CN111200504A - 网络的安全态势拟合方法、装置、设备及介质 - Google Patents
网络的安全态势拟合方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN111200504A CN111200504A CN201811363768.XA CN201811363768A CN111200504A CN 111200504 A CN111200504 A CN 111200504A CN 201811363768 A CN201811363768 A CN 201811363768A CN 111200504 A CN111200504 A CN 111200504A
- Authority
- CN
- China
- Prior art keywords
- subsequence
- sequence
- standard
- node
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络的安全态势拟合方法、装置、设备及介质,所述网络包括N个节点,每个节点的安全感知序列均包括M个类型的子序列,每个节点的M个类型的子序列与预定标准序列中的M个类型的标准子序列一一对应,所述方法包括:计算节点的每个子序列与对应类型的标准子序列之间的相似度;根据每个节点的每个子序列的相似度,计算网络的安全感知序列与预定标准序列间的相似度;根据网络的安全感知序列的相似度,调整节点的安全感知序列;根据N个节点调整后的安全感知序列,拟合出网络的安全态势。根据本发明实施例,利用调整后的安全感知序列感知得到网络安全态势,不需要通过重新构建新的态势序列规律,增强网络安全态势感知的自适应性。
Description
技术领域
本发明属于计算机领域,尤其涉及一种网络的安全态势拟合方法、装置、设备及介质。
背景技术
随着计算机和通信技术的迅速发展,计算机网络的应用越来越广泛,其规模越来越庞大,多层面的网络安全威胁和安全风险也在不断增加,网络病毒、拒绝服务(Denial ofService,Dos)/分布式拒绝服务(Distributed Denial of Service,DDos)攻击等构成的威胁和损失越来越大,网络攻击行为向着分布化、规模化、复杂化等趋势发展,仅仅依靠防火墙、入侵检测、防病毒、访问控制等单一的网络安全防护技术,已不能满足网络安全的需求,迫切需要新的技术,及时发现网络中的异常事件,实时掌握网络安全状况,将之前很多时候亡羊补牢的事中、事后处理,转向事前自动评估预测,降低网络安全风险,提高网络安全防护能力。
网络安全态势感知技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对网络安全的发展趋势进行预测和预警。
目前常通过大数据技术进行网络安全态势感知。大数据技术特有的海量存储、并行计算、高效查询等特点,为大规模网络安全态势感知技术的突破创造了机遇,借助大数据分析,对成千上万的网络日志等信息进行自动分析处理与深度挖掘,对网络的安全状态进行分析评价,以感知网络中的异常事件与整体安全态势。
由于在感知网络的安全态势时是利用预先构建的态势序列规律进行感知,如果节点的安全感知序列的规律发生了变化,并不符合预先构建的态势序列规律,那么需要重新构建态势序列规律,降低了网络安全态势感知的自适应性。
发明内容
本发明实施例提供一种网络的安全态势拟合方法、装置、设备及介质,能够解决网络安全态势感知的自适应性差的技术问题。
一方面,本发明实施例提供一种网络的安全态势拟合方法,所述网络包括N个节点,每个所述节点的安全感知序列均包括M个类型的子序列,每个所述节点的M个类型的子序列与预定标准序列中的M个类型的标准子序列一一对应,M和N均为正整数,所述的方法包括:
对于每个所述节点,计算所述节点的每个子序列与对应类型的标准子序列之间的相似度;
根据每个所述节点的每个子序列与对应类型的标准子序列之间的相似度,计算所述网络的安全感知序列与所述预定标准序列之间的相似度;
根据所述网络的安全感知序列与所述预定标准序列之间的相似度,调整所述节点的安全感知序列;
根据N个所述节点在调整后的安全感知序列,拟合得到所述网络的安全态势。
另一方面,本发明实施例提供了一种网络的安全态势拟合装置,所述网络包括N个节点,每个所述节点的安全感知序列均包括M个类型的子序列,每个所述节点的M个类型的子序列与预定标准序列中的M个类型的标准子序列一一对应,M和N均为正整数,所述的装置包括:
子序列相似度计算模块,用于对于每个所述节点,计算所述节点的每个子序列与对应类型的标准子序列之间的相似度;
序列相似度计算模块,用于根据每个所述节点的每个子序列与对应类型的标准子序列之间的相似度,计算所述网络的安全感知序列与所述预定标准序列之间的相似度;
感知序列调整模块,用于根据所述网络的安全感知序列与所述预定标准序列之间的相似度,调整所述节点的安全感知序列;
态势拟合模块,用于根据N个所述节点在调整后的安全感知序列,拟合得到所述网络的安全态势。
再一方面,本发明实施例提供了一种用于拟合网络安全态势的设备,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如上所述的网络的安全态势拟合方法。
再一方面,本发明实施例提供了一种计算机存储介质,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如上所述的网络的安全态势拟合方法。
本发明实施例的网络的安全态势拟合方法、装置、设备及介质,能够根据网络的安全感知序列与预定标准序列之间的相似度,调整节点的安全感知序列,当安全感知序列与预定标准序列之间的相似度越低,说明安全感知序列的规律发生了变化,可以调整安全感知序列。利用调整后的安全感知序列感知得到网络安全态势,而不需要通过重新构建态势序列规律,最大限度地保留了序列中蕴含的规律,无需数据预处理,能持续地跟踪、适应态势序列的变化,适用于不同场景下的安全感知序列,从而提高安全感知序列的自适应能力。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明一个实施例提供的网络的安全态势拟合方法的流程示意图;
图2示出了本发明一个实施例提供的网络节点的拓扑结构示意图;
图3示出了本发明一个实施例提供的网络的安全态势拟合装置的结构示意图;
图4示出了本发明实施例提供的用于拟合网络安全态势的设备的硬件结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了解决现有技术问题,本发明实施例提供了一种网络的安全态势拟合方法、装置、设备及介质。下面首先对本发明实施例所提供的网络的安全态势拟合方法进行介绍。
图1示出了本发明一个实施例提供的网络的安全态势拟合方法的流程示意图。该网络包括N个节点,每个节点的安全感知序列均包括M个类型的子序列,每个节点的M个类型的子序列与预定标准序列中的M个类型的标准子序列一一对应,M和N均为正整数。
需要说明的是每个节点具有安全感知序列,获取每个节点的安全感知序列包括:获取每个节点的网络日志数据,并对网络日志数据进行大数据分析,得到每个节点的安全感知序列。
其中,每个节点的网络日志数据可以有多种类型,如网络与安全设备的日志、网络运行情况信息、业务与应用的日志记录等。安全感知序列是描述节点的安全程度的序列。
M个类型的子序列中的每个类型的子序列的数量可以是1个,M个类型的标准子序列中的每个类型的子序列的数量相应地也是1个。预定标准序列是与拟合模型相匹配的感知序列。
预定标准序列可以为上一次执行安全态势拟合方法时安全感知序列,还可以为根据未受攻击的数据得到的安全感知序列。
如图1所示,该方法包括:
S101,对于每个节点,计算该节点的每个子序列与对应类型的标准子序列之间的相似度。
需要说明的是,每个节点包括M个类型的子序列,如果每个节点的每个类型的子序列的数量是1个,即每个节点均包括M个子序列,M个子序列的类型互不相同,那么对于N个节点,总共有N×M个子序列与对应类型的标准子序列之间的相似度。
S102,根据每个节点的每个子序列与对应类型的标准子序列之间的相似度,计算网络的安全感知序列与预定标准序列之间的相似度。
需要说明的是,此步骤是将网络作为一个整体,该网络上有多个安全感知序列,计算这多个安全感知序列在整体上与预定标准序列之间的相似度。
S103,根据网络的安全感知序列与预定标准序列之间的相似度,调整节点的安全感知序列。
S104,根据N个节点在调整后的安全感知序列,拟合得到网络的安全态势。
根据本发明实施例的网络的安全态势拟合方法,根据网络的安全感知序列与预定标准序列之间的相似度,调整节点的安全感知序列,当安全感知序列与预定标准序列之间的相似度越低,说明安全感知序列的规律发生了变化,可以调整安全感知序列。利用调整后的安全感知序列感知得到网络安全态势,而不需要通过重新构建态势序列规律,最大限度地保留了序列中蕴含的规律,无需数据预处理,能持续地跟踪、适应态势序列的变化,适用于不同场景下的安全感知序列,从而提高安全感知序列的自适应能力。
在本发明的一个实施例中,S101包括:
S1011,确定每个节点的每个子序列与对应类型的标准子序列之间的差异值。
比如,网络中有2个节点,每个节点均包括5个子序列,这5个子序列分别是:类型子序列、价值子序列、威胁子序列、影响子序列和结构子序列。类型子序列的标识是1,价值子序列的标识是2,威胁子序列的标识是3,影响子序列的标识是4,结构子序列的标识是5。
节点1的类型子序列与标准类型子序列之间的差异值ΔS11。
节点1的价值子序列与标准价值子序列之间的差异值ΔS21。
节点1的威胁子序列与标准威胁子序列之间的差异值ΔS31。
节点1的影响子序列与标准影响子序列之间的差异值ΔS41。
节点1的结构子序列与标准结构子序列之间的差异值ΔS51。
节点2的类型子序列与标准类型子序列之间的差异值ΔS12。
节点2的价值子序列与标准价值子序列之间的差异值ΔS22。
节点2的威胁子序列与标准威胁子序列之间的差异值ΔS32。
节点2的影响子序列与标准影响子序列之间的差异值ΔS42。
节点2的结构子序列与标准结构子序列之间的差异值ΔS52。
通过一个例子说明如何计算差异值,例如,节点1的类型是主机,如果标准类型是主机,那么节点1的类型子序列与标准类型子序列之间的差异值是0;如果标准类型是网关,那么根据预先定义的表,获取节点1的类型子序列与标准类型子序列之间的差异值是预先定义的值。其中,预先定义的表中存有主机与网关之间的差异值,主机与防火墙之间的差异值等。
S1012,对于网络中子序列的每个类型,根据该类型的各子序列与该类型的标准子序列之间的差异值,确定该类型的子序列的中间差异值。
比如,有网络中有10个节点,由于每个节点都有类型子序列与标准类型子序列之间的差异值,因此有10个类型子序列与标准类型子序列之间的差异值,取这10个差异值的中间值作为类型子序列的中间差异值m1。以此类推,得到价值子序列的中间差异值m2、威胁子序列的中间差异值m3、影响子序列的中间差异值m4、结构子序列的中间差异值m5。
S1013,对于每个节点,根据该节点的每个子序列与对应类型的标准子序列之间的差异值、网络中各类型的子序列的中间差异值和M个类型的标准子序列,计算该节点的每个子序列与对应类型的标准子序列之间的相似度。
在本发明的一个实施例中,S1013包括:
通过以下公式(1)计算每个节点的每个子序列与对应类型的标准子序列之间的相似度:
其中,Rij表示第j个节点的第i个类型的子序列与第i个类型的标准子序列之间的相似度,△Sij表示第j个节点的第i个类型的子序列与第i个类型的标准子序列之间的差异值,mi表示网络中的第i个类型的子序列的中间差异值,Si表示第i个类型的标准子序列对应的数值。
比如,网络中有2个节点,每个节点均包括5个子序列,这5个子序列分别是:类型子序列、价值子序列、威胁子序列、影响子序列和结构子序列。
节点1的类型子序列与标准类型子序列之间的相似度R11=A11*ΔS11/m1,其中,A11=min{ΔS11/S1,m1/S1}。
节点1的价值子序列与标准价值子序列之间的相似度R21=A21*ΔS21/m2,其中,A21=min{ΔS21/S2,m2/S2}。
节点1的威胁子序列与标准威胁子序列之间的相似度R31=A31*ΔS31/m3,其中,A31=min{ΔS31/S3,m3/S3}。
节点1的影响子序列与标准影响子序列之间的相似度R41=A41*ΔS41/m4,其中,A41=min{ΔS41/S4,m4/S4}。
节点1的结构子序列与标准结构子序列之间的相似度R51=A51*ΔS51/m5,其中,A51=min{ΔS51/S5,m5/S5}。
节点2的类型子序列与标准类型子序列之间的相似度R12=A12*ΔS12/m1,其中,A12=min{ΔS12/S1,m1/S1}。
节点2的价值子序列与标准价值子序列之间的相似度R22=A22*ΔS22/m2,其中,A22=min{ΔS22/S2,m2/S2}。
节点2的威胁子序列与标准威胁子序列之间的相似度R32=A32*ΔS32/m3,其中,A3=min{ΔS32/S3,m3/S3}。
节点2的影响子序列与标准影响子序列之间的相似度R42=A42*ΔS42/m4,其中,A4=min{ΔS42/S4,m4/S4}。
节点2的结构子序列与标准结构子序列之间的相似度R52=A52*ΔS52/m5,其中,A5=min{ΔS52/S5,m5/S5}。
在本发明的一个实施例中,S102包括:
S1021,对于子序列的每个类型,根据网络中N个节点的该类型的子序列与该类型的标准子序列之间的相似度,计算网络的该类型的子序列与该类型的标准子序列之间的相似度。
S1022,根据网络的M个类型的子序列与对应类型的标准子序列之间的相似度、以及网络的M个类型的子序列的预定权值,计算网络的安全感知序列与预定标准序列之间的相似度。
在本发明的一个实施例中,S1021包括:
通过以下公式(2)计算网络的各类型的子序列与对应类型的标准子序列之间的相似度:
其中,Ri表示网络的第i个类型的子序列与第i个类型的标准子序列之间的相似度,Si表示第i个类型的标准子序列对应的数值,Rij第j个节点的第i个类型的子序列与第i个类型的标准子序列之间的相似度。
在本发明的一个实施例中,S1022包括:
通过以下公式(3)计算网络的安全感知序列与预定标准序列之间的相似度:
其中,P表示网络的安全感知序列与预定标准序列之间的相似度,λi表示网络的第i个类型的子序列的预定权值,λi可以根据子序列对网络影响的大小确定,Ri表示网络的第i个类型的子序列与第i个类型的标准子序列之间的相似度。
在本发明的一个实施例中,S103包括:
在网络的安全感知序列与预定标准序列之间的相似度小于或等于第一预定阈值时,调整每个节点的安全感知序列。
在本发明的一个实施例中,S103包括:对于每个节点执行以下步骤:
获取该节点的待调整子序列;根据待调整子序列与对应类型的标准子序列之间的相似度、以及待调整子序列所属类型的子序列的预定权值,确定待添加的哈希序列;在待调整子序列后添加哈希序列,形成调整后的待调整子序列;将该节点的安全感知序列中的调整前的待调整子序列,替换成调整后的待调整子序列。
在本发明的一个实施例中,待调整子序列是与对应类型的标准子序列之间的相似度小于或等于第二预设阈值的子序列,第二预设阈值是第一预定阈值与待调整子序列所属类型的子序列的预定权值相乘得到的数值。
需要说明的是,在调整安全感知序列时,分为安全感知序列层级调整和子序列层级调整。安全感知序列层级调整与子序列层级调整互不影响,也即子序列层级是否调整与安全感知序列层级是否调整无关。
安全感知序列层级调整方案为:如果网络的安全感知序列与预定标准序列之间的相似度大于95%,则不对安全感知序列进行调整,依然使用对应的模型进行拟合态势预测。如果网络的安全感知序列与预定标准序列之间的相似度小于或等于95%,调整安全感知序列。
子序列层级调整方案为:对于相似度大于95%的安全感知序列,获取该安全感知序列中的相似度不大于第二预设阈值的子序列,作为待调整子序列,其中第二预设阈值=对应类型子序列的预定权值λi×95%;在待调整子序列后添加哈希序列,该哈希序列是:λi乘以该待调整子序列的相似度所得到的乘积对应的哈希序列。
将各节点的调整后的安全感知序列输入到原拟合模型中进行拟合,得到网络的安全态势。
具体的拟合步骤包括:
1、对于每个节点,根据威胁子序列以及影响子序列,通过以下公式(4)计算威胁的影响值。
其中,
为节点k的威胁t的影响值。Pt为威胁t发生的概率,
为节点k影响子序列的哈希值。
如
2、对于每个节点,根据类型子序列、价值子序列以及威胁的影响值,通过以下的公式(5)计算威胁的损害值。
其中,
为节点k的威胁t的损害值。
为节点k类型子序列的哈希值。
为节点k价值子序列的哈希值。c为节点的类型标识,
为威胁t针对类型c的发生概率。
3、对于每个节点,根据结构子序列以及威胁的损害值,通过以下的公式(6)计算威胁的拟合值。
其中,
为节点k的威胁t的拟合值。
为节点k结构子序列的哈希值。βt为威胁t对结构的敏感系数。
需要说明的是,对于上述公式(4)、(5)和(6)中提到的
和
中的每个标识,其右上角和右下角都有字母或数字,右上角的字母或数字代表的含义和右下角的字母或数字代表的含义是一样的。比如
和
其右上角的数字“1”、“2”和“4”仅仅是为了区别三个不同的valuek。
4、基于各节点的拟合值采用博弈理论计算网络安全指数。
例如利用博弈论的思想,构建计算网络安全指数。
在本发明的一个实施例中,M个类型的子序列包括以下之一或多种的组合:用于描述节点类型的序列、用于描述节点存在价值的序列、用于描述节点收到威胁的原因的序列、用于描述节点受到攻击后产生影响的程度的序列、用于描述节点受到攻击后产生影响的类型的序列。
通过用于描述节点类型的序列(以下简称类型子序列)、用于描述节点存在价值的序列(以下简称价值子序列)、用于描述节点收到威胁的原因的序列(以下简称威胁子序列)、用于描述节点受到攻击后产生影响的程度的序列(以下简称影响子序列)、用于描述节点受到攻击后产生影响的类型的序列(以下简称结构子序列)这五个子序列可以立体的描述节点的安全程度,提升最终的态势拟合的精确性。
下面对于这五个子序列进行详细说明。
一、类型子序列用于描述节点的类型,类型子序列包括节点类型对应的哈希序列。节点类型为:主机、服务器、路由器、网关、防火墙、入侵检测系统(Intrusion DetectionSystems,IDS)、入侵防御系统(Intrusion Prevention System,IPS)等。
二、价值子序列用于描述节点的存在价值,包括安全性对应的哈希序列、完整性对应的哈希序列、可用性对应的哈希序列、利用率对应的哈希序列。
安全性包括:不需要安全认证的低级、需要安全认证的中级、需要通过指定方式(如通过特定设备发送安全认证信息,通过特定链路发送安全认证信息)认证的高级。
完整性为:数据完整程度,如实体完整性、域完整性、参照完整性、用户自定义完整性。
可用性为:节点可用程度。
利用率=a×(节点数据流量的n次方)。
其中,当节点为主节点时,a=3,当节点为备用节点时,a=1.5,n为与该节点存在连接关系的其他节点数量。
三、威胁子序列用于描述节点收到威胁的原因,包括原因对应标识的哈希序列。
节点收到威胁的原因包括多种,且不断更新与扩充,比如节点收到威胁的原因包括但不限于:窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用、陷阱、特洛伊木马、病毒、诽谤等。
四、影响子序列用于描述节点受攻击后的影响。该影响包括5个影响等级对应标识的哈希序列。
第1等级对应标识为低级,仅对可用性造成影响,如蠕虫和DDos攻击后会大量消耗系统资源。
第2等级对应标识为中低级,保密性或完整性造成影响,且该节点为备份节点。
第3等级对应标识为中级,保密性或完整性造成影响,且该节点为主节点。
第4等级对应标识为中高级,对节点的保密性、完整性和可用性均造成影响,且该节点为备份节点。如木马、病毒、网络攻击造成的影响。
第5等级对应标识为高级,对节点的保密性、完整性和可用性均造成影响,且该节点为主节点。
五、结构子序列用于描述节点对网络的影响,包括节点影响对应的哈希序列和链路影响对应的哈希序列。
节点影响为:本节点受攻击后影响的其他节点数量*Σ该其他节点受影响的等级*该其他节点的a。
链路影响为:本节点受攻击后切断的链路数量*Σ切断的链路上节点受影响的等级*节点的a。
下面通过一个具体的例子说明安全感知序列,该安全感知序列包括:类型子序列,价值子序列,威胁子序列,影响子序列和结构子序列。
其中,类型子序列为E8C636D0C0486378BF61E6A3000D0FB7。
E8C636D0C0486378BF61E6A3000D0FB7为主机对应的哈希值。
由于实际的哈希值较长,且具体值为多少对于本发明实施例并无实质影响,为了便于描述,下面仅以hash代替实际的哈希值。
价值子序列为(hash2,hash3,hash4,hash5,hash6,hash7,3*20G2)。
hash2为安全性对应的哈希值,hash3为实体完整性对应的哈希值,hash4为域完整性对应的哈希值,hash5为参照完整性对应的哈希值,hash6为用户自定义完整性对应的哈希值,hash7为可用性对应的哈希值,3*20G*2为利用率,其中,主机为主节点,且与该节点存在连接关系的其他节点数量为2,主机的数据流量为20G。
威胁子序列为(hash8,hash9)。
Hash8为特洛伊木马对应的哈希值,hash9为拒绝服务对应的哈希值。
影响子序列为hash10,Hash10为中级对应的哈希值。
比如,图2的网络中包括:节点A、节点B、节点C、节点D和节点E。节点A为本例中的主机,A受攻击后影响的节点包括:节点B、节点C、节点D、节点E,A受攻击后切断的链路为ABC、ABD和AE。该网络的节点影响为4*(3*2+1.5*1+1.5*2+3*4),该网络的链路影响为3*(3*2+1.5*1+3*4),因此,该网络的结构子序列为:节点影响对应的哈希序列、链路影响对应的哈希序列。
本发明实施例提供一种网络的安全态势拟合装置,该网络包括N个节点,每个节点的安全感知序列均包括M个类型的子序列,每个节点的M个类型的子序列与预定标准序列中的M个类型的标准子序列一一对应,M和N均为正整数,如图3所示,该网络的安全态势拟合装置200包括:
子序列相似度计算模块201,用于对于每个节点,计算节点的每个子序列与对应类型的标准子序列之间的相似度。
序列相似度计算模块202,用于根据每个节点的每个子序列与对应类型的标准子序列之间的相似度,计算网络的安全感知序列与预定标准序列之间的相似度。
感知序列调整模块203,用于根据网络的安全感知序列与预定标准序列之间的相似度,调整节点的安全感知序列。
态势拟合模块204,用于根据N个节点在调整后的安全感知序列,拟合得到网络的安全态势。
在本发明的一个实施例中,子序列相似度计算模块201包括:
子序列差异值确定模块,用于确定每个节点的每个子序列与对应类型的标准子序列之间的差异值;
中间差异值确定模块,用于对于网络中子序列的每个类型,根据该类型的各子序列与该类型的标准子序列之间的差异值,确定该类型的子序列的中间差异值;
节点子序列相似度计算模块,用于对于每个节点,根据该节点的每个子序列与对应类型的标准子序列之间的差异值、网络中各类型的子序列的中间差异值和M个类型的标准子序列,计算该节点的每个子序列与对应类型的标准子序列之间的相似度。
在本发明的一个实施例中,节点子序列相似度计算模块用于,
通过以下公式(7)计算每个节点的每个子序列与对应类型的标准子序列之间的相似度:
其中,Rij表示第j个节点的第i个类型的子序列与第i个类型的标准子序列之间的相似度,△Sij表示第j个节点的第i个类型的子序列与第i个类型的标准子序列之间的差异值,mi表示网络中的第i个类型的子序列的中间差异值,Si表示第i个类型的标准子序列对应的数值。
在本发明的一个实施例中,序列相似度计算模块202包括:
子序列类型相似度计算模块,用于对于子序列的每个类型,根据网络中N个节点的该类型的子序列与该类型的标准子序列之间的相似度,计算网络的该类型的子序列与该类型的标准子序列之间的相似度;
网络序列相似度计算模块,用于根据网络的M个类型的子序列与对应类型的标准子序列之间的相似度、以及网络的M个类型的子序列的预定权值,计算网络的安全感知序列与预定标准序列之间的相似度。
在本发明的一个实施例中,子序列类型相似度计算模块用于,
通过以下公式(8)计算网络的各类型的子序列与对应类型的标准子序列之间的相似度:
其中,Ri表示网络的第i个类型的子序列与第i个类型的标准子序列之间的相似度,Si表示第i个类型的标准子序列对应的数值,Rij第j个节点的第i个类型的子序列与第i个类型的标准子序列之间的相似度。
在本发明的一个实施例中,网络序列相似度计算模块用于,
通过以下公式(9)计算网络的安全感知序列与预定标准序列之间的相似度:
其中,P表示网络的安全感知序列与预定标准序列之间的相似度,λi表示网络的第i个类型的子序列的预定权值,Ri表示网络的第i个类型的子序列与第i个类型的标准子序列之间的相似度。
在本发明的一个实施例中,感知序列调整模块203用于,
在网络的安全感知序列与预定标准序列之间的相似度小于或等于第一预定阈值时,调整每个节点的安全感知序列。
在本发明的一个实施例中,感知序列调整模块203包括:
子序列获取模块,用于获取节点的待调整子序列。
哈希序列确定模块,用于根据待调整子序列与对应类型的标准子序列之间的相似度、以及待调整子序列所属类型的子序列的预定权值,确定待添加的哈希序列。
子序列添加模块,用于在待调整子序列后添加哈希序列,形成调整后的待调整子序列。
子序列替换模块,用于将该节点的安全感知序列中的调整前的待调整子序列,替换成调整后的待调整子序列。
在本发明的一个实施例中,待调整子序列与对应类型的标准子序列之间的相似度小于或等于第二预设阈值,第二预设阈值是第一预定阈值与待调整子序列所属类型的子序列的预定权值相乘得到的数值。
在本发明的一个实施例中,M个类型的子序列包括以下之一或多种的组合:用于描述节点类型的序列、用于描述节点存在价值的序列、用于描述节点收到威胁的原因的序列、用于描述节点受到攻击后产生影响的程度的序列、用于描述节点受到攻击后产生影响的类型的序列。
图4示出了本发明实施例提供的用于拟合网络安全态势的设备的硬件结构示意图。
用于拟合网络安全态势的设备可以包括处理器301以及存储有计算机程序指令的存储器302。
具体地,上述处理器301可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器302可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器302可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器302可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器302可在综合网关容灾设备的内部或外部。在特定实施例中,存储器302是非易失性固态存储器。在特定实施例中,存储器302包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器301通过读取并执行存储器302中存储的计算机程序指令,以实现上述实施例中的任意一种网络的安全态势拟合方法。
在一个示例中,用于拟合网络安全态势的设备还可包括通信接口303和总线310。其中,如图4所示,处理器301、存储器302、通信接口303通过总线310连接并完成相互间的通信。
通信接口303,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线310包括硬件、软件或两者,将用于拟合网络安全态势的设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线310可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
该用于拟合网络安全态势的设备可以执行本发明实施例中的网络的安全态势拟合方法,从而实现结合图1和图3描述的网络的安全态势拟合方法和装置。
另外,结合上述实施例中的网络的安全态势拟合方法,本发明实施例可提供一种计算机存储介质来实现。该计算机存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种网络的安全态势拟合方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (13)
1.一种网络的安全态势拟合方法,其特征在于,所述网络包括N个节点,每个所述节点的安全感知序列均包括M个类型的子序列,每个所述节点的M个类型的子序列与预定标准序列中的M个类型的标准子序列一一对应,M和N均为正整数,所述的方法包括:
对于每个所述节点,计算所述节点的每个子序列与对应类型的标准子序列之间的相似度;
根据每个所述节点的每个子序列与对应类型的标准子序列之间的相似度,计算所述网络的安全感知序列与所述预定标准序列之间的相似度;
根据所述网络的安全感知序列与所述预定标准序列之间的相似度,调整所述节点的安全感知序列;
根据N个所述节点在调整后的安全感知序列,拟合得到所述网络的安全态势。
2.根据权利要求1所述的方法,其特征在于,所述对于每个所述节点,计算所述节点的每个子序列与对应类型的标准子序列之间的相似度,包括:
确定每个所述节点的每个子序列与对应类型的标准子序列之间的差异值;
对于所述网络中子序列的每个类型,根据该类型的各子序列与该类型的标准子序列之间的差异值,确定该类型的子序列的中间差异值;
对于每个所述节点,根据该节点的每个子序列与对应类型的标准子序列之间的差异值、所述网络中各类型的子序列的中间差异值和所述M个类型的标准子序列,计算该节点的每个子序列与对应类型的标准子序列之间的相似度。
3.根据权利要求2所述的方法,其特征在于,所述对于每个所述节点,根据该节点的每个子序列与对应类型的标准子序列之间的差异值、所述网络中各类型的子序列的中间差异值和所述M个类型的标准子序列,计算该节点的每个子序列与对应类型的标准子序列之间的相似度,包括:
通过以下公式计算每个所述节点的每个子序列与对应类型的标准子序列之间的相似度:
其中,Rij表示第j个所述节点的第i个类型的子序列与第i个类型的标准子序列之间的相似度,△Sij表示第j个所述节点的第i个类型的子序列与第i个类型的标准子序列之间的差异值,mi表示所述网络中的第i个类型的子序列的中间差异值,Si表示第i个类型的标准子序列对应的数值。
4.根据权利要求1所述的方法,其特征在于,所述根据每个所述节点的每个子序列与对应类型的标准子序列之间的相似度,计算所述网络的安全感知序列与所述预定标准序列之间的相似度,包括:
对于子序列的每个类型,根据所述网络中N个节点的该类型的子序列与该类型的标准子序列之间的相似度,计算所述网络的该类型的子序列与该类型的标准子序列之间的相似度;
根据所述网络的M个类型的子序列与对应类型的标准子序列之间的相似度、以及所述网络的M个类型的子序列的预定权值,计算所述网络的安全感知序列与所述预定标准序列之间的相似度。
5.根据权利要求4所述的方法,其特征在于,所述对于子序列的每个类型,根据所述网络中所有节点的该类型的子序列与该类型的标准子序列之间的相似度,计算所述网络的该类型的子序列与该类型的标准子序列之间的相似度,包括:
通过以下公式计算所述网络的各类型的子序列与对应类型的标准子序列之间的相似度:
其中,Ri表示所述网络的第i个类型的子序列与第i个类型的标准子序列之间的相似度,S i表示第i个类型的标准子序列对应的数值,Rij第j个所述节点的第i个类型的子序列与第i个类型的标准子序列之间的相似度。
6.根据权利要求4所述的方法,其特征在于,所述根据所述网络的M个类型的子序列与对应类型的标准子序列之间的相似度、以及所述网络的M个类型的子序列的预定权值,计算所述网络的安全感知序列与所述预定标准序列之间的相似度,包括:
通过以下公式计算所述网络的安全感知序列与所述预定标准序列之间的相似度:
其中,P表示所述网络的安全感知序列与所述预定标准序列之间的相似度,λi表示所述网络的第i个类型的子序列的预定权值,Ri表示所述网络的第i个类型的子序列与第i个类型的标准子序列之间的相似度。
7.根据权利要求1所述的方法,其特征在于,所述根据所述网络的安全感知序列与所述预定标准序列之间的相似度,调整所述节点的安全感知序列,包括:
在所述网络的安全感知序列与所述预定标准序列之间的相似度小于或等于第一预定阈值时,调整所述节点的安全感知序列。
8.根据权利要求7所述的方法,其特征在于,所述调整所述节点的安全感知序列,包括:
对于每个所述节点执行以下步骤:
获取该节点的待调整子序列;
根据所述待调整子序列与对应类型的标准子序列之间的相似度、以及所述待调整子序列所属类型的子序列的预定权值,确定待添加的哈希序列;
在所述待调整子序列后添加所述哈希序列,形成调整后的所述待调整子序列;
将该节点的安全感知序列中的调整前的所述待调整子序列,替换成调整后的所述待调整子序列。
9.根据权利要求8所述的方法,其特征在于,
所述待调整子序列与对应类型的标准子序列之间的相似度小于或等于第二预设阈值,所述第二预设阈值是所述第一预定阈值与所述待调整子序列所属类型的子序列的预定权值相乘得到的数值。
10.根据权利要求1所述的方法,其特征在于,所述M个类型的子序列包括以下之一或多种的组合:用于描述节点类型的序列、用于描述节点存在价值的序列、用于描述节点收到威胁的原因的序列、用于描述节点受到攻击后产生影响的程度的序列、用于描述节点受到攻击后产生影响的类型的序列。
11.一种网络的安全态势拟合装置,其特征在于,所述网络包括N个节点,每个所述节点的安全感知序列均包括M个类型的子序列,每个所述节点的M个类型的子序列与预定标准序列中的M个类型的标准子序列一一对应,M和N均为正整数,所述的装置包括:
子序列相似度计算模块,用于对于每个所述节点,计算所述节点的每个子序列与对应类型的标准子序列之间的相似度;
序列相似度计算模块,用于根据每个所述节点的每个子序列与对应类型的标准子序列之间的相似度,计算所述网络的安全感知序列与所述预定标准序列之间的相似度;
感知序列调整模块,用于根据所述网络的安全感知序列与所述预定标准序列之间的相似度,调整所述节点的安全感知序列;
态势拟合模块,用于根据N个所述节点在调整后的安全感知序列,拟合得到所述网络的安全态势。
12.一种用于拟合网络安全态势的设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-10任意一项所述的网络的安全态势拟合方法。
13.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-10任意一项所述的网络的安全态势拟合方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811363768.XA CN111200504B (zh) | 2018-11-16 | 2018-11-16 | 网络的安全态势拟合方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811363768.XA CN111200504B (zh) | 2018-11-16 | 2018-11-16 | 网络的安全态势拟合方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111200504A true CN111200504A (zh) | 2020-05-26 |
| CN111200504B CN111200504B (zh) | 2022-07-26 |
Family
ID=70745924
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811363768.XA Active CN111200504B (zh) | 2018-11-16 | 2018-11-16 | 网络的安全态势拟合方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111200504B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098180A (zh) * | 2011-02-17 | 2011-06-15 | 华北电力大学 | 一种网络安全态势感知方法 |
| WO2013049562A1 (en) * | 2011-09-29 | 2013-04-04 | Unisys Corporation | Secure integrated cyberspace security and situational awareness system |
| CN106375339A (zh) * | 2016-10-08 | 2017-02-01 | 电子科技大学 | 基于事件滑动窗口的攻击模式检测方法 |
| CN106506485A (zh) * | 2016-10-26 | 2017-03-15 | 中国电子产品可靠性与环境试验研究所 | 网络空间安全态势感知分析方法和系统 |
| CN107294795A (zh) * | 2017-08-02 | 2017-10-24 | 上海上讯信息技术股份有限公司 | 一种网络安全态势预测方法及设备 |
-
2018
- 2018-11-16 CN CN201811363768.XA patent/CN111200504B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098180A (zh) * | 2011-02-17 | 2011-06-15 | 华北电力大学 | 一种网络安全态势感知方法 |
| WO2013049562A1 (en) * | 2011-09-29 | 2013-04-04 | Unisys Corporation | Secure integrated cyberspace security and situational awareness system |
| CN106375339A (zh) * | 2016-10-08 | 2017-02-01 | 电子科技大学 | 基于事件滑动窗口的攻击模式检测方法 |
| CN106506485A (zh) * | 2016-10-26 | 2017-03-15 | 中国电子产品可靠性与环境试验研究所 | 网络空间安全态势感知分析方法和系统 |
| CN107294795A (zh) * | 2017-08-02 | 2017-10-24 | 上海上讯信息技术股份有限公司 | 一种网络安全态势预测方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111200504B (zh) | 2022-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109962891B (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
| US10505953B2 (en) | Proactive prediction and mitigation of cyber-threats | |
| US10284580B2 (en) | Multiple detector methods and systems for defeating low and slow application DDoS attacks | |
| CN112019521B (zh) | 一种资产评分方法、装置、计算机设备及存储介质 | |
| EP3646218A1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| JP2015076863A (ja) | ログ分析装置、方法およびプログラム | |
| Panchenko et al. | Analysis of fingerprinting techniques for Tor hidden services | |
| CN110598404A (zh) | 安全风险监控方法、监控装置、服务器和存储介质 | |
| CN113711559B (zh) | 检测异常的系统和方法 | |
| RU2634181C1 (ru) | Система и способ обнаружения вредоносных компьютерных систем | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| CN111224928B (zh) | 网络攻击行为的预测方法、装置、设备及存储介质 | |
| CN113326514A (zh) | 网络资产的风险评估方法、装置、交换机、设备及服务器 | |
| EP3331210B1 (en) | Apparatus, method, and non-transitory computer-readable storage medium for network attack pattern determination | |
| JP2018073140A (ja) | ネットワーク監視装置、プログラム及び方法 | |
| WO2022183832A1 (zh) | 一种用户账号的风险度量方法及相关装置 | |
| CN114386857A (zh) | 安全防控方法、装置、设备及存储介质 | |
| KR20070068162A (ko) | 호스트 침해 발생 시점에서의 포렌식 증거자료 수집 시스템및 그 방법 | |
| KR20110131627A (ko) | 악성 코드 진단 및 복구 장치, 그리고 이를 위한 단말 장치 | |
| CN113704059A (zh) | 业务资产的防护方法、装置、电子设备和存储介质 | |
| CN111200504B (zh) | 网络的安全态势拟合方法、装置、设备及介质 | |
| EP3783514A1 (en) | A system and a method for automated cyber-security risk control | |
| Qassim et al. | Strategy to Reduce False Alarms in Intrusion Detection and Prevention Systems. | |
| US20230156019A1 (en) | Method and system for scoring severity of cyber attacks | |
| CN113079153B (zh) | 网络攻击类型的预测方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |