CN109150868A - 网络安全态势评估方法及装置 - Google Patents

Abstract

本发明公开了一种网络安全态势评估方法及装置，所述方法包括：网络信息获取模块通过IP地址数据库，检测网络中新老用户网络流量的IP地址状态变化，以得出网络的风险值，并利用风险值计算出网络的各个节点的风险指数；融合态势信息模块融合网络各个节点的风险指数，生成网络的融合风险指数，并利用模糊C‑均值聚类算法将融合风险指数分为5个安全等级；网络态势评估模块根据网络的融合风险指数，并结合不同安全等级生成网络的安全态势。本发明提供的方法不仅实现了对大数据环境下DDoS攻击的网络安全态势评估，还有效地提高了网络安全态势评估方法的灵活性、以及评估结果的准确性。

Description

网络安全态势评估方法及装置

技术领域

本发明涉及互联网技术领域，特别涉及一种网络安全态势评估方法及装置。

背景技术

随着互联网技术的飞速发展以及大数据时代的到来，分布式拒绝服务攻击(Distributed Denial of Service，DDoS)对网络安全的威胁，成为了互联网环境中亟待解决的主要问题。为了帮助网络管理人员对所监管的网络安全情况有一个清楚、全面的认识，需要对网络的安全态势进行评估。现有的网络安全态势评估方法主要有：基于模糊动态贝叶斯网络构建的网络态势感知和评估模型，基于Dempster/Shafer(D-S)证据理论提出的层次化网络威胁态势评估方法，以及基于隐马尔可夫模型的网络安全态势评估方法等。

本发明的发明人在研究现有评估网络安全态势方法的过程中，发现现有技术至少存在以下问题：

现有的态势评估方法都是给出一个固定的值来代表当前的网络状况，而传统网络安全工具产生的检测信息是多元的、个性化的，需要进行标准化操作，尤其在大数据环境下，若要实现检测信息的标准化，通常会付出较大的代价。所以，现有的网络安全态势评估方法不仅不够灵活、评估结果不够准确，而且还不适用于大数据环境下受DDoS攻击的网络的安全态势评估。

发明内容

为了解决现有技术存在的问题，本发明一方面提供了一种网络安全态势评估方法，包括：网络信息获取模块通过IP地址数据库，检测网络中新老用户网络流量的IP地址状态变化，以得出所述网络的风险值，并利用所述风险值计算出所述网络的各个节点的风险指数；融合态势信息模块融合所述网络的各个节点的所述风险指数，生成所述网络的融合风险指数，并利用模糊C-均值聚类算法将所述融合风险指数分为5个安全等级；网络态势评估模块根据所述网络的各个节点的风险指数，并结合所述不同安全等级生成所述网络的安全态势。

进一步的，所述网络信息获取模块通过IP地址数据库，检测网络中新老用户网络流量的IP地址状态变化，以得出所述网络的风险值的步骤具体为：所述网络信息获取模块从所述IP地址数据库获取所述网络的基本参数，并根据所述基本参数计算出所述网络的特征值；所述网络信息获取模块根据所述特征值计算出所述网络的风险值。

进一步的，所述网络的基本参数，包括：Δt、O、O_max和其中，Δt为时间间隔；O为当前网络中老用户的IP地址集合；O_max为当前网络中老用户的IP 地址出现的最大值；为网络中新用户IP地址的平均数量；所述特征值，包括：包括：R、A、Z和E；其中，R为当前网络中老用户IP地址数量和最大老用户 IP地址数量的比值的变化量；A为当前网络中新用户IP地址数量和平均新用户 IP地址数量之间的变化量；Z为当前网络中新用户IP地址和训练中最大老用户 IP地址数量的比值；E为当前网络中新用户IP地址的访问率。

进一步的，所述5个安全等级，包括：安全、轻度风险、中度风险、高度风险和极端风险。

进一步的，所述安全态势，包括：正常、轻微影响、严重影响、严重破坏和毁灭性破坏。

另一方面，本发明还提供了一种网络安全态势评估装置，包括：网络信息获取模块、融合态势信息模块、网络态势评估模块。所述网络信息获取模块，用于通过IP地址数据库，检测网络中新老用户网络流量的IP地址状态变化，以得出所述网络的风险值，并利用所述风险值计算出所述网络的各个节点的风险指数；所述融合态势信息模块，用于融合所述网络的各个节点的所述风险指数，生成所述网络的融合风险指数，并利用模糊C-均值聚类算法将所述融合风险指数分为5个安全等级；所述网络态势评估模块，用于根据所述网络的各个节点的风险指数，并结合所述不同安全等级生成所述网络的安全态势。

进一步的，所述网络信息获取模块，还用于从所述IP地址数据库获取所述网络的基本参数，并根据所述基本参数计算出所述网络的特征值；所述网络信息获取模块，还用于根据所述特征值计算出所述网络的风险值。

进一步的，所述网络的基本参数，包括：Δt、O、O_max和其中，Δt为时间间隔；O为当前网络中老用户的IP地址集合；O_max为当前网络中老用户的IP 地址出现的最大值；为网络中新用户IP地址的平均数量。所述特征值，包括： R、A、Z和E；其中，R为当前网络中老用户IP地址数量和最大老用户IP地址数量的比值的变化量；A为当前网络中新用户IP地址数量和平均新用户IP地址数量之间的变化量；Z为当前网络中新用户IP地址和训练中最大老用户IP地址数量的比值；E为当前网络中新用户IP地址的访问率。

进一步的，所述5个安全等级，包括：安全、轻度风险、中度风险、高度风险和极端风险。

进一步的，所述安全态势，包括：正常、轻微影响、严重影响、严重破坏和毁灭性破坏。

由上可见，本发明提出的网络安全态势评估方法，通过融合网络中各个节点的风险指数，生成网络的融合风险指数，并使用模糊C-均值聚类算法将网络安全等级进行分类，不仅可以实现大数据环境下受DDoS攻击的网络的安全态势评估，还使得得到的评估结果更加合理、可靠，进而有效地提高了网络安全态势评估方法的灵活性、以及评估结果的准确性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例的网络安全态势评估方法流程图。

图2是本发明实施例计算网络的各节点风险值的方法流程图。

图3是本发明实施例的网络安全态势评估装置结构图。

图4是本发明实施例的网络融合风险指数的实验数据。

图5是本发明实施例在不同的采样时间下五个不同安全等级的风险率。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明所提供的方法及装置在工作前，需先采用正常的网络流量进行训练，以输出用于存储旧用户IP地址和该基本参数的IP地址数据库。

具体的，首先，给定n个正常网络流量U和m个待检测的网络流量V作为样本，每个样本定义为(T_i，S_i，D_i)，其中，T_i表示第i个数据包的到达时间， S_i和D_i分别表示该流量数据包的源IP和目的IP。用正常的网络流量U来生成模型，然后使用生成的模型识别和评估待测流量V，训练和检测算法采用相同的时间间隔Δt作为参数。根据上述定义，在训练过程中，在第k个时间间隔Δt 中获得了正常网络流量U的一个子集，记为样本G_k。在每个时间间隔Δt的末尾，使用一个过滤器，过滤掉G_k中所有无有效IPv4(Internet Protocol Version-4)源地址的网络流量，过滤后的样本集合F_k可以定义为：

随着每个时间间隔的F_k的依次获得，逐渐地建立起了一个IP地址集合O，该集合O为当前网络老用户的IP地址。在第一个时间间隔把样本集F₁的所有 IP源地址合并到集合O中，O＝{}∪{S|S∈F1}，并令O_max＝||{S|S∈F₁}||，然后根据接下来每个时间间隔产生的F_k，可以得到在第k个时间间隔有||F_k∩O||个老用户的IP地址，并不断更新O_max＝max(O_max，||F_k∩O||)。

在计算出O_max后，将F_k合并到集合O中。通过不同重复此操作，可以得到一个O_max，代表在特定的时间段中老用户的IP地址出现的最大值。

本文已经定义了集合作F_k∩O为网络中的老用户的IP地址数量，相应地，集合F_k\O就代表了新用户的IP地址数量。随着O_max的不断更新，计算了N_k＝ ||F_k||-||F_k∩O||，则N_k就是新用户的IP地址数量。在得到最后的O_max时，本文计算了在所有时间片中新用户的IP地址的平均数量。

经过上述方法可以得到四个基本参数：Δt、O、O_max和其中，Δt为时间间隔；O为当前网络中老用户的IP地址集合；O_max为当前网络中老用户的IP地址出现的最大值；为网络中新用户IP地址的平均数量。本发明所提供的网络安全态势评估方法及装置，可以应用于评估DDoS攻击下的网络的安全态势，也可以应用于评估大数据环境下DDoS攻击的网络的安全态势。

需要说明的是，在真实的DDoS攻击流中，攻击者可能会伪造无效的IP地址，所以本发明中没有过滤掉G_k中的无效IP地址。如果去掉这些无效的IP地址，得出的则是缩小的攻击流量。而在从训练网络流U中计算老用户的IP地址集合O时，则需要过滤掉所有的无效IP地址，以确保所有的老用户的IP地址都来自于有效的IP地址。

图1是本发明实施例的网络安全态势评估方法流程图。

S101，网络信息获取模块通过IP地址数据库，检测网络中新老用户网络流量的IP地址状态变化，以得出网络的风险值，并利用风险值计算出网络的各个节点的风险指数。

在一个实施例中，IP地址数据库可以进行标志和去标志，且采用连续位来做标记，使得仅用512MB的空间就可以存储全部IPv4地址，进而有效提高了 DDoS攻击安全态势评估装置的性能。网络信息获取模块需要先从IP地址数据库中获取网络的基本参数，以根据基本参数计算出网络在特定时间段的特征值，并利用特征值计算出网络的风险值。具体过程将在图2所示的实施例中详细说明在此先不赘述。

S102，融合态势信息模块融合网络的各个节点的风险指数，生成网络的融合风险指数，并利用模糊C-均值聚类算法将融合风险指数分为5个安全等级。

在一个实施例中，风险指数，用于定量地表示在特定时间段内网络节点的风险值。

假设通过样本数据集已经得到了风险值的最大值和最小值，分别为RV_max和RV_min，则网络节点的风险指数RI_i的计算公式为：

在公式(4)中，RV_i是第i时刻的风险值。

使用x₁,x₂,...,x_n来代表各个网络节点在某时刻的风险指数。根据各个节点在网络中的重要程度定义了他们对应的权重α₁,α₂,...,α_n。

y₁＝α₁x_1，1+α₂x_2，1+...+α_nx_n，1

y₂＝α₁x_1，2+α₂x_2，2+...+α_nx_n，2 (5)

……

y_m＝α₁x_1,m+α₂x_2,m+...+α_nx_n,m

在公式(5)中，y_i为某时刻所有网络节点风险指数的加权和值，即融合风险指数。所以，某一时刻整个网络的融合风险指数可以由以下的公式计算得到。

y_i＝α₁x_1,i+α₂x_2,i+...+α_nx_n,i,i∈[1,...m] (6)

假设网络中所有节点的权重都相等，则融合风险指数y_i的计算公式可以简化为如下形式：

y_i＝x_1,i+x_2,i+...+x_n,i,i∈[1,...m] (7)

在一个实施例中，当计算出某一时刻整个网络的融合风险指数后，利用模糊C-均值聚类(Fuzzy C-means，FCM)算法可以将融合风险指数分为5个安全等级，具体的：

FCM算法将n维向量x_i(i＝1，2，……N)分到c个模糊集合中，并在非相似指数的价值函数取得最小值时，得到各类的聚类中心。FCM算法使用0到 1之间的数值来确定每个样本数据对不同聚类中心的隶属程度，根据模糊划分概念的引入，隶属度矩阵U中元素的取值都介于0和1之间。此外，根据归一化规则，每个样本数据对各个类的隶属度之和为1，即：

FCM的目标函数如下所示：

在公式(9)中，u_ij介于0到1之间，c_i是第i个模糊集合的聚类中心，d_ij是第i个聚类中心到第j个样本点的欧氏距离，即d_ij＝||c_i-x_j||。为了获得目标函数 (9)的最小值，构建了新的目标函数，如下：

在公式(10)中，λ_i(j＝1,2,...N)是公式(8)的拉格朗日乘数约束。对于所有的输入参数，使公式(9)达到最小值的必要约束条件是：

FCM算法是一个不断迭代的过程，其使用以下的步骤来得到聚类中心c和隶属度矩阵U：

步骤1：用0到1之间的随机数初始化隶属度矩阵U，同时确保公式(8) 中的约束条件是被满足的。

步骤2：使用公式(11)来计算c个聚类中心c_i，i＝1，...，c。

步骤3：根据公式(9)计算目标函数，并不断地重复此步骤，直到目标函数的值小于某个特定的阈值，或者其相较于上一次目标函数的值小于某个阈值；

步骤4：根据公式(12)计算新的隶属度矩阵，并返回步骤2。

根据网络中节点的安全态势情况，在本发明中，设定c＝5，通过FCM聚类算法将融合风险指数值分为五个安全等级：安全、轻度风险、中度风险、高度风险、极端风险。

S103，网络态势评估模块根据网络的各个节点的风险指数，并结合不同安全等级生成网络的安全态势。

在一个实施例中，定义N₁，N₂，N₃，N₄，N₅分别为在时间段T中安全、轻度风险、中度风险、高度风险、极端风险各安全等级出现的次数。计算网络风险率的计算方法，如下：

在公式(13)中，P_i代表不同安全等级所占的比例，即不同网络安全态势的风险率。同时，本发明还用不同的风险程度来表示不同的安全等级，如下：

I＝i,当max(θ_iP_i),i∈[1，2，3，4，5]

风险程度＝A，I＝1；

风险程度＝B，I＝2；

风险程度＝C，I＝3； (14)

风险程度＝D，I＝4；

风险程度＝E，I＝5；

在公式(14)中，θ_i为不同风险程度的权重，假设θ_i按比例随DDoS攻击对网络影响的增大而增大，则可以根据该公式得到在给定的时间段T内的网络安全态势。不同的风险程度对应不同的安全等级与安全态势，详见表1。

表1为本发明实施例的风险程度、安全等级、安全态势对应表。

为了验证本发明所提供的DDoS攻击安全态势评估方法，本实施例还使用Δt＝[50，100，500，1000，2000]毫秒作为采样时间间隔，CAIDA DDoS Attack 2007 数据做了实验。本发明提出的方法能够快速准确地计算出各个网络节点的风险指数，以及整个网络的融合风险指数。

如图4所示，在前2秒内，DDoS攻击下网络的风险指数较低，网络处于相对安全的状态；接下来的2秒内网络的风险指数变化较大，网络安全受到了较大的影响；在最后的2秒内网络的风险指数均高于0.8，网络持续处于极端危险的状态。

本实施例还给出了一些测试数据的实验结果，如表2所示，测试数据T1的网络风险程度是C，该测试数据属于安全程度A、B、C、D和E的概率分别为 1.12％、0.33％、96.84％、1.59％和0.12％，由此可以得出网络处于中等风险的状态，即此时整个网络的安全程度受到了较大的影响。同样的，由表2可以看出，测试数据T2的风险程度是E，网络处于极端风险的状态；测试数据T3和T5的风险程度是D，网络处于高度风险的状态；测试数据T4的风险程度是A，网络处于相对安全的状态。

表2为本发明实施例的网络安全风险程度实验结果。

本实施例还给出了在不同的采样时间下五个不同安全等级的风险率。如图5 所示，当采样时间为50ms时，实验结果是不具有代表性的。总体而言，在所研究的时间段内，安全程度为A、B、C、D和E的情况分别占到了34％、10％、 12％、14％和30％。当i＝5时，通过公示(15)计算得到的θ_iP_i值为最大值，所以，在所研究的时间段内，网络的风险等级为E。

本实施例还提出了错误累积样本数和平均准确度两个指标，以定量的评价本发明所提出的方法。

错误累积样本数(Error Accumulating Samples，EAS)：表示错误累计的总数，即各个类别中错误累积样本数的总和。本实施例定义EAS_A、EAS_B、EAS_C、 EAS_D和EAS_E分别表示风险程度A、风险程度B、风险程度C、风险程度D和风险程度E的错误累积样本数。则有：

EAS＝EAS_A+EAS_B+EAS_C+EAS_D+EAS_E(15)

平均准确度(Average Accuracy，AA)。假设原始的数据集有k个类，C_i表示类别i，N_i是C_i中的样本数，M_i是聚类正确的数目。则有，M_i/N_i是类别i 的准确度，则平均准确度的计算公式如下：

如表3所示，在不同的采样时间下，本发明所提出的方法的平均准确度均超过99％。随着采样时间的增加，平均准确度逐渐增加，且当采样时间达到 1000ms时，平均准确度已达到100％。

表3为本发明实施例的不同采样时间下本发明提供的方法的性能。

图2是本发明实施例计算网络的各节点风险值的方法流程图。

S201，网络信息获取模块从IP地址数据库获取网络的基本参数，并根据基本参数计算出网络的特征值。

在一个是实施例中，特征值，包括：R、A、Z和E；其中，R为当前网络中老用户IP地址数量和最大老用户IP地址数量的比值的变化量；A为当前网络中新用户IP地址数量和平均新用户IP地址数量之间的变化量；Z为当前网络中新用户IP地址和训练中最大老用户IP地址数量的比值；E为当前网络中新用户 IP地址的访问率。各特征值计算方法如下：

S202，网络信息获取模块根据特征值计算出网络的风险值。

在一个实施例中，网络在一个时间段内的风险值，计算方法如下：

RV_k＝-R_k×A_k×Z_k×E_k (18)

其中，RV_k为网络在特定时间段的风险值；由于四个特征值对风险值都会产生影响，为了防止风险值的计算结果出现0，可以将R_k和Z_k的计算方法修改如下：

图3是本发明实施例的网络安全态势评估装置结构图。

如图3所示，本实施例中，网络安全态势评估装置包括：网络信息获取模块、融合态势信息模块、网络态势评估模块。

网络信息获取模块，用于通过IP地址数据库，检测网络中新老用户网络流量的IP地址状态变化，以得出网络的风险值，并利用风险值计算出网络的各个节点的风险指数；融合态势信息模块，用于融合网络的各个节点的风险指数，生成网络的融合风险指数，并利用模糊C-均值聚类算法将融合风险指数分为5 个安全等级；网络态势评估模块，用于根据网络的融合风险指数，并结合不同安全等级生成网络的安全态势。

进一步的，网络信息获取模块，还用于从IP地址数据库获取网络的基本参数，并根据基本参数计算出网络的特征值；网络信息获取模块，还用于根据特征值计算出网络的风险值。

进一步的，网络的基本参数，包括：Δt、O、O_max和其中，Δt为时间间隔；O为当前网络中老用户的IP地址集合；O_max为当前网络中老用户的IP地址出现的最大值；为网络中新用户IP地址的平均数量。特征值，包括：R、A、 Z和E；其中，R为当前网络中老用户IP地址数量和最大老用户IP地址数量的比值的变化量；A为当前网络中新用户IP地址数量和平均新用户IP地址数量之间的变化量；E为当前网络中新用户IP地址的访问率。5个安全等级，包括：安全、轻度风险、中度风险、高度风险和极端风险。5种安全态势，包括：正常、轻微影响、严重影响、严重破坏和毁灭性破坏。

本实施例所示的网络安全态势评估装置可以用于执行图1、图2所示的方法实施例，在此不再赘述。

由上可见，本发明提出的网络安全态势评估方法，通过融合网络中各个节点的风险指数，生成网络的融合风险指数，并使用模糊C-均值聚类算法将网络安全等级进行分类，不仅可以实现大数据环境下受DDoS攻击的网络的安全态势评估，还使得得到的评估结果更加合理、可靠，进而有效地提高了网络安全态势评估方法的灵活性、以及评估结果的准确性。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种网络安全态势评估方法，其特征在于，包括：

网络信息获取模块通过IP地址数据库，检测网络中新老用户网络流量的IP地址状态变化，以得出所述网络的风险值，并利用所述风险值计算出所述网络的各个节点的风险指数；

融合态势信息模块融合所述网络的各个节点的所述风险指数，生成所述网络的融合风险指数，并利用模糊C-均值聚类算法将所述融合风险指数分为5个安全等级；

网络态势评估模块根据所述网络的融合风险指数，并结合所述不同安全等级生成所述网络的安全态势。

2.如权利要求1所述的方法，其特征在于，所述网络信息获取模块通过IP地址数据库，检测网络中新老用户网络流量的IP地址状态变化，以得出所述网络的风险值的步骤具体为：

所述网络信息获取模块从所述IP地址数据库获取所述网络的基本参数，并根据所述基本参数计算出所述网络的特征值；

所述网络信息获取模块根据所述特征值计算出所述网络的风险值。

3.如权利要求2所述的方法，其特征在于，所述网络的基本参数，包括：Δt、O、O_max和其中，Δt为时间间隔；O为当前网络中老用户的IP地址集合；O_max为当前网络中老用户的IP地址出现的最大值；为网络中新用户IP地址的平均数量；

所述特征值，包括：R、A、Z和E；其中，R为当前网络中老用户IP地址数量和最大老用户IP地址数量的比值的变化量；A为当前网络中新用户IP地址数量和平均新用户IP地址数量之间的变化量；Z为当前网络中新用户IP地址和训练中最大老用户IP地址数量的比值；E为当前网络中新用户IP地址的访问率。

4.如权利要求1所述的方法，其特征在于，所述5个安全等级，包括：安全、轻度风险、中度风险、高度风险和极端风险。

5.如权利要求1所述的方法，其特征在于，所述安全态势，包括：正常、轻微影响、严重影响、严重破坏和毁灭性破坏。

6.一种网络安全态势评估装置，其特征在于，包括：网络信息获取模块、融合态势信息模块、网络态势评估模块。

所述网络信息获取模块，用于通过IP地址数据库，检测网络中新老用户网络流量的IP地址状态变化，以得出所述网络的风险值，并利用所述风险值计算出所述网络的各个节点的风险指数；

所述融合态势信息模块，用于融合所述网络的各个节点的所述风险指数，生成所述网络的融合风险指数，并利用模糊C-均值聚类算法将所述融合风险指数分为5个安全等级；

所述网络态势评估模块，用于根据所述网络的融合风险指数，并结合所述不同安全等级生成所述网络的安全态势。

7.如权利要求6所述的装置，其特征在于：

所述网络信息获取模块，还用于从所述IP地址数据库获取所述网络的基本参数，并根据所述基本参数计算出所述网络的特征值；

所述网络信息获取模块，还用于根据所述特征值计算出所述网络的风险值。

8.如权利要求7所述的装置，其特征在于：

所述网络的基本参数，包括：Δt、O、O_max和其中，Δt为时间间隔；O为当前网络中老用户的IP地址集合；O_max为当前网络中老用户的IP地址出现的最大值；为网络中新用户IP地址的平均数量；

所述特征值，包括：R、A、Z和E；其中，R为当前网络中老用户IP地址数量和最大老用户IP地址数量的比值的变化量；A为当前网络中新用户IP地址数量和平均新用户IP地址数量之间的变化量；Z为当前网络中新用户IP地址和训练中最大老用户IP地址数量的比值；E为当前网络中新用户IP地址的访问率。

9.如权利要求6所述的方法，其特征在于，所述5个安全等级，包括：安全、轻度风险、中度风险、高度风险和极端风险。

10.如权利要求6所述的方法，其特征在于，所述安全态势，包括：正常、轻微影响、严重影响、严重破坏和毁灭性破坏。