The invention provides a distributed situation awareness calling method and device, which encapsulates the interface of collecting different information sources to facilitate customer calling, obtains a unified format data flow through preprocessing, extracts high-frequency project group elements from the data flow, generates high-frequency association rules, sends them to situation assessment for evaluation quantification, integrates with different assessment systems, and models Paste the data elements, get the situation values of single equipment and local network, combine the structure of the whole network, get the situation values of the whole device, import the situation values of different levels into the neural network model for prediction, and finally visualize the prediction results, fully evaluate the whole distributed system and each single equipment, and establish each equipment and each layer Association is used to detect rules for different rules and calculate risk value, so as to scientifically predict future devices and provide valuable reference suggestions for users.
【技术实现步骤摘要】
一种分布式态势感知调用方法和装置
本申请涉及网络安全
,尤其涉及一种分布式态势感知调用方法和装置。
技术介绍
下一代网络包括车联网、物联网、云网络、工业互联网、视频监控网都需要调用态势感知功能,而搭建态势感知平台却是一项复杂、昂贵的工作,由此需要能够提供态势感知服务的业务提供商,将态势感知虚拟为插件或组件方便客户调用。同时,现有的态势感知技术采用简单的态势理解,就可以得出关于整个装置的安全态势评估结果,无法定量地给出态势评估的报告,更无法基于态势评估的结果进行安全态势的预测,其利用价值非常有限。本专利技术意图不仅在算法上充分评估整个网络以及每一个单个设备,而且可以基于给出的态势值,将其与每一个设备、每一个分层建立关联,对于不同的规则进行规则检测,计算风险值,从而可以对未来的装置进行科学地预测,为用户提供有价值的参考建议。
技术实现思路
本专利技术的目的在于提供一种分布式态势感知调用方法和装置,将采集不同信息来源的接口封装起来,方便客户调用,通过预处理得到统一格式的数据流,从该数据流中提取高频项目组要素,生成高频关联规则,送入态势评估进行评估量化,通过与不同评估体系的融合,以及模糊处理数据要素,得到单个设备、局部网络的态势值,结合整个网络的架构组成,得到整个装置的态势值,将不同层次的态势值导入神经网络模型进行预测,最后可视化展示预测结果。第一方面,本申请提供一种分布式态势感知调用方法,所述方法包括:将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调...
【技术保护点】
1.一种分布式态势感知调用方法,其特征在于,所述方法包括:/n将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;/n接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;/n从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;/n判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;/n根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;/n判断单个关键设备是否存在与地址相邻相近资产相同的安全...
【技术特征摘要】
1.一种分布式态势感知调用方法,其特征在于,所述方法包括:
将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;
接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;
根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;
判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t,得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)=N(t)·10d(t),N(t)表示t时刻攻击所发生的次数,用10d(t)计算攻击的威胁程度,反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,再次调用分布式数据库,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
向分布式均衡服务器请求网络拓扑关系,根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,由分布式均衡服务器返回预测结果;
将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果送出进行可视化展示。
2.根据权利要求1所述的方法,其特征在于,所述从合并后的数据流提取要素,包括:调用以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于MapReduce分布式并行计算处理的。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
5.一种分布式态势感知调用装置,其特征在于,所述装置包...
【专利技术属性】
技术研发人员:段彬,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。