本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及基于可信計(jì)算的大數(shù)據(jù)安全態(tài)勢(shì)地圖生成方法。

背景技術(shù)：

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，警報(bào)信息的數(shù)據(jù)量越來(lái)越大,如何有效區(qū)分有效信息,去除冗余也是網(wǎng)絡(luò)安全防護(hù)的難點(diǎn)。相關(guān)技術(shù)中，信息安全風(fēng)險(xiǎn)管理系統(tǒng)中的人為主觀因素太多,缺少一個(gè)科學(xué)的管理手段。這就迫切需要一個(gè)可以了解整個(gè)網(wǎng)絡(luò)的狀態(tài)和未來(lái)趨勢(shì)的方法,能夠在網(wǎng)絡(luò)發(fā)生威脅和攻擊時(shí)進(jìn)行應(yīng)急響應(yīng),重新調(diào)整網(wǎng)絡(luò)安全資源配置并做出安全響應(yīng)策略。

有關(guān)可信計(jì)算的概念，在ISO/IEC 15408標(biāo)準(zhǔn)中給出了以下定義：一個(gè)可信的組件、操作或過(guò)程的行為在任意操作條件下是可預(yù)測(cè)的，并能很好地抵抗應(yīng)用程序軟件、病毒以及一定的物理干擾造成的破壞。可信計(jì)算的基本思路是在硬件平臺(tái)上引入安全芯片(可信平臺(tái)模塊)來(lái)提高終端系統(tǒng)的安全性，也就是說(shuō)在每個(gè)終端平臺(tái)上植入一個(gè)信任根，讓計(jì)算機(jī)從BIOS到操作系統(tǒng)內(nèi)核層，再到應(yīng)用層都構(gòu)建信任關(guān)系；以此為基礎(chǔ)，擴(kuò)大到網(wǎng)絡(luò)上，建立相應(yīng)的信任鏈，從而進(jìn)入計(jì)算機(jī)免疫時(shí)代。當(dāng)終端受到攻擊時(shí)，可實(shí)現(xiàn)自我保護(hù)、自我管理和自我恢復(fù)。

可信計(jì)算為行為安全而生。據(jù)中國(guó)信息安全專家在《軟件行為學(xué)》一書(shū)中描述，行為安全應(yīng)該包括：行為的機(jī)密性、行為的完整性、行為的真實(shí)性等特征，在態(tài)勢(shì)地圖方面，現(xiàn)在人們更多的式研究如何保證信息的機(jī)密性和完整性，但是對(duì)于行為的真實(shí)性，例如某些由于背景時(shí)間或者無(wú)害的突發(fā)安全事件，卻很難行之有效地甄別出來(lái)，這給操作人員帶來(lái)了不小的困擾。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)上述問(wèn)題，本發(fā)明提供基于可信計(jì)算的大數(shù)據(jù)安全態(tài)勢(shì)地圖生成方法。

本發(fā)明的目的采用以下技術(shù)方案來(lái)實(shí)現(xiàn)：

基于可信計(jì)算的大數(shù)據(jù)安全態(tài)勢(shì)地圖生成方法，其特征是，包括以下步驟：

(1)利用MAPX軟件，將網(wǎng)絡(luò)所在的地理地圖作為背景圖層，將網(wǎng)絡(luò)劃分為多個(gè)節(jié)點(diǎn)和連接兩個(gè)節(jié)點(diǎn)之間的鏈路，將節(jié)點(diǎn)和鏈路映射到背景圖層上；

(2)通過(guò)多種數(shù)據(jù)采集器對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行采集，認(rèn)證進(jìn)行信息收集的網(wǎng)絡(luò)中的硬件節(jié)點(diǎn)，判斷網(wǎng)絡(luò)硬件節(jié)點(diǎn)可信度，建立所采集信息的信任關(guān)系，所述數(shù)據(jù)采集器以Syslog采集方式為主，以Snmp作為補(bǔ)充采集方式，通過(guò)配置不同的網(wǎng)絡(luò)安全設(shè)備完成對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)的采集；所述網(wǎng)絡(luò)信息數(shù)據(jù)包括日志數(shù)據(jù)、流量數(shù)據(jù)和漏洞信息，其中所述漏洞信息的獲取借助掃描工具和網(wǎng)絡(luò)IDS入侵檢測(cè)工具，通過(guò)Snmp或Http協(xié)議由日志采集插件或數(shù)據(jù)接口來(lái)完成；所述日志數(shù)據(jù)由數(shù)據(jù)采集器通過(guò)Syslog協(xié)議和Flow協(xié)議進(jìn)行采集；

(3)通過(guò)代理管理服務(wù)器對(duì)采集后的所述網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行歸并、過(guò)濾和加密，通過(guò)密鑰技術(shù)、硬件訪問(wèn)控制技術(shù)和存儲(chǔ)加密技術(shù)保證系統(tǒng)和數(shù)據(jù)的信任狀態(tài)，通過(guò)軟件的數(shù)字簽名技術(shù)將使得系統(tǒng)能識(shí)別出經(jīng)過(guò)第三方修改可能加入間諜軟件的應(yīng)用程序，形成統(tǒng)一的數(shù)據(jù)格式發(fā)送到服務(wù)器終端形成基礎(chǔ)數(shù)據(jù)庫(kù)，形成可度量的量化數(shù)據(jù)，確保數(shù)據(jù)不會(huì)被隨意獲取，構(gòu)建整體地圖生成信任環(huán)境，建立信任關(guān)系后，以分布在云環(huán)境下的數(shù)據(jù)資源為基礎(chǔ)，對(duì)數(shù)據(jù)資源進(jìn)行封裝存儲(chǔ)，構(gòu)建可信數(shù)據(jù)平臺(tái)；所述可信數(shù)據(jù)平臺(tái)還提供可信軟件系統(tǒng)，所述可信軟件系統(tǒng)為操作系統(tǒng)和應(yīng)用軟件提供使用可信數(shù)據(jù)平臺(tái)的接口，同時(shí)對(duì)所述可信數(shù)據(jù)平臺(tái)后續(xù)軟件提供完整性度量，并對(duì)不可控操作系統(tǒng)的特定行為進(jìn)行行為審計(jì)和分析；所述后續(xù)軟件包括核心加載軟件和不可控操作系統(tǒng)軟件；

(4)基于可信計(jì)算的真實(shí)性，在已建立的整體地圖生成信任環(huán)境中對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行聚合分類(lèi)并據(jù)此生成滾動(dòng)式報(bào)警，所述滾動(dòng)式報(bào)警設(shè)置在安全態(tài)勢(shì)地圖的右側(cè)，具體執(zhí)行以下步驟：

(4-1)從基礎(chǔ)數(shù)據(jù)庫(kù)中調(diào)出網(wǎng)絡(luò)信息數(shù)據(jù)，同時(shí)設(shè)置多個(gè)分級(jí)閾值T1，T2，T3，……，Tn、相似度更新閥值T、曲率閾值K、相似度持續(xù)時(shí)間閾值A(chǔ)和初始相似度C，循環(huán)取出給定時(shí)間內(nèi)的網(wǎng)絡(luò)信息數(shù)據(jù)，調(diào)用相似度計(jì)算函數(shù)計(jì)算實(shí)時(shí)相似度，并生成每個(gè)節(jié)點(diǎn)處的實(shí)時(shí)相似度與時(shí)間的曲線函數(shù)AI；

(4-2)對(duì)計(jì)算結(jié)果進(jìn)行比較，如果實(shí)時(shí)相似度大于初始相似度C，則更新實(shí)時(shí)相似度為當(dāng)前相似度，否則保留初始相似度C為當(dāng)前相似度，計(jì)數(shù)器加1；

(4-3)將當(dāng)前相似度與多個(gè)分級(jí)閾值T1，T2，T3，……，Tn進(jìn)行比較，根據(jù)當(dāng)前相似度所在的閾值區(qū)間來(lái)確定該安全事件的報(bào)警等級(jí)，其中T＜T1＜T2＜T3……＜Tn；如果當(dāng)前相似度未落在任一區(qū)間，則將當(dāng)前相似度與相似度閥值T進(jìn)行比較，若當(dāng)前相似度小于相似度閥值T，則執(zhí)行以下操作：

計(jì)算當(dāng)前時(shí)間點(diǎn)相對(duì)于前一時(shí)間點(diǎn)的實(shí)時(shí)相似度變化量，即計(jì)算所述曲線函數(shù)AI當(dāng)前時(shí)間點(diǎn)相對(duì)于前一時(shí)間點(diǎn)的曲率K′，如果K′＞K，并且當(dāng)前相似度小于相似度閾值T的持續(xù)時(shí)間小于相似度持續(xù)時(shí)間閾值A(chǔ)時(shí)，將該網(wǎng)絡(luò)信息數(shù)據(jù)定性為無(wú)害安全事件，不執(zhí)行添加新報(bào)警類(lèi)別的操作，同時(shí)將所述無(wú)害安全事件的相關(guān)信息儲(chǔ)存到人為設(shè)置的臨時(shí)儲(chǔ)存器中，當(dāng)同一節(jié)點(diǎn)由計(jì)數(shù)器記數(shù)累計(jì)達(dá)到3次無(wú)害安全事件時(shí)，則執(zhí)行添加新報(bào)警類(lèi)別的操作；當(dāng)任一次當(dāng)前相似度小于相似度閾值T的持續(xù)時(shí)間大于等于大相似度持續(xù)時(shí)間閾值A(chǔ)時(shí)，也執(zhí)行添加新報(bào)警類(lèi)別的操作；

(4-4)將所有網(wǎng)絡(luò)信息數(shù)據(jù)，按照上述的聚合分類(lèi)方法分類(lèi)后，以滾動(dòng)報(bào)警的形式顯示在地圖的右側(cè)，并且不同分類(lèi)的報(bào)警顏色設(shè)置為不一樣；

(5)基于可信計(jì)算完整性，在已建立的整體地圖生成信任環(huán)境中，根據(jù)下式得到各個(gè)節(jié)點(diǎn)和鏈路的網(wǎng)絡(luò)安全態(tài)勢(shì)值：

F_N{W_H，W_L，F(xiàn)_H，F(xiàn)_L，t}＝W_H.F_H+W_L.F_L

此處，

F_H(H，V₁，F(xiàn)_s，t)＝V₁.F_s(t)+10^P’(t)

F_L(L，V₂，U_S，t)＝V₂.U_S(t)+10^B‘(t)

其中，W_H表示目標(biāo)節(jié)點(diǎn)在所有節(jié)點(diǎn)中所占的權(quán)重值，W_L表示目標(biāo)鏈路在所有鏈路中所占的權(quán)重值，W_H、W_L分別由節(jié)點(diǎn)和鏈路組件提供的服務(wù)信息獲得；

F_H表示t時(shí)刻目標(biāo)節(jié)點(diǎn)的安全態(tài)勢(shì)狀況，H表示目標(biāo)節(jié)點(diǎn)，V₁表示某一服務(wù)在節(jié)點(diǎn)運(yùn)行的所有服務(wù)中所占的權(quán)重；P表示節(jié)點(diǎn)性能狀況，P值越大表示節(jié)點(diǎn)性能越差，P’(t)表示t時(shí)刻鏈路性能變化狀況，通過(guò)計(jì)算函數(shù)P某點(diǎn)的曲率求得，且強(qiáng)制P’(t)≤3，當(dāng)P’(t)值大于3時(shí)，強(qiáng)制令P’(t)＝3；F_s(t)＝N1(t).10^D1(t)，表示t時(shí)刻目標(biāo)節(jié)點(diǎn)的服務(wù)安全態(tài)勢(shì)狀況，N1(t)表示t時(shí)刻節(jié)點(diǎn)被攻擊發(fā)生的次數(shù)，D1(t)表示t時(shí)刻節(jié)點(diǎn)被攻擊的嚴(yán)重程度，其與目標(biāo)節(jié)點(diǎn)當(dāng)前所提供服務(wù)受到的攻擊種類(lèi)和受到的攻擊次數(shù)有關(guān)，根據(jù)具體情況人為設(shè)定該函數(shù)；

F_L表示t時(shí)刻目標(biāo)鏈路的安全態(tài)勢(shì)狀況，L表示目標(biāo)鏈路，V₂表示某一組件服務(wù)在鏈路運(yùn)行的所有組件服務(wù)中所占權(quán)重；B表示鏈路性能狀況，數(shù)值越大表示鏈路的性能越差，B’(t)表示t時(shí)刻鏈路性能變化狀況，通過(guò)計(jì)算函數(shù)B某點(diǎn)的曲率求得，且強(qiáng)制B’(t)≤3，當(dāng)B’(t)值大于3時(shí)，強(qiáng)制令B’(t)＝3；U_S(t)＝N2(t).10^D2(t)，表示t時(shí)刻目標(biāo)鏈路的服務(wù)安全態(tài)勢(shì)狀況，N2(t)表示t時(shí)刻鏈路被攻擊發(fā)生的次數(shù)，D2(t)表示t時(shí)刻鏈路被攻擊的嚴(yán)重程度，其與目標(biāo)鏈路所提供的服務(wù)受到的攻擊種類(lèi)和所受到的攻擊次數(shù)有關(guān)，根據(jù)具體情況人為設(shè)定該函數(shù)；

(6)根據(jù)計(jì)算得到的各個(gè)節(jié)點(diǎn)和鏈路的網(wǎng)絡(luò)安全態(tài)勢(shì)值，在已建立的整體地圖生成信任環(huán)境中，根據(jù)預(yù)先設(shè)定的閾值對(duì)不同數(shù)值的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行分級(jí)，用不同顏色代表不同態(tài)勢(shì)等級(jí)的節(jié)點(diǎn)和鏈路的安全狀態(tài)，生成安全態(tài)勢(shì)地圖；所述數(shù)據(jù)采集器為可信鏈的起點(diǎn)，其設(shè)置有數(shù)據(jù)發(fā)送應(yīng)用程序，所述數(shù)據(jù)采集器與代理管理服務(wù)器、報(bào)警生成和態(tài)勢(shì)地圖生成共同構(gòu)成可信鏈，數(shù)據(jù)通過(guò)3G模塊進(jìn)行傳輸，3G模塊上電后，由所述可信數(shù)據(jù)平臺(tái)進(jìn)行上電檢測(cè)。

優(yōu)選地，所述節(jié)點(diǎn)性能狀況P的計(jì)算方法為：分別對(duì)處理器利用率、內(nèi)存利用率、網(wǎng)絡(luò)連接數(shù)、數(shù)據(jù)丟包率設(shè)置相應(yīng)的門(mén)限值，以及在固定時(shí)間間隔的變化閾值，將上述各值超過(guò)相應(yīng)門(mén)限值的差值的絕對(duì)值之和表示為J1，將各值在固定時(shí)間間隔變化幅度大于變化閾值的具體差值的絕對(duì)值之和表示為J2，由下式計(jì)算節(jié)點(diǎn)性能狀況P：P＝2^J1+J2；

所述鏈路性能狀況B的計(jì)算方法為：分別對(duì)鏈路組件網(wǎng)絡(luò)連接數(shù)、帶寬利用率、數(shù)據(jù)丟包率、鏈路組件處理器利用率設(shè)置相應(yīng)的門(mén)限值，以及在固定時(shí)間間隔的變化閾值；將上述各值超過(guò)相應(yīng)門(mén)限值的具體差值的絕對(duì)值之和記為J3，將各值在固定時(shí)間間隔變化幅度大于變化閾值的具體差值的絕對(duì)值之和記為J4，由下式計(jì)算鏈路性能狀況B：B＝2^J3+J4；

所述各節(jié)點(diǎn)的權(quán)重值的確定方法為：

(1)建立各節(jié)點(diǎn)相對(duì)于其他節(jié)點(diǎn)在網(wǎng)絡(luò)安全態(tài)勢(shì)上的重要度比較矩陣；

(2)將節(jié)點(diǎn)的重要度比較矩陣轉(zhuǎn)換為節(jié)點(diǎn)的模糊一致性矩陣；

(3)根據(jù)節(jié)點(diǎn)的模糊一致性矩陣的各元素，計(jì)算各節(jié)點(diǎn)的權(quán)重值。

所述各鏈路的權(quán)重值的確定方法為：

(1)建立各鏈路相對(duì)于其他鏈路在網(wǎng)絡(luò)安全態(tài)勢(shì)上的重要度比較矩陣；

(2)將鏈路的重要度比較矩陣轉(zhuǎn)換為鏈路的模糊一致性矩陣；

(3)根據(jù)鏈路的模糊一致性矩陣的各元素，計(jì)算各鏈路的權(quán)重值。

本發(fā)明的有益效果為：

1、通過(guò)多種數(shù)據(jù)采集器對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行采集，確保了網(wǎng)絡(luò)信息數(shù)據(jù)采集的全面性；

2、基于屬性相近度的算法通過(guò)設(shè)置閥值,比較各個(gè)警報(bào)信息，調(diào)用相應(yīng)函數(shù)進(jìn)行警報(bào)信息的過(guò)濾、聚合，同時(shí)針對(duì)可能出現(xiàn)的背景事件或者實(shí)質(zhì)上無(wú)礙安全的事件，采用相似度曲率和持續(xù)時(shí)間的新評(píng)估標(biāo)準(zhǔn)，將這類(lèi)事件剔除出正常報(bào)警外，減小對(duì)監(jiān)視人員的干擾，另一方面為了避免安全漏洞，將這類(lèi)安全事件放入臨時(shí)儲(chǔ)存器中，當(dāng)出現(xiàn)3次以上時(shí)認(rèn)定為新的報(bào)警類(lèi)別，這使得態(tài)勢(shì)地圖的安全行為真實(shí)性更高，這從另一方面提高了態(tài)勢(shì)地圖的可信度；

3、設(shè)計(jì)了新的網(wǎng)絡(luò)安全態(tài)勢(shì)計(jì)算公式，不但同時(shí)考慮了節(jié)點(diǎn)和鏈路的安全態(tài)勢(shì)，而且考慮了節(jié)點(diǎn)和鏈路的動(dòng)態(tài)變化的影響，相對(duì)于現(xiàn)在的離散式節(jié)點(diǎn)和鏈路性能狀態(tài)表示方法而言，能將節(jié)點(diǎn)和鏈路的動(dòng)態(tài)變化連續(xù)地反應(yīng)到最終的安全態(tài)勢(shì)值中，更加準(zhǔn)確有效。同時(shí)，將P’(t)和B’(t)的最大值強(qiáng)制限定為3，則反應(yīng)節(jié)點(diǎn)和鏈路性能動(dòng)態(tài)變化的項(xiàng)10^P‘(t)和10^B‘(t)不會(huì)超過(guò)1000，這在一定程度抑制了動(dòng)態(tài)表示中可能出現(xiàn)的短時(shí)誤判現(xiàn)象，保證了圖像的穩(wěn)定性和可信性。

附圖說(shuō)明

利用附圖對(duì)本發(fā)明作進(jìn)一步說(shuō)明，但附圖中的實(shí)施例不構(gòu)成對(duì)本發(fā)明的任何限制，對(duì)于本領(lǐng)域的普通技術(shù)人員，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)以下附圖獲得其它的附圖。

圖1是本安全態(tài)勢(shì)地圖生成方法的步驟示意圖；

圖2是生成后的安全態(tài)勢(shì)地圖示例。

具體實(shí)施方式

結(jié)合以下實(shí)施例對(duì)本發(fā)明作進(jìn)一步描述。

如圖1所示的基于可信計(jì)算的大數(shù)據(jù)安全態(tài)勢(shì)地圖生成方法，包括以下步驟：

(1)利用MAPX軟件，將網(wǎng)絡(luò)所在的地理地圖作為背景圖層，將網(wǎng)絡(luò)劃分為多個(gè)節(jié)點(diǎn)和連接兩個(gè)節(jié)點(diǎn)之間的鏈路，將節(jié)點(diǎn)和鏈路映射到背景圖層上；

(2)通過(guò)多種數(shù)據(jù)采集器對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行采集，認(rèn)證進(jìn)行信息收集的網(wǎng)絡(luò)中的硬件節(jié)點(diǎn)，判斷網(wǎng)絡(luò)硬件節(jié)點(diǎn)可信度，建立所采集信息的信任關(guān)系，所述數(shù)據(jù)采集器以Syslog采集方式為主，以Snmp作為補(bǔ)充采集方式，通過(guò)配置不同的網(wǎng)絡(luò)安全設(shè)備完成對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)的采集；所述網(wǎng)絡(luò)信息數(shù)據(jù)包括日志數(shù)據(jù)、流量數(shù)據(jù)和漏洞信息，其中所述漏洞信息的獲取借助掃描工具和網(wǎng)絡(luò)IDS入侵檢測(cè)工具，通過(guò)Snmp或Http協(xié)議由日志采集插件或數(shù)據(jù)接口來(lái)完成；所述日志數(shù)據(jù)由數(shù)據(jù)采集器通過(guò)Syslog協(xié)議和Flow協(xié)議進(jìn)行采集；

(3)通過(guò)代理管理服務(wù)器對(duì)采集后的所述網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行歸并、過(guò)濾和加密，通過(guò)密鑰技術(shù)、硬件訪問(wèn)控制技術(shù)和存儲(chǔ)加密技術(shù)保證系統(tǒng)和數(shù)據(jù)的信任狀態(tài)，通過(guò)軟件的數(shù)字簽名技術(shù)將使得系統(tǒng)能識(shí)別出經(jīng)過(guò)第三方修改可能加入間諜軟件的應(yīng)用程序，形成統(tǒng)一的數(shù)據(jù)格式發(fā)送到服務(wù)器終端形成基礎(chǔ)數(shù)據(jù)庫(kù)，形成可度量的量化數(shù)據(jù)，確保數(shù)據(jù)不會(huì)被隨意獲取，構(gòu)建整體地圖生成信任環(huán)境，建立信任關(guān)系后，以分布在云環(huán)境下的數(shù)據(jù)資源為基礎(chǔ)，對(duì)數(shù)據(jù)資源進(jìn)行封裝存儲(chǔ)，構(gòu)建可信數(shù)據(jù)平臺(tái)；所述可信數(shù)據(jù)平臺(tái)還提供可信軟件系統(tǒng)，所述可信軟件系統(tǒng)為操作系統(tǒng)和應(yīng)用軟件提供使用可信數(shù)據(jù)平臺(tái)的接口，同時(shí)對(duì)所述可信數(shù)據(jù)平臺(tái)后續(xù)軟件提供完整性度量，并對(duì)不可控操作系統(tǒng)的特定行為進(jìn)行行為審計(jì)和分析；所述后續(xù)軟件包括核心加載軟件和不可控操作系統(tǒng)軟件。

(4)基于可信計(jì)算的真實(shí)性，在已建立的整體地圖生成信任環(huán)境中對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行聚合分類(lèi)并據(jù)此生成滾動(dòng)式報(bào)警，所述滾動(dòng)式報(bào)警設(shè)置在安全態(tài)勢(shì)地圖的右側(cè)，具體執(zhí)行以下步驟：

(4-1)從基礎(chǔ)數(shù)據(jù)庫(kù)中調(diào)出網(wǎng)絡(luò)信息數(shù)據(jù)，同時(shí)設(shè)置多個(gè)分級(jí)閾值T1，T2，T3，……，Tn、相似度更新閥值T、曲率閾值K、相似度持續(xù)時(shí)間閾值A(chǔ)和初始相似度C，循環(huán)取出給定時(shí)間內(nèi)的網(wǎng)絡(luò)信息數(shù)據(jù)，調(diào)用相似度計(jì)算函數(shù)計(jì)算實(shí)時(shí)相似度，并生成每個(gè)節(jié)點(diǎn)處的實(shí)時(shí)相似度與時(shí)間的曲線函數(shù)AI；

(4-2)對(duì)計(jì)算結(jié)果進(jìn)行比較，如果實(shí)時(shí)相似度大于初始相似度C，則更新實(shí)時(shí)相似度為當(dāng)前相似度，否則保留初始相似度C為當(dāng)前相似度，計(jì)數(shù)器加1；

(4-3)將當(dāng)前相似度與多個(gè)分級(jí)閾值T1，T2，T3，……，Tn進(jìn)行比較，根據(jù)當(dāng)前相似度所在的閾值區(qū)間來(lái)確定該安全事件的報(bào)警等級(jí)，其中T＜T1＜T2＜T3……＜Tn；如果當(dāng)前相似度未落在任一區(qū)間，則將當(dāng)前相似度與相似度閥值T進(jìn)行比較，若當(dāng)前相似度小于相似度閥值T，則執(zhí)行以下操作：

計(jì)算當(dāng)前時(shí)間點(diǎn)相對(duì)于前一時(shí)間點(diǎn)的實(shí)時(shí)相似度變化量，即計(jì)算所述曲線函數(shù)AI當(dāng)前時(shí)間點(diǎn)相對(duì)于前一時(shí)間點(diǎn)的曲率K′，如果K′＞K，并且當(dāng)前相似度小于相似度閾值T的持續(xù)時(shí)間小于相似度持續(xù)時(shí)間閾值A(chǔ)時(shí)，將該網(wǎng)絡(luò)信息數(shù)據(jù)定性為無(wú)害安全事件，不執(zhí)行添加新報(bào)警類(lèi)別的操作，同時(shí)將所述無(wú)害安全事件的相關(guān)信息儲(chǔ)存到人為設(shè)置的臨時(shí)儲(chǔ)存器中，當(dāng)同一節(jié)點(diǎn)由計(jì)數(shù)器記數(shù)累計(jì)達(dá)到3次無(wú)害安全事件時(shí)，則執(zhí)行添加新報(bào)警類(lèi)別的操作；當(dāng)任一次當(dāng)前相似度小于相似度閾值T的持續(xù)時(shí)間大于等于大相似度持續(xù)時(shí)間閾值A(chǔ)時(shí)，也執(zhí)行添加新報(bào)警類(lèi)別的操作；

(4-4)將所有網(wǎng)絡(luò)信息數(shù)據(jù)，按照上述的聚合分類(lèi)方法分類(lèi)后，以滾動(dòng)報(bào)警的形式顯示在地圖的右側(cè)，并且不同分類(lèi)的報(bào)警顏色設(shè)置為不一樣；

(5)基于可信計(jì)算完整性，根據(jù)下式得到各個(gè)節(jié)點(diǎn)和鏈路的網(wǎng)絡(luò)安全態(tài)勢(shì)值：

F_N{W_H，W_L，F(xiàn)_H，F(xiàn)_L，t}＝W_H.F_H+W_L.F_L

此處，

F_H(H，V₁，F(xiàn)_s，t)＝V₁.F_s(t)+10^P’(t)

F_L(L，V₂，U_S，t)＝V₂.U_S(t)+10^B‘(t)

其中，W_H表示目標(biāo)節(jié)點(diǎn)在所有節(jié)點(diǎn)中所占的權(quán)重值，W_L表示目標(biāo)鏈路在所有鏈路中所占的權(quán)重值，W_H、W_L分別由節(jié)點(diǎn)和鏈路組件提供的服務(wù)信息獲得；

F_H表示t時(shí)刻目標(biāo)節(jié)點(diǎn)的安全態(tài)勢(shì)狀況，H表示目標(biāo)節(jié)點(diǎn)，V₁表示某一服務(wù)在節(jié)點(diǎn)運(yùn)行的所有服務(wù)中所占的權(quán)重；P表示節(jié)點(diǎn)性能狀況，P值越大表示節(jié)點(diǎn)性能越差，P’(t)表示t時(shí)刻鏈路性能變化狀況，通過(guò)計(jì)算函數(shù)P某點(diǎn)的曲率求得，且強(qiáng)制P’(t)≤3，當(dāng)P’(t)值大于3時(shí)，強(qiáng)制令P’(t)＝3；F_s(t)＝N1(t).10^D1(t)，表示t時(shí)刻目標(biāo)節(jié)點(diǎn)的服務(wù)安全態(tài)勢(shì)狀況，N1(t)表示t時(shí)刻節(jié)點(diǎn)被攻擊發(fā)生的次數(shù)，D1(t)表示t時(shí)刻節(jié)點(diǎn)被攻擊的嚴(yán)重程度，其與目標(biāo)節(jié)點(diǎn)當(dāng)前所提供服務(wù)受到的攻擊種類(lèi)和受到的攻擊次數(shù)有關(guān)，根據(jù)具體情況人為設(shè)定該函數(shù)。

F_L表示t時(shí)刻目標(biāo)鏈路的安全態(tài)勢(shì)狀況，L表示目標(biāo)鏈路，V₂表示某一組件服務(wù)在鏈路運(yùn)行的所有組件服務(wù)中所占權(quán)重；B表示鏈路性能狀況，數(shù)值越大表示鏈路的性能越差，B’(t)表示t時(shí)刻鏈路性能變化狀況，通過(guò)計(jì)算函數(shù)B某點(diǎn)的曲率求得，通過(guò)計(jì)算函數(shù)B某點(diǎn)的曲率求得，且強(qiáng)制B’(t)≤3，當(dāng)B’(t)值大于3時(shí)，強(qiáng)制令B’(t)＝3；U_s(t)＝N2(t).10^D2(t)，表示t時(shí)刻目標(biāo)鏈路的服務(wù)安全態(tài)勢(shì)狀況，N2(t)表示t時(shí)刻鏈路被攻擊發(fā)生的次數(shù)，D2(t)表示t時(shí)刻鏈路被攻擊的嚴(yán)重程度，其與目標(biāo)鏈路所提供的服務(wù)受到的攻擊種類(lèi)和所受到的攻擊次數(shù)有關(guān)，根據(jù)具體情況人為設(shè)定該函數(shù)。在這里，將P’(t)和B’(t)的最大值強(qiáng)制限定為3，則反應(yīng)節(jié)點(diǎn)和鏈路性能動(dòng)態(tài)變化的項(xiàng)10^P‘(t)和10^B‘(t)不會(huì)超過(guò)1000，這在一定程度抑制了動(dòng)態(tài)表示中可能出現(xiàn)的短時(shí)誤判現(xiàn)象，保證了圖像的穩(wěn)定性。

(6)根據(jù)計(jì)算得到的各個(gè)節(jié)點(diǎn)和鏈路的網(wǎng)絡(luò)安全態(tài)勢(shì)值，根據(jù)預(yù)先設(shè)定的閾值對(duì)不同數(shù)值的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行分級(jí)，用不同顏色代表不同態(tài)勢(shì)等級(jí)的節(jié)點(diǎn)和鏈路的安全狀態(tài)，生成安全態(tài)勢(shì)地圖；所述數(shù)據(jù)采集器為可信鏈的起點(diǎn)，其設(shè)置有數(shù)據(jù)發(fā)送應(yīng)用程序，所述數(shù)據(jù)采集器與代理管理服務(wù)器、報(bào)警生成和態(tài)勢(shì)地圖生成共同構(gòu)成可信鏈，數(shù)據(jù)通過(guò)3G模塊進(jìn)行傳輸，3G模塊上電后，由所述可信數(shù)據(jù)平臺(tái)進(jìn)行上電檢測(cè)；

所述節(jié)點(diǎn)性能狀況P的計(jì)算方法為：分別對(duì)處理器利用率、內(nèi)存利用率、網(wǎng)絡(luò)連接數(shù)、數(shù)據(jù)丟包率設(shè)置相應(yīng)的門(mén)限值，以及在固定時(shí)間間隔的變化閾值，將上述各值超過(guò)相應(yīng)門(mén)限值的差值的絕對(duì)值之和表示為J1，將各值在固定時(shí)間間隔變化幅度大于變化閾值的具體差值的絕對(duì)值之和表示為J2，由下式計(jì)算節(jié)點(diǎn)性能狀況P：P＝2^J1+J2；

所述鏈路性能狀況B的計(jì)算方法為：分別對(duì)鏈路組件網(wǎng)絡(luò)連接數(shù)、帶寬利用率、數(shù)據(jù)丟包率、鏈路組件處理器利用率設(shè)置相應(yīng)的門(mén)限值，以及在固定時(shí)間間隔的變化閾值；將上述各值超過(guò)相應(yīng)門(mén)限值的具體差值的絕對(duì)值之和記為J3，將各值在固定時(shí)間間隔變化幅度大于變化閾值的具體差值的絕對(duì)值之和記為J4，由下式計(jì)算鏈路性能狀況B：B＝2^J3+J4。

所述各節(jié)點(diǎn)的權(quán)重值的確定方法為：

(1)建立各節(jié)點(diǎn)相對(duì)于其他節(jié)點(diǎn)在網(wǎng)絡(luò)安全態(tài)勢(shì)上的重要度比較矩陣；

(2)將節(jié)點(diǎn)的重要度比較矩陣轉(zhuǎn)換為節(jié)點(diǎn)的模糊一致性矩陣；

(3)根據(jù)節(jié)點(diǎn)的模糊一致性矩陣的各元素，計(jì)算各節(jié)點(diǎn)的權(quán)重值。

所述各鏈路的權(quán)重值的確定方法為：

(1)建立各鏈路相對(duì)于其他鏈路在網(wǎng)絡(luò)安全態(tài)勢(shì)上的重要度比較矩陣；

(2)將鏈路的重要度比較矩陣轉(zhuǎn)換為鏈路的模糊一致性矩陣；

(3)根據(jù)鏈路的模糊一致性矩陣的各元素，計(jì)算各鏈路的權(quán)重值。

圖2給出了生成的一個(gè)安全態(tài)勢(shì)地圖示例。

本實(shí)施例通過(guò)多種數(shù)據(jù)采集器對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行采集，確保了網(wǎng)絡(luò)信息數(shù)據(jù)采集的全面性；基于屬性相近度的算法通過(guò)設(shè)置閥值,比較各個(gè)警報(bào)信息，調(diào)用相應(yīng)函數(shù)進(jìn)行警報(bào)信息的過(guò)濾、聚合，同時(shí)針對(duì)可能出現(xiàn)的背景事件或者實(shí)質(zhì)上無(wú)礙安全的事件，采用相似度曲率和持續(xù)時(shí)間的新評(píng)估標(biāo)準(zhǔn)，將這類(lèi)事件剔除出正常報(bào)警外，減小對(duì)監(jiān)視人員的干擾，另一方面為了避免安全漏洞，將這類(lèi)安全事件放入臨時(shí)儲(chǔ)存器中，當(dāng)出現(xiàn)3次以上時(shí)認(rèn)定為新的安全事件，這使得態(tài)勢(shì)地圖的安全行為真實(shí)性更高，這從另一方面提高了態(tài)勢(shì)地圖的可信度；設(shè)計(jì)了新的網(wǎng)絡(luò)安全態(tài)勢(shì)計(jì)算公式，不但同時(shí)考慮了節(jié)點(diǎn)和鏈路的安全態(tài)勢(shì)，考慮了多種因素的影響，而且考慮了節(jié)點(diǎn)和鏈路的動(dòng)態(tài)變化的影響，相對(duì)于現(xiàn)在的離散式節(jié)點(diǎn)和鏈路性能狀態(tài)表示方法而言，能將節(jié)點(diǎn)和鏈路的動(dòng)態(tài)變化連續(xù)地(通過(guò)P＝2^J1+J2以及B＝2^J3+J4的設(shè)置來(lái)取代現(xiàn)有技術(shù)中的離散式動(dòng)態(tài)變化)反應(yīng)到最終的安全態(tài)勢(shì)值中；將P’(t)和B’(t)的最大值強(qiáng)制限定為3，則反應(yīng)節(jié)點(diǎn)和鏈路性能動(dòng)態(tài)變化的項(xiàng)10^P‘(t)和10^B‘(t)不會(huì)超過(guò)1000，這在一定程度抑制了動(dòng)態(tài)表示中可能出現(xiàn)的短時(shí)誤判現(xiàn)象，保證了圖像的穩(wěn)定性和可信性。

最后應(yīng)當(dāng)說(shuō)明的是，以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案，而非對(duì)本發(fā)明保護(hù)范圍的限制，盡管參照較佳實(shí)施例對(duì)本發(fā)明作了詳細(xì)地說(shuō)明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換，而不脫離本發(fā)明技術(shù)方案的實(shí)質(zhì)和范圍。