CN115296870A - 一种基于大数据的网络安全保护方法和网络安全保护平台 - Google Patents

Abstract

本发明属于网络安全保护技术领域，公开了一种基于大数据的网络安全保护方法和网络安全保护平台，所述基于大数据的网络安全保护平台包括：网络数据完整性检测模块、网络攻击检测模块、主控模块、网络访问身份验证模块、网络数据备份模块、保护强度评估模块、网络优化模块、显示模块。本发明通过保护强度评估模块克服了传统的定性评估方法的局限性，使评估结果更具确定性，更为可信；基于目标网络安全保护强度的评估结果；同时，通过网络优化模块实现了精确测评不同应用场景目标网络质量且根据测评结果进行目标网络优化的有益效果，提高了目标网络性能和当前目标网络的有效利用率。

Description

一种基于大数据的网络安全保护方法和网络安全保护平台

技术领域

本发明属于网络安全保护技术领域，尤其涉及一种基于大数据的网络安全保护方法和网络安全保护平台。

背景技术

网络安全，通常指计算机网络的安全，实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来，在通信软件的支持下，实现计算机间的信息传输与交换的系统。而计算机网络是指以共享资源为目的，利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来，并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享，通信网络是实现网络资源共享的途径，因此，计算机网络是安全的，相应的计算机通信网络也必须是安全的，应该能为网络用户实现信息交换与资源共享。下文中，网络安全既指计算机网络安全，又指计算机通信网络安全。然而，现有基于大数据的网络安全保护方法和网络安全保护平台对目标网络安全保护强度分析一般采用对标方法或者基于漏洞的风险评估方法，很难对目标网络的真实安全保护强度进行定量化分析；同时，网络质量差，有效利用率低。

通过上述分析，现有技术存在的问题及缺陷为：

(1)现有基于大数据的网络安全保护方法和网络安全保护平台对目标网络安全保护强度分析一般采用对标方法或者基于漏洞的风险评估方法，很难对目标网络的真实安全保护强度进行定量化分析。

(2)网络质量差，有效利用率低。

发明内容

针对现有技术存在的问题，本发明提供了一种基于大数据的网络安全保护方法和网络安全保护平台。

本发明是这样实现的，一种基于大数据的网络安全保护平台包括：

网络数据完整性检测模块、网络攻击检测模块、主控模块、网络访问身份验证模块、网络数据备份模块、保护强度评估模块、网络优化模块、显示模块；

网络数据完整性检测模块，与主控模块连接，用于检测网络数据的完整性；

网络攻击检测模块，与主控模块连接，用于检测网络攻击信息；

主控模块，与网络数据完整性检测模块、网络攻击检测模块、网络访问身份验证模块、网络数据备份模块、保护强度评估模块、网络优化模块、显示模块连接，用于控制各个模块正常工作；

网络访问身份验证模块，与主控模块连接，用于通过验证程序对网络访问身份进行验证；

网络数据备份模块，与主控模块连接，用于对网络数据进行备份；

保护强度评估模块，与主控模块连接，用于通过评估程序对网络保护强度进行评估；

网络优化模块，与主控模块连接，用于通过优化程序对网络安全进行优化；

显示模块，与主控模块连接，用于通过显示器显示网络数据完整性检测信息、网络攻击检测信息、网络访问身份验证结果、保护强度评估结果、网络优化信息。

本发明的另一目的在于提供基于大数据的网络安全保护方法包括以下步骤：

步骤一，通过网络数据完整性检测模块检测网络数据的完整性；通过网络攻击检测模块检测网络攻击信息；

步骤二，主控模块通过网络访问身份验证模块利用验证程序对网络访问身份进行验证；

步骤三，通过网络数据备份模块对网络数据进行备份；通过保护强度评估模块利用评估程序对网络保护强度进行评估；

步骤四，通过网络优化模块利用优化程序对网络安全进行优化；通过显示模块利用显示器显示网络数据完整性检测信息、网络攻击检测信息、网络访问身份验证结果、保护强度评估结果、网络优化信息。

进一步，所述保护强度评估模块评估方法如下：

1)采用目标网络节点中的软件行为监视代理程序通过以下步骤持续监视并采集节点的软件行为特征，并将所述软件行为特征发送到软件行为数据库：对软件行为特征进行分析；

统计相应时间范围内的软件行为记录数量，从而获得可执行代码调用总数，分别统计可信和不可信的可执行代码调用总数及其被成功调用的总数；

按安全域划分，基于IP地址分别统计各安全域内可信和不可信的可执行代码调用总数及其被成功调用的总数；

按用户名分别统计各用户可执行代码调用总量、可信和不可信的可执行代码调用总数及其被成功调用的总数；

2)从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成目标网络安全分析模型；

3)目标网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估，计算出定量化的目标网络安全保护强度，定量化的目标网络安全保护强度包括系统中可信和不可信代码调用总次数以及被成功调用次数的比例，各区域中可信和不可信代码调用总次数以及被成功调用次数的比例，各用户可信和不可信代码调用总次数以及被成功调用次数的比例。

进一步，所述将软件行为监视代理程序通过钩子程序的方式置于目标网络节点的系统内核中，并采用内核保护机制进行保护。

进一步，所述机器学习算法采用隐马尔科夫模型算法，将目标网络安全保护强度作为隐马尔科夫模型的状态变量，将软件行为特征作为观测变量。

进一步，所述软件行为特征为可执行代码的调用和执行状态信息，所述调用和执行状态信息包括被调用代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户。

进一步，所述网络优化模块优化方法如下：

(1)对网络安全进行监测，并对目标网络安全态势进行评估；根据终端定义的目标网络类型，统计当前目标网络参数并采用改进的层级分析法建立场景模型，获取当前目标网络条件下单个目标网络场景所对应的单场景目标网络质量；所述改进的层级分析法指的是将单个目标网络场景分为方案层、决策层和目标层，定义当前目标网络为方案层，定义目标网络参数为决策层，定义单场景目标网络质量为目标层，对方案层、决策层和目标层从下到上逐层对整体目标网络情况进行评测，获取单场景目标网络质量；

具体包括：

根据终端定义的目标网络类型，统计当前目标网络参数；

根据所述当前目标网络参数以及所述目标网络参数之间的相对权重，对所述目标网络类型进行描述，获取目标网络场景成对比较矩阵；

判断所述成对比较矩阵是否满足一致性要求；

若是，则获取所述成对比较矩阵所对应的特征矩阵的特征值，进而获取最大特征值所对应的特征向量；

将所述特征向量进行归一化，获取所述单场景目标网络质量的决策权重向量，并根据所述决策权重向量和所述当前目标网络参数，获取所述单场景目标网络质量；

(2)根据所述终端对当前目标网络的期望配置和描述，比对所述单场景目标网络质量，获取所述目标网络在所述终端期望配置下的期望目标网络质量；

(3)参照所述单场景目标网络质量和所述期望目标网络质量，优化当前目标网络；

所述对目标网络安全态势进行评估方法：

步骤1，构建适用于BP神经网络进行评估的目标网络安全态势评估指标体系模型；

结合目标网络运行状态、目标网络威胁、目标网络攻击目标网络要素特点，按照危险级别从低到高将网络状态分为4个等级：

为了便于神经目标网络进行安全状态评估利用数值对4级目标网络安全状态级别进行定量描述，其中等级1安全指数值为0.0-0.2，等级2安全指数值为0.2-0.5，等级3安全指数值为0.5-0.8，等级4安全指数值为0.8-1；

步骤2，使用遗传算法训练神经目标网络，首先将神经目标网络的拓扑结构进行固定，之后使用遗传算法进行目标网络权重的优化，使用遗传算法进化神经目标网络的拓扑结构连接权重的主要分为以下几个步骤：

1)给出神经目标网络权重的编码方案，同时生成初始群体；如果采用二进制编码会造成编码串过长，同时还需要解码为实数，从而影响神经目标网络的学习精度，所以直接采用实数编码，将神经目标网络的各个权值按照从输入到输出、从左到右的顺序级联成一个长串，串上的每个位置就对应目标网络的一个权值；

2)解码初始群体中的每个个体，并构造出其相对应的神经目标网络；将目标网络中的权值按照公式(1)进行随机确定，使得遗传算法能够搜索到所有可行解的范围；

P_initial＝±exp(-|γ|)，|γ|＜4 (1)

3)根据性能评价准则计算出目标网络适合度；

4)根据适合度大小决定每个个体繁衍后代的概率，同时完成选种操作；

5)选种之后的群体按照一定的概率使用交配、突变操作得到新一代的群体；

6)计算神经目标网络的输出以及评估输出结果看是否满足要求；

7)评估结果满足要求则转到8)，否则返回步骤2的2)；

8)计算神经目标网络输出，同时进行神经目标网络性能评估；

9)评估结果满足要求则转到11)，否则转到10)；

10)计算正向、反向误差，调节神经目标网络权值和阈值，并返回8)；

11)经过遗传算法优化神经目标网络之后，使得神经目标网络的计算结果也满足要求，此时存储神经目标网络的权值，同时记录神经目标网络的输出，整个评估过程结束；

步骤3，将遗传神经目标网络应用于目标网络安全态势评估中，通过对目标网络设备收集的信息进行分析、评估，得到目标网络当前的安全状态，主要步骤如下：

对目标网络安全设备收集的数据进行预处理，使用IDS、目标网络扫描工具各种检测设备获取目标网络信息，同时对原始信息进行筛选处理，提取出能够反映目标网络安全态势的各个指标值，同时使用公式(2)进行归一化处理，将处理后的结果作为BP神经网络的输入向量；

使用遗传神经目标网络进行目标网络安全评估；采用三层BP神经网络进行目标网络安全态势的评估，同时使用公式(3)的S函数作为神经目标网络的映射函数，使用公式(4)进行学习速率的自适应调节，其中η指学习速率，E为误差；

得到目标网络当前安全状态，使用遗传神经目标网络输出得到0-1之间的安全指数值，不同的指数值对应不同的目标网络安全等级，从而就获取到当前目标网络安全状态。

进一步，所述参照所述单场景目标网络质量和所述期望目标网络质量，优化当前目标网络包括通过应用控制和流量控制措施对内网进行优化，并在内网质量不理想的情况下，限制不关键的应用和流量使用；并且还通过对目标网络流量的链路选择、链路优化措施对目标网络设备进行优化。

进一步，所述根据所述终端对当前目标网络的期望配置和描述，比对所述单场景目标网络质量，获取所述目标网络在所述终端期望配置下的期望目标网络质量之后还包括步骤：

参照所述单场景目标网络质量和所述期望目标网络质量，所述终端优化当前目标网络。

进一步，所述参照所述单场景目标网络质量和所述期望目标网络质量，所述终端优化当前目标网络具体包括：

识别当前目标网络应用场景，根据所述配置并描述的期望目标网络，获取期望目标网络矩阵；

根据所述期望目标网络矩阵，判断当前目标网络质量值是否大于预置阈值；

若否，则优化当前目标网络。

结合上述的技术方案和解决的技术问题，请从以下几方面分析本发明所要保护的技术方案所具备的优点及积极效果为：

第一、针对上述现有技术存在的技术问题以及解决该问题的难度，紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等，详细、深刻地分析本发明技术方案如何解决的技术问题，解决问题之后带来的一些具备创造性的技术效果。具体描述如下：

本发明通过保护强度评估模块可以观测的目标网络软件行为特征，推算出不可以直接观测的目标网络安全保护强度；通过定量化的评估方法克服了传统的定性评估方法的局限性，使评估结果更具确定性，更为可信；基于目标网络安全保护强度的评估结果；同时，通过网络优化模块针对不同的目标网络场景，根据获取的当前目标网络条件下单个目标网络场景所对应的单场景目标网络质量，同时精确地给出满足终端需求的整体目标网络性能指标的期望目标网络质量，并根据所述单场景目标网络质量和期望目标网络质量，优化当前目标网络的方法，真实地反馈了当前目标网络对各目标网络场景的适用情况，实现了精确测评不同应用场景目标网络质量且根据测评结果进行目标网络优化的有益效果，提高了目标网络性能和当前目标网络的有效利用率。

第二，把技术方案看做一个整体或者从产品的角度，本发明所要保护的技术方案具备的技术效果和优点，具体描述如下：

本发明通过保护强度评估模块可以观测的目标网络软件行为特征，推算出不可以直接观测的目标网络安全保护强度；通过定量化的评估方法克服了传统的定性评估方法的局限性，使评估结果更具确定性，更为可信；基于目标网络安全保护强度的评估结果；同时，通过网络优化模块针对不同的目标网络场景，根据获取的当前目标网络条件下单个目标网络场景所对应的单场景目标网络质量，同时精确地给出满足终端需求的整体目标网络性能指标的期望目标网络质量，并根据所述单场景目标网络质量和期望目标网络质量，优化当前目标网络的方法，真实地反馈了当前目标网络对各目标网络场景的适用情况，实现了精确测评不同应用场景目标网络质量且根据测评结果进行目标网络优化的有益效果，提高了目标网络性能和当前目标网络的有效利用率。

附图说明

图1是本发明实施例提供的基于大数据的网络安全保护方法流程图。

图2是本发明实施例提供的基于大数据的网络安全保护平台结构框图。

图3是本发明实施例提供的保护强度评估模块评估方法流程图。

图4是本发明实施例提供的网络优化模块优化方法流程图。

图2中：1、网络数据完整性检测模块；2、网络攻击检测模块；3、主控模块；4、网络访问身份验证模块；5、网络数据备份模块；6、保护强度评估模块；7、网络优化模块；8、显示模块。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现，该部分是对权利要求技术方案进行展开说明的解释说明实施例。

如图1所示，本发明提供的基于大数据的网络安全保护方法包括以下步骤：

S101，通过网络数据完整性检测模块检测网络数据的完整性；通过网络攻击检测模块检测网络攻击信息；

S102，主控模块通过网络访问身份验证模块利用验证程序对网络访问身份进行验证；

S103，通过网络数据备份模块对网络数据进行备份；通过保护强度评估模块利用评估程序对网络保护强度进行评估；

S104，通过网络优化模块利用优化程序对网络安全进行优化；通过显示模块利用显示器显示网络数据完整性检测信息、网络攻击检测信息、网络访问身份验证结果、保护强度评估结果、网络优化信息。

如图2所示，本发明实施例提供的基于大数据的网络安全保护平台包括：网络数据完整性检测模块1、网络攻击检测模块2、主控模块3、网络访问身份验证模块4、网络数据备份模块5、保护强度评估模块6、网络优化模块7、显示模块8。

网络数据完整性检测模块1，与主控模块3连接，用于检测网络数据的完整性；

网络攻击检测模块2，与主控模块3连接，用于检测网络攻击信息；

主控模块3，与网络数据完整性检测模块1、网络攻击检测模块2、网络访问身份验证模块4、网络数据备份模块5、保护强度评估模块6、网络优化模块7、显示模块8连接，用于控制各个模块正常工作；

网络访问身份验证模块4，与主控模块3连接，用于通过验证程序对网络访问身份进行验证；

网络数据备份模块5，与主控模块3连接，用于对网络数据进行备份；

保护强度评估模块6，与主控模块3连接，用于通过评估程序对网络保护强度进行评估；

网络优化模块7，与主控模块3连接，用于通过优化程序对网络安全进行优化；

显示模块8，与主控模块3连接，用于通过显示器显示网络数据完整性检测信息、网络攻击检测信息、网络访问身份验证结果、保护强度评估结果、网络优化信息。

如图3所示，本发明提供的保护强度评估模块6评估方法如下：

S201，采用目标网络节点中的软件行为监视代理程序通过以下步骤持续监视并采集节点的软件行为特征，并将所述软件行为特征发送到软件行为数据库：对软件行为特征进行分析；

统计相应时间范围内的软件行为记录数量，从而获得可执行代码调用总数，分别统计可信和不可信的可执行代码调用总数及其被成功调用的总数；

按安全域划分，基于IP地址分别统计各安全域内可信和不可信的可执行代码调用总数及其被成功调用的总数；

按用户名分别统计各用户可执行代码调用总量、可信和不可信的可执行代码调用总数及其被成功调用的总数；

S202，从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成目标网络安全分析模型；

S203，目标网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估，计算出定量化的目标网络安全保护强度，定量化的目标网络安全保护强度包括系统中可信和不可信代码调用总次数以及被成功调用次数的比例，各区域中可信和不可信代码调用总次数以及被成功调用次数的比例，各用户可信和不可信代码调用总次数以及被成功调用次数的比例。

本发明提供的将软件行为监视代理程序通过钩子程序的方式置于目标网络节点的系统内核中，并采用内核保护机制进行保护。

本发明提供的机器学习算法采用隐马尔科夫模型算法，将目标网络安全保护强度作为隐马尔科夫模型的状态变量，将软件行为特征作为观测变量。

本发明提供的软件行为特征为可执行代码的调用和执行状态信息，所述调用和执行状态信息包括被调用代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户。

如图4所示，本发明提供的网络优化模块7优化方法如下：

S301，对网络安全进行监测，并对目标网络安全态势进行评估；根据终端定义的目标网络类型，统计当前目标网络参数并采用改进的层级分析法建立场景模型，获取当前目标网络条件下单个目标网络场景所对应的单场景目标网络质量；所述改进的层级分析法指的是将单个目标网络场景分为方案层、决策层和目标层，定义当前目标网络为方案层，定义目标网络参数为决策层，定义单场景目标网络质量为目标层，对方案层、决策层和目标层从下到上逐层对整体目标网络情况进行评测，获取单场景目标网络质量；

具体包括：

根据终端定义的目标网络类型，统计当前目标网络参数；

根据所述当前目标网络参数以及所述目标网络参数之间的相对权重，对所述目标网络类型进行描述，获取目标网络场景成对比较矩阵；

判断所述成对比较矩阵是否满足一致性要求；

若是，则获取所述成对比较矩阵所对应的特征矩阵的特征值，进而获取最大特征值所对应的特征向量；

将所述特征向量进行归一化，获取所述单场景目标网络质量的决策权重向量，并根据所述决策权重向量和所述当前目标网络参数，获取所述单场景目标网络质量；

S302，根据所述终端对当前目标网络的期望配置和描述，比对所述单场景目标网络质量，获取所述目标网络在所述终端期望配置下的期望目标网络质量；

S303，参照所述单场景目标网络质量和所述期望目标网络质量，优化当前目标网络；

所述对目标网络安全态势进行评估方法：

步骤1，构建适用于BP神经网络进行评估的目标网络安全态势评估指标体系模型；

结合目标网络运行状态、目标网络威胁、目标网络攻击目标网络要素特点，按照危险级别从低到高将网络状态分为4个等级：

为了便于神经目标网络进行安全状态评估利用数值对4级目标网络安全状态级别进行定量描述，其中等级1安全指数值为0.0-0.2，等级2安全指数值为0.2-0.5，等级3安全指数值为0.5-0.8，等级4安全指数值为0.8-1；

步骤2，使用遗传算法训练神经目标网络，首先将神经目标网络的拓扑结构进行固定，之后使用遗传算法进行目标网络权重的优化，使用遗传算法进化神经目标网络的拓扑结构连接权重的主要分为以下几个步骤：

1)给出神经目标网络权重的编码方案，同时生成初始群体；如果采用二进制编码会造成编码串过长，同时还需要解码为实数，从而影响神经目标网络的学习精度，所以直接采用实数编码，将神经目标网络的各个权值按照从输入到输出、从左到右的顺序级联成一个长串，串上的每个位置就对应目标网络的一个权值；

2)解码初始群体中的每个个体，并构造出其相对应的神经目标网络；将目标网络中的权值按照公式(1)进行随机确定，使得遗传算法能够搜索到所有可行解的范围；

P_initial＝±exp(-|γ|)，|γ|＜4 (1)

3)根据性能评价准则计算出目标网络适合度；

4)根据适合度大小决定每个个体繁衍后代的概率，同时完成选种操作；

5)选种之后的群体按照一定的概率使用交配、突变操作得到新一代的群体；

6)计算神经目标网络的输出以及评估输出结果看是否满足要求；

7)评估结果满足要求则转到8)，否则返回步骤2的2)；

8)计算神经目标网络输出，同时进行神经目标网络性能评估；

9)评估结果满足要求则转到11)，否则转到10)；

10)计算正向、反向误差，调节神经目标网络权值和阈值，并返回8)；

11)经过遗传算法优化神经目标网络之后，使得神经目标网络的计算结果也满足要求，此时存储神经目标网络的权值，同时记录神经目标网络的输出，整个评估过程结束；

步骤3，将遗传神经目标网络应用于目标网络安全态势评估中，通过对目标网络设备收集的信息进行分析、评估，得到目标网络当前的安全状态，主要步骤如下：

对目标网络安全设备收集的数据进行预处理，使用IDS、目标网络扫描工具各种检测设备获取目标网络信息，同时对原始信息进行筛选处理，提取出能够反映目标网络安全态势的各个指标值，同时使用公式(2)进行归一化处理，将处理后的结果作为BP神经网络的输入向量；

使用遗传神经目标网络进行目标网络安全评估；采用三层BP神经网络进行目标网络安全态势的评估，同时使用公式(3)的S函数作为神经目标网络的映射函数，使用公式(4)进行学习速率的自适应调节，其中η指学习速率，E为误差；

得到目标网络当前安全状态，使用遗传神经目标网络输出得到0-1之间的安全指数值，不同的指数值对应不同的目标网络安全等级，从而就获取到当前目标网络安全状态。

本发明提供的参照所述单场景目标网络质量和所述期望目标网络质量，优化当前目标网络包括通过应用控制和流量控制措施对内网进行优化，并在内网质量不理想的情况下，限制不关键的应用和流量使用；并且还通过对目标网络流量的链路选择、链路优化措施对目标网络设备进行优化。

本发明提供的根据所述终端对当前目标网络的期望配置和描述，比对所述单场景目标网络质量，获取所述目标网络在所述终端期望配置下的期望目标网络质量之后还包括步骤：

参照所述单场景目标网络质量和所述期望目标网络质量，所述终端优化当前目标网络。

本发明提供的参照所述单场景目标网络质量和所述期望目标网络质量，所述终端优化当前目标网络具体包括：

识别当前目标网络应用场景，根据所述配置并描述的期望目标网络，获取期望目标网络矩阵；

根据所述期望目标网络矩阵，判断当前目标网络质量值是否大于预置阈值；

若否，则优化当前目标网络。

二、应用实施例。为了证明本发明的技术方案的创造性和技术价值，该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。

本发明通过保护强度评估模块可以观测的目标网络软件行为特征，推算出不可以直接观测的目标网络安全保护强度；通过定量化的评估方法克服了传统的定性评估方法的局限性，使评估结果更具确定性，更为可信；基于目标网络安全保护强度的评估结果；同时，通过网络优化模块针对不同的目标网络场景，根据获取的当前目标网络条件下单个目标网络场景所对应的单场景目标网络质量，同时精确地给出满足终端需求的整体目标网络性能指标的期望目标网络质量，并根据所述单场景目标网络质量和期望目标网络质量，优化当前目标网络的方法，真实地反馈了当前目标网络对各目标网络场景的适用情况，实现了精确测评不同应用场景目标网络质量且根据测评结果进行目标网络优化的有益效果，提高了目标网络性能和当前目标网络的有效利用率。

应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。

三、实施例相关效果的证据。本发明实施例在研发或者使用过程中取得了一些积极效果，和现有技术相比的确具备很大的优势，下面内容结合试验过程的数据、图表等进行描述。

本发明通过保护强度评估模块可以观测的目标网络软件行为特征，推算出不可以直接观测的目标网络安全保护强度；通过定量化的评估方法克服了传统的定性评估方法的局限性，使评估结果更具确定性，更为可信；基于目标网络安全保护强度的评估结果；同时，通过网络优化模块针对不同的目标网络场景，根据获取的当前目标网络条件下单个目标网络场景所对应的单场景目标网络质量，同时精确地给出满足终端需求的整体目标网络性能指标的期望目标网络质量，并根据所述单场景目标网络质量和期望目标网络质量，优化当前目标网络的方法，真实地反馈了当前目标网络对各目标网络场景的适用情况，实现了精确测评不同应用场景目标网络质量且根据测评结果进行目标网络优化的有益效果，提高了目标网络性能和当前目标网络的有效利用率。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种基于大数据的网络安全保护平台，其特征在于，所述基于大数据的网络安全保护平台包括：

网络数据完整性检测模块、网络攻击检测模块、主控模块、网络访问身份验证模块、网络数据备份模块、保护强度评估模块、网络优化模块、显示模块；

网络数据完整性检测模块，与主控模块连接，用于检测网络数据的完整性；

网络攻击检测模块，与主控模块连接，用于检测网络攻击信息；

主控模块，与网络数据完整性检测模块、网络攻击检测模块、网络访问身份验证模块、网络数据备份模块、保护强度评估模块、网络优化模块、显示模块连接，用于控制各个模块正常工作；

网络访问身份验证模块，与主控模块连接，用于通过验证程序对网络访问身份进行验证；

网络数据备份模块，与主控模块连接，用于对网络数据进行备份；

保护强度评估模块，与主控模块连接，用于通过评估程序对网络保护强度进行评估；

网络优化模块，与主控模块连接，用于通过优化程序对网络安全进行优化；

显示模块，与主控模块连接，用于通过显示器显示网络数据完整性检测信息、网络攻击检测信息、网络访问身份验证结果、保护强度评估结果、网络优化信息。

2.一种如权利要求1所述的基于大数据的网络安全保护方法，其特征在于，所述基于大数据的网络安全保护方法包括以下步骤：

步骤一，通过网络数据完整性检测模块检测网络数据的完整性；通过网络攻击检测模块检测网络攻击信息；

步骤二，主控模块通过网络访问身份验证模块利用验证程序对网络访问身份进行验证；

步骤三，通过网络数据备份模块对网络数据进行备份；通过保护强度评估模块利用评估程序对网络保护强度进行评估；

步骤四，通过网络优化模块利用优化程序对网络安全进行优化；通过显示模块利用显示器显示网络数据完整性检测信息、网络攻击检测信息、网络访问身份验证结果、保护强度评估结果、网络优化信息。

3.如权利要求1所述基于大数据的网络安全保护平台，其特征在于，所述保护强度评估模块评估方法如下：

1)采用目标网络节点中的软件行为监视代理程序通过以下步骤持续监视并采集节点的软件行为特征，并将所述软件行为特征发送到软件行为数据库：对软件行为特征进行分析；

统计相应时间范围内的软件行为记录数量，从而获得可执行代码调用总数，分别统计可信和不可信的可执行代码调用总数及其被成功调用的总数；

按安全域划分，基于IP地址分别统计各安全域内可信和不可信的可执行代码调用总数及其被成功调用的总数；

按用户名分别统计各用户可执行代码调用总量、可信和不可信的可执行代码调用总数及其被成功调用的总数；

2)从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成目标网络安全分析模型；

3)目标网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估，计算出定量化的目标网络安全保护强度，定量化的目标网络安全保护强度包括系统中可信和不可信代码调用总次数以及被成功调用次数的比例，各区域中可信和不可信代码调用总次数以及被成功调用次数的比例，各用户可信和不可信代码调用总次数以及被成功调用次数的比例。

4.如权利要求3所述基于大数据的网络安全保护平台，其特征在于，所述将软件行为监视代理程序通过钩子程序的方式置于目标网络节点的系统内核中，并采用内核保护机制进行保护。

5.如权利要求3所述基于大数据的网络安全保护平台，其特征在于，所述机器学习算法采用隐马尔科夫模型算法，将目标网络安全保护强度作为隐马尔科夫模型的状态变量，将软件行为特征作为观测变量。

6.如权利要求3所述基于大数据的网络安全保护平台，其特征在于，所述软件行为特征为可执行代码的调用和执行状态信息，所述调用和执行状态信息包括被调用代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户。

7.如权利要求1所述基于大数据的网络安全保护平台，其特征在于，所述网络优化模块优化方法如下：

(1)对网络安全进行监测，并对目标网络安全态势进行评估；根据终端定义的目标网络类型，统计当前目标网络参数并采用改进的层级分析法建立场景模型，获取当前目标网络条件下单个目标网络场景所对应的单场景目标网络质量；所述改进的层级分析法指的是将单个目标网络场景分为方案层、决策层和目标层，定义当前目标网络为方案层，定义目标网络参数为决策层，定义单场景目标网络质量为目标层，对方案层、决策层和目标层从下到上逐层对整体目标网络情况进行评测，获取单场景目标网络质量；

具体包括：

根据终端定义的目标网络类型，统计当前目标网络参数；

根据所述当前目标网络参数以及所述目标网络参数之间的相对权重，对所述目标网络类型进行描述，获取目标网络场景成对比较矩阵；

判断所述成对比较矩阵是否满足一致性要求；

若是，则获取所述成对比较矩阵所对应的特征矩阵的特征值，进而获取最大特征值所对应的特征向量；

将所述特征向量进行归一化，获取所述单场景目标网络质量的决策权重向量，并根据所述决策权重向量和所述当前目标网络参数，获取所述单场景目标网络质量；

(2)根据所述终端对当前目标网络的期望配置和描述，比对所述单场景目标网络质量，获取所述目标网络在所述终端期望配置下的期望目标网络质量；

(3)参照所述单场景目标网络质量和所述期望目标网络质量，优化当前目标网络；

所述对目标网络安全态势进行评估方法：

步骤1，构建适用于BP神经网络进行评估的目标网络安全态势评估指标体系模型；

结合目标网络运行状态、目标网络威胁、目标网络攻击目标网络要素特点，按照危险级别从低到高将网络状态分为4个等级：

为了便于神经目标网络进行安全状态评估利用数值对4级目标网络安全状态级别进行定量描述，其中等级1安全指数值为0.0-0.2，等级2安全指数值为0.2-0.5，等级3安全指数值为0.5-0.8，等级4安全指数值为0.8-1；

步骤2，使用遗传算法训练神经目标网络，首先将神经目标网络的拓扑结构进行固定，之后使用遗传算法进行目标网络权重的优化，使用遗传算法进化神经目标网络的拓扑结构连接权重的主要分为以下几个步骤：

1)给出神经目标网络权重的编码方案，同时生成初始群体；如果采用二进制编码会造成编码串过长，同时还需要解码为实数，从而影响神经目标网络的学习精度，所以直接采用实数编码，将神经目标网络的各个权值按照从输入到输出、从左到右的顺序级联成一个长串，串上的每个位置就对应目标网络的一个权值；

2)解码初始群体中的每个个体，并构造出其相对应的神经目标网络；将目标网络中的权值按照公式(1)进行随机确定，使得遗传算法能够搜索到所有可行解的范围；

P_initial＝±exp(-|γ|)，|γ|＜4 (1)

3)根据性能评价准则计算出目标网络适合度；

4)根据适合度大小决定每个个体繁衍后代的概率，同时完成选种操作；

5)选种之后的群体按照一定的概率使用交配、突变操作得到新一代的群体；

6)计算神经目标网络的输出以及评估输出结果看是否满足要求；

7)评估结果满足要求则转到8)，否则返回步骤2的2)；

8)计算神经目标网络输出，同时进行神经目标网络性能评估；

9)评估结果满足要求则转到11)，否则转到10)；

10)计算正向、反向误差，调节神经目标网络权值和阈值，并返回8)；

11)经过遗传算法优化神经目标网络之后，使得神经目标网络的计算结果也满足要求，此时存储神经目标网络的权值，同时记录神经目标网络的输出，整个评估过程结束；

步骤3，将遗传神经目标网络应用于目标网络安全态势评估中，通过对目标网络设备收集的信息进行分析、评估，得到目标网络当前的安全状态，主要步骤如下：

对目标网络安全设备收集的数据进行预处理，使用IDS、目标网络扫描工具各种检测设备获取目标网络信息，同时对原始信息进行筛选处理，提取出能够反映目标网络安全态势的各个指标值，同时使用公式(2)进行归一化处理，将处理后的结果作为BP神经网络的输入向量；

使用遗传神经目标网络进行目标网络安全评估；采用三层BP神经网络进行目标网络安全态势的评估，同时使用公式(3)的S函数作为神经目标网络的映射函数，使用公式(4)进行学习速率的自适应调节，其中η指学习速率，E为误差；

得到目标网络当前安全状态，使用遗传神经目标网络输出得到0-1之间的安全指数值，不同的指数值对应不同的目标网络安全等级，从而就获取到当前目标网络安全状态。

8.如权利要求7所述基于大数据的网络安全保护平台，其特征在于，所述参照所述单场景目标网络质量和所述期望目标网络质量，优化当前目标网络包括通过应用控制和流量控制措施对内网进行优化，并在内网质量不理想的情况下，限制不关键的应用和流量使用；并且还通过对目标网络流量的链路选择、链路优化措施对目标网络设备进行优化。

9.如权利要求7所述基于大数据的网络安全保护平台，其特征在于，所述根据所述终端对当前目标网络的期望配置和描述，比对所述单场景目标网络质量，获取所述目标网络在所述终端期望配置下的期望目标网络质量之后还包括步骤：

参照所述单场景目标网络质量和所述期望目标网络质量，所述终端优化当前目标网络。

10.如权利要求9所述基于大数据的网络安全保护平台，其特征在于，所述参照所述单场景目标网络质量和所述期望目标网络质量，所述终端优化当前目标网络具体包括：

识别当前目标网络应用场景，根据所述配置并描述的期望目标网络，获取期望目标网络矩阵；

根据所述期望目标网络矩阵，判断当前目标网络质量值是否大于预置阈值；

若否，则优化当前目标网络。

Images