CN111343135A - 一种网络安全态势检测方法 - Google Patents
一种网络安全态势检测方法 Download PDFInfo
- Publication number
- CN111343135A CN111343135A CN201811569566.0A CN201811569566A CN111343135A CN 111343135 A CN111343135 A CN 111343135A CN 201811569566 A CN201811569566 A CN 201811569566A CN 111343135 A CN111343135 A CN 111343135A
- Authority
- CN
- China
- Prior art keywords
- main body
- network
- data
- subject
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种网络安全态势检测方法。所述方法包括:获取网络中数据包;分别统计与每个主体相关的数据包以组成数据集;根据数据集中各个数据包间的相似度,以及所述主体与所有相对主体的拓扑关系,得到所述主体的主体关联度;根据每个主体的主体关联度和所有数据包的统计特征,得到稳定值和风险值;根据稳定值和风险值,采用预设的网络安全态势公式,得到所述网络的网络态势值,本发明实施例通过采集网络中数据包,并统计得到每个主体的数据集,然后通过数据包的相似度和主体的拓扑关系,得到主体关联度,再根据数据包的统计特征,得到稳定值和风险值,进而得到网络态势值,从而能够准确得分析出所述网络当前的安全性。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种网络安全态势检测方法。
背景技术
随着互联网规模和应用领域的不断发展,网络攻击和破坏行为日益增多,且逐渐呈现出组织严密化、行为趋利化和目标直接化的特点。而现有的网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备,由于它们彼此间缺乏有效协作,使得各类安全设备的效能无法得到充分发挥,网络安全问题已成为影响互联网和各类应用发展的主要问题。
网络安全态势感知可以从总体上把握网络运行的安全状况及未来的发展趋势,实时感知当前网络所面临的各种威胁,为及时、准确地采取应对措施提供决策依据,从而将网络威胁带来的风险和损失降至最低。
专利《基于信息关联的网络安全态势感知系统及其方法》(公开号CN102340485A)提出综合利用主动扫描和被动嗅探相结合的方式获取网络脆弱性信息、通过对各种安全日志的采集和分析来获取威胁信息、以及网络流量等基本信息生成网络安全态势。上述方法通过各类检测引擎的检测结果或记录对网络安全态势进行评估,只考虑单一时空尺度上的网络行为,存在分析方法简单,融合层次较低的问题,导致态势评估结果粗糙、难以描述网络行为的复杂特征,更不能细粒度的刻画网络威胁行为发生、发展和演化的全过程。
目前,对网络安全态势感知的研究主要集中于对单机日志、NetFlow、简单网络管理协议SNMP和服务等数据的简单关联分析基础之上,存在着感知范围片面、精度低等不足,因此无法从本质上把握网络运行的内在规律,更难以全面准确地对整个网络的安全态势进行动态评估和趋势预测。
发明内容
本发明实施例提供一种网络安全态势检测方法,用以解决现有技术中无法从本质上把握网络运行的内在规律,更难以全面准确地对整个网络的安全态势进行动态评估和趋势预测。
第一方面,本发明实施例提供了一种网络安全态势检测方法,包括:
在预设的时间段内获取网络中所有数据包,所述数据包至少包括发送端和接收端;
分别统计与每个主体相关的数据包以组成所述主体的数据集;其中,所述数据集中每个数据包的发送端或接收端为所述主体;
根据所述数据集中各个数据包间的相似度,以及所述主体与所有相对主体的拓扑关系,得到所述主体的主体关联度;其中,所述主体和相对主体为至少一个数据包的发送端和接收端;
根据每个主体的主体关联度和所有数据包的统计特征,得到所述网络的稳定值和风险值;
根据所述稳定值和风险值,采用预设的网络安全态势公式,得到所述网络在所述时间段内的网络态势值。
第二方面,本发明实施例还提供了一种电子设备,包括:
处理器、存储器、通信接口和通信总线;其中,
所述处理器、存储器、通信接口通过所述通信总线完成相互间的通信;
所述通信接口用于该电子设备的通信设备之间的信息传输;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述程序指令能够执行如下方法:
在预设的时间段内获取网络中所有数据包,所述数据包至少包括发送端和接收端;
分别统计与每个主体相关的数据包以组成所述主体的数据集;其中,所述数据集中每个数据包的发送端或接收端为所述主体;
根据所述数据集中各个数据包间的相似度,以及所述主体与所有相对主体的拓扑关系,得到所述主体的主体关联度;其中,所述主体和相对主体为至少一个数据包的发送端和接收端;
根据每个主体的主体关联度和所有数据包的统计特征,得到所述网络的稳定值和风险值;
根据所述稳定值和风险值,采用预设的网络安全态势公式,得到所述网络在所述时间段内的网络态势值。
第三方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如下方法:
在预设的时间段内获取网络中所有数据包,所述数据包至少包括发送端和接收端;
分别统计与每个主体相关的数据包以组成所述主体的数据集;其中,所述数据集中每个数据包的发送端或接收端为所述主体;
根据所述数据集中各个数据包间的相似度,以及所述主体与所有相对主体的拓扑关系,得到所述主体的主体关联度;其中,所述主体和相对主体为至少一个数据包的发送端和接收端;
根据每个主体的主体关联度和所有数据包的统计特征,得到所述网络的稳定值和风险值;
根据所述稳定值和风险值,采用预设的网络安全态势公式,得到所述网络在所述时间段内的网络态势值。
本发明实施例提供的网络安全态势检测方法,通过在预设时间段采集网络中所有数据包,并根据主体的不同统计得到每个主体的数据集,然后通过对每个数据集中所有数据包的相似度和每个主体的拓扑关系的分析,得到每个主体的主体关联度,再根据所有数据包的统计特征,得到所述网络的稳定值和风险值,代入预设的网络安全态势公式,得到了所述网络的网络态势值,从而能够准确得分析出所述网络当前的安全性。
附图说明
图1为本发明实施例的网络安全态势检测方法流程图;
图2为本发明实施例的另一网络安全态势检测方法流程图;
图3为本发明实施例的用于网络安全态势检测的装置结构示意图;
图4示例了一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例的网络安全态势检测方法流程图,如图1所示,所述方法包括:
步骤S01、在预设的时间段内获取网络中所有数据包,所述数据包至少包括发送端和接收端。
定期在预设的时间段内从网络上收集所有的数据包,例如,每1秒,每1分钟、每1小时,甚至是每一天,每一周,每一个月等对网络上收集到的数据包进行统计。其中每个数据包至少包括发送端和接收端、以及该数据包的其它数据信息,例如IP值、端口号、生存时间(Time To Live,TTL)时长、数据包包长等。
步骤S02、分别统计与每个主体相关的数据包以组成所述主体的数据集;其中,所述数据集中每个数据包的发送端或接收端为所述主体。
根据每个数据包的发送端和接收端,从采集到的所有数据包中分别统计接收端或者发送端为同一主体的数据包,以组成所述主体的数据集。相当于,将发送给该主体的数据包和由该主体发送的数据包组合为该主体的数据集。
步骤S03、根据所述数据集中各个数据包间的相似度,以及所述主体与所有相对主体的拓扑关系,得到所述主体的主体关联度;其中,所述主体和相对主体为至少一个数据包的发送端和接收端。
在所述数据集中,通过对各个数据包的数据信息的相互比对,可以得到任意两个数据包间的相似度。具体可以通过各个数据信息的差值、比值或者方差等方式来计算得到,也可以通过相似度表格等方式来查表获取。
同时,根据预先获取的所述网络的网络拓扑关系可以得到以所述网络中各个主体为参考点的拓扑关系,具体可以根据与该主体连接的其它主体的数量、类型、以及每个主体当前的运行状态等得到。
另外,根据所述数据集中所有数据包的发送端和接收端,统计得到所有的相对主体,所述相对主体为在当前采集的时间段内向所述主体发送数据包的发送端或者所述由主体发送数据包的接收端。
根据所述数据集中所有数据包间的相似度,以及与该数据集对应的主体和所有相关主体的拓扑关系,可以得到所述主体的主体关联度。通过所述主体关联度可以整体上体现所述主体在当前时间段内网络中的重要性和可靠性。
步骤S04、根据每个主体的主体关联度和所有数据包的统计特征,得到所述网络的稳定值和风险值。
根据网络中所有数据包的数据信息,得到当前时间段内的网络的统计特征,以及各个数据集中的统计特征,例如,平均包长,吞吐量,各个数据类型的数据包数量,丢包率等。
将上述统计特征与所述网络中每个主体的主体关联度相结合,得到所述网络的稳定值和风险值。通过所述稳定值可以体现所述网络中各个主体间相互的稳定性,而通过风险值可以体现所述网络可能受到的攻击或者出现差错的可能性。
步骤S05、根据所述稳定值和风险值,采用预设的网络安全态势公式,得到所述网络在所述时间段内的网络态势值。
根据实际的需要预先建立网络安全态势公式,将得到的所述网络的稳定值和风险值代入所述网络安全态势公式中,就可以得到所述网络的网络态势值。所述网络安全态势公式可以是对所述稳定值和风险值的加权平均,也可以是通过相互的比值得到,在此不作具体的限定。
进一步地,所述网络安全态势公式具体为:
所述网络的安全态势值
其中,所述σ1和σ2分别为所述网络的稳定值T1和网络的风险值T2的预设稳定系数和风险系数。
将通过上述实施例中得到的稳定值T1和网络的风险值T2分别代入上述安全态势公式中,并且根据实际应用的需要分别设定了相应的稳定系数σ1和风险系数σ2,从而得到了所述网络在当前时间段内的网络安全态势值,以体现所述网络当前的安全性。
本发明实施例通过在预设时间段采集网络中所有数据包,并根据主体的不同统计得到每个主体的数据集,然后通过对每个数据集中所有数据包的相似度和每个主体的拓扑关系的分析,得到每个主体的主体关联度,再根据所有数据包的统计特征,得到所述网络的稳定值和风险值,代入预设的网络安全态势公式,得到了所述网络的网络态势值,从而能够准确得分析出所述网络当前的安全性。
图2为本发明实施例的另一网络安全态势检测方法流程图,如图2所示,在所述步骤S05后,所述方法还包括:
步骤S06、若所述安全态势值超过了预设的安全态势阈值范围,则所述网络存在安全风险。
预先设置安全态势阈值范围,若基于上述实施例得到的所述网络安全态势值在所述安全态势阈值范围内,则说明当前网络不存在安全风险;否则,则说明当前网络存在安全风险,此时可以发出预警信息,以便能够提早对网络进行全面检测,并及时发现问题所在。
本发明实施例通过在预设时间段采集网络中所有数据包,并根据主体的不同统计得到每个主体的数据集,然后通过对每个数据集中所有数据包的相似度和每个主体的拓扑关系的分析,得到每个主体的主体关联度,再根据所有数据包的统计特征,得到所述网络的稳定值和风险值,代入预设的网络安全态势公式,得到了所述网络的网络态势值,根据预设的安全态势阈值能够准确得分析出所述网络当前是否存在安全风险。
基于上述实施例,进一步地,所述数据包还包括预设长度的特征值序列;相应地,所述步骤S03,具体为:
根据所述数据包与所在数据集中其它数据包间的特征值序列的差得到所述数据包的内部关联度;
同时,根据所述主体与相对主体的拓扑关系得到所述主体的外部关联度;
根据所述主体的数据集内所有数据包的内部关联度和所述主体的外部关联度,得到所述主体的主体关联度。
为了能够更加方便得将两个数据包进行比对以得到相似度,可以每个数据包的数据信息中提取出的预设数量的特征值以组成所述数据包的特征值序列,例如{数据包包长、TTL时长、重传次数、数据类型、……}。每个数据包的特征值序列中包含的特征值种类和顺序均相同,而若任一数据包的数据信息中不存在某一特征值,则可将该特征值记为预设的默认值或者直接置0。
通过对特征值序列的比对,就可以得到所有数据包间的相似度。而将任一数据包与所在数据集中其它数据包的相似度进行统计,可以得到该数据包的内部关联度。
同时将所述主体与对应的所有相对主体的拓扑关系进行统计,得到所述主体的外部关联度。具体可以通过将所有的拓扑关系进行统计平均或者进行相互的比对,在此不作具体限定。
根据所述主体的数据集内所有数据包的内部关联度和所述主体的外部关联可以进一步得到所述主体的主体关联度。具体可以根据实际的需要设定主体关联度的计算方式或者查询方式。
进一步地,所述主体关联度具体由下式得到:
主体i的主体关联度
其中,所述ria为主体i的数据集Si中数据包sia的内部关联度,所述ri为所述主体i的外部关联度。
上述主体关联度计算公式仅是一种举例说明。
根据得到数据集Si中的每个数据包sia的内容关联度ria和所述主体i的外部关联度ri,得到了每个数据包的包关联度Ria:
再将所述数据集Si中所有数据包的包关联度求和,就可以得到所述主体i的主体关联度Ri。
进一步地,所述数据包的内部关联度具体由下式得到:
所述数据包sia的内部关联度
其中,所述Ni为所述主体i的数据集Si内包含的数据包总数,所述xiam和xibm分别为所述数据包sia和sib中特征值序列的第m个特征值,每个数据包的特征值序列均包含M个特征值。
上述内部关联度的计算公式仅是一种举例说明。
其中,每个数据包sia中的特征值序列共包含M个特征值,例如,{xia1,xia2,…,xiaM}。则通过将所述数据包sia和所在数据集Si中的其它任一数据包sib的每个特征值的差值相加,就可以得到两个数据包间的相似度:
数据包sia和sib的
将与所述数据包sia相关的相似度进行加权平均就可以得到所述数据包sia的内部关联度ria。
本发明实施例通过在预设时间段采集网络中所有数据包,并根据主体的不同统计得到每个主体的数据集,然后通过对根据每个数据集中所有数据包的相似度得到的数据包的内部关联度,和根据每个主体的拓扑关系得到的所述主体的外部关联度,得到每个主体的主体关联度,再根据所有数据包的统计特征,得到所述网络的稳定值和风险值,代入预设的网络安全态势公式,得到了所述网络的网络态势值,从而能够准确得分析出所述网络当前的安全性。
基于上述实施例,进一步地,所述根据所述主体与相对主体的网络拓扑关系得到所述主体的外部关联度,具体为:
根据所述主体为数据包的发送端和接收端,将对应的数据集分为接收数据集和发送数据集;
根据所述主体与相对主体的网络拓扑关系,分别基于接收数据集和发送数据集得到所述主体的接收外部关联度和发送外部关联度;
将所述接收外部关联度和发送外部关联度进行加权求和,得到所述主体的外部关联度。
为了能够更加准备得分析出所述网络的安全态势,在计算所述主体的外部关联度的过程中,根据每个数据包对所述主体的收发关系,可以先将所述主体的数据集分为接收数据集和发送数据集。其中,所述接收数据集中的所有数据包的接收端为所述主体,而所述发送数据集中的所有数据包的发送端为所述主体。
在所述接收数据集和发送数据集的范围内,采用上述实施例中得到外部关联度的方法,分别计算所述主体的接收外部关联度和发送外部关联度。
再将得到的接收外部关联度和发送外部关联度根据实际的需要进行加权求和,从而得到所述主体的外部关联度。
进一步地,所述数据包的外部关联度具体由下式得到:
所述主体i的外部关联度
其中,所述Ci和Ct分别为所述主体i和相对主体t根据各自的拓扑结构得到的尺度因子,所述Ni1和Ni2分别为与所述主体i对应的接收数据集Si1和发送数据集Si2的数据包总数,所述Wi1和Wi2分别为对应的接收外部关联度和发送外部关联度的预设关联系数。
根据每个主体i的拓扑结构得到所述主体的尺度因子Ci,所述尺度因子Ci为主体i在网络中入度与出度的比值。其中,所述入度和出度分别为,与主体i相连的其它主体中,可以向主体i发送数据包的其它主体的数量和可以接收主体i发送的数据包的其它主体的数量。
在接收数据集Si1和发送数据集Si2内,分别统计出所有的相关主体t。然后分别计算接收外部关联度:
和发送外部关联度:
然后再根据实际的需要,分别设定对应的关联系数Wi1和Wi2。所述关联系数可以根据接收数据集和发送数据集中数据包数量的比例或者接收数据集和发送数据集在实际的应用过程中的重要程度得到,且可以设定Wi1+Wi2=1。
通过对所述接收外部关联度和发送外部关联度的加权求和,可以得到所述主体i的外部关联度ri。
当然,在实际的应用过程中也可以仅以接收外部关联度或者发送外部关联度作为所述主体的外部关联度。也可以在具体的计算过程中并不区分所述接收数据集和发送数据集,而直接基于所述主体的数据集来计算所述主体的外部关联度。
本发明实施例通过在预设时间段采集网络中所有数据包,并根据主体的不同统计得到每个主体的数据集,然后通过对每个数据集中所有数据包的相似度和每个主体的拓扑关系的分析,得到每个数据包的内部关联度和每个主体的外部关联度,进而计算每个主体的主体关联度,再根据所有数据包的统计特征,得到所述网络的稳定值和风险值,代入预设的网络安全态势公式,得到了所述网络的网络态势值,从而能够准确得分析出所述网络当前的安全性。
基于上述实施例,进一步地,所述统计特征至少包括流量统计信息、丢包率和各个数据类型的占比;相应地,所述根据每个主体的主体关联度和所有数据包的统计特征,得到所述网络的稳定值和风险值,具体为:
根据所述主体的主体关联度和所述流量统计信息,得到所述网络的稳定值;
根据所述主体的主体关联度和所述网络的丢包率和各个数据类型的占比,得到所述网络的风险值。
在对所有的数据包进行统计后得到统计特征可以有很多,为了简便起见,可以根据实际的需要提取中其中的部分统计特征应用到本发明实施例的网络安全态势的检测方法中,具体可以包括有流量统计信息、丢包率和各个数据类型占比。
根据上述实施例中得到的每个主体的主体关联度和所述网络中的流量统计信息,例如,数据包包长,吞吐量等。可以得到所述网络的稳定值。
再将所述主体的主体关联度与所述网络中的丢包率和各个数据类型的占比,就可以得到所述网络的风险值。其中,所述数据类型有很多,例如:确认字符(Acknowledgement,ACK)包、同步序列编号(Synchronize Sequence Numbers,SYN)包、网络控制报文协议(Internet Control Message Protocol,ICMP)包、重传命令包、请求发送(Request ToSend/Clear To Send,RTS)包等。
进一步地,所述数据流量统计信息至少包括:所述主体i的数据集中所有数据包的平均包长
和所述网络中所有数据包的平均包长
所述各个数据类型的占比至少包括:ACK包的占比PACK、SYN包的占比PSYN和ICMP包的占比PICMP;相应地,所述网络的稳定值和风险值具体由下式得到:
稳定值
风险值
其中,所述Ri为所述主体i的主体关联度,所述V为所述网络的丢包率,所述αACK、αSYN、αICMP分别为对应的ACK包、SYN包和ICMP包的预设占比系数。
上述计算稳定值和风险值的公式仅是一种举例说明。
在计算稳定性时,仅考虑了所述数据包包长,分别统计了每个数据集中的数据包的平均包长
和所有采集到的数据包的平均包长
并分别计算了两者的差值,再乘以对应主体i的主体关联度Ri,通过加权求和得到所述网络的稳定值T1。
同时,在计算风险性时,仅考虑了所述网络的丢包率V,以及ACK包、SYN包和ICMP包的占比,再根据预设的占比系数αACK、αSYN、αICMP,根据预设的公式就可以得到所述网络的风险性。其中所述占比系数的总和默认为1。
在得到所述稳定值和风险值后,就可以进一步计算所述网络的安全态势值。
本发明实施例通过在预设时间段采集网络中所有数据包,并根据主体的不同统计得到每个主体的数据集,然后通过对每个数据集中所有数据包的相似度和每个主体的拓扑关系的分析,得到每个主体的主体关联度,再根据所有数据包的统计特征,所述统计特征具体为流量统计信息、丢包率和各个数据类型的占比,得到所述网络的稳定值和风险值,代入预设的网络安全态势公式,得到了所述网络的网络态势值,从而能够准确得分析出所述网络当前的安全性。
图3为本发明实施例的用于网络安全态势检测的装置结构示意图,如图3所示,所述装置至少包括:采集模块10、统计模块11、关联模块12、计算模块13和网络态势模块14,其中:
所述采集模块10,用于在预设的时间段内获取网络中所有数据包,所述数据包至少包括发送端和接收端;所述统计模块11,用于分别统计与每个主体相关的数据包以组成所述主体的数据集;其中,所述数据集中每个数据包的发送端或接收端为所述主体;所述关联模块12,用于根据所述数据集中各个数据包间的相似度,以及所述主体与所有相对主体的拓扑关系,得到所述主体的主体关联度;其中,所述主体和相对主体为至少一个数据包的发送端和接收端;所述计算模块13,用于根据每个主体的主体关联度和所有数据包的统计特征,得到所述网络的稳定值和风险值;所述网络态势模块14,用于根据所述稳定值和风险值,采用预设的网络安全态势公式,得到所述网络在所述时间段内的网络态势值。具体地:
所述采集模块10定期在预设的时间段内从网络上收集所有的数据包,其中,每个数据包至少包括发送端和接收端、以及该数据包的其它数据信息。
所述统计模块11根据每个数据包的发送端和接收端,从由所述采集模块10获取的所有数据包中分别统计接收端或者发送端为同一主体的数据包,以组成所述主体的数据集,并将所有的数据集发送给所述关联模块12。相当于,将发送给该主体的数据包和由该主体发送的数据包组合为该主体的数据集。
所述关联模块12在所述数据集中,通过对各个数据包的数据信息的相互比对,可以得到任意两个数据包间的相似度。具体可以通过各个数据信息的差值、比值或者方差等方式来计算得到,也可以通过相似度表格等方式来查表获取。
同时,所述关联模块12根据预先获取的所述网络的网络拓扑关系可以得到以所述网络中各个主体为参考点的拓扑关系,具体可以根据与该主体连接的其它主体的数量、类型、以及每个主体当前的运行状态等得到。
另外,根据所述数据集中所有数据包的发送端和接收端,所述关联模块12统计得到所有的相对主体,所述相对主体为在当前采集的时间段内向所述主体发送数据包的发送端或者所述由主体发送数据包的接收端。
所述关联模块12根据所述数据集中所有数据包间的相似度,以及与该数据集对应的主体和所有相关主体的拓扑关系,可以得到所述主体的主体关联度,并发送给所述计算模块13。
所述计算模块13根据网络中所有数据包的数据信息,得到当前时间段内的网络的统计特征,以及各个数据集中的统计特征。
所述计算模块13将上述统计特征与所述网络中每个主体的主体关联度相结合,得到所述网络的稳定值和风险值。所述计算模块13将得到的稳定值和风险值发送所述网络态势模块14。
所述网络态势模块14根据实际的需要预先建立网络安全态势公式,将得到的所述网络的稳定值和风险值代入所述网络安全态势公式中,就可以得到所述网络的网络态势值。所述网络安全态势公式可以是对所述稳定值和风险值的加权平均,也可以是通过相互的比值得到,在此不作具体的限定。
进一步地,所述网络安全态势公式具体为:
所述网络的安全态势值
其中,所述σ1和σ2分别为所述网络的稳定值T1和网络的风险值T2的预设稳定系数和风险系数。
将通过上述实施例中得到的稳定值T1和网络的风险值T2分别代入上述安全态势公式中,并且根据实际应用的需要分别设定了相应的稳定系数σ1和风险系数σ2,从而得到了所述网络在当前时间段内的网络安全态势值,以体现所述网络当前的安全性。
本发明实施例提供的装置用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过采集模块10在预设时间段采集网络中所有数据包,由所述统计模块11根据主体的不同统计得到每个主体的数据集,然后所述关联模块12通过对每个数据集中所有数据包的相似度和每个主体的拓扑关系的分析,得到每个主体的主体关联度,再由所述计算模块13根据所有数据包的统计特征,得到所述网络的稳定值和风险值,由所述网络态势模块14代入预设的网络安全态势公式,得到了所述网络的网络态势值,从而能够准确得分析出所述网络当前的安全性。
图4示例了一种电子设备的实体结构示意图,如图4所示,该服务器可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行如下方法:在预设的时间段内获取网络中所有数据包,所述数据包至少包括发送端和接收端;分别统计与每个主体相关的数据包以组成所述主体的数据集;其中,所述数据集中每个数据包的发送端或接收端为所述主体;根据所述数据集中各个数据包间的相似度,以及所述主体与所有相对主体的拓扑关系,得到所述主体的主体关联度;其中,所述主体和相对主体为至少一个数据包的发送端和接收端;根据每个主体的主体关联度和所有数据包的统计特征,得到所述网络的稳定值和风险值;根据所述稳定值和风险值,采用预设的网络安全态势公式,得到所述网络在所述时间段内的网络态势值。
进一步地,本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:在预设的时间段内获取网络中所有数据包,所述数据包至少包括发送端和接收端;分别统计与每个主体相关的数据包以组成所述主体的数据集;其中,所述数据集中每个数据包的发送端或接收端为所述主体;根据所述数据集中各个数据包间的相似度,以及所述主体与所有相对主体的拓扑关系,得到所述主体的主体关联度;其中,所述主体和相对主体为至少一个数据包的发送端和接收端;根据每个主体的主体关联度和所有数据包的统计特征,得到所述网络的稳定值和风险值;根据所述稳定值和风险值,采用预设的网络安全态势公式,得到所述网络在所述时间段内的网络态势值。
进一步地,本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:在预设的时间段内获取网络中所有数据包,所述数据包至少包括发送端和接收端;分别统计与每个主体相关的数据包以组成所述主体的数据集;其中,所述数据集中每个数据包的发送端或接收端为所述主体;根据所述数据集中各个数据包间的相似度,以及所述主体与所有相对主体的拓扑关系,得到所述主体的主体关联度;其中,所述主体和相对主体为至少一个数据包的发送端和接收端;根据每个主体的主体关联度和所有数据包的统计特征,得到所述网络的稳定值和风险值;根据所述稳定值和风险值,采用预设的网络安全态势公式,得到所述网络在所述时间段内的网络态势值。
本领域普通技术人员可以理解:此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的电子设备等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种网络安全态势检测方法,其特征在于,包括:
在预设的时间段内获取网络中所有数据包,所述数据包至少包括发送端和接收端;
分别统计与每个主体相关的数据包以组成所述主体的数据集;其中,所述数据集中每个数据包的发送端或接收端为所述主体;
根据所述数据集中各个数据包间的相似度,以及所述主体与所有相对主体的拓扑关系,得到所述主体的主体关联度;其中,所述主体和相对主体为至少一个数据包的发送端和接收端;
根据每个主体的主体关联度和所有数据包的统计特征,得到所述网络的稳定值和风险值;
根据所述稳定值和风险值,采用预设的网络安全态势公式,得到所述网络在所述时间段内的网络态势值;其中,所述网络安全态势公式具体为:
所述网络的安全态势值
其中,所述σ1和σ2分别为所述网络的稳定值T1和网络的风险值T2的预设稳定系数和风险系数。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述安全态势值超过了预设的安全态势阈值范围,则所述网络存在安全风险。
3.根据权利要求1或2所述的方法,其特征在于,所述数据包还包括预设长度的特征值序列;相应地,所述根据所述数据集中各个数据包的相似度,以及所述主体与所有相对主体的拓扑关系,得到所述主体的主体关联度;其中,所述主体和相对主体为至少一个数据包的发送端和接收端,具体为:
根据所述数据包与所在数据集中其它数据包间的特征值序列的差得到所述数据包的内部关联度;
同时,根据所述主体与相对主体的拓扑关系得到所述主体的外部关联度;
根据所述主体的数据集内所有数据包的内部关联度和所述主体的外部关联度,得到所述主体的主体关联度;其中,所述主体关联度具体由下式得到:
主体i的主体关联度
其中,所述ria为主体i的数据集Si中数据包sia的内部关联度,所述ri为所述主体i的外部关联度。
4.根据权利要求3所述的方法,其特征在于,所述数据包的内部关联度具体由下式得到:
所述数据包sia的内部关联度
其中,所述Ni为所述主体i的数据集Si内包含的数据包总数,所述xiam和xibm分别为所述数据包sia和sib中特征值序列的第m个特征值,每个数据包的特征值序列均包含M个特征值。
5.根据权利要求3所述的方法,其特征在于,所述根据所述主体与相对主体的网络拓扑关系得到所述主体的外部关联度,具体为:
根据所述主体为数据包的发送端和接收端,将对应的数据集分为接收数据集和发送数据集;
根据所述主体与相对主体的网络拓扑关系,分别基于接收数据集和发送数据集得到所述主体的接收外部关联度和发送外部关联度;
将所述接收外部关联度和发送外部关联度进行加权求和,得到所述主体的外部关联度。
6.根据权利要求5所述的方法,其特征在于,所述数据包的外部关联度具体由下式得到:
所述主体i的外部关联度
其中,所述Ci和Ct分别为所述主体i和相对主体t根据各自的拓扑结构得到的尺度因子,所述Ni1和Ni2分别为与所述主体i对应的接收数据集Si1和发送数据集Si2的数据包总数,所述Wi1和Wi2分别为对应的接收外部关联度和发送外部关联度的预设关联系数。
7.根据权利要求1或2所述的方法,其特征在于,所述统计特征至少包括流量统计信息、丢包率和各个数据类型的占比;相应地,所述根据每个主体的主体关联度和所有数据包的统计特征,得到所述网络的稳定值和风险值,具体为:
根据所述主体的主体关联度和所述流量统计信息,得到所述网络的稳定值;
根据所述主体的主体关联度和所述网络的丢包率和各个数据类型的占比,得到所述网络的风险值。
8.根据权利要求7所述方法,其特征在于,所述数据流量统计信息至少包括:所述主体i的数据集中所有数据包的平均包长
和所述网络中所有数据包的平均包长
所述各个数据类型的占比至少包括:ACK包的占比PACK、SYN包的占比PSYN和ICMP包的占比PICMP;相应地,所述网络的稳定值和风险值具体由下式得到:
稳定值
风险值
其中,所述Ri为所述主体i的主体关联度,所述V为所述网络的丢包率,所述αACK、αSYN、αICMP分别为对应的ACK包、SYN包和ICMP包的预设占比系数。
9.一种电子设备,其特征在于,包括存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至8任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至8任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811569566.0A CN111343135B (zh) | 2018-12-19 | 2018-12-19 | 一种网络安全态势检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811569566.0A CN111343135B (zh) | 2018-12-19 | 2018-12-19 | 一种网络安全态势检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111343135A true CN111343135A (zh) | 2020-06-26 |
| CN111343135B CN111343135B (zh) | 2022-05-13 |
Family
ID=71183264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811569566.0A Active CN111343135B (zh) | 2018-12-19 | 2018-12-19 | 一种网络安全态势检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111343135B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112311858A (zh) * | 2020-10-14 | 2021-02-02 | 中国航天系统工程有限公司 | 一种基于物联网拓扑的网络态感知显示系统及方法 |
| CN113313216A (zh) * | 2021-07-30 | 2021-08-27 | 深圳市永达电子信息股份有限公司 | 网络数据的主体抽取方法、装置、电子设备及存储介质 |
| CN114584469A (zh) * | 2020-11-17 | 2022-06-03 | 中国移动通信集团山东有限公司 | 网络安全确定方法、电子设备和存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6883101B1 (en) * | 2000-02-08 | 2005-04-19 | Harris Corporation | System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules |
| CN102340485A (zh) * | 2010-07-19 | 2012-02-01 | 中国科学院计算技术研究所 | 基于信息关联的网络安全态势感知系统及其方法 |
| US20130086376A1 (en) * | 2011-09-29 | 2013-04-04 | Stephen Ricky Haynes | Secure integrated cyberspace security and situational awareness system |
| US20160248659A1 (en) * | 2015-02-25 | 2016-08-25 | Futurewei Technologies, Inc. | Intermediate-System-to-Intermediate-System Topology-Transparent-Zone |
| WO2017152742A1 (zh) * | 2016-03-08 | 2017-09-14 | 中兴通讯股份有限公司 | 一种网络安全设备的风险评估方法和装置 |
| CN107404400A (zh) * | 2017-07-20 | 2017-11-28 | 中国电子科技集团公司第二十九研究所 | 一种网络态势感知实现方法及装置 |
| CN108092941A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信有限公司研究院 | 一种网络安全防护方法、装置及系统 |
| CN108667834A (zh) * | 2018-04-28 | 2018-10-16 | 广东电网有限责任公司 | 基于人工免疫和灰色关联度分析的网络安全态势感知方法 |
-
2018
- 2018-12-19 CN CN201811569566.0A patent/CN111343135B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6883101B1 (en) * | 2000-02-08 | 2005-04-19 | Harris Corporation | System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules |
| CN102340485A (zh) * | 2010-07-19 | 2012-02-01 | 中国科学院计算技术研究所 | 基于信息关联的网络安全态势感知系统及其方法 |
| US20130086376A1 (en) * | 2011-09-29 | 2013-04-04 | Stephen Ricky Haynes | Secure integrated cyberspace security and situational awareness system |
| US20160248659A1 (en) * | 2015-02-25 | 2016-08-25 | Futurewei Technologies, Inc. | Intermediate-System-to-Intermediate-System Topology-Transparent-Zone |
| WO2017152742A1 (zh) * | 2016-03-08 | 2017-09-14 | 中兴通讯股份有限公司 | 一种网络安全设备的风险评估方法和装置 |
| CN108092941A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信有限公司研究院 | 一种网络安全防护方法、装置及系统 |
| CN107404400A (zh) * | 2017-07-20 | 2017-11-28 | 中国电子科技集团公司第二十九研究所 | 一种网络态势感知实现方法及装置 |
| CN108667834A (zh) * | 2018-04-28 | 2018-10-16 | 广东电网有限责任公司 | 基于人工免疫和灰色关联度分析的网络安全态势感知方法 |
Non-Patent Citations (1)
| Title |
|---|
| 唐赞玉: "多阶段大规模网络攻击下的网络安全态势评估方法研究", 《计算机科学》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112311858A (zh) * | 2020-10-14 | 2021-02-02 | 中国航天系统工程有限公司 | 一种基于物联网拓扑的网络态感知显示系统及方法 |
| CN112311858B (zh) * | 2020-10-14 | 2024-03-26 | 中国航天系统工程有限公司 | 一种基于物联网拓扑的网络态感知显示系统及方法 |
| CN114584469A (zh) * | 2020-11-17 | 2022-06-03 | 中国移动通信集团山东有限公司 | 网络安全确定方法、电子设备和存储介质 |
| CN113313216A (zh) * | 2021-07-30 | 2021-08-27 | 深圳市永达电子信息股份有限公司 | 网络数据的主体抽取方法、装置、电子设备及存储介质 |
| CN113313216B (zh) * | 2021-07-30 | 2021-11-30 | 深圳市永达电子信息股份有限公司 | 网络数据的主体抽取方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111343135B (zh) | 2022-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9565203B2 (en) | Systems and methods for detection of anomalous network behavior | |
| Strayer et al. | Botnet detection based on network behavior | |
| CN111343135B (zh) | 一种网络安全态势检测方法 | |
| US8726382B2 (en) | Methods and systems for automated detection and tracking of network attacks | |
| CN103379099B (zh) | 恶意攻击识别方法及系统 | |
| US8489755B2 (en) | Technique of detecting denial of service attacks | |
| US20140325647A1 (en) | Methods and systems for internet protocol (ip) packet header collection and storage | |
| US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
| CN111052704A (zh) | 网络分析工作流程加速 | |
| CN106471778B (zh) | 攻击检测装置和攻击检测方法 | |
| CN110855717B (zh) | 一种物联网设备防护方法、装置和系统 | |
| CN109617868B (zh) | 一种ddos攻击的检测方法、装置及检测服务器 | |
| US9251367B2 (en) | Device, method and program for preventing information leakage | |
| RU133954U1 (ru) | Устройство защиты сети | |
| CN110417747B (zh) | 一种暴力破解行为的检测方法及装置 | |
| WO2017020712A1 (zh) | 量化防御结果的方法、装置及系统 | |
| CN110266726B (zh) | 一种识别ddos攻击数据流的方法及装置 | |
| CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
| CN113518057B (zh) | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 | |
| CN107306200B (zh) | 网络故障预警方法和用于网络故障预警的网关 | |
| CN115426284A (zh) | 一种网络质量探测方法、装置、终端设备以及存储介质 | |
| CN108322354B (zh) | 一种偷跑流量账户识别方法及装置 | |
| CN111526109A (zh) | 自动检测web威胁识别防御系统的运行状态的方法及装置 | |
| CN111917682B (zh) | 访问行为识别方法、性能检测方法、装置、设备和系统 | |
| JP2009182573A (ja) | 監視分析装置、方法、及び、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |