本发明专利技术公开了一种基于白名单的网络安全防护方法,涉及网络安全技术领域,包括以下步骤:获取多维度数据,对获取的所述多维度数据进行预处理,并生成待分析数据,对所述待分析数据进行分析并生成用于预告威胁预警报告,并进行任意时刻网络总风险异常数据预警。本发明专利技术采样周期各安全状态信息,实现对网络安全状态的预测,为网络管理员提供决策依据,提高网络安全防护的准确性,生成的风险值对网络安全态势的量化更加精确。势的量化更加精确。势的量化更加精确。
【技术实现步骤摘要】
一种基于白名单的网络安全防护方法
[0001]本专利技术涉及网络安全
,具体来说,涉及一种基于白名单的网络安全防护方法。
技术介绍
[0002]随着安全防护需求不断变化和网络攻击技术不断演进,安全防护技术也必须不断迭代。为了有效地应对安全威胁,必须从宏观全局上洞悉网络的整体安全风险,并针对全局安全威胁和局部安全威胁,动态调配差异化的安全防护资源对威胁进行处置,避免威胁“跃出局部,延至全网”甚至导致网络瘫痪的后果。
[0003]现有的网络安全防护系统根据功能定位不同,可能包括软件定义安全单元、安全态势分析单元、威胁处置指挥单元等部分。其中,安全态势分析单元从宏观上评估并预测网络安全风险;软件定义安全单元通过软件编程方式实现安全业务编排和管理;威胁处置指挥单元对威胁进行响应。但是,现有网络安全防护威胁处置效果验证方式单一:由威胁处置指挥单元对威胁处置效果进行验证,其验证主体和验证方式单一,不能保障效果验证的准确性和客观性,从而不能从根源上确保威胁处置措施的准确性。
[0004]检索中国专利CN 109698819 A存在以下三方面问题:1、威胁处置管理系统只能接收来自威胁检测系统的具体威胁报警后才能进行威胁处置,无法根据安全态势信息对设备进行调度;2、威胁处置管理系统不能接受安全编排结果,只能实现与其所管辖设备的联动;3、仅由威胁处置管理系统对威胁处置效果进行单源验证,其验证主体单一,缺乏双系统双重验证机制。
[0005]针对相关技术中的问题,目前尚未提出有效的解决方案。
专利技术内容
[0006]针对相关技术中的问题,本专利技术提出一种基于白名单的网络安全防护方法,以克服现有相关技术所存在的上述技术问题。
[0007]本专利技术的技术方案是这样实现的:
[0008]一种基于白名单的网络安全防护方法,包括以下步骤:
[0009]获取多维度数据,其中至少包括向云服务器获取白名单,所述白名单用于记录发起正常访问请求的网间协议IP地址;
[0010]对获取的所述多维度数据进行预处理,并生成待分析数据;
[0011]对所述待分析数据进行分析并生成用于预告威胁预警报告,至少包括态势感知,包括以下步骤:
[0012]标定态势感知参数信息,包括状态集合空间S、观测向量集合空间V、状态转移矩阵P、观测向量概率分布矩阵Q和初始状态概率分布矩阵π;
[0013]基于态势感知参数信息,获取每个采样周期的观测向量,并进行实时更新网络T时刻处于状态S
i
的概率λ
t
(i),获取任意T时刻网络总风险R
T
,表示为:
[0014][0015]其中,λ
t
(i)表示T时刻网络处于状态S
i
的概率,C(i)为风险损失向量表示状态S
i
相应的风险损失,N表示状态数目。
[0016]对所述任意T时刻网络总风险R
T
进行的异常数据预警。
[0017]进一步的,所述获取多维度数据,还包括以下步骤:
[0018]进行解析通信数据包的数据链路层部分,并提取通信数据包的数据链路层信息;
[0019]进行解析通信数据包的网络层部分,并提取通信数据包的网络层信息;
[0020]进行解析通信数据包的传输层部分,并提取通信数据包的传输层信息;
[0021]并解析通信数据包的应用层部分,并提取通信数据包的应用层信息。
[0022]进一步的,所述白名单用于记录发起正常访问请求的网间协议IP地址,还包括进行白名单添加,包括以下步骤:
[0023]接收用户提交的请求信息,所述请求信息特征信息与白名单库特征信息匹配,其中,所述特征信息至少包括源MAC地址、源IP地址、端口号、标识符、协议ID和地址码;
[0024]确定当前提交的请求信息是否已入库所述白名单库;
[0025]若当前提交的请求信息为新用户提交,则进行建立新白名单并进行入库所述白名单库。
[0026]进一步的,还包括进行用户标记,包括以下步骤:
[0027]将当前异常访问用户进行标记,并提取当前访问用户特征信息入库黑名单;
[0028]禁止记录在所述黑名单中的IP地址的通信数据请求。
[0029]进一步的,所述获取任意T时刻网络总风险R
T
,包括以下步骤:
[0030]预先进行获取观测序列,将警报模型化为笛卡尔积的形式,表示为:
[0031][0032]其中,(A1,A2,
…
,A
n
)表示警报的属性,表示属性A
i
的取值范围,警报的属性A
i
包括警报的统计特性:警报出现频次AlF、警报关键程度AlC和警报严重程度AlS;
[0033]将各属性值作为警报质量的量化因子,将警报质量定义为各属性值连线所包围的面积之和,表示为:
[0034][0035][0036][0037][0038]其中,AlC和AlS分别表示警报关键程度和严重程度的属性值,AlF
*
表示警报出现频次AlF的标准化值;
[0039]进行确定状态转移矩阵,包括:
[0040]定义状态转移矩阵的修正函数,表示为:
[0041][0042]其中,AM为攻击者的类型,AC为攻击者的能力,AR为完成攻击所需要的资源,D为网络中的防护措施,i,j,k的取值由划分面决定,划分面为进入某种网络安全状态所必须的条件组合;
[0043]获取修正函数p更新状态G转移到状态R的概率P
′
GR
,表示为:
[0044]P
′
GR
=P
GR
×
p
[0045]同理可分别求得状态B,C的修正函数,利用修正函数更新状态转移矩阵,表示为:
[0046][0047]进一步的,所述警报出现频次AlF,表示单位时间内警报出现的相对次数,表示为:
[0048][0049]进一步的,所述AlF
*
表示警报出现频次AlF的标准化值,还包括以下步骤:
[0050]进行采用离差标准化的反函数将警报出现频次AlF标准化为AlF
*
,表示为:
[0051]AlF
*
=AlF(Max
‑
Min)+Min=2AlF+1。
[0052]进一步的,所述获取任意T时刻网络总风险R
T
,还包括以下步骤:
[0053]确定观测序列Ot和模型参数λ={S,V,P,Q,π},更新T时刻网络处于状态S
i
的概率λ
t
={λ
t
(i)},表示为:
[0054]输入T时刻的观测向量Ot和模型参数λ,获取T时刻网络处于状态S
i
的概率λ
t
(i本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于白名单的网络安全防护方法,其特征在于,包括以下步骤:获取多维度数据,其中至少包括向云服务器获取白名单,所述白名单用于记录发起正常访问请求的网间协议IP地址;对获取的所述多维度数据进行预处理,并生成待分析数据;对所述待分析数据进行分析并生成用于预告威胁预警报告,至少包括态势感知,包括以下步骤:标定态势感知参数信息,包括状态集合空间S、观测向量集合空间V、状态转移矩阵P、观测向量概率分布矩阵Q和初始状态概率分布矩阵π;基于态势感知参数信息,获取每个采样周期的观测向量,并进行实时更新网络T时刻处于状态S
i
的概率λ
t
(i),获取任意T时刻网络总风险R
T
,表示为:其中,λ
t
(i)表示T时刻网络处于状态S
i
的概率,C(i)为风险损失向量表示状态S
i
相应的风险损失,N表示状态数目。对所述任意T时刻网络总风险R
T
进行的异常数据预警。2.根据权利要求1所述的基于白名单的网络安全防护方法,其特征在于,所述获取多维度数据,还包括以下步骤:进行解析通信数据包的数据链路层部分,并提取通信数据包的数据链路层信息;进行解析通信数据包的网络层部分,并提取通信数据包的网络层信息;进行解析通信数据包的传输层部分,并提取通信数据包的传输层信息;并解析通信数据包的应用层部分,并提取通信数据包的应用层信息。3.根据权利要求2所述的基于白名单的网络安全防护方法,其特征在于,所述白名单用于记录发起正常访问请求的网间协议IP地址,还包括进行白名单添加,包括以下步骤:接收用户提交的请求信息,所述请求信息特征信息与白名单库特征信息匹配,其中,所述特征信息至少包括源MAC地址、源IP地址、端口号、标识符、协议ID和地址码;确定当前提交的请求信息是否已入库所述白名单库;若当前提交的请求信息为新用户提交,则进行建立新白名单并进行入库所述白名单库。4.根据权利要求1所述的基于白名单的网络安全防护方法,其特征在于,还包括进行用户标记,包括以下步骤:将当前异常访问用户进行标记,并提取当前访问用户特征信息入库黑名单;禁止记录在所述黑名单中的IP地址的通信数据请求。5.根据权利要求4所述的基于白名单的网络安全防护方法,其特征在于,所述获取任意T时刻网络总风险R
T
,包括以下步骤:预先进行获取观测序列,将警报模型化为笛卡尔积的形式,表示为:Alert=D
A1
×
D
A2
×…×
D
An
其中,(A1,A2,
…
,A
n
)表...
【专利技术属性】
技术研发人员:张宇翔,
申请(专利权)人:张宇翔,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。