业务视角的态势感知可视化方法、系统和存储介质

摘要

本发明涉及一种业务视角的态势感知可视化方法，包括：将企业网络进行子网分区以获得多个子网；根据企业的业务情况构建业务拓扑；构建所述子网到所述业务的映射关系和函数关系；基于所述函数关系和所述子网的安全评分计算最终业务评分并进行可视化显示。本发明还涉及一种从业务视角的态势感知可视化系统和存储介质。本发明可以有效为技术人员提供网络安全维护的优先级，对核心业务对应的子网优先维护，保证企业正常运转，减少网络攻击造成的损失。

说明书

技术领域

本发明涉及网络安全领域，更具体地说，涉及一种业务视角的态势感知可视化方法、系统和存储介质。

背景技术

当今如随着信息时代的发展，网络攻击事件频频发生，网络安全变得越来越重要，态势感知技术可以全方位感知网络安全态势，及时反馈网络中的存在的安全隐患，可以辅助技术人员完成网络安全维护。传统的态势感知技术一般都有可视化的过程，以便于技术人员直观的看出网络的安全态势。然而，现有的态势感知可视化，只涉及网络视角，即在网络层面看网络拓扑、数据流等信息，并利用态势评估和预测技术得到当前的网络态势，对可能存在的网络攻击进行识别和溯源，将这些攻击信息可视化地展现出来，以供技术人员解决网络安全问题，保证网络稳定运行。因此，网络层面的态势感知可视化难以直观的看出网络中潜在的威胁对业务的影响，因此无法有效指导网络安全维护优先级，更加无法有效减少网络攻击造成的损失。因此，如何建立业务视角的态势感知可视化是一个亟待解决的问题。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种从业务视角的态势感知可视化方法、系统和存储介质，从而有效为技术人员提供网络安全维护的优先级，对核心业务对应的子网优先维护，保证企业正常运转，减少网络攻击造成的损失。

本发明解决其技术问题所采用的技术方案是：构一种业务视角的态势感知可视化方法，包括以下步骤：

S1、将企业网络进行子网分区以获得多个子网；

S2、根据企业的业务情况构建业务拓扑；

S3、构建所述子网到所述业务的映射关系和函数关系；

S4、基于所述函数关系和所述子网的安全评分计算最终业务评分并进行可视化显示。

在本发明所述的业务视角的态势感知可视化方法中，所述步骤S1进一步包括以下步骤：

S11、根据企业的网络部署构建网络拓扑；

S12、根据网络功能和地理位置对所述网络拓扑进行子网分区以获得多个子网；

S13、在每个子网中搭建网络安全设备以收集所述子网中的网络安全信息。

在本发明所述的业务视角的态势感知可视化方法中，在所述步骤S2中，采用有向线段连接不同的业务以表示所述业务之间的关联，其中对于有先后逻辑关系的业务采用实线连接，只有工作效率影响的业务关系采用虚线连接。

在本发明所述的业务视角的态势感知可视化方法中，所述步骤S3进一步包括以下步骤：

S31、对于每个业务，找到可能影响所述业务的所有子网并采用有向线段连接所述子网和所述业务，其中对于决定所述业务是否能正常运行的子网采用实线连接，对于只影响所述业务的业务效率的子网采用虚线连接；

S32、根据所述子网对所述业务的影响程度，为每个有向线段连接赋上权重因子，并做归一化处理，以获得每个子网对所述业务的权重因子。

在本发明所述的业务视角的态势感知可视化方法中，所述步骤S4进一步包括以下步骤：

S41、获取每个所述子网中的网络安全信息以对每个所述子网进行安全评分；

S42、基于与所述业务关联的所有子网的所述安全评分和所述权重因子计算所述业务的初始业务评分；

S43、计算与所述业务关联的子业务的子业务评分；

S44、选择与所述业务关联的所有子网的所述安全评分、所述初始业务评分和所述子业务评分中的最小值作为所述业务的最终业务评分；

S45、对所述最终业务评分进行分级并在所述业务拓扑图中显示每个业务的所述最终业务评分的等级。

在本发明所述的业务视角的态势感知可视化方法中，在所述步骤S45中，采用不同的颜色表示不同等级的所述最终业务评分。

在本发明所述的业务视角的态势感知可视化方法中，在步骤S41中，采用设置在各个子网中的子网SDN网络控制器获取所述网络安全信息并采用态势感知平台评估所述子网中的网络安全信息以对每个所述子网进行安全评分。

本发明解决其技术问题采用的另一技术方案是，构造一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述的业务视角的态势感知可视化方法。

本发明解决其技术问题采用的再一技术方案是，构造一种业务视角的态势感知可视化系统，包括：

子网模块，用于将企业网络进行子网分区以获得多个子网；

业务拓扑模块，用于根据企业的业务情况构建业务拓扑；

函数映射模块，用于构建所述子网到所述业务的映射关系和函数关系；

评分显示模块，用于基于所述函数关系和所述子网的安全评分计算最终业务评分并进行可视化显示。

在本发明所述的业务视角的态势感知可视化系统中，

所述子网模块进一步用于根据企业的网络部署构建网络拓扑，根据网络功能和地理位置对所述网络拓扑进行子网分区以获得多个子网，在每个子网中搭建网络安全设备以收集所述子网中的网络安全信息；

所述业务拓扑模块进一步用于采用有向线段连接不同的业务以表示所述业务之间的关联，其中对于有先后逻辑关系的业务采用实线连接，只有工作效率影响的业务关系采用虚线连接；

所述函数映射模块进一步用于对于每个业务，找到可能影响所述业务的所有子网并采用有向线段连接所述子网和所述业务，其中对于决定所述业务是否能正常运行的子网采用实线连接，对于只影响所述业务的业务效率的子网采用虚线连接，根据所述子网对所述业务的影响程度，为每个有向线段连接赋上权重因子，并做归一化处理，以获得每个子网对所述业务的权重因子；

所述评分显示模块进一步用于获取每个所述子网中的网络安全信息以对每个所述子网进行安全评分，基于与所述业务关联的所有子网的所述安全评分和所述权重因子计算所述业务的初始业务评分，计算与所述业务关联的子业务的子业务评分，选择与所述业务关联的所有子网的所述安全评分、所述初始业务评分和所述子业务评分中的最小值作为所述业务的最终业务评分，对所述最终业务评分进行分级并在所述业务拓扑图中显示每个业务的所述最终业务评分的等级。

实施本发明的从业务视角的态势感知可视化方法、系统和存储介质，从而有效为技术人员提供网络安全维护的优先级，对核心业务对应的子网优先维护，保证企业正常运转，减少网络攻击造成的损失。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明的业务视角的态势感知可视化方法的流程图；

图2示出了根据本发明的优选实施例的业务拓扑；

图3示出了根据本发明的优选实施例的子网到业务的映射；

图4示出了根据本发明的优选实施例的子网对业务的权重因子；

图5是本发明的业务视角的态势感知可视化系统的原理框图；

图6是本发明的业务视角的态势感知可视化方法的原理示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图1是本发明的业务视角的态势感知可视化方法的流程图。图2是本发明的业务视角的态势感知可视化方法的原理示意图。如图1所示，在步骤S1中，将企业网络进行子网分区以获得多个子网。在本发明的优选实施例中，该步骤包括，根据企业的网络部署构建网络拓扑；根据网络功能和地理位置对所述网络拓扑进行子网分区以获得多个子网；在每个子网中搭建网络安全设备以收集所述子网中的网络安全信息。如图6所示，根据网络功能和地理位置对所述网络拓扑进行子网分区以获得多个子网1..a，每个子网中设置一个子网SDN，用以收集所述子网中的网络安全信息。在本发明的进一步的优选实施例中，可以设置一个总SDN与各个子网SDN分别进行通信以收集所述子网中的网络安全信息，并将这些网络安全信息传送到态势感知平台。当然，在本发明的其他优选实施例中，子网SDN可以直接与态势感知平台通信。

在步骤S2中，根据企业的业务情况构建业务拓扑，例如可以采用有向线段连接不同的业务以表示所述业务之间的关联，例如对于有先后逻辑关系的业务采用实线连接，只有工作效率影响的业务关系采用虚线连接。图2示出了根据本发明的优选实施例的业务拓扑。如图2所示，业务1、2、3…m间有先后逻辑关系，业务4和m间有先后逻辑关系，而业务4和1之间只有工作效率影响关系。当然，在本发明的其他优选实施例中，业务拓扑不限于图2给出的形式；需要根据企业的业务部署情况，进行个性化构建，业务拓扑通常会出现层级结构。

在步骤S3中，构建所述子网到所述业务的映射关系和函数关系。在本发明的优选实施例中，该步骤包括对于每个业务，找到可能影响所述业务的所有子网并采用有向线段连接所述子网和所述业务，其中对于决定所述业务是否能正常运行的子网采用实线连接，对于只影响所述业务的业务效率的子网采用虚线连接；根据所述子网对所述业务的影响程度，为每个有向线段连接赋上权重因子，并做归一化处理，以获得每个子网对所述业务的权重因子。

图3示出了根据本发明的优选实施例的子网到业务的映射。如图3所示，对于业务1，可能对其产生影响的子网包括子网1和3，其中子网1决定业务1是否能正常运行，而子网2只影响业务1的业务效率。在建立了子网到业务的映射之后，根据所述子网对所述业务的影响程度，为每个有向线段连接赋上权重因子，并做归一化处理，以获得每个子网对所述业务的权重因子。

图4示出了根据本发明的优选实施例的子网对业务的权重因子。如图4所示，对于业务i，可能影响所述业务i的所有子网包括子网k，j和j+1，而子网k的对所述业务i的权重因子为wi1，子网j的对所述业务i的权重因子为wi2,子网j+1的对所述业务i的权重因子为wi3。

在本发明的一个优选实施中，该可以采用权重分析法获得每个子网对所述业务的权重因子。举例来说，专业人员（包括业务拓扑和网络拓扑的构建者、企业业务专员和网络专员）按照子网对业务的影响程度进行5分制评分，去除一个最高分和一个最低分后，做加权平均，最后按不同子网做归一化，得到不同子网的权重因子。当然，在本发明的其他优选实施例中，还可以采用其他的方法和规则获得每个子网对所述业务的权重因子。

在步骤S4中，基于所述函数关系和所述子网的安全评分计算最终业务评分并进行可视化显示。在本发明的优选实施例中，所述步骤包括：获取每个所述子网中的网络安全信息以对每个所述子网进行安全评分；基于与所述业务关联的所有子网的所述安全评分和所述权重因子计算所述业务的初始业务评分；计算与所述业务关联的子业务的子业务评分；选择与所述业务关联的所有子网的所述安全评分、所述初始业务评分和所述子业务评分中的最小值作为所述业务的最终业务评分；对所述最终业务评分进行分级并在所述业务拓扑图中显示每个业务的所述最终业务评分的等级。

在本发明的一个优选实施例中，如前所述，可以通过每个子网中设置中子网SDN控制器收集对应子网的安全信息，然后将子网SDN控制器收集到的子网的安全信息汇总到总SDN控制器，交由态势感知平台进行评估和预测，从而获得每个子网的所有子网的所述安全评分。然后，在利用所述态势感知平台，基于与所述业务关联的所有子网的所述安全评分和所述权重因子计算所述业务的初始业务评分，具体如下。

以图4为例，对于业务i，可能影响所述业务i的所有子网包括子网k，j和j+1，而子网k的对所述业务i的权重因子为wi1，子网j的对所述业务i的权重因子为wi2, 子网j+1的对所述业务i的权重因子为wi3，子网k的安全评分为

当然，在本发明的其他优选实施例中，可以采用非线性映射，例如业务i=f（子网1评分，子网2评分，…，子网n评分），对于每一个子网评分，f都不是减函数。在此，f可以采用本领域中已知的任何适合的非线性函数。每个子网的所有子网的所述安全评分也可采用本领域中已知的任何适合的方法来获得，例如采用利用态势感知平台对所有子网进行安全评分，评分为百分制。

由于当某个子网评分远低于其他子网的子网评分且其与业务的连接为实线时，该子网会严重影响业务的正常运行，此时业务评分取为所有实线连接子网评分中的最低值，如图4所示，即为

进一步地考虑业务间的相互关联，所有指向业务i的实线连接对应的业务为业务i的子业务，取所有子业务评分和

因此，选择与所述业务关联的所有子网的所述安全评分、所述初始业务评分和所述子业务评分中的最小值作为所述业务的最终业务评分。

在本发明的优选实施例中，在计算出最终业务评分之后，对所述最终业务评分进行分级并在所述业务拓扑图中显示每个业务的所述最终业务评分的等级。具体地，将最终业务评分的等级分为四个等级：安全（75-100分）、低危（50-75分）、中危（25-50分）、高危（0-25分），分别用绿、黄、橙、红四种颜色标记，根据最终业务评分所在的等级范围，在业务拓扑图上用对应的颜色显示出来。

实施本发明的业务视角的态势感知可视化方法，利用业务构架和网络构架间的映射，将网络系统的安全程度映射到业务系统，并对每一个业务的安全程度进行评级和标识。当某一区域的网络受到攻击时，受该网络影响的所有业务都将在业务构架图中被高亮显现出来，并根据影响程度作不同的区分；这样企业管理层就可以根据这些信息，调整企业业务策略和资源调配方案；进而有效为技术人员提供网络安全维护的优先级，对核心业务对应的子网优先维护，保证企业正常运转，减少网络攻击造成的损失。

本发明还涉及一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述的业务视角的态势感知可视化方法。所述计算机程序包含能够实现本发明方法的全部特征，当其安装到计算机系统中时，可以实现本发明的方法。本文件中的计算机程序所指的是：可以采用任何程序语言、代码或符号编写的一组指令的任何表达式，该指令组使系统具有信息处理能力，以直接实现特定功能，或在进行下述一个或两个步骤之后实现特定功能：a)转换成其它语言、编码或符号；b)以不同的格式再现。

图5是本发明的业务视角的态势感知可视化系统的原理框图。如图5所示，所述态势感知可视化系统包括子网模块100、业务拓扑模块200、函数映射模块300和评分显示模块400。所述子网模块100用于将企业网络进行子网分区以获得多个子网。所述业务拓扑模块200用于根据企业的业务情况构建业务拓扑。所述函数映射模块300用于构建所述子网到所述业务的映射关系和函数关系。所述评分显示模块400用于基于所述函数关系和所述子网的安全评分计算最终业务评分并进行可视化显示。

在本发明的进一步的优选实施例中，所述子网模块100进一步用于根据企业的网络部署构建网络拓扑，根据网络功能和地理位置对所述网络拓扑进行子网分区以获得多个子网，在每个子网中搭建网络安全设备以收集所述子网中的网络安全信息。

在本发明的进一步的优选实施例中，所述业务拓扑模块200进一步用于采用有向线段连接不同的业务以表示所述业务之间的关联，其中对于有先后逻辑关系的业务采用实线连接，只有工作效率影响的业务关系采用虚线连接。

在本发明的进一步的优选实施例中，所述函数映射模块300进一步用于对于每个业务，找到可能影响所述业务的所有子网并采用有向线段连接所述子网和所述业务，其中对于决定所述业务是否能正常运行的子网采用实线连接，对于只影响所述业务的业务效率的子网采用虚线连接，根据所述子网对所述业务的影响程度，为每个有向线段连接赋上权重因子，并做归一化处理，以获得每个子网对所述业务的权重因子。

在本发明的进一步的优选实施例中，所述评分显示模块400进一步用于获取每个所述子网中的网络安全信息以对每个所述子网进行安全评分，基于与所述业务关联的所有子网的所述安全评分和所述权重因子计算所述业务的初始业务评分，计算与所述业务关联的子业务的子业务评分，选择与所述业务关联的所有子网的所述安全评分、所述初始业务评分和所述子业务评分中的最小值作为所述业务的最终业务评分，对所述最终业务评分进行分级并在所述业务拓扑图中显示每个业务的所述最终业务评分的等级。

本领域技术人员知悉，所述子网模块100、业务拓扑模块200、函数映射模块300和评分显示模块400可以参照图1-4所示的实施例构造，在此就不在累述了。所述子网模块100、业务拓扑模块200、函数映射模块300和评分显示模块400可以集成在态势感知平台中，也可以单独设置。

因此，本发明可以通过硬件、软件或者软、硬件结合来实现。本发明可以在至少一个计算机系统中以集中方式实现，或者由分布在几个互连的计算机系统中的不同部分以分散方式实现。任何可以实现本发明方法的计算机系统或其它设备都是可适用的。常用软硬件的结合可以是安装有计算机程序的通用计算机系统，通过安装和执行程序控制计算机系统，使其按本发明方法运行。

本发明还可以通过计算机程序产品进行实施，程序包含能够实现本发明方法的全部特征，当其安装到计算机系统中时，可以实现本发明的方法。本文件中的计算机程序所指的是：可以采用任何程序语言、代码或符号编写的一组指令的任何表达式，该指令组使系统具有信息处理能力，以直接实现特定功能，或在进行下述一个或两个步骤之后实现特定功能：a)转换成其它语言、编码或符号；b)以不同的格式再现。

虽然本发明是通过具体实施例进行说明的，本领域技术人员应当明白，在不脱离本发明范围的情况下，还可以对本发明进行各种变换及等同替代。另外，针对特定情形或材料，可以对本发明做各种修改，而不脱离本发明的范围。因此，本发明不局限于所公开的具体实施例，而应当包括落入本发明权利要求范围内的全部实施方式。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。