一种参数自适应的网络安全态势量化评估方法技术

本发明专利技术提供一种参数自适应的网络安全态势量化评估方法，包括以下步骤：建立网络安全态势感知系统；获取态势要素；对态势要素进行标准化处理和加权处理；对态势要素的权重进行动态调整。本发明专利技术所获取的态势要素较为全面，从流量和主机两个角度考虑，包括异常流量、网络攻击、病毒木马、主机漏洞、资源消耗、网络运行等六个方面；相关参数是动态的，可随着网络环境、安全需求的变化而动态调整，能够较为准确的反应网络安全态势的变化情况，且动态调整算法具有较高的效率。

【技术实现步骤摘要】
一种参数自适应的网络安全态势量化评估方法
本专利技术属于计算机网络安全领域，具体涉及一种参数自适应的网络安全态势量化评估方法。
技术介绍
随着计算机、通信等信息技术的快速发展，Internet在全球日益普及，已应用到人们工作、学习和生活的方方面面。到2013年底，Internet已经覆盖全球近40％的人口，用户数达到了27亿，在中国，网民数量也快速发展到6.18亿。其应用也在快速增长，其中电子商务、社交网络的发展进一步促进了Internet的繁荣。然而，随着Internet的广泛应用，其安全问题也日益凸显。那些网络攻击者、黑客们在追逐利益、报复、破坏等心理的驱动下，针对计算机网络系统的漏洞和脆弱环节，采用各种各样的攻击手段，窃取、篡改和删除网络数据，破坏系统的可用性，造成系统瘫痪，等等。面对当前严重的网络安全威胁，传统的安全防护手段，如入侵检测、防火墙以及用户认证等，虽然从一定程度上提高了网络的安全性，但是这些技术相互孤立，彼此之间没有有效的统一管理调度机制，不能互相支撑、协同工作，使其安全防护没有针对性，其防护功能也未得到充分发挥。因此，需要网络安全管理员对整个网络的安全状况有一个全局的把握，实现对网络安全事件的预警，并以此来进行决策，实施具体的安全防护措施。而如何评估网络的总体安全状况，可采用网络安全态势感知(NetworkSecuritySituationAwareness，NSSA)技术。网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络安全态势感知就是实时地监测网络安全状态，快速准确地做出安全状态评判，并能利用网络安全属性的历史记录，以多角度、多尺度的可视化方式，为用户提供一个准确直观的网络安全态势走向图。它可分为网络态势要素获取、网络态势评估和网络态势预测3个阶段。现有关于网络安全态势感知的研究成果大多数采用层次化的指标体系和指标加权的评估模型，但模型参数是静态的，不能根据动态的网络环境、网管人员的安全需求进行自适应调整。
技术实现思路
为了克服上述现有技术的不足，本专利技术提供一种参数自适应的网络安全态势量化评估方法，其中参数可动态地进行在线更新，使得态势量化评估更加科学、合理；主要解决如何高效、准确地评估网络的总体安全状况，为网络安全事件预警提供依据和支撑。为了实现上述专利技术目的，本专利技术采取如下技术方案：本专利技术提供一种参数自适应的网络安全态势量化评估方法，所述方法包括以下步骤：步骤1：建立网络安全态势感知系统；步骤2：获取态势要素；步骤3：对态势要素进行标准化处理和加权处理；步骤4：对态势要素的权重进行动态调整。所述步骤1中，网络安全态势感知系统包括多个子网、第二级交换机、第一级交换机、防火墙、流量抓取软件系统、IDS和态势感知服务器；各个子网通过第二级交换机连接到第一级交换机，第一级交换机通过防火墙后连接至外网，所述第一级交换机通过镜像端口连接流量抓取软件系统，所述流量抓取软件系统进行协议分析处理，其抓取的流量作为IDS的输入；所述防火墙开启病毒木马扫描功能以及入侵防御系统，其上报Syslog格式日志到态势感知服务器；子网中主机上安装有安全防护软件，定期扫描漏洞并上报态势感知服务器。所述步骤2中，所述态势要素包括异常流量、网络攻击、病毒木马、主机漏洞、资源消耗和网络运行；各个态势要素获取途径如下：(1)异常流量：通过IDS报警信息和IPS报警信息获取异常流量信息；(2)网络攻击：通过IDS报警信息和IPS报警信息分析出现的网络攻击信息；(3)病毒木马：一方面通过在防火墙上配置病毒库和木马库进行实时检测，获取病毒木马信息，另一方面通过各主机上的安全防护软件实时上报检测结果获取病毒木马信息；(4)主机漏洞：通过在各主机上安装的安全防护软件进行漏洞扫描并上传至态势感知服务器，获取主机漏洞信息；(5)资源消耗：通过实时监控网络中各节点流量获取资源消耗信息；(6)网络运行：通过对网络基本运行情况以及各主机连通性情况获取网络运行信息。所述步骤3包括以下步骤：步骤3-1：对态势要素进行标准化处理；采用最小-最大规范化对态势要素进行线性变换，假定Max(Attri)与Min(Attri)分别表示属性Attri的最大值与最小值，计算将属性Attri的值映射到区间[0，1]上的Attri′，Attri′表示为：步骤3-2：在标准化处理的基础上，对态势要素指数进行加权处理；令：异常流量为C1，不同来源的异常流量指数为C1,1、C1,2、…；网络攻击为C2，不同来源的网络攻击指数为C2,1、C2,2、…；病毒木马为C3，不同来源的病毒木马指数为C3,1、C3,2、…；主机漏洞为C4，不同来源的主机漏洞指数为C4,1、C4,2、…；资源消耗为C5，不同来源的资源消耗指数为C5,1、C5,2、…；网络运行为C6，不同来源的网络运行指数为C6,1、C6,2、…；将态势要素指数放入一个向量[x1,x2,...,xn-1]中，有：[C1,1,C1,2,...,C2,1,C2,2,...,C3,1,C3,2,...,C4,1,C4,2,...,C5,1,C5,2,...,C6,1,C6,2,...]＝[x1,x2,...,xn-1]其中，n为态势要素指数总数；于是，t时刻态势值f(t)表示为：f(t)＝a1*x1+a2*x2+...+an-1*xn-1+C其中，C为常数因子，且C＝an，a1,a2,a3,…,an-1分别为态势要素指数的权重；各个态势要素的权重形成参数向量，令参数向量为A＝[a1,a2,...,an-1,an]，态势要素向量为X＝[x1,x2,...,xn-1,1]T，f(t)又可表示为f(t)＝A*X。所述步骤4包括以下步骤：步骤4-1：在离线阶段，确定参数向量A；步骤4-2：采用递推的最小二乘法对参数向量中参数进行动态调整。所述步骤4-1中，设f(ti)为ti时刻态势值，f′(ti)为f(ti)的目标值，f(ti)与f′(ti)之间的误差表示为|f(ti)-f′(ti)|，且有m个参数观测值，于是误差的平方和I表示为：按照使得I为最小的方式进行求解，分别对参数向量中各个参数求偏导数，并分别令其等于0，可得下列方程组：……设参数观测值与参数计算值之间的差值为e，于是m个参数观测值对应的态势目标值可表示为：f′(t1)＝a1x1(t1)+a2x2(t1)+...+anxn(t1)+et1f′(t2)＝a1x1(t2)+a2x2(t2)+...+anxn(t2)+et2……f′(tm)＝a1x1(tm)+a2x2(tm)+...+anxn(tm)+etm其中，et1、et2、…、etm分别表示t1、t2、…、tm时刻参数观测值与参数计算值之间的差值，令：于是有z＝HmA+e，推导可得参数向量A＝(HmTHm)-1HmTz，其中逆矩阵(HmTHm)-1存在。所述步骤4-2中，令中间向量Pm＝HmTHm，则参数在tm+1时刻的态势估值Am+1表示为：Am+1＝Am+Pmhm+1T[hm+1Pmhm+1T+1]-1[zm+1-hm+1Am]其中，Am为参数在tm时刻的估值，Pm通过下式得到：Pm+1＝Pm-Pmhm+1T[hm+1Pmhm+1T+1]-1hm+本文档来自技高网...

【技术保护点】
一种参数自适应的网络安全态势量化评估方法，其特征在于：所述方法包括以下步骤：步骤1：建立网络安全态势感知系统；步骤2：获取态势要素；步骤3：对态势要素进行标准化处理和加权处理；步骤4：对态势要素的权重进行动态调整。

【技术特征摘要】
1.一种参数自适应的网络安全态势量化评估方法，其特征在于：所述方法包括以下步骤：步骤1：建立网络安全态势感知系统；步骤2：获取态势要素；步骤3：对态势要素进行标准化处理和加权处理；步骤4：对态势要素的权重进行动态调整；所述步骤3包括以下步骤：步骤3-1：对态势要素进行标准化处理；采用最小-最大规范化对态势要素进行线性变换，假定Max(Attri)与Min(Attri)分别表示属性Attri的最大值与最小值，计算将属性Attri的值映射到区间[0，1]上的Attri′，Attri′表示为：步骤3-2：在标准化处理的基础上，对态势要素指数进行加权处理；令：异常流量为C1，不同来源的异常流量指数为C1,1、C1,2、…；网络攻击为C2，不同来源的网络攻击指数为C2,1、C2,2、…；病毒木马为C3，不同来源的病毒木马指数为C3,1、C3,2、…；主机漏洞为C4，不同来源的主机漏洞指数为C4,1、C4,2、…；资源消耗为C5，不同来源的资源消耗指数为C5,1、C5,2、…；网络运行为C6，不同来源的网络运行指数为C6,1、C6,2、…；将态势要素指数放入一个向量[x1,x2,...,xn-1]中，有：[C1,1,C1,2,...,C2,1,C2,2,...,C3,1,C3,2,...,C4,1,C4,2,...,C5,1,C5,2,...,C6,1,C6,2,...]＝[x1,x2,...,xn-1]其中，n为态势要素指数总数；于是，t时刻态势值f(t)表示为：f(t)＝a1*x1+a2*x2+...+an-1*xn-1+C其中，C为常数因子，且C＝an；a1,a2,a3,…,an-1分别为态势要素指数的权重；各个态势要素的权重形成参数向量，令参数向量为A＝[a1,a2,...,an-1,an]，态势要素向量为X＝[x1,x2,...,xn-1,1]T，f(t)又可表示为f(t)＝A*X；所述步骤4包括以下步骤：步骤4-1：在离线阶段，确定参数向量A；步骤4-2：采用递推的最小二乘法对参数向量中参数进行动态调整。2.根据权利要求1所述的参数自适应的网络安全态势量化评估方法，其特征在于：所述步骤1中，网络安全态势感知系统包括多个子网、第二级交换机、第一级交换机、防火墙、流量抓取软件系统、IDS和态势感知服务器；各个子网通过第二级交换机连接到第一级交换机，第一级交换机通过防火墙后连接至外网，所述第一级交换机通过镜像端口连接流量抓取软件系统，所述流量抓取软件系统进行协议分析处理，其抓取的流量作为IDS的输入；所述防火墙开启病毒木马扫描功能以及入侵防御系统，其上报Syslog格式日志到态势感知服务器；子网中主机上安装有安全防护软件，定期扫描漏洞并上报态势感知服务器。3.根据权利要求1所述的参数自适应的网络安全态势量化评估方法，其特征在于：所述步骤...

【专利技术属性】
技术研发人员：王玉斐，马媛媛，何高峰，陈璐，管小娟，华晔，汪晨，楚杰，
申请(专利权)人：国家电网公司，中国电力科学研究院，
类型：发明
国别省市：北京;11