一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法
【專(zhuān)利摘要】本發(fā)明提供一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法,包括以下步驟:建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)�����;獲取態(tài)勢(shì)要素�����;對(duì)態(tài)勢(shì)要素進(jìn)行標(biāo)準(zhǔn)化處理和加權(quán)處理�;對(duì)態(tài)勢(shì)要素的權(quán)重進(jìn)行動(dòng)態(tài)調(diào)整。本發(fā)明所獲取的態(tài)勢(shì)要素較為全面�,從流量和主機(jī)兩個(gè)角度考慮,包括異常流量��、網(wǎng)絡(luò)攻擊���、病毒木馬�、主機(jī)漏洞����、資源消耗��、網(wǎng)絡(luò)運(yùn)行等六個(gè)方面��;相關(guān)參數(shù)是動(dòng)態(tài)的���,可隨著網(wǎng)絡(luò)環(huán)境��、安全需求的變化而動(dòng)態(tài)調(diào)整��,能夠較為準(zhǔn)確的反應(yīng)網(wǎng)絡(luò)安全態(tài)勢(shì)的變化情況���,且動(dòng)態(tài)調(diào)整算法具有較高的效率�。
【專(zhuān)利說(shuō)明】一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域�����,具體涉及一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法���。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)�����、通信等信息技術(shù)的快速發(fā)展�,Internet在全球日益普及,已應(yīng)用到人們工作���、學(xué)習(xí)和生活的方方面面����。到2013年底����,Internet已經(jīng)覆蓋全球近40%的人口,用戶數(shù)達(dá)到了 27億����,在中國(guó),網(wǎng)民數(shù)量也快速發(fā)展到6.18億��。其應(yīng)用也在快速增長(zhǎng)����,其中電子商務(wù)、社交網(wǎng)絡(luò)的發(fā)展進(jìn)一步促進(jìn)了 Internet的繁榮���。然而�����,隨著Internet的廣泛應(yīng)用��,其安全問(wèn)題也日益凸顯��。那些網(wǎng)絡(luò)攻擊者���、黑客們?cè)谧分鹄?�、?bào)復(fù)、破壞等心理的驅(qū)動(dòng)下�����,針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞和脆弱環(huán)節(jié)�����,采用各種各樣的攻擊手段��,竊取����、篡改和刪除網(wǎng)絡(luò)數(shù)據(jù),破壞系統(tǒng)的可用性��,造成系統(tǒng)癱瘓,等等���。面對(duì)當(dāng)前嚴(yán)重的網(wǎng)絡(luò)安全威脅�����,傳統(tǒng)的安全防護(hù)手段�,如入侵檢測(cè)�、防火墻以及用戶認(rèn)證等,雖然從一定程度上提高了網(wǎng)絡(luò)的安全性�����,但是這些技術(shù)相互孤立��,彼此之間沒(méi)有有效的統(tǒng)一管理調(diào)度機(jī)制���,不能互相支撐�、協(xié)同工作����,使其安全防護(hù)沒(méi)有針對(duì)性,其防護(hù)功能也未得到充分發(fā)揮�。因此�,需要網(wǎng)絡(luò)安全管理員對(duì)整個(gè)網(wǎng)絡(luò)的安全狀況有一個(gè)全局的把握��,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的預(yù)警��,并以此來(lái)進(jìn)行決策�,實(shí)施具體的安全防護(hù)措施。而如何評(píng)估網(wǎng)絡(luò)的總體安全狀況��,可采用網(wǎng)絡(luò)安全態(tài)勢(shì)感知(Network Security Situat1n Awareness, NSSA)技術(shù)���。
[0003]網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況����、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)����。網(wǎng)絡(luò)安全態(tài)勢(shì)感知就是實(shí)時(shí)地監(jiān)測(cè)網(wǎng)絡(luò)安全狀態(tài)�,快速準(zhǔn)確地做出安全狀態(tài)評(píng)判,并能利用網(wǎng)絡(luò)安全屬性的歷史記錄���,以多角度�����、多尺度的可視化方式�����,為用戶提供一個(gè)準(zhǔn)確直觀的網(wǎng)絡(luò)安全態(tài)勢(shì)走向圖����。它可分為網(wǎng)絡(luò)態(tài)勢(shì)要素獲取、網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估和網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)3個(gè)階段�����。
[0004]現(xiàn)有關(guān)于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究成果大多數(shù)采用層次化的指標(biāo)體系和指標(biāo)加權(quán)的評(píng)估模型����,但模型參數(shù)是靜態(tài)的,不能根據(jù)動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境�、網(wǎng)管人員的安全需求進(jìn)行自適應(yīng)調(diào)整。
【發(fā)明內(nèi)容】
[0005]為了克服上述現(xiàn)有技術(shù)的不足����,本發(fā)明提供一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法,其中參數(shù)可動(dòng)態(tài)地進(jìn)行在線更新���,使得態(tài)勢(shì)量化評(píng)估更加科學(xué)���、合理��;主要解決如何高效�����、準(zhǔn)確地評(píng)估網(wǎng)絡(luò)的總體安全狀況���,為網(wǎng)絡(luò)安全事件預(yù)警提供依據(jù)和支撐。
[0006]為了實(shí)現(xiàn)上述發(fā)明目的�,本發(fā)明采取如下技術(shù)方案:
[0007]本發(fā)明提供一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法,所述方法包括以下步驟:
[0008]步驟1:建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)����;
[0009]步驟2:獲取態(tài)勢(shì)要素;
[0010]步驟3:對(duì)態(tài)勢(shì)要素進(jìn)行標(biāo)準(zhǔn)化處理和加權(quán)處理�;
[0011]步驟4:對(duì)態(tài)勢(shì)要素的權(quán)重進(jìn)行動(dòng)態(tài)調(diào)整����。
[0012]所述步驟1中,網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)包括多個(gè)子網(wǎng)�、第二級(jí)交換機(jī)、第一級(jí)交換機(jī)、防火墻����、流量抓取軟件系統(tǒng)、IDS和態(tài)勢(shì)感知服務(wù)器���;各個(gè)子網(wǎng)通過(guò)第二級(jí)交換機(jī)連接到第一級(jí)交換機(jī)���,第一級(jí)交換機(jī)通過(guò)防火墻后連接至外網(wǎng),所述第一級(jí)交換機(jī)通過(guò)鏡像端口連接流量抓取軟件系統(tǒng)�,所述流量抓取軟件系統(tǒng)進(jìn)行協(xié)議分析處理,其抓取的流量作為IDS的輸入�����;所述防火墻開(kāi)啟病毒木馬掃描功能以及入侵防御系統(tǒng)�,其上報(bào)Syslog格式日志到態(tài)勢(shì)感知服務(wù)器;子網(wǎng)中主機(jī)上安裝有安全防護(hù)軟件��,定期掃描漏洞并上報(bào)態(tài)勢(shì)感知服務(wù)器�����。
[0013]所述步驟2中����,所述態(tài)勢(shì)要素包括異常流量��、網(wǎng)絡(luò)攻擊���、病毒木馬、主機(jī)漏洞�����、資源消耗和網(wǎng)絡(luò)運(yùn)行���;各個(gè)態(tài)勢(shì)要素獲取途徑如下:
[0014](1)異常流量:通過(guò)IDS報(bào)警信息和IPS報(bào)警信息獲取異常流量信息����;
[0015](2)網(wǎng)絡(luò)攻擊:通過(guò)IDS報(bào)警信息和IPS報(bào)警信息分析出現(xiàn)的網(wǎng)絡(luò)攻擊信息���;
[0016](3)病毒木馬:一方面通過(guò)在防火墻上配置病毒庫(kù)和木馬庫(kù)進(jìn)行實(shí)時(shí)檢測(cè)��,獲取病毒木馬信息����,另一方面通過(guò)各主機(jī)上的安全防護(hù)軟件實(shí)時(shí)上報(bào)檢測(cè)結(jié)果獲取病毒木馬信息�;
[0017](4)主機(jī)漏洞:通過(guò)在各主機(jī)上安裝的安全防護(hù)軟件進(jìn)行漏洞掃描并上傳至態(tài)勢(shì)感知服務(wù)器,獲取主機(jī)漏洞信息��;
[0018](5)資源消耗:通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中各節(jié)點(diǎn)流量獲取資源消耗信息�����;
[0019](6)網(wǎng)絡(luò)運(yùn)行:通過(guò)對(duì)網(wǎng)絡(luò)基本運(yùn)行情況以及各主機(jī)連通性情況獲取網(wǎng)絡(luò)運(yùn)行信肩��、Ο
[0020]所述步驟3包括以下步驟:
[0021]步驟3-1:對(duì)態(tài)勢(shì)要素進(jìn)行標(biāo)準(zhǔn)化處理��;
[0022]采用最小-最大規(guī)范化對(duì)態(tài)勢(shì)要素進(jìn)行線性變換����,假定Max (Attri)與Min(Attri)分別表示屬性Attri的最大值與最小值,計(jì)算將屬性Attri的值映射到區(qū)間[0�,1]上的Attri 1 , Attri 1 表不為:.Max{ Attri) - Attri
[0023]Art =-----
Max(Attfi) — Min{ Attri)
[0024]步驟3-2:在標(biāo)準(zhǔn)化處理的基礎(chǔ)上,對(duì)態(tài)勢(shì)要素指數(shù)進(jìn)行加權(quán)處理��;
[0025]令:
[0026]異常流量為Q����,不同來(lái)源的異常流量指數(shù)為qpCu、…���;
[0027]網(wǎng)絡(luò)攻擊為C2����,不同來(lái)源的網(wǎng)絡(luò)攻擊指數(shù)為qpCp、…�����;
[0028]病毒木馬為C3,不同來(lái)源的病毒木馬指數(shù)為C^����、C3,2���、…��;
[0029]主機(jī)漏洞為C4�����,不同來(lái)源的主機(jī)漏洞指數(shù)為C41�、C4���,2�、…��;
[0030]資源消耗為C5,不同來(lái)源的資源消耗指數(shù)為QfCw��、…��;
[0031]網(wǎng)絡(luò)運(yùn)行為C6���,不同來(lái)源的網(wǎng)絡(luò)運(yùn)行指數(shù)為…;
[0032]將態(tài)勢(shì)要素指數(shù)放入一個(gè)向量[Xl�,x2,..., xn_J中,有:
[0033][C1��; C1��; 2,...��,C2����; I, C2; 2)...����,C3; C3’2��,..., C4; C4’2,..., C5��; C5’2,..., C6�;
?6,2���,...] [Xl��,X2��,...���,Xn-1]
[0034]其中,η為態(tài)勢(shì)要素指數(shù)總數(shù)����;
[0035]于是,t時(shí)刻態(tài)勢(shì)值f (t)表示為:
[0036]f (t) = a1*x1+a2*x2+...+an_1*xn_1+C
[0037]其中���,C為常數(shù)因子��,且C = an��,a1�; a2, a3,…,an_i分別為態(tài)勢(shì)要素指數(shù)的權(quán)重��;
[0038]各個(gè)態(tài)勢(shì)要素的權(quán)重形成參數(shù)向量����,令參數(shù)向量為A = [a����。a2,...�,a^,an]�,態(tài)勢(shì)要素向量為 x = [Xl, X2,..., xn-1, 1]T,f (t)又可表示為 f (t) = A*X���。
[0039]所述步驟4包括以下步驟:
[0040]步驟4-1:在離線階段���,確定參數(shù)向量A ;
[0041]步驟4-2:采用遞推的最小二乘法對(duì)參數(shù)向量中參數(shù)進(jìn)行動(dòng)態(tài)調(diào)整。
[0042]所述步驟4-1中���,設(shè)f(ti)為\時(shí)刻態(tài)勢(shì)值���,f' (tj為f(ti)的目標(biāo)值����,f(ti)與f' (ti)之間的誤差表示為Ifaj-f' (ti) I���,且有m個(gè)參數(shù)觀測(cè)值����,于是誤差的平方和I表示為:
m
[0043]1 =/乜)|2
z=l
[0044]按照使得I為最小的方式進(jìn)行求解����,分別對(duì)參數(shù)向量中各個(gè)參數(shù)求偏導(dǎo)數(shù),并分別令其等于0�����,可得下列方程組:
[0045]/(^)-/(^)=0
?-Ι V0(1γJ
m? β����、
[0046]χ m-fit,)=ο
/-1」勿2 J
[0047]......m ?* Γ?、
[0048]? m-f'ih) *~m =ο
/=八L」dan )
[0049]設(shè)參數(shù)觀測(cè)值與參數(shù)計(jì)算值之間的差值為e����,于是m個(gè)參數(shù)觀測(cè)值對(duì)應(yīng)的態(tài)勢(shì)目標(biāo)值可表示為:
[0050]f' (ti) =(ti) +a2x2 (t^ +...+anxn (t^ +etl
[0051]f (t2) =(t2) +a2x2 (t2) +...+anxn (t2) +et2
[0052]......
[0053]f' (tm) = aA (tm) +a2x2 (tm) +...+anxn (tm) +etm
[0054]其中,etl、et2���、…���、etD1分別表示W(wǎng)…、乜時(shí)刻參數(shù)觀測(cè)值與參數(shù)計(jì)算值之間的
尸⑷]「%] 「魂),4),.-,4) ?「%] 「引 「e,丨法汰,f%) z2 u χ^χχ,β,χ.,.,χ,χ?,)h2a2el2
差值�,令:z== ,Hm== ? A= , e= ����;
? 9...--.*..?.*...._/u,)」Lz?」 U(u’x2(u’"”a(u」W Lw」 _
[0055]于是有z = HmA+e���,推導(dǎo)可得參數(shù)向量A= (HmTHm)���,其中逆矩陣(--^1存在。
[0056]所述步驟4-2中�,令中間向量Pm = HmTHm,則參數(shù)在tm+1時(shí)刻的態(tài)勢(shì)估值A(chǔ)m+1表示為:
[0057]Am+1 = Am+Pmhm+1T [hm+1Pmhm+1T+l]_1 [zm+1-hm+1Am]
[0058]其中,Am為參數(shù)在tm時(shí)刻的估值��,Pm通過(guò)下式得到:
[0059]Pm+1 =ΙΓ^μΡ^�。
[0060]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果在于:
[0061](1)所獲取的態(tài)勢(shì)要素較為全面�����,從流量和主機(jī)兩個(gè)角度考慮,包括異常流量�、網(wǎng)絡(luò)攻擊、病毒木馬����、主機(jī)漏洞、資源消耗�����、網(wǎng)絡(luò)運(yùn)行等六個(gè)方面�;
[0062](2)相關(guān)參數(shù)是動(dòng)態(tài)的,可隨著網(wǎng)絡(luò)環(huán)境�、安全需求的變化而動(dòng)態(tài)調(diào)整,能夠較為準(zhǔn)確的反應(yīng)網(wǎng)絡(luò)安全態(tài)勢(shì)的變化情況�����,且動(dòng)態(tài)調(diào)整算法具有較高的效率���。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0063]圖1是本發(fā)明是實(shí)施例中網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖�;
[0064]圖2是本發(fā)明是實(shí)施例中網(wǎng)絡(luò)安全態(tài)勢(shì)綜合指數(shù)圖����。
【具體實(shí)施方式】
[0065]下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明��。
[0066]本發(fā)明提供一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法��,所述方法包括以下步驟:
[0067]步驟1:建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)��;
[0068]步驟2:獲取態(tài)勢(shì)要素�;
[0069]步驟3:對(duì)態(tài)勢(shì)要素進(jìn)行標(biāo)準(zhǔn)化處理和加權(quán)處理����;
[0070]步驟4:對(duì)態(tài)勢(shì)要素的權(quán)重進(jìn)行動(dòng)態(tài)調(diào)整。
[0071]所述步驟1中����,如圖1�����,網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)包括多個(gè)子網(wǎng)���、第二級(jí)交換機(jī)�����、第一級(jí)交換機(jī)�����、防火墻�、流量抓取軟件系統(tǒng)、IDS和態(tài)勢(shì)感知服務(wù)器�;各個(gè)子網(wǎng)通過(guò)第二級(jí)交換機(jī)連接到第一級(jí)交換機(jī),第一級(jí)交換機(jī)通過(guò)防火墻后連接至外網(wǎng)����,所述第一級(jí)交換機(jī)通過(guò)鏡像端口連接流量抓取軟件系統(tǒng),所述流量抓取軟件系統(tǒng)進(jìn)行協(xié)議分析處理���,其抓取的流量作為IDS的輸入�;所述防火墻開(kāi)啟病毒木馬掃描功能以及入侵防御系統(tǒng)���,其上報(bào)Syslog格式日志到態(tài)勢(shì)感知服務(wù)器�;子網(wǎng)中主機(jī)上安裝有安全防護(hù)軟件�,定期掃描漏洞并上報(bào)態(tài)勢(shì)感知服務(wù)器。
[0072]所述步驟2中���,(如圖2)所述態(tài)勢(shì)要素包括異常流量��、網(wǎng)絡(luò)攻擊�、病毒木馬、主機(jī)漏洞��、資源消耗和網(wǎng)絡(luò)運(yùn)行�;各個(gè)態(tài)勢(shì)要素獲取途徑如下:
[0073](1)異常流量:通過(guò)IDS報(bào)警信息和IPS報(bào)警信息獲取異常流量信息;
[0074](2)網(wǎng)絡(luò)攻擊:通過(guò)IDS報(bào)警信息和IPS報(bào)警信息分析出現(xiàn)的網(wǎng)絡(luò)攻擊信息���;
[0075](3)病毒木馬:一方面通過(guò)在防火墻上配置病毒庫(kù)和木馬庫(kù)進(jìn)行實(shí)時(shí)檢測(cè)��,獲取病毒木馬信息�,另一方面通過(guò)各主機(jī)上的安全防護(hù)軟件實(shí)時(shí)上報(bào)檢測(cè)結(jié)果獲取病毒木馬信息���;
[0076](4)主機(jī)漏洞:通過(guò)在各主機(jī)上安裝的安全防護(hù)軟件進(jìn)行漏洞掃描并上傳至態(tài)勢(shì)感知服務(wù)器����,獲取主機(jī)漏洞信息��;
[0077](5)資源消耗:通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中各節(jié)點(diǎn)流量獲取資源消耗信息�����;
[0078](6)網(wǎng)絡(luò)運(yùn)行:通過(guò)對(duì)網(wǎng)絡(luò)基本運(yùn)行情況以及各主機(jī)連通性情況獲取網(wǎng)絡(luò)運(yùn)行信肩�����、Ο
[0079]所述步驟3包括以下步驟:
[0080]步驟3-1:對(duì)態(tài)勢(shì)要素進(jìn)行標(biāo)準(zhǔn)化處理�����;
[0081]采用最小-最大規(guī)范化對(duì)態(tài)勢(shì)要素進(jìn)行線性變換��,假定Max (Attri)與Min (Attri)分別表示屬性Attri的最大值與最小值��,計(jì)算將屬性Attri的值映射到區(qū)間[0���,1]上的Attri 1 , Attri 1 表不為:
,, Max( A ttri) - A ttri
[0082]Attn =-:--
Max(Attri) - Min(Attri)
[0083]步驟3-2:在標(biāo)準(zhǔn)化處理的基礎(chǔ)上����,對(duì)態(tài)勢(shì)要素指數(shù)進(jìn)行加權(quán)處理���;
[0084]令:
[0085]異常流量為Q���,不同來(lái)源的異常流量指數(shù)為qpCu、…��;
[0086]網(wǎng)絡(luò)攻擊為C2��,不同來(lái)源的網(wǎng)絡(luò)攻擊指數(shù)為qpCp、…���;
[0087]病毒木馬為C3,不同來(lái)源的病毒木馬指數(shù)為C^��、C3���,2、…���;
[0088]主機(jī)漏洞為C4�,不同來(lái)源的主機(jī)漏洞指數(shù)為C41���、C4����,2����、…;
[0089]資源消耗為C5����,不同來(lái)源的資源消耗指數(shù)為QfCw、…���;
[0090]網(wǎng)絡(luò)運(yùn)行為C6��,不同來(lái)源的網(wǎng)絡(luò)運(yùn)行指數(shù)為QpCw����、…�;
[0091]將態(tài)勢(shì)要素指數(shù)放入一個(gè)向量[Xl,x2,..., xn_J中���,有:
[0092][C1���; 1; C1����;2,...,C2���; i, C2���; 2>...�����,C3�����; 1�����; C3’2,..., C4��; 1����; C4’2,..., C5��; 1���; C5’2,..., C6�; 1��;?6,2�����,...] [Xl�,X2����,...,Xn-1]
[0093]其中����,n為態(tài)勢(shì)要素指數(shù)總數(shù);
[0094]于是��,t時(shí)刻態(tài)勢(shì)值f (t)表示為:
[0095]f (t) = a1*x1+a2*x2+...+an_1*xn_1+C
[0096]其中��,C為常數(shù)因子�����,且C = an���,a1����; a2, a3,…,an_i分別為態(tài)勢(shì)要素指數(shù)的權(quán)重����;
[0097]各個(gè)態(tài)勢(shì)要素的權(quán)重形成參數(shù)向量,令參數(shù)向量為A = [a�。a2,...���,a^��,an]����,態(tài)勢(shì)要素向量為 x = [Xl, X2,..., xn-1, 1]T���,f (t)又可表示為 f (t) = A*X��。
[0098]所述步驟4包括以下步驟:
[0099]步驟4-1:在離線階段�,確定參數(shù)向量A ;
[0100]步驟4-2:采用遞推的最小二乘法對(duì)參數(shù)向量中參數(shù)進(jìn)行動(dòng)態(tài)調(diào)整�。
[0101]所述步驟4-1中,設(shè)f(ti)為\時(shí)刻態(tài)勢(shì)值����,f' (tj為f(ti)的目標(biāo)值����,f(ti)與f' (ti)之間的誤差表示為Ifaj-f' (ti) I���,且有m個(gè)參數(shù)觀測(cè)值�����,于是誤差的平方和I表示為:
m
[0102]1 = Σ|/(6) — /^)|2
/-1
[0103]按照使得I為最小的方式進(jìn)行求解,分別對(duì)參數(shù)向量中各個(gè)參數(shù)求偏導(dǎo)數(shù)��,并分別令其等于0�����,可得下列方程組:
[οι 04] ? [「m )—/(()]*#f(tt)]=ο
/:1 \J
[0105]? /(0-/(0 =o
z-1 y~」如2 j
[0106]......
[0107]χ?[m)—f(i,小備m)]=o
z=i V」伽《)
[0108]設(shè)參數(shù)觀測(cè)值與參數(shù)計(jì)算值之間的差值為e�����,于是m個(gè)參數(shù)觀測(cè)值對(duì)應(yīng)的態(tài)勢(shì)目標(biāo)值可表示為:
[0109]f' (ti) = (ti) +a2x2 (t^ +...+anxn (t^ +etl
[0110]f (t2) = (t2) +a2x2 (t2) +...+anxn (t2) +et2
[0111]......
[0112]f' (tm) = aA (tm) +a2x2 (tm) +...+anxn (tm) +etm
[0113]其中����,etl��、et2���、…、etD1分別表示W(wǎng)…�、乜時(shí)刻參數(shù)觀測(cè)值與參數(shù)計(jì)算值之間的
f (^i)Xj(ij), x2 (^i )>...? Xn (βι) h\i
t-t- Ai (?)Z2TTXlX2 (^2 \....>Χ,1 (^2)Λ a2St2
差值,令:Z== ����,Hm== , A= , e= ;
— fit )」LZ?」 U丨(U,魂夂…’桃)」Lt」 UJ Um_
[0114]于是有z = HmA+e��,推導(dǎo)可得參數(shù)向量A= (HmTHm)��,其中逆矩陣(--^1存在�。
[0115]所述步驟4-2中,令中間向量Pm = HmTHm,則參數(shù)在tm+1時(shí)刻的態(tài)勢(shì)估值A(chǔ)m+1表示為:
[0116]Am+1 = Am+Pmhm+1T [hm+1Pmhm+1T+l]_1 [zm+1-hm+1Am]
[0117]其中�,Am為參數(shù)在乜時(shí)刻的估值,Pm通過(guò)下式得到:
[0118]Pm+1 = Pm-Pmhm+1T [1^+,^1^+/+lriwP^����。
[0119]最后應(yīng)當(dāng)說(shuō)明的是:以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非對(duì)其限制,所屬領(lǐng)域的普通技術(shù)人員參照上述實(shí)施例依然可以對(duì)本發(fā)明的【具體實(shí)施方式】進(jìn)行修改或者等同替換��,這些未脫離本發(fā)明精神和范圍的任何修改或者等同替換���,均在申請(qǐng)待批的本發(fā)明的權(quán)利要求保護(hù)范圍之內(nèi)����。
【權(quán)利要求】
1.一種參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法,其特征在于:所述方法包括以下步驟: 步驟1:建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)�����; 步驟2:獲取態(tài)勢(shì)要素�; 步驟3:對(duì)態(tài)勢(shì)要素進(jìn)行標(biāo)準(zhǔn)化處理和加權(quán)處理; 步驟4:對(duì)態(tài)勢(shì)要素的權(quán)重進(jìn)行動(dòng)態(tài)調(diào)整�。
2.根據(jù)權(quán)利要求1所述的參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法����,其特征在于:所述步驟I中,網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)包括多個(gè)子網(wǎng)���、第二級(jí)交換機(jī)�����、第一級(jí)交換機(jī)���、防火墻����、流量抓取軟件系統(tǒng)�、IDS和態(tài)勢(shì)感知服務(wù)器;各個(gè)子網(wǎng)通過(guò)第二級(jí)交換機(jī)連接到第一級(jí)交換機(jī)�,第一級(jí)交換機(jī)通過(guò)防火墻后連接至外網(wǎng),所述第一級(jí)交換機(jī)通過(guò)鏡像端口連接流量抓取軟件系統(tǒng)���,所述流量抓取軟件系統(tǒng)進(jìn)行協(xié)議分析處理��,其抓取的流量作為IDS的輸入����;所述防火墻開(kāi)啟病毒木馬掃描功能以及入侵防御系統(tǒng)�,其上報(bào)Syslog格式日志到態(tài)勢(shì)感知服務(wù)器;子網(wǎng)中主機(jī)上安裝有安全防護(hù)軟件�����,定期掃描漏洞并上報(bào)態(tài)勢(shì)感知服務(wù)器��。
3.根據(jù)權(quán)利要求1所述的參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法�,其特征在于:所述步驟2中,所述態(tài)勢(shì)要素包括異常流量����、網(wǎng)絡(luò)攻擊�、病毒木馬�����、主機(jī)漏洞�����、資源消耗和網(wǎng)絡(luò)運(yùn)行����;各個(gè)態(tài)勢(shì)要素獲取途徑如下: (1)異常流量:通過(guò)IDS報(bào)警信息和IPS報(bào)警信息獲取異常流量信息; (2)網(wǎng)絡(luò)攻擊:通過(guò)IDS報(bào)警信息和IPS報(bào)警信息分析出現(xiàn)的網(wǎng)絡(luò)攻擊信息�����; (3)病毒木馬:一方面通過(guò)在防火墻上配置病毒庫(kù)和木馬庫(kù)進(jìn)行實(shí)時(shí)檢測(cè)�����,獲取病毒木馬信息��,另一方面通過(guò)各主機(jī)上的安全防護(hù)軟件實(shí)時(shí)上報(bào)檢測(cè)結(jié)果獲取病毒木馬信息����; (4)主機(jī)漏洞:通過(guò)在各主機(jī)上安裝的安全防護(hù)軟件進(jìn)行漏洞掃描并上傳至態(tài)勢(shì)感知服務(wù)器,獲取主機(jī)漏洞信息���; (5)資源消耗:通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中各節(jié)點(diǎn)流量獲取資源消耗信息�; (6)網(wǎng)絡(luò)運(yùn)行:通過(guò)對(duì)網(wǎng)絡(luò)基本運(yùn)行情況以及各主機(jī)連通性情況獲取網(wǎng)絡(luò)運(yùn)行信息�。
4.根據(jù)權(quán)利要求1所述的參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法,其特征在于:所述步驟3包括以下步驟: 步驟3-1:對(duì)態(tài)勢(shì)要素進(jìn)行標(biāo)準(zhǔn)化處理����; 采用最小-最大規(guī)范化對(duì)態(tài)勢(shì)要素進(jìn)行線性變換,假定Max(Attri)與Min(Attri)分別表示屬性Attri的最大值與最小值�����,計(jì)算將屬性Attri的值映射到區(qū)間[0��,I]上的Attri 1 , Attri 1 表不為:
Max(Attri)-Attri Ann ^-----
Max(Attri) - Min(Attri) 步驟3-2:在標(biāo)準(zhǔn)化處理的基礎(chǔ)上��,對(duì)態(tài)勢(shì)要素指數(shù)進(jìn)行加權(quán)處理�����; 令: 異常流量為C1,不同來(lái)源的異常流量指數(shù)為Cu�����、Cu����、…; 網(wǎng)絡(luò)攻擊為C2�����,不同來(lái)源的網(wǎng)絡(luò)攻擊指數(shù)為qpCy�����、…���; 病毒木馬為C3,不同來(lái)源的病毒木馬指數(shù)為…�; 主機(jī)漏洞為C4���,不同來(lái)源的主機(jī)漏洞指數(shù)為qpCw、…���; 資源消耗為C5����,不同來(lái)源的資源消耗指數(shù)為QyCw、…�����; 網(wǎng)絡(luò)運(yùn)行為C6��,不同來(lái)源的網(wǎng)絡(luò)運(yùn)行指數(shù)為qpCw��、…�; 將態(tài)勢(shì)要素指數(shù)放入一個(gè)向量[Xl,X2,, Xn-J中�,有:
[Cl’I,C12)...) C2����; i, C2,2,...���,C3����; i, C3,2,...��,C4�����; i, C4,2���,...�����,C5jl, C52,..., C6j1, C6’2,...]—[Xl����,X2���,...���,Xn-1] 其中,n為態(tài)勢(shì)要素指數(shù)總數(shù)�����; 于是��,t時(shí)刻態(tài)勢(shì)值f(t)表示為:
f (t) = a^X^aa^Xa+...其中�����,C為常數(shù)因子,且C = an, B1, a2, a3, **., Bn^1分別為態(tài)勢(shì)要素指數(shù)的權(quán)重���; 各個(gè)態(tài)勢(shì)要素的權(quán)重形成參數(shù)向量��,令參數(shù)向量為A = Ia1, a2,..., an_1���; an],態(tài)勢(shì)要素向量為 X = [X1, X2,…,xn-1, 1]T�,f (t)又可表示為 f (t) = A*X。
5.根據(jù)權(quán)利要求4所述的參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法���,其特征在于:所述步驟4包括以下步驟: 步驟4-1:在離線階段����,確定參數(shù)向量A ; 步驟4-2:采用遞推的最小二乘法對(duì)參數(shù)向量中參數(shù)進(jìn)行動(dòng)態(tài)調(diào)整����。
6.根據(jù)權(quán)利要求5所述的參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法��,其特征在于:所述步驟4-1中�,設(shè)Mti)為\時(shí)刻態(tài)勢(shì)值���,f' Ui)為Mti)的目標(biāo)值����,f(ti)與f' Ui)之間的誤差表示為Ifaj-f' (ti) I�,且有m個(gè)參數(shù)觀測(cè)值,于是誤差的平方和I表示為: ι=Σ\.ηο-ηο\
i=l 按照使得I為最小的方式進(jìn)行求解�����,分別對(duì)參數(shù)向量中各個(gè)參數(shù)求偏導(dǎo)數(shù)����,并分別令其等于O,可得下列方程組:
/幻]*4凡)]=0
」Oai j ?[[服/時(shí)令凡)]=0 /'-1」己七 j
-/>沖 f/(,,)] = O /=1 Il」da” ) 設(shè)參數(shù)觀測(cè)值與參數(shù)計(jì)算值之間的差值為e�,于是m個(gè)參數(shù)觀測(cè)值對(duì)應(yīng)的態(tài)勢(shì)目標(biāo)值可表不為:
f' (ti) = B1X1 (tx) +a2x2(tx) +...+anxn(tx) +etl
f (七2) — 3^1(1^2)+^^2(^2)+...+anXn(t2)+et2
f1 (tm) = B1X1 (tm) +a2x2 (tm) +...+anxn (tm) +etm 其中,etl���、et2����、…、etm分別表示h�、t2、…�、tm時(shí)刻參數(shù)觀測(cè)值與參數(shù)計(jì)算值之間的差
f'ih) "I「魂XnO1) ?「4"! 「叫 「e;1
f'{t2) Z2X^t2),x2(t2),...,xlt(t2) h2a2etl值,令:z== ����,//一 == ? A = ����,e= ;
j'xdI L」 U(o2(d,...,.'((?)」Li」 La」 Ie _ 于是有z = HmA+e����,推導(dǎo)可得參數(shù)向量A = (HmTHm)-1HditZ,其中逆矩陣0^?).1存在����。
7.根據(jù)權(quán)利要求5所述的參數(shù)自適應(yīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法,其特征在于:所述步驟4-2中��,令中間向量Pm = Hm1Hm,則參數(shù)在tm+1時(shí)刻的態(tài)勢(shì)估值A(chǔ)m+1表示為:
Am+i — Am+Pmhm+i [hm+1Pmhm+i +1] [zm+1_hm+1Am] 其中�,Am為參數(shù)在tm時(shí)刻的估值,Pffl通過(guò)下式得到:
Pm+l — Pm-Pmhm+! thm+iPmhm+i +1] hm+1Pm��。
【文檔編號(hào)】H04L29/06GK104270372SQ201410535005
【公開(kāi)日】2015年1月7日 申請(qǐng)日期:2014年10月11日 優(yōu)先權(quán)日:2014年10月11日
【發(fā)明者】王玉斐, 馬媛媛, 何高峰, 陳璐, 管小娟, 華曄, 汪晨, 楚杰 申請(qǐng)人:國(guó)家電網(wǎng)公司, 中國(guó)電力科學(xué)研究院