一种网络安全状态预测方法

专利名称：一种网络安全状态预测方法
技术领域：
本发明属于网络安全技术领域，特别是一种网络安全状态预测方法。
背景技术：
网络是信息时代的产物，几乎覆盖了世界上所有重要领域。随着 网络规模的不断扩大，网络攻击破坏行为日益频繁，网络安全形势日趋严峻。为形成网络安全主动防护能力，在掌握当前网络安全状态的前提下，需要预测网络安全状态。网络安全状态预测技术通过对历史和当前的网络各方面安全状态对于下一时刻网络安全状态的不同影响进行融合分析，实现对网络安全状态的及时预测，为网络安全防护的辅助决策、指挥控制、具体实施提供指导。目前开展网络安全状态预测研究主要有两条思路一是预测网络安全事件，结合事件的威胁程度，分析未来网络安全状态；二是采用数学方法或模型，从历史网络安全状态中挖掘变化规律，用来预测未来网络安全状态。但目前的研究还存在以下不足>未充分考虑网络实际情况以及历史网络安全状态对未来安全状态的影响；>预测过程大部分采用纯粹的数学方法，理解性不强。>预测结果过于绝对，缺乏根据性，对于网络安全防护难以起到指导作用。

发明内容
本发明就是为了解决上述问题，提出一种网络安全状态预测方法，将历史和当前的网络各方面安全状况作为下一时刻网络安全状态的影响因素，利用证据理论对各类因素对未来网络安全状态的不同影响进行融合，降低不确定性，完成网络安全状态预测，同时预测过程更加符合人类思维，增强了预测结果的理解性，提升了预测结果对于网络安全防护的实际指导意义。本发明结合网络的特点，把影响未来网络安全状态的因素分为四类当前和历史的外部威胁状况、内部威胁状况、网络性能状况、整体安全状态。外部威胁状况主要基于所有入侵信息评估得出，是网络所受到的外部攻击或威胁的整体状况。内部威胁状况主要基于漏洞信息和病毒信息评估得出，是网络内部存在的安全问题的总体情况。网络性能状况主要基于网络的状态信息和各类性能信息评估得出，是网络各方面性能的综合状况。整体安全状态基于有效入侵信息、漏洞信息、病毒信息、状态信息和各类性能信息评估得出，是网络整体安全状况的反映。本发明方法的流程如图I所示。本发明方法的具体步骤如下
步骤I :构造网络可能处于的所有安全状态的集合；步骤2 :获取网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况和整体安全状态的评估值和评定等级；步骤3 :分析出一段时间内网络的外部威胁状况、网络性能状况和整体安全状态的变化趋势；步骤4:基于网络当前外 部威胁状况及其变化趋势，构造外部威胁状况对下一时刻安全状态的影响的证据体；基于网络当前内部威胁状况，构造内部威胁状况对下一时刻安全状态的影响的证据体；基于网络当前性能状况及其变化趋势，构造网络性能状况对下一时刻安全状态的影响的证据体；基于网络当前整体安全状态及其变化趋势，构造整体安全状态对下一时刻安全状态的影响的证据体；确定四类证据体中下一时刻网络处于各类安全状态的概率分配；步骤5 :利用合成规则对四类证据体进行融合，确定下一时刻网络处于各类安全状态的新的概率分配；步骤6 :确定下一时刻网络处于各类安全状态的可信度区间。具体的，所述的一种网络安全状态预测方法，其特征在于步骤如下步骤I :构造网络可能处于的所有安全状态的集合；网络可能处于的所有安全状态包括安全、危险、未知，构造集合P=(SnS2lS3)其中，P表示网络可能处于的所有安全状态集合，S1表示网络处于安全状态，S2表示网络处于危险状态，S3表示网络处未知状态；步骤2 :获取网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况和整体安全状态的评估值和评定等级；从现有技术获得网络的历史和当前的安全状态的评估值，包括四个方面外部威胁状况、内部威胁状况、网络性能状态以及整体安全状态相应的评定等级高、中、低；步骤3 :分析出一段时间内网络的外部威胁状况、网络性能状况和整体安全状态的变化趋势；依据历史和当前的外部威胁状况、网络性能状况和整体安全状态的评估值，分析出其整体变化趋势增大或减小；步骤4:基于网络当前外部威胁状况及其变化趋势，构造外部威胁状况对下一时刻网络安全状态的影响的证据体；基于网络当前内部威胁状况，构造内部威胁状况对下一时刻网络安全状态的影响的证据体；基于网络当前性能状况及其变化趋势，构造网络性能状况对下一时刻网络安全状态的影响的证据体；基于网络当前整体安全状态及其变化趋势，构造整体安全状态对下一时刻网络安全状态的影响的证据体；确定四类证据体中下一时刻网络处于各类安全状态的概率分配；基于网络当前外部威胁状况及其整体变化趋势，构造外部威胁状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率Eoth- (rn0TH (S1)，rn0TH (S2), rn0TH (S3))其中，Ecth是外部威胁状况对下一时刻网络安全状态的影响的证据体，Hioth(S1)是由外部威胁状况预测出的下一时刻网络处于安全状态的概率，HIoth(S2)是由外部威胁状况预测出的下一时刻网络处于危险状态的概率，HIoth(S3)是由外部威胁状况预测出的下一时刻网络处于未知状态的概率，基于网络当前内部威胁状况，由于内部威胁状况基于漏洞信息和病毒信息评估得出，是相对稳定的数值，因此不考虑其变化趋势，造内部威胁状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率Eith= (mITH (S1)，mITH (S2)，mITH (S3))其中，Eith是内部威胁状况对下一时刻网络安全状态的影响的证据体，HIith(S1)是由内部威胁状况预测出的下一时刻网络处于安全状态的概率，HIith(S2)是由内部威胁状况预测出的下一时刻网络处于危险状态的概率，HIith(S3)是由内部威胁状况预测出的下一时刻网络处于未知状态的概率，
基于网络当前性能状况及其整体变化趋势，构造网络性能状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率Ecap- (mCAP (S1), mCAP (S2), mCAP (S3))其中，Ecap是网络性能状况对下一时刻网络安全状态的影响的证据体，Hicap(S1)是由网络性能状况预测出的下一时刻网络处于安全状态的概率，HIcap(S2)是由网络性能状况预测出的下一时刻网络处于危险状态的概率，HIcap(S3)是由网络性能状况预测出的下一时刻网络处于未知状态的概率，基于网络当前整体安全状态及其整体变化趋势，构造网络整体安全状态对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率Ewho- (HIwho (S1) , HIwho (S2)，KIwho (S3))其中，Ewro是整体安全状态对下一时刻网络安全状态的影响的证据体，HIwho(S1)是由整体安全状态预测出的下一时刻网络处于安全状态的概率，HIwho(S2)是由整体安全状态预测出的下一时刻网络处于危险状态的概率，HIwho(S3)是由整体安全状态预测出的下一时刻网络处于未知状态的概率，构造四类用于网络安全态势预测的证据体，并依据各类证据体的概率分配方案确定各类安全状态的概率分配步骤5 :利用合成规则对四类证据体进行融合，确定下一时刻网络处于各类安全状态的新的概率分配；对四类证据体进行融合，得出新的下一时刻网络安全状态概率分配E = Eoth 0 Eith Θ Ecap 0 Ewho其中， 是两个证据体的融合运算符号，融合运算不分先后，与加法、乘法运算类似，E是下一时刻网络处于各类安全状态的新的概率分配，Eoth是外部威胁状况对下一时刻网络安全状态的影响的证据体，Eith是内部威胁状况对下一时刻网络安全状态的影响的证据体，Ecap是网络性能状况对下一时刻网络安全状态的影响的证据体，Ewro是整体安全状态对下一时刻网络安全状态的影响的证据体；对于步骤4中构造的四类证据体，不妨首先融合EraH、EITH，得出E1 = Eom Θ Eith = (/ 7, (Λ,), /77, (Λ';), m' (S,))
权利要求
1.一种网络安全状态预测方法，其特征在于步骤如下 步骤I :构造网络可能处于的所有安全状态的集合； 步骤2 :获取网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况和整体安全状态的评估值和评定等级； 步骤3 :分析出一段时间内网络的外部威胁状况、网络性能状况和整体安全状态的变化趋势； 步骤4 :基于网络当前外部威胁状况及其变化趋势，构造外部威胁状况对下一时刻安全状态的影响的证据体；基于网络当前内部威胁状况，构造内部威胁状况对下一时刻安全状态的影响的证据体；基于网络当前性能状况及其变化趋势，构造网络性能状况对下一时刻安全状态的影响的证据体；基于网络当前整体安全状态及其变化趋势，构造整体安全状态对下一时刻安全状态的影响的证据体；确定四类证据体中下一时刻网络处于各类安全状态的概率分配； 步骤5:利用合成规则对四类证据体进行融合，确定下一时刻网络处于各类安全状态的新的概率分配； 步骤6 :确定下一时刻网络处于各类安全状态的可信度区间。
2.根据权利要求I所述的一种网络安全状态预测方法，其特征在于步骤如下 步骤I :构造网络可能处于的所有安全状态的集合； 网络可能处于的所有安全状态包括安全、危险、未知，构造集合 P=IS11S2, S3I 其中，P表示网络可能处于的所有安全状态集合，S1表示网络处于安全状态，S2表示网络处于危险状态，S3表示网络处未知状态； 步骤2 :获取网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况和整体安全状态的评估值和评定等级； 从现有技术获得网络的历史和当前的安全状态的评估值，包括四个方面外部威胁状况、内部威胁状况、网络性能状态以及整体安全状态相应的评定等级高、中、低； 步骤3 :分析出一段时间内网络的外部威胁状况、网络性能状况和整体安全状态的变化趋势； 依据历史和当前的外部威胁状况、网络性能状况和整体安全状态的评估值，分析出其整体变化趋势增大或减小； 步骤4 :基于网络当前外部威胁状况及其变化趋势，构造外部威胁状况对下一时刻网络安全状态的影响的证据体；基于网络当前内部威胁状况，构造内部威胁状况对下一时刻网络安全状态的影响的证据体；基于网络当前性能状况及其变化趋势，构造网络性能状况对下一时刻网络安全状态的影响的证据体；基于网络当前整体安全状态及其变化趋势，构造整体安全状态对下一时刻网络安全状态的影响的证据体；确定四类证据体中下一时刻网络处于各类安全状态的概率分配； 基于网络当前外部威胁状况及其整体变化趋势，构造外部威胁状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率 Eoth- {IHoth (S1), HIoth (S2), HIoth (S3)} 其中，Eoth是外部威胁状况对下一时刻网络安全状态的影响的证据体，HIoth(S1)是由外部威胁状况预测出的下一时刻网络处于安全状态的概率，HIoth(S2)是由外部威胁状况预测出的下一时刻网络处于危险状态的概率，HIoth(S3)是由外部威胁状况预测出的下一时刻网络处于未知状态的概率， 基于网络当前内部威胁状况，由于内部威胁状况基于漏洞信息和病毒信息评估得出，是相对稳定的数值，因此不考虑其变化趋势，造内部威胁状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率 Eith- {mITH (S1), mITH (S2)， mITH (S3)I 其中，Eith是内部威胁状况对下一时刻网络安全状态的影响的证据体，HIith(S1)是由内部威胁状况预测出的下一时刻网络处于安全状态的概率，IHith(S2)是由内部威胁状况预测出的下一时刻网络处于危险状态的概率，HIith(S3)是由内部威胁状况预测出的下一时刻网络处于未知状态的概率， 基于网络当前性能状况及其整体变化趋势，构造网络性能状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率 Ecap- {mCAp (S1), mCAp (S2), HIcap (S3)} 其中，Ecap是网络性能状况对下一时刻网络安全状态的影响的证据体，HIcap(S1)是由网络性能状况预测出的下一时刻网络处于安全状态的概率，HIcap(S2)是由网络性能状况预测出的下一时刻网络处于危险状态的概率，HIcap(S3)是由网络性能状况预测出的下一时刻网络处于未知状态的概率， 基于网络当前整体安全状态及其整体变化趋势，构造网络整体安全状态对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率 Ewho- (mWHO (S1) , IHwho (S2)，KIwho (S3) } 其中，Ewro是整体安全状态对下一时刻网络安全状态的影响的证据体，HIwho(S1)是由整体安全状态预测出的下一时刻网络处于安全状态的概率，HIwho(S2)是由整体安全状态预测出的下一时刻网络处于危险状态的概率，HIwho(S3)是由整体安全状态预测出的下一时刻网络处于未知状态的概率， 构造四类用于网络安全态势预测的证据体，并依据各类证据体的概率分配方案确定各类安全状态的概率分配 步骤5 :利用合成规则对四类证据体进行融合，确定下一时刻网络处于各类安全状态的新的概率分配； 对四类证据体进行融合，得出新的下一时刻网络安全状态概率分配E = Eom Φ eITH Φ eCAP φ Ε Ο 其中， 是两个证据体的融合运算符号，融合运算不分先后，与加法、乘法运算类似，E是下一时刻网络处于各类安全状态的新的概率分配，Eoth是外部威胁状况对下一时刻网络安全状态的影响的证据体，E ith是内部威胁状况对下一时刻网络安全状态的影响的证据体，Ecap是网络性能状况对下一时刻网络安全状态的影响的证据体，Ewro是整体安全状态对下一时刻网络安全状态的影响的证据体； 对于步骤4中构造的四类证据体，不妨首先融合EOTH、EITH，得出
3.根据权利要求2所述的一种网络安全状态预测方法，其特征在于，步骤4中 内部威胁状况对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下所示内部威胁状况证据体各类安全状态概率分配当前内部威证据体概率分配胁状况评估值(mITH d mITH (^"2 )，mITH (^3))高(0.2，O. O, 0.3)中(O.:))，0.3，0.4)低(0.6，0.2，0.2)。
4.根据权利要求2所述的一种网络安全状态预测方法，其特征在于，步骤4中 整体安全状态对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下所示 整体安全状态证据体各类安全状态概率分配 当前整体安整体安全状态证据体概率分配全状态评估值变化趋势(A),mimo (&)，mimo (A))高增大(O. 1，O. I, O. 2)中增大(0.2，0.4，O. 4)低增大(0.4，0.2，0.4)局减小(O. 3，O. 4，O. 3)中减小(0.5，0.2，0.3)低减小(0.7，0. I, 0.2)。
5.根据权利要求2所述的一种网络安全状态预测方法，其特征在于，步骤4中 网络性能状况对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下所示 网络性能状况证据体各类安全状态概率分配当前网络if rnrnm^m( f/f体概^分配能状况评估值变化趋势k⑷為名)，"w))高增大(0.2，0.6, 0.2)中增大(0.3，0.4，0.3)低增大(0.4，0.3，0.3)高减小(0.3，0.4，0.3)中减小(0.5，0.2，0.3)低减小(0.7，0.1，0.2)。
6.根据权利要求2所述的一种网络安全状态预测方法，其特征在于，步骤4中外部威胁状况对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下表所示。
外部威胁状况证据体各类安全状态概率分配 证据体概率分配 当前外部威胁外部威胁状况( 、一一一("W ⑷,(\ ), mOTH ⑷) 状况评估值变化趋势高增大(0.2，0.5，0.3)中增大(0.3，0.4，0.3)低增大(0.5，0.2，0.3)局减小(()· 3，O. :3，O. 4 )中减小(().,1，0.2，O. 4 )低减小(0.7，O. I, 0.2)。
全文摘要
本发明属于网络安全技术领域，特别是一种网络安全状态预测方法。本发明步骤构造网络可能处于的所有安全状态的集合；获取网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况和整体安全状态的评估值、评定等级和变化趋势，构造下一时刻安全状态的影响的四类证据体，确定四类证据体中下一时刻网络处于各类安全状态的概率分配；利用合成规则对四类证据体进行融合，确定下一时刻网络处于各类安全状态的新的概率分配，确定下一时刻网络处于各类安全状态的可信度区间。利用这种方法进行网络安全状态预测，综合了历史和当前网络安全状况，预测过程更加符合实际，提升了预测结果的指导意义。
文档编号H04L29/06GK102932337SQ20121041083
公开日2013年2月13日 申请日期2012年10月24日 优先权日2012年10月24日
发明者石波, 王斌, 王红艳, 陈志浩, 马书磊, 王润高, 郭旭东 申请人:中国航天科工集团第二研究院七〇六所