一种网络安全测量方法、装置及系统的制作方法
【技术领域】
[0001] 本发明涉及网络安全领域,特别是一种网络安全测量方法、装置及系统。
【背景技术】
[0002] 随着计算机技术和通信技术的发展,网络安全隐患日益暴露,各种针对网络的犯 罪活动层出不穷,网络信息完全面临着巨大风险。为了对计算机网络所面临的威胁程度有 一个清晰的认识,以便采取相应的网络安全防范措施,最大限度地降低网络安全带来的各 种损失,是当前一个重要研究课题。
[0003] 网络安全评价是制定和调整网络安全策略的基础,依据准确的评价结果,才能制 定出有效的网络安全防护策略。
[0004] 目前是以网络入侵事件为依据,进行网络的局部区域进行安全评价的。这种方法 只能跟踪少量的网络入侵事件和参数,无法做到网络安全的全局掌控。
【发明内容】
[0005] 本发明要解决的技术问题提供一种网络安全测量方法、装置及系统,能够全面、合 理地测量出网络的安全性,为后续安全操作提供支持依据。
[0006] 为解决上述技术问题,本发明的实施例提供一种网络安全测量方法,网络中包括 监控对象,监控对象具有至少一个安全测量指标,所述网络安全测量方法包括:
[0007] 获取步骤,获取所述监控对象的每一个安全测量指标对应的测量参数的取值;
[0008] 第一计算步骤,根据安全测量指标对应的测量参数的取值计算安全测量指标的第 一安全测量值;
[0009] 模糊化步骤,通过构建隶属度函数对监控对象对应的安全测量指标的第一安全测 量值进行模糊化,得到模糊评价矩阵;
[0010] 权重建立步骤,通过德尔菲法确定出每一个安全测量指标对监控对象的重要性权 重,并建立所有重要性权重的权重集合;
[0011] 第二计算步骤,将所述模糊评价矩阵与所述权重集合乘积,得到所述监控对象的 第二安全测量值。
[0012] 其中,所述第一计算步骤包括:
[0013] 根据公式a=Zt^d1XMJI2XM2+......+InXMn)对安全测量指标对应的测量参数 的取值进行归一化求和,得到安全测量指标的第一安全测量值;
[0014] 其中,z。为预设常数;I1至In为各个测量参数的取值軋至Mn为对应I1至In的归 一化公式。
[0015] 其中,所述模糊化步骤包括:
[0016] 确定所述监控对象的各安全要素的第一安全测量值集合A=(ai,a2, . . .,ax);
[0017] 确定测量等级集合B=Od1,b2, ? ? ?,by);
[0018] 确定所述集合A和所述集合B的模糊评价矩阵0 = (O1j) ;
[0019]其中,Olj表示隶属度函数,i eX,j E y ;所述隶属度函数的公式为:
[0021] 其中,当所述网络包括多个监控对象时,所述测量方法还包括:
[0022] 第三计算步骤,对所有监控对象的第二安全测量值进行加权求和,得到所述网络 的第三安全测量值。
[0023] 其中,当所述网络监控对象包括:终端、应用服务器以及网管网络时,所述获取步 骤具体为:
[0024] 通过所述终端以及其管控设备的API函数对该终端的各安全测量指标的测量参 数的取值进行收集;
[0025] 通过所述网管网络的网络管理协议、系统日志SYSLOG协议的API函数,以及其管 控设备的API函数,对该网管网络的各安全测量指标的测量参数的取值进行收集;
[0026] 通过所述应用服务器以及其管控设备的API函数对该应用服务器的各安全测量 指标的测量参数的取值进行收集。
[0027]其中,
[0028] 所述终端包括以下一种或多种安全测量指标:违规登录、恶意代码、进程、系统负 荷、配置、文件系统、业务访问以及远程连接;
[0029] 所述网管网络包括以下一种或多种安全测量指标:交换机流量、防火墙事件以及 IC业务;
[0030] 所述应用服务器包括以下一种或多种安全测量指标:文件系统、进程、数据库账号 添加、脚本编制以及系统负荷。
[0031] 此外,本发明的另一实施例提供一种网络安全测量装置,网络中包括监控对象,监 控对象具有至少一个安全测量指标,所述网络安全测量装置包括:
[0032] 获取模块,用于获取所述监控对象的每一个安全测量指标对应的测量参数的取 值;
[0033] 第一计算模块,用于根据安全测量指标对应的测量参数的取值计算安全测量指标 的第一安全测量值;
[0034] 模糊化模块,用于通过构建隶属度函数对监控对象对应的安全测量指标的第一安 全测量值进行模糊化,得到模糊评价矩阵;
[0035] 权重建立模块,用于通过德尔菲法确定出每一个安全测量指标对监控对象的重要 性权重,并建立所有重要性权重的权重集合;
[0036] 第二计算模块,用于将所述模糊评价矩阵与所述权重集合乘积,得到所述监控对 象的第二安全测量值。
[0037] 其中,所述第一计算模块具体用于:
[0038] 根据公式a=Zt^Ct1XMWM2+......+InXMn)对安全测量指标对应的测量参数 的取值进行归一化求和,得到安全测量指标的第一安全测量值;
[0039]其中,z。为预设常数;I1至In为各个测量参数的取值軋至Mn为对应I1至In的归 一化公式。
[0040] 其中,所述模糊化模块包括:
[0041] 第一确定子模块,用于确定所述监控对象的各安全要素的第一安全测量值集合 A= (a1; a2, . . . , ax);
[0042] 第二确定子模块,用于确定测量等级集合B= (kb^.^by);
[0043] 第三确定子模块,用于确定所述集合A和所述集合B的模糊评价矩阵0=(Ou)rty ;
[0044]其中,Olj表示隶属度函数,i EX,j E y;所述隶属度函数的公式为:
[0046] 其中,所述网络安全测量装置还包括:
[0047] 第三计算子模块,用于当所述网络包括多个监控对象时,对所有监控对象的第二 安全测量值进行加权求和,得到所述网络的第三安全测量值。
[0048] 其中,所述网络监控对象包括:终端、应用服务器以及网管网络;所述获取模块具 体包括:
[0049] 第一获取子模块,用于通过所述终端以及其管控设备的API函数对该终端的各安 全测量指标的测量参数的取值进行收集;
[0050] 第二获取子模块,用于通过所述网管网络的网络管理协议、系统日志SYSLOG协议 的API函数,以及其管控设备的API函数,对该网管网络的各安全测量指标的测量参数的取 值进行收集;
[0051] 第三获取子模块,用于通过所述应用服务器以及其管控设备的API函数对该应用 服务器的各安全测量指标的测量参数的取值进行收集。
[0052]其中,
[0053] 所述终端包括以下一种或多种安全测量指标:违规登录、恶意代码、进程、系统负 荷、配置、文件系统、业务访问以及远程连接;
[0054] 所述网管网络包括以下一种或多种安全测量指标:交换机流量、防火墙事件以及 IC业务;
[0055] 所述应用服务器包括以下一种或多种安全测量指标:文件系统、进程、数据库账号 添加、脚本编制以及系统负荷。
[0056] 本发明的上述方案具有如下有益效果:
[0057] 本发明案提出了一种层次化的网络安全测量方案。以测量参数的取值为依据,逐 层递进地测量出安全测量指标以及监控对象的安全测量值,进而能够全局地掌握网络的安 全性,对后续的相关安全操作提供了有力的支持依据。
【附图说明】
[0058] 图1为本