一种网络安全指数计算方法与流程

本发明属于计算机信息安全
技术领域：
，涉及面向电子政务内网的综合网络监管定量描述方法，特别是涉及一种根据网络安全监测所采集的事件集合量化系统环境安全程度的计算方法。
背景技术：
：随着电子政务内网的规模日渐庞大，对网络进行全面监控、保障信息安全的工作日益复杂。为了能够真正做到全面感知内网发生的情况，尤其是安全状况，相关管理部门采用了众多网络管理工具对网络进行监控与管理。在网络监测的应用场景里，网络安全管理员需要对网络安全状态有定性的描述与定量的描述。借助各类网络安全设备，管理员能够得到多方面的网络安全定性描述；通过网络综合安全监管设备，管理员能够得到全面的描述。但仅有定性描述无法衡量当前网络安全状态。通过量化数值能够帮助网络安全管理员更充分地理解网络所处的安全状态与面临的安全风险。技术实现要素：本发明的目的在于提供一种基于网络安全监测过程中实时采集的事件集合计算网络安全指数的计算方法，根据时间序列采样，通过分析网络安全指数的时间序列，得到网络平稳性的描述，判断当前网络中是否存在大量的突发事件。本发明解决其技术问题所采用的技术方案是：一种网络安全指数计算方法，将定性描述网络状态的事件定性量化，包括如下步骤1001)，事件的定义将违反网络管理规则或者明显与正常行为存在差异的事件定义为异常事件；将通过网络安全设备或者其它技术手段捕获到网络中危害信息安全与系统安全的事件定义为安全事件；1005)，计算事件规模指数通过事件的集合确定网络事件体系中异常事件/安全事件的数量和各事件的风险等级，进而确定网络的事件规模指数，所述的事件规模指数是指在一个时间段内事件总体数量规模对系统分值的影响；1009)，计算事件等级指数所述的事件等级是区分不同等级的异常事件对系统分值的影响；1013)，综合确定网络安全指数根据事件规模指数与事件等级指数计算网络的安全指数；根据时间顺序采集安全指数，通过计算一系列的安全指数，即可得出解释系统平稳性的描述。所述的一种网络安全指数计算方法，其步骤1005)包括如下流程2001)，分别给出异常事件/安全事件在每小时内发生的总数的四分位数，中位数和下四分位数作为第一天计算的经验参数值；2005)，根据第一天的异常事件/安全事件的二十四个总数值取其上四分位数、中位数和下四分位数，与第一天的经验参数值取平均值作为第二天的分位数；2009)，根据第二天的异常事件/安全事件的24个总数值取其上四分位数、中位数和下四分位数，与第二天的分位数取平均值作为第三天的分位数，依此类推；将该时间段的异常事件/安全事件总数定义为a，则事件规模指数为进一步，所述的事件总数a包括高危事件a高，中危事件数量a中和低危事件数量a低，其a高+a中+a低＝a，则3001)，a中+a低＝0时，3005)，a中+a低≠0时，所述的安全指数为：SI异(a)＝S异(a)*g异(a)。所述的一种网络安全指数计算方法，其步骤1005)中事件规模指数是指某一小时内事件发生50次与发生100次之间的差异。所述的一种网络安全指数计算方法，其步骤1009)中，将事件等级分为高、中、低三个等级。所述的一种网络安全指数计算方法，还包括根据历史状况与当前状况调整计算过程使用参数的步骤。本发明的有益效果是：通过处理网络安全监测过程中实时采集得到的事件种类、严重等级与数量，得到一个网络安全指数的具体评估分值；本发明方法具有动态调节参数的特性，具体表现在针对不同的网络运行环境，能够合理地产生不同的计算分值；针对同样被监测网络在不同网络环境下，能够合理地产生不同的计算分值，从而合理地量化及描述网络当前安全状态；本发明方法能够将对网络的定性描述转化为定量描述，以反应网络安全状态的基本事实。附图说明图1为本发明的方法流程图；图2为图1中步骤1005的处理流程图；图3为图2中方框2009的处理流程图。具体实施方式本发明公开了一种面向电子政务内网、适用于网络安全监测的事件分析方法，其适用于网络安全状态量化的计算方法，算法流程图如图1所示，包括如下步骤：1001)，事件的定义将正常的网络记录定义为普通事件；将违反网络管理规则或者明显与正常行为存在差异的事件定义为异常事件；将通过网络安全设备或者其它技术手段捕获到网络中危害信息安全与系统安全的事件定义为安全事件；对网络中实时产生的所有事件进行统计处理。1005)，计算事件规模指数通过事件的集合确定网络事件体系中异常事件/安全事件的数量和各事件的风险等级，进而确定网络的事件规模指数，所述的事件规模指数是指在一个时间段内事件总体数量规模对系统分值的影响。其具体计算流程如图2所示：2001)，首次计算时，依据经验分别给出异常事件每小时发生事件总数的上四分位数，中位数，下四分位数，总共六个数值，作为第一天计算的经验参数值。安全事件类似的可以给出，即可根据统计数据集合生成初始化参数。2005)，根据实际情况动态调整参数。第一天的统计数据结果里有每个小时的异常事件总数值，总共24个值，取出该24个值的上四分位数、中位数和下四分位数，与第一天的经验参数值取平均值作为第二天的分位数。安全事件类似的可以给出。假设经验给出的异常事件初始分位数值为：a上*，a中*，a下*(该值都不能为0)；将第一天24个小时每小时异常事件总数值从小到大进行排列，假设排列后为a1，a2，…,a24,那么第一天三个分位数为则第二天异常事件分位数为：根据第二天的异常事件/安全事件的24个总数值取其上四分位数、中位数和下四分位数，与第二天的分位数取平均值作为第三天的分位数，之后每天的分位数都是以前一天的三个实际值与前一天计算时候的分位数取平均值。2009)，根据参数生成事件规模指数。将该时间段的异常事件/安全事件总数定义为a，则事件规模指数为该时间段内的事件总数为a，规定事件规模指数为：1009)，计算事件等级指数所述的事件等级是区分不同等级的事件对系统分值的影响。即根据事件等级计算事件威胁指数。1013)，综合确定网络安全指数即依据规模指数与威胁指数计算安全指数。图3代表根据事件规模指数与事件等级指数计算网络的安全指数的算法流程，主要包括：3001)，根据高危害事件数量确定系统安全指数的范围；3005)，根据中、低危害事件数量确定事件威胁指数。假设某时间段内的事件总数为a，其中高危事件数量为a高，中危事件数量为a中，低危事件数量为a低，显然a高+a中+a低＝a，那么系统当前即时安全指数为：(1)框图3001代表在a中+a低＝0时，(2)随后，框图3005代表a中+a低≠0时，然后确定系统当前网络即时安全指数为：SI异(a)＝S异(a)*g异(a)。通过模型带入安全指数序列进行计算；根据结果定性描述当前序列状态；继而，根据网络安全指数的时间序列，通过平稳性计算方法，得出网络的平稳性描述。其中，一个平稳的时间序列在图形上往往表现出一种围绕其均值不断波动的过程；而非平稳序列则往往表现出在不同的时间段具有不同的均值，如持续上升或持续下降。网络安全状态的平稳性描述能够衡量网络中突发事件的程度与密度。最后，通过分析工作时间与非工作时间系统的即时安全指数值，分别对工作时间与非工作时间的事件发生次数是否平稳以及存在的问题给出说明与建议。以十个数值a(1),a(2),...,a(10)为例,不用排序：以上各种情况的说明如下：①在该时间段内事件发生的频数总体很平稳②在该时间段内事件发生的频数比较平稳③在该时间段内事件发生的频数波动较大其中，方差var是指数值波动范围，var较小的说明数值波动范围比较小。B的大小说明数值在波动范围内是否有规律的增减，可以监测数值是否始终呈递增或者递减状态。基于以上计算方法，本发明同时给出一种应用场景，用于描述系统在一个时期内的平稳状态。该状态说明了系统突发性事件的数量、程度和密度，更进一步地描述系统在一个时期内的安全状态。所述的步骤1005)中事件规模指数是指某一小时内事件发生50次与发生100次之间的差异。所述的步骤1009)中，将事件等级分为高、中、低三个等级。还包括根据历史状况与当前状况调整计算过程使用参数的步骤。上述实施例仅例示性说明本发明的原理及其功效，以及部分运用的实施例，对于本领域的普通技术人员来说，在不脱离本发明创造构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。当前第1页1 2 3