CN105024968B - 一种网络安全测量方法、装置及系统 - Google Patents
一种网络安全测量方法、装置及系统 Download PDFInfo
- Publication number
- CN105024968B CN105024968B CN201410155197.6A CN201410155197A CN105024968B CN 105024968 B CN105024968 B CN 105024968B CN 201410155197 A CN201410155197 A CN 201410155197A CN 105024968 B CN105024968 B CN 105024968B
- Authority
- CN
- China
- Prior art keywords
- security
- network
- value
- security measurement
- measurement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种网络安全测量方法、装置及系统,网络中的监控对象具有至少一个安全测量指标。方法包括:获取步骤,获取监控对象的每一个安全测量指标对应的测量参数的取值;第一计算步骤,根据安全测量指标对应的测量参数的取值计算安全测量指标的第一安全测量值;模糊化步骤,通过构建隶属度函数对监控对象对应的安全测量指标的第一安全测量值进行模糊化,得到模糊评价矩阵;权重建立步骤,通过德尔菲法确定出每一个安全测量指标对监控对象的重要性权重,并建立所有重要性权重的权重集合;第二计算步骤,将模糊评价矩阵与权重集合乘积,得到监控对象的第二安全测量值。本方案能够全面、合理地测量出网络的安全性。
Description
技术领域
本发明涉及网络安全领域,特别是一种网络安全测量方法、装置及系统。
背景技术
随着计算机技术和通信技术的发展,网络安全隐患日益暴露,各种针对网络的犯罪活动层出不穷,网络信息完全面临着巨大风险。为了对计算机网络所面临的威胁程度有一个清晰的认识,以便采取相应的网络安全防范措施,最大限度地降低网络安全带来的各种损失,是当前一个重要研究课题。
网络安全评价是制定和调整网络安全策略的基础,依据准确的评价结果,才能制定出有效的网络安全防护策略。
目前是以网络入侵事件为依据,进行网络的局部区域进行安全评价的。这种方法只能跟踪少量的网络入侵事件和参数,无法做到网络安全的全局掌控。
发明内容
本发明要解决的技术问题提供一种网络安全测量方法、装置及系统,能够全面、合理地测量出网络的安全性,为后续安全操作提供支持依据。
为解决上述技术问题,本发明的实施例提供一种网络安全测量方法,网络中包括监控对象,监控对象具有至少一个安全测量指标,所述网络安全测量方法包括:
获取步骤,获取所述监控对象的每一个安全测量指标对应的测量参数的取值;
第一计算步骤,根据安全测量指标对应的测量参数的取值计算安全测量指标的第一安全测量值;
模糊化步骤,通过构建隶属度函数对监控对象对应的安全测量指标的第一安全测量值进行模糊化,得到模糊评价矩阵;
权重建立步骤,通过德尔菲法确定出每一个安全测量指标对监控对象的重要性权重,并建立所有重要性权重的权重集合;
第二计算步骤,将所述模糊评价矩阵与所述权重集合乘积,得到所述监控对象的第二安全测量值。
其中,所述第一计算步骤包括:
根据公式a=z0+(I1×M1+I2×M2+......+IN×MN)对安全测量指标对应的测量参数的取值进行归一化求和,得到安全测量指标的第一安全测量值;
其中,z0为预设常数;I1至IN为各个测量参数的取值;M1至MN为对应I1至IN的归一化公式。
其中,所述模糊化步骤包括:
确定所述监控对象的各安全要素的第一安全测量值集合A=(a1,a2,...,ax);
确定测量等级集合B=(b1,b2,...,by);
确定所述集合A和所述集合B的模糊评价矩阵O=(Oij)x*y;
其中,Oij表示隶属度函数,i∈x,j∈y;所述隶属度函数的公式为:
ej为bj的预设下限,fj为bj的预设上限。
其中,当所述网络包括多个监控对象时,所述测量方法还包括:
第三计算步骤,对所有监控对象的第二安全测量值进行加权求和,得到所述网络的第三安全测量值。
其中,当所述网络监控对象包括:终端、应用服务器以及网管网络时,所述获取步骤具体为:
通过所述终端以及其管控设备的API函数对该终端的各安全测量指标的测量参数的取值进行收集;
通过所述网管网络的网络管理协议、系统日志SYSLOG协议的API函数,以及其管控设备的API函数,对该网管网络的各安全测量指标的测量参数的取值进行收集;
通过所述应用服务器以及其管控设备的API函数对该应用服务器的各安全测量指标的测量参数的取值进行收集。
其中,
所述终端包括以下一种或多种安全测量指标:违规登录、恶意代码、进程、系统负荷、配置、文件系统、业务访问以及远程连接;
所述网管网络包括以下一种或多种安全测量指标:交换机流量、防火墙事件以及IC业务;
所述应用服务器包括以下一种或多种安全测量指标:文件系统、进程、数据库账号添加、脚本编制以及系统负荷。
此外,本发明的另一实施例提供一种网络安全测量装置,网络中包括监控对象,监控对象具有至少一个安全测量指标,所述网络安全测量装置包括:
获取模块,用于获取所述监控对象的每一个安全测量指标对应的测量参数的取值;
第一计算模块,用于根据安全测量指标对应的测量参数的取值计算安全测量指标的第一安全测量值;
模糊化模块,用于通过构建隶属度函数对监控对象对应的安全测量指标的第一安全测量值进行模糊化,得到模糊评价矩阵;
权重建立模块,用于通过德尔菲法确定出每一个安全测量指标对监控对象的重要性权重,并建立所有重要性权重的权重集合;
第二计算模块,用于将所述模糊评价矩阵与所述权重集合乘积,得到所述监控对象的第二安全测量值。
其中,所述第一计算模块具体用于:
根据公式a=z0+(I1×M1+I2×M2+......+IN×MN)对安全测量指标对应的测量参数的取值进行归一化求和,得到安全测量指标的第一安全测量值;
其中,z0为预设常数;I1至IN为各个测量参数的取值;M1至MN为对应I1至IN的归一化公式。
其中,所述模糊化模块包括:
第一确定子模块,用于确定所述监控对象的各安全要素的第一安全测量值集合A=(a1,a2,...,ax);
第二确定子模块,用于确定测量等级集合B=(b1,b2,...,by);
第三确定子模块,用于确定所述集合A和所述集合B的模糊评价矩阵O=(Oij)x*y;
其中,Oij表示隶属度函数,i∈x,j∈y;所述隶属度函数的公式为:
j为bj的预设下限,fj为bj的预设上限。
其中,所述网络安全测量装置还包括:
第三计算子模块,用于当所述网络包括多个监控对象时,对所有监控对象的第二安全测量值进行加权求和,得到所述网络的第三安全测量值。
其中,所述网络监控对象包括:终端、应用服务器以及网管网络;所述获取模块具体包括:
第一获取子模块,用于通过所述终端以及其管控设备的API函数对该终端的各安全测量指标的测量参数的取值进行收集;
第二获取子模块,用于通过所述网管网络的网络管理协议、系统日志SYSLOG协议的API函数,以及其管控设备的API函数,对该网管网络的各安全测量指标的测量参数的取值进行收集;
第三获取子模块,用于通过所述应用服务器以及其管控设备的API函数对该应用服务器的各安全测量指标的测量参数的取值进行收集。
其中,
所述终端包括以下一种或多种安全测量指标:违规登录、恶意代码、进程、系统负荷、配置、文件系统、业务访问以及远程连接;
所述网管网络包括以下一种或多种安全测量指标:交换机流量、防火墙事件以及IC业务;
所述应用服务器包括以下一种或多种安全测量指标:文件系统、进程、数据库账号添加、脚本编制以及系统负荷。
本发明的上述方案具有如下有益效果:
本发明案提出了一种层次化的网络安全测量方案。以测量参数的取值为依据,逐层递进地测量出安全测量指标以及监控对象的安全测量值,进而能够全局地掌握网络的安全性,对后续的相关安全操作提供了有力的支持依据。
附图说明
图1为本发明的网络安全测量方法的步骤示意图;
图2为本发明实施例的安全测量体系的结构示意图;
图3为本发明的网络安全测量装置的结构示意图;
图4为本发明的网络安全系统的构架示意图。
具体实施方式
本发明针对现有技术中只能对网络进行局限性的安全评价的问题,提供一种网络安全测量方法、装置及系统。在本发明的方案中,网络中包括监控对象,监控对象具有至少一个安全测量指标,如图1所示,所述网络安全测量方法包括:
获取步骤11,获取所述监控对象的每一个安全测量指标对应的测量参数的取值;
第一计算步骤12,根据安全测量指标对应的测量参数的取值计算安全测量指标的第一安全测量值;
模糊化步骤13,通过构建隶属度函数对监控对象对应的安全测量指标的第一安全测量值进行模糊化,得到模糊评价矩阵;
权重建立步骤14,通过德尔菲法确定出每一个安全测量指标对监控对象的重要性权重,并建立所有重要性权重的权重集合;
第二计算步骤15,将所述模糊评价矩阵与所述权重集合乘积,得到所述监控对象的第二安全测量值。
在上述描述中,本发明提出了一种层次化的网络安全测量方法。以估参数的取值为依据,逐层递进地测量出安全测量指标以及监控对象的安全测量值,进而能够全局地掌握网络的安全性,对后续的相关安全操作提供了有力的支持依据。
由于安全测量指标对的测量参数会存在不同类别的测量参数,而不同类别的测量参数在取值的数量级、单位上不统一,如果直接将其用于测量安全测量指标会使得第一安全测量值不够准确。因此,在执行所述第一计算步骤12时,需要具体根据公式a=z0+(I1×M1+I2×M2+......+IN×MN)对安全测量指标对应的测量参数的取值进行归一化求和,得到安全测量指标的第一安全测量值;
其中,z0为预设常数;I1至IN为各个测量参数的取值;M1至MN为对应I1至IN的归一化公式。
在上述描述中,归一化公式并不唯一,可根据取值范围的需求以及测量参数的类别进行详细设定,对此,本文在后续描述中进行详细介绍。
此外,在上述实施例的基础之上,所述模糊化步骤13具体包括:
步骤131,确定所述监控对象的各安全要素的第一安全测量值集合A=(a1,a2,...,ax);
步骤132,确定测量等级集合B=(b1,b2,...,by);
步骤133,确定所述集合A和所述集合B的模糊评价矩阵O=(Oij)x*y;
其中,Oij表示隶属度函数,i∈x,j∈y;所述隶属度函数的公式为:
ej为bj的预设下限,fj为bj的预设上限。
在步骤131至步骤133的描述中,b1,b2,...,by是专家根据经验做出的模糊化的级别划分,例如集合B中包括5个测量等级,分别是“很少”、“少”、“一般”、“多”、“很多”,假设取值区间[100,+∞)定义为“很多”,即“很多”的下限ej是100,上限fj是正无穷。取值200与取值20000虽然都属于“很多”的测量等级,但“很多”的定义标准过于模糊,200对监控对象的安全影响显然要小于20000。因此,本发明针对不同测量等级设置了各自所对应的隶属度函数,隶属度函数的数学公式一样,但上下限的取值范围根据不同测量等级进行自定义设置。根据上述隶属度函数公式可知,取值100的安全指标是不会在“很多”的测量等级中得到取值;而20000对应的取值要高于200对应的取值。当然,上述集合B中的测量等级的个数也可以为其他值,可根据测量需求进行设定。
此外,作为优选方案,当所述网络包括多个监控对象时,本发明的网络安全测量方法还包括:
第三计算步骤16,对所有监控对象的第二安全测量值进行加权求和,得到所述网络的第三安全测量值。
在所述第三计算步骤16中,可对网络设置不同的监控对象,依据步骤11至步骤15可以得到所有监控对象的第二安全测量值,之后根据这些第二安全测量值确定出全网的安全态势。
考虑到网络的自身结构特点,选取网络中的终端、应用服务器以及网管网络作为上述的监控对象可以全面、合理地反映出网络的安全性。下面对本发明的测量方法的具体实施进行详细介绍。
首先建立网络的安全测量体系,如图2所示,在该安全测量体系中,第一层为全网的安全态势。第二层分为监控对象,分别是网络中的终端、网管网络以及应用服务器。第三层为安全测量指标,其中,终端的安全测量指标包括但不限于:违规登录、恶意代码、进程、系统负荷、配置、文件系统、业务访问以及远程连接;网管网络的安全测量指标包括但不限于:交换机流量、防火墙事件以及IC业务;应用服务器的安全测量指标包括但不限于:文件系统、进程、数据库账号添加、脚本编制以及系统负荷。
在安全测量体系建立返程后,可根据相应的时间策略,周期性地获取各个安全测量指标的参数数据。
其中,具体的测量参数以及各安全测量指标所对应的标准化求和公式如表一所示:
表一
在表一中,I1-I4为各安全测量指标的测量参数。具体地,可通过终端以及其管控设备的API函数对表一中终端的各安全测量指标的测量参数的取值进行收集;例如,针对终端的进程监测,可以使用Api,CreateToolhelp32Snapshot、Process32First、Process32Next获得系统进行的信息,包括进程名称、消耗的资源情况等,可以用于判断违规进程的安全状况。针对终端的配置监测,可以使用Api,RegOpenKeyEx、RegQueryValueEx、RegSetValueEx获得系统注册表的信息,包括配置的注册表项、注册表键以及注册表键值等信息。
此外,还通过所述网管网络的网络管理协议、系统日志SYSLOG协议的API函数,以及其管控设备的API函数,对表一中网管网络的各安全测量指标的测量参数的取值进行收集;例如,针对异常流量监测,可以使用snmpsharpnet、SNMP的C#版本开源组件获得交换机的流量和告警信息(snmpsharpnet和SNMP是网络管理的协议),比如针对H3C S7500E型号交换机的某个端口n的流出流量,所用对象标识OID是.1.3.6.1.2.1.2.2.1.16.n,那么端口n返回消息是IF-MIB::ifOutOctets.n=Counter32:376568699,其中376568699即为流出流量。
此外,还通过所述应用服务器以及其管控设备的API函数对表一中应用服务器的各安全测量指标的测量参数的取值进行收集。例如,针对应用服务器的系统文件监测,可以使用Api,FindFirstChangeNotification、FindNextChangeNotification函数获得系统文件修改相关的信息,包括文件名称、修改的类型等,可以用于判断文件系统修改的安全状况。针对系统负荷监测,可以使用Api,Performance Monitoring API函数获得系统的CPU、内存和磁盘使用率等信息。
之后,根据表一中的标准化求和公式,对应计算出各个安全测量指标的第一安全测量值。在表一中,上述标准化公式M(1)为max k为测量参数在获取周期内的最大值,min k为测量参数在获取周期内的最小值。测量参数原取值越大,经M(2)标准化后也随之越大,M(1)的取值范围是同理,标准化公式M(2)为测量参数原取值越大,经M(2)标准化后越小,M(2)的取值范围是标准化公式M(3)为测量参数原取值越大,经M(3)标准化后越小,M(3)的取值范围是[0,1]。
在安全测量指标的第一安全测量值计算完成后,分别计算终端、网管网络以及应用服务器的第二安全测量值。以终端为例,首先确定终端的各安全要素的第一安全测量集合A=(a1,a2,...,a7);之后根据测量需求设置终端的测量等级,示例性地,设置3个测量等级,即“轻微”、“一般”以及“严重”并确定测量等级集合B=(b1,b2,b3)。并针对违规登录的安全特性,定义为第一安全测量值在0.2以内属于允许范围;在第一安全测量值超过0.6的违规登录,其数值增加对终端的安全影响已经失去意义,全部定义为严重。因此,b1对应“轻微”,其取值范围0-0.2;b21对应“一般”,其取值范围0.2-0.6;b3对应“严重”,其取值范围0.6-1。
之后,确定集合A和集合B的模糊评价矩阵并计算矩阵中各个隶属度函数。
以b1的隶属度函数为例,其公式可以是其中,
b1的取值范围是0-0.2,那么在该0-0.2的范围内,小于0.05的取值可看成是对“轻微”级别
的影响忽略不计,其隶属度为0,大于0.1的取值对“轻微”级别的影响很大,隶属度为1。同
理,在0.05至0.1的取值中,隶属度单调递增。
之后,通过德尔菲法确定出终端对应的7个安全测量指标的重要性权重,并建立该7个重要性权重的权重集合W=(w1,w2,w3,w4,w5,w6,w7);并保证w1+w2+…w7=1。
德尔菲法是采用背对背的通信方式征询专家小组成员的预测意见,经过几轮征询,使专家小组的预测意见趋于集中,最后为每个安全测量指标做出符合经验结论的权重。在本本发明中,通过德尔菲法的系统程序,匿名获取专家确定权重的意见,即专家成员之间不得互相讨论,避免横向联系。
之后,将(w1,w2,w3,w4,w5,w6,w7),得到终端的第二安全测量值。同理,按照上述方法确定出网管网络以及应用服务器的第二安全测量值。需要说明的是,各安全测量标准所对应的权重可以提前确定好,在计算时可直接进行应用。
最后,根据终端、网管网络以及应用服务器的第二安全测量值确定出全网的安全态势。示例性地,全网的安全态势可以是各第二安全测量值的加权求和。第二安全测量值所对应权重可由专家根据经验进行设置。
综上所述,本发明弥补了现有技术方案的不足,给出了完整的网络安全测量体系,包括数据的处理和计算。该方法具有很高的实用性、灵活性,并且测量结果清晰、系统性强的特点。
作为本发明的另一实施例,如图3所示,与上述网络安全测量方法对应的,所述网络安全测量装置包括:
获取模块,用于获取所述监控对象的每一个安全测量指标对应的测量参数的取值;
第一计算模块,用于根据安全测量指标对应的测量参数的取值计算安全测量指标的第一安全测量值;
模糊化模块,用于通过构建隶属度函数对监控对象对应的安全测量指标的第一安全测量值进行模糊化,得到模糊评价矩阵;
权重建立模块,用于通过德尔菲法确定出每一个安全测量指标对监控对象的重要性权重,并建立所有重要性权重的权重集合;
第二计算模块,用于将所述模糊评价矩阵与所述权重集合乘积,得到所述监控对象的第二安全测量值。
在上述描述中,本发明提出了一种层次化的网络安全测量装置。以测量参数的取值为依据,逐层递进地测量出安全测量指标以及监控对象的安全测量值,进而能够全局地掌握网络的安全性,对后续的相关安全操作提供了有力的支持依据。
其中,所述第一计算模块具体用于:
根据公式a=z0+(I1×M1I2×M2+......+IN×MN)对安全测量指标对应的测量参数的取值进行归一化求和,得到安全测量指标的第一安全测量值;
其中,z0为预设常数;I1至IN为各个测量参数的取值;M1至MN为对应I1至IN的归一化公式。
具体地,在上述实施例的基础之上,所述模糊化模块包括:
第一确定子模块,用于确定所述监控对象的各安全要素的第一安全测量值集合A=(a1,a2,...,ax);
第二确定子模块,用于确定测量等级集合B=(b1,b2,...,by);
第三确定子模块,用于确定所述集合A和所述集合B的模糊评价矩阵O=(Oij)x*y;
其中,Oij表示隶属度函数,i∈x,j∈y;所述隶属度函数的公式为:
ej为bj的预设下限,fj为bj的预设上限。
此外,在上述实施例的基础之上,所述装置还包括:
第三计算子模块,用于当所述网络包括多个监控对象时,对所有监控对象的第二安全测量值进行加权求和,得到所述网络的第三安全测量值。
考虑到网络的自身结构特点,作为优选方案,所述网络监控对象包括:终端、应用服务器以及网管网络;所述获取模块具体包括:
第一获取子模块,用于通过所述终端以及其管控设备的API函数对该终端的各安全测量指标的测量参数的取值进行收集;
第二获取子模块,用于通过所述网管网络的网络管理协议、系统日志SYSLOG协议的API函数,以及其管控设备的API函数,对该网管网络的各安全测量指标的测量参数的取值进行收集;
第三获取子模块,用于通过所述应用服务器以及其管控设备的API函数对该应用服务器的各安全测量指标的测量参数的取值进行收集。
具体地,所述终端包括以下一种或多种安全测量指标:违规登录、恶意代码、进程、系统负荷、配置、文件系统、业务访问以及远程连接;
所述网管网络包括以下一种或多种安全测量指标:交换机流量、防火墙事件以及IC业务;
所述应用服务器包括以下一种或多种安全测量指标:文件系统、进程、数据库账号添加、脚本编制以及系统负荷。
显然,上述装置与本发明的网络安全测量方法相对应,该方法所能达到的技术效果,本装置同样也能达到。
下面对本实施例的网络安全测量装置的具体应用进行介绍。
图4为网络安全系统的构架图,包括本发明提供的网络安全测量装置。结合图2说明如下:
获取模块获取各个测量参数的具体取值,并将获取到的数据发送至数据分析模块以及第一计算模块。
一方面,数据分析模块对获取模块发送的测量参数的取值进行数据分析处理,如归类、建表、分析、存储等,并将处理后的测量参数的取值发送至显示模块,使显示模块输出显示给技术人员。另一方面,第一计算模块根据获取模块发送的测量参数的取值计算出安全测量指标的测量值,即本文所述第一安全测量值,之后将安全测量指标的第一安全测量值发送至第二计算模块。
权重建立模块可以是一个智能的人机交互设备,技术人员根据权重建立模块内置的德菲尔法程序,完成各安全测量指标的权重设定,并建立权重集合存储在本地。当第二计算模块得到由第一计算模块发送过来的各个第一安全测量值后,从权重建立模块中对应调取各个安全测量指标的权重,完成相应计算,得到监控对象的安全测量值,即第二安全测量值。之后,第三计算模块接收来自第二计算模块的各个第二安全测量值,完成相应的计算,得到全网的安全态势。
当然,第一计算模块、第二计算模块、第三计算模块可以是由同一硬件实现,能够将第一安全测量值、第二安全测量值以及第三安全测量值进行归类处理后发送至显示模块,使显示模块能够层次化地显示出网络各个维度的测量结果,以方便技术人员能够针对性地对各维度制定安全防范措施。此外,还可以将处理后的第一安全测量值发送至应急响应模块,使应急响应模块执行相关的安全操作。
例如,终端被穷举法尝试登陆时,会产生极大数量的登录错误次数,那么应急响应模块可根据终端违规登录的评级结果分析出此时的情景,在此之后,即便终端穷举出登陆密码,应急响应模块也会强行禁止终端登陆,避免产生损失;或者当终端的远程连接测量结果过低时,应急响应模块可自动切断终端所有或部分的远程连接。同理,应急响应模块还可以完成脚本删除、脚本隔离,违规或大负荷进程关闭等一系列功能。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。此外,为了描述的方便,描述以上系统是以功能分为各种模块分别描述。当然,在实施本发明时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
Claims (7)
1.一种网络安全测量方法,其特征在于,网络中包括监控对象,所述监控对象包括终端、应用服务器以及网管网络,每一监控对象具有至少一个安全测量指标,所述网络安全测量方法包括:
获取步骤,获取所述监控对象的每一个安全测量指标对应的测量参数的取值,包括:通过所述终端以及其管控设备的API函数对该终端的各安全测量指标的测量参数的取值进行收集;通过所述网管网络的网络管理协议、系统日志SYSLOG协议的API函数,以及其管控设备的API函数,对该网管网络的各安全测量指标的测量参数的取值进行收集;通过所述应用服务器以及其管控设备的API函数对该应用服务器的各安全测量指标的测量参数的取值进行收集;
第一计算步骤,根据安全测量指标对应的测量参数的取值计算安全测量指标的第一安全测量值;
模糊化步骤,通过构建隶属度函数对监控对象对应的安全测量指标的第一安全测量值进行模糊化,得到模糊评价矩阵;权重建立步骤,通过德尔菲法确定出每一个安全测量指标对监控对象的重要性权重,并建立所有重要性权重的权重集合;
第二计算步骤,将所述模糊评价矩阵与所述权重集合乘积,得到所述监控对象的第二安全测量值;
第三计算步骤,对所有监控对象的第二安全测量值进行加权求和,得到所述网络的第三安全测量值;
其中,所述终端包括以下一种或多种安全测量指标:违规登录、恶意代码、进程、系统负荷、配置、文件系统、业务访问以及远程连接;
所述网管网络包括以下一种或多种安全测量指标:交换机流量、防火墙事件以及IC业务;
所述应用服务器包括以下一种或多种安全测量指标:文件系统、进程、数据库账号添加、脚本编制以及系统负荷。
2.根据权利要求1所述的网络安全测量方法,其特征在于,所述第一计算步骤包括:
根据公式a=z0+(I1×M1+I2×M2+……+IN×MN)对安全测量指标对应的测量参数的取值进行归一化求和,得到安全测量指标的第一安全测量值;
其中,z0为预设常数;I1至IN为各个测量参数的取值;M1至MN为对应I1至IN的归一化公式。
3.根据权利要求1所述的网络安全测量方法,其特征在于,
所述模糊化步骤包括:
确定所述监控对象的各安全要素的第一安全测量值集合A=(a1,a2,…,ax);
确定测量等级集合B=(b1,b2,…,by);
确定所述集合A和所述集合B的模糊评价矩阵O=(oij)x*y;
其中,oij表示隶属度函数,i∈x,j∈y;所述隶属度函数的公式为:ej为bj的预设下限,fj为bj的预设上限。
4.一种网络安全测量装置,网络中包括监控对象,所述监控对象包括终端、应用服务器以及网管网络,每一监控对象具有至少一个安全测量指标,其特征在于,所述网络安全测量装置包括:
获取模块,用于获取所述监控对象的每一个安全测量指标对应的测量参数的取值,第一获取子模块,用于通过所述终端以及其管控设备的API函数对该终端的各安全测量指标的测量参数的取值进行收集;第二获取子模块,用于通过所述网管网络的网络管理协议、系统日志SYSLOG协议的API函数,以及其管控设备的API函数,对该网管网络的各安全测量指标的测量参数的取值进行收集;第三获取子模块,用于通过所述应用服务器以及其管控设备的API函数对该应用服务器的各安全测量指标的测量参数的取值进行收集;
第一计算模块,用于根据安全测量指标对应的测量参数的取值计算安全测量指标的第一安全测量值;
模糊化模块,用于通过构建隶属度函数对监控对象对应的安全测量指标的第一安全测量值进行模糊化,得到模糊评价矩阵;
权重建立模块,用于通过德尔菲法确定出每一个安全测量指标对监控对象的重要性权重,并建立所有重要性权重的权重集合;
第二计算模块,用于将所述模糊评价矩阵与所述权重集合乘积,得到所述监控对象的第二安全测量值;
第三计算子模块,用于当所述网络包括多个监控对象时,对所有监控对象的第二安全测量值进行加权求和,得到所述网络的第三安全测量值;
其中,所述终端包括以下一种或多种安全测量指标:违规登录、恶意代码、进程、系统负荷、配置、文件系统、业务访问以及远程连接;所述网管网络包括以下一种或多种安全测量指标:交换机流量、防火墙事件以及IC业务;所述应用服务器包括以下一种或多种安全测量指标:文件系统、进程、数据库账号添加、脚本编制以及系统负荷。
5.根据权利要求4所述的网络安全测量装置,其特征在于,所述第一计算模块具体用于:
根据公式a=z0+(I1×M1+I2×M2+……+IN×MN)对安全测量指标对应的测量参数的取值进行归一化求和,得到安全测量指标的第一安全测量值;
其中,z0为预设常数;I1至IN为各个测量参数的取值;M1至MN为对应I1至IN的归一化公式。
6.根据权利要求5所述的网络安全测量装置,其特征在于,所述模糊化模块包括:
第一确定子模块,用于确定所述监控对象的各安全要素的第一安全测量值集合A=(a1,a2,…,ax);
第二确定子模块,用于确定测量等级集合B=(b1,b2,…,by);
第三确定子模块,用于确定所述集合A和所述集合B的模糊评价矩阵O=(oij)x*y;
其中,oij表示隶属度函数,i∈x,j∈y;所述隶属度函数的公式为:
ej为bj的预设下限,fj为bj的预设上限。
7.一种网络安全系统,其特征在于,包括如权利要求4所述的网络安全测量装置,以及
应急响应模块,用于根据网络安全测量装置中,第一计算模块所确定出的第一安全测量值执行网络安全操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410155197.6A CN105024968B (zh) | 2014-04-17 | 2014-04-17 | 一种网络安全测量方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410155197.6A CN105024968B (zh) | 2014-04-17 | 2014-04-17 | 一种网络安全测量方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105024968A CN105024968A (zh) | 2015-11-04 |
CN105024968B true CN105024968B (zh) | 2019-03-15 |
Family
ID=54414684
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410155197.6A Active CN105024968B (zh) | 2014-04-17 | 2014-04-17 | 一种网络安全测量方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105024968B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102128022A (zh) * | 2010-12-30 | 2011-07-20 | 中国电子科技集团公司第二十二研究所 | 钻井工程预警方法及系统 |
CN102457412A (zh) * | 2011-10-14 | 2012-05-16 | 中国人民解放军国防科学技术大学 | 基于指标体系的大规模网络安全态势评估方法 |
CN102866321A (zh) * | 2012-08-13 | 2013-01-09 | 广东电网公司电力科学研究院 | 一种自适应的防窃漏电诊断方法 |
-
2014
- 2014-04-17 CN CN201410155197.6A patent/CN105024968B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102128022A (zh) * | 2010-12-30 | 2011-07-20 | 中国电子科技集团公司第二十二研究所 | 钻井工程预警方法及系统 |
CN102457412A (zh) * | 2011-10-14 | 2012-05-16 | 中国人民解放军国防科学技术大学 | 基于指标体系的大规模网络安全态势评估方法 |
CN102866321A (zh) * | 2012-08-13 | 2013-01-09 | 广东电网公司电力科学研究院 | 一种自适应的防窃漏电诊断方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105024968A (zh) | 2015-11-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107317718B (zh) | 一种运维服务管理方法及管理平台 | |
US7577623B2 (en) | Method for controlling risk in a computer security artificial neural network expert system | |
US20160308725A1 (en) | Integrated Community And Role Discovery In Enterprise Networks | |
CN104270372B (zh) | 一种参数自适应的网络安全态势量化评估方法 | |
CN102821007A (zh) | 一种基于自律计算的网络安全态势感知系统及其处理方法 | |
US9692779B2 (en) | Device for quantifying vulnerability of system and method therefor | |
Kholidy | Correlation‐based sequence alignment models for detecting masquerades in cloud computing | |
CN112766672A (zh) | 一种基于全面评估的网络安全保障方法及系统 | |
Wang et al. | Automatic multi-step attack pattern discovering | |
Belej et al. | Developing a Model of Cloud Computing Protection System for the Internet of Things | |
CN107547228A (zh) | 一种基于大数据的安全运维管理平台的实现架构 | |
Szmit et al. | Usage of holt-winters model and multilayer perceptron in network traffic modelling and anomaly detection | |
CN115378711A (zh) | 一种工控网络的入侵检测方法和系统 | |
Jacq et al. | The cyber-MAR project: First results and perspectives on the use of hybrid cyber ranges for port cyber risk assessment | |
CN105827611A (zh) | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 | |
CN105024968B (zh) | 一种网络安全测量方法、装置及系统 | |
Drabble | Information propagation through a dependency network model | |
CN109871711A (zh) | 海洋大数据共享分发风险控制模型及方法 | |
Zheng et al. | A strategy of network security situation autonomic awareness | |
Reuschling et al. | Toolkit to enhance cyberphysical security of critical infrastructures in air transport | |
Spyridopoulos et al. | A holistic approach for cyber assurance of critical infrastructure with the viable system model | |
Kang et al. | Multi-dimensional security risk assessment model based on three elements in the IoT system | |
CN114124526B (zh) | 一种结合多层次和熵权法的威胁复杂性分析方法 | |
Livshitz et al. | The actual problems of IT-security process assurance | |
Zhou et al. | A trust-based defensive system model for cloud computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |