采集代理部署方法及装置制造方法及图纸

本发明专利技术提供一种采集代理部署方法及装置，方法包括：根据目标网络‑数据服务库、数据服务‑潜在威胁事件属性库、威胁事件‑特征信标库和采集代理‑威胁检测原子数据项库构建所述网络的威胁‑采集树；对于任一所述潜在威胁事件，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取潜在该潜在威胁事件的风险值；根据各所述潜在威胁事件的风险值和所述威胁‑采集树，确定各所述设备节点是否为风险点；根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，将所述采集代理部署在所述风险点上。本发明专利技术提升数据采集能力，降低数据采集和分析所消耗的资源。

Collection agent deployment method and device

The invention provides a collection agent deployment method and a device, the method includes: constructing a threat collection tree of the network according to the target network \u2011 data service library, data service \u2011 potential threat event attribute library, threat event \u2011 special credit reference database and collection agent \u2011 threat detection atom data item library; for any potential threat event, according to the potential threat event, the network is provided with a threat collection tree The confidence degree monitored by the collection agent and the impact of the potential threat event are used to obtain the risk value of the potential threat event; according to the risk value of each potential threat event and the threat \u2011 collection tree, whether each device node is a risk point is determined; according to the risk point in the network, the collection ability of the collection agent and preset constraints, the collection agent The set agent is deployed at the risk point. The invention improves the data collection ability and reduces the resources consumed in data collection and analysis.

【技术实现步骤摘要】
采集代理部署方法及装置
本专利技术属于网络安全
，尤其涉及一种采集代理部署方法及装置。
技术介绍
大规模复杂信息网络中存在大量重要设备和系统，为了监测这些设备和系统的运行状态，及时发现潜在威胁，需要部署采集代理来采集设备和系统的运行状态及其产生的海量数据和日志。现有的采集代理部署方案主要在数据产生与汇聚等节点上部署采集代理。现有部署方式主要考虑网络拓扑或部署成本等因素，一般利用镜像等方式实现数据采集。但这种采集代理部署方式不适用于大规模复杂信息网络，这是因为不同的采集代理的采集能力，以及攻击者的能力是不同的。对于不同采集能力的采集代理和不同攻击能力的攻击者，若在部署时仅考虑考虑网络拓扑或部署成本等因素，容易导致数据的过度采集或欠采集。其中，过度采集指的是在网络中部署大量的采集代理，造成采集数量过多，采集内容冗余，这将消耗大量的部署、采集和维护成本；欠采集指的是采集成本约束下，在重要风险点未部署采集代理或未部署具有相应采集能力的采集代理，而不能获取与威胁密切相关的数据，无法为后续分析潜在威胁事件提供支持。综上所述，现有的采集代理部署方法仅考虑网络拓扑或部署成本等因素，对于不同采集能力的采集代理和不同攻击能力的攻击者，采用这种方法进行采集代理部署容易造成过度采集或欠采集。
技术实现思路
为克服上述现有的采集代理部署方法易造成过度采集或欠采集的问题或者至少部分地解决上述问题，本专利技术实施例提供一种采集代理部署方法及装置。根据本专利技术实施例的第一方面，提供一种采集代理部署方法，包括：根据目标网络-数据服务库、数据服务-威胁事件库、威胁事件-特征信标库和采集代理-威胁检测原子数据项库构建网络的威胁-采集树；其中，目标网络-数据服务库存储目标网络拓扑与目标网络所提供的数据服务之间的对应关系，数据服务-威胁事件库存储数据服务与数据服务面临的潜在威胁事件之间的对应关系，威胁事件-特征信标库存储潜在威胁事件与能发现所述潜在威胁事件的威胁事件特征信标间的对应关系，采集代理-威胁检测原子数据项库存储采集代理与采集代理所能采集的用于检测潜在威胁事件的威胁检测原子数据项的对应关系；对于任一所述潜在威胁事件，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值；根据所述潜在威胁事件的风险值和所述威胁-采集树，确定设备节点是否为风险点；根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，选择部署点并部署采集代理。根据本专利技术实施例第二方面提供一种采集代理部署装置，包括：构建模块，根据目标网络-数据服务库、数据服务-威胁事件库、威胁事件-特征信标库和采集代理-威胁检测原子数据项库构建网络的威胁-采集树；其中，目标网络-数据服务库存储目标网络拓扑与目标网络所提供的数据服务之间的对应关系，数据服务-威胁事件库存储数据服务与数据服务面临的潜在威胁事件之间的对应关系，威胁事件-特征信标库存储潜在威胁事件与能发现所述潜在威胁事件的威胁事件特征信标间的对应关系，采集代理-威胁检测原子数据项库存储采集代理与采集代理所能采集的用于检测潜在威胁事件的威胁检测原子数据项的对应关系；获取模块，用于对于任一所述潜在威胁事件，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值；确定模块，用于根据各所述潜在威胁事件的风险值和所述威胁-采集树，确定各所述设备节点是否为风险点；部署模块，用于根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，选择部署点并部署采集代理。根据本专利技术实施例的第三个方面，还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器调用所述程序指令能够执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的采集代理部署方法。根据本专利技术实施例的第四个方面，还提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的采集代理部署方法。本专利技术实施例提供一种采集代理部署方法及装置，该方法通过依据网络拓扑图、数据服务、潜在威胁事件，计算威胁事件风险值，构建威胁-采集树，确定风险点，并依据风险点、威胁-采集树、采集代理能力、采集约束确定采集代理部署位置，从而提升数据采集能力，降低数据采集和分析所消耗的资源。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的采集代理部署方法整体流程示意图；图2为本专利技术实施例提供的采集代理部署方法中威胁-采集树结构示意图；图3为本专利技术又一实施例提供的采集代理部署方法中威胁-采集树结构示意图；图4为本专利技术实施例提供的采集代理部署方法中贪心算法流程示意图；图5为本专利技术实施例提供的采集代理部署方法中部署算法流程示意图；图6为本专利技术实施例提供的采集代理部署方法中采集代理调度策略流程示意图；图7为本专利技术实施例提供的采集代理部署装置整体结构示意图。具体实施方式为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在本专利技术的一个实施例中提供一种采集代理部署方法，图1为本专利技术实施例提供的采集代理部署方法整体流程示意图，该方法包括：S101，根据目标网络-数据服务库、数据服务-威胁事件库、威胁事件-特征信标库和采集代理-威胁检测原子数据项库构建网络的威胁-采集树；其中，目标网络-数据服务库存储目标网络拓扑与目标网络所提供的数据服务之间的对应关系，数据服务-威胁事件库存储数据服务与数据服务面临的潜在威胁事件之间的对应关系，威胁事件-特征信标库存储潜在威胁事件与能发现所述潜在威胁事件的威胁事件特征信标间的对应关系，采集代理-威胁检测原子数据项库存储采集代理与采集代理所能采集的用于检测潜在威胁事件的威胁检测原子数据项的对应关系；其中，数据服务是指目标网络的设备节点上运行的业务服务，数据服务类型包括但不限于Web服务、FTP服务和数据库服务等。威胁事件是可能会对目标网络造成影响的攻击事件和/或对目标网络已经造成影响的攻击事件，可用一个或多个威胁事件特征属性的任意组合进行描述。其中，潜在威胁事件属性包括但不限于威胁事件类型、威胁事件等级、威胁事件影响和潜在威胁事件被监测到的置信度。威胁事件类型包括但不限于DDOS(DistributedDenialofService，分布式拒绝服务)攻击、暴力破解、XSS(Cross-SiteScripting，跨站脚本)攻击、SQL(StructuredQueryLanguage，结构化查询语言)注入、蠕虫攻击、木马攻击和流量劫持和欺骗攻击等。威胁事件等级用于表示威胁的严重程度，确定威胁事件等级的方法包括但不限于经验知识和模糊本文档来自技高网...

【技术保护点】
1.一种采集代理部署方法，其特征在于，包括：根据目标网络‑数据服务库、数据服务‑威胁事件库、威胁事件‑特征信标库和采集代理‑威胁检测原子数据项库构建网络的威胁‑采集树；其中，目标网络‑数据服务库存储目标网络拓扑与目标网络所提供的数据服务之间的对应关系，数据服务‑威胁事件库存储数据服务与数据服务面临的潜在威胁事件之间的对应关系，威胁事件‑特征信标库存储潜在威胁事件与能发现所述潜在威胁事件的威胁事件特征信标间的对应关系，采集代理‑威胁检测原子数据项库存储采集代理与采集代理所能采集的用于检测潜在威胁事件的威胁检测原子数据项的对应关系；对于任一所述潜在威胁事件，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值；根据所述潜在威胁事件的风险值和所述威胁‑采集树，确定设备节点是否为风险点；根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，选择部署点并部署采集代理。

【技术特征摘要】
1.一种采集代理部署方法，其特征在于，包括：根据目标网络-数据服务库、数据服务-威胁事件库、威胁事件-特征信标库和采集代理-威胁检测原子数据项库构建网络的威胁-采集树；其中，目标网络-数据服务库存储目标网络拓扑与目标网络所提供的数据服务之间的对应关系，数据服务-威胁事件库存储数据服务与数据服务面临的潜在威胁事件之间的对应关系，威胁事件-特征信标库存储潜在威胁事件与能发现所述潜在威胁事件的威胁事件特征信标间的对应关系，采集代理-威胁检测原子数据项库存储采集代理与采集代理所能采集的用于检测潜在威胁事件的威胁检测原子数据项的对应关系；对于任一所述潜在威胁事件，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值；根据所述潜在威胁事件的风险值和所述威胁-采集树，确定设备节点是否为风险点；根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，选择部署点并部署采集代理。2.根据权利要求1所述的采集代理部署方法，其特征在于，在构建所述目标网络的威胁-采集树的步骤之前还包括：获取所述网络的采集项数据；所述采集项数据包括网络流量信息、设备状态信息和日志信息；对所述采集项数据进行分析，从所述采集项数据中提取出关键字段，从所述关键字段中提取出用于检测所述潜在威胁事件的威胁检测原子数据项；其中，所述采集项数据为历史所采集的数据和/或当前采集的数据；对所述威胁检测原子数据项进行分析，生成判断所述潜在威胁事件的原子谓词；使用逻辑连接词将所述原子谓词进行连接，生成能检测所述潜在威胁事件的威胁事件特征信标。3.根据权利要求2所述的采集代理部署方法，其特征在于，根据该潜在威胁事件被所述采集代理所监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值的步骤之前还包括：根据采集代理与采集代理所能采集的用于检测威胁的威胁检测原子数据项的对应关系，确定所述潜在威胁事件特征信标中的威胁检测原子数据项被所述采集代理监测到的概率；根据所述威胁检测原子数据项被所述采集代理监测到的概率，基于概率传递方法，计算该潜在威胁事件的最小特征信标集合所对应的威胁检测原子数据项集合被所述采集代理监测到的概率；其中，该潜在威胁事件对应的最小特征信标集合是由满足如下条件且能检测该潜在威胁事件的威胁事件特征信标所组成的集合：该集合的任意真子集均不能检测所述潜在威胁事件；根据各所述设备节点在网络系统中的位置信息和/或设备防御度信息，确定各所述设备节点被攻击的可能性；根据所述设备节点被攻击的可能性，计算所述设备节点上的采集代理获取的威胁检测原子数据项的真实性；根据所述威胁检测原子数据项的真实性，计算所述威胁检测原子数据项对应的最小特征信标集合的真实性；根据所述最小特征信标集合被监测到的概率和所述最小特征信标集合的真实性，确定被所述采集代理监测到的最小威胁特征信标集合对应的潜在威胁事件的置信度。4.根据权利要求3所述的采集代理部署方法，其特征在于，通过以下公式根据该潜在威胁事件对应的最小特征信标集合被所述采集代理监测到的概率和该潜在威胁事件对应的最小特征信标集合的真实性，确定该潜在威胁事件被所述采集代理监测到的置信度：其中，pψ表示任一所述潜在威胁事件ψ被所述采集代理监测到的置信度，τi表示ψ对应的第i个最小特征信标集合，γ(ψ)表示ψ对应的所有最小特征信标集合的集合，表示τi被所述采集代理监测到的概率，表示τi的真实性。5.根据权利要求1所述的采集代理部署方法，其特征在于，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值的步骤之前还包括：对该潜在威胁事件所涉及的所述网络的安全属性进行评估；所述安全属性包括完整性、可用性和保密性；根据评估结果确定该潜在威胁事件的影响。6.根据权利要求1所述的采集代理部署方法，其特征在于，根据各所述潜在威胁事件的风险值和所述威胁-采集树，确定各所述设备节点是否为风险点的步骤具体包括：从所有所述潜在威胁事件中选择出所述风险值大于第一预设阈值的潜在威胁事件；根据所述威胁-采集树，确定所述潜在威胁事件对应的威胁事件特征信标和能采集所述威胁事件特征信标所对应的威胁检测原子数据项的采集代理，将所述采集代理所在的设备节点作为所述风险点。7.根据权利要求1所述的采集代理部署方法，其特征在于，根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，选择部署点并部署采集代理的步骤具体包括：1)构建第一目标函数，并确定所述第一目标函数的约束条件，对所第一目标函数进行求解，获得需要部署的采集代理个数；所述第一目标函数包括：最大化采集效用、最小化采集代理部署成本、最小化采集代理的资源消耗中的任意一个或多个；第一目标函数...

【专利技术属性】
技术研发人员：李凤华，陈黎丽，郭云川，王震，张玲翠，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11