CN113438207B - 一种基于白名单的网络安全防护方法 - Google Patents
一种基于白名单的网络安全防护方法 Download PDFInfo
- Publication number
- CN113438207B CN113438207B CN202110619600.6A CN202110619600A CN113438207B CN 113438207 B CN113438207 B CN 113438207B CN 202110619600 A CN202110619600 A CN 202110619600A CN 113438207 B CN113438207 B CN 113438207B
- Authority
- CN
- China
- Prior art keywords
- network
- state
- white list
- alarm
- alf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000002159 abnormal effect Effects 0.000 claims abstract description 13
- 238000007781 pre-processing Methods 0.000 claims abstract description 4
- 238000004891 communication Methods 0.000 claims description 27
- 239000011159 matrix material Substances 0.000 claims description 24
- 239000013598 vector Substances 0.000 claims description 23
- 230000006870 function Effects 0.000 claims description 20
- 230000007704 transition Effects 0.000 claims description 19
- 238000012937 correction Methods 0.000 claims description 16
- 238000005070 sampling Methods 0.000 claims description 9
- 238000005192 partition Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000008447 perception Effects 0.000 claims description 5
- 239000006185 dispersion Substances 0.000 claims description 4
- 238000013139 quantization Methods 0.000 claims description 4
- 238000010606 normalization Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011002 quantification Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/16—Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Optimization (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computational Mathematics (AREA)
- Computing Systems (AREA)
- Mathematical Analysis (AREA)
- Pure & Applied Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Algebra (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于白名单的网络安全防护方法,涉及网络安全技术领域,包括以下步骤:获取多维度数据,对获取的所述多维度数据进行预处理,并生成待分析数据,对所述待分析数据进行分析并生成用于预告威胁预警报告,并进行任意时刻网络总风险异常数据预警。本发明采样周期各安全状态信息,实现对网络安全状态的预测,为网络管理员提供决策依据,提高网络安全防护的准确性,生成的风险值对网络安全态势的量化更加精确。
Description
技术领域
本发明涉及网络安全技术领域,具体来说,涉及一种基于白名单的网络安全防护方法。
背景技术
随着安全防护需求不断变化和网络攻击技术不断演进,安全防护技术也必须不断迭代。为了有效地应对安全威胁,必须从宏观全局上洞悉网络的整体安全风险,并针对全局安全威胁和局部安全威胁,动态调配差异化的安全防护资源对威胁进行处置,避免威胁“跃出局部,延至全网”甚至导致网络瘫痪的后果。
现有的网络安全防护系统根据功能定位不同,可能包括软件定义安全单元、安全态势分析单元、威胁处置指挥单元等部分。其中,安全态势分析单元从宏观上评估并预测网络安全风险;软件定义安全单元通过软件编程方式实现安全业务编排和管理;威胁处置指挥单元对威胁进行响应。但是,现有网络安全防护威胁处置效果验证方式单一:由威胁处置指挥单元对威胁处置效果进行验证,其验证主体和验证方式单一,不能保障效果验证的准确性和客观性,从而不能从根源上确保威胁处置措施的准确性。
检索中国专利CN 109698819 A存在以下三方面问题:1、威胁处置管理系统只能接收来自威胁检测系统的具体威胁报警后才能进行威胁处置,无法根据安全态势信息对设备进行调度;2、威胁处置管理系统不能接受安全编排结果,只能实现与其所管辖设备的联动;3、仅由威胁处置管理系统对威胁处置效果进行单源验证,其验证主体单一,缺乏双系统双重验证机制。
针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中的问题,本发明提出一种基于白名单的网络安全防护方法,以克服现有相关技术所存在的上述技术问题。
本发明的技术方案是这样实现的:
一种基于白名单的网络安全防护方法,包括以下步骤:
获取多维度数据,其中至少包括向云服务器获取白名单,所述白名单用于记录发起正常访问请求的网间协议IP地址;
对获取的所述多维度数据进行预处理,并生成待分析数据;
对所述待分析数据进行分析并生成用于预告威胁预警报告,至少包括态势感知,包括以下步骤:
标定态势感知参数信息,包括状态集合空间S、观测向量集合空间V、状态转移矩阵P、观测向量概率分布矩阵Q和初始状态概率分布矩阵π;
基于态势感知参数信息,获取每个采样周期的观测向量,并进行实时更新网络T时刻处于状态Si的概率λt(i),获取任意T时刻网络总风险RT,表示为:
其中,λt(i)表示T时刻网络处于状态Si的概率,C(i)为风险损失向量表示状态Si相应的风险损失,N表示状态数目。
对所述任意T时刻网络总风险RT进行的异常数据预警。
进一步的,所述获取多维度数据,还包括以下步骤:
进行解析通信数据包的数据链路层部分,并提取通信数据包的数据链路层信息;
进行解析通信数据包的网络层部分,并提取通信数据包的网络层信息;
进行解析通信数据包的传输层部分,并提取通信数据包的传输层信息;
并解析通信数据包的应用层部分,并提取通信数据包的应用层信息。
进一步的,所述白名单用于记录发起正常访问请求的网间协议IP地址,还包括进行白名单添加,包括以下步骤:
接收用户提交的请求信息,所述请求信息特征信息与白名单库特征信息匹配,其中,所述特征信息至少包括源MAC地址、源IP地址、端口号、标识符、协议ID和地址码;
确定当前提交的请求信息是否已入库所述白名单库;
若当前提交的请求信息为新用户提交,则进行建立新白名单并进行入库所述白名单库。
进一步的,还包括进行用户标记,包括以下步骤:
将当前异常访问用户进行标记,并提取当前访问用户特征信息入库黑名单;
禁止记录在所述黑名单中的IP地址的通信数据请求。
进一步的,所述获取任意T时刻网络总风险RT,包括以下步骤:
预先进行获取观测序列,将警报模型化为笛卡尔积的形式,表示为:
将各属性值作为警报质量的量化因子,将警报质量定义为各属性值连线所包围的面积之和,表示为:
其中,AlC和AlS分别表示警报关键程度和严重程度的属性值,AlF*表示警报出现频次AlF的标准化值;
进行确定状态转移矩阵,包括:
定义状态转移矩阵的修正函数,表示为:
其中,AM为攻击者的类型,AC为攻击者的能力,AR为完成攻击所需要的资源,D为网络中的防护措施,i,j,k的取值由划分面决定,划分面为进入某种网络安全状态所必须的条件组合;
获取修正函数p更新状态G转移到状态R的概率P′GR,表示为:
P′GR=PGR×p
同理可分别求得状态B,C的修正函数,利用修正函数更新状态转移矩阵,表示为:
进一步的,所述警报出现频次AlF,表示单位时间内警报出现的相对次数,表示为:
进一步的,所述AlF*表示警报出现频次AlF的标准化值,还包括以下步骤:
进行采用离差标准化的反函数将警报出现频次AlF标准化为AlF*,表示为:
AlF*=AlF(Max-Min)+Min=2AlF+1。
进一步的,所述获取任意T时刻网络总风险RT,还包括以下步骤:
确定观测序列Ot和模型参数λ={S,V,P,Q,π},更新T时刻网络处于状态Si的概率λt={λt(i)},表示为:
输入T时刻的观测向量Ot和模型参数λ,获取T时刻网络处于状态Si的概率λt(i);
进行实时更新T时刻网络处于状态Si的概率λt(i),并获取网络安全风险值RT。
进一步的,所述异常数据预警,包括:
设定待分析数据的预警阈值;
若当前网络总风险RT大于预警阈值,则进行预警。
本发明的有益效果:
本发明基于白名单的网络安全防护方法,通过获取多维度数据,对获取的所述多维度数据进行预处理,并生成待分析数据,对所述待分析数据进行分析并生成用于预告威胁预警报告,并进行任意时刻网络总风险异常数据预警,其采样周期各安全状态信息,实现对网络安全状态的预测,为网络管理员提供决策依据,提高网络安全防护的准确性,生成的风险值对网络安全态势的量化更加精确。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的一种基于白名单的网络安全防护方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的实施例,提供了一种基于白名单的网络安全防护方法。
如图1所示,根据本发明实施例的基于白名单的网络安全防护方法,包括以下步骤:
获取多维度数据,其中至少包括向云服务器获取白名单,所述白名单用于记录发起正常访问请求的网间协议IP地址;
对获取的所述多维度数据进行预处理,并生成待分析数据;
对所述待分析数据进行分析并生成用于预告威胁预警报告,至少包括态势感知,包括以下步骤:
标定态势感知参数信息,包括状态集合空间S、观测向量集合空间V、状态转移矩阵P、观测向量概率分布矩阵Q和初始状态概率分布矩阵π;
基于态势感知参数信息,获取每个采样周期的观测向量,并进行实时更新网络T时刻处于状态Si的概率λt(i),获取任意T时刻网络总风险RT,表示为:
其中,λt(i)表示T时刻网络处于状态Si的概率,C(i)为风险损失向量表示状态Si相应的风险损失,N表示状态数目。
对所述任意T时刻网络总风险RT进行的异常数据预警。
其中,所述获取多维度数据,还包括以下步骤:
进行解析通信数据包的数据链路层部分,并提取通信数据包的数据链路层信息;
进行解析通信数据包的网络层部分,并提取通信数据包的网络层信息;
进行解析通信数据包的传输层部分,并提取通信数据包的传输层信息;
并解析通信数据包的应用层部分,并提取通信数据包的应用层信息。
其中,所述白名单用于记录发起正常访问请求的网间协议IP地址,还包括进行白名单添加,包括以下步骤:
接收用户提交的请求信息,所述请求信息特征信息与白名单库特征信息匹配,其中,所述特征信息至少包括源MAC地址、源IP地址、端口号、标识符、协议ID和地址码;
确定当前提交的请求信息是否已入库所述白名单库;
若当前提交的请求信息为新用户提交,则进行建立新白名单并进行入库所述白名单库。
其中,还包括进行用户标记,包括以下步骤:
将当前异常访问用户进行标记,并提取当前访问用户特征信息入库黑名单;
禁止记录在所述黑名单中的IP地址的通信数据请求。
其中,所述获取任意T时刻网络总风险RT,包括以下步骤:
预先进行获取观测序列,将警报模型化为笛卡尔积的形式,表示为:
将各属性值作为警报质量的量化因子,将警报质量定义为各属性值连线所包围的面积之和,表示为:
其中,AlC和AlS分别表示警报关键程度和严重程度的属性值,AlF*表示警报出现频次AlF的标准化值;
进行确定状态转移矩阵,包括:
定义状态转移矩阵的修正函数,表示为:
其中,AM为攻击者的类型,AC为攻击者的能力,AR为完成攻击所需要的资源,D为网络中的防护措施,i,j,k的取值由划分面决定,划分面为进入某种网络安全状态所必须的条件组合;
获取修正函数p更新状态G转移到状态R的概率P′GR,表示为:
P′GR=PGR×p
同理可分别求得状态B,C的修正函数,利用修正函数更新状态转移矩阵,表示为:
其中,所述警报出现频次AlF,表示单位时间内警报出现的相对次数,表示为:
其中,所述AlF*表示警报出现频次AlF的标准化值,还包括以下步骤:
进行采用离差标准化的反函数将警报出现频次AlF标准化为AlF*,表示为:
AlF*=AlF(Max-Min)+Min=2AlF+1。
其中,所述获取任意T时刻网络总风险RT,还包括以下步骤:
确定观测序列Ot和模型参数λ={S,V,P,Q,π},更新T时刻网络处于状态Si的概率λt={λt(i)},表示为:
输入T时刻的观测向量Ot和模型参数λ,获取T时刻网络处于状态Si的概率λt(i);
进行实时更新T时刻网络处于状态Si的概率λt(i),并获取网络安全风险值RT。
其中,所述异常数据预警,包括:
设定待分析数据的预警阈值;
若当前网络总风险RT大于预警阈值,则进行预警。
借助于上述方案,通过获取多维度数据,对获取的所述多维度数据进行预处理,并生成待分析数据,对所述待分析数据进行分析并生成用于预告威胁预警报告,并进行任意时刻网络总风险异常数据预警,其采样周期各安全状态信息,实现对网络安全状态的预测,为网络管理员提供决策依据,提高网络安全防护的准确性,生成的风险值对网络安全态势的量化更加精确。
具体的,其隐马尔可夫模型由五元组构成λ={S,V,P,Q,π},具体表示为:
其中,S为状态集合空间,S={S1,S2,…,SN},其中,SN表示一个独立的状态,N表示状态的数目,不同的安全事件导致网络进入不同的安全状态,依据安全事件的划分,将网络的安全状态划分为安全状态G、探测状态R、入侵状态B和攻陷状态C,即S={G,R,B,C},其中:
安全状态G表示网络中不存在任何攻击行为,处于安全状态;
探测状态R表示网络中存在扫描类的行为,攻击者采集信息阶段;
入侵状态B表示网络中存在破坏系统权限的行为,攻击者入侵网络阶段;
攻陷阶段C表示网络已被攻陷,攻击者获得系统权限。
其中,V为观测向量集合空间,V={v1,v2,...,vm},其中,vm表示观测向量,m表示各状态观测向量值的数目,进行将原始警报进行分类,根据警报所代表的安全事件,将警报分为4类V={g,r,b,c},其中;g表示在采样周期内,没有采集到任何警报信息;r表示扫描类的警报信息;b表示入侵类的警报信息;c表示获取root权限的警报信息。
其中,P为状态转移矩阵,表示从一个状态转移到另一个状态的概率分布,P={pij},其中pij=P(qt+1=Sj∣qt=Si),1≤i,j≤N,表示在T时刻网络处于Si状态,在T+1时刻处于Si状态的概率。
其中,Q为观测向量概率分布矩阵Q={qi(vr)},其中,
qi(vr)=p(o=vr∣qt=Si),1≤i≤N,1≤r≤M,表示T时刻,网络处于状态Si且观测到的警报信息为vr的概率。
其中,π为初始状态概率分布矩阵,π={πi},其中,πi=p(q1=Si),1≤i≤N,表示在最初时刻,网络处于状态Si的概率。
另外,根据每个采样周期获取的观测向量可实时更新网络T时刻处于状态Si的概率λt(i),获取任意T时刻网络总风险RT,表示为:
其中,λt(i)表示T时刻网络处于状态Si的概率,C(i)为风险损失向量表示状态Si相应的风险损失,N表示状态数目。
具体的,包括以下步骤:
预先获取观测序列:
警报质量QoA(Quality of Alert),指警报表征网络安全特性的有效程度,警报的质量越高,越能有效表征网络的安全特性,为了量化警报质量,首先将警报模型化为笛卡尔积的形式:
其中,(A1,A2,…,An)表示警报的属性,表示属性Ai的取值范围,警报的属性Ai既包括警报的基本属性,如警报的源IP、目的IP、类型以及产生时间等,也包括警报的统计特性,如警报出现频次AlF(Alert Frequency),警报关键程度AlC(Alert Criticality)以及警报严重程度AlS(Alert Severity)。
其中,警报出现频次AlF表示单位时间内警报出现的相对次数,安全设备的特性决定针对某一攻击行为,在短时间内会产生大量同类型的警报信息,即出现频次越高的警报信息越能刻画当前的网络攻击行为,因此将警报出现频次作为警报质量的一个统计特征,定义为:
警报关键程度AlC,指警报表征网络安全状态发生转变的强弱程度。警报的关键程度越高表示网络安全状态发生转变的可能性越大。监测过程中,若出现新的警报,表明网络中存在新的攻击行为,网络安全状态发生转变的可能性增加,因此将警报的出现节点作为警报关键程度的指征,根据警报的出现情况,将其分为3类:本采样周期内已出现过的警报;在之前的N个周期内出现过的警报;在之前的N个周期内未出现过的警报。其相应的优先级别分别设为1,2,3;其中,周期N优选设置为3。
警报严重程度AlS表示警报产生的影响,严重程度越高表明其对安全状态的影响越大。将警报严重程度划分为高、中、低3个等级,分别设置为1,2,3。
具体的,将各属性值作为警报质量的量化因子,将警报质量定义为各属性值连线所包围的面积之和,表示为:
其中,AlC和AlS分别表示警报关键程度和严重程度的属性值;AlF*表示警报出现频次AlF的标准化值。因为AlF∈[0,1],与其他属性的取值范围不同,为均衡各属性对警报质量的影响,应保证各属性具有相同的值域,因此采用离差标准化的反函数将警报出现频次AlF标准化为AlF*:
AlF*=AlF(Max-Min)+Min=2AlF+1
标准化值AlF*∈[1,3],与其它属性具有相同的值域。
另外,确定状态转移矩阵:定义状态转移矩阵的修正函数,表示为:
其中,AM为攻击者的类型,AC为攻击者的能力,AR为完成攻击所需要的资源,D为网络中的防护措施,i,j,k的取值由划分面决定,划分面是指进入某种网络安全状态所必须的条件组合。
其修正函数p更新状态G转移到状态R的概率P′GR,表示为:
P′GR=PGR×p
同理可分别求得状态B,C的修正函数,利用修正函数更新状态转移矩阵,表示为:
另外,进行网络状态更新算法:
具体的,确定观测序列Ot和模型参数λ={S,V,P,Q,π},更新T时刻网络处于状态Si的概率λt={λt(i)},表示为:
输入:T时刻的观测向量Ot和模型参数λ;
输出:T时刻网络处于状态Si的概率λt(i);
α1(i)=πiqi(O1)
其中,实时更新T时刻网络处于状态Si的概率λt(i),结合风险损失向量C(i),可求解网络安全风险值RT。
综上所述,借助于本发明的上述技术方案,通过获取多维度数据,对获取的所述多维度数据进行预处理,并生成待分析数据,对所述待分析数据进行分析并生成用于预告威胁预警报告,并进行任意时刻网络总风险异常数据预警,其采样周期各安全状态信息,实现对网络安全状态的预测,为网络管理员提供决策依据,提高网络安全防护的准确性,生成的风险值对网络安全态势的量化更加精确。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于白名单的网络安全防护方法,其特征在于,包括以下步骤:
获取多维度数据,其中至少包括向云服务器获取白名单,所述白名单用于记录发起正常访问请求的网间协议IP地址;
对获取的所述多维度数据进行预处理,并生成待分析数据;
对所述待分析数据进行分析并生成用于预告威胁预警报告,至少包括态势感知,包括以下步骤:
标定态势感知参数信息,包括状态集合空间S、观测向量集合空间V、状态转移矩阵P、观测向量概率分布矩阵Q和初始状态概率分布矩阵π;
基于态势感知参数信息,获取每个采样周期的观测向量,并进行实时更新网络T时刻处于状态Si的概率λt(i),获取任意T时刻网络总风险RT,表示为:
其中,λt(i)表示T时刻网络处于状态Si的概率,C(i)为风险损失向量表示状态Si相应的风险损失,N表示状态数目;
其中,所述获取任意T时刻网络总风险RT,包括以下步骤:
预先进行获取观测序列,将警报模型化为笛卡尔积的形式,表示为:
将各属性值作为警报质量的量化因子,将警报质量定义为各属性值连线所包围的面积之和,表示为:
其中,AlC和AlS分别表示警报关键程度和严重程度的属性值,AlF*表示警报出现频次AlF的标准化值;
进行确定状态转移矩阵,包括:
定义状态转移矩阵的修正函数,表示为:
其中,AM为攻击者的类型,AC为攻击者的能力,AR为完成攻击所需要的资源,D为网络中的防护措施,i,j,k的取值由划分面决定,划分面为进入某种网络安全状态所必须的条件组合;
获取修正函数p更新状态G转移到状态R的概率P′GR,表示为:
P′GR=PGR×p
同理可分别求得状态B,C的修正函数,利用修正函数更新状态转移矩阵,表示为:
对所述任意T时刻网络总风险RT进行的异常数据预警。
2.根据权利要求1所述的基于白名单的网络安全防护方法,其特征在于,所述获取多维度数据,还包括以下步骤:
进行解析通信数据包的数据链路层部分,并提取通信数据包的数据链路层信息;
进行解析通信数据包的网络层部分,并提取通信数据包的网络层信息;
进行解析通信数据包的传输层部分,并提取通信数据包的传输层信息;
并解析通信数据包的应用层部分,并提取通信数据包的应用层信息。
3.根据权利要求2所述的基于白名单的网络安全防护方法,其特征在于,所述白名单用于记录发起正常访问请求的网间协议IP地址,还包括进行白名单添加,包括以下步骤:
接收用户提交的请求信息,所述请求信息特征信息与白名单库特征信息匹配,其中,所述特征信息至少包括源MAC地址、源IP地址、端口号、标识符、协议ID和地址码;
确定当前提交的请求信息是否已入库所述白名单库;
若当前提交的请求信息为新用户提交,则进行建立新白名单并进行入库所述白名单库。
4.根据权利要求1所述的基于白名单的网络安全防护方法,其特征在于,还包括进行用户标记,包括以下步骤:
将当前异常访问用户进行标记,并提取当前访问用户特征信息入库黑名单;
禁止记录在所述黑名单中的IP地址的通信数据请求。
6.根据权利要求5所述的基于白名单的网络安全防护方法,其特征在于,所述AlF*表示警报出现频次AlF的标准化值,还包括以下步骤:
进行采用离差标准化的反函数将警报出现频次AlF标准化为AlF*,表示为:
AlF*=AlF(Max-Min)+Min=2AlF+1。
7.根据权利要求6所述的基于白名单的网络安全防护方法,其特征在于,所述获取任意T时刻网络总风险RT,还包括以下步骤:
确定观测序列Ot和模型参数λ={S,V,P,Q,π},更新T时刻网络处于状态Si的概率λt={λt(i)},表示为:
输入T时刻的观测向量Ot和模型参数λ,获取T时刻网络处于状态Si的概率λt(i);
进行实时更新T时刻网络处于状态Si的概率λt(i),并获取网络安全风险值RT。
8.根据权利要求1所述的基于白名单的网络安全防护方法,其特征在于,所述异常数据预警,包括:
设定待分析数据的预警阈值;
若当前网络总风险RT大于预警阈值,则进行预警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110619600.6A CN113438207B (zh) | 2021-06-03 | 2021-06-03 | 一种基于白名单的网络安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110619600.6A CN113438207B (zh) | 2021-06-03 | 2021-06-03 | 一种基于白名单的网络安全防护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113438207A CN113438207A (zh) | 2021-09-24 |
CN113438207B true CN113438207B (zh) | 2022-07-19 |
Family
ID=77803453
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110619600.6A Active CN113438207B (zh) | 2021-06-03 | 2021-06-03 | 一种基于白名单的网络安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113438207B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107704432A (zh) * | 2017-07-28 | 2018-02-16 | 西安理工大学 | 一种转移概率自适应的交互多模型目标跟踪方法 |
CN108696534A (zh) * | 2018-06-26 | 2018-10-23 | 中国人民解放军战略支援部队信息工程大学 | 实时网络安全威胁预警分析方法及其装置 |
CN109767351A (zh) * | 2018-12-24 | 2019-05-17 | 国网山西省电力公司信息通信分公司 | 一种电力信息系统日志数据的安全态势感知方法 |
CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104917779B (zh) * | 2015-06-26 | 2018-11-09 | 北京奇安信科技有限公司 | 一种基于云的cc攻击的防护方法、装置及系统 |
US10185832B2 (en) * | 2015-08-12 | 2019-01-22 | The United States Of America As Represented By The Secretary Of The Army | Methods and systems for defending cyber attack in real-time |
CN106603489A (zh) * | 2016-11-08 | 2017-04-26 | 南京南瑞继保电气有限公司 | 一种变电站网络安全管控装置 |
US10848515B1 (en) * | 2016-12-02 | 2020-11-24 | University Of South Florida | Predictive model for overall network security risk |
CN109117641A (zh) * | 2018-08-15 | 2019-01-01 | 北京理工大学 | 一种基于i-hmm的网络安全风险评估方法 |
CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
CN111709028B (zh) * | 2020-04-21 | 2023-04-07 | 中国科学院信息工程研究所 | 一种网络安全状态评估和攻击预测方法 |
CN112039704B (zh) * | 2020-08-31 | 2022-03-29 | 中国民航大学 | 一种基于风险传播的信息系统风险评估方法 |
-
2021
- 2021-06-03 CN CN202110619600.6A patent/CN113438207B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107704432A (zh) * | 2017-07-28 | 2018-02-16 | 西安理工大学 | 一种转移概率自适应的交互多模型目标跟踪方法 |
CN108696534A (zh) * | 2018-06-26 | 2018-10-23 | 中国人民解放军战略支援部队信息工程大学 | 实时网络安全威胁预警分析方法及其装置 |
CN109767351A (zh) * | 2018-12-24 | 2019-05-17 | 国网山西省电力公司信息通信分公司 | 一种电力信息系统日志数据的安全态势感知方法 |
CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113438207A (zh) | 2021-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
CN113965404B (zh) | 一种网络安全态势自适应主动防御系统及方法 | |
CN108494810B (zh) | 面向攻击的网络安全态势预测方法、装置及系统 | |
Holgado et al. | Real-time multistep attack prediction based on hidden markov models | |
US8839440B2 (en) | Apparatus and method for forecasting security threat level of network | |
CN111131338A (zh) | 感知态势处物联网安全检测方法、系统及存储介质 | |
CN109587179A (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
CN111641653A (zh) | 基于云平台的网络安全威胁态势感知系统 | |
CN110020687B (zh) | 基于操作人员态势感知画像的异常行为分析方法及装置 | |
CN112165470B (zh) | 一种基于日志大数据分析的智能终端接入安全预警系统 | |
CN110830467A (zh) | 基于模糊预测的网络可疑资产识别方法 | |
US20170235960A1 (en) | Intelligent system for forecasting threats in a virtual attack domain | |
CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
CN112491779A (zh) | 一种异常行为检测方法及装置、电子设备 | |
CN117478441B (zh) | 基于用户行为智能分析的动态访问控制方法及系统 | |
CN114095232A (zh) | 基于隐马尔可夫的电力信息系统动态威胁定量分析方法 | |
CN115766068A (zh) | 一种网络安全事件等级分类方法、装置、设备、介质 | |
CN112733893A (zh) | 一种通信网络安全态势感知防护处置技术及方法 | |
CN111209564B (zh) | 一种云平台安全状态预测方法、装置、设备及存储介质 | |
CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
CN113704772A (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
CN113438207B (zh) | 一种基于白名单的网络安全防护方法 | |
CN115706671A (zh) | 网络安全防御方法、装置以及存储介质 | |
Al-Araji et al. | Attack prediction to enhance attack path discovery using improved attack graph | |
CN111865899A (zh) | 威胁驱动的协同采集方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CB03 | Change of inventor or designer information |
Inventor after: Qiao Bingxu Inventor after: Zhang Yuxiang Inventor before: Zhang Yuxiang |