专利名称:一种网络安全态势感知方法
技术领域:
本发明属于信息安全技术领域,尤其涉及一种网络安全态势感知方法。
背景技术:
网络已深入现代生活的各个方面,但是人们备受关注的网络安全却存在着巨大的 隐患。传统的网络防御手段如防火墙、防病毒软件、入侵监测系统(IDS)等都是被动的网 络防御,这已满足不了目前人们对网络安全的要求。网络安全态势感知是一种主动的网络 防御手段,它不仅能够反应当前网络安全态势,并且能够对网络中潜在的攻击做出预测,从 而对潜在攻击做出主动防御。网络安全态势感知是从防火墙、安全审计、防病毒软件等软硬 件中获取到大量的日志数据,在对数据处理的基础上,对整个网络的当前状况进行及时评 估和反映,并对未来的变化趋势进行预测。由于从防火墙、安全审计、防病毒软件所获取的 数据量相当庞大,这严重制约着网络安全态势评估和预测的实时性。因此,如何能够实时而 准确的反映当前网络安全态势,通过可视化技术将整个网络安全态势显示出来,并利用智 能学习算法对未来网络安全态势进行预测成为网络安全态势感知的主要研究方向。网络安 全态势感知的研究过程主要包括以下六个步骤数据的预处理、事件关联目标识别、态势和 威胁评估、响应与预警、态势可视化显示以及网络安全态势预测。网络安全态势感知的基本处理流程如下首先从防火墙、安全审计、防病毒软件等 软硬件中获取的数据进行去噪、统一格式;然后将数据进行关联以及目标识别,数据间的关 联和识别越准确,越能促进准确反映网络的整体安全状况;在数据关联以及目标识别的基 础上,对网络安全态势和威胁做出评估,然后根据威胁的程度和种类,在确定预警阈值的基 础上做出响应,并给出威胁的相应解决措施,以及基于网络安全态势评估、威胁评估和响应 与预警形成网络安全态势可视化图,利用历史数据和当前网络安全态势值,预测未来一段 时间内的网络安全态势,以供决策者做出正确决策。由网络安全态势处理的基本流程可知, 要得到更好的网络安全态势感知效果,主要要解决四个方面的问题第一是研究怎样能从 海量数据中挖掘出有用的特征数据,不仅反映数据的基本信息,同时也减少处理数据的维 数,从而提高网络安全态势感知的实时性;第二是研究如何提高数据的融合效果,减少冗余 信息;第三是研究怎样使网络安全态势评估和威胁评估更加合理、有效;第四是研究怎样 建立准确的网络安全态势预测模型。
发明内容
本发明的目的在于,针对目前网络安全态势感知过程中存在的问题,提出一种网 络安全态势感知方法,用以提高网络安全态势感知的实时性和准确性。技术方案是,一种网络安全态势感知方法,其特征是所述方法包括下列步骤步骤1 从安全防护软件和/或硬件中采集数据,对数据进行预处理,并将预处理 后的数据作为数据样本;步骤2 利用流形学习对数据样本进行特征提取和降维,得到数据样本的输出值;
步骤3 利用核匹配集成聚类算法对数据样本的输出值进行聚类;步骤4 采用DS证据推理对聚类后的结果进行融合;步骤5 采用层次模型,评估网络安全态势和威胁;步骤6 利用历史数据和当前网络安全态势,预测未来设定时长内的网络安全态 势;步骤7:根据设定阈值,判定网络安全是否受到威胁;当态势值大于设定阈值时, 则判定网络安全受到威胁。所述利用流形学习对数据样本进行特征提取和降维具体包括 步骤201 设定数值k,利用公式
权利要求
1.一种网络安全态势感知方法,其特征是所述方法包括下列步骤步骤1 从安全防护软件和/或硬件中采集数据,对数据进行预处理,并将预处理后的 数据作为数据样本;步骤2 利用流形学习对数据样本进行特征提取和降维,得到数据样本的输出值; 步骤3 利用核匹配集成聚类算法对数据样本的输出值进行聚类; 步骤4 采用DS证据推理对聚类后的结果进行融合; 步骤5 采用层次模型,评估网络安全态势和威胁;步骤6 利用历史数据和当前网络安全态势,预测未来设定时长内的网络安全态势; 步骤7 根据设定阈值,判定网络安全是否受到威胁;当态势值大于设定阈值时,则判 定网络安全受到威胁。
2.根据权利要求1所述的一种网络安全态势感知方法,其特征是所述利用流形学习对 数据样本进行特征提取和降维具体包括
3.根据权利要求1所述的一种网络安全态势感知方法,其特征是所述利用核匹配集成 聚类算法对数据样本的输出值进行聚类具体包括步骤301 采用重采样技术对数据样本的输出值进行抽样,得到K个不相同的样本序列 Xi = Ia1, a2, . . . , aj , i = 1, 2, . . . , K,并重复 K 次;步骤302 利用每次所得的K个样本序列训练1个核匹配聚类器,最终得到K个聚类结 果不同的核匹配聚类器;步骤303 对所得到的K个聚类器赋予相同的权重,则其权重为
4.根据权利要求1所述的一种网络安全态势感知方法,其特征是所述采用DS证据推理 对聚类后的结果进行融合具体包括 步骤401 将各个聚类后的结果作为证据,计算每个证据的基本概率赋值函数、似然函 数和信任函数;步骤402 再利用DS证据组合规则,计算所有证据在联合作用下的基本概率赋值函数、 似然函数和信任度函数;步骤403 最后根据预设的决策规则,提取出态势要素。
5.根据权利要求1所述的一种网络安全态势感知方法,其特征是所述步骤5包括 步骤501 对网络进行分级,确定各个网络级别的指标参数;步骤502 计算各个网络级别的网络安全态势值和威胁指数; 步骤503 计算整体网络安全态势值和威胁指数。
6.根据权利要求1所述的一种网络安全态势感知方法,其特征是所述步骤6包括 步骤61 对历史数据进行处理,形成多组时间态势序列组;步骤62 利用处理后的数据序列组对预测模型进行训练;步骤63 利用历史数据和当前网络安全态势,预测未来一段时间内的网络安全态势。
全文摘要
本发明公开了信息安全技术领域中的一种网络安全态势感知方法。包括从安全防护软件和/或硬件中采集数据,对数据进行预处理,并将预处理后的数据作为数据样本;利用流形学习对数据样本进行特征提取和降维,得到数据样本的输出值;利用核匹配集成聚类算法对数据样本的输出值进行聚类;采用DS证据推理对聚类后的结果进行融合;采用层次模型,评估网络安全态势和威胁;利用历史数据和当前网络安全态势,预测未来设定时长内的网络安全态势;根据设定阈值,判定网络安全是否受到威胁。本发明提高了网络安全态势感知的实时性和准确性。
文档编号H04L12/24GK102098180SQ20111003974
公开日2011年6月15日 申请日期2011年2月17日 优先权日2011年2月17日
发明者井经涛, 李元诚 申请人:华北电力大学