CN108449218B - 下一代关键信息基础设施的网络安全态势感知系统 - Google Patents

下一代关键信息基础设施的网络安全态势感知系统 Download PDF

Info

Publication number
CN108449218B
CN108449218B CN201810533689.2A CN201810533689A CN108449218B CN 108449218 B CN108449218 B CN 108449218B CN 201810533689 A CN201810533689 A CN 201810533689A CN 108449218 B CN108449218 B CN 108449218B
Authority
CN
China
Prior art keywords
network
virus
host
security
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810533689.2A
Other languages
English (en)
Other versions
CN108449218A (zh
Inventor
谢铭
陈祖斌
翁小云
张鹏
袁勇
杭聪
马虹哲
黎新
黄俊杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of Guangxi Power Grid Co Ltd
Guangxi Power Grid Co Ltd
Original Assignee
Guangxi Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangxi Power Grid Co Ltd filed Critical Guangxi Power Grid Co Ltd
Priority to CN201810533689.2A priority Critical patent/CN108449218B/zh
Publication of CN108449218A publication Critical patent/CN108449218A/zh
Application granted granted Critical
Publication of CN108449218B publication Critical patent/CN108449218B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了下一代关键信息基础设施的网络安全态势感知系统,包括恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块、人工智能网络安全态势评估模块和安全态势展示模块,其中恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块皆与人工智能网络安全态势评估模块连接,人工智能网络安全态势评估模块与安全态势展示模块连接。

Description

下一代关键信息基础设施的网络安全态势感知系统
技术领域
本发明涉及网络信息安全领域,具体涉及下一代关键信息基础设施的网络安全态势感知系统。
背景技术
下一代关键信息基础设施与人们的生活息息相关,保证下一代关键信息基础设施的安全稳定运行是人们的必然需求。然而恶性病毒、网络攻击、钓鱼邮件、系统漏洞等问题日渐突出,加之网络设计缺陷和软硬件漏洞,使得下一代关键信息基础设施的网络空间安全形势日趋严重,若应对不当,将会给经济发展和国家安全带来不利的影响,因此有必要设计一种下一代关键信息基础设施的网络安全态势感知系统。
发明内容
针对上述问题,本发明提供下一代关键信息基础设施的网络安全态势感知系统。
本发明的目的采用以下技术方案来实现:
提供了下一代关键信息基础设施的网络安全态势感知系统,该系统包括恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块、人工智能网络安全态势评估模块和安全态势展示模块,其中恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块皆与人工智能网络安全态势评估模块连接,人工智能网络安全态势评估模块与安全态势展示模块连接;
其中,恶性病毒感知防御模块用于对下一代关键信息基础设施网络进行恶性病毒检测,将恶性病毒检测结果发送至人工智能网络安全态势评估模块,并对检测出的恶性病毒进行处理,实现对下一代关键信息基础设施网络的恶性病毒感知和防御;
漏洞扫描数据获取模块用于采用指定的漏洞扫描系统对下一代关键信息基础设施网络各主机进行漏洞扫描,获取存在中高级以上漏洞的主机信息,并将该主机信息发送至人工智能网络安全态势评估模块;
普通病毒清除数据获取模块用于统计已安装指定的网络防病毒系统的主机数量,并用于根据网络防病毒系统获取所在主机的普通病毒检测结果以及普通病毒清除结果,将获取的数据发送至人工智能网络安全态势评估模块;
人工智能网络安全态势评估模块用于按照选定时段提取恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块发送的数据,并根据提取的数据计算该时段内下一代关键信息基础设施网络的安全态势值;
安全态势展示模块,用于通过图表展示下一代关键信息基础设施网络的历史安全态势值及相关的安全威胁处理方案。
进一步地,系统还包括人工智能预警模块,用于根据下一代关键信息基础设施网络的安全态势值定期计算网络安全警告级别,并将计算的网络安全警告级别发送给系统管理员。
优选地,所述的恶性病毒感知防御模块包括设置于下一代关键信息基础设施网络各主机上的监测单元、恶性病毒检测单元、恶性病毒防御单元;监测单元用于监测所在主机,记录所在主机的行为信息并将记录的行为信息发送至恶性病毒检测单元;恶性病毒检测单元用于对来自各个监测单元发送的行为信息进行标准恶性病毒检测,当检测到行为信息存在恶性病毒时,将该行为信息保存下来作为恶性病毒的标准特征信息,并利用恶性病毒的标准特征信息对后续的行为信息进行快速恶性病毒检测;恶性病毒防御单元与恶性病毒检测单元连接,用于根据恶性病毒检测单元输出的恶性病毒检测结果生成相应的威胁抑制/消除策略,并采用生成的威胁抑制/消除策略对受到恶性病毒感染的主机进行处理,实现对下一代关键信息基础设施网络的恶性病毒防御。
优选地,恶性病毒检测单元对来自各个监测单元发送的行为信息进行标准恶性病毒检测,具体包括:
(1)比较同一个周期内来自各个监测单元发送的行为信息,并构建主机列表,将具有相同行为信息且属性不同的主机归入同一个主机列表,并将该相同的行为信息作为对应主机列表的标识,其中具有相同的业务类型的主机属于同一属性;每个主机列表存储有作为标识的行为信息、所包含的各主机的连接节点数量以及所在的网络域信息,其中若所在主机列表中主机i与主机j交换过网络报文,则主机i与主机j互为对方的连接节点;
(2)判断各主机列表中作为标识的行为信息是否为恶性病毒,当是时,恶性病毒检测单元将该作为标识的行为信息保存下来作为恶性病毒的标准特征信息,其中,当主机列表满足下列条件时,判定该主机列表中作为标识的行为信息为恶性病毒:
式中,mk为主机列表k中包含的主机数量,nkl为主机列表k中第l个主机的连接节点数量,为由主机列表k中各主机覆盖的网络域数量,N1为设定的第一数量上限,N2为设定的第二数量上限;表示对的值进行取整;为比较函数,当时,时,
优选地,所述的行为信息包括文件系统操作行为、注册表操作行为、网络报文发送行为;当两主机存在相同的文件系统操作行为、注册表操作行为或者网络报文发送行为时,判定两主机具有相同行为信息。
优选地,设定安全态势值的计算公式为:
式中,Φμ表示第μ个时段内的下一代关键信息基础设施网络的安全态势值,αμ为在第μ个时段内行为信息被检测出恶性病毒的主机数量,Ψ为下一代关键信息基础设施网络的主机总数量,βμ为在第μ个时段内已安装指定的网络防病毒系统、被检测出恶性病毒的主机数量,Ψ1为所有主机中已安装指定的网络防病毒系统的主机数量,γμ为在第μ个时段内存在中高级以上漏洞的主机数量,δ为已安装指定的网络防病毒系统的主机数量,εμ为在第μ个时段内网络防病毒系统检测出存在普通病毒但是无法清除的主机数量,为在第μ个时段内网络防病毒系统检测出存在普通病毒的主机数量,λ1、λ2、λ3为设定的权重系数且满足λ123=1。
优选地,人工智能预警模块根据下一代关键信息基础设施网络的安全态势值定期确定网络安全警告级别,具体包括:
(1)定期提取单位周期内下一代关键信息基础设施网络的安全态势值数据,根据安全态势值数据计算当前周期的下一代关键信息基础设施网络的安全威胁程度:
式中,W(t)表示第t个单位周期的下一代关键信息基础设施网络的安全威胁程度,Φv+1为第t个单位周期内第v+1个时段的下一代关键信息基础设施网络的安全态势值,Φv为第t个单位周期内第v个时段的下一代关键信息基础设施网络的安全态势值,θ(t)为第t个单位周期内的时段数量;
(2)确定网络安全警告级别,具体为:当前周期内所有安全态势值都大于设定的安全态势值下限,且安全威胁程度小于设定的安全威胁程度上限时,判定网络安全警告级别为普通;当前周期内所有安全态势值中有一项小于设定的安全态势值下限,且安全威胁程度小于设定的安全威胁程度上限时,判定网络安全警告级别为中级;当前周期内所有安全态势值中有两项以上小于设定的安全态势值下限,或者安全威胁程度大于设定的安全威胁程度上限时,判定网络安全警告级别为高级。
本发明的有益效果为:该下一代关键信息基础设施的网络安全态势感知系统,能够对下一代关键信息基础设施网络的风险情况进行智能感知,并自动完成风险状态分析、显示及报警工作。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1是本发明一个示例性实施例的系统结构示意框图;
图2是本发明一个示例性实施例的恶性病毒感知防御模块的结构示意框图。
附图标记:
恶性病毒感知防御模块1、漏洞扫描数据获取模块2、普通病毒清除数据获取模块3、人工智能网络安全态势评估模块4、安全态势展示模块5、人工智能预警模块6、监测单元10、恶性病毒检测单元20、恶性病毒防御单元30。
具体实施方式
结合以下实施例对本发明作进一步描述。
参见图1,本实施例提供了下一代关键信息基础设施的网络安全态势感知系统,其中,该系统包括恶性病毒感知防御模块1、漏洞扫描数据获取模块2、普通病毒清除数据获取模块3、人工智能网络安全态势评估模块4和安全态势展示模块5,其中恶性病毒感知防御模块1、漏洞扫描数据获取模块2、普通病毒清除数据获取模块3皆与人工智能网络安全态势评估模块4连接,人工智能网络安全态势评估模块4与安全态势展示模块5连接。
其中,恶性病毒感知防御模块1用于对下一代关键信息基础设施网络进行恶性病毒检测,将恶性病毒检测结果发送至人工智能网络安全态势评估模块4,并对检测出的恶性病毒进行处理,实现对下一代关键信息基础设施网络的恶性病毒感知和防御。
其中,本实施例中的恶性病毒指的是一种通过网络传播的计算机病毒,它不能够由现有的网络防病毒系统检测出来,具有普通病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生,对网络造成拒绝服务,以及和黑客技术相结合等等。常见的恶性病毒例如主机蠕虫、网络蠕虫等。
其中,漏洞扫描数据获取模块2用于采用指定的漏洞扫描系统对下一代关键信息基础设施网络各主机进行漏洞扫描,获取存在中高级以上漏洞的主机信息,并将该主机信息发送至人工智能网络安全态势评估模块4。
其中,普通病毒清除数据获取模块3用于统计已安装指定的网络防病毒系统的主机数量,并用于根据网络防病毒系统获取所在主机的普通病毒检测结果以及普通病毒清除结果,将获取的数据发送至人工智能网络安全态势评估模块4。
其中,人工智能网络安全态势评估模块4用于按照选定时段提取恶性病毒感知防御模块1、漏洞扫描数据获取模块2、普通病毒清除数据获取模块3发送的数据,并根据提取的数据计算该时段内下一代关键信息基础设施网络的安全态势值。
其中,安全态势展示模块5,用于通过图表展示下一代关键信息基础设施网络的历史安全态势值及相关的安全威胁处理方案。该相关的安全威胁处理方案可以由专家根据历史经验进行设置。
本实施例中,该下一代关键信息基础设施的网络安全态势感知系统,能够对下一代关键信息基础设施网络的风险情况进行智能感知,并自动完成风险状态分析、显示及报警工作。
进一步地,系统还包括人工智能预警模块6,用于根据下一代关键信息基础设施网络的安全态势值定期计算网络安全警告级别,并将计算的网络安全警告级别发送给系统管理员。
其中,人工智能预警模块6采用语音电话、短信、微信推送机或者系统消息的方式将计算的网络安全警告级别发送给系统管理员。
本发明上述实施例使得系统具备自动预警的功能,通过人工智能预警模块6自动计算网络安全警告级别并通知到相关的系统管理员,能够便于系统管理员及时获取下一代关键信息基础设施网络的风险程度。
在一个实施例中,如图2所示,所述的恶性病毒感知防御模块1包括设置于下一代关键信息基础设施网络各主机上的监测单元10、恶性病毒检测单元20、恶性病毒防御单元30;监测单元10用于监测所在主机,记录所在主机的行为信息并将记录的行为信息发送至恶性病毒检测单元;恶性病毒检测单元20用于对来自各个监测单元10发送的行为信息进行标准恶性病毒检测,当检测到行为信息存在恶性病毒时,将该行为信息保存下来作为恶性病毒的标准特征信息,并利用恶性病毒的标准特征信息对后续的行为信息进行快速恶性病毒检测;恶性病毒防御单元30与恶性病毒检测单元20连接,用于根据恶性病毒检测单元20输出的恶性病毒检测结果生成相应的威胁抑制/消除策略,并采用生成的威胁抑制/消除策略对受到恶性病毒感染的主机进行处理,实现对下一代关键信息基础设施网络的恶性病毒防御。
在一种可选的实施方式中,可以根据恶性病毒检测结果进行分析,确定恶性病毒的传播范围,进而确定受到恶性病毒感染的主机。其中,采用生成的威胁抑制/消除策略对受到恶性病毒感染的主机进行处理,包括利用生成的威胁抑制/消除策略设计防火墙规则,从而利用防火墙规则对受到恶性病毒感染的主机进行威胁隔离。
上述实施例从网络全局的层次对恶性病毒入侵进行感知,首先对来自各个监测单元10发送的行为信息进行标准恶性病毒检测,当检测到恶性病毒后,将相应的主机行为信息保存下来作为恶性病毒的特征信息,并在之后的恶性病毒检测中利用该保存的恶性病毒的特征信息进行恶性病毒检测。上述实施例在初始时并不需要获取恶性病毒的样本特征,而且在后续利用检测出的恶性病毒信息作为样本进行检测,能够大幅度提高恶性病毒的检测速度,提高下一代关键信息基础设施网络风险检测的效率。
在一个实施例中,恶性病毒检测单元20对来自各个监测单元10发送的行为信息进行标准恶性病毒检测,具体包括:
(1)比较同一个周期内来自各个监测单元10发送的行为信息,并构建主机列表,将具有相同行为信息且属性不同的主机归入同一个主机列表,并将该相同的行为信息作为对应主机列表的标识,其中具有相同的业务类型的主机属于同一属性;每个主机列表存储有作为标识的行为信息、所包含的各主机的连接节点数量以及所在的网络域信息,其中若所在主机列表中主机i与主机j交换过网络报文,则主机i与主机j互为对方的连接节点;
其中,所述的行为信息包括文件系统操作行为、注册表操作行为、网络报文发送行为;当两主机存在相同的文件系统操作行为、注册表操作行为或者网络报文发送行为时,判定两主机具有相同行为信息;
(2)判断各主机列表中作为标识的行为信息是否为恶性病毒,当是时,恶性病毒检测单元20将该作为标识的行为信息保存下来作为恶性病毒的标准特征信息,其中,当主机列表满足下列条件时,判定该主机列表中作为标识的行为信息为恶性病毒:
式中,mk为主机列表k中包含的主机数量,nkl为主机列表k中第l个主机的连接节点数量,为由主机列表k中各主机覆盖的网络域数量,N1为设定的第一数量上限,N2为设定的第二数量上限;表示对的值进行取整;为比较函数,当时,时,
本实施例设定了对行为信息进行标准恶性病毒检测的机制,该机制使用多元化的行为信息记录作为对恶性病毒的跟踪线索,能够捕捉到恶性病毒通过多种方式传播的记录,从而适用于检测具有不同传播方式的恶性病毒;该机制基于相同行为信息在网络中的传播现象来检测恶性病毒,符合恶性病毒的本质特征,其中,本实施例创新性地设定了恶性病毒的判定条件,基于该判定条件检测该主机列表中作为标识的行为信息是否为恶性病毒,方式简单,提高了恶性病毒的检测效率。
在一个实施例中,设定安全态势值的计算公式为:
式中,Φμ表示第μ个时段内的下一代关键信息基础设施网络的安全态势值,αμ为在第μ个时段内行为信息被检测出恶性病毒的主机数量,Ψ为下一代关键信息基础设施网络的主机总数量,βμ为在第μ个时段内已安装指定的网络防病毒系统、被检测出恶性病毒的主机数量,δ为所有主机中已安装指定的网络防病毒系统的主机数量,γμ为在第μ个时段内存在中高级以上漏洞的主机数量,εμ为在第μ个时段内网络防病毒系统检测出存在普通病毒但是无法清除的主机数量,为在第μ个时段内网络防病毒系统检测出存在普通病毒的主机数量,λ1、λ2、λ3为设定的权重系数且满足λ123=1。
本实施例根据恶性病毒感知防御模块1、漏洞扫描数据获取模块2、普通病毒清除数据获取模块3发送的数据,从恶性病毒检测率、漏洞检测率以及普通病毒清除率多个角度出发,设定了安全态势值的计算公式,能够较综合全面、客观真实地反映下一代关键信息基础设施网络安全态势;人工智能网络安全态势评估模块4通过该计算公式自动地分析并计算出各时段的安全态势值,不需要人为去统计,大大节省了人力,提高了网络安全态势预测和评估的效率。
在一个实施例中,人工智能预警模块6根据下一代关键信息基础设施网络的安全态势值定期确定网络安全警告级别,具体包括:
(1)定期提取单位周期内下一代关键信息基础设施网络的安全态势值数据,根据安全态势值数据计算当前周期的下一代关键信息基础设施网络的安全威胁程度:
式中,W(t)表示第t个单位周期的下一代关键信息基础设施网络的安全威胁程度,Φv+1为第t个单位周期内第v+1个时段的下一代关键信息基础设施网络的安全态势值,Φv为第t个单位周期内第v个时段的下一代关键信息基础设施网络的安全态势值,θ(t)为第t个单位周期内的时段数量;
(2)确定网络安全警告级别,具体为:当前周期内所有安全态势值都大于设定的安全态势值下限,且安全威胁程度小于设定的安全威胁程度上限时,判定网络安全警告级别为普通;当前周期内所有安全态势值中有一项小于设定的安全态势值下限,且安全威胁程度小于设定的安全威胁程度上限时,判定网络安全警告级别为中级;当前周期内所有安全态势值中有两项以上小于设定的安全态势值下限,或者安全威胁程度大于设定的安全威胁程度上限时,判定网络安全警告级别为高级。
本实施例设定了网络安全警告级别的确定机制,该机制在判定网络安全警告级别时,不仅考虑了安全态势值的大小情况,还考虑了当前周期的下一代关键信息基础设施网络的安全威胁程度,其中本实施例创新性地设定了下一代关键信息基础设施网络的安全威胁程度的计算公式,计算出的安全威胁程度能够客观准确真实地反映出下一代关键信息基础设施网络的安全态势值变化程度,基于安全态势值和安全威胁程度来判定网络安全警告级别,使得网络安全警告级别的确定更加客观、准确。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。

Claims (5)

1.下一代关键信息基础设施的网络安全态势感知系统,其特征是,包括恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块、人工智能网络安全态势评估模块和安全态势展示模块,其中恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块皆与人工智能网络安全态势评估模块连接,人工智能网络安全态势评估模块与安全态势展示模块连接;
其中,恶性病毒感知防御模块用于对下一代关键信息基础设施网络进行恶性病毒检测,将恶性病毒检测结果发送至人工智能网络安全态势评估模块,并对检测出的恶性病毒进行处理,实现对下一代关键信息基础设施网络的恶性病毒感知和防御;
漏洞扫描数据获取模块用于采用指定的漏洞扫描系统对下一代关键信息基础设施网络各主机进行漏洞扫描,获取存在中高级以上漏洞的主机信息,并将该主机信息发送至人工智能网络安全态势评估模块;
普通病毒清除数据获取模块用于统计已安装指定的网络防病毒系统的主机数量,并用于根据网络防病毒系统获取所在主机的普通病毒检测结果以及普通病毒清除结果,将获取的数据发送至人工智能网络安全态势评估模块;
人工智能网络安全态势评估模块用于按照选定时段提取恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块发送的数据,并根据提取的数据计算该时段内下一代关键信息基础设施网络的安全态势值;
安全态势展示模块,用于通过图表展示下一代关键信息基础设施网络的历史安全态势值及相关的安全威胁处理方案;
所述的恶性病毒感知防御模块包括设置于下一代关键信息基础设施网络各主机上的监测单元、恶性病毒检测单元、恶性病毒防御单元;监测单元用于监测所在主机,记录所在主机的行为信息并将记录的行为信息发送至恶性病毒检测单元;恶性病毒检测单元用于对来自各个监测单元发送的行为信息进行标准恶性病毒检测,当检测到行为信息存在恶性病毒时,将该行为信息保存下来作为恶性病毒的标准特征信息,并利用恶性病毒的标准特征信息对后续的行为信息进行快速恶性病毒检测;恶性病毒防御单元与恶性病毒检测单元连接,用于根据恶性病毒检测单元输出的恶性病毒检测结果生成相应的威胁抑制/消除策略,并采用生成的威胁抑制/消除策略对受到恶性病毒感染的主机进行处理,实现对下一代关键信息基础设施网络的恶性病毒防御;
恶性病毒检测单元对来自各个监测单元发送的行为信息进行标准恶性病毒检测,具体包括:
(1)比较同一个周期内来自各个监测单元发送的行为信息,并构建主机列表,将具有相同行为信息且属性不同的主机归入同一个主机列表,并将该相同的行为信息作为对应主机列表的标识,其中具有相同的业务类型的主机属于同一属性;每个主机列表存储有作为标识的行为信息、所包含的各主机的连接节点数量以及所在的网络域信息,其中若所在主机列表中主机i与主机j交换过网络报文,则主机i与主机j互为对方的连接节点;
(2)判断各主机列表中作为标识的行为信息是否为恶性病毒,当是时,恶性病毒检测单元将该作为标识的行为信息保存下来作为恶性病毒的标准特征信息,其中,当主机列表满足下列条件时,判定该主机列表中作为标识的行为信息为恶性病毒:
式中,mk为主机列表k中包含的主机数量,nkl为主机列表k中第l个主机的连接节点数量,为由主机列表k中各主机覆盖的网络域数量,N1为设定的第一数量上限,N2为设定的第二数量上限;表示对的值进行取整;为比较函数,当时,时,
2.根据权利要求1所述的下一代关键信息基础设施的网络安全态势感知系统,其特征是,还包括人工智能预警模块,用于根据下一代关键信息基础设施网络的安全态势值定期计算网络安全警告级别,并将计算的网络安全警告级别发送给系统管理员。
3.根据权利要求1所述的下一代关键信息基础设施的网络安全态势感知系统,其特征是,所述的行为信息包括文件系统操作行为、注册表操作行为、网络报文发送行为;当两主机存在相同的文件系统操作行为、注册表操作行为或者网络报文发送行为时,判定两主机具有相同行为信息。
4.根据权利要求1所述的下一代关键信息基础设施的网络安全态势感知系统,其特征是,设定安全态势值的计算公式为:
式中,Φμ表示第μ个时段内的下一代关键信息基础设施网络的安全态势值,αμ为在第μ个时段内行为信息被检测出恶性病毒的主机数量,Ψ为下一代关键信息基础设施网络的主机总数量,βμ为在第μ个时段内已安装指定的网络防病毒系统、被检测出恶性病毒的主机数量,δ为所有主机中已安装指定的网络防病毒系统的主机数量,γμ为在第μ个时段内存在中高级以上漏洞的主机数量,εμ为在第μ个时段内网络防病毒系统检测出存在普通病毒但是无法清除的主机数量,为在第μ个时段内网络防病毒系统检测出存在普通病毒的主机数量,λ1、λ2、λ3为设定的权重系数且满足λ123=1。
5.根据权利要求4所述的下一代关键信息基础设施的网络安全态势感知系统,其特征是,人工智能预警模块根据下一代关键信息基础设施网络的安全态势值定期确定网络安全警告级别,具体包括:
(1)定期提取单位周期内下一代关键信息基础设施网络的安全态势值数据,根据安全态势值数据计算当前周期的下一代关键信息基础设施网络的安全威胁程度:
式中,W(t)表示第t个单位周期的下一代关键信息基础设施网络的安全威胁程度,Φv+1为第t个单位周期内第v+1个时段的下一代关键信息基础设施网络的安全态势值,Φv为第t个单位周期内第v个时段的下一代关键信息基础设施网络的安全态势值,θ(t)为第t个单位周期内的时段数量;
(2)确定网络安全警告级别,具体为:当前周期内所有安全态势值都大于设定的安全态势值下限,且安全威胁程度小于设定的安全威胁程度上限时,判定网络安全警告级别为普通;当前周期内所有安全态势值中有一项小于设定的安全态势值下限,且安全威胁程度小于设定的安全威胁程度上限时,判定网络安全警告级别为中级;当前周期内所有安全态势值中有两项以上小于设定的安全态势值下限,或者安全威胁程度大于设定的安全威胁程度上限时,判定网络安全警告级别为高级。
CN201810533689.2A 2018-05-29 2018-05-29 下一代关键信息基础设施的网络安全态势感知系统 Active CN108449218B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810533689.2A CN108449218B (zh) 2018-05-29 2018-05-29 下一代关键信息基础设施的网络安全态势感知系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810533689.2A CN108449218B (zh) 2018-05-29 2018-05-29 下一代关键信息基础设施的网络安全态势感知系统

Publications (2)

Publication Number Publication Date
CN108449218A CN108449218A (zh) 2018-08-24
CN108449218B true CN108449218B (zh) 2019-03-08

Family

ID=63205078

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810533689.2A Active CN108449218B (zh) 2018-05-29 2018-05-29 下一代关键信息基础设施的网络安全态势感知系统

Country Status (1)

Country Link
CN (1) CN108449218B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120626A (zh) * 2018-08-28 2019-01-01 深信服科技股份有限公司 安全威胁处理方法、系统、安全感知服务器及存储介质
CN109660561B (zh) * 2019-01-24 2021-06-11 西安电子科技大学 一种网络安全防御体系量化评估方法、网络安全评估平台
CN110290048A (zh) * 2019-05-17 2019-09-27 国家工业信息安全发展研究中心 政府网络安全信息通报系统
CN111274583A (zh) * 2020-01-17 2020-06-12 湖南城市学院 一种大数据计算机网络安全防护装置及其控制方法
CN112995196B (zh) * 2021-03-23 2022-12-02 上海纽盾科技股份有限公司 网络安全等级保护中态势感知信息的处理方法及系统
CN117914625B (zh) * 2024-03-11 2024-05-24 四川九洲视讯科技有限责任公司 基于关键信息基础设施的网络安全态势评估方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624696A (zh) * 2011-12-27 2012-08-01 中国航天科工集团第二研究院七〇六所 一种网络安全态势评估方法
CN104270372A (zh) * 2014-10-11 2015-01-07 国家电网公司 一种参数自适应的网络安全态势量化评估方法
CN107332698A (zh) * 2017-06-19 2017-11-07 西北大学 一种面向明长城智能感知系统的安全态势感知系统及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100955281B1 (ko) * 2007-10-18 2010-04-30 한국정보보호진흥원 위협 관리를 위한 보안 위험도 평가 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624696A (zh) * 2011-12-27 2012-08-01 中国航天科工集团第二研究院七〇六所 一种网络安全态势评估方法
CN104270372A (zh) * 2014-10-11 2015-01-07 国家电网公司 一种参数自适应的网络安全态势量化评估方法
CN107332698A (zh) * 2017-06-19 2017-11-07 西北大学 一种面向明长城智能感知系统的安全态势感知系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于 Netflow 的网络安全态势感知系统研究;赖积报等;《计算机应用研究》;20070831;第24卷(第8期);全文

Also Published As

Publication number Publication date
CN108449218A (zh) 2018-08-24

Similar Documents

Publication Publication Date Title
CN108449218B (zh) 下一代关键信息基础设施的网络安全态势感知系统
CN105407103B (zh) 一种基于多粒度异常检测的网络威胁评估方法
CN104486141B (zh) 一种误报自适应的网络安全态势预测方法
CN104901971B (zh) 对网络行为进行安全分析的方法和装置
CN105072214B (zh) 基于域名特征的c&c域名识别方法
US9692779B2 (en) Device for quantifying vulnerability of system and method therefor
CN108600275B (zh) 基于人工智能的威胁情景感知信息安全主动防御系统
RU2011138462A (ru) Использование решений пользователей для обнаружения неизвестных компьютерных угроз
Raghavendra et al. Novel presentation attack detection algorithm for face recognition system: Application to 3D face mask attack
CN109257393A (zh) 基于机器学习的xss攻击防御方法及装置
CN107864128B (zh) 基于网络行为的扫描检测方法、装置、可读存储介质
Sarno et al. Who are phishers luring?: A demographic analysis of those susceptible to fake emails
CN109167794A (zh) 一种面向网络系统安全度量的攻击检测方法
CN104598820A (zh) 一种基于特征行为分析的木马病检测方法
CN110351291A (zh) 基于多尺度卷积神经网络的DDoS攻击检测方法及装置
CN106375303A (zh) 攻击防御方法及装置
CN116010551A (zh) 聊天文本检测方法及其装置、设备、介质
CN108881179A (zh) 应用于智能电网的输电线路可靠监测系统
CN103593610A (zh) 基于计算机免疫的间谍软件自适应诱导与检测方法
CN110516170A (zh) 一种检查异常web访问的方法及装置
CN111885011B (zh) 一种业务数据网络安全分析挖掘的方法及系统
Kumar et al. Intrusion detection system-false positive alert reduction technique
CN108494801B (zh) 安全态势感知防护系统
Iizuka et al. Corrective information does not necessarily curb social disruption
CN108802331A (zh) 土壤质量安全监测系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210414

Address after: No. 6 Democracy Road, Xingning District, Nanning City, Guangxi Zhuang Autonomous Region, 530000

Patentee after: GUANGXI POWER GRID Co.,Ltd.

Patentee after: ELECTRIC POWER RESEARCH INSTITUTE, GUANGXI POWER GRID Co.,Ltd.

Address before: No. 6 Democracy Road, Xingning District, Nanning City, Guangxi Zhuang Autonomous Region, 530000

Patentee before: GUANGXI POWER GRID Co.,Ltd.