本發(fā)明屬于信息安全管理，特別涉及一種信息安全管理方法及系統(tǒng)。

背景技術(shù)：

1、隨著網(wǎng)絡(luò)的發(fā)展，信息安全是當(dāng)今互聯(lián)網(wǎng)和信息技術(shù)領(lǐng)域的核心問題。傳統(tǒng)的信息安全管理通常采用獨立的安全漏洞管理系統(tǒng)、web應(yīng)用防火墻（waf，web?applicationfirewall）、靜態(tài)代碼審計工具和安全運營系統(tǒng)。這些工具各自為政，無法高效整合和協(xié)調(diào)，導(dǎo)致安全事件響應(yīng)速度慢，風(fēng)險管理效果不佳?，F(xiàn)有技術(shù)中，缺乏一種能夠?qū)⑦@些功能有效整合在一起的綜合平臺，以實現(xiàn)全面的信息安全管理。

2、公開號為cn116050840a的中國發(fā)明專利公開了一種信息安全風(fēng)險管理方法及管理系統(tǒng)，該方法基于代碼審計工具、web應(yīng)用防火墻、漏洞與威脅統(tǒng)計數(shù)據(jù)工具等工具，包括以下步驟：獲取信息安全風(fēng)險管理的目標(biāo)任務(wù)；根據(jù)目標(biāo)任務(wù)，確定與目標(biāo)任務(wù)對應(yīng)的信息安全風(fēng)險管理范疇；根據(jù)目標(biāo)任務(wù)和信息安全風(fēng)險管理范疇，建立信息安全風(fēng)險管理保障機制，明確信息安全風(fēng)險管理的保障措施和建立信息安全風(fēng)險管理原則；根據(jù)信息安全風(fēng)險管理保障機制、信息安全風(fēng)險管理的保障措施和信息安全風(fēng)險管理原則，確定信息安全風(fēng)險管理能力信息；根據(jù)信息安全風(fēng)險能力信息，執(zhí)行信息安全風(fēng)險管理操作，用于解決現(xiàn)有技術(shù)中不能夠全面、準(zhǔn)確地指導(dǎo)組織開展信息安全風(fēng)險管理工作，以有效應(yīng)對不斷變化的網(wǎng)絡(luò)安全風(fēng)險的問題。

3、該方案由于代碼審計工具、web應(yīng)用防火墻、漏洞與威脅統(tǒng)計數(shù)據(jù)工具等工具各自獨立運行，存在數(shù)據(jù)孤立的問題，進(jìn)而影響運維系統(tǒng)中安全評價的準(zhǔn)確性；由于數(shù)據(jù)的孤立，往往需要單獨處理各個子系統(tǒng)數(shù)據(jù)以進(jìn)行安全管理，影響安全管理的效率。

技術(shù)實現(xiàn)思路

1、本發(fā)明提供一種信息安全管理方法及系統(tǒng)，旨在解決現(xiàn)有技術(shù)中解決安全管理存在因數(shù)據(jù)孤立導(dǎo)致的安全評價準(zhǔn)確性以及安全管理效率較低的問題。

2、為解決上述技術(shù)問題，本發(fā)明提出的管理方法包括以下步驟：

3、獲取代碼審計數(shù)據(jù)、web應(yīng)用防火墻數(shù)據(jù)及漏洞管理數(shù)據(jù)；

4、對同一批次的代碼審計數(shù)據(jù)、web應(yīng)用防火墻數(shù)據(jù)及漏洞管理數(shù)據(jù)進(jìn)行特征提取，獲取結(jié)構(gòu)化的特征向量，將特征向量融合為一個特征矩陣；

5、構(gòu)建并訓(xùn)練異常檢測模型，將一特征矩陣輸入至所述異常檢測模型獲取異常分?jǐn)?shù)；

6、根據(jù)所述異常分?jǐn)?shù)及設(shè)定的閾值，生成對應(yīng)的安全風(fēng)險等級，并發(fā)送至安全運營模塊進(jìn)行展示或告警。

7、優(yōu)選的，所述特征向量包括代碼審計特征向量、防火墻特征向量及漏洞管理特征向量，其中：

8、代碼審計特征向量進(jìn)一步包括漏洞類型、漏洞嚴(yán)重性、影響代碼行數(shù)、代碼復(fù)雜度及注釋密度；

9、防火墻特征向量進(jìn)一步包括請求的url結(jié)構(gòu)、來源ip信譽、響應(yīng)狀態(tài)碼的頻率及潛在攻擊行為；

10、漏洞管理特征向量進(jìn)一步包括cvss評分、漏洞的影響范圍、是否已修復(fù)及漏洞利用難度。

11、優(yōu)選的，所述異常檢測模型的處理流程為：

12、對輸入的特征矩陣進(jìn)行預(yù)處理，所述預(yù)處理包括數(shù)據(jù)清洗、特征編碼及標(biāo)準(zhǔn)化，所述特征編碼使用one-hot?encoding或label?encoding對類別數(shù)據(jù)進(jìn)行編碼，將所述類別數(shù)據(jù)轉(zhuǎn)換為數(shù)值形式；

13、建立孤立森林模型，設(shè)置模型初始參數(shù)，森林中樹的數(shù)量設(shè)置為150，預(yù)期的異常點比例設(shè)置為0.1，使用歷史數(shù)據(jù)訓(xùn)練孤立森林模型；

14、使用訓(xùn)練好的孤立森林模型對預(yù)處理后的特征矩陣進(jìn)行異常檢測，生成異常得分。

15、優(yōu)選的，所述異常檢測模型的處理流程為：

16、對輸入的特征矩陣進(jìn)行預(yù)處理，所述預(yù)處理包括數(shù)據(jù)清洗、特征編碼及標(biāo)準(zhǔn)化，所述特征編碼使用one-hot?encoding或label?encoding對類別數(shù)據(jù)進(jìn)行編碼，將所述類別數(shù)據(jù)轉(zhuǎn)換為數(shù)值形式；

17、對于預(yù)處理后的特征矩陣內(nèi)一樣本，計算所述一樣本與其他樣本的距離，獲取最近的k個鄰居，計算所述一樣本到鄰居的可達(dá)距離；

18、根據(jù)所述可達(dá)距離計算一樣本的局部可達(dá)密度；

19、計算所述一樣本的局部可達(dá)密度與k近鄰內(nèi)其他樣本的局部可達(dá)密度之比，作為異常得分。

20、優(yōu)選的，所述可達(dá)距離的計算方法為：

21、

22、式中，是樣本的可達(dá)距離，為計算的一樣本，為所述一樣本的k近鄰之一，是樣本與其第k個最近鄰的距離，是樣本間的歐式距離。

23、優(yōu)選的，所述局部可達(dá)密度的計算方法為：

24、

25、式中，為計算的一樣本，為所述一樣本的k近鄰之一，是樣本的可達(dá)距離，表示樣本的k鄰域。

26、優(yōu)選的，所述發(fā)送至安全運營模塊進(jìn)行展示或告警的數(shù)據(jù)還包括代碼缺陷數(shù)據(jù)，所述代碼缺陷數(shù)據(jù)的獲取方法為：

27、使用靜態(tài)分析工具掃描代碼，從代碼掃描中獲取漏洞類型、漏洞嚴(yán)重性、受影響的代碼位置、文件位置、代碼復(fù)雜性數(shù)據(jù)及關(guān)聯(lián)的開發(fā)者；

28、對靜態(tài)分析工具獲取的數(shù)據(jù)進(jìn)行分析，評估數(shù)據(jù)的嚴(yán)重性和修復(fù)優(yōu)先級；

29、根據(jù)設(shè)定的安全規(guī)則生成漏洞的風(fēng)險評估及修復(fù)建議；

30、融合靜態(tài)分析工具獲取的數(shù)據(jù)、嚴(yán)重性、修復(fù)優(yōu)先級、風(fēng)險評估及修復(fù)建議，生成代碼缺陷數(shù)據(jù)。

31、優(yōu)選的，發(fā)送至安全運營模塊進(jìn)行展示或告警的數(shù)據(jù)還包括web應(yīng)用防火墻告警數(shù)據(jù)，所述web應(yīng)用防火墻告警數(shù)據(jù)的獲取方法為：

32、web應(yīng)用防火墻檢測到潛在的攻擊行為時實時獲取攻擊數(shù)據(jù)，所述攻擊數(shù)據(jù)包括攻擊來源、攻擊載荷、觸發(fā)的規(guī)則編碼、攻擊時間及攻擊類型；

33、將攻擊數(shù)據(jù)與安全漏洞庫進(jìn)行關(guān)聯(lián)，若攻擊數(shù)據(jù)使用安全漏洞庫中的漏洞，則根據(jù)安全漏洞庫及對應(yīng)的攻擊數(shù)據(jù)，生成防護建議；

34、對于包含防護建議的攻擊數(shù)據(jù)，融合攻擊數(shù)據(jù)及對應(yīng)的防護建議生成web應(yīng)用防火墻告警數(shù)據(jù)，否則將攻擊數(shù)據(jù)作為web應(yīng)用防火墻告警數(shù)據(jù)。

35、優(yōu)選的，發(fā)送至安全運營模塊進(jìn)行展示或告警的數(shù)據(jù)還包括漏洞告警數(shù)據(jù)，所述漏洞告警數(shù)據(jù)的獲取方法為：

36、從漏洞響應(yīng)平臺獲取漏洞清單，所述漏洞清單記錄的漏洞信息包括漏洞編號、漏洞評分、漏洞風(fēng)險等級及修復(fù)建議；

37、將滿足預(yù)設(shè)漏洞風(fēng)險等級的漏洞信息作為漏洞告警數(shù)據(jù)。

38、相應(yīng)的，本發(fā)明還提出一種信息安全管理系統(tǒng)，所述系統(tǒng)包括安全運營模塊、靜態(tài)代碼審計模塊、web應(yīng)用防火墻模塊、安全漏洞管理模塊及安全大腦模塊，用于實施上述的信息安全管理方法，其中：

39、安全運營模塊用于匯總并可視化展示靜態(tài)代碼審計模塊的代碼審計數(shù)據(jù)、從安全漏洞管理模塊獲取的漏洞數(shù)據(jù)、匯總并展示waf模塊的運行狀況，以及接收并展示安全大腦模塊輸出的告警信息；

40、靜態(tài)代碼審計模塊用于管理和更新用于代碼掃描的安全規(guī)則，基于所述用于代碼掃描的安全規(guī)則掃描分析代碼以識別并定位代碼安全漏洞，將代碼安全漏洞信息發(fā)送至安全大腦模塊；

41、web應(yīng)用防火墻模塊用于管理防火墻的安全規(guī)則，更新防護策略，還實時監(jiān)控web應(yīng)用的流量，根據(jù)防火墻的安全規(guī)則及防護策略識別并攔截攻擊行為，將記錄的web日志發(fā)送至安全大腦模塊；

42、安全漏洞管理模塊用于從漏洞管理工具中獲取漏洞信息，對獲取的漏洞信息進(jìn)行風(fēng)險評估，確定漏洞的修復(fù)優(yōu)先級并生成修復(fù)計劃，將獲取的漏洞信息及對應(yīng)的風(fēng)險評估結(jié)果發(fā)送至安全大腦模塊；

43、安全大腦模塊用于接收靜態(tài)代碼審計模塊、web應(yīng)用防火墻模塊及安全漏洞管理模塊的數(shù)據(jù)，計算處理后發(fā)送至安全運營模塊。

44、與現(xiàn)有技術(shù)相比，本發(fā)明具有以下技術(shù)效果：

45、1.本發(fā)明提出的信息安全管理方法通過異常監(jiān)測模型融合不同來源的數(shù)據(jù)，有助于減少單一數(shù)據(jù)集帶來的偏差，使得檢測的異常點更具有代表性，并且減少誤報的風(fēng)險，提高異常監(jiān)測的準(zhǔn)確性。并且通過整合各子系統(tǒng)，將來自各子系統(tǒng)的數(shù)據(jù)融合處理，避免數(shù)據(jù)的孤立現(xiàn)象，提高安全管理的效率。

46、2.本發(fā)明提出的信息安全管理方法通過融合靜態(tài)代碼審計、waf和漏洞數(shù)據(jù)，可以得到更完整的安全視角，靜態(tài)代碼審計揭示潛在的代碼漏洞，waf日志則反映實際網(wǎng)絡(luò)攻擊嘗試，而漏洞數(shù)據(jù)庫提供對已知漏洞的整體影響分析，這種多源數(shù)據(jù)的結(jié)合能夠更準(zhǔn)確地識別潛在的安全風(fēng)險。

47、3.本發(fā)明提出的信息安全管理方法通過設(shè)定風(fēng)險值閾值，可以在潛在風(fēng)險積累到一定程度之前進(jìn)行告警，有助于企業(yè)安全團隊在問題發(fā)生前及時響應(yīng)。

48、4.本發(fā)明提出的信息安全管理方法中，由于waf日志和漏洞數(shù)據(jù)是動態(tài)更新的，系統(tǒng)可以實現(xiàn)實時監(jiān)控和風(fēng)險評估，結(jié)合靜態(tài)代碼審計的靜態(tài)特征，實現(xiàn)靜態(tài)與動態(tài)風(fēng)險相結(jié)合的預(yù)警機制。