本發(fā)明涉及網(wǎng)絡(luò)安全攻防，特別是一種基于網(wǎng)絡(luò)安全攻防狀態(tài)變化的安全態(tài)勢(shì)感知方法。

背景技術(shù)：

1、隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大以及網(wǎng)絡(luò)攻擊復(fù)雜度的增加，入侵檢測(cè)、防火墻、防病毒、安全審計(jì)等眾多的安全設(shè)備在網(wǎng)絡(luò)中得到廣泛的應(yīng)用，雖然這些安全設(shè)備對(duì)網(wǎng)絡(luò)安全發(fā)揮了一定的作用，但仍存在一定的局限性，主要表現(xiàn)在三個(gè)方面：一是各類安全設(shè)備的海量告警和日志，語(yǔ)義級(jí)別低，冗余度高，占用存儲(chǔ)空間大，且存在大量的誤報(bào)，導(dǎo)致真實(shí)告警信息被淹沒(méi)，尚需進(jìn)一步對(duì)數(shù)據(jù)處理；二是各安全設(shè)備大多功能單一，無(wú)法實(shí)現(xiàn)信息共享和數(shù)據(jù)交互，綜合整理和高級(jí)分析功能薄弱，致使各類安全設(shè)備尤其是關(guān)鍵資產(chǎn)的總體防護(hù)效能無(wú)法得以充分的發(fā)揮；三是各類安全設(shè)備的處理結(jié)果僅能單一的體現(xiàn)網(wǎng)絡(luò)某方面的運(yùn)行狀況，難以提供全面直觀的網(wǎng)絡(luò)整體安全狀況和趨勢(shì)信息，缺少資產(chǎn)屬性進(jìn)行相似度的匹配查詢功能和相應(yīng)的態(tài)勢(shì)感知能力。

技術(shù)實(shí)現(xiàn)思路

1、有鑒于此，本發(fā)明的目的在于提供一種基于網(wǎng)絡(luò)安全攻防狀態(tài)變化的安全態(tài)勢(shì)感知方法，有效克服這些網(wǎng)絡(luò)安全管理的局限。

2、為實(shí)現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案：一種基于網(wǎng)絡(luò)安全攻防狀態(tài)變化的安全態(tài)勢(shì)感知方法，包括：

3、1)基于特征屬性相似度的聚合算法；對(duì)于攻擊類型特征屬性，從抽象到具體,建立攻擊特征attack-class類屬層次關(guān)系；在不同的告警分類下，時(shí)間、空間屬性相似度有不同的考慮方法和側(cè)重點(diǎn)；

4、2)特征屬性相似度的計(jì)算。

5、在一較佳的實(shí)施例中，特征屬性相似度或相異度計(jì)算公式如下：

6、

7、在上述公式中，n為對(duì)象i，j中的屬性總數(shù)，f為屬性標(biāo)號(hào)，wf表示對(duì)象屬性f在相似度計(jì)算中的權(quán)值，其范圍是0-1之間的某個(gè)數(shù)；diffijf表示對(duì)象i和j在屬性f上的相異度，下面將分析不同日志屬性相異度的計(jì)算方法；

8、源ip地址/目的ip地址相異度計(jì)算公式如下：

9、

10、n為ip地址最高位相同的位數(shù)；該計(jì)算公式根據(jù)相同網(wǎng)段中ip地址劃分的前綴相同，即計(jì)算出的相似度距離會(huì)較近。

11、在一較佳的實(shí)施例中，端口屬性相異度計(jì)算公式如下：

12、

13、端口屬性相異度計(jì)算公式非常簡(jiǎn)單，比較兩條報(bào)警日志記錄中的端口號(hào)是否相同即可，相同則相異度為0，否則為1；

14、報(bào)警類型屬性相異度計(jì)算方法：對(duì)于防火墻日志和ids日志，如果其報(bào)警類型相同，那么值為0，否則為1。

15、在一較佳的實(shí)施例中，時(shí)間屬性相異度計(jì)算：要對(duì)日志進(jìn)行聚類，必須首先計(jì)算時(shí)間屬性相異度；當(dāng)相鄰兩條報(bào)警日志的時(shí)間間隔小于閾值t時(shí)，時(shí)間屬性相異度為0，否則為1；

16、在日志聚類過(guò)程中，將告警日志臨時(shí)存儲(chǔ)在一個(gè)隊(duì)列中，并使用count字段記錄每條超警日志中重復(fù)的報(bào)警數(shù)目；每當(dāng)聚合一條新的報(bào)警日志時(shí)，首先計(jì)算出其中的時(shí)間屬性相異度，如果相異度小于一定的閾值則直接將該日志合并到相異度最小的超警日志中，同時(shí)將count字段值加1；否則，將報(bào)警日志作為新的超警日志，其count值記為1，時(shí)間閾值設(shè)為默認(rèn)值。

17、與現(xiàn)有技術(shù)相比，本發(fā)明具有以下有益效果：

技術(shù)特征：

1.一種基于網(wǎng)絡(luò)安全攻防狀態(tài)變化的安全態(tài)勢(shì)感知方法，其特征在于包括：

2.根據(jù)權(quán)利要求1所述的一種基于網(wǎng)絡(luò)安全攻防狀態(tài)變化的安全態(tài)勢(shì)感知方法，其特征在于，特征屬性相似度或相異度計(jì)算公式如下：

3.根據(jù)權(quán)利要求1所述的一種基于網(wǎng)絡(luò)安全攻防狀態(tài)變化的安全態(tài)勢(shì)感知方法，其特征在于，端口屬性相異度計(jì)算公式如下：

4.根據(jù)權(quán)利要求1所述的一種基于網(wǎng)絡(luò)安全攻防狀態(tài)變化的安全態(tài)勢(shì)感知方法，其特征在于，時(shí)間屬性相異度計(jì)算：要對(duì)日志進(jìn)行聚類，必須首先計(jì)算時(shí)間屬性相異度；當(dāng)相鄰兩條報(bào)警日志的時(shí)間間隔小于閾值t時(shí)，時(shí)間屬性相異度為0，否則為1；

技術(shù)總結(jié)
本發(fā)明提供了一種基于網(wǎng)絡(luò)安全攻防狀態(tài)變化的安全態(tài)勢(shì)感知方法，包括：1）基于特征屬性相似度的聚合算法；對(duì)于攻擊類型特征屬性，從抽象到具體,建立攻擊特征attack?class類屬層次關(guān)系；在不同的告警分類下，時(shí)間、空間屬性相似度有不同的考慮方法和側(cè)重點(diǎn)；2）特征屬性相似度的計(jì)算。應(yīng)用本技術(shù)方案可有效克服這些網(wǎng)絡(luò)安全管理的局限。

技術(shù)研發(fā)人員：張坤三,郭敬東,鄭仁廣,羅富財(cái),沈立翔,紀(jì)文,吳麗進(jìn),高董英,李少杰,余佳怡,吉眉穎
受保護(hù)的技術(shù)使用者：國(guó)網(wǎng)福建省電力有限公司漳州供電公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/6