CN106506485A - 网络空间安全态势感知分析方法和系统 - Google Patents

网络空间安全态势感知分析方法和系统 Download PDF

Info

Publication number
CN106506485A
CN106506485A CN201610951870.6A CN201610951870A CN106506485A CN 106506485 A CN106506485 A CN 106506485A CN 201610951870 A CN201610951870 A CN 201610951870A CN 106506485 A CN106506485 A CN 106506485A
Authority
CN
China
Prior art keywords
security postures
safe condition
node
network
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610951870.6A
Other languages
English (en)
Inventor
伍志韬
刘杰
李丹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronic Product Reliability and Environmental Testing Research Institute
Original Assignee
China Electronic Product Reliability and Environmental Testing Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electronic Product Reliability and Environmental Testing Research Institute filed Critical China Electronic Product Reliability and Environmental Testing Research Institute
Priority to CN201610951870.6A priority Critical patent/CN106506485A/zh
Publication of CN106506485A publication Critical patent/CN106506485A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种网络空间安全态势感知分析方法和系统,通过对安全态势时间序列进行充分挖掘分析,构建一个表征安全态势状态变化规律的有向加权网络,对有向加权网络进行分析得到属性数据,以便有效的分析网络空间安全态势数据中所蕴含的安全态势变化规律,弥补当前对现有数据统计建模分析存在局限,充分挖掘网络安全态势变化规律,且可直观地反映网络安全态势,为网络管理人员快速决策提供了支撑,保障网络更加安全有效。

Description

网络空间安全态势感知分析方法和系统
技术领域
本发明涉及电子信息技术领域,特别是涉及一种网络空间安全态势感知分析方法和系统。
背景技术
网络空间(cyberspace)是基于计算机、数据通信等技术构建的支撑信息交互的复杂数字社会,其安全态势水平直接关系到一个国家关键基础设施的安全水平,包括国防工业、制造业、通信等领域安全。网络空间安全管理对于国家基础设施安全运行至关重要。态势感知是指在大规模系统环境中,对能够引起系统状态发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势的技术。在网络空间安全态势感知分析中,如何构建安全态势分析模型,从而分析态势变化规律、预测安全态势发展趋势是态势感知技术中的关键。
传统的网络安全态势感知分析方法是基于D-S证据理论的安全态势分析方法,通过引入信任函数概念,形成了一套“证据”和“组合”来处理不确定性推理的数学方法。将证据理论引入网络安全态势预测研究中,将网络安全态势分为多个维度,如攻击态势维度、防御态势维度和整体安全态势维度,使用D-S证据理论对其进行融合,消除了多维度分析对未来网络安全态势预测造成的不确定性,从而实现了安全态势评估和预测。传统的网络安全态势感知分析方法仅仅是注重于信息融合正确性分析,存在难于充分挖掘网络安全态势变化规律以及对于安全态势发展直观性表示不足的缺点。
发明内容
基于此,有必要针对上述问题,提供一种充分挖掘网络安全态势变化规律,且可直观地反映网络安全态势的网络空间安全态势感知分析方法和系统。
一种网络空间安全态势感知分析方法,包括以下步骤:
接收根据网络空间安全态势数据进行分析得到的安全态势时间序列;
对所述安全态势时间序列进行安全状态等级划分,得到安全态势状态符号时间序列;
根据所述安全态势状态符号时间序列构建表征安全态势状态变化规律的有向加权网络;
根据所述有向加权网络进行分析,得到反映网络安全态势变化规律的属性数据并输出。
一种网络空间安全态势感知分析系统,包括:
安全态势数据接收模块,用于接收根据网络空间安全态势数据进行分析得到的安全态势时间序列;
安全状态等级划分模块,用于对所述安全态势时间序列进行安全状态等级划分,得到安全态势状态符号时间序列;
有向加权网络构建模块,用于根据所述安全态势状态符号时间序列构建表征安全态势状态变化规律的有向加权网络;
属性数据计算输出模块,用于根据所述有向加权网络进行分析,得到反映网络安全态势变化规律的属性数据并输出。
上述网络空间安全态势感知分析方法和系统,通过对安全态势时间序列进行充分挖掘分析,构建一个表征安全态势状态变化规律的有向加权网络,对有向加权网络进行分析得到属性数据,以便有效的分析网络空间安全态势数据中所蕴含的安全态势变化规律,弥补当前对现有数据统计建模分析存在局限,充分挖掘网络安全态势变化规律,且可直观地反映网络安全态势,为网络管理人员快速决策提供了支撑,保障网络更加安全有效。
附图说明
图1为一实施例中网络空间安全态势感知分析方法的流程图;
图2为一实施例中有向加权网络的结构图;
图3为一实施例中安全态势时间序列和安全态势状态符号时间序列的时序图;
图4为另一实施例中有向加权网络的结构图;
图5为一实施例中有向加权网络的各节点簇系数示意图;
图6为一实施例中网络空间安全态势感知分析系统的结构图。
具体实施方式
在一个实施例中,一种网络空间安全态势感知分析方法,如图1所示,包括以下步骤:
步骤S110:接收根据网络空间安全态势数据进行分析得到的安全态势时间序列。
可预先获取网络空间安全态势数据并分析得到安全态势时间序列进行存储,以便后续进行数据分析。安全态势数据具体可包括拓扑节点信息、脆弱性信息、系统日志和流量等。对网络空间安全态势数据进行分析的方式并不唯一,可通过各类态势融合算法转化成表征网络空间的综合安全态势的安全态势时间序列{xi}。
步骤S120:对安全态势时间序列进行安全状态等级划分,得到安全态势状态符号时间序列。
可预先定义网络空间的安全状态等级,记安全等级数为K,每个安全状态等级对应一个等级符号,分别为symbol-1,symbol-2,…,symbol-K,根据确定的安全状态等级对安全态势时间序列进行划分,转化成安全态势状态符号时间序列。
在一个实施例中,步骤S120包括步骤124和步骤125。
步骤124:根据预设的界限值与安全状态等级的对应关系,将安全态势时间序列转换为对应的安全状态等级。
界限值与安全状态等级的对应关系的具体形式并不唯一,界限值与安全状态等级的数量也不唯一,且界限值的数量会根据安全状态等级的数量不同而有所不同。安全状态等级具体可以根据网络空间实际进行定义,本实施例中,安全状态等级包括正常(Normal,记为N)、低预警(Low Threat,记为LT)、预警(Threat,记为T)、高预警(High Threat,记为HT)和重度预警(Alert,记为A)五种状态。
通过给定的界限值确定安全态势时间序列中的数据与安全状态等级的对应区间,进而对安全态势时间序列进行转换得到对应的安全状态等级。本实施例中,步骤124具体为:
其中,t1、t2、t3和t4为界限值,N,LT,T,HT,A为安全状态等级;xi表示安全态势时间序列{xi}中的第i个数据,si表示xi所对应的安全状态等级。可以理解,界限值t1、t2、t3和t4的具体取值并不唯一,可以根据网络空间实际给定,也可以用数学方式给定。
步骤125:根据安全状态等级建立安全态势状态符号时间序列。
在将安全态势时间序列转换为对应的安全状态等级之后,根据各安全状态等级便可得到安全态势状态符号时间序列{si}。其中si为给定的安全状态等级符号symbol-j,其中j=1…K,如si∈{N,LT,T,HT,A}。
本实施例中通过阈值法将安全态势时间序列转化成安全态势状态符号时间序列,使数据更加简洁,更易于分析网络安全态势。
此外,在一个实施例中,步骤124之前,步骤S120还可包括步骤121至步骤123。
步骤121:计算安全态势时间序列的均值和方差。
根据接收到的安全态势时间序列{xi},可直接根据均值和方差的计算公式,分别计算得到均值μ和方差σ。
步骤122:根据均值和方差计算得到界限值。
可以理解,根据均值和方差计算界限值的方式并不唯一,本实施例中,安全状态等级的数量为5个,步骤122具体为:
t1=μ-σ;t2=μ-0.5σ;
t3=μ+0.5σ;t4=μ+σ.
其中,μ和σ分别为安全态势时间序列{xi}的均值和方差,t1、t2、t3和t4为界限值。通过均值-方差法给定界限值,使得界限值的具体取值可根据安全态势时间序列而调整,更符合实际情况,提高了等级划分准确性和可靠性。
步骤123:建立界限值与预设的安全状态等级的对应关系并存储。
在计算得到界限值之后,建立界限值与安全状态等级的对应关系并存储,以便后续的数据转换操作。
步骤S130:根据安全态势状态符号时间序列构建表征安全态势状态变化规律的有向加权网络。
具体地,将安全态势状态符号时间序列进行分割,可以是按每单个安全状态等级进行分割,也可以是按每两个或两个以上的安全状态等级进行分割。对分割得到的数据进行统计分析,构建表征安全态势状态变化规律的有向加权网络。
在一个实施例中,步骤S130包括步骤132至步骤136。
步骤132:根据时间顺序对安全态势状态符号时间序列进行分割,得到安全态势转移时间序列。
具体可根据安全态势状态序列{si}的时序关系,将邻近的状态用箭头连接从而形成带有箭头的序列,如{s1→s2→s3→…}。然后分割转移项,将安全态势状态序列转变为带箭头的安全态势转移时间序列。例如,当按每单个安全状态等级进行分割时,则是把每个箭头关联两个邻近状态进行分割,得到的安全态势转移时间序列为{s1→s2,s2→s3,s3→…}。
步骤134:根据安全态势转移时间序列中相同状态转移项的数量,计算得到各状态转移项的权值。
统计得到的安全态势转移时间序列中的所有项,即统计所有的状态转移项symbol-i→symbol-j的次数,其中i,j=1...K。本实施例中,通过对相同状态转移项的数量进行归一化处理得到对应状态转移项的权值。如,状态转移项N→T在安全态势转移时间序列中出现的次数为m,记安全态势转移时间序列所有项数为M,则赋予状态转移项N→T的权值为m/M。通过归一化处理得到权值,便于后续计算操作。
步骤136:根据安全态势转移时间序列中的状态转移项及对应权值构建有向加权网络。
根据安全态势转移时间序列,构建以状态转移项为节点的有向加权网络,其中节点对间的权值由状态转移项的权值确定。以安全状态等级包括{N,LT,T,HT,A}五态为例,可以构建含有五个节点的有向加权网络,如图2所示。其中,粗细表示权值大小。
可以理解,分割安全态势状态符号时间序列的方式并不唯一,例如还可以是按每两个或两个以上的安全状态等级进行分割。具体可对K个安全状态等级进行多维组合,如果是2个安全状态等级构成一个节点,则节点数为K2;如果是j个安全状态等级构成一个节点,则节点数为Kj
在其他实施例中,步骤S130中也可以是按每两个安全状态等级分割安全态势状态符号时间序列。
具体地,在对安全态势状态符号时间序列进行分割时,可选取两个节点为一小组,然后根据时序关系用带箭头的短线关联两个小组,构建了含有多状态的安全态势转移时间序列{s1s2→s3s4,s2s3→s4s5,s3s4→…}。然后按照每四个状态构成小组的权值,从而连接形成有向加权网络,形成的有向加权图的节点数为K2。同样以安全状态等级包括{N,LT,T,HT,A}五态为例,构建的以二态为节点的有向加权网络,网络共有的节点数为25个。
通过按每两个安全状态等级分割安全态势状态符号时间序列,可增加有向加权网络的节点数,扩大有向加权网络支撑的信息。
记构建的有向加权网络为G(V,E),其中节点集合V中节点数为n,边集合E中的边eij是有向的。A=(aij)n×n为有向加权网络G的邻接矩阵,即如果eij存在于E,则aij=1,否则aij=0。令ωij为边eij的权值,如果边eij不存在,则令ωij为0。
步骤S140:根据有向加权网络进行分析,得到反映网络安全态势变化规律的属性数据并输出。
在构建得到有向加权网络之后,对有向加权网络进行定性定量分析,得到有向加权网络的拓扑动力学特征量,从而对应的反映网络安全态势变化规律,以及对未来发展趋势进行预测。属性数据的具体类型并不唯一,可包括节点的度、节点的强度、节点的中介中心度、节点的簇系数和节点对间的平均路径长度中的至少一种。输出属性数据具体可以是输出至显示器进行显示,也可以是输出至存储器进行存储,具体形式并不唯一。
在一个实施例中,属性数据包括节点的度、节点的强度、节点的中介中心度、节点的簇系数和节点对间的平均路径长度。步骤S140包括步骤142至步骤148。
步骤142:计算节点的度和节点的强度。
节点i的度指的是与该点相连的边数,计算节点i的度具体为
其中,ki表示节点i的度,aij表示有向加权网络的邻接矩阵中第i行第j列的元素,aki表示有向加权网络的邻接矩阵中第k行第i列的元素。其中,j,k=1,2,…,n,n为有向加权网络的节点数。
计算节点i的强度具体为
其中,si表示节点i的强度,ωij表示有向加权网络的边eij的权值,ωki表示有向加权网络的边eki的权值。其中,j,k=1,2,…,n,n为有向加权网络的节点数。
在计算出节点的度和强度后,对度和强度分别按照从大到小排序,然后将每个节点的度和强度序值相加,对相加后得到的序列从小到大排序,从而确定每个节点在节点的度和强度所确定的综合排序等级。如节点1…n的度从大到小排序序列为K1,强度为K2,即值最大的排序序号为1。则节点1…n在度和强度综合排序为K1+K2从小到大的排序,即值最小的排序序号为1。这两个度量作为表征节点在网络中的重要程度。本实施例中,节点的度和强度表明了安全态势状态在状态转移中处于转入转出时的频繁程度,也表明节点所指代的网络空间安全态势在安全态势变化中出现概率大小。
步骤144:计算节点的中介中心度,具体为
其中,BCi表示节点i的中介中心度,bci(j,k)为节点对(j,k)中所有最短路径中经过节点i的条数与所有最短路径条数的比值。
中介中心度反映了节点在网络全局中所呈现出的中枢程度。本实施例中,节点的中介中心度可以给出节点所对应的安全态势在网络空间安全态势变化中的枢纽程度,可以确定安全态势变化的中间过程,为预测提供定量依据。
步骤146:计算节点的簇系数。节点i的簇系数指的是节点i的邻点之间也互为邻点的比例,步骤146具体为
其中,表示节点i的簇系数,ki表示节点i的度,si表示节点i的强度,ωij表示有向加权网络的边eij的权值,ωik表示有向加权网络的边eik的权值。aij表示有向加权网络的邻接矩阵中第i行第j列的元素,aik表示有向加权网络的邻接矩阵中第i行第k列的元素,ajk表示有向加权网络的邻接矩阵中第j行第k列的元素。其中,j,k=1,2,…,n,n为有向加权网络的节点数。
簇系数反映了节点的聚集效应,本实施例中,簇系数反映了节点所对应的安全态势抱团效应,也即网络空间安全态势中哪些安全状态呈现出明显的聚集,哪些安全态势呈现出明显的相关联性,从而可以对于网络安全态势发展规律以及预测提供量化支持。
步骤148:计算节点对间的平均路径长度。
节点的平均路径长度指有向加权网络中所有的节点对间的最短路径的平均长度,步骤148具体为
其中,L表示节点对间的平均路径长度,dij为节点对(i,j)间的最短路径长度,n为有向加权网络的节点数。
节点对间的平均路径长度反映了节点对间的相关性,本实施例中,节点对间的平均路径长度反映了安全态势状态间的相关程度,同时可以结合簇系数确定态势变化的相关性,为预测提供数据支撑。
上述网络空间安全态势感知分析方法,通过对安全态势时间序列进行充分挖掘分析,构建一个表征安全态势状态变化规律的有向加权网络,对有向加权网络进行分析得到属性数据,以便有效的分析网络空间安全态势数据中所蕴含的安全态势变化规律,弥补当前对现有数据统计建模分析存在局限,充分挖掘网络安全态势变化规律,且可直观地反映网络安全态势,为网络管理人员快速决策提供了支撑,保障网络更加安全有效。
为便于更好地理解上述网络空间安全态势感知分析方法,下面结合具体的实施方式进行详细的解释说明。
获取一组局域网流量数据,用来反映所监控局域网的流量异常情况,即本实施例中网络空间安全态势数据为监控网络流量异常的流量数据。所下载的数据流量文件为2列的ASCII文件,第一列记录的为数据包到达监控点的时间,第二列记录相应数据包大小,总共包含100万条记录。根据ASCII文件将收集时间长度划分为2500个区间,统计其中数据量大小,得到监控流量异常的安全态势时间序列BCdata{xi},长度为2500。
步骤1:定义网络空间的安全等级,并将BCdata{xi}转化成状态符号时间序列BCstate{si}。
定义安全状态等级为五种,状态分别为正常(Normal,记为N)、低预警(LowThreat,记为LT)、预警(Threat,记为T)、高预警(High Threat,记为HT)、重度预警(Alert,记为A)。
应用阈值法将安全态势时间序列转化成符号时间序列,如图3所示为流量态势序列BCdata{xi}与流量态势状态序列BCstate{si}的时序图,其中si∈{N,LT,T,HT,A},BCstate较于BCdata更为简洁,更易于分析网络安全态势。
步骤2:基于流量态势状态序列BCstate{si},构建表征安全态势状态变化规律的有向加权网络。
本实施例中扩展节点数,以两个状态作为构建网络图节点,将{si}处理为安全态势转移时间序列{s1s2→s3s4,s2s3→s4s5,s3s4→…}。
统计由{N,LT,T,HT,A}所确定的所有可能双状态转移(单向的,如N,LT→N,T)在由BCstate{si}构建的安全态势转移时间序列中出现的次数,然后将该值与安全态势转移时间序列长度的比值作为该双状态转移的权值。
将{N,LT,T,HT,A}所确定的所有25个节点,按照记号及组合顺序分别记为NN,NLT,NT,NHT,NA,LTN,LTLT,LTT,LTHT,LTA,TN,TLT,TT,THT,TA,AN,ALT,AT,AHT和AA,并按照上述顺序分别标记为第1-25号节点。按照已确定的权值带箭头、有向地连接这25个节点,用粗细反映权值大小,如果权值为0,表明该连接不存在,不连接该两状态。所构建的有向加权网络如图4所示,该网络为有向的、加权网络。
记构建的有向加权网络为G(V,E)。其中节点集合V中节点数为n=25,边集合E中的边eij是单向的,其中i,j分别为对节点的编号。A=(aij)n×n为有向加权网络G的邻接矩阵,即如果eij存在于E,则aij=1,否则aij=0。令ωij为边eij的权值,如果边eij不存在,则令ωij为0。
步骤2:对于构建的有向加权网络,分别求出各个节点的度、强度、中介中心度、簇系数以及平均路径长度。
计算得出节点的度和强度值如表1所示。
表1
将节点按照度和强度按大到小分别排序分别得到K1和K2(值最大的排序序号为1),综合排序是K1+K2从小到大的排序值(值最小为1)。
由上表可以看出,节点NN,LTLT,NLT,LTT,LTN是综合排序前五的节点,这表明这五个节点是在有向加权网络中节点变迁的重要节点,也即网络安全态势更多的是从这些状态转出或者转入这些状态。这些安全状态在网络安全态势变化中起着直接的关联作用,网络处于这些状态的概率较大。进一步的分析这五个节点中出现状态数统计情况,N出现4次,LT出现4次,T出现2次,表明网络绝大多数处于N、LT状态,也即网络处于正常或低威胁的安全状态。
计算得到节点的中介中心度如表2所示。
表2
从上表可以看出,按照中介中心度值排序前五位的节点为NLT,NN,LTLT,LTT,HTLT,并且状态N,LT,T是上述五个节点中的三个安全状态,也即安全态势中出现最多三个状态,这与度和强度分析结果一致。根据中介中心度的定义,其值越大表明其在状态转移中的中枢程度,也即这前五位节点所对应的状态是网络安全态势的中枢节点,出现的其它安全状态更大概率的是变化到这三个状态。而对这25个节点的中介中心度对比分析可知,25个节点对应的中介中心度变化幅度较大,而前面提及的前五位节点中介中心度远远大过其它节点的中介中心度,这也意味着安全态势的状态变化并非完全的随机的,而是呈现出一定规律,也即安全态势变化有一定的趋向性,网络处于正常、低威胁的概率更大,而下一步变化趋势是回到状态N,LT,T。
计算得到节点的簇系数,根据簇系数值大小按照节点绘成柱状图,如图5所示。从图5可以看到,所构建的有向图中所有节点的簇系数都较低。具体地说,按照重要度(度和强度的综合排序)来看,前五位的节点NN,LTLT,NLT,LTT,LTN均存在对比其它节点更小的簇系数,这表明安全态势状态转移图呈现较低的聚集效应,这也表明网络被攻击是一个随机事件,较难于预测。如果聚集系数较大,则意味着网络攻击呈现出一定的关联性。
计算节点对间的平均路径长度,其中,节点对(i,j)间的最短路径长度dij可通过经典最短路径算法:Floyd-Warshall算法计算而得。经过计算可得节点对间的平均路径长度L=1.53。可以知道网络呈现较小的路径长度,安全态势状态变化呈现出短相关性,也即时间接近安全态势互有影响,而时间间隔较长的安全态势之间没有关联作用。
应用上述方法,经过四个度量可以分析局域网流量数据BCdata,并预测该局域网的安全态势变化规律,如最可能出现的安全态势状态、状态间的变迁规律等,也可以对未来短期时间根据发生概率进行预测。
在一个实施例中,一种网络空间安全态势感知分析系统,如图6所示,包括安全态势数据接收模块110、安全状态等级划分模块120、有向加权网络构建模块130和属性数据计算输出模块140。
安全态势数据接收模块110用于接收根据网络空间安全态势数据进行分析得到的安全态势时间序列。
可预先获取网络空间安全态势数据并分析得到安全态势时间序列进行存储,以便后续进行数据分析。安全态势数据具体可包括拓扑节点信息、脆弱性信息、系统日志和流量等。对网络空间安全态势数据进行分析的方式并不唯一,可通过各类态势融合算法转化成表征网络空间的综合安全态势的安全态势时间序列{xi}。
安全状态等级划分模块120用于对安全态势时间序列进行安全状态等级划分,得到安全态势状态符号时间序列。
可预先定义网络空间的安全状态等级,记安全等级数为K,每个安全状态等级对应一个等级符号,分别为symbol-1,symbol-2,…,symbol-K,根据确定的安全状态等级对安全态势时间序列进行划分,转化成安全态势状态符号时间序列。
在一个实施例中,安全状态等级划分模块120包括数据转换单元和序列建立单元。
数据转换单元用于根据预设的界限值与安全状态等级的对应关系,将安全态势时间序列转换为对应的安全状态等级。
界限值与安全状态等级的对应关系的具体形式并不唯一,界限值与安全状态等级的数量也不唯一,且界限值的数量会根据安全状态等级的数量不同而有所不同。本实施例中,安全状态等级包括正常(Normal,记为N)、低预警(LowThreat,记为LT)、预警(Threat,记为T)、高预警(High Threat,记为HT)和重度预警(Alert,记为A)五种状态。
通过给定的界限值确定安全态势时间序列中的数据与安全状态等级的对应区间,进而对安全态势时间序列进行转换得到对应的安全状态等级。本实施例中,数据转换单元根据预设的界限值与安全状态等级的对应关系,将安全态势时间序列转换为对应的安全状态等级,具体为:
其中,t1、t2、t3和t4为界限值,N,LT,T,HT,A为安全状态等级;xi表示安全态势时间序列{xi}中的第i个数据,si表示xi所对应的安全状态等级。可以理解,界限值t1、t2、t3和t4的具体取值并不唯一,可以根据网络空间实际给定,也可以用数学方式给定。
序列建立单元用于根据安全状态等级建立安全态势状态符号时间序列。
在将安全态势时间序列转换为对应的安全状态等级之后,根据各安全状态等级便可得到安全态势状态符号时间序列{si}。其中si为给定的安全状态等级符号symbol-j,其中j=1…K,如si∈{N,LT,T,HT,A}。
本实施例中通过阈值法将安全态势时间序列转化成安全态势状态符号时间序列,使数据更加简洁,更易于分析网络安全态势。
此外,在一个实施例中,安全状态等级划分模块120还可包括数据计算单元、界限值计算单元和数据存储单元。
数据计算单元用于在数据转换单元根据预设的界限值与安全状态等级的对应关系,将安全态势时间序列转换为对应的安全状态等级之前,计算安全态势时间序列的均值和方差。
根据接收到的安全态势时间序列{xi},可直接根据均值和方差的计算公式,分别计算得到均值μ和方差σ。
界限值计算单元用于根据均值和方差计算得到界限值。
可以理解,根据均值和方差计算界限值的方式并不唯一,本实施例中,安全状态等级的数量为5个,界限值计算单元根据均值和方差计算得到界限值,具体为:
t1=μ-σ;t2=μ-0.5σ;
t3=μ+0.5σ;t4=μ+σ.
其中,μ和σ分别为安全态势时间序列{xi}的均值和方差,t1、t2、t3和t4为界限值。通过均值-方差法给定界限值,使得界限值的具体取值可根据安全态势时间序列而调整,更符合实际情况,提高了等级划分准确性和可靠性。
数据存储单元用于建立界限值与预设的安全状态等级的对应关系并存储。
在计算得到界限值之后,建立界限值与安全状态等级的对应关系并存储,以便后续的数据转换操作。
有向加权网络构建模块130用于根据安全态势状态符号时间序列构建表征安全态势状态变化规律的有向加权网络。
具体地,将安全态势状态符号时间序列进行分割,可以是按每单个安全状态等级进行分割,也可以是按每两个或两个以上的安全状态等级进行分割。对分割得到的数据进行统计分析,构建表征安全态势状态变化规律的有向加权网络。
在一个实施例中,有向加权网络构建模块130包括序列分割单元、权值计算单元和网络构建单元。
序列分割单元用于根据时间顺序对安全态势状态符号时间序列进行分割,得到安全态势转移时间序列。
具体可根据安全态势状态序列{si}的时序关系,将邻近的状态用箭头连接从而形成带有箭头的序列,如{s1→s2→s3→…}。然后分割转移项,将安全态势状态序列转变为带箭头的安全态势转移时间序列。
权值计算单元用于根据安全态势转移时间序列中相同状态转移项的数量,计算得到各状态转移项的权值。
统计得到的安全态势转移时间序列中的所有项,即统计所有的状态转移项symbol-i→symbol-j的次数,其中i,j=1...K。本实施例中,通过对相同状态转移项的数量进行归一化处理得到对应状态转移项的权值。如,状态转移项N→T在安全态势转移时间序列中出现的次数为m,记安全态势转移时间序列所有项数为M,则赋予状态转移项N→T的权值为m/M。通过归一化处理得到权值,便于后续计算操作。
网络构建单元用于根据安全态势转移时间序列中的状态转移项及对应权值构建有向加权网络。
根据安全态势转移时间序列,构建以状态转移项为节点的有向加权网络,其中节点对间的权值由状态转移项的权值确定。
可以理解,分割安全态势状态符号时间序列的方式并不唯一,例如还可以是按每两个或两个以上的安全状态等级进行分割。具体可对K个安全状态等级进行多维组合,如果是2个安全状态等级构成一个节点,则节点数为K2;如果是j个安全状态等级构成一个节点,则节点数为Kj。在其他实施例中,安全状态等级划分模块120也可以是按每两个安全状态等级分割安全态势状态符号时间序列。通过按每两个安全状态等级分割安全态势状态符号时间序列,可增加有向加权网络的节点数,扩大有向加权网络支撑的信息。
记构建的有向加权网络为G(V,E),其中节点集合V中节点数为n,边集合E中的边eij是有向的。A=(aij)n×n为有向加权网络G的邻接矩阵,即如果eij存在于E,则aij=1,否则aij=0。令ωij为边eij的权值,如果边eij不存在,则令ωij为0。
属性数据计算输出模块140用于根据有向加权网络进行分析,得到反映网络安全态势变化规律的属性数据并输出。
在构建得到有向加权网络之后,对有向加权网络进行定性定量分析,得到有向加权网络的拓扑动力学特征量,从而对应的反映网络安全态势变化规律,以及对未来发展趋势进行预测。属性数据的具体类型并不唯一,可包括节点的度、节点的强度、节点的中介中心度、节点的簇系数和节点对间的平均路径长度中的至少一种。输出属性数据具体可以是输出至显示器进行显示,也可以是输出至存储器进行存储,具体形式并不唯一。
在一个实施例中,属性数据包括节点的度、节点的强度、节点的中介中心度、节点的簇系数和节点对间的平均路径长度。属性数据计算输出模块140包括第一计算单元、第二计算单元、第三计算单元和第四计算单元。
第一计算单元用于计算节点的度和节点的强度。
节点i的度指的是与该点相连的边数,计算节点i的度具体为
其中,ki表示节点i的度,aij表示有向加权网络的邻接矩阵中第i行第j列的元素,aki表示有向加权网络的邻接矩阵中第k行第i列的元素。其中,j,k=1,2,…,n,n为有向加权网络的节点数。
计算节点i的强度具体为
其中,si表示节点i的强度,ωij表示有向加权网络的边eij的权值,ωki表示有向加权网络的边eki的权值。其中,j,k=1,2,…,n,n为有向加权网络的节点数。
第二计算单元用于计算节点的中介中心度,具体为
其中,BCi表示节点i的中介中心度,bci(j,k)为节点对(j,k)中所有最短路径中经过节点i的条数与所有最短路径条数的比值。
第三计算单元用于计算节点的簇系数,具体为
其中,表示节点i的簇系数,ki表示节点i的度,si表示节点i的强度,ωij表示有向加权网络的边eij的权值,ωik表示有向加权网络的边eik的权值。aij表示有向加权网络的邻接矩阵中第i行第j列的元素,aik表示有向加权网络的邻接矩阵中第i行第k列的元素,ajk表示有向加权网络的邻接矩阵中第j行第k列的元素。其中,j,k=1,2,…,n,n为有向加权网络的节点数。
第四计算单元用于计算节点对间的平均路径长度,具体为
其中,L表示节点对间的平均路径长度,dij为节点对(i,j)间的最短路径长度,n为有向加权网络的节点数。
上述网络空间安全态势感知分析系统,通过对安全态势时间序列进行充分挖掘分析,构建一个表征安全态势状态变化规律的有向加权网络,对有向加权网络进行分析得到属性数据,以便有效的分析网络空间安全态势数据中所蕴含的安全态势变化规律,弥补当前对现有数据统计建模分析存在局限,充分挖掘网络安全态势变化规律,且可直观地反映网络安全态势,为网络管理人员快速决策提供了支撑,保障网络更加安全有效。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种网络空间安全态势感知分析方法,其特征在于,包括以下步骤:
接收根据网络空间安全态势数据进行分析得到的安全态势时间序列;
对所述安全态势时间序列进行安全状态等级划分,得到安全态势状态符号时间序列;
根据所述安全态势状态符号时间序列构建表征安全态势状态变化规律的有向加权网络;
根据所述有向加权网络进行分析,得到反映网络安全态势变化规律的属性数据并输出。
2.根据权利要求1所述的网络空间安全态势感知分析方法,其特征在于,所述对所述安全态势时间序列进行安全状态等级划分,得到安全态势状态符号时间序列的步骤,包括以下步骤:
根据预设的界限值与安全状态等级的对应关系,将所述安全态势时间序列转换为对应的安全状态等级;
根据所述安全状态等级建立所述安全态势状态符号时间序列。
3.根据权利要求2所述的网络空间安全态势感知分析方法,其特征在于,所述根据预设的界限值与安全状态等级的对应关系,将所述安全态势时间序列转换为对应的安全状态等级的步骤之前,还包括以下步骤:
计算所述安全态势时间序列的均值和方差;
根据所述均值和方差计算得到所述界限值;
建立所述界限值与预设的安全状态等级的对应关系并存储。
4.根据权利要求1所述的网络空间安全态势感知分析方法,其特征在于,所述根据所述安全态势状态符号时间序列构建表征安全态势状态变化规律的有向加权网络的步骤,包括以下步骤:
根据时间顺序对所述安全态势状态符号时间序列进行分割,得到安全态势转移时间序列;
根据所述安全态势转移时间序列中相同状态转移项的数量,计算得到各状态转移项的权值;
根据所述安全态势转移时间序列中的状态转移项及对应权值构建所述有向加权网络。
5.根据权利要求1所述的网络空间安全态势感知分析方法,其特征在于,所述属性数据包括节点的度、节点的强度、节点的中介中心度、节点的簇系数和节点对间的平均路径长度中的至少一种。
6.一种网络空间安全态势感知分析系统,其特征在于,包括:
安全态势数据接收模块,用于接收根据网络空间安全态势数据进行分析得到的安全态势时间序列;
安全状态等级划分模块,用于对所述安全态势时间序列进行安全状态等级划分,得到安全态势状态符号时间序列;
有向加权网络构建模块,用于根据所述安全态势状态符号时间序列构建表征安全态势状态变化规律的有向加权网络;
属性数据计算输出模块,用于根据所述有向加权网络进行分析,得到反映网络安全态势变化规律的属性数据并输出。
7.根据权利要求6所述的网络空间安全态势感知分析系统,其特征在于,所述安全状态等级划分模块包括:
数据转换单元,用于根据预设的界限值与安全状态等级的对应关系,将所述安全态势时间序列转换为对应的安全状态等级;
序列建立单元,用于根据所述安全状态等级建立所述安全态势状态符号时间序列。
8.根据权利要求7所述的网络空间安全态势感知分析系统,其特征在于,所述安全状态等级划分模块还包括:
数据计算单元,用于在数据转换单元根据预设的界限值与安全状态等级的对应关系,将所述安全态势时间序列转换为对应的安全状态等级之前,计算所述安全态势时间序列的均值和方差;
界限值计算单元,用于根据所述均值和方差计算得到所述界限值;
数据存储单元,用于建立所述界限值与预设的安全状态等级的对应关系并存储。
9.根据权利要求6所述的网络空间安全态势感知分析系统,其特征在于,所述有向加权网络构建模块包括:
序列分割单元,用于根据时间顺序对所述安全态势状态符号时间序列进行分割,得到安全态势转移时间序列;
权值计算单元,用于根据所述安全态势转移时间序列中相同状态转移项的数量,计算得到各状态转移项的权值;
网络构建单元,用于根据所述安全态势转移时间序列中的状态转移项及对应权值构建所述有向加权网络。
10.根据权利要求6所述的网络空间安全态势感知分析系统,其特征在于,所述属性数据包括节点的度、节点的强度、节点的中介中心度、节点的簇系数和节点对间的平均路径长度中的至少一种。
CN201610951870.6A 2016-10-26 2016-10-26 网络空间安全态势感知分析方法和系统 Pending CN106506485A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610951870.6A CN106506485A (zh) 2016-10-26 2016-10-26 网络空间安全态势感知分析方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610951870.6A CN106506485A (zh) 2016-10-26 2016-10-26 网络空间安全态势感知分析方法和系统

Publications (1)

Publication Number Publication Date
CN106506485A true CN106506485A (zh) 2017-03-15

Family

ID=58321346

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610951870.6A Pending CN106506485A (zh) 2016-10-26 2016-10-26 网络空间安全态势感知分析方法和系统

Country Status (1)

Country Link
CN (1) CN106506485A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107046534A (zh) * 2017-03-24 2017-08-15 厦门卓讯信息技术有限公司 一种网络安全态势模型训练方法、识别方法及识别装置
CN107832578A (zh) * 2017-11-07 2018-03-23 四川大学 基于态势变化模型的数据处理方法及装置
CN109768890A (zh) * 2019-01-17 2019-05-17 内蒙古工业大学 基于stl分解法的符号化有向加权复杂网络建网方法
CN110493179A (zh) * 2019-07-04 2019-11-22 湖北央中巨石信息技术有限公司 基于时间序列的网络安全态势感知模型和方法
CN111200504A (zh) * 2018-11-16 2020-05-26 中国移动通信集团辽宁有限公司 网络的安全态势拟合方法、装置、设备及介质
US20220407879A1 (en) * 2020-10-16 2022-12-22 Visa International Service Association System, method, and computer program product for user network activity anomaly detection

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624696A (zh) * 2011-12-27 2012-08-01 中国航天科工集团第二研究院七〇六所 一种网络安全态势评估方法
CN102694800A (zh) * 2012-05-18 2012-09-26 华北电力大学 网络安全态势预测的高斯过程回归方法
CN103581186A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势感知方法及系统
US8683598B1 (en) * 2012-02-02 2014-03-25 Symantec Corporation Mechanism to evaluate the security posture of a computer system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624696A (zh) * 2011-12-27 2012-08-01 中国航天科工集团第二研究院七〇六所 一种网络安全态势评估方法
US8683598B1 (en) * 2012-02-02 2014-03-25 Symantec Corporation Mechanism to evaluate the security posture of a computer system
CN102694800A (zh) * 2012-05-18 2012-09-26 华北电力大学 网络安全态势预测的高斯过程回归方法
CN103581186A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势感知方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
安海岗 等: "基于复杂网络的时间序列单变量波动幅度研究", 《系统科学与数学》 *
李方伟 等: "一种基于复杂网络的网络安全态势预测机制", 《计算机应用研究》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107046534A (zh) * 2017-03-24 2017-08-15 厦门卓讯信息技术有限公司 一种网络安全态势模型训练方法、识别方法及识别装置
CN107832578A (zh) * 2017-11-07 2018-03-23 四川大学 基于态势变化模型的数据处理方法及装置
CN111200504A (zh) * 2018-11-16 2020-05-26 中国移动通信集团辽宁有限公司 网络的安全态势拟合方法、装置、设备及介质
CN111200504B (zh) * 2018-11-16 2022-07-26 中国移动通信集团辽宁有限公司 网络的安全态势拟合方法、装置、设备及介质
CN109768890A (zh) * 2019-01-17 2019-05-17 内蒙古工业大学 基于stl分解法的符号化有向加权复杂网络建网方法
CN110493179A (zh) * 2019-07-04 2019-11-22 湖北央中巨石信息技术有限公司 基于时间序列的网络安全态势感知模型和方法
CN110493179B (zh) * 2019-07-04 2022-03-29 湖北央中巨石信息技术有限公司 基于时间序列的网络安全态势感知系统和方法
US20220407879A1 (en) * 2020-10-16 2022-12-22 Visa International Service Association System, method, and computer program product for user network activity anomaly detection
US11711391B2 (en) * 2020-10-16 2023-07-25 Visa International Service Association System, method, and computer program product for user network activity anomaly detection

Similar Documents

Publication Publication Date Title
CN106506485A (zh) 网络空间安全态势感知分析方法和系统
Liu et al. Analysis of vulnerabilities in maritime supply chains
Lin et al. Using machine learning to assist crime prevention
CN108494810A (zh) 面向攻击的网络安全态势预测方法、装置及系统
CN106021062B (zh) 关联故障的预测方法和系统
CN106341414A (zh) 一种基于贝叶斯网络的多步攻击安全态势评估方法
Brown Risk assessment and management in underground rock engineering—an overview
CN102802158B (zh) 基于信任评估的无线传感器网络异常检测方法
CN110135092A (zh) 基于半局部中心性的复杂加权交通网关键节点识别方法
Venkatasubramanian et al. Spontaneous emergence of complex optimal networks through evolutionary adaptation
CN105677759A (zh) 一种信息通信网络中的告警关联性分析方法
CN105260795A (zh) 一种基于条件随机场的重点人员位置时空预测方法
CN106529181A (zh) 一种电力系统连锁故障脆弱线路的辨识方法及系统
CN104363104B (zh) 一种面向用户需求的海量多元数据态势显示系统与方法
CN108039987A (zh) 基于多层耦合关系网络的关键基础设施脆弱性测评方法
CN103840967A (zh) 一种电力通信网中故障定位的方法
CN104881735A (zh) 用于支撑智慧城市运行管理的智能电网大数据挖掘系统及方法
CN109919234A (zh) 一种基于系统聚类的加权马尔科夫滑坡预警方法
CN108881250A (zh) 电力通信网络安全态势预测方法、装置、设备及存储介质
CN108833139A (zh) 一种基于类别属性划分的ossec报警数据聚合方法
CN113722868B (zh) 一种融合结构洞特征的多指标电网节点脆弱性评估方法
CN108090677A (zh) 一种关键基础设施可靠性测评方法
CN104539601A (zh) 动态网络攻击过程可靠性分析方法及系统
CN110380903A (zh) 一种电力通信网故障探测方法、装置及设备
CN107450517A (zh) 一种随机离散事件系统安全可诊断性确定方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170315