CN111342988A - 一种基于态势感知的网络安全预警方法及装置 - Google Patents

一种基于态势感知的网络安全预警方法及装置 Download PDF

Info

Publication number
CN111342988A
CN111342988A CN201811559487.1A CN201811559487A CN111342988A CN 111342988 A CN111342988 A CN 111342988A CN 201811559487 A CN201811559487 A CN 201811559487A CN 111342988 A CN111342988 A CN 111342988A
Authority
CN
China
Prior art keywords
network
path data
cluster
information
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811559487.1A
Other languages
English (en)
Other versions
CN111342988B (zh
Inventor
陈珍文
贺嘉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Henan Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Henan Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Henan Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201811559487.1A priority Critical patent/CN111342988B/zh
Publication of CN111342988A publication Critical patent/CN111342988A/zh
Application granted granted Critical
Publication of CN111342988B publication Critical patent/CN111342988B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种基于态势感知的网络安全预警方法及装置。所述方法包括获取网络中所有的信息传输路径和路径数据,包括所述信息传输路径经过的设备的设备信息;根据设备信息,采用聚类算法将路径数据分为预设数量的簇;根据设备信息,以及与所述簇的对应关系和安全态势公式,得到设备安全态势的值,并得到网络安全态势的值;若超过了预设安全阈值范围,则判定所述网络存在安全风险,本发明实施例通过对网络中设备间拓扑信息的分析,然后根据聚类算法得到设备与路径数据、簇的拓扑关系,然后再根据安全态势公式得到网络安全态势的值,并在超过安全阈值范围时进行安全预警,从而实现了对整个网络的时实监控和准确预警,能提早进行安全排查。

Description

一种基于态势感知的网络安全预警方法及装置
技术领域
本发明实施例涉及网络云安全技术领域,尤其涉及一种基于态势感知的网络安全预警方法及装置。
背景技术
随着互联网技术的进一步发展,云计算应用的普及,虚拟化资源池、弹性架构、服务可度量、灵活接入和按需服务等特性让计算资源(包括网络,服务器,存储,应用软件,服务)变得随时、随地、随需可得,极大的优化了IT(Internet Technology,互联网技术)资源效率,但同时也对云上用户的IT系统安全性提出了新的挑战。云上业务的安全是客户的生命线,如今安全灰、黑产业泛滥,切实有效的保障云上安全需要强大的云安全系统。云上安全系统属于全时段的保障系统,其稳定性至关重要,出现问题的快速恢复能力自然而然成为了重要的部分。云安全系统的防护大体可以分为网络安全与应用安全两层,网络层安全主要对镜像流量进行分析,功能涉及分布式拒绝服务(Distributed Denial of Service,DDos)攻击检测、流量旁路阻断、流量清洗等等,而应用层安全主要涉及web应用防火墙、防御挑战黑洞(Challenge Collapsar,CC)攻击等功能。
由于云安全系统本身的特殊性,其自下而上的链路硬件层面上涉及到诸多的网络设备与服务器设备,软件层面上涉及到多层次的调用与被调用,关系复杂。现阶段对于单模块,单应用,单设备等等的监控手段非常多,技术也十分成熟,业界大部分采用的也均属于单点或者多点监控预警,也有诸多“全系统/链路”的监控。
在现有的技术实现中,网络设备端与服务器设备端的监控预警往往是相对独立的。按照现有的技术手段,云安全系统的健康度检查、预警工作会有一定的局限性。无法对整个网络整体进行监控和预警,尤其在网络端和服务器层面运行正常,可是应用层软件出现严重问题的情况下,无法对问题进行及时的预警,只能等待问题出现后再联系网络工程师,系统工程师,业务运维工程师,开发工程师等等一起联合排查,不但耗时耗力,问题解决缓慢,还可能导致故障升级,系统稳定性被破坏等等问题。
发明内容
本发明实施例提供一种基于态势感知的网络安全预警方法及装置,用以解决现有技术中无法对整个网络整体进行监控和预警,尤其在网络端和服务器层面运行正常,可是应用层软件出现严重问题的情况下,无法对问题进行及时的预警。
第一方面,本发明实施例提供了一种基于态势感知的网络安全预警方法,包括:
获取网络中所有的信息传输路径,以及每条信息传输路径的路径数据;其中,所述路径数据至少包括所述信息传输路径经过的设备的设备信息;
根据每个路径数据中的设备信息,采用聚类算法将所有的路径数据分为预设数量的簇;其中,每个簇至少包括一个路径数据;
根据每个设备的设备信息,以及与所述簇的对应关系和预设的安全态势公式,得到每个设备的设备安全态势的值,并加权得到所述网络的网络安全态势的值;
若所述网络安全态势的值超过了预设安全阈值范围,则判定所述网络存在安全风险。
第二方面,本发明实施例提供了一种用于基于态势感知的网络安全预警的装置,包括:
获取单元,用于获取网络中所有的信息传输路径,以及每条信息传输路径的路径数据;其中,所述路径数据至少包括所述信息传输路径经过的设备的设备信息;
分簇单元,用于根据每个路径数据中的设备信息,采用聚类算法将所有的路径数据分为预设数量的簇;其中,每个簇至少包括一个路径数据;
计算单元,用于根据每个设备的设备信息,以及与所述簇的对应关系和预设的安全态势公式,得到每个设备的设备安全态势的值,并加权得到所述网络的网络安全态势的值;
预警单元,用于若所述网络安全态势的值超过了预设安全阈值范围,则判定所述网络存在安全风险。
第三方面,本发明实施例还提供了一种电子设备,包括:
处理器、存储器、通信接口和通信总线;其中,
所述处理器、存储器、通信接口通过所述通信总线完成相互间的通信;
所述通信接口用于该电子设备的通信设备之间的信息传输;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述程序指令能够执行如下方法:
获取网络中所有的信息传输路径,以及每条信息传输路径的路径数据;其中,所述路径数据至少包括所述信息传输路径经过的设备的设备信息;
根据每个路径数据中的设备信息,采用聚类算法将所有的路径数据分为预设数量的簇;其中,每个簇至少包括一个路径数据;
根据每个设备的设备信息,以及与所述簇的对应关系和预设的安全态势公式,得到每个设备的设备安全态势的值,并加权得到所述网络的网络安全态势的值;
若所述网络安全态势的值超过了预设安全阈值范围,则判定所述网络存在安全风险。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如下方法:
获取网络中所有的信息传输路径,以及每条信息传输路径的路径数据;其中,所述路径数据至少包括所述信息传输路径经过的设备的设备信息;
根据每个路径数据中的设备信息,采用聚类算法将所有的路径数据分为预设数量的簇;其中,每个簇至少包括一个路径数据;
根据每个设备的设备信息,以及与所述簇的对应关系和预设的安全态势公式,得到每个设备的设备安全态势的值,并加权得到所述网络的网络安全态势的值;
若所述网络安全态势的值超过了预设安全阈值范围,则判定所述网络存在安全风险。
本发明实施例提供的基于态势感知的网络安全预警方法及装置,通过对网络中所有设备间的拓扑信息的分析得到所有信息传输路径,然后根据聚类算法,得到所选取的设备与路径数据、簇的拓扑关系,然后再根据每个设备的设备信息和预设的安全态势公式得到整个网络的网络安全态势的值,并在所述网络安全态势的值超过预设的安全阈值范围时进行安全预警,从而实现了对整个网络的时实监控和准确预警,能提早对特定的网络设备进行安全排查。
附图说明
图1为本发明实施例的基于态势感知的网络安全预警方法流程图;
图2为本发明实施例的用于基于态势感知的网络安全预警装置的结构示意图;
图3示例了一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例的基于态势感知的网络安全预警方法流程图。如图1所示,所述方法包括:
步骤S01、获取网络中所有的信息传输路径,以及每条信息传输路径的路径数据;其中,所述路径数据至少包括所述信息传输路径经过的设备的设备信息。
通过对网络中各个设备可能存在的传输关系的分析,获取网络中所有的信息传输路径,并采集每条信息传输路径所经过的设备的设备信息,从而得到每条信息传输路径的路径数据,每条路径数据至少包括与所述信息传输路径对应的设备的设备信息。此时,同一设备信息可以存在于多个路径数据中。
进一步地,所述设备至少包括网络设备、服务器设备和应用层软件。
对于网络中各个设备的选取可以根据实际的需要来进行选择,仅选择当前需要进行检测的设备和相关设备,具体包括三类:网络设备、服务器设备和应用层软件。其中,网络设备包括:网关、路由、边界设备、交换机等;服务器设备包括:集群服务器、虚拟化服务器等计算服务设备等。
进一步地,所述设备信息至少包括所述设备的设备名称。
而每个设备对应的设备信息除了设备名称外,还可以根据实际的需要从后台数据库中选取设备所对应的各种参数。其中,所述网络设备对应的设备信息包括:设备的实时流量等,例如,分流器的流量的入流量以及出流量,云安全集群网卡收到的流量以及交换机路由器的流量信息等;所述服务器设备对应的设备信息包括:计算服务设备的信息,例如,CPU、内存、硬盘、负载的参数等;所述应用层软件对应的设备信息包括:应用层软件部分的监控数据,例如,核心进程、端口、数据库等上层信息。
步骤S02、根据每个路径数据中的设备信息,采用聚类算法将所有的路径数据分为预设数量的簇;其中,每个簇至少包括一个路径数据。
采用聚类算法,通过对所有路径数据中的设备信息的比对,将设备信息相近的路径数据归为一个簇。所述聚类算法可以采用K均值(K-Mean)聚类算法,均值漂移聚类算法,基于密度的聚类算法等,在此不作具体的限定。具体可以通过计算机程序根据需要设定需要得到的簇的数量或者簇的半径,将所有的路径数据分为多个簇,每个簇至少包括了一个路径数据。
步骤S03、根据每个设备的设备信息,以及与所述簇的对应关系,和预设的安全态势公式,得到每个设备的设备安全态势的值,并加权得到所述网络的网络安全态势的值。
在将所有的路径数据进行分簇后,每个路径数据都被分配到唯一对应的簇中,而由于同一设备可能包含在多个路径数据中,所以,同一设备也可以包含在多个簇中。通过对每个设备与簇的对应关系,以及每个设备的设备信息的分析,由预设的安全态势公式得到每个设备j的设备安全态势aj。将所有的设备安全态势进行合并,从而得到整个网络的网络安全态势A。具体可以将每个设备的安全态势进行加权,如下式所示:
Figure BDA0001912855510000051
其中所述bj为与所述设备j对应的加权系数,可以根据每个设备的分类、与其它设备的连接关系、或者访问量等信息具体进行设定,在此不作具体限定。
进一步地,所述安全态势公式具体为:
Figure BDA0001912855510000061
其中,所述aj为所述设备j的设备安全态势,所述设备j的类系数Wj和所述簇t的安全值Bt具体根据所述设备、路径数据和簇之间对应的拓扑关系得到,以及预先获取的每个设备的合法访问比率得到,其中所述簇t中至少存在一个包括所述设备j的设备信息的路径数据。
根据分簇的结果可以得到设备、路径数据和簇之间的拓扑关系,提取出包含有所述设备j的簇。例如,若所述设备j的设备信息分别包含在路径数据x1,x2,x3中,而x1,x2分配到簇t1,而x3分配到簇t2中,则与所述设备j对应的簇为簇t1和簇t2。
根据上述拓扑关系,以及每个设备的合法访问比率可以计算得到每个设备的类系数Wj和与所述设备j对应的簇的安全值Bt,即簇t1的安全值Bt1和簇t2的安全值Bt2。将得到的值分别代入到安全态势公式中,就可以得到每个设备的安全态势的值,进而加权得到所述网络的网络安全态势的值。
步骤S04、若所述网络安全态势的值超过了预设安全阈值范围,则判定所述网络存在安全风险。
根据当前检测的条件、选取的设备以及网络的需求,可以预先设定一个安全阈值范围,将通过安全态势公式得到的网络安全态势的值与所述安全阈值范围进行比较。若判定所述网络安全态势的值超过所述安全阈值范围,则可以判定所述网络存在安全风险,并进行安全预警。否则,则可以判定所述网络运行正常,并不需要进行安全预警。
本发明实施例通过对网络信息传输路径的分析和聚类算法,得到所选取的设备与路径数据、簇的拓扑关系,然后再根据每个设备的设备信息和预设的安全态势公式得到整个网络的网络安全态势的值,并在所述网络安全态势的值超过预设的安全阈值范围时进行安全预警,从而实现了对整个网络的时实监控和准确预警,能提早对特定的网络设备进行安全排查。
基于上述实施例,进一步地,所述获取网络中所有的信息传输路径,具体包括:
获取网络中所有设备间的拓扑信息;
根据所述拓扑信息得到所述网络中所有的信息传输路径。
网络中所有的信息传输路径,可以通过对预先获取的网络中各个设备的拓扑信息的分析得到。所述拓扑信息可以是网络运行过程中保存在后台数据库的信息也可以是根据信息传输数据分析得到的各个设备间的拓扑信息。
通过对所述拓扑信息的分析可以疏理出其中所有的信息传输路径,从而得到每个设备与信息传输路径的对应关系,即每个设备与路径数据之间的对应关系。
本发明实施例通过对网络中所有设备间的拓扑信息的分析得到所有信息传输路径,然后根据聚类算法,得到所选取的设备与路径数据、簇的拓扑关系,然后再根据每个设备的设备信息和预设的安全态势公式得到整个网络的网络安全态势的值,并在所述网络安全态势的值超过预设的安全阈值范围时进行安全预警,从而实现了对整个网络的时实监控和准确预警,能提早对特定的网络设备进行安全排查。
基于上述实施例,进一步地,所述设备j的类系数Wj和所述簇t的安全值Bt具体根据所述设备、路径数据和簇之间对应的拓扑关系得到,以及预先获取的每个设备的合法访问比率得到,具体如下:
Figure BDA0001912855510000071
Bt=C1+C2
Figure BDA0001912855510000072
Figure BDA0001912855510000073
Figure BDA0001912855510000074
Vi=1-qi
Figure BDA0001912855510000075
其中,所述Njt为簇t中包括所述设备j的设备信息的路径数据数量,所述Nt为簇t中所有的路径数据数量,所述fj为预设的设备权值,所述C1和C2分别为簇t的簇稳定值和簇风险值,所述x为簇t所包含的路径数据,所述pi为路径数据x包含的设备i的稳定值,所述
Figure BDA0001912855510000085
为簇t的平均稳定值,所述mx为路径数据x包含的设备总数,所述vi为设备i的风险值,所述
Figure BDA0001912855510000086
为簇t的平均风险值,所述M1t为簇t包含的正常运行的设备数量,所述Mt为簇t包含的所有的设备总数,所述qi为设备i的合法访问比率,所述Qt为所述簇t包含的所有设备的合法访问比率。
根据设备、路径数据和簇之间的拓扑关系,可以得到簇t中包括所述设备j的路径数据的数量Njt,例如,如上所述,设备j包含在路径数据x1,x2和x3中,则对于簇t1,所述Njt1=2,对于簇t2,所述Njt2=1。从而得到:
Figure BDA0001912855510000081
而所述Nt则为簇t中包含的路径数据的总数,即分别统计簇t1和簇t2中的路径数据的总数,从而得到:
Figure BDA0001912855510000082
所述fj为设备j的设备权值,可以根据设备的分类或者与其它设备的关联度等预先设置,每个设备的设备权值均可以在进行本次检测前根据实际的需要进行设置。
簇t的安全值Bt可以分为两个部分来进行计算,分别为簇t的簇稳定值C1和簇风险值C2,所述簇稳定值C1和簇风险值C2需要对簇t中包含的每个路径数据x进行分析计算得到。
根据设备、路径数据和簇之间的拓扑关系,可以得到每个路径数据所包含的设备总数mx。再结合每个设备的运行状态,预设所述路径数据中每个设备i的稳定值pi,例如,正常运行的设备的稳定值为5,非正常运行的设备的稳定值为2,同时可以得到路径数据x所在的簇t中包含的设备总数Mt和正常运行的设备数量M1t,进而计算得到簇t的平均稳定值
Figure BDA0001912855510000083
另外,通过后台数据库可以得到预设时间段内每个设备被访问情况,从而得到路径数据x中每个设备i的合法访问比率qi,以及路径数据x所在簇t中包含的所有设备的合法访问比率Qt,进而计算得到所述设备i的风险值vi和簇t的平均风险值
Figure BDA0001912855510000084
将上述得到的参数分别代入簇稳定值C1和簇风险值C2的计算公式得到,相加后得到簇t的安全值Bt
本发明实施例通过对网络信息传输路径的分析和聚类算法,得到所选取的设备与路径数据、簇的拓扑关系,然后再根据每个设备的设备信息和预设的安全态势公式得到整个网络的网络安全态势的值,并在所述网络安全态势的值超过预设的安全阈值范围时进行安全预警,从而实现了对整个网络的时实监控和准确预警,能提早对特定的网络设备进行安全排查。
图2为本发明实施例的用于基于态势感知的网络安全预警装置的结构示意图,如图2所示,所述网络安全预警装置包括:获取单元10、分簇单元11、计算单元12和预警单元13,其中,
所述获取单元10用于获取网络中所有的信息传输路径,以及每条信息传路径的路径数据;其中,所述路径数据至少包括所述信息传输路径经过的设备的设备信息;所述分簇单元11用于根据每个路径数据中的设备信息,采用聚类算法将所有的路径数据分为预设数量的簇;其中,每个簇至少包括一个路径数据;所述计算单元12用于根据每个设备的设备信息,以及与所述簇的对应关系和预设的安全态势公式,得到每个设备的设备安全态势的值,并加权得到所述网络的网络安全态势的值;所述预警单元13用于若所述网络安全态势的值超过了预设安全阈值范围,则判定所述网络存在安全风险。具体地:
所述获取单元10通过对网络中各个设备可能存在的传输关系的分析,获取网络中所有的信息传输路径,并采集每条信息传输路径所经过的设备的设备信息,从而得到每条信息传输路径的路径数据,每条路径数据至少包括与所述信息传输路径对应的设备的设备信息。此时,同一设备信息可以存在于多个路径数据中。
进一步地,所述设备至少包括网络设备、服务器设备和应用层软件。
对于网络中各个设备的选取可以根据实际的需要来进行选择,仅选择当前需要进行检测的设备和相关设备,具体包括三类:网络设备、服务器设备和应用层软件。其中,网络设备包括:网关、路由、边界设备、交换机等;服务器设备包括:集群服务器、虚拟化服务器等计算服务设备等。
进一步地,所述设备信息至少包括所述设备的设备名称。
而每个设备对应的设备信息除了设备名称外,还可以根据实际的需要从后台数据库中选取设备所对应的各种参数。其中,所述网络设备对应的设备信息包括:设备的实时流量等;所述服务器设备对应的设备信息包括:计算服务设备的信息;所述应用层软件对应的设备信息包括:应用层软件部分的监控数据。
所述分簇单元11采用聚类算法,通过对所述获取单元10采集到的所有路径数据中的设备信息的比对,将设备信息相近的路径数据归为一个簇。具体可以通过计算机程序根据需要设定需要得到的簇的数量或者簇的半径,将所有的路径数据分为多个簇,每个簇至少包括了一个路径数据。
在将所有的路径数据进行分簇后,每个路径数据都被分配到唯一对应的簇中,而由于同一设备可能包含在多个路径数据中,所以,同一设备也可以包含在多个簇中。所述分簇单元11将上述分簇信息发送给计算单元12,由所述计算单元12通过对每个设备与簇的对应关系,以及每个设备的设备信息的分析,由预设的安全态势公式得到每个设备j的设备安全态势aj。将所有的设备安全态势进行合并,从而得到整个网络的网络安全态势A。具体可以将每个设备的安全态势进行加权,如下式所示:
Figure BDA0001912855510000101
其中所述bj为与所述设备j对应的加权系数,可以根据每个设备的分类、与其它设备的连接关系、或者访问量等信息具体进行设定,在此不作具体限定。
进一步地,所述安全态势公式具体为:
Figure BDA0001912855510000102
其中,所述aj为所述设备j的设备安全态势,所述设备j的类系数Wj和所述簇t的安全值Bt具体根据所述设备、路径数据和簇之间对应的拓扑关系得到,以及预先获取的每个设备的合法访问比率得到,其中所述簇t中至少存在一个包括所述设备j的设备信息的路径数据。
根据分簇的结果可以得到设备、路径数据和簇之间的拓扑关系,提取出包含有所述设备j的簇。例如,若所述设备j的设备信息分别包含在路径数据x1,x2,x3中,而x1,x2分配到簇t1,而x3分配到簇t2中,则与所述设备j对应的簇为簇t1和簇t2。
所述计算单元12根据上述拓扑关系,以及每个设备的合法访问比率可以计算得到每个设备的类系数Wj和与所述设备j对应的簇的安全值Bt,即簇t1的安全值Bt1和簇t2的安全值Bt2。将得到的值分别代入到安全态势公式中,就可以得到每个设备的安全态势的值,进而加权得到所述网络的网络安全态势的值。所述计算单元12将得到的网络安全态势的值发送给所述预警单元13。
所述预警单元13根据当前检测的条件、选取的设备以及网络的需求,可以预先设定一个安全阈值范围,将通过安全态势公式得到的网络安全态势的值与所述安全阈值范围进行比较。若判定所述网络安全态势的值超过所述安全阈值范围,则可以判定所述网络存在安全风险,并进行安全预警。否则,则可以判定所述网络运行正常,并不需要进行安全预警。
本发明实施例提供的装置用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过分簇单元11对由获取单元10采集的网络信息传输路径进行分析和聚类算法,得到所选取的设备与路径数据、簇的拓扑关系,然后计算单元12再根据每个设备的设备信息和预设的安全态势公式得到整个网络的网络安全态势的值,并由所述预警单元13在所述网络安全态势的值超过预设的安全阈值范围时进行安全预警,从而实现了对整个网络的时实监控和准确预警,能提早对特定的网络设备进行安全排查。
基于上述实施例,进一步地,
所述获取单元10具体用于,获取网络中所有设备间的拓扑信息;根据所述拓扑信息得到所述网络中所有的信息传输路径,以及每条信息传输路径的路径数据;其中,所述路径数据至少包括所述信息传输路径经过的设备的设备信息。
网络中所有的信息传输路径,可以由所述获取单元10对预先获取的网络中各个设备的拓扑信息的分析得到。所述拓扑信息可以是网络运行过程中保存在后台数据库的信息也可以是根据信息传输数据分析得到的各个设备间的拓扑信息。
所述获取单元10通过对所述拓扑信息的分析可以疏理出其中所有的信息传输路径,从而得到每个设备与信息传输路径的对应关系,即每个设备与路径数据之间的对应关系。
本发明实施例提供的装置用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过获取单元10对网络中所有设备间的拓扑信息的分析得到所有信息传输路径,再由分簇单元11对所述信息传输路径进行分析和聚类,以得到所选取的设备与路径数据、簇的拓扑关系,然后计算单元12再根据每个设备的设备信息和预设的安全态势公式得到整个网络的网络安全态势的值,并由所述预警单元13所述网络安全态势的值超过预设的安全阈值范围时进行安全预警,从而实现了对整个网络的时实监控和准确预警,能提早对特定的网络设备进行安全排查。
图3示例了一种电子设备的实体结构示意图,如图3所示,该服务器可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行如下方法:获取网络中所有的信息传输路径,以及每条信息传输路径的路径数据;其中,所述路径数据至少包括所述信息传输路径经过的设备的设备信息;根据每个路径数据中的设备信息,采用聚类算法将所有的路径数据分为预设数量的簇;其中,每个簇至少包括一个路径数据;根据每个设备的设备信息,以及与所述簇的对应关系和预设的安全态势公式,得到每个设备的设备安全态势的值,并加权得到所述网络的网络安全态势的值;若所述网络安全态势的值超过了预设安全阈值范围,则判定所述网络存在安全风险。
进一步地,本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取网络中所有的信息传输路径,以及每条信息传输路径的路径数据;其中,所述路径数据至少包括所述信息传输路径经过的设备的设备信息;根据每个路径数据中的设备信息,采用聚类算法将所有的路径数据分为预设数量的簇;其中,每个簇至少包括一个路径数据;根据每个设备的设备信息,以及与所述簇的对应关系和预设的安全态势公式,得到每个设备的设备安全态势的值,并加权得到所述网络的网络安全态势的值;若所述网络安全态势的值超过了预设安全阈值范围,则判定所述网络存在安全风险。
进一步地,本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取网络中所有的信息传输路径,以及每条信息传输路径的路径数据;其中,所述路径数据至少包括所述信息传输路径经过的设备的设备信息;根据每个路径数据中的设备信息,采用聚类算法将所有的路径数据分为预设数量的簇;其中,每个簇至少包括一个路径数据;根据每个设备的设备信息,以及与所述簇的对应关系和预设的安全态势公式,得到每个设备的设备安全态势的值,并加权得到所述网络的网络安全态势的值;若所述网络安全态势的值超过了预设安全阈值范围,则判定所述网络存在安全风险。
本领域普通技术人员可以理解:此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的电子设备等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于态势感知的网络安全预警方法,其特征在于,包括:
获取网络中所有的信息传输路径,以及每条信息传输路径的路径数据;其中,所述路径数据至少包括所述信息传输路径经过的设备的设备信息;
根据每个路径数据中的设备信息,采用聚类算法将所有的路径数据分为预设数量的簇;其中,每个簇至少包括一个路径数据;
根据每个设备的设备信息,以及与所述簇的对应关系和预设的安全态势公式,得到每个设备的设备安全态势的值,并加权得到所述网络的网络安全态势的值;
若所述网络安全态势的值超过了预设安全阈值范围,则判定所述网络存在安全风险。
2.根据权利要求1所述的方法,其特征在于,所述获取网络中所有的信息传输路径,具体包括:
获取网络中所有设备间的拓扑信息;
根据所述拓扑信息得到所述网络中所有的信息传输路径。
3.根据权利要求1所述的方法,其特征在于,所述安全态势公式具体为:
Figure FDA0001912855500000011
其中,所述aj为所述设备j的设备安全态势的值,所述设备j的类系数Wj和所述簇t的安全值Bt具体根据所述设备、路径数据和簇之间对应的拓扑关系得到,以及预先获取的每个设备的合法访问比率得到,其中所述簇t中至少存在一个包括所述设备j的设备信息的路径数据。
4.根据权利要求3所述的方法,其特征在于,所述设备j的类系数Wj和所述簇t的安全值Bt具体根据所述设备、路径数据和簇之间对应的拓扑关系得到,以及预先获取的每个设备的合法访问比率得到,具体如下:
Figure FDA0001912855500000012
Bt=C1+C2
Figure FDA0001912855500000021
Figure FDA0001912855500000022
Figure FDA0001912855500000023
Vi=1-qi
Figure FDA0001912855500000024
其中,所述Njt为簇t中包括所述设备j的设备信息的路径数据数量,所述Nt为簇t中所有的路径数据数量,所述fj为预设的设备权值,所述C1和C2分别为簇t的簇稳定值和簇风险值,所述x为簇t所包含的路径数据,所述pi为路径数据x包含的设备i的稳定值,所述
Figure FDA0001912855500000025
为簇t的平均稳定值,所述mx为路径数据x包含的设备总数,所述vi为设备i的风险值,所述
Figure FDA0001912855500000026
为簇t的平均风险值,所述M1t为簇t包含的正常运行的设备数量,所述Mt为簇t包含的所有的设备总数,所述qi为设备i的合法访问比率,所述Qt为所述簇t包含的所有设备的合法访问比率。
5.根据权利要求1所述的方法,其特征在于,所述设备至少包括:网络设备、服务器设备和应用层软件。
6.根据权利要求1所述的方法,其特征在于,所述设备信息至少包括所述设备的设备名称。
7.一种用于基于态势感知的网络安全预警的装置,其特征在于,包括:
获取单元,用于获取网络中所有的信息传输路径,以及每条信息传输路径的路径数据;其中,所述路径数据至少包括所述信息传输路径经过的设备的设备信息;
分簇单元,用于根据每个路径数据中的设备信息,采用聚类算法将所有的路径数据分为预设数量的簇;其中,每个簇至少包括一个路径数据;
计算单元,用于根据每个设备的设备信息,以及与所述簇的对应关系和预设的安全态势公式,得到每个设备的设备安全态势的值,并加权得到所述网络的网络安全态势的值;
预警单元,用于若所述网络安全态势的值超过了预设安全阈值范围,则判定所述网络存在安全风险。
8.根据权利要求7所述的装置,其特征在于,所述获取单元具体用于,获取网络中所有设备间的拓扑信息;根据所述拓扑信息得到所述网络中所有的信息传输路径,以及每条信息传输路径的路径数据;其中,所述路径数据至少包括所述信息传输路径经过的设备的设备信息。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述网络安全预警方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至6任一项所述网络安全预警方法的步骤。
CN201811559487.1A 2018-12-19 2018-12-19 一种基于态势感知的网络安全预警方法及装置 Active CN111342988B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811559487.1A CN111342988B (zh) 2018-12-19 2018-12-19 一种基于态势感知的网络安全预警方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811559487.1A CN111342988B (zh) 2018-12-19 2018-12-19 一种基于态势感知的网络安全预警方法及装置

Publications (2)

Publication Number Publication Date
CN111342988A true CN111342988A (zh) 2020-06-26
CN111342988B CN111342988B (zh) 2022-06-17

Family

ID=71185788

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811559487.1A Active CN111342988B (zh) 2018-12-19 2018-12-19 一种基于态势感知的网络安全预警方法及装置

Country Status (1)

Country Link
CN (1) CN111342988B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112311858A (zh) * 2020-10-14 2021-02-02 中国航天系统工程有限公司 一种基于物联网拓扑的网络态感知显示系统及方法
CN112333147A (zh) * 2020-09-30 2021-02-05 中国核动力研究设计院 一种核电厂dcs平台网络运行态势感知方法及系统
CN114268954A (zh) * 2020-09-25 2022-04-01 中国移动通信集团河南有限公司 一种物联网设备的安全监测方法、装置、设备及存储介质
CN114598502A (zh) * 2022-02-16 2022-06-07 深圳融安网络科技有限公司 攻击路径风险检测方法、电子设备及可读存储介质
CN116389304A (zh) * 2023-04-12 2023-07-04 国网湖北省电力有限公司荆州供电公司 基于sg-tms的网络运行状态趋势分析系统
CN117252335A (zh) * 2023-09-20 2023-12-19 杭州中微感联信息技术有限公司 一种基于机器学习的市政设备设施智能管理方法及系统
CN116389304B (zh) * 2023-04-12 2024-05-24 国网湖北省电力有限公司荆州供电公司 基于sg-tms的网络运行状态趋势分析系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070136788A1 (en) * 2004-12-16 2007-06-14 Monahan Brian Q Modelling network to assess security properties
CN102340485A (zh) * 2010-07-19 2012-02-01 中国科学院计算技术研究所 基于信息关联的网络安全态势感知系统及其方法
US20130104236A1 (en) * 2011-10-14 2013-04-25 Albeado, Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security
CN104410992A (zh) * 2014-10-30 2015-03-11 重庆邮电大学 分布式传感网络基于信任的态势数据融合方法
CN107404400A (zh) * 2017-07-20 2017-11-28 中国电子科技集团公司第二十九研究所 一种网络态势感知实现方法及装置
US20180020021A1 (en) * 2016-07-13 2018-01-18 Hill Top Security, Inc. Computerized system and method for providing cybersecurity detection and response functionality

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070136788A1 (en) * 2004-12-16 2007-06-14 Monahan Brian Q Modelling network to assess security properties
CN102340485A (zh) * 2010-07-19 2012-02-01 中国科学院计算技术研究所 基于信息关联的网络安全态势感知系统及其方法
US20130104236A1 (en) * 2011-10-14 2013-04-25 Albeado, Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security
CN104410992A (zh) * 2014-10-30 2015-03-11 重庆邮电大学 分布式传感网络基于信任的态势数据融合方法
US20180020021A1 (en) * 2016-07-13 2018-01-18 Hill Top Security, Inc. Computerized system and method for providing cybersecurity detection and response functionality
CN107404400A (zh) * 2017-07-20 2017-11-28 中国电子科技集团公司第二十九研究所 一种网络态势感知实现方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
褚维明等: "网络空间安全态势感知数据收集研究", 《信息网络安全》, no. 09, 10 September 2016 (2016-09-10) *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114268954A (zh) * 2020-09-25 2022-04-01 中国移动通信集团河南有限公司 一种物联网设备的安全监测方法、装置、设备及存储介质
CN114268954B (zh) * 2020-09-25 2023-10-27 中国移动通信集团河南有限公司 一种物联网设备的安全监测方法、装置、设备及存储介质
CN112333147A (zh) * 2020-09-30 2021-02-05 中国核动力研究设计院 一种核电厂dcs平台网络运行态势感知方法及系统
CN112311858A (zh) * 2020-10-14 2021-02-02 中国航天系统工程有限公司 一种基于物联网拓扑的网络态感知显示系统及方法
CN112311858B (zh) * 2020-10-14 2024-03-26 中国航天系统工程有限公司 一种基于物联网拓扑的网络态感知显示系统及方法
CN114598502A (zh) * 2022-02-16 2022-06-07 深圳融安网络科技有限公司 攻击路径风险检测方法、电子设备及可读存储介质
CN116389304A (zh) * 2023-04-12 2023-07-04 国网湖北省电力有限公司荆州供电公司 基于sg-tms的网络运行状态趋势分析系统
CN116389304B (zh) * 2023-04-12 2024-05-24 国网湖北省电力有限公司荆州供电公司 基于sg-tms的网络运行状态趋势分析系统
CN117252335A (zh) * 2023-09-20 2023-12-19 杭州中微感联信息技术有限公司 一种基于机器学习的市政设备设施智能管理方法及系统

Also Published As

Publication number Publication date
CN111342988B (zh) 2022-06-17

Similar Documents

Publication Publication Date Title
CN111342988B (zh) 一种基于态势感知的网络安全预警方法及装置
CN100511159C (zh) 用于解决对计算机系统的侵入攻击的方法和系统
CN111274604B (zh) 服务访问方法、装置、设备及计算机可读存储介质
CN109413071B (zh) 一种异常流量检测方法及装置
US20150207696A1 (en) Predictive Anomaly Detection of Service Level Agreement in Multi-Subscriber IT Infrastructure
EP3503473B1 (en) Server classification in networked environments
CN108306747A (zh) 一种云安全检测方法、装置和电子设备
JP7235967B2 (ja) ネットワーク分析プログラム、ネットワーク分析装置及びネットワーク分析方法
CN110493043B (zh) 一种分布式态势感知调用方法和装置
JP2009527839A (ja) 通信ネットワークのトランザクション監視のための方法及びシステム
JP2023550974A (ja) イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム
CN112508316B (zh) 实时异常检测系统中的自适应异常判定方法和装置
CN114363212A (zh) 一种设备检测方法、装置、设备和存储介质
CN111565201B (zh) 一种基于多属性的工业互联网安全评估方法及系统
CN113098827B (zh) 基于态势感知的网络安全预警方法及装置
CN115659351B (zh) 一种基于大数据办公的信息安全分析方法、系统及设备
CN111049685A (zh) 电力系统的网络安全感知系统、网络安全感知方法和装置
Ogino Evaluation of machine learning method for intrusion detection system on Jubatus
WO2022033579A1 (zh) 一种联邦学习方法、设备及系统
CN117391214A (zh) 模型训练方法、装置及相关设备
CN110471975B (zh) 一种物联网态势感知调用方法和装置
CN113434369A (zh) 一种网络设备告警的健康检测方法及系统
CN115600195A (zh) 一种web攻击检测方法、装置、设备及可读存储介质
CN108848093B (zh) 路由计算单元和网络节点设备
CN111191241B (zh) 基于态势感知的重大活动保障方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant