基于多因素层次化的网络安全态势评估与预测方法技术

本发明专利技术公开了基于多因素层次化的网络安全态势评估与预测方法，首先，针对态势评估数据来源单一且融合较少问题并基于当前的网络规模庞大的情况下，提出将网络划分为总网络级、子网级、主机级和服务级，并依据层次价值、威胁、脆弱性三个指标由下至上依次对各层进行态势评估方法的设计。态势评估结果表明该评估方法在较低的评估时间细粒度的情况下具有较高的准确性，为后续预测奠定了基础。其次，通过堆叠长短期记忆网络(Stacking LSTM)对网络节点的态势值进行预测及态势曲线的可视化。态势预测结果表明该预测模型具有预测误差小和预测效率高的优势，给网络安全工作人员提供及时的安全状态信息。未来的工作集中在降低态势评估过程的人为因素上，使各指标进一步细化。使各指标进一步细化。使各指标进一步细化。

【技术实现步骤摘要】
基于多因素层次化的网络安全态势评估与预测方法


[0001]本专利技术涉及一种基于多因素层次化的网络安全态势评估与预测方法，属于网络安全


技术介绍

[0002]近年来，随着云计算、工业互联网、移动互联等新网络形态的出现，网络环境愈发复杂，网络攻击手段不断更新。捕获计算机恶意程序样本数量同比增长27.1％，我国境内感染计算机恶意程序的主机数量同比增长46.8％，国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)收录通用型安全漏洞同比增长18.2％。
[0003]现阶段，我们依靠防火墙、VPN网关等设备通过设置安全配置实现内外网的隔离，借助入侵检测、入侵防御、WAF、流量监测等设备实现网络攻击行为的检测、告警和过滤。然而，在网络攻击行为愈发复杂的情况之下，当前的防护手段已不能满足网络安全保护等级更高的信息系统防护要求，被动防御往往错失最佳的安全事件处置时间。只有主动对网络流量中蕴含的安全数据进行融合分析，感知当前网络状态和趋势，才能更及时的采取措施应对安全事件的发生。在当本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于多因素层次化的网络安全态势评估与预测方法，其特征在于：该方法的具体实现步骤如下：步骤1：将信息系统所处网络由上至下划分为总网络层、子网络层、主机层、服务层；步骤2：提出网络态势基本信息的定义，其反应当前网络安全状态的基本信息，包括网络流量信息和报警信息；表示为：Situation_info＝{ID,Timestamp,DIP,DP,Attack,Δt}；其中，ID为流量唯一标识；Timestamp为流量产生的时间戳信息；DIP为接收流量的目的主机IP地址；DP为接收流量的目的端口；Attack为受攻击类型；Δt为计算当前时刻网络安全态势利用的历史时间窗口大小；步骤3：计算服务层态势：服务层态势的评估以端口作为单位，端口对应相应服务，t时刻服务层态势值S0(t)计算方法如下：其中，N(Δt)为Δt时间内该端口被访问数量，f为该端口发生攻击事件的频率，a(Δt)为Δt时间内该端口发生的攻击数量，n
i
(Δt)为Δt时间内攻击i发生次数，x
i
为攻击i的影响力；步骤4：计算主机层态势：在主机威胁方面，主机发生网络攻击事件所带来的威胁即为该主机所有端口发生网络攻击事件的威胁总和，因此以该主机全部开放端口的态势总和作为该主机的威胁值；在脆弱性方面，主机脆弱性体现在该主机受到攻击的可能性上，通过统计该主机遭受到攻击的频率而得出；在层次要素价值方面，主机的价值体现在其所承担的信息系统服务价值上，t时刻主机层态势值S1(t)计算方法如下：其中，A为操作系统脆弱性，B为该主机重要性，u(Δt)为Δt时间内该主机开放的端口数量，y
j
为端口j发生攻击的频率；步骤5：计算子网层态势：在子网威胁方面，以该子网全部主机的态势总和作为该子网的威胁值；在脆弱性方面，通过评估该区域边界防护措施有效性进行确定，考虑该措施对于网络安全事件进行特征检测或异常检测、识别或分析、报警或阻断，进而进行整体评估；在层次属性价值方面，与主机层评估相似，体现在其承担的服务价值上；综上所述，t时刻子网层态势值S2(t)如下：其中，C为区域边界防护措施有效性，D为子网区域资产重要程度，v为该子网存在的主机数量；步骤6：计算总网络层态势：累积以上层次的态势值，t时刻总网络的态势值S(t)计算方法如下：其中，w为子网区域数量；
步骤7：将态势值映射至态势隶属度函数上，态势值的波动幅度反应态势的高低...

【专利技术属性】
技术研发人员：姜楠，雷雪蒙，
申请(专利权)人：北京工业大学，
类型：发明
国别省市：