CN101436937B - 一种对网络系统控制能力进行评价的方法 - Google Patents
一种对网络系统控制能力进行评价的方法 Download PDFInfo
- Publication number
- CN101436937B CN101436937B CN2008102274180A CN200810227418A CN101436937B CN 101436937 B CN101436937 B CN 101436937B CN 2008102274180 A CN2008102274180 A CN 2008102274180A CN 200810227418 A CN200810227418 A CN 200810227418A CN 101436937 B CN101436937 B CN 101436937B
- Authority
- CN
- China
- Prior art keywords
- data message
- network system
- rate
- mistake
- differentiated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种对网络系统控制能力进行评价的方法,属于网络通信领域,所述方法包括:对网络系统中传输通信数据的信道进行捕获,并计算出信道捕获的概率;从捕获的信道数据中,提取数据信息并按照预设的鉴别策略对数据信息进行鉴别,得到鉴别结果;根据所述鉴别结果对所述每一条数据信息进行响应,并计算网络系统的响应效率;根据所述鉴别结果,计算网络系统的漏鉴率和误鉴率;并最终计算得到网络系统的漏控率和误控率,将所述漏控率和误控率作为对所述网络系统的评价。本发明实施例通过建立网络系统的评价框架,可以对网络系统的控制能力进行有效的评价,并以此发现网络系统的缺陷,对网络系统的内容安全提供了有力支持。
Description
技术领域
本发明涉及网络通信领域,特别涉及一种对网络系统控制能力进行评价的方法
背景技术
互联网上有害信息的泛滥给社会带来了不稳定因素,在各种网络系统中,通常采用信息过滤的方法处理有害的信息。目前与信息过滤相关的技术有很多,互联网信息的复杂性决定了只依靠某种单一的技术是不够的,在实际应用中需要将这些技术进行有机的组合,才能更有效的遏制有害信息的传播。比如将内容鉴别和基于身份或行为的访问控制相结合,提高网络系统处理有害信息的能力。
在实际应用中,多数网络系统的对有害信息进行响应的机制仍不完善,在实际操作中难免会出现错误,错误发生率是评价一个网络系统的重要指标。在对网络系统的信息内容安全进行评价时,主要的评价标准就是网络系统的漏控率和误控率,漏控率即没有过滤掉一些有害信息,误控率即将一些无害信息误判为有害信息进行了处理。网络系统的漏控率和误控率体现了网络系统对信息内容安全的控制能力,即网络系统对通信信息的获取能力、对通信信息的鉴别能力和通信对信息的响应能力,这三种能力可以根据网络系统的漏控率和误控率进行衡量。
在对现有技术进行研究后,发明人发现:
现有技术中,虽然网络安全评价的理论与实践均得到重大发展,但目前互联网通信内容安全的定量评价方法还未见具体研究,对网络系统的控制能力没有完整的评价框架。目前难以对网络系统进行定量评价以发现网络系统的缺陷。
发明内容
为了实现对网络系统的信息安全进行正确评价,本发明实施例提供了一种对网络系统控制能力进行评价的方法,所述技术方案如下:
一种对网络系统控制能力进行评价的方法,所述方法包括:
对网络系统中传输通信数据的信道进行捕获,并计算出信道捕获的概率;
从捕获的信道数据中,提取每一条通信的数据信息;
按照预设的鉴别策略,对所述每一条数据信息进行鉴别,得到鉴别结果;其中,所述按照预设的鉴别策略,对所述每一条数据信息进行鉴别包括:按照预设的鉴别策略,对所述每一条数据信息进行内容鉴别、身份鉴别或行为鉴别;其中内容鉴别为鉴别通信内容是否有害,身份鉴别为鉴别通信者身份是否为发布有害信息者,行为鉴别为鉴别通信行为是否为恶意行为;
根据所述鉴别结果对所述数据信息进行响应,如果所述数据信息被鉴别为匹配的数据信息,则对所述数据信息进行响应,如果所述数据信息被鉴别为不匹配的数据信息,则不对所述数据信息进行响应;
并计算网络系统的响应效率;包括:统计进行响应的数据信息的数量,同时统计所述进行响应的数据信息中有效响应的数据信息的数量,将所述有效响应的数据信息的数量与所述进行响应的数据信息的数量的比值作为网络系统的响应效率;
根据所述鉴别结果,计算网络系统的漏鉴率和误鉴率;其中漏鉴率表示与模板匹配,但鉴别为不匹配的概率;误鉴率表示与模板不匹配,但鉴别为匹配的概率;
通过如下公式计算网络系统的漏控率:
MSelfFPRx=1-CapChx×(1-Auth_FPRx)×BlockChx;
通过如下公式计算网络系统的误控率:
MSelfFNRx=CapChx×Auth_FNRx×BlockChx;
其中,所述信道的捕获率为CapChx,所述网络系统的漏鉴率为Auth_FPRx,所述网络系统的误鉴率为Auth_FNRx,所述网络系统的响应效率为BlockChx;
根据所述信道捕获的概率、网络系统响应效率、漏鉴率和误鉴率,计算网络系统的漏控率和误控率,将所述网络系统的漏控率和误控率作为对所述网络系统的评价。
本发明实施例通过建立网络系统的评价框架,可以对网络系统的控制能力进行有效的评价,并以此发现网络系统的缺陷,对网络系统的内容安全提供了有力支持。
附图说明
图1是本发明实施例1提供的对网络系统控制能力进行评价的方法流程图;
图2是本发明实施例2提供的对邮件过滤系统控制能力进行评价的方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例1
参见图1,本发明实施例提供了一种对网络系统控制能力进行评价的方法,该方法包括:
对网络系统中通信的数据进行信道捕获,并计算出信道捕获的概率。从捕获的信道数据中,提取通信的数据信息。对数据信息进行鉴别,得到鉴别结果;根据鉴别结果,计算网络系统的漏鉴率和误鉴率;同时根据鉴别结果对数据信息进行响应,并计算网络系统的响应效率;最后综合信道捕获的概率、网络系统的漏鉴率和误鉴率以及网络系统的响应效率,计算网络系统的漏控率和误控率。具体步骤如下:
101:对网络系统中的传输通信数据的信道进行粗粒度的信道捕获,并计算出信道捕获的概率。
在本实施例中,信道捕获的定义为:
V:结点集,V={vi|i≥1};
S:为V的一个非空子集,表示信息源集合;
D:为V的一个非空子集,表示信息目的地集合;
将信息的传输拓扑看作一个图,其中传输结点为图的顶点,两个传输结点的直接逻辑链路作为图的边,设拓扑图为G,图G的顶点集为V,边集为E,即G=(V,E),则信道集合Ch表示信息从信息源到目的地传输过程中传输链路的集合,可表示如下:
Ch:{2S\{φ}}×{2D\{φ}}→2E,其中2S\{φ}和2D\{φ}分别表示2S和2D与{φ}的差,φ为空集。给定图G=(V,E),则信道捕获是指获取边集E′
进一步的,信道完全捕获是指获取边集E′( ),并满足:
①对任意的s∈S,d∈D,若s=d,则s为G′=G-E′的孤立点,其中,G′=G-E′为图G中删除边集E′所得到的拓扑图;
②对任意的s∈S,d∈D,若s≠d,则不存在V′∈V/R′使得s∈V′且d∈V′,其中,R′为G′=G-E′的连通关系,V/R′表示V关于等价关系R′的商集。
其中,①表示若一个结点既是源结点,又是目的结点,则在删除边集E′之后,该结点为孤立结点;②表示若一个结点既不是源结点,又不是目的结点,则在删除边集E′之后,任意一个源结点和目的结点均不在同一个链路分支中,即不存在从源结点到目的结点的链路。
定义捕获的信道集合E′的规模为|E′|,其中|E′|表示集合E′中元素的数目。给定图G=(V,E)和一系列的信道捕获,定义在G中的极小完全捕获为完全捕获E′1,且满足:E′1的规模不大于其它任意完全捕获。将所有极小完全捕获E′1的集合作为极小完全捕获集,记为MinE。在实际的信道捕获中,有可能难以达到完全捕获的要求,因此需要给出信道捕获率CapCh:可用下式表示:CapCh:{2S\{φ}}×{2D\{φ}}→[0,1]
给定信道的捕获E′和极小完全捕获集MinE,则信道的完全捕获率为:
102:在捕获的粗粒度信道数据中,提取对网络系统控制能力进行评价所需的数据信息,并确定数据信息的状态。
在本发明实施例中,为了对网络系统的控制能力进行全面的评价,提取的数据信息中应包括:通信者身份、通信行为和通信内容。此外,在对方案进行优化时,还需要获取信道信息。因此,在粗粒度信道数据中中,提取出的一条数据信息应包括:信道信息、通信者身份、通信行为和通信内容,但在实际应用中,由于P2P网络和渗透等技术的存在,会导致信道信息难以获取;由于匿名等技术的存在,会导致通信者的真实身份难识别;由于加密等技术的存在,会导致通信内容难识别;由于隐蔽通道等技术的存在,会导致行为难识别。
综上所述,提取的数据信息的状态跟通信方式有关。比如,在网络系统中采用了加密技术的情况下,则捕获的数据信息中,信道、通信者身份和通信行为可以获取,通信内容不可获取。将数据信息的状态用四元组<ch,i,b,c>来表示。其中ch、i、b和c分别表示信道、通信者身份、通信行为和通信内容。若用ch表示信道已获取,ch表示信道未获取,i表示通信者的真实身份已获取,i表示通信者的真实身份未获取,b表示通信行为特征已获取,b表示通信行为特征未获取,c表示通信内容已获取,c表示通信内容未获取,则获取的数据信息的可能状态有16种:<ch,i,b,c>,<ch,i,b,c>,<ch,i,b,c>,<ch,i,b,c>,<ch,i,b,c>,<ch,i,b,c>,<ch,i,b,c>,<ch,i,b,c>,<ch,i,b,c>,<ch,i,b,c>,<ch,i,b,c>,<ch,i,b,c>,<ch,i,b,c>,<ch,i,b,c>,<ch,i,b,c>和<ch,i,b,c>。在网络系统采用了加密技术的情况下,捕获的数据信息中,信道、通信者身份和通信行为可以获取,通信内容不可获取,则在该网络系统中,确定提取的数据信息的状态为<ch,i,b,c>。
需要补充说明的是,在一定条件下,可以采用技术手段将数据信息的当前状态向有利于评价系统的状态进行转移,比如,如果能采用密码破解技术对通信内容进行破解,则该数据信息的状态可以转换为<ch,i,b,c>。在数据信息的状态能够进行转移时,对网络系统的评价也会相应的增加状态转移情况下的评价,具体方法将在下文中详细介绍。
103:将102中提取的所有数据信息作为样本集,从样本集的数据信息中,提取出可以获取的信息,按照预设的鉴别策略,对样本集中的数据信息进行鉴别,得到鉴别结果。
对数据信息的鉴别包括内容鉴别、身份鉴别和行为鉴别,由相应的控制模 型完成。具体的,由基于内容的控制模型CCONC进行数据信息的内容鉴别,由基于身份的控制模型CCONI对进行数据信息的身份鉴别,由基于行为的控制模型CCONB进行数据信息的行为鉴别。
具体的,针对不同的网络系统,可以有不同的数据信息鉴别策略,例如,在邮件系统中,可以制定以内容鉴别为主,身份鉴别和行为鉴别为辅的鉴别策略,如果一条数据信息通过内容鉴别被判定为有害信息,则不需要进一步进行身份鉴别和行为鉴别。如果一个数据信息的内容未获取或通过内容鉴别被判定为无害信息时,则进一步进行身份鉴别和行为鉴别。比如在邮件系统中,如果一个数据信息的通信内容被判定为有害信息,则无需进行身份鉴别和行为鉴别,如果一个数据信息是垃圾邮件,在内容鉴别时被判定为无害信息,就需要进一步的进行身份鉴别和行为鉴别。
具体的,在预设了针对网络系统的预设鉴别策略以后,就可以对样本集中的每个数据信息进行相应的内容鉴别、身份鉴别或行为鉴别。具体的方法参见103a、103b和103c。
103a:使用基于内容的控制模型CCONC对样本集中的数据信息进行内容鉴别。将数据信息中的通信内容与预设的通信内容模板进行比对,得到相似度值,如果该相似度值大于预设的阀值,则将数据信息鉴别为匹配的数据信息;如果该相似度值小于预设的阀值,则将该数据信息鉴别为不匹配的数据信息。
具体的,以鉴别内容是否有害为例进行说明,在CCONC中,数据信息中的通信内容与预设的通信内容模板的相似度值,可以表示为数据信息与有害内容模板之间的距离,如果该距离大于预设的阀值,则将数据信息鉴别为匹配的数据信息,即有害的数据信息,如果该距离小于预设的阀值,则将数据信息鉴别为不匹配的数据信息,即无害的数据信息。具体方法如下:
1)计算样本集中的数据信息与有害内容模板之间的距离。
其中,在CCONC中,进行如下定义:
C:样本集中的通信内容集;
TEMPC:有害内容模板;
DCM:C×{TEMPC}→ξ:测量距离函数。其中,ξ为非负实数集。距离的计算方法因不同应用而不同,具体的计算方法会在下文中结合应用场景进行详细介绍。
其中,有害内容模板是衡量一条数据信息的有害程度的模板,有害内容模 板中预定义了网络系统认定的有害内容,比如一些有害的词语或句子,通过将一条数据信息与有害内容模板进行比较,可以衡量该数据信息的有害程度,在本实施例中将有害程度表示为与有害内容模板之间的距离。
内容鉴别是利用有害内容鉴别模版,计算所获取的数据信息与有害内容模版的距离,距离愈近,说明其内容愈有害,则愈应采用裁剪、阻断等方式进行响应;距离愈远,说明其内容愈无害。有害内容模板的定义以及计算数据信息与有害内容模板的距离的具体方法将在下文中结合具体的应用场景详细介绍。
对于通信内容集中的一条通信内容c(c∈C),用DCM(c,TEMPC)表示通信内容c与有害内容模板TEMPC之间的测量距离,DCM(c,TEMPC)愈小,说明通信内容c与有害信息模板之间的距离越近,即通信内容愈有害;反之DCM(c,TEMPC)愈大,说明通信内容与有害信息模板之间的距离愈远,通信的内容愈无害。
2)根据计算出的通信内容与有害内容模板的距离,结合CCONC中的内容鉴别函数,计算得到内容鉴别结果。
具体的,本发明实施例中CCONC的内容鉴别函数可以表示为:AuthC:ξ→[0,1]。该鉴别函数根据通信内容c(c∈C)与有害内容模板之间的距离DCM(c,TEMPC),计算相应的鉴别结果。鉴别函数的计算方法可以根据具体的应用场景进行定义,比如,一种鉴别函数的计算方法可以为:当通信内容与有害内容鉴别模板之间的距离小于预设的阀值时,则鉴别结果为0,表示信息无害,当通信内容与有害内容鉴别模板之间的距离大于预设的阀值时,则鉴别结果为1,表示信息有害。
虽然内容鉴别是最精细粒度的鉴别,但当数据信息被加密时,基于内容的鉴别手段是无能力的。为此,可考虑其它鉴别方式,比如探测信息的来源,这样可以采用身份鉴别手段。互联网通信内容安全中,身份可能是指IP地址、URL地址或者其他标识信息等。身份鉴别的具体步骤参见103b。
103b:使用基于身份的控制模型CCONI对样本集中的数据信息进行身份鉴别。将该数据信息中的通信者身份与预设的通信者身份模板进行比对,得到相似度值,如果该相似度值大于预设的阀值,则将该数据信息鉴别为匹配的数据信息;如果该相似度值小于预设的阀值,则将该数据信息鉴别为不匹配的数据信息。
具体的,在CCONI中,数据信息中的通信者身份与预设的通信者身份模板的相似度值,可以表示为数据信息与通信者身份模板之间的距离。对数据信息进 行身份鉴别的步骤如下:
1)计算样本集中的数据信息与身份模板之间的距离。
其中,在CCONI中,进行如下定义:
I:样本集中的通信者身份集;
TEMPI:通信者身份模板;
DIM:I×{TEMPI}→ξ:测量距离函数,即测量通信者身份与身份模板之间距离,其中ξ为非负实数集。距离的具体计算方法因不同应用而不同。
身份鉴别中的模板和距离函数与内容鉴别中的模板和距离函数的定义原理相同,不再赘述。
具体的,当通信者身份模板TEMPI为黑名单时,即发布有害信息者的身份集,对于通信者身份集中的一个通信者身份i(i∈I),用DIM(i,TEMPI)表示通信者身份i与身份模板TEMPI之间的测量距离,DIM(i,TEMPI)愈小,说明i与TEMPI之间的距离越近,即i越可能是发布有害信息者;反之DIM(i,TEMPI)愈大,说明i与TEMPI之间的距离愈远,即i越不可能是发布有害信息者;
2)根据计算出的通信者身份与身份模板的距离,结合CCONI中的身份鉴别函数,计算得到身份鉴别结果。
具体的,本发明实施例中CCONI的身份鉴别函数可以表示为AuthI:ξ→[0,1],该鉴别函数根据通信者身份i(i∈I)与身份模板之间的距离DIM(i,TEMPI),计算相应的鉴别结果。鉴别函数的计算方法可以根据具体的应用场景进行定义,比如,在邮件系统中,使用黑名单作为身份模板,鉴别函数的计算方法可以为:当通信者身份与身份模板之间的距离小于预设的阀值时,则鉴别结果为0,表示信息来自有害信息发布者,当通信者身份与身份模板之间的距离大于预设的阀值时,则鉴别结果为1,表示信息来自无害信息发布者。
在内容鉴别和身份鉴别都失效的情况下,为了保障内容安全,需要考虑针对通信基本要素中的最后一个要素进行鉴别,即行为鉴别。为了传播有害信息,有害信息的传播者需要一些传播工具,使用这些工具时可能会体现出独特的行为特征,因此可对这些独特的行为特征进行鉴别,从而达到互联网通信内容安全的目的。因此可考虑采用基于行为的方式来进行鉴别。行为鉴别具体步骤参见103c。
103c:使用基于行为的控制模型CCONB对样本集中的数据信息进行行为鉴 别。将该数据信息中的通信行为与预设的通信行为模板进行比对,得到相似度值,如果该相似度值大于预设的阀值,则将该数据信息鉴别为匹配的数据信息;如果该相似度值小于预设的阀值,则将该数据信息鉴别为不匹配的数据信息。
具体的,以鉴别行为是否为恶意行为为例进行说明,在CCONB中,数据信息中的通信行为与预设的通信行为模板的相似度值,可以表示为数据信息与恶意行为模板之间的距离,如果该距离大于预设的阀值,则将数据信息鉴别为匹配的数据信息,即通信行为是恶意的,如果该距离小于预设的阀值,则将数据信息鉴别为不匹配的数据信息,即通信行为非恶意的。具体方法如下:
1)计算样本集中的数据信息与恶意行为模板之间的距离。
具体的,在CCONB中,进行如下定义:
B:样本集中的通信行为集;
TEMPB:恶意行为模板;
DBM:B×{TEMPB}→ξ:测量距离函数,即测量通信行为和恶意行为模板之间的测量的函数,其中ξ为非负实数集。距离的具体计算方法因不同应用而不同。
行为鉴别中的模板和距离函数与内容鉴别中的模板和距离函数的定义原理相同,不再赘述。
对于通信行为集中的一个通信行为b(b∈B),用DB(b,TEMPB)表示通信行为b与恶意行为模板TEMPB之间的测量距离,DB(b,TEMPB)愈小,说明b与TEMPB之间的距离越近,b愈可能是恶意行为;反之DB(b,TEMPB)愈大,说明b与TEMPB之间的距离越远,b愈不可能是恶意行为。
2)根据计算出的通信者行为与恶意行为模板的距离,结合CCONB中的行为鉴别函数,计算得到行为鉴别结果。
具体的,本发明实施例中鉴别函数可以表示为AuthB:ξ→[0,1],该鉴别函数根据通信行为b(b∈B)与行为模板之间的距离DB(b,TEMPB),计算相应的鉴别结果。鉴别函数的计算方法可以根据具体的应用场景进行定义,比如,一种鉴别函数的计算方法可以为:当通信行为与恶意行为模板之间的距离小于预设的阀值时,则鉴别结果为0,表示信息的发布为恶意行为;当通信行为与行为模板之间的距离大于预设的阀值时,则鉴别结果为1,表示信息的发布非恶意行为。
104:根据数据信息的鉴别结果对数据信息进行响应,并统计样本集中响应的数据信息的数量,将有效响应的数据信息的数量与响应的数据信息的数量的 比值作为网络系统的响应效率。
在对样本集中的数据进行了内容、身份或行为的鉴别后,需要对鉴别后的数据信息进行响应,即对有害的数据信息采取相应的措施,包括阻断、裁剪等。
对数据信息的响应包括对通信者身份的响应、对通信行为的响应和对通信内容的响应。若分别用i,b和c表示这三个要素,则可用(i,b,c)来表示一条通信的数据信息。给定身份鉴别模板TEMPI,行为鉴别模板TEMPB和内容鉴别模板TEMPC,对于一条捕获的数据信息(i,b,c)∈I×B×C,记i、b和c与TEMPI、TEMPB和TEMPC的测量距离分别ξi、ξb和ξc,鉴别函数分别为AuthI(ξi)、AuthB(ξb)和AuthC(ξc)。若对数据信息(i,b,c)采用的是身份鉴别,则对(i,b,c)进行响应的概率为AuthI(ξi);若对数据信息(i,b,c)采用的是内容鉴别,则对(i,b,c)进行响应的概率为AuthC(ξc);若对数据信息(i,b,c)采用的是行为鉴别,则对(i,b,c)进行响应的概率为AuthB(ξb)。
在对样本集中的数据信息进行了相应的响应后,通过统计得到网络系统的响应效率,设响应的效率为BlockCh,则BlockCh表示样本集中有效响应的数据信息的数量与样本集中应响应的数据信息的数量的比值。比如,样本集中有150条数据信息被鉴别为有害信息并进行了响应,但这150条信息中,只有120条信息被有效的阻断或裁剪,则系统的响应效率就为80%。其中,有效响应的数据信息可以根据网络系统的反馈进行准确的判断。
105:根据103中得到的样本集中数据信息的鉴别结果,计算网络系统的漏鉴率和误鉴率。
网络系统的鉴别能力包括了身份鉴别能力、行为鉴别能力、内容鉴别能力,衡量每种鉴别能力的主要指标是漏鉴率和误鉴率,漏鉴率表示与模板“匹配”,但鉴别为不“匹配”的概率;误鉴率表示与模板不“匹配”,但鉴别为“匹配”的概率。以下给出三种漏鉴率和误鉴率的计算方法:
105a:计算内容鉴别的漏鉴率和误鉴率。
内容鉴别的漏鉴率可表示为:
内容鉴别的误鉴率可表示为:
则内容鉴别的漏鉴率:
内容鉴别的误鉴率:
105b:计算身份鉴别的漏鉴率和误鉴率。
身份鉴别的漏鉴率可表示为:
身份鉴别的误鉴率可表示为:
则身份鉴别的漏鉴率:
身份鉴别的误鉴率:
105c:计算行为鉴别的漏鉴率和误鉴率。
行为鉴别的漏鉴率可表示为:
行为鉴别的误鉴率可表示为:
则行为鉴别的漏鉴率:
行为鉴别的误鉴率:
105d:进一步的,根据105a、105b和105c计算出的漏鉴率和误鉴率。计算网络系统整体的漏鉴率和误鉴率。
不同信息获取状态下鉴别能力评价方法:上面给出了身份鉴别、行为鉴别和内容鉴别的漏鉴率和误鉴率。根据获取的数据信息的状态和鉴别策略的不同,这三种控制方式可单独使用,也可组合使用。比如在<ch,i,b,c>状态下,可只采用身份鉴别,也可以先采用身份鉴别,再采用行为鉴别,最后进行内容鉴别。这样,不同状态下的鉴别漏鉴率和误鉴率与该状态下所采用鉴别模型的漏鉴率和误鉴率有关。下面给出不同状态下的漏鉴率和误鉴率的定义:
Auth_FPRx和Auth_FNRx计算方法根据身份鉴别、行为鉴别和内容鉴别的组合方式以及使用方式不同而不同。可以根据具体的应用场景在鉴别策略预先设定,比如,预设策略如果同时采取了内容鉴别、身份鉴别和行为鉴别,则鉴别函数的计算方法可以为 ,预设策略如果以内容鉴别和身份鉴别为主,以行为鉴别为辅,则鉴别函数的计算方法可以为
106:根据信道的捕获概率、网络系统的响应效率以及网络系统的漏鉴率和误鉴率,计算网络系统的漏控率和误控率,将漏控率和误控率作为对网络系统控制能力的评价结果。
对网络系统控制能力进行评价的主要方法为:在样本集中数据信息的当前状态下,计算网络系统对数据信息的漏控率和误控率;以及在样本集中的数据信息有可能向有利状态转移时,网络系统对有利状态的数据信息的漏控率和误控率。比如,在一个采用匿名技术和加密技术的系统中,捕获的数据信息的状态为<ch,i,b,c>,可能可以采用解密技术将数据信息的当前状态<ch,i,b,c>转移为<ch,i,b,c>。对网络系统进行控制能力进行评价时要分别求出数据信息在这两种状态下系统的漏控率和误控率。
在本实施例中,信道的获取能力即101中计算出的信道的捕获概率;信道的响应能力即104中统计得到的网络系统的响应效率,信息鉴别能力即105计算出的网络系统整体的漏鉴率和误鉴率。根据上述数据,就可以对网络系统控制能力进行评价,具体方法如下:
106a:定义数据信息在当前状态下,网络系统的漏控率为MSelfFPRx,误控率为MSelfFNRx,信道的捕获率为CapChx,网络系统的响应效率为BlockChx,则:
MSelfFPRx=1-CapChx×(1-Auth_FPRx)×BlockChx;
MSelfFNRx=CapChx×Auth_FNRx×BlockChx。
106b:定义在数据信息向有利状态转移的过程中,网络系统的漏控率为MFPRx,误控率为MFNRx,则:
其中,MFPRs表示数据信息在转移后的状态下,网络系统的漏控率,MFNRs表示数据信息在转移后的状态下,网络系统的误控率。
MFPRs和MFNRs的计算公式与106a中的计算公式原理相同,具体为:
MFPRs=1-CapChx×(1-Auth_FPRs)×BlockChs;
MFNRs=CapChx×Auth_FNRs×BlockChs。
在上述公式中,在数据信息转移后的状态下,网络系统的响应效率为BlockChs,网络系统的漏鉴率为Auth_FPRs,网络系统的误鉴率为Auth_FNRs,Auth_FPRs和Auth_FPRs的计算方法与105d中的计算方法相同,BlockChs的计算方法与104中的计算方法相同,此处不再赘述。具体的,以数据信息从<ch,i,b,c>状态转移到<ch,i,b,c>为例,106a中计算得到的是数据信息在<ch,i,b,c>状态下网络系统的漏控率和误控率,而本步骤中MFPRs和MFNRs为数据信息在<ch,i,b,c>状态下网络系统的漏控率和误控率。进一步的,MFPRx和MFNRx表示的是网络系统在数据信息的状态从<ch,i,b,c>向<ch,i,b,c>转移的过程中,网络系统的漏控率和误控率,即MFPRx和MFNRx表示的是网络系统对数据信息的转移能力和控制能力的综合体现。
进一步的,在进行数据信息的状态转移时,Tran_ability表示数据信息进行状态转移的成功概率,Tran_policy表示对网络系统漏控率和误控率的影响率。比如,在上述采用解密手段对数据信息进行状态转移的方法中,如果解密成功的概率为90%,则公式中Tran_ability=90%;如果对数据解密后,使网络系统的漏控率和误控率变为原来的70%,则上述公式中,Tran_policy=70%。SUCC(x)表示转移状态后的数据信息的集合。
本发明实施例通过建立网络系统的评价框架,可以对网络系统的控制能力进行有效的评价,并以此发现网络系统的缺陷,对网络系统的内容安全提供了有力支持。
实施例2
本发明实施例提供了一种对网络系统控制能力进行评价的方法,本实施例中的网络系统为一个邮件过滤系统,对该邮件过滤系统的控制能力进行评价的方法如下:
201:对邮件过滤系统中的传输通信数据的信道进行粗粒度的信道捕获,并 计算出信道捕获的概率。
在邮件过滤系统中,在对信道数据进行捕获时,可以将网络监控器部署在发送服务器或接收服务器中。使用网络监控器捕获信道概率很高,可以近似认为能够全部捕获。在此不再深入说明。
202:在201捕获的粗粒度信道数据中,提取对邮件过滤系统的控制能力进行评价所需的数据信息,并确定数据信息的状态。
通常情况下,使用网络监控器进行信道捕获和信息解析都是成功的,即提取的数据信息中,通信内容、通信者身份和通信行为均可识别,则数据信息的状态为<ch,i,b,c>状态。
203:将202中提取的所有数据信息作为样本集,从样本集的数据信息中,提取出可以获取的信息,按照预设的鉴别策略,对样本集中的数据信息进行鉴别,得到鉴别结果。
采用CCONI、CCONB和CCONC模型对样本集中的数据信息进行鉴别,其中,预设的鉴别策略可以为:对某个数据信息进行鉴别时,如果有一个模型鉴别出该数据信息是有害的,则将该信息判定为有害信息;当3个模型同时鉴别该信息无害时才判定该信息为无害信息。对数据信息进行鉴别的具体步骤如下:
①使用CCONC模型对数据信息进行内容鉴别。
在CCONC中采用关键词向量对数据信息中的通信内容进行鉴别,在CCONC中,进行如下定义:
C:样本集中的通信内容集;
Tempkeyword:色情词汇模板,包括色情关键词向量T=(T1,T2,...,Tn),和权重向量t=(t1,t2,...,tn),其中Ti为向量T中的第i个关键词,ti为第i个关键词的权值,1≤i≤n。
用n维关键词向量来表示待鉴别的一条通信内容c(c∈C),设待鉴别的通信内容c用关键词向量表示为V=(V1,V2,...,Vn),权重向量v=(v1,v2,...,vn),词频向量w=(w1,w2,...,wn),其中v中的每个分量可由词频向量w计算而来。
距离函数为:DCM:c×{Tempkeyword}→[0,∞),计算方法为:
②CCONI模型的信息鉴别
在本实施例中,CCONI模型可以采用黑白Email名单的方式对数据信息中的通信者身份进行鉴别,在CCONI中,进行如下定义:
I:样本集中的通信者身份集;
EMAILblack:Email黑名单集合,即恶意的通信者集合。
EMAILwhite:Email白名单集合,即诚实的通信者集合;
其中,EMAILblack和EMAILwhite的交集为空集;
定义模板TEMPemail为黑名单和白名单的合集:EMAILblack∪EMAILwhite;
距离函数为:DIM:EMAILaddr×{TEMPemail}→[0,∞),其计算方法如下:
其中ξi即通信者身份i(i∈I)与模板的距离。
对于通信者身份i(i∈I),鉴别函数AuthI(ξi)的计算方法为:
当AuthI(ξi)=1时,表示通信者是诚实的通信者,当AuthI(ξi)=1,表示通信者是恶意通信者。
③CCONB模型的信息鉴别
CCONB模型可以采用虚假地址鉴别的方式对数据信息中的通信行为进行鉴别。在进行行为鉴别时,考察接收邮件RCPT和发送邮件MAIL这两个动作,对每个动作考察ip2domain和falseAddratio这两个属性。其中falseAddratio表示所能容忍的虚假地址率。ip2domain表示发件人服务器域的ip和domain是否一致,当ip和domain一致性时,定义ip2domain=1,否则ip2domain=0。因为一般来说邮件发送服务器的ip和domain是相对固定的,而垃圾邮件发送者通常会伪造一个或多个domain来欺骗邮件接收服务器,导致发件人服务器域的ip和domain不一致,所以ip2domain可用于区分邮件的合法性。
在CCONB中,进行如下定义:
B:行为鉴别中所关注的通信者行为或动作集合;
ATTR={ip2domain,falseAddratio}:动作的属性集;其判断公式g(x)为:
判断公式g(x)中,ip2domain为发送邮件动作MAIL所关注的属性,falseAddratio为接收邮件动作RCPT所关注的属性;
行为鉴别模板Tempbehavior={MAIL.ip2domain.RCPT.falseAddratio},模板中的ip2domain的属性定义了ip与domain的一致性,falseAddratio定义了所能容忍的虚假地址率;
给定一个实际行为b∈B,定义该行为与模板Tempblockb之间的距离为:
其中ξb即通信者行为b(b∈B)与模板的距离。
204:根据数据信息的鉴别结果对数据信息进行响应,并统计样本集中响应的数据信息的数量,将有效响应的数据信息的数量与响应的数据信息的数量的比值作为邮件过滤系统的响应效率。
对数据信息进行响应的过程为:
①CCONC模型的信息响应
②CCONI模型的信息响应
CCONI模型的鉴别函数如下:
该鉴别函数和CCONI模型中定义的距离表明,当发送者地址属于黑名单时,以1的概率对该邮件进行响应;发送者地址属于白名单时,不对该邮件进行响应。若发送者地址既不属于黑名单又不属于白名单,则可采用CCONB模型。
③CCONB模型的信息响应
CCONB模型的鉴别函数为:
该鉴别函数和CCONB模型中定义的距离表明,当虚假地址的错误率高于容忍值或者发送者域IP与其域地址不一致时,认为该行为属于发送垃圾邮件的行为,并给予相应的处理。
在对样本集中的数据信息进行了相应的响应后,通过统计得到网络系统的 响应效率,设响应的效率为BlockCh,则BlockCh表示样本集中有效响应的数据信息的数量与样本集中响应的数据信息的数量的比值。其中,有效响应的数据信息可以根据邮件过滤系统的反馈进行准确的判断。
205:根据203中得到的样本集中数据信息的鉴别结果,计算邮件过滤系统的漏鉴率和误鉴率。
具体的,可以根据实施例1中计算网络系统漏鉴率和误鉴率的公式计算该邮件过滤的漏鉴率和误鉴率,此处不再赘述。
206:根据信道的捕获概率、邮件过滤系统的响应效率以及邮件过滤系统的漏鉴率和误鉴率,计算邮件过滤系统的漏控率和误控率,将漏控率和误控率作为对邮件过滤系统控制能力的评价结果。
具体的,可以根据实施例1中计算网络系统漏控率和误控率的公式计算该邮件过滤系统的漏控率和误控率,此处不再赘述。
本发明实施例通过建立网络系统的评价框架,可以对网络系统的控制能力进行有效的评价,并以此发现网络系统的缺陷,对网络系统的内容安全提供了有力支持。
以上实施例提供的技术方案中的全部或部分内容可以通过软件编程实现,其软件程序存储在可读取的存储介质中,存储介质例如:计算机中的硬盘、光盘或软盘。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种对网络系统控制能力进行评价的方法,其特征在于,所述方法包括:
对网络系统中传输通信数据的信道进行捕获,并计算出信道捕获的概率;
从捕获的信道数据中,提取每一条通信的数据信息;
按照预设的鉴别策略,对所述每一条数据信息进行鉴别,得到鉴别结果;其中,所述按照预设的鉴别策略,对所述每一条数据信息进行鉴别包括:按照预设的鉴别策略,对所述每一条数据信息进行内容鉴别、身份鉴别或行为鉴别;其中内容鉴别为鉴别通信内容是否有害,身份鉴别为鉴别通信者身份是否为发布有害信息者,行为鉴别为鉴别通信行为是否为恶意行为;
根据所述鉴别结果对所述数据信息进行响应,如果所述数据信息被鉴别为匹配的数据信息,则对所述数据信息进行响应,如果所述数据信息被鉴别为不匹配的数据信息,则不对所述数据信息进行响应;
并计算网络系统的响应效率;包括:统计进行响应的数据信息的数量,同时统计所述进行响应的数据信息中有效响应的数据信息的数量,将所述有效响应的数据信息的数量与所述进行响应的数据信息的数量的比值作为网络系统的响应效率;
根据所述鉴别结果,计算网络系统的漏鉴率和误鉴率;其中漏鉴率表示与模板匹配,但鉴别为不匹配的概率;误鉴率表示与模板不匹配,但鉴别为匹配的概率;
通过如下公式计算网络系统的漏控率:
MSelfFPRx=1-CapChx×(1-Auth_FPRx)×BlockChx;
通过如下公式计算网络系统的误控率:
MSelfFNRx=CapChx×Auth_FNRx×BlockChx;
其中,所述信道的捕获率为CapChx,所述网络系统的漏鉴率为Auth_FPRx,所述网络系统的误鉴率为Auth_FNRx,所述网络系统的响应效率为BlockChx;
根据所述信道捕获的概率、网络系统响应效率、漏鉴率和误鉴率,计算网络系统的漏控率和误控率,将所述网络系统的漏控率和误控率作为对所述网络系统的评价。
2.根据权利要求1所述的对网络系统控制能力进行评价的方法,其特征在于,所述对所述每一条数据信息进行内容鉴别,包括:
将所述数据信息中的通信内容与预设的通信内容模板进行比对,得到相似度值,如果所述相似度值大于预设的阀值,则将所述数据信息鉴别为匹配的数据信息;如果所述相似度值小于预设的阀值,则将所述数据信息鉴别为不匹配的数据信息;
其中所述通信内容模板为有害内容模板。
3.根据权利要求1所述的对网络系统控制能力进行评价的方法,其特征在于,所述对所述每一条数据信息进行身份鉴别,包括:
将所述数据信息中的通信者身份与预设的通信者身份模板进行比对,得到相似度值,如果所述相似度值大于预设的阀值,则将所述数据信息鉴别为匹配的数据信息;如果所述相似度值小于预设的阀值,则将所述数据信息鉴别为不匹配的数据信息;
其中所述通信者身份模板为有害信息者的身份集。
4.根据权利要求1所述的对网络系统控制能力进行评价的方法,其特征在于,所述对每一条数据信息进行行为鉴别,包括:
将所述数据信息中的通信行为与预设的通信行为模板进行比对,得到相似度值,如果所述相似度值大于预设的阀值,则将所述数据信息鉴别为匹配的数据信息;如果所述相似度值小于预设的阀值,则将所述数据信息鉴别为不匹配的数据信息;
其中所述通信行为模板为恶意行为模板。
5.根据权利要求1所述的对网络系统控制能力进行评价的方法,其特征在于,所述按照预定的鉴别策略,对所述每一条数据信息进行鉴别包括:按照预设的鉴别策略,对所述每一数据信息进行内容鉴别、身份鉴别和行为鉴别,其中内容鉴别为鉴别通信内容是否有害,身份鉴别为鉴别通信者身份是否为发布有害信息者,行为鉴别为鉴别通信行为是否为恶意行为;
所述根据所述鉴别结果,计算网络系统的漏鉴率和误鉴率,包括:
根据所述对每一条数据信息进行内容鉴别所得到的鉴别结果,计算网络系统鉴别通信内容的漏鉴率和误鉴率;
根据所述对每一条数据信息进行身份鉴别所得到的鉴别结果,计算网络系统鉴别通信者身份的漏鉴率和误鉴率;
根据所述对每一条数据信息进行行为鉴别所得到的鉴别结果,计算得到网络系统鉴别通信行为的漏鉴率和误鉴率;
根据所述网络系统鉴别通信内容、通信者身份和通信行为的漏鉴率和误鉴率,计算网络系统的漏鉴率和误鉴率。
6.根据权利要求5所述的对网络系统控制能力进行评价的方法,其特征在于,所述根据所述信道捕获的概率、网络系统响应效率、漏鉴率和误鉴率,计算网络系统的漏控率和误控率,将所述网络系统的漏控率和误控率作为对所述网络系统的评价之后,还包括:
将所述响应效率作为第一响应效率,将所述漏鉴率作为第一漏鉴率,将所述漏控率作为第一漏控率,将所述误控率作为第一误控率;
采用预设的转移策略改变所述每一条数据信息的状态;
按照预设的鉴别策略,对改变后的每一条数据信息进行鉴别,得到鉴别结果;
根据对改变后的每一条数据信息进行鉴别所得到的鉴别结果,计算网络系统的第二漏鉴率和第二误鉴率;
根据对改变后的所述数据信息进行鉴别所得到的鉴别结果,对所述改变后的数据信息进行响应,并计算网络系统的第二响应效率;
根据所述信道捕获的概率、网络系统的第一漏控率、第一误控率、第二响应效率、第二漏鉴率和第二误鉴率,计算网络系统的第二漏控率和第二误控率,将所述第一漏控率、第一误控率、第二漏控率和第二误控率作为评价结果;
其中,所述计算网络系统的第二漏控率和第二误控率,包括:
通过如下公式计算网络系统的第二漏控率:
通过如下公式计算网络系统的第二误控率:
其中,MFPRs=1-CapChx×(1-Auth_FPRs)×BlockChs;MFNRs=CapChx×Auth_FNRs×BlockChs;所述第二漏鉴率为Auth_FPRs,所述第二误鉴率为Auth_FNRs,所述第二响应效率为BlockChs;所述第一漏控率为MSelfFPRx,所述第一误控率为MSelfFNRx,预设的转移策略改变所述数据信息状态的成功率为:Tran_ability,预设的转移策略对网络系统漏控率和误控率的影响概率为Tran_policy,改变后的数据信息的集合为SUCC(x)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008102274180A CN101436937B (zh) | 2008-11-26 | 2008-11-26 | 一种对网络系统控制能力进行评价的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008102274180A CN101436937B (zh) | 2008-11-26 | 2008-11-26 | 一种对网络系统控制能力进行评价的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101436937A CN101436937A (zh) | 2009-05-20 |
CN101436937B true CN101436937B (zh) | 2011-05-11 |
Family
ID=40711174
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008102274180A Expired - Fee Related CN101436937B (zh) | 2008-11-26 | 2008-11-26 | 一种对网络系统控制能力进行评价的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101436937B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107612698B (zh) * | 2017-08-08 | 2021-02-12 | 北京中海闻达信息技术有限公司 | 一种商用密码检测方法、装置与系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999067931A1 (en) * | 1998-06-25 | 1999-12-29 | Jacobson Family Holdings, Llc | Network policy management and effectiveness system |
CN1425234A (zh) * | 2000-02-08 | 2003-06-18 | 哈里公司 | 利用面向目标的模糊逻辑决策规则评估网络的安全姿态的系统和方法 |
CN101119236A (zh) * | 2006-07-31 | 2008-02-06 | 中国航天科技集团公司第五研究院第五一○研究所 | 一种网络安全综合评估系统 |
-
2008
- 2008-11-26 CN CN2008102274180A patent/CN101436937B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999067931A1 (en) * | 1998-06-25 | 1999-12-29 | Jacobson Family Holdings, Llc | Network policy management and effectiveness system |
CN1425234A (zh) * | 2000-02-08 | 2003-06-18 | 哈里公司 | 利用面向目标的模糊逻辑决策规则评估网络的安全姿态的系统和方法 |
CN101119236A (zh) * | 2006-07-31 | 2008-02-06 | 中国航天科技集团公司第五研究院第五一○研究所 | 一种网络安全综合评估系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101436937A (zh) | 2009-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Chen et al. | Using rough set and support vector machine for network intrusion detection | |
US20180288084A1 (en) | Method and device for automatically establishing intrusion detection model based on industrial control network | |
Isacenkova et al. | Inside the scam jungle: A closer look at 419 scam email operations | |
CN107067324A (zh) | 一种利用网络抓包数据实现交易风险控制的方法和系统 | |
Sun et al. | Network security technology of intelligent information terminal based on mobile internet of things | |
CN105049283B (zh) | 安全交换协议模型检测方法 | |
Lidkea et al. | Convolutional neural network framework for encrypted image classification in cloud-based ITS | |
Li et al. | Towards effective assessment for social engineering attacks | |
CN101436937B (zh) | 一种对网络系统控制能力进行评价的方法 | |
CN113904910A (zh) | 一种基于运维系统的智能资产发现方法及装置 | |
CN111221802A (zh) | 一种基于大数据的数字资产风险管控系统及其方法 | |
US10891375B1 (en) | Document behavior analytics—abnormal document flows to identify suspicious exfiltration utility patent | |
US20240163299A1 (en) | Email security diagnosis device based on quantitative analysis of threat elements, and operation method thereof | |
CN115840965A (zh) | 一种信息安全保障模型训练方法和系统 | |
Wu et al. | Towards Understanding Asset Flows in Crypto Money Laundering Through the Lenses of Ethereum Heists | |
Iorliam | Cybersecurity in Nigeria: A Case Study of Surveillance and Prevention of Digital Crime | |
Hejun et al. | Online and automatic identification and mining of encryption network behavior in big data environment | |
Dunlavy et al. | Mathematical challenges in cybersecurity | |
Morovati et al. | Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques. | |
Narteni et al. | Evaluating the Possibility to Perpetrate Tunneling Attacks Exploiting Short-Message-Service. | |
Korkmaz et al. | Deep neural network based phishing classification on a high-risk url dataset | |
CN114866434A (zh) | 网络资产的安全评估方法及应用 | |
Fu et al. | Classification research on ssl encrypted application | |
Fang et al. | Information content security on the Internet: the control model and its evaluation | |
Parmar | Detection of Phishing URL using Ensemble Learning Techniques |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110511 Termination date: 20121126 |