一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法
【專利摘要】本發(fā)明提供一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法,包括以下步驟:建立網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)��;獲取態(tài)勢要素���;對態(tài)勢要素進(jìn)行標(biāo)準(zhǔn)化處理和加權(quán)處理�;對態(tài)勢要素的權(quán)重進(jìn)行動態(tài)調(diào)整���。本發(fā)明所獲取的態(tài)勢要素較為全面�,從流量和主機(jī)兩個角度考慮,包括異常流量��、網(wǎng)絡(luò)攻擊�����、病毒木馬�����、主機(jī)漏洞���、資源消耗、網(wǎng)絡(luò)運(yùn)行等六個方面����;相關(guān)參數(shù)是動態(tài)的,可隨著網(wǎng)絡(luò)環(huán)境����、安全需求的變化而動態(tài)調(diào)整,能夠較為準(zhǔn)確的反應(yīng)網(wǎng)絡(luò)安全態(tài)勢的變化情況����,且動態(tài)調(diào)整算法具有較高的效率����。
【專利說明】一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域��,具體涉及一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法����。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)、通信等信息技術(shù)的快速發(fā)展����,Internet在全球日益普及,已應(yīng)用到人們工作����、學(xué)習(xí)和生活的方方面面。到2013年底����,Internet已經(jīng)覆蓋全球近40%的人口,用戶數(shù)達(dá)到了 27億�����,在中國,網(wǎng)民數(shù)量也快速發(fā)展到6.18億�。其應(yīng)用也在快速增長,其中電子商務(wù)��、社交網(wǎng)絡(luò)的發(fā)展進(jìn)一步促進(jìn)了 Internet的繁榮�。然而,隨著Internet的廣泛應(yīng)用��,其安全問題也日益凸顯����。那些網(wǎng)絡(luò)攻擊者、黑客們在追逐利益���、報復(fù)���、破壞等心理的驅(qū)動下��,針對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞和脆弱環(huán)節(jié)��,采用各種各樣的攻擊手段��,竊取��、篡改和刪除網(wǎng)絡(luò)數(shù)據(jù),破壞系統(tǒng)的可用性�����,造成系統(tǒng)癱瘓�����,等等�。面對當(dāng)前嚴(yán)重的網(wǎng)絡(luò)安全威脅,傳統(tǒng)的安全防護(hù)手段�,如入侵檢測、防火墻以及用戶認(rèn)證等�����,雖然從一定程度上提高了網(wǎng)絡(luò)的安全性���,但是這些技術(shù)相互孤立���,彼此之間沒有有效的統(tǒng)一管理調(diào)度機(jī)制,不能互相支撐�����、協(xié)同工作,使其安全防護(hù)沒有針對性����,其防護(hù)功能也未得到充分發(fā)揮。因此���,需要網(wǎng)絡(luò)安全管理員對整個網(wǎng)絡(luò)的安全狀況有一個全局的把握���,實(shí)現(xiàn)對網(wǎng)絡(luò)安全事件的預(yù)警,并以此來進(jìn)行決策��,實(shí)施具體的安全防護(hù)措施����。而如何評估網(wǎng)絡(luò)的總體安全狀況,可采用網(wǎng)絡(luò)安全態(tài)勢感知(Network Security Situat1n Awareness, NSSA)技術(shù)����。
[0003]網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢�。網(wǎng)絡(luò)安全態(tài)勢感知就是實(shí)時地監(jiān)測網(wǎng)絡(luò)安全狀態(tài)�,快速準(zhǔn)確地做出安全狀態(tài)評判,并能利用網(wǎng)絡(luò)安全屬性的歷史記錄,以多角度����、多尺度的可視化方式,為用戶提供一個準(zhǔn)確直觀的網(wǎng)絡(luò)安全態(tài)勢走向圖��。它可分為網(wǎng)絡(luò)態(tài)勢要素獲取��、網(wǎng)絡(luò)態(tài)勢評估和網(wǎng)絡(luò)態(tài)勢預(yù)測3個階段��。
[0004]現(xiàn)有關(guān)于網(wǎng)絡(luò)安全態(tài)勢感知的研究成果大多數(shù)采用層次化的指標(biāo)體系和指標(biāo)加權(quán)的評估模型����,但模型參數(shù)是靜態(tài)的,不能根據(jù)動態(tài)的網(wǎng)絡(luò)環(huán)境�����、網(wǎng)管人員的安全需求進(jìn)行自適應(yīng)調(diào)整���。
【發(fā)明內(nèi)容】
[0005]為了克服上述現(xiàn)有技術(shù)的不足�����,本發(fā)明提供一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法���,其中參數(shù)可動態(tài)地進(jìn)行在線更新��,使得態(tài)勢量化評估更加科學(xué)�����、合理����;主要解決如何高效�����、準(zhǔn)確地評估網(wǎng)絡(luò)的總體安全狀況����,為網(wǎng)絡(luò)安全事件預(yù)警提供依據(jù)和支撐。
[0006]為了實(shí)現(xiàn)上述發(fā)明目的����,本發(fā)明采取如下技術(shù)方案:
[0007]本發(fā)明提供一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法,所述方法包括以下步驟:
[0008]步驟1:建立網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)��;
[0009]步驟2:獲取態(tài)勢要素��;
[0010]步驟3:對態(tài)勢要素進(jìn)行標(biāo)準(zhǔn)化處理和加權(quán)處理;
[0011]步驟4:對態(tài)勢要素的權(quán)重進(jìn)行動態(tài)調(diào)整�����。
[0012]所述步驟1中����,網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)包括多個子網(wǎng)��、第二級交換機(jī)��、第一級交換機(jī)���、防火墻�、流量抓取軟件系統(tǒng)���、IDS和態(tài)勢感知服務(wù)器�;各個子網(wǎng)通過第二級交換機(jī)連接到第一級交換機(jī)��,第一級交換機(jī)通過防火墻后連接至外網(wǎng)�����,所述第一級交換機(jī)通過鏡像端口連接流量抓取軟件系統(tǒng),所述流量抓取軟件系統(tǒng)進(jìn)行協(xié)議分析處理�,其抓取的流量作為IDS的輸入;所述防火墻開啟病毒木馬掃描功能以及入侵防御系統(tǒng)�����,其上報Syslog格式日志到態(tài)勢感知服務(wù)器����;子網(wǎng)中主機(jī)上安裝有安全防護(hù)軟件,定期掃描漏洞并上報態(tài)勢感知服務(wù)器�。
[0013]所述步驟2中,所述態(tài)勢要素包括異常流量����、網(wǎng)絡(luò)攻擊、病毒木馬�、主機(jī)漏洞、資源消耗和網(wǎng)絡(luò)運(yùn)行����;各個態(tài)勢要素獲取途徑如下:
[0014](1)異常流量:通過IDS報警信息和IPS報警信息獲取異常流量信息;
[0015](2)網(wǎng)絡(luò)攻擊:通過IDS報警信息和IPS報警信息分析出現(xiàn)的網(wǎng)絡(luò)攻擊信息���;
[0016](3)病毒木馬:一方面通過在防火墻上配置病毒庫和木馬庫進(jìn)行實(shí)時檢測�����,獲取病毒木馬信息��,另一方面通過各主機(jī)上的安全防護(hù)軟件實(shí)時上報檢測結(jié)果獲取病毒木馬信息�����;
[0017](4)主機(jī)漏洞:通過在各主機(jī)上安裝的安全防護(hù)軟件進(jìn)行漏洞掃描并上傳至態(tài)勢感知服務(wù)器���,獲取主機(jī)漏洞信息;
[0018](5)資源消耗:通過實(shí)時監(jiān)控網(wǎng)絡(luò)中各節(jié)點(diǎn)流量獲取資源消耗信息�;
[0019](6)網(wǎng)絡(luò)運(yùn)行:通過對網(wǎng)絡(luò)基本運(yùn)行情況以及各主機(jī)連通性情況獲取網(wǎng)絡(luò)運(yùn)行信肩、Ο
[0020]所述步驟3包括以下步驟:
[0021]步驟3-1:對態(tài)勢要素進(jìn)行標(biāo)準(zhǔn)化處理����;
[0022]采用最小-最大規(guī)范化對態(tài)勢要素進(jìn)行線性變換,假定Max (Attri)與Min(Attri)分別表示屬性Attri的最大值與最小值����,計(jì)算將屬性Attri的值映射到區(qū)間[0,1]上的Attri 1 , Attri 1 表不為:.Max{ Attri) - Attri
[0023]Art =-----
Max(Attfi) — Min{ Attri)
[0024]步驟3-2:在標(biāo)準(zhǔn)化處理的基礎(chǔ)上����,對態(tài)勢要素指數(shù)進(jìn)行加權(quán)處理����;
[0025]令:
[0026]異常流量為Q�����,不同來源的異常流量指數(shù)為qpCu�����、…��;
[0027]網(wǎng)絡(luò)攻擊為C2����,不同來源的網(wǎng)絡(luò)攻擊指數(shù)為qpCp、…�;
[0028]病毒木馬為C3,不同來源的病毒木馬指數(shù)為C^、C3����,2、…�;
[0029]主機(jī)漏洞為C4,不同來源的主機(jī)漏洞指數(shù)為C41、C4�,2、…�����;
[0030]資源消耗為C5��,不同來源的資源消耗指數(shù)為QfCw����、…�����;
[0031]網(wǎng)絡(luò)運(yùn)行為C6�,不同來源的網(wǎng)絡(luò)運(yùn)行指數(shù)為…;
[0032]將態(tài)勢要素指數(shù)放入一個向量[Xl���,x2,..., xn_J中�����,有:
[0033][C1�����; C1�����; 2,...�����,C2����; I, C2; 2)...����,C3; C3’2��,..., C4����; C4’2,..., C5; C5’2,..., C6���;
?6��,2����,...] [Xl,X2����,...,Xn-1]
[0034]其中��,η為態(tài)勢要素指數(shù)總數(shù)�;
[0035]于是,t時刻態(tài)勢值f (t)表示為:
[0036]f (t) = a1*x1+a2*x2+...+an_1*xn_1+C
[0037]其中�,C為常數(shù)因子���,且C = an���,a1; a2, a3,…����,an_i分別為態(tài)勢要素指數(shù)的權(quán)重;
[0038]各個態(tài)勢要素的權(quán)重形成參數(shù)向量,令參數(shù)向量為A = [a��。a2��,...���,a^�,an]���,態(tài)勢要素向量為 x = [Xl, X2,..., xn-1, 1]T���,f (t)又可表示為 f (t) = A*X。
[0039]所述步驟4包括以下步驟:
[0040]步驟4-1:在離線階段�,確定參數(shù)向量A ;
[0041]步驟4-2:采用遞推的最小二乘法對參數(shù)向量中參數(shù)進(jìn)行動態(tài)調(diào)整。
[0042]所述步驟4-1中���,設(shè)f(ti)為\時刻態(tài)勢值�,f' (tj為f(ti)的目標(biāo)值���,f(ti)與f' (ti)之間的誤差表示為Ifaj-f' (ti) I����,且有m個參數(shù)觀測值,于是誤差的平方和I表示為:
m
[0043]1 =/乜)|2
z=l
[0044]按照使得I為最小的方式進(jìn)行求解�����,分別對參數(shù)向量中各個參數(shù)求偏導(dǎo)數(shù)����,并分別令其等于0,可得下列方程組:
[0045]/(^)-/(^)=0
?-Ι V0(1γJ
m? β�、
[0046]χ m-fit,)=ο
/-1」勿2 J
[0047]......m ?* Γ?、
[0048]? m-f'ih) *~m =ο
/=八L」dan )
[0049]設(shè)參數(shù)觀測值與參數(shù)計(jì)算值之間的差值為e��,于是m個參數(shù)觀測值對應(yīng)的態(tài)勢目標(biāo)值可表示為:
[0050]f' (ti) =(ti) +a2x2 (t^ +...+anxn (t^ +etl
[0051]f (t2) =(t2) +a2x2 (t2) +...+anxn (t2) +et2
[0052]......
[0053]f' (tm) = aA (tm) +a2x2 (tm) +...+anxn (tm) +etm
[0054]其中�����,etl�����、et2�、…���、etD1分別表示W(wǎng)…����、乜時刻參數(shù)觀測值與參數(shù)計(jì)算值之間的
尸⑷]「%] 「魂),4),.-,4) ?「%] 「引 「e,丨法汰,f%) z2 u χ^χχ,β,χ.,.,χ,χ?,)h2a2el2
差值,令:z== �����,Hm== ? A= , e= �����;
? 9...--.*..?.*...._/u,)」Lz?」 U(u’x2(u’"”a(u」W Lw」 _
[0055]于是有z = HmA+e��,推導(dǎo)可得參數(shù)向量A= (HmTHm)����,其中逆矩陣(--^1存在。
[0056]所述步驟4-2中��,令中間向量Pm = HmTHm,則參數(shù)在tm+1時刻的態(tài)勢估值A(chǔ)m+1表示為:
[0057]Am+1 = Am+Pmhm+1T [hm+1Pmhm+1T+l]_1 [zm+1-hm+1Am]
[0058]其中�����,Am為參數(shù)在tm時刻的估值����,Pm通過下式得到:
[0059]Pm+1 =ΙΓ^μΡ^�。
[0060]與現(xiàn)有技術(shù)相比��,本發(fā)明的有益效果在于:
[0061](1)所獲取的態(tài)勢要素較為全面�,從流量和主機(jī)兩個角度考慮,包括異常流量��、網(wǎng)絡(luò)攻擊��、病毒木馬����、主機(jī)漏洞、資源消耗�、網(wǎng)絡(luò)運(yùn)行等六個方面;
[0062](2)相關(guān)參數(shù)是動態(tài)的�,可隨著網(wǎng)絡(luò)環(huán)境、安全需求的變化而動態(tài)調(diào)整�����,能夠較為準(zhǔn)確的反應(yīng)網(wǎng)絡(luò)安全態(tài)勢的變化情況��,且動態(tài)調(diào)整算法具有較高的效率�。
【專利附圖】
【附圖說明】
[0063]圖1是本發(fā)明是實(shí)施例中網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖;
[0064]圖2是本發(fā)明是實(shí)施例中網(wǎng)絡(luò)安全態(tài)勢綜合指數(shù)圖���。
【具體實(shí)施方式】
[0065]下面結(jié)合附圖對本發(fā)明作進(jìn)一步詳細(xì)說明����。
[0066]本發(fā)明提供一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法�,所述方法包括以下步驟:
[0067]步驟1:建立網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng);
[0068]步驟2:獲取態(tài)勢要素�����;
[0069]步驟3:對態(tài)勢要素進(jìn)行標(biāo)準(zhǔn)化處理和加權(quán)處理��;
[0070]步驟4:對態(tài)勢要素的權(quán)重進(jìn)行動態(tài)調(diào)整��。
[0071]所述步驟1中���,如圖1����,網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)包括多個子網(wǎng)�、第二級交換機(jī)、第一級交換機(jī)��、防火墻�����、流量抓取軟件系統(tǒng)、IDS和態(tài)勢感知服務(wù)器�;各個子網(wǎng)通過第二級交換機(jī)連接到第一級交換機(jī),第一級交換機(jī)通過防火墻后連接至外網(wǎng)�,所述第一級交換機(jī)通過鏡像端口連接流量抓取軟件系統(tǒng),所述流量抓取軟件系統(tǒng)進(jìn)行協(xié)議分析處理�����,其抓取的流量作為IDS的輸入��;所述防火墻開啟病毒木馬掃描功能以及入侵防御系統(tǒng)���,其上報Syslog格式日志到態(tài)勢感知服務(wù)器��;子網(wǎng)中主機(jī)上安裝有安全防護(hù)軟件�,定期掃描漏洞并上報態(tài)勢感知服務(wù)器�。
[0072]所述步驟2中,(如圖2)所述態(tài)勢要素包括異常流量���、網(wǎng)絡(luò)攻擊��、病毒木馬��、主機(jī)漏洞����、資源消耗和網(wǎng)絡(luò)運(yùn)行��;各個態(tài)勢要素獲取途徑如下:
[0073](1)異常流量:通過IDS報警信息和IPS報警信息獲取異常流量信息�����;
[0074](2)網(wǎng)絡(luò)攻擊:通過IDS報警信息和IPS報警信息分析出現(xiàn)的網(wǎng)絡(luò)攻擊信息���;
[0075](3)病毒木馬:一方面通過在防火墻上配置病毒庫和木馬庫進(jìn)行實(shí)時檢測�����,獲取病毒木馬信息��,另一方面通過各主機(jī)上的安全防護(hù)軟件實(shí)時上報檢測結(jié)果獲取病毒木馬信息���;
[0076](4)主機(jī)漏洞:通過在各主機(jī)上安裝的安全防護(hù)軟件進(jìn)行漏洞掃描并上傳至態(tài)勢感知服務(wù)器,獲取主機(jī)漏洞信息�;
[0077](5)資源消耗:通過實(shí)時監(jiān)控網(wǎng)絡(luò)中各節(jié)點(diǎn)流量獲取資源消耗信息;
[0078](6)網(wǎng)絡(luò)運(yùn)行:通過對網(wǎng)絡(luò)基本運(yùn)行情況以及各主機(jī)連通性情況獲取網(wǎng)絡(luò)運(yùn)行信肩、Ο
[0079]所述步驟3包括以下步驟:
[0080]步驟3-1:對態(tài)勢要素進(jìn)行標(biāo)準(zhǔn)化處理�;
[0081]采用最小-最大規(guī)范化對態(tài)勢要素進(jìn)行線性變換,假定Max (Attri)與Min (Attri)分別表示屬性Attri的最大值與最小值��,計(jì)算將屬性Attri的值映射到區(qū)間[0��,1]上的Attri 1 , Attri 1 表不為:
,, Max( A ttri) - A ttri
[0082]Attn =-:--
Max(Attri) - Min(Attri)
[0083]步驟3-2:在標(biāo)準(zhǔn)化處理的基礎(chǔ)上���,對態(tài)勢要素指數(shù)進(jìn)行加權(quán)處理�;
[0084]令:
[0085]異常流量為Q�����,不同來源的異常流量指數(shù)為qpCu�����、…����;
[0086]網(wǎng)絡(luò)攻擊為C2,不同來源的網(wǎng)絡(luò)攻擊指數(shù)為qpCp����、…;
[0087]病毒木馬為C3,不同來源的病毒木馬指數(shù)為C^、C3���,2��、…��;
[0088]主機(jī)漏洞為C4�,不同來源的主機(jī)漏洞指數(shù)為C41�、C4�����,2�、…;
[0089]資源消耗為C5���,不同來源的資源消耗指數(shù)為QfCw���、…;
[0090]網(wǎng)絡(luò)運(yùn)行為C6��,不同來源的網(wǎng)絡(luò)運(yùn)行指數(shù)為QpCw�、…;
[0091]將態(tài)勢要素指數(shù)放入一個向量[Xl,x2,..., xn_J中�����,有:
[0092][C1���; 1����; C1����;2,...,C2���; i, C2�; 2>...�����,C3�; 1; C3’2,..., C4���; 1�����; C4’2,..., C5��; 1��; C5’2,..., C6�����; 1�����;?6��,2���,...] [Xl,X2�����,...,Xn-1]
[0093]其中�����,n為態(tài)勢要素指數(shù)總數(shù)��;
[0094]于是��,t時刻態(tài)勢值f (t)表示為:
[0095]f (t) = a1*x1+a2*x2+...+an_1*xn_1+C
[0096]其中�,C為常數(shù)因子,且C = an�����,a1���; a2, a3,…���,an_i分別為態(tài)勢要素指數(shù)的權(quán)重;
[0097]各個態(tài)勢要素的權(quán)重形成參數(shù)向量����,令參數(shù)向量為A = [a。a2���,...�,a^,an]���,態(tài)勢要素向量為 x = [Xl, X2,..., xn-1, 1]T���,f (t)又可表示為 f (t) = A*X。
[0098]所述步驟4包括以下步驟:
[0099]步驟4-1:在離線階段�,確定參數(shù)向量A ;
[0100]步驟4-2:采用遞推的最小二乘法對參數(shù)向量中參數(shù)進(jìn)行動態(tài)調(diào)整。
[0101]所述步驟4-1中����,設(shè)f(ti)為\時刻態(tài)勢值,f' (tj為f(ti)的目標(biāo)值����,f(ti)與f' (ti)之間的誤差表示為Ifaj-f' (ti) I���,且有m個參數(shù)觀測值���,于是誤差的平方和I表示為:
m
[0102]1 = Σ|/(6) — /^)|2
/-1
[0103]按照使得I為最小的方式進(jìn)行求解,分別對參數(shù)向量中各個參數(shù)求偏導(dǎo)數(shù)�,并分別令其等于0���,可得下列方程組:
[οι 04] ? [「m )—/(()]*#f(tt)]=ο
/:1 \J
[0105]? /(0-/(0 =o
z-1 y~」如2 j
[0106]......
[0107]χ?[m)—f(i,小備m)]=o
z=i V」伽《)
[0108]設(shè)參數(shù)觀測值與參數(shù)計(jì)算值之間的差值為e,于是m個參數(shù)觀測值對應(yīng)的態(tài)勢目標(biāo)值可表示為:
[0109]f' (ti) = (ti) +a2x2 (t^ +...+anxn (t^ +etl
[0110]f (t2) = (t2) +a2x2 (t2) +...+anxn (t2) +et2
[0111]......
[0112]f' (tm) = aA (tm) +a2x2 (tm) +...+anxn (tm) +etm
[0113]其中�����,etl��、et2�、…、etD1分別表示W(wǎng)…�����、乜時刻參數(shù)觀測值與參數(shù)計(jì)算值之間的
f (^i)Xj(ij), x2 (^i )>...? Xn (βι) h\i
t-t- Ai (?)Z2TTXlX2 (^2 \....>Χ,1 (^2)Λ a2St2
差值�,令:Z== ,Hm== , A= , e= ����;
— fit )」LZ?」 U丨(U,魂夂…’桃)」Lt」 UJ Um_
[0114]于是有z = HmA+e,推導(dǎo)可得參數(shù)向量A= (HmTHm)���,其中逆矩陣(--^1存在�。
[0115]所述步驟4-2中����,令中間向量Pm = HmTHm,則參數(shù)在tm+1時刻的態(tài)勢估值A(chǔ)m+1表示為:
[0116]Am+1 = Am+Pmhm+1T [hm+1Pmhm+1T+l]_1 [zm+1-hm+1Am]
[0117]其中���,Am為參數(shù)在乜時刻的估值,Pm通過下式得到:
[0118]Pm+1 = Pm-Pmhm+1T [1^+,^1^+/+lriwP^����。
[0119]最后應(yīng)當(dāng)說明的是:以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非對其限制,所屬領(lǐng)域的普通技術(shù)人員參照上述實(shí)施例依然可以對本發(fā)明的【具體實(shí)施方式】進(jìn)行修改或者等同替換���,這些未脫離本發(fā)明精神和范圍的任何修改或者等同替換�����,均在申請待批的本發(fā)明的權(quán)利要求保護(hù)范圍之內(nèi)����。
【權(quán)利要求】
1.一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法�����,其特征在于:所述方法包括以下步驟: 步驟1:建立網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)��; 步驟2:獲取態(tài)勢要素����; 步驟3:對態(tài)勢要素進(jìn)行標(biāo)準(zhǔn)化處理和加權(quán)處理; 步驟4:對態(tài)勢要素的權(quán)重進(jìn)行動態(tài)調(diào)整�����。
2.根據(jù)權(quán)利要求1所述的參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法�����,其特征在于:所述步驟I中��,網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)包括多個子網(wǎng)����、第二級交換機(jī)、第一級交換機(jī)�����、防火墻����、流量抓取軟件系統(tǒng)、IDS和態(tài)勢感知服務(wù)器;各個子網(wǎng)通過第二級交換機(jī)連接到第一級交換機(jī)�,第一級交換機(jī)通過防火墻后連接至外網(wǎng),所述第一級交換機(jī)通過鏡像端口連接流量抓取軟件系統(tǒng)����,所述流量抓取軟件系統(tǒng)進(jìn)行協(xié)議分析處理,其抓取的流量作為IDS的輸入���;所述防火墻開啟病毒木馬掃描功能以及入侵防御系統(tǒng)�,其上報Syslog格式日志到態(tài)勢感知服務(wù)器��;子網(wǎng)中主機(jī)上安裝有安全防護(hù)軟件��,定期掃描漏洞并上報態(tài)勢感知服務(wù)器����。
3.根據(jù)權(quán)利要求1所述的參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法,其特征在于:所述步驟2中�,所述態(tài)勢要素包括異常流量、網(wǎng)絡(luò)攻擊����、病毒木馬、主機(jī)漏洞���、資源消耗和網(wǎng)絡(luò)運(yùn)行���;各個態(tài)勢要素獲取途徑如下: (1)異常流量:通過IDS報警信息和IPS報警信息獲取異常流量信息; (2)網(wǎng)絡(luò)攻擊:通過IDS報警信息和IPS報警信息分析出現(xiàn)的網(wǎng)絡(luò)攻擊信息�����; (3)病毒木馬:一方面通過在防火墻上配置病毒庫和木馬庫進(jìn)行實(shí)時檢測�����,獲取病毒木馬信息��,另一方面通過各主機(jī)上的安全防護(hù)軟件實(shí)時上報檢測結(jié)果獲取病毒木馬信息����; (4)主機(jī)漏洞:通過在各主機(jī)上安裝的安全防護(hù)軟件進(jìn)行漏洞掃描并上傳至態(tài)勢感知服務(wù)器,獲取主機(jī)漏洞信息���; (5)資源消耗:通過實(shí)時監(jiān)控網(wǎng)絡(luò)中各節(jié)點(diǎn)流量獲取資源消耗信息����; (6)網(wǎng)絡(luò)運(yùn)行:通過對網(wǎng)絡(luò)基本運(yùn)行情況以及各主機(jī)連通性情況獲取網(wǎng)絡(luò)運(yùn)行信息�����。
4.根據(jù)權(quán)利要求1所述的參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法,其特征在于:所述步驟3包括以下步驟: 步驟3-1:對態(tài)勢要素進(jìn)行標(biāo)準(zhǔn)化處理��; 采用最小-最大規(guī)范化對態(tài)勢要素進(jìn)行線性變換��,假定Max(Attri)與Min(Attri)分別表示屬性Attri的最大值與最小值�,計(jì)算將屬性Attri的值映射到區(qū)間[0,I]上的Attri 1 , Attri 1 表不為:
Max(Attri)-Attri Ann ^-----
Max(Attri) - Min(Attri) 步驟3-2:在標(biāo)準(zhǔn)化處理的基礎(chǔ)上�����,對態(tài)勢要素指數(shù)進(jìn)行加權(quán)處理��; 令: 異常流量為C1��,不同來源的異常流量指數(shù)為Cu�、Cu、…�����; 網(wǎng)絡(luò)攻擊為C2��,不同來源的網(wǎng)絡(luò)攻擊指數(shù)為qpCy���、…����; 病毒木馬為C3,不同來源的病毒木馬指數(shù)為…; 主機(jī)漏洞為C4�,不同來源的主機(jī)漏洞指數(shù)為qpCw���、…�; 資源消耗為C5��,不同來源的資源消耗指數(shù)為QyCw���、…����; 網(wǎng)絡(luò)運(yùn)行為C6����,不同來源的網(wǎng)絡(luò)運(yùn)行指數(shù)為qpCw、…���; 將態(tài)勢要素指數(shù)放入一個向量[Xl�,X2,, Xn-J中,有:
[Cl’I����,C12)...) C2; i, C2,2��,...�,C3; i, C3,2��,...����,C4; i, C4,2�����,...�,C5jl, C52,..., C6j1, C6’2,...]—[Xl,X2����,...,Xn-1] 其中�,n為態(tài)勢要素指數(shù)總數(shù)�; 于是�����,t時刻態(tài)勢值f(t)表示為:
f (t) = a^X^aa^Xa+...其中���,C為常數(shù)因子,且C = an, B1, a2, a3, **., Bn^1分別為態(tài)勢要素指數(shù)的權(quán)重����; 各個態(tài)勢要素的權(quán)重形成參數(shù)向量��,令參數(shù)向量為A = Ia1, a2,..., an_1��; an],態(tài)勢要素向量為 X = [X1, X2,…��,xn-1, 1]T�,f (t)又可表示為 f (t) = A*X��。
5.根據(jù)權(quán)利要求4所述的參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法����,其特征在于:所述步驟4包括以下步驟: 步驟4-1:在離線階段,確定參數(shù)向量A ; 步驟4-2:采用遞推的最小二乘法對參數(shù)向量中參數(shù)進(jìn)行動態(tài)調(diào)整�����。
6.根據(jù)權(quán)利要求5所述的參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法,其特征在于:所述步驟4-1中�,設(shè)Mti)為\時刻態(tài)勢值,f' Ui)為Mti)的目標(biāo)值�,f(ti)與f' Ui)之間的誤差表示為Ifaj-f' (ti) I,且有m個參數(shù)觀測值��,于是誤差的平方和I表示為: ι=Σ\.ηο-ηο\
i=l 按照使得I為最小的方式進(jìn)行求解��,分別對參數(shù)向量中各個參數(shù)求偏導(dǎo)數(shù)�,并分別令其等于O,可得下列方程組:
/幻]*4凡)]=0
」Oai j ?[[服/時令凡)]=0 /'-1」己七 j
-/>沖 f/(,,)] = O /=1 Il」da” ) 設(shè)參數(shù)觀測值與參數(shù)計(jì)算值之間的差值為e���,于是m個參數(shù)觀測值對應(yīng)的態(tài)勢目標(biāo)值可表不為:
f' (ti) = B1X1 (tx) +a2x2(tx) +...+anxn(tx) +etl
f (七2) — 3^1(1^2)+^^2(^2)+...+anXn(t2)+et2
f1 (tm) = B1X1 (tm) +a2x2 (tm) +...+anxn (tm) +etm 其中�,etl�、et2、…�����、etm分別表示h���、t2�、…、tm時刻參數(shù)觀測值與參數(shù)計(jì)算值之間的差
f'ih) "I「魂XnO1) ?「4"! 「叫 「e;1
f'{t2) Z2X^t2),x2(t2),...,xlt(t2) h2a2etl值��,令:z== �����,//一 == ? A = �����,e= �;
j'xdI L」 U(o2(d,...,.'((?)」Li」 La」 Ie _ 于是有z = HmA+e,推導(dǎo)可得參數(shù)向量A = (HmTHm)-1HditZ�,其中逆矩陣0^?).1存在�。
7.根據(jù)權(quán)利要求5所述的參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法,其特征在于:所述步驟4-2中���,令中間向量Pm = Hm1Hm,則參數(shù)在tm+1時刻的態(tài)勢估值A(chǔ)m+1表示為:
Am+i — Am+Pmhm+i [hm+1Pmhm+i +1] [zm+1_hm+1Am] 其中����,Am為參數(shù)在tm時刻的估值���,Pffl通過下式得到:
Pm+l — Pm-Pmhm+! thm+iPmhm+i +1] hm+1Pm����。
【文檔編號】H04L29/06GK104270372SQ201410535005
【公開日】2015年1月7日 申請日期:2014年10月11日 優(yōu)先權(quán)日:2014年10月11日
【發(fā)明者】王玉斐, 馬媛媛, 何高峰, 陳璐, 管小娟, 華曄, 汪晨, 楚杰 申請人:國家電網(wǎng)公司, 中國電力科學(xué)研究院