本发明专利技术公开了基于多因素层次化的网络安全态势评估与预测方法,首先,针对态势评估数据来源单一且融合较少问题并基于当前的网络规模庞大的情况下,提出将网络划分为总网络级、子网级、主机级和服务级,并依据层次价值、威胁、脆弱性三个指标由下至上依次对各层进行态势评估方法的设计。态势评估结果表明该评估方法在较低的评估时间细粒度的情况下具有较高的准确性,为后续预测奠定了基础。其次,通过堆叠长短期记忆网络(Stacking LSTM)对网络节点的态势值进行预测及态势曲线的可视化。态势预测结果表明该预测模型具有预测误差小和预测效率高的优势,给网络安全工作人员提供及时的安全状态信息。未来的工作集中在降低态势评估过程的人为因素上,使各指标进一步细化。使各指标进一步细化。使各指标进一步细化。
【技术实现步骤摘要】
基于多因素层次化的网络安全态势评估与预测方法
[0001]本专利技术涉及一种基于多因素层次化的网络安全态势评估与预测方法,属于网络安全
技术介绍
[0002]近年来,随着云计算、工业互联网、移动互联等新网络形态的出现,网络环境愈发复杂,网络攻击手段不断更新。捕获计算机恶意程序样本数量同比增长27.1%,我国境内感染计算机恶意程序的主机数量同比增长46.8%,国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)收录通用型安全漏洞同比增长18.2%。
[0003]现阶段,我们依靠防火墙、VPN网关等设备通过设置安全配置实现内外网的隔离,借助入侵检测、入侵防御、WAF、流量监测等设备实现网络攻击行为的检测、告警和过滤。然而,在网络攻击行为愈发复杂的情况之下,当前的防护手段已不能满足网络安全保护等级更高的信息系统防护要求,被动防御往往错失最佳的安全事件处置时间。只有主动对网络流量中蕴含的安全数据进行融合分析,感知当前网络状态和趋势,才能更及时的采取措施应对安全事件的发生。在当前的研究中,学者们还未对网络安全态势有一致的理解,已提出的态势评估方法在探讨和不断完善当中,同时存在网络态势感知预测时间过长的缺点。
[0004]为进一步对网络态势的理解提供新的思路,本文提出一种基于多因素层次化分析的态势感知评估方法。通过对CICIDS2017入侵检测数据集的统计分析,量化网络各层面的态势评估指标。同时,引入模糊隶属度函数,实现安全态势程度标准的统一。最后,通过长短期记忆网络(LSTM)对网络节点的态势值进行预测及态势曲线的可视化。实验表明,该评估与预测方法能够及时响应网络系统各层面的攻击事件,反应当前的网络安全状态,降低了预测时间,给网络安全工作人员提供更及时的安全状态信息,对网络攻击进行主动防御提供有效帮助。
[0005]1988年,Endsley教授提出了态势感知(SA)的定义:“在一定时间和空间范围内对周围环境因素的提取、理解,并对未来的发展趋势进行预测”。同时,他给出的态势感知3层模型是被学者们广泛接受的通用模型,该模型包括态势要素提取、态势理解(评估)和态势预测三个部分。直到2000年,TimBass等人
[3]首先将态势感知引入到网络安全领域,为网络安全态势感知的研究奠定基础。
[0006]在当前的研究中,学者们对网络安全态势有着不同的理解,评估方法也在不断探讨中。Wu等人提出了从攻击严重程度、攻击成功概率、攻击后果方面评估网络态势的方法。Li等人结合网络攻击数据、主机漏洞和主机状态提出基于条件随机场的态势评估方法。R.S.Gutzwiller提出了多来源数据融合方法对态势要素进行评估。Qu、Zhang将D
‑
S证据理论应用于态势评估中,对不确定信息进行推理、融合。这些模型虽然能够及时察觉网络安全状态,但未考虑到大规模网络的区域划分以及各区域资产配置的复杂性,可能导致依据其态势评估结果溯源至发生关键高危漏洞的主机效率低的问题。陈秀真提出的层次化网络安全态势评估方法以宏观的角度考虑实际网络系统规模问题,有不少学者在此基础上进行进
一步探索,或在具体层面进行研究,但仍存在影响网络安全相关数据的量化和融合较少的缺点。
[0007]Ma、Peng等人使用4层深度神经网络和改进的径向基函数(Radial basis function,RBF)神经网络的网络安全态势感知模型进行态势评估。Shang等人提出了XGBoost算法进行态势评估。文志诚等人通过聚类分析高效聚类融合主机安全态势。这些评估方法虽然有强大的学习能力,但往往仅通过遭受网络攻击威胁这一个维度去衡量整体态势,不能有效反应整体态势情况。
[0008]近年已有很多学者将人工智能应用于态势预测,但当前的预测算法在保证预测准确性的同时,未保证算法的预测效率,可能导致预测不及时,而失去了预测的意义。
技术实现思路
[0009]针对现有的问题,本专利技术提出一种基于多因素层次化分析的态势感知评估方法。通过对CICIDS2017入侵检测数据集的统计分析,结合资产价值、威胁、脆弱性指标,对传统的依据攻击事件的层次化态势感知评估方法进行改进,全面量化各层面的态势评估指标。同时,借助模糊隶属度函数,实现安全态势程度标准的统一。最后,通过长短期记忆网络(LSTM)对网络节点的态势值进行预测及态势曲线的可视化。
[0010]本专利技术采用的技术方案为基于多因素层次化的网络安全态势评估与预测方法,具体实现步骤如下:
[0011]步骤1:将信息系统所处网络由上至下划分为总网络层、子网络层、主机层、服务层,如图1所示。
[0012]步骤2:提出网络态势基本信息的定义,其反应当前网络安全状态的基本信息,包括网络流量信息和报警信息。
[0013]表示为:Situation_info={ID,Timestamp,DIP,DP,Attack,Δt}。
[0014]其中,ID为流量唯一标识;Timestamp为流量产生的时间戳信息;DIP为接收流量的目的主机IP地址;DP为接收流量的目的端口;Attack为受攻击类型;Δt为计算当前时刻网络安全态势利用的历史时间窗口大小。
[0015]步骤3:计算服务层态势:服务层态势的评估以端口作为单位,端口对应相应服务。首先考虑威胁因素,威胁因素与该端口发生的攻击数量和攻击影响力相关,而攻击影响力体现了攻击发生后对网络信息系统所带来的影响,关系到安全管理员的直接决策,因此攻击影响力采用指数级进行计算。考虑到大部分端口无攻击事件发生,为确保其他因素在态势值中的表达,在计算威胁值时,1代表无威胁情况,可以保证服务层态势不为0。在脆弱性方面,端口脆弱性即端口可被利用程度,通过该端口发生攻击事件的频率体现。端口被利用即发生攻击事件,直接影响信息系统安全状态,因此以指数级表达。在层次要素价值方面,本文认为端口被访问数量决定了端口的价值。综上所述,t时刻服务层态势值S0(t)计算方法如下:
[0016][0017]其中,N(Δt)为Δt时间内该端口被访问数量,f为该端口发生攻击事件的频率,a(Δt)为Δt时间内该端口发生的攻击数量,n
i
(Δt)为Δt时间内攻击i发生次数,x
i
为攻击i
Result)为n个具有时间序列的态势值构成的向量,记作x=[x1,x2,x3,...,x
n
]。假设时间步长(timestep)设置为k,则取长度为k的向量作为样本,所得态势样本集为X=[X
k
,X
k+1
,...,X
n
‑1],每个样本包含了当前k时刻和历史k
‑
1个时刻的态势值。每个样本经过预测模型预测下一时刻k+1的态势值,设置X'=[x
k+1
,x
k+2
,...,x
n
]为态势标签集。预测模型输入输出数据信息如表1所示。
...
【技术保护点】
【技术特征摘要】
1.基于多因素层次化的网络安全态势评估与预测方法,其特征在于:该方法的具体实现步骤如下:步骤1:将信息系统所处网络由上至下划分为总网络层、子网络层、主机层、服务层;步骤2:提出网络态势基本信息的定义,其反应当前网络安全状态的基本信息,包括网络流量信息和报警信息;表示为:Situation_info={ID,Timestamp,DIP,DP,Attack,Δt};其中,ID为流量唯一标识;Timestamp为流量产生的时间戳信息;DIP为接收流量的目的主机IP地址;DP为接收流量的目的端口;Attack为受攻击类型;Δt为计算当前时刻网络安全态势利用的历史时间窗口大小;步骤3:计算服务层态势:服务层态势的评估以端口作为单位,端口对应相应服务,t时刻服务层态势值S0(t)计算方法如下:其中,N(Δt)为Δt时间内该端口被访问数量,f为该端口发生攻击事件的频率,a(Δt)为Δt时间内该端口发生的攻击数量,n
i
(Δt)为Δt时间内攻击i发生次数,x
i
为攻击i的影响力;步骤4:计算主机层态势:在主机威胁方面,主机发生网络攻击事件所带来的威胁即为该主机所有端口发生网络攻击事件的威胁总和,因此以该主机全部开放端口的态势总和作为该主机的威胁值;在脆弱性方面,主机脆弱性体现在该主机受到攻击的可能性上,通过统计该主机遭受到攻击的频率而得出;在层次要素价值方面,主机的价值体现在其所承担的信息系统服务价值上,t时刻主机层态势值S1(t)计算方法如下:其中,A为操作系统脆弱性,B为该主机重要性,u(Δt)为Δt时间内该主机开放的端口数量,y
j
为端口j发生攻击的频率;步骤5:计算子网层态势:在子网威胁方面,以该子网全部主机的态势总和作为该子网的威胁值;在脆弱性方面,通过评估该区域边界防护措施有效性进行确定,考虑该措施对于网络安全事件进行特征检测或异常检测、识别或分析、报警或阻断,进而进行整体评估;在层次属性价值方面,与主机层评估相似,体现在其承担的服务价值上;综上所述,t时刻子网层态势值S2(t)如下:其中,C为区域边界防护措施有效性,D为子网区域资产重要程度,v为该子网存在的主机数量;步骤6:计算总网络层态势:累积以上层次的态势值,t时刻总网络的态势值S(t)计算方法如下:其中,w为子网区域数量;
步骤7:将态势值映射至态势隶属度函数上,态势值的波动幅度反应态势的高低...
【专利技术属性】
技术研发人员:姜楠,雷雪蒙,
申请(专利权)人:北京工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。