CN108566307A - 一种定量化的网络安全保护强度评估方法及系统 - Google Patents
一种定量化的网络安全保护强度评估方法及系统 Download PDFInfo
- Publication number
- CN108566307A CN108566307A CN201810406873.0A CN201810406873A CN108566307A CN 108566307 A CN108566307 A CN 108566307A CN 201810406873 A CN201810406873 A CN 201810406873A CN 108566307 A CN108566307 A CN 108566307A
- Authority
- CN
- China
- Prior art keywords
- software action
- software
- network
- security protection
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/14—Arrangements for monitoring or testing data switching networks using software, i.e. software packages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开了一种定量化的网络安全保护强度评估方法及系统,包括采用网络节点中的软件行为监视代理程序持续监视并采集节点的软件行为特征,并将软件行为特征发送到软件行为数据库;从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型;网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估,计算出定量化的网络安全保护强度。本发明通过对网络的实际软件行为进行观测度量,利用机器学习方法建模,获得定量化的网络安全保护强度评估结果。
Description
技术领域
本发明涉及信息安全技术领域,具体来说,涉及一种定量化的网络安全保护强度评估方法和系统。
背景技术
网络安全保护强度评估对网络安全建设和改进非常重要,对应用的规划、开发、服务也非常关键。传统网络安全保护强度分析一般采用对标方法或者基于漏洞的风险评估方法,很难对网络的真实安全保护强度进行定量化分析。
发明内容
本发明的目的在于提出一种定量化的网络安全保护强度评估方法和系统,以克服现有技术中存在的上述不足。
为实现上述技术目的,本发明的技术方案是这样实现的:
一种定量化的网络安全保护强度评估方法,所述方法包括以下步骤:
采用网络节点中的软件行为监视代理程序持续监视并采集节点的软件行为特征,并将所述软件行为特征发送到软件行为数据库;
从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型;
网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估,计算出定量化的网络安全保护强度。
进一步的,将软件行为监视代理程序通过钩子程序的方式置于网络节点的系统内核中,并采用内核保护机制进行保护。
进一步的,所述机器学习算法采用隐马尔科夫模型算法,将网络安全保护强度作为隐马尔科夫模型的状态变量,将软件行为特征作为观测变量。
进一步的,所述软件行为特征为可执行代码的调用和执行状态信息,所述调用和执行状态信息包括被调用代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户。
进一步的,采用离散化的方式来表示所述调用和执行状态信息和网络安全保护强度。
一种定量化的网络安全保护强度评估系统,所述系统包括:
信息采集模块,采用网络节点中的软件行为监视代理程序持续监视并采集节点的软件行为特征,并将所述软件行为特征发送到软件行为数据库;
模型训练模块,从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型;
网络安全保护强度评估模块,网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估,计算出定量化的网络安全保护强度。
进一步的,将软件行为监视代理程序通过钩子程序的方式置于网络节点的系统内核中,并采用内核保护机制进行保护。
进一步的,所述机器学习算法采用隐马尔科夫模型算法,将网络安全保护强度作为隐马尔科夫模型的状态变量,将软件行为特征作为观测变量。
进一步的,所述软件行为特征为可执行代码的调用和执行状态信息,所述调用和执行状态信息包括被调用代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户。
进一步的,采用离散化的方式来表示所述调用和执行状态信息和网络安全保护强度。
本发明的有益效果:第一,通过可以观测的网络软件行为特征,推算出不可以直接观测的网络安全保护强度;第二,通过定量化的评估方法克服了传统的定性评估方法的局限性,使评估结果更具确定性,更为可信;第三,基于网络安全保护强度的评估结果,进一步发现系统在网络安全结构、网络安全技术措施、网络安全管理制度及其落实方面存在的弱点,为网络安全建设和改进提供科学依据。
附图说明
图1是本发明所述方法的流程图;
图2是本发明中网络节点软件行为特征采集流程示意图;
图3是本发明所述系统的结构示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
一般来讲,真实系统中的网络安全保护强度不可能被直接度量,但是不同等级的网络安全保护强度是会通过其全局性的网络软件行为表现出来,比如网络安全保护强度弱的系统中,病毒等恶意软件的发作及其感染范围就会大,而网络安全保护强度较高的系统中,恶意软件发生的机率和范围就会小。
基于以上认识,如图1所示,根据本发明的实施例所述的一种定量化的网络安全保护强度评估方法,所述方法包括以下步骤:
步骤一、采用网络节点中的软件行为监视代理程序持续监视并采集节点的软件行为特征,并将所述软件行为特征发送到软件行为数据库。
具体的,如图2所示,在本实施例中,所述软件行为特征为可执行代码的调用和执行状态信息可执行代码为系统可以调用并运行的文件,比如windows中的PE格式文件或者Java虚拟机中的“.class” 文件。首先,在网络节点中运行软件行为监视代理程序,所述程序通过钩子方式插入到操作系统内核中的相关程序模块中(如Windows系统中的createprocess()和loadlibrary(),linux系统中的exec()函数),同时在操作系统内核对可执行代码进行保护。软件行为监视代理程序以内核模块方式运行,且采用内核安全保护机制,避免了所述代码被规避监视和被非法终止运行。
软件行为监视代理程序对节点中的所有可执行代码调用过程进行监视,在所述代码实际被调用之前,提取代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户等信息,并通过网络发送到软件行为数据库中,作为一条网络节点软件行为记录保存。
步骤二、从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型,并将所述网络安全分析模型发送到网络分析安全平台。
具体的,节点的选取可通过人工进行标注选取或者设计预定义的规则进行自动标注选取。本发明所述方法动态且持续性地从软件行为数据库中获取新采集到的软件行为数据,重新统计和计算网络安全分析模型的参数,从而实现了对网络安全分析模型不断更新,保证了所述模型的泛化能力。
步骤三、网络分析安全平台中的安全网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估,计算出定量化的网络安全保护强度。
在本实施例中,采用了隐马尔科夫模型(HMM)来实现对网络安全保护强度定量化的计算。HMM是基于Markov链发展起来的,但是现实场景比Markov链模型复杂,网络系统的状态往往不可直接被观测和度量,而是通过可观测事件表现出来,但是这些观察事件与状态也不是一一对应,而是呈现概率分布关系。在HMM中,有两个随机过程:其中之一是Markov链,这是基本随机过程,它描述状态的转移,是隐含的。另一个随机过程描述状态和观察值之间的统计对应关系,是可被观测的。基于可观测的事件序列,使用Baum-Welch算法以及Reversed Viterbi算法寻找最可能的状态转移以及输出概率,得出HMM模型,然后使用Viterbi算法,寻找最可能的能产生某一特定输出序列的隐含状态的序列。在本发明中将网络安全保护强度作为HMM的状态变量(不可直接度量的隐状态),将软件行为特征作为观测变量;基于训练样本学习HMM的初始状态概率、状态转移概率和输出观测概率,建立网络安全分析模型,然后通过可以观测(可以采集和度量)的网络软件行为特征,计算出与当前网络软件行为最匹配的网络安全保护强度。
作为一种优选的实施方式,网络的软件行为特征可以采用多维度的向量标识。例如,将软件可信度分为高可信、中级可信和不可信三级,所述多维度的向量标识的坐标值包括被调用的中级可信软件数量,被调用的中级可信软件数量占比,被成功调用的中级可信软件数量占比,调用中级可信软件的网络节点数,调用中级可信软件的网络节点数占比,成功调用中级可信软件的网络节点数占比,被调用的不可信软件数量,被调用的不可信软件数量占比,被成功调用的不可信软件数量占比,调用不可信软件的网络节点数,调用不可信软件的网络节点数占比,成功调用不可信软件的网络节点数占比。为了使网络软件行为描述易于实现,一般要采用数值范围归类的方法,将上述向量的各坐标值用离散化方式描述。
具体的,通过以下步骤来实现对网络软件行为特征进行采集:
S1、统计相应时间范围内的软件行为记录数量,从而获得可执行代码调用总数,分别统计可信度为中和不可信的可执行代码调用总数及其被成功调用的总数;
S2、按安全域划分,基于IP地址分别统计各安全域内可信度为中和不可信的可执行代码调用总数及其被成功调用的总数;
S3、按用户名分别统计各用户可执行代码调用总量、可信度为中和不可信的可执行代码调用总数及其被成功调用的总数;
S4、基于以上统计量,分析出系统中可信度为中和不可信代码调用总次数以及被成功调用次数的比例,各区域中可信度为中和不可信代码调用总次数以及被成功调用次数的比例,各用户可信度为中和不可信代码调用总次数以及被成功调用次数的比例。这些比例可以反映系统整体、各部门以及各用户的安全保护能力及其保护效果。为了简化问题分析,并且与日常管理认识一致,对这些比例要采用归类方法实现离散化描述,比如比例分别为高、中、一般、低等。
对于软件可信度,本发明采用如下具体方式进行划分:如果软件属于用户自定义的软件白名单(或类似涵义),那么该可执行代码的可信度为高可信;如果可执行代码经过检测,不属于恶意软件,那么该可执行代码的可信度为中级可信;其它可执行代码的可信度为不可信。用户自定义的软件白名单要采用代码的hash值来标识可执行代码;如果没有定义软件白名单,那么没有可执行代码属于高可信软件。
进一步的,为了降低软件行为模型的数据稀疏和训练复杂度问题,采用数据范围划分归类的方法实现网络安全保护强度(HMM的状态变量)的离散化描述。本方法采用离散值方式(比如高、中、一般、低)标识网络安全保护强度。例如,如果系统每年安全事件发生次数小于1次(含1次),影响范围小于1%,那么其网络安全保护强度标注为高安全强度;如果每年安全事件发生次数小于2次(含2次),影响范围小于3%,那么其网络安全保护强度标注为中等安全强度。
基于本发明所述的定量化的网络安全保护强度评估方法,本发明还公开了一种定量化的网络安全保护强度评估系统,所述系统包括:
信息采集模块,采用网络节点中的软件行为监视代理程序持续监视并采集节点的软件行为特征,并将所述软件行为特征发送到软件行为数据库;
模型训练模块,从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型;
网络安全保护强度评估模块,网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估,计算出定量化的网络安全保护强度。
进一步的,将软件行为监视代理程序通过钩子程序的方式置于网络节点的系统内核中,并采用内核保护机制进行保护。
进一步的,所述机器学习算法采用隐马尔科夫模型算法,将网络安全保护强度作为隐马尔科夫模型的状态变量,将软件行为特征作为观测变量。
进一步的,所述软件行为特征为可执行代码的调用和执行状态信息,所述调用和执行状态信息包括被调用代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户。
进一步的,采用离散化的方式来表示所述调用和执行状态信息和网络安全保护强度。
本发明实施例所述的网络安全保护强度评估系统的上述各个功能模块,分别对应本发明的网络安全保护强度评估方法的各个操作步骤,这里不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种定量化的网络安全保护强度评估方法,其特征在于,所述方法包括以下步骤:
采用网络节点中的软件行为监视代理程序持续监视并采集节点的软件行为特征,并将所述软件行为特征发送到软件行为数据库;
从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型;
网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估,计算出定量化的网络安全保护强度。
2.根据权利要求1所述的方法,其特征在于,将软件行为监视代理程序通过钩子程序的方式置于网络节点的系统内核中,并采用内核保护机制进行保护。
3.根据权利要求1所述的方法,其特征在于,所述机器学习算法采用隐马尔科夫模型算法,将网络安全保护强度作为隐马尔科夫模型的状态变量,将软件行为特征作为观测变量。
4.根据权利要求3所述的方法,其特征在于,所述软件行为特征为可执行代码的调用和执行状态信息,所述调用和执行状态信息包括被调用代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户。
5.根据权利要求3所述的方法,其特征在于,采用离散化的方式来表示所述调用和执行状态信息和网络安全保护强度。
6.一种定量化的网络安全保护强度评估系统,其特征在于,所述系统包括:
信息采集模块,采用网络节点中的软件行为监视代理程序持续监视并采集节点的软件行为特征,并将所述软件行为特征发送到软件行为数据库;
模型训练模块,从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型;
网络安全保护强度评估模块,网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估,计算出定量化的网络安全保护强度。
7.根据权利要求6所述的系统,其特征在于,将软件行为监视代理程序通过钩子程序的方式置于网络节点的系统内核中,并采用内核保护机制进行保护。
8.根据权利要求6所述的系统,其特征在于,所述机器学习算法采用隐马尔科夫模型算法,将网络安全保护强度作为隐马尔科夫模型的状态变量,将软件行为特征作为观测变量。
9.根据权利要求7所述的系统,其特征在于,所述软件行为特征为可执行代码的调用和执行状态信息,所述调用和执行状态信息包括被调用代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户。
10.根据权利要求7所述的系统,其特征在于,采用离散化的方式来表示所述调用和执行状态信息和网络安全保护强度。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810406873.0A CN108566307B (zh) | 2018-05-01 | 2018-05-01 | 一种定量化的网络安全保护强度评估方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810406873.0A CN108566307B (zh) | 2018-05-01 | 2018-05-01 | 一种定量化的网络安全保护强度评估方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108566307A true CN108566307A (zh) | 2018-09-21 |
CN108566307B CN108566307B (zh) | 2021-07-30 |
Family
ID=63537481
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810406873.0A Active CN108566307B (zh) | 2018-05-01 | 2018-05-01 | 一种定量化的网络安全保护强度评估方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108566307B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109800581A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 软件行为的安全防护方法及装置、存储介质、计算机设备 |
CN112118220A (zh) * | 2020-08-06 | 2020-12-22 | 福建中信网安信息科技有限公司 | 一种网络安全等级保护测评方法及测评系统 |
CN115296870A (zh) * | 2022-07-25 | 2022-11-04 | 北京科能腾达信息技术股份有限公司 | 一种基于大数据的网络安全保护方法和网络安全保护平台 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103500307A (zh) * | 2013-09-26 | 2014-01-08 | 北京邮电大学 | 一种基于行为模型的移动互联网恶意应用软件检测方法 |
CN106372799A (zh) * | 2016-08-31 | 2017-02-01 | 全球能源互联网研究院 | 一种电网安全风险预测方法 |
CN107147515A (zh) * | 2017-03-21 | 2017-09-08 | 华南师范大学 | 一种基于mln的网络空间安全态势预测方法及系统 |
CN107153789A (zh) * | 2017-04-24 | 2017-09-12 | 西安电子科技大学 | 利用随机森林分类器实时检测安卓恶意软件的方法 |
CN107426199A (zh) * | 2017-07-05 | 2017-12-01 | 浙江鹏信信息科技股份有限公司 | 一种网络异常行为检测与分析的方法及系统 |
EP3276913A1 (en) * | 2016-07-29 | 2018-01-31 | Accenture Global Services Limited | Network security analysis system using natural language processing techniques |
-
2018
- 2018-05-01 CN CN201810406873.0A patent/CN108566307B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103500307A (zh) * | 2013-09-26 | 2014-01-08 | 北京邮电大学 | 一种基于行为模型的移动互联网恶意应用软件检测方法 |
EP3276913A1 (en) * | 2016-07-29 | 2018-01-31 | Accenture Global Services Limited | Network security analysis system using natural language processing techniques |
CN106372799A (zh) * | 2016-08-31 | 2017-02-01 | 全球能源互联网研究院 | 一种电网安全风险预测方法 |
CN107147515A (zh) * | 2017-03-21 | 2017-09-08 | 华南师范大学 | 一种基于mln的网络空间安全态势预测方法及系统 |
CN107153789A (zh) * | 2017-04-24 | 2017-09-12 | 西安电子科技大学 | 利用随机森林分类器实时检测安卓恶意软件的方法 |
CN107426199A (zh) * | 2017-07-05 | 2017-12-01 | 浙江鹏信信息科技股份有限公司 | 一种网络异常行为检测与分析的方法及系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109800581A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 软件行为的安全防护方法及装置、存储介质、计算机设备 |
CN112118220A (zh) * | 2020-08-06 | 2020-12-22 | 福建中信网安信息科技有限公司 | 一种网络安全等级保护测评方法及测评系统 |
CN112118220B (zh) * | 2020-08-06 | 2022-09-06 | 福建中信网安信息科技有限公司 | 一种网络安全等级保护测评方法及测评系统 |
CN115296870A (zh) * | 2022-07-25 | 2022-11-04 | 北京科能腾达信息技术股份有限公司 | 一种基于大数据的网络安全保护方法和网络安全保护平台 |
Also Published As
Publication number | Publication date |
---|---|
CN108566307B (zh) | 2021-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106874187B (zh) | 代码覆盖率收集方法和装置 | |
US20090106843A1 (en) | Security risk evaluation method for effective threat management | |
CN105809035B (zh) | 基于安卓应用实时行为的恶意软件检测方法和系统 | |
CN111614690B (zh) | 一种异常行为检测方法及装置 | |
CN111859400A (zh) | 风险评估方法、装置、计算机系统和介质 | |
CN107231382B (zh) | 一种网络威胁态势评估方法及设备 | |
CN108566307A (zh) | 一种定量化的网络安全保护强度评估方法及系统 | |
CN102340485A (zh) | 基于信息关联的网络安全态势感知系统及其方法 | |
CN112615888B (zh) | 一种网络攻击行为的威胁评估方法及装置 | |
Liu et al. | NSDroid: efficient multi-classification of android malware using neighborhood signature in local function call graphs | |
CN109344042B (zh) | 异常操作行为的识别方法、装置、设备及介质 | |
CN104506356A (zh) | 一种确定ip地址信誉度的方法和装置 | |
CN106529283A (zh) | 一种面向软件定义网络的控制器安全性定量分析方法 | |
CN110210218A (zh) | 一种病毒检测的方法以及相关装置 | |
Tabassum et al. | Sampling massive streaming call graphs | |
CN106998336B (zh) | 渠道中的用户检测方法和装置 | |
CN114615016A (zh) | 一种企业网络安全评估方法、装置、移动终端及存储介质 | |
CN114553596B (zh) | 适用于网络安全的多维度安全情况实时展现方法及系统 | |
CN109298855A (zh) | 一种网络靶场管理系统及其实现方法、装置、存储介质 | |
Puttick et al. | Body length of bony fishes was not a selective factor during the biggest mass extinction of all time | |
CN116962093B (zh) | 基于云计算的信息传输安全性监测方法及系统 | |
US11665185B2 (en) | Method and apparatus to detect scripted network traffic | |
CN114124773A (zh) | 一种端口块地址转换的测试系统及方法 | |
CN113765850B (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
Giacinti et al. | Comparison of two surveillance components for investigating the epidemiology of canine distemper virus in raccoons (Procyon lotor) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230105 Address after: 100000 Supporting rooms 9-11, 1st floor, Building 2, 3 and 6, Chengxiu Garden, Tianxiu Garden, Haidian District, Beijing Patentee after: BEIJING PENGCHUANG TIANDI TECHNOLOGY Co.,Ltd. Address before: Room 7a, unit 3, building 3, century xinjingyuan, No. 9, Beiwa Road, Haidian District, Beijing 100089 Patentee before: BEIJING GUANGCHENG TONGTAI TECHNOLOGY Co.,Ltd. |
|
TR01 | Transfer of patent right |