本發(fā)明涉及網(wǎng)絡(luò)安全，尤其涉及一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)。

背景技術(shù)：

1、在目前的網(wǎng)絡(luò)安全運營的方案中，現(xiàn)有的安全監(jiān)測系統(tǒng)在檢測到網(wǎng)絡(luò)安全事件時，通常會上報服務(wù)器，由安全監(jiān)測人員對網(wǎng)絡(luò)安全事件的地區(qū)、單位、負責人等信息進行查詢，并通知網(wǎng)絡(luò)安全事件的單位或負責人進行處置。但是這種人工的方式處置速度較慢，并且容易出現(xiàn)查詢錯誤，無法對網(wǎng)絡(luò)安全事件的發(fā)現(xiàn)研判處置進度進行有效的監(jiān)督和指導，對網(wǎng)絡(luò)安全事件的解決進度存在不了解、督導難和指揮難的問題。

2、申請?zhí)枮?02310712710.6的中國發(fā)明專利公開了一種基于安全云的網(wǎng)絡(luò)安全運營分析方法，根據(jù)網(wǎng)絡(luò)安全事件的日志信息確定網(wǎng)絡(luò)安全事件的類型及提取網(wǎng)絡(luò)安全事件的第一關(guān)鍵特征信息和第二關(guān)鍵特征信息；根據(jù)第一關(guān)鍵特征信息確定與網(wǎng)絡(luò)安全事件對應(yīng)的推薦處置手段及推薦處置主體；根據(jù)第二關(guān)鍵特征信息獲得網(wǎng)絡(luò)安全事件對應(yīng)的風險等級標簽；根據(jù)網(wǎng)絡(luò)安全事件對應(yīng)的風險等級標簽和推薦處置手段生成與處置工單，并將處置工單發(fā)送至推薦處置主體。

3、在現(xiàn)有技術(shù)中根據(jù)網(wǎng)絡(luò)安全事件的特征和風險等級生成處置順序工單，實現(xiàn)了有效監(jiān)督和指導的作用，但是在實際處置過程中增加了不同事件之間因切換主體而產(chǎn)生的額外時間，以及固定排序等待的時間，從而影響網(wǎng)絡(luò)安全事件的處置效率和效果。

技術(shù)實現(xiàn)思路

1、本發(fā)明針對現(xiàn)有技術(shù)中存在的技術(shù)問題，提供一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)。

2、本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下：一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)，其特征在于，所述系統(tǒng)包括：

3、信息獲取分析模塊，用于獲取安全監(jiān)測系統(tǒng)發(fā)送的網(wǎng)絡(luò)安全事件日志信息，根據(jù)所述網(wǎng)絡(luò)安全事件日志信息確定所述網(wǎng)絡(luò)安全事件的類型以及提取網(wǎng)絡(luò)安全事件的核心事件屬性和評估量化信息；

4、匹配評估模塊，用于將所述核心事件屬性與平臺中預(yù)存的對應(yīng)所述類型下的特征庫進行初步匹配，確定與所述網(wǎng)絡(luò)安全事件對應(yīng)的處置手段和處置主體作為推薦處置手段和推薦處置主體；將評估量化信息輸入到平臺中對應(yīng)所述類型下的網(wǎng)絡(luò)安全態(tài)勢量化評估模型中，獲得所述網(wǎng)絡(luò)安全事件對應(yīng)的風險等級標簽；

5、工單生成模塊，用于根據(jù)所述網(wǎng)絡(luò)安全事件對應(yīng)的風險等級標簽、推薦處置手段和推薦處置主體生成與所述網(wǎng)絡(luò)安全事件匹配的初步處置工單，形成初級處置序列；

6、工單優(yōu)化模塊，用于接收初級處置序列并根據(jù)推薦處置主體作為排序因子形成綜合序列表；將同一風險等級且同一推薦處置主體的事件劃分為同一事件組并按照時間進行排序，所述綜合序列表包括若干個事件組；將所述事件組發(fā)送至所述推薦處置主體進行處置，生成事件處置報告；

7、實時監(jiān)控模塊，用于接收事件處置報告，實時監(jiān)控處置工單的處置狀態(tài)，對異常狀態(tài)情況進行及時預(yù)警。

8、進一步地，所述事件處置報告中包括實際處置主體、實際處置手段、處置用時、處置結(jié)果、處置主體狀態(tài)以及網(wǎng)絡(luò)安全事件的類型；所述實際處置主體和實際處置手段均是在實際處置過程中，所采取的實際操作；所述處置結(jié)果包括成功處置和異常；所述處置用時是成功處置的網(wǎng)絡(luò)安全事件的實際處置時間；所述處置主體狀態(tài)是標記當前處置主體的使用狀態(tài)是否正常；所述網(wǎng)絡(luò)安全事件的類型是安全事件所屬類型。

9、進一步地，所述系統(tǒng)還包括：效能評估模塊，用于獲取所述網(wǎng)絡(luò)安全事件的處置時間以及對應(yīng)所述處置主體的綜合效能指標，并根據(jù)所述處置主體和對應(yīng)的所述處置手段建立處置優(yōu)化表。

10、進一步地，所述綜合效能指標包括處置主體對所述網(wǎng)絡(luò)安全事件的處置成功率、平均響應(yīng)時間以及擅長處置的事件類型，所述處置成功率是根據(jù)當前處置主體所處置的所有事件的處置成功率；所述平均響應(yīng)時間是所有成功處置事件的平均處置用時，所述擅長處置的事件類型是根據(jù)不同類型事件的綜合成功率和平均處置用時綜合分析得到。

11、進一步地，所述處置優(yōu)化表是根據(jù)所述綜合效能指標和對應(yīng)的所述處置手段的匹配度進行生成；所述匹配度是針對同一事件類型的多個處置手段分別計算綜合成功率和平均處置用時得到，所述綜合成功率最高的和所述平均處置用時最短的匹配度最高，選取在事件處置中匹配度最高的處置手段作為優(yōu)選手段，形成處置優(yōu)化表。

12、進一步地，所述匹配評估模塊還包括：特征庫擴展單元，用于接收所述綜合效能指標和處置優(yōu)化表并生成效能優(yōu)化機制，所述效能優(yōu)化機制用于根據(jù)所述網(wǎng)絡(luò)安全事件選取推薦處置主體和推薦處置手段。

13、進一步地，所述效能優(yōu)化機制將所述綜合效能指標中最優(yōu)的處置主體作為推薦處置主體，根據(jù)所述處置優(yōu)化表選取最優(yōu)的處置手段作為推薦處置手段；若所述網(wǎng)絡(luò)安全事件存在多個適合的處置主體，將次優(yōu)的處置主體和對應(yīng)的最優(yōu)處置手段作為備用處置組。

14、進一步地，所述備用處置組的數(shù)量根據(jù)符合所述網(wǎng)絡(luò)安全事件的處置主體的總數(shù)量決定。

15、進一步地，所述匹配評估模塊還包括：時間優(yōu)化單元，用于預(yù)算所述網(wǎng)絡(luò)安全事件在不同處置路徑的綜合處理用時，并根據(jù)所述綜合處理用時選取用時最短的處置路徑。

16、進一步地，所述處置路徑是指所述網(wǎng)絡(luò)安全事件所經(jīng)過的不同的處置主體，若所述處置路徑中處置主體為單個，則對應(yīng)的綜合處理用時就是該處置主體的處置用時；若所述處置路徑中包括多個處置主體，則對應(yīng)的綜合處理用時是指不同處置主體的處置用時和處置主體之間切換用時的總和。

17、本發(fā)明的有益效果是：通過綜合排序機制，將同一推薦處置主體處置的事件集中分配，減少在不同推薦處置主體之間的切換次數(shù)，減少因切換推薦處置主體和處置手段而產(chǎn)生的額外時間和資源消耗，實現(xiàn)了有效提高網(wǎng)絡(luò)安全事件的綜合處置效率的效果。

技術(shù)特征：

1.一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)，其特征在于，所述系統(tǒng)包括：

2.根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)，其特征在于，所述事件處置報告中包括實際處置主體、實際處置手段、處置用時、處置結(jié)果、處置主體狀態(tài)以及網(wǎng)絡(luò)安全事件的類型；所述實際處置主體和實際處置手段均是在實際處置過程中，所采取的實際操作；所述處置結(jié)果包括成功處置和異常；所述處置用時是成功處置的網(wǎng)絡(luò)安全事件的實際處置時間；所述處置主體狀態(tài)是標記當前處置主體的使用狀態(tài)是否正常；所述網(wǎng)絡(luò)安全事件的類型是安全事件所屬類型。

3.根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)，其特征在于，所述系統(tǒng)還包括：效能評估模塊，用于獲取所述網(wǎng)絡(luò)安全事件的處置時間以及對應(yīng)所述處置主體的綜合效能指標，并根據(jù)所述處置主體和對應(yīng)的所述處置手段建立處置優(yōu)化表。

4.根據(jù)權(quán)利要求3所述的一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)，其特征在于，所述綜合效能指標包括處置主體對所述網(wǎng)絡(luò)安全事件的處置成功率、平均響應(yīng)時間以及擅長處置的事件類型，所述處置成功率是根據(jù)當前處置主體所處置的所有事件的處置成功率；所述平均響應(yīng)時間是所有成功處置事件的平均處置用時，所述擅長處置的事件類型是根據(jù)不同類型事件的綜合成功率和平均處置用時綜合分析得到。

5.根據(jù)權(quán)利要求3所述的一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)，其特征在于，所述處置優(yōu)化表是根據(jù)所述綜合效能指標和對應(yīng)的所述處置手段的匹配度進行生成；所述匹配度是針對同一事件類型的多個處置手段分別計算綜合成功率和平均處置用時得到，所述綜合成功率最高的和所述平均處置用時最短的匹配度最高，選取在事件處置中匹配度最高的處置手段作為優(yōu)選手段，形成處置優(yōu)化表。

6.根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)，其特征在于，所述匹配評估模塊還包括：特征庫擴展單元，用于接收所述綜合效能指標和處置優(yōu)化表并生成效能優(yōu)化機制，所述效能優(yōu)化機制用于根據(jù)所述網(wǎng)絡(luò)安全事件選取推薦處置主體和推薦處置手段。

7.根據(jù)權(quán)利要求6所述的一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)，其特征在于，所述效能優(yōu)化機制將所述綜合效能指標中最優(yōu)的處置主體作為推薦處置主體，根據(jù)所述處置優(yōu)化表選取最優(yōu)的處置手段作為推薦處置手段；若所述網(wǎng)絡(luò)安全事件存在多個適合的處置主體，將次優(yōu)的處置主體和對應(yīng)的最優(yōu)處置手段作為備用處置組。

8.根據(jù)權(quán)利要求7所述的一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)，其特征在于，所述備用處置組的數(shù)量根據(jù)符合所述網(wǎng)絡(luò)安全事件的處置主體的總數(shù)量決定。

9.根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)，其特征在于，所述匹配評估模塊還包括：時間優(yōu)化單元，用于預(yù)算所述網(wǎng)絡(luò)安全事件在不同處置路徑的綜合處理用時，并根據(jù)所述綜合處理用時選取用時最短的處置路徑。

10.根據(jù)權(quán)利要求9所述的一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)，其特征在于，所述處置路徑是指所述網(wǎng)絡(luò)安全事件所經(jīng)過的不同的處置主體，若所述處置路徑中處置主體為單個，則對應(yīng)的綜合處理用時就是該處置主體的處置用時；若所述處置路徑中包括多個處置主體，則對應(yīng)的綜合處理用時是指不同處置主體的處置用時和處置主體之間切換用時的總和。

技術(shù)總結(jié)
本發(fā)明涉及一種網(wǎng)絡(luò)安全運營督辦系統(tǒng)，所述系統(tǒng)包括：信息獲取分析模塊，用于獲取安全監(jiān)測系統(tǒng)發(fā)送的網(wǎng)絡(luò)安全事件日志信息；匹配評估模塊，用于將所述核心事件屬性與平臺中預(yù)存的對應(yīng)所述類型下的特征庫進行初步匹配；工單生成模塊，用于根據(jù)所述網(wǎng)絡(luò)安全事件對應(yīng)的風險等級標簽、推薦處置手段和推薦處置主體生成與所述網(wǎng)絡(luò)安全事件匹配的初步處置工單，形成初級處置序列；工單優(yōu)化模塊，用于接收初級處置序列并根據(jù)推薦處置主體作為排序因子形成綜合序列表；減少在不同推薦處置主體之間的切換次數(shù)，減少因切換推薦處置主體和處置手段而產(chǎn)生的額外時間和資源消耗，實現(xiàn)了有效提高網(wǎng)絡(luò)安全事件的綜合處置效率的效果。

技術(shù)研發(fā)人員：周佑源,成賢,柳少凱,黃博,鄭松濤
受保護的技術(shù)使用者：武漢安域信息安全技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/19