一种面向用户需求的海量多元数据态势显示系统与方法

文档序号:7815962阅读:438来源:国知局
一种面向用户需求的海量多元数据态势显示系统与方法
【专利摘要】本发明提供一种面向用户需求的海量多元数据态势显示系统与方法,满足对网络安全保障行动中对网络态势完备度、时效性和准确性要求。步骤一、将传感器收集的态势显示数据,按照公共通信网、关键业务网、社交网分类,根据实体资源层、运行映射层和安全态势层进行分层整理;步骤二、将步骤一中归类整理后的数据,按照控制-数据两层平面模型,实时计算两个平面的有限状态集合;步骤三、利用回声状态网络实时预测网络节点的安全属性变化;步骤四、将网络节点的实测安全属性与步骤三中预测的安全属性进行对比,按照网络元素不同优先级的定义,确定其展示优先级;步骤五、根据优先级网络节点优先级顺序,在态势图上以节点的大小和颜色来区分标绘。
【专利说明】-种面向用户需求的海量多元数据态势显示系统与方法

【技术领域】
[0001] 本发明属于网络安全态势显示领域,涉及一种面向用户需求的海量多元数据态势 显示系统与方法。

【背景技术】
[0002] 网络安全态势涉及公共互联网、关键业务网和社交网络,信息多元,类型复杂,数 据量大。对于网络安全维护人员来说,大多数态势数据比较稳定,维持在一定范围内上下波 动,不需特别关注;而当节点安全属性大幅变动时,就需要按用户需求进行突出显示。因此 如何根据不同用户需求,展现重要设备、关键网络、热点话题的安全属性、运行状态和环境 信息,通过分类处理海量、多元的情报信息,实时反映安全态势,精准、动态显示网络安全态 势信息,成为当前研究的难点。
[0003] 针对海量多元数据的态势显示,国内外的研究主要从海量多元数据处理、态势显 示两个方面展开:
[0004] 针对海量多元数据处理,主要用于公共互联网、关键业务网和社交网络,分析重要 设备、关键网络、热点话题的安全属性、运行状态和环境信息等。在文献"基于多源海量数 据分层递阶图表示模型的可视化信息融合的研究"中,根据低维空间数据的分布特征,利用 雷达图的方式分层显示,该方法虽然降低了数据复杂度,但是损失了一定的信息;在维 空间数据管理与可视化方法研究"、"多源空间数据的组织管理与应用"和"数据分页技术 的海量H维数据模型动态调度"等文献中,利用分层、分块的思想进行海量地形信息的显 示,但是该H维海量地形的数据并不能直接应用到关键节点数据处理中,因此需要借鉴其 分层、分级思想,结合用户需求,对海量多元数据进行分类。目前关于分类算法有很多,包括 V-SUM算法、VFDT算法、VFDTc算法、NIP算法、增量式学习法、FlexDT算法、可变滑动窗口 法、OLIN孤A算法等,该些算法关注于数据的处理、训练、分类,可W用于网络安全态势显示 数据的归纳整理。
[0005] 针对态势显示,主要利用GIS、DIS、HLA等系统或架构,进行态势显示的系统设计 与实现。在文献"基于多层Web技术的作战态势显示系统的实现"中,根据关键技术CORBA 标准等,建立了一个战场态势显示系统的体系结构框架;在文献"基于Qt的通用态势显示 系统的框架及关键技术研究"中,建立系统数据组织模型,提出了场景一视图的软件构架方 式,构建了分类分层态势管理机制,并对模块功能进行了详细的设计;在文献"分布式作战 仿真中态势显示系统研究"中,利用二维态势显示与H维虚拟战场相结合的方式,构建了分 布式作战态势显示系统结构。但是大部分研究成果集中在可视化技术,并没有考虑用户需 求在物理实体层的变化。因此,首先对网络进行建模研究,然后根据网络元素态势数据的动 态变化,确定态势显示优先级。因此,在动态变化判定中,需要根据历史属性数据,进行预 巧IJ。针对时间序列的预测方法包括全域法、局域法、加权零阶局域法、加权一阶局域法、最大 Lyapunov指数法、神经网络等。综合调研显示,回声状态网络新兴的神经网络,克服了之前 网络模型基于梯度下降的学习算法所难W避免的收敛慢和容易陷入局部极小等问题,且其 算法开销小、结果精度高。


【发明内容】

[0006] 本发明提供一种面向用户需求的海量多元数据态势显示系统与方法,满足对网络 安全保障行动中对网络态势完备度、时效性和准确性要求,实现内部态势数据流的高效稳 定运行。
[0007] -种面向用户需求的海量多元数据态势显示方法,包括W下步骤:
[0008] 步骤一、将传感器收集的态势显示数据,按照公共通信网、关键业务网、社交网分 类,根据实体资源层、运行映射层和安全态势层进行分层整理;
[0009] 步骤二、将步骤一中归类整理后的数据,按照控制-数据两层平面模型,实时计算 两个平面的有限状态集合;
[0010] 步骤H、利用回声状态网络实时预测网络节点的安全属性变化;
[0011] 步骤四、将网络节点的实测安全属性与步骤H中预测的安全属性进行对比,按照 网络元素不同优先级的定义,确定其展示优先级;
[0012] 步骤五、根据优先级网络节点优先级顺序,在态势图上W节点的大小和颜色来区 分标绘。
[0013] 一种面向用户需求的海量多元数据态势显示系统,包括海量多元数据分层归类模 块、图灵机数据处理模块、节点安全状态预测模块、节点优先级判定模块、网络安全态势标 绘模块;其中:
[0014] 海量多元数据分层归类模块负责将传感器收集的态势显示数据,按照公共通信 网、关键业务网、社交网分类,根据实体资源层、运行映射层和安全态势层进行分层整理;
[0015] 图灵机数据处理模块负责将海量多元数据分层归类模块中归类整理后的数据,按 照控制-数据两层平面模型,实时计算两个平面的有限状态集合;
[0016] 节点安全状态预测模块负责利用回声状态网络实时预测网络节点的安全属性变 化;
[0017] 节点优先级判定模块负责将网络节点的实测安全属性与步骤H中预测的安全属 性进行对比,按照网络元素不同优先级的定义,确定其展示优先级;
[0018] 网络安全态势标绘模块负责根据优先级网络节点优先级顺序,在态势图上W节点 的大小和颜色来区分标绘。
[0019] 本发明的有益效果;本发明提出了基于资源分层管理的网络态势显示架构和基于 网络类型的态势态势要素归纳,对海量多元的网络安全态势数据进行了分层分类管理。提 出了基于图灵机的安全态势网络模型,利用图灵机模型对网络安全态势数据进行了分层建 模。提出了面向用户需求的网络安全态势分级显示方案,利用回声状态网络预测节点属性 变化,并给出了节点显示的优先级判定规则。

【专利附图】

【附图说明】
[0020] 图1为本发明面向用户需求的海量多元数据态势显示系统结构图;
[0021] 图2为本发明海量多元数据归类示意图;
[0022] 图3为本发明控制-数据平面示意图;
[0023] 图4为本发明基于图灵机的虚拟网络体系结构抽象模型示意图;
[0024] 图5为本发明面向用户需求的海量多元数据态势显示方法流程图。

【具体实施方式】
[00巧]下面结合附图对本发明作进一步介绍。
[0026] -、海量多元数据分层归类
[0027] 网络安全态势数据,来源广、数量大。为了更好地满足安全决策人员的观察需求, 就要求首先对海量、多元的情报数据进行分层归类整理,确定网络安全态势显示要素。
[0028] 二、基于资源分层管理的网络态势显示架构
[0029] 网络安全态势显示要素是态势显示系统的核也数据。态势显示要素的整理和分析 是态势综合显示数据组织管理、系统内部数据结构构建的基础。因此,第一步需要将从网络 安全决策人员的角度对态势显示要素进行分析整理,形成基础的态势显示数据集的要素框 架,为后续显示功能开发提供数据基础。
[0030] 本发明将针对各类网络实体资源的多样性、分布式、动态性等特点,兼顾网络多样 性和面向用户需求的态势展示倾向性,提出了基于资源分层管理的网络态势显示架构,该 场景将网络安全态势从纵向分为H层;实体资源层、虚拟映射层和安全态势层。图1展示了 基于资源分层管理的网络态势显示架构示意图。
[003。 实体资源层主要包括交换机、路由器、服务器、无线中继、社交网用户、PC等,是网 络数据传递、舆论热点扩散、关键业务支撑的承载者。该层在网络安全态势显示图中为最底 层,颜色最不显著,可配合地理图展示各类网络的总体架构。
[0032] 运行映射层主要包括重要的设备、网元节点、社交用户的基本运行属性,例如吞吐 量、路由交换节点负载、社交用户关注度、关键业务服务器负载、重要的节点与社交用户。该 层关注于展现各个目标网络的连通、运行、重要节点、服务支撑、运行维护情况。该层在网 络安全态势显示图中为中间层,颜色中等显著,主要用于展示各类网络的主要属性、运行状 况,给决策者提供态势的全面的辅助信息。
[0033] 安全态势层主要包括重点目标的安全属性,例如公共互联网中服务器提供服务的 能力与安全状态、关键业务服务器安全状态、内网关键主机安全等级、敏感舆论热点传播情 况等。该层在网络安全态势显示图中为最上层,颜色最显著,主要用于展示重要目标的安全 属性变化情况,给决策者展示最需关注态势变化情况。
[0034] 网络安全态势图并不是对网络态势整体的详细描述。海量多元数据分层归类,由 实体资源层到运行映射层再到安全态势层,实际上是逐步对安全态势数据进行了抽象深 化,重点凸显。
[00巧]在网络安全态势显示资源进行分层管理的基础上,需要基于公共通信网、关键业 务网、社交网H大类网络类型,对每一类网中需要展示的态势要素进行归纳梳理。
[0036] 公共通信网主要包括W IP技术为体制的Internet网、WLAN、移动互联网在内的公 共开放性互联互通网络。
[0037] (1)实体资源层显示要素主要路由交换设备、网络终端设备、服务器、安防设备、通 信链路。
[0038] (2)运行映射层显示要素主要包括各类网元节点属性、各类通信链路属性、网络通 信状态、路由节点负载、服务器负载。
[0039] (3)安全态势层显示要素主要有服务器(如DNS服务器)服务能力、服务器安全状 况、重要交换中也与设备的数据转发能力、各类安全设备安防状态。
[0040] 关键业务网主要指承载国民政治、经济关键业务的专用网络,主要由专有控制设 备、通信系统和计算机系统组成。网络安全态势显示系统关注的关键业务网主要包括工控 网、电力网、交通网、金融网、政务网、空管系统。其分层显示要素如下:
[0041] (1)实体资源层显示要素主要包括管控网网元、专用通信设备、通信链路、网络安 防设备、内外网隔离设备、专用控制设备。
[0042] (2)运行映射层显示要素主要包括管控网网元属性、专用通信设备属性、通信链路 属性、网络连通情况、管控协议。
[0043] (3)安全态势层显示要素主要有系统业务能力、管控网网元安全状况、安全设备安 防状态、管控业务影响范围与程度。
[0044] 社交网主要包括舆情热点信息分布网和用户群社交关系网。
[0045] (1)实体资源层显示要素主要有社交网络基本情况、关键用户地理分布、关键用户 社义关系等。
[0046] (2)运行映射层显示要素主要有热点话题信息、热点话题发源地、热点话题分布与 蔓延情况;
[0047] (3)安全态势层显示要素主要有重要舆情信息与发源地、重要舆情传播情况、重要 舆情关注人群及影响程度。
[0048] 综合上述各类各类网络情报数据分类整理规则,可按照如图2所示归类海量多元 数据。
[0049] H、基于图灵机的安全态势网络模型
[0050] 本发明关注的"用户需求"实际上包含两方面,一是用户在维护网络安全状态时, 需要根据需求做出实时调整,改变网络元素的安全属性,即用户网络安全需求;另一方面, 用户在观察态势展示时,需要对重点目标给与更多关注,即用户安全态势需求。在构建模型 时,用户提出总体安全需求出发,网络维护人员将用户安全需求进行分解为具体的安全配 置。
[0051] 借鉴图灵机的思想,提出一种对虚拟资源与功能模块的形式化描述,其中利用状 态集合来标识各层的资源属性;为设计合理的虚拟资源管理架构,首先需要对实体资源 层、虚拟映射层和控制层的交互行为进行抽象建模,为了方便建模分析数据交互、状态转换 的过程,将上一节的H层模型抽象为如图3所示的两层控制-数据平面。特别的,两层控 制-数据平面是为了建模和数据运算,而态势显示仍使用H层模型。
[0052] 控制平面实际上包含了安全态势层、抽象的用户需求、抽象网络元素(用户关注 的重要元素)。该层的主要作用有两个;一是对接收用户需求,具体分解为具体的数据调整 方案;二是感知网络安全态势,对大量网络实体状态进行分析、判定,找出安全人员关注的 重点节点、属性、事件进行突出展示。
[0053] 数据平面实际上是运行映射层与实体资源层的数据映射,是对物理节点、链路的 具体的资源抽象,该层的主要作用是接收用户安全需求数据,从而产生新的数据平面和控 制平面状态。本方案建立了基于图灵机的安全态势网络模型,如图4所示。
[0054]图4对数据平面和控制平面W及二者之间的交互进行了抽象。利用输入状态集合 来表示实体资源层与运行映射层、运行映射层与安全态势层之间的交互属性;利用转移函 数来表示控制平面的计算阵列和数据平面的执行模块,并依据该抽象模型对实体网络和虚 拟网络进行拓扑特征分析。抽象后的模型由一个五元组M=化2, 6, 6。,巧组成,其中: [00巧](1化---有限的状态集合 [005引 E =巧。,Ei)是状态的非空有限集合,其中:
[0057] 勾=(/^、乂,纽,公)表示数据平面的状态,其中下标S表示物理网络;Ns是物理 网络中的节点集合;Vs是物理网络中的链路集合;指物理网络中节点的属性集合,如节 点连通情况;公指物理网络中链路的属性集合,如可用带宽资源。
[005引与=(AS/,巧,好)表示控制平面的状态,关注用户需求,其中下标M表示虚拟 映射网络;Nm是虚拟网络中的节点集合;Vm是虚拟网络中的链路集合;C?占表示虚拟网络中 节点约束条件,如最大服务用户数;贫表示虚拟网络中链路的约束条件,如传输时延、带宽 资源的需求。
[005引 似2--输入的有限集合
[0060] I: = IS。,SJ为输入的有限集合,在实际空间表示实施了能干扰网络安全状态 的人为的操作,其中:
[0061] 2。为数据平面的输入,是E。的子集;
[006引 Si为控制平面的输入,由用户需求控制,对该平面上的所有节点、链路产生作用, 是Ei的子集。
[0063] (3)5--状态转移函数
[0064] 5 ={ 5。,5 J为状态转移函数,其中:
[006引 5。: E eXE。一 E eXE'。为数据平面的转移函数,数据平面通过控巧Ij平面下发的转 移函数5。,将数据平面输入2。和数据平面状态E。利用转移函数6。更新操作处理后的数 据平面状态E'。;
[006引 5i: E iXEi -E iXE'i为控制平面的转移函数,根据控制平面状态Ei及Vv映射 为控制平面输入2 1,如果通过计算得到满足需求的可用路径,则生成数据平面的转移函数 5。,并将控制平面新的状态E' 1返回;否则请求延迟映射。
[0067] (4) e〇--初始状态
[006引 e。来表示一个虚拟网络请求与= 货,每)。
[0069] (S)H终止状态集合
[0070] H表示虚拟网络请求施加到实体网络,实体网络态势计算完成后进入终止接受状 态。当虚拟网络离开底层网络时,为其分配的资源将被释放。但用户需求不能被满足时进 入,终止拒绝状态。
[0071] 四、面向用户需求的网络安全态势分级显示方案
[0072] 用户的安全态势需求,要求态势展示系统有选择的突出展示用户重点关注的节 点、链路、事件等。基于资源分层管理的网络态势显示架构确定了网络安全态势的显示模式 W及显示环境。在此基础上,需要分析整理网络态势要显示的要素,提取满足用户态势需求 的要素。本文通过对重要元素划分优先级,判定不同要素对于态势显示的重要程度,制定了 面向用户需求的网络安全态势分级显示方案,如图5所示。
[0073] 对于稳定的网络安全态势而言,在没有改变安全格局的突发性事件介入之前,全 网各节点的安全属性应该在一个可控的范围内变化。当加入新的安全措施或是发生恶意行 为时,网络节点的安全属性就会发生超出正常范围的变化。从另一个方面讲,如果一个网络 节点的安全属性发生了较大的变化,那该个节点就是网络安全人员需要实时关注的节点。
[0074] 基于回声状态网络的网络安全态势预巧Ij;基于回声状态网络(echo state network, ESN)对网络的安全态势进行预测,找出网络节点的安全属性变化规律,并将预测 值与实际的测量值进行对比,从而确定网络节点安全属性的变化是否超出正常范围。该预 测算法由L个输入,M个输出,包含N个神经元的库构成,各层间通过权值连接。根据网络 节点的历史安全属性值y(t),其中t= 1,2,…,n,利用公式进行储备池状态更新:
[00 巧]X (t+1) = f 师化11 (t+1) +Wx (t) +WbaciJ (t))
[007引其中x(t)为第t步的储备池状态向量;u(t)为第t步的输入,f(.)为储备池节点 的激励函数,Ww Wbaek和W分别为输入连接、输出反馈连接和储备池内部连接的权值矩阵,网 络的输出计算方式如下:
[0077] y (t+1) = f (Wout (U (t+1),X (t+1),y (t)))
[0078] 其中Wwt为输出权值矩阵,f(.)为输出节点的激励函数。在算法运行过程中,利 用y (t+1)的预测是和实际的观测值进行的差值,利用最小均方误差的原则进行调整,不断 修正非线性状态空间,提高预测算法的精度。
[0079] 优先级判定显示:优先级判定显示是为了将网络元素划分等级,优先级越高,在态 势图上也就越凸显,W引起网络维护人员的关注。
[0080] 第一优先级显示的是网络中产生重要变化的元素,定义为{Ni,LJ,其中Ni和Li分 别代表网络态势中的为第一优先级显示的节点和链路。
[00則网络安全人员在观察网络态势时,会选择重点关注的区域,比如某地的网络状况 或某运营商节点的网络安全状况。因此,网络态势需要根据用户需求,展示关注特定的区 域,并在该作用区域内,判断节点属性、链路属性变化的情况。
[0082] 由于变化分为正常变化和依据用户需求的变化,所W需要提取常态变化特征,将 常态特征剥离,从而得到用户需求的属性变化节点、链路集。其中常态变化特征由上一节的 网络态势预测得到。
[0083] 该里将节点和链路统一称为网络元素,定义网络元素的属性集合为hii,Qc,… ,qj。其中i代表第i个网络元素。
[0084] 安全人员对各网络元素的安全属性进行连续的监测和周期性离散时间预测。
[0085] 定义第一优先级网络元素:
[0086] 如果网络元素i在时刻t,观测到其属性Ki变化满足
[0087]

【权利要求】
1. 一种面向用户需求的海量多元数据态势显示方法,其特征在于,包括以下步骤: 步骤一、将传感器收集的态势显示数据,按照公共通信网、关键业务网、社交网分类,根 据实体资源层、运行映射层和安全态势层进行分层整理; 步骤二、将步骤一中归类整理后的数据,按照控制-数据两层平面模型,实时计算两个 平面的有限状态集合; 步骤三、利用回声状态网络实时预测网络节点的安全属性变化; 步骤四、将网络节点的实测安全属性与步骤三中预测的安全属性进行对比,按照网络 元素不同优先级的定义,确定其展示优先级; 步骤五、根据优先级网络节点优先级顺序,在态势图上以节点的大小和颜色来区分标 绘。
2. 如权利要求1所述的一种面向用户需求的海量多元数据态势显示方法,其特征在 于,其中所述的实体资源层主要包括交换机、路由器、服务器、无线中继、社交网用户、PC,在 网络安全态势显示图中为最底层。
3. 如权利要求1所述的一种面向用户需求的海量多元数据态势显示方法,其特征在 于,其中所述的运行映射层主要包括重要的设备、网元节点、社交用户的基本运行属性,在 网络安全态势显示图中为中间层。
4. 如权利要求1所述的一种面向用户需求的海量多元数据态势显示方法,其特征在 于,其中所述的安全态势层主要包括重点目标的安全属性,即公共互联网中服务器提供服 务的能力与安全状态、关键业务服务器安全状态、内网关键主机安全等级、敏感舆论热点传 播情况,在网络安全态势显示图中为最上层。
5. 如权利要求1或2或3或4所述的一种面向用户需求的海量多元数据态势显示方 法,其特征在于,所述的平面模型由一个五元组M= (E,2, S,e(l,H)组成,其中: (1) E有限的状态集合 E = (Ec^E1)是状态的非空有限集合,其中: 表示数据平面的状态,其中下标S表示物理网络;NS是物理网络 中的节点集合;VS是物理网络中的链路集合;这"指物理网络中节点的属性集合;d指物 理网络中链路的属性集合; A =(#p/, 6/, 表示控制平面的状态,其中下标M表示虚拟映射网络;Nm是虚拟 网络中的节点集合;vM是虚拟网络中的链路集合;表示虚拟网络中节点约束条件; 表示虚拟网络中链路的约束条件; (2) I:输入的有限集合 I: = Utl, 为输入的有限集合,在实际空间表示实施能干扰网络安全状态的人为 的操作,其中: 2 C1为数据平面的输入,是Etl的子集; S1为控制平面的输入,由用户需求控制,对该平面上的所有节点、链路产生作用,是E1的子集; (3) 8 状态转移函数 5 = {5(|,51丨为状态转移函数,其中: Stl: E ClXEtl^E C1XE^S数据平面的转移函数,数据平面通过控制平面下发的转移函 数Stl,将数据平面输入数据平面状态Etl利用转移函数Sci更新操作处理后的数据平 面状态; S1: E iXEi-E 'E1'为控制平面的转移函数,根据控制平面状态E1及Vv映射为控 制平面输入S1,如果通过计算得到满足需求的可用路径,则生成数据平面的转移函数Sci, 并将控制平面新的状态E' :返回;否则请求延迟映射; (4) e〇初始状态 eQ表不一个虚拟网络请求左I = (j/,U : (5) H 终止状态集合 H表示虚拟网络请求施加到实体网络,实体网络态势计算完成后进入终止接受状态; 当虚拟网络离开底层网络时,为其分配的资源将被释放。但用户需求不能被满足时进入,终 止拒绝状态。
6. -种面向用户需求的海量多元数据态势显示系统,其特征在于:包括海量多元数据 分层归类模块、图灵机数据处理模块、节点安全状态预测模块、节点优先级判定模块、网络 安全态势标绘模块;其中: 海量多元数据分层归类模块负责将传感器收集的态势显示数据,按照公共通信网、关 键业务网、社交网分类,根据实体资源层、运行映射层和安全态势层进行分层整理; 图灵机数据处理模块负责将海量多元数据分层归类模块中归类整理后的数据,按照控 制-数据两层平面模型,实时计算两个平面的有限状态集合; 节点安全状态预测模块负责利用回声状态网络实时预测网络节点的安全属性变化; 节点优先级判定模块负责将网络节点的实测安全属性与步骤三中预测的安全属性进 行对比,按照网络元素不同优先级的定义,确定其展示优先级; 网络安全态势标绘模块负责根据优先级网络节点优先级顺序,在态势图上以节点的大 小和颜色来区分标绘。
【文档编号】H04L29/06GK104363104SQ201410513361
【公开日】2015年2月18日 申请日期:2014年9月29日 优先权日:2014年9月29日
【发明者】谭震, 俞赛赛, 陈衍铃, 刘文瀚, 郭世泽, 么健石, 王宇, 王小娟, 任传伦, 张先国, 田玮, 叶丰 申请人:中国人民解放军总参谋部第五十四研究所
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1