CN113411303A - 基于层次聚类和层次分析法的评估指标体系构建方法 - Google Patents
基于层次聚类和层次分析法的评估指标体系构建方法 Download PDFInfo
- Publication number
- CN113411303A CN113411303A CN202110517511.0A CN202110517511A CN113411303A CN 113411303 A CN113411303 A CN 113411303A CN 202110517511 A CN202110517511 A CN 202110517511A CN 113411303 A CN113411303 A CN 113411303A
- Authority
- CN
- China
- Prior art keywords
- evaluation
- index system
- clustering
- hierarchical
- factors
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 188
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000010276 construction Methods 0.000 title abstract description 14
- 238000004458 analytical method Methods 0.000 claims abstract description 26
- 238000012545 processing Methods 0.000 claims abstract description 17
- 238000001514 detection method Methods 0.000 claims abstract description 14
- 230000006870 function Effects 0.000 claims abstract description 7
- 239000011159 matrix material Substances 0.000 claims description 33
- 239000013598 vector Substances 0.000 claims description 26
- 239000000523 sample Substances 0.000 claims description 13
- 238000011002 quantification Methods 0.000 claims description 8
- 238000012216 screening Methods 0.000 claims description 6
- 238000013139 quantization Methods 0.000 claims description 5
- 238000012804 iterative process Methods 0.000 claims description 4
- 238000010606 normalization Methods 0.000 claims description 4
- 230000003068 static effect Effects 0.000 claims description 4
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 238000000691 measurement method Methods 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 15
- 230000002829 reductive effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000004451 qualitative analysis Methods 0.000 description 2
- 238000004445 quantitative analysis Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
- G06Q10/06393—Score-carding, benchmarking or key performance indicator [KPI] analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/40—Business processes related to the transportation industry
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Human Resources & Organizations (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Economics (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Strategic Management (AREA)
- Marketing (AREA)
- Tourism & Hospitality (AREA)
- Development Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Educational Administration (AREA)
- General Business, Economics & Management (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Quality & Reliability (AREA)
- Evolutionary Biology (AREA)
- Artificial Intelligence (AREA)
- Game Theory and Decision Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Operations Research (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全态势评估技术领域,具体涉及一种基于层次聚类和层次分析法的评估指标体系构建方法;基于层次聚类和层次分析法的评估指标体系构建方法包括如下步骤:数据处理,收集网络环境的安全检测日志作为实验数据;评估因素量化,以网络安全态势评估指标体系的指标的来源信息作为评估的属性;使用聚类的方法将功能作用相似的评估因素自动聚成一类;评估指标优化,利用层次分析法计算每类中评估因素的重要程度,进而选取具有代表性的评估因素,根据构建的指标体系和指标度量方法给指标赋值,度量后的指标进行归一化,防止指标的不同量纲影响评估结果,以解决评估结果可信度低的问题。
Description
技术领域
本发明涉及网络安全态势评估技术领域,尤其涉及一种基于层次聚类和层次分析法的评估指标体系构建方法。
背景技术
随着网络技术不断发展,网络规模不断扩大,网络结构日益复杂,网络安全是网络系统正常运行的基础,其重要性愈发重要。
但是目前存在着对于网络安全态势的评估指标选取主观性强、指标体系缺乏完整性,导致态势评估不全面,进而使得评估结果出现可信度较低的问题。
网络安全态势评估涉及多领域知识,评估工作受到多方面因素影响,因此很难提出客观且系统的评估准则,导致很多安全评估方法仅从特定的场合去定义准则,目前,国内外还没有成熟的全局度量指标体系,研究者们主要借鉴已有的安全标准,针对不同的网络环境直接给出指标体系,大部分工作具有一定的局限性,当前关于网络安全态势评估指标体系的研究不多,尤其是针对指标体系构建方法的专门研究几乎空白。
发明内容
本发明的目的在于提供一种基于层次聚类和层次分析法的评估指标体系构建方法,以解决现有技术中网络安全态势评估缺乏完整性,且评估指标选取主观性强,导致评估结果可信度低的问题。
为实现上述目的,本发明提供了一种基于层次聚类和层次分析法的评估指标体系构建方法,所述基于层次聚类和层次分析法的评估指标体系构建方法包括如下步骤:
数据处理,基于网络环境,利用搭建的深信服潜伏威胁探针作为数据采集设备,收集网络环境的安全检测日志作为实验数据,并统计评估因素;
评估因素量化,以网络安全态势评估指标体系的来源信息作为评估因素的属性,用来表示评估因素与指标的隶属关系,并确定评估因素的属性向量量化值:
评估因素聚类,使用层次聚类的方法将功能作用相似的评估因素自动聚成一类,聚类结果与指标形成层次关系,代替人为地直接选取评估因素,以减少构建网络安全态势评估指标体系时的主观性;
评估指标体系优化,利用层次分析法计算每类中评估因素的重要程度,并筛选出有代表性的评估因素构建最终的指标体系,避免不重要的评估因素对评估结果的误导。
通过收集真实网络中大量有效的实验数据,提高了指标体系评估的可操作性,并减小了实验的偶然性;使用定性定量相结合的层次分析法量化评估因素的属性向量,减少赋值时的主观性;层次聚类可以有效地利用数据之间的层次关系,并以可以直观表示出来,有利于指标体系的层次划分,层次聚类不需要提前指定聚类中心数,避免被大量复杂的网络环境影响聚类效果,进而得到更合理的类簇。
其中,所述所述网络安全态势评估指标体系包括网络域和行为域,所述网络域包括脆弱性、威胁性、可靠性和可用性四个综合性指标,所述行为域则包括账号登录、外联服务、外发数据、访问行为和数据库登录及访问五个综合性指标。
其中,所述数据处理包括如下步骤:
从所述深信服潜伏威胁探针的服务器中将安全检测日志读取并解密到日志处理工作站中;
针对所述深信服潜伏威胁探针采集到的每台主机的安全检测日志,以发生的安全事件和存在的漏洞作为评估因素;
针对所述深信服潜伏威胁探针采集到的整个网络环境的安全检测日志,以网络流量、数据包分布情况和网络设备信息作为评估因素。
其中,所述评估因素量化包括如下步骤:
建立层次结构,将网络安全态势评估指标体系的指标来源划分为静态配置信息、设备信息、访问信息、流量信息、报警信息和漏洞信息,并将来源信息作为评估因素的属性;
构建判断矩阵,根据评估因素属于任一类所述来源信息的可能性以形成属于评估因素的判断矩阵;
层次单排序及一致性检验,求出所述判断矩阵的最大特征值及其对应的特征向量,并对所述最大特征值对应的所述特征向量进行归一化处理得到权重向量,再使用所述最大特征值计算所述判断矩阵的一致性比率,进而判断所述判断矩阵的一致性能否被接受,若所述判断矩阵通过一致性检验,则所述权重向量作为评估因素的属性向量量化值;若不通过,则重新调整所述判断矩阵再检验。
通过将来源信息作为评估因素的属性,用来表示评估指标与评估因素之间的隶属关系。
其中,所述评估因素聚类包括如下步骤:
初始化类簇,每个评估因素作为一个单独的初始类簇,并计算初始簇间的属性相似度;
合并更新,层次聚类的迭代过程中,每次选择相似度相近的两个簇,将这两个簇合并形成新的簇,为了下次合并,需要计算新的簇与其它簇之间的相似度,不断迭代“合并-更新”的过程,直至聚类状态满足所有节点都聚在一类,最后形成完整的树状结构后结束层次聚类。
本发明的一种基于层次聚类和层次分析法的评估指标体系构建方法,根据构建的指标体系和指标度量方法给指标赋值,度量后的指标进行归一化,防止指标的不同量纲影响评估结果,再结合层次分析法计算网络安全态势值,能够反映实际网络的安全态势变化情况,并且筛选了有代表性的指标使评估结果更准确,以解决评估结果可信度低的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的基于层次聚类和层次分析法的评估指标体系构建方法的步骤示意图。
图2是本发明提供的基于层次聚类和层次分析法的评估指标体系构建方法的数据处理的步骤示意图。
图3是本发明提供的基于层次聚类和层次分析法的评估指标体系构建方法的评估因素量化的步骤示意图。
图4是本发明提供的基于层次聚类和层次分析法的评估指标体系构建方法的评估因素聚类的步骤示意图。
图5是本发明提供的基于层次聚类和层次分析法的评估指标体系构建方法的评估指标优化的步骤示意图。
图6是根据指标体系计算得到的态势值与网络系统中安全日志数量的对比。
图7是使用本申请的方法构建的指标体系与没有经过聚类得到的指标体系的对比。
图8是本发明提供的基于层次聚类和层次分析法的评估指标体系构建方法的分域指标体系层次结构模型。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
请参阅图1至图8,本发明提供一种基于层次聚类和层次分析法的评估指标体系构建方法,所述基于层次聚类和层次分析法的评估指标体系构建方法包括如下步骤:
S101:数据处理,基于网络环境,利用搭建的深信服潜伏威胁探针作为数据采集设备,收集网络环境的安全检测日志作为实验数据,并统计评估因素;
S102:评估因素量化,以网络安全态势评估指标体系的来源信息作为评估因素的属性,用来表示评估因素与指标的隶属关系,并确定评估因素的属性向量量化值;
S103:评估因素聚类,使用层次聚类的方法将功能作用相似的评估因素自动聚成一类,聚类结果与指标形成层次关系,代替人为地直接选取评估因素,以减少构建网络安全态势评估指标体系时的主观性;
S104:评估指标体系优化,利用层次分析法计算每类中评估因素的重要程度,并筛选出有代表性的评估因素构建最终的指标体系,避免不重要的评估因素对评估结果的误导。
在本实施方式中,当前网络环境的评估因素呈现出动态多变的特点,本申请的指标体系是基于分域多层的思想划分的,从网络域和行为域的角度互补分析网络态势,在网络域中,不局限于特定场景下的安全态势评估,而考虑了整个网络中的安全评估因素;在评估指标中纳入用户行为的评估因素,加入了行为域的安全态势评估,保证了网络安全态势评估的完整性,并结合了层次聚类和层次分析法,使用层次聚类可以在复杂多变的网络数据中挖掘评估因素之间的层次关系,并将具有类似特征的评估因素聚到一起,按照在指标体系中的作用划分给不同的准则层指标,减少了人为划分指标层次的主观性,使用层次分析法筛选指标,选出各指标簇中有代表性评估因素,减小不重要的、作用重复的指标对评估结果的误导,进而提高了评估结果的准确性。
态势评估结果分析:
详见图6,网络系统中的安全事件发生数量可以一定程度代表网络安全态势,安全事件发生的越多代表网络面临的风险越严重,根据本申请指标体系计算得到的态势值与网络系统中安全日志数量的对比,可以看出两条曲线的走向和极值点大致相同,说明本申请通过聚类构建的指标体系具有评估网络安全态势的能力。
不同指标体系对比:
通过图7,HC是使用本申请的方法构建的指标体系,NC代表没有经过聚类得到的指标体系,图中的折线表示两种方法计算的态势值的变化情况,上图两条曲线的走向大致相同,大多数时间计算的态势值相近,说明以上两种方法具有可比性,NC容易被单一指标影响而产生误差,以及忽略了指标之间的联系,导致在2月20日和3月5日的态势评估结果不准确;
通过实验结果可知,基于层次聚类和层次分析法构建的指标体系能够反映实际网络的安全态势变化情况,该指标体系具有合理的层次结构能够充分利用指标之间的关系,并且筛选了有代表性的指标使评估结果更准确。
进一步的,所述网络安全态势评估指标体系包括网络域和行为域,所述网络域包括脆弱性、威胁性、可靠性和可用性四个综合性指标,所述行为域则包括账号登录、外联服务、外发数据、访问行为和数据库登录及访问五个综合性指标。
在本实施方式中,分域指标体系层次结构具体为:
网络域:分析网络构成及网络运行状态存在的风险,主要从以下四个综合性指标分析:
脆弱性:指资产中能被威胁所利用的弱点,使得网络系统或其应用数据面临保密性、可用性、完整性、可控性等威胁;
威胁性:指未经网络系统授权的访问、破坏、披露或修改信息等行为而产生不利影响的情况或事件;
可靠性:指与预期行为和结果一致的属性,网络中的可靠性通常被描述为网络硬件和通信环境无故障地运行以及网络系统提供服务的能力或可能性;
可用性:指某个考察时间内,被授权的实体访问和使用功能的特性,反映在网络中是网络系统正常运行并为用户稳定提供服务;
行为域:分析用户行为及操作执行过程出现的风险,主要从以下五个综合性指标分析:
账号登录:描述用户的身份鉴别和服务的访问控制;
外联服务:分析服务所依赖的协议信息是否异常;
外发数据:对相关访问数据和日志文件进行统计、分析,从中发现问题;
访问行为:分析用户的行为模式和流量数据发现敏感行为;
数据库登录及访问:对数据库的监控和诊断。
进一步的,所述数据处理包括如下步骤:
S201:从所述深信服潜伏威胁探针的服务器中将安全检测日志读取并解密到日志处理工作站中;
S202:针对所述深信服潜伏威胁探针采集到的每台主机的安全检测日志,以发生的安全事件和存在的漏洞作为评估因素;
S203:针对所述深信服潜伏威胁探针采集到的整个网络环境的安全检测日志,以网络流量、数据包分布情况和网络设备信息作为评估因素。
在本实施方式中,首先从所述深信服潜伏威胁探针的服务器中将加密数据读取并解密到实验室的一台日志处理工作站;针对每台主机,统计所发生的安全事件和存在的漏洞等评估因素,针对整个网络环境,统计网络流量、数据包分布情况和网络设备信息等评估因素。
进一步的,所述评估因素量化包括如下步骤:
S301:建立层次结构,将网络安全态势评估指标体系的指标来源划分为静态配置信息、设备信息、访问信息、流量信息、报警信息和漏洞信息,并将来源信息作为评估因素的属性;
S302:构建判断矩阵,根据评估因素属于任一类所述来源信息的可能性以形成属于评估因素的判断矩阵;
S303:层次单排序及一致性检验,求出所述判断矩阵的最大特征值及其对应的特征向量,并对所述最大特征值对应的所述特征向量进行归一化处理得到权重向量,再使用所述最大特征值计算所述判断矩阵的一致性比率,进而判断所述判断矩阵的一致性能否被接受,若所述判断矩阵通过一致性检验,则所述权重向量作为评估因素的属性向量量化值;若不通过,则重新调整所述判断矩阵再检验。
在本实施方式中,评估因素的量化是指标聚类的前提,聚类需要根据评估因素的属性相似度才能进行,为了将相似作用的评估因素聚在一起,首先需要指定评估因素的属性,这些属性要能反映评估因素的特点,指标的来源很大程度影响了指标的类型,也涵盖了评估因素的来源,所以本申请使用指标的来源信息作为评估的属性,用来表示评估因素与准则层指标的隶属关系,记作source={s1,s2,…,sn}(n∈N),其中n为来源信息的种类数目,进而得到评估因素的属性向量f=(f1,f2,…,fn),表示评估因素与source每个元素的隶属度关系,f中元素的值越大代表该评估因素越有可能属于对应的来源信息,接着在量化评估因素的属性过程中,本申请使用定性定量相结合的层次分析法作为量化方法,以减少赋值时的主观性,具体步骤包括:
建立层次结构,本申请将网络域的指标来源划分为静态配置信息、设备信息、访问信息、流量信息、报警信息和漏洞信息,一共6种来源信息种类,进而将来源信息总结为source={configuration,element,access,netflow,threat,vulnerability},评估因素的属性向量为f=(fc,fe,fa,fn,ft,fv),用层次分析法前需要确定决策目标和决策准则的层次结构,以评估因素作为上层(目标层)的决策目标,来源信息作为下层(准则层)的决策准则;
构建判断矩阵,准则层中的来源信息相互比较与评估因素的关系,即评估因素属于某类来源信息的可能性,根据这些可能性关系形成属于评估因素的判断矩阵,假设有K(K∈N)个评估因素,第k(1≤k≤K)个评估因素的属性向量记作Xk={x1,x2,…,x6},xi(1≤i≤6)为评估因素的属性向量中第i个来源信息,那么第k个评估因素对应6*6组关于来源信息的可能性关系,形成判断矩阵Rk;
层次单排序及一致性检验,求出判断矩阵Rk的最大特征值及其对应的特征向量对μk归一化处理后所得到的权重向量表示第k个评估因素属于某类来源信息可能性,再使用计算Rk的一致性比率,进而判断Rk的一致性是否能被接受,若Rk通过一致性检验,则fk可以作为第k个评估因素的属性向量量化值;若不通过,需要重新调整Rk再检验。
进一步的,所述评估因素聚类包括如下步骤:
S401:初始化类簇,每个评估因素作为一个单独的初始类簇,并计算初始簇间的属性相似度;
S402:合并更新,层次聚类的迭代过程中,每次选择相似度相近的两个簇,将这两个簇合并形成新的簇,为了下次合并,需要计算新的簇与其它簇之间的相似度,不断迭代“合并-更新”的过程,直至聚类状态满足所有节点都聚在一类,最后形成完整的树状结构后结束层次聚类。
在本实施方式中,现有技术中的网络安全评估指标体系往往是直接给出,指标选取过分依赖专家经验,而本申请使用聚类的方法将功能作用相似的评估因素自动聚成一类,聚类结果与综合性指标形成层次关系,代替人为地直接选取评估因素,以减少构建指标体系时的主观性;
层次聚类的结果是类似树状的层次结构,正好对应指标体系的层次结构;层次聚类可以得到不同类簇之间的差异,正好对应指标间的独立性关系,所以,使用层次聚类可以直观的选择出合适的指标层次结构,使用层次聚类前需要明确评估因素之间的相似度和簇间相似度计算方式;
在评估因素相似度时:
在计算簇间相似度时:
簇中可能存在多个评估因素,本申请使用平均连接的方式计算簇间相似度,设Ci=(f1,f2,…,fp,.…,f|Ci|)(p|Ci|,p∈N),其中,|Ci|为Ci中评估因素个数,fp表示Ci中的评估因素,dist_cluster(i,j)为Ci与Cj之间的相似度,其计算公式为:
所述评估因素聚类具体步骤为:
初始化类簇,假设初始有K个评估因素,用C表示层次聚类结果的集合,|C|表示层次聚类形成的聚类中心数,则初始状态满足|C|=K,即每个评估因素作为一个单独的初始类簇,并计算初始簇间的属性相似度;
合并更新,层次聚类的迭代过程中,每次选择相似度最近的两个簇,将这两个簇合并形成新的簇,为了下次合并,需要计算新的簇与其它簇之间的相似度,不断迭代“合并-更新”的过程,直至聚类状态满足|C|=1,即所有节点都聚在一类,最后形成完整的树状结构后结束层次聚类。
进一步的,所述评估指标优化包括如下步骤:
S501:建立层次结构,以网络域中脆弱性、威胁性、可靠性和可用性指标作为决策目标,对应的聚类结果的评估因素作为准则层;
S502:构建判断矩阵,根据层次结构比较评估因素相对于决策目标的综合性指标的重要关系构建判断矩阵;
S503:计算判断矩阵的最大特征值,检验判断矩阵的一致性;
S504:在各综合性指标下按照数量最少权值最重要的一组评估因素筛选评估因素。
在本实施方式中,网络安全态势感知的评估因素具有复杂冗余的特点,本申请使用层次分析法计算每类中评估因素的重要程度,并筛选出有代表性的评估因素构建最终的指标体系,避免不重要的评估因素对评估结果的误导,从而提高指标体系的有效性和可操作性,以下是网络域中评估指标优化具体过程:
建立层次结构,以网络域中脆弱性、威胁性、可靠性和可用性指标作为决策目标,对应的聚类结果的评估因素作为准则层;
构建判断矩阵,根据层次结构比较评估因素相对于决策目标的综合性指标的重要关系构建判断矩阵;
计算判断矩阵的最大特征值,检验判断矩阵的一致性;
在各综合性指标下按照“最少最重要”策略筛选评估因素,即数量最少权值最重要的一组评估因素,将评估因素按照重要性权值排序,选择权值和第一次大于80%的N个评估因素。
具体实施例1:
影响脆弱性指标的8个评估因素为漏洞数量、漏洞严重等级、漏洞检测可信度、漏洞发现时间、漏洞类型、补丁质量、漏洞处理策略和漏洞所在传输层协议,记作fv={f1,f2,f3,f4,f5,f6,f7,f8},
对应的重要性权值为wv={0.19,0.26,0.22,0.04,0.1,0.07,0.08,0.03},按照重要性权值逆序后的评估因素顺序为{f2,f3,f1,f5,f7,f6,f4,f8},对应的重要性权值w'v={0.26,0.22,0.19,0.1,0.08,0.07,0.04,0.03},从f2开始计算权值和,直至f7得到权值和第一次大于80%,则最终选择的评估因素为{f2,f3,f1,f5,f7},筛去了{f4,f6,f8}。该策略可选出一组数量最少的评估因素,并保证这组评估因素具有代表。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
Claims (5)
1.一种基于层次聚类和层次分析法的评估指标体系构建方法,其特征在于,
所述基于层次聚类和层次分析法的评估指标体系构建方法包括如下步骤:
数据处理,基于网络环境,利用搭建的深信服潜伏威胁探针作为数据采集设备,收集网络环境的安全检测日志作为实验数据,并统计评估因素;
评估因素量化,以网络安全态势评估指标体系的来源信息作为评估因素的属性,用来表示评估因素与指标的隶属关系,并确定评估因素的属性向量量化值;
评估因素聚类,使用层次聚类的方法将功能作用相似的评估因素自动聚成一类,聚类结果与指标形成层次关系,代替人为地直接选取评估因素,以减少构建网络安全态势评估指标体系时的主观性;
评估指标体系优化,利用层次分析法计算每类中评估因素的重要程度,并筛选出有代表性的评估因素构建最终的指标体系,避免不重要的评估因素对评估结果的误导。
2.如权利要求1所述的基于层次聚类和层次分析法的评估指标体系构建方法,其特征在于,所述网络安全态势评估指标体系包括网络域和行为域,所述网络域包括脆弱性、威胁性、可靠性和可用性四个综合性指标,所述行为域则包括账号登录、外联服务、外发数据、访问行为和数据库登录及访问五个综合性指标。
3.如权利要求1所述的基于层次聚类和层次分析法的评估指标体系构建方法,其特征在于,
所述数据处理包括如下步骤:
从所述深信服潜伏威胁探针的服务器中将安全检测日志读取并解密到日志处理工作站中;
针对所述深信服潜伏威胁探针采集到的每台主机的安全检测日志,以发生的安全事件和存在的漏洞作为评估因素;
针对所述深信服潜伏威胁探针采集到的整个网络环境的安全检测日志,以网络流量、数据包分布情况和网络设备信息作为评估因素。
4.如权利要求1所述的基于层次聚类和层次分析法的评估指标体系构建方法,其特征在于,
所述评估因素量化包括如下步骤:
建立层次结构,将网络安全态势评估指标体系的指标来源划分为静态配置信息、设备信息、访问信息、流量信息、报警信息和漏洞信息,并将来源信息作为评估因素的属性;
构建判断矩阵,根据评估因素属于任一类所述来源信息的可能性以形成属于评估因素的判断矩阵;
层次单排序及一致性检验,求出所述判断矩阵的最大特征值及其对应的特征向量,并对所述最大特征值对应的所述特征向量进行归一化处理得到权重向量,再使用所述最大特征值计算所述判断矩阵的一致性比率,进而判断所述判断矩阵的一致性能否被接受,若所述判断矩阵通过一致性检验,则所述权重向量作为评估因素的属性向量量化值;若不通过,则重新调整所述判断矩阵再检验。
5.如权利要求1所述的基于层次聚类和层次分析法的评估指标体系构建方法,其特征在于,
所述评估因素聚类包括如下步骤:
初始化类簇,每个评估因素作为一个单独的初始类簇,并计算初始簇间的属性相似度;
合并更新,层次聚类的迭代过程中,每次选择相似度相近的两个簇,将这两个簇合并形成新的簇,为了下次合并,需要计算新的簇与其它簇之间的相似度,不断迭代“合并-更新”的过程,直至聚类状态满足所有节点都聚在一类,最后形成完整的树状结构后结束层次聚类。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110517511.0A CN113411303B (zh) | 2021-05-12 | 2021-05-12 | 基于层次聚类和层次分析法的评估指标体系构建方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110517511.0A CN113411303B (zh) | 2021-05-12 | 2021-05-12 | 基于层次聚类和层次分析法的评估指标体系构建方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113411303A true CN113411303A (zh) | 2021-09-17 |
CN113411303B CN113411303B (zh) | 2022-06-03 |
Family
ID=77678420
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110517511.0A Active CN113411303B (zh) | 2021-05-12 | 2021-05-12 | 基于层次聚类和层次分析法的评估指标体系构建方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113411303B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114139020A (zh) * | 2021-12-08 | 2022-03-04 | 广西民族大学 | 一种网络安全事件结构层次化处理方法和装置 |
CN114219254A (zh) * | 2021-12-07 | 2022-03-22 | 国网四川省电力公司电力科学研究院 | 一种信息系统风险分析及安全态势评估方法 |
CN115077618A (zh) * | 2022-06-27 | 2022-09-20 | 扬州市管件厂有限公司 | 一种核级合金钢弯头的质量检测方法及系统 |
CN116611743A (zh) * | 2023-07-17 | 2023-08-18 | 华航检测认证(青岛)有限公司 | 基于大数据的建筑工程建造质量评价方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060173985A1 (en) * | 2005-02-01 | 2006-08-03 | Moore James F | Enhanced syndication |
CN102098180A (zh) * | 2011-02-17 | 2011-06-15 | 华北电力大学 | 一种网络安全态势感知方法 |
CN102457412A (zh) * | 2011-10-14 | 2012-05-16 | 中国人民解放军国防科学技术大学 | 基于指标体系的大规模网络安全态势评估方法 |
US20170063909A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Detection of Clustering in Graphs in Network Security Analysis |
US20180278648A1 (en) * | 2017-03-22 | 2018-09-27 | Symantec Corporation | Systems and methods for enforcing dynamic network security policies |
CN110309863A (zh) * | 2019-06-13 | 2019-10-08 | 上海交通大学 | 一种基于层次分析法和灰色关联分析的身份可信评价方法 |
CN110943983A (zh) * | 2019-11-22 | 2020-03-31 | 南京邮电大学 | 基于安全性态势感知与风险评估的网络安全预防方法 |
-
2021
- 2021-05-12 CN CN202110517511.0A patent/CN113411303B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060173985A1 (en) * | 2005-02-01 | 2006-08-03 | Moore James F | Enhanced syndication |
CN102098180A (zh) * | 2011-02-17 | 2011-06-15 | 华北电力大学 | 一种网络安全态势感知方法 |
CN102457412A (zh) * | 2011-10-14 | 2012-05-16 | 中国人民解放军国防科学技术大学 | 基于指标体系的大规模网络安全态势评估方法 |
US20170063909A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Detection of Clustering in Graphs in Network Security Analysis |
US20180278648A1 (en) * | 2017-03-22 | 2018-09-27 | Symantec Corporation | Systems and methods for enforcing dynamic network security policies |
CN110309863A (zh) * | 2019-06-13 | 2019-10-08 | 上海交通大学 | 一种基于层次分析法和灰色关联分析的身份可信评价方法 |
CN110943983A (zh) * | 2019-11-22 | 2020-03-31 | 南京邮电大学 | 基于安全性态势感知与风险评估的网络安全预防方法 |
Non-Patent Citations (3)
Title |
---|
KUNLUN GAO ET AL: "stuty of hierarchical network security situation evaluation system for electric power enterprise based on Grey Clustering Analysis", 《IEEE》 * |
傅建新等: "基于层次分析法-灰色聚类的无线网络安全风险评估方法", 《厦门大学学报(自然科学版)》 * |
陶晓玲等: "An efficient method for network security situation assessment", 《INTERNATIONAL JOURNAL OF DISTRIBUTED SENSOR NETWORKS》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114219254A (zh) * | 2021-12-07 | 2022-03-22 | 国网四川省电力公司电力科学研究院 | 一种信息系统风险分析及安全态势评估方法 |
CN114139020A (zh) * | 2021-12-08 | 2022-03-04 | 广西民族大学 | 一种网络安全事件结构层次化处理方法和装置 |
CN114139020B (zh) * | 2021-12-08 | 2023-03-28 | 广西民族大学 | 一种网络安全事件结构层次化处理方法和装置 |
CN115077618A (zh) * | 2022-06-27 | 2022-09-20 | 扬州市管件厂有限公司 | 一种核级合金钢弯头的质量检测方法及系统 |
CN116611743A (zh) * | 2023-07-17 | 2023-08-18 | 华航检测认证(青岛)有限公司 | 基于大数据的建筑工程建造质量评价方法 |
CN116611743B (zh) * | 2023-07-17 | 2023-10-10 | 华航检测认证(青岛)有限公司 | 基于大数据的建筑工程建造质量评价方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113411303B (zh) | 2022-06-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113411303B (zh) | 基于层次聚类和层次分析法的评估指标体系构建方法 | |
Li et al. | Hard drive failure prediction using decision trees | |
Arisholm et al. | A systematic and comprehensive investigation of methods to build and evaluate fault prediction models | |
CN106951984B (zh) | 一种系统健康度动态分析预测方法及装置 | |
CN107454105B (zh) | 一种基于ahp与灰色关联的多维网络安全评估方法 | |
US7783745B1 (en) | Defining and monitoring business rhythms associated with performance of web-enabled business processes | |
CN111898647B (zh) | 一种基于聚类分析的低压配电设备误告警识别方法 | |
CN110084326B (zh) | 一种基于模糊集的工业设备异常检测方法 | |
CN111680863A (zh) | 基于层次分析法的网络环境安全状况评估方法 | |
CN111541702B (zh) | 网络威胁安全检测方法及装置 | |
CN111199361A (zh) | 基于模糊推理理论的电力信息系统健康评估方法及系统 | |
Draws et al. | Assessing viewpoint diversity in search results using ranking fairness metrics | |
CN115412354B (zh) | 一种基于大数据分析的网络安全漏洞检测方法及系统 | |
CN115329338A (zh) | 基于云计算服务的信息安全风险分析方法及分析系统 | |
CN115130578A (zh) | 一种基于增量式粗糙聚类的配电设备状态在线评估方法 | |
Montes et al. | Finding order in chaos: a behavior model of the whole grid | |
CN117094184B (zh) | 基于内网平台的风险预测模型的建模方法、系统及介质 | |
CN111865899B (zh) | 威胁驱动的协同采集方法及装置 | |
US20230156043A1 (en) | System and method of supporting decision-making for security management | |
Gladkykh et al. | Fuzzy logic inference for unsupervised anomaly detection | |
CN114397842B (zh) | 电力监控网络安全智能巡检加固方法 | |
CN110995465B (zh) | 信通点位全景视图信息运维方法及系统 | |
CN115345489A (zh) | 基于服务层的云计算风险分析方法及分析系统 | |
CN111475380A (zh) | 一种日志分析方法和装置 | |
ZA200601937B (en) | System and methods for automated computer support |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20210917 Assignee: GUANGXI HAOHUA TECHNOLOGY Co.,Ltd. Assignor: GUILIN University OF ELECTRONIC TECHNOLOGY Contract record no.: X2022450000317 Denomination of invention: The Method of Constructing Evaluation Index System Based on Hierarchical Clustering and Analytic Hierarchy Process Granted publication date: 20220603 License type: Common License Record date: 20221214 |
|
EE01 | Entry into force of recordation of patent licensing contract |