一种基于网络设备智能安全分析管理决策系统与方法

摘要

本发明提出了一种基于网络设备智能安全分析管理决策的方法及系统，基于网络设备在在云系统运行过程中可能出现的网络安全攻击或网络安全系统设置故障，提出基于安全事件数据包的安全分析和管理决策方法及系统，通过将安全事件转化为相应的安全事件数据包并执行数据包归一化解析，使得安全事件分析和决策基于可设备置信度、处理层级信息以及安全事件参数集等三方入口参数，智能化地基于安全策略归集来实现网络设备的安全智能分析以及全局决策。

说明书

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于网络设备智能安全分析管理决策系统及其管理方法。

背景技术

互联网的发展不仅为信息化社会带来了数据传输的便利性，随之而来的亦有类型多种多样的网络安全问题。

通常而言，网络安全是指保护计算机、服务器、移动设备、电子系统、网络和数据免受恶意攻击的技术，这种技术也称为信息技术安全或电子信息安全。网络安全，通常指计算机网络的安全，实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来，在通信软件的支持下，实现计算机间的信息传输与交换的系统。而计算机网络是指以共享资源为目的，利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来，并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享，通信网络是实现网络资源共享的途径，因此，计算机网络是安全的，相应的计算机通信网络也必须是安全的，应该能为网络用户实现信息交换与资源共享。该术语适用于从业务到移动计算的各种环境，可以分为几个常见类别。网络安全的最普遍意义是一种保护计算机网络免受入侵者无论是定向攻击还是条件恶意软件攻击的技术。应用程序安全侧重于保护软件和设备免受威胁。受到侵害的应用程序可能会对其旨在保护的数据提供访问权限。并且，早在应用程序设计阶段而非部署程序或设备之前，就决定了此应用程序能否成功保障安全。信息安全设计用于在存储和传输过程中保护数据的完整和私密。运营安全包括处理和保护数据资产的过程和决策。用户在访问网络时所具有的权限与确定存储/共享数据的时间和位置的步骤均包含在此保护伞下。灾难恢复和业务连续性定义了组织如何应对网络安全事件或任何其它导致运营/数据损失的事件。灾难恢复策略规定了组织如何恢复其运营和信息，以恢复到事件发生之前的等同运营能力。业务连续性指组织在没有某些资源的情况下尝试运营时所依靠的计划。

网络安全往往同时包含了硬件安全和软件安全，需要两方面偕行来进行维护，硬件需要选择合适的产品来进行组装，并定期进行测试检查，软件需要进行杀毒维护和升级。互联网中，最重要的一个环节就是资源信息的共享，共享这个环节就需要网络安全来保障安全，由于设备、数据、计算机系统相连接，在协议的控制下进行数据交换，从而进行信息的反馈。所以，网络安全也是通讯与信息的安全。

对于网络安全的最有效方法，就是进行基于网络安全形式分析的网络安全防御。

网络安全防御，或称为网络安全防护，通常意义上具有如下几大基本安全方面，如果结合得当，将能够有效地制止针对企业的数据、网络和用户的攻击。防火墙：这块十多年来网络防御的基石，如今对于稳固的基础安全来说，仍然十分需要。如果没有防火墙屏蔽有害的流量，那么企业保护自己网络资产的工作就会成倍增加。防火墙必须部署在企业的外部边界上，但是它也可以安置在企业网络的内部，保护各网络段的数据安全。在企业内部部署防火墙还是一种相对新鲜但却很好的实践。之所以会出现这种实践，主要是因为可以区分可信任流量和有害流量的任何有形的、可靠的网络边界正在消失的缘故。旧有的所谓清晰的互联网边界的概念在现代网络中已不复存在。最新的变化是，防火墙正变得越来越智能，颗粒度也更细，能够在数据流中进行定义。如今，防火墙基于应用类型甚至应用的某个功能来控制数据流已很平常。举例来说，防火墙可以根据来电号码屏蔽一个SIP语音呼叫。安全路由器：路由器在大多数网络中几乎到处都有。按照惯例，它们只是被用来作为监控流量的交通警察而已。但是现代的路由器能够做的事情比这多多了。路由器具备了完备的安全功能，有时候甚至要比防火墙的功能还全。今天的大多数路由器都具备了健壮的防火墙功能，还有一些有用的IDS/IPS功能，健壮的QoS和流量管理工具，当然还有很强大的VPN数据加密功能。这样的功能列表还可以列出很多。现代的路由器完全有能力为网络增加安全性。而利用现代的VPN技术，它可以相当简单地为企业WAN上的所有数据流进行加密，却不必为此增加人手。有些人还可充分利用到它的一些非典型用途，比如防火墙功能和IPS功能。打开路由器，就能看到安全状况改善了很多。无线WPA2：如果还没有采用WPA2无线安全，开始改用带AES加密的WPA2将较好地提升网络安全性。邮件安全：邮件是最易受攻击的对象。病毒、恶意软件和蠕虫都喜欢利用邮件作为其传播渠道。邮件还是我们最容易泄露敏感数据的渠道。Web安全：有鉴于基于Web的攻击越来越复杂化，所以企业就必须部署一个健壮的Web安全解决方案。多年来一直在使用简单的URL过滤，这种办法的确是Web安全的一项核心内容。但是Web安全还远不止URL过滤这么简单，它还需要有注入AV扫描、恶意软件扫描、IP信誉识别、动态URL分类技巧和数据泄密防范等功能。攻击者们正在以惊人的速度侵袭着很多高知名度的网站，假如只依靠URL黑白名单来过滤的话，那可能就只剩下白名单的URL可供访问。任何Web安全解决方案都必须能够动态地扫描Web流量。

对网络安全攻击的防御往往遵从传统意义上的安全防护规则，未能很好地适配网络设备本身的特征，以及网络安全事件的事件特征、防护层级考量来从系统层面综合决策网络安全管理和防御，导致对网络安全的防护总是亡羊补牢，过于关注局部和暂态的数据防护。

本发明提出了一种基于网络设备智能安全分析管理决策的方法及系统，基于网络设备在在云系统运行过程中可能出现的网络安全攻击或网络安全系统设置故障，提出基于安全事件数据包的安全分析和管理决策方法及系统，通过将安全事件转化为相应的安全事件数据包并执行数据包归一化解析，使得安全事件分析和决策基于可设备置信度、处理层级信息以及安全事件参数集等三方入口参数，智能化地基于安全策略归集来实现网络设备的安全智能分析以及全局决策。

发明内容

本发明旨在提供一种优于现有技术的基于网络设备智能安全分析管理决策系统及方法。

为了实现上述目的，本发明的技术方案如下：

一种基于网络设备智能安全分析管理决策系统，所述系统包括：

多个网络设备，每个所述网络设备运行于云计算网络中，处理客户端提出的网络数据处理请求并返回数据处理结果；

所述网络设备还用于在遭遇网络安全事件时，向所述基于网络设备智能安全分析管理决策系统的安全事件归一器发送安全事件报文；

所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息；

其中，所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息，具体为：所述安全事件报文在网络设备A遭遇网络安全事件时，至少记录所述网络设备的网络设备ID、安全事件第一参数集、安全事件发生层级与关联层级；

安全事件归一器，所述安全事件归一器用于将所述网络设备发送的安全事件报文进行基于事件的报文归一处理，将所述安全事件报文至少拆解为所述网络设备的网络设备ID字段、安全事件第一参数集字段、安全事件发生层级与关联层级字段；

所述安全事件归一器还用于将所述网络设备的网络设备ID字段封包为第一事件决策数据，并发送至设备置信模块；将所述安全事件第一参数集字段封包为第二事件决策数据，并发送至策略归集模块；将所述安全事件发生层级与关联层级封包为第三事件决策数据，并发送至处理层级模块；

设备置信模块，所述设备置信模块用于接收所述第一事件决策数据，并解析其中网络设备的网络设备ID，基于网络设备ID查找网络设备安全事件置信表，并确定网络设备安全事件置信值，发送至智能管理决策模块；

策略归集模块，所述策略归集模块用于接收并解析所述第二事件决策数据，基于所述安全事件第一参数集字段确定对应的安全策略归集，并将所述对应的安全策略归集发送至智能管理决策模块；

处理层级模块；所述处理层级模块用于接收所述第三事件决策数据，并解析其中的安全事件发生层级与关联层级，基于安全事件发生层级与关联层级确定对应的安全事件处理操作层级权限需求，并将确定的对应的安全事件处理操作层级权限需求，发送至智能管理决策模块；

其中，所述对应的安全事件处理操作层级权限需求至少高于或等于安全事件的关联层级；

智能管理决策模块，所述智能管理决策模块接收所述网络设备安全事件置信值、安全策略归集以及对应的安全事件处理操作层级权限需求，基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策；

其中，所述基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策，具体为：

当安全事件置信值大于置信阈值时，直接执行安全事件智能管理决策；当安全事件置信值小于置信阈值时，以所述安全事件置信值K1为概率采用随机算法，判别在[0,1]范围内选取随机数结果是否落在[0，K1]内，若是，则执行安全事件智能管理决策若否，则不执行安全事件智能管理决策，确认为安全事件误报；

所述安全事件智能管理决策至少包含：向安全事件处理对象开通安全事件处理操作层级权限需求所要求的处理操作层级权限，并基于所述安全策略归集，采用对应的安全策略处理所述安全事件，并记录至数据库。

较佳地，所述网络设备可以为云计算边缘服务器、路由器、网关或服务主机。

较佳地，所述网络安全事件至少包含以下事件之一：网络攻击事件、非攻击类网络故障事件、网络信息安全等级变更事件。

较佳地，所述网络设备安全事件置信表由所述基于网络设备智能安全分析管理决策系统预置，所述网络设备安全事件置信表至少包含网络设备ID信息及与所述网络设备ID信息一一对应的网络设备安全事件置信值，基于系统数据库存储的网络设备的历史安全事件可信度计算网络设备安全事件置信值。

较佳地，所述系统数据库存储的网络设备的历史安全事件可信度等于所述网络设备历史安全事件的误报概率，并随网络设备的安全事件持续上报进行更新并动态变化。

同时，本申请还诉求保护一种基于网络设备智能安全分析管理方法，所述方法包括如下步骤：

步骤一：操作多个网络设备中的每个所述网络设备，使其运行于云计算网络中，处理客户端提出的网络数据处理请求并返回数据处理结果；

所述网络设备还用于在遭遇网络安全事件时，向所述基于网络设备智能安全分析管理决策系统的安全事件归一器发送安全事件报文；

所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息；

其中，所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息，具体为：所述安全事件报文在网络设备A遭遇网络安全事件时，至少记录所述网络设备的网络设备ID、安全事件第一参数集、安全事件发生层级与关联层级；

步骤二：操作安全事件归一器将所述网络设备发送的安全事件报文进行基于事件的报文归一处理，将所述安全事件报文至少拆解为所述网络设备的网络设备ID字段、安全事件第一参数集字段、安全事件发生层级与关联层级字段；

所述安全事件归一器还用于将所述网络设备的网络设备ID字段封包为第一事件决策数据，并发送至设备置信模块；将所述安全事件第一参数集字段封包为第二事件决策数据，并发送至策略归集模块；将所述安全事件发生层级与关联层级封包为第三事件决策数据，并发送至处理层级模块；

步骤三：操作设备置信模块接收所述第一事件决策数据，并解析其中网络设备的网络设备ID，基于网络设备ID查找网络设备安全事件置信表，并确定网络设备安全事件置信值，发送至智能管理决策模块；

步骤四：操作策略归集模块接收并解析所述第二事件决策数据，基于所述安全事件第一参数集字段确定对应的安全策略归集，并将所述对应的安全策略归集发送至智能管理决策模块；

步骤五：操作处理层级模块接收所述第三事件决策数据，并解析其中的安全事件发生层级与关联层级，基于安全事件发生层级与关联层级确定对应的安全事件处理操作层级权限需求，并将确定的对应的安全事件处理操作层级权限需求，发送至智能管理决策模块；

其中，所述对应的安全事件处理操作层级权限需求至少高于或等于安全事件的关联层级；

步骤六：操作智能管理决策模块接收所述网络设备安全事件置信值、安全策略归集以及对应的安全事件处理操作层级权限需求，基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策；

其中，所述基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策，具体为：

当安全事件置信值大于置信阈值时，直接执行安全事件智能管理决策；当安全事件置信值小于置信阈值时，以所述安全事件置信值K1为概率采用随机算法，判别在[0,1]范围内选取随机数结果是否落在[0，K1]内，若是，则执行安全事件智能管理决策若否，则不执行安全事件智能管理决策，确认为安全事件误报；

所述安全事件智能管理决策至少包含：向安全事件处理对象开通安全事件处理操作层级权限需求所要求的处理操作层级权限，并基于所述安全策略归集，采用对应的安全策略处理所述安全事件，并记录至数据库。

较佳地，所述网络设备可以为云计算边缘服务器、路由器、网关或服务主机。

较佳地，所述网络安全事件至少包含以下事件之一：网络攻击事件、非攻击类网络故障事件、网络信息安全等级变更事件。

较佳地，所述网络设备安全事件置信表由所述基于网络设备智能安全分析管理决策系统预置，所述网络设备安全事件置信表至少包含网络设备ID信息及与所述网络设备ID信息一一对应的网络设备安全事件置信值，基于系统数据库存储的网络设备的历史安全事件可信度计算网络设备安全事件置信值。

较佳地，所述系统数据库存储的网络设备的历史安全事件可信度等于所述网络设备历史安全事件的误报概率，并随网络设备的安全事件持续上报进行更新并动态变化。

本发明提出了一种基于网络设备智能安全分析管理决策的方法及系统，基于网络设备在在云系统运行过程中可能出现的网络安全攻击或网络安全系统设置故障，提出基于安全事件数据包的安全分析和管理决策方法及系统，通过将安全事件转化为相应的安全事件数据包并执行数据包归一化解析，使得安全事件分析和决策基于可设备置信度、处理层级信息以及安全事件参数集等三方入口参数，智能化地基于安全策略归集来实现网络设备的安全智能分析以及全局决策。

附图说明

图1是本发明示出的基于网络设备智能安全分析管理决策系统的一种基本系统结构图；

图2是本发明示出的基于网络设备智能安全分析管理决策系统中安全事件归一器的一种基本系统结构图；

图3是本发明示出的基于网络设备智能安全分析管理决策系统中安全事件归一器模块与设备置信模块、策略归集模块、处理层级模块互联的一种基本系统结构图；

图4是本发明示出的基于网络设备智能安全分析管理方法步骤流程图的一种较佳实施例；

图5是本发明示出基于网络设备智能安全分析管理方法执行安全事件智能管理决策步骤的一种优选显示实施例示意图。

具体实施方式

以下具体描述本发明所请求保护的一种基于网络设备智能安全分析管理决策系统的若干实施例和有益效果，以有助于对本发明进行更细致的审查和分解。

为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应当理解，尽管在本发明实施例中可能采用术语第一、第二等来描述方法和相应装置，但这些关键词不应限于这些术语。这些术语仅用来将关键词彼此区分开。例如，在不脱离本发明实施例范围的情况下，第一参数集、第一事件决策数据等也可以被称为第二参数集、第二事件决策数据，类似地，第二参数集、第二事件决策数据等也可以被称为第一参数集、第一事件决策数据。

取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。

如说明书附图1-3所示，说明书附图1-3为本发明所请求保护的一种基于网络设备智能安全分析管理决策系统及其具体内含模块互联关系的实施例之一，所述系统包括：

多个网络设备，每个所述网络设备运行于云计算网络中，处理客户端提出的网络数据处理请求并返回数据处理结果；

所述网络设备还用于在遭遇网络安全事件时，向所述基于网络设备智能安全分析管理决策系统的安全事件归一器发送安全事件报文；

所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息；

其中，所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息，具体为：所述安全事件报文在网络设备A遭遇网络安全事件时，至少记录所述网络设备的网络设备ID、安全事件第一参数集、安全事件发生层级与关联层级；

作为一种可叠加的优选实施例，所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息，具体可为：所述安全事件报文在网络设备A遭遇网络安全事件时，至少记录所述网络设备的网络设备ID、安全事件第一参数集、安全事件发生层级与关联层级。其中，所述网络设备ID用于表征网络设备的各异性并标识网络设备，所述安全事件第一参数集至少包含本次安全事件数据报文协议流表，用于记录并汇总传输错误的数据报文协议簇类型；安全故障范围，用于确定安全故障的并发范围；安全故障新发指标，用于确定本次安全故障是否为特定周期内的新发故障。作为另一种可叠加的优选实施例，所述安全故障的并发范围用于在本网络设备A发生故障时，网络设备A向直接连接或上下游的同类型网络设备发送故障探测报文，用于检测直接连接或上下游的同类型网络设备是否发生同类型故障，并在网络设备A直接连接或上下游的同类型网络设备是发生同类型故障时，继续向网络设备A直接连接或上下游的同类型网络设备的直接连接或上下游的同类型网络设备发送故障探测报文用于检测网络设备A直接连接或上下游的同类型网络设备的直接连接或上下游的同类型网络设备是否发生同类型故障，直至未发生故障或故障探测报文已被发送至少三次，则停止发送故障探测报文。安全故障范围的值为故障探测报文发送次数，若故障探测报文已被发送至少三次，达到上限，则此时，安全故障范围的值也即等于3。所述安全故障新发指标用于在特定维护周期内，例如3day，确定特定网络设备是否为第一次新发故障，用于确定该网络设备的故障发生率，并基于所述网络设备的故障发生率确定返修概率，所述返修概率与所述安全故障新发指标成正比例关系。若特定周期内该网络设备故障新发，则所述安全故障新发指标为1，用以表征此次故障，若特定周期内该网络设备故障非新发且已发生K次，则所述安全故障新发指标为K+1。作为另一种可叠加的优选实施例，所述安全事件发生层级与关联层级用于表征所述安全事件所发生的层级与关联层级，作为另一种可叠加的优选实施例，所述发生层级用于表征所述安全事件的故障来自于云计算系统的交付层，也即底层客户端层；或边缘连接层，也即从底层客户端(不包含)到云边缘设备的网络设备层；或云中心层，也即从所述基于网络设备智能安全分析管理决策系统的云计算中心到各个云边缘设备(不包含)的中心计算层之一，并将该网络安全事件的发生层级的上一层级(若有)作为安全事件的关联层级，记录在安全事件报文的安全事件发生层级与关联层级字段中。

安全事件归一器，所述安全事件归一器用于将所述网络设备发送的安全事件报文进行基于事件的报文归一处理，将所述安全事件报文至少拆解为所述网络设备的网络设备ID字段、安全事件第一参数集字段、安全事件发生层级与关联层级字段；

所述安全事件归一器还用于将所述网络设备的网络设备ID字段封包为第一事件决策数据，并发送至设备置信模块；将所述安全事件第一参数集字段封包为第二事件决策数据，并发送至策略归集模块；将所述安全事件发生层级与关联层级封包为第三事件决策数据，并发送至处理层级模块；

设备置信模块，所述设备置信模块用于接收所述第一事件决策数据，并解析其中网络设备的网络设备ID，基于网络设备ID查找网络设备安全事件置信表，并确定网络设备安全事件置信值，发送至智能管理决策模块；

策略归集模块，所述策略归集模块用于接收并解析所述第二事件决策数据，基于所述安全事件第一参数集字段确定对应的安全策略归集，并将所述对应的安全策略归集发送至智能管理决策模块；

作为一种可叠加的优选实施例，所述策略归集模块，所述策略归集模块用于接收并解析所述第二事件决策数据，基于所述安全事件第一参数集字段确定对应的安全策略归集，具体为：所述策略归集模块解析所述安全事件数据报文协议流表、安全故障范围字段以及安全故障新发指标，并基于所述安全事件数据报文协议流表、安全故障范围字段以及安全故障新发指标，共同确定对应的安全事件管理策略，所述安全事件管理策略可由系统管理员依据上述指标决策，也可由系统自动基于安全策略归集查询表决策。作为一种可叠加的优选实施例，所述安全策略归集模块存储有系统预置安全策略归集查询表，所述安全策略归集查询表至少包含每一安全策略及其对应的安全事件数据报文协议流表、安全故障范围字段以及安全故障新发指标范围，通过查询安全事件报文所携带的安全事件数据报文协议流表、安全故障范围字段以及安全故障新发指标，则可在所述安全策略归集查询表中查询对应的安全策略归集，并将所述对应的安全策略归集发送至智能管理决策模块。

处理层级模块；所述处理层级模块用于接收所述第三事件决策数据，并解析其中的安全事件发生层级与关联层级，基于安全事件发生层级与关联层级确定对应的安全事件处理操作层级权限需求，并将确定的对应的安全事件处理操作层级权限需求，发送至智能管理决策模块；

其中，所述对应的安全事件处理操作层级权限需求至少高于或等于安全事件的关联层级；

智能管理决策模块，所述智能管理决策模块接收所述网络设备安全事件置信值、安全策略归集以及对应的安全事件处理操作层级权限需求，基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策；

其中，所述基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策，具体为：

当安全事件置信值大于置信阈值时，直接执行安全事件智能管理决策；当安全事件置信值小于置信阈值时，以所述安全事件置信值K1为概率采用随机算法，判别在[0,1]范围内选取随机数结果是否落在[0，K1]内，若是，则执行安全事件智能管理决策若否，则不执行安全事件智能管理决策，确认为安全事件误报；

所述安全事件智能管理决策至少包含：向安全事件处理对象开通安全事件处理操作层级权限需求所要求的处理操作层级权限，并基于所述安全策略归集，采用对应的安全策略处理所述安全事件，并记录至数据库。

作为一种可叠加的实施例，所述网络设备可以为云计算边缘服务器、路由器、网关或服务主机。

作为另一种可叠加的实施例，所述网络安全事件至少包含以下事件之一：网络攻击事件、非攻击类网络故障事件、网络信息安全等级变更事件。

作为另一种可叠加的实施例，所述网络设备安全事件置信表由所述基于网络设备智能安全分析管理决策系统预置，所述网络设备安全事件置信表至少包含网络设备ID信息及与所述网络设备ID信息一一对应的网络设备安全事件置信值，基于系统数据库存储的网络设备的历史安全事件可信度计算网络设备安全事件置信值。

作为另一种可叠加的实施例，所述系统数据库存储的网络设备的历史安全事件可信度等于所述网络设备历史安全事件的误报概率，并随网络设备的安全事件持续上报进行更新并动态变化。

如说明书附图4-5所示，说明书附图4-5为本发明所请求保护的基于网络设备智能安全分析管理方法及其执行安全事件智能管理决策步骤的优选显示实施例示意图，所述方法包括如下步骤：

步骤S102：操作多个网络设备中的每个所述网络设备，使其运行于云计算网络中，处理客户端提出的网络数据处理请求并返回数据处理结果；

所述网络设备还用于在遭遇网络安全事件时，向所述基于网络设备智能安全分析管理决策系统的安全事件归一器发送安全事件报文；

所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息；

其中，所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息，具体为：所述安全事件报文在网络设备A遭遇网络安全事件时，至少记录所述网络设备的网络设备ID、安全事件第一参数集、安全事件发生层级与关联层级；

步骤S104：操作安全事件归一器将所述网络设备发送的安全事件报文进行基于事件的报文归一处理，将所述安全事件报文至少拆解为所述网络设备的网络设备ID字段、安全事件第一参数集字段、安全事件发生层级与关联层级字段；

所述安全事件归一器还用于将所述网络设备的网络设备ID字段封包为第一事件决策数据，并发送至设备置信模块；将所述安全事件第一参数集字段封包为第二事件决策数据，并发送至策略归集模块；将所述安全事件发生层级与关联层级封包为第三事件决策数据，并发送至处理层级模块；

步骤S106：操作设备置信模块接收所述第一事件决策数据，并解析其中网络设备的网络设备ID，基于网络设备ID查找网络设备安全事件置信表，并确定网络设备安全事件置信值，发送至智能管理决策模块；

步骤S108：操作策略归集模块接收并解析所述第二事件决策数据，基于所述安全事件第一参数集字段确定对应的安全策略归集，并将所述对应的安全策略归集发送至智能管理决策模块；

步骤S110：操作处理层级模块接收所述第三事件决策数据，并解析其中的安全事件发生层级与关联层级，基于安全事件发生层级与关联层级确定对应的安全事件处理操作层级权限需求，并将确定的对应的安全事件处理操作层级权限需求，发送至智能管理决策模块；

其中，所述对应的安全事件处理操作层级权限需求至少高于或等于安全事件的关联层级；

步骤S112：操作智能管理决策模块接收所述网络设备安全事件置信值、安全策略归集以及对应的安全事件处理操作层级权限需求，基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策；

其中，所述基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策，具体为：

当安全事件置信值大于置信阈值时，直接执行安全事件智能管理决策；当安全事件置信值小于置信阈值时，以所述安全事件置信值K1为概率采用随机算法，判别在[0,1]范围内选取随机数结果是否落在[0，K1]内，若是，则执行安全事件智能管理决策若否，则不执行安全事件智能管理决策，确认为安全事件误报；

所述安全事件智能管理决策至少包含：向安全事件处理对象开通安全事件处理操作层级权限需求所要求的处理操作层级权限，并基于所述安全策略归集，采用对应的安全策略处理所述安全事件，并记录至数据库。

作为另一种可叠加的实施例，所述网络设备可以为云计算边缘服务器、路由器、网关或服务主机。

作为另一种可叠加的实施例，所述网络安全事件至少包含以下事件之一：网络攻击事件、非攻击类网络故障事件、网络信息安全等级变更事件。

作为另一种可叠加的实施例，所述网络设备安全事件置信表由所述基于网络设备智能安全分析管理决策系统预置，所述网络设备安全事件置信表至少包含网络设备ID信息及与所述网络设备ID信息一一对应的网络设备安全事件置信值，基于系统数据库存储的网络设备的历史安全事件可信度计算网络设备安全事件置信值。

作为另一种可叠加的实施例，所述系统数据库存储的网络设备的历史安全事件可信度等于所述网络设备历史安全事件的误报概率，并随网络设备的安全事件持续上报进行更新并动态变化。

本发明提出了一种基于网络设备智能安全分析管理决策的方法及系统，基于网络设备在在云系统运行过程中可能出现的网络安全攻击或网络安全系统设置故障，提出基于安全事件数据包的安全分析和管理决策方法及系统，通过将安全事件转化为相应的安全事件数据包并执行数据包归一化解析，使得安全事件分析和决策基于可设备置信度、处理层级信息以及安全事件参数集等三方入口参数，智能化地基于安全策略归集来实现网络设备的安全智能分析以及全局决策。

在所有上述实施方式中，为实现一些特殊的数据传输、读/写功能的要求，上述方法操作过程中及其相应装置可以增加装置、模块、器件、硬件、引脚连接或存储器、处理器差异来扩展功能。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的方法，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述方法步骤的划分，仅仅为一种逻辑或功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为方法的各个步骤、装置分离部件说明的单元可以是或者也可以不是逻辑或物理上分开的，也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各方法步骤及其实现、功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述方法和装置可以以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等)或处理器(Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、NVRAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

应说明的是：以上实施例仅用以更清晰地解释、阐述本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。