本发明属于计算机网络安全领域,尤其涉及一种基于zachman框架的网络系统安全评估模型建模方法。
背景技术:
随着计算机网络技术的不断发展,计算机网络系统在现实中的价值和重要性日益增长,从而人们对网络安全的研究引起了广泛的重视,尤其是在网络安全度量方面,准确而及时地对网络安全进行度量,可以更早的发现隐患,减少各类资源财产的损失。
现有的网络系统安全度量的方法,是从网络系统安全的某个角度来出发来度量。比如使用传统的可靠性分析的概率方法来度量系统的操作安全,使用一个攻击者破坏系统所花费的努力来测试系统的安全,或者从网络系统安全的多个角度出发来度量网络系统安全的强度,比如用事件管理、漏洞管理、补丁管理、应用安全、配置管理以及财务等6个重要业务功能的测度来度量网络系统安全,但这并没有考虑各种因素之间的关联性,也没有对整个网络的安全性给出量化度量的方法。
由此可见,传统的评估方法缺乏对网络系统安全整体性的考虑,没有考虑各种因素之间的关联性,难以确定各个因素对整个网络系统安全的影响程度,从而导致传统评估方法的片面性。
技术实现要素:
为解决上述问题,本发明提供一种基于zachman框架的网络系统安全评估模型建模方法,对网络系统安全的全面性进行综合考虑,能够对整个网络的安全性给出量化度量。
一种基于zachman框架的网络系统安全评估模型建模方法,包括以下步骤:
基于网络系统安全的固有层次确定网络系统安全的描述角度,所述描述角度包括实体安全、运行安全、数据安全以及内容安全;
基于zachman框架确定各描述角度对应的描述焦点,每个描述角度对应的描述焦点包括完整性、机密性、组成部分协调性、人员可靠性以及可用性;其中两两组合的描述角度和描述焦点对应一个单元格;
为每个单元格确定至少一个与网络系统安全相关的指标体系以及各指标体系所占的权重,并根据所述指标体系获取单元格在该指标体系下的指标值;
根据所述指标值和对应的权重获取各单元格的评估值;
将所述评估值作为神经网络的输入,专家对网络系统安全的诊断值作为神经网络的输出,训练所述神经网络,从而获取网络系统安全评估模型。
进一步地,根据所述指标体系获取单元格在该指标体系下的指标值后,对所述指标值进行归一化,再执行后续步骤。
进一步地,所述神经网络的训练函数为traingdx,性能函数为均方差函数mse,隐含层神经元和输出层神经元均采用双曲正切s型传输函数tansig。
有益效果:
本发明提供一种基于zachman框架的网络系统安全评估模型建模方法,首先使用zachman框架确定网络系统安全的描述角度和描述焦点,然后通过描述角度和描述焦点对应的指标体系获取各单元格的评估值;将所述评估值作为神经网络的输入,专家对网络系统安全的诊断值作为神经网络的输出,训练所述神经网络,建立评估值和诊断值之间的非线性的映射关系,从而获取网络系统安全评估模型。本发明基于zachman框架建立网络系统安全各影响因素之间的关联性,对网络系统安全的全面性进行综合考虑,训练所得到的基于神经网络的网络系统安全评估模型能够很好的模拟专家对网络系统安全进行整体评估的能力,能够实现对整个网络的安全性的量化评估,从而提升网络系统安全评估的效率,增强网络系统安全整体性评估的准确性。
附图说明
图1为本发明实施例提供的一种基于zachman框架的网络系统安全评估模型建模方法的流程图;
图2为本发明实施例提供的描述焦点对应示意图;
图3为本发明实施例的神经网络仿真结果与专家评估结果对比示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
参见图1,该图为本实施例提供的一种基于zachman框架的网络系统安全评估模型建模方法的流程图。一种基于zachman框架的网络系统安全评估模型建模方法,包括以下步骤:
s1:基于网络系统安全的固有层次确定网络系统安全的描述角度,所述描述角度包括实体安全、运行安全、数据安全以及内容安全;
需要说明的是,实体安全包括环境安全和设备安全;运行安全包括操作系统安全、数据库安全以及应用系统安全;数据安全包括静态数据安全;内容安全包括流动信息安全。
s2:基于zachman框架确定各描述角度对应的描述焦点,每个描述角度对应的描述焦点包括完整性、机密性、组成部分协调性、人员可靠性以及可用性;其中两两组合的描述角度和描述焦点对应一个单元格。
需要说明的是,zachman框架是一种基于分类学的组织构架工具,它可以对一个完整的网络系统安全的抽象模型所涉及到的各种信息进行分类划分。传统的zachman框架的描述焦点分别包括谁who、什么what、什么时间when、什么地点when、为什么why以及如何做how。则本实施例基于传统的zachman框架,并根据网络系统安全的具体情况,首先将网络系统安全的描述焦点分别设置为系统资产、互联关系、安全边界、相关人员、生命周期以及安全保障。其中,系统资产对应what、互联关系对应how、安全边界对应where、相关人员对应who、生命周期对应when、安全保障对应why。六个描述焦点符合网络系统安全保障要素的要求,包含了管理、工程、技术、人员这四个与网络安全相关的关键要素。
进一步地,为了对网络系统安全形成更具体、直观地描述,本实施例将描述焦点具体设置为完整性、机密性、组成部分协调性、人员可靠性以及可用性。参见图2,该图为本实施例提供的描述焦点对应示意图。其中,完整性对应系统资产,机密性对应互联关系,组成部分协调性对应安全边界,人员可靠性对应相关人员,可用性对应安全保障。其中,完整性为不被未授权用户篡改、被篡改后及时发现;机密性为信息不被泄漏给非授权的用户、实体、过程;组成部分协调性为网络系统的各组成部分正常协调运行;人员可靠性为涉及管理和工作的人员在质量、数量、配置上满足要求;可用性为对涉及内容的有效的管理和控制。
需要说明的是,由于实体安全到内容安全本身所对应的就是从间接影响到直接影响网络系统安全的生命周期,所以本实施例不需要对when这个描述焦点进行过多的描述,则去掉该描述焦点。
s3:为每个单元格确定至少一个与网络系统安全相关的指标体系以及各指标体系所占的权重,并根据所述指标体系获取单元格在该指标体系下的指标值。
参见表1,该表为各单元格与对应指标体系的示例。
表1
需要说明的是,zb01~zb20、zb22~zb24与网络系统安全各方面相关的指标体系,例如zb01为中国标准出版社2015年5月出版的《中华人民共和国国家标准-信息安全技术-信息安全保障指标体系及评价方法》第2部分:指标体系gb/t31495.2-2015[m]中的第三级指标。其中,第三级指标为与网络系统安全的实体安全完整性最相关的指标之一。同理可获得zb02~zb20,zb22~zb24指标体系的具体含义,本实施例对此不作赘述。
需要说明的是,每个指标体系均包括一套评价标准和打分方法,则根据指标体系中的评价标准和打分方法,能够获取单元格在该指标体系下的指标值。权重可以根据网络系统安全的实际情况或者指标体系与网络系统安全的关联度设置。
s4:根据所述指标值和对应的权重获取各单元格的评估值。
需要说明的是,由于评估值将作为神经网络的输入,则为了方便后续步骤s4中神经网络的快速学习,本实施例对指标值进行归一化处理,使得评估值小于1,再进行后续步骤。
下面介绍评估值的计算方法:
其中,ivi为第i个单元格的评估值,pij为第i个单元格的第j个指标值,pij_al为指标值pij所在指标体系中的指标上限值,wij为指标值pij在第i个单元格中的权重,n为单元格中指标体系的个数。
需要说明的是,本实施例的单元格逐行依次编号。例如,本实施例有四个描述角度,五个描述焦点,则对应20个单元格,即i=1,2,…,20。参见表1,本实施例的描述角度实体安全和描述焦点完整性对应的单元格为第一个单元格,且第一个单元格中确定了四个指标体系,分别为zb01~zb04,即n=4。则根据第一个单元格中各指标体系的指标值p11~p14,各指标体系中的指标上限值p11_al~p14_al,指标体系zb01~zb04在第一个单元格中的权重w11~w14,能够计算出第一个单元格的评估值iv1。同理可计算其他单元格的评估值,本实施例对此不作赘述。
s5:将所述评估值作为神经网络的输入,专家对网络系统安全的诊断值作为神经网络的输出,训练所述神经网络,从而获取网络系统安全评估模型。
例如,采用学校网络系统安全的评估结果作为神经网络的学习样本。其中,学习样本包括55组输入和输出,每组输入包括20个数据,具体为学校网络系统安全的各描述角度和各描述焦点对应的单元格的评估值,每组输出包括1个数据,具体为专家对学校网络系统安全整体评价的诊断值。
将55组学习样本中的前45组样本作为训练样本,将后10组样本作为测试样本来检验基于神经网络的网络系统安全评估模型的泛化能力。需要说明的是,本实施例采用matlab软件中的神经网络工具箱实现神经网络的训练,其中神经网络为三层,训练函数为traingdx,性能函数为均方差函数mse,且设定mse=10-5,隐含层神经元和输出层神经元均采用双曲正切s型传输函数tansig。经过对比实验,本实施例确定当隐含层神经元的个数为41时,训练得到的神经网络性能最优。
参见图3,该图为本实施例的神经网络仿真结果与专家评估结果对比示意图。图3分别为神经网络对10组测试样本的仿真结果,专家对10组测试样本的评估结果。显然,本实施例训练所得到的基于神经网络的网络系统安全评估模型可以很好的模拟专家对网络系统安全进行整体评估的能力。
在获取网络系统安全评估模型后,本实施例在没有专家的情况下,根据实时度量的指标值,获取对应的单元格的评估值,再输入训练好的神经网路,即网络系统安全评估模型,即可得到对应的网络系统安全的评估值,其中,网络系统安全的评估值越大,代表网络的安全性能越好,从而本实施例的网络系统安全评估模型能够实时地对网络系统安全进行整体的评估。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当然可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。