网络安全态势分析方法
【技术领域】
[0001] 本发明涉及网络安全领域,尤其涉及一种网络安全态势分析方法。
【背景技术】
[0002] 随着电力信息网络环境规模的日益扩大,网络中各种设备的数量急剧增加,来自 外部和内部的各种安全和攻击也在急剧增加,威胁着网络信息安全。为了不断应对新的安 全挑战,电力信息网络先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM 等等。在这种复杂的安全体系下,网络具有资源分布共享化、用户分散化和管理分布化等特 性,为实现多元化、智能信息服务提供了基础。然而,这种复杂的网络显示中安全问题已经 成为制约其发展的一大障碍。安全态势评估技术能够从全面、宏观反映出网络动态安全状 况,并对安全状况的发展趋势进行预测和预警,因此,针对电力信息网络的安全态势分析模 型及关键技术已经成为目前网络安全领域的研究热点。
[0003] 目前,对电力信息网络进行安全态势分析已经开展了一些有价值理论和应用研 究,例如:研究基于模糊理论的网络安全事件编群方法;建立基于模糊时间序列模型;研究 支持向量机回归的网络安全态势预测方法等等。应用实践中,常见的安全态势分析方法包 括:(1)态势可视化展示,该方法的主要是利用人对直观图像的敏锐性,以可视化视图的方 式将网络互联状态呈现出来,从而使安全分析员对当前的网络状态有直观的了解,并通过 经验去判断网络是否受到攻击威胁,但这种方法的缺点是对安全分析人员经验水平要求 高,难以精确量化分析。(2)全面采集各类安全设备的安全日志,对计算机网络进行安全态 势分析,通过数据挖掘的方案评估计算机网络的安全性,但这种方法的缺点是信息来源单 一,只有安全日志信息,且性能低下,因为对异构安全事件的采集和处理效率较低。(3)利用 安全日志信息和设备漏洞信息的结合,采用风险计算算法,得到直观的安全态势图,但此种 选取的态势评估指标还不够全面,量化算法结果也不够准确,并且针对大型电力信息网络, 安全日志信息和设备漏洞信息的采集难以全面,导致最终的计算结果失真。
【发明内容】
[0004] 本发明提供了一种网络安全态势分析方法,解决了现有网络安全态势分析方式准 确程度和处理效率低下的问题。
[0005] -种安全态势分析方法,包括:
[0006] A、通过SYSLOG协议和Flow协议采集网络中各设备日志信息,并从中提取IP地址 信息,基于地理信息或业务信息对得到的IP地址进行分层,得到多个层级;
[0007] B、分别计算各层级的地址熵值;
[0008] C、持续计算全局地址熵的值,以5分钟为时间周期计算地址熵值基准点,以历史 较长时间地址熵值基准点数据的集合建立长周期熵值基线,以最近时间的地址熵值基准点 数据的集合建立短周期熵值基线;
[0009] D、将所述全局地址熵的实测值与所述长周期熵值基线和短周期熵值基线的综合 偏差度转换为安全态势指标数据;
[0010] E、当安全态势指标超过预置的阈值时,判定安全态势发生异常,通过各层级地址 熵值的对比定位异常。
[0011] 优选的,通过SYSLOG协议和Flow协议采集网络中各设备日志信息,并从中提取IP 地址信息包括:
[0012] 分布式采集点从以下任一信息或任意多个信息中提取IP地址:
[0013] 网络安全设备日志,应用系统日志,路由交换设备flow信息,
[0014] 所述IP地址包括源IP地址和目的IP地址。
[0015] 优选的,通过SYSLOG协议和Flow协议采集网络中各设备日志信息,并从中提取IP 地址信息还包括:
[0016] 获取所述IP地址的地理标记;
[0017] 将所述IP地址映射为整形数据结构,将所述整形数据结构和该IP地址的地理标 记存储于多层嵌套HashMap数据结构中;
[0018]将所述IP地址的整形数据结构加入IP映射缓存表,该IP映射缓存表存储了IP地址的整形数据结构和该IP地址被采集到的次数。
[0019] 优选的,该方法还包括:
[0020] 根据预置的更新周期,周期性的对上一周期中所述IP映射缓存表中的IP地址依 据各IP地址的流量进行排序;
[0021] 对排序后排名较靠前的IP地址对应的被采集到的次数进行更新。
[0022] 优选的,分别计算各层级的地址熵值包括:
[0023] 根据以下表达式计算基础层的源地址熵:
【主权项】
1. 一种网络安全态势分析方法,其特征在于,具体步骤包括: A、 通过SY化0G协议和Flow协议采集网络中各设备日志信息,并从中提取IP地址信 息,基于地理信息或业务信息对得到的IP地址进行分层,得到多个层级; B、 分别计算各层级的地址赌值; C、 持续计算全局地址赌的值,W 5分钟为时间周期计算地址赌值基准点,W历史较长 时间地址赌值基准点数据的集合建立长周期赌值基线,W最近时间的地址赌值基准点数据 的集合建立短周期赌值基线; D、 将所述全局地址赌的实测值与所述长周期赌值基线和短周期赌值基线的综合偏差 度转换为安全态势指标数据; E、 当安全态势指标超过预置的阔值时,判定安全态势发生异常,通过各层级地址赌值 的对比定位异常。
2. 根据权利要求1所述的网络安全态势分析方法,其特征在于,通过SY化0G协议和 Flow协议采集网络中各设备日志信息,并从中提取IP地址信息包括: 分布式采集点从W下任一信息或任意多个信息中提取IP地址: 网络安全设备日志,应用系统日志,路由交换设备flow信息, 所述IP地址包括源IP地址和目的IP地址。
3. 根据权利要求1所述的网络安全态势分析方法,其特征在于,通过SY化0G协议和 Flow协议采集网络中各设备日志信息,并从中提取IP地址信息还包括: 获取所述IP地址的地理标记; 将所述IP地址映射为整形数据结构,将所述整形数据结构和该IP地址的地理标记存 储于多层嵌套化shMap数据结构中; 将所述IP地址的整形数据结构加入IP映射缓存表,该IP映射缓存表存储了 IP地址 的整形数据结构和该IP地址被采集到的次数。
4. 根据权利要求3所述的网络安全态势分析方法,其特征在于,该方法还包括: 根据预置的更新周期,周期性的对上一周期中所述IP映射缓存表中的IP地址依据各 IP地址的流量进行排序; 对排序后排名较靠前的IP地址对应的被采集到的次数进行更新。
5. 根据权利要求1所述的网络安全态势分析方法,其特征在于,分别计算各层级的地 址赌值包括: 根据W下表达式计算基础层的源地址赌:
根据W下表达式计算基础层的目的地址赌:
其中,S =之jlinipi表示观测时间段内的IP地址的总出现次数; 根据W下表达式计算中间层的赌:
H(MIDDLE) =a地(SRC)+b 地值EST), 其中,a、b的取值区间为[0,1],且a+b = 1 ; 根据W下表达式计算全局层的赌:
6. 根据权利要求1所述的网络安全态势分析方法,其特征在于,W历史较长时间地址 赌值基准点数据的集合建立长周期赌值基线包括: W较长周期为循环时长,计算每经第一时间间隔后的全局赌值,形成一组有多个点的 赌值数组; 对本较长周期的赌值与上一较长周期的基线赌值进行加权平均W获得新的基线赌值, 多个所述基线赌值形成动态的长周期赌值基线。
7. 根据权利要求6所述的网络安全态势分析方法,其特征在于,所述较长周期为一天 或一天W上的时间周期。
8. 根据权利要求1所述的网络安全态势分析方法,其特征在于,W最近时间的地址赌 值基准点数据的集合建立短周期赌值基线包括: 按照较短周期周期性的计算全局赌值; W最近的多个周期的全局赌值形成赌值数据,所述赌值数据构成的曲线即为短周期赌 值基线。
9. 根据权利要求1所述的网络安全态势分析方法,其特征在于,将所述地址赌值转换 为安全态势指标数据包括: 从所述长周期赌值基线中提取当前时刻对应的赌值,即为当前时刻的长周期赌预测 值; 根据W下表达式获得短周期基线对应的赌预测值: H"i=Ht+a(yt-Ht), 设当前短周期基线中的赌值序列为: y。72, 73, y4. . . . yt为当前短周期基线中的赌值序列,a是加权系统(〇<a<l),Ht是第t 期的预测赌值; 根据W下表达式计算赌值偏差率Ut:
其中,H为实测全局赌值,Hi为基于长周期赌值基线获取的预测赌值,H ,是基于短周期 赌值基线获取的预测赌值; 根据W下表达式转换得到安全态势指标(SSI):
〇
10.根据权利要求1所述的网络安全态势分析方法,其特征在于,当SSI出现异常时,通 过对各层级地址赌值进行排序,确定地址赌值最大的网络分层为网络安全态势异常所在位 置。
【专利摘要】本发明提供了一种网络安全态势分析方法。涉及网络安全领域;解决了现有网络安全态势分析方式准确程度和处理效率低下的问题。A、通过SYSLOG协议和Flow协议采集网络中各设备日志信息,并从中提取IP地址信息,基于地理信息或业务信息对得到的IP地址进行分层,得到多个层级;B、分别计算各层级的地址熵值;C、持续计算全局地址熵的值,以5分钟为时间周期计算地址熵值基准点,以历史较长时间地址熵值基准点数据的集合建立长周期熵值基线,以最近时间的地址熵值基准点数据的集合建立短周期熵值基线;D、将所述全局地址熵的实测值与所述长周期熵值基线和短周期熵值基线的综合偏差度转换为安全态势指标数据;E、当安全态势指标超过预置的阈值时,判定安全态势发生异常,通过各层级地址熵值的对比定位异常。实现了准确高效的安全态势分析。
【IPC分类】H04L29-06
【公开号】CN104601604
【申请号】CN201510090101
【发明人】陈连栋, 辛锐, 赵炜, 黄镜宇, 崔志坤, 王静, 宋峥峥, 孔明, 李井泉, 白涛, 付强, 刘成龙, 张磊, 王震, 周文芳
【申请人】国家电网公司, 国网河北省电力公司信息通信分公司
【公开日】2015年5月6日
【申请日】2015年2月27日