基于可信计算的大数据安全态势地图生成方法与流程

本发明涉及网络安全技术领域，具体涉及基于可信计算的大数据安全态势地图生成方法。

背景技术：

随着网络规模的扩大，警报信息的数据量越来越大,如何有效区分有效信息,去除冗余也是网络安全防护的难点。相关技术中，信息安全风险管理系统中的人为主观因素太多,缺少一个科学的管理手段。这就迫切需要一个可以了解整个网络的状态和未来趋势的方法,能够在网络发生威胁和攻击时进行应急响应,重新调整网络安全资源配置并做出安全响应策略。

有关可信计算的概念，在ISO/IEC 15408标准中给出了以下定义：一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。可信计算的基本思路是在硬件平台上引入安全芯片(可信平台模块)来提高终端系统的安全性，也就是说在每个终端平台上植入一个信任根，让计算机从BIOS到操作系统内核层，再到应用层都构建信任关系；以此为基础，扩大到网络上，建立相应的信任链，从而进入计算机免疫时代。当终端受到攻击时，可实现自我保护、自我管理和自我恢复。

可信计算为行为安全而生。据中国信息安全专家在《软件行为学》一书中描述，行为安全应该包括：行为的机密性、行为的完整性、行为的真实性等特征，在态势地图方面，现在人们更多的式研究如何保证信息的机密性和完整性，但是对于行为的真实性，例如某些由于背景时间或者无害的突发安全事件，却很难行之有效地甄别出来，这给操作人员带来了不小的困扰。

技术实现要素：

针对上述问题，本发明提供基于可信计算的大数据安全态势地图生成方法。

本发明的目的采用以下技术方案来实现：

基于可信计算的大数据安全态势地图生成方法，其特征是，包括以下步骤：

(1)利用MAPX软件，将网络所在的地理地图作为背景图层，将网络划分为多个节点和连接两个节点之间的链路，将节点和链路映射到背景图层上；

(2)通过多种数据采集器对网络信息数据进行采集，认证进行信息收集的网络中的硬件节点，判断网络硬件节点可信度，建立所采集信息的信任关系，所述数据采集器以Syslog采集方式为主，以Snmp作为补充采集方式，通过配置不同的网络安全设备完成对网络信息数据的采集；所述网络信息数据包括日志数据、流量数据和漏洞信息，其中所述漏洞信息的获取借助扫描工具和网络IDS入侵检测工具，通过Snmp或Http协议由日志采集插件或数据接口来完成；所述日志数据由数据采集器通过Syslog协议和Flow协议进行采集；

(3)通过代理管理服务器对采集后的所述网络信息数据进行归并、过滤和加密，通过密钥技术、硬件访问控制技术和存储加密技术保证系统和数据的信任状态，通过软件的数字签名技术将使得系统能识别出经过第三方修改可能加入间谍软件的应用程序，形成统一的数据格式发送到服务器终端形成基础数据库，形成可度量的量化数据，确保数据不会被随意获取，构建整体地图生成信任环境，建立信任关系后，以分布在云环境下的数据资源为基础，对数据资源进行封装存储，构建可信数据平台；所述可信数据平台还提供可信软件系统，所述可信软件系统为操作系统和应用软件提供使用可信数据平台的接口，同时对所述可信数据平台后续软件提供完整性度量，并对不可控操作系统的特定行为进行行为审计和分析；所述后续软件包括核心加载软件和不可控操作系统软件；

(4)基于可信计算的真实性，在已建立的整体地图生成信任环境中对网络信息数据进行聚合分类并据此生成滚动式报警，所述滚动式报警设置在安全态势地图的右侧，具体执行以下步骤：

(4-1)从基础数据库中调出网络信息数据，同时设置多个分级阈值T1，T2，T3，……，Tn、相似度更新阀值T、曲率阈值K、相似度持续时间阈值A和初始相似度C，循环取出给定时间内的网络信息数据，调用相似度计算函数计算实时相似度，并生成每个节点处的实时相似度与时间的曲线函数AI；

(4-2)对计算结果进行比较，如果实时相似度大于初始相似度C，则更新实时相似度为当前相似度，否则保留初始相似度C为当前相似度，计数器加1；

(4-3)将当前相似度与多个分级阈值T1，T2，T3，……，Tn进行比较，根据当前相似度所在的阈值区间来确定该安全事件的报警等级，其中T＜T1＜T2＜T3……＜Tn；如果当前相似度未落在任一区间，则将当前相似度与相似度阀值T进行比较，若当前相似度小于相似度阀值T，则执行以下操作：

计算当前时间点相对于前一时间点的实时相似度变化量，即计算所述曲线函数AI当前时间点相对于前一时间点的曲率K′，如果K′＞K，并且当前相似度小于相似度阈值T的持续时间小于相似度持续时间阈值A时，将该网络信息数据定性为无害安全事件，不执行添加新报警类别的操作，同时将所述无害安全事件的相关信息储存到人为设置的临时储存器中，当同一节点由计数器记数累计达到3次无害安全事件时，则执行添加新报警类别的操作；当任一次当前相似度小于相似度阈值T的持续时间大于等于大相似度持续时间阈值A时，也执行添加新报警类别的操作；

(4-4)将所有网络信息数据，按照上述的聚合分类方法分类后，以滚动报警的形式显示在地图的右侧，并且不同分类的报警颜色设置为不一样；

(5)基于可信计算完整性，在已建立的整体地图生成信任环境中，根据下式得到各个节点和链路的网络安全态势值：

F_N{W_H，W_L，F_H，F_L，t}＝W_H.F_H+W_L.F_L

此处，

F_H(H，V₁，F_s，t)＝V₁.F_s(t)+10^P’(t)

F_L(L，V₂，U_S，t)＝V₂.U_S(t)+10^B‘(t)

其中，W_H表示目标节点在所有节点中所占的权重值，W_L表示目标链路在所有链路中所占的权重值，W_H、W_L分别由节点和链路组件提供的服务信息获得；

F_H表示t时刻目标节点的安全态势状况，H表示目标节点，V₁表示某一服务在节点运行的所有服务中所占的权重；P表示节点性能状况，P值越大表示节点性能越差，P’(t)表示t时刻链路性能变化状况，通过计算函数P某点的曲率求得，且强制P’(t)≤3，当P’(t)值大于3时，强制令P’(t)＝3；F_s(t)＝N1(t).10^D1(t)，表示t时刻目标节点的服务安全态势状况，N1(t)表示t时刻节点被攻击发生的次数，D1(t)表示t时刻节点被攻击的严重程度，其与目标节点当前所提供服务受到的攻击种类和受到的攻击次数有关，根据具体情况人为设定该函数；

F_L表示t时刻目标链路的安全态势状况，L表示目标链路，V₂表示某一组件服务在链路运行的所有组件服务中所占权重；B表示链路性能状况，数值越大表示链路的性能越差，B’(t)表示t时刻链路性能变化状况，通过计算函数B某点的曲率求得，且强制B’(t)≤3，当B’(t)值大于3时，强制令B’(t)＝3；U_S(t)＝N2(t).10^D2(t)，表示t时刻目标链路的服务安全态势状况，N2(t)表示t时刻链路被攻击发生的次数，D2(t)表示t时刻链路被攻击的严重程度，其与目标链路所提供的服务受到的攻击种类和所受到的攻击次数有关，根据具体情况人为设定该函数；

(6)根据计算得到的各个节点和链路的网络安全态势值，在已建立的整体地图生成信任环境中，根据预先设定的阈值对不同数值的网络安全态势进行分级，用不同颜色代表不同态势等级的节点和链路的安全状态，生成安全态势地图；所述数据采集器为可信链的起点，其设置有数据发送应用程序，所述数据采集器与代理管理服务器、报警生成和态势地图生成共同构成可信链，数据通过3G模块进行传输，3G模块上电后，由所述可信数据平台进行上电检测。

优选地，所述节点性能状况P的计算方法为：分别对处理器利用率、内存利用率、网络连接数、数据丢包率设置相应的门限值，以及在固定时间间隔的变化阈值，将上述各值超过相应门限值的差值的绝对值之和表示为J1，将各值在固定时间间隔变化幅度大于变化阈值的具体差值的绝对值之和表示为J2，由下式计算节点性能状况P：P＝2^J1+J2；

所述链路性能状况B的计算方法为：分别对链路组件网络连接数、带宽利用率、数据丢包率、链路组件处理器利用率设置相应的门限值，以及在固定时间间隔的变化阈值；将上述各值超过相应门限值的具体差值的绝对值之和记为J3，将各值在固定时间间隔变化幅度大于变化阈值的具体差值的绝对值之和记为J4，由下式计算链路性能状况B：B＝2^J3+J4；

所述各节点的权重值的确定方法为：

(1)建立各节点相对于其他节点在网络安全态势上的重要度比较矩阵；

(2)将节点的重要度比较矩阵转换为节点的模糊一致性矩阵；

(3)根据节点的模糊一致性矩阵的各元素，计算各节点的权重值。

所述各链路的权重值的确定方法为：

(1)建立各链路相对于其他链路在网络安全态势上的重要度比较矩阵；

(2)将链路的重要度比较矩阵转换为链路的模糊一致性矩阵；

(3)根据链路的模糊一致性矩阵的各元素，计算各链路的权重值。

本发明的有益效果为：

1、通过多种数据采集器对网络信息数据进行采集，确保了网络信息数据采集的全面性；

2、基于属性相近度的算法通过设置阀值,比较各个警报信息，调用相应函数进行警报信息的过滤、聚合，同时针对可能出现的背景事件或者实质上无碍安全的事件，采用相似度曲率和持续时间的新评估标准，将这类事件剔除出正常报警外，减小对监视人员的干扰，另一方面为了避免安全漏洞，将这类安全事件放入临时储存器中，当出现3次以上时认定为新的报警类别，这使得态势地图的安全行为真实性更高，这从另一方面提高了态势地图的可信度；

3、设计了新的网络安全态势计算公式，不但同时考虑了节点和链路的安全态势，而且考虑了节点和链路的动态变化的影响，相对于现在的离散式节点和链路性能状态表示方法而言，能将节点和链路的动态变化连续地反应到最终的安全态势值中，更加准确有效。同时，将P’(t)和B’(t)的最大值强制限定为3，则反应节点和链路性能动态变化的项10^P‘(t)和10^B‘(t)不会超过1000，这在一定程度抑制了动态表示中可能出现的短时误判现象，保证了图像的稳定性和可信性。

附图说明

利用附图对本发明作进一步说明，但附图中的实施例不构成对本发明的任何限制，对于本领域的普通技术人员，在不付出创造性劳动的前提下，还可以根据以下附图获得其它的附图。

图1是本安全态势地图生成方法的步骤示意图；

图2是生成后的安全态势地图示例。

具体实施方式

结合以下实施例对本发明作进一步描述。

如图1所示的基于可信计算的大数据安全态势地图生成方法，包括以下步骤：

(1)利用MAPX软件，将网络所在的地理地图作为背景图层，将网络划分为多个节点和连接两个节点之间的链路，将节点和链路映射到背景图层上；

(2)通过多种数据采集器对网络信息数据进行采集，认证进行信息收集的网络中的硬件节点，判断网络硬件节点可信度，建立所采集信息的信任关系，所述数据采集器以Syslog采集方式为主，以Snmp作为补充采集方式，通过配置不同的网络安全设备完成对网络信息数据的采集；所述网络信息数据包括日志数据、流量数据和漏洞信息，其中所述漏洞信息的获取借助扫描工具和网络IDS入侵检测工具，通过Snmp或Http协议由日志采集插件或数据接口来完成；所述日志数据由数据采集器通过Syslog协议和Flow协议进行采集；

(3)通过代理管理服务器对采集后的所述网络信息数据进行归并、过滤和加密，通过密钥技术、硬件访问控制技术和存储加密技术保证系统和数据的信任状态，通过软件的数字签名技术将使得系统能识别出经过第三方修改可能加入间谍软件的应用程序，形成统一的数据格式发送到服务器终端形成基础数据库，形成可度量的量化数据，确保数据不会被随意获取，构建整体地图生成信任环境，建立信任关系后，以分布在云环境下的数据资源为基础，对数据资源进行封装存储，构建可信数据平台；所述可信数据平台还提供可信软件系统，所述可信软件系统为操作系统和应用软件提供使用可信数据平台的接口，同时对所述可信数据平台后续软件提供完整性度量，并对不可控操作系统的特定行为进行行为审计和分析；所述后续软件包括核心加载软件和不可控操作系统软件。

(4)基于可信计算的真实性，在已建立的整体地图生成信任环境中对网络信息数据进行聚合分类并据此生成滚动式报警，所述滚动式报警设置在安全态势地图的右侧，具体执行以下步骤：

(4-1)从基础数据库中调出网络信息数据，同时设置多个分级阈值T1，T2，T3，……，Tn、相似度更新阀值T、曲率阈值K、相似度持续时间阈值A和初始相似度C，循环取出给定时间内的网络信息数据，调用相似度计算函数计算实时相似度，并生成每个节点处的实时相似度与时间的曲线函数AI；

(4-2)对计算结果进行比较，如果实时相似度大于初始相似度C，则更新实时相似度为当前相似度，否则保留初始相似度C为当前相似度，计数器加1；

(4-3)将当前相似度与多个分级阈值T1，T2，T3，……，Tn进行比较，根据当前相似度所在的阈值区间来确定该安全事件的报警等级，其中T＜T1＜T2＜T3……＜Tn；如果当前相似度未落在任一区间，则将当前相似度与相似度阀值T进行比较，若当前相似度小于相似度阀值T，则执行以下操作：

计算当前时间点相对于前一时间点的实时相似度变化量，即计算所述曲线函数AI当前时间点相对于前一时间点的曲率K′，如果K′＞K，并且当前相似度小于相似度阈值T的持续时间小于相似度持续时间阈值A时，将该网络信息数据定性为无害安全事件，不执行添加新报警类别的操作，同时将所述无害安全事件的相关信息储存到人为设置的临时储存器中，当同一节点由计数器记数累计达到3次无害安全事件时，则执行添加新报警类别的操作；当任一次当前相似度小于相似度阈值T的持续时间大于等于大相似度持续时间阈值A时，也执行添加新报警类别的操作；

(4-4)将所有网络信息数据，按照上述的聚合分类方法分类后，以滚动报警的形式显示在地图的右侧，并且不同分类的报警颜色设置为不一样；

(5)基于可信计算完整性，根据下式得到各个节点和链路的网络安全态势值：

F_N{W_H，W_L，F_H，F_L，t}＝W_H.F_H+W_L.F_L

此处，

F_H(H，V₁，F_s，t)＝V₁.F_s(t)+10^P’(t)

F_L(L，V₂，U_S，t)＝V₂.U_S(t)+10^B‘(t)

其中，W_H表示目标节点在所有节点中所占的权重值，W_L表示目标链路在所有链路中所占的权重值，W_H、W_L分别由节点和链路组件提供的服务信息获得；

F_H表示t时刻目标节点的安全态势状况，H表示目标节点，V₁表示某一服务在节点运行的所有服务中所占的权重；P表示节点性能状况，P值越大表示节点性能越差，P’(t)表示t时刻链路性能变化状况，通过计算函数P某点的曲率求得，且强制P’(t)≤3，当P’(t)值大于3时，强制令P’(t)＝3；F_s(t)＝N1(t).10^D1(t)，表示t时刻目标节点的服务安全态势状况，N1(t)表示t时刻节点被攻击发生的次数，D1(t)表示t时刻节点被攻击的严重程度，其与目标节点当前所提供服务受到的攻击种类和受到的攻击次数有关，根据具体情况人为设定该函数。

F_L表示t时刻目标链路的安全态势状况，L表示目标链路，V₂表示某一组件服务在链路运行的所有组件服务中所占权重；B表示链路性能状况，数值越大表示链路的性能越差，B’(t)表示t时刻链路性能变化状况，通过计算函数B某点的曲率求得，通过计算函数B某点的曲率求得，且强制B’(t)≤3，当B’(t)值大于3时，强制令B’(t)＝3；U_s(t)＝N2(t).10^D2(t)，表示t时刻目标链路的服务安全态势状况，N2(t)表示t时刻链路被攻击发生的次数，D2(t)表示t时刻链路被攻击的严重程度，其与目标链路所提供的服务受到的攻击种类和所受到的攻击次数有关，根据具体情况人为设定该函数。在这里，将P’(t)和B’(t)的最大值强制限定为3，则反应节点和链路性能动态变化的项10^P‘(t)和10^B‘(t)不会超过1000，这在一定程度抑制了动态表示中可能出现的短时误判现象，保证了图像的稳定性。

(6)根据计算得到的各个节点和链路的网络安全态势值，根据预先设定的阈值对不同数值的网络安全态势进行分级，用不同颜色代表不同态势等级的节点和链路的安全状态，生成安全态势地图；所述数据采集器为可信链的起点，其设置有数据发送应用程序，所述数据采集器与代理管理服务器、报警生成和态势地图生成共同构成可信链，数据通过3G模块进行传输，3G模块上电后，由所述可信数据平台进行上电检测；

所述节点性能状况P的计算方法为：分别对处理器利用率、内存利用率、网络连接数、数据丢包率设置相应的门限值，以及在固定时间间隔的变化阈值，将上述各值超过相应门限值的差值的绝对值之和表示为J1，将各值在固定时间间隔变化幅度大于变化阈值的具体差值的绝对值之和表示为J2，由下式计算节点性能状况P：P＝2^J1+J2；

所述链路性能状况B的计算方法为：分别对链路组件网络连接数、带宽利用率、数据丢包率、链路组件处理器利用率设置相应的门限值，以及在固定时间间隔的变化阈值；将上述各值超过相应门限值的具体差值的绝对值之和记为J3，将各值在固定时间间隔变化幅度大于变化阈值的具体差值的绝对值之和记为J4，由下式计算链路性能状况B：B＝2^J3+J4。

所述各节点的权重值的确定方法为：

(1)建立各节点相对于其他节点在网络安全态势上的重要度比较矩阵；

(2)将节点的重要度比较矩阵转换为节点的模糊一致性矩阵；

(3)根据节点的模糊一致性矩阵的各元素，计算各节点的权重值。

所述各链路的权重值的确定方法为：

(1)建立各链路相对于其他链路在网络安全态势上的重要度比较矩阵；

(2)将链路的重要度比较矩阵转换为链路的模糊一致性矩阵；

(3)根据链路的模糊一致性矩阵的各元素，计算各链路的权重值。

图2给出了生成的一个安全态势地图示例。

本实施例通过多种数据采集器对网络信息数据进行采集，确保了网络信息数据采集的全面性；基于属性相近度的算法通过设置阀值,比较各个警报信息，调用相应函数进行警报信息的过滤、聚合，同时针对可能出现的背景事件或者实质上无碍安全的事件，采用相似度曲率和持续时间的新评估标准，将这类事件剔除出正常报警外，减小对监视人员的干扰，另一方面为了避免安全漏洞，将这类安全事件放入临时储存器中，当出现3次以上时认定为新的安全事件，这使得态势地图的安全行为真实性更高，这从另一方面提高了态势地图的可信度；设计了新的网络安全态势计算公式，不但同时考虑了节点和链路的安全态势，考虑了多种因素的影响，而且考虑了节点和链路的动态变化的影响，相对于现在的离散式节点和链路性能状态表示方法而言，能将节点和链路的动态变化连续地(通过P＝2^J1+J2以及B＝2^J3+J4的设置来取代现有技术中的离散式动态变化)反应到最终的安全态势值中；将P’(t)和B’(t)的最大值强制限定为3，则反应节点和链路性能动态变化的项10^P‘(t)和10^B‘(t)不会超过1000，这在一定程度抑制了动态表示中可能出现的短时误判现象，保证了图像的稳定性和可信性。

最后应当说明的是，以上实施例仅用以说明本发明的技术方案，而非对本发明保护范围的限制，尽管参照较佳实施例对本发明作了详细地说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的实质和范围。