本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體涉及基于可信計(jì)算的大數(shù)據(jù)安全態(tài)勢地圖生成方法。
背景技術(shù):
隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大,警報(bào)信息的數(shù)據(jù)量越來越大,如何有效區(qū)分有效信息,去除冗余也是網(wǎng)絡(luò)安全防護(hù)的難點(diǎn)。相關(guān)技術(shù)中,信息安全風(fēng)險(xiǎn)管理系統(tǒng)中的人為主觀因素太多,缺少一個(gè)科學(xué)的管理手段。這就迫切需要一個(gè)可以了解整個(gè)網(wǎng)絡(luò)的狀態(tài)和未來趨勢的方法,能夠在網(wǎng)絡(luò)發(fā)生威脅和攻擊時(shí)進(jìn)行應(yīng)急響應(yīng),重新調(diào)整網(wǎng)絡(luò)安全資源配置并做出安全響應(yīng)策略。
有關(guān)可信計(jì)算的概念,在ISO/IEC 15408標(biāo)準(zhǔn)中給出了以下定義:一個(gè)可信的組件、操作或過程的行為在任意操作條件下是可預(yù)測的,并能很好地抵抗應(yīng)用程序軟件、病毒以及一定的物理干擾造成的破壞。可信計(jì)算的基本思路是在硬件平臺(tái)上引入安全芯片(可信平臺(tái)模塊)來提高終端系統(tǒng)的安全性,也就是說在每個(gè)終端平臺(tái)上植入一個(gè)信任根,讓計(jì)算機(jī)從BIOS到操作系統(tǒng)內(nèi)核層,再到應(yīng)用層都構(gòu)建信任關(guān)系;以此為基礎(chǔ),擴(kuò)大到網(wǎng)絡(luò)上,建立相應(yīng)的信任鏈,從而進(jìn)入計(jì)算機(jī)免疫時(shí)代。當(dāng)終端受到攻擊時(shí),可實(shí)現(xiàn)自我保護(hù)、自我管理和自我恢復(fù)。
可信計(jì)算為行為安全而生。據(jù)中國信息安全專家在《軟件行為學(xué)》一書中描述,行為安全應(yīng)該包括:行為的機(jī)密性、行為的完整性、行為的真實(shí)性等特征,在態(tài)勢地圖方面,現(xiàn)在人們更多的式研究如何保證信息的機(jī)密性和完整性,但是對于行為的真實(shí)性,例如某些由于背景時(shí)間或者無害的突發(fā)安全事件,卻很難行之有效地甄別出來,這給操作人員帶來了不小的困擾。
技術(shù)實(shí)現(xiàn)要素:
針對上述問題,本發(fā)明提供基于可信計(jì)算的大數(shù)據(jù)安全態(tài)勢地圖生成方法。
本發(fā)明的目的采用以下技術(shù)方案來實(shí)現(xiàn):
基于可信計(jì)算的大數(shù)據(jù)安全態(tài)勢地圖生成方法,其特征是,包括以下步驟:
(1)利用MAPX軟件,將網(wǎng)絡(luò)所在的地理地圖作為背景圖層,將網(wǎng)絡(luò)劃分為多個(gè)節(jié)點(diǎn)和連接兩個(gè)節(jié)點(diǎn)之間的鏈路,將節(jié)點(diǎn)和鏈路映射到背景圖層上;
(2)通過多種數(shù)據(jù)采集器對網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行采集,認(rèn)證進(jìn)行信息收集的網(wǎng)絡(luò)中的硬件節(jié)點(diǎn),判斷網(wǎng)絡(luò)硬件節(jié)點(diǎn)可信度,建立所采集信息的信任關(guān)系,所述數(shù)據(jù)采集器以Syslog采集方式為主,以Snmp作為補(bǔ)充采集方式,通過配置不同的網(wǎng)絡(luò)安全設(shè)備完成對網(wǎng)絡(luò)信息數(shù)據(jù)的采集;所述網(wǎng)絡(luò)信息數(shù)據(jù)包括日志數(shù)據(jù)、流量數(shù)據(jù)和漏洞信息,其中所述漏洞信息的獲取借助掃描工具和網(wǎng)絡(luò)IDS入侵檢測工具,通過Snmp或Http協(xié)議由日志采集插件或數(shù)據(jù)接口來完成;所述日志數(shù)據(jù)由數(shù)據(jù)采集器通過Syslog協(xié)議和Flow協(xié)議進(jìn)行采集;
(3)通過代理管理服務(wù)器對采集后的所述網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行歸并、過濾和加密,通過密鑰技術(shù)、硬件訪問控制技術(shù)和存儲(chǔ)加密技術(shù)保證系統(tǒng)和數(shù)據(jù)的信任狀態(tài),通過軟件的數(shù)字簽名技術(shù)將使得系統(tǒng)能識別出經(jīng)過第三方修改可能加入間諜軟件的應(yīng)用程序,形成統(tǒng)一的數(shù)據(jù)格式發(fā)送到服務(wù)器終端形成基礎(chǔ)數(shù)據(jù)庫,形成可度量的量化數(shù)據(jù),確保數(shù)據(jù)不會(huì)被隨意獲取,構(gòu)建整體地圖生成信任環(huán)境,建立信任關(guān)系后,以分布在云環(huán)境下的數(shù)據(jù)資源為基礎(chǔ),對數(shù)據(jù)資源進(jìn)行封裝存儲(chǔ),構(gòu)建可信數(shù)據(jù)平臺(tái);所述可信數(shù)據(jù)平臺(tái)還提供可信軟件系統(tǒng),所述可信軟件系統(tǒng)為操作系統(tǒng)和應(yīng)用軟件提供使用可信數(shù)據(jù)平臺(tái)的接口,同時(shí)對所述可信數(shù)據(jù)平臺(tái)后續(xù)軟件提供完整性度量,并對不可控操作系統(tǒng)的特定行為進(jìn)行行為審計(jì)和分析;所述后續(xù)軟件包括核心加載軟件和不可控操作系統(tǒng)軟件;
(4)基于可信計(jì)算的真實(shí)性,在已建立的整體地圖生成信任環(huán)境中對網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行聚合分類并據(jù)此生成滾動(dòng)式報(bào)警,所述滾動(dòng)式報(bào)警設(shè)置在安全態(tài)勢地圖的右側(cè),具體執(zhí)行以下步驟:
(4-1)從基礎(chǔ)數(shù)據(jù)庫中調(diào)出網(wǎng)絡(luò)信息數(shù)據(jù),同時(shí)設(shè)置多個(gè)分級閾值T1,T2,T3,……,Tn、相似度更新閥值T、曲率閾值K、相似度持續(xù)時(shí)間閾值A(chǔ)和初始相似度C,循環(huán)取出給定時(shí)間內(nèi)的網(wǎng)絡(luò)信息數(shù)據(jù),調(diào)用相似度計(jì)算函數(shù)計(jì)算實(shí)時(shí)相似度,并生成每個(gè)節(jié)點(diǎn)處的實(shí)時(shí)相似度與時(shí)間的曲線函數(shù)AI;
(4-2)對計(jì)算結(jié)果進(jìn)行比較,如果實(shí)時(shí)相似度大于初始相似度C,則更新實(shí)時(shí)相似度為當(dāng)前相似度,否則保留初始相似度C為當(dāng)前相似度,計(jì)數(shù)器加1;
(4-3)將當(dāng)前相似度與多個(gè)分級閾值T1,T2,T3,……,Tn進(jìn)行比較,根據(jù)當(dāng)前相似度所在的閾值區(qū)間來確定該安全事件的報(bào)警等級,其中T<T1<T2<T3……<Tn;如果當(dāng)前相似度未落在任一區(qū)間,則將當(dāng)前相似度與相似度閥值T進(jìn)行比較,若當(dāng)前相似度小于相似度閥值T,則執(zhí)行以下操作:
計(jì)算當(dāng)前時(shí)間點(diǎn)相對于前一時(shí)間點(diǎn)的實(shí)時(shí)相似度變化量,即計(jì)算所述曲線函數(shù)AI當(dāng)前時(shí)間點(diǎn)相對于前一時(shí)間點(diǎn)的曲率K′,如果K′>K,并且當(dāng)前相似度小于相似度閾值T的持續(xù)時(shí)間小于相似度持續(xù)時(shí)間閾值A(chǔ)時(shí),將該網(wǎng)絡(luò)信息數(shù)據(jù)定性為無害安全事件,不執(zhí)行添加新報(bào)警類別的操作,同時(shí)將所述無害安全事件的相關(guān)信息儲(chǔ)存到人為設(shè)置的臨時(shí)儲(chǔ)存器中,當(dāng)同一節(jié)點(diǎn)由計(jì)數(shù)器記數(shù)累計(jì)達(dá)到3次無害安全事件時(shí),則執(zhí)行添加新報(bào)警類別的操作;當(dāng)任一次當(dāng)前相似度小于相似度閾值T的持續(xù)時(shí)間大于等于大相似度持續(xù)時(shí)間閾值A(chǔ)時(shí),也執(zhí)行添加新報(bào)警類別的操作;
(4-4)將所有網(wǎng)絡(luò)信息數(shù)據(jù),按照上述的聚合分類方法分類后,以滾動(dòng)報(bào)警的形式顯示在地圖的右側(cè),并且不同分類的報(bào)警顏色設(shè)置為不一樣;
(5)基于可信計(jì)算完整性,在已建立的整體地圖生成信任環(huán)境中,根據(jù)下式得到各個(gè)節(jié)點(diǎn)和鏈路的網(wǎng)絡(luò)安全態(tài)勢值:
FN{WH,WL,F(xiàn)H,F(xiàn)L,t}=WH.FH+WL.FL
此處,
FH(H,V1,F(xiàn)s,t)=V1.Fs(t)+10P’(t)
FL(L,V2,US,t)=V2.US(t)+10B‘(t)
其中,WH表示目標(biāo)節(jié)點(diǎn)在所有節(jié)點(diǎn)中所占的權(quán)重值,WL表示目標(biāo)鏈路在所有鏈路中所占的權(quán)重值,WH、WL分別由節(jié)點(diǎn)和鏈路組件提供的服務(wù)信息獲得;
FH表示t時(shí)刻目標(biāo)節(jié)點(diǎn)的安全態(tài)勢狀況,H表示目標(biāo)節(jié)點(diǎn),V1表示某一服務(wù)在節(jié)點(diǎn)運(yùn)行的所有服務(wù)中所占的權(quán)重;P表示節(jié)點(diǎn)性能狀況,P值越大表示節(jié)點(diǎn)性能越差,P’(t)表示t時(shí)刻鏈路性能變化狀況,通過計(jì)算函數(shù)P某點(diǎn)的曲率求得,且強(qiáng)制P’(t)≤3,當(dāng)P’(t)值大于3時(shí),強(qiáng)制令P’(t)=3;Fs(t)=N1(t).10D1(t),表示t時(shí)刻目標(biāo)節(jié)點(diǎn)的服務(wù)安全態(tài)勢狀況,N1(t)表示t時(shí)刻節(jié)點(diǎn)被攻擊發(fā)生的次數(shù),D1(t)表示t時(shí)刻節(jié)點(diǎn)被攻擊的嚴(yán)重程度,其與目標(biāo)節(jié)點(diǎn)當(dāng)前所提供服務(wù)受到的攻擊種類和受到的攻擊次數(shù)有關(guān),根據(jù)具體情況人為設(shè)定該函數(shù);
FL表示t時(shí)刻目標(biāo)鏈路的安全態(tài)勢狀況,L表示目標(biāo)鏈路,V2表示某一組件服務(wù)在鏈路運(yùn)行的所有組件服務(wù)中所占權(quán)重;B表示鏈路性能狀況,數(shù)值越大表示鏈路的性能越差,B’(t)表示t時(shí)刻鏈路性能變化狀況,通過計(jì)算函數(shù)B某點(diǎn)的曲率求得,且強(qiáng)制B’(t)≤3,當(dāng)B’(t)值大于3時(shí),強(qiáng)制令B’(t)=3;US(t)=N2(t).10D2(t),表示t時(shí)刻目標(biāo)鏈路的服務(wù)安全態(tài)勢狀況,N2(t)表示t時(shí)刻鏈路被攻擊發(fā)生的次數(shù),D2(t)表示t時(shí)刻鏈路被攻擊的嚴(yán)重程度,其與目標(biāo)鏈路所提供的服務(wù)受到的攻擊種類和所受到的攻擊次數(shù)有關(guān),根據(jù)具體情況人為設(shè)定該函數(shù);
(6)根據(jù)計(jì)算得到的各個(gè)節(jié)點(diǎn)和鏈路的網(wǎng)絡(luò)安全態(tài)勢值,在已建立的整體地圖生成信任環(huán)境中,根據(jù)預(yù)先設(shè)定的閾值對不同數(shù)值的網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分級,用不同顏色代表不同態(tài)勢等級的節(jié)點(diǎn)和鏈路的安全狀態(tài),生成安全態(tài)勢地圖;所述數(shù)據(jù)采集器為可信鏈的起點(diǎn),其設(shè)置有數(shù)據(jù)發(fā)送應(yīng)用程序,所述數(shù)據(jù)采集器與代理管理服務(wù)器、報(bào)警生成和態(tài)勢地圖生成共同構(gòu)成可信鏈,數(shù)據(jù)通過3G模塊進(jìn)行傳輸,3G模塊上電后,由所述可信數(shù)據(jù)平臺(tái)進(jìn)行上電檢測。
優(yōu)選地,所述節(jié)點(diǎn)性能狀況P的計(jì)算方法為:分別對處理器利用率、內(nèi)存利用率、網(wǎng)絡(luò)連接數(shù)、數(shù)據(jù)丟包率設(shè)置相應(yīng)的門限值,以及在固定時(shí)間間隔的變化閾值,將上述各值超過相應(yīng)門限值的差值的絕對值之和表示為J1,將各值在固定時(shí)間間隔變化幅度大于變化閾值的具體差值的絕對值之和表示為J2,由下式計(jì)算節(jié)點(diǎn)性能狀況P:P=2J1+J2;
所述鏈路性能狀況B的計(jì)算方法為:分別對鏈路組件網(wǎng)絡(luò)連接數(shù)、帶寬利用率、數(shù)據(jù)丟包率、鏈路組件處理器利用率設(shè)置相應(yīng)的門限值,以及在固定時(shí)間間隔的變化閾值;將上述各值超過相應(yīng)門限值的具體差值的絕對值之和記為J3,將各值在固定時(shí)間間隔變化幅度大于變化閾值的具體差值的絕對值之和記為J4,由下式計(jì)算鏈路性能狀況B:B=2J3+J4;
所述各節(jié)點(diǎn)的權(quán)重值的確定方法為:
(1)建立各節(jié)點(diǎn)相對于其他節(jié)點(diǎn)在網(wǎng)絡(luò)安全態(tài)勢上的重要度比較矩陣;
(2)將節(jié)點(diǎn)的重要度比較矩陣轉(zhuǎn)換為節(jié)點(diǎn)的模糊一致性矩陣;
(3)根據(jù)節(jié)點(diǎn)的模糊一致性矩陣的各元素,計(jì)算各節(jié)點(diǎn)的權(quán)重值。
所述各鏈路的權(quán)重值的確定方法為:
(1)建立各鏈路相對于其他鏈路在網(wǎng)絡(luò)安全態(tài)勢上的重要度比較矩陣;
(2)將鏈路的重要度比較矩陣轉(zhuǎn)換為鏈路的模糊一致性矩陣;
(3)根據(jù)鏈路的模糊一致性矩陣的各元素,計(jì)算各鏈路的權(quán)重值。
本發(fā)明的有益效果為:
1、通過多種數(shù)據(jù)采集器對網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行采集,確保了網(wǎng)絡(luò)信息數(shù)據(jù)采集的全面性;
2、基于屬性相近度的算法通過設(shè)置閥值,比較各個(gè)警報(bào)信息,調(diào)用相應(yīng)函數(shù)進(jìn)行警報(bào)信息的過濾、聚合,同時(shí)針對可能出現(xiàn)的背景事件或者實(shí)質(zhì)上無礙安全的事件,采用相似度曲率和持續(xù)時(shí)間的新評估標(biāo)準(zhǔn),將這類事件剔除出正常報(bào)警外,減小對監(jiān)視人員的干擾,另一方面為了避免安全漏洞,將這類安全事件放入臨時(shí)儲(chǔ)存器中,當(dāng)出現(xiàn)3次以上時(shí)認(rèn)定為新的報(bào)警類別,這使得態(tài)勢地圖的安全行為真實(shí)性更高,這從另一方面提高了態(tài)勢地圖的可信度;
3、設(shè)計(jì)了新的網(wǎng)絡(luò)安全態(tài)勢計(jì)算公式,不但同時(shí)考慮了節(jié)點(diǎn)和鏈路的安全態(tài)勢,而且考慮了節(jié)點(diǎn)和鏈路的動(dòng)態(tài)變化的影響,相對于現(xiàn)在的離散式節(jié)點(diǎn)和鏈路性能狀態(tài)表示方法而言,能將節(jié)點(diǎn)和鏈路的動(dòng)態(tài)變化連續(xù)地反應(yīng)到最終的安全態(tài)勢值中,更加準(zhǔn)確有效。同時(shí),將P’(t)和B’(t)的最大值強(qiáng)制限定為3,則反應(yīng)節(jié)點(diǎn)和鏈路性能動(dòng)態(tài)變化的項(xiàng)10P‘(t)和10B‘(t)不會(huì)超過1000,這在一定程度抑制了動(dòng)態(tài)表示中可能出現(xiàn)的短時(shí)誤判現(xiàn)象,保證了圖像的穩(wěn)定性和可信性。
附圖說明
利用附圖對本發(fā)明作進(jìn)一步說明,但附圖中的實(shí)施例不構(gòu)成對本發(fā)明的任何限制,對于本領(lǐng)域的普通技術(shù)人員,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)以下附圖獲得其它的附圖。
圖1是本安全態(tài)勢地圖生成方法的步驟示意圖;
圖2是生成后的安全態(tài)勢地圖示例。
具體實(shí)施方式
結(jié)合以下實(shí)施例對本發(fā)明作進(jìn)一步描述。
如圖1所示的基于可信計(jì)算的大數(shù)據(jù)安全態(tài)勢地圖生成方法,包括以下步驟:
(1)利用MAPX軟件,將網(wǎng)絡(luò)所在的地理地圖作為背景圖層,將網(wǎng)絡(luò)劃分為多個(gè)節(jié)點(diǎn)和連接兩個(gè)節(jié)點(diǎn)之間的鏈路,將節(jié)點(diǎn)和鏈路映射到背景圖層上;
(2)通過多種數(shù)據(jù)采集器對網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行采集,認(rèn)證進(jìn)行信息收集的網(wǎng)絡(luò)中的硬件節(jié)點(diǎn),判斷網(wǎng)絡(luò)硬件節(jié)點(diǎn)可信度,建立所采集信息的信任關(guān)系,所述數(shù)據(jù)采集器以Syslog采集方式為主,以Snmp作為補(bǔ)充采集方式,通過配置不同的網(wǎng)絡(luò)安全設(shè)備完成對網(wǎng)絡(luò)信息數(shù)據(jù)的采集;所述網(wǎng)絡(luò)信息數(shù)據(jù)包括日志數(shù)據(jù)、流量數(shù)據(jù)和漏洞信息,其中所述漏洞信息的獲取借助掃描工具和網(wǎng)絡(luò)IDS入侵檢測工具,通過Snmp或Http協(xié)議由日志采集插件或數(shù)據(jù)接口來完成;所述日志數(shù)據(jù)由數(shù)據(jù)采集器通過Syslog協(xié)議和Flow協(xié)議進(jìn)行采集;
(3)通過代理管理服務(wù)器對采集后的所述網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行歸并、過濾和加密,通過密鑰技術(shù)、硬件訪問控制技術(shù)和存儲(chǔ)加密技術(shù)保證系統(tǒng)和數(shù)據(jù)的信任狀態(tài),通過軟件的數(shù)字簽名技術(shù)將使得系統(tǒng)能識別出經(jīng)過第三方修改可能加入間諜軟件的應(yīng)用程序,形成統(tǒng)一的數(shù)據(jù)格式發(fā)送到服務(wù)器終端形成基礎(chǔ)數(shù)據(jù)庫,形成可度量的量化數(shù)據(jù),確保數(shù)據(jù)不會(huì)被隨意獲取,構(gòu)建整體地圖生成信任環(huán)境,建立信任關(guān)系后,以分布在云環(huán)境下的數(shù)據(jù)資源為基礎(chǔ),對數(shù)據(jù)資源進(jìn)行封裝存儲(chǔ),構(gòu)建可信數(shù)據(jù)平臺(tái);所述可信數(shù)據(jù)平臺(tái)還提供可信軟件系統(tǒng),所述可信軟件系統(tǒng)為操作系統(tǒng)和應(yīng)用軟件提供使用可信數(shù)據(jù)平臺(tái)的接口,同時(shí)對所述可信數(shù)據(jù)平臺(tái)后續(xù)軟件提供完整性度量,并對不可控操作系統(tǒng)的特定行為進(jìn)行行為審計(jì)和分析;所述后續(xù)軟件包括核心加載軟件和不可控操作系統(tǒng)軟件。
(4)基于可信計(jì)算的真實(shí)性,在已建立的整體地圖生成信任環(huán)境中對網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行聚合分類并據(jù)此生成滾動(dòng)式報(bào)警,所述滾動(dòng)式報(bào)警設(shè)置在安全態(tài)勢地圖的右側(cè),具體執(zhí)行以下步驟:
(4-1)從基礎(chǔ)數(shù)據(jù)庫中調(diào)出網(wǎng)絡(luò)信息數(shù)據(jù),同時(shí)設(shè)置多個(gè)分級閾值T1,T2,T3,……,Tn、相似度更新閥值T、曲率閾值K、相似度持續(xù)時(shí)間閾值A(chǔ)和初始相似度C,循環(huán)取出給定時(shí)間內(nèi)的網(wǎng)絡(luò)信息數(shù)據(jù),調(diào)用相似度計(jì)算函數(shù)計(jì)算實(shí)時(shí)相似度,并生成每個(gè)節(jié)點(diǎn)處的實(shí)時(shí)相似度與時(shí)間的曲線函數(shù)AI;
(4-2)對計(jì)算結(jié)果進(jìn)行比較,如果實(shí)時(shí)相似度大于初始相似度C,則更新實(shí)時(shí)相似度為當(dāng)前相似度,否則保留初始相似度C為當(dāng)前相似度,計(jì)數(shù)器加1;
(4-3)將當(dāng)前相似度與多個(gè)分級閾值T1,T2,T3,……,Tn進(jìn)行比較,根據(jù)當(dāng)前相似度所在的閾值區(qū)間來確定該安全事件的報(bào)警等級,其中T<T1<T2<T3……<Tn;如果當(dāng)前相似度未落在任一區(qū)間,則將當(dāng)前相似度與相似度閥值T進(jìn)行比較,若當(dāng)前相似度小于相似度閥值T,則執(zhí)行以下操作:
計(jì)算當(dāng)前時(shí)間點(diǎn)相對于前一時(shí)間點(diǎn)的實(shí)時(shí)相似度變化量,即計(jì)算所述曲線函數(shù)AI當(dāng)前時(shí)間點(diǎn)相對于前一時(shí)間點(diǎn)的曲率K′,如果K′>K,并且當(dāng)前相似度小于相似度閾值T的持續(xù)時(shí)間小于相似度持續(xù)時(shí)間閾值A(chǔ)時(shí),將該網(wǎng)絡(luò)信息數(shù)據(jù)定性為無害安全事件,不執(zhí)行添加新報(bào)警類別的操作,同時(shí)將所述無害安全事件的相關(guān)信息儲(chǔ)存到人為設(shè)置的臨時(shí)儲(chǔ)存器中,當(dāng)同一節(jié)點(diǎn)由計(jì)數(shù)器記數(shù)累計(jì)達(dá)到3次無害安全事件時(shí),則執(zhí)行添加新報(bào)警類別的操作;當(dāng)任一次當(dāng)前相似度小于相似度閾值T的持續(xù)時(shí)間大于等于大相似度持續(xù)時(shí)間閾值A(chǔ)時(shí),也執(zhí)行添加新報(bào)警類別的操作;
(4-4)將所有網(wǎng)絡(luò)信息數(shù)據(jù),按照上述的聚合分類方法分類后,以滾動(dòng)報(bào)警的形式顯示在地圖的右側(cè),并且不同分類的報(bào)警顏色設(shè)置為不一樣;
(5)基于可信計(jì)算完整性,根據(jù)下式得到各個(gè)節(jié)點(diǎn)和鏈路的網(wǎng)絡(luò)安全態(tài)勢值:
FN{WH,WL,F(xiàn)H,F(xiàn)L,t}=WH.FH+WL.FL
此處,
FH(H,V1,F(xiàn)s,t)=V1.Fs(t)+10P’(t)
FL(L,V2,US,t)=V2.US(t)+10B‘(t)
其中,WH表示目標(biāo)節(jié)點(diǎn)在所有節(jié)點(diǎn)中所占的權(quán)重值,WL表示目標(biāo)鏈路在所有鏈路中所占的權(quán)重值,WH、WL分別由節(jié)點(diǎn)和鏈路組件提供的服務(wù)信息獲得;
FH表示t時(shí)刻目標(biāo)節(jié)點(diǎn)的安全態(tài)勢狀況,H表示目標(biāo)節(jié)點(diǎn),V1表示某一服務(wù)在節(jié)點(diǎn)運(yùn)行的所有服務(wù)中所占的權(quán)重;P表示節(jié)點(diǎn)性能狀況,P值越大表示節(jié)點(diǎn)性能越差,P’(t)表示t時(shí)刻鏈路性能變化狀況,通過計(jì)算函數(shù)P某點(diǎn)的曲率求得,且強(qiáng)制P’(t)≤3,當(dāng)P’(t)值大于3時(shí),強(qiáng)制令P’(t)=3;Fs(t)=N1(t).10D1(t),表示t時(shí)刻目標(biāo)節(jié)點(diǎn)的服務(wù)安全態(tài)勢狀況,N1(t)表示t時(shí)刻節(jié)點(diǎn)被攻擊發(fā)生的次數(shù),D1(t)表示t時(shí)刻節(jié)點(diǎn)被攻擊的嚴(yán)重程度,其與目標(biāo)節(jié)點(diǎn)當(dāng)前所提供服務(wù)受到的攻擊種類和受到的攻擊次數(shù)有關(guān),根據(jù)具體情況人為設(shè)定該函數(shù)。
FL表示t時(shí)刻目標(biāo)鏈路的安全態(tài)勢狀況,L表示目標(biāo)鏈路,V2表示某一組件服務(wù)在鏈路運(yùn)行的所有組件服務(wù)中所占權(quán)重;B表示鏈路性能狀況,數(shù)值越大表示鏈路的性能越差,B’(t)表示t時(shí)刻鏈路性能變化狀況,通過計(jì)算函數(shù)B某點(diǎn)的曲率求得,通過計(jì)算函數(shù)B某點(diǎn)的曲率求得,且強(qiáng)制B’(t)≤3,當(dāng)B’(t)值大于3時(shí),強(qiáng)制令B’(t)=3;Us(t)=N2(t).10D2(t),表示t時(shí)刻目標(biāo)鏈路的服務(wù)安全態(tài)勢狀況,N2(t)表示t時(shí)刻鏈路被攻擊發(fā)生的次數(shù),D2(t)表示t時(shí)刻鏈路被攻擊的嚴(yán)重程度,其與目標(biāo)鏈路所提供的服務(wù)受到的攻擊種類和所受到的攻擊次數(shù)有關(guān),根據(jù)具體情況人為設(shè)定該函數(shù)。在這里,將P’(t)和B’(t)的最大值強(qiáng)制限定為3,則反應(yīng)節(jié)點(diǎn)和鏈路性能動(dòng)態(tài)變化的項(xiàng)10P‘(t)和10B‘(t)不會(huì)超過1000,這在一定程度抑制了動(dòng)態(tài)表示中可能出現(xiàn)的短時(shí)誤判現(xiàn)象,保證了圖像的穩(wěn)定性。
(6)根據(jù)計(jì)算得到的各個(gè)節(jié)點(diǎn)和鏈路的網(wǎng)絡(luò)安全態(tài)勢值,根據(jù)預(yù)先設(shè)定的閾值對不同數(shù)值的網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分級,用不同顏色代表不同態(tài)勢等級的節(jié)點(diǎn)和鏈路的安全狀態(tài),生成安全態(tài)勢地圖;所述數(shù)據(jù)采集器為可信鏈的起點(diǎn),其設(shè)置有數(shù)據(jù)發(fā)送應(yīng)用程序,所述數(shù)據(jù)采集器與代理管理服務(wù)器、報(bào)警生成和態(tài)勢地圖生成共同構(gòu)成可信鏈,數(shù)據(jù)通過3G模塊進(jìn)行傳輸,3G模塊上電后,由所述可信數(shù)據(jù)平臺(tái)進(jìn)行上電檢測;
所述節(jié)點(diǎn)性能狀況P的計(jì)算方法為:分別對處理器利用率、內(nèi)存利用率、網(wǎng)絡(luò)連接數(shù)、數(shù)據(jù)丟包率設(shè)置相應(yīng)的門限值,以及在固定時(shí)間間隔的變化閾值,將上述各值超過相應(yīng)門限值的差值的絕對值之和表示為J1,將各值在固定時(shí)間間隔變化幅度大于變化閾值的具體差值的絕對值之和表示為J2,由下式計(jì)算節(jié)點(diǎn)性能狀況P:P=2J1+J2;
所述鏈路性能狀況B的計(jì)算方法為:分別對鏈路組件網(wǎng)絡(luò)連接數(shù)、帶寬利用率、數(shù)據(jù)丟包率、鏈路組件處理器利用率設(shè)置相應(yīng)的門限值,以及在固定時(shí)間間隔的變化閾值;將上述各值超過相應(yīng)門限值的具體差值的絕對值之和記為J3,將各值在固定時(shí)間間隔變化幅度大于變化閾值的具體差值的絕對值之和記為J4,由下式計(jì)算鏈路性能狀況B:B=2J3+J4。
所述各節(jié)點(diǎn)的權(quán)重值的確定方法為:
(1)建立各節(jié)點(diǎn)相對于其他節(jié)點(diǎn)在網(wǎng)絡(luò)安全態(tài)勢上的重要度比較矩陣;
(2)將節(jié)點(diǎn)的重要度比較矩陣轉(zhuǎn)換為節(jié)點(diǎn)的模糊一致性矩陣;
(3)根據(jù)節(jié)點(diǎn)的模糊一致性矩陣的各元素,計(jì)算各節(jié)點(diǎn)的權(quán)重值。
所述各鏈路的權(quán)重值的確定方法為:
(1)建立各鏈路相對于其他鏈路在網(wǎng)絡(luò)安全態(tài)勢上的重要度比較矩陣;
(2)將鏈路的重要度比較矩陣轉(zhuǎn)換為鏈路的模糊一致性矩陣;
(3)根據(jù)鏈路的模糊一致性矩陣的各元素,計(jì)算各鏈路的權(quán)重值。
圖2給出了生成的一個(gè)安全態(tài)勢地圖示例。
本實(shí)施例通過多種數(shù)據(jù)采集器對網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行采集,確保了網(wǎng)絡(luò)信息數(shù)據(jù)采集的全面性;基于屬性相近度的算法通過設(shè)置閥值,比較各個(gè)警報(bào)信息,調(diào)用相應(yīng)函數(shù)進(jìn)行警報(bào)信息的過濾、聚合,同時(shí)針對可能出現(xiàn)的背景事件或者實(shí)質(zhì)上無礙安全的事件,采用相似度曲率和持續(xù)時(shí)間的新評估標(biāo)準(zhǔn),將這類事件剔除出正常報(bào)警外,減小對監(jiān)視人員的干擾,另一方面為了避免安全漏洞,將這類安全事件放入臨時(shí)儲(chǔ)存器中,當(dāng)出現(xiàn)3次以上時(shí)認(rèn)定為新的安全事件,這使得態(tài)勢地圖的安全行為真實(shí)性更高,這從另一方面提高了態(tài)勢地圖的可信度;設(shè)計(jì)了新的網(wǎng)絡(luò)安全態(tài)勢計(jì)算公式,不但同時(shí)考慮了節(jié)點(diǎn)和鏈路的安全態(tài)勢,考慮了多種因素的影響,而且考慮了節(jié)點(diǎn)和鏈路的動(dòng)態(tài)變化的影響,相對于現(xiàn)在的離散式節(jié)點(diǎn)和鏈路性能狀態(tài)表示方法而言,能將節(jié)點(diǎn)和鏈路的動(dòng)態(tài)變化連續(xù)地(通過P=2J1+J2以及B=2J3+J4的設(shè)置來取代現(xiàn)有技術(shù)中的離散式動(dòng)態(tài)變化)反應(yīng)到最終的安全態(tài)勢值中;將P’(t)和B’(t)的最大值強(qiáng)制限定為3,則反應(yīng)節(jié)點(diǎn)和鏈路性能動(dòng)態(tài)變化的項(xiàng)10P‘(t)和10B‘(t)不會(huì)超過1000,這在一定程度抑制了動(dòng)態(tài)表示中可能出現(xiàn)的短時(shí)誤判現(xiàn)象,保證了圖像的穩(wěn)定性和可信性。
最后應(yīng)當(dāng)說明的是,以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對本發(fā)明保護(hù)范圍的限制,盡管參照較佳實(shí)施例對本發(fā)明作了詳細(xì)地說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,可以對本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而不脫離本發(fā)明技術(shù)方案的實(shí)質(zhì)和范圍。