一种网络安全状态的判断与保护方法与流程

本发明涉及网络安全与管理领域，具体涉及一种网络安全状态的判断与保护方法。

背景技术：

随着计算机、通信等信息技术的快速发展，Internet在全球日益普及，已应用到人们工作、学习和生活的方方面面。到2013年底，Internet已经覆盖全球近40％的人口，用户数达到了27亿，在中国，网民数量也快速发展到6.18亿。其应用也在快速增长，其中电子商务、社交网络的发展进一步促进了Internet的繁荣。然而，随着Internet的广泛应用，其安全问题也日益凸显。那些网络攻击者、黑客们在追逐利益、报复、破坏等心理的驱动下，针对计算机网络系统的漏洞和脆弱环节，采用各种各样的攻击手段，窃取、篡改和删除网络数据，破坏系统的可用性，造成系统瘫痪，等等。

面对当前严重的网络安全威胁，传统的安全防护手段，如入侵检测、防火墙以及用户认证等，虽然从一定程度上提高了网络的安全性，但是这些技术相互孤立，彼此之间没有有效的统一管理调度机制，不能互相支撑、协同工作，使其安全防护没有针对性，其防护功能也未得到充分发挥。因此，需要网络安全管理员对整个网络的安全状况有一个全局的把握，实现对网络安全事件的预警，并以此来进行决策，实施具体的安全防护措施。而如何评估网络的总体安全状况，可采用网络安全态势感知技术。

网络安全态势感知是实时地监测网络安全状态，快速准确地做出安全状态评判，并能利用网络安全属性的历史记录，以多角度、多尺度的可视化方式，为用户提供一个准确直观的网络安全态势走向图。现有关于网络安全态势感知的研究成果和实际系统大多数采用层次化的指标体系和指标加权的评估模型。其中，指标权重参数的选择对网络安全态势感知结果准确与否有着重大影响。

现有的指标权重参数选取方法可以分为以下三种：(1)专家人为地根据各指标体系的重要程度进行打分，最后根据打分值来确定指标的加权参数，在实际应用中缺乏灵活 性，无法准确反映出当前的网络环境状态；(2)根据通用漏洞评分系统确定指标体系的权重值，该方法只适用于安全漏洞相关的指标体系，对于网络异常、攻击事件等指标体系的权重无法确定；(3)依据攻击图谱，由易受攻击的脆弱程度来确定指标体系的权重值，但现有的攻击图谱建立方法只适用于小规模网络，因此,如何快速高效地建立大规模网络的攻击图谱目前是一个挑战。

技术实现要素：

有鉴于此，本发明提供一种网络安全状态的判断与保护方法，该方法能够动态地进行在线更新，并明确网络安全态势感知中度量指标计算结果值的物理含义；使得网络安全态势感知结果能迅速反映出当前网络的安全问题；当安全威胁事件消除后，相应度量指标的权重值恢复至原始值，保证了态势感知结果的一致性；当网络未检测出安全威胁，整体运行正常时，网络安全态势感知计算结果趋近于安全基准线值，从而让度量指标的计算结果值更贴近网络实际情形，有效且客观地反映出当前网络的整体安全状态。

本发明的目的是通过以下技术方案实现的：

一种网络安全状态的判断与保护方法，所述方法包括如下步骤：

步骤1.确定网络的安全基准线值；

步骤2.确定所述网络安全状态的度量指标的初始权重值；

步骤3.检测所述网络是否存发生安全威胁事件；

若是，则进入步骤4；

若否，则判断所述网络运行正常，并进入步骤6；

步骤4.记录所述安全威胁事件的参数值，并调整相应的所述度量指标的权重值；进入步骤5；

步骤5.判断所述安全威胁事件是否消除；

若是，则将所述度量指标的权重值恢复为调整前的原始数值，进入步骤6；

若否，则返回步骤4；

步骤6.调整所述度量指标的权重值，减小所述网络状态度量计算结果与安全基准线值间的差值。

优选的，所述步骤1包括：

1-1.记录网络在记录时间段T内正常运行的天数A，且T>A；

1-2.根据网络态势感知计算结果的最大值为N及最小值为M，得到网络安全态势感知计算的结果区间[M，N]；

确定在结果区间[M，N]中的网络态势感知计算结果值Q；

1-3.判断所述结果值Q是否满足

若是，则确定网络的所述安全基准线值L为：

若否，则确定网络的所述安全基准线值L为：

优选的，所述步骤2包括：

2-1.构造由矩阵元素a_ij构成的所述网络安全状态的度量指标的判断矩阵B，所述矩阵元素a_ij为指标a_i对指标a_j的相对重要性数值，即判断矩阵B中第i行第j列的元素值；

2-2.计算所述判断矩阵B中每行的各个元素乘积的n次方根值v_i：

2-3.归一化向量V＝(v₁,v₂,…,v_n)^T，得到最大特征值对应的特征向量、即所述网络安全状态的度量指标的初始权重值集W：

W＝(w₁,w₂,…,w_n)^T (4)

式(4)中，w_i为第i个被比较元素对于准则的相对权重，且

2-4.进行一致性检验，确定所述判断矩阵B的最大特征值λ_max：

2-5.根据最大特征值λ_max，分别确定一致性指标CI和一致性比例CR：

式(6)中，RI为平均随机一致性指标标准值；

2-6.根据RI对所述网络安全状态的度量指标进行一致性检验，合格的度量指标a_i进入步骤3，不合格的度量指标返回步骤2-1。

优选的，所述步骤4包括：

4-1.记录所述安全威胁事件的参数值，所述参数值包括威胁内容、威胁源头、威胁对象及检测时间t_ai的值；

其中，所述安全威胁事件与网络安全态势感知的指标一一对应；所述安全威胁事件包括网络攻击事件、病毒木马检测事件、网络流量吞吐量异常事件、网络拓扑异常事件及主机漏洞事件；

4-2.根据所述威胁内容及威胁对象，得到所述安全威胁事件的威胁严重程度d_ai；

4-3.判断所述结果值Q是否满足

若是，则调整所述安全威胁事件直接对应的度量指标ai的现有权重值wo(ai)为新权重值wn(ai)：

w_n(a_i)＝w_o(a_i)-(t_c-t_ai)*d_ai (8)

若否，则调整所述安全威胁事件直接对应的度量指标a_i的现有权重值w_o(a_i)为新权重值w_n(a_i)：

w_n(a_i)＝w_o(a_i)-(t_c-t_ai)*d_ai (9)

式(8)和(9)中，t_c为更新权重的系统的当前时间，且t_c>t_ai；

4-4.计算权重调整后的差值Δw(a_i)：

w(a_i)＝w_n(a_i)-w_o(a_i) (10)

若多次权重调整差值的累计和|ΣΔw(a_i)超过设定的阈值th_w，则进入步骤4-5；

若多次权重调整差值的累计和|ΣΔw(a_i)未超过设定的阈值th_w，则进入步骤5；

4-5.调整上一级指标的现有权重

判断所述结果值Q是否满足

若是，则上一级指标的新的权重为：

若否，则上一级指标的新的权重为：

式(11)和(12)中，λ为调整的幅度乘积因子，其值由网络管理人员配置；若指标的权重调整差值的累计和超过设定的阈值th_w，使用步骤3-4中计算方法调整其上一级指标，以此类推，直至最上层指标；进入步骤5。

优选的，所述4-2包括：

根据所述威胁内容及威胁对象统计所述安全威胁事件发生的次数n；

根据通用漏洞评分系统确定所述威胁内容对应的评分分数c；

根据网络资产重要性评估方法，确定威胁对象的重要性的分值z；

得到所述安全威胁事件的威胁严重程度d_ai为：

d_ai＝e^-(n*c*z) (7)。

优选的，所述步骤5包括：

5-1.统计度量指标对应的权重调整的最大差值Δw_max(ai)；

5-2.判断所述度量指标ai对应的安全威胁事件是否已全部消除；

若是，则将所述度量指标的权重值恢复为调整前的原始数值，进入步骤6；

若否，则所述度量指标的权重值不变，返回步骤4。

优选的，所述步骤6包括：

根据各所述度量指标权重调整的最大差值Δw_max(a_i)的相对大小和安全基准线值L，执行度量指标全局权重优化，减小网络安全态势感知计算结果与所述安全基准线值的差 值。

优选的，所述执行度量指标全局权重优化，减小网络安全态势感知计算结果与所述安全基准线值的差值，包括：

a.在变量约束范围内初始化粒子群，粒子的个体极值和个体均值均为初始值，精英集为空，达代次数为0；

b.根据控制变量所代表的权重优化方案进行得分计算并由此计算粒子的多目标适应值；

c.保留本次迭代的最优解，并使用快速排序法构造粒子群的非支配解集；

d.计算非支配解集中各粒子的拥挤度距离；

e.更新精英集，保留当前的最优解；

f.更新所述粒子的个体极值和全局极值，确定新的搜索方向；

g.根据所述新的搜索方向，更新所述粒子速度和位置，搜索新的优化方案；

h.若所述新的优化方案不满足结束准测，则返回步骤6-2；若所述新的优化方案满足结束准测；则当前网络安全状态的判断与保护结束。

从上述的技术方案可以看出，本发明提供了一种网络安全状态的判断与保护方法，通过确定网络的安全基准线值及网络安全状态的度量指标的初始权重值；检测安全威胁事件及调整度量指标的权重值；判断安全威胁事件是否消除；减小网络状态度量计算结果与安全基准线值间的差值。本发明提出的方法能够动态地进行在线更新，并明确网络安全态势感知中度量指标计算结果值的物理含义；使得网络安全态势感知结果能迅速反映出当前网络的安全问题；当安全威胁事件消除后，保证了态势感知结果的一致性；当网络未检测出安全威胁，网络安全态势感知计算结果趋近于安全基准线值，从而让度量指标的计算结果值更贴近网络实际情形，有效且客观地反映出当前网络的整体安全状态。

与最接近的现有技术比，本发明提供的技术方案具有以下优异效果：

1、本发明所提供的技术方案中，通过确定网络的安全基准线值及网络安全状态的度量指标的初始权重值；检测安全威胁事件及调整度量指标的权重值；判断安全威胁事件是否消除；减小网络状态度量计算结果与安全基准线值间的差值。本发明提出的方法能够动态地进行在线更新，并明确网络安全态势感知中度量指标计算结果值的物理含义；有效且客观地反映出当前网络的整体安全状态。

2、本发明所提供的技术方案，第一次提出根据网络安全威胁事件发生的次数、威胁内容的严重性、威胁目标资产的重要性以及威胁持续时间的长短来动态调整网络安全态势感知度量指标的权重值，与现有方法相比，提升了网络安全态势感知度量指标的权重值计算方法的通用性。

3、本发明所提供的技术方案，使用一定时间断范围内网络正常运行的天数要求为标准计算网络安全基准线值，且当网络运行正常时，调整度量指标的权重值，使得网络安全态势感知计算结果趋近于安全基准线值，从而明确网络安全态势感知中度量指标计算结果值的物理含义。

4、本发明所提供的技术方案，使用AHP算法确定网络安全态势感知各指标的初始权重值，在初始值确定方面充分考虑网络管理人员和网络安全专家对各度量指标相对重要性的判断；当安全威胁事件发生时，相应度量指标的权重值增加，使得网络安全态势感知结果能迅速反映出当前网络的安全问题；当安全威胁事件消除后，相应度量指标的权重值恢复至原始值，保证了态势感知结果的一致性；当网络未检测出安全威胁，整体运行正常时，根据统计的各度量指标安全威胁事件总数量的相对大小和安全基准线值，执行度量指标全局权重优化，使得网络安全态势感知计算结果趋近于安全基准线值，从而让度量指标的计算结果值更贴近网络实际情形，更能客观反映出当前网络的整体安全状态。

5、本发明所提供的技术方案，使用多目标粒子群算法求解网络安全态势感知计算结果趋近于安全基准线值此多目标优化问题时，以各度量指标权重调整的最大差值的相对大小为约束条件，从而使得度量指标的权重值能准确反映出当前的网络安全威胁。

6、本发明提供的技术方案，应用广泛，具有显著的社会效益和经济效益。

附图说明

图1是本发明的一种网络安全状态的判断与保护方法的流程图；

图2是本发明的具体应用例的网络安全态势感知度量指标权重计算方法的详细流程图；

图3是本发明的具体应用例的网络安全态势感知度量指标权重计算方法的功能结构图；

图4是本发明的具体应用例的网络安全态势感知度量指标和权重示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明提供一种网络安全状态的判断与保护方法，包括如下步骤：

步骤1.确定网络的安全基准线值；

步骤2.确定网络安全状态的度量指标的初始权重值；

步骤3.检测网络是否存发生安全威胁事件；

若是，则进入步骤4；

若否，则判断网络运行正常，并进入步骤6；

步骤4.记录安全威胁事件的参数值，并调整相应的度量指标的权重值；进入步骤5；

步骤5.判断安全威胁事件是否消除；

若是，则将度量指标的权重值恢复为调整前的原始数值，进入步骤6；

若否，则返回步骤4；

步骤6.调整度量指标的权重值，减小网络状态度量计算结果与安全基准线值间的差值。

其中，步骤1包括：

1-1.记录网络在记录时间段T内正常运行的天数A，且T>A；

1-2.根据网络态势感知计算结果的最大值为N及最小值为M，得到网络安全态势感知计算的结果区间[M，N]；

确定在结果区间[M，N]中的网络态势感知计算结果值Q；

1-3.判断结果值Q是否满足

若是，则确定网络的安全基准线值L为：

若否，则确定网络的安全基准线值L为：

其中，步骤2包括：

2-1.构造由矩阵元素a_ij构成的网络安全状态的度量指标的判断矩阵B，矩阵元素a_ij为指标a_i对指标a_j的相对重要性数值，即判断矩阵B中第i行第j列的元素值；

2-2.计算判断矩阵B中每行的各个元素乘积的n次方根值v_i：

2-3.归一化向量V＝(v₁,v₂,…,v_n)^T，得到最大特征值对应的特征向量、即网络安全状态的度量指标的初始权重值集W：

W＝(w₁,w₂,…,w_n)^T (4)

式(4)中，w_i为第i个被比较元素对于准则的相对权重，且

2-4.进行一致性检验，确定判断矩阵B的最大特征值λ_max：

2-5.根据最大特征值λ_max，分别确定一致性指标CI和一致性比例CR：

式(6)中，RI为平均随机一致性指标标准值；

2-6.根据RI对网络安全状态的度量指标进行一致性检验，合格的度量指标a_i进入步骤3，不合格的度量指标返回步骤2-1。

其中，步骤4包括：

4-1.记录安全威胁事件的参数值，参数值包括威胁内容、威胁源头、威胁对象及检测时间t_ai的值；

其中，安全威胁事件与网络安全态势感知的指标一一对应；安全威胁事件包括网络攻击事件、病毒木马检测事件、网络流量吞吐量异常事件、网络拓扑异常事件及主机漏洞事件；

4-2.根据威胁内容及威胁对象，得到安全威胁事件的威胁严重程度d_ai；

4-3.判断结果值Q是否满足

若是，则调整安全威胁事件直接对应的度量指标ai的现有权重值wo(ai)为新权重值wn(ai)：

w_n(a_i)＝w_o(a_i)-(t_c-t_ai)*d_ai (8)

若否，则调整安全威胁事件直接对应的度量指标a_i的现有权重值w_o(a_i)为新权重值w_n(a_i)：

w_n(a_i)＝w_o(a_i)-(t_c-t_ai)*d_ai (9)

式(8)和(9)中，t_c为更新权重的系统的当前时间，且t_c>t_ai；

4-4.计算权重调整后的差值Δw(a_i)：

w(a_i)＝w_n(a_i)-w_o(a_i) (10)

若多次权重调整差值的累计和|ΣΔw(a_i)|超过设定的阈值th_w，则进入步骤4-5；

若多次权重调整差值的累计和|ΣΔw(a_i)|未超过设定的阈值th_w，则进入步骤5；

4-5.调整上一级指标的现有权重

判断结果值Q是否满足

若是，则上一级指标的新的权重为：

若否，则上一级指标的新的权重为：

式(11)和(12)中，λ为调整的幅度乘积因子，其值由网络管理人员配置；若指标的权重调整差值的累计和超过设定的阈值th_w，使用步骤3-4中计算方法调整其上一级指标，以此类推，直至最上层指标；进入步骤5。

其中，4-2包括：

根据威胁内容及威胁对象统计安全威胁事件发生的次数n；

根据通用漏洞评分系统确定威胁内容对应的评分分数c；

根据网络资产重要性评估方法，确定威胁对象的重要性的分值z；

得到安全威胁事件的威胁严重程度d_ai为：

d_ai＝e^-(n*c*z) (7)。

其中，步骤5包括：

5-1.统计度量指标对应的权重调整的最大差值Δw_max(ai)；

5-2.判断度量指标ai对应的安全威胁事件是否已全部消除；

若是，则将度量指标的权重值恢复为调整前的原始数值，进入步骤6；

若否，则度量指标的权重值不变，返回步骤4。

其中，步骤6包括：

根据各度量指标权重调整的最大差值Δw_max(a_i)的相对大小和安全基准线值L，执行度量指标全局权重优化，减小网络安全态势感知计算结果与安全基准线值的差值。

其中，执行度量指标全局权重优化，减小网络安全态势感知计算结果与安全基准线值的差值，包括：

a.在变量约束范围内初始化粒子群，粒子的个体极值和个体均值均为初始值，精英集为空，达代次数为0；

b.根据控制变量所代表的权重优化方案进行得分计算并由此计算粒子的多目标适应值；

c.保留本次迭代的最优解，并使用快速排序法构造粒子群的非支配解集；

d.计算非支配解集中各粒子的拥挤度距离；

e.更新精英集，保留当前的最优解；

f.更新粒子的个体极值和全局极值，确定新的搜索方向；

g.根据新的搜索方向，更新粒子速度和位置，搜索新的优化方案；

h.若新的优化方案不满足结束准测，则返回步骤6-2；若新的优化方案满足结束准测；则当前网络安全状态的判断与保护结束。

如图2所示，本发明提供一种网络安全状态的判断与保护方法的具体应用例，包括如下步骤：

图3给出了一种网络安全态势感知度量指标权重计算方法的组成结构图，它主要包括五个部分：

(1)确定网络安全基准线值；

(2)确定度量指标的初始权重值；

(3)当检测出新的安全威胁事件，调整相应度量指标的权重值；

(4)当安全威胁事件消除后，调整相应度量指标的权重值；

(5)网络运行正常，未检测出安全威胁事件，调整度量指标的权重值，使得网络安全态势感知计算结果趋近于安全基准线值。

为了方便描述，我们假设有如下应用实例：

某电力公司采用如图4所示的分层指标度量来其信息网络安全态势值。异常流量a₁、网络攻击a₂和病毒木马a₃为一级指标，在各一级指标下，分设二级指标，如异常流量包括吞吐率异常a₁₁、访问请求异常a₁₂以及加密流量异常a₁₃等，其中异常流量的权重 为w₁，吞吐率异常、访问请求异常以及加密流量异常的权重分别为w₁₁、w₁₂和w₁₃。网络安全态势综合指数可计算为：w₁*(w₁₁*吞吐率异常的值+w₁₂*访问请求异常的值+w₁₃*加密流量异常的值)+w₂*(w₂₁*防火墙攻击检测事件的值+w₂₂*IDS入侵检测事件的值)+w₃*(w₃₁*杀毒软件病毒检测事件的值+w₃₂*基于主机的入侵防御系统检测事件的值)。

其具体的实施方案为：

首先，计算网络安全基准线的值。设定365天当中要求的网络正常运行的天数为219，网络安全态势综合指数的范围为0至100，且指数的数值越大表示网络越安全，则网络安全基准线L的值计算为：

其次，使用AHP算法确定网络安全态势感知各指标的初始权重值。以w₁₁、w₁₂和w₁₃的值计算为例。判断矩阵B如下所示，该矩阵由网络专家设定，表示各指标间的相对重要性。

判断矩阵B

根据判断矩阵B求出的特征向量W为(0.6986，0.2370，0.0643)。计算矩阵B的最大特征值λ_max为3.0940。一致性检验算得CR＝0.0810，小于平均随机一致性指标0.1，满足一致性要求。因此w₁₁、w₁₂和w₁₃的值分别为0.6986，0.2370，0.0643。

当检测到网络流量吞吐率异常时，即在吞吐率异常指标下检测出一次安全威胁事件，设定该威胁的评分分数c值为2，资产重要性n值为3，则威胁严重程度为d_ai可计算为e^-(1*2*3)＝e^-6。

在检测到该威胁的第二天，该威胁还未消除，则其权重值w₁₁更新为w₁₁＝0.6986-e^-6＝0.6961。

在检测到该威胁的第三天，该威胁还未消除，则其权重值w₁₁更新为w₁₁＝0.6986-2*e^-6＝0.6936。

在检测到该威胁的第四天，该威胁被成功消除，则其权重值w₁₁更新为原始值，即w₁₁＝0.6986。度量指标a₁权重调整的最大差值Δw_max(a₁)＝0.6986-0.6936＝0.0050。

当网络运行正常，未检测到安全威胁事件时运行多目标粒子群优化算法，进行各个指标权重的调整。设定经过多次权重调整，有Δw_max(a₃)>Δw_max(a₁)>Δw_max(a₂)， Δw_max(a₁₁)>Δw_max(a₁₂)>Δw_max(a₁₃)，Δw_max(a₂₂)>Δw_max(a₂₁)，Δw_max(a₃₂)>Δw_max(a₃₁)。多目标粒子群优化算法的约束条件为：

(1)L＝60

(2)w₁+w₂+w₃＝1，且w₃>w₁>w₂

(3)w₁₁+w₁₂+w₁₃＝1，且w₁₁>w₁₂>w₁₃

(4)w₂₁+w₂₂＝1，且w₂₂>w₂₁

(5)w₃₁+w₃₂＝1，且w₃₂>w₃₁

计算得出的各度量指标的权重值分别为：w₁＝0.25，w₂＝0.35，w₃＝0.4，w₁₁＝0.6，w₁₂＝0.28，w₁₃＝0.12，w₂₁＝0.44，w₂₂＝0.56，w₃₁＝0.67，w₃₂＝0.33。

以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员依然可以对本发明的具体实施方式进行修改或者等同替换，而这些未脱离本发明精神和范围的任何修改或者等同替换，其均在申请待批的本发明的权利要求保护范围之内。