CN101867496A - 一种安全服务的服务质量的检测方法 - Google Patents

Abstract

本发明公开了一种安全服务的服务质量的检测方法，确定安全服务的指标层次结构；该方法还包括：从所述层次结构中选择用于检测当前安全服务QoS的安全KQI及安全KPI，和通用KQI及通用KPI；从提供当前安全服务的系统中获取安全KPI和通用KPI，分别使用安全KPI聚合出安全KQI、使用通用KPI聚合出通用KQI；通过判定聚合出的安全KQI和通用KQI的数值结果是否达到预设标准，得出当前安全服务QoS的检测结果。应用本发明得到的检测结果可以准确反映安全服务是否达到了用户的要求。

Description

一种安全服务的服务质量的检测方法

技术领域

本发明涉及安全服务领域，特别涉及一种安全服务的服务质量(QoS，Quality of Service)的检测方法。

背景技术

近年来网络领域的安全性获得了广泛的关注，在企业网络或其他网络中，网络运营商和服务提供商部署不同的安全设备以支持各种各样的安全服务，例如防病毒服务、漏洞检测服务等，从而满足了用户日益增长的安全需求。但是目前网络运营者和服务提供商只能在设备层面对安全服务进行检测，例如安全设备是否工作正常等，却无法在服务层面对安全服务进行检测，例如无法获知所提供的安全服务是否满足用户的要求。这样，如果网络运营者或服务提供商针对其提供的安全服务向用户收取了费用，但所提供的安全服务实际并不满足用户的要求时就会降低用户体验。

按照国际电信联盟的电信标准ITU-T Recommendation E.800的定义，QoS是服务性能综合效果的集中体现，而服务性能又决定了用户体验和用户对服务的满意程度，因此为了获知所提供的安全服务是否满足用户的要求，可以通过检测安全服务的QoS来实现。

图1为国际电信联盟的电信标准ITU-T Recommendation E.800中服务性能和网络性能的分层架构示意图。在图1所示的分层架构中，网络性能是服务性能的基础，两者之间的这种相互关系由图中的箭头102表示。根据电信管理论坛(TMF)组织提出的服务等级协议(SLA，Service Level Agreement)手册TMF GB917Service Level Agreement(SLA)Management Handbook中的规定，用于网络性能度量的指标称为关键性能指标(KPI，Key PerformanceIndicators)，用于服务性能度量的指标称为关键质量指标(KQI，Key QualityIndicators)。其中，度量服务性能的KQI具体可以包括多类指标(图1中箭头101所示)，例如可操作性指标(Operrability performance)、可接入性指标(Accessibility)、可维持性指标(Retainability performance)、完整性指标(Integrity performance)，支持性指标(Support performance)和安全性指标(Security performance)等；度量网络性能的KPI具体也可以包括多类指标(图1中箭头103所示)，例如规划指配管理指标(Plan provisioning admin)、流量指标(Trafficability performance)、可靠性指标(Dependabilityperformance)和传输性指标(Transmission performance)等。

上述TMF GB917 Service Level Agreement(SLA)Management Handbook提供的KQI和KPI均为通用指标，只针对诸如公共交换电话网络(PSTN，Public Switched Telephone Network)服务、租用线路服务(LLS，Leased LineService)、移动服务等传统服务的服务性能度量和网络性能度量。一项传统服务的QoS可能由对应的一个KQI或大于一个KQI结果体现，以租用线路服务为例，假设需要由可接入性指标类中的两个KQI来反映，则检测租用线路服务的QoS时，首先按照规定的对应关系从网络中获取这两个KQI对应的KPI，然后按照一定的聚合方法分别将获取的KPI聚合起来得到每个KQI结果，最后检查计算所得的两个KQI结果是否分别达到了用户的要求，如果全部达到则认为该租用线路服务达到了用户的要求。

安全服务与上述传统服务具有不同的架构。按照国际电信联盟(ITU)的电信标准ITU-T Recommendation X.800和X.805的规定，安全服务可被分为以下八种类型：接入控制(Access control)、认证(Authentication)、可用性(Availability)、数据机密(Data confidentiality)、通信安全(Communication)、数据完整(Data integrity)、不可抵赖(Non-repudiation)和私密性(Privacy)。

图2为现有技术中安全服务体系的分层架构示意图。在图2所示的分层架构中包括以下几种关系：

第一、安全服务直接或间接支持应用(图2中箭头201所示)，例如接入控制服务支持接入应用；第二、一项安全服务也可以同时支持另一项安全服务(图2中箭头202所示)，例如认证服务支持接入控制服务；第三、一项安全服务可以由若干服务基本功能项(SE，Service Element)组成(图2中箭头203所示)，例如接入控制服务基本功能项、认证服务基本功能项等，以属于可用性(Availability)类型的防病毒服务为例，其包含的服务基本功能项可以有病毒检测、病毒清除、病毒清除确认、病毒情况报表等；第四、每一个服务基本功能项又可由若干服务资源(SR，Service Resource)支持(图2中箭头204所示)，例如上述的病毒检测可由入侵检测系统、防病毒网关和防病毒软件等服务资源支持。

由于安全服务的架构与传统服务不相同，且安全服务的服务性能更多的是由专属于安全方面的因素来反映，因此，虽然现有技术中针对传统服务提出了检测QoS需要使用的KQI和KPI，但这些KQI并不能准确反映安全服务的服务性能，这些KPI也不能准确反映安全服务的网络性能。如果使用针对传统服务的KQI和KPI，再结合传统服务中由KPI聚合KQI的方法来检测安全服务的QoS，得到的KQI结果并不能准确反映安全服务是否达到了用户的要求。

发明内容

有鉴于此，本发明的主要目的在于提供一种安全服务QoS的检测方法，使用该方法得到的检测结果可以准确反映安全服务是否达到了用户的要求。

本发明的技术方案是这样实现的：

一种安全服务的服务质量的检测方法，设置用于检测安全服务的服务质量QoS的指标的层次结构，该层次结构中包括通用关键质量指标KQI及通用关键性能指标KPI；关键在于，所述层次结构中进一步包括安全KQI和安全KPI，所述安全KQI包括主动服务类、易操作类和业务违反类指标，所述安全KPI包括功能类、性能类、准确性类和更新类指标；该方法还包括：

从所述层次结构中选择用于检测当前安全服务QoS的安全KQI及安全KPI，和通用KQI及通用KPI；

从提供当前安全服务的系统中获取安全KPI和通用KPI，分别使用安全KPI聚合出安全KQI、使用通用KPI聚合出通用KQI；

通过判定聚合出的安全KQI和通用KQI的数值结果是否达到预设标准，得出当前安全服务QoS的检测结果。

所述主动服务类包括：发现新的攻击或者新的脆弱性、且还没有出现解决方法时，提供主动预警、主动预防性解决方法；

所述业务违反类包括：漏洞扫描间隔时间过长违规、病毒库未升级时间过程违规。

所述功能类包括：漏洞检测服务中检测到的漏洞、支持的系统数量，入侵检测服务中检测到的攻击形式与数据；

所述性能类包括：漏洞扫描服务中扫描同样多漏洞所用的时间、认证服务支持的用户数以及每秒处理数量，支持的连接数量；

所述准确性类包括：错误接受率和错误拒绝率；

所述更新类指标包括：更新知识规则的时间间隔。

所述聚合的一种方法为：为KPI设置权重系数；利用所述权重系数聚合出KQI。该聚合过程中，还利用为安全服务设置的用于指示安全服务当前受影响的程度服务恶化因子、为所述安全服务的每个接入点设置的权重系数、为所述安全服务的每个服务基本功能项设置的权重系数。

该聚合方法的一种具体计算过程包括：设所述服务恶化因子为SDF，每个接入点的权重系数为Weighting Factor_site，所述服务基本功能项为SE，每个服务基本功能项的权重系数为Weighting Factor_SE，接入点为access site；设由获取的KPI聚合出的KQI包括接入点的服务时长Service period_site、接入点的恶化时长degration period_site、服务基本功能项的服务时长Serviceperiod_SE和服务基本功能项的恶化时长degration period_SE，聚合出的最终KQI为安全服务的服务可用性SA；设安全服务的服务不可用性为SUA、服务基本功能项的服务不可用性为SUA_SE；

所述聚合包括：

A1、使用如下公式计算每个服务基本功能项的服务不可用性的百分比，

${\mathrm{SUA}}_{\mathrm{SE}}\%=\frac{\underset{\mathrm{accesssite}}{\mathrm{\Σ}}[{\mathrm{WeightingFactor}}_{\mathrm{site}}\×\left(\underset{\mathrm{de}\mathrm{grad}\mathrm{ationperiod}}{\mathrm{\Σ}}({\mathrm{de}\mathrm{grad}\mathrm{ationperiod}}_{\mathrm{site}}\×\mathrm{SDF})\right)]}{\underset{\mathrm{accesssite}}{\mathrm{\Σ}}({\mathrm{WeightingFactor}}_{\mathrm{site}}\×{\mathrm{Serviceperiod}}_{\mathrm{site}})}\×100\%;$

B1、使用如下公式计算安全服务的服务不可用性的百分比，

$\mathrm{SUA}\%=\frac{\underset{\mathrm{SEs}}{\mathrm{\Σ}}[{\mathrm{WeightingFactor}}_{\mathrm{SE}}\×{\mathrm{Serviceperiod}}_{\mathrm{SE}}\×{\mathrm{SUA}}_{\mathrm{SE}}]}{\underset{\mathrm{SEs}}{\mathrm{\Σ}}({\mathrm{WeightingFactor}}_{\mathrm{SEs}}\×{\mathrm{Serviceperiod}}_{\mathrm{SE}})}\×100\%;$

C1、使用如下公式计算安全服务的服务可用性的百分比，SA％＝1-SUA％。

所述安全服务由一个以上接入点接入；所述聚合的另一种方法包括：

A2、针对每个接入点，使用获取的安全KPI聚合出安全KQI，使用通用KPI聚合出通用KQI；

B2、在所有接入点的安全KQI中选择数值结果最小的一个作为该安全KQI的最终数值结果，在所有接入点的通用KQI中选择数值结果最小的一个作为该通用KQI的最终数值结果。

可见，本发明针对安全服务的特性设置安全服务的指标层次结构，基于该安全服务的指标层次结构，分别由获取的通用KPI聚合出通用KQI，由获取的安全KPI聚合出安全KQI，再衡量得出的安全KQI和通用KQI是否符合预设标准，由此得出安全服务QoS的检测结果。由于本发明中的指标层次架构是针对安全服务的特性设置，所以基于该指标层次架构得出的检测结果可以准确反映安全服务是否达到了用户的要求。

附图说明

图1为现行技术中服务性能和网络性能的分层架构示意图；

图2为现有技术中安全服务的分层架构示意图；

图3为本发明中安全服务的指标层次结构示意图；

图4为本发明中KQI和KPI之间的一种逻辑模板示意图；

图5为本发明安全服务质量QoS的检测方法流程图；

图6为本发明安全服务质量QoS的检测方法中，接入控制服务的分层架构示意图；

图7为一种企业网络架构示意图。

具体实施方式

为使本发明的目的和优点更加清楚，下面结合附图和实施例对本发明作进一步详细的说明，这些说明是非限制性的。

本发明需要预先设置以下内容：

①设置安全服务的指标层次结构，具体包括：通用KQI和通用KPI，这两类指标与传统服务的相同；安全KQI，包括主动服务类、易操作类和业务违反类等指标；安全KPI，包括功能类、性能类、准确性类和更新类等指标。

②设置安全KQI聚合结果及通用KQI聚合结果所要达到的标准。

图3为本发明中安全服务的指标层次结构示意图，依照从上到下的顺序，第一层代表标准定义的八种类型的安全服务；第二层为反映安全服务QoS的安全KQI和通用KQI；第三层为服务资源；第四层为用于聚合安全KQI的安全KPI、及用于聚合通用KQI的通用KPI。安全KQI和安全KPI是本发明针对安全服务特性提出的指标，在针对不同的安全服务时，每一类都可以包括多种具体的指标，例如：安全KQI中的主动服务类可以包括安全服务中在发现新的攻击或者新的脆弱性、且还没有出现解决方法时，能够提供主动的预警、主动的预防性解决方法等；易操作类可以包括安全服务可操作性等；业务违反类可以包括漏洞扫描间隔时间过长违规、病毒库未升级时间过程违规等。安全KPI中的功能类可以包括漏洞检测服务中能够检测到的漏洞、能够支持的系统的数量、入侵检测服务中能够检测到的攻击形式与数目等；性能类可以包括漏洞扫描服务中扫描同样多漏洞所用的时间，认证服务支持的用户数以及每秒处理数量，支持的连接数量等；准确性类可以包括错误接受率和错误拒绝率等；更新类指标可以包括更新知识规则的时间间隔等。

在本发明中的安全服务的指标层次结构下，安全服务的服务性能由一个或大于一个的KQI描述(图3中箭头302所示)，而一个KQI都由一个以上的KPI聚合而来(图3中箭头301所示)，即图3中所示的任意一个安全KQI可以由一个以上安全KPI聚合，而一个通用KQI可以由一个以上通用KPI聚合。

另外，图3中所示的安全服务仍然可以由若干服务基本功能项组成，例如，接入控制服务可以由防火墙基本功能项和签约基本功能项组成，每一个服务基本功能项又可以由若干服务资源支持，而服务资源可以由对应的KPI描述(图3中箭头304所示)，为了图示简洁，图3中并未示出服务基本功能项这一分层，而是直接示出了服务资源对安全服务的支持(图3中箭头303所示)。

在本发明中，无论是安全KQI、通用KQI，还是安全KPI、通用KPI，都具备多种属性，主要包括：标识号，表示该指标的唯一标识；类型，表示该指标属于通用指标还是安全指标；源，表示该指标的来源；目标值，表示该指标的目标值或范围；度量时长，表示该指标的计算时长；激活/非激活时长，表示该指标在一天之中激活状态的时长；激活/非激活日期，表示该指标激活状态的日期。

上述属性中的通用指标类和安全指标类，又可以分为单个指标和平均服务性能度量两类、且分别具备各自相应的值列表，具体如表一所示。对KPI而言，上述值列表中包含诸如最高值、最低值、某个时刻的值和随机抽取的值等具体值，选择单个指标类值列表中的一个值作为单个指标类的KPI，选择平均服务性能度量类值列表中的多个值聚合出平均服务性能度量类的KPI。对KQI而言，上述值列表中包含诸如检测到的攻击数目、漏洞数量等KPI，选择单个指标类值列表中的一个KPI作为单个指标类的KQI，选择平均服务性能度量类值列表中的多个KPI聚合出平均服务性能度量类的KQI。

参数	通用指标	安全指标
			单个指标	值列表	值列表
平均服务性能度量	值列表	值列表

表一

图4为本发明中KQI和KPI之间的一种逻辑模板示意图，一个KQI可以由一个以上的KPI聚合而成，多个KPI可以聚合得出一个KPI，多个KQI也可以计算得出一个KQI，具体的聚合及计算方法在以下实施例中详细描述。

基于上述预设层次结构及标准，图5为本发明安全服务质量QoS的检测方法流程图，流程包括以下步骤：

步骤501：从所述层次结构中选择用于检测当前安全服务QoS的安全KQI及安全KPI，和通用KQI及通用KPI。

本步骤中，检测安全服务QoS之所以既选择通用KQI和KPI，又选择安全KQI和KPI，是因为安全服务除了具备不同于传统服务的独有特性外，还具备与传统服务相同的通用特性。在选择对应当前安全服务的KQI和KPI指标时需依据当前安全服务的特性及当前检测的侧重点。

步骤502：从当前安全服务的系统中获取安全KPI和通用KPI，分别使用安全KPI聚合出安全KQI、使用通用KPI聚合出通用KQI。

本步骤中，从当前安全服务的系统可能包括一个以上安全服务设备，例如如果当前安全服务为防病毒服务，则提供安全服务的系统中可以包括一台以上的防病毒设备。获取KPI具体可以在提供安全服务的系统现场人工进行，也可以由远程的代理设备自动进行，该代理设备可以按照预定义的配置文件从当前安全服务的系统中获取KPI。上述获取包括：首先得到计算KPI的对应值，如最高值和最低值等；其次，使用获取的值计算KPI。

使用安全KPI聚合出安全KQI、及使用通用KPI聚合出通用KQI，可以使用传统服务中的已有聚合方法。

步骤503：通过判定聚合出的安全KQI和通用KQI的数值结果是否达到预设标准，得出当前安全服务QoS的检测结果。

本步骤中，预设标准可以是安全KQI和通用KQI所分别需要达到的标准，也可以是安全KQI和通用KQI按照一定规则聚合后所需要达到的标准。本步骤中的聚合采用现有的方法能够实现。

在上述步骤502中，聚合每个KQI的方式具体可以有以下两种：

第一、权重平均方法。

在这种方法中，一般需要考虑以下两个因素：

1)服务恶化因子(SDF，Service Degradation Factor)。

SDF主要指示安全服务受到影响的程度，以服务可用性(SA，ServiceAvailability)为例，SDF指示该安全服务的服务不可用程度，例如如果该安全服务完全不可用，则SDF可以取1，否则在该安全服务包括的某一个服务基本功能项不可用时，SDF取值0.6。SDF的取值为0到1之间的一个值，在为一项安全服务设置SDF的取值时，需考虑该安全服务对用户的重要性、对其他业务系统的重要性等，实际上在本领域公知的传统服务中，有的也涉及使用SDF，而本发明中SDF的取值原则与本领域公知的原则相同，这里不再详细描述。

2)接入点的权重因素。

任何安全服务都可能有一系列接入点，例如一个企业存在多个部门，每个部门就可以看作一个接入点。组成一项安全服务的各个服务基本功能项将分布在每个接入点，例如企业中的各个部门都需要使用防病毒安全服务，则企业中的每个部门都需使用组成该安全服务的病毒检测服务基本功能项，相应的，支持服务基本功能项的服务资源也分布在各个接入点，例如企业中的每个部门都需要使用防病毒网关和防病毒软件等。每个在检测某项安全服务QoS时，需分别考虑使用该安全服务的每个接入点所占的权重。接入点的权重依据安全服务对通过不同接入点接入的不同用户的重要程度来确定其具体取值。

第二、最小值方法。

当安全服务有一系列接入点接入时，可以先针对每个接入点分别聚合其对应的KQI，由于KQI的计算分别针对每个接入点，在使用权重平均方法时无需考虑接入点的权重因素，但在计算过程中仍需考虑服务基本功能项的权重因素。针对每个接入点的KQI聚合完成后，再选择所有聚合结果中的最小值作为考虑所有接入点后得出的KQI最终聚合结果。

下面以接入控制服务为例，举出步骤502中所述聚合KQI的具体实施例，在该具体实例中，仅举出聚合安全KQI的方法，聚合通用KQI的方法与此类似，这里不再赘述。

接入控制服务可以由多个服务基本功能项组成，例如在一个企业中，接入控制服务可以由防火墙服务基本功能项和接入管理服务基本功能项组成，其中防火墙基本功能项可以为防火墙日志报告、不明站点的IP包阻挡等，接入管理服务基本功能项可以为登陆验证等。上述每一个服务基本功能项又可以由一系列服务资源支持，例如防火墙服务基本功能项可以由防火墙软件支持，而接入管理服务基本功能项可以由登陆管理软件支持等，上述服务资源由KPI描述。图6为本实施例接入控制服务的分层架构示意图。

在本实施例中，采用上述聚合方法中第一种所述的权重平均方法，并且考虑接入控制服务的多个接入点的重要性；通用KQI是可维持性操作类中的服务可用性。

(1)分别计算所有服务基本功能项的不可用性(SUA，ServiceUnavailability)的百分比。其中每一个服务基本功能项的计算公式如下：

${\mathrm{SUA}}_{\mathrm{SE}}\%=\frac{\underset{\mathrm{accesssite}}{\mathrm{\Σ}}[{\mathrm{WeightingFactor}}_{\mathrm{site}}\×\left(\underset{\mathrm{de}\mathrm{grad}\mathrm{ationperiod}}{\mathrm{\Σ}}({\mathrm{de}\mathrm{grad}\mathrm{ationperiod}}_{\mathrm{site}}\×\mathrm{SDF})\right)]}{\underset{\mathrm{accesssite}}{\mathrm{\Σ}}({\mathrm{WeightingFactor}}_{\mathrm{site}}\×{\mathrm{Serviceperiod}}_{\mathrm{site}})}\×100\%.$

上述公式中，分子中的Weighting Factor_site为接入点的权重系数；degradation period_site为接入控制服务的接入点的恶化时长，指在该接入点接入控制服务达不到SLA定义的要求所持续的时间，为接入点的通用KQI，该通用KQI也由相应的通用KPI聚合；分母中的Service period_site为接入控制服务的接入点的服务时长，指在该接入点接入控制服务达到SLA定义的要求所持续的时间，也为接入点的通用KQI，该通用KQI也由相应的通用KPI聚合。因此上述公式相当于将多个KQI聚合成一个KQI。可以看出，在该计算公式中，计算了所有接入点接入控制服务的恶化时长占其服务时长的百分比，即在考虑了所有接入点的情况下，计算了一个服务基本功能项的服务不可用性。针对每个服务基本功能项都按照该公式进行计算，就得到了所有服务基本功能项的不可用性。

(2)计算接入控制服务的不可用性的百分比。计算公式如下：

$\mathrm{SUA}\%=\frac{\underset{\mathrm{SEs}}{\mathrm{\Σ}}[{\mathrm{WeightingFactor}}_{\mathrm{SE}}\×{\mathrm{Serviceperiod}}_{\mathrm{SE}}\×{\mathrm{SUA}}_{\mathrm{SE}}]}{\underset{\mathrm{SEs}}{\mathrm{\Σ}}({\mathrm{WeightingFactor}}_{\mathrm{SEs}}\×{\mathrm{Serviceperiod}}_{\mathrm{SE}})}\×100\%.$

上述公式中，Weighting Factor_SE为所计算安全服务中包含的服务基本功能项的权重，Service period_SE为服务基本功能项的服务时长，SUA_SE为服务基本功能项的服务不可用性。可以看出，在该计算公式中，在考虑了所有服务基本功能项的情况下，计算了接入控制服务的不可用性。

(3)计算接入控制服务的可用性的百分比。

接入控制服务的可用性可以通过如下公式得出：

SA％＝1-SUA％。

上述权重平均方法利用的是使用子业务计算整体业务的思想，诸如上述实施例举出的多个KQI聚合出一个KQI，还有多个KPI聚合出一个KQI等其他情况都可以归为由子业务计算出整体业务的范畴，因此都可以使用上述权重平均方法。

下面以企业网络为应用场景，举出上述步骤502中计算安全KQI的另一个实施例。

安全服务可以在多个接入站点接入，以企业网络为例，图7为一个企业网络的架构示意图，在服务提供商网络的周围，有若干个远程分支通过虚拟私有网络(VPN，Virtual Private Network)相连，这些远程分支就是不同的接入点，如果其中一个接入点出现了问题，基于信息理论，其他接入站点也会处于问题危险之中，例如图7所示，如果分支C出现了问题，分支A和分支B也可能在随后出现问题。

在本实施例中，检测安全服务QoS所需的每一个安全KQI及通用KQI都需要针对每个接入点分别计算，例如针对通用KQI服务可用性，需针对每个接入点分别计算服务可用性，然后选择所有服务可用性计算结果中反映最差服务性能的KQI，作为考虑所有接入点后得出的该KQI的聚合结果，上述计算可用公式简单表示如下：

KQI_aggregated＝Min(KQI₁，KQI₂，KQI₃，…KQI_n)。

其中，KQI₁，KQI₂，KQI₃，…KQI_n分别代表不同接入点1-n所分别计算出的KQI，KQI_aggregated代表该KQI的最终聚合结果。依照该最小值方法得出所有通用KQI及安全KQI的聚合结果后，再分别与预设的标准比较，这与前文已描述过的情况相同。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种安全服务的服务质量的检测方法，设置用于检测安全服务的服务质量QoS的指标的层次结构，该层次结构中包括通用关键质量指标KQI及通用关键性能指标KPI；其特征在于，所述层次结构中进一步包括安全KQI和安全KPI，所述安全KQI包括主动服务类、易操作类和业务违反类指标，所述安全KPI包括功能类、性能类、准确性类和更新类指标；该方法还包括：

从所述层次结构中选择用于检测当前安全服务QoS的安全KQI及安全KPI，和通用KQI及通用KPI；

从提供当前安全服务的系统中获取安全KPI和通用KPI，分别使用安全KPI聚合出安全KQI、使用通用KPI聚合出通用KQI；

通过判定聚合出的安全KQI和通用KQI的数值结果是否达到预设标准，得出当前安全服务QoS的检测结果。

2.如权利要求1所述的方法，其特征在于，所述主动服务类包括：发现新的攻击或者新的脆弱性、且还没有出现解决方法时，提供主动预警、主动预防性解决方法；

所述业务违反类包括：漏洞扫描间隔时间过长违规、病毒库未升级时间过程违规。

3.如权利要求1所述的方法，其特征在于，所述功能类包括：漏洞检测服务中检测到的漏洞、支持的系统数量，入侵检测服务中检测到的攻击形式与数据；

所述性能类包括：漏洞扫描服务中扫描同样多漏洞所用的时间、认证服务支持的用户数以及每秒处理数量，支持的连接数量；

所述准确性类包括：错误接受率和错误拒绝率；

所述更新类指标包括：更新知识规则的时间间隔。

4.如权利要求1所述的方法，其特征在于，所述聚合为：为KPI设置权重系数；利用所述权重系数聚合出KQI。

5.如权利要求4所述的方法，其特征在于，所述聚合过程中，还利用为安全服务设置的用于指示安全服务当前受影响的程度服务恶化因子、为所述安全服务的每个接入点设置的权重系数、为所述安全服务的每个服务基本功能项设置的权重系数。

6.如权利要求5所述的方法，其特征在于，设所述服务恶化因子为SDF，每个接入点的权重系数为Weighting Factor_site，所述服务基本功能项为SE，每个服务基本功能项的权重系数为Weighting Factor_SE，接入点为access site；设由获取的KPI聚合出的KQI包括接入点的服务时长Service period_site、接入点的恶化时长degration period_site、服务基本功能项的服务时长Serviceperiod_SE和服务基本功能项的恶化时长degration period_SE，聚合出的最终KQI为安全服务的服务可用性SA；设安全服务的服务不可用性为SUA、服务基本功能项的服务不可用性为SUA_SE；

所述聚合包括：

A1、使用如下公式计算每个服务基本功能项的服务不可用性的百分比，

${\mathrm{SUA}}_{\mathrm{SE}}\%=\frac{\underset{\mathrm{accesssite}}{\mathrm{\Σ}}[{\mathrm{WeightingFactor}}_{\mathrm{site}}\×\left(\underset{\mathrm{de}\mathrm{grad}\mathrm{ationperiod}}{\mathrm{\Σ}}({\mathrm{de}\mathrm{grad}\mathrm{ationperiod}}_{\mathrm{site}}\×\mathrm{SDF})\right)]}{\underset{\mathrm{accesssite}}{\mathrm{\Σ}}({\mathrm{WeightingFactor}}_{\mathrm{site}}\×{\mathrm{Serviceperiod}}_{\mathrm{site}})}\×100\%;$

B1、使用如下公式计算安全服务的服务不可用性的百分比，

$\mathrm{SUA}\%=\frac{\underset{\mathrm{SEs}}{\mathrm{\Σ}}[{\mathrm{WeightingFactor}}_{\mathrm{SE}}\×{\mathrm{Serviceperiod}}_{\mathrm{SE}}\×{\mathrm{SUA}}_{\mathrm{SE}}]}{\underset{\mathrm{SEs}}{\mathrm{\Σ}}({\mathrm{WeightingFactor}}_{\mathrm{SEs}}\×{\mathrm{Serviceperiod}}_{\mathrm{SE}})}\×100\%;$

C1、使用如下公式计算安全服务的服务可用性的百分比，SA％＝1-SUA％。

7.如权利要求1所述的方法，其特征在于，所述安全服务由一个以上接入点接入；所述聚合包括：

A2、针对每个接入点，使用获取的安全KPI聚合出安全KQI，使用通用KPI聚合出通用KQI；

B2、在所有接入点的安全KQI中选择数值结果最小的一个作为该安全KQI的最终数值结果，在所有接入点的通用KQI中选择数值结果最小的一个作为该通用KQI的最终数值结果。

Images