,数据收集模块负责监测流经网络的数据包,从 中提取数据包原始特征,常用的网络通信特征包括:数据特征和行为特征两类,其中原始数 据特征有:IP、端口号、TTL时长、包类型,以及内容关键字等,Protype网络行为特征有:数 据包平均长度、ACK包比例、SYN包比例,ICMP包数量,以及丢包率等;多尺度熵计算模块以 不同的时间尺度计算原始样本特征的多尺度样本熵,根据态势监测的实际需要,可选的时 间尺度有:毫秒ms,秒s,分钟m,小时h,天d等;免疫检测器训练模炔基于多尺度特征向量, 在不同的网络层次上利用否定选择算法训练成熟的免疫检测器,常用的网络层次有:单台 主机、子网、区域网络、全网;网络威胁检测模块在不同的时间尺度下,利用成熟的免疫检器 对实时采集的网络样本进行威胁检测,产生免疫报警;网络安全态势计算模块在不同的时 间尺度和网络层次上,根据检测到的网络威胁强度,受攻击的资产权重,资产脆弱性指标计 算网络面临的安全威胁;态势可视化模块根据计算得到的态势威值,以可视化示图展示不 同的时间尺度和网络层次上的安全态势。
[0052] 如图3所示,图3给出了样本特征的多尺度熵计算步骤。该步骤旨在多时间尺度 下计算网络数据包的样本熵,可选的时间尺度有:毫秒ms,秒s,分钟m,小时h,天d,样本的 多尺度熵向量为检测引擎提供了检测输入,具体步骤如下:
[0053] (1)设原始网络样本数据为X= {Xl,x2, . . .xN},长度为N,定嵌入维数m和相似容 限r,尺度因子序列τ= {τι,..·Tt};
[0054](2)对每一个尺度因子τk,(1 <k<t),计算新的粗粒序列
[0056] (3)计算m维嵌入向量子序列yj ( τ )与yk ( τ)间的距离
[0058] (4)统计步骤(3)中计算出的d[y](T),yk(T)]小于相似容限r的数目η,占距离
[0060] (6)增加m,重复步骤(1)-(5)计算Ο);
[0061] (7)计算嵌入维度为m,相似容限为r时的样本熵
[0063] (8)如果k>t,输出样本熵向量,否则,增加k跳转步骤(2)。
[0064] 在给定尺度因子^下,各个样本特征的熵值构成样本熵向量。例如,只考虑三种 样本特征IP、端口号、TTL时长的情况,分另用A,B,C代表三种特征,设采集的原始样本特 征序列为A= {al,a2…an},B= {bl,b2…an},C= {bl,b2…bn}。在定时间尺度下计 算得出A,B,C的样本熵为Sa,Sb,Sc,则输出样本熵向量[Sa,Sb,Sc]。
[0065] 如图4所示,图4给出了免疫检测器训练步骤,该步骤通过否定选择算法训练免疫 检测器,具体步骤如下:
[0066] (1)设尺度因子序列为τ= {τ· · ·τ丄选择不同的时间尺度τi下的正常样 本熵向量作为自体训练集,依次执行以下步骤(2)-(7)产生免疫检测器;
[0067] (2)随机生成候选检测器中心向量V;
[0068] (3)计算V与自体训练集中的自体样本间的最邻近距离dism;
[0069] (4)若dism小于自体半径rs,则放弃V,转步骤(1);
[0070] (5)计算V与检测器集合D中的检测器间的距离,若V与检测器中心向量间的距 离小于检测半径,则增加覆盖计数η
[0071](6)生成新的检测器d(V,dism_rs),其中V为检测器中心向量,dism-r^检测器 半径,将d加入D;
[0072] (7)当采样数量达到N时,估算检测器的非自体空间覆盖率Prav=n/N,若POTV小于 期望覆盖率,重置η= 0,转步骤(2),否则输出尺度τι对应的检测器集合D_t1=D。
[0073] 如图5所示,图5给出了网络威胁检测步骤,该步骤利用成熟检测器在不同的时间 尺度下对网络样本进行免疫检测,可选的时间尺度有:毫秒ms,秒s,分钟m,小时h,天d,在 不同时间尺度下调用免疫检测器进行网络异常检测,具体步骤如下:
[0074] (1)设尺度因子序列为τ={τι,...it},对于每一个尺度因子τι,执行 (2)-(5)步;
[0075] (2)对于每个待检测的样本序列{xj,计算{Xl}在尺度τi下的样本熵向量集合 {yj,利用检测器集合D_τi对{yJ进行检测,若任意检测器覆盖熵向量,则发出警报R,,否 则将熵向量加入自体训练集;
[0076] (3)根据检测器中心向量的相似性进行取聚类,将同一检测器类发出的对警报对 应的划入同一攻击类别A1;
[0077] (4)分别统计单位时间内,每一类攻击Ai的报报警数量F1;
[0078] (5)输出尺度因子为^时,检测到的攻击强度{〈A。F,},转步骤(1)。
[0079] 如图6所示,图6给出了态势计算步骤。该步骤根据免疫检测报警、资产权重、漏 洞脆弱性评分值实时计算主机、子网、区域网络、全网的安全态势。具体步骤如下:
[0080] (1)设尺度因子序列为τ= {τι,...Tt},对于每一个尺度因子τι,执行 (2)-(7)步;
[0081] (2)统计网络中各台主机Q中免疫检测器单位时间内每一类攻击对应的报警强度 (数量)Ti;
[0082] (3)依据CVSS(CommonVulnerabilityScoringSystem,通用弱点评价体系)和 漏洞扫描软件量化评估主机Q所存在的系统和网络安全漏洞的严重程度,产生Ci脆弱性 指数D1;
[0083] (4)根据主机的报警强度?\,脆弱性指数Di,资产权重t,产生主机的安全态势指
η为攻击类别数量,σ表计算权重;
[0084] (5)统计子网内主机的安全态势,
m为该子网内的主机台 数;
[0085] (6)统计区域网络内子网的安全态势,
,kS该子网内的子 网数量;
[0086] (7)统计全网络内区域网络的安全态势, > 8为该子网内的子 网数量。
[0087] 本发明所述所述网络空间安全态势实时检测方法的最后一步为态势可视化,在不 同的时间和网络层次下,用不同颜色的曲线图表示网络安全态势,以可视化示图、时(毫秒 ms,秒s,分钟m,小时h,天d)空(主机、子网、区域网络、全网)层次对网络安全指标进行可 视化展现,实时反映被监控网络运行状况的态势系统,让网络管理员能直观,快捷的获得网 络运行信息,发现网络恶意行为,便可采取有效措施。
【主权项】
1. 一种网络空间安全态势实时检测方法,其特征在于,包括以下步骤: 1) 原始特征提取,通过数据收集模块从网络中获取原始的网络数据包特征; 2) 多尺度熵计算,在不同的时间尺度下计算原始数据包特征序列的样本熵; 3) 检测器训练,在不同的时间尺度下,利用样本熵特征向量和否定选择算法训练产生 成熟的免疫检测器; 4) 网络威胁安全检测,在不同的时间尺度下,利用训练成熟的免疫检测器对网络样本 进行检测; 5) 网络安全态势计算,计算不同时间尺度和网络层次下的网络安全态势; 6) 态势可视化,在不同的时间和网络层次下,用不同颜色的曲线图表示网络安全态势。2. 根据权利要求1所述的网络空间安全态势实时检测方法,其特征在于,所述多尺度 熵计算包含以下步骤: 1) 对于原始网络样本特征序列X = (X1, X2, ... xN},根据尺度因子τ k, (1彡k彡t),计 算新的粗粒序列2) 计算粗粒序列中任意两m维嵌入向量子序列yj(i)与5^(〇间的距离3) 根据似容限r,计算距离占比及均值平均值4) 通过:计算样本熵,尺度因子τ ,各个样本特征的样本 熵构成样本熵检测向量; 5) 重复步骤1)_4)计算所有尺度因子下的样本熵向量。3. 根据权利要求1所述的网络空间安全态势实时检测方法,其特征在于,所述检测器 训练包含以下步骤: 1) 在不同的时间尺度T1下的正常样本熵向量作为自体训练集; 2) 基于不同的时间尺度τ 的自体训练集,调用否定选择算法,生成成熟的免疫检测 器; 3) 分别记录各个时间尺度T1下产生的成熟检测器到集合D_t 1<34. 根据权利要求1所述的网络空间安全态势实时检测方法,其特征在于,所述网络威 胁安全检测包含以下步骤: 1) 在不同的时间尺度^下依次执行步骤2)-5)对测试样本进行免疫检测; 2) 计算待测试样本的在时间尺度T1下的样本熵向量; 3) 在时间尺度τ i下调用成熟检测器,对样本熵向量进行检测,若该向量被成熟检测器 覆盖则产生报警; 4) 根据检测器中心向量的相似性进行聚类,将同一检测器类发出的警报对应的划入同 一攻击类别; 5) 分别统计单位时间内每一类攻击的报警数量,并输出各类报警强度。5.根据权利要求1所述的网络空间安全态势实时检测方法,其特征在于,所述网络安 全态势计算包含以下步骤: 1) 在不同的时间尺度^下依次执行步骤2)-7)对测试样本进行态势计算; 2) 统计网络中各台主机C1中免疫检测器单位时间内每一类攻击对应的报警强度(数 量)Ti; 3) 基于通用弱点评价体系和漏洞扫描软件量人评估主机的漏洞脆弱性D1; 4) 根据主机的报警强度T1,脆弱性指数D1,资产权重V1,产生主机的安全态势指标η为攻击类别数量; 5) 统计子网内主机的安全态势,并求均值m为该子网内的主机台数; 6) 统计区域网络内子网的安全态势,并求均值k为该子网内的子网数 量; 7) 统计全网络内区域网络的安全态势,并求均值s为该子网内的子网数 量。
【专利摘要】本发明公开了一种网络空间安全态势实时检测方法,包括以下步骤:原始特征提取,从网络中获取原始网络数据包特征;多尺度熵计算,在不同的时间尺度下计算原始数据包特征序列的样本熵;检测器训练,在不同的时间尺度下,利用样本熵特征向量和否定选择算法训练产生成熟的免疫检测器;网络威胁安全检测,在不同的时间尺度下,利用训练成熟的免疫检测器对网络样本进行检测;网络安全态势计算,计算不同时间尺度和网络层次下的网络安全态势;态势可视化,在不同的时间和网络层次下,用不同颜色的曲线图表示网络安全态势。本发明考虑的时间尺度更全面,融合层次更高,态势评估结果更精确,能够描述网络行为的复杂特征,能够细粒度的刻画网络威胁行为的全过程。
【IPC分类】H04L12/26, H04L29/06, H04L12/24
【公开号】CN105357063
【申请号】CN201510927457
【发明人】陈文
【申请人】成都为帆斯通科技有限公司
【公开日】2016年2月24日
【申请日】2015年12月14日