本发明专利技术公开了一种定量化的网络安全保护强度评估方法及系统,包括采用网络节点中的软件行为监视代理程序持续监视并采集节点的软件行为特征,并将软件行为特征发送到软件行为数据库;从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型;网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估,计算出定量化的网络安全保护强度。本发明专利技术通过对网络的实际软件行为进行观测度量,利用机器学习方法建模,获得定量化的网络安全保护强度评估结果。
【技术实现步骤摘要】
一种定量化的网络安全保护强度评估方法及系统
本专利技术涉及信息安全
,具体来说,涉及一种定量化的网络安全保护强度评估方法和系统。
技术介绍
网络安全保护强度评估对网络安全建设和改进非常重要,对应用的规划、开发、服务也非常关键。传统网络安全保护强度分析一般采用对标方法或者基于漏洞的风险评估方法,很难对网络的真实安全保护强度进行定量化分析。
技术实现思路
本专利技术的目的在于提出一种定量化的网络安全保护强度评估方法和系统,以克服现有技术中存在的上述不足。为实现上述技术目的,本专利技术的技术方案是这样实现的:一种定量化的网络安全保护强度评估方法,所述方法包括以下步骤:采用网络节点中的软件行为监视代理程序持续监视并采集节点的软件行为特征,并将所述软件行为特征发送到软件行为数据库;从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型;网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估,计算出定量化的网络安全保护强度。进一步的,将软件行为监视代理程序通过钩子程序的方式置于网络节点的系统内核中,并采用内核保护机制进行保护。进一步的,所述机器学习算法采用隐马尔科夫模型算法,将网络安全保护强度作为隐马尔科夫模型的状态变量,将软件行为特征作为观测变量。进一步的,所述软件行为特征为可执行代码的调用和执行状态信息,所述调用和执行状态信息包括被调用代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户。进一步的,采用离散化的方式来表示所述调用和执行状态信息和网络安全保护强度。一种定量化的网络安全保护强度评估系统,所述系统包括:信息采集模块,采用网络节点中的软件行为监视代理程序持续监视并采集节点的软件行为特征,并将所述软件行为特征发送到软件行为数据库;模型训练模块,从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型;网络安全保护强度评估模块,网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估,计算出定量化的网络安全保护强度。进一步的,将软件行为监视代理程序通过钩子程序的方式置于网络节点的系统内核中,并采用内核保护机制进行保护。进一步的,所述机器学习算法采用隐马尔科夫模型算法,将网络安全保护强度作为隐马尔科夫模型的状态变量,将软件行为特征作为观测变量。进一步的,所述软件行为特征为可执行代码的调用和执行状态信息,所述调用和执行状态信息包括被调用代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户。进一步的,采用离散化的方式来表示所述调用和执行状态信息和网络安全保护强度。本专利技术的有益效果:第一,通过可以观测的网络软件行为特征,推算出不可以直接观测的网络安全保护强度;第二,通过定量化的评估方法克服了传统的定性评估方法的局限性,使评估结果更具确定性,更为可信;第三,基于网络安全保护强度的评估结果,进一步发现系统在网络安全结构、网络安全技术措施、网络安全管理制度及其落实方面存在的弱点,为网络安全建设和改进提供科学依据。附图说明图1是本专利技术所述方法的流程图;图2是本专利技术中网络节点软件行为特征采集流程示意图;图3是本专利技术所述系统的结构示意图。具体实施方式下面结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。一般来讲,真实系统中的网络安全保护强度不可能被直接度量,但是不同等级的网络安全保护强度是会通过其全局性的网络软件行为表现出来,比如网络安全保护强度弱的系统中,病毒等恶意软件的发作及其感染范围就会大,而网络安全保护强度较高的系统中,恶意软件发生的机率和范围就会小。基于以上认识,如图1所示,根据本专利技术的实施例所述的一种定量化的网络安全保护强度评估方法,所述方法包括以下步骤:步骤一、采用网络节点中的软件行为监视代理程序持续监视并采集节点的软件行为特征,并将所述软件行为特征发送到软件行为数据库。具体的,如图2所示,在本实施例中,所述软件行为特征为可执行代码的调用和执行状态信息可执行代码为系统可以调用并运行的文件,比如windows中的PE格式文件或者Java虚拟机中的“.class”文件。首先,在网络节点中运行软件行为监视代理程序,所述程序通过钩子方式插入到操作系统内核中的相关程序模块中(如Windows系统中的createprocess()和loadlibrary(),linux系统中的exec()函数),同时在操作系统内核对可执行代码进行保护。软件行为监视代理程序以内核模块方式运行,且采用内核安全保护机制,避免了所述代码被规避监视和被非法终止运行。软件行为监视代理程序对节点中的所有可执行代码调用过程进行监视,在所述代码实际被调用之前,提取代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户等信息,并通过网络发送到软件行为数据库中,作为一条网络节点软件行为记录保存。步骤二、从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型,并将所述网络安全分析模型发送到网络分析安全平台。具体的,节点的选取可通过人工进行标注选取或者设计预定义的规则进行自动标注选取。本专利技术所述方法动态且持续性地从软件行为数据库中获取新采集到的软件行为数据,重新统计和计算网络安全分析模型的参数,从而实现了对网络安全分析模型不断更新,保证了所述模型的泛化能力。步骤三、网络分析安全平台中的安全网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估,计算出定量化的网络安全保护强度。在本实施例中,采用了隐马尔科夫模型(HMM)来实现对网络安全保护强度定量化的计算。HMM是基于Markov链发展起来的,但是现实场景比Markov链模型复杂,网络系统的状态往往不可直接被观测和度量,而是通过可观测事件表现出来,但是这些观察事件与状态也不是一一对应,而是呈现概率分布关系。在HMM中,有两个随机过程:其中之一是Markov链,这是基本随机过程,它描述状态的转移,是隐含的。另一个随机过程描述状态和观察值之间的统计对应关系,是可被观测的。基于可观测的事件序列,使用Baum-Welch算法以及ReversedViterbi算法寻找最可能的状态转移以及输出概率,得出HMM模型,然后使用Viterbi算法,寻找最可能的能产生某一特定输出序列的隐含状态的序列。在本专利技术中将网络安全保护强度作为HMM的状态变量(不可直接度量的隐状态),将软件行为特征作为观测变量;基于训练样本学习HMM的初始状态概率、状态转移概率和输出观测概率,建立网络安全分析模型,然后通过可以观测(可以采集和度量)的网络软件行为特征,计算出与当前网络软件行为最匹配的网络安全保护强度。作为一种优选的实施方式,网络的软件行为特征可以采用多维度的向量标识。例如,将软件可信度分为高可信、中级可信和不可信三级,所述多维度的向量标识的坐标值包括被调用的中级可信软件数量,被调用的中级可信软件数量占比,被成功调用的中级可信软件数量占比,调用中级可信软件的网络节点数,调用中级可信软件的网络节点数占比,成功调用中级可信软本文档来自技高网...
【技术保护点】
1.一种定量化的网络安全保护强度评估方法,其特征在于,所述方法包括以下步骤:采用网络节点中的软件行为监视代理程序持续监视并采集节点的软件行为特征,并将所述软件行为特征发送到软件行为数据库;从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型;网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估,计算出定量化的网络安全保护强度。
【技术特征摘要】
1.一种定量化的网络安全保护强度评估方法,其特征在于,所述方法包括以下步骤:采用网络节点中的软件行为监视代理程序持续监视并采集节点的软件行为特征,并将所述软件行为特征发送到软件行为数据库;从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型;网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估,计算出定量化的网络安全保护强度。2.根据权利要求1所述的方法,其特征在于,将软件行为监视代理程序通过钩子程序的方式置于网络节点的系统内核中,并采用内核保护机制进行保护。3.根据权利要求1所述的方法,其特征在于,所述机器学习算法采用隐马尔科夫模型算法,将网络安全保护强度作为隐马尔科夫模型的状态变量,将软件行为特征作为观测变量。4.根据权利要求3所述的方法,其特征在于,所述软件行为特征为可执行代码的调用和执行状态信息,所述调用和执行状态信息包括被调用代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户。5.根据权利要求3所述的方法,其特征在于,采用离散化的方式来表示所述调用和执行状态信息和网络安全保护强度。6.一种定量化的网络安全...
【专利技术属性】
技术研发人员:李晓勇,郭煜,
申请(专利权)人:北京广成同泰科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。