專利名稱:一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)及方法。
背景技術(shù):
互聯(lián)網(wǎng)(Internet)的飛速發(fā)展,為信息的傳播和利用帶來了極大的便利,同時(shí)也 使人類社會(huì)面臨著信息安全的巨大挑戰(zhàn)。為了緩解日益嚴(yán)重的安全問題,入侵檢測(cè)設(shè)備 (Intrusion Detection System, IDS)得到了越來越廣泛的應(yīng)用。入侵檢測(cè)設(shè)備安裝在被 保護(hù)的網(wǎng)段中,其監(jiān)聽網(wǎng)卡工作在混雜模式下,分析網(wǎng)段中所有的數(shù)據(jù)包,進(jìn)行網(wǎng)絡(luò)安全事 件的實(shí)時(shí)檢測(cè)和響應(yīng)。目前入侵檢測(cè)設(shè)備普遍采用誤用檢測(cè)技術(shù),其檢測(cè)方法為首先對(duì)標(biāo) 識(shí)特定的入侵行為模式進(jìn)行編碼,建立誤用模式庫(kù),然后對(duì)實(shí)際檢測(cè)過程中得到的事件數(shù) 據(jù)進(jìn)行過濾,檢查是否包含入侵行為的標(biāo)識(shí),是則認(rèn)為有入侵行為。如果檢測(cè)到入侵行為, 則產(chǎn)生一條對(duì)應(yīng)的安全日志,其中包含了入侵行為發(fā)起方地址(源地址)、入侵行為目標(biāo)方 地址(目的地址)、入侵行為描述(事件類型)等信息。入侵檢測(cè)設(shè)備的大量引入一方面保護(hù)了信息系統(tǒng)的安全,另一方面也帶來了新的 問題。連續(xù)運(yùn)行的入侵檢測(cè)設(shè)備會(huì)產(chǎn)生海量的日志,而真正有價(jià)值的報(bào)警信息被淹沒在海 量日志中。由于報(bào)警量大、不相關(guān)報(bào)警多,安全管理人員的大部分精力被耗費(fèi)在處理無用信 息上,難以從整體上評(píng)估當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)。目前的現(xiàn)有技術(shù)中,有的解決方案是從入侵檢測(cè)系統(tǒng)報(bào)警綜合評(píng)估得到網(wǎng)絡(luò)攻擊 態(tài)勢(shì)評(píng)估指標(biāo)入手,應(yīng)用支持向量回歸的預(yù)測(cè)方法對(duì)網(wǎng)絡(luò)攻擊態(tài)勢(shì)評(píng)估指標(biāo)進(jìn)行時(shí)間序列 預(yù)測(cè)。該方案能夠根據(jù)歷史攻擊態(tài)勢(shì)指標(biāo),來預(yù)測(cè)下一時(shí)刻的攻擊態(tài)勢(shì)指標(biāo),但無法做出下 一時(shí)刻攻擊態(tài)勢(shì)是否正常的判斷。而且,在指標(biāo)選取上只考慮了報(bào)警數(shù)量,難以準(zhǔn)確量化網(wǎng) 絡(luò)攻擊行為的威脅程度。例如,假設(shè)有兩個(gè)信息系統(tǒng),分別為信息系統(tǒng)A和信息系統(tǒng)B,這 兩個(gè)信息系統(tǒng)在一個(gè)觀測(cè)周期內(nèi)都檢測(cè)到了 100條攻擊事件,其中在信息系統(tǒng)A中,100條 攻擊事件是分別針對(duì)100臺(tái)主機(jī)的,而在信息系統(tǒng)B中,100條攻擊事件是針對(duì)同一臺(tái)主機(jī) 的,這兩個(gè)系統(tǒng)所面臨的威脅顯然不同,但利用前述方案,則難以體現(xiàn)出這種差別。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是在于需要提供一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)及方法, 用于入侵檢測(cè)設(shè)備評(píng)估網(wǎng)絡(luò)安全狀態(tài)。為了解決上述技術(shù)問題,本發(fā)明提供了一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估方法,用于入侵檢 測(cè)設(shè)備評(píng)估網(wǎng)絡(luò)安全狀態(tài),包括根據(jù)入侵檢測(cè)設(shè)備當(dāng)前觀測(cè)周期之前的歷史日志,提取網(wǎng)絡(luò)安全狀態(tài)指標(biāo),建立 網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型;所述評(píng)估時(shí),根據(jù)所述入侵檢測(cè)設(shè)備當(dāng)前觀測(cè)周期的實(shí)時(shí)日志,獲得所述實(shí)時(shí)日 志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值及正態(tài)分布模型,獲 得所述入侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果。
優(yōu)選地,所述建立網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型的步驟,包括通過對(duì)所述歷史日志進(jìn)行學(xué)習(xí),根據(jù)所述歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,獲得 所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù),建立所述正態(tài)分布模型。優(yōu)選地,根據(jù)所述歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,獲得所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo) 的模型參數(shù)的步驟,包括計(jì)算所述歷史日志若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值;計(jì)算所述若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值的均值和方差,將所述均值和 方差作為所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)。優(yōu)選地,所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo),包括安全事件數(shù)量指標(biāo)、地址熵指標(biāo)及安全事件 擴(kuò)散指標(biāo)。優(yōu)選地,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值及正態(tài)分布模型,獲得所述入 侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果的步驟,包括采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方式,獲得所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo) 值與正態(tài)分布模型的偏離程度;根據(jù)所述偏離程度,評(píng)估所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài),獲得所述網(wǎng)絡(luò)安全 狀態(tài)評(píng)估結(jié)果。為了解決上述技術(shù)問題,本發(fā)明還提供了一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng),用于入侵 檢測(cè)設(shè)備評(píng)估網(wǎng)絡(luò)安全狀態(tài),包括存儲(chǔ)模塊,用于存儲(chǔ)所述入侵檢測(cè)設(shè)備的日志,包括當(dāng)前觀測(cè)周期的實(shí)時(shí)日志,以 及所述當(dāng)前觀測(cè)周期之前的歷史日志;指標(biāo)提取模塊,與所述存儲(chǔ)模塊相連,根據(jù)所述入侵檢測(cè)設(shè)備的日志,提取網(wǎng)絡(luò)安 全狀態(tài)指標(biāo),獲得網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值;模型建立模塊,與所述存儲(chǔ)模塊及指標(biāo)提取模塊相連,根據(jù)所述歷史日志的網(wǎng)絡(luò) 安全狀態(tài)指標(biāo)值,建立所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型;評(píng)估模塊,與所述指標(biāo)提取模塊及模型建立模塊相連,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò) 安全狀態(tài)指標(biāo)值與正態(tài)分布模型,獲得所述入侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全 狀態(tài)評(píng)估結(jié)果。優(yōu)選地,所述模型建立模塊,通過對(duì)所述歷史日志進(jìn)行學(xué)習(xí),根據(jù)所述歷史日志的 網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,獲得所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù),建立所述正態(tài)分布模型。優(yōu)選地,所述模型建立模塊計(jì)算所述歷史日志若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài) 指標(biāo)值,再計(jì)算所述若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值的均值和方差,將所述均值 和方差作為所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)。優(yōu)選地,所述指標(biāo)提取模塊,包括安全事件數(shù)量指標(biāo)提取單元,與所述存儲(chǔ)模塊、模型建立模塊及評(píng)估模塊相連,用 于過濾一個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備的日志,獲得安全事件數(shù)量;地址熵指標(biāo)提取單元,與所述存儲(chǔ)模塊、模型建立模塊及評(píng)估模塊相連,用于利用 信息熵的計(jì)算方法,計(jì)算一個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備日志源地址、目的地址的地址分布 熵;及安全事件擴(kuò)散指標(biāo)提取單元,與所述存儲(chǔ)模塊、模型建立模塊及評(píng)估模塊相連,用于獲得一個(gè)觀測(cè)周期內(nèi)的安全事件擴(kuò)散指標(biāo)值。優(yōu)選地,所述評(píng)估模塊,采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方式,獲得實(shí)時(shí)日志的 網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與正態(tài)分布模型的偏離程度,根據(jù)所述偏離程度評(píng)估所述當(dāng)前觀測(cè)周 期的網(wǎng)絡(luò)安全狀態(tài),獲得所述網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果。本發(fā)明提出的網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)及方法,能夠根據(jù)入侵檢測(cè)設(shè)備產(chǎn)生的日 志,自動(dòng)評(píng)估當(dāng)前網(wǎng)絡(luò)安全狀態(tài)。與現(xiàn)有技術(shù)相比,本發(fā)明通過計(jì)算安全事件數(shù)量指標(biāo),能 夠在爆發(fā)大規(guī)模網(wǎng)絡(luò)安全事件、入侵檢測(cè)設(shè)備產(chǎn)生大量日志的時(shí)候及時(shí)檢測(cè)到異常。通過 計(jì)算地址熵指標(biāo),能夠?qū)θ肭謾z測(cè)設(shè)備日志數(shù)量未異常,但地址分布異常的安全事件進(jìn)行 及時(shí)檢測(cè),例如小范圍的Internet蠕蟲傳播、網(wǎng)絡(luò)掃描等事件等。通過計(jì)算安全事件擴(kuò)散 指標(biāo),能夠在大規(guī)模安全事件爆發(fā)的初期進(jìn)行及時(shí)檢測(cè),例如在Internet蠕蟲傳播的初期 檢測(cè)到異常。通過異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方法,能夠?qū)u變和突變的網(wǎng)絡(luò)異常進(jìn)行 及時(shí)檢測(cè)。
圖1為本發(fā)明中網(wǎng)絡(luò)安全狀態(tài)評(píng)估方法實(shí)施例的流程示意圖。圖2為圖1所示方法實(shí)施例中步驟S130的流程示意圖。圖3為本發(fā)明中網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)實(shí)施例組成示意圖。
具體實(shí)施例方式以下將結(jié)合附圖及實(shí)施例來詳細(xì)說明本發(fā)明的實(shí)施方式,借此對(duì)本發(fā)明如何應(yīng)用 技術(shù)手段來解決技術(shù)問題,并達(dá)成技術(shù)效果的實(shí)現(xiàn)過程能充分理解并據(jù)以實(shí)施。圖1為本發(fā)明中網(wǎng)絡(luò)安全狀態(tài)評(píng)估方法實(shí)施例的流程示意圖。如圖1所示,該方 法實(shí)施例主要包括如下步驟步驟S110,存儲(chǔ)入侵檢測(cè)設(shè)備的日志,包括當(dāng)前觀測(cè)周期的實(shí)時(shí)日志,以及當(dāng)前觀 測(cè)周期之前的歷史日志;步驟S120,根據(jù)存儲(chǔ)的入侵檢測(cè)設(shè)備的日志,提取網(wǎng)絡(luò)安全狀態(tài)指標(biāo),獲得網(wǎng)絡(luò) 安全狀態(tài)指標(biāo)值,包括歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值以及實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo) 值;其中該網(wǎng)絡(luò)安全狀態(tài)指標(biāo)包括安全事件數(shù)量指標(biāo)、地址熵指標(biāo)及安全事件擴(kuò)散指標(biāo);步驟S130,通過對(duì)入侵檢測(cè)設(shè)備的歷史日志進(jìn)行學(xué)習(xí),根據(jù)歷史日志的網(wǎng)絡(luò)安 全狀態(tài)指標(biāo)值,獲得網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù),建立網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模 型;步驟S140,采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方式,將實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài) 指標(biāo)值與正態(tài)分布模型中的模型參數(shù)相比較,獲得實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與正態(tài) 分布模型的偏離程度;步驟S150,根據(jù)實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與正態(tài)分布模型參數(shù)的偏離程 度,評(píng)估當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài),獲得當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果。需要說明的是,整個(gè)評(píng)估過程分為兩個(gè)階段,自學(xué)習(xí)階段和評(píng)估階段。先進(jìn)行自學(xué) 習(xí)階段,通過自學(xué)習(xí)階段建立指標(biāo)的正態(tài)分布模型后,再通過該正態(tài)分布模型進(jìn)行網(wǎng)絡(luò)安 全狀態(tài)的評(píng)估,即進(jìn)行第二個(gè)階段,將實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與模型參數(shù)進(jìn)行比較,獲得網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果。在自學(xué)習(xí)階段完成后,實(shí)際應(yīng)用時(shí)的評(píng)估過程,就不需要 再進(jìn)行自學(xué)習(xí)了,直接利用自學(xué)習(xí)階段建立的正態(tài)分布模型進(jìn)行評(píng)估即可,不用反復(fù)學(xué)習(xí) 并建立正態(tài)分布模型。上述步驟S120中提取安全事件數(shù)量指標(biāo),將某個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備產(chǎn)生 的日志,按照設(shè)定的過濾條件進(jìn)行過濾,統(tǒng)計(jì)過濾后的入侵檢測(cè)設(shè)備日志數(shù)量,即為該安全 事件數(shù)量。其中的過濾條件包括但不限于安全事件類型、安全事件等級(jí)、安全事件源地址范 圍及安全事件目的地址范圍等等。上述步驟S120中提取地址熵指標(biāo),是利用信息熵的計(jì)算方法,計(jì)算該某個(gè)觀測(cè)周 期內(nèi)入侵檢測(cè)設(shè)備日志源地址、目的地址的地址分布熵;具體地,接收該某個(gè)觀測(cè)周期內(nèi)入 侵檢測(cè)設(shè)備上報(bào)的所有安全日志,統(tǒng)計(jì)安全日志中所有源IP地址、目的IP地址的出現(xiàn)次 數(shù);在統(tǒng)計(jì)的時(shí)候利用哈希(Hash)算法將32位的IPv4地址映射為16位的整數(shù);計(jì)算源 IP地址分布熵、目的IP地址分布熵,計(jì)算方法如式(1)所示 其中Ci為經(jīng)Hash運(yùn)算后的IP地址i出現(xiàn)的次數(shù);
S為當(dāng)前觀測(cè)周期內(nèi)總IP地址的個(gè)數(shù) 上述步驟S120中提取安全事件擴(kuò)散指標(biāo),是將某個(gè)觀測(cè)周期內(nèi)統(tǒng)計(jì)得到的安全 事件數(shù)量指標(biāo)值,減去相鄰的前一個(gè)觀測(cè)周期的安全事件數(shù)量指標(biāo)值,得到該某個(gè)觀測(cè)周 期內(nèi)的安全事件擴(kuò)散指標(biāo)值。圖2為上述步驟S130的流程示意圖。上述步驟S130中,對(duì)歷史日志進(jìn)行學(xué)習(xí)以 提取各指標(biāo)的模型參數(shù)的流程,主要包括如下步驟步驟S210,通過設(shè)定歷史日志的起止時(shí)間,確定歷史日志的范圍;步驟S220,設(shè)定觀測(cè)周期長(zhǎng)度;步驟S230,計(jì)算該歷史日志范圍內(nèi)每個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值即安全 事件數(shù)量指標(biāo)值、地址熵指標(biāo)值和安全事件擴(kuò)散指標(biāo)值,構(gòu)成一個(gè)指標(biāo)變量數(shù)組并保存;及步驟S240,計(jì)算每個(gè)觀測(cè)周期中上述指標(biāo)變量數(shù)組中各指標(biāo)值的均值和方差,將 該均值和方差作為對(duì)應(yīng)指標(biāo)的模型參數(shù);步驟S250,將各指標(biāo)的模型參數(shù)生成文本文件并保存,以用于建立網(wǎng)絡(luò)狀態(tài)指標(biāo) 的正態(tài)分布模型。如果步驟S220是以小時(shí)為單位進(jìn)行建模,則對(duì)于安全事件數(shù)量指標(biāo),共有24個(gè)模 型。對(duì)應(yīng)的,上述步驟S240則是計(jì)算每個(gè)小時(shí)內(nèi),各指標(biāo)值的均值和方差,作為對(duì)應(yīng)指標(biāo)的 模型參數(shù)。上述步驟S140,可以采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方法,判斷當(dāng)前觀測(cè)周期 的各個(gè)指標(biāo)值與當(dāng)前時(shí)刻對(duì)應(yīng)的指標(biāo)模型參數(shù)是否一致,并將指標(biāo)值量化為若干個(gè)安全等 級(jí),比如將指標(biāo)狀態(tài)由低到高量化為正常、輕度異常、中度異常、嚴(yán)重異常4個(gè)安全等級(jí)。上述步驟S150,可以根據(jù)前述的所有指標(biāo)值量化后的安全等級(jí),確定當(dāng)前網(wǎng)絡(luò)安 全狀態(tài)評(píng)估結(jié)果,比如將所有指標(biāo)值量化后的最高安全等級(jí),作為當(dāng)前網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果。上述異常檢驗(yàn)方式,假設(shè)在獲取的指標(biāo)模型參數(shù)為Nhtl, ο J,其中l(wèi)·^和ο C1分 別表示正態(tài)分布模型的均值和方差,假設(shè)當(dāng)前獲取的指標(biāo)值為S,則對(duì)于安全事件數(shù)量指標(biāo) 和安全事件擴(kuò)散指標(biāo),采取如下方式判斷如果S-μ。< 2σ。,則當(dāng)前指標(biāo)正常;如果2 ο Q彡S- μ Q < 3 σ。,則當(dāng)前指標(biāo)輕度異常;如果3 ο。彡S-μ。< 4 ο。,則當(dāng)前指標(biāo)中度異常;如果S-μ Q彡4 ο。,則當(dāng)前指標(biāo)高度異常。對(duì)于地址熵指標(biāo),包括源地址熵指標(biāo)和目的地址熵指標(biāo),采用如下的判斷方式如果I S-μ。I <2%,則當(dāng)前指標(biāo)正常;如果2 %彡I S-μ。I < 3。。,則當(dāng)前指標(biāo)輕度異常;如果3 %彡I S-μ。I <4。。,則當(dāng)前指標(biāo)中度異常;如果I S-μ ^ I彡4o ^,則當(dāng)前指標(biāo)高度異常。上述假設(shè)檢驗(yàn)方式,假設(shè)獲取的指標(biāo)模型參數(shù)為Nhtl, %),其中Ptl和σ。分別 表示正態(tài)分布模型的均值和方差,假設(shè)當(dāng)前獲取的指標(biāo)值為S,則對(duì)于安全事件數(shù)量指標(biāo)和 安全事件擴(kuò)散指標(biāo),構(gòu)造如式(2)所示的統(tǒng)計(jì)量υ =式⑵
σ·0其中方表示從模型參數(shù)更新起,所有該指標(biāo)值的均值;η表示從模型參數(shù)更新起,該指標(biāo)值的觀測(cè)個(gè)數(shù);其中的模型參數(shù)更新,表示在不同的觀測(cè)周期會(huì)采用不同的模型參數(shù),在觀測(cè)周 期變化時(shí),會(huì)更新模型參數(shù)。禾Ij用式⑵所示的統(tǒng)計(jì)量的判斷方式為如果U < 2. 33,則當(dāng)前指標(biāo)正常;如果2. 33彡U < 3. 1,則當(dāng)前指標(biāo)輕度異常;如果3. 1彡U < 3. 72,則當(dāng)前指標(biāo)中度異常;如果U彡3. 72,則當(dāng)前指標(biāo)高度異常。其中的參考標(biāo)準(zhǔn)2. 33,3. 1和3. 72,分別對(duì)應(yīng)于標(biāo)準(zhǔn)正態(tài)分布的0. 01,0. 001和 0. 0001分位點(diǎn)。對(duì)于地址熵指標(biāo),包括源地址熵指標(biāo)和目的地址熵指標(biāo),構(gòu)造如式(3)所示的統(tǒng) 計(jì)量f/ = ^"1^ ▲式(3)禾Ij用式(3)所示的統(tǒng)計(jì)量的判斷方式為如果U < 2. 48,則當(dāng)前指標(biāo)正常;如果2. 48 ^ U < 3. 3,則當(dāng)前指標(biāo)輕度異常;如果3. 3彡U < 3. 9,則當(dāng)前指標(biāo)中度異常;如果U > 3. 9,則當(dāng)前指標(biāo)高度異常。
其中的參考標(biāo)準(zhǔn)2. 48,3. 3和3. 9,分別對(duì)應(yīng)于標(biāo)準(zhǔn)正態(tài)分布的0. 005,0. 0005和 0. 00005分位點(diǎn)。通過對(duì)安全事件數(shù)量指標(biāo)、地址熵指標(biāo)(包括源地址熵指標(biāo)和目的地址熵指標(biāo)) 以及安全事件擴(kuò)散指標(biāo)分別進(jìn)行異常檢驗(yàn)和假設(shè)檢驗(yàn),可以得到8個(gè)安全狀態(tài)判斷值。取 各指標(biāo)異常程度最高的評(píng)估值,作為當(dāng)前網(wǎng)絡(luò)安全狀態(tài)的評(píng)估值。圖3為本發(fā)明中網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)一實(shí)施例組成示意圖。如圖1所示,該網(wǎng) 絡(luò)安全狀態(tài)評(píng)估系統(tǒng)實(shí)施例,包括存儲(chǔ)模塊310、指標(biāo)提取模塊320、模型建立模塊330及評(píng) 估模塊340,其中存儲(chǔ)模塊310,用于存儲(chǔ)入侵檢測(cè)設(shè)備的日志,包括當(dāng)前觀測(cè)周期的實(shí)時(shí)日志,以 及當(dāng)前觀測(cè)周期之前的歷史日志; 指標(biāo)提取模塊320,與存儲(chǔ)模塊310相連,根據(jù)存儲(chǔ)模塊310所存儲(chǔ)的日志,提取網(wǎng) 絡(luò)安全狀態(tài)指標(biāo),獲得網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,包括歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值以及實(shí) 時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值;其中該網(wǎng)絡(luò)安全狀態(tài)指標(biāo)包括安全事件數(shù)量指標(biāo)、地址熵 指標(biāo)及安全事件擴(kuò)散指標(biāo);模型建立模塊330,與存儲(chǔ)模塊310及指標(biāo)提取模塊320相連,通過對(duì)入侵檢測(cè)設(shè) 備的歷史日志進(jìn)行學(xué)習(xí),根據(jù)歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,獲得指標(biāo)提取模塊320所 提取的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù),建立網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型;其中該網(wǎng) 絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)的值在一個(gè)取值范圍內(nèi);及評(píng)估模塊340,與指標(biāo)提取模塊320及模型建立模塊330相連,采用異常檢驗(yàn)與假 設(shè)檢驗(yàn)相結(jié)合的方式,獲得實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與正態(tài)分布模型的偏離程度, 根據(jù)該偏離程度評(píng)估當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài),獲得當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng) 估結(jié)果。上述指標(biāo)提取模塊320在自學(xué)習(xí)階段,從歷史日志中提取網(wǎng)絡(luò)安全狀態(tài)指標(biāo)用于 自學(xué)習(xí),從評(píng)估階段從實(shí)時(shí)日志中提取網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值用于評(píng)估。實(shí)際應(yīng)用時(shí),在建立 正態(tài)分布模型之后,就可以直接用該正態(tài)分布模型去評(píng)估網(wǎng)絡(luò)安全狀態(tài),不用反復(fù)學(xué)習(xí)并 建立正態(tài)分布模型。上述指標(biāo)提取模塊320,如圖3所示,包括安全事件數(shù)量指標(biāo)提取單元321、地址熵 指標(biāo)提取單元322及安全事件擴(kuò)散指標(biāo)提取單元323,其中安全事件數(shù)量指標(biāo)提取單元321,與存儲(chǔ)模塊310、模型建立模塊330及評(píng)估模塊 340相連,用于將某個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備產(chǎn)生的日志,按照設(shè)定的過濾條件進(jìn)行過 濾,統(tǒng)計(jì)過濾后的入侵檢測(cè)設(shè)備日志數(shù)量,即為該安全事件數(shù)量;其中的過濾條件包括但不 限于安全事件類型、安全事件等級(jí)、安全事件源地址范圍及安全事件目的地址范圍等等;地址熵指標(biāo)提取單元322,與存儲(chǔ)模塊310、模型建立模塊330及評(píng)估模塊340,用 于利用信息熵的計(jì)算方法,計(jì)算某個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備日志源地址、目的地址的地 址分布熵,具體計(jì)算過程請(qǐng)參考上述方法實(shí)施例中步驟S120的內(nèi)容;及安全事件擴(kuò)散指標(biāo)提取單元323,與存儲(chǔ)模塊310、模型建立模塊330及計(jì)評(píng)估模 塊340,用于將某個(gè)觀測(cè)周期內(nèi)統(tǒng)計(jì)得到的安全事件數(shù)量指標(biāo)值,減去相鄰的前一個(gè)觀測(cè)周 期的安全事件數(shù)量指標(biāo)值,得到該某個(gè)觀測(cè)周期內(nèi)的安全事件擴(kuò)散指標(biāo)值。上述地址熵指標(biāo)提取單元322計(jì)算地址分布熵的具體過程,是接收某個(gè)觀測(cè)周期
9內(nèi)入侵檢測(cè)設(shè)備上報(bào)的所有安全日志,統(tǒng)計(jì)安全日志中所有源IP地址、目的IP地址的出現(xiàn) 次數(shù);在統(tǒng)計(jì)的時(shí)候利用哈希(Hash)算法將32位的IPv4地址映射為16位的整數(shù);計(jì)算源 IP地址分布熵、目的IP地址分布熵,計(jì)算方法如上述式(1)所示。上述評(píng)估模塊340,采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方式,通過比較網(wǎng)絡(luò)安全 指標(biāo)的當(dāng)前值與模型參數(shù),判斷網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的當(dāng)前值是否與所建立的正態(tài)分布模型 一致,如果一致則根據(jù)該正態(tài)分布模型得到當(dāng)前網(wǎng)絡(luò)安全狀態(tài)的綜合評(píng)估值,如果不一致 則根據(jù)網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與正態(tài)分布模型的偏離程度,評(píng)估當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀 態(tài),獲得當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估值。以下是網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)的一個(gè)應(yīng)用實(shí)例,借以更清楚地描述本發(fā)明的實(shí)施 方式。假設(shè)當(dāng)前設(shè)置的觀測(cè)周期為1分鐘,目前上報(bào)的觀測(cè)時(shí)間段為8:30-8:31,則從 8:00開始,提取8:00-9:00期間指標(biāo)變量的模型參數(shù)作為參考標(biāo)準(zhǔn)。假設(shè)此時(shí)安全事件數(shù) 量指標(biāo)的模型參數(shù)為(100,10),源地址熵指標(biāo)的參數(shù)為(0.6,0. 1),目的地址熵指標(biāo)的模 型參數(shù)為(0.65,0. 1),安全事件擴(kuò)散指標(biāo)的模型參數(shù)為(10,5),并假設(shè)當(dāng)前的安全事件數(shù) 量指標(biāo)為125,源地址熵為0. 75,目的地址熵為0. 1,安全事件擴(kuò)散指標(biāo)為8。采用異常檢驗(yàn)的方式可得出如下判斷安全事件數(shù)量指標(biāo)2X10 < 125-100 = 25 < 3 X 10,該指標(biāo)輕度異常;源地址熵指標(biāo)0. 1 < 0. 75-0. 6 I = 0. 15 < 2X0. 1,該指標(biāo)正常;目的地址熵指標(biāo)I 0. 1-0. 65 I =0. 55 >4X0. 1,該指標(biāo)嚴(yán)重異常;安全事件擴(kuò)散指標(biāo)8_10 = -2 < 5,該指標(biāo)正常。采用假設(shè)檢驗(yàn)的方法進(jìn)行判斷時(shí),該時(shí)刻的觀測(cè)值為模型參數(shù)從8:00起更新以 來的第31個(gè)采樣值。假設(shè)對(duì)于安全事件數(shù)量指標(biāo),從8:01起獲取第1個(gè)觀測(cè)值到當(dāng)前的 第31個(gè)觀測(cè)值之間,所有安全事件數(shù)量指標(biāo)觀測(cè)值的均值為105,則利用假設(shè)檢驗(yàn)的判斷 過程為U = 105^1q0 λ/3Τ = 2.78 , 2. 33 彡 U < 3. 1因此該指標(biāo)為輕度異常。同理利用該方法可以評(píng)估源地址熵指標(biāo)、目的地址熵指標(biāo)、安全事件擴(kuò)散指標(biāo)的
異常度。最終計(jì)算該時(shí)刻網(wǎng)絡(luò)安全狀態(tài)評(píng)估值時(shí),由于異常檢測(cè)方式下,目的地址熵指標(biāo) 為嚴(yán)重異常,將當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)評(píng)估為嚴(yán)重異常。雖然本發(fā)明所揭露的實(shí)施方式如上,但所述的內(nèi)容只是為了便于理解本發(fā)明而采 用的實(shí)施方式,并非用以限定本發(fā)明。任何本發(fā)明所屬技術(shù)領(lǐng)域內(nèi)的技術(shù)人員,在不脫離本 發(fā)明所揭露的精神和范圍的前提下,可以在實(shí)施的形式上及細(xì)節(jié)上作任何的修改與變化, 但本發(fā)明的專利保護(hù)范圍,仍須以所附的權(quán)利要求書所界定的范圍為準(zhǔn)。
權(quán)利要求
一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估方法,用于入侵檢測(cè)設(shè)備評(píng)估網(wǎng)絡(luò)安全狀態(tài),其特征在于,包括根據(jù)入侵檢測(cè)設(shè)備當(dāng)前觀測(cè)周期之前的歷史日志,提取網(wǎng)絡(luò)安全狀態(tài)指標(biāo),建立網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型;所述評(píng)估時(shí),根據(jù)所述入侵檢測(cè)設(shè)備當(dāng)前觀測(cè)周期的實(shí)時(shí)日志,獲得所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值及正態(tài)分布模型,獲得所述入侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果。
2.如權(quán)利要求1所述的方法,其特征在于,所述建立網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模 型的步驟,包括通過對(duì)所述歷史日志進(jìn)行學(xué)習(xí),根據(jù)所述歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,獲得所述 網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù),建立所述正態(tài)分布模型。
3.如權(quán)利要求2所述的方法,其特征在于,根據(jù)所述歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值, 獲得所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)的步驟,包括計(jì)算所述歷史日志若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值; 計(jì)算所述若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值的均值和方差,將所述均值和方差 作為所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)。
4.如權(quán)利要求1所述的方法,其特征在于所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo),包括安全事件數(shù)量指標(biāo)、地址熵指標(biāo)及安全事件擴(kuò)散指標(biāo)。
5.如權(quán)利要求1所述的方法,其特征在于,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值 及正態(tài)分布模型,獲得所述入侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果的 步驟,包括采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方式,獲得所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與 正態(tài)分布模型的偏離程度;根據(jù)所述偏離程度,評(píng)估所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài),獲得所述網(wǎng)絡(luò)安全狀態(tài) 評(píng)估結(jié)果。
6.一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng),用于入侵檢測(cè)設(shè)備評(píng)估網(wǎng)絡(luò)安全狀態(tài),其特征在于,包括存儲(chǔ)模塊,用于存儲(chǔ)所述入侵檢測(cè)設(shè)備的日志,包括當(dāng)前觀測(cè)周期的實(shí)時(shí)日志,以及所 述當(dāng)前觀測(cè)周期之前的歷史日志;指標(biāo)提取模塊,與所述存儲(chǔ)模塊相連,根據(jù)所述入侵檢測(cè)設(shè)備的日志,提取網(wǎng)絡(luò)安全狀 態(tài)指標(biāo),獲得網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值;模型建立模塊,與所述存儲(chǔ)模塊及指標(biāo)提取模塊相連,根據(jù)所述歷史日志的網(wǎng)絡(luò)安全 狀態(tài)指標(biāo)值,建立所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型;評(píng)估模塊,與所述指標(biāo)提取模塊及模型建立模塊相連,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全 狀態(tài)指標(biāo)值與正態(tài)分布模型,獲得所述入侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài) 評(píng)估結(jié)果。
7.如權(quán)利要求6所述的系統(tǒng),其特征在于,所述模型建立模塊,通過對(duì)所述歷史日志進(jìn) 行學(xué)習(xí),根據(jù)所述歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,獲得所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參 數(shù),建立所述正態(tài)分布模型。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于所述模型建立模塊計(jì)算所述歷史日志若干 個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,再計(jì)算所述若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo) 值的均值和方差,將所述均值和方差作為所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)。
9.如權(quán)利要求6所述的系統(tǒng),其特征在于,所述指標(biāo)提取模塊,包括安全事件數(shù)量指標(biāo)提取單元,與所述存儲(chǔ)模塊、模型建立模塊及評(píng)估模塊相連,用于過 濾一個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備的日志,獲得安全事件數(shù)量;地址熵指標(biāo)提取單元,與所述存儲(chǔ)模塊、模型建立模塊及評(píng)估模塊相連,用于利用信息 熵的計(jì)算方法,計(jì)算一個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備日志源地址、目的地址的地址分布熵;及安全事件擴(kuò)散指標(biāo)提取單元,與所述存儲(chǔ)模塊、模型建立模塊及評(píng)估模塊相連,用于獲 得一個(gè)觀測(cè)周期內(nèi)的安全事件擴(kuò)散指標(biāo)值。
10.如權(quán)利要求1所述的系統(tǒng),其特征在于所述評(píng)估模塊,采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方式,獲得實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀 態(tài)指標(biāo)值與正態(tài)分布模型的偏離程度,根據(jù)所述偏離程度評(píng)估所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安 全狀態(tài),獲得所述網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)及方法,用于入侵檢測(cè)設(shè)備評(píng)估網(wǎng)絡(luò)安全狀態(tài)。其中該方法包括根據(jù)入侵檢測(cè)設(shè)備當(dāng)前觀測(cè)周期之前的歷史日志,提取網(wǎng)絡(luò)安全狀態(tài)指標(biāo),建立網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型;所述評(píng)估時(shí),根據(jù)所述入侵檢測(cè)設(shè)備當(dāng)前觀測(cè)周期的實(shí)時(shí)日志,獲得所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值及正態(tài)分布模型,獲得所述入侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果。本發(fā)明提出的網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)及方法,能夠根據(jù)入侵檢測(cè)設(shè)備產(chǎn)生的日志,自動(dòng)評(píng)估當(dāng)前網(wǎng)絡(luò)安全狀態(tài)。
文檔編號(hào)H04L29/06GK101883017SQ20091008338
公開日2010年11月10日 申請(qǐng)日期2009年5月4日 優(yōu)先權(quán)日2009年5月4日
發(fā)明者力立, 吳恩平, 周濤, 楊立純, 石堅(jiān) 申請(qǐng)人:北京啟明星辰信息技術(shù)股份有限公司;北京啟明星辰信息安全技術(shù)有限公司;上海市計(jì)算機(jī)病毒防范服務(wù)中心