本发明涉及网络信息安全领域,具体涉及下一代关键信息基础设施的网络安全态势感知系统。
背景技术:
下一代关键信息基础设施与人们的生活息息相关,保证下一代关键信息基础设施的安全稳定运行是人们的必然需求。然而恶性病毒、网络攻击、钓鱼邮件、系统漏洞等问题日渐突出,加之网络设计缺陷和软硬件漏洞,使得下一代关键信息基础设施的网络空间安全形势日趋严重,若应对不当,将会给经济发展和国家安全带来不利的影响,因此有必要设计一种下一代关键信息基础设施的网络安全态势感知系统。
技术实现要素:
针对上述问题,本发明提供下一代关键信息基础设施的网络安全态势感知系统。
本发明的目的采用以下技术方案来实现:
提供了下一代关键信息基础设施的网络安全态势感知系统,该系统包括恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块、人工智能网络安全态势评估模块和安全态势展示模块,其中恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块皆与人工智能网络安全态势评估模块连接,人工智能网络安全态势评估模块与安全态势展示模块连接;
其中,恶性病毒感知防御模块用于对下一代关键信息基础设施网络进行恶性病毒检测,将恶性病毒检测结果发送至人工智能网络安全态势评估模块,并对检测出的恶性病毒进行处理,实现对下一代关键信息基础设施网络的恶性病毒感知和防御;
漏洞扫描数据获取模块用于采用指定的漏洞扫描系统对下一代关键信息基础设施网络各主机进行漏洞扫描,获取存在中高级以上漏洞的主机信息,并将该主机信息发送至人工智能网络安全态势评估模块;
普通病毒清除数据获取模块用于统计已安装指定的网络防病毒系统的主机数量,并用于根据网络防病毒系统获取所在主机的普通病毒检测结果以及普通病毒清除结果,将获取的数据发送至人工智能网络安全态势评估模块;
人工智能网络安全态势评估模块用于按照选定时段提取恶性病毒感知防御模块、漏洞扫描数据获取模块、普通病毒清除数据获取模块发送的数据,并根据提取的数据计算该时段内下一代关键信息基础设施网络的安全态势值;
安全态势展示模块,用于通过图表展示下一代关键信息基础设施网络的历史安全态势值及相关的安全威胁处理方案。
进一步地,系统还包括人工智能预警模块,用于根据下一代关键信息基础设施网络的安全态势值定期计算网络安全警告级别,并将计算的网络安全警告级别发送给系统管理员。
优选地,所述的恶性病毒感知防御模块包括设置于下一代关键信息基础设施网络各主机上的监测单元、恶性病毒检测单元、恶性病毒防御单元;监测单元用于监测所在主机,记录所在主机的行为信息并将记录的行为信息发送至信息处理单元;恶性病毒检测单元用于对来自各个监测单元发送的行为信息进行标准恶性病毒检测,当检测到行为信息存在恶性病毒时,将该行为信息保存下来作为恶性病毒的标准特征信息,并利用恶性病毒的标准特征信息对后续的行为信息进行快速恶性病毒检测;恶性病毒防御单元与恶性病毒检测单元连接,用于根据恶性病毒检测单元输出的恶性病毒检测结果生成相应的威胁抑制/消除策略,并采用生成的威胁抑制/消除策略对受到恶性病毒感染的主机进行处理,实现对下一代关键信息基础设施网络的恶性病毒防御。
优选地,恶性病毒检测单元对来自各个监测单元发送的行为信息进行标准恶性病毒检测,具体包括:
(1)比较同一个周期内来自各个监测单元发送的行为信息,并构建主机列表,将具有相同行为信息且属性不同的主机归入同一个主机列表,并将该相同的行为信息作为对应主机列表的标识,其中具有相同的业务类型的主机属于同一属性;每个主机列表存储有作为标识的行为信息、所包含的各主机的连接节点数量以及所在的网络域信息,其中若所在主机列表中主机i与主机j交换过网络报文,则主机i与主机j互为对方的连接节点;
(2)判断各主机列表中作为标识的行为信息是否为恶性病毒,当是时,恶性病毒检测单元将该作为标识的行为信息保存下来作为恶性病毒的标准特征信息,其中,当主机列表满足下列条件时,判定该主机列表中作为标识的行为信息为恶性病毒:
式中,mk为主机列表k中包含的主机数量,nkl为主机列表k中第l个主机的连接节点数量,
优选地,所述的行为信息包括文件系统操作行为、注册表操作行为、网络报文发送行为;当两主机存在相同的文件系统操作行为、注册表操作行为或者网络报文发送行为时,判定两主机具有相同行为信息。
优选地,设定安全态势值的计算公式为:
式中,φμ表示第μ个时段内的下一代关键信息基础设施网络的安全态势值,αμ为在第μ个时段内行为信息被检测出恶性病毒的主机数量,ψ为下一代关键信息基础设施网络的主机总数量,βμ为在第μ个时段内已安装指定的网络防病毒系统、被检测出恶性病毒的主机数量,ψ1为所有主机中已安装指定的网络防病毒系统的主机数量,γμ为在第μ个时段内存在中高级以上漏洞的主机数量,δ为已安装指定的网络防病毒系统的主机数量,εμ为在第μ个时段内网络防病毒系统检测出存在普通病毒但是无法清除的主机数量,
优选地,人工智能预警模块根据下一代关键信息基础设施网络的安全态势值定期确定网络安全警告级别,具体包括:
(1)定期提取单位周期内下一代关键信息基础设施网络的安全态势值数据,根据安全态势值数据计算当前周期的下一代关键信息基础设施网络的安全威胁程度:
式中,w(t)表示第t个单位周期的下一代关键信息基础设施网络的安全威胁程度,φv+1为第t个单位周期内第v+1个时段的下一代关键信息基础设施网络的安全态势值,φv为第t个单位周期内第v个时段的下一代关键信息基础设施网络的安全态势值,θ(t)为第t个单位周期内的时段数量;
(2)确定网络安全警告级别,具体为:当前周期内所有安全态势值都大于设定的安全态势值下限,且安全威胁程度小于设定的安全威胁程度上限时,判定网络安全警告级别为普通;当前周期内所有安全态势值中有一项小于设定的安全态势值下限,且安全威胁程度小于设定的安全威胁程度上限时,判定网络安全警告级别为中级;当前周期内所有安全态势值中有两项以上小于设定的安全态势值下限,或者安全威胁程度大于设定的安全威胁程度上限时,判定网络安全警告级别为高级。
本发明的有益效果为:该下一代关键信息基础设施的网络安全态势感知系统,能够对下一代关键信息基础设施网络的风险情况进行智能感知,并自动完成风险状态分析、显示及报警工作。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1是本发明一个示例性实施例的系统结构示意框图;
图2是本发明一个示例性实施例的人工智能网络安全态势评估模块的结构示意框图。
附图标记:
恶性病毒感知防御模块1、漏洞扫描数据获取模块2、普通病毒清除数据获取模块3、人工智能网络安全态势评估模块4、安全态势展示模块5、人工智能预警模块6、监测单元10、恶性病毒检测单元20、恶性病毒防御单元30。
具体实施方式
结合以下实施例对本发明作进一步描述。
参见图1,本实施例提供了下一代关键信息基础设施的网络安全态势感知系统,其中,该系统包括恶性病毒感知防御模块1、漏洞扫描数据获取模块2、普通病毒清除数据获取模块3、人工智能网络安全态势评估模块4和安全态势展示模块5,其中恶性病毒感知防御模块1、漏洞扫描数据获取模块2、普通病毒清除数据获取模块3皆与人工智能网络安全态势评估模块4连接,人工智能网络安全态势评估模块4与安全态势展示模块5连接。
其中,恶性病毒感知防御模块1用于对下一代关键信息基础设施网络进行恶性病毒检测,将恶性病毒检测结果发送至人工智能网络安全态势评估模块4,并对检测出的恶性病毒进行处理,实现对下一代关键信息基础设施网络的恶性病毒感知和防御。
其中,本实施例中的恶性病毒指的是一种通过网络传播的计算机病毒,它不能够由现有的网络防病毒系统检测出来,具有普通病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生,对网络造成拒绝服务,以及和黑客技术相结合等等。常见的恶性病毒例如主机蠕虫、网络蠕虫等。
其中,漏洞扫描数据获取模块2用于采用指定的漏洞扫描系统对下一代关键信息基础设施网络各主机进行漏洞扫描,获取存在中高级以上漏洞的主机信息,并将该主机信息发送至人工智能网络安全态势评估模块4。
其中,普通病毒清除数据获取模块3用于统计已安装指定的网络防病毒系统的主机数量,并用于根据网络防病毒系统获取所在主机的普通病毒检测结果以及普通病毒清除结果,将获取的数据发送至人工智能网络安全态势评估模块4。
其中,人工智能网络安全态势评估模块4用于按照选定时段提取恶性病毒感知防御模块1、漏洞扫描数据获取模块2、普通病毒清除数据获取模块3发送的数据,并根据提取的数据计算该时段内下一代关键信息基础设施网络的安全态势值。
其中,安全态势展示模块5,用于通过图表展示下一代关键信息基础设施网络的历史安全态势值及相关的安全威胁处理方案。该相关的安全威胁处理方案可以由专家根据历史经验进行设置。
本实施例中,该下一代关键信息基础设施的网络安全态势感知系统,能够对下一代关键信息基础设施网络的风险情况进行智能感知,并自动完成风险状态分析、显示及报警工作。
进一步地,系统还包括人工智能预警模块6,用于根据下一代关键信息基础设施网络的安全态势值定期计算网络安全警告级别,并将计算的网络安全警告级别发送给系统管理员。
其中,人工智能预警模块6采用语音电话、短信、微信推送机或者系统消息的方式将计算的网络安全警告级别发送给系统管理员。
本发明上述实施例使得系统具备自动预警的功能,通过人工智能预警模块6自动计算网络安全警告级别并通知到相关的系统管理员,能够便于系统管理员及时获取下一代关键信息基础设施网络的风险程度。
在一个实施例中,如图2所示,所述的恶性病毒感知防御模块1包括设置于下一代关键信息基础设施网络各主机上的监测单元10、恶性病毒检测单元20、恶性病毒防御单元30;监测单元10用于监测所在主机,记录所在主机的行为信息并将记录的行为信息发送至信息处理单元;恶性病毒检测单元20用于对来自各个监测单元10发送的行为信息进行标准恶性病毒检测,当检测到行为信息存在恶性病毒时,将该行为信息保存下来作为恶性病毒的标准特征信息,并利用恶性病毒的标准特征信息对后续的行为信息进行快速恶性病毒检测;恶性病毒防御单元30与恶性病毒检测单元20连接,用于根据恶性病毒检测单元20输出的恶性病毒检测结果生成相应的威胁抑制/消除策略,并采用生成的威胁抑制/消除策略对受到恶性病毒感染的主机进行处理,实现对下一代关键信息基础设施网络的恶性病毒防御。
在一种可选的实施方式中,可以根据恶性病毒检测结果进行分析,确定恶性病毒的传播范围,进而确定受到恶性病毒感染的主机。其中,采用生成的威胁抑制/消除策略对受到恶性病毒感染的主机进行处理,包括利用生成的威胁抑制/消除策略设计防火墙规则,从而利用防火墙规则对受到恶性病毒感染的主机进行威胁隔离。
上述实施例从网络全局的层次对恶性病毒入侵进行感知,首先对来自各个监测单元10发送的行为信息进行标准恶性病毒检测,当检测到恶性病毒后,将相应的主机行为信息保存下来作为恶性病毒的特征信息,并在之后的恶性病毒检测中利用该保存的恶性病毒的特征信息进行恶性病毒检测。上述实施例在初始时并不需要获取恶性病毒的样本特征,而且在后续利用检测出的恶性病毒信息作为样本进行检测,能够大幅度提高恶性病毒的检测速度,提高下一代关键信息基础设施网络风险检测的效率。
在一个实施例中,恶性病毒检测单元20对来自各个监测单元10发送的行为信息进行标准恶性病毒检测,具体包括:
(1)比较同一个周期内来自各个监测单元10发送的行为信息,并构建主机列表,将具有相同行为信息且属性不同的主机归入同一个主机列表,并将该相同的行为信息作为对应主机列表的标识,其中具有相同的业务类型的主机属于同一属性;每个主机列表存储有作为标识的行为信息、所包含的各主机的连接节点数量以及所在的网络域信息,其中若所在主机列表中主机i与主机j交换过网络报文,则主机i与主机j互为对方的连接节点;
其中,所述的行为信息包括文件系统操作行为、注册表操作行为、网络报文发送行为;当两主机存在相同的文件系统操作行为、注册表操作行为或者网络报文发送行为时,判定两主机具有相同行为信息;
(2)判断各主机列表中作为标识的行为信息是否为恶性病毒,当是时,恶性病毒检测单元20将该作为标识的行为信息保存下来作为恶性病毒的标准特征信息,其中,当主机列表满足下列条件时,判定该主机列表中作为标识的行为信息为恶性病毒:
式中,mk为主机列表k中包含的主机数量,nkl为主机列表k中第l个主机的连接节点数量,
本实施例设定了对行为信息进行标准恶性病毒检测的机制,该机制使用多元化的行为信息记录作为对恶性病毒的跟踪线索,能够捕捉到恶性病毒通过多种方式传播的记录,从而适用于检测具有不同传播方式的恶性病毒;该机制基于相同行为信息在网络中的传播现象来检测恶性病毒,符合恶性病毒的本质特征,其中,本实施例创新性地设定了恶性病毒的判定条件,基于该判定条件检测该主机列表中作为标识的行为信息是否为恶性病毒,方式简单,提高了恶性病毒的检测效率。
在一个实施例中,设定安全态势值的计算公式为:
式中,φμ表示第μ个时段内的下一代关键信息基础设施网络的安全态势值,αμ为在第μ个时段内行为信息被检测出恶性病毒的主机数量,ψ为下一代关键信息基础设施网络的主机总数量,βμ为在第μ个时段内已安装指定的网络防病毒系统、被检测出恶性病毒的主机数量,ψ1为所有主机中已安装指定的网络防病毒系统的主机数量,γμ为在第μ个时段内存在中高级以上漏洞的主机数量,δ为已安装指定的网络防病毒系统的主机数量,εμ为在第μ个时段内网络防病毒系统检测出存在普通病毒但是无法清除的主机数量,
本实施例根据恶性病毒感知防御模块1、漏洞扫描数据获取模块2、普通病毒清除数据获取模块3发送的数据,从恶性病毒检测率、漏洞检测率以及普通病毒清除率多个角度出发,设定了安全态势值的计算公式,能够较综合全面、客观真实地反映下一代关键信息基础设施网络安全态势;人工智能网络安全态势评估模块4通过该计算公式自动地分析并计算出各时段的安全态势值,不需要人为去统计,大大节省了人力,提高了网络安全态势预测和评估的效率。
在一个实施例中,人工智能预警模块6根据下一代关键信息基础设施网络的安全态势值定期确定网络安全警告级别,具体包括:
(1)定期提取单位周期内下一代关键信息基础设施网络的安全态势值数据,根据安全态势值数据计算当前周期的下一代关键信息基础设施网络的安全威胁程度:
式中,w(t)表示第t个单位周期的下一代关键信息基础设施网络的安全威胁程度,φv+1为第t个单位周期内第v+1个时段的下一代关键信息基础设施网络的安全态势值,φv为第t个单位周期内第v个时段的下一代关键信息基础设施网络的安全态势值,θ(t)为第t个单位周期内的时段数量;
(2)确定网络安全警告级别,具体为:当前周期内所有安全态势值都大于设定的安全态势值下限,且安全威胁程度小于设定的安全威胁程度上限时,判定网络安全警告级别为普通;当前周期内所有安全态势值中有一项小于设定的安全态势值下限,且安全威胁程度小于设定的安全威胁程度上限时,判定网络安全警告级别为中级;当前周期内所有安全态势值中有两项以上小于设定的安全态势值下限,或者安全威胁程度大于设定的安全威胁程度上限时,判定网络安全警告级别为高级。
本实施例设定了网络安全警告级别的确定机制,该机制在判定网络安全警告级别时,不仅考虑了安全态势值的大小情况,还考虑了当前周期的下一代关键信息基础设施网络的安全威胁程度,其中本实施例创新性地设定了下一代关键信息基础设施网络的安全威胁程度的计算公式,计算出的安全威胁程度能够客观准确真实地反映出下一代关键信息基础设施网络的安全态势值变化程度,基于安全态势值和安全威胁程度来判定网络安全警告级别,使得网络安全警告级别的确定更加客观、准确。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。