技术特征:
1.基于网络安全态势感知系统的实时动态预警方法,其特征在于,包括以下步骤:步骤s1:获取历史监测周期内网络安全态势感知系统中记录安全事件的数据,所述安全事件的数据指系统遭受攻击的前中后期对应的数据,并以不同安全事件对应的特征指标构建网络安全态势感知系统的安全事件-特征数据集合,所述特征数据是指在网络安全态势感知系统中发生安全事件时涉及的波动数据,所述波动数据包括网络结构数据、网络服务数据、漏洞数据、脆弱性数据、威胁入侵数据和用户异常行为数据;步骤s2:基于应用于不同环境下的网络安全态势感知系统,统计其在每次安全事件时段内的每种特征数据的中心值a和标准差b,且将(a-b,a+b)作为对应特征数据的系统环境参考范围,完成所有环境下网络安全态势感知系统的统计,从而得到每种环境下网络安全态势感知系统在每次安全事件时段内的独立参考范围,获得独立评价模型;步骤s3:基于每个安全事件时段,计算每种特征数据在所有环境下网络安全态势感知系统中的中心值的平均值a0和对应标准差的平均值b0,将(a0-b0,a0+b0)作为对应特征数据的集体参考范围,完成所有安全事件时段的统计,从而得到每个安全事件时段内的每种特征数据在所有环境下的平均水平,获取集体评价模型;步骤s4:统计每种特征数据在所有安全事件时段内的标准参考区间,完成所有特征数据的统计,从而得到每个安全事件时段内的每种特征数据的标准参考区间,获取经典评价模型;步骤s5:实时采集网络安全态势感知系统中的特征数据,分别与独立评价模型中的独立参考范围、集体评价模型中的集体参考范围以及经典评价模型中的标准参考范围进行比较,从而获取网络安全态势感知系统的环境态势评价结果;并根据环境态势评价结果与系统设定的评价阈值进行对比,当环境态势评价结果小于评价阈值时,继续监测;当环境态势评价结果大于等于评价阈值时,对所处态势感知系统进行实时动态预警。2.根据权利要求1所述的基于网络安全态势感知系统的实时动态预警方法,其特征在于:所述构建网络安全态势感知系统的安全事件-特征数据集合,包括以下具体步骤:获取安全事件发生时段内的前中后期划分为h个监测时段,对第u种应用环境下的网络安全态势感知系统qu在第v个监测时段tv内获取第j种特征数据gj,qu表示第u种应用环境下的网络安全态势感知系统,u={1,2,...,w},v≤h,j={1,2,...,m},w表示网络安全态势感知系统应用环境的总个数,m表示特征数据的总数量;完成历史数据的提取,得到安全事件-特征数据集合。3.根据权利要求2所述的基于网络安全态势感知系统的实时动态预警方法,其特征在于:构建所述独立评价模型的方法包括以下具体步骤:针对应用环境下的网络安全态势感知系统qu,统计其在每个安全事件监测时段tv内的每种特征数据guvj的中心值auvj和标准差buvj;将(auvj-buvj,auvj+buvj)作为对应特征数据guvj的独立参考范围,完成所有应用环境下的网络安全态势感知系统qu的统计;从而得到每种应用环境下网络安全态势感知系统qu在每个安全事件监测时段tv内的每种特征数据gj的独立参考范围:(aj-bj,aj+bj),构建独立评价模型。4.根据权利要求3所述的基于网络安全态势感知系统的实时动态预警方法,其特征在于:构建所述集体评价模型包括以下具体步骤:
提取每种应用环境下网络安全态势感知系统qu的特征数据guvj的中心值auvj和标准差buvj,计算所有应用环境下网络安全态势感知系统的特征数据gvj的中心值的平均值auj0和标准差的平均值buj0,从而得到安全事件监测时段tv内特征数据gj的群体参考范围(avj0-bvj0,avj0+bvj0);其中avj0=(av1j+av2j+...+avvj+...+avwj)/w,bvj0=(bv1j+bv2j+...+bvuj+...+bvwj)/w;计算安全事件监测时段tv内的所有特征数据的集体参考范围,记为(av0-bv0,av0+bv0);计算所有安全事件监测时段内所有特征数据的群体参考范围,记为(a0-b0,a0+b0);从而得到安全事件每个监测时段tv内的每种特征数据gj在集体中的平均水平,即集体参考范围(a0-b0,a0+b0),构建集体评价模型。5.根据权利要求4所述的基于网络安全态势感知系统的实时动态预警方法,其特征在于:构建所述经典评价模型包括以下具体步骤:获取历史数据中每种特征数据在所有安全事件时段内的标准参考区间,所述标准参考区间由安全事件发生后在预设时间范围内恢复系统的标准特征数据对应的目标安全事件分析而得,所述标准特征数据为系统设置的正常运作时的特征数据;获取目标安全事件中特征数据gj在监测时段tv内的标准参考区间记为gvj(mingvj,maxgvj),其中mingvj表示在监测时段tv内目标安全事件中特征数据gj波动的最小值,maxgvj表示在监测时段tv内目标安全事件中特征数据gj波动的最大值;完成所有特征数据的统计,从而得到每个监测时段内的所有特征数据的标准参考区间(ming,maxg),构建经典评价模型。6.根据权利要求5所述的基于网络安全态势感知系统的实时动态预警方法,其特征在于:所述步骤s5包括以下具体步骤:步骤s5.1:实时获取网络安全态势感知系统的特征数据gj';步骤s5.2:将每个特征数据gj'与独立评价模型中相同安全事件监测时段内的相同特征数据的独立参考范围进行比较,获得针对每个特征数据gj'的独立评价模型的环境态势得分d1j,计算所有环境态势得分d1j的平均值,记为d1j0;步骤s5.3:将每个特征数据gj'与集体评价模型中相同安全事件监测时段内的相同特征数据的集体参考范围进行比较,获得针对每个特征数据gj'的集体评价模型的环境态势得分d2j,计算所有环境态势得分d2j的平均值,记为d2j0;步骤s5.4:将每个特征数据gj'与经典评价模型中相同安全事件监测时段内的相同特征数据的标准参考区间进行比较,获得针对每个特征数据gj'的经典评价模型的环境态势得分d3j,计算所有环境态势得分d3j的平均值,记为d3j0;步骤s5.5:分别赋予独立评价模型、集体评价模型和经典评价模型的评价结果以相应的权重,依次记为α、β和γ,利用公式:计算实时监测的网络安全态势感知系统的综合态势评分,并作为环境态势评估结果输出,其中α+β+γ=1,且α>β>γ。7.根据权利要求6所述的基于网络安全态势感知系统的实时动态预警方法,其特征在
于:所述步骤s5.2中环境态势得分d1j的具体方法包括:获取实时网络安全态势感知系统中特征数据gj'的值为cj,获取独立评价模型中与特征数据gj'对应的相同监测时段内的相同特征数据的独立参考范围为(aj-bj,aj+bj);判断cj是否属于独立参考范围(aj-bj,aj+bj),若cj∈(aj-bj,aj+bj),则令环境态势得分d1j=d0j;若cj
∉
(aj-bj,aj+bj),则令环境态势得分d1j=kj*d0j,kj是为根据cj相对于独立参考范围(aj-bj,aj+bj)的偏离程度
△
j所对应的修正系数,kj<1。8.根据权利要求7所述的基于网络安全态势感知系统的实时动态预警方法,其特征在于:所述偏离程度
△
j定义包括以下步骤:分析cj与独立参考范围(aj-bj,aj+bj)的两个端点的差值的绝对值中的较小者与aj之间的比值,计算公式为:其中min{|
△
j-(aj-bj)|,|
△
j-(aj+bj)|}表示取|
△
j-(aj-bj)|和|
△
j-(aj+bj)|中的最小值。9.根据权利要求8所述的基于网络安全态势感知系统的实时动态预警方法,其特征在于:所述步骤s5.3中环境态势得分d2j和步骤s5.4中环境态势得分d3j的分析方法,与所述步骤s5.1中的分析方法相同。10.应用权利要求1-9中任一项所述的基于网络安全态势感知系统的实时动态预警方法的基于网络安全态势感知系统的实时动态预警系统,其特征在于,包括:数据采集模块,用于采集网络安全态势感知系统在不同安全事件下的特征数据;数据库模块,用于构建网络安全态势感知系统的安全事件-特征数据集合;独立评价模块,用于构建独立评价模型;集体评价模块,用于构建集体评价模型;经典评价模块,用于构建经典评价模型;环境态势评价模块,用于获取数据采集模块采集的不同应用环境下的网络安全态势感知系统的特征数据,然后分别与独立评价模块中的独立参考范围、集体评价模块的集体参考范围和经典评价模块中的标准参考区间进行比较,从而获得实时监测下网络安全态势感知系统的环境态势评价结果。
技术总结
本发明公开了基于网络安全态势感知系统的实时动态预警系统及方法,包括数据采集模块,用于采集网络安全态势感知系统在不同安全事件下的特征数据;数据库模块,用于构建网络安全态势感知系统的安全事件-特征数据集合;独立评价模块,用于构建独立评价模型;集体评价模块,用于构建集体评价模型;经典评价模块,用于构建经典评价模型;环境态势评价模块,用于获取数据采集模块采集的不同应用环境下的网络安全态势感知系统的特征数据,然后分别与独立评价模块中的独立参考范围、集体评价模块的集体参考范围和经典评价模块中的标准参考区间进行比较,从而获得实时监测下网络安全态势感知系统的环境态势评价结果。势感知系统的环境态势评价结果。势感知系统的环境态势评价结果。
技术研发人员:陈良汉 翁炜城 洪超
受保护的技术使用者:珠海市鸿瑞信息技术股份有限公司
技术研发日:2022.09.01
技术公布日:2022/10/3