CN110493217A - 一种分布式的态势感知方法和系统 - Google Patents

一种分布式的态势感知方法和系统 Download PDF

Info

Publication number
CN110493217A
CN110493217A CN201910757473.9A CN201910757473A CN110493217A CN 110493217 A CN110493217 A CN 110493217A CN 201910757473 A CN201910757473 A CN 201910757473A CN 110493217 A CN110493217 A CN 110493217A
Authority
CN
China
Prior art keywords
data
attack
network
situation
key equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910757473.9A
Other languages
English (en)
Other versions
CN110493217B (zh
Inventor
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuleng Technology Co Ltd
Original Assignee
Wuhan Sipuleng Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuleng Technology Co Ltd filed Critical Wuhan Sipuleng Technology Co Ltd
Priority to CN201910757473.9A priority Critical patent/CN110493217B/zh
Publication of CN110493217A publication Critical patent/CN110493217A/zh
Application granted granted Critical
Publication of CN110493217B publication Critical patent/CN110493217B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Abstract

本发明提供一种分布式的态势感知方法和系统,采集不同信息来源的数据,通过预处理得到统一格式的数据流,从该数据流中提取高频项目组要素,生成高频关联规则,送入态势评估进行评估量化,通过与不同评估体系的融合,以及模糊处理数据要素,得到单个设备、局部网络的态势值,结合整个网络的架构组成,得到整个系统的态势值,将不同层次的态势值导入神经网络模型进行预测,最后可视化展示预测结果,充分评估整个分布式系统以及每一个单个设备,而且可以基于给出的态势值,将其与每一个设备、每一个分层建立关联,从而可以对未来的系统进行科学地预测,为用户提供有价值的参考建议。

Description

一种分布式的态势感知方法和系统
技术领域
本申请涉及网络安全技术领域,尤其涉及一种分布式的态势感知方法和系统。
背景技术
现有的态势感知技术采用简单的态势理解,就可以得出关于整个系统的安全态势评估结果,无法定量地给出态势评估的报告,更无法基于态势评估的结果进行安全态势的预测,其利用价值非常有限。尤其在分布式系统中,面对均衡服务器可能遇到的攻击,缺乏定量的分析。
分布式的态势评估不仅在算法上充分评估整个分布式系统以及每一个单个设备,而且可以基于给出的态势值,将其与每一个设备、每一个分层建立关联,从而可以对未来的系统进行科学地预测,为用户提供有价值的参考建议。这是本发明要解决的技术问题。
发明内容
本发明的目的在于提供一种分布式的态势感知方法和系统,采集不同信息来源的数据,通过预处理得到统一格式的数据流,从该数据流中提取高频项目组要素,生成高频关联规则,送入态势评估进行评估量化,通过与不同评估体系的融合,以及模糊处理数据要素,得到单个设备、局部网络的态势值,结合整个网络的架构组成,得到整个系统的态势值,将不同层次的态势值导入神经网络模型进行预测,最后可视化展示预测结果。
第一方面,本申请提供一种分布式的态势感知方法,所述方法包括:
采集不同来源的传感器、信息平台、探测设备的运行状态数据;
接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
根据所述频繁模式树状结构,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;
判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t,得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)=N(t)·10d(t),N(t)表示t时刻攻击所发生的次数,用10d(t)计算攻击的威胁程度,反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
分别将单个关键设备、局部网络和整个网络的安全态势值导入神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测;
将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果进行可视化展示。
结合第一方面,在第一方面第一种可能的实现方式中,所述从合并后的数据流提取要素,包括:根据以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
结合第一方面,在第一方面第二种可能的实现方式中,所述清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
结合第一方面,在第一方面第三种可能的实现方式中,所述模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
第二方面,本申请提供一种分布式的态势感知系统,所述系统包括:
采集单元,用于采集不同来源的传感器、信息平台、探测设备的运行状态数据;
预处理单元,用于接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
态势理解单元,用于从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
态势评估单元,用于根据所述频繁模式树状结构,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t,得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)=N(t)·10d(t),N(t)表示t时刻攻击所发生的次数,用10d(t)计算攻击的威胁程度,反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
态势预测单元,用于分别将单个关键设备、局部网络和整个网络的安全态势值导入神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测;
态势展示单元,用于将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果进行可视化展示。
结合第二方面,在第二方面第一种可能的实现方式中,所述态势理解单元从合并后的数据流提取要素,包括:根据以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
结合第二方面,在第二方面第二种可能的实现方式中,所述预处理单元清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
结合第二方面,在第二方面第三种可能的实现方式中,所述态势评估单元模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
本发明提供一种分布式的态势感知方法和系统,采集不同信息来源的数据,通过预处理得到统一格式的数据流,从该数据流中提取高频项目组要素,生成高频关联规则,送入态势评估进行评估量化,通过与不同评估体系的融合,以及模糊处理数据要素,得到单个设备、局部网络的态势值,结合整个网络的架构组成,得到整个系统的态势值,将不同层次的态势值导入神经网络模型进行预测,最后可视化展示预测结果,充分评估整个分布式系统以及每一个单个设备,而且可以基于给出的态势值,将其与每一个设备、每一个分层建立关联,从而可以对未来的系统进行科学地预测,为用户提供有价值的参考建议。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明分布式的态势感知方法的流程图;
图2为本发明分布式的态势感知系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的分布式的态势感知方法的流程图,所述方法包括:
采集不同来源的传感器、信息平台、探测设备的运行状态数据;
接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
根据所述频繁模式树状结构,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;
判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t,得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)=N(t)·10d(t),N(t)表示t时刻攻击所发生的次数,用10d(t)计算攻击的威胁程度,反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
分别将单个关键设备、局部网络和整个网络的安全态势值导入神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测;
将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果进行可视化展示。
在一些优选实施例中,所述从合并后的数据流提取要素,包括:根据以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
在一些优选实施例中,所述清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
在一些优选实施例中,所述模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
图2为本申请提供的分布式的态势感知系统的架构图,所述系统包括:
采集单元,用于采集不同来源的传感器、信息平台、探测设备的运行状态数据;
预处理单元,用于接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
态势理解单元,用于从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
态势评估单元,用于根据所述频繁模式树状结构,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t,得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)=N(t)·10d(t),N(t)表示t时刻攻击所发生的次数,用10d(t)计算攻击的威胁程度,反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
态势预测单元,用于分别将单个关键设备、局部网络和整个网络的安全态势值导入神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测;
态势展示单元,用于将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果进行可视化展示。
在一些优选实施例中,所述态势理解单元从合并后的数据流提取要素,包括:根据以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
在一些优选实施例中,所述预处理单元清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
在一些优选实施例中,所述态势评估单元模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (8)

1.一种分布式的态势感知方法,其特征在于,所述方法包括:
采集不同来源的传感器、信息平台、探测设备的运行状态数据;
接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
根据所述频繁模式树状结构,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;
判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t,得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)=N(t)·10d(t),N(t)表示t时刻攻击所发生的次数,用10d(t)计算攻击的威胁程度,反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
分别将单个关键设备、局部网络和整个网络的安全态势值导入神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测;
将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果进行可视化展示。
2.根据权利要求1所述的方法,其特征在于,所述从合并后的数据流提取要素,包括:根据以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
5.一种分布式的态势感知系统,其特征在于,所述系统包括:
采集单元,用于采集不同来源的传感器、信息平台、探测设备的运行状态数据;
预处理单元,用于接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
态势理解单元,用于从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
态势评估单元,用于根据所述频繁模式树状结构,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t,得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)=N(t)·10d(t),N(t)表示t时刻攻击所发生的次数,用10d(t)计算攻击的威胁程度,反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
态势预测单元,用于分别将单个关键设备、局部网络和整个网络的安全态势值导入神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测;
态势展示单元,用于将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果进行可视化展示。
6.根据权利要求5所述的系统,其特征在于,所述态势理解单元从合并后的数据流提取要素,包括:根据以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
7.根据权利要求5-6任一项所述的系统,其特征在于,所述预处理单元清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
8.根据权利要求5-7任一项所述的系统,其特征在于,所述态势评估单元模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
CN201910757473.9A 2019-08-16 2019-08-16 一种分布式的态势感知方法和系统 Active CN110493217B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910757473.9A CN110493217B (zh) 2019-08-16 2019-08-16 一种分布式的态势感知方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910757473.9A CN110493217B (zh) 2019-08-16 2019-08-16 一种分布式的态势感知方法和系统

Publications (2)

Publication Number Publication Date
CN110493217A true CN110493217A (zh) 2019-11-22
CN110493217B CN110493217B (zh) 2022-04-12

Family

ID=68551388

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910757473.9A Active CN110493217B (zh) 2019-08-16 2019-08-16 一种分布式的态势感知方法和系统

Country Status (1)

Country Link
CN (1) CN110493217B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111586046A (zh) * 2020-05-08 2020-08-25 武汉思普崚技术有限公司 一种结合威胁情报和机器学习的网络流量分析方法及系统
CN111866027A (zh) * 2020-08-10 2020-10-30 武汉思普崚技术有限公司 一种基于情报分析的资产安全评估方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102263410A (zh) * 2010-05-31 2011-11-30 河南省电力公司 一种安全风险评估模型、评估方法及评估参数确定方法
CN102624696A (zh) * 2011-12-27 2012-08-01 中国航天科工集团第二研究院七〇六所 一种网络安全态势评估方法
CN102821007A (zh) * 2012-08-06 2012-12-12 河南科技大学 一种基于自律计算的网络安全态势感知系统及其处理方法
WO2016172514A1 (en) * 2015-04-24 2016-10-27 Siemens Aktiengesellschaft Improving control system resilience by highly coupling security functions with control
CN107404400A (zh) * 2017-07-20 2017-11-28 中国电子科技集团公司第二十九研究所 一种网络态势感知实现方法及装置
CN108494810A (zh) * 2018-06-11 2018-09-04 中国人民解放军战略支援部队信息工程大学 面向攻击的网络安全态势预测方法、装置及系统
CN108769048A (zh) * 2018-06-08 2018-11-06 武汉思普崚技术有限公司 一种安全可视化与态势感知平台系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102263410A (zh) * 2010-05-31 2011-11-30 河南省电力公司 一种安全风险评估模型、评估方法及评估参数确定方法
CN102624696A (zh) * 2011-12-27 2012-08-01 中国航天科工集团第二研究院七〇六所 一种网络安全态势评估方法
CN102821007A (zh) * 2012-08-06 2012-12-12 河南科技大学 一种基于自律计算的网络安全态势感知系统及其处理方法
WO2016172514A1 (en) * 2015-04-24 2016-10-27 Siemens Aktiengesellschaft Improving control system resilience by highly coupling security functions with control
CN107404400A (zh) * 2017-07-20 2017-11-28 中国电子科技集团公司第二十九研究所 一种网络态势感知实现方法及装置
CN108769048A (zh) * 2018-06-08 2018-11-06 武汉思普崚技术有限公司 一种安全可视化与态势感知平台系统
CN108494810A (zh) * 2018-06-11 2018-09-04 中国人民解放军战略支援部队信息工程大学 面向攻击的网络安全态势预测方法、装置及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
刘鹏等: "大规模网络安全态势感知及预测", 《计算机安全》 *
甘文道等: "基于RAN-RBF神经网络的网络安全态势预测模型 ", 《计算机科学》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111586046A (zh) * 2020-05-08 2020-08-25 武汉思普崚技术有限公司 一种结合威胁情报和机器学习的网络流量分析方法及系统
CN111586046B (zh) * 2020-05-08 2021-02-09 武汉思普崚技术有限公司 一种结合威胁情报和机器学习的网络流量分析方法及系统
CN111866027A (zh) * 2020-08-10 2020-10-30 武汉思普崚技术有限公司 一种基于情报分析的资产安全评估方法及系统

Also Published As

Publication number Publication date
CN110493217B (zh) 2022-04-12

Similar Documents

Publication Publication Date Title
CN110445801A (zh) 一种物联网的态势感知方法和系统
CN106341414B (zh) 一种基于贝叶斯网络的多步攻击安全态势评估方法
CN110460608A (zh) 一种包含关联分析的态势感知方法和系统
CN110474904A (zh) 一种改进预测的态势感知方法和系统
CN110493043A (zh) 一种分布式态势感知调用方法和装置
CN109074284A (zh) 用于按比例增减资源的方法和系统、以及计算机程序产品
CN106888106A (zh) 智能电网中的it资产大规模侦测系统
EP3085023B1 (en) Communications security
CN106716454A (zh) 利用机器学习来识别非技术性损失
CN110493217A (zh) 一种分布式的态势感知方法和系统
CN109117421A (zh) 处理数据以提高数据的质量
CN110493044A (zh) 一种可量化的态势感知的方法和系统
CN108537243A (zh) 一种违规告警方法及装置
CN110061854A (zh) 一种无边界网络智能运维管理方法与系统
CN110493218A (zh) 一种态势感知虚拟化的方法和装置
Alowaidi et al. Integrating artificial intelligence in cyber security for cyber-physical systems
CN110471975A (zh) 一种物联网态势感知调用方法和装置
Ceruti et al. Pedigree information for enhanced situation and threat assessment
Fysarakis et al. Phoeni2x–a european cyber resilience framework with artificial-intelligence-assisted orchestration, automation & response capabilities for business continuity and recovery, incident response, and information exchange
CN105608380A (zh) 一种基于虚拟机生命周期的云计算安全性评估方法
CN117236855A (zh) 一种生物饲料仓储管理系统及方法
Lin et al. ACO-BTM: a behavior trust model in cloud computing environment
Pour et al. A blockchain-enabled model to enhance disaster aids network resilience
CN110460472A (zh) 一种加权量化的态势感知方法和系统
CN115766096A (zh) 一种基于大数据的网络安全保护系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant