一种基于融合决策的网络安全态势感知方法和系统技术方案

本申请供一种基于融合决策的网络安全态势感知方法，所述方法包括：从受监控的网络采集sFlow数据、NetFlow数据、SNMP数据和日志数据；对采集的sFlow数据、NetFlow数据、SNMP数据和日志数据进行预处理；对经过预处理的数据进行流量分析、设备性能分析、通过融合算法进行融合，获取受监控的网络的安全态势。能够获取多源异构的数据信息进行数据融合，获取整个网络的安全运行状况以及是否网内主机被攻击甚至是何种攻击类别等信息，从而对网络安全态势感知做出更加准确的评估。

A Method and System of Network Security Situation Awareness Based on Fusion Decision

【技术实现步骤摘要】
一种基于融合决策的网络安全态势感知方法和系统
本申请涉及网络通信
，特别设计一种基于融合决策的网络安全态势感知方法和系统。
技术介绍
随着互联网逐渐普及，物联网、大数据、云计算等新技术日新月异发展，网络安全时刻面临着严峻的入侵威胁。现有安全设备大多处于独立工作状态，只能对网络系统某一方面进行检测及防御，其缺陷及局限性逐渐显现。NSSA(NetworkSecuritySituationAwareness,网络安全态势感知)应运而生，逐渐成为网络安全领域新兴的研究焦点之一。NSSA通过全面融合网络安全要素，综合利用传统检测工具的特点，从整体宏观角度对网络安全态势进行准确把握，并对安全状态的发展趋势进行分析和预测，协助管理员及时有效地对网络系统进行加固防护，确保网络系统在安全环境下运行。在现有的NSSA中主要是采集网络交换机设备或网络安全产品，例如防火墙中的日志，主要包括：设备运行日志，攻击端口日志等，但这些数据经常存在漏报和虚报。特别是面临大规模数据时，将会出现大量数据丢失和错误，难以保证数据的准确性。
技术实现思路
有鉴于此，本申请提供一种基于融合决策的网络安全态势感知方法和系统，能够获取多源异构的数据信息进行数据融合，获取整个网络的安全运行状况以及是否网内主机被攻击甚至是何种攻击类别等信息，从而对网络安全态势感知做出更加准确的评估。具体地，本申请是通过如下技术方案实现的：一种基于融合决策的网络安全态势感知方法，所述方法包括：从受监控的网络采集sFlow数据、NetFlow数据、SNMP数据和日志数据；对采集的sFlow数据、NetFlow数据、SNMP数据和日志数据进行预处理；对经过预处理的数据进行流量分析、设备性能分析、通过融合算法进行融合，获取受监控的网络的安全态势。其中，所述采集sFlow数据、NetFlow数据、SNMP数据和日志数据，具体为：通过部署在网络设备上的sFlow采集器、NetFlow采集器、SNMP的采集器和日志采集器，获取流经所述网络设备的sFlow数据、NetFlow数据、SNMP数据和日志数据。其中，所述预处理，具体为：根据sFlow采集、NetFlow采集、SNMP采集和日志采集的数据格式的特点解析数据包获取数据，对解析后的数据进行格式化存储，并抽取数据信息进行上传。其中，所述通过融合算法进行融合，具体为：结合聚类融合算法对经过预处理的数据进行信息融合，根据融合粒度参数，对数据进行聚类融合。其中，所述聚类融合算法具体为：贝叶斯-模糊聚类融合算法。本申请还提供了一种基于融合决策的网络安全态势感知系统，所述系统包括：数据采集模块、数据预处理模块、数据融合模块，其中，所述数据采集模块，用于从受监控的网络采集sFlow数据、NetFlow数据、SNMP数据和日志数据；所述数据预处理模块，用于对采集的sFlow数据、NetFlow数据、SNMP数据和日志数据进行预处理；所述数据融合模块，用于对经过预处理的数据进行流量分析、设备性能分析、通过融合算法进行融合，获取受监控的网络的安全态势。其中，所述采集sFlow数据、NetFlow数据、SNMP数据和日志数据，具体为：通过部署在网络设备上的数据采集模块中的sFlow采集器、NetFlow采集器、SNMP的采集器和日志采集器，获取流经所述网络设备的sFlow数据、NetFlow数据、SNMP数据和日志数据。其中，所述数据预处理模块进行预处理，具体为：根据sFlow采集、NetFlow采集、SNMP采集和日志采集的数据格式的特点解析数据包获取数据，对解析后的数据进行格式化存储，并抽取数据信息进行上传。其中，所述数据融合模块通过融合算法进行融合，具体为：结合聚类融合算法对经过预处理的数据进行信息融合，根据融合粒度参数，对数据进行聚类融合。其中，所述聚类融合算法具体为：贝叶斯-模糊聚类融合算法。由以上本申请提供的技术方案可见，一种基于融合决策的网络安全态势感知方法，所述方法包括：从受监控的网络采集sFlow数据、NetFlow数据、SNMP数据和日志数据；对采集的sFlow数据、NetFlow数据、SNMP数据和日志数据进行预处理；对经过预处理的数据进行流量分析、设备性能分析、通过融合算法进行融合，获取受监控的网络的安全态势。能够获取多源异构的数据信息进行数据融合，获取整个网络的安全运行状况以及是否网内主机被攻击甚至是何种攻击类别等信息，从而对网络安全态势感知做出更加准确的评估。附图说明图1为本申请示出的相关技术中NSSA的系统架构示意图；图2为本申请示出的一种基于融合决策的网络安全态势感知方法流程图；图3为本申请示出的一种基于融合决策的网络安全态势感知系统结构图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。请参见图1，图1为本申请示出的相关技术中NSSA的系统架构示意图。在图1示出的架构示意图中，主要包括：态势信息采集和预处理110、网络数据聚合和网络态势评估和预测120、网络态势防御130。图1中态势信息采集和预处理110具体为：态势信息采集中的资产信息包括：可见资产和软件资产，可见资产例如：网络设备、服务器以及存储设备等。软件资产主要是指运行在服务器和客户端的系统软件和应用软件以及业务数据等。在态势信息采集中，系统层脆弱性的安全漏洞频繁被挖掘，且针对这些漏洞的黑客工具和病毒也源源不断的在互联网上发布使用，给网络安全系统带来很大的风险。此外，威胁信息指对网络中的资产对象造成破坏的安全事件。威胁信息的采集主要通过IDS等检测设备以及人工分析等手段进行感知。性能信息是指系统设备的各种性能信息，包括有CPU、内存使用率，带宽利用率以及负载情况以及数据包丢包率等。态势信息采集后还需要进行态势预处理，主要由于信息存在异构性，如果直接向上层提交，将对上层服务模块的信息统一存储及融合分析造成困难。因此有必要构建规范化一致的态势信息预处理模型，实现统一的数据结构，简化系统处理态势信息复杂度。图1中网络数据聚合和网络态势评估和预测120具体为：采用态势评估算法，分析态势理解模块的数据，定量描述系统的安全态势，评估当前的安全状况。态势评估的融合算法可以分为：基于数学模型的融合算本文档来自技高网...

【技术保护点】
1.一种基于融合决策的网络安全态势感知方法，其特征在于，所述方法包括：从受监控的网络采集sFlow数据、NetFlow数据、SNMP数据和日志数据；对采集的sFlow数据、NetFlow数据、SNMP数据和日志数据进行预处理；对经过预处理的数据进行流量分析、设备性能分析、通过融合算法进行融合，获取受监控的网络的安全态势。

【技术特征摘要】
1.一种基于融合决策的网络安全态势感知方法，其特征在于，所述方法包括：从受监控的网络采集sFlow数据、NetFlow数据、SNMP数据和日志数据；对采集的sFlow数据、NetFlow数据、SNMP数据和日志数据进行预处理；对经过预处理的数据进行流量分析、设备性能分析、通过融合算法进行融合，获取受监控的网络的安全态势。2.根据权利要求1所述的方法，其特征在于，所述采集sFlow数据、NetFlow数据、SNMP数据和日志数据，具体为：通过部署在网络设备上的sFlow采集器、NetFlow采集器、SNMP的采集器和日志采集器，获取流经所述网络设备的sFlow数据、NetFlow数据、SNMP数据和日志数据。3.根据权利要求1所述的方法，其特征在于，所述预处理，具体为：根据sFlow采集、NetFlow采集、SNMP采集和日志采集的数据格式的特点解析数据包获取数据，对解析后的数据进行格式化存储，并抽取数据信息进行上传。4.根据权利要求1所述的方法，其特征在于，所述通过融合算法进行融合，具体为：结合聚类融合算法对经过预处理的数据进行信息融合，根据融合粒度参数，对数据进行聚类融合。5.根据权利要求4所述的方法，其特征在于，所述聚类融合算法具体为：贝叶斯-模糊聚类融合算法。6.一种基于融合决策的网络安全态势感知系统，其特征在于，所述系统包括：数据采集模块...

【专利技术属性】
技术研发人员：杨印州，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33