CN111447168B - 一种多维的网络安全预测方法 - Google Patents
一种多维的网络安全预测方法 Download PDFInfo
- Publication number
- CN111447168B CN111447168B CN201910039309.4A CN201910039309A CN111447168B CN 111447168 B CN111447168 B CN 111447168B CN 201910039309 A CN201910039309 A CN 201910039309A CN 111447168 B CN111447168 B CN 111447168B
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- abnormal
- security
- matching error
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 230000002159 abnormal effect Effects 0.000 claims abstract description 35
- 238000007781 pre-processing Methods 0.000 claims abstract description 4
- 230000001681 protective effect Effects 0.000 claims abstract description 4
- 238000001914 filtration Methods 0.000 claims description 6
- 230000006399 behavior Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 4
- 230000006855 networking Effects 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000031068 symbiosis, encompassing mutualism through parasitism Effects 0.000 description 1
- 238000012731 temporal analysis Methods 0.000 description 1
- 238000000700 time series analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种多维的网络安全预测方法。该方法包括:步骤1、从真实的网络环境中采集网络设备和防护设备的系统配置信息和运行日志信息中作为粗糙数据集;步骤2、对粗糙数据集进行预处理,得到多维安全元素特征;步骤3、对多维安全元素特征按照攻击入口、攻击点和攻击目的进行分类,得到若干标准攻击模式;步骤4、实时采集当前时刻之前预设时间段内的网络运行数据,若发现当前网络存在异常,则按照步骤2至步骤3得到当前网络的实际攻击模式,并将实际攻击模式与若干所述标准攻击模式进行匹配,计算匹配误差;步骤5、根据匹配误差,执行不同等级的安全策略。本发明能够准确预估网络运行状态,降低网络攻击行为的漏报率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种多维的网络安全预测方法。
背景技术
随着互联网规模和网络技术的不断发展,互联网应用的领域越来越广泛,网络化已成为信息化发展的大趋势。现代信息技术正在朝着网络化、智能化和普适化的方向迈进,人类社会、信息世界和物理世界正在实现全面连通并相互融合,一种全新的人机物和谐共生的发展模式正在孕育之中。信息网络不但是人们享受丰富的信息网络服务的平台,也成为国家政治、经济、军事、外交活动所依赖的重要信息基础设施,已经成为当今信息社会的基石。人类在享受其带来的方便和便捷的同时,信息网络及其采集、处理、传输、存贮的信息也面临着各种安全威胁和风险。然而,当前网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备,由于彼此间缺乏有效的协作,使得各类安全产品的效能无法得到充分发挥。网络系统的安全问题没有从根本上得以解决,且已成为影响互联网及各类应用发展的主要问题。
在此背景下,网络安全态势感知技术应运而生并迅速成为网络安全领域的一个研究热点。网络安全态势感知技术更加关注对网络系统作为一个整体运行的安全状况及未来趋势的把握,能够实时感知目前网络所面临的威胁,并为及时、准确的决策提供可靠依据,使由于网络不安全带来的风险和损失降低到最低限度。自从网络态势感知技术提出以后,研究人员已经提出了很多网络安全态势预测方法,如基于D-S证据理论的方法、时间序列分析的方法、基于博弈论的方法等。例如,中国专利CN201810223149.4公开了一种基于攻击发生置信度的网络安全态势评估方法及系统,该专利基于D-S证据理论计算置信度,从而得到网络安全态势。这些方法在一定程度上解决了网络安全态势的预测问题,然而仍然存在以下问题:缺乏对安全要素相互之间影响关系的发掘分析,而节点的安全态势即受自身安全态势要素的影响,又受其周围节点安全态势要素的影响。
发明内容
为解决现有技术中存在的上述问题,本发明提供一种多维的网络安全预测方法,充分挖掘多维安全元素之间的关系,建立若干标准攻击模式,准确预估网络运行状态,降低网络攻击行为的漏报率。
本发明提供的一种多维的网络安全预测方法,主要包括以下步骤:
步骤1、从真实的网络环境中采集网络设备和防护设备的系统配置信息和运行日志信息中作为粗糙数据集;
步骤2、对所述粗糙数据集进行预处理,得到多维安全元素特征,所述多维安全元素特征包括:异常流量、异常域名、异常报文和恶意代码;
步骤3、对所述多维安全元素特征按照攻击入口、攻击点和攻击目的进行分类,得到由攻击入口、攻击点和攻击目的三要素组成的若干标准攻击模式;
步骤4、实时采集当前时刻之前预设时间段内的网络运行数据,若发现当前网络存在异常,则按照步骤2至步骤3得到当前网络的实际攻击模式,并将所述实际攻击模式与若干所述标准攻击模式进行匹配,计算匹配误差;
步骤5、根据所述匹配误差,执行不同等级的安全策略。
进一步地,所述步骤3中,在一个攻击模式中,设置攻击入口、攻击点和攻击目的的权重分别为:ω1=0.4,ω1=0.4和ω1=0.2。
进一步地,所述步骤4中,按照下式计算匹配误差δ:
其中,yt为当前网络的实际攻击模式,yi为第i个标准攻击模式,n为攻击模式个数。
进一步地,所述步骤5具体为:
当所述匹配误差小于第一预设值,执行高等级安全策略;
当所述匹配误差大于等于第一预设值且小于第二预设值,执行中等级安全策略;
当所述匹配误差大于等于第二预设值,执行低等级安全策略。
进一步地,所述低等级安全策略是指对异常流量或异常报文进行浅度包过滤和深度包过滤;
所述中等级安全策略是指将异常流量或异常报文替换为对应的模板包;
所述高等级安全策略是指丢弃异常流量或异常报文,屏蔽异常域名或删除恶意代码。
本发明的有益效果:
本发明提供的一种多维的网络安全预测方法,首先提取真实网络环境中不不同类型网络攻击行为的多维安全元素特征,充分挖掘多维安全元素之间的关系,建立若干标准攻击模式;然后识别当前网络的实际攻击模式,计算二者的匹配误差,准确预估网络运行状态,从而根据匹配误差执行不同等级的安全策略,同时通过建立的若干标准攻击模式,能够识别多数的网络攻击行为,降低了网络攻击行为的漏报率。
附图说明
图1为本发明实施例提供的一种多维的网络安全预测方法的流程示意图;
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供的一种多维的网络安全预测方法包括以下步骤:
S101、从真实的网络环境中采集网络设备和防护设备的系统配置信息和运行日志信息中作为粗糙数据集;
S102、对所述粗糙数据集进行预处理,得到多维安全元素特征,所述多维安全元素特征包括:异常流量、异常域名、异常报文和恶意代码;
S103、对所述多维安全元素特征按照攻击入口、攻击点和攻击目的进行分类,得到由攻击入口、攻击点和攻击目的三要素组成的若干标准攻击模式;
具体地,在实际应用中,攻击入口主要包括:用户接口、网络管理接口、TCP/IP接口和设备接口;攻击点主要包括:中心处理器、存储设备、外围设备、网络、文件和应用进程;攻击目的主要包括:获取信息、篡改数据、利用服务、拒绝服务和增加服务。例如,一个标准攻击模式为将用户接口作为攻击入口,攻击用户的网络达到拒绝服务的攻击目的。
作为一个可实施方式,可以预先设置攻击入口、攻击点和攻击目的的权重分别为:ω1=0.4,ω1=0.4和ω1=0.2。如此,可以将攻击模式进行量化,从而方便衡量不同攻击模式对用户系统或用户数据带来的破坏程度,以便根据不同的攻击模式执行不同的安全策略。
S104、实时采集当前时刻之前预设时间段内的网络运行数据,若发现当前网络存在异常,则按照步骤2至步骤3得到当前网络的实际攻击模式,并将所述实际攻击模式与若干所述标准攻击模式进行匹配,计算匹配误差;
具体地,采集当前网络运行数据,利用现有的基于异常检测的网络检测技术初步判断当前网络运行状态是否正常,若发现当前网络异常,则对当前网络运行数据进行提取多维安全元素特征,然后对多维安全元素特征进行分类,得到当前网络的实际攻击模式,最后将实际攻击模式与若干标准攻击模式逐一进行匹配,计算二者之间的匹配误差。
考虑到若干个匹配误差有正有负,直接相加会互相抵消,如此就无法反映实际攻击模式与各标准攻击模式之间的贴近程度,作为一个可实施方式,可按照下式计算匹配误差δ:
其中,yt为当前网络的实际攻击模式,yi为第i个标准攻击模式,n为攻击模式个数。
S105、根据所述匹配误差,执行不同等级的安全策略。
具体地,当所述匹配误差小于第一预设值,执行高等级安全策略;当所述匹配误差大于等于第一预设值且小于第二预设值,执行中等级安全策略;当所述匹配误差大于等于第二预设值,执行低等级安全策略。
其中,所述低等级安全策略是指对异常流量或异常报文进行浅度包过滤和深度包过滤;所述中等级安全策略是指将异常流量或异常报文替换为对应的模板包;所述高等级安全策略是指丢弃异常流量或异常报文,屏蔽异常域名或删除恶意代码。
需要说明的是,所述第一预设值和所述第二预设值需根据不同的安全场景进行设置。例如,若应用场景对网络安全要求较高,可将第一预设值设置大些,这样一旦实际攻击模式与标准攻击模式稍有相似,则执行高等级安全策略。
本发明提供的一种多维的网络安全预测方法,首先提取真实网络环境中不不同类型网络攻击行为的多维安全元素特征,充分挖掘多维安全元素之间的关系,建立若干标准攻击模式;然后识别当前网络的实际攻击模式,计算二者的匹配误差,准确预估网络运行状态,从而根据匹配误差执行不同等级的安全策略,同时通过建立的若干标准攻击模式,能够识别多数的网络攻击行为,降低了网络攻击行为的漏报率。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (3)
1.一种多维的网络安全预测方法,其特征在于,包括:
步骤1、从真实的网络环境中采集网络设备和防护设备的系统配置信息和运行日志信息中作为粗糙数据集;
步骤2、对所述粗糙数据集进行预处理,得到多维安全元素特征,所述多维安全元素特征包括:异常流量、异常域名、异常报文和恶意代码;
步骤3、对所述多维安全元素特征按照攻击入口、攻击点和攻击目的进行分类,得到由攻击入口、攻击点和攻击目的三要素组成的若干标准攻击模式;
步骤4、实时采集当前时刻之前预设时间段内的网络运行数据,若发现当前网络存在异常,则按照步骤2至步骤3得到当前网络的实际攻击模式,并将所述实际攻击模式与若干所述标准攻击模式进行匹配,计算匹配误差;
所述步骤4中,按照下式计算匹配误差δ:
其中,yt为当前网络的实际攻击模式,yi为第i个标准攻击模式,n为攻击模式个数;
步骤5、根据所述匹配误差,执行不同等级的安全策略,具体为:
当所述匹配误差小于第一预设值,执行高等级安全策略;
当所述匹配误差大于等于第一预设值且小于第二预设值,执行中等级安全策略;
当所述匹配误差大于等于第二预设值,执行低等级安全策略。
2.根据权利要求1所述的方法,其特征在于,所述步骤3中,在一个攻击模式中,设置攻击入口、攻击点和攻击目的的权重分别为:ω1=0.4,ω1=0.4和ω1=0.2。
3.根据权利要求1所述的方法,其特征在于,所述低等级安全策略是指对异常流量或异常报文进行浅度包过滤和深度包过滤;
所述中等级安全策略是指将异常流量或异常报文替换为对应的模板包;
所述高等级安全策略是指丢弃异常流量或异常报文,屏蔽异常域名或删除恶意代码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910039309.4A CN111447168B (zh) | 2019-01-16 | 2019-01-16 | 一种多维的网络安全预测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910039309.4A CN111447168B (zh) | 2019-01-16 | 2019-01-16 | 一种多维的网络安全预测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111447168A CN111447168A (zh) | 2020-07-24 |
| CN111447168B true CN111447168B (zh) | 2022-05-24 |
Family
ID=71652397
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910039309.4A Active CN111447168B (zh) | 2019-01-16 | 2019-01-16 | 一种多维的网络安全预测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111447168B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115150195B (zh) * | 2022-09-01 | 2022-12-20 | 珠海市鸿瑞信息技术股份有限公司 | 基于网络安全态势感知系统的实时动态预警系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105488393A (zh) * | 2014-12-27 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于数据库蜜罐的攻击行为意图分类方法及系统 |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100798923B1 (ko) * | 2006-09-29 | 2008-01-29 | 한국전자통신연구원 | 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체 |
| US8504504B2 (en) * | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
| US10601845B2 (en) * | 2016-09-06 | 2020-03-24 | Radware, Ltd. | System and method for predictive attack sequence detection |
-
2019
- 2019-01-16 CN CN201910039309.4A patent/CN111447168B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105488393A (zh) * | 2014-12-27 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于数据库蜜罐的攻击行为意图分类方法及系统 |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111447168A (zh) | 2020-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102271068B (zh) | 一种dos/ddos攻击检测方法 | |
| CN109698819B (zh) | 一种网络中的威胁处置管理方法及系统 | |
| RU2477929C2 (ru) | Система и способ предотвращения инцидентов безопасности на основании рейтингов опасности пользователей | |
| CN111404914A (zh) | 一种特定攻击场景下泛在电力物联网终端安全防护方法 | |
| CN101778112A (zh) | 一种网络攻击检测方法 | |
| KR100615080B1 (ko) | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 | |
| CN112491860A (zh) | 一种面向工业控制网络的协同入侵检测方法 | |
| CN112261042B (zh) | 一种基于攻击危害评估的防渗透系统 | |
| CN112383525A (zh) | 一种评价水平和准确性高的工业互联网安全态势评价方法 | |
| CN111447168B (zh) | 一种多维的网络安全预测方法 | |
| Chakir et al. | An efficient method for evaluating alerts of Intrusion Detection Systems | |
| CN108510162B (zh) | 一种有源配电网安全效能评估方法 | |
| CN113037776A (zh) | 一种电力系统信息资产安全监控方法 | |
| CN116170197A (zh) | 一种用户行为数据的风险控制方法及装置 | |
| KR102444922B1 (ko) | 스마트그리드에서 보안상황 인식을 위한 지능형 접근제어 장치 | |
| CN109981656A (zh) | 一种基于cdn节点日志的cc防护方法 | |
| CN111107035B (zh) | 基于行为辨识的安全态势感知与防护方法及装置 | |
| Kadam et al. | Various approaches for intrusion detection system: an overview | |
| KR20210141198A (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 | |
| CN111835705A (zh) | 一种资产异常访问的检测方法 | |
| CN117579388B (zh) | 智能网联工控系统风险评估方法、系统、设备及介质 | |
| Kamenskih et al. | The Development of Method for Evaluation of Information Security Threats in Critical Systems | |
| CN109510828B (zh) | 一种网络中的威胁处置效果的确定方法及系统 | |
| CN117081859B (zh) | 工业互联网零信任访问控制系统 | |
| Gong et al. | Research on Evaluation Method of Hierarchical Network Security Threat |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Multidimensional Network Security Prediction Method Granted publication date: 20220524 Pledgee: China Construction Bank Corporation Zhengzhou Jinshui sub branch Pledgor: HENAN XIN'AN COMMUNICATION TECH CO.,LTD. Registration number: Y2024980005777 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |