CN115460608A - 一种网络安全策略的执行方法、装置及电子设备 - Google Patents

一种网络安全策略的执行方法、装置及电子设备 Download PDF

Info

Publication number
CN115460608A
CN115460608A CN202110644939.1A CN202110644939A CN115460608A CN 115460608 A CN115460608 A CN 115460608A CN 202110644939 A CN202110644939 A CN 202110644939A CN 115460608 A CN115460608 A CN 115460608A
Authority
CN
China
Prior art keywords
network
hidden markov
markov model
attacked
matrix
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110644939.1A
Other languages
English (en)
Inventor
苏凌
苟浩淞
李丹
杨兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Sichuan Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Sichuan Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Sichuan Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110644939.1A priority Critical patent/CN115460608A/zh
Publication of CN115460608A publication Critical patent/CN115460608A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种网络安全策略的执行方法、装置及电子设备。方法包括:为目标网络中的网络节点构建隐马尔可夫模型,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于鲍姆‑韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练。将测量到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得受攻击程度分类结果。基于目标网络中的网络节点的受攻击程度分类结果,对目标网络的网络安全态势进行评估。对目标网络执行网络安全态势评估结果匹配的网络安全策略。

Description

一种网络安全策略的执行方法、装置及电子设备
技术领域
本文件涉及数据处理技术领域,尤其涉及一种网络安全策略的执行方法、装置及电子设备。
背景技术
随着移动业务的发展,移动网络信息面临的风险也在不断增加。新兴信息安全威胁形成的风险不但涉及移动运行商的利益,还涉及到广大移动用户的利益。任何不安全因素都可能造成信息丢失、资金损失和市场混乱的问题。
为此,当前有必要提出一种有效度量网络安全态势,并执行相应网络安全策略的技术方案,从而增强抵御网络攻击的能力。
发明内容
本发明实施例目的是提供一种网络安全策略的执行方法,能够有效度量网络安全态势,并执行相应网络安全策略。
为了实现上述目的,本发明实施例是这样实现的:
第一方面,提供一种网络安全策略的执行方法,包括:
为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于Baum Welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;
将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
第二方面,提供一种网络安全策略的执行装置,包括:
模型构建模块,用于为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于Baum Welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;
受攻击识别模块,用于将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
安全态势评估模块,用于基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
网络安全策略执行模块,用于对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
第三方面,提供一种电子设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行:
为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于Baum Welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;
将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如下步骤:
为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于Baum Welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;
将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
本发明实施例的方案通过隐马尔科夫模型代替人为主观经验判断实现对网络安全态势的评估,从而根据评估结果执行相匹配的网络安全决策,可提高网络安全预警和处置风险的能力。此外,基于Baum Welch算法可以对隐马尔科夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素进行无监督训练,训练过程中结合模拟退火算法的概率突跳特性在解空间中随机寻找全局最优解,解决了网络安全态势从定性分析到定量分析的转变,使得网络安全问题更好的聚焦,利于有针对性地制定网络安全决策。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明实施例中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的网络安全策略的执行方法的流程示意图。
图2为对目标网络进行层次划分以确定网络节点的示意图。
图3为本发明实施例提供的网络安全策略的执行装置的结构示意图。
图4为本发明实施例提供的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
本申请旨在提供一种有效度量网络安全态势,并执行相应网络安全策略的技术方案,能够增强抵御网络攻击的能力。
图1是本发明实施例网络安全策略的执行方法的流程图,包括如下步骤:
S102,为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于Baum Welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练。
隐马尔可夫模型(HMM,Hidden Markov Models)是马尔可夫链的一种,它的状态序列不能直接观察到,但能通过观测序列观察到,每个观测序列都是通过某些概率密度分布表现为各种状态,每一个观测序列是由一个具有相应概率密度分布的状态序列产生。所以,隐马尔可夫模型是一个双重随机过程。
这里简单对隐马尔可夫模型的功能进行介绍。
假设隐马尔可夫模型中,存在晴天和多雨两个天气状态。各个状态之间确定有转移概率。这里通过观测推断这些状态,这也是HMM需要解决的问题之一。
举个例子,目标对象在每天下班之后,会根据天气情况有相应的活动:或是去商场购物,或是去公园散步,或是回家收拾房间。为此,可以通过目标对象的行为猜测这几天对应的天气最有可能是什么样子的。
以上就是一个简单的HMM实例,天气状况属于状态序列,而她的行为则属于观测序列。天气状况的转换是一个马尔可夫序列。而根据天气的不同,有相对应的概率产生不同的行为。
多雨天气,目标对象选择散步,购物,收拾的概率分别是0.1,0.4,0.5,而如果是晴天天气,选择去散步,购物,收拾的概率分别是0.6,0.3,0.1。这里,天气的转换情况如下:这一天下雨,则下一天依然下雨的概率是0.7,而转换成晴天的概率是0.3;这一天是晴天,则下一天依然是晴天的概率是0.6,而转换成雨天的概率是0.4.。同时还存在一个初始概率,也就是第一天下雨的概率是0.6,晴天的概率是0.4。
根据以上的信息,得到了HMM的一些基本参数λ:初始概率分布矩阵π,状态转移矩阵A,观测量的概率分布矩阵B,同时有两种类别的状态(晴天和多雨),三种类别的观测序列(散步、购物和收拾)。
知晓这个HMM的基本参数λ,即可根据目标对象的观测序列推断天气情况。
进一步代入到网络安全态势的评估场景中,本发明实施例可以将网络节点不分类的受攻击程度作为网络安全态势的受攻击状态,并作为隐马尔可夫模型的状态序列;将显性的网络节点多个类别的受攻击指标(单位时间内的受攻击次数、受攻击木马类目数以及受攻击损失中的至少一者)作为隐马尔可夫模型的观测序列。也就是通过隐马尔可夫模型对网络节点的观测序列进行推测,了解网络节点的受攻击程度,从而对网络安全态势进行评估。
应理解,隐马尔可夫模型创建完成后,初始的初始概率分布矩阵π,状态转移矩阵A,观测量的概率分布矩阵B并不一定准确,为此可以通过训练来优化隐马尔可夫模型的基本参数λ={π,A,B}。
这里,本发明实施例提出一种结合Baum Welch算法和模拟退火算法对隐马尔可夫模型的基本参数λ={π,A,B}进行多轮迭代的无监督训练方法。其中,具体训练流程如下:
首先,设置隐马尔可夫模型初始的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵,以及模拟退火算法的降温函数。
其中,降温函数可为:Tm+1=kTm,m表示迭代序数,Tm表示第m轮迭代的退火温度,k表示模拟退火算法的冷却系数,0<k<1;
之后,多轮迭代将隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素Eij更新为Eij *。其中,Eij更新为Eij *的公式为:Eij *=Eij+x,1≤i≤M,1≤j≤N,M表示矩阵行序数,N表示矩阵行列数,x表示正态分布的随机变量,x的正态分布的期望为0、方差为
Figure BDA0003108847550000061
这里,对aij进行更新需要遵守条件
Figure BDA0003108847550000062
也就是矩阵中横坐标的概率之和应为1。
当本轮迭代的退火温度小于预设终止温度时,迭代训练结束。
通过实践证明上述复杂度为log n的训练方式的求解会在有限时间内出现连续步长不再发生较大变化的情况,故说明训练过程是渐进收敛的,能够寻找的最优解P(O丨λ)。这里,P(O丨λ)中的O表示目标观测序列,λ表示迭代训练后元素更新后的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵,P(O丨λ)表示目标观测序列O输入至迭代训练后的隐马尔可夫模型所得到的受攻击程度分类结果。
S104,将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果。
S106,基于目标网络中的网络节点的受攻击程度分类结果,对目标网络的网络安全态势进行评估,得到网络安全态势评估结果。
具体地,本发明实施例针对网络节点在不同受攻击程度下设置有相对应的受攻击代价值。本步骤可以基于目标网络中各网络节点的受攻击程度分类结果,确定各网络节点对应的受攻击代价值;之后,对目标网络中各网络节点的受攻击代价值进行加权计算,得到目标网络的总体受攻击代价值;并基于目标网络的总体受攻击代价值,确定目标网络的网络安全态势评估结果。
S108,对目标网络执行网络安全态势评估结果相匹配的网络安全策略。
应理解,网络安全策略的具体方式需要根据实际的应用场景设定,这里本文不作具体限定。
基于上述内容可以知道,本发明实施例的方法通过隐马尔科夫模型代替人为主观经验判断实现对网络安全态势的评估,从而根据评估结果执行相匹配的网络安全决策,可提高网络安全预警和处置风险的能力。此外,基于Baum Welch算法可以对隐马尔科夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素进行无监督训练,训练过程中结合模拟退火算法的概率突跳特性在解空间中随机寻找全局最优解,解决了网络安全态势从定性分析到定量分析的转变,使得网络安全问题更好的聚焦,利于有针对性地制定网络安全决策。
下面结合实际应用场景对本发明实施例的方法进行详细介绍。
在网络安全数据中存在着大量不确定、冗余性数据,给态势评估造成了严重的影响同时在安全数据中存在的定性成分和定量成分导致难以用单一的评估方法进行精确的量化。
为了得到更加合理的评估效果,本应用场景采用层次化分析法,将定量和定性二者相结合从而降低构造判断转移矩阵的主观性,使评估结果更精确。通过接收不同的数据源,经过数据预处理,态势关键要素提取,态势值求解,附权得到综合态势值,实现态势的可视化呈现,为网络安全管决策提供依据。
如图2所示,依据网络规模及层次关系,可以将网络系统划分为多个层次,分别是网络系统、主机以及服务设备,实际生产中的绝大部分黑客攻击都是以系统中主机某一服务为主要对象的。
借助系统分解和层次化评估技术,按照网络系统组织架构,设计出层次化网络安全威胁态势量化评估模型,将网络系统层次化分为服务设备、网流管理设备、通信信道以及攻击源,并提出从局部扩展至整体的评估策略。
具体说明如下:
网络系统:全称网络操作系统,用来表示运行在路由器,网络交换机,防火墙上的特别的操作系统;一种面向计算机网络的操作系统,允许网络中的多台计算机访问共享的文件和打印机,允许共享数据,用户,组,安全,应用和其他网络功能。通常部署在局域网或私有网络。
服务设备:服务设备的种类繁多,且与日俱增。基本的设备有:计算机(无论其为个人电脑或服务器)、集线器、交换机、网桥、路由器、网关、网络接口卡(NIC)、无线接入点(WAP)、打印机和调制解调器、光纤收发器、光缆等。
网流管理设备:称应用流量管理器,带宽管理器或服务质量QoS设备,实现网络流量监测管理。
通信信道:通信信道是数据传输的通路,在计算机网络中信道分为物理信道和逻辑信道。物理信道指用于传输数据信号的物理通路,它由传输介质与有关通信设备组成;逻辑信道指在物理信道的基础上,发送与接收数据信号的双方通过中间结点所实现的逻辑通路,由此为传输数据信号形成的逻辑通路。
由于网络结构的复杂性及网络内部的差异性,如果对网络整体用模型分析法进行态势评估,不仅加大了评估的复杂性,而且一个模型无法适应不同网络的需求。为此可以针对图2中每个网络节点设置一个安全态势预测的隐马尔可夫模型,网络攻击事件作为模型中显式的观察序列衡量网络节点所处的受攻击状态,进而评估设备节点的安全态势。
其中,隐马尔可夫模型的基本参数λ至少包括五元向量组,即λ={S,V,π,A,B}。
在上述基本参数λ中:
S表示状态序列空间,S={S1,S2,S3}。S1为第一级别受攻击程度,表示网络节点未受攻击的状态;S2为第二级别受攻击程度,表示网络节点正遭受攻击但未尚未被入侵的状态(也就是尚未造成严重影响);S3为第三级别受攻击程度,表示网络节点已被入侵的状态(也就是造成严重影响,企业服务遭到窃取或破坏)。
V表示观测序列空间,V={V1,V2,V3,V4,V5},这里V1,V2,V3,V4,V5表示能够检测到的不同类别的受攻击指标,比如说网络节点单位时间内的受攻击次数、受攻击木马类目数以及受攻击损失等。
这里可以根据入侵检测系统的手册,将攻击按照强度分为三个等级(等级越大,表示受到的攻击强度越大),受攻击指标的攻击强度量化值定义为:
Figure BDA0003108847550000091
其中,l表示攻击按照强度的级别序号,nl为某段时间内所观察到等级为i的攻击数目,ε为调节系数并且ε,ε的引入是为体现不同攻击等级间的差异对整体攻击强度的影响。根据At值得大小将其映射到观测序列空间V,映射关系根据具体应用的网络规模确定。
π表示初始状态概率分布矩阵,π={π1,π2,π3},1表示节点初始状态为S1的概率,π1+π2+π3=1。
A表示状态转移矩阵,A=[aij]M×N,其中aij表示网络节点从状态Si转移到状态Sj的概率,∑aij=1,(1≤j≤N)。
B表示状态转移矩阵,B=[bi(Vp)]M×N其中bij表示网络节点的状态为si时对应的观测序列值为Vp的概率,∑bi(Vp)=1,(1≤p≤M)。
之后如前文所述,结合模拟退火算法和Baum Welch算法,对隐马尔可夫模型的λ={π,A,B}中的元素进行训练。
训练后的隐马尔可夫模型即可根据观测序列识别网络节点的受攻击程度(状态)。
比如,某个网络节点在t时刻处于Sj的概率如下所示:
Figure BDA0003108847550000101
其中,α()表示向前概率,β()表示向后概率。
在确定各个网络节点的受攻击程度(状态),即可对从局部扩展至整体,对网络安全态势进行评估。
这里,可以确定每种类型的网络节点的受攻击代价值。比如图2中的服务设备是以集群形式存在,可以通过对每个服务设备的受攻击程度所对应的受攻击代价值进行加权计算,得到该服务设备集群整体的受攻击代价值。
之后,在对整个网络中各类型的网络节点的受攻击代价值进行加权计算,最终得到全网网络安全态势的评估结果,并根据评估结果执行相匹配的网络安全决策。
综上所述,本应用场景提出了一种基于隐马尔可夫模型和动态规划的网络安全态势实时评估方法,该方法解决了转移概率取决于主观经验赋值、难以确定转移矩阵、算法计算复杂度偏高等问题。此外,模型建立简单,评估过程准确,能较为准确的反应网络安全状态整体变化趋势,并更加突出的反应网络状态的变化。
此外,对应于图1所示的网络安全策略的执行方法,本发明实施例还提供一种网络安全策略的执行装置。图3是本发明实施例网络安全策略的执行装置300的结构示意图,包括:
模型构建模块310,用于为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于Baum Welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练。
受攻击识别模块320,用于将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
安全态势评估模块330,用于基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
网络安全策略执行模块340,用于对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
本发明实施例的装置通过隐马尔科夫模型代替人为主观经验判断实现对网络安全态势的评估,从而根据评估结果执行相匹配的网络安全决策,可提高网络安全预警和处置风险的能力。此外,基于Baum Welch算法可以对隐马尔科夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素进行无监督训练,训练过程中结合模拟退火算法的概率突跳特性在解空间中随机寻找全局最优解,解决了网络安全态势从定性分析到定量分析的转变,使得网络安全问题更好的聚焦,利于有针对性地制定网络安全决策。
可选地,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素具体通过下属方式训练:
设置隐马尔可夫模型初始的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵,以及模拟退火算法的降温函数,其中,降温函数为:Tm+1=kTm,m表示迭代序数,Tm表示第m轮迭代的退火温度,k表示模拟退火算法的冷却系数,0<k<1;
多轮迭代将隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素Eij更新为Eij *,直至本轮迭代的退火温度小于预设终止温度;
其中,Eij *=Eij+x,1≤i≤M,1≤j≤N,M表示矩阵行序数,N表示矩阵行列数,x表示正态分布的随机变量,x的正态分布的期望为0、方差为
Figure BDA0003108847550000111
Figure BDA0003108847550000112
可选地,网络节点在不同受攻击程度下对应有不同的受攻击代价值;安全态势评估模块330具体用于:基于目标网络中各网络节点的受攻击程度分类结果,确定各网络节点对应的受攻击代价值;对所述目标网络中各网络节点的受攻击代价值进行加权计算,得到所述目标网络的总体受攻击代价值;基于所述目标网络的总体受攻击代价值,确定所述目标网络的网络安全态势评估结果。
可选地,网络节点的多个类别的受攻击指标包括:单位时间内的受攻击次数、受攻击木马类目数以及受攻击损失中的至少一者。
可选地,网络节点的多个类别的受攻击程度包括:第一级别受攻击程度、第二级别受攻击程度和第三级别受攻击程度。所述第一级别受攻击程度表示网络节点未受攻击的状态,所述第二级别受攻击程度表示网络节点正遭受攻击但未尚未被入侵的状态,所述第三级别受攻击程度表示网络节点已被入侵的状态。
可选地,所述目标网路的网络节点识别包括:服务设备、网流管理设备、通信信道。其中,所述服务设备包括:计算机、集线器、交换机、网桥、路由器、网关、网络接口卡、无线接入点、打印机和调制解调器、光纤收发器、光缆中的至少一者;所述网流管理设备包括:应用流量管理器、带宽管理器和服务质量QoS设备中的至少一者;所述通信信道包括物理通信信道和逻辑通信信道到中的至少一者。
显然,本说明书实施例的网络安全策略的执行装置可以作为上述图1所示方法的执行主体,因此能够实现该方法在图1所实现的功能。由于原理相同,本文不再赘述。
图4是本说明书的一个实施例电子设备的结构示意图。请参考图4,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成网络安全策略的执行装置。对应地,处理器,执行存储器所存放的程序,并具体用于执行以下操作:
为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于Baum Welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练。
将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果。
基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
上述如本说明书图1所示实施例揭示的网络安全策略的执行方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
应理解,本发明实施例的电子设备可以使网络安全策略的执行装置实现对应于图1所示方法中的步骤和功能。由于原理相同,本文不再赘述。
当然,除了软件实现方式之外,本说明书的电子设备并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
此外,本发明实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令。
其中,上述指令当被包括多个应用程序的便携式电子设备执行时,能够使该便携式电子设备执行图1所示的网络安全策略的执行方法的步骤,包括:
为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于Baum Welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练。
将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果。
基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果。
对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
本领域技术人员应明白,本说明书的实施例可提供为方法、系统或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
以上仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。此外,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本文件的保护范围。

Claims (10)

1.一种网络安全策略的执行方法,其特征在于,包括:
为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于Baum Welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;
将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
2.根据权利要求1所述的方法,其特征在于,
隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素具体通过下属方式训练:
设置隐马尔可夫模型初始的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵,以及模拟退火算法的降温函数,其中,降温函数为:Tm+1=kTm,m表示迭代序数,Tm表示第m轮迭代的退火温度,k表示模拟退火算法的冷却系数,0<k<1;
多轮迭代将隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素Eij更新为Eij *,直至本轮迭代的退火温度小于预设终止温度;
其中,Eij *=Eij+x,1≤i≤M,1≤j≤N,M表示矩阵行序数,N表示矩阵行列数,x表示正态分布的随机变量,x的正态分布的期望为0、方差为
Figure FDA0003108847540000011
Figure FDA0003108847540000012
3.根据权利要求1所述的方法,其特征在于,
网络节点在不同受攻击程度下对应有不同的受攻击代价值;基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果,包括:
基于目标网络中各网络节点的受攻击程度分类结果,确定各网络节点对应的受攻击代价值;
对所述目标网络中各网络节点的受攻击代价值进行加权计算,得到所述目标网络的总体受攻击代价值;
基于所述目标网络的总体受攻击代价值,确定所述目标网络的网络安全态势评估结果。
4.根据权利要求1所述的方法,其特征在于,
网络节点的多个类别的受攻击指标包括:单位时间内的受攻击次数、受攻击木马类目数以及受攻击损失中的至少一者。
5.根据权利要求1所述的方法,其特征在于,
网络节点的多个类别的受攻击程度包括:第一级别受攻击程度、第二级别受攻击程度和第三级别受攻击程度;
其中,所述第一级别受攻击程度表示网络节点未受攻击的状态,所述第二级别受攻击程度表示网络节点正遭受攻击但未尚未被入侵的状态,所述第三级别受攻击程度表示网络节点已被入侵的状态。
6.根据权利要求1-5中任一项所述的方法,其特征在于,
所述目标网路的网络节点识别包括:服务设备、网流管理设备、通信信道。
7.根据权利要求6所述的方法,其特征在于,
所述服务设备包括:计算机、集线器、交换机、网桥、路由器、网关、网络接口卡、无线接入点、打印机和调制解调器、光纤收发器、光缆中的至少一者;
所述网流管理设备包括:应用流量管理器、带宽管理器和服务质量QoS设备中的至少一者;
所述通信信道包括物理通信信道和逻辑通信信道到中的至少一者。
8.一种网络安全策略的执行装置,其特征在于,包括:
模型构建模块,用于为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于Baum Welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;
受攻击识别模块,用于将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
安全态势评估模块,用于基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
网络安全策略执行模块,用于对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
9.一种电子设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述计算机程序被所述处理器执行:
为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于Baum Welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;
将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如下步骤:
为目标网络中的网络节点构建隐马尔可夫模型,其中,网络节点的多个类别的受攻击程度作为隐马尔可夫模型的状态序列,网络节点的多个类别的受攻击指标作为隐马尔可夫模型的观测序列,隐马尔可夫模型的状态转移矩阵、初始状态概率分布矩阵和观测值概率矩阵中的元素预先基于Baum Welch鲍姆-韦尔奇无监督训练算法,进行模拟退火算法的概率突跳的迭代训练;
将测量得到的网络节点的观测序列值输入至对应的隐马尔可夫模型,得到网络节点的受攻击程度分类结果;
基于目标网络中的网络节点的受攻击程度分类结果,对所述目标网络的网络安全态势进行评估,得到网络安全态势评估结果;
对所述目标网络执行所述网络安全态势评估结果相匹配的网络安全策略。
CN202110644939.1A 2021-06-09 2021-06-09 一种网络安全策略的执行方法、装置及电子设备 Pending CN115460608A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110644939.1A CN115460608A (zh) 2021-06-09 2021-06-09 一种网络安全策略的执行方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110644939.1A CN115460608A (zh) 2021-06-09 2021-06-09 一种网络安全策略的执行方法、装置及电子设备

Publications (1)

Publication Number Publication Date
CN115460608A true CN115460608A (zh) 2022-12-09

Family

ID=84294749

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110644939.1A Pending CN115460608A (zh) 2021-06-09 2021-06-09 一种网络安全策略的执行方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN115460608A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116362630A (zh) * 2023-06-01 2023-06-30 深圳正实自动化设备有限公司 基于物联网的锡膏印刷机管理方法、系统及介质
CN117575028A (zh) * 2023-11-13 2024-02-20 无锡商业职业技术学院 基于马尔科夫链的网络安全分析方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120185728A1 (en) * 2010-12-24 2012-07-19 Commonwealth Scientific And Industrial Research Organisation System and method for detecting and/or diagnosing faults in multi-variable systems
CN110336768A (zh) * 2019-01-22 2019-10-15 西北大学 一种基于联合隐马尔可夫模型与遗传算法的态势预测方法
CN111709028A (zh) * 2020-04-21 2020-09-25 中国科学院信息工程研究所 一种网络安全状态评估和攻击预测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120185728A1 (en) * 2010-12-24 2012-07-19 Commonwealth Scientific And Industrial Research Organisation System and method for detecting and/or diagnosing faults in multi-variable systems
CN110336768A (zh) * 2019-01-22 2019-10-15 西北大学 一种基于联合隐马尔可夫模型与遗传算法的态势预测方法
CN111709028A (zh) * 2020-04-21 2020-09-25 中国科学院信息工程研究所 一种网络安全状态评估和攻击预测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
方研;殷肖川;孙益博;: "基于隐马尔可夫模型的网络安全态势评估", 计算机应用与软件, no. 12, 15 December 2013 (2013-12-15), pages 2 - 4 *
李骐: "网络安全态势评估与预测方法研究", 《中国优秀硕士学位论文全文数据库》, 15 July 2018 (2018-07-15), pages 1 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116362630A (zh) * 2023-06-01 2023-06-30 深圳正实自动化设备有限公司 基于物联网的锡膏印刷机管理方法、系统及介质
CN116362630B (zh) * 2023-06-01 2023-08-18 深圳正实自动化设备有限公司 基于物联网的锡膏印刷机管理方法、系统及介质
CN117575028A (zh) * 2023-11-13 2024-02-20 无锡商业职业技术学院 基于马尔科夫链的网络安全分析方法及系统

Similar Documents

Publication Publication Date Title
CN112003870B (zh) 一种基于深度学习的网络加密流量识别方法及装置
Zeng et al. Survey of attack graph analysis methods from the perspective of data and knowledge processing
Hu et al. Quantitative method for network security situation based on attack prediction
CN110263538B (zh) 一种基于系统行为序列的恶意代码检测方法
US10650150B1 (en) Vulnerability life cycle exploitation timing modeling
CN116647411B (zh) 游戏平台网络安全的监测预警方法
CN110110529B (zh) 一种基于复杂网络的软件网络关键节点挖掘方法
Hu et al. Security risk situation quantification method based on threat prediction for multimedia communication network
CN111181930A (zh) DDoS攻击检测的方法、装置、计算机设备及存储介质
CN112769869A (zh) 一种基于贝叶斯攻击图的sdn网络安全预测方法及对应系统
Stefanova et al. Off-policy q-learning technique for intrusion response in network security
CN114330487A (zh) 一种基于bipmu的无线网络网络安全态势评估方法
Wang et al. Botnet detection using social graph analysis
CN115460608A (zh) 一种网络安全策略的执行方法、装置及电子设备
Che et al. KNEMAG: key node estimation mechanism based on attack graph for IOT security
CN116886329A (zh) 一种面向工控系统安全的量化指标优化方法
CN108683654A (zh) 一种基于零日攻击图的网络脆弱性评估方法
CN102833107B (zh) 安全准入方法及系统
Niveditha et al. Detection of Malware attacks in smart phones using Machine Learning
CN111818007B (zh) 一种基于量子遗传算法的漏洞修复收益优先级评估方法及电子装置
Bian et al. Network security situational assessment model based on improved AHP_FCE
CN115174237B (zh) 一种物联网系统恶意流量的检测方法、装置和电子设备
CN116232656A (zh) 基于生成对抗网络的车联网入侵检测模型训练方法、检测方法及设备
Doynikova et al. The multi-layer graph based technique for proactive automatic response against cyber attacks
CN115802358A (zh) 一种基于强化学习的多步DDoS预测中毒攻击及其防御方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination