CN110381013A - 一种网络安全态势感控方法、装置、设备和存储介质 - Google Patents
一种网络安全态势感控方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN110381013A CN110381013A CN201910452731.2A CN201910452731A CN110381013A CN 110381013 A CN110381013 A CN 110381013A CN 201910452731 A CN201910452731 A CN 201910452731A CN 110381013 A CN110381013 A CN 110381013A
- Authority
- CN
- China
- Prior art keywords
- network
- data
- attack
- safety situation
- network safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明公开了一种网络安全态势感控方法、装置、网络安全态势感控和计算机可读介质,方法包括:采集存在于网络通信设备以及网络节点中的网络安全数据;对所述网络安全数据的数据类型以及度量进行统一化操作,以获得统一数据集;对统一数据集进行删减操作,以获得符合降低数据维度和数据融合计算复杂度的精简数据集;按照融合规则对精简数据集进行融合,以获得网络中存在攻击事件;其中,所述攻击事件包括攻击强度、攻击数目以及攻击权重;根据所述攻击强度、攻击数目以及攻击权重,以获得网络安全态势值;根据所述网络安全态势值,构造出完整的网络安全态势变化趋势,以感知当前网络存在的威胁以及异常攻击行为,保证了实时的态势评估。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种网络安全态势感控方法、装置、 设备和存储介质。
背景技术
目前,互联网的快速发展促使信息技术渗透到各个领域,并对人们的生产 和生活方式产生了深刻的影响。目前,网络系统的规模呈现分布式及复杂化的 特点,相应的网络技术得到不断革新,同时网络安全形势也越来越严峻。网络 新技术的出现,伴随而来的是网络攻击能力的不断增强,网络入侵模式也趋于 分布式及复杂化,由此造成各类安全事件层出不穷。传统的防护模式难以满足 现有的网络安全需求。
同时,网络环境的复杂多变,导致网络时时刻刻遭受着不同类型的攻击, 这些攻击构成了底层的攻击层,攻击层包含的攻击数据及攻击发生概率可通过 多源融合得到。同时,这些攻击一般是针对于不同类型的安全服务,主机在运 行过程中将会使用相应类型的服务程序,这些被攻击的服务就构成了服务层。 整个网络环境中又包含了不同的主机,这些主机具有不同的类型,例如网络服 务器、网络设备及网络安全态势感控等。设备之间相互通信,传递各类信息资 源,构成主机层。模型最顶层为网络系统层,包含了整个系统内的各类节点。 网络安全问题不断的复杂化,造成安全管理难度不断的增加。由于网络在运行过程中时刻遭受不同类型的攻击,进而对主机资源和网络资源造成威胁。
基于现有网络存在的问题,网络安全态势感知逐渐成为网络安全领域的研 究热点。网络安全态势预测是态势感知的重要组成部分,已经在国内外展开各 种研究。但是,从现有的研究可得出,目前有关态势融合的研究多集中于融合 算法和分类算法的应用及改进方面,但存在态势感知的内容不完整、各数据源 对攻击类型的融合能力不同、数据参数维度过高及感知主观依赖性较强的问题。
发明内容
针对上述问题,本发明的目的在于提供一种网络安全态势感控方法、装置、 设备和存储介质,保证了实时的态势评估。
本发明第一方面提供了一种网络安全态势感控方法,包括:
采集存在于网络通信设备以及网络节点中的网络安全数据;
对所述网络安全数据的数据类型以及度量进行统一化操作,以获得统一数 据集;
对统一数据集进行删减操作,以获得符合降低数据维度和数据融合计算复 杂度的精简数据集;
按照融合规则对精简数据集进行融合,以获得网络中存在攻击事件;其中, 所述攻击事件包括攻击强度、攻击数目以及攻击权重;
根据所述攻击强度、攻击数目以及攻击权重,以获得网络安全态势值;
根据所述网络安全态势值,构造出完整的网络安全态势变化趋势,以感知 当前网络存在的威胁以及异常攻击行为。
优选地,对所述网络安全数据的数据类型以及度量进行统一化操作,以获 得统一数据集,具体为:
获取所述网络安全数据的数据类型;
将所述网络安全数据划分为数值型数据以及非数值型数据;
将所述非数值型数据预先进行数值标准化处理,以生成数值型数据;
对数值型数据以及所述网络安全数据的度量进行归一化处理,以获得统一 数据集。
优选地,根据所述攻击强度、攻击数目以及攻击权重,以获得网络安全态 势值,具体为:
根据所述攻击强度、攻击数目以及攻击权重,以获得服务安全态势值;
根据运行在主机上的服务安全态势值以及服务在主机中占的比重系数,以 获得主机安全态势值;
根据所述主机安全态势值和主机在网络中所占的比重,以获得网络安全态 势值。
优选地,所述服务安全态势值的表达式为:其中,攻击数目为Ni,攻击强度为m(i),服务安全态势值为SSj,攻击权重为
所述主机安全态势值的表达式为:其中,主机中占的比 重系数为所述主机安全态势值为所述服务安全态势值 为SSj;
所述网络安全态势值表达式为:其中,所述主机安全态 势值为主机在网络中所占的比重为:所述网络安全态势值 SN。
优选地,所述根据所述网络安全态势值,构造出网络安全态势变化趋势, 以感知当前网络存在的威胁以及异常攻击行为之后,还包括:
根据所述网络安全态势变化趋势,生成对应响应策略并发送至网络运行环 境中,以使得网络趋于安全状态。
优选地,采集存在于网络通信设备以及网络节点中的网络安全数据,具体 为:
通过网络安全传感器进行采集存在于网络通信设备及网络节点中的网络安 全数据;其中,所述网络安全传感器包括Snort、Suncata、IDS以及日志传感器。
本发明第二方面还提供了一种网络安全态势感控装置,包括:
采集单元,用于采集存在于网络通信设备以及网络节点中的网络安全数据;
统一化操作单元,用于对所述网络安全数据的数据类型以及度量进行统一 化操作,以获得统一数据集;
删减操作单元,用于对统一数据集进行删减操作,以获得符合降低数据维 度和数据融合计算复杂度的精简数据集;
融合单元,用于按照融合规则对精简数据集进行融合,以获得网络中存在 攻击事件;其中,所述攻击事件包括攻击强度、攻击数目以及攻击权重;
获取单元,用于根据所述攻击强度、攻击数目以及攻击权重,以获得网络 安全态势值;
构造单元,用于根据所述网络安全态势值,构造出完整的网络安全态势变 化趋势,以感知当前网络存在的威胁以及异常攻击行为。
优选地,所述统一化操作单元,具体用于:
获取模块,用于获取所述网络安全数据的数据类型;
划分模块,用于将所述网络安全数据划分为数值型数据以及非数值型数据;
数值标准化处理模块,用于将所述非数值型数据预先进行数值标准化处理, 以生成数值型数据;
归一化处理模块,用于对数值型数据以及所述网络安全数据的度量进行归 一化处理,以获得统一数据集。
优选地,获取单元,具体用于:
服务安全态势值获取模块,用于根据所述攻击强度、攻击数目以及攻击权 重,以获得服务安全态势值;
主机安全态势值获取模块,用于根据运行在主机上的服务安全态势值以及 服务在主机中占的比重系数,以获得主机安全态势值;
网络安全态势值获取模块,用于根据所述主机安全态势值和主机在网络中 所占的比重,以获得网络安全态势值。
优选地,所述服务安全态势值的表达式为:其 中,攻击数目为Ni,攻击强度为m(i),服务安全态势值为SSj,攻击权重为
所述主机安全态势值的表达式为:其中,主机中占的比 重系数为所述主机安全态势值为所述服务安全态势值 为SSj;
所述网络安全态势值表达式为:其中,所述主机安全态 势值为主机在网络中所占的比重为:所述网络安全态势值 SN。
优选地,还包括:
生成单元,用于根据所述网络安全态势变化趋势,生成对应响应策略并发 送至网络运行环境中,以使得网络趋于安全状态。
优选地,采集单元,具体用于:
通过网络安全传感器进行采集存在于网络通信设备及网络节点中的网络安 全数据;其中,所述网络安全传感器包括Snort、Suncata、IDS以及日志传感器。
本发明第三方面还提供了一种网络安全态势感控设备,包括处理器、存储 器以及存储在所述存储器内的计算机程序,所述计算机程序能够被所述处理器 执行以实现上述实施例所述的网络安全态势感控方法。
本发明第四方面还提供了一种计算机可读存储介质,所述计算机可读存储 介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机 可读存储介质所在设备执行如上述实施例所述的网络安全态势感控方法。
实施本发明实施例,具有如下有益技术效果:
1、本发明通过采集当前网络运行环境中的网络安全数据,只需要对采集的 安全网络数据进行数据执行统一化操作,且数据融合阶段通过特征选择删除了 冗余数据特征,尽可能减少了运行处理时间,从而保证了实时的态势评估。
2、本发明的态势感知基于数据融合的攻击发生概率,而攻击概率的确定是 由多个异构传感器联合得到,并不断对发生概率进行更新修正,保证网络环境 中安全攻击的判别的准确度,态势调控是基于网络CSV进行,而态势随着网络 环境的变化而不断变化,确保了调控机制的有效性和实时性。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施方式中所需要使用的 附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施 方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其他的附图。
图1是本发明第一实施例提供的一种网络安全态势感控方法的流程示意图。
图2是本发明实施例提供的数据采集以及数据统一化操作的流程示意图。
图3是本发明实施例提供的多源数据融合过程的流程示意图。
图4和图5分别是本发明实施例提供的网络安全态势感知的流程示意图。
图6是本发明第二实施例提供的一种网络安全态势感控装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是 全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造 性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1至图5,本发明第一实施例提供了一种网络安全态势感控方法, 其可由网络安全态势感控设备来执行,特别的,由网络安全态势感控设备内的 一个或多个处理器来执行,并至少包括如下步骤:
S101,采集存在于网络通信设备以及网络节点中的网络安全数据。
参见图2,在本实施例中,由于网络环境中存在着多个网络安全传感器传感 器,且这些网络安全传感器分别部署在不同的位置,具有不同的功能,属于多 异构网络安全传感器,每个网络安全传感器都对应着一个命题的证据区间。因 此,网络安全态势感控设备通过网络安全传感器进行采集存在于网络通信设备 及网络节点中的网络安全数据,获取网络安全数据;其中,所述网络安全传感 器包括Snort、Suncata、IDS以及日志传感器。
S102,对所述网络安全数据的数据类型以及度量进行统一化操作,以获得 统一数据集。
参见图2,在本实施例中,由于采集的网络安全数据的包括各类日志数据、 漏洞信息、配置信息、网络数据和社会数据等多源异构数据,使得网络安全数 据的数据类型、规模、数据质量、表达的语义以及度量(计量单位)等方面千 差万别,例如,数据类型包括数值型数据、非数值型数据如字符数据等,例如 所述度量包括MB,KB,BYTE等,因此,通过对所述网络安全数据的数据类 型以及度量进行统一化操作,以获得统一数据集,确保数据的类型以及度量的 统一性,具体地,首先网络安全态势感控设备先获取所述网络安全数据的数据类型,然后将所述网络安全数据划分为数值型数据以及非数值型数据,其次将 所述非数值型数据预先进行数值标准化处理,以生成数值型数据,最后对数值 型数据以及所述网络安全数据的度量进行归一化处理,以获得统一数据集。
S103,对统一数据集进行删减操作,以获得符合降低数据维度和数据融合 计算复杂度的精简数据集。
参见图3,在本实施例中,网络安全态势感控设备按照一定的规则从网络安 全数据的多个特征中挑选出关键特征,这些关键特征足以检测出网络攻击的类 型,且未被选中的数据特征不影响网络攻击类型的检测,同时还提升了数据处 理的实时性。其中,本实施例通过采用BP神经网络对这些关键特征进行选择, 神经网络具有良好的非线性映射能力和对任意函数的准确逼近能力。基于BP 神经网络的特征选择方法,通过分析测试集中输入数据的特征对最终输出结果 的支持度,按照支持度大小,选取关键特征,删除不重要的特征(冗余的、无 用的数据特征),从而得到一个符合降低数据维度和数据融合计算复杂度的精 简数据集。具体地,将BP神经网络运用于特征选择中,在神经网络训练过程 中,使与输出结果相关性大的输入结点的权值保持较大,而那些相关性小的结 点的权值较小。然后确定每个输入节点连接权重的平均值,再根据权值的大小, 删除权值较小的结点,同时删除与结点对应的数据特征,降低了数据维度,避 免了维数爆炸,提高了数据处理实时性。
S104,按照融合规则对精简数据集进行融合,以获得网络中存在攻击事件; 其中,所述攻击事件包括攻击强度、攻击数目以及攻击权重。
参见图3,在本实施例中,在网络运行环境中,不同的网络安全传感器具有 不同的融合权值,对于相同的安全事件可能会有不同的融合可信程度,直接按 照D-S证据融合规则对精简数据集进行融合得到融合数据数据库。其中,按照 D-S证据合成规对精简数据集中的相同事件进行组合处理,得到攻击事件的发生 概率。但是,由于数据融合过程中,直接按照D-S证据融合规则进行融合,融 合结果可能存在与现实不符的情况。对此,引入ACO算法对D-S证据融合规 则进行改进,核心是利用ACO的寻优能力,确定网络安全传感器对对各类攻击 类型的融合能力,增强D-S证据合成规则的融合能力和融合准确度,最后,利 用改进的ACO-DS多源融合规则,得出最终的融合结果。
其中,ACO算法,即蚂蚁优化算法,在算法中,若寻优过程中包含了M只蚂蚁, 每只蚂蚁在一次迭代时需要评价一个k维数据源组合,相当于ACO算法的一 条路径,评价的标准是得到对应的攻击类型,攻击类型相当于ACO算法中蚂 蚁寻找的食物。k表示数据源的个数,标记mkA为第m只蚂蚁评价一个k维 数据源组合。依据M只蚂蚁对k维数据的寻优能力,判别最优情况时每个数 据源被选中的概率,继而确定多源数据处理过程中数据源的融合能力。数据源 选择概率可通过公式:
(公式1);其中Ii∈k表示一个数据源,表示Ii在第t次迭代时被选 中后遗留的信息素,具体计算方式如公式:(其中,0<ρ<1 表示信息素的挥发程度,即数据源可能不被选择的概率,通常设置为0.5。表示第m只蚂蚁在路径上留下来的信息素,与数据源寻优方法相对应,表示第m 只蚂蚁走完整条路径时,所有的数据源选择概率之和);是与Ii有关的启发信 息,可由先验知识确定;α和β分别表示信息素因子和启发式因子,一般由用 户指定,也可以选取默认值1;表示尚未访问到的数据源集合,数据源集合 的选择具有一次性的约束,即集合内的每个元素在一次迭代过程只能使用一次, 不能重复性使用。
同时为了防止ACO算法在寻优过程中出现局部最优解的情况,对数据源概 率进行随机选择,随机选择公式为:每只蚂蚁 以一定频率θ随机选择这两个概率函数,即选择公式(1)的频率是θ,选择公 式(2)的频率是1-θ。该策略能够实现搜索的多样性,提高算法获得全局最优 解的可能性,从而能够准确的确定数据源的权值问题。通过ACO算法的迭代处 理,求解出最优路径,确定最优路径的各个数据源概率,即可得出数据源对攻 击事件的融合程度为(w1,w2,……,wn),即融合规则的数据源融合权重,其中n 表示数据源个数。根据上述求解,将D-S证据组合规则改进为公式:
其中,m(A)表示攻击事件A的数 据融合基本概率分配;其中,融合数据数据库中的数据源的个数n即攻击数目, 数据融合权重即攻击权重,数据融合基本概率即攻击概率。
S105,根据所述攻击强度、攻击数目以及攻击权重,以获得网络安全态势 值。
S106,根据所述网络安全态势值,构造出完整的网络安全态势变化趋势, 以感知当前网络存在的威胁以及异常攻击行为。
参见图4和图5在本实施例中,所述网络安全态势感控设备首先根据所述 攻击强度、攻击数目以及攻击权重,以获得服务安全态势值,其次,根据运行 在主机上的服务安全态势值以及服务在主机中占的比重系数,以获得主机安全 态势值;最后,根据所述主机安全态势值和主机在网络中所占的比重,以获得 网络安全态势值。
具体地,在本实施例中采用具备“自下而上、由局部到整体”感知策略的 层次态势感知模型,该模型从下到上依次为攻击层、服务层、主机层、网络层, 对应的模块为融合数据数据库、服务安全态势、主机安全态势、网络安全态势。 其中,下层是上层的细化研究,上层是对下层的进一步抽象,下层对象对上层 对象有相应权重的态势影响。依据态势感知模型的层次及多源融合结果,首先 处理服务安全态势的感知问题。服务的安全态势值是由攻击发生概率及攻击数 目组成,其中攻击发生概率即攻击强度,由此可量化服务的安全态势。服务Sj 遭受i类攻击的攻击数目为Ni,攻击强度为m(i),其中,攻击强度由多源融合 方法得到;i类攻击在服务中所占权重为wi,则服务Sj(0≤j≤n)的安全态 势值可表示为公式:其中,n为服务遭受的攻击类别数目, 是为了突出攻击严重度的重要性,xi代表i类攻击的严重程度,可对攻击 严重度进行高、中、低层次划分,再对其进行量化求得。
其中,主机安全态势值是由运行在主机上的各类服务的安全态势值和服务 在主机中占的比重系数决定。假设,主机Hi运行需要u个服务的支撑,对这些 服务按照运行的重要程度赋予权重并对服务权重进行归一 化处理,确保服务权重处于区间[0,1]内,权重归一化的方式可用公式 主机Hi的安全态势值可表示为若值越大,表 示主机的威胁程度越严重,网络管理员应高度重视安全态势的变化趋势,及时 采取管理策略。
其中,网络安全态势值是由网络上各类主机安全态势值和各类主机在网络 中所占的比重决定。其中,网络N上存在v个主机,对主机按照重要程度赋予 权重并对权重进行归一化处理:由此可 以得出网络N的安全态势值,求解方法如公式:若SN的值越大表示 网络现在的威胁态势值越高,需对网络当前时段的态势值进行分析,判断网络 安全态势变化趋势,及时采取处理方案
综上所述,通过采集当前网络运行环境中的网络安全数据,只需要对采集 的安全网络数据进行数据执行统一化操作,且数据融合阶段通过特征选择删除 了冗余数据特征,尽可能减少了运行处理时间,从而保证了实时的态势评估。 且本发明的态势感知基于数据融合的攻击发生概率,而攻击概率的确定是由多 个异构传感器联合得到,并不断对发生概率进行更新修正,保证网络环境中安 全攻击的判别的准确度,态势调控是基于网络CSV进行,而态势随着网络环境 的变化而不断变化,确保了调控机制的有效性和实时性。
在第一实施例的基础上,本发明的一优选实施例中,所述根据所述网络安 全态势值,构造出网络安全态势变化趋势,以感知当前网络存在的威胁以及异 常攻击行为之后,还包括:
根据所述网络安全态势变化趋势,生成对应响应策略并发送至网络运行环境 中,以使得网络趋于安全状态。利用层次感知了解当前网络的安全运行状况, 并根据网络CSV制定相应的调控机制,减少威胁攻击发生的概率,确保网络环 境的安全性。
本发明第二实施例:
参见图6,本发明第二实施例还提供了一种网络安全态势感控装置,包括:
采集单元100,用于采集存在于网络通信设备以及网络节点中的网络安全数 据;
统一化操作单元200,用于对所述网络安全数据的数据类型以及度量进行统 一化操作,以获得统一数据集;
删减操作单元300,用于对统一数据集进行删减操作,以获得符合降低数据 维度和数据融合计算复杂度的精简数据集;
融合单元400,用于按照融合规则对精简数据集进行融合,以获得网络中存 在攻击事件;其中,所述攻击事件包括攻击强度、攻击数目以及攻击权重;
获取单元500,用于根据所述攻击强度、攻击数目以及攻击权重,以获得网 络安全态势值;
构造单元600,用于根据所述网络安全态势值,构造出完整的网络安全态势 变化趋势,以感知当前网络存在的威胁以及异常攻击行为。
在第一实施例的基础上,本发明的一优选实施例中,,所述统一化操作单 元200,具体用于:
获取模块,用于获取所述网络安全数据的数据类型;
划分模块,用于将所述网络安全数据划分为数值型数据以及非数值型数据;
数值标准化处理模块,用于将所述非数值型数据预先进行数值标准化处理, 以生成数值型数据;
归一化处理模块,用于对数值型数据以及所述网络安全数据的度量进行归 一化处理,以获得统一数据集。
在第一实施例的基础上,本发明的一优选实施例中,,获取单元500,具体 用于:
服务安全态势值获取模块,用于根据所述攻击强度、攻击数目以及攻击权 重,以获得服务安全态势值;
主机安全态势值获取模块,用于根据运行在主机上的服务安全态势值以及 服务在主机中占的比重系数,以获得主机安全态势值;
网络安全态势值获取模块,用于根据所述主机安全态势值和主机在网络中 所占的比重,以获得网络安全态势值。
在第一实施例的基础上,本发明的一优选实施例中,所述服务安全态势值 的表达式为:其中,攻击数目为Ni,攻击强度为m(i), 服务安全态势值为SSj,攻击权重为
所述主机安全态势值的表达式为:其中,主机中占的比 重系数为所述主机安全态势值为所述服务安全态势值 为SSj;
所述网络安全态势值表达式为:其中,所述主机安全态 势值为主机在网络中所占的比重为:所述网络安全态势值 SN。
在第一实施例的基础上,本发明的一优选实施例中,还包括:
生成单元,用于根据所述网络安全态势变化趋势,生成对应响应策略并发 送至网络运行环境中,以使得网络趋于安全状态。
优选地,采集单元100,具体用于:
通过网络安全传感器进行采集存在于网络通信设备及网络节点中的网络安 全数据;其中,所述网络安全传感器包括Snort、Suncata、IDS以及日志传感器。
本发明第三实施例:
本发明第三实施例还提供了一种网络安全态势感控设备,包括处理器、存 储器以及存储在所述存储器内的计算机程序,所述计算机程序能够被所述处理 器执行以实现如上述实施例所述的网络安全态势感控方法。
本发明第四实施例:
本发明第四实施例提供了一种计算机可读存储介质,所述计算机可读存储 介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机 可读存储介质所在设备执行如上述的网络安全态势感控方法。
示例性的,所述计算机程序可以被分割成一个或多个单元,所述一个或者 多个单元被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述 一个或多个单元可以是能够完成特定功能的一系列计算机程序指令段,该指令 段用于描述所述计算机程序在网络安全态势感控设备中的执行过程。
所述网络安全态势感控设备可包括但不仅限于处理器、存储器。本领域技 术人员可以理解,所述示意图仅仅是网络安全态势感控设备的示例,并不构成 对网络安全态势感控设备的限定,可以包括比图示更多或更少的部件,或者组 合某些部件,或者不同的部件,例如所述网络安全态势感控设备还可以包括输 入输出设备、网络接入设备、总线等。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是 其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电 路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列 (Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者 晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器 也可以是任何常规的处理器等,所述网络安全态势感控设备的控制中心,利用 各种接口和线路连接整个网络安全态势感控设备的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或 执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的 数据,实现所述网络安全态势感控设备的各种功能。所述存储器可主要包括存 储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所 需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储 根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器 可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、 插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital, SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易 失性固态存储器件。
其中,所述网络安全态势感控设备集成的单元如果以软件功能单元的形式 实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质 中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可 以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计 算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法 实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序 代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述 计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、 记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM, Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、电 载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介 质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减, 例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波 信号和电信信号。
需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分 离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件 可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多 个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实 施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关 系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。 本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技 术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这 些改进和润饰也视为本发明的保护范围。
Claims (10)
1.一种网络安全态势感控方法,其特征在于,包括:
采集存在于网络通信设备以及网络节点中的网络安全数据;
对所述网络安全数据的数据类型以及度量进行统一化操作,以获得统一数据集;
对统一数据集进行删减操作,以获得符合降低数据维度和数据融合计算复杂度的精简数据集;
按照融合规则对精简数据集进行融合,以获得网络中存在攻击事件;其中,所述攻击事件包括攻击强度、攻击数目以及攻击权重;
根据所述攻击强度、攻击数目以及攻击权重,以获得网络安全态势值;
根据所述网络安全态势值,构造出完整的网络安全态势变化趋势,以感知当前网络存在的威胁以及异常攻击行为。
2.根据权利要求1所述的网络安全态势感控方法,其特征在于,对所述网络安全数据的数据类型以及度量进行统一化操作,以获得统一数据集,具体为:
获取所述网络安全数据的数据类型;
将所述网络安全数据划分为数值型数据以及非数值型数据;
将所述非数值型数据预先进行数值标准化处理,以生成数值型数据;
对数值型数据以及所述网络安全数据的度量进行归一化处理,以获得统一数据集。
3.根据权利要求1所述的网络安全态势感控方法,其特征在于,根据所述攻击强度、攻击数目以及攻击权重,以获得网络安全态势值,具体为:
根据所述攻击强度、攻击数目以及攻击权重,以获得服务安全态势值;
根据运行在主机上的服务安全态势值以及服务在主机中占的比重系数,以获得主机安全态势值;
根据所述主机安全态势值和主机在网络中所占的比重,以获得网络安全态势值。
4.根据权利要求3所述的网络安全态势感控方法,其特征在于,
所述服务安全态势值的表达式为:其中,攻击数目为Ni,攻击强度为m(i),服务安全态势值为SSj,攻击权重为
所述主机安全态势值的表达式为:其中,主机中占的比重系数为所述主机安全态势值为所述服务安全态势值为SSj;
所述网络安全态势值表达式为:其中,所述主机安全态势值为主机在网络中所占的比重为:所述网络安全态势值SN。
5.根据权利要求1所述的网络安全态势感控方法,其特征在于,所述根据所述网络安全态势值,构造出网络安全态势变化趋势,以感知当前网络存在的威胁以及异常攻击行为之后,还包括:
根据所述网络安全态势变化趋势,生成对应响应策略并发送至网络运行环境中,以使得网络趋于安全状态。
6.根据权利要求1所述的网络安全态势感控方法,其特征在于,采集存在于网络通信设备以及网络节点中的网络安全数据,具体为:
通过网络安全传感器进行采集存在于网络通信设备及网络节点中的网络安全数据;其中,所述网络安全传感器包括Snort、Suncata、IDS以及日志传感器。
7.一种网络安全态势感控装置,其特征在于,包括:
采集单元,用于采集存在于网络通信设备以及网络节点中的网络安全数据;
统一化操作单元,用于对所述网络安全数据的数据类型以及度量进行统一化操作,以获得统一数据集;
删减操作单元,用于对统一数据集进行删减操作,以获得符合降低数据维度和数据融合计算复杂度的精简数据集;
融合单元,用于按照融合规则对精简数据集进行融合,以获得网络中存在攻击事件;其中,所述攻击事件包括攻击强度、攻击数目以及攻击权重;
获取单元,用于根据所述攻击强度、攻击数目以及攻击权重,以获得网络安全态势值;
构造单元,用于根据所述网络安全态势值,构造出完整的网络安全态势变化趋势,以感知当前网络存在的威胁以及异常攻击行为。
8.根据权利要求1所述的网络安全态势感控装置,其特征在于,所述统一化操作单元,具体用于:
获取模块,用于获取所述网络安全数据的数据类型;
划分模块,用于将所述网络安全数据划分为数值型数据以及非数值型数据;
数值标准化处理模块,用于将所述非数值型数据预先进行数值标准化处理,以生成数值型数据;
归一化处理模块,用于对数值型数据以及所述网络安全数据的度量进行归一化处理,以获得统一数据集。
9.一种网络安全态势感控设备,包括处理器、存储器以及存储在所述存储器中且被配置由所述处理执行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述网络安全态势感控方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至6中任意一项所述的网络安全态势感控方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910452731.2A CN110381013A (zh) | 2019-05-28 | 2019-05-28 | 一种网络安全态势感控方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910452731.2A CN110381013A (zh) | 2019-05-28 | 2019-05-28 | 一种网络安全态势感控方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110381013A true CN110381013A (zh) | 2019-10-25 |
Family
ID=68248878
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910452731.2A Pending CN110381013A (zh) | 2019-05-28 | 2019-05-28 | 一种网络安全态势感控方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110381013A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111031042A (zh) * | 2019-12-13 | 2020-04-17 | 电子科技大学 | 一种基于改进d-s证据理论的网络异常检测方法 |
| CN111193728A (zh) * | 2019-12-23 | 2020-05-22 | 成都烽创科技有限公司 | 网络安全评估方法、装置、设备及存储介质 |
| CN112380514A (zh) * | 2020-11-13 | 2021-02-19 | 支付宝(杭州)信息技术有限公司 | 生物识别安全态势预测方法、装置和电子设备 |
| CN112995019A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全态势感知信息的显示方法及客户端 |
| CN113965404A (zh) * | 2021-11-02 | 2022-01-21 | 公安部第三研究所 | 一种网络安全态势自适应主动防御系统及方法 |
| CN114598486A (zh) * | 2020-12-03 | 2022-06-07 | 华中科技大学 | 一种sdn网络中面向业务流的威胁等级划分方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101079882A (zh) * | 2006-05-24 | 2007-11-28 | 帕洛阿尔托研究中心公司 | 基于态势的数据保护 |
| CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
| CN102821007A (zh) * | 2012-08-06 | 2012-12-12 | 河南科技大学 | 一种基于自律计算的网络安全态势感知系统及其处理方法 |
| CN103581186A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势感知方法及系统 |
-
2019
- 2019-05-28 CN CN201910452731.2A patent/CN110381013A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101079882A (zh) * | 2006-05-24 | 2007-11-28 | 帕洛阿尔托研究中心公司 | 基于态势的数据保护 |
| CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
| CN102821007A (zh) * | 2012-08-06 | 2012-12-12 | 河南科技大学 | 一种基于自律计算的网络安全态势感知系统及其处理方法 |
| CN103581186A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势感知方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 张淑雯: "基于多源融合的网络安全态势感控机制研究", 《中国优秀硕士学位论文全文数据库 信息科技辑 2017年》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111031042A (zh) * | 2019-12-13 | 2020-04-17 | 电子科技大学 | 一种基于改进d-s证据理论的网络异常检测方法 |
| CN111193728A (zh) * | 2019-12-23 | 2020-05-22 | 成都烽创科技有限公司 | 网络安全评估方法、装置、设备及存储介质 |
| CN111193728B (zh) * | 2019-12-23 | 2022-04-01 | 成都烽创科技有限公司 | 网络安全评估方法、装置、设备及存储介质 |
| CN112380514A (zh) * | 2020-11-13 | 2021-02-19 | 支付宝(杭州)信息技术有限公司 | 生物识别安全态势预测方法、装置和电子设备 |
| CN112380514B (zh) * | 2020-11-13 | 2022-11-22 | 支付宝(杭州)信息技术有限公司 | 生物识别安全态势预测方法、装置和电子设备 |
| CN114598486A (zh) * | 2020-12-03 | 2022-06-07 | 华中科技大学 | 一种sdn网络中面向业务流的威胁等级划分方法和系统 |
| CN114598486B (zh) * | 2020-12-03 | 2023-04-07 | 华中科技大学 | 一种sdn网络中面向业务流的威胁等级划分方法和系统 |
| CN112995019A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全态势感知信息的显示方法及客户端 |
| CN112995019B (zh) * | 2021-03-23 | 2023-04-07 | 上海纽盾科技股份有限公司 | 网络安全态势感知信息的显示方法及客户端 |
| CN113965404A (zh) * | 2021-11-02 | 2022-01-21 | 公安部第三研究所 | 一种网络安全态势自适应主动防御系统及方法 |
| CN113965404B (zh) * | 2021-11-02 | 2023-06-02 | 公安部第三研究所 | 一种网络安全态势自适应主动防御系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110381013A (zh) | 一种网络安全态势感控方法、装置、设备和存储介质 | |
| Shynu et al. | Blockchain-based secure healthcare application for diabetic-cardio disease prediction in fog computing | |
| Deng et al. | A total uncertainty measure for D numbers based on belief intervals | |
| CN107533557B (zh) | 使用模板识别网络欺诈通信 | |
| JP2020503629A (ja) | ページ表示方法、装置、サーバー及び記憶媒体 | |
| Tan et al. | A graph-theoretic approach for the detection of phishing webpages | |
| Carullo et al. | A triadic closure and homophily-based recommendation system for online social networks | |
| CN112165462A (zh) | 基于画像的攻击预测方法、装置、电子设备及存储介质 | |
| Al-Khafajiy et al. | Intelligent control and security of fog resources in healthcare systems via a cognitive fog model | |
| CN110348238B (zh) | 一种面向应用的隐私保护分级方法及装置 | |
| CN110166344B (zh) | 一种身份标识识别方法、装置以及相关设备 | |
| CN108833139B (zh) | 一种基于类别属性划分的ossec报警数据聚合方法 | |
| Jiang et al. | A new evidential trust model for open distributed systems | |
| CN108734402A (zh) | 基于虚拟案例的非常规突发事件应急管理决策方法及系统 | |
| Tsantarliotis et al. | Defining and predicting troll vulnerability in online social media | |
| CN104598474B (zh) | 云环境下基于数据语义的信息推荐方法 | |
| Alam et al. | Trust management in social internet of things (SIoT): a survey | |
| Bhor et al. | TRUST‐based features for detecting the intruders in the Internet of Things network using deep learning | |
| Li et al. | Coevolution modeling of group behavior and opinion based on public opinion perception | |
| Narendrasinh et al. | FLBS: Fuzzy lion Bayes system for intrusion detection in wireless communication network | |
| Li et al. | Privacy measurement method using a graph structure on online social networks | |
| Gaffer et al. | Genetic fuzzy system for intrusion detection: Analysis of improving of multiclass classification accuracy using KDDCup-99 imbalance dataset | |
| Raamakirtinan et al. | Identifying influential spreaders in complex networks based on weighted mixed degree decomposition method | |
| CN109922444A (zh) | 一种垃圾短信识别方法及装置 | |
| Zhang et al. | An intelligent trusted edge data production method for distributed Internet of things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20191025 |