基于网络安全态势感知系统的实时动态预警系统及方法与流程

1.本发明涉及网络安全技术领域，具体为基于网络安全态势感知系统的实时动态预警系统及方法。


背景技术：

2.网络安全态势感知是一种由内外部多维数据驱动的、综合性的安全管理与运营体系，网络安全态势感知模型在类别与形态上也随着应用场景变化有所不同。目前对于网络安全态势感知技术的研究和应用，多数为漏洞发现和网络攻击威胁量化过程的研究，通过分析漏洞预警信息和网络攻击流量，展示当前的网络安全态势；但是目前网络安全态势感知系统的应用场景对系统的感知分析产生很大影响，如在金融行业，系统在面对安全事件时更注重关联分析能力、威胁告警精确度和用户行为分析能力，而对于能源行业没可能更多的是注重兼容性和可连续性，此时相同的态势感知系统因为环境的不同产生特征数据的波动变化就会有所不同，那么如何将一个个的安全防御孤岛，融会贯通形成多维度的信息安全数据的有效融合关联分析并产生协同效应，需要进一步的研究分析。


技术实现要素：

3.本发明的目的在于提供基于网络安全态势感知系统的实时动态预警系统及方法，以解决上述背景技术中提出的问题。
4.为了解决上述技术问题，本发明提供如下技术方案：基于网络安全态势感知系统的实时动态预警方法，包括以下步骤：步骤s1：获取历史监测周期内网络安全态势感知系统中记录安全事件的数据，安全事件的数据指系统遭受攻击的前中后期对应的数据，并以不同安全事件对应的特征指标构建网络安全态势感知系统的安全事件-特征数据集合，特征数据是指在网络安全态势感知系统中发生安全事件时涉及的波动数据，波动数据包括网络结构数据、网络服务数据、漏洞数据、脆弱性数据、威胁入侵数据和用户异常行为数据；在构建网络安全态势感知系统时，系统采集的数据种类方向具有差异性，当危险入侵的时候不同方向的数据也会产生不同的响应和变化从而产生对应该种类数据的特征值，将系统中动态且复杂的状态变化转化为数据，从而清晰明了的看出该系统对此次安全事件的预警效果和预警状态。
5.步骤s2：基于应用于不同环境下的网络安全态势感知系统，统计其在每次安全事件时段内的每种特征数据的中心值a和标准差b，且将(a-b,a+b)作为对应特征数据的系统环境参考范围，完成所有环境下网络安全态势感知系统的统计，从而得到每种环境下网络安全态势感知系统在每次安全事件时段内的独立参考范围，获得独立评价模型；安全事件时段是指对应安全事件的数据中前中后期时段；步骤s3：基于每个安全事件时段，计算每种特征数据在所有环境下网络安全态势感知系统中的中心值的平均值a0和对应标准差的平均值b0，将(a0-b0,a0+b0)作为对应特
征数据的集体参考范围，完成所有安全事件时段的统计，从而得到每个安全事件时段内的每种特征数据在所有环境下的平均水平，获取集体评价模型；步骤s4：统计每种特征数据在所有安全事件时段内的标准参考区间，完成所有特征数据的统计，从而得到每个安全事件时段内的每种特征数据的标准参考区间，获取经典评价模型；步骤s5：实时采集网络安全态势感知系统中的特征数据，分别与独立评价模型中的独立参考范围、集体评价模型中的集体参考范围以及经典评价模型中的标准参考范围进行比较，从而获取网络安全态势感知系统的环境态势评价结果；并根据环境态势评价结果与系统设定的评价阈值进行对比，当环境态势评价结果小于评价阈值时，继续监测；当环境态势评价结果大于等于评价阈值时，对所处态势感知系统进行实时动态预警。在一般的态势感知系统中，往往只针对自身系统中的数据环境以及对自身系统发生过的安全事件进行评估，并没有考虑到相同安全事件对应不同系统环境的数据波动，分析的数据只是针对自身系统的防御体系，具有单一性，不能实现数据分析的协同效应。
6.进一步的，构建网络安全态势感知系统的安全事件-特征数据集合，包括以下具体步骤：获取安全事件发生时段内的前中后期划分为h个监测时段，对第u种应用环境下的网络安全态势感知系统qu在第v个监测时段tv内获取第j种特征数据gj，qu表示第u种应用环境下的网络安全态势感知系统，u={1,2,...,w}，v≤h，j={1,2,...,m}，w表示网络安全态势感知系统应用环境的总个数，m表示特征数据的总数量；完成历史数据的提取，得到安全事件-特征数据集合。
7.进一步的，构建独立评价模型的方法包括以下具体步骤：针对应用环境下的网络安全态势感知系统qu，统计其在每个安全事件监测时段tv内的每种特征数据guvj的中心值auvj和标准差buvj；将(auvj-buvj,auvj+buvj)作为对应特征数据guvj的独立参考范围，完成所有应用环境下的网络安全态势感知系统qu的统计；从而得到每种应用环境下网络安全态势感知系统qu在每个安全事件监测时段tv内的每种特征数据gj的独立参考范围：(aj-bj,aj+bj)，构建独立评价模型。
8.进一步的，构建集体评价模型包括以下具体步骤：提取每种应用环境下网络安全态势感知系统qu的特征数据guvj的中心值auvj和标准差buvj，计算所有应用环境下网络安全态势感知系统的特征数据gvj的中心值的平均值auj0和标准差的平均值buj0，从而得到安全事件监测时段tv内特征数据gj的群体参考范围(avj0-bvj0,avj0+bvj0)；其中avj0=(av1j+av2j+...+avvj+...+avwj)/w，bvj0=(bv1j+bv2j+...+bvuj+...+bvwj)/w；计算安全事件监测时段tv内的所有特征数据的集体参考范围，记为(av0-bv0,av0+bv0)；计算所有安全事件监测时段内所有特征数据的群体参考范围，记为(a0-b0,a0+b0)；从而得到安全事件每个监测时段tv内的每种特征数据gj在集体中的平均水平，即集体参考范围(a0-b0,a0+b0)，构建集体评价模型。
9.进一步的，构建经典评价模型包括以下具体步骤：获取历史数据中每种特征数据在所有安全事件时段内的标准参考区间，标准参考区间由安全事件发生后在预设时间范围内恢复系统的标准特征数据对应的目标安全事件分析而得，标准特征数据为系统设置的正常运作时的特征数据；获取目标安全事件中特征数据gj在监测时段tv内的标准参考区间记为gvj(mingvj,maxgvj)，其中mingvj表示在监测时段tv内目标安全事件中特征数据gj波动的最小值，maxgvj表示在监测时段tv内目标安全事件中特征数据gj波动的最大值；完成所有特征数据的统计，从而得到每个监测时段内的所有特征数据的标准参考区间(ming,maxg)，构建经典评价模型。当系统遇到安全事件并在预设时间范围内得以解决时，说明此次安全事件的解决方案已经在本系统做好应对方案，那么同时也说明此次安全事件对应的特征数据波动也是存在与态势感知系统的数据库中，那么将这个数据范围作为评判感知系统预警的标准也是较为精确的，因为当发生标准参考区间内的数据变化，系统会按照历史数据进行相应的处理，属于对已有危险的经验防范。
10.进一步的，步骤s5包括以下具体步骤：步骤s5.1：实时获取网络安全态势感知系统的特征数据gj'；步骤s5.2：将每个特征数据gj'与独立评价模型中相同安全事件监测时段内的相同特征数据的独立参考范围进行比较，获得针对每个特征数据gj'的独立评价模型的环境态势得分d1j，计算所有环境态势得分d1j的平均值，记为d1j0；步骤s5.3：将每个特征数据gj'与集体评价模型中相同安全事件监测时段内的相同特征数据的集体参考范围进行比较，获得针对每个特征数据gj'的集体评价模型的环境态势得分d2j，计算所有环境态势得分d2j的平均值，记为d2j0；步骤s5.4：将每个特征数据gj'与经典评价模型中相同安全事件监测时段内的相同特征数据的标准参考区间进行比较，获得针对每个特征数据gj'的经典评价模型的环境态势得分d3j，计算所有环境态势得分d3j的平均值，记为d3j0；步骤s5.5：分别赋予独立评价模型、集体评价模型和经典评价模型的评价结果以相应的权重，依次记为α、β和γ，利用公式：计算实时监测的网络安全态势感知系统的综合态势评分，并作为环境态势评估结果输出，其中α+β+γ=1，且α＞β＞γ。
11.进一步的，步骤s5.2中环境态势得分d1j的具体方法包括：获取实时网络安全态势感知系统中特征数据gj'的值为cj，获取独立评价模型中与特征数据gj'对应的相同监测时段内的相同特征数据的独立参考范围为(aj-bj,aj+bj)；判断cj是否属于独立参考范围(aj-bj,aj+bj)，若cj∈(aj-bj,aj+bj)，则令环境态势得分d1j=d0j；若cj
∉
(aj-bj,aj+bj)，则令环境态势得分d1j=kj*d0j，kj是为根据cj相对于独立参考范围(aj-bj,aj+bj)的偏离程度
△
j所对应的修正系数，kj＜1。
△
j越大kj越小；进一步的，偏离程度
△
j定义包括以下步骤：分析cj与独立参考范围(aj-bj,aj+bj)的两个端点的差值的绝对值中的较小者与aj之间的比值，计算公式为：
其中min{|
△
j-(aj-bj)|,|
△
j-(aj+bj)|}表示取|
△
j-(aj-bj)|和|
△
j-(aj+bj)|中的最小值。
12.进一步的，步骤s5.3中环境态势得分d2j和步骤s5.4中环境态势得分d3j的分析方法，与步骤s5.1中的分析方法相同。
13.基于网络安全态势感知系统的实时动态预警系统，包括：数据采集模块，用于采集网络安全态势感知系统在不同安全事件下的特征数据；数据库模块，用于构建网络安全态势感知系统的安全事件-特征数据集合；独立评价模块，用于构建独立评价模型；集体评价模块，用于构建集体评价模型；经典评价模块，用于构建经典评价模型；环境态势评价模块，用于获取数据采集模块采集的不同应用环境下的网络安全态势感知系统的特征数据，然后分别与独立评价模块中的独立参考范围、集体评价模块的集体参考范围和经典评价模块中的标准参考区间进行比较，从而获得实时监测下网络安全态势感知系统的环境态势评价结果。
14.与现有技术相比，本发明所达到的有益效果是：本发明从网络安全态势感知系统应用于不同的环境场景入手，分析相同安全事件在不同环境场景下系统所产生的特征数据的波动变化数据，通过这个数据结合成功抵御安全事件的网络安全态势感知系统的应用场景，综合分析同一系统环境不同安全事件以及同一安全事件不同系统环境下的特征数据范围，建立起多维度的信息安全数据分析的评价体系，使得系统在态势感知的过程中不再单一，有效的融合关联数据发生协同效应，使得产生一加一大于二的效果。
附图说明
15.附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：图1是本发明基于网络安全态势感知系统的实时动态预警系统的结构示意图。
具体实施方式
16.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
17.请参阅图1，本发明提供技术方案：基于网络安全态势感知系统的实时动态预警方法，包括以下步骤：步骤s1：获取历史监测周期内网络安全态势感知系统中记录安全事件的数据，安全事件的数据指系统遭受攻击的前中后期对应的数据，并以不同安全事件对应的特征指标构建网络安全态势感知系统的安全事件-特征数据集合，特征数据是指在网络安全态势感知系统中发生安全事件时涉及的波动数据，波动数据包括网络结构数据、网络服务数据、漏
洞数据、脆弱性数据、威胁入侵数据和用户异常行为数据；在构建网络安全态势感知系统时，系统采集的数据种类方向具有差异性，当危险入侵的时候不同方向的数据也会产生不同的响应和变化从而产生对应该种类数据的特征值，将系统中动态且复杂的状态变化转化为数据，从而清晰明了的看出该系统对此次安全事件的预警效果和预警状态。
18.步骤s2：基于应用于不同环境下的网络安全态势感知系统，统计其在每次安全事件时段内的每种特征数据的中心值a和标准差b，且将(a-b,a+b)作为对应特征数据的系统环境参考范围，完成所有环境下网络安全态势感知系统的统计，从而得到每种环境下网络安全态势感知系统在每次安全事件时段内的独立参考范围，获得独立评价模型；安全事件时段是指对应安全事件的数据中前中后期时段；步骤s3：基于每个安全事件时段，计算每种特征数据在所有环境下网络安全态势感知系统中的中心值的平均值a0和对应标准差的平均值b0，将(a0-b0,a0+b0)作为对应特征数据的集体参考范围，完成所有安全事件时段的统计，从而得到每个安全事件时段内的每种特征数据在所有环境下的平均水平，获取集体评价模型；步骤s4：统计每种特征数据在所有安全事件时段内的标准参考区间，完成所有特征数据的统计，从而得到每个安全事件时段内的每种特征数据的标准参考区间，获取经典评价模型；步骤s5：实时采集网络安全态势感知系统中的特征数据，分别与独立评价模型中的独立参考范围、集体评价模型中的集体参考范围以及经典评价模型中的标准参考范围进行比较，从而获取网络安全态势感知系统的环境态势评价结果；并根据环境态势评价结果与系统设定的评价阈值进行对比，当环境态势评价结果小于评价阈值时，继续监测；当环境态势评价结果大于等于评价阈值时，对所处态势感知系统进行实时动态预警。在一般的态势感知系统中，往往只针对自身系统中的数据环境以及对自身系统发生过的安全事件进行评估，并没有考虑到相同安全事件对应不同系统环境的数据波动，分析的数据只是针对自身系统的防御体系，具有单一性，不能实现数据分析的协同效应。
19.构建网络安全态势感知系统的安全事件-特征数据集合，包括以下具体步骤：获取安全事件发生时段内的前中后期划分为h个监测时段，对第u种应用环境下的网络安全态势感知系统qu在第v个监测时段tv内获取第j种特征数据gj，qu表示第u种应用环境下的网络安全态势感知系统，u={1,2,...,w}，v≤h，j={1,2,...,m}，w表示网络安全态势感知系统应用环境的总个数，m表示特征数据的总数量；完成历史数据的提取，得到安全事件-特征数据集合。
20.构建独立评价模型的方法包括以下具体步骤：针对应用环境下的网络安全态势感知系统qu，统计其在每个安全事件监测时段tv内的每种特征数据guvj的中心值auvj和标准差buvj；将(auvj-buvj,auvj+buvj)作为对应特征数据guvj的独立参考范围，完成所有应用环境下的网络安全态势感知系统qu的统计；从而得到每种应用环境下网络安全态势感知系统qu在每个安全事件监测时段tv内的每种特征数据gj的独立参考范围：(aj-bj,aj+bj)，构建独立评价模型。
21.构建集体评价模型包括以下具体步骤：提取每种应用环境下网络安全态势感知系统qu的特征数据guvj的中心值auvj和
标准差buvj，计算所有应用环境下网络安全态势感知系统的特征数据gvj的中心值的平均值auj0和标准差的平均值buj0，从而得到安全事件监测时段tv内特征数据gj的群体参考范围(avj0-bvj0,avj0+bvj0)；其中avj0=(av1j+av2j+...+avvj+...+avwj)/w，bvj0=(bv1j+bv2j+...+bvuj+...+bvwj)/w；计算安全事件监测时段tv内的所有特征数据的集体参考范围，记为(av0-bv0,av0+bv0)；计算所有安全事件监测时段内所有特征数据的群体参考范围，记为(a0-b0,a0+b0)；从而得到安全事件每个监测时段tv内的每种特征数据gj在集体中的平均水平，即集体参考范围(a0-b0,a0+b0)，构建集体评价模型。
22.构建经典评价模型包括以下具体步骤：获取历史数据中每种特征数据在所有安全事件时段内的标准参考区间，标准参考区间由安全事件发生后在预设时间范围内恢复系统的标准特征数据对应的目标安全事件分析而得，标准特征数据为系统设置的正常运作时的特征数据；获取目标安全事件中特征数据gj在监测时段tv内的标准参考区间记为gvj(mingvj,maxgvj)，其中mingvj表示在监测时段tv内目标安全事件中特征数据gj波动的最小值，maxgvj表示在监测时段tv内目标安全事件中特征数据gj波动的最大值；完成所有特征数据的统计，从而得到每个监测时段内的所有特征数据的标准参考区间(ming,maxg)，构建经典评价模型。当系统遇到安全事件并在预设时间范围内得以解决时，说明此次安全事件的解决方案已经在本系统做好应对方案，那么同时也说明此次安全事件对应的特征数据波动也是存在与态势感知系统的数据库中，那么将这个数据范围作为评判感知系统预警的标准也是较为精确的，因为当发生标准参考区间内的数据变化，系统会按照历史数据进行相应的处理，属于对已有危险的经验防范。
23.步骤s5包括以下具体步骤：步骤s5.1：实时获取网络安全态势感知系统的特征数据gj'；步骤s5.2：将每个特征数据gj'与独立评价模型中相同安全事件监测时段内的相同特征数据的独立参考范围进行比较，获得针对每个特征数据gj'的独立评价模型的环境态势得分d1j，计算所有环境态势得分d1j的平均值，记为d1j0；步骤s5.3：将每个特征数据gj'与集体评价模型中相同安全事件监测时段内的相同特征数据的集体参考范围进行比较，获得针对每个特征数据gj'的集体评价模型的环境态势得分d2j，计算所有环境态势得分d2j的平均值，记为d2j0；步骤s5.4：将每个特征数据gj'与经典评价模型中相同安全事件监测时段内的相同特征数据的标准参考区间进行比较，获得针对每个特征数据gj'的经典评价模型的环境态势得分d3j，计算所有环境态势得分d3j的平均值，记为d3j0；步骤s5.5：分别赋予独立评价模型、集体评价模型和经典评价模型的评价结果以相应的权重，依次记为α、β和γ，利用公式：计算实时监测的网络安全态势感知系统的综合态势评分，并作为环境态势评估结果输出，其中α+β+γ=1，且α＞β＞γ。
24.步骤s5.2中环境态势得分d1j的具体方法包括：获取实时网络安全态势感知系统中特征数据gj'的值为cj，获取独立评价模型中与特征数据gj'对应的相同监测时段内的相同特征数据的独立参考范围为(aj-bj,aj+bj)；判断cj是否属于独立参考范围(aj-bj,aj+bj)，若cj∈(aj-bj,aj+bj)，则令环境态势得分d1j=d0j；若cj
∉
(aj-bj,aj+bj)，则令环境态势得分d1j=kj*d0j，kj是为根据cj相对于独立参考范围(aj-bj,aj+bj)的偏离程度
△
j所对应的修正系数，kj＜1。
△
j越大kj越小；d0j表示不同情况下的环境态势得分；若获得的环境态势得分d1j=85时，此时cj∈(aj-bj,aj+bj)，则d1j=d0j=85，若cj
∉
(aj-bj,aj+bj)时，则d1j=kj*d0j=kj*85。
25.偏离程度
△
j定义包括以下步骤：分析cj与独立参考范围(aj-bj,aj+bj)的两个端点的差值的绝对值中的较小者与aj之间的比值，计算公式为：其中min{|
△
j-(aj-bj)|,|
△
j-(aj+bj)|}表示取|
△
j-(aj-bj)|和|
△
j-(aj+bj)|中的最小值。
26.步骤s5.3中环境态势得分d2j和步骤s5.4中环境态势得分d3j的分析方法，与步骤s5.1中的分析方法相同。
27.基于网络安全态势感知系统的实时动态预警系统，包括：数据采集模块，用于采集网络安全态势感知系统在不同安全事件下的特征数据；数据库模块，用于构建网络安全态势感知系统的安全事件-特征数据集合；独立评价模块，用于构建独立评价模型；集体评价模块，用于构建集体评价模型；经典评价模块，用于构建经典评价模型；环境态势评价模块，用于获取数据采集模块采集的不同应用环境下的网络安全态势感知系统的特征数据，然后分别与独立评价模块中的独立参考范围、集体评价模块的集体参考范围和经典评价模块中的标准参考区间进行比较，从而获得实时监测下网络安全态势感知系统的环境态势评价结果。
28.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。
29.最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。