本發(fā)明屬于計算機信息安全
技術領域：
，涉及面向電子政務內(nèi)網(wǎng)的綜合網(wǎng)絡監(jiān)管定量描述方法，特別是涉及一種根據(jù)網(wǎng)絡安全監(jiān)測所采集的事件集合量化系統(tǒng)環(huán)境安全程度的計算方法。
背景技術：
：隨著電子政務內(nèi)網(wǎng)的規(guī)模日漸龐大，對網(wǎng)絡進行全面監(jiān)控、保障信息安全的工作日益復雜。為了能夠真正做到全面感知內(nèi)網(wǎng)發(fā)生的情況，尤其是安全狀況，相關管理部門采用了眾多網(wǎng)絡管理工具對網(wǎng)絡進行監(jiān)控與管理。在網(wǎng)絡監(jiān)測的應用場景里，網(wǎng)絡安全管理員需要對網(wǎng)絡安全狀態(tài)有定性的描述與定量的描述。借助各類網(wǎng)絡安全設備，管理員能夠得到多方面的網(wǎng)絡安全定性描述；通過網(wǎng)絡綜合安全監(jiān)管設備，管理員能夠得到全面的描述。但僅有定性描述無法衡量當前網(wǎng)絡安全狀態(tài)。通過量化數(shù)值能夠幫助網(wǎng)絡安全管理員更充分地理解網(wǎng)絡所處的安全狀態(tài)與面臨的安全風險。技術實現(xiàn)要素：本發(fā)明的目的在于提供一種基于網(wǎng)絡安全監(jiān)測過程中實時采集的事件集合計算網(wǎng)絡安全指數(shù)的計算方法，根據(jù)時間序列采樣，通過分析網(wǎng)絡安全指數(shù)的時間序列，得到網(wǎng)絡平穩(wěn)性的描述，判斷當前網(wǎng)絡中是否存在大量的突發(fā)事件。本發(fā)明解決其技術問題所采用的技術方案是：一種網(wǎng)絡安全指數(shù)計算方法，將定性描述網(wǎng)絡狀態(tài)的事件定性量化，包括如下步驟1001)，事件的定義將違反網(wǎng)絡管理規(guī)則或者明顯與正常行為存在差異的事件定義為異常事件；將通過網(wǎng)絡安全設備或者其它技術手段捕獲到網(wǎng)絡中危害信息安全與系統(tǒng)安全的事件定義為安全事件；1005)，計算事件規(guī)模指數(shù)通過事件的集合確定網(wǎng)絡事件體系中異常事件/安全事件的數(shù)量和各事件的風險等級，進而確定網(wǎng)絡的事件規(guī)模指數(shù)，所述的事件規(guī)模指數(shù)是指在一個時間段內(nèi)事件總體數(shù)量規(guī)模對系統(tǒng)分值的影響；1009)，計算事件等級指數(shù)所述的事件等級是區(qū)分不同等級的異常事件對系統(tǒng)分值的影響；1013)，綜合確定網(wǎng)絡安全指數(shù)根據(jù)事件規(guī)模指數(shù)與事件等級指數(shù)計算網(wǎng)絡的安全指數(shù)；根據(jù)時間順序采集安全指數(shù)，通過計算一系列的安全指數(shù)，即可得出解釋系統(tǒng)平穩(wěn)性的描述。所述的一種網(wǎng)絡安全指數(shù)計算方法，其步驟1005)包括如下流程2001)，分別給出異常事件/安全事件在每小時內(nèi)發(fā)生的總數(shù)的四分位數(shù)，中位數(shù)和下四分位數(shù)作為第一天計算的經(jīng)驗參數(shù)值；2005)，根據(jù)第一天的異常事件/安全事件的二十四個總數(shù)值取其上四分位數(shù)、中位數(shù)和下四分位數(shù)，與第一天的經(jīng)驗參數(shù)值取平均值作為第二天的分位數(shù)；2009)，根據(jù)第二天的異常事件/安全事件的24個總數(shù)值取其上四分位數(shù)、中位數(shù)和下四分位數(shù)，與第二天的分位數(shù)取平均值作為第三天的分位數(shù)，依此類推；將該時間段的異常事件/安全事件總數(shù)定義為a，則事件規(guī)模指數(shù)為進一步，所述的事件總數(shù)a包括高危事件a高，中危事件數(shù)量a中和低危事件數(shù)量a低，其a高+a中+a低＝a，則3001)，a中+a低＝0時，3005)，a中+a低≠0時，所述的安全指數(shù)為：SI異(a)＝S異(a)*g異(a)。所述的一種網(wǎng)絡安全指數(shù)計算方法，其步驟1005)中事件規(guī)模指數(shù)是指某一小時內(nèi)事件發(fā)生50次與發(fā)生100次之間的差異。所述的一種網(wǎng)絡安全指數(shù)計算方法，其步驟1009)中，將事件等級分為高、中、低三個等級。所述的一種網(wǎng)絡安全指數(shù)計算方法，還包括根據(jù)歷史狀況與當前狀況調(diào)整計算過程使用參數(shù)的步驟。本發(fā)明的有益效果是：通過處理網(wǎng)絡安全監(jiān)測過程中實時采集得到的事件種類、嚴重等級與數(shù)量，得到一個網(wǎng)絡安全指數(shù)的具體評估分值；本發(fā)明方法具有動態(tài)調(diào)節(jié)參數(shù)的特性，具體表現(xiàn)在針對不同的網(wǎng)絡運行環(huán)境，能夠合理地產(chǎn)生不同的計算分值；針對同樣被監(jiān)測網(wǎng)絡在不同網(wǎng)絡環(huán)境下，能夠合理地產(chǎn)生不同的計算分值，從而合理地量化及描述網(wǎng)絡當前安全狀態(tài)；本發(fā)明方法能夠?qū)W(wǎng)絡的定性描述轉(zhuǎn)化為定量描述，以反應網(wǎng)絡安全狀態(tài)的基本事實。附圖說明圖1為本發(fā)明的方法流程圖；圖2為圖1中步驟1005的處理流程圖；圖3為圖2中方框2009的處理流程圖。具體實施方式本發(fā)明公開了一種面向電子政務內(nèi)網(wǎng)、適用于網(wǎng)絡安全監(jiān)測的事件分析方法，其適用于網(wǎng)絡安全狀態(tài)量化的計算方法，算法流程圖如圖1所示，包括如下步驟：1001)，事件的定義將正常的網(wǎng)絡記錄定義為普通事件；將違反網(wǎng)絡管理規(guī)則或者明顯與正常行為存在差異的事件定義為異常事件；將通過網(wǎng)絡安全設備或者其它技術手段捕獲到網(wǎng)絡中危害信息安全與系統(tǒng)安全的事件定義為安全事件；對網(wǎng)絡中實時產(chǎn)生的所有事件進行統(tǒng)計處理。1005)，計算事件規(guī)模指數(shù)通過事件的集合確定網(wǎng)絡事件體系中異常事件/安全事件的數(shù)量和各事件的風險等級，進而確定網(wǎng)絡的事件規(guī)模指數(shù)，所述的事件規(guī)模指數(shù)是指在一個時間段內(nèi)事件總體數(shù)量規(guī)模對系統(tǒng)分值的影響。其具體計算流程如圖2所示：2001)，首次計算時，依據(jù)經(jīng)驗分別給出異常事件每小時發(fā)生事件總數(shù)的上四分位數(shù)，中位數(shù)，下四分位數(shù)，總共六個數(shù)值，作為第一天計算的經(jīng)驗參數(shù)值。安全事件類似的可以給出，即可根據(jù)統(tǒng)計數(shù)據(jù)集合生成初始化參數(shù)。2005)，根據(jù)實際情況動態(tài)調(diào)整參數(shù)。第一天的統(tǒng)計數(shù)據(jù)結(jié)果里有每個小時的異常事件總數(shù)值，總共24個值，取出該24個值的上四分位數(shù)、中位數(shù)和下四分位數(shù)，與第一天的經(jīng)驗參數(shù)值取平均值作為第二天的分位數(shù)。安全事件類似的可以給出。假設經(jīng)驗給出的異常事件初始分位數(shù)值為：a上*，a中*，a下*(該值都不能為0)；將第一天24個小時每小時異常事件總數(shù)值從小到大進行排列，假設排列后為a1，a2，…,a24,那么第一天三個分位數(shù)為則第二天異常事件分位數(shù)為：根據(jù)第二天的異常事件/安全事件的24個總數(shù)值取其上四分位數(shù)、中位數(shù)和下四分位數(shù)，與第二天的分位數(shù)取平均值作為第三天的分位數(shù)，之后每天的分位數(shù)都是以前一天的三個實際值與前一天計算時候的分位數(shù)取平均值。2009)，根據(jù)參數(shù)生成事件規(guī)模指數(shù)。將該時間段的異常事件/安全事件總數(shù)定義為a，則事件規(guī)模指數(shù)為該時間段內(nèi)的事件總數(shù)為a，規(guī)定事件規(guī)模指數(shù)為：1009)，計算事件等級指數(shù)所述的事件等級是區(qū)分不同等級的事件對系統(tǒng)分值的影響。即根據(jù)事件等級計算事件威脅指數(shù)。1013)，綜合確定網(wǎng)絡安全指數(shù)即依據(jù)規(guī)模指數(shù)與威脅指數(shù)計算安全指數(shù)。圖3代表根據(jù)事件規(guī)模指數(shù)與事件等級指數(shù)計算網(wǎng)絡的安全指數(shù)的算法流程，主要包括：3001)，根據(jù)高危害事件數(shù)量確定系統(tǒng)安全指數(shù)的范圍；3005)，根據(jù)中、低危害事件數(shù)量確定事件威脅指數(shù)。假設某時間段內(nèi)的事件總數(shù)為a，其中高危事件數(shù)量為a高，中危事件數(shù)量為a中，低危事件數(shù)量為a低，顯然a高+a中+a低＝a，那么系統(tǒng)當前即時安全指數(shù)為：(1)框圖3001代表在a中+a低＝0時，(2)隨后，框圖3005代表a中+a低≠0時，然后確定系統(tǒng)當前網(wǎng)絡即時安全指數(shù)為：SI異(a)＝S異(a)*g異(a)。通過模型帶入安全指數(shù)序列進行計算；根據(jù)結(jié)果定性描述當前序列狀態(tài)；繼而，根據(jù)網(wǎng)絡安全指數(shù)的時間序列，通過平穩(wěn)性計算方法，得出網(wǎng)絡的平穩(wěn)性描述。其中，一個平穩(wěn)的時間序列在圖形上往往表現(xiàn)出一種圍繞其均值不斷波動的過程；而非平穩(wěn)序列則往往表現(xiàn)出在不同的時間段具有不同的均值，如持續(xù)上升或持續(xù)下降。網(wǎng)絡安全狀態(tài)的平穩(wěn)性描述能夠衡量網(wǎng)絡中突發(fā)事件的程度與密度。最后，通過分析工作時間與非工作時間系統(tǒng)的即時安全指數(shù)值，分別對工作時間與非工作時間的事件發(fā)生次數(shù)是否平穩(wěn)以及存在的問題給出說明與建議。以十個數(shù)值a(1),a(2),...,a(10)為例,不用排序：以上各種情況的說明如下：①在該時間段內(nèi)事件發(fā)生的頻數(shù)總體很平穩(wěn)②在該時間段內(nèi)事件發(fā)生的頻數(shù)比較平穩(wěn)③在該時間段內(nèi)事件發(fā)生的頻數(shù)波動較大其中，方差var是指數(shù)值波動范圍，var較小的說明數(shù)值波動范圍比較小。B的大小說明數(shù)值在波動范圍內(nèi)是否有規(guī)律的增減，可以監(jiān)測數(shù)值是否始終呈遞增或者遞減狀態(tài)?；谝陨嫌嬎惴椒ǎ景l(fā)明同時給出一種應用場景，用于描述系統(tǒng)在一個時期內(nèi)的平穩(wěn)狀態(tài)。該狀態(tài)說明了系統(tǒng)突發(fā)性事件的數(shù)量、程度和密度，更進一步地描述系統(tǒng)在一個時期內(nèi)的安全狀態(tài)。所述的步驟1005)中事件規(guī)模指數(shù)是指某一小時內(nèi)事件發(fā)生50次與發(fā)生100次之間的差異。所述的步驟1009)中，將事件等級分為高、中、低三個等級。還包括根據(jù)歷史狀況與當前狀況調(diào)整計算過程使用參數(shù)的步驟。上述實施例僅例示性說明本發(fā)明的原理及其功效，以及部分運用的實施例，對于本領域的普通技術人員來說，在不脫離本發(fā)明創(chuàng)造構思的前提下，還可以做出若干變形和改進，這些都屬于本發(fā)明的保護范圍。當前第1頁1 2 3