CN106209831A - 一种网络安全指数计算方法 - Google Patents
一种网络安全指数计算方法 Download PDFInfo
- Publication number
- CN106209831A CN106209831A CN201610537518.8A CN201610537518A CN106209831A CN 106209831 A CN106209831 A CN 106209831A CN 201610537518 A CN201610537518 A CN 201610537518A CN 106209831 A CN106209831 A CN 106209831A
- Authority
- CN
- China
- Prior art keywords
- event
- index
- network
- security
- day
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全指数计算方法,将定性描述网络状态的事件定性量化,先将网络事件定义为异常事件和安全事件,然后通过事件的集合确定网络事件体系中异常事件/安全事件的数量和各事件的风险等级,然后计算事件等级指数,最后根据事件规模指数与事件等级指数计算网络的安全指数,即可得出解释系统平稳性的描述;本发明方法能够将对网络的定性描述转化为定量描述,以反应网络安全状态的基本事实。
Description
技术领域
本发明属于计算机信息安全技术领域,涉及面向电子政务内网的综合网络监管定量描述方法,特别是涉及一种根据网络安全监测所采集的事件集合量化系统环境安全程度的计算方法。
背景技术
随着电子政务内网的规模日渐庞大,对网络进行全面监控、保障信息安全的工作日益复杂。
为了能够真正做到全面感知内网发生的情况,尤其是安全状况,相关管理部门采用了众多网络管理工具对网络进行监控与管理。
在网络监测的应用场景里,网络安全管理员需要对网络安全状态有定性的描述与定量的描述。
借助各类网络安全设备,管理员能够得到多方面的网络安全定性描述;通过网络综合安全监管设备,管理员能够得到全面的描述。
但仅有定性描述无法衡量当前网络安全状态。通过量化数值能够帮助网络安全管理员更充分地理解网络所处的安全状态与面临的安全风险。
发明内容
本发明的目的在于提供一种基于网络安全监测过程中实时采集的事件集合计算网络安全指数的计算方法,根据时间序列采样,通过分析网络安全指数的时间序列,得到网络平稳性的描述,判断当前网络中是否存在大量的突发事件。
本发明解决其技术问题所采用的技术方案是:一种网络安全指数计算方法,将定性描述网络状态的事件定性量化,包括如下步骤
1001),事件的定义
将违反网络管理规则或者明显与正常行为存在差异的事件定义为异常事件;将通过网络安全设备或者其它技术手段捕获到网络中危害信息安全与系统安全的事件定义为安全事件;
1005),计算事件规模指数
通过事件的集合确定网络事件体系中异常事件/安全事件的数量和各事件的风险等级,进而确定网络的事件规模指数,所述的事件规模指数是指在一个时间段内事件总体数量规模对系统分值的影响;
1009),计算事件等级指数
所述的事件等级是区分不同等级的异常事件对系统分值的影响;
1013),综合确定网络安全指数
根据事件规模指数与事件等级指数计算网络的安全指数;
根据时间顺序采集安全指数,通过计算一系列的安全指数,即可得出解释系统平稳性的描述。
所述的一种网络安全指数计算方法,其步骤1005)包括如下流程
2001),分别给出异常事件/安全事件在每小时内发生的总数的四分位数,中位数和下四分位数作为第一天计算的经验参数值;
2005),根据第一天的异常事件/安全事件的二十四个总数值取其上四分位数、中位数和下四分位数,与第一天的经验参数值取平均值作为第二天的分位数;
2009),根据第二天的异常事件/安全事件的24个总数值取其上四分位数、中位数和下四分位数,与第二天的分位数取平均值作为第三天的分位数,依此类推;
将该时间段的异常事件/安全事件总数定义为a,则事件规模指数为
进一步,所述的事件总数a包括高危事件a高,中危事件数量a中和低危事件数量a低,其a高+a中+a低=a,则
3001),a中+a低=0时,
3005),a中+a低≠0时,
所述的安全指数为:SI异(a)=S异(a)*g异(a)。
所述的一种网络安全指数计算方法,其步骤1005)中事件规模指数是指某一小时内事件发生50次与发生100次之间的差异。
所述的一种网络安全指数计算方法,其步骤1009)中,将事件等级分为高、中、低三个等级。
所述的一种网络安全指数计算方法,还包括根据历史状况与当前状况调整计算过程使用参数的步骤。
本发明的有益效果是:通过处理网络安全监测过程中实时采集得到的事件种类、严重等级与数量,得到一个网络安全指数的具体评估分值;本发明方法具有动态调节参数的特性,具体表现在针对不同的网络运行环境,能够合理地产生不同的计算分值;针对同样被监测网络在不同网络环境下,能够合理地产生不同的计算分值,从而合理地量化及描述网络当前安全状态;本发明方法能够将对网络的定性描述转化为定量描述,以反应网络安全状态的基本事实。
附图说明
图1为本发明的方法流程图;
图2为图1中步骤1005的处理流程图;
图3为图2中方框2009的处理流程图。
具体实施方式
本发明公开了一种面向电子政务内网、适用于网络安全监测的事件分析方法,其适用于网络安全状态量化的计算方法,算法流程图如图1所示,包括如下步骤:
1001),事件的定义
将正常的网络记录定义为普通事件;将违反网络管理规则或者明显与正常行为存在差异的事件定义为异常事件;将通过网络安全设备或者其它技术手段捕获到网络中危害信息安全与系统安全的事件定义为安全事件;对网络中实时产生的所有事件进行统计处理。
1005),计算事件规模指数
通过事件的集合确定网络事件体系中异常事件/安全事件的数量和各事件的风险等级,进而确定网络的事件规模指数,所述的事件规模指数是指在一个时间段内事件总体数量规模对系统分值的影响。
其具体计算流程如图2所示:
2001),首次计算时,依据经验分别给出异常事件每小时发生事件总数的上四分位数,中位数,下四分位数,总共六个数值,作为第一天计算的经验参数值。安全事件类似的可以给出,即可根据统计数据集合生成初始化参数。
2005),根据实际情况动态调整参数。
第一天的统计数据结果里有每个小时的异常事件总数值,总共24个值,取出该24个值的上四分位数、中位数和下四分位数,与第一天的经验参数值取平均值作为第二天的分位数。安全事件类似的可以给出。
假设经验给出的异常事件初始分位数值为:a上 *,a中 *,a下 *(该值都不能为0);将第一天24个小时每小时异常事件总数值从小到大进行排列,假设排列后为a1,a2,…,a24,那么第一天三个分位数为
则第二天异常事件分位数为:
根据第二天的异常事件/安全事件的24个总数值取其上四分位数、中位数和下四分位数,与第二天的分位数取平均值作为第三天的分位数,之后每天的分位数都是以前一天的三个实际值与前一天计算时候的分位数取平均值。
2009),根据参数生成事件规模指数。
将该时间段的异常事件/安全事件总数定义为a,则事件规模指数为
该时间段内的事件总数为a,规定事件规模指数为:
1009),计算事件等级指数
所述的事件等级是区分不同等级的事件对系统分值的影响。即根据事件等级计算事件威胁指数。
1013),综合确定网络安全指数
即依据规模指数与威胁指数计算安全指数。
图3代表根据事件规模指数与事件等级指数计算网络的安全指数的算法流程,主要包括:
3001),根据高危害事件数量确定系统安全指数的范围;
3005),根据中、低危害事件数量确定事件威胁指数。
假设某时间段内的事件总数为a,其中高危事件数量为a高,中危事件数量为a中,低危事件数量为a低,显然a高+a中+a低=a,那么系统当前即时安全指数为:
(1)框图3001代表在a中+a低=0时,
(2)随后,框图3005代表a中+a低≠0时,
然后确定系统当前网络即时安全指数为:SI异(a)=S异(a)*g异(a)。
通过模型带入安全指数序列进行计算;根据结果定性描述当前序列状态;继而,根据网络安全指数的时间序列,通过平稳性计算方法,得出网络的平稳性描述。
其中,一个平稳的时间序列在图形上往往表现出一种围绕其均值不断波动的过程;而非平稳序列则往往表现出在不同的时间段具有不同的均值,如持续上升或持续下降。网络安全状态的平稳性描述能够衡量网络中突发事件的程度与密度。
最后,通过分析工作时间与非工作时间系统的即时安全指数值,分别对工作时间与非工作时间的事件发生次数是否平稳以及存在的问题给出说明与建议。
以十个数值a(1),a(2),...,a(10)为例,不用排序:
以上各种情况的说明如下:
① | 在该时间段内事件发生的频数总体很平稳 |
② | 在该时间段内事件发生的频数比较平稳 |
③ | 在该时间段内事件发生的频数波动较大 |
其中,方差var是指数值波动范围,var较小的说明数值波动范围比较小。B的大小说明数值在波动范围内是否有规律的增减,可以监测数值是否始终呈递增或者递减状态。
基于以上计算方法,本发明同时给出一种应用场景,用于描述系统在一个时期内的平稳状态。该状态说明了系统突发性事件的数量、程度和密度,更进一步地描述系统在一个时期内的安全状态。所述的步骤1005)中事件规模指数是指某一小时内事件发生50次与发生100次之间的差异。
所述的步骤1009)中,将事件等级分为高、中、低三个等级。
还包括根据历史状况与当前状况调整计算过程使用参数的步骤。
上述实施例仅例示性说明本发明的原理及其功效,以及部分运用的实施例,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (6)
1.一种网络安全指数计算方法,其特征在于:包括如下步骤
1001),事件的定义
将违反网络管理规则或者明显与正常行为存在差异的事件定义为异常事件;
将通过网络安全设备或者其它技术手段捕获到网络中危害信息安全与系统安全的事件定义为安全事件;
1005),计算事件规模指数
通过事件的集合确定网络事件体系中异常事件/安全事件的数量和各事件的风险等级,进而确定网络的事件规模指数,所述的事件规模指数是指在一个时间段内事件总体数量规模对系统分值的影响;
1009),计算事件等级指数
所述的事件等级是区分不同等级的异常事件对系统分值的影响;
1013),综合确定网络安全指数
根据事件规模指数与事件等级指数计算网络的安全指数;
根据时间顺序采集安全指数,通过计算一系列的安全指数,即可得出解释系统平稳性的描述。
2.根据权利要求1所述的一种网络安全指数计算方法,其特征在于,所述的步骤1005)包括如下流程
2001),分别给出异常事件/安全事件在每小时内发生的总数的四分位数,中位数和下四分位数作为第一天计算的经验参数值;
2005),根据第一天的异常事件/安全事件的二十四个总数值取其上四分位数、中位数和下四分位数,与第一天的经验参数值取平均值作为第二天的分位数;
2009),根据第二天的异常事件/安全事件的24个总数值取其上四分位数、中位数和下四分位数,与第二天的分位数取平均值作为第三天的分位数,依此类推;
将该时间段的异常事件/安全事件总数定义为a,则事件规模指数为
3.根据权利要求2所述的一种网络安全指数计算方法,其特征在于,所述的事件总数a包括高危事件a高,中危事件数量a中和低危事件数量a低,其a高+a中+a低=a,则
3001),a中+a低=0时,
3005),a中+a低≠0时,
所述的安全指数为:SI异(a)=S异(a)*g异(a)。
4.根据权利要求1所述的一种网络安全指数计算方法,其特征在于,所述的步骤1005)中事件规模指数是指某一小时内事件发生50次与发生100次之间的差异。
5.根据权利要求1所述的一种网络安全指数计算方法,其特征在于,所述的步骤1009)中,将事件等级分为高、中、低三个等级。
6.根据权利要求1至5任意一项所述的一种网络安全指数计算方法,其特征在于,还包括根据历史状况与当前状况调整计算过程使用参数的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610537518.8A CN106209831A (zh) | 2016-07-08 | 2016-07-08 | 一种网络安全指数计算方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610537518.8A CN106209831A (zh) | 2016-07-08 | 2016-07-08 | 一种网络安全指数计算方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106209831A true CN106209831A (zh) | 2016-12-07 |
Family
ID=57473651
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610537518.8A Pending CN106209831A (zh) | 2016-07-08 | 2016-07-08 | 一种网络安全指数计算方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106209831A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109840688A (zh) * | 2018-12-28 | 2019-06-04 | 全球能源互联网研究院有限公司 | 一种电力移动终端安全评估方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102457412A (zh) * | 2011-10-14 | 2012-05-16 | 中国人民解放军国防科学技术大学 | 基于指标体系的大规模网络安全态势评估方法 |
CN102801739A (zh) * | 2012-08-25 | 2012-11-28 | 乐山师范学院 | 基于云计算环境的网络风险测定取证方法 |
CN104125217A (zh) * | 2014-06-30 | 2014-10-29 | 复旦大学 | 一种基于主机日志分析的云数据中心实时风险评估方法 |
CN105721410A (zh) * | 2014-12-05 | 2016-06-29 | 北京奇虎科技有限公司 | 获取网络安全状况的方法与装置 |
-
2016
- 2016-07-08 CN CN201610537518.8A patent/CN106209831A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102457412A (zh) * | 2011-10-14 | 2012-05-16 | 中国人民解放军国防科学技术大学 | 基于指标体系的大规模网络安全态势评估方法 |
CN102801739A (zh) * | 2012-08-25 | 2012-11-28 | 乐山师范学院 | 基于云计算环境的网络风险测定取证方法 |
CN104125217A (zh) * | 2014-06-30 | 2014-10-29 | 复旦大学 | 一种基于主机日志分析的云数据中心实时风险评估方法 |
CN105721410A (zh) * | 2014-12-05 | 2016-06-29 | 北京奇虎科技有限公司 | 获取网络安全状况的方法与装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109840688A (zh) * | 2018-12-28 | 2019-06-04 | 全球能源互联网研究院有限公司 | 一种电力移动终端安全评估方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2021107643A4 (en) | Method, system, device, computer device and storage medium for elevator fault prediction | |
CN112491805B (zh) | 一种应用于云平台的网络安全设备管理系统 | |
CN103198147A (zh) | 自动化监测异常数据的判别及处理方法 | |
CN104123477A (zh) | 一种基于生活数据的群租分析方法 | |
CN112783101A (zh) | 存储器、危险化学品罐区安全风险预警方法、设备和装置 | |
CN102801739A (zh) | 基于云计算环境的网络风险测定取证方法 | |
CN102324066A (zh) | 一种电力系统预警与评估指标的雷达图表示方法 | |
CN107147213B (zh) | 电网频发监控信息智能告警及综合分析治理方法 | |
CN107092654A (zh) | 基于均值变化检测的报警正常与异常数据检测方法和装置 | |
CN112686405A (zh) | 一种基于故障树的配电网故障区域划分方法 | |
CN112946483A (zh) | 电动汽车电池健康的综合评估方法及存储介质 | |
CN104820884A (zh) | 一种结合电力系统特征的电网调度实时数据稽查方法 | |
CN116660672B (zh) | 基于大数据的电网设备故障诊断方法及系统 | |
CN115018343A (zh) | 矿井海量瓦斯监测数据异常识别与处置系统及方法 | |
CN112783100A (zh) | 存储器、化工企业安全生产风险预警方法、设备和装置 | |
CN114444290A (zh) | 一种自动生成供水系统压力流量监测阈值的方法和系统 | |
CN112612824A (zh) | 基于大数据的供水管网异常数据检测方法 | |
CN103500364A (zh) | 电能质量稳态指标预测方法和系统 | |
CN105354622A (zh) | 基于模糊综合评判的企业生产管理评价方法 | |
CN113159503B (zh) | 一种远程遥控智能安全评估系统和方法 | |
CN111222968A (zh) | 一种企业税务风险管控方法及系统 | |
CN106209831A (zh) | 一种网络安全指数计算方法 | |
CN103440730A (zh) | 一种基于数据提取的关联报警的识别方法 | |
CN116345700B (zh) | 一种用于储能电站的能耗监测方法及监测系统 | |
CN104601567A (zh) | 一种基于电力信息网络安全事件挖掘的指标化安全度量方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20161207 |