CN106713233B - 一种网络安全状态的判断与保护方法 - Google Patents
一种网络安全状态的判断与保护方法 Download PDFInfo
- Publication number
- CN106713233B CN106713233B CN201510781422.1A CN201510781422A CN106713233B CN 106713233 B CN106713233 B CN 106713233B CN 201510781422 A CN201510781422 A CN 201510781422A CN 106713233 B CN106713233 B CN 106713233B
- Authority
- CN
- China
- Prior art keywords
- value
- network
- index
- security
- weight
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000005259 measurement Methods 0.000 claims abstract description 73
- 238000004364 calculation method Methods 0.000 claims abstract description 38
- 230000008447 perception Effects 0.000 claims abstract description 33
- 239000002245 particle Substances 0.000 claims description 26
- 239000011159 matrix material Substances 0.000 claims description 25
- 238000005457 optimization Methods 0.000 claims description 23
- 238000001514 detection method Methods 0.000 claims description 11
- 238000012360 testing method Methods 0.000 claims description 7
- 241000700605 Viruses Species 0.000 claims description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 4
- 230000003044 adaptive effect Effects 0.000 claims description 3
- 230000001186 cumulative effect Effects 0.000 claims description 3
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 239000002131 composite material Substances 0.000 claims 1
- 238000013459 approach Methods 0.000 abstract description 7
- 230000002159 abnormal effect Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000013210 evaluation model Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000010187 selection method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种网络安全状态的判断与保护方法,通过确定网络的安全基准线值及网络安全状态的度量指标的初始权重值;检测安全威胁事件及调整度量指标的权重值;判断安全威胁事件是否消除;减小网络状态度量计算结果与安全基准线值间的差值。本发明提出的方法能够动态地进行在线更新,并明确网络安全态势感知中度量指标计算结果值的物理含义;使得网络安全态势感知结果能迅速反映出当前网络的安全问题;当安全威胁事件消除后,保证了态势感知结果的一致性;当网络未检测出安全威胁,网络安全态势感知计算结果趋近于安全基准线值,从而让度量指标的计算结果值更贴近网络实际情形,有效且客观地反映出当前网络的整体安全状态。
Description
技术领域
本发明涉及网络安全与管理领域,具体涉及一种网络安全状态的判断与保护方法。
背景技术
随着计算机、通信等信息技术的快速发展,Internet在全球日益普及,已应用到人们工作、学习和生活的方方面面。到2013年底,Internet已经覆盖全球近40%的人口,用户数达到了27亿,在中国,网民数量也快速发展到6.18亿。其应用也在快速增长,其中电子商务、社交网络的发展进一步促进了Internet的繁荣。然而,随着Internet的广泛应用,其安全问题也日益凸显。那些网络攻击者、黑客们在追逐利益、报复、破坏等心理的驱动下,针对计算机网络系统的漏洞和脆弱环节,采用各种各样的攻击手段,窃取、篡改和删除网络数据,破坏系统的可用性,造成系统瘫痪,等等。
面对当前严重的网络安全威胁,传统的安全防护手段,如入侵检测、防火墙以及用户认证等,虽然从一定程度上提高了网络的安全性,但是这些技术相互孤立,彼此之间没有有效的统一管理调度机制,不能互相支撑、协同工作,使其安全防护没有针对性,其防护功能也未得到充分发挥。因此,需要网络安全管理员对整个网络的安全状况有一个全局的把握,实现对网络安全事件的预警,并以此来进行决策,实施具体的安全防护措施。而如何评估网络的总体安全状况,可采用网络安全态势感知技术。
网络安全态势感知是实时地监测网络安全状态,快速准确地做出安全状态评判,并能利用网络安全属性的历史记录,以多角度、多尺度的可视化方式,为用户提供一个准确直观的网络安全态势走向图。现有关于网络安全态势感知的研究成果和实际系统大多数采用层次化的指标体系和指标加权的评估模型。其中,指标权重参数的选择对网络安全态势感知结果准确与否有着重大影响。
现有的指标权重参数选取方法可以分为以下三种:(1)专家人为地根据各指标体系的重要程度进行打分,最后根据打分值来确定指标的加权参数,在实际应用中缺乏灵活性,无法准确反映出当前的网络环境状态;(2)根据通用漏洞评分系统确定指标体系的权重值,该方法只适用于安全漏洞相关的指标体系,对于网络异常、攻击事件等指标体系的权重无法确定;(3)依据攻击图谱,由易受攻击的脆弱程度来确定指标体系的权重值,但现有的攻击图谱建立方法只适用于小规模网络,因此,如何快速高效地建立大规模网络的攻击图谱目前是一个挑战。
发明内容
有鉴于此,本发明提供一种网络安全状态的判断与保护方法,该方法能够动态地进行在线更新,并明确网络安全态势感知中度量指标计算结果值的物理含义;使得网络安全态势感知结果能迅速反映出当前网络的安全问题;当安全威胁事件消除后,相应度量指标的权重值恢复至原始值,保证了态势感知结果的一致性;当网络未检测出安全威胁,整体运行正常时,网络安全态势感知计算结果趋近于安全基准线值,从而让度量指标的计算结果值更贴近网络实际情形,有效且客观地反映出当前网络的整体安全状态。
本发明的目的是通过以下技术方案实现的:
一种网络安全状态的判断与保护方法,所述方法包括如下步骤:
步骤1.确定网络的安全基准线值;
步骤2.确定所述网络安全状态的度量指标的初始权重值;
步骤3.检测所述网络是否存发生安全威胁事件;
若是,则进入步骤4;
若否,则判断所述网络运行正常,并进入步骤6;
步骤4.记录所述安全威胁事件的参数值,并调整相应的所述度量指标的权重值;进入步骤5;
步骤5.判断所述安全威胁事件是否消除;
若是,则将所述度量指标的权重值恢复为调整前的原始数值,进入步骤6;
若否,则返回步骤4;
步骤6.调整所述度量指标的权重值,减小所述网络状态度量计算结果与安全基准线值间的差值。
优选的,所述步骤1包括:
1-1.记录网络在记录时间段T内正常运行的天数A,且T>A;
1-2.根据网络态势感知计算结果的最大值为N及最小值为M,得到网络安全态势感知计算的结果区间[M,N];
确定在结果区间[M,N]中的网络态势感知计算结果值Q;
若是,则确定网络的所述安全基准线值L为:
若否,则确定网络的所述安全基准线值L为:
优选的,所述步骤2包括:
2-1.构造由矩阵元素aij构成的所述网络安全状态的度量指标的判断矩阵B,所述矩阵元素aij为指标ai对指标aj的相对重要性数值,即判断矩阵B中第i行第j列的元素值;
2-2.计算所述判断矩阵B中每行的各个元素乘积的n次方根值vi:
2-3.归一化向量V=(v1,v2,…,vn)T,得到最大特征值对应的特征向量、即所述网络安全状态的度量指标的初始权重值集W:
W=(w1,w2,…,wn)T (4)
2-4.进行一致性检验,确定所述判断矩阵B的最大特征值λmax:
2-5.根据最大特征值λmax,分别确定一致性指标CI和一致性比例CR:
式(6)中,RI为平均随机一致性指标标准值;
2-6.根据RI对所述网络安全状态的度量指标进行一致性检验,合格的度量指标ai进入步骤3,不合格的度量指标返回步骤2-1。
优选的,所述步骤4包括:
4-1.记录所述安全威胁事件的参数值,所述参数值包括威胁内容、威胁源头、威胁对象及检测时间tai的值;
其中,所述安全威胁事件与网络安全态势感知的指标一一对应;所述安全威胁事件包括网络攻击事件、病毒木马检测事件、网络流量吞吐量异常事件、网络拓扑异常事件及主机漏洞事件;
4-2.根据所述威胁内容及威胁对象,得到所述安全威胁事件的威胁严重程度dai;
若是,则调整所述安全威胁事件直接对应的度量指标ai的现有权重值wo(ai)为新权重值wn(ai):
wn(ai)=wo(ai)-(tc-tai)*dai (8)
若否,则调整所述安全威胁事件直接对应的度量指标ai的现有权重值wo(ai)为新权重值wn(ai):
wn(ai)=wo(ai)-(tc-tai)*dai (9)
式(8)和(9)中,tc为更新权重的系统的当前时间,且tc>tai;
4-4.计算权重调整后的差值Δw(ai):
w(ai)=wn(ai)-wo(ai) (10)
若多次权重调整差值的累计和|ΣΔw(ai)超过设定的阈值thw,则进入步骤4-5;
若多次权重调整差值的累计和|ΣΔw(ai)未超过设定的阈值thw,则进入步骤5;
式(11)和(12)中,λ为调整的幅度乘积因子,其值由网络管理人员配置;若指标的权重调整差值的累计和超过设定的阈值thw,使用步骤3-4中计算方法调整其上一级指标,以此类推,直至最上层指标;进入步骤5。
优选的,所述4-2包括:
根据所述威胁内容及威胁对象统计所述安全威胁事件发生的次数n;
根据通用漏洞评分系统确定所述威胁内容对应的评分分数c;
根据网络资产重要性评估方法,确定威胁对象的重要性的分值z;
得到所述安全威胁事件的威胁严重程度dai为:
dai=e-(n*c*z) (7)。
优选的,所述步骤5包括:
5-1.统计度量指标对应的权重调整的最大差值Δwmax(ai);
5-2.判断所述度量指标ai对应的安全威胁事件是否已全部消除;
若是,则将所述度量指标的权重值恢复为调整前的原始数值,进入步骤6;
若否,则所述度量指标的权重值不变,返回步骤4。
优选的,所述步骤6包括:
根据各所述度量指标权重调整的最大差值Δwmax(ai)的相对大小和安全基准线值L,执行度量指标全局权重优化,减小网络安全态势感知计算结果与所述安全基准线值的差值。
优选的,所述执行度量指标全局权重优化,减小网络安全态势感知计算结果与所述安全基准线值的差值,包括:
a.在变量约束范围内初始化粒子群,粒子的个体极值和个体均值均为初始值,精英集为空,达代次数为0;
b.根据控制变量所代表的权重优化方案进行得分计算并由此计算粒子的多目标适应值;
c.保留本次迭代的最优解,并使用快速排序法构造粒子群的非支配解集;
d.计算非支配解集中各粒子的拥挤度距离;
e.更新精英集,保留当前的最优解;
f.更新所述粒子的个体极值和全局极值,确定新的搜索方向;
g.根据所述新的搜索方向,更新所述粒子速度和位置,搜索新的优化方案;
h.若所述新的优化方案不满足结束准测,则返回步骤6-2;若所述新的优化方案满足结束准测;则当前网络安全状态的判断与保护结束。
从上述的技术方案可以看出,本发明提供了一种网络安全状态的判断与保护方法,通过确定网络的安全基准线值及网络安全状态的度量指标的初始权重值;检测安全威胁事件及调整度量指标的权重值;判断安全威胁事件是否消除;减小网络状态度量计算结果与安全基准线值间的差值。本发明提出的方法能够动态地进行在线更新,并明确网络安全态势感知中度量指标计算结果值的物理含义;使得网络安全态势感知结果能迅速反映出当前网络的安全问题;当安全威胁事件消除后,保证了态势感知结果的一致性;当网络未检测出安全威胁,网络安全态势感知计算结果趋近于安全基准线值,从而让度量指标的计算结果值更贴近网络实际情形,有效且客观地反映出当前网络的整体安全状态。
与最接近的现有技术比,本发明提供的技术方案具有以下优异效果:
1、本发明所提供的技术方案中,通过确定网络的安全基准线值及网络安全状态的度量指标的初始权重值;检测安全威胁事件及调整度量指标的权重值;判断安全威胁事件是否消除;减小网络状态度量计算结果与安全基准线值间的差值。本发明提出的方法能够动态地进行在线更新,并明确网络安全态势感知中度量指标计算结果值的物理含义;有效且客观地反映出当前网络的整体安全状态。
2、本发明所提供的技术方案,第一次提出根据网络安全威胁事件发生的次数、威胁内容的严重性、威胁目标资产的重要性以及威胁持续时间的长短来动态调整网络安全态势感知度量指标的权重值,与现有方法相比,提升了网络安全态势感知度量指标的权重值计算方法的通用性。
3、本发明所提供的技术方案,使用一定时间断范围内网络正常运行的天数要求为标准计算网络安全基准线值,且当网络运行正常时,调整度量指标的权重值,使得网络安全态势感知计算结果趋近于安全基准线值,从而明确网络安全态势感知中度量指标计算结果值的物理含义。
4、本发明所提供的技术方案,使用AHP算法确定网络安全态势感知各指标的初始权重值,在初始值确定方面充分考虑网络管理人员和网络安全专家对各度量指标相对重要性的判断;当安全威胁事件发生时,相应度量指标的权重值增加,使得网络安全态势感知结果能迅速反映出当前网络的安全问题;当安全威胁事件消除后,相应度量指标的权重值恢复至原始值,保证了态势感知结果的一致性;当网络未检测出安全威胁,整体运行正常时,根据统计的各度量指标安全威胁事件总数量的相对大小和安全基准线值,执行度量指标全局权重优化,使得网络安全态势感知计算结果趋近于安全基准线值,从而让度量指标的计算结果值更贴近网络实际情形,更能客观反映出当前网络的整体安全状态。
5、本发明所提供的技术方案,使用多目标粒子群算法求解网络安全态势感知计算结果趋近于安全基准线值此多目标优化问题时,以各度量指标权重调整的最大差值的相对大小为约束条件,从而使得度量指标的权重值能准确反映出当前的网络安全威胁。
6、本发明提供的技术方案,应用广泛,具有显著的社会效益和经济效益。
附图说明
图1是本发明的一种网络安全状态的判断与保护方法的流程图;
图2是本发明的具体应用例的网络安全态势感知度量指标权重计算方法的详细流程图;
图3是本发明的具体应用例的网络安全态势感知度量指标权重计算方法的功能结构图;
图4是本发明的具体应用例的网络安全态势感知度量指标和权重示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明提供一种网络安全状态的判断与保护方法,包括如下步骤:
步骤1.确定网络的安全基准线值;
步骤2.确定网络安全状态的度量指标的初始权重值;
步骤3.检测网络是否存发生安全威胁事件;
若是,则进入步骤4;
若否,则判断网络运行正常,并进入步骤6;
步骤4.记录安全威胁事件的参数值,并调整相应的度量指标的权重值;进入步骤5;
步骤5.判断安全威胁事件是否消除;
若是,则将度量指标的权重值恢复为调整前的原始数值,进入步骤6;
若否,则返回步骤4;
步骤6.调整度量指标的权重值,减小网络状态度量计算结果与安全基准线值间的差值。
其中,步骤1包括:
1-1.记录网络在记录时间段T内正常运行的天数A,且T>A;
1-2.根据网络态势感知计算结果的最大值为N及最小值为M,得到网络安全态势感知计算的结果区间[M,N];
确定在结果区间[M,N]中的网络态势感知计算结果值Q;
若是,则确定网络的安全基准线值L为:
若否,则确定网络的安全基准线值L为:
其中,步骤2包括:
2-1.构造由矩阵元素aij构成的网络安全状态的度量指标的判断矩阵B,矩阵元素aij为指标ai对指标aj的相对重要性数值,即判断矩阵B中第i行第j列的元素值;
2-2.计算判断矩阵B中每行的各个元素乘积的n次方根值vi:
2-3.归一化向量V=(v1,v2,…,vn)T,得到最大特征值对应的特征向量、即网络安全状态的度量指标的初始权重值集W:
W=(w1,w2,…,wn)T (4)
2-4.进行一致性检验,确定判断矩阵B的最大特征值λmax:
2-5.根据最大特征值λmax,分别确定一致性指标CI和一致性比例CR:
式(6)中,RI为平均随机一致性指标标准值;
2-6.根据RI对网络安全状态的度量指标进行一致性检验,合格的度量指标ai进入步骤3,不合格的度量指标返回步骤2-1。
其中,步骤4包括:
4-1.记录安全威胁事件的参数值,参数值包括威胁内容、威胁源头、威胁对象及检测时间tai的值;
其中,安全威胁事件与网络安全态势感知的指标一一对应;安全威胁事件包括网络攻击事件、病毒木马检测事件、网络流量吞吐量异常事件、网络拓扑异常事件及主机漏洞事件;
4-2.根据威胁内容及威胁对象,得到安全威胁事件的威胁严重程度dai;
若是,则调整安全威胁事件直接对应的度量指标ai的现有权重值wo(ai)为新权重值wn(ai):
wn(ai)=wo(ai)-(tc-tai)*dai (8)
若否,则调整安全威胁事件直接对应的度量指标ai的现有权重值wo(ai)为新权重值wn(ai):
wn(ai)=wo(ai)-(tc-tai)*dai (9)
式(8)和(9)中,tc为更新权重的系统的当前时间,且tc>tai;
4-4.计算权重调整后的差值Δw(ai):
w(ai)=wn(ai)-wo(ai) (10)
若多次权重调整差值的累计和|ΣΔw(ai)|超过设定的阈值thw,则进入步骤4-5;
若多次权重调整差值的累计和|ΣΔw(ai)|未超过设定的阈值thw,则进入步骤5;
式(11)和(12)中,λ为调整的幅度乘积因子,其值由网络管理人员配置;若指标的权重调整差值的累计和超过设定的阈值thw,使用步骤3-4中计算方法调整其上一级指标,以此类推,直至最上层指标;进入步骤5。
其中,4-2包括:
根据威胁内容及威胁对象统计安全威胁事件发生的次数n;
根据通用漏洞评分系统确定威胁内容对应的评分分数c;
根据网络资产重要性评估方法,确定威胁对象的重要性的分值z;
得到安全威胁事件的威胁严重程度dai为:
dai=e-(n*c*z) (7)。
其中,步骤5包括:
5-1.统计度量指标对应的权重调整的最大差值Δwmax(ai);
5-2.判断度量指标ai对应的安全威胁事件是否已全部消除;
若是,则将度量指标的权重值恢复为调整前的原始数值,进入步骤6;
若否,则度量指标的权重值不变,返回步骤4。
其中,步骤6包括:
根据各度量指标权重调整的最大差值Δwmax(ai)的相对大小和安全基准线值L,执行度量指标全局权重优化,减小网络安全态势感知计算结果与安全基准线值的差值。
其中,执行度量指标全局权重优化,减小网络安全态势感知计算结果与安全基准线值的差值,包括:
a.在变量约束范围内初始化粒子群,粒子的个体极值和个体均值均为初始值,精英集为空,达代次数为0;
b.根据控制变量所代表的权重优化方案进行得分计算并由此计算粒子的多目标适应值;
c.保留本次迭代的最优解,并使用快速排序法构造粒子群的非支配解集;
d.计算非支配解集中各粒子的拥挤度距离;
e.更新精英集,保留当前的最优解;
f.更新粒子的个体极值和全局极值,确定新的搜索方向;
g.根据新的搜索方向,更新粒子速度和位置,搜索新的优化方案;
h.若新的优化方案不满足结束准测,则返回步骤6-2;若新的优化方案满足结束准测;则当前网络安全状态的判断与保护结束。
如图2所示,本发明提供一种网络安全状态的判断与保护方法的具体应用例,包括如下步骤:
图3给出了一种网络安全态势感知度量指标权重计算方法的组成结构图,它主要包括五个部分:
(1)确定网络安全基准线值;
(2)确定度量指标的初始权重值;
(3)当检测出新的安全威胁事件,调整相应度量指标的权重值;
(4)当安全威胁事件消除后,调整相应度量指标的权重值;
(5)网络运行正常,未检测出安全威胁事件,调整度量指标的权重值,使得网络安全态势感知计算结果趋近于安全基准线值。
为了方便描述,我们假设有如下应用实例:
某电力公司采用如图4所示的分层指标度量来其信息网络安全态势值。异常流量a1、网络攻击a2和病毒木马a3为一级指标,在各一级指标下,分设二级指标,如异常流量包括吞吐率异常a11、访问请求异常a12以及加密流量异常a13等,其中异常流量的权重为w1,吞吐率异常、访问请求异常以及加密流量异常的权重分别为w11、w12和w13。网络安全态势综合指数可计算为:w1*(w11*吞吐率异常的值+w12*访问请求异常的值+w13*加密流量异常的值)+w2*(w21*防火墙攻击检测事件的值+w22*IDS入侵检测事件的值)+w3*(w31*杀毒软件病毒检测事件的值+w32*基于主机的入侵防御系统检测事件的值)。
其具体的实施方案为:
首先,计算网络安全基准线的值。设定365天当中要求的网络正常运行的天数为219,网络安全态势综合指数的范围为0至100,且指数的数值越大表示网络越安全,则网络安全基准线L的值计算为:
其次,使用AHP算法确定网络安全态势感知各指标的初始权重值。以w11、w12和w13的值计算为例。判断矩阵B如下所示,该矩阵由网络专家设定,表示各指标间的相对重要性。
判断矩阵B
根据判断矩阵B求出的特征向量W为(0.6986,0.2370,0.0643)。计算矩阵B的最大特征值λmax为3.0940。一致性检验算得CR=0.0810,小于平均随机一致性指标0.1,满足一致性要求。因此w11、w12和w13的值分别为0.6986,0.2370,0.0643。
当检测到网络流量吞吐率异常时,即在吞吐率异常指标下检测出一次安全威胁事件,设定该威胁的评分分数c值为2,资产重要性n值为3,则威胁严重程度为dai可计算为e-(1*2*3)=e-6。
在检测到该威胁的第二天,该威胁还未消除,则其权重值w11更新为w11=0.6986-e-6=0.6961。
在检测到该威胁的第三天,该威胁还未消除,则其权重值w11更新为w11=0.6986-2*e-6=0.6936。
在检测到该威胁的第四天,该威胁被成功消除,则其权重值w11更新为原始值,即w11=0.6986。度量指标a1权重调整的最大差值Δwmax(a1)=0.6986-0.6936=0.0050。
当网络运行正常,未检测到安全威胁事件时运行多目标粒子群优化算法,进行各个指标权重的调整。设定经过多次权重调整,有Δwmax(a3)>Δwmax(a1)>Δwmax(a2),Δwmax(a11)>Δwmax(a12)>Δwmax(a13),Δwmax(a22)>Δwmax(a21),Δwmax(a32)>Δwmax(a31)。多目标粒子群优化算法的约束条件为:
(1)L=60
(2)w1+w2+w3=1,且w3>w1>w2
(3)w11+w12+w13=1,且w11>w12>w13
(4)w21+w22=1,且w22>w21
(5)w31+w32=1,且w32>w31
计算得出的各度量指标的权重值分别为:w1=0.25,w2=0.35,w3=0.4,w11=0.6,w12=0.28,w13=0.12,w21=0.44,w22=0.56,w31=0.67,w32=0.33。
以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员依然可以对本发明的具体实施方式进行修改或者等同替换,而这些未脱离本发明精神和范围的任何修改或者等同替换,其均在申请待批的本发明的权利要求保护范围之内。
Claims (7)
1.一种网络安全状态的判断与保护方法,其特征在于,所述方法包括如下步骤:
步骤1.确定网络的安全基准线值;
步骤2.确定所述网络安全状态的度量指标的初始权重值;
步骤3.检测所述网络是否存发生安全威胁事件;
若是,则进入步骤4;
若否,则判断所述网络运行正常,并进入步骤6;
步骤4.记录所述安全威胁事件的参数值,并调整相应的所述度量指标的权重值;进入步骤5;
步骤5.判断所述安全威胁事件是否消除;
若是,则将所述度量指标的权重值恢复为调整前的原始数值,进入步骤6;
若否,则返回步骤4;
步骤6.调整所述度量指标的权重值,减小所述网络状态度量计算结果与安全基准线值间的差值;
所述步骤1包括:
1-1.记录网络在记录时间段T内正常运行的天数A,且T>A;
1-2.根据网络安全态势综合指数的最大值为N及最小值为M,得到网络安全态势感知计算的结果区间[M,N];
确定在结果区间[M,N]中的网络安全态势综合指数Q;
若是,则确定网络的所述安全基准线值L为:
若否,则确定网络的所述安全基准线值L为:
2.如权利要求1所述的方法,其特征在于,所述步骤2包括:
2-1.构造由矩阵元素aij构成的所述网络安全状态的度量指标的判断矩阵B,所述矩阵元素aij为指标ai对指标aj的相对重要性数值,即判断矩阵B中第i行第j列的元素值;
2-2.计算所述判断矩阵B中每行的各个元素乘积的n次方根值vi:
2-3.归一化向量V=(v1,v2,…,vn)T,得到最大特征值对应的特征向量、所述特征向量构成所述网络安全状态的度量指标的初始权重值集W:
W=(w1,w2,…,wn)T (4)
2-4.进行一致性检验,确定所述判断矩阵B的最大特征值λmax:
2-5.根据最大特征值λmax,分别确定一致性指标CI和一致性比例CR:
式(6)中,RI为平均随机一致性指标标准值;
2-6.根据RI对所述网络安全状态的度量指标进行一致性检验,合格的度量指标ai进入步骤3,不合格的度量指标返回步骤2-1。
3.如权利要求2所述的方法,其特征在于,所述步骤4包括:
4-1.记录所述安全威胁事件的参数值,所述参数值包括威胁内容、威胁源头、威胁对象及检测时间tai的值;
其中,所述安全威胁事件与网络安全态势感知的指标一一对应;所述安全威胁事件包括网络攻击事件、病毒木马检测事件、网络流量吞吐量异常事件、网络拓扑异常事件及主机漏洞事件;
4-2.根据所述威胁内容及威胁对象,得到所述安全威胁事件的威胁严重程度dai;
若是,则调整所述安全威胁事件直接对应的度量指标ai的现有权重值wo(ai)为新权重值wn(ai):
wn(ai)=wo(ai)-(tc-tai)*dai (8)
若否,则调整所述安全威胁事件直接对应的度量指标ai的现有权重值wo(ai)为新权重值wn(ai):
wn(ai)=wo(ai)+(tc-tai)*dai (9)
式(8)和(9)中,tc为更新权重的系统的当前时间,且tc>tai;
4-4.计算权重调整后的差值Δw(ai):
Δw(ai)=wn(ai)-wo(ai) (10)
若多次权重调整差值的累计和|∑Δw(ai)|超过设定的阈值thw,则进入步骤4-5;
若多次权重调整差值的累计和|∑Δw(ai)|未超过设定的阈值thw,则进入步骤5;
4.如权利要求3所述的方法,其特征在于,所述4-2包括:
根据所述威胁内容及威胁对象统计所述安全威胁事件发生的次数n;
根据通用漏洞评分系统确定所述威胁内容对应的评分分数c;
根据网络资产重要性评估方法,确定威胁对象的重要性的分值z;
得到所述安全威胁事件的威胁严重程度dai为:
dai=e-(n*c*z) (7)。
5.如权利要求4所述的方法,其特征在于,所述步骤5包括:
5-1.统计度量指标对应的权重调整的最大差值Δwmax(ai);
5-2.判断所述度量指标ai对应的安全威胁事件是否已全部消除;
若是,则将所述度量指标的权重值恢复为调整前的原始数值,进入步骤6;
若否,则所述度量指标的权重值不变,返回步骤4。
6.如权利要求5所述的方法,其特征在于,所述步骤6包括:
根据各所述度量指标权重调整的最大差值Δwmax(ai)的大小和安全基准线值L,执行度量指标全局权重优化,减小网络安全态势综合指数与所述安全基准线值的差值。
7.如权利要求6所述的方法,其特征在于,所述执行度量指标全局权重优化,减小网络安全态势综合指数与所述安全基准线值的差值,包括:
a.在变量约束范围内初始化粒子群,粒子的个体极值和个体均值均为初始值,精英集为空,达代次数为0;
b.根据控制变量所代表的权重优化方案进行得分计算并由此计算粒子的多目标适应值;
c.保留本次迭代的最优解,并使用快速排序法构造粒子群的非支配解集;
d.计算非支配解集中各粒子的拥挤度距离;
e.更新精英集,保留当前的最优解;
f.更新所述粒子的个体极值和全局极值,确定新的搜索方向;
g.根据所述新的搜索方向,更新所述粒子速度和位置,搜索新的优化方案;
h.若所述新的优化方案不满足结束准测,则返回步骤6;若所述新的优化方案满足结束准测;则当前网络安全状态的判断与保护结束。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510781422.1A CN106713233B (zh) | 2015-11-13 | 2015-11-13 | 一种网络安全状态的判断与保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510781422.1A CN106713233B (zh) | 2015-11-13 | 2015-11-13 | 一种网络安全状态的判断与保护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106713233A CN106713233A (zh) | 2017-05-24 |
CN106713233B true CN106713233B (zh) | 2020-04-14 |
Family
ID=58930834
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510781422.1A Active CN106713233B (zh) | 2015-11-13 | 2015-11-13 | 一种网络安全状态的判断与保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106713233B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107749859B (zh) * | 2017-11-08 | 2020-03-31 | 南京邮电大学 | 一种面向网络加密流量的恶意移动应用检测方法 |
CN108243189B (zh) * | 2018-01-08 | 2020-08-18 | 平安科技(深圳)有限公司 | 一种网络威胁管理方法、装置、计算机设备及存储介质 |
CN110689032A (zh) * | 2018-07-04 | 2020-01-14 | 北京京东尚科信息技术有限公司 | 数据处理方法及系统、计算机系统和计算机可读存储介质 |
CN109840688A (zh) * | 2018-12-28 | 2019-06-04 | 全球能源互联网研究院有限公司 | 一种电力移动终端安全评估方法及装置 |
CN111314361B (zh) * | 2020-02-24 | 2022-09-23 | 杭州安恒信息技术股份有限公司 | 一种基于细菌觅食算法的攻击威胁感知方法和装置 |
CN111865982B (zh) * | 2020-07-20 | 2021-05-07 | 交通运输信息安全中心有限公司 | 基于态势感知告警的威胁评估系统及方法 |
CN112532625B (zh) * | 2020-11-27 | 2022-09-13 | 杭州安恒信息安全技术有限公司 | 网络态势感知评估数据更新方法、装置及可读存储介质 |
CN112600800B (zh) * | 2020-12-03 | 2022-07-05 | 中国电子科技网络信息安全有限公司 | 基于图谱的网络风险评估方法 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101727627A (zh) * | 2009-12-16 | 2010-06-09 | 工业和信息化部电子第五研究所 | 一种基于组合评估法的信息系统安全风险评估模型 |
CN101930490A (zh) * | 2010-08-06 | 2010-12-29 | 西北工业大学 | 民机驾驶舱人机功能分配方法 |
CN102625312A (zh) * | 2012-04-25 | 2012-08-01 | 重庆邮电大学 | 基于分层入侵检测的传感网安全系统 |
CN103581155A (zh) * | 2012-08-08 | 2014-02-12 | 贵州电网公司信息通信分公司 | 信息安全态势分析方法与系统 |
CN104134040A (zh) * | 2014-07-25 | 2014-11-05 | 中国人民解放军信息工程大学 | 一种基于信息融合的二进制恶意代码威胁性评估方法 |
CN104166060A (zh) * | 2014-08-15 | 2014-11-26 | 国家电网公司 | 一种考虑大规模风电接入的抗差状态估计方法 |
CN104601567A (zh) * | 2015-01-12 | 2015-05-06 | 国家电网公司 | 一种基于电力信息网络安全事件挖掘的指标化安全度量方法 |
CN104956380A (zh) * | 2012-11-16 | 2015-09-30 | Medidata解决方案公司 | 用于远程站点监控的方法和装置 |
CN105005708A (zh) * | 2015-08-13 | 2015-10-28 | 山东大学 | 一种基于ap聚类算法的广义负荷特性聚类方法 |
CN105023195A (zh) * | 2015-05-29 | 2015-11-04 | 江苏省电力公司常州供电公司 | 含分布式光伏配电网可靠性评价方法 |
US9241008B2 (en) * | 2009-09-04 | 2016-01-19 | Raytheon Company | System, method, and software for cyber threat analysis |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9088888B2 (en) * | 2010-12-10 | 2015-07-21 | Mitsubishi Electric Research Laboratories, Inc. | Secure wireless communication using rate-adaptive codes |
-
2015
- 2015-11-13 CN CN201510781422.1A patent/CN106713233B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9241008B2 (en) * | 2009-09-04 | 2016-01-19 | Raytheon Company | System, method, and software for cyber threat analysis |
CN101727627A (zh) * | 2009-12-16 | 2010-06-09 | 工业和信息化部电子第五研究所 | 一种基于组合评估法的信息系统安全风险评估模型 |
CN101930490A (zh) * | 2010-08-06 | 2010-12-29 | 西北工业大学 | 民机驾驶舱人机功能分配方法 |
CN102625312A (zh) * | 2012-04-25 | 2012-08-01 | 重庆邮电大学 | 基于分层入侵检测的传感网安全系统 |
CN103581155A (zh) * | 2012-08-08 | 2014-02-12 | 贵州电网公司信息通信分公司 | 信息安全态势分析方法与系统 |
CN104956380A (zh) * | 2012-11-16 | 2015-09-30 | Medidata解决方案公司 | 用于远程站点监控的方法和装置 |
CN104134040A (zh) * | 2014-07-25 | 2014-11-05 | 中国人民解放军信息工程大学 | 一种基于信息融合的二进制恶意代码威胁性评估方法 |
CN104166060A (zh) * | 2014-08-15 | 2014-11-26 | 国家电网公司 | 一种考虑大规模风电接入的抗差状态估计方法 |
CN104601567A (zh) * | 2015-01-12 | 2015-05-06 | 国家电网公司 | 一种基于电力信息网络安全事件挖掘的指标化安全度量方法 |
CN105023195A (zh) * | 2015-05-29 | 2015-11-04 | 江苏省电力公司常州供电公司 | 含分布式光伏配电网可靠性评价方法 |
CN105005708A (zh) * | 2015-08-13 | 2015-10-28 | 山东大学 | 一种基于ap聚类算法的广义负荷特性聚类方法 |
Non-Patent Citations (3)
Title |
---|
城市电网供电能力模糊评估确定权重的方法研究;张静芳;《昆明理工大学学报》;20080228;第33卷(第1期);71-74 * |
基于层次分析和变权重机制的电网安全指标计算及展示方法;徐鹏;《电力系统自动化》;20150425;第39卷(第8期);133-140 * |
微电网建设规划方案评估与选择;黄雄峰;《电工技术学报》;20151130;第30卷(第21期);76-81 * |
Also Published As
Publication number | Publication date |
---|---|
CN106713233A (zh) | 2017-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106713233B (zh) | 一种网络安全状态的判断与保护方法 | |
Khan et al. | A privacy-conserving framework based intrusion detection method for detecting and recognizing malicious behaviours in cyber-physical power networks | |
WO2021077642A1 (zh) | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 | |
CN107204876B (zh) | 一种网络安全风险评估方法 | |
CN108881110B (zh) | 一种安全态势评估与防御策略联合决策方法及系统 | |
US20170324757A1 (en) | Multiple detector methods and systems for defeating low and slow application ddos attacks | |
Li et al. | Analyzing host security using D‐S evidence theory and multisource information fusion | |
CN111680863A (zh) | 基于层次分析法的网络环境安全状况评估方法 | |
CN105868629B (zh) | 一种适用于电力信息物理系统的安全威胁态势评估方法 | |
CN106534212A (zh) | 基于用户行为和数据状态的自适应安全防护方法及系统 | |
US20220224721A1 (en) | Ordering security incidents using alert diversity | |
US20200244693A1 (en) | Systems and methods for cybersecurity risk assessment of users of a computer network | |
CN109753772A (zh) | 一种账户安全验证方法及系统 | |
Iftikhar et al. | Towards the selection of best neural network system for intrusion detection | |
Chen et al. | Multi-level adaptive coupled method for industrial control networks safety based on machine learning | |
CN115378988A (zh) | 基于知识图谱的数据访问异常检测及控制方法、装置 | |
Tang et al. | Detection and classification of anomaly intrusion using hierarchy clustering and SVM | |
CN114117337A (zh) | 一种面向工业控制终端设备的单向安全检测与多因子加权评估系统 | |
Bian et al. | Network security situational assessment model based on improved AHP_FCE | |
Shahbaz Pervez et al. | A comparative analysis of artificial neural network technologies in intrusion detection systems | |
Xing et al. | Hierarchical network security measurement and optimal proactive defense in cloud computing environments | |
CN109871711A (zh) | 海洋大数据共享分发风险控制模型及方法 | |
Zhao et al. | Construction and Security Measurement of Cybersecurity Metrics Framework Based on Network Behavior | |
Obimbo et al. | Multiple SOFMs working cooperatively in a vote-based ranking system for network intrusion detection | |
Zhang et al. | A qualitative and quantitative risk assessment method in software security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |