CN108768774A - 一种定量化的网络安全评估方法及评估系统 - Google Patents

一种定量化的网络安全评估方法及评估系统 Download PDF

Info

Publication number
CN108768774A
CN108768774A CN201810532355.3A CN201810532355A CN108768774A CN 108768774 A CN108768774 A CN 108768774A CN 201810532355 A CN201810532355 A CN 201810532355A CN 108768774 A CN108768774 A CN 108768774A
Authority
CN
China
Prior art keywords
network
flow data
module
model
network flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810532355.3A
Other languages
English (en)
Other versions
CN108768774B (zh
Inventor
李晓勇
郭煜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING PENGCHUANG TIANDI TECHNOLOGY CO LTD
Original Assignee
Beijing Guang Cheng Tong Tai Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Guang Cheng Tong Tai Technology Co Ltd filed Critical Beijing Guang Cheng Tong Tai Technology Co Ltd
Priority to CN201810532355.3A priority Critical patent/CN108768774B/zh
Publication of CN108768774A publication Critical patent/CN108768774A/zh
Application granted granted Critical
Publication of CN108768774B publication Critical patent/CN108768774B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/29Graphical models, e.g. Bayesian networks
    • G06F18/295Markov models or related models, e.g. semi-Markov models; Markov random fields; Networks embedding Markov models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

本发明提供一种定量化的网络安全评估方法及评估系统。本发明的方法包括:利用网络流数据采集模块监测目标系统中各网络节点中的网络流,并采集该网络节点的网络流数据发送至模型参数计算模块和网络安全评估模块;利用模型参数计算模块根据该网络流数据计算网络通信分析模型参数并发送至网络安全评估模块;利用网络安全评估模块接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型,并通过该网络通信分析模型根据网络流数据计算目标系统的安全等级评估报告。本发明的评估方法和评估系统通过可度量的网络流数据计算不可直接度量的安全等级,解决了网络安全保密能力不可被直接度量的问题,能够为数据安全保护提供科学依据。

Description

一种定量化的网络安全评估方法及评估系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种定量化的网络安全评估方法及评估系统。
背景技术
网络安全保密能力评估对数据安全保护非常重要。一般来讲,真实系统中的网络安全保密能力不可能被直接度量,但是不同等级的网络安全保密能力是会通过其全局性的网络流表现出来,比如网络安全保密能力弱的系统中,信息从高可信级别安全域流向低安全级别安全域的可能性、网络流数量和发生范围就相对大,而网络安全保密能力较高的系统中,信息从高可信级别安全域流向低安全级别安全域的可能性、网络流数量和发生范围就相对小。
传统网络安全保密能力分析很难对网络的真实安全保密能力进行定量化分析。例如,传统的系统安全风险评估方法包括对标检查、安全漏洞扫描、基于入侵检测结果的分析和评估、以及基于网络流检测的网络安全态势分析等,其中,对标检查是一种静态的安全标准对比评估,不能反映系统各项安全控制措施的实际作用和效果,基于安全漏洞扫描的评估方法不能说明系统面临实际威胁以及威胁的可能性,即不能反映出系统的真实风险程度,基于入侵检测结果的风险分析和评估收到入侵检测系统准确率和漏报率的影响,其结果并不可靠,基于网络流检测的安全态势分析一方面面临着与前者相同的安全效果和安全效率的问题,另一方面也没有专门针对系统保密能力的评估机制。
因此,需要一种定量化的网络安全评估方法及评估系统。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的定量化的网络安全评估方法及评估系统。
本发明的一个方面,提供了一种定量化的网络安全评估方法,包括以下步骤:利用网络流数据采集模块监测目标系统中各网络节点中的网络流,并采集该网络节点的网络流数据发送至模型参数计算模块和网络安全评估模块;利用模型参数计算模块根据该网络流数据计算网络通信分析模型参数并发送至网络安全评估模块;利用网络安全评估模块接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型,并通过该网络通信分析模型根据网络流数据计算目标系统的安全等级评估报告。
进一步地,所述定量化的网络安全评估方法,还包括:利用模型参数计算模块接收并根据网络流数据计算网络通信分析模型参数,并发送至网络安全评估模块更新网络通信分析模型参数。
进一步地,所述定量化的网络安全评估方法,还包括:利用网络流数据存储模块接收并存储网络流数据。
进一步地,所述定量化的网络安全评估方法,还包括:利用网络流数据标识模块对网络流数据做标识;利用标识对比模块接收网络流数据,对比网络流数据的标识,将标识重复的网络流数据删除。
进一步地,利用网络安全评估模块接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型,并通过该网络通信分析模型根据网络流数据计算目标系统的安全等级评估报告,包括:接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型;提取目标系统的网络流数据,统计目标系统中不可信网络流总数;统计各安全域内的网络流总量以及不可信网络流总数;统计源IP地址的网络流总量以及不可信网络流总数;计算目标系统中不可信网络流总数,各安全域不可信网络流总数及其占比,源IP地址的不可信网络流总数及其占比;通过网络通信分析模型根据目标系统中不可信网络流总数,各安全域不可信网络流总数及其占比,源IP地址的不可信网络流总数及其占比计算出目标系统的安全等级评估报告。
进一步地,所述定量化的网络安全评估方法,还包括:利用安全等级离散化模块基于目标系统不可信网络流发生次数以及影响范围设定阈值,对目标系统的安全等级进行离散化描述。
本发明的另一方面,提供了一种定量化的网络安全评估系统,包括:网络流数据采集模块,用于监测目标系统中各网络节点中的网络流,并采集该网络节点的网络流数据发送至模型参数计算模块和网络安全评估模块;模型参数计算模块,用于根据该网络流数据计算网络通信分析模型参数并发送至网络安全评估模块;网络安全评估模块,用于接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型,并通过该网络通信分析模型根据网络流数据计算目标系统的安全等级评估报告。
进一步地,模型参数计算模块,还用于接收并根据网络流数据计算网络通信分析模型参数,并发送至网络安全评估模块更新网络通信分析模型参数。
进一步地,所述定量化的网络安全评估系统,还包括:网络流数据存储模块接收并存储网络流数据。
进一步地,所述定量化的网络安全评估系统,还包括:网络流数据标识模块,用于对网络流数据做标识;标识对比模块,用于接收网络流数据,对比网络流数据的标识,将标识重复的网络流数据删除。
与现有技术相比,本发明具有以下优点:
1.本发明的评估方法和评估系统观测度量目标系统中各网络节点中的网络流并利用该网络节点的网络流数据计算网络通信分析模型参数建立网络通信分析模型,通过该网络通信分析模型根据网络流数据计算目标系统的安全等级,通过可度量的网络流数据计算不可直接度量的安全等级,解决了网络安全保密能力不可被直接度量的问题,能够为数据安全保护提供科学依据。
2.本发明中的评估方法和评估系统通过采集大范围的网络流数据,通过该网络流数据计算目标系统中不可信网络流总数,各安全域不可信网络流总数及其占比,源IP地址的不可信网络流总数及其占比等,将其作为模型输入参数,通过机器学习模型例如HMM等评估系统的网络安全保密能力,模型输入参数为系统的安全状态,例如HMM的观测变量序列,使得输出结果即目标系统的安全等级反映了系统和真实的保密能力,例如HMM的状态变量序列,评估结果更具确定性,更为可信。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明的定量化的网络安全评估方法的步骤图;
图2为本发明的定量化的网络安全评估系统的连接框图;
图3为本发明的定量化的网络安全评估的逻辑图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非被特定定义,否则不会用理想化或过于正式的含义来解释。
图1为本发明实施例的定量化的网络安全评估方法的步骤图,如图1所示,本发明提供的定量化的网络安全评估方法,包括以下步骤:利用网络流数据采集模块监测目标系统中各网络节点中的网络流,并采集该网络节点的网络流数据发送至模型参数计算模块和网络安全评估模块;利用模型参数计算模块根据该网络流数据计算网络通信分析模型参数并发送至网络安全评估模块;利用网络安全评估模块接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型,并通过该网络通信分析模型根据网络流数据计算目标系统的安全等级评估报告。本发明的评估方法观测度量目标系统中各网络节点中的网络流并利用该网络节点的网络流数据计算网络通信分析模型参数建立网络通信分析模型,通过该网络通信分析模型根据网络流数据计算目标系统的安全等级,通过可度量的网络流数据计算不可直接度量的安全等级,解决了网络安全保密能力不可被直接度量的问题,能够为数据安全保护提供科学依据。
目标系统的安全等级评估报告包括目标系统的安全等级、目标系统中不可信网络流总数,各安全域不可信网络流总数及其占比和源IP地址的不可信网络流总数及其占比。
本实施例中,在网络节点中可以通过网络流量监控代理对系统的网络行为进行监视,并采集相关信息,发送到集中的网络流数据存储模块中。为保证网络流监视有足够的覆盖范围,可以采用多层面、多节点的网络流监视方案,例如包括但不限于网络中的计算机节点和网络交换机等传输设备。
所述定量化的网络安全评估方法,还包括:利用模型参数计算模块接收并根据网络流数据计算网络通信分析模型参数,并发送至网络安全评估模块更新网络通信分析模型参数。本发明通过采集的网络流数据,重新标注、统计和计算网络通信分析模型参数,并将新的模型参数更新到网络通信分析模型中,这种动态的和持续化的训练方法,保证了网络通信分析模型的泛化能力。
所述定量化的网络安全评估方法,还包括:利用网络流数据存储模块接收并存储网络流数据。本发明的评估系统设置网络流数据存储模块使得目标系统的安全评估既可以实时进行,还可以对一定时间范围内的网络流数据进行调用,从而评估目标系统在一定时间范围内的安全等级。
所述定量化的网络安全评估方法,还包括:利用网络流数据标识模块对网络流数据做标识,例如采用网络IP报文包中公知的<源地址,目的地址,源端口,目的端口,协议,标识>为网络流数据的标识,然而网络流数据的标识并不限于此;利用标识对比模块接收网络流数据,对比网络流数据的标识,将标识重复的网络流数据删除,不仅保证网络流数据的完整性,而且实现网络流数据的最小化,减小数据处理的负荷。
利用网络安全评估模块接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型,并通过该网络通信分析模型根据网络流数据计算目标系统的安全等级评估报告,包括:接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型;提取目标系统的网络流数据,统计目标系统中不可信网络流总数;统计各安全域内的网络流总量以及不可信网络流总数;统计源IP地址的网络流总量以及不可信网络流总数;计算目标系统中不可信网络流总数,各安全域不可信网络流总数及其占比,源IP地址的不可信网络流总数及其占比;通过网络通信分析模型根据目标系统中不可信网络流总数,各安全域不可信网络流总数及其占比,源IP地址的不可信网络流总数及其占比计算出目标系统的安全等级评估报告。本发明中的评估方法通过采集大范围的网络流数据,通过该网络流数据计算目标系统中不可信网络流总数,各安全域不可信网络流总数及其占比,源IP地址的不可信网络流总数及其占比等,将其作为模型输入参数,通过机器学习模型例如HMM等评估系统的网络安全保密能力,模型输入参数为系统的安全状态,例如HMM的观测变量序列,使得输出结果即目标系统的安全等级反映了系统和真实的保密能力,例如HMM的状态变量序列,评估结果更具确定性,更为可信。本实施例中,网络安全评估模块对网络流数据存储模块进行分类、统计,采用机器学习算法模型,评估系统的网络安全保密能力。
本发明采用隐马尔科夫模型(HMM)作为网络安全保密能力的评估基础,将网络安全保密能力作为HMM的状态变量(不可直接度量),将系统的网络流特征参数经过范围归类,将其取值离散化后作为观测变量;部分或全部网络流数据作为训练样本,采用Baum-Welch方法推算出HMM的初始状态概率、状态转移概率和输出观测概率,建立网络通信分析模型,然后通过可以观测(可以采集和度量)的实时网络流特征参数,通过Viterbi算法计算出与当前网络流最匹配的网络安全保密能力即目标系统的安全等级。
目标系统的模型输入参数即网络流特征参数可以采用多维度的向量标识,包括但不限于以下主要坐标项:不可信网络流数量,不可信网络流数量占比,网络传送成功的不可信网络流数量占比,产生不可信网络流的网络节点数(对应网络流中的源地址),产生不可信网络流的网络节点数占比,成功发送不可信网络流的网络节点占比。为了使网络流描述易于实现,采用数值范围归类的方法,将网络流向量的实际数量、占比等值离散化,简化评估难度。
其中,采用离散值来标识网络流的可信度,例如以下等级:可信和不可信,具体的分级方法可以用网络的方向作为依据,例如,网络流源地址所在安全域的可信级别如果低于或等于目的地址所在安全域的可信级别,那么网络流为可信,反之,网络流为不可信。
所述定量化的网络安全评估方法,还包括:利用安全等级离散化模块基于目标系统不可信网络流发生次数以及影响范围设定阈值,对目标系统的安全等级进行离散化描述。本实施例中,采用离散值来表示系统的网络安全保密能力,例如包括但不限于以下安全等级:高、中、一般和低,具体的分级方法可以采用包括但不限于系统在定义时间范围内安全事件发生次数、安全事件影响范围等因素来定义系统的网络安全保密能力。
图2为本发明的定量化的网络安全评估系统的连接框图,如图2所示,本发明提供的定量化的网络安全评估系统,包括:网络流数据采集模块,用于监测目标系统中各网络节点中的网络流,并采集该网络节点的网络流数据发送至模型参数计算模块和网络安全评估模块;模型参数计算模块,用于根据该网络流数据计算网络通信分析模型参数并发送至网络安全评估模块;网络安全评估模块,用于接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型,并通过该网络通信分析模型根据网络流数据计算目标系统的安全等级评估报告。本发明的评估系统观测度量目标系统中各网络节点中的网络流并利用该网络节点的网络流数据计算网络通信分析模型参数建立网络通信分析模型,通过该网络通信分析模型根据网络流数据计算目标系统的安全等级,通过可度量的网络流数据计算不可直接度量的安全等级,解决了网络安全保密能力不可被直接度量的问题,能够为数据安全保护提供科学依据。
模型参数计算模块,还用于接收并根据网络流数据计算网络通信分析模型参数,并发送至网络安全评估模块更新网络通信分析模型参数。
所述定量化的网络安全评估系统,还包括:网络流数据存储模块接收并存储网络流数据。
所述定量化的网络安全评估系统,还包括:网络流数据标识模块,用于对网络流数据做标识;标识对比模块,用于接收网络流数据,对比网络流数据的标识,将标识重复的网络流数据删除。
网络安全评估模块包括:模型建立单元,用于接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型;系统不可信网络流统计单元,用于提取目标系统中预定时间范围内的网络流数据,统计目标系统中不可信网络流总数;安全域不可信网络流统计单元,用于统计各安全域内的网络流总量以及不可信网络流总数;源IP不可信网络流统计单元,用于统计源IP地址的网络流总量以及不可信网络流总数;模型输入参数计算单元,用于计算目标系统中不可信网络流总数,各安全域不可信网络流总数及其占比,源IP地址的不可信网络流总数及其占比;安全等级分析单元,用于通过网络通信分析模型根据目标系统中不可信网络流总数,各安全域不可信网络流总数及其占比,源IP地址的不可信网络流总数及其占比计算出目标系统的安全等级。本发明中的评估系统通过采集大范围的网络流数据,通过该网络流数据计算目标系统中不可信网络流总数,各安全域不可信网络流总数及其占比,源IP地址的不可信网络流总数及其占比等,将其作为模型输入参数,通过机器学习模型例如HMM等评估系统的网络安全保密能力,模型输入参数为系统的安全状态,例如HMM的观测变量序列,使得输出结果即目标系统的安全等级反映了系统和真实的保密能力,例如HMM的状态变量序列,评估结果更具确定性,更为可信。
网络安全评估模块还包括:模型输入参数离散化单元,用于基于不可信网络流占比范围设定阈值,对不可信网络流占比进行离散化描述,例如将这些占比分别设定为高、中、低等。
所述定量化的网络安全评估系统,还包括:安全等级离散化模块,用于基于目标系统不可信网络流发生次数以及影响范围设定阈值,对目标系统的安全等级进行离散化描述。
对于系统实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
实施例
图3为本发明的定量化的网络安全评估的逻辑图,在图3中,网络计算机和网络传输设备等为目标系统的网络节点,网络流数据库为网络流数据存储模块,网络安全保密能力评估平台为网络安全评估模块,网络通信分析模型训练平台为模型参数计算模块。网络计算机和网络传输设备等将网络流量信息发送至网络流数据库,网络通信分析模型训练平台从网络流数据库提取训练数据,计算并更新模型参数发送至网络安全保密能力评估平台,以更新网络通信分析模型,网络安全保密能力评估平台接收网络流量信息,并通过网络通信分析模型基于网络流量信息对目标系统进行网络安全保密能力评估。
本实施例中,在网络计算机等网络节点中运行网络流监控代理程序,该程序通过钩子方式插入到操作系统内核中的网络驱动模块中例如采用Windows系统中的NDIS机制和linux系统中的IPfilter机制,同时在操作系统内核对相关代码进行保护,防止其运行被中断,监视功能被规避。
图3中还可以通过交换机等网络传输设备采集网络流信息。市场中有一些型号的网络交换机设备支持网络流监视功能,这样通过配置就可以将它们的监视数据发送到网络安全中心的网络流数据库中。
在图3中网络安全保密能力评估结果中,为了降低网络流模型的数据稀疏和训练复杂度问题,采用数据范围划分归类的方法实现网络安全保密能力(HMM的状态变量)的离散化描述。例如可以采用离散值方式(比如高、中、低)标识网络安全保密能力,比如,如果系统每年不可信的网络流发生次数小于1次(含1次),影响范围小于1%,那么其网络安全保密能力标注为高;如果每年不可信的网络流发生次数小于2次(含2次),影响范围小于3%,那么其网络安全保密能力标注为中。
在网络通信分析模型中,系统网络流特征参数是HMM的可观测变量,而网络流的可信度是系统网络流特征向量的重要内容之一。本实施例采用离散数值方式描述网络流可信度,比如将网络流的可信度分为可信和不可信两个级别:网络流源地址所在安全域的可信级别如果低于或等于目的地址所在安全域的可信级别,那么网络流为可信,反之,网络流为不可信。
本实施例中,从网络流数据库中对指定时间范围内的网络流记录进行统计和分析,获得该时间范围内的系统网络流特征参数。
提取系统网络流特征参数包括但不限于以下步骤:
S1.统计目标系统中相应时间范围内的网络流记录数量(去重后),从而获得目标系统的网络流总数和不可信网络流总数;S2.按安全域划分,基于IP地址分别统计各安全域内不可信网络流总数;S3.按IP地址分别统计源于该IP地址的网络流总量以及不可信网络流总数;S4.基于以上统计量,计算出系统中不可信网络流总数,各安全域不可信网络流总数及其占比,各源IP的不可信网络流总数及其占比。这些占比可以反映系统整体、各安全域以及各源IP的安全保密能力及其保密效果。为了简化问题分析,并且与日常管理认识一致,对这些占比要采用归类方法实现离散化描述,例如将这些占比分别设定为高、中、低等。
基于本发明的目标系统的安全等级评估报告,进一步发现目标系统在网络安全结构、网络安全保密技术措施、网络安全保密管理制度及其落实方面存在的弱点,为网络安全建设提供科学依据。
以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种定量化的网络安全评估方法,其特征在于,包括以下步骤:
利用网络流数据采集模块监测目标系统中各网络节点中的网络流,并采集该网络节点的网络流数据发送至模型参数计算模块和网络安全评估模块;
利用模型参数计算模块根据该网络流数据计算网络通信分析模型参数并发送至网络安全评估模块;
利用网络安全评估模块接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型,并通过该网络通信分析模型根据网络流数据计算目标系统的安全等级评估报告。
2.根据权利要求1所述的定量化的网络安全评估方法,其特征在于,还包括:
利用模型参数计算模块接收并根据网络流数据计算网络通信分析模型参数,并发送至网络安全评估模块更新网络通信分析模型参数。
3.根据权利要求2所述的定量化的网络安全评估方法,其特征在于,还包括:
利用网络流数据存储模块接收并存储网络流数据。
4.根据权利要求3所述的定量化的网络安全评估方法,其特征在于,还包括:
利用网络流数据标识模块对网络流数据做标识;
利用标识对比模块接收网络流数据,对比网络流数据的标识,将标识重复的网络流数据删除。
5.根据权利要求4所述的定量化的网络安全评估方法,其特征在于,利用网络安全评估模块接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型,并通过该网络通信分析模型根据网络流数据计算目标系统的安全等级评估报告,包括:
接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型;
提取目标系统的网络流数据,统计目标系统中不可信网络流总数;
统计各安全域内的网络流总量以及不可信网络流总数;
统计源IP地址的网络流总量以及不可信网络流总数;
计算目标系统中不可信网络流总数,各安全域不可信网络流总数及其占比,源IP地址的不可信网络流总数及其占比;
通过网络通信分析模型根据目标系统中不可信网络流总数,各安全域不可信网络流总数及其占比,源IP地址的不可信网络流总数及其占比计算出目标系统的安全等级评估报告。
6.根据权利要求5所述的定量化的网络安全评估方法,其特征在于,还包括:利用安全等级离散化模块基于目标系统不可信网络流发生次数以及影响范围设定阈值,对目标系统的安全等级进行离散化描述。
7.一种用于实现权利要求1所述的定量化的网络安全评估方法的网络安全评估系统,其特征在于,包括:
网络流数据采集模块,用于监测目标系统中各网络节点中的网络流,并采集该网络节点的网络流数据发送至模型参数计算模块和网络安全评估模块;
模型参数计算模块,用于根据该网络流数据计算网络通信分析模型参数并发送至网络安全评估模块;
网络安全评估模块,用于接收网络通信分析模型参数,根据网络通信分析模型参数建立网络通信分析模型,并通过该网络通信分析模型根据网络流数据计算目标系统的安全等级评估报告。
8.根据权利要求7所述的定量化的网络安全评估系统,其特征在于,模型参数计算模块,还用于接收并根据网络流数据计算网络通信分析模型参数,并发送至网络安全评估模块更新网络通信分析模型参数。
9.根据权利要求8所述的定量化的网络安全评估系统,其特征在于,还包括:网络流数据存储模块接收并存储网络流数据。
10.根据权利要求9所述的定量化的网络安全评估系统,其特征在于,还包括:
网络流数据标识模块,用于对网络流数据做标识;
标识对比模块,用于接收网络流数据,对比网络流数据的标识,将标识重复的网络流数据删除。
CN201810532355.3A 2018-05-29 2018-05-29 一种定量化的网络安全评估方法及评估系统 Active CN108768774B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810532355.3A CN108768774B (zh) 2018-05-29 2018-05-29 一种定量化的网络安全评估方法及评估系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810532355.3A CN108768774B (zh) 2018-05-29 2018-05-29 一种定量化的网络安全评估方法及评估系统

Publications (2)

Publication Number Publication Date
CN108768774A true CN108768774A (zh) 2018-11-06
CN108768774B CN108768774B (zh) 2020-09-29

Family

ID=64003649

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810532355.3A Active CN108768774B (zh) 2018-05-29 2018-05-29 一种定量化的网络安全评估方法及评估系统

Country Status (1)

Country Link
CN (1) CN108768774B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112257072A (zh) * 2020-10-28 2021-01-22 全知科技(杭州)有限责任公司 基于去重算法的高性能数据风险影响面量化评估方法
CN114338088A (zh) * 2021-12-06 2022-04-12 国网安徽省电力有限公司超高压分公司 变电站电力监控系统网络安全等级的评估算法及评估系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101783752A (zh) * 2010-02-10 2010-07-21 哈尔滨工业大学 一种基于网络拓扑特征的网络安全量化评估方法
CN102567477A (zh) * 2011-06-16 2012-07-11 北京亿赞普网络技术有限公司 网站价值评估方法及装置
CN105491013A (zh) * 2015-11-20 2016-04-13 电子科技大学 一种基于sdn的多域网络安全态势感知模型及方法
CN106372799A (zh) * 2016-08-31 2017-02-01 全球能源互联网研究院 一种电网安全风险预测方法
CN106713267A (zh) * 2016-11-16 2017-05-24 湖南优图信息技术有限公司 一种网络安全评估方法及系统
CN107147515A (zh) * 2017-03-21 2017-09-08 华南师范大学 一种基于mln的网络空间安全态势预测方法及系统
CN107786369A (zh) * 2017-09-26 2018-03-09 广东电网有限责任公司电力调度控制中心 基于irt层次分析和lstm的电力通信网络安全态势感知和预测方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101783752A (zh) * 2010-02-10 2010-07-21 哈尔滨工业大学 一种基于网络拓扑特征的网络安全量化评估方法
CN102567477A (zh) * 2011-06-16 2012-07-11 北京亿赞普网络技术有限公司 网站价值评估方法及装置
CN105491013A (zh) * 2015-11-20 2016-04-13 电子科技大学 一种基于sdn的多域网络安全态势感知模型及方法
CN106372799A (zh) * 2016-08-31 2017-02-01 全球能源互联网研究院 一种电网安全风险预测方法
CN106713267A (zh) * 2016-11-16 2017-05-24 湖南优图信息技术有限公司 一种网络安全评估方法及系统
CN107147515A (zh) * 2017-03-21 2017-09-08 华南师范大学 一种基于mln的网络空间安全态势预测方法及系统
CN107786369A (zh) * 2017-09-26 2018-03-09 广东电网有限责任公司电力调度控制中心 基于irt层次分析和lstm的电力通信网络安全态势感知和预测方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112257072A (zh) * 2020-10-28 2021-01-22 全知科技(杭州)有限责任公司 基于去重算法的高性能数据风险影响面量化评估方法
CN112257072B (zh) * 2020-10-28 2024-04-09 全知科技(杭州)有限责任公司 基于去重算法的高性能数据风险影响面量化评估方法
CN114338088A (zh) * 2021-12-06 2022-04-12 国网安徽省电力有限公司超高压分公司 变电站电力监控系统网络安全等级的评估算法及评估系统

Also Published As

Publication number Publication date
CN108768774B (zh) 2020-09-29

Similar Documents

Publication Publication Date Title
Aljawarneh et al. Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model
CN112395159B (zh) 一种日志检测方法、系统、设备及介质
CN103581186B (zh) 一种网络安全态势感知方法及系统
CN105637519A (zh) 使用行为辨识系统的认知信息安全性
CN111177714B (zh) 异常行为检测方法、装置、计算机设备和存储介质
CN105471882A (zh) 一种基于行为特征的网络攻击检测方法及装置
CN111709028B (zh) 一种网络安全状态评估和攻击预测方法
CN113645232B (zh) 一种面向工业互联网的智能化流量监测方法、系统及存储介质
Da Rocha et al. Identifying bank frauds using CRISP-DM and decision trees
CN105471875A (zh) 一种计算机网络监控系统
Al-mamory et al. On the designing of two grains levels network intrusion detection system
Yan et al. Identifying wechat red packets and fund transfers via analyzing encrypted network traffic
CN111669385B (zh) 融合深度神经网络和层级注意力机制的恶意流量监测系统
CN110445766A (zh) DDoS攻击态势评估方法及装置
CN114124482A (zh) 基于lof和孤立森林的访问流量异常检测方法及设备
CN109889512A (zh) 一种充电桩can报文的异常检测方法及装置
Atli Anomaly-based intrusion detection by modeling probability distributions of flow characteristics
Yassin et al. Signature-Based Anomaly intrusion detection using Integrated data mining classifiers
CN111464510B (zh) 基于快速梯度提升树分类模型的网络实时入侵检测方法
CN110210218A (zh) 一种病毒检测的方法以及相关装置
Neethu Adaptive intrusion detection using machine learning
CN108768774A (zh) 一种定量化的网络安全评估方法及评估系统
CN113282920B (zh) 日志异常检测方法、装置、计算机设备和存储介质
Adiban et al. A step-by-step training method for multi generator GANs with application to anomaly detection and cybersecurity
Nalavade et al. Evaluation of k-means clustering for effective intrusion detection and prevention in massive network traffic data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20221229

Address after: 100000 Supporting rooms 9-11, 1st floor, Building 2, 3 and 6, Chengxiu Garden, Tianxiu Garden, Haidian District, Beijing

Patentee after: BEIJING PENGCHUANG TIANDI TECHNOLOGY Co.,Ltd.

Address before: Room 8077, Floor 7, Building A2, No. 13, Fengzhi East Road, Haidian District, Beijing 100089

Patentee before: BEIJING GUANGCHENG TONGTAI TECHNOLOGY Co.,Ltd.