一種網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)及方法
【專利摘要】本發(fā)明提供一種網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)及方法。所述系統(tǒng)包括:采集模塊,用于采集網(wǎng)絡(luò)中的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù);感知模塊,用于將采集到的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù)作為預先構(gòu)建的智能融合模型的輸入,計算網(wǎng)絡(luò)安全態(tài)勢;可視化模塊,用于將計算得到的網(wǎng)絡(luò)安全態(tài)勢的結(jié)果進行可視化。通過本發(fā)明的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)能夠克服網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)數(shù)據(jù)處理異構(gòu)信息來源困難、輸出結(jié)果單一、感知過程智能程度不高的問題。
【專利說明】一種網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)信息安全領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)及方法。
【背景技術(shù)】
[0002] 隨著供應鏈的發(fā)展,信息流在其中的作用越來越明顯。現(xiàn)代供應鏈的目標是提高 整體效率、降低成本、滿足客戶需求,信息化成為現(xiàn)代供應鏈運營的核心驅(qū)動力。供應鏈信 息平臺上核心網(wǎng)絡(luò)的IP化,移動通信、固定通信和互聯(lián)網(wǎng)的融合逐漸成為新的發(fā)展趨勢。 供應鏈信息流在網(wǎng)絡(luò)傳輸過程中,經(jīng)常會遭到黑客的攔截、竊取、篡改、盜用、監(jiān)聽等惡意破 壞,給商戶帶來重大損失。以各種非法手段企圖入侵計算機網(wǎng)絡(luò)的黑客,其惡意攻擊構(gòu)成信 息系統(tǒng)中信息安全的威脅,已經(jīng)成為供應鏈信息流安全的隱患。
[0003] 自從TimBass提出應用多傳感器安全態(tài)勢分析以來,關(guān)于安全態(tài)勢的研究就一直 是信息管理領(lǐng)域的熱點,最初的安全態(tài)勢感知是建立網(wǎng)絡(luò)空間態(tài)勢的框架,通過推理識別 入侵者身份、速度、威脅性和入侵目標,進而評估網(wǎng)絡(luò)空間的安全狀態(tài)。歐美發(fā)達國家相關(guān) 研究機構(gòu)在這方面做著積極探索,如美國勞倫斯伯克利國家實驗室的TheSpinningCube ofPotentialDoom系統(tǒng);卡內(nèi)基梅隆大學的SILK系統(tǒng);美國國家高級安全系統(tǒng)研究中 心(NCASSR:NationalCenterforAdvancedSecureSystemsResearch)的SIFT項目; BruceD'Ambrosio提出基于問卷調(diào)查方式的計算機攻擊態(tài)勢評估軟件系統(tǒng)SSARE;在這 樣的背景下,已有一些學者取得了一些進展,如St印henG.Batsell等集成現(xiàn)有網(wǎng)絡(luò)安全系 統(tǒng),開發(fā)了一個網(wǎng)絡(luò)安全框架用來識別和抵御攻擊,該框架由入侵檢測、攻擊源定位和攻擊 抵御二部分組成,采用可視化方式反映網(wǎng)絡(luò)整體的安全狀祝,這種方法對于同一企業(yè)內(nèi)部 網(wǎng)絡(luò)中來挖掘態(tài)勢感知信息比較有效,但針對于復雜的供應鏈信息網(wǎng)絡(luò)環(huán)境有局限性,原 因來自供應鏈上下游企業(yè)的信息共享在網(wǎng)絡(luò)應用高層,同時供應商之間存在合作博弈利益 關(guān)系,對商務(wù)交易或電子數(shù)據(jù)交換(EDI)信息環(huán)境安全保障需求有高度的利益一致性,卻 由于信息安全底層數(shù)據(jù)無法共享難以實現(xiàn)。
[0004]由于供應鏈信息環(huán)境的不對稱性,以及供應鏈環(huán)境特有的"牛鞭效應",信息共享、 傳遞、甚至決策過程中,使得安全信息感知處理困難,現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)存在以下 不足:
[0005] 1)針對供應鏈所面臨的信息安全風險的研究大多采用與企業(yè)運營風險幾乎相同 的方法,從時間、空間和成本三個維度對信息安全的危害程度建立測量指標體系,在提取特 征時沒有把信息和其他運營要素區(qū)別對待;
[0006] 2)在發(fā)生應急事件時生成的匯聚指標不魯棒,而且沒有考慮到網(wǎng)絡(luò)信息空間數(shù) 據(jù)本身的結(jié)構(gòu)、傳輸速率、分布性存在互補特性,因此使整體輔助決策系統(tǒng)的性能和效率降 低。這一問題將在未來的供應鏈云環(huán)境和物聯(lián)網(wǎng)應用環(huán)境下變得更嚴重。
[0007] 3)在實際網(wǎng)絡(luò)環(huán)境中部署困難。而隨網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展,企業(yè)面臨海量信 息處理的情況已普遍存在。很難將統(tǒng)一的網(wǎng)絡(luò)安全構(gòu)架部署到網(wǎng)絡(luò)環(huán)境異構(gòu)的復雜的實際 應用息環(huán)境中去。
【發(fā)明內(nèi)容】
[0008] 本發(fā)明的目的是提供一種網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)及方法,以克服相關(guān)技術(shù)中網(wǎng)絡(luò) 安全態(tài)勢感知系統(tǒng)數(shù)據(jù)處理異構(gòu)信息來源困難、輸出結(jié)果單一、感知過程智能程度不高的 問題。
[0009] 本發(fā)明提供一種網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng),包括:
[0010] 采集模塊,用于采集網(wǎng)絡(luò)中的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù);
[0011] 感知模塊,用于將采集到的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù)作為預先構(gòu)建 的智能融合模型的輸入,計算網(wǎng)絡(luò)安全態(tài)勢;
[0012] 可視化模塊,用于將計算得到的網(wǎng)絡(luò)安全態(tài)勢的結(jié)果進行可視化。
[0013] 其中,所述智能融合模型為F層,上一層的每個節(jié)點在下一層擁有N個子節(jié)點,其 中F彡2,且N彡2 ;
[0014] 所述智能融合模型中包含有歷史網(wǎng)絡(luò)安全數(shù)據(jù)的時序記憶模式,所述時序記憶模 式至少表征了歷史網(wǎng)絡(luò)安全數(shù)據(jù)的特征點的時序關(guān)系。
[0015] 其中,所述系統(tǒng)還包括:
[0016] 訓練數(shù)據(jù)采集模塊,用于采集用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù);
[0017] 特征提取模塊,用于針對采集的用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù),提取該 數(shù)據(jù)的時空關(guān)聯(lián)特征;
[0018] 樣本數(shù)據(jù)確定模塊,用于對采集到的用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù)以及 提取的時空關(guān)聯(lián)特征進行預設(shè)定的攻擊以獲得特征集和攻擊反饋數(shù)據(jù)集,這兩個集合作為 智能融合模型的樣本數(shù)據(jù);
[0019] 訓練模塊,用于根據(jù)獲取的樣本數(shù)據(jù),訓練智能融合模型,生成智能融合模型的時 序記憶模式。
[0020] 其中,所述訓練模塊,包括:
[0021] 輸入單元,用于將特征集和攻擊反饋數(shù)據(jù)集作為智能融合算法的樣本數(shù)據(jù),輸入 給智能融合模型;
[0022] 學習單元,用于智能融合模型根據(jù)輸入的樣本數(shù)據(jù)進行學習,并形成與各層的節(jié) 點對應的時序記憶模式。
[0023] 其中,所述感知模塊,包括:
[0024] 輸入模式提取單元,用于提取網(wǎng)絡(luò)安全數(shù)據(jù)的時間序列作為一組輸入模式,輸入 給智能融合模型;
[0025] 處理單元,用于通過預先構(gòu)建的智能融合模型,計算輸入模式與智能融合模型的 時序記憶模式的匹配概率,并將匹配概率大于預設(shè)閾值的時序記憶模式作為最終匹配的時 序記憶模式,形成態(tài)勢特征結(jié)果集,用于進行可視化。
[0026] 其中,所述可視化模塊,用于將態(tài)勢特征結(jié)果集中的時序記憶模式,與預先存儲的 時空數(shù)據(jù)片段進行特征匹配,輸出匹配結(jié)果,將匹配結(jié)果作為可視化片段。
[0027] 其中,所述系統(tǒng)還包括:
[0028] 記錄模塊,用于所述可視化模塊將態(tài)勢特征結(jié)果集中的時序記憶模式,與預先存 儲的時空數(shù)據(jù)片段進行特征匹配之后,記錄每個可視化片段的特征點的空間,時間和主方 向供可視化使用;
[0029] 第一劃分模塊,用于以主方向為起點,以特征點為中心,將可視化空間劃分為p個 扇形區(qū)域,其中,P>1 ;
[0030] 第二劃分模塊,用于以特征點所在時空位置為基點劃分時域推演區(qū)間為前后兩個 區(qū)間來明確歷史態(tài)勢和未來態(tài)勢關(guān)系,將時空空間劃分為2p個區(qū)間;
[0031] 時空編碼建立模塊,用于按時間先后順序和預設(shè)的空間順序?qū)γ總€區(qū)間設(shè)好索 弓丨,建立起該特征點的特征和其他特征點的特征的時空編碼關(guān)系,其中,所述時空編碼關(guān)系 是依據(jù)時間軸建立的安全特征變化數(shù)據(jù)集;
[0032] 校驗模塊,用于根據(jù)時空編碼關(guān)系生成分別與可視化片段和時空片段對應的時空 檢驗矩陣Mv和M。,然后將Mv和M。進行異或運算,得到異或矩陣Dv。,并分析異或矩陣Dv。中 的非零元素所在的行和列,從而剔除掉錯誤的匹配;
[0033] 輸出模塊,用于用直方圖相似選優(yōu)算法做出相似性判斷,輸出匹配結(jié)果。
[0034] 本發(fā)明還提供一種網(wǎng)絡(luò)安全態(tài)勢感知方法,所述方法包括:
[0035] 采集網(wǎng)絡(luò)中的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù);
[0036] 將采集到的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù)作為預先構(gòu)建的智能融合模 型的輸入,計算網(wǎng)絡(luò)安全態(tài)勢;
[0037] 將計算得到的網(wǎng)絡(luò)安全態(tài)勢的結(jié)果進行可視化。
[0038] 其中,所述智能融合模型為F層,上一層的每個節(jié)點在下一層擁有N個子節(jié)點,其 中F彡2,且N彡2 ;
[0039] 所述智能融合模型中包含有歷史網(wǎng)絡(luò)安全數(shù)據(jù)的時序記憶模式,所述時序記憶模 式至少表征了歷史網(wǎng)絡(luò)安全數(shù)據(jù)的特征點的時序關(guān)系。
[0040] 其中,所述智能融合模型根據(jù)以下方法構(gòu)建:
[0041] 采集用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù);
[0042] 針對采集的用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù),提取該數(shù)據(jù)的時空關(guān)聯(lián)特 征;
[0043] 對采集到的用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù)以及提取的時空關(guān)聯(lián)特征進 行預設(shè)定的攻擊以獲得特征集和攻擊反饋數(shù)據(jù)集,這兩個集合作為智能融合模型的樣本數(shù) 據(jù);
[0044] 根據(jù)獲取的樣本數(shù)據(jù),訓練智能融合模型,生成智能融合模型的時序記憶模式。
[0045] 其中,所述根據(jù)獲取的樣本數(shù)據(jù),訓練智能融合模型,生成智能融合模型的時序記 憶模式,包括:
[0046] 將特征集和攻擊反饋數(shù)據(jù)集作為智能融合算法的樣本數(shù)據(jù),輸入給智能融合模 型;
[0047] 智能融合模型根據(jù)輸入的樣本數(shù)據(jù)進行學習,并形成與各層的節(jié)點對應的時序記 憶模式。
[0048] 其中,所述將采集到的網(wǎng)絡(luò)安全數(shù)據(jù)作為預先構(gòu)建的智能融合模型的輸入,計算 網(wǎng)絡(luò)安全態(tài)勢,包括:
[0049] 提取網(wǎng)絡(luò)安全數(shù)據(jù)的時間序列作為一組輸入模式,輸入給智能融合模型;
[0050] 通過預先構(gòu)建的智能融合模型,計算輸入模式與智能融合模型的時序記憶模式的 匹配概率,并將匹配概率大于預設(shè)閾值的時序記憶模式作為最終匹配的時序記憶模式,形 成態(tài)勢特征結(jié)果集,用于進行可視化。
[0051] 其中,所述將計算得到的網(wǎng)絡(luò)安全態(tài)勢的結(jié)果進行可視化,包括:
[0052] 將態(tài)勢特征結(jié)果集中的時序記憶模式,與預先存儲的時空數(shù)據(jù)片段進行特征匹 配,輸出匹配結(jié)果,將匹配結(jié)果作為可視化片段。
[0053] 其中,所述將態(tài)勢特征結(jié)果集中的時序記憶模式,與預先存儲的時空數(shù)據(jù)片段進 行特征匹配之后,所述方法還包括:
[0054] 記錄每個可視化片段的特征點的空間,時間和主方向供可視化使用;
[0055] 以主方向為起點,以特征點為中心,將可視化空間劃分為p個扇形區(qū)域,其中, P>1 ;
[0056] 以特征點所在時空位置為基點劃分時域推演區(qū)間為前后兩個區(qū)間來明確歷史態(tài) 勢和未來態(tài)勢關(guān)系,將時空空間劃分為2p個區(qū)間;
[0057] 按時間先后順序和預設(shè)的空間順序?qū)γ總€區(qū)間設(shè)好索引,建立起該特征點的特征 和其他特征點的特征的時空編碼關(guān)系,其中,所述時空編碼關(guān)系是依據(jù)時間軸建立的安全 特征變化數(shù)據(jù)集;
[0058] 根據(jù)時空編碼關(guān)系生成分別與可視化片段和時空片段對應的時空檢驗矩陣Mv和 M。,然后將Mv和M。進行異或運算,得到異或矩陣Dv。,并分析異或矩陣Dv。中的非零元素所在 的行和列,從而剔除掉錯誤的匹配;
[0059] 用直方圖相似選優(yōu)算法做出相似性判斷,輸出匹配結(jié)果。
[0060] 本發(fā)明至少具有以下有益效果:通過本發(fā)明實施例提供的網(wǎng)絡(luò)安全態(tài)勢感知系 統(tǒng),實現(xiàn)智能數(shù)據(jù)聚融,在不完整的數(shù)據(jù)呈現(xiàn)中,記憶模式能夠被學習并識別出來。通過組 合模式學習的記憶與當前的輸入,HTM網(wǎng)絡(luò)能夠預測下一步可能發(fā)生什么,可以更準確、全 面地進行網(wǎng)絡(luò)安全態(tài)勢感知。針對泛在網(wǎng)絡(luò)中信息流安全多特征存在互補的特性,可以進 行多角度的學習;從多個層次、多個角度對網(wǎng)絡(luò)的安全態(tài)勢進行分析,采用定量分析和定性 描述相結(jié)合的方法,保證評估結(jié)果系統(tǒng)而全面。此外,本發(fā)明在安全態(tài)勢評估的基礎(chǔ)上,采 用可視化片段與態(tài)勢特征匹配方法,對感知數(shù)據(jù)進行進一步優(yōu)化處理,完成匹配特征可視 化精煉和匹配態(tài)勢演化過程精煉。這對于動態(tài)預測網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢變化趨勢非常有幫 助,使得態(tài)勢數(shù)據(jù)集直觀迅速的展示,有助于提高網(wǎng)絡(luò)系統(tǒng)安全響應效率。
[0061] 應當理解的是,以上的一般描述和后文的細節(jié)描述僅是示例性和解釋性的,并不 能限制本發(fā)明。
【專利附圖】
【附圖說明】
[0062] 圖1為本發(fā)明實施例中網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的示意圖;
[0063] 圖2為本發(fā)明實施例中網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的另一示意圖;
[0064] 圖3為本發(fā)明實施例中網(wǎng)絡(luò)安全態(tài)勢感知方法的示例性流程圖;
[0065]圖4為本發(fā)明實施例中智能融合網(wǎng)絡(luò)的示意圖;
[0066] 圖5為本發(fā)明實施例中空間矩陣的示意圖;
[0067]圖6為本發(fā)明實施例中歐幾里得高斯函數(shù)分布示意圖;
[0068]圖7為本發(fā)明實施例中匹配特征可視化精煉的示意圖;
[0069] 圖8為本發(fā)明實施例中劃分空間域的示意圖;
[0070] 圖9為本發(fā)明實施例中網(wǎng)絡(luò)安全態(tài)勢感知框架的示意圖。
【具體實施方式】
[0071] 以下結(jié)合說明書附圖對本發(fā)明的優(yōu)選實施例進行說明,應當理解,此處所描述的 優(yōu)選實施例僅用于說明和解釋本發(fā)明,并不用于限定本發(fā)明,并且在不沖突的情況下,本發(fā) 明中的實施例及實施例中的特征可以相互組合。
[0072] 本發(fā)明基于HTM(HierarchicalTemporalMemory,層級時序記憶),提出了一種網(wǎng) 絡(luò)安全態(tài)勢感知系統(tǒng)和方法。HTM是一項對大腦新皮層進行建模的技術(shù)。大腦新皮層占了 大約75%的人腦的容量,負責所有高層次的理解,包括視覺、聽覺、語言、觸覺等。因為HTM 是從生物學中得到的,所以它適合那些對于人類非常容易而對計算機非常困難的工作,例 如物體的識別、做出預測、理解語言、在復雜的數(shù)據(jù)中發(fā)現(xiàn)模式等。根據(jù)HTM理論構(gòu)建的HTM 網(wǎng)絡(luò)是一個記憶系統(tǒng),隨著時間變化,它通過給它的感知數(shù)據(jù)來學習它的世界,并從數(shù)據(jù)中 抽象出高層的概念。抽象允許HTM網(wǎng)絡(luò)來進行一般化,并對于傳統(tǒng)計算機編程處理的嚴格 規(guī)則提供靈活性和效率。例如,在不完整或是模糊不清的數(shù)據(jù)呈現(xiàn)中,模式能夠被學習并識 別出來。通過組合模式學習的記憶與當前的輸入,HTM網(wǎng)絡(luò)能夠預測下一步可能發(fā)生什么。
[0073]HTM網(wǎng)絡(luò)的設(shè)計確定了分層結(jié)構(gòu)的大小與架構(gòu),然后為分層結(jié)構(gòu)提供感知數(shù)據(jù)來 訓練它。感知數(shù)據(jù)來自供應鏈業(yè)務(wù)中的歷史數(shù)據(jù)。重要的是在分層中,有許多數(shù)據(jù)用來訓 練,而且數(shù)據(jù)是具有時間這一基本元素。在供應鏈信息流安全分析中,為了進行有效的學 習,都需要在時間的流逝中觀察一組模式。
[0074] -方面,本發(fā)明基于HTM網(wǎng)絡(luò)的原理,提出一種網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng),如圖1所 示,為本發(fā)明提出的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng),包括:
[0075] 采集模塊101,用于采集網(wǎng)絡(luò)中的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù);
[0076] 感知模塊102,用于將采集到的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù)作為預先 構(gòu)建的智能融合模型的輸入,計算網(wǎng)絡(luò)安全態(tài)勢;
[0077] 可視化模塊103,用于將計算得到的網(wǎng)絡(luò)安全態(tài)勢的結(jié)果進行可視化。
[0078] 其中,在一個實施例中,智能融合模型為F層,上一層的每個節(jié)點在下一層擁有N 個子節(jié)點,其中F彡2,且N彡2 ;
[0079] 智能融合模型中包含有歷史網(wǎng)絡(luò)安全數(shù)據(jù)的時序記憶模式,時序記憶模式至少表 征了歷史網(wǎng)絡(luò)安全數(shù)據(jù)的特征點的時序關(guān)系。
[0080]其中,在一個實施例中,如圖2所示,系統(tǒng)還包括:
[0081] 訓練數(shù)據(jù)采集模塊104,用于采集用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù);
[0082] 特征提取模塊105,用于針對采集的用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù),提取 該數(shù)據(jù)的時空關(guān)聯(lián)特征;
[0083] 樣本數(shù)據(jù)確定模塊106,用于對采集到的用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù) 以及提取的時空關(guān)聯(lián)特征進行預設(shè)定的攻擊以獲得特征集和攻擊反饋數(shù)據(jù)集,這兩個集合 作為智能融合模型的樣本數(shù)據(jù);
[0084] 訓練模塊107,用于根據(jù)獲取的樣本數(shù)據(jù),訓練智能融合模型,生成智能融合模型 的時序記憶模式。
[0085] 其中,在一個實施例中,如圖2所示,訓練模塊107,包括:
[0086] 輸入單元108,用于將特征集和攻擊反饋數(shù)據(jù)集作為智能融合算法的樣本數(shù)據(jù),輸 入給智能融合模型;
[0087] 學習單元109,用于智能融合模型根據(jù)輸入的樣本數(shù)據(jù)進行學習,并形成與各層的 節(jié)點對應的時序記憶模式。
[0088] 其中,在一個實施例中,如圖2所示,感知模塊102,包括:
[0089] 輸入模式提取單元110,用于提取網(wǎng)絡(luò)安全數(shù)據(jù)的時間序列作為一組輸入模式,輸 入給智能融合模型;
[0090] 處理單元111,用于通過預先構(gòu)建的智能融合模型,計算輸入模式與智能融合模型 的時序記憶模式的匹配概率,并將匹配概率大于預設(shè)閾值的時序記憶模式作為最終匹配的 時序記憶模式,形成態(tài)勢特征結(jié)果集,用于進行可視化。
[0091] 其中,在一個實施例中,可視化模塊103,用于將態(tài)勢特征結(jié)果集中的時序記憶模 式,與預先存儲的時空數(shù)據(jù)片段進行特征匹配,輸出匹配結(jié)果,將匹配結(jié)果作為可視化片 段。
[0092] 其中,在一個實施例中,如圖2所示,系統(tǒng)還包括:
[0093] 記錄模塊112,用于可視化模塊將態(tài)勢特征結(jié)果集中的時序記憶模式,與預先存儲 的時空數(shù)據(jù)片段進行特征匹配之后,記錄每個可視化片段的特征點的空間,時間和主方向 供可視化使用;
[0094] 第一劃分模塊113,用于以主方向為起點,以特征點為中心,將可視化空間劃分為 P個扇形區(qū)域,其中,P>1 ;
[0095] 第二劃分模塊114,用于以特征點所在時空位置為基點劃分時域推演區(qū)間為前后 兩個區(qū)間來明確歷史態(tài)勢和未來態(tài)勢關(guān)系,將時空空間劃分為2p個區(qū)間;
[0096] 時空編碼建立模塊115,用于按時間先后順序和預設(shè)的空間順序?qū)γ總€區(qū)間設(shè)好 索引,建立起該特征點的特征和其他特征點的特征的時空編碼關(guān)系,其中,時空編碼關(guān)系是 依據(jù)時間軸建立的安全特征變化數(shù)據(jù)集;
[0097] 校驗模塊116,用于根據(jù)時空編碼關(guān)系生成分別與可視化片段和時空片段對應的 時空檢驗矩陣Mv和M。,然后將Mv和M。進行異或運算,得到異或矩陣Dv。,并分析異或矩陣Dto 中的非零元素所在的行和列,從而剔除掉錯誤的匹配;
[0098] 輸出模塊117,用于用直方圖相似選優(yōu)算法做出相似性判斷,輸出匹配結(jié)果。
[0099] 關(guān)于上述實施例中的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)中的各裝置,其中各個模塊執(zhí)行操作 的具體方式將在有關(guān)該方法的實施例中進行詳細描述,下面對基于上述網(wǎng)絡(luò)安全態(tài)勢感知 系統(tǒng)進行網(wǎng)絡(luò)安全態(tài)勢感知的方法進行詳細說明。
[0100] 實施例一
[0101] 另一方面,本發(fā)明基于上述的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng),提出一種網(wǎng)絡(luò)安全態(tài)勢感 知方法,如圖3所示,包括:
[0102] 301 :采集網(wǎng)絡(luò)中的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù)。
[0103] 302:將采集到的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù)作為預先構(gòu)建的智能融 合模型的輸入,計算網(wǎng)絡(luò)安全態(tài)勢。
[0104] 其中,歷史網(wǎng)絡(luò)安全數(shù)據(jù)指用于訓練智能融合模型的樣本數(shù)據(jù)和后期通過智能融 合模型進行網(wǎng)絡(luò)安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù)。
[0105] 其中,在一個實施例中,智能融合模型中包含有歷史網(wǎng)絡(luò)安全數(shù)據(jù)的時序記憶模 式,時序記憶模式至少表征了歷史網(wǎng)絡(luò)安全數(shù)據(jù)的特征點的時序關(guān)系。
[0106] 303 :將計算得到的網(wǎng)絡(luò)安全態(tài)勢的結(jié)果進行可視化。
[0107] 通過本發(fā)明實施例提供的網(wǎng)絡(luò)安全態(tài)勢感知方法實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知,需要基 于HTM網(wǎng)絡(luò)構(gòu)建智能融合模型,并對該智能融合模型進行訓練,然后基于該智能融合模型 進行安全態(tài)勢感知。該智能融合模型在進行網(wǎng)絡(luò)安全態(tài)勢感知的過程中可以不斷的學習和 自我完善。
[0108] 下面對本發(fā)明實施例提供的網(wǎng)絡(luò)安全態(tài)勢感知方法進行展開說明:
[0109] 一、構(gòu)建智能融合模型包括:
[0110] 步驟A1 :獲取樣本數(shù)據(jù)。
[0111] 步驟A2 :根據(jù)獲取的樣本數(shù)據(jù),訓練智能融合模型,生成智能融合模型的時序記 憶模式。
[0112] 下面對上述兩個步驟進行詳細說明:
[0113] 1)對于步驟A1:
[0114] 步驟A1具體包括以下步驟B1-B3:
[0115] 步驟B1:采集用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù)。
[0116] 其中,在一個實施例中,網(wǎng)絡(luò)安全數(shù)據(jù)包括:應用層、網(wǎng)絡(luò)傳輸層以及物理層面的 數(shù)據(jù);其中應用層的網(wǎng)絡(luò)安全數(shù)據(jù)將包括云計算登陸認證種類及安全等級,供應鏈信息應 用集成安全信息,webservice安全,解析服務(wù)安全數(shù)據(jù)等,此外,信息利用環(huán)節(jié),企業(yè)中間 件涉及的安全數(shù)據(jù)也納入到這一部分;對于涉及泛在網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全數(shù)據(jù)可以通過網(wǎng) 關(guān)和安管設(shè)備如防火墻、IDS等獲得,網(wǎng)絡(luò)環(huán)境包括移動通信網(wǎng)、計算機網(wǎng)絡(luò)、無線網(wǎng)絡(luò)等; 物理層的安全數(shù)據(jù)主要涉及到物聯(lián)網(wǎng)的傳感節(jié)點,可從傳感器網(wǎng)關(guān)獲得。
[0117] 步驟B2:針對采集的用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù),提取該數(shù)據(jù)的時空 關(guān)聯(lián)特征。
[0118] 其中,時空關(guān)聯(lián)特征用于得到多層面的局部時空對象的特征表述。
[0119] 步驟B3:對采集到的用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù)以及提取的時空關(guān) 聯(lián)特征進行預設(shè)定的攻擊以獲得特征集和攻擊反饋數(shù)據(jù)集,這兩個集合作為HTM網(wǎng)絡(luò)的樣 本數(shù)據(jù)。
[0120] 可以通過摒棄權(quán)重弱化的特征達到特征篩選的目的,具體的:采集的網(wǎng)絡(luò)安全數(shù) 據(jù)中,若IDS虛警高的話可以減少IDS權(quán)重,防火墻策略可靠的話可以提高防火墻數(shù)據(jù)的權(quán) 重。
[0121] 其中,在一個實施例中,步驟B3可具體執(zhí)行為:對采集到的網(wǎng)絡(luò)安全數(shù)據(jù)以及提 取的時空關(guān)聯(lián)特征進行預設(shè)定的攻擊,獲取魯棒性高的時空關(guān)聯(lián)特征,其中,對于每一種攻 擊,由對應于該攻擊的魯棒性高的時空關(guān)聯(lián)特征形成對應于該攻擊的特征集;并根據(jù)進行 預設(shè)定的攻擊后的結(jié)果,獲取與該攻擊對應的安全攻擊反饋數(shù)據(jù)集。
[0122] 其中,在特征篩選的過程中可以摒棄權(quán)重弱化的特征達到特征篩選的目的,具體 的如:采集的網(wǎng)絡(luò)安全數(shù)據(jù)中若IDS虛警高的話可以減少IDS權(quán)重,防火墻策略可靠的話可 以提高防火墻數(shù)據(jù)的權(quán)重。
[0123] 至此,樣本數(shù)據(jù)的獲取過程已經(jīng)闡述清楚,下面介紹一下HTM網(wǎng)絡(luò)的訓練學習過 程。
[0124] 2)對于步驟A2
[0125] 智能融合模型的設(shè)計確定了分層結(jié)構(gòu)的大小與架構(gòu),然后為分層結(jié)構(gòu)提供感知數(shù) 據(jù)來訓練它。感知數(shù)據(jù)來自業(yè)務(wù)中的歷史網(wǎng)絡(luò)安全數(shù)據(jù)(在智能融合模型的初始形成階 段,該感知數(shù)據(jù)即為前述采集到的網(wǎng)絡(luò)安全數(shù)據(jù))。重要的是在分層中,有許多數(shù)據(jù)用來訓 練,而且數(shù)據(jù)是具有時間這一基本元素。在供應鏈信息流安全分析中,為了進行有效的學 習,都需要在時間的流逝中觀察一組模式。由此,步驟A2可具體執(zhí)行為:
[0126] 步驟C1 :將特征集和攻擊反饋數(shù)據(jù)集作為HTM算法的樣本數(shù)據(jù),輸入給智能融合 模型。
[0127] 其中,在一個實施例中,智能融合模型為F層,除最低層外其他層的各節(jié)點擁有N 個子節(jié)點,其中,F(xiàn)和N均大于等于2。
[0128] 其中,需要說明的是,除底層外其他各層的節(jié)點的子節(jié)點的數(shù)目可以相同也可以 不相同,可以視實際需要進行設(shè)定,本發(fā)明對此不做限定。
[0129] 步驟C2 :智能融合模型根據(jù)輸入的樣本數(shù)據(jù)進行學習,并形成與各層的節(jié)點對應 的時序記憶模式。
[0130] 在智能融合模型中,當由高層到低層,節(jié)點數(shù)量指數(shù)級擴展時,可以有效實現(xiàn)大規(guī) 模信息流的態(tài)勢匯聚。如圖4所示,可以構(gòu)建3層HTM網(wǎng)絡(luò)作為智能融合模型,每一層中每 一個網(wǎng)格表示一個節(jié)點,每一個節(jié)點為一個特征描述區(qū)域。上層的一個節(jié)點對應下層的4 個節(jié)點。該HTM網(wǎng)絡(luò)中,每個節(jié)點的輸入都是一組模式構(gòu)成的時間序列,每一層都用于進行 安全數(shù)據(jù)聚融,第3層的節(jié)點(即最高層的節(jié)點)用來實現(xiàn)最終的態(tài)勢匯聚。具體的,在該 HTM網(wǎng)絡(luò)中,最低層(即第1層)用于接收樣本數(shù)據(jù)(特征集和安全攻擊反饋數(shù)據(jù)集),進 行安全信息流處理。該樣本數(shù)據(jù)還可以由第三方設(shè)備提供,如由安管設(shè)備提供安全特征值 序列,可以通過多維向量引入安全特征值序列。對于每一層:第1層的各節(jié)點對輸入的樣本 數(shù)據(jù)進行學習,形成并記憶樣本數(shù)據(jù)之間的時序特征模式,然后將時序特征模式數(shù)據(jù)作為 第二層的輸入。第2層的各節(jié)點對時序特征模式進行分析,形成并記憶時序特征模式中穩(wěn) 定的特征,從而形成中間層模式(可以理解為第2層的實現(xiàn)特征模式),并將中間層模式作 為第3層的輸入。第3層為融合輸出層,它基于大量已得到訓練的中間層模式,將空間及時 間變化特征一致的中間層模式歸為一類,并可以統(tǒng)一輸出網(wǎng)絡(luò)安全態(tài)勢感知結(jié)果,如對當 前網(wǎng)絡(luò)安全態(tài)勢的評估結(jié)果和預測結(jié)果。
[0131] 例如,樣本數(shù)據(jù)中包括入侵檢測數(shù)據(jù)、防火墻數(shù)據(jù)和系統(tǒng)安全漏洞數(shù)據(jù);除去量 綱,保留影響因子,對該樣本數(shù)據(jù)歸一化處理后的結(jié)果為:入侵檢測安全為3,防火墻安全 為1,系統(tǒng)安全漏洞為1,空間矩陣化為[311],該矩陣圖示如圖5所示。根據(jù)該空間矩陣獲 得3*3大小的特征矩陣作為信息流輸入特征數(shù)據(jù)作為第1層的輸入,對于圖4中標識為a 的節(jié)點,它的輸入為一個"拐角形"特征的描述,如果該空間矩陣向右移動一幀,也就是在下 一個時刻,該節(jié)點的輸入對應的是一個變化后的"拐角形";
[0132]如:
【權(quán)利要求】
1. 一種網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng),其特征在于,所述系統(tǒng)包括: 采集模塊,用于采集網(wǎng)絡(luò)中的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù); 感知模塊,用于將采集到的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù)作為預先構(gòu)建的智 能融合模型的輸入,計算網(wǎng)絡(luò)安全態(tài)勢; 可視化模塊,用于將計算得到的網(wǎng)絡(luò)安全態(tài)勢的結(jié)果進行可視化。
2. 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于, 所述智能融合模型為F層,上一層的每個節(jié)點在下一層擁有N個子節(jié)點,其中2,且 N > 2 ; 所述智能融合模型中包含有歷史網(wǎng)絡(luò)安全數(shù)據(jù)的時序記憶模式,所述時序記憶模式至 少表征了歷史網(wǎng)絡(luò)安全數(shù)據(jù)的特征點的時序關(guān)系。
3. 根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括: 訓練數(shù)據(jù)采集模塊,用于采集用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù); 特征提取模塊,用于針對采集的用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù),提取該數(shù)據(jù) 的時空關(guān)聯(lián)特征; 樣本數(shù)據(jù)確定模塊,用于對采集到的用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù)W及提取 的時空關(guān)聯(lián)特征進行預設(shè)定的攻擊W獲得特征集和攻擊反饋數(shù)據(jù)集,該兩個集合作為智能 融合模型的樣本數(shù)據(jù); 訓練模塊,用于根據(jù)獲取的樣本數(shù)據(jù),訓練智能融合模型,生成智能融合模型的時序記 憶模式。
4. 根據(jù)權(quán)利要求3所述的系統(tǒng),其特征在于,所述訓練模塊,包括: 輸入單元,用于將特征集和攻擊反饋數(shù)據(jù)集作為智能融合算法的樣本數(shù)據(jù),輸入給智 能融合模型; 學習單元,用于智能融合模型根據(jù)輸入的樣本數(shù)據(jù)進行學習,并形成與各層的節(jié)點對 應的時序記憶模式。
5. 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,所述感知模塊,包括: 輸入模式提取單元,用于提取網(wǎng)絡(luò)安全數(shù)據(jù)的時間序列作為一組輸入模式,輸入給智 能融合模型; 處理單元,用于通過預先構(gòu)建的智能融合模型,計算輸入模式與智能融合模型的時序 記憶模式的匹配概率,并將匹配概率大于預設(shè)闊值的時序記憶模式作為最終匹配的時序記 憶模式,形成態(tài)勢特征結(jié)果集,用于進行可視化。
6. 根據(jù)權(quán)利要求5所述的系統(tǒng),其特征在于,所述可視化模塊,用于將態(tài)勢特征結(jié)果集 中的時序記憶模式,與預先存儲的時空數(shù)據(jù)片段進行特征匹配,輸出匹配結(jié)果,將匹配結(jié)果 作為可視化片段。
7. 根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括: 記錄模塊,用于所述可視化模塊將態(tài)勢特征結(jié)果集中的時序記憶模式,與預先存儲的 時空數(shù)據(jù)片段進行特征匹配之后,記錄每個可視化片段的特征點的空間,時間和主方向供 可視化使用; 第一劃分模塊,用于W主方向為起點,W特征點為中也,將可視化空間劃分為P個扇形 區(qū)域,其中,P〉1 ; 第二劃分模塊,用于w特征點所在時空位置為基點劃分時域推演區(qū)間為前后兩個區(qū)間 來明確歷史態(tài)勢和未來態(tài)勢關(guān)系,將時空空間劃分為化個區(qū)間; 時空編碼建立模塊,用于按時間先后順序和預設(shè)的空間順序?qū)γ總€區(qū)間設(shè)好索引,建 立起該特征點的特征和其他特征點的特征的時空編碼關(guān)系,其中,所述時空編碼關(guān)系是依 據(jù)時間軸建立的安全特征變化數(shù)據(jù)集; 校驗模塊,用于根據(jù)時空編碼關(guān)系生成分別與可視化片段和時空片段對應的時空檢驗 矩陣Mv和M。,然后將Mv和Me進行異或運算,得到異或矩陣Dve,并分析異或矩陣Dw中的非 零元素所在的行和列,從而剔除掉錯誤的匹配; 輸出模塊,用于用直方圖相似選優(yōu)算法做出相似性判斷,輸出匹配結(jié)果。
8. -種網(wǎng)絡(luò)安全態(tài)勢感知方法,其特征在于,所述方法包括: 采集網(wǎng)絡(luò)中的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù); 將采集到的用于進行安全態(tài)勢感知的網(wǎng)絡(luò)安全數(shù)據(jù)作為預先構(gòu)建的智能融合模型的 輸入,計算網(wǎng)絡(luò)安全態(tài)勢; 將計算得到的網(wǎng)絡(luò)安全態(tài)勢的結(jié)果進行可視化。
9. 根據(jù)權(quán)利要求8所述的方法,其特征在于, 所述智能融合模型為F層,上一層的每個節(jié)點在下一層擁有N個子節(jié)點,其中2,且 N > 2 ; 所述智能融合模型中包含有歷史網(wǎng)絡(luò)安全數(shù)據(jù)的時序記憶模式,所述時序記憶模式至 少表征了歷史網(wǎng)絡(luò)安全數(shù)據(jù)的特征點的時序關(guān)系。
10. 根據(jù)權(quán)利要求9所述的方法,其特征在于,所述智能融合模型根據(jù)W下方法構(gòu)建: 采集用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù); 針對采集的用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù),提取該數(shù)據(jù)的時空關(guān)聯(lián)特征; 對采集到的用于訓練智能融合模型的網(wǎng)絡(luò)安全數(shù)據(jù)W及提取的時空關(guān)聯(lián)特征進行預 設(shè)定的攻擊W獲得特征集和攻擊反饋數(shù)據(jù)集,該兩個集合作為智能融合模型的樣本數(shù)據(jù); 根據(jù)獲取的樣本數(shù)據(jù),訓練智能融合模型,生成智能融合模型的時序記憶模式。
11. 根據(jù)權(quán)利要求10所述的方法,其特征在于,所述根據(jù)獲取的樣本數(shù)據(jù),訓練智能融 合模型,生成智能融合模型的時序記憶模式,包括: 將特征集和攻擊反饋數(shù)據(jù)集作為智能融合算法的樣本數(shù)據(jù),輸入給智能融合模型; 智能融合模型根據(jù)輸入的樣本數(shù)據(jù)進行學習,并形成與各層的節(jié)點對應的時序記憶模 式。
12. 根據(jù)權(quán)利要求8所述的方法,其特征在于,所述將采集到的網(wǎng)絡(luò)安全數(shù)據(jù)作為預先 構(gòu)建的智能融合模型的輸入,計算網(wǎng)絡(luò)安全態(tài)勢,包括: 提取網(wǎng)絡(luò)安全數(shù)據(jù)的時間序列作為一組輸入模式,輸入給智能融合模型; 通過預先構(gòu)建的智能融合模型,計算輸入模式與智能融合模型的時序記憶模式的匹配 概率,并將匹配概率大于預設(shè)闊值的時序記憶模式作為最終匹配的時序記憶模式,形成態(tài) 勢特征結(jié)果集,用于進行可視化。
13. 根據(jù)權(quán)利要求12所述的方法,其特征在于,所述將計算得到的網(wǎng)絡(luò)安全態(tài)勢的結(jié) 果進行可視化,包括: 將態(tài)勢特征結(jié)果集中的時序記憶模式,與預先存儲的時空數(shù)據(jù)片段進行特征匹配,輸 出匹配結(jié)果,將匹配結(jié)果作為可視化片段。
14.根據(jù)權(quán)利要求13所述的方法,其特征在于,所述將態(tài)勢特征結(jié)果集中的時序記憶 模式,與預先存儲的時空數(shù)據(jù)片段進行特征匹配之后,所述方法還包括: 記錄每個可視化片段的特征點的空間,時間和主方向供可視化使用; W主方向為起點,W特征點為中也,將可視化空間劃分為P個扇形區(qū)域,其中,P〉1 ; W特征點所在時空位置為基點劃分時域推演區(qū)間為前后兩個區(qū)間來明確歷史態(tài)勢和 未來態(tài)勢關(guān)系,將時空空間劃分為化個區(qū)間; 按時間先后順序和預設(shè)的空間順序?qū)γ總€區(qū)間設(shè)好索引,建立起該特征點的特征和其 他特征點的特征的時空編碼關(guān)系,其中,所述時空編碼關(guān)系是依據(jù)時間軸建立的安全特征 變化數(shù)據(jù)集; 根據(jù)時空編碼關(guān)系生成分別與可視化片段和時空片段對應的時空檢驗矩陣Mv和M。,然 后將Mv和M。進行異或運算,得到異或矩陣Dve,并分析異或矩陣Dw中的非零元素所在的行 和列,從而剔除掉錯誤的匹配; 用直方圖相似選優(yōu)算法做出相似性判斷,輸出匹配結(jié)果。
【文檔編號】H04L29/06GK104348829SQ201410505350
【公開日】2015年2月11日 申請日期:2014年9月26日 優(yōu)先權(quán)日:2014年9月26日
【發(fā)明者】蕭海東, 陳寧 申請人:智慧城市信息技術(shù)有限公司