攻击信息和漏洞信息的追踪溯源，得到攻击过程的攻击路径、攻击源头和攻击行为的取证；

数据更新单元6包括：

对比单元61，用于对网络数据追溯单元4得出的网络数据与数据存储单元7中数据进行比对；

删除单元62，用于对重复数据和相似数据的删除；

数据更新单元6，用于将新出现的攻击信息和漏洞信息相关数据存储至数据存储单元7中。

具体的，网络安全态势联动单元12包括：

网络安全态势报警单元121，根据当前网络安全态势触发报警；

网络安全态势处置单元122，存储或启用相应网络安全应急预案；

网络安全态势联动单元12，根据当前网络安全状态、发展趋势及其历史信息，对安全事件进行处置。

具体的，网络安全应急预案包括计算机安全应急预案单元、信息系统安全应急预案单元、互联网安全应急预案单元、专网安全应急预案单元、内网安全应急预案单元，其中，计算机安全应急预案单元针对计算机而预设的应急预案，用于保护计算机的硬件、软件、数据；信息系统安全应急预案单元是针对数据安全，确保信息数据的保密性、完整性、可用性；互联网安全应急预案单元针对互联网上信息的保密性、完整性、可用性、真实性和可控性而提出的应急预案；专网安全应急预案单元针对定对象服务的网络而提出的应急预案；内网安全应急预案单元针对企业内部网络信息系统的一系列安全策略和措施的总和而提出的应急预案

具体的，网络态势评估单元5，用于根据网络态势分析单元3的分析结果评估当前的网络安全状态，网络态势评估单元5所用的评估方法包括用于态势感知始于感知的Endsley模型、用于循环对抗的OODA模型、用于数据融合的JDL模型和用于假设与推理的RPD模型，网络态势预测单元8，用于根据当前网络安全状态和历史信息，预测网络安全的发展趋势。

具体的，数据匹配单元9，用于对结合数据库中存储的相关攻击或漏洞案例对采集的网络数据进行对比，根据当前数据和历史数据的类比判断是否存在攻击或漏洞数据；

特征匹配单元10，结合网络数据提取的相关特征信息与历史案例进行对比，根据特征对攻击和漏洞信息进行对比匹配。

具体的，可视化展示模块11，用于将网络态势的分析和预测结果进行可视化。

一种网络安全态势感知装置，包括可视化展示模块11，可视化展示模块11的四角处均设置有两个防护角13，相邻两个防护角13的相对面均设置有螺纹柱14，两个螺纹柱14设置在同一螺纹筒15内，螺纹筒15的外表面设置有轴承16，轴承16设置在可视化展示模块11的外表面，防护角13的左侧面开设有放置槽18，放置槽18内壁设置有缓冲板19，缓冲板19的右侧面设置有弹簧20，弹簧20的右端设置有连接杆21，连接杆21的右侧面搭接有挤压块22，挤压块22设置在可视化展示模块11的外表面，连接杆21的两端均设置有滑块23，滑块23设置在滑槽24内，滑槽24开设在放置槽18内壁的上表面，连接杆21与挤压块22具有相反磁性。

网络安全态势的感知方法包括以下步骤：

采集网络中的用于安全态势感知的网络数据；

将采集到的网络数据整理至相应格式，并对网络数据进行分析并提出相应分析报告；

根据网络安全状态，对攻击信息进行追踪溯源，判断攻击源头、攻击路径、取证攻击行为；

根据网络数据分析报告，对数据分析结果进行评估当前网络的安全状态；

根据当前网络安全状态和历史信息，预测网络安全状态的发展趋势；

根据采集的攻击相关数据和特征数据结合历史数据进行比对，判断是否存在被攻击情形；

根据网络安全状态、发展趋势和采集数据的比对结果，对安全事件进行处置。

综上：

本发明可对网络安全态势进行评估和预测，得出发展趋势中攻击数据和漏洞数据，并对网络安全事件进行处置，同时可结合采集的网络数据和特征数据与历史中的网络攻击和漏洞数据进行比对，及时发现网络数据与历史安全事件数据的相似点和再次发生攻击和漏洞的几率，在一定程度上保证网络安全态势的感知更加全面，从而在一定程度上保证网络安全。

本发明中网络态势评估单元5所用的评估方法包括用于态势感知始于感知的Endsley模型、用于循环对抗的OODA模型、用于数据融合的JDL模型和用于假设与推理的RPD模型，可较为全面的针对网络数据进行分析和处理。

本发明中数据更新单元6，可将每次分析结果与数据存储单元7中已有数据进行比对，将多余重复数据删除后将数据存储至数据存储单元7中，实现对数据存储单元7的数据更新和补充，实现对数据存储单元7中存储数据的不断完善，保证数据的比对和匹配过程更加全面充分。

本发明中网络安全应急预案中包括多种预案，根据出现的网络安全事件进行快速反应，并根据网络安全事件选择对应安全应急预案进行处置，可极大的避免损失。

本发明中通过增设数据更新单元和网络态势分析单元，通过对攻击信息和漏洞信息的追踪溯源，得到攻击过程的攻击路径、攻击源头和攻击行为的取证，使得在进行对特征数据的向后发展和数据向前方向的了解判断更加全面，能够对全体数据和特征数据的比对判断，感知检测全面及时。

总之，以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所作的均等变化与修饰，皆应属本发明专利的涵盖范围。