CN117097569A - 基于多节点关联性的网络安全态势诊断方法及系统 - Google Patents

基于多节点关联性的网络安全态势诊断方法及系统 Download PDF

Info

Publication number
CN117097569A
CN117097569A CN202311353509.XA CN202311353509A CN117097569A CN 117097569 A CN117097569 A CN 117097569A CN 202311353509 A CN202311353509 A CN 202311353509A CN 117097569 A CN117097569 A CN 117097569A
Authority
CN
China
Prior art keywords
monitoring
coefficient
terminal equipment
network
early warning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311353509.XA
Other languages
English (en)
Other versions
CN117097569B (zh
Inventor
李峰
顾亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Yisheng Safety Technology Research Institute Co ltd
Original Assignee
Nanjing Yisheng Safety Technology Research Institute Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Yisheng Safety Technology Research Institute Co ltd filed Critical Nanjing Yisheng Safety Technology Research Institute Co ltd
Priority to CN202311353509.XA priority Critical patent/CN117097569B/zh
Publication of CN117097569A publication Critical patent/CN117097569A/zh
Application granted granted Critical
Publication of CN117097569B publication Critical patent/CN117097569B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于多节点关联性的网络安全态势诊断方法及系统,具体涉及网络安全技术领域,包括对监测区域内建立网络服务联系的设备终端在预设时间范围进行网络安全监测,获得终端数据;所述终端数据包括风险特征数据与防护特征数据;基于风险特征数据对网络存在的风险进行评估,生成风险评估系数;基于防护特征数据对网络防御进行评估,生成防御评估系数;将风险评估系数与防御评估系数进行相关联,形成监测系数;本发明通过预警指令,快速定位节点预警区域,快速处理网络漏洞,保证网络安全、稳定和可靠地运行,安防人员能够以最少的操作和时间获得确切预警指令,排查网络故障的效率大大提高。

Description

基于多节点关联性的网络安全态势诊断方法及系统
技术领域
本发明涉及网络安全技术领域,更具体地说,本发明涉及基于多节点关联性的网络安全态势诊断方法及系统。
背景技术
节点是指一台电脑或其他设备与一个独立地址和具有传送或接收数据功能的网络连接,节点可以是工作站、客户、网络用户或个人计算机,还可以是服务器、打印机和其他网络连接的设备。每一个工作站、服务器、终端设备或网络设备,及拥有自己唯一网络地址的设备都可以是节点,将许许多多的节点通过通信线路连接起来,形成一定的关系,这就是网络拓扑。在数据分析和网络分析领域中,多节点关联性是指一个图形或网络中多个节点之间的关联和连接程度,主要用于研究网络的结构、节点之间的相互作用以及信息的传递。通过不同网络节点之间的关联性来推断网络中的异常行为和威胁,以便及时发现和应对潜在的安全风险。
如申请公开号为CN113890820A的申请文件,公开了一种数据中心网络故障节点诊断方法及系统,涉及监督监控技术领域;该发明设置了数据采集模块,该设置通过动态生成树选取测试节点,并获取测试节点与待检测节点之间的时间差值,避免选择故障节点作为测试节点,有助于提高故障节点的检测精度;该发明设置了初步判定模块,该设置根据时间差值对待检测节点进行初步分析,并生成正常节点集、故障节点集和嫌疑节点集,提高了故障节点的检测效率,为分类检测模块的分类奠定基础;该发明设置了分类检测模块,该设置根据分类模型对嫌疑节点进行分类,并对正常节点集和故障节点集进行更新,有助于提高网络节点的故障判断精度和判断效率。
在现有的技术中,通过对网络发生故障节点进行分类,获得正常节点、故障节点与嫌疑节点,从一定程度上有助于提高网络节点的故障判断精度和判断效率,但发生故障的节点的位置无法很好的确定,为了保护全网络安全性需要对全网进行更新,可能加重设备运存和占用过多储存空间。
为此,本发明提供了基于多节点关联性的网络安全态势诊断方法及系统。
发明内容
为了克服现有技术的上述缺陷,本发明的实施例提供基于多节点关联性的网络安全态势诊断方法及系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:基于多节点关联性的网络安全态势诊断方法,包括:
步骤一:对监测区域内建立网络服务联系的设备终端在预设时间范围进行网络安全监测,获得终端数据;所述终端数据包括风险特征数据与防护特征数据;
步骤二:基于风险特征数据对网络存在的风险进行评估,生成风险评估系数;
步骤三:基于防护特征数据对网络防御进行评估,生成防御评估系数;
步骤四:将风险评估系数与防御评估系数进行关联,形成监测系数;
步骤五:预设监测系数阈值,将监测系数与监测系数阈值进行对比,判断是否生成预警指令。
进一步地,网络服务联系为用户通过扫描终端设备上的二维码进入服务平台进行服务申请,服务平台获取服务申请,并根据服务申请对服务平台中存储的终端设备用户信息进行提取,通过用户信息配对获得身份验证结果,通过身份验证一致结果对终端设备与服务平台建立的网络服务联系;终端设备用户信息包含设备终端服务商信息、设备消费者端信息与终端设备维护商信息;将终端设备标记为i个,i=1、2、3...I,i为正整数。
进一步地,监测区域为i个终端设备安装的地理位置,其中i个终端设备共用一个服务平台;所述地理位置通过分析服务平台与i个终端设备网络通信地址获得。
进一步地,终端数据用于表征第i个终端设备受到非法验证时产生的数据,并通过服务平台中的数据日记或数据分析工具直接获取;
风险特征数据包括验证总次数、异常验证总次数与验证字节偏移量;
其中,验证总次数为预设时间范围内第i个终端设备进行登录验证的总次数;
异常验证总次数为预设时间范围内第i个终端设备登录验证失败的总次数;
验证字节偏移量是指服务平台所产生的数据包中终端设备用户信息的起始位置与整个数据包的起始位置之间的字节偏移量,通过数据分析工具获取;
防护特征数据包括虚拟密码更换频次、验证密码失效占比与流量变化值;所述防护特征数据为第i个终端设备受到非法验证时,进行网络安全防护产生的数据;
虚拟密码更换频次为预设时间范围内,服务平台向第i个终端设备发送虚拟密码的次数;
验证密码失效占比为预设时间范围内,服务平台进行配对验证时,验证密码失效所占的比例;
流量变化值为流量交换量与预设流量交换量的差值绝对值。
进一步地,风险评估系数生成的过程包括:
将验证总次数、异常验证总次数/>与验证字节偏移量/>进行归一化处理后,通过相关性分析获得风险评估系数/>,如下:
式中,为第i个终端设备验证总次数的权重因子,/>为第i个终端设备异常验证总次数的权重因子,/>为第i个终端设备验证字节偏移量的权重因子。
进一步地,防御评估系数生成的过程包括:
将虚拟密码更换频次、验证密码失效占比/>与流量变化值/>进行归一化处理后,通过相关性分析获得防御评估系数/>,如下:
式中,为第i个终端设备虚拟密码更换频次的权重因子,/>为第i个终端设备验证密码失效占比的权重因子,/>为第i个终端设备流量变化值的权重因子。
进一步地,监测系数生成的方法包括:
将风险评估系数与防御评估系数/>进行无量纲化并关联处理,形成监测系数/>,所述监测系数/>表达式如下:
式中,为第i个终端设备的风险评估系数的权重因子,/>为第i个终端设备防御评估系数的权重因子,/>为修正常数。
进一步地,监测系数阈值包括第一监测系数阈值与第二监测系数阈值,第一监测系数阈值为i个终端设备的预警阈值;第二监测系数阈值为监测区域内所有监测系数的均值,第二监测系数阈值大于第一监测系数阈值。
进一步地,监测系数与第一监测系数阈值对比分析,若监测系数/>小于或等于第一监测系数阈值,则不生成第一预警指令,若监测系数/>大于第一监测系数阈值,则生成第一预警指令,调取电子地图中第i个终端设备的经纬度,以该经纬度为圆心,以监测系数为半径,生成节点预警区域,在t时刻获取监测区域内i个监测系数,计算i个监测系数的监测系数均值/>,并计算监测系数在t时刻的离散程度/>,计算表达式如下:
式中,为监测区域内i个终端设备的监测系数均值;
在t+1时刻获取监测区域内i个监测系数,计算i个监测系数的监测系数均值与t+1时刻的/>的离散程度/>,计算公式如下:
其中,t+1时刻为t时刻的下一时刻,t时刻与t+1时刻之间的时间间隔为预设时间范围;预设时间范围的长短与节点预警区域的面积为正相关性。
进一步地,将、/>与/>、/>对比分析,若/>>/>且/>,监测系数升高,离散程度逐渐减小,即该监测区域受到非法攻击程度逐渐升高,生成第一预警指令;
</>且/>,监测系数下降,离散程度逐渐增大,即该监测区域受到分散型非法攻击,生成第二预警指令;
>/>且/>,监测系数升高,离散程度逐渐增大,生成第三预警指令;
大于第二监测系数阈值,则生成第四预警指令;
预警指令包含终端设备经纬度位置信息,终端设备在生成第一预警指令时,调取该监测系数的对应终端设备经纬度位置信息。
第二方面,本发明提供基于多节点关联性的网络安全态势诊断系统,其基于上述的基于多节点关联性的网络安全态势诊断方法实现,包括:
数据采集模块,对监测区域内建立网络服务联系的设备终端在预设时间范围进行网络安全监测,获得终端数据;
风险评估模块,基于风险特征数据对网络存在的风险进行评估,生成风险评估系数;
防御评估模块,基于防护特征数据对网络防御进行评估,生成防御评估系数;
数据处理模块,将风险评估系数与防御评估系数进行关联,形成监测系数;
预警模块,预设监测系数阈值,将监测系数与监测系数阈值进行对比,判断是否生成预警指令。
第三方面,本发明提供一种电子设备,包括:处理器和存储器,其中,所述存储器中存储有可供处理器调用的计算机程序;
所述处理器通过调用所述存储器中存储的计算机程序,执行上述的基于多节点关联性的网络安全态势诊断方法。
第四方面,本发明提供一种计算机可读存储介质,储存有指令,当所述指令在计算机上运行时,使得计算机执行上述的基于多节点关联性的网络安全态势诊断方法。
本发明的技术效果和优点:
1.本发明通过对监测区域内的I个设备进行数据采集,获取第i个设备的风险特征数据,经过评估后形成风险评估系数,基于防护特征数据进行评估,形成防御评估系数,将风险评估系数与防御评估系数进行关联,形成监测系数,在预设时间范围对监测系数与监测系数均值计算出离散程度,根据不同时间段的监测系数均值与离散程度对网络安全进行预警,并基于第i个终端设备所在位置,在发生非法攻击时,能够根据不同的预警指令进行点对点处理,精准地处理网络故障,提高处理效率,有利于保证网络安全,同时减少了终端设备因不断更新而占用过多存储空间。
2.本发明通过对监测区域内建立网络服务联系的设备终端在预设时间范围进行网络安全监测,获取终端设备的终端数据,经过数据处理后获得监测系数,当终端设备出现非法攻击时,能够记录下监测系数,快速定位节点预警区域,快速处理网络漏洞,保证网络安全、稳定和可靠地运行,安防人员能够以最少的操作和时间获得确切预警指令,排查网络故障的效率大大提高。
附图说明
图1为实施例1的方法示意图;
图2为实施例2的系统示意图;
图3为实施例1的节点预警区域第一示意图;
图4为实施例1的节点预警区域第二示意图;
图5为实施例3的一种电子设备示意图;
图6为实施例4的一种计算机可读存储介质示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
请参阅图1所示,本实施例提供了基于多节点关联性的网络安全态势诊断方法,包括:
步骤一:对监测区域内建立网络服务联系的设备终端在预设时间范围进行网络安全监测,获得终端数据;
需要具体说明的是,监测区域为i个终端设备安装的地理位置,其中i个终端设备共用一个服务平台;所述地理位置通过分析服务平台与i个终端设备网络通信地址获得。
其中,所述网络服务联系为用户通过扫描终端设备上的二维码进入服务平台进行服务申请,服务平台获取服务申请,并根据服务申请对服务平台中存储的终端设备用户信息进行提取,通过用户信息配对获得身份验证结果,通过身份验证一致结果对终端设备与服务平台建立的网络服务联系;所述终端设备用户信息包含设备终端服务商信息、设备消费者端信息与终端设备维护商信息等用户信息;将终端设备标记为i个,i=1、2、3...I,i为正整数;所述终端设备可以为智能锁、智能空调或智能冰箱等智能家电,不作具体限定。
其中,所述终端数据包括风险特征数据与防护特征数据;终端数据用于表征第i个终端设备受到非法验证时产生的数据,并通过服务平台中的数据日记或数据分析工具直接获取;其中,非法验证为服务平台提取用户信息并配对时,产生的异常登录次数,所述异常登录次数为超过预设登录失败的次数;或基于用户IP地址映射地理位置,监测用户的登录地理位置是否与通常的登录地址相符,若发现用户从不常用的地理位置登录,可能是非法验证,并将非法验证的用户定义为恶意用户。
在一个优选的实施例中,风险特征数据包括验证总次数、异常验证总次数与验证字节偏移量;
其中,验证总次数为预设时间范围内第i个终端设备进行登录验证的总次数;可以理解的是,验证总次数包括成功验证次数与验证失败次数,在预设时间范围内,用户每次进行验证时,服务平台获取终端设备用户信息并不断验证的总次数。
异常验证总次数为预设时间范围内第i个终端设备登录验证失败的总次数;可以理解的是,在预设时间范围内,用户通过终端设备向服务平台进行验证时,服务平台获取用户信息并配对验证失败的总次数。
验证字节偏移量是指服务平台所产生的数据包中终端设备用户信息的起始位置与整个数据包的起始位置之间的字节偏移量,通过数据分析工具获取;
示例性的,数学表达式:字节偏移量=目标数据索引
例如,内存块的起始位置为内存地址0x1000,而恶意用户访问内存块中的第10个字节,每个数据单元的大小是1字节,那么字节偏移量为:字节偏移量=10,说明恶意用户需要从内存地址0x1000开始,向后偏移10个字节,就可以访问到所需的数据。
可以理解的是,在服务平台获取用户信息并配对验证时,在验证数据中的字节位置,用于确定验证数据中的终端设备用户信息,以便进一步诊断验证问题,验证字节偏移量越大,验证次数越频繁,非法验证的可能性越大。
所述防护特征数据为第i个终端设备受到非法验证时,进行网络安全防护产生的数据;在一个优选的实施例中,防护特征数据包括虚拟密码更换频次、验证密码失效占比与流量变化值。
其中,所述虚拟密码更换频次为预设时间范围内,服务平台向第i个终端设备发送虚拟密码的次数;可以理解的是,虚拟密码为恶意用户在非法验证时,服务平台将正确的解锁密码前后随机添加乱码,为了防止恶意用户轻易地获得验证密码而设置的虚拟密码,虚拟密码更换频次越多,非法验证的可能性越大;
所述验证密码失效占比为预设时间范围内,服务平台进行配对验证时,验证密码失效所占的比例,可以说明的是,验证密码失效为验证密码过期失效、验证密码被恶意用户破解或多次验证超出预设阈值而锁定账户,示例性地,当服务平台进行配对验证时,向第i个终端设备发生验证密码,用户超出预设验证时间或预设次数未进行正确的验证密码验证,则验证密码失效;
所述流量变化值为流量交换量与预设流量交换量的差值绝对值,需要说明的是流量交换量为与服务平台通讯的第i个终端设备产生的流量交换量,当第i个终端设备的流量交换量超出预设流量交换量,则说明第i个终端设备可能受到非法攻击。
通过风险特征数据与防护特征数据可以帮助识别和评估终端设备的安全风险,从而采取适当的安全措施。
步骤二、基于风险特征数据对网络存在的风险进行评估,生成风险评估系数;
具体地,所述风险评估系数生成的过程具体包括:
将风险特征数据中的验证总次数、异常验证总次数与验证字节偏移量分别标记为、/>与/>
将风险特征数据中的验证总次数、异常验证总次数/>与验证字节偏移量进行归一化处理后,通过相关性分析获得风险评估系数/>,其计算公式如下:
式中,为第i个终端设备验证总次数的权重因子,/>为第i个终端设备异常验证总次数的权重因子,/>为第i个终端设备验证字节偏移量的权重因子,权重因子反映了风险评估系数包含的参数数值对该终端设备受到非法验证的影响大小,影响越大,相应数值的权重因子就越大。
需要说明的是,若异常验证总次数与验证总次数之间的比值越小,则风险评估系数越小,即说明第i个终端设备受到的非法验证概率越小,若异常验证总次数与验证总次数之间的比值越大,则风险评估系数/>越大,即说明第i个终端设备受到的非法验证概率越大;
步骤三、基于防护特征数据对网络防御进行评估,生成防御评估系数;
具体地,所述防御评估系数生成的过程具体包括:
将防护特征数据中的虚拟密码更换频次、验证密码失效占比与流量变化值分别标记为、/>与/>
将风险特征数据中的虚拟密码更换频次、验证密码失效占比/>与流量变化值/>进行归一化处理后,通过相关性分析获得防御评估系数/>,其计算公式如下:
式中,为第i个终端设备虚拟密码更换频次的权重因子,/>为第i个终端设备验证密码失效占比的权重因子,/>为第i个终端设备流量变化值的权重因子,权重因子反映了防御评估系数包含的参数数值对该终端设备抵御非法验证的影响大小,影响越大,相应数值的权重因子就越大。
需要说明的是,若虚拟密码更换频次、验证密码失效占比或流量变化值越小,则防御评估系数越小,即说明第i个终端设备防御非法验证的能力越小,终端设备越容易被攻破;若虚拟密码更换频次、验证密码失效占比或流量变化值越大,则防御评估系数/>越大,即第i个终端设备防御非法验证的能力越大,终端设备越不容易被攻破;
步骤四、将风险评估系数与防御评估系数进行关联,形成监测系数;
所述监测系数生成的方法包括:
将风险评估系数与防御评估系数/>进行无量纲化并关联处理,形成监测系数/>,所述监测系数/>表达式如下:
式中,为第i个终端设备的风险评估系数的权重因子,/>为第i个终端设备防御评估系数的权重因子,/>为修正常数,权重因子反映了监测系数/>包含的参数数值对该终端设备出现异常的数值大小,数值越大,相应数值的权重因子就越大。
步骤五、预设监测系数阈值,将监测系数与监测系数阈值进行对比,判断是否生成预警指令;
监测系数阈值包括第一监测系数阈值与第二监测系数阈值,第一监测系数阈值为i个终端设备的预警阈值,根据i个终端设备进行设置;第二监测系数阈值为监测区域内所有监测系数的均值,即监测区域内所有终端设备获得的均值,第二监测系数阈值大于第一监测系数阈值。
所述预警指令包括第一预警指令、第二预警指令、第三预警指令与第四预警指令;
将监测系数与第一监测系数阈值对比分析,若监测系数/>小于或等于第一监测系数阈值,则不生成第一预警指令,若监测系数/>大于第一监测系数阈值,则生成第一预警指令,调取电子地图中第i个终端设备的经纬度,以该经纬度为圆心,以监测系数为半径,生成节点预警区域,在t时刻获取监测区域内i个监测系数,计算i个监测系数的监测系数均值/>,并计算监测系数在t时刻的离散程度/>,计算表达式如下:
式中,为监测区域内i个终端设备的监测系数均值。
在t+1时刻获取监测区域内i个监测系数,计算i个监测系数的监测系数均值与t+1时刻的/>的离散程度/>,计算公式如下:
其中,t+1时刻为t时刻的下一时刻,t时刻与t+1时刻之间的时间间隔,即预设时间范围,由工作人员设定,可以为10秒钟或一分钟,预设时间范围的长短与节点预警区域的面积为正相关性,将、/>与/>、/>对比分析。
请参阅图3所示,若>/>且/>,监测系数升高,离散程度逐渐减小,即该监测区域受到非法攻击程度逐渐升高,则说明攻击者为连续性攻击节点预警区域,此时生成第一预警指令,提示安防人员及时处理网络漏洞,并根据该终端设备不断改进网络安全态势诊断的方法;
请参阅图4所示,若</>且/>,监测系数下降,离散程度逐渐增大,即该监测区域受到分散型非法攻击,则说明攻击者为分散型攻击节点预警区域,此时生成第二预警指令,提示安防人员扩大终端设备的网络安全保护范围,隔离受到非法验证的终端设备,并修复网络漏洞,更新安全策略,以保证网络安全性;
>/>且/>,监测系数升高,离散程度逐渐增大,说明攻击者不是从单一点进行攻击,而是多点连续性攻击节点预警区域,攻击者可能为团伙作案,此时生成第三预警指令;
大于第二监测系数阈值,则生成第四预警指令,说明此时预警节点预警区域内的终端设备受到严重的非法攻击;
当生成第三预警指令或第四预警指令直接提示安防人员及时处理网络漏洞并扩大终端设备的网络安全保护范围,同时向公安机关协助处理。
所述预警指令包含终端设备经纬度位置信息,终端设备在生成第一预警指令时,调取该监测系数的对应终端设备经纬度位置信息,便于安防人员针对性进行处理网络漏洞,并制定对应的安全策略,提升整体网络其他终端设备的网络安全。
本实施例中,通过对监测区域内的I个设备进行数据采集,获取第i个设备的风险特征数据,经过评估后形成风险评估系数,基于防护特征数据进行评估,形成防御评估系数,将风险评估系数与防御评估系数进行关联,形成监测系数,在预设时间范围对监测系数与监测系数均值计算出离散程度,根据不同时间段的监测系数均值与离散程度对网络安全进行预警,并基于第i个终端设备所在位置,在发生非法攻击时,能够根据不同的预警指令进行点对点处理,精准地处理网络故障,提高处理效率,有利于保证网络安全,同时减少了终端设备因不断更新而占用过多存储空间;
通过对监测区域内建立网络服务联系的设备终端在预设时间范围进行网络安全监测,获取终端设备的终端数据,经过数据处理后获得监测系数,当终端设备出现非法攻击时,能够记录下监测系数,快速定位节点预警区域,快速处理网络漏洞,保证网络安全、稳定和可靠地运行,安防人员能够以最少的操作和时间获得确切预警指令,排查网络故障的效率大大提高。
实施例2
请参阅图2所示,本实施例提供了基于多节点关联性的网络安全态势诊断系统,包括:
数据采集模块,对监测区域内建立网络服务联系的设备终端在预设时间范围进行网络安全监测,获得终端数据;
风险评估模块,基于风险特征数据对网络存在的风险进行评估,生成风险评估系数;
防御评估模块,基于防护特征数据对网络防御进行评估,生成防御评估系数;
数据处理模块,将风险评估系数与防御评估系数进行关联,形成监测系数;
预警模块,预设监测系数阈值,将监测系数与监测系数阈值进行对比,判断是否生成预警指令。
实施例3
请参阅图5所示,一种电子设备,包括:处理器和存储器,其中,所述存储器中存储有可供处理器调用的计算机程序;
所述处理器通过调用所述存储器中存储的计算机程序,执行上述的基于多节点关联性的网络安全态势诊断方法。
实施例4
请参阅图6所示,一种计算机可读存储介质,储存有指令,当所述指令在计算机上运行时,使得计算机执行上述的基于多节点关联性的网络安全态势诊断方法。
上述公式均是去量纲取其数值计算,公式是由采集大量数据进行软件模拟得到最近真实情况的一个公式,公式中的预设参数、权重以及阁值选取由本领域的技术人员根据实际情况进行设置。
上述实施例,可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络,或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线网络方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD),或者半导体介质。半导体介质可以是固态硬盘。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件,或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其他的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其他的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,既可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术作出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-onlymemory,ROM)、随机存取存储器(randomaccessmemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
最后:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (13)

1.基于多节点关联性的网络安全态势诊断方法,其特征在于:包括:
步骤一:对监测区域内建立网络服务联系的设备终端在预设时间范围进行网络安全监测,获得终端数据;所述终端数据包括风险特征数据与防护特征数据;
步骤二:基于风险特征数据对网络存在的风险进行评估,生成风险评估系数;
步骤三:基于防护特征数据对网络防御进行评估,生成防御评估系数;
步骤四:将风险评估系数与防御评估系数进行关联,形成监测系数;
步骤五:预设监测系数阈值,将监测系数与监测系数阈值进行对比,判断是否生成预警指令。
2.根据权利要求1所述的基于多节点关联性的网络安全态势诊断方法,其特征在于,网络服务联系为用户通过扫描终端设备上的二维码进入服务平台进行服务申请,服务平台获取服务申请,并根据服务申请对服务平台中存储的终端设备用户信息进行提取,通过用户信息配对获得身份验证结果,通过身份验证一致结果对终端设备与服务平台建立的网络服务联系;终端设备用户信息包含设备终端服务商信息、设备消费者端信息与终端设备维护商信息;将终端设备标记为i个,i=1、2、3...I,i为正整数。
3.根据权利要求2所述的基于多节点关联性的网络安全态势诊断方法,其特征在于,监测区域为i个终端设备安装的地理位置,其中i个终端设备共用一个服务平台;所述地理位置通过分析服务平台与i个终端设备网络通信地址获得。
4.根据权利要求3所述的基于多节点关联性的网络安全态势诊断方法,其特征在于,终端数据用于表征第i个终端设备受到非法验证时产生的数据,并通过服务平台中的数据日记或数据分析工具直接获取;
风险特征数据包括验证总次数、异常验证总次数与验证字节偏移量;
其中,验证总次数为预设时间范围内第i个终端设备进行登录验证的总次数;
异常验证总次数为预设时间范围内第i个终端设备登录验证失败的总次数;
验证字节偏移量是指服务平台所产生的数据包中终端设备用户信息的起始位置与整个数据包的起始位置之间的字节偏移量,通过数据分析工具获取;
防护特征数据包括虚拟密码更换频次、验证密码失效占比与流量变化值;所述防护特征数据为第i个终端设备受到非法验证时,进行网络安全防护产生的数据;
虚拟密码更换频次为预设时间范围内,服务平台向第i个终端设备发送虚拟密码的次数;
验证密码失效占比为预设时间范围内,服务平台进行配对验证时,验证密码失效所占的比例;
流量变化值为流量交换量与预设流量交换量的差值绝对值。
5.根据权利要求4所述的基于多节点关联性的网络安全态势诊断方法,其特征在于,风险评估系数生成的过程包括:
将验证总次数、异常验证总次数/>与验证字节偏移量/>进行归一化处理后,通过相关性分析获得风险评估系数/>,如下:
式中,为第i个终端设备验证总次数的权重因子,/>为第i个终端设备异常验证总次数的权重因子,/>为第i个终端设备验证字节偏移量的权重因子。
6.根据权利要求5所述的基于多节点关联性的网络安全态势诊断方法,其特征在于,防御评估系数生成的过程包括:
将虚拟密码更换频次、验证密码失效占比/>与流量变化值/>进行归一化处理后,通过相关性分析获得防御评估系数/>,如下:
式中,为第i个终端设备虚拟密码更换频次的权重因子,/>为第i个终端设备验证密码失效占比的权重因子,/>为第i个终端设备流量变化值的权重因子。
7.根据权利要求6所述的基于多节点关联性的网络安全态势诊断方法,其特征在于,监测系数生成的方法包括:
将风险评估系数与防御评估系数/>进行无量纲化并关联处理,形成监测系数,所述监测系数/>表达式如下:
式中,为第i个终端设备的风险评估系数的权重因子,/>为第i个终端设备防御评估系数的权重因子,/>为修正常数。
8.根据权利要求7所述的基于多节点关联性的网络安全态势诊断方法,其特征在于,监测系数阈值包括第一监测系数阈值与第二监测系数阈值,第一监测系数阈值为i个终端设备的预警阈值;第二监测系数阈值为监测区域内所有监测系数的均值,第二监测系数阈值大于第一监测系数阈值。
9.根据权利要求8所述的基于多节点关联性的网络安全态势诊断方法,其特征在于,监测系数与第一监测系数阈值对比分析,若监测系数/>小于或等于第一监测系数阈值,则不生成第一预警指令,若监测系数/>大于第一监测系数阈值,则生成第一预警指令,调取电子地图中第i个终端设备的经纬度,以该经纬度为圆心,以监测系数为半径,生成节点预警区域,在t时刻获取监测区域内i个监测系数,计算i个监测系数的监测系数均值/>,并计算监测系数在t时刻的离散程度/>,计算表达式如下:
式中,为监测区域内i个终端设备的监测系数均值;
在t+1时刻获取监测区域内i个监测系数,计算i个监测系数的监测系数均值与t+1时刻的监测系数/>的离散程度/>,计算公式如下:
其中,t+1时刻为t时刻的下一时刻,t时刻与t+1时刻之间的时间间隔为预设时间范围;预设时间范围的长短与节点预警区域的面积为正相关性。
10.根据权利要求9所述的基于多节点关联性的网络安全态势诊断方法,其特征在于,将、/>与/>、/>对比分析,若/>>/>且/>,监测系数升高,离散程度逐渐减小,即该监测区域受到非法攻击程度逐渐升高,生成第一预警指令;
</>且/>,监测系数下降,离散程度逐渐增大,即该监测区域受到分散型非法攻击,生成第二预警指令;
>/>且/>,监测系数升高,离散程度逐渐增大,生成第三预警指令;
大于第二监测系数阈值,则生成第四预警指令;
预警指令包含终端设备经纬度位置信息,终端设备在生成第一预警指令时,调取该监测系数的对应终端设备经纬度位置信息。
11.基于多节点关联性的网络安全态势诊断系统,其基于权利要求1-10任一项所述的基于多节点关联性的网络安全态势诊断方法实现,其特征在于:包括:
数据采集模块,对监测区域内建立网络服务联系的设备终端在预设时间范围进行网络安全监测,获得终端数据;
风险评估模块,基于风险特征数据对网络存在的风险进行评估,生成风险评估系数;
防御评估模块,基于防护特征数据对网络防御进行评估,生成防御评估系数;
数据处理模块,将风险评估系数与防御评估系数进行关联,形成监测系数;
预警模块,预设监测系数阈值,将监测系数与监测系数阈值进行对比,判断是否生成预警指令。
12.一种电子设备,其特征在于,包括:处理器和存储器,其中,所述存储器中存储有可供处理器调用的计算机程序;
所述处理器通过调用所述存储器中存储的计算机程序,执行权利要求1-10任一项所述的基于多节点关联性的网络安全态势诊断方法。
13.一种计算机可读存储介质,其特征在于,储存有指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1-10任一项所述的基于多节点关联性的网络安全态势诊断方法。
CN202311353509.XA 2023-10-19 2023-10-19 基于多节点关联性的网络安全态势诊断方法及系统 Active CN117097569B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311353509.XA CN117097569B (zh) 2023-10-19 2023-10-19 基于多节点关联性的网络安全态势诊断方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311353509.XA CN117097569B (zh) 2023-10-19 2023-10-19 基于多节点关联性的网络安全态势诊断方法及系统

Publications (2)

Publication Number Publication Date
CN117097569A true CN117097569A (zh) 2023-11-21
CN117097569B CN117097569B (zh) 2023-12-19

Family

ID=88773873

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311353509.XA Active CN117097569B (zh) 2023-10-19 2023-10-19 基于多节点关联性的网络安全态势诊断方法及系统

Country Status (1)

Country Link
CN (1) CN117097569B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117439826A (zh) * 2023-12-21 2024-01-23 江苏禾冠信息技术有限公司 基于多模态验证的网络安全识别方法及系统
CN117650947A (zh) * 2024-01-29 2024-03-05 深圳市众泰兄弟科技发展有限公司 基于机器学习的网络流量数据安全可视化监测系统
CN117675523A (zh) * 2024-02-03 2024-03-08 北京中科网芯科技有限公司 基于风险预测的网络通信管理方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102801739A (zh) * 2012-08-25 2012-11-28 乐山师范学院 基于云计算环境的网络风险测定取证方法
CN111506808A (zh) * 2020-02-23 2020-08-07 北京三快在线科技有限公司 用户数据处理方法、二维码展示方法、系统及装置
CN113965404A (zh) * 2021-11-02 2022-01-21 公安部第三研究所 一种网络安全态势自适应主动防御系统及方法
CN114978770A (zh) * 2022-07-25 2022-08-30 睿至科技集团有限公司 基于大数据的物联网安全风险预警管控方法及系统
CN116471052A (zh) * 2023-03-22 2023-07-21 南安市志创网络科技有限公司 一种基于云计算的关联权重型网络安全防护系统
CN116797267A (zh) * 2023-08-23 2023-09-22 深空间发展投资控股(湖北)有限公司 用于股权投资的分布式市场数据采集管理系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102801739A (zh) * 2012-08-25 2012-11-28 乐山师范学院 基于云计算环境的网络风险测定取证方法
CN111506808A (zh) * 2020-02-23 2020-08-07 北京三快在线科技有限公司 用户数据处理方法、二维码展示方法、系统及装置
CN113965404A (zh) * 2021-11-02 2022-01-21 公安部第三研究所 一种网络安全态势自适应主动防御系统及方法
CN114978770A (zh) * 2022-07-25 2022-08-30 睿至科技集团有限公司 基于大数据的物联网安全风险预警管控方法及系统
CN116471052A (zh) * 2023-03-22 2023-07-21 南安市志创网络科技有限公司 一种基于云计算的关联权重型网络安全防护系统
CN116797267A (zh) * 2023-08-23 2023-09-22 深空间发展投资控股(湖北)有限公司 用于股权投资的分布式市场数据采集管理系统

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
HUI WU: "Research on Artificial Intelligence Enhancing Internet of Things Security: A Survey", 《IEEE》 *
张;何晶;王丽;: "广电家庭物联网安全分析及建议", 有线电视技术, no. 10 *
徐伟;黄学鹏;: "层次化动态网络入侵风险量化评估仿真研究", 计算机仿真, no. 04 *
陈栋: "无线传感器网络源节点位置隐私保护关键技术研究", 《中国博士学位论文全文数据库》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117439826A (zh) * 2023-12-21 2024-01-23 江苏禾冠信息技术有限公司 基于多模态验证的网络安全识别方法及系统
CN117439826B (zh) * 2023-12-21 2024-03-01 江苏禾冠信息技术有限公司 基于多模态验证的网络安全识别方法及系统
CN117650947A (zh) * 2024-01-29 2024-03-05 深圳市众泰兄弟科技发展有限公司 基于机器学习的网络流量数据安全可视化监测系统
CN117650947B (zh) * 2024-01-29 2024-04-12 深圳市众泰兄弟科技发展有限公司 基于机器学习的网络流量数据安全可视化监测系统
CN117675523A (zh) * 2024-02-03 2024-03-08 北京中科网芯科技有限公司 基于风险预测的网络通信管理方法及系统
CN117675523B (zh) * 2024-02-03 2024-05-03 北京中科网芯科技有限公司 基于风险预测的网络通信管理方法及系统

Also Published As

Publication number Publication date
CN117097569B (zh) 2023-12-19

Similar Documents

Publication Publication Date Title
CN117097569B (zh) 基于多节点关联性的网络安全态势诊断方法及系统
Schmittner et al. Security application of failure mode and effect analysis (FMEA)
CN112184091B (zh) 工控系统安全威胁评估方法、装置和系统
Bao et al. BLITHE: Behavior rule-based insider threat detection for smart grid
CN102082659B (zh) 一种面向网络安全评估的漏洞扫描系统及其处理方法
CN114978770B (zh) 基于大数据的物联网安全风险预警管控方法及系统
CN113472547B (zh) 一种基于区块链的安全监控系统
CN116319061A (zh) 一种智能控制网络系统
KR101538374B1 (ko) 사이버 위협 사전 예측 장치 및 방법
CN112749097B (zh) 一种模糊测试工具性能测评方法、装置
CN102447707A (zh) 一种基于映射请求的DDoS检测与响应方法
CN115277490B (zh) 一种网络靶场评估方法、系统、设备及存储介质
CN109167794A (zh) 一种面向网络系统安全度量的攻击检测方法
Otuoze et al. Electricity theft detection framework based on universal prediction algorithm
CN114024860A (zh) 一种用于网络安全设备的风险监控系统
CN116132989A (zh) 一种工业互联网安全态势感知系统及方法
CN117478433B (zh) 一种网络与信息安全动态预警系统
US20170346834A1 (en) Relating to the monitoring of network security
Ge et al. Detecting Data Integrity Attacks in Smart Grid
JP4437410B2 (ja) セキュリティ管理装置及びプログラム
JP7150425B2 (ja) 通信システム、制御装置、通信制御方法、及びプログラム
CN117811839B (zh) 一种监测物联网设备的网络安全监测装置及其方法
CN117424759B (zh) 应用于配电房内的全息监控网关及其监控系统
CN116132196B (zh) 一种用于社保平台数据的安全传输方法
CN117390708B (zh) 一种隐私数据安全保护方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant