一种分布式态势感知调用方法和装置与流程

本申请涉及网络安全技术领域，尤其涉及一种分布式态势感知调用方法和装置。

背景技术：

下一代网络包括车联网、物联网、云网络、工业互联网、视频监控网都需要调用态势感知功能，而搭建态势感知平台却是一项复杂、昂贵的工作，由此需要能够提供态势感知服务的业务提供商，将态势感知虚拟为插件或组件方便客户调用。

同时，现有的态势感知技术采用简单的态势理解，就可以得出关于整个装置的安全态势评估结果，无法定量地给出态势评估的报告，更无法基于态势评估的结果进行安全态势的预测，其利用价值非常有限。

本发明意图不仅在算法上充分评估整个网络以及每一个单个设备，而且可以基于给出的态势值，将其与每一个设备、每一个分层建立关联，对于不同的规则进行规则检测，计算风险值，从而可以对未来的装置进行科学地预测，为用户提供有价值的参考建议。

技术实现要素：

本发明的目的在于提供一种分布式态势感知调用方法和装置，将采集不同信息来源的接口封装起来，方便客户调用，通过预处理得到统一格式的数据流，从该数据流中提取高频项目组要素，生成高频关联规则，送入态势评估进行评估量化，通过与不同评估体系的融合，以及模糊处理数据要素，得到单个设备、局部网络的态势值，结合整个网络的架构组成，得到整个装置的态势值，将不同层次的态势值导入神经网络模型进行预测，最后可视化展示预测结果。

第一方面，本申请提供一种分布式态势感知调用方法，所述方法包括：

将可接收不同信息来源的接口虚拟成一个对外数据接口，方便其他网络调用，不同信息来源之间彼此相互独立，不会发现其他信息来源的接口，自适应对应相应接口；通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据；

接收采集数据后，清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，分入对应的字段，合并成数据流；

从合并后的数据流提取要素，发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息，从中发掘高频项目组，根据高频项目组对应的信息生成高频关联规则，加大其对应的权重，组成频繁模式树状结构；

判断规则队列是否为空，若为空则与子规则库进行匹配查询，将查询到的子规则作为指定的关联规则，依据子规则进行规则检测；若不为空则进行规则检测；所述规则检测计算风险值，发出对应的报警信息；

根据所述频繁模式树状结构，调用分布式数据库，查询地址相邻相近的资产态势信息，查询访问对象所属同层的资产态势信息，以及查询流量速度、流量总量相似的资产态势信息；

判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞，判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警，判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化，计算单个关键设备的安全态势值；

所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数n、攻击的严重程度d、攻击时刻t，得到分布式均衡服务器下的单个关键设备的安全态势值rservice(s,k,n,d,t)＝n(t)·10^d(t),n(t)表示t时刻攻击所发生的次数，用10^d(t)计算攻击的威胁程度，反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度；

将邻近的若干个单个关键设备，或者依据有业务交互的若干个单个关键设备，组成局部网络，再次调用分布式数据库，由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例，根据业务优先级引入模糊处理计算局部网络的安全态势值；

向分布式均衡服务器请求网络拓扑关系，根据多个局部网络的拓扑关系，模糊处理计算整个网络的安全态势值；

分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型，通过神经网络模型推演，得出未来一段时间关于攻击者来源和攻击范围的预测，由分布式均衡服务器返回预测结果；

将单个关键设备、局部网络和整个网络的安全态势值，攻击者来源和攻击范围的预测结果送出进行可视化展示。

结合第一方面，在第一方面第一种可能的实现方式中，所述从合并后的数据流提取要素，包括：调用以往历史数据的评估模型、关联规则和指标库，从数据流的相应字段中提取要素信息。

结合第一方面，在第一方面第二种可能的实现方式中，所述清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，是基于mapreduce分布式并行计算处理的。

结合第一方面，在第一方面第三种可能的实现方式中，所述模糊处理计算是基于d-s理论与模糊集相结合的方法，计算攻击发生支持的概率。

第二方面，本申请提供一种分布式态势感知调用装置，所述装置包括：

对外接口单元，用于将可接收不同信息来源的接口虚拟成一个对外数据接口，方便其他网络调用，不同信息来源之间彼此相互独立，不会发现其他信息来源的接口，自适应对应相应接口；通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据；

预处理单元，用于接收采集数据后，清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，分入对应的字段，合并成数据流；

态势理解单元，用于从合并后的数据流提取要素，发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息，从中发掘高频项目组，根据高频项目组对应的信息生成高频关联规则，加大其对应的权重，组成频繁模式树状结构；

判断规则队列是否为空，若为空则与子规则库进行匹配查询，将查询到的子规则作为指定的关联规则，依据子规则进行规则检测；若不为空则进行规则检测；所述规则检测计算风险值，发出对应的报警信息；

态势评估单元，用于根据所述频繁模式树状结构，调用分布式数据库，查询地址相邻相近的资产态势信息，查询访问对象所属同层的资产态势信息，以及查询流量速度、流量总量相似的资产态势信息；判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞，判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警，判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化，计算单个关键设备的安全态势值；

所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数n、攻击的严重程度d、攻击时刻t，得到分布式均衡服务器下的单个关键设备的安全态势值rservice(s,k,n,d,t)＝n(t)·10^d(t),n(t)表示t时刻攻击所发生的次数，用10^d(t)计算攻击的威胁程度，反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度；

将邻近的若干个单个关键设备，或者依据有业务交互的若干个单个关键设备，组成局部网络，再次调用分布式数据库，由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例，根据业务优先级引入模糊处理计算局部网络的安全态势值；

向分布式均衡服务器请求网络拓扑关系，根据多个局部网络的拓扑关系，模糊处理计算整个网络的安全态势值；

态势预测单元，用于分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型，通过神经网络模型推演，得出未来一段时间关于攻击者来源和攻击范围的预测，由分布式均衡服务器返回预测结果；

态势输出单元，用于将单个关键设备、局部网络和整个网络的安全态势值，攻击者来源和攻击范围的预测结果送出进行可视化展示。

结合第二方面，在第二方面第一种可能的实现方式中，所述态势理解单元从合并后的数据流提取要素，包括：调用以往历史数据的评估模型、关联规则和指标库，从数据流的相应字段中提取要素信息。

结合第二方面，在第二方面第二种可能的实现方式中，所述预处理单元清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，是基于mapreduce分布式并行计算处理的。

结合第二方面，在第二方面第三种可能的实现方式中，所述态势评估单元模糊处理计算是基于d-s理论与模糊集相结合的方法，计算攻击发生支持的概率。

本发明提供一种分布式态势感知调用方法和装置，将采集不同信息来源的接口封装起来，方便客户调用，通过预处理得到统一格式的数据流，从该数据流中提取高频项目组要素，生成高频关联规则，送入态势评估进行评估量化，通过与不同评估体系的融合，以及模糊处理数据要素，得到单个设备、局部网络的态势值，结合整个网络的架构组成，得到整个装置的态势值，将不同层次的态势值导入神经网络模型进行预测，最后可视化展示预测结果，充分评估整个分布式系统以及每一个单个设备，将每一个设备、每一个分层建立关联，对于不同的规则进行规则检测，计算风险值，从而可以对未来的装置进行科学地预测，为用户提供有价值的参考建议。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明分布式态势感知调用方法的流程图；

图2为本发明分布式态势感知调用装置的架构图。

具体实施方式

下面结合附图对本发明的优选实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

图1为本申请提供的分布式态势感知调用方法的流程图，所述方法包括：

将可接收不同信息来源的接口虚拟成一个对外数据接口，方便其他网络调用，不同信息来源之间彼此相互独立，不会发现其他信息来源的接口，自适应对应相应接口；通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据；

接收采集数据后，清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，分入对应的字段，合并成数据流；

从合并后的数据流提取要素，发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息，从中发掘高频项目组，根据高频项目组对应的信息生成高频关联规则，加大其对应的权重，组成频繁模式树状结构；

判断规则队列是否为空，若为空则与子规则库进行匹配查询，将查询到的子规则作为指定的关联规则，依据子规则进行规则检测；若不为空则进行规则检测；所述规则检测计算风险值，发出对应的报警信息；

根据所述频繁模式树状结构，调用分布式数据库，查询地址相邻相近的资产态势信息，查询访问对象所属同层的资产态势信息，以及查询流量速度、流量总量相似的资产态势信息；

判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞，判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警，判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化，计算单个关键设备的安全态势值；

所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数n、攻击的严重程度d、攻击时刻t，得到分布式均衡服务器下的单个关键设备的安全态势值rservice(s,k,n,d,t)＝n(t)·10^d(t),n(t)表示t时刻攻击所发生的次数，用10^d(t)计算攻击的威胁程度，反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度；

将邻近的若干个单个关键设备，或者依据有业务交互的若干个单个关键设备，组成局部网络，再次调用分布式数据库，由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例，根据业务优先级引入模糊处理计算局部网络的安全态势值；

向分布式均衡服务器请求网络拓扑关系，根据多个局部网络的拓扑关系，模糊处理计算整个网络的安全态势值；

分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型，通过神经网络模型推演，得出未来一段时间关于攻击者来源和攻击范围的预测，由分布式均衡服务器返回预测结果；

将单个关键设备、局部网络和整个网络的安全态势值，攻击者来源和攻击范围的预测结果送出进行可视化展示。

在一些优选实施例中，所述从合并后的数据流提取要素，包括：调用以往历史数据的评估模型、关联规则和指标库，从数据流的相应字段中提取要素信息。

在一些优选实施例中，所述清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，是基于mapreduce分布式并行计算处理的。

在一些优选实施例中，所述模糊处理计算是基于d-s理论与模糊集相结合的方法，计算攻击发生支持的概率。

图2为本申请提供的分布式态势感知调用装置的架构图，所述装置包括：

对外接口单元，用于将可接收不同信息来源的接口虚拟成一个对外数据接口，方便其他网络调用，不同信息来源之间彼此相互独立，不会发现其他信息来源的接口，自适应对应相应接口；通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据；

预处理单元，用于接收采集数据后，清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，分入对应的字段，合并成数据流；

态势理解单元，用于从合并后的数据流提取要素，发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息，从中发掘高频项目组，根据高频项目组对应的信息生成高频关联规则，加大其对应的权重，组成频繁模式树状结构；

判断规则队列是否为空，若为空则与子规则库进行匹配查询，将查询到的子规则作为指定的关联规则，依据子规则进行规则检测；若不为空则进行规则检测；所述规则检测计算风险值，发出对应的报警信息；

态势评估单元，用于根据所述频繁模式树状结构，调用分布式数据库，查询地址相邻相近的资产态势信息，查询访问对象所属同层的资产态势信息，以及查询流量速度、流量总量相似的资产态势信息；判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞，判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警，判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化，计算单个关键设备的安全态势值；

所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数n、攻击的严重程度d、攻击时刻t，得到分布式均衡服务器下的单个关键设备的安全态势值rservice(s,k,n,d,t)＝n(t)·10^d(t),n(t)表示t时刻攻击所发生的次数，用10^d(t)计算攻击的威胁程度，反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度；

将邻近的若干个单个关键设备，或者依据有业务交互的若干个单个关键设备，组成局部网络，再次调用分布式数据库，由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例，根据业务优先级引入模糊处理计算局部网络的安全态势值；

向分布式均衡服务器请求网络拓扑关系，根据多个局部网络的拓扑关系，模糊处理计算整个网络的安全态势值；

态势预测单元，用于分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型，通过神经网络模型推演，得出未来一段时间关于攻击者来源和攻击范围的预测，由分布式均衡服务器返回预测结果；

态势输出单元，用于将单个关键设备、局部网络和整个网络的安全态势值，攻击者来源和攻击范围的预测结果送出进行可视化展示。

在一些优选实施例中，所述态势理解单元从合并后的数据流提取要素，包括：调用以往历史数据的评估模型、关联规则和指标库，从数据流的相应字段中提取要素信息。

在一些优选实施例中，所述预处理单元清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，是基于mapreduce分布式并行计算处理的。

在一些优选实施例中，所述态势评估单元模糊处理计算是基于d-s理论与模糊集相结合的方法，计算攻击发生支持的概率。

具体实现中，本发明还提供一种计算机存储介质，其中，该计算机存储介质可以存储有程序，该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称：rom)或随机存储记忆体(简称：ram)等。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书各个实施例之间相同相似的部分互相参见即可。尤其，对于实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本发明实施方式并不构成对本发明保护范围的限定。