CN113438207B - 一种基于白名单的网络安全防护方法 - Google Patents

Abstract

本发明公开了一种基于白名单的网络安全防护方法，涉及网络安全技术领域，包括以下步骤：获取多维度数据，对获取的所述多维度数据进行预处理，并生成待分析数据，对所述待分析数据进行分析并生成用于预告威胁预警报告，并进行任意时刻网络总风险异常数据预警。本发明采样周期各安全状态信息，实现对网络安全状态的预测，为网络管理员提供决策依据，提高网络安全防护的准确性，生成的风险值对网络安全态势的量化更加精确。

Description

一种基于白名单的网络安全防护方法

技术领域

本发明涉及网络安全技术领域，具体来说，涉及一种基于白名单的网络安全防护方法。

背景技术

随着安全防护需求不断变化和网络攻击技术不断演进，安全防护技术也必须不断迭代。为了有效地应对安全威胁，必须从宏观全局上洞悉网络的整体安全风险，并针对全局安全威胁和局部安全威胁，动态调配差异化的安全防护资源对威胁进行处置，避免威胁“跃出局部，延至全网”甚至导致网络瘫痪的后果。

现有的网络安全防护系统根据功能定位不同，可能包括软件定义安全单元、安全态势分析单元、威胁处置指挥单元等部分。其中，安全态势分析单元从宏观上评估并预测网络安全风险；软件定义安全单元通过软件编程方式实现安全业务编排和管理；威胁处置指挥单元对威胁进行响应。但是，现有网络安全防护威胁处置效果验证方式单一：由威胁处置指挥单元对威胁处置效果进行验证，其验证主体和验证方式单一，不能保障效果验证的准确性和客观性，从而不能从根源上确保威胁处置措施的准确性。

检索中国专利CN 109698819 A存在以下三方面问题：1、威胁处置管理系统只能接收来自威胁检测系统的具体威胁报警后才能进行威胁处置，无法根据安全态势信息对设备进行调度；2、威胁处置管理系统不能接受安全编排结果，只能实现与其所管辖设备的联动；3、仅由威胁处置管理系统对威胁处置效果进行单源验证，其验证主体单一，缺乏双系统双重验证机制。

针对相关技术中的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中的问题，本发明提出一种基于白名单的网络安全防护方法，以克服现有相关技术所存在的上述技术问题。

本发明的技术方案是这样实现的：

一种基于白名单的网络安全防护方法，包括以下步骤：

获取多维度数据，其中至少包括向云服务器获取白名单，所述白名单用于记录发起正常访问请求的网间协议IP地址；

对获取的所述多维度数据进行预处理，并生成待分析数据；

对所述待分析数据进行分析并生成用于预告威胁预警报告，至少包括态势感知，包括以下步骤：

标定态势感知参数信息，包括状态集合空间S、观测向量集合空间V、状态转移矩阵P、观测向量概率分布矩阵Q和初始状态概率分布矩阵π；

基于态势感知参数信息，获取每个采样周期的观测向量，并进行实时更新网络T时刻处于状态S_i的概率λ_t(i)，获取任意T时刻网络总风险R_T，表示为：

其中，λ_t(i)表示T时刻网络处于状态S_i的概率，C(i)为风险损失向量表示状态S_i相应的风险损失，N表示状态数目。

对所述任意T时刻网络总风险R_T进行的异常数据预警。

进一步的，所述获取多维度数据，还包括以下步骤：

进行解析通信数据包的数据链路层部分，并提取通信数据包的数据链路层信息；

进行解析通信数据包的网络层部分，并提取通信数据包的网络层信息；

进行解析通信数据包的传输层部分，并提取通信数据包的传输层信息；

并解析通信数据包的应用层部分，并提取通信数据包的应用层信息。

进一步的，所述白名单用于记录发起正常访问请求的网间协议IP地址，还包括进行白名单添加，包括以下步骤：

接收用户提交的请求信息，所述请求信息特征信息与白名单库特征信息匹配，其中，所述特征信息至少包括源MAC地址、源IP地址、端口号、标识符、协议ID和地址码；

确定当前提交的请求信息是否已入库所述白名单库；

若当前提交的请求信息为新用户提交，则进行建立新白名单并进行入库所述白名单库。

进一步的，还包括进行用户标记，包括以下步骤：

将当前异常访问用户进行标记，并提取当前访问用户特征信息入库黑名单；

禁止记录在所述黑名单中的IP地址的通信数据请求。

进一步的，所述获取任意T时刻网络总风险R_T，包括以下步骤：

预先进行获取观测序列，将警报模型化为笛卡尔积的形式，表示为：

其中，(A₁,A₂,…,A_n)表示警报的属性，

表示属性A_i的取值范围，警报的属性A_i包括警报的统计特性：警报出现频次AlF、警报关键程度AlC和警报严重程度AlS；

将各属性值作为警报质量的量化因子，将警报质量定义为各属性值连线所包围的面积之和，表示为：

其中，AlC和AlS分别表示警报关键程度和严重程度的属性值，AlF^*表示警报出现频次AlF的标准化值；

进行确定状态转移矩阵，包括：

定义状态转移矩阵的修正函数，表示为：

其中，AM为攻击者的类型，AC为攻击者的能力，AR为完成攻击所需要的资源，D为网络中的防护措施，i,j,k的取值由划分面决定，划分面为进入某种网络安全状态所必须的条件组合；

获取修正函数p更新状态G转移到状态R的概率P′_GR，表示为：

P′_GR＝P_GR×p

同理可分别求得状态B，C的修正函数，利用修正函数更新状态转移矩阵，表示为：

进一步的，所述警报出现频次AlF，表示单位时间内警报出现的相对次数，表示为：

进一步的，所述AlF^*表示警报出现频次AlF的标准化值，还包括以下步骤：

进行采用离差标准化的反函数将警报出现频次AlF标准化为AlF^*，表示为：

AlF^*＝AlF(Max-Min)+Min＝2AlF+1。

进一步的，所述获取任意T时刻网络总风险R_T，还包括以下步骤：

确定观测序列Ot和模型参数λ＝{S,V,P,Q，π}，更新T时刻网络处于状态S_i的概率λ_t＝{λ_t(i)}，表示为：

输入T时刻的观测向量Ot和模型参数λ，获取T时刻网络处于状态S_i的概率λ_t(i)；

进行实时更新T时刻网络处于状态S_i的概率λ_t(i)，并获取网络安全风险值R_T。

进一步的，所述异常数据预警，包括：

设定待分析数据的预警阈值；

若当前网络总风险R_T大于预警阈值，则进行预警。

本发明的有益效果：

本发明基于白名单的网络安全防护方法，通过获取多维度数据，对获取的所述多维度数据进行预处理，并生成待分析数据，对所述待分析数据进行分析并生成用于预告威胁预警报告，并进行任意时刻网络总风险异常数据预警，其采样周期各安全状态信息，实现对网络安全状态的预测，为网络管理员提供决策依据，提高网络安全防护的准确性，生成的风险值对网络安全态势的量化更加精确。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的一种基于白名单的网络安全防护方法的流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本发明保护的范围。

根据本发明的实施例，提供了一种基于白名单的网络安全防护方法。

如图1所示，根据本发明实施例的基于白名单的网络安全防护方法，包括以下步骤：

获取多维度数据，其中至少包括向云服务器获取白名单，所述白名单用于记录发起正常访问请求的网间协议IP地址；

对获取的所述多维度数据进行预处理，并生成待分析数据；

对所述待分析数据进行分析并生成用于预告威胁预警报告，至少包括态势感知，包括以下步骤：

标定态势感知参数信息，包括状态集合空间S、观测向量集合空间V、状态转移矩阵P、观测向量概率分布矩阵Q和初始状态概率分布矩阵π；

基于态势感知参数信息，获取每个采样周期的观测向量，并进行实时更新网络T时刻处于状态S_i的概率λ_t(i)，获取任意T时刻网络总风险R_T，表示为：

其中，λ_t(i)表示T时刻网络处于状态S_i的概率，C(i)为风险损失向量表示状态S_i相应的风险损失，N表示状态数目。

对所述任意T时刻网络总风险R_T进行的异常数据预警。

其中，所述获取多维度数据，还包括以下步骤：

进行解析通信数据包的数据链路层部分，并提取通信数据包的数据链路层信息；

进行解析通信数据包的网络层部分，并提取通信数据包的网络层信息；

进行解析通信数据包的传输层部分，并提取通信数据包的传输层信息；

并解析通信数据包的应用层部分，并提取通信数据包的应用层信息。

其中，所述白名单用于记录发起正常访问请求的网间协议IP地址，还包括进行白名单添加，包括以下步骤：

接收用户提交的请求信息，所述请求信息特征信息与白名单库特征信息匹配，其中，所述特征信息至少包括源MAC地址、源IP地址、端口号、标识符、协议ID和地址码；

确定当前提交的请求信息是否已入库所述白名单库；

若当前提交的请求信息为新用户提交，则进行建立新白名单并进行入库所述白名单库。

其中，还包括进行用户标记，包括以下步骤：

将当前异常访问用户进行标记，并提取当前访问用户特征信息入库黑名单；

禁止记录在所述黑名单中的IP地址的通信数据请求。

其中，所述获取任意T时刻网络总风险R_T，包括以下步骤：

预先进行获取观测序列，将警报模型化为笛卡尔积的形式，表示为：

其中，(A₁,A₂,…,A_n)表示警报的属性，

表示属性A_i的取值范围，警报的属性A_i包括警报的统计特性：警报出现频次AlF、警报关键程度AlC和警报严重程度AlS；

将各属性值作为警报质量的量化因子，将警报质量定义为各属性值连线所包围的面积之和，表示为：

其中，AlC和AlS分别表示警报关键程度和严重程度的属性值，AlF^*表示警报出现频次AlF的标准化值；

进行确定状态转移矩阵，包括：

定义状态转移矩阵的修正函数，表示为：

其中，AM为攻击者的类型，AC为攻击者的能力，AR为完成攻击所需要的资源，D为网络中的防护措施，i,j,k的取值由划分面决定，划分面为进入某种网络安全状态所必须的条件组合；

获取修正函数p更新状态G转移到状态R的概率P′_GR，表示为：

P′_GR＝P_GR×p

同理可分别求得状态B，C的修正函数，利用修正函数更新状态转移矩阵，表示为：

其中，所述警报出现频次AlF，表示单位时间内警报出现的相对次数，表示为：

其中，所述AlF^*表示警报出现频次AlF的标准化值，还包括以下步骤：

进行采用离差标准化的反函数将警报出现频次AlF标准化为AlF^*，表示为：

AlF^*＝AlF(Max-Min)+Min＝2AlF+1。

其中，所述获取任意T时刻网络总风险R_T，还包括以下步骤：

确定观测序列Ot和模型参数λ＝{S,V,P,Q，π}，更新T时刻网络处于状态S_i的概率λ_t＝{λ_t(i)}，表示为：

输入T时刻的观测向量Ot和模型参数λ，获取T时刻网络处于状态S_i的概率λ_t(i)；

进行实时更新T时刻网络处于状态S_i的概率λ_t(i)，并获取网络安全风险值R_T。

其中，所述异常数据预警，包括：

设定待分析数据的预警阈值；

若当前网络总风险R_T大于预警阈值，则进行预警。

借助于上述方案，通过获取多维度数据，对获取的所述多维度数据进行预处理，并生成待分析数据，对所述待分析数据进行分析并生成用于预告威胁预警报告，并进行任意时刻网络总风险异常数据预警，其采样周期各安全状态信息，实现对网络安全状态的预测，为网络管理员提供决策依据，提高网络安全防护的准确性，生成的风险值对网络安全态势的量化更加精确。

具体的，其隐马尔可夫模型由五元组构成λ＝{S,V,P,Q，π}，具体表示为：

其中，S为状态集合空间，S＝{S₁,S₂,…,S_N}，其中，S_N表示一个独立的状态，N表示状态的数目，不同的安全事件导致网络进入不同的安全状态，依据安全事件的划分，将网络的安全状态划分为安全状态G、探测状态R、入侵状态B和攻陷状态C，即S＝{G,R,B,C}，其中：

安全状态G表示网络中不存在任何攻击行为，处于安全状态；

探测状态R表示网络中存在扫描类的行为，攻击者采集信息阶段；

入侵状态B表示网络中存在破坏系统权限的行为，攻击者入侵网络阶段；

攻陷阶段C表示网络已被攻陷，攻击者获得系统权限。

其中，V为观测向量集合空间，V＝{v₁,v₂,...,v_m}，其中，v_m表示观测向量，m表示各状态观测向量值的数目，进行将原始警报进行分类，根据警报所代表的安全事件，将警报分为4类V＝{g,r,b,c}，其中；g表示在采样周期内，没有采集到任何警报信息；r表示扫描类的警报信息；b表示入侵类的警报信息；c表示获取root权限的警报信息。

其中，P为状态转移矩阵，表示从一个状态转移到另一个状态的概率分布，P＝{p_ij}，其中p_ij＝P(q_t+1＝S_j∣q_t＝S_i),1≤i,j≤N，表示在T时刻网络处于S_i状态，在T+1时刻处于S_i状态的概率。

其中，Q为观测向量概率分布矩阵Q＝{q_i(v_r)}，其中，

q_i(v_r)＝p(o＝v_r∣q_t＝S_i),1≤i≤N,1≤r≤M，表示T时刻，网络处于状态S_i且观测到的警报信息为v_r的概率。

其中，π为初始状态概率分布矩阵，π＝{π_i}，其中，π_i＝p(q₁＝S_i),1≤i≤N，表示在最初时刻，网络处于状态S_i的概率。

另外，根据每个采样周期获取的观测向量可实时更新网络T时刻处于状态S_i的概率λ_t(i)，获取任意T时刻网络总风险R_T，表示为：

其中，λ_t(i)表示T时刻网络处于状态S_i的概率，C(i)为风险损失向量表示状态S_i相应的风险损失，N表示状态数目。

具体的，包括以下步骤：

预先获取观测序列：

警报质量QoA(Quality of Alert)，指警报表征网络安全特性的有效程度，警报的质量越高，越能有效表征网络的安全特性，为了量化警报质量，首先将警报模型化为笛卡尔积的形式：

其中，(A₁,A₂,…,A_n)表示警报的属性，

表示属性A_i的取值范围，警报的属性A_i既包括警报的基本属性，如警报的源IP、目的IP、类型以及产生时间等，也包括警报的统计特性，如警报出现频次AlF(Alert Frequency)，警报关键程度AlC(Alert Criticality)以及警报严重程度AlS(Alert Severity)。

其中，警报出现频次AlF表示单位时间内警报出现的相对次数，安全设备的特性决定针对某一攻击行为，在短时间内会产生大量同类型的警报信息，即出现频次越高的警报信息越能刻画当前的网络攻击行为，因此将警报出现频次作为警报质量的一个统计特征，定义为：

警报关键程度AlC，指警报表征网络安全状态发生转变的强弱程度。警报的关键程度越高表示网络安全状态发生转变的可能性越大。监测过程中，若出现新的警报，表明网络中存在新的攻击行为，网络安全状态发生转变的可能性增加，因此将警报的出现节点作为警报关键程度的指征，根据警报的出现情况，将其分为3类：本采样周期内已出现过的警报；在之前的N个周期内出现过的警报；在之前的N个周期内未出现过的警报。其相应的优先级别分别设为1，2，3；其中，周期N优选设置为3。

警报严重程度AlS表示警报产生的影响，严重程度越高表明其对安全状态的影响越大。将警报严重程度划分为高、中、低3个等级，分别设置为1，2，3。

具体的，将各属性值作为警报质量的量化因子，将警报质量定义为各属性值连线所包围的面积之和，表示为：

其中，AlC和AlS分别表示警报关键程度和严重程度的属性值；AlF^*表示警报出现频次AlF的标准化值。因为AlF∈[0,1]，与其他属性的取值范围不同，为均衡各属性对警报质量的影响，应保证各属性具有相同的值域，因此采用离差标准化的反函数将警报出现频次AlF标准化为AlF^*：

AlF^*＝AlF(Max-Min)+Min＝2AlF+1

标准化值AlF^*∈[1,3]，与其它属性具有相同的值域。

另外，确定状态转移矩阵：定义状态转移矩阵的修正函数，表示为：

其中，AM为攻击者的类型，AC为攻击者的能力，AR为完成攻击所需要的资源，D为网络中的防护措施，i,j,k的取值由划分面决定，划分面是指进入某种网络安全状态所必须的条件组合。

其修正函数p更新状态G转移到状态R的概率P′_GR，表示为：

P′_GR＝P_GR×p

同理可分别求得状态B，C的修正函数，利用修正函数更新状态转移矩阵，表示为：

另外，进行网络状态更新算法：

具体的，确定观测序列Ot和模型参数λ＝{S,V,P,Q，π}，更新T时刻网络处于状态S_i的概率λ_t＝{λ_t(i)}，表示为：

输入：T时刻的观测向量Ot和模型参数λ；

输出：T时刻网络处于状态S_i的概率λ_t(i)；

α₁(i)＝π_iq_i(O₁)

其中，实时更新T时刻网络处于状态S_i的概率λ_t(i)，结合风险损失向量C(i)，可求解网络安全风险值R_T。

综上所述，借助于本发明的上述技术方案，通过获取多维度数据，对获取的所述多维度数据进行预处理，并生成待分析数据，对所述待分析数据进行分析并生成用于预告威胁预警报告，并进行任意时刻网络总风险异常数据预警，其采样周期各安全状态信息，实现对网络安全状态的预测，为网络管理员提供决策依据，提高网络安全防护的准确性，生成的风险值对网络安全态势的量化更加精确。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于白名单的网络安全防护方法，其特征在于，包括以下步骤：

获取多维度数据，其中至少包括向云服务器获取白名单，所述白名单用于记录发起正常访问请求的网间协议IP地址；

对获取的所述多维度数据进行预处理，并生成待分析数据；

对所述待分析数据进行分析并生成用于预告威胁预警报告，至少包括态势感知，包括以下步骤：

标定态势感知参数信息，包括状态集合空间S、观测向量集合空间V、状态转移矩阵P、观测向量概率分布矩阵Q和初始状态概率分布矩阵π；

基于态势感知参数信息，获取每个采样周期的观测向量，并进行实时更新网络T时刻处于状态S_i的概率λ_t(i)，获取任意T时刻网络总风险R_T，表示为：

其中，λ_t(i)表示T时刻网络处于状态S_i的概率，C(i)为风险损失向量表示状态S_i相应的风险损失，N表示状态数目；

其中，所述获取任意T时刻网络总风险R_T，包括以下步骤：

预先进行获取观测序列，将警报模型化为笛卡尔积的形式，表示为：

其中，(A₁,A₂,…,A_n)表示警报的属性，

表示属性A_i的取值范围，警报的属性A_i包括警报的统计特性：警报出现频次AlF、警报关键程度AlC和警报严重程度AlS；

将各属性值作为警报质量的量化因子，将警报质量定义为各属性值连线所包围的面积之和，表示为：

其中，AlC和AlS分别表示警报关键程度和严重程度的属性值，AlF^*表示警报出现频次AlF的标准化值；

进行确定状态转移矩阵，包括：

定义状态转移矩阵的修正函数，表示为：

其中，AM为攻击者的类型，AC为攻击者的能力，AR为完成攻击所需要的资源，D为网络中的防护措施，i,j,k的取值由划分面决定，划分面为进入某种网络安全状态所必须的条件组合；

获取修正函数p更新状态G转移到状态R的概率P′_GR，表示为：

P′_GR＝P_GR×p

同理可分别求得状态B，C的修正函数，利用修正函数更新状态转移矩阵，表示为：

对所述任意T时刻网络总风险R_T进行的异常数据预警。

2.根据权利要求1所述的基于白名单的网络安全防护方法，其特征在于，所述获取多维度数据，还包括以下步骤：

进行解析通信数据包的数据链路层部分，并提取通信数据包的数据链路层信息；

进行解析通信数据包的网络层部分，并提取通信数据包的网络层信息；

进行解析通信数据包的传输层部分，并提取通信数据包的传输层信息；

并解析通信数据包的应用层部分，并提取通信数据包的应用层信息。

3.根据权利要求2所述的基于白名单的网络安全防护方法，其特征在于，所述白名单用于记录发起正常访问请求的网间协议IP地址，还包括进行白名单添加，包括以下步骤：

接收用户提交的请求信息，所述请求信息特征信息与白名单库特征信息匹配，其中，所述特征信息至少包括源MAC地址、源IP地址、端口号、标识符、协议ID和地址码；

确定当前提交的请求信息是否已入库所述白名单库；

若当前提交的请求信息为新用户提交，则进行建立新白名单并进行入库所述白名单库。

4.根据权利要求1所述的基于白名单的网络安全防护方法，其特征在于，还包括进行用户标记，包括以下步骤：

将当前异常访问用户进行标记，并提取当前访问用户特征信息入库黑名单；

禁止记录在所述黑名单中的IP地址的通信数据请求。

5.根据权利要求1所述的基于白名单的网络安全防护方法，其特征在于，所述警报出现频次AlF，表示单位时间内警报出现的相对次数，表示为：

6.根据权利要求5所述的基于白名单的网络安全防护方法，其特征在于，所述AlF^*表示警报出现频次AlF的标准化值，还包括以下步骤：

进行采用离差标准化的反函数将警报出现频次AlF标准化为AlF^*，表示为：

AlF^*＝AlF(Max-Min)+Min＝2AlF+1。

7.根据权利要求6所述的基于白名单的网络安全防护方法，其特征在于，所述获取任意T时刻网络总风险R_T，还包括以下步骤：

确定观测序列Ot和模型参数λ＝{S,V,P,Q，π}，更新T时刻网络处于状态S_i的概率λ_t＝{λ_t(i)}，表示为：

输入T时刻的观测向量Ot和模型参数λ，获取T时刻网络处于状态S_i的概率λ_t(i)；

进行实时更新T时刻网络处于状态S_i的概率λ_t(i)，并获取网络安全风险值R_T。

8.根据权利要求1所述的基于白名单的网络安全防护方法，其特征在于，所述异常数据预警，包括：

设定待分析数据的预警阈值；

若当前网络总风险R_T大于预警阈值，则进行预警。

Images