本技术涉及人工智能领域,尤其涉及一种网络安全管理方法和管理系统。
背景技术:
1、随着信息技术的迅猛发展,网络安全面临的挑战日益严峻。企业和组织的网络系统往往包含大量的资产,如服务器、终端设备、应用程序等,这些资产的安全保护对维护整个网络的正常运行至关重要。网络攻击的复杂性和隐蔽性使得传统的安全防护措施难以应对新兴的威胁,因此,如何有效地管理和保护网络资产,成为了网络安全领域亟待解决的问题。
2、相关技术主要通过设置防火墙、入侵检测系统和安全信息事件管理系统等手段来保护网络安全。这些系统能够监控网络流量,通过规则匹配等方式识别潜在的威胁,并对异常行为进行报警。此外,一些解决方案通过定期扫描网络资产,收集资产配置信息和系统漏洞数据,以评估资产的安全风险。这些技术方案在一定程度上提高了网络安全防护的自动化水平,减轻了安全管理员的工作压力。
3、然而,相关技术在处理网络资产管理和威胁应对方面存在一定的局限性。由于缺乏对网络资产之间关系的深入分析和全面的风险评估,相关技术的安全防护系统往往只能被动响应已知威胁。
技术实现思路
1、本技术提供了一种网络安全管理方法和管理系统,用于实现了对网络系统中资产实体和威胁实体的实时监控,并提供相应策略,提高了网络系统的安全性和可靠性,实现了智能化和自动化的网络安全管理。
2、第一方面,本技术提供了一种网络安全管理方法,应用于管理系统,该方法包括:获取网络系统中的数据源,数据源中包括各类资产数据;从各类资产数据中确定资产实体以及资产实体对应的静态属性和动态状态;根据资产实体、资产实体对应的静态属性和动态状态构建资产关系图谱,资产关系图谱中的节点表示资产实体,边表示不同资产实体之间的关系,节点上记录资产实体的静态属性,资产关系图谱用于实时更新资产状态变化和监测网络流量变化;基于预设的影响传播模型,根据资产状态变化和网络流量变化计算各资产实体的风险值;从数据源中提取威胁实体;将威胁实体和资产关系图谱进行关联,得到连接威胁实体和资产实体的威胁情报图谱;根据威胁情报图谱中威胁实体与资产实体之间的实体关系计算各威胁实体的威胁分值,威胁分值越高,威胁实体造成的威胁越大;根据各威胁实体的威胁分值确定对应的响应策略。
3、在上述实施例中,管理系统通过获取网络系统中的数据源,提取资产实体和威胁实体,构建资产关系图谱与威胁情报图谱,建立资产实体与威胁实体之间的关联,从而实现对网络系统安全风险的准确评估和持续跟踪,确保了对网络系统中资产的监测与管理。管理系统通过计算各资产实体的风险值和各威胁实体的威胁分值,并根据威胁分值确定对应的响应策略,从而进行针对性的安全防护,实现了对网络系统中资产和威胁的实时监控,并提供相应的相应策略,提高了网络系统的安全性和可靠性,实现了智能化和自动化的网络安全管理。
4、结合第一方面的一些实施例,在一些实施例中,从各类资产数据中确定资产实体以及资产实体对应的静态属性和动态状态,资产数据包括网络拓扑数据和资产库数据,具体包括:从网络拓扑数据中提取网络系统中的多个资产实体;从资产库数据中提取多个资产实体的基本属性信息,基本属性信息包括资产名称、类型以及所属部门;将目标资产实体的基本属性信息作为目标资产实体的静态属性;将目标资产实体的实时运行状态作为目标资产实体的动态状态。
5、在上述实施例中,管理系统通过整合网络拓扑数据和资产库数据,提取网络系统中的资产实体,获取资产实体的基本属性作为静态属性,获取资产实体的实时运行状态作为动态状态,充分利用了资产数据的多源异构特点,从而全面准确地获取资产实体的静态属性和动态状态,构建精细的资产知识图谱,为后续的资产风险评估和安全决策提供基础,提高了方法的适用性和有效性。
6、结合第一方面的一些实施例,在一些实施例中,从数据源中提取威胁实体,数据源包括各类非结构文本,具体包括:使用自然语言处理技术从非结构化文本中提取与威胁相关的名词词组;确定名词词组对应的威胁实体。
7、在上述实施例中,管理系统使用自然语言处理技术,从非结构化文本中提取威胁实体,以便于构建结构化的威胁情报图谱。实现了对海量非结构化威胁情报的智能分析和处理,从而自动持续获取最新的威胁情报,构建动态更新的威胁情报图谱,无需人工浏览非结构化文本,大幅提高了威胁实体的获取和处理效率,为后续威胁评估和安全决策提供及时可靠的支持,增强了方法的智能性和适应性。
8、结合第一方面的一些实施例,在一些实施例中,将威胁实体和资产关系图谱进行关联,得到连接威胁实体和资产实体的威胁情报图谱,具体包括:根据第一威胁实体的历史攻击模式和攻击者属性确定与第一威胁实体相关联的第一资产实体;使用相关性分析技术确定与第二威胁实体相关联的第二资产实体;在资产关系图谱中连接第一资产实体、第一威胁实体和以及第二资产实体和第二威胁实体,得到威胁情报图谱。
9、在上述实施例中,管理系统根据威胁实体的历史攻击模式和攻击者属性确定与威胁实体相关联的资产实体,并采用相关性分析技术确定与威胁实体相关联的资产实体,在资产关系图谱中建立威胁实体与资产实体的联系,构建威胁情报图谱。从而实现对不同类型的威胁实体的智能化关联分析,充分利用威胁的各种特征信息,确定威胁实体与资产实体之间的复杂关系,增强了威胁实体与资产实体之间关联的全面性与准确性,为后续的威胁评估及安全决策提供可靠的情报支持,提高了方法的智能决策能力。
10、结合第一方面的一些实施例,在一些实施例中,根据威胁情报图谱中威胁实体与资产实体之间的实体关系计算各威胁实体的威胁分值,威胁情报图谱中包括威胁实体和资产实体的拓扑距离和相关度,具体包括:根据各威胁实体与预设关键资产实体的拓扑距离,计算各威胁实体的威胁危害潜力值;根据各威胁实体与预设高价值资产实体的相关度,计算各威胁实体的威胁关联度值;对威胁危害潜力值和威胁关联度值加权求和,得到各威胁实体的威胁分值,威胁分值越高,威胁实体造成的威胁越大。
11、在上述实施例中,管理系统充分考虑了威胁实体与关键资产实体的拓扑距离及与高价值资产实体的相关度,实现了对威胁实体的细致区分,从而能够对不同的威胁实体的影响程度进行定量评估以准确判断威胁实体的危害潜力大小及对重要资产实体的关联性,计算获得代表威胁严重程度的威胁分值。为后续的威胁应对决策提供了量化的威胁评估支持,使得安全防范更加针对性和有效。
12、结合第一方面的一些实施例,在一些实施例中,在根据各威胁实体的威胁分值确定对应的响应策略的步骤之后,方法还包括:监测威胁实体的威胁分值;当威胁分值超过预设阈值时,启动事故响应流程并发出预警。
13、在上述实施例中,管理系统通过持续监测威胁分值的变化情况,当整体威胁级别低于预设级别的威胁实体的威胁分值发生明显上升时,会启动预警和响应机制。实现了对网络系统中环境威胁的动态监测,从而及时发现威胁级别的变化,对于可能出现的网络入侵实现早期预警。相比传统的静态阈值预警,该技术手段可以更加智能地对威胁变化进行感知,进行及时有效的应急响应,提高了网络安全防护的主动性。
14、结合第一方面的一些实施例,在一些实施例中,在根据各威胁实体的威胁分值确定对应的响应策略的步骤之后,方法还包括:按照威胁分值从高到低对各威胁实体进行排序,得到威胁分值最高的极端威胁实体;获取极端威胁实体的攻击方式和来源信息;根据极端威胁实体的攻击方式和来源信息,从预设安全策略库中确定一个或多个与极端威胁实体匹配度超过预设匹配度阈值的安全策略。
15、在上述实施例中,管理系统通过智能识别威胁分值最高的极端威胁,获取该威胁实体的攻击方式及来源信息,并从预设策略库中选择安全策略进行应对。从而实现对极端威胁实体的自动识别,并提供自动化的最佳应对决策,针对性很强,无需人工判断分析最严重的威胁实体及应对策略,可以大幅提高对重大威胁实体的应急响应速度和效果,增强了网络系统的自我防护与自愈能力。
16、第二方面,本技术实施例提供了一种管理系统,该管理系统包括:一个或多个处理器和存储器;该存储器与该一个或多个处理器耦合,该存储器用于存储计算机程序代码,该计算机程序代码包括计算机指令,该一个或多个处理器调用该计算机指令以使得该管理系统执行如第一方面以及第一方面中任一可能的实现方式描述的方法。
17、第三方面,本技术实施例提供一种包含指令的计算机程序产品,当上述计算机程序产品在管理系统上运行时,使得上述管理系统执行如第一方面以及第一方面中任一可能的实现方式描述的方法。
18、第四方面,本技术实施例提供一种计算机可读存储介质,包括指令,当上述指令在管理系统上运行时,使得上述管理系统执行如第一方面以及第一方面中任一可能的实现方式描述的方法。
19、可以理解地,上述第二方面提供的管理系统,第三方面提供的计算机程序产品和第四方面提供的计算机存储介质均用于执行本技术实施例所提供的方法。因此,其所能达到的有益效果可参考对应方法中的有益效果,此处不再赘述。
20、本技术实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
21、1、由于采用了构建资产关系图谱和威胁情报图谱,并建立两者之间的关联,所以可以实现对网络系统中的资产实体和威胁实体进行全面的测绘和建模,有效解决了相关技术未进行资产与威胁的关联分析的问题,进而实现了资产与威胁之间联系的可视化和关系的智能化分析,使得对网络系统中风险和威胁进行监测和评估更加准确和立体化。
22、2、由于采用了基于多源异构数据进行资产知识图谱和威胁情报图谱的构建,所以可以实现对网络系统的资产和威胁进行全方位的信息整合,有效解决了相关技术中资产数据和威胁情报分散存放,无法统一进行风险管理和情报分析的问题,进而实现了网络系统对资产安全风险和外部威胁情报的智能化、动态化管理,提高了对网络安全风险的监控和处置能力。
23、3、由于采用了基于资产与威胁多维关联关系的智能化模型算法,所以可以对不同威胁类型和资产情况进行个性化的风险评估和威胁分级,有效解决了相关技术中对网络威胁和资产风险判定存在的主观性和片面性问题,进而实现了资产安全风险及威胁程度的精确计算与量化,为网络安全预警和决策提供了更科学合理的支持与依据,使得网络防御策略更加准确和可靠。
1.一种网络安全管理方法,其特征在于,应用于管理系统,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述从各类所述资产数据中确定资产实体以及所述资产实体对应的静态属性和动态状态,所述资产数据包括网络拓扑数据和资产库数据,具体包括:
3.根据权利要求1所述的方法,其特征在于,所述从所述数据源中提取威胁实体,所述数据源包括各类非结构文本,具体包括:
4.根据权利要求1所述的方法,其特征在于,所述将所述威胁实体和所述资产关系图谱进行关联,得到连接所述威胁实体和所述资产实体的威胁情报图谱,具体包括:
5.根据权利要求1所述的方法,其特征在于,所述根据所述威胁情报图谱中所述威胁实体与所述资产实体之间的实体关系计算各所述威胁实体的威胁分值,所述威胁情报图谱中包括所述威胁实体和所述资产实体的拓扑距离和相关度,具体包括:
6.根据权利要求1所述的方法,其特征在于,在所述根据各所述威胁实体的威胁分值确定对应的响应策略的步骤之后,所述方法还包括:
7.根据权利要求1所述的方法,其特征在于,在所述根据各所述威胁实体的威胁分值确定对应的响应策略的步骤之后,所述方法还包括:
8.一种管理系统,其特征在于,所述管理系统包括:一个或多个处理器和存储器;所述存储器与所述一个或多个处理器耦合,所述存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令,所述一个或多个处理器调用所述计算机指令以使得所述管理系统执行如权利要求1-7中任一项所述的方法。
9.一种计算机可读存储介质,包括指令,其特征在于,当所述指令在管理系统上运行时,使得所述管理系统执行如权利要求1-7中任一项所述的方法。
10.一种计算机程序产品,其特征在于,当所述计算机程序产品在管理系统上运行时,使得所述管理系统执行如权利要求1-7中任一项所述的方法。
