CN111191241A - 基于态势感知的重大活动保障方法及装置 - Google Patents

基于态势感知的重大活动保障方法及装置 Download PDF

Info

Publication number
CN111191241A
CN111191241A CN201811352350.9A CN201811352350A CN111191241A CN 111191241 A CN111191241 A CN 111191241A CN 201811352350 A CN201811352350 A CN 201811352350A CN 111191241 A CN111191241 A CN 111191241A
Authority
CN
China
Prior art keywords
point
activity
data
situation
distance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811352350.9A
Other languages
English (en)
Other versions
CN111191241B (zh
Inventor
宋灿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Henan Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Henan Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Henan Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201811352350.9A priority Critical patent/CN111191241B/zh
Publication of CN111191241A publication Critical patent/CN111191241A/zh
Application granted granted Critical
Publication of CN111191241B publication Critical patent/CN111191241B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • Probability & Statistics with Applications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明实施例提供一种基于态势感知的重大活动保障方法及装置,该方法包括:获取待保障活动中每台设备分别对应的活动数据;根据保障数据确定活动的态势感知等级,并按照组合规则将每台设备的活动数据组合成一个数据向量;对数据向量进行聚类,获得活动的安全态势,并根据安全态势对活动进行相应的保障,其中,在聚类过程中采用态势感知等级进行距离修正。本发明实施例通过根据保障数据灵活的确定态势感知等级,并在聚类过程中采用态势感知等级进行距离修正。由于在态势感知时,考虑了活动本身对于安全预警的需求或保障需求,因此态势感知的结果更加贴合活动的保障需求,相比于现有技术能够更加灵活准确的进行活动保障,避免了保障太松或太严。

Description

基于态势感知的重大活动保障方法及装置
技术领域
本发明实施例涉及信息安全领域,更具体地,涉及一种基于态势感知的重大活动保障方法及装置。
背景技术
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。目前主要有数据融合态势评估方法,主要是针对不同安全设备产生的海量、异构信息进行信息融合和不确定信息的推理,从而获得宏观网络安全状况。研究人员将数据融合态势评估方法与神经网络、博弈原理、马尔可夫等理论相结合,进一步优化了评估结果。
现有技术中,数据融合态势评估方法,主要是针对不同安全设备产生的海量、异构信息进行信息融合和不确定信息的推理,从而获得宏观网络安全状况。研究人员将数据融合态势评估方法与神经网络、博弈原理、马尔可夫等理论相结合,进一步优化了评估结果。但是,这种评估方法对于重大活动保障场景,不同级别的活动对应不同的保障需求,若按同一力度进行保障会造成保障太严,或者保障太松。
发明内容
为了解决上述问题,本发明实施例提供一种克服上述问题或者至少部分地解决上述问题的基于态势感知的重大活动保障方法及装置。
根据本发明实施例的第一方面,提供一种基于态势感知的重大活动保障方法,该方法包括:获取待保障活动中每台设备分别对应的活动数据,活动数据包括配置数据、价值数据、运行数据和保障数据;根据保障数据确定活动的态势感知等级,并按照组合规则将每台设备的活动数据组合成一个数据向量;对数据向量进行聚类,获得活动的安全态势,并根据安全态势对活动进行相应的保障,其中,在聚类过程中采用态势感知等级进行距离修正。
根据本发明实施例第二方面,提供了一种基于态势感知的重大活动保障装置,该装置包括:获取模块,用于获取待保障活动中每台设备分别对应的活动数据,活动数据包括配置数据、价值数据、运行数据和保障数据;组合模块,用于根据保障数据确定活动的态势感知等级,并按照组合规则将每台设备的活动数据组合成一个数据向量;聚类模块,用于对数据向量进行聚类,获得活动的安全态势,并根据安全态势对活动进行相应的保障,其中,在聚类过程中采用态势感知等级进行距离修正。
根据本发明实施例的第三方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现如第一方面的各种可能的实现方式中任一种可能的实现方式所提供的基于态势感知的重大活动保障方法。
根据本发明实施例的第四方面,提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面的各种可能的实现方式中任一种可能的实现方式所提供的基于态势感知的重大活动保障方法。
本发明实施例提供的基于态势感知的重大活动保障方法及装置,通过根据保障数据灵活的确定态势感知等级,并在聚类过程中采用态势感知等级进行距离修正。由于在态势感知时,考虑了活动本身对于安全预警的需求或保障需求,因此态势感知的结果更加贴合活动的保障需求,相比于现有技术能够更加灵活准确的进行活动保障,避免了保障太松或太严。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1为本发明实施例提供的基于态势感知的重大活动保障方法的流程示意图;
图2为本发明实施例提供的聚类过程示意图;
图3为本发明实施例提供的基于感知密度确定安全态势的示意图;
图4为本发明实施例提供的基于态势感知的重大活动保障装置的结构示意图;
图5为本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有技术中存在的不同级别的活动对应不同的保障需求,若按同一力度进行保障会造成保障太严,或者保证太松的缺陷,本发明实施例提供一种基于态势感知的重大活动保障方法。参见图1,该方法包括:
101、获取待保障活动中每台设备分别对应的活动数据,活动数据包括配置数据、价值数据、运行数据和保障数据。
具体地,活动数据可具体包括以下四类:
第一类:配置数据。具体包括拓扑信息、系统当前漏洞情况、缺陷数量、曾经受到攻击的情况等。
第二类:价值数据。具体包括资产标识、资产名称、资产类型、操作系统、资产安全等级等。其中,资产类型为主机、服务器、路由器等。资产安全等级为如下四元组(保密性,完整性,可用性,脆弱性)。脆弱性用于描述资产受攻击后的损害程度。
第三类:运行数据。具体包括流量特征、IP标识、行为特征等。此部分数据即为现有技术中进行安全监控时所采集的日志数据。
第四类:保障数据。具体包括活动安全等级、活动持续时间、活动性质等。
其中,活动安全等级,主要根据活动本身的重要程度进行分类,以下提供一种分类方式,但本发明实施例的范围不限于此。活动安全等级可以分为:I级、II级、III级、Ⅳ级。具体地,I级:一般安全保障等级,级别低,规模、影响力较大、但举办时间较短的活动,或者时间较短的节假日,一般不要求封网。II级:较大安全保障等级,级别中,具有区域性影响,且有一定影响的较高级别的活动,或者时间较长的节假日。III级:重大安全保障等级,级别高,具有世界影响力,对生活产生具有重要影响的大规模、高级别活动。Ⅳ级:特大安全保障等级,级别最高,对生活具有特别大影响力的大规模、高级别活动。
其中,活动性质,主要根据活动本身性质进行分类,以下提供一种分类方式,但本发明实施例的保护范围不限于此。活动性质可以分为:重大活动、突发事件、法定节假日。具体地,重大活动是指体育赛事、重要会议、纪念活动等。突发事件是指突然发生,造成或者可能造成重大人员伤亡、财产损失、生态环境破坏和严重社会危害,危及企业安全和公共安全的紧急事件,例如包括自然灾害、事故灾难、公共卫生事件、社会安全事件等。法定节假日是指法定节假日期间。
102、根据保障数据确定活动的态势感知等级,并按照组合规则将每台设备的活动数据组合成一个数据向量。
其中,不同的活动应采用不同的保障方案,而不同的保障方案会对应不同的态势感知等级(态势感知等级也可理解为保障等级)。换言之,根据保障数据能够对活动进行保障需求进行评估,获得态势感知等级或保障等级。态势感知等级用来表示待保障活动对于保障的需求,且态势感知等级具体可以由活动的保障数据确定。另外,将步骤101中得到的每台设备分队对应的活动数据,按照预先设置的组合规则组合成多维的数据向量。
例如组成如下的二维数据向量:{配置数据向量,价值数据向量,运行数据向量,保障数据向量}。其中,配置数据向量,如:{拓扑信息,系统当前漏洞情况,缺陷数量,曾经受到攻击的情况}。价值数据向量,如:{资产标识,资产名称,资产类型,操作系统,资产安全等级}。运行数据向量,如:{流量特征,IP标识,行为特征}。保障数据向量,如:{活动安全等级,活动持续时间,活动活动性质}。
可以理解的是,待保障活动中的每台设备都具有对应的一个数据向量。
103、对数据向量进行聚类,获得活动的安全态势,并根据安全态势对活动进行相应的保障,其中,在聚类过程中采用态势感知等级进行距离修正。
具体地,在步骤102中获得每台设备对应的数据向量后,可将数据向量输入基于态势感知等级的聚类算法进行聚类,得到安全态势。本发明实施例对聚类的具体算法不作限定,包括但不限于使用k均值聚类算法。但是,应当说明的是,现有技术中的k均值聚类算法仅考虑欧式距离进行聚类,但本发明实施例在聚类过程中还引入了态势感知等级,从而在距离计算时,增加了态势感知等级的修正,使得聚类获得的安全态势更加贴合重大活动保障的需求,得到的结果更加准确、灵活。在获得了活动的安全态势之后,可进行相应的保障。例如,若部分设备为安全态势异常,就可以提前对该设备进行安全预警,实现保障。
本发明实施例提供的方法,通过根据保障数据灵活的确定态势感知等级,并在聚类过程中采用态势感知等级进行距离修正。由于在态势感知时,考虑了活动本身对于安全预警的需求或保障需求,因此态势感知的结果更加贴合活动的保障需求,相比于现有技术能够更加灵活准确的进行活动保障,避免了保障太松或太严。
基于上述实施例的内容,作为一种可选实施例,保障数据包括:活动安全等级、活动持续时长及活动性质;相应地,根据保障数据确定活动的态势感知等级,包括:
态势感知等级通过以下方式获得,
g=(x*y)a
式中,g为态势感知等级,a为活动持续时长,x为活动安全等级的哈希值,y为活动性质的哈希值。
上式中,活动持续时长对活动保障的重要程度具有指数级的影响。a为时间系数,a具体可以为活动持续天数的上取整。基于上式,通过活动本身重要程度,和受影响的范围,再同时考虑活动持续时长,可以对本次重大活动的保障要求进行合理的评估。
基于上述实施例的内容,作为一种可选实施例,提供一种对数据向量进行聚类,获得活动的安全态势的方法,包括但不限于:基于态势感知等级,将每一个数据向量作为一个点进行聚类,获得每一个点的所在类别;计算每一个点相对于所在类别的感知密度,并根据感知密度获得活动的安全态势。
其中,感知密度描述了各点相对于所在类的密度,也即各点相对于其所在类的离散程度。感知密度越大,说明点离该所在类的中心点越离散,感知密度越小,说明点离该所在类的中心点越集中。在得到类中每个点的感知密度后,可以得到每个类的各点感知密度的均值,该均值描述了类的安全态势。因此,可以基于感知密度获得活动的安全态势。
基于上述实施例的内容,作为一种可选实施例,提供一种基于态势感知等级,将每一个数据向量作为一个点进行聚类,获得每一个点的所在类别的方法,包括但不限于:
步骤1,从N个点中随机选择1个M点,M点为所在类别的中心点,将M点记为O中心
具体地,将每一个数据向量作为1个点,从N个点中随机选择1个点M,该点为一类;执行步骤1后,N个点中的1个点M完成聚类工作,其自身即为一类。该点即为该类的中心点,记为O中心。其他N-1个点未进行聚类。
步骤2,从N个点中再选择随机一个非M点的P点;即从N个点中的未分类的点中随机选择1个P点。
步骤3,随机确定1个中心点O1。
具体地,O1为空间内的点,O1可以为N个点中的一个,也可以为除N个点外的其他点。
步骤4,基于态势感知等级计算P点与O1点之间的感知距离。
基于上述实施例的内容,作为一种可选实施例,提供一种步骤4中基于态势感知等级计算P点与O1点之间的感知距离的方法,包括但不限于:
步骤4.1,在N个点中,获取与P点邻近的k个点Q。
步骤4.2,将k个Q点作为整体,基于态势感知等级计算O1点与整体之间的距离;
Figure BDA0001865191930000071
式中,d(O1)为O1与整体之间的距离,g为态势感知等级。
应当说明的是,在实际应用时,态势对聚类也有强相关的影响。高危态势会对聚类出的每一簇中各点距中心点的距离要求更近。较为安全的态势下,聚类出的一簇中可以包括距离稍远的点。本发明实施例在聚类中也充分考虑到安全态势等级,即在算距离的时候就将等级参数(态势感知等级)g作为距离计算的一个考虑条件,使得本发明实施例算出的距离既包括了传统意义上的距离,还考虑安全态势等级。因此,本发明实施例算出的距离更能描述安全态势对距离的影响。而不同态势在聚类时对距离的要求不同。例如高危的态势,要求距离更近,态势感知等级
步骤4.3,计算P点与O1点之间的欧式距离d(P,O1);
步骤4.4,通过下式获得P点与O1点之间的感知距离,
b(P,O1)=max{d(O1),d(P,O1)}。
步骤5,计算M点与O1点之间的感知距离;
步骤6,根据P点与O1点之间的感知距离以及M点与O1点之间的感知距离中的最短感知距离所对应的点,以及O1点确定新O1点;
换言之,根据将步骤4和步骤5中最短感知距离对应的点以及O1确定新O1。另外,新O1的确定方法可以有多种,例如,将最短感知距离对应的点(例如P点)以及O1之间的中间的确定为新O1。
步骤7,迭代执行步骤4至步骤6,根据P点与新O1点之间的感知距离以及M点与新O1点之间的感知距离确定新O1点,直至后一次迭代出的新O1点与前一次迭代出的O1点之间的距离小于第一预设阈值。
步骤8,若O中心与新O1点之间的距离小于第二预设阈值,则将O中心替换成新O1,否则,将新O1作为一个新类别的中心点O中心
具体地,若将O中心替换成新O1,则N个点中有2个点M和P完成聚类工作,两个点为同一类,新O1为该类的中心点,其他N-2个点未进行聚类。若将新O1作为一个新类的中心O中心,则N个点中有2个点M和P完成聚类工作,两个点为不同类,新O1为P点所属类的中心点。O中心为M点所属类的中心点,其他N-2个点未进行聚类。
步骤9,迭代执行步骤2至步骤8,直至对N个点均进行分类。
以已分类M个点,未分类的为N-M为例,再将步骤2至步骤8的实现过程进行说明。如图2的聚类过程中的示意图。
基于上述实施例的内容,作为一种可选实施例,提供一种计算每一个点相对于所在类别的感知密度的方法,包括但不限于:
步骤10.1,在N个点中,获取与P点邻近的k个点Q;
步骤10.2,将k个Q点作为整体,基于态势感知等级计算P点与整体之间的距离,
Figure BDA0001865191930000081
式中,d(P)为P点与整体之间的距离,g为态势感知等级;
步骤10.3,计算P点与各Q点之间的欧式距离d(P,Qi);
步骤10.4,将与P点之间的欧式距离小于或等于d(P)的Q点作为P点的k-距离邻居点,全部的k-距离邻居点形成P点的k-距离邻居集合,
N(P)={R∈{Q}|d(P,R)≤d(P)},
式中,N(P)为k-距离邻居集合,R为P点的k-距离邻居点;
步骤10.5,通过下式计算P点相对于所在类别的感知密度d(P1),
Figure BDA0001865191930000082
基于上述实施例的内容,作为一种可选实施例,提供一种根据感知密度获得活动的安全态势的方法,包括但不限于:
根据每个点的感知密度计算获得每个类别的感知密度均值,若判断获知类别的感知密度均值不大于预先设定的异常阈值,则确认类别的安全态势异常。
其中,感知密度均值越大的类别的安全态势越安全,均值越小的类的安全态势越高危。因此,根据安全态势均值的大小即可确定出每个类别的安全态势。在具体实现时,可以设定一个异常阈值,均值不大于异常阈值的类的安全态异常,均值大于异常阈值的类的安全态势正常。在得到每个类别的安全态势是否异常后,可向用户输出安全态势异常的类,进而实现安全预警。
对于安全态势异常的类别,若类别中的点的感知密度大于预设阈值,则点的安全态势异常。
其中,对于安全态势异常的类,可包括异常点,异常点描述了高危数据所在。该异常点是离该类中心较离散的点,即感知密度越大的点。因此,在感知密度均值大于异常阈值的类别中,存在异常点,该异常点为态势异常类中感知密度大于预设阈值的点。如图3图中,若左上类为安全态势异常的类,则左上类中左上方尾部的点为异常点。
另外,在得到各类的均值之后,还可以根据类别所对应的设备对于重大活动重要程度来计算活动整体保障值。例如对于I级活动,终端与服务器比较,服务器被攻击更能影响该活动的安全,此时可以将各类中资产类型为服务器的点的数量/该类点的总数量,为了方便描述,将除的结果记为a1i,i为类的标识,预先设置服务器对活动的影响w1。将各类中资产类型为主机的点的数量/该类点的总数量,为了方便描述,将除的结果记为a2i,i为类的标识,预先设置主机对活动的影响w2。以此类推,计算所有资产类型的a和w。
基于上述计算原理,活动整体的安全值可通过下式计算:
Figure BDA0001865191930000091
若该值大于预设阈值则活动整体的安全态势异常,可进行报警。
因此,在进行比较时,由于感知密度充分考虑了重大活动本身的保障要求,因此可以实现灵活的进行态势感知,也即同一事件,对于重大活动会进行预警,对于非重大实践不进行预警。
本发明实施例提供的基于态势感知的重大活动保障方法,通过对重大活动进行保障需求的评估,灵活的确定保障等级。基于保障等级进行态势感知,得到感知结果。由于在态势感知时,不仅考虑了监控对象实际的流量等情况,而且考虑了活动本身对于安全预警的需求,因此,本提案提供的方法更加贴合活动要求,更加灵活准确。
基于上述实施例的内容,本发明实施例提供了一种基于态势感知的重大活动保障装置,该基于态势感知的重大活动保障装置用于执行上述方法实施例中的基于态势感知的重大活动保障方法。参见图4,该装置包括:获取模块401、组合模块402和聚类模块403;其中,获取模块401,用于获取待保障活动中每台设备分别对应的活动数据,活动数据包括配置数据、价值数据、运行数据和保障数据;组合模块402,用于根据保障数据确定活动的态势感知等级,并按照组合规则将每台设备的活动数据组合成一个数据向量;聚类模块403,用于对数据向量进行聚类,获得活动的安全态势,并根据安全态势对活动进行相应的保障,其中,在聚类过程中采用态势感知等级进行距离修正。
其中,不同的活动应采用不同的保障方案,而不同的保障方案会对应不同的态势感知等级(态势感知等级也可理解为保障等级)。组合模块402将获取模块401中得到的每台设备分队对应的活动数据,按照预先设置的组合规则组合成多维的数据向量。可以理解的是,待保障活动中的每台设备都具有对应的一个数据向量。在组合模块402中获得每台设备对应的数据向量后,聚类模块403可将数据向量输入基于态势感知等级的聚类算法进行聚类,得到安全态势。聚类模块403在聚类过程中还引入了态势感知等级,从而在距离计算时,增加了态势感知等级的修正,使得聚类获得的安全态势更加贴合重大活动保障的需求,得到的结果更加准确、灵活。在获得了活动的安全态势之后,可进行相应的保障。例如,若部分设备为安全态势异常,就可以提前对该设备进行安全预警,实现保障。
本发明实施例提供的装置,通过根据保障数据灵活的确定态势感知等级,并在聚类过程中采用态势感知等级进行距离修正。由于在态势感知时,考虑了活动本身对于安全预警的需求或保障需求,因此态势感知的结果更加贴合活动的保障需求,相比于现有技术能够更加灵活准确的进行活动保障,避免了保障太松或太严。
本发明实施例提供了一种电子设备,如图5所示,该设备包括:处理器(processor)501、通信接口(Communications Interface)502、存储器(memory)503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信。处理器501可以调用存储器503上并可在处理器501上运行的计算机程序,以执行上述各实施例提供的基于态势感知的重大活动保障方法,例如包括:获取待保障活动中每台设备分别对应的活动数据,活动数据包括配置数据、价值数据、运行数据和保障数据;根据保障数据确定活动的态势感知等级,并按照组合规则将每台设备的活动数据组合成一个数据向量;对数据向量进行聚类,获得活动的安全态势,并根据安全态势对活动进行相应的保障,其中,在聚类过程中采用态势感知等级进行距离修正。
此外,上述的存储器503中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的基于态势感知的重大活动保障方法,例如包括:获取待保障活动中每台设备分别对应的活动数据,活动数据包括配置数据、价值数据、运行数据和保障数据;根据保障数据确定活动的态势感知等级,并按照组合规则将每台设备的活动数据组合成一个数据向量;对数据向量进行聚类,获得活动的安全态势,并根据安全态势对活动进行相应的保障,其中,在聚类过程中采用态势感知等级进行距离修正。
以上所描述的电子设备等实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于态势感知的重大活动保障方法,其特征在于,包括:
获取待保障活动中每台设备分别对应的活动数据,所述活动数据包括配置数据、价值数据、运行数据和保障数据;
根据所述保障数据确定所述活动的态势感知等级,并按照组合规则将每台所述设备的活动数据组合成一个数据向量;
对所述数据向量进行聚类,获得所述活动的安全态势,并根据所述安全态势对所述活动进行相应的保障,其中,在聚类过程中采用所述态势感知等级进行距离修正。
2.根据权利要求1所述的方法,其特征在于,所述保障数据包括:活动安全等级、活动持续时长及活动性质;
相应地,所述根据所述保障数据确定所述活动的态势感知等级,包括:
所述态势感知等级通过以下方式获得,
g=(x*y)a
式中,g为态势感知等级,a为活动持续时长,x为活动安全等级的哈希值,y为活动性质的哈希值。
3.根据权利要求1所述的方法,其特征在于,所述对所述数据向量进行聚类,获得所述活动的安全态势,包括:
基于所述态势感知等级,将每一个所述数据向量作为一个点进行聚类,获得每一个点的所在类别;
计算每一个点相对于所在类别的感知密度,并根据所述感知密度获得所述活动的安全态势。
4.根据权利要求3所述的方法,其特征在于,所述基于所述态势感知等级,将每一个所述数据向量作为一个点进行聚类,获得每一个所述点的所在类别,包括:
步骤1,从N个点中随机选择1个M点,M点为所在类别的中心点,将M点记为O中心
步骤2,从N个点中再选择随机一个非M点的P点;
步骤3,随机确定1个中心点O1;
步骤4,基于所述态势感知等级计算P点与O1点之间的感知距离;
步骤5,计算M点与O1点之间的感知距离;
步骤6,根据P点与O1点之间的感知距离以及M点与O1点之间的感知距离中的最短感知距离所对应的点,以及O1点确定新O1点;
步骤7,迭代执行步骤4至步骤6,根据P点与新O1点之间的感知距离以及M点与新O1点之间的感知距离确定新O1点,直至后一次迭代出的新O1点与前一次迭代出的O1点之间的距离小于第一预设阈值;
步骤8,若O中心与新O1点之间的距离小于第二预设阈值,则将O中心替换成新O1,否则,将新O1作为一个新类别的中心点O中心
步骤9,迭代执行步骤2至步骤8,直至对N个点均进行分类。
5.根据权利要求4所述的方法,其特征在于,所述步骤4中的基于所述态势感知等级计算P点与O1点之间的感知距离,包括:
步骤4.1,在N个点中,获取与P点邻近的k个点Q;
步骤4.2,将k个Q点作为整体,基于所述态势感知等级计算O1点与所述整体之间的距离;
Figure FDA0001865191920000021
式中,d(O1)为O1与所述整体之间的距离,g为态势感知等级;
步骤4.3,计算P点与O1点之间的欧式距离d(P,O1);
步骤4.4,通过下式获得P点与O1点之间的感知距离,
b(P,O1)=max{d(O1),d(P,O1)}。
6.根据权利要求3所述的方法,其特征在于,所述计算每一个所述点相对于所述所在类别的感知密度,包括:
步骤10.1,在N个点中,获取与P点邻近的k个点Q;
步骤10.2,将k个Q点作为整体,基于所述态势感知等级计算P点与所述整体之间的距离,
Figure FDA0001865191920000022
式中,d(P)为P点与所述整体之间的距离,g为态势感知等级;
步骤10.3,计算P点与各Q点之间的欧式距离d(P,Qi);
步骤10.4,将与P点之间的欧式距离小于或等于d(P)的Q点作为P点的k-距离邻居点,全部的所述k-距离邻居点形成P点的k-距离邻居集合,
N(P)={R∈{Q}|d(P,R)≤d(P)},
式中,N(P)为k-距离邻居集合,R为P点的k-距离邻居点;
步骤10.5,通过下式计算P点相对于所在类别的感知密度d(P1),
Figure FDA0001865191920000031
7.根据权利要求3所述的方法,其特征在于,所述根据所述感知密度获得所述获得的安全态势,包括:
根据每个所述点的感知密度计算获得每个类别的感知密度均值,若判断获知所述类别的所述感知密度均值不大于预先设定的异常阈值,则确认所述类别的安全态势异常;
对于安全态势异常的所述类别,若所述类别中的点的感知密度大于预设阈值,则所述点的安全态势异常。
8.一种基于态势感知的重大活动保障装置,其特征在于,包括:
获取模块,用于获取待保障活动中每台设备分别对应的活动数据,所述活动数据包括配置数据、价值数据、运行数据和保障数据;
组合模块,用于根据所述保障数据确定所述活动的态势感知等级,并按照组合规则将每台所述设备的活动数据组合成一个数据向量;
聚类模块,用于对所述数据向量进行聚类,获得所述活动的安全态势,并根据所述安全态势对所述活动进行相应的保障,其中,在聚类过程中采用所述态势感知等级进行距离修正。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述基于态势感知的重大活动保障方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述基于态势感知的重大活动保障方法的步骤。
CN201811352350.9A 2018-11-14 2018-11-14 基于态势感知的重大活动保障方法及装置 Active CN111191241B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811352350.9A CN111191241B (zh) 2018-11-14 2018-11-14 基于态势感知的重大活动保障方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811352350.9A CN111191241B (zh) 2018-11-14 2018-11-14 基于态势感知的重大活动保障方法及装置

Publications (2)

Publication Number Publication Date
CN111191241A true CN111191241A (zh) 2020-05-22
CN111191241B CN111191241B (zh) 2022-05-13

Family

ID=70710522

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811352350.9A Active CN111191241B (zh) 2018-11-14 2018-11-14 基于态势感知的重大活动保障方法及装置

Country Status (1)

Country Link
CN (1) CN111191241B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040025044A1 (en) * 2002-07-30 2004-02-05 Day Christopher W. Intrusion detection system
CN102457412A (zh) * 2011-10-14 2012-05-16 中国人民解放军国防科学技术大学 基于指标体系的大规模网络安全态势评估方法
CN104967535A (zh) * 2015-06-09 2015-10-07 南京联成科技发展有限公司 一种应用于信息安全运维管理的大数据分析
CN105933316A (zh) * 2016-04-21 2016-09-07 国家电网公司 网络安全级别的确定方法和装置
CN107066369A (zh) * 2017-04-25 2017-08-18 上海德衡数据科技有限公司 一种基于多核处理器的运维预警防范系统原型
CN108449365A (zh) * 2018-05-18 2018-08-24 广西电网有限责任公司 基于人工智能的云安全中心态势感知与动态重构决策系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040025044A1 (en) * 2002-07-30 2004-02-05 Day Christopher W. Intrusion detection system
CN102457412A (zh) * 2011-10-14 2012-05-16 中国人民解放军国防科学技术大学 基于指标体系的大规模网络安全态势评估方法
CN104967535A (zh) * 2015-06-09 2015-10-07 南京联成科技发展有限公司 一种应用于信息安全运维管理的大数据分析
CN105933316A (zh) * 2016-04-21 2016-09-07 国家电网公司 网络安全级别的确定方法和装置
CN107066369A (zh) * 2017-04-25 2017-08-18 上海德衡数据科技有限公司 一种基于多核处理器的运维预警防范系统原型
CN108449365A (zh) * 2018-05-18 2018-08-24 广西电网有限责任公司 基于人工智能的云安全中心态势感知与动态重构决策系统

Also Published As

Publication number Publication date
CN111191241B (zh) 2022-05-13

Similar Documents

Publication Publication Date Title
US10728265B2 (en) Cyber warning receiver
US11729199B2 (en) Security evaluation system, security evaluation method, and program
US20190075123A1 (en) Systems and methods for cyber intrusion detection and prevention
Nagarajan et al. IADF-CPS: Intelligent anomaly detection framework towards cyber physical systems
CN113168470A (zh) 用于行为威胁检测的系统及方法
CN109362235B (zh) 对网络可访问存储装置处的事务进行分类的方法
Stewart et al. A novel intrusion detection mechanism for scada systems which automatically adapts to network topology changes
CN111342988B (zh) 一种基于态势感知的网络安全预警方法及装置
Natarajan Cyber secure man-in-the-middle attack intrusion detection using machine learning algorithms
Landress A hybrid approach to reducing the false positive rate in unsupervised machine learning intrusion detection
IL265849B (en) A system and method for improved anomaly detection by using graphs of relationships
CN114362994B (zh) 多层异粒度智能聚合铁路系统运行行为安全风险识别方法
US20230291755A1 (en) Enterprise cybersecurity ai platform
US20170099304A1 (en) Automatic generation of cluster descriptions
Mahmood et al. Feature based unsupervised intrusion detection
CN111191241B (zh) 基于态势感知的重大活动保障方法及装置
US20230275912A1 (en) Graph-based analysis of security incidents
Protic et al. WK-FNN design for detection of anomalies in the computer network traffic
CN117391214A (zh) 模型训练方法、装置及相关设备
Murthy et al. Hybrid intelligent intrusion detection system using bayesian and genetic algorithm (baga): comparitive study
Li et al. Few-shot multi-domain knowledge rearming for context-aware defence against advanced persistent threats
US20230275907A1 (en) Graph-based techniques for security incident matching
KR102609592B1 (ko) IoT 시스템의 비정상행위 탐지 방법 및 그 장치
Zhang Efficient computer intrusion detection method based on artificial bee colony optimized kernel extreme learning machine
US20230275908A1 (en) Thumbprinting security incidents via graph embeddings

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant