網(wǎng)絡(luò)安全態(tài)勢分析方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)安全態(tài)勢分析方法。
【背景技術(shù)】
[0002] 隨著電力信息網(wǎng)絡(luò)環(huán)境規(guī)模的日益擴(kuò)大，網(wǎng)絡(luò)中各種設(shè)備的數(shù)量急劇增加，來自 外部和內(nèi)部的各種安全和攻擊也在急劇增加，威脅著網(wǎng)絡(luò)信息安全。為了不斷應(yīng)對新的安 全挑戰(zhàn)，電力信息網(wǎng)絡(luò)先后部署了防病毒系統(tǒng)、防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、UTM 等等。在這種復(fù)雜的安全體系下，網(wǎng)絡(luò)具有資源分布共享化、用戶分散化和管理分布化等特 性，為實(shí)現(xiàn)多元化、智能信息服務(wù)提供了基礎(chǔ)。然而，這種復(fù)雜的網(wǎng)絡(luò)顯示中安全問題已經(jīng) 成為制約其發(fā)展的一大障礙。安全態(tài)勢評估技術(shù)能夠從全面、宏觀反映出網(wǎng)絡(luò)動(dòng)態(tài)安全狀 況，并對安全狀況的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警，因此，針對電力信息網(wǎng)絡(luò)的安全態(tài)勢分析模 型及關(guān)鍵技術(shù)已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。
[0003] 目前，對電力信息網(wǎng)絡(luò)進(jìn)行安全態(tài)勢分析已經(jīng)開展了一些有價(jià)值理論和應(yīng)用研 究，例如：研究基于模糊理論的網(wǎng)絡(luò)安全事件編群方法；建立基于模糊時(shí)間序列模型；研究 支持向量機(jī)回歸的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法等等。應(yīng)用實(shí)踐中，常見的安全態(tài)勢分析方法包 括：（1)態(tài)勢可視化展示，該方法的主要是利用人對直觀圖像的敏銳性，以可視化視圖的方 式將網(wǎng)絡(luò)互聯(lián)狀態(tài)呈現(xiàn)出來，從而使安全分析員對當(dāng)前的網(wǎng)絡(luò)狀態(tài)有直觀的了解，并通過 經(jīng)驗(yàn)去判斷網(wǎng)絡(luò)是否受到攻擊威脅，但這種方法的缺點(diǎn)是對安全分析人員經(jīng)驗(yàn)水平要求 高，難以精確量化分析。（2)全面采集各類安全設(shè)備的安全日志，對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全態(tài) 勢分析，通過數(shù)據(jù)挖掘的方案評估計(jì)算機(jī)網(wǎng)絡(luò)的安全性，但這種方法的缺點(diǎn)是信息來源單 一，只有安全日志信息，且性能低下，因?yàn)閷Ξ悩?gòu)安全事件的采集和處理效率較低。（3)利用 安全日志信息和設(shè)備漏洞信息的結(jié)合，采用風(fēng)險(xiǎn)計(jì)算算法，得到直觀的安全態(tài)勢圖，但此種 選取的態(tài)勢評估指標(biāo)還不夠全面，量化算法結(jié)果也不夠準(zhǔn)確，并且針對大型電力信息網(wǎng)絡(luò)， 安全日志信息和設(shè)備漏洞信息的采集難以全面，導(dǎo)致最終的計(jì)算結(jié)果失真。

【發(fā)明內(nèi)容】

[0004] 本發(fā)明提供了一種網(wǎng)絡(luò)安全態(tài)勢分析方法，解決了現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢分析方式準(zhǔn) 確程度和處理效率低下的問題。
[0005] -種安全態(tài)勢分析方法，包括：
[0006] A、通過SYSLOG協(xié)議和Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息，并從中提取IP地址 信息，基于地理信息或業(yè)務(wù)信息對得到的IP地址進(jìn)行分層，得到多個(gè)層級；
[0007] B、分別計(jì)算各層級的地址熵值；
[0008] C、持續(xù)計(jì)算全局地址熵的值，以5分鐘為時(shí)間周期計(jì)算地址熵值基準(zhǔn)點(diǎn)，以歷史 較長時(shí)間地址熵值基準(zhǔn)點(diǎn)數(shù)據(jù)的集合建立長周期熵值基線，以最近時(shí)間的地址熵值基準(zhǔn)點(diǎn) 數(shù)據(jù)的集合建立短周期熵值基線；
[0009] D、將所述全局地址熵的實(shí)測值與所述長周期熵值基線和短周期熵值基線的綜合 偏差度轉(zhuǎn)換為安全態(tài)勢指標(biāo)數(shù)據(jù)；
[0010] E、當(dāng)安全態(tài)勢指標(biāo)超過預(yù)置的閾值時(shí)，判定安全態(tài)勢發(fā)生異常，通過各層級地址 熵值的對比定位異常。
[0011] 優(yōu)選的，通過SYSLOG協(xié)議和Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息，并從中提取IP 地址信息包括：
[0012] 分布式采集點(diǎn)從以下任一信息或任意多個(gè)信息中提取IP地址：
[0013] 網(wǎng)絡(luò)安全設(shè)備日志，應(yīng)用系統(tǒng)日志，路由交換設(shè)備flow信息，
[0014] 所述IP地址包括源IP地址和目的IP地址。
[0015] 優(yōu)選的，通過SYSLOG協(xié)議和Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息，并從中提取IP 地址信息還包括：
[0016] 獲取所述IP地址的地理標(biāo)記；
[0017] 將所述IP地址映射為整形數(shù)據(jù)結(jié)構(gòu)，將所述整形數(shù)據(jù)結(jié)構(gòu)和該IP地址的地理標(biāo) 記存儲(chǔ)于多層嵌套HashMap數(shù)據(jù)結(jié)構(gòu)中；
[0018]將所述IP地址的整形數(shù)據(jù)結(jié)構(gòu)加入IP映射緩存表，該IP映射緩存表存儲(chǔ)了IP地址的整形數(shù)據(jù)結(jié)構(gòu)和該IP地址被采集到的次數(shù)。
[0019] 優(yōu)選的，該方法還包括：
[0020] 根據(jù)預(yù)置的更新周期，周期性的對上一周期中所述IP映射緩存表中的IP地址依 據(jù)各IP地址的流量進(jìn)行排序；
[0021] 對排序后排名較靠前的IP地址對應(yīng)的被采集到的次數(shù)進(jìn)行更新。
[0022] 優(yōu)選的，分別計(jì)算各層級的地址熵值包括：
[0023] 根據(jù)以下表達(dá)式計(jì)算基礎(chǔ)層的源地址熵：
【主權(quán)項(xiàng)】
1. 一種網(wǎng)絡(luò)安全態(tài)勢分析方法，其特征在于，具體步驟包括： A、 通過SY化0G協(xié)議和Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息，并從中提取IP地址信 息，基于地理信息或業(yè)務(wù)信息對得到的IP地址進(jìn)行分層，得到多個(gè)層級； B、 分別計(jì)算各層級的地址賭值； C、 持續(xù)計(jì)算全局地址賭的值，W 5分鐘為時(shí)間周期計(jì)算地址賭值基準(zhǔn)點(diǎn)，W歷史較長 時(shí)間地址賭值基準(zhǔn)點(diǎn)數(shù)據(jù)的集合建立長周期賭值基線，W最近時(shí)間的地址賭值基準(zhǔn)點(diǎn)數(shù)據(jù) 的集合建立短周期賭值基線； D、 將所述全局地址賭的實(shí)測值與所述長周期賭值基線和短周期賭值基線的綜合偏差 度轉(zhuǎn)換為安全態(tài)勢指標(biāo)數(shù)據(jù)； E、 當(dāng)安全態(tài)勢指標(biāo)超過預(yù)置的闊值時(shí)，判定安全態(tài)勢發(fā)生異常，通過各層級地址賭值 的對比定位異常。
2. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法，其特征在于，通過SY化0G協(xié)議和 Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息，并從中提取IP地址信息包括： 分布式采集點(diǎn)從W下任一信息或任意多個(gè)信息中提取IP地址： 網(wǎng)絡(luò)安全設(shè)備日志，應(yīng)用系統(tǒng)日志，路由交換設(shè)備flow信息， 所述IP地址包括源IP地址和目的IP地址。
3. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法，其特征在于，通過SY化0G協(xié)議和 Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息，并從中提取IP地址信息還包括： 獲取所述IP地址的地理標(biāo)記； 將所述IP地址映射為整形數(shù)據(jù)結(jié)構(gòu)，將所述整形數(shù)據(jù)結(jié)構(gòu)和該IP地址的地理標(biāo)記存 儲(chǔ)于多層嵌套化shMap數(shù)據(jù)結(jié)構(gòu)中； 將所述IP地址的整形數(shù)據(jù)結(jié)構(gòu)加入IP映射緩存表，該IP映射緩存表存儲(chǔ)了 IP地址 的整形數(shù)據(jù)結(jié)構(gòu)和該IP地址被采集到的次數(shù)。
4. 根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)安全態(tài)勢分析方法，其特征在于，該方法還包括： 根據(jù)預(yù)置的更新周期，周期性的對上一周期中所述IP映射緩存表中的IP地址依據(jù)各 IP地址的流量進(jìn)行排序； 對排序后排名較靠前的IP地址對應(yīng)的被采集到的次數(shù)進(jìn)行更新。
5. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法，其特征在于，分別計(jì)算各層級的地 址賭值包括： 根據(jù)W下表達(dá)式計(jì)算基礎(chǔ)層的源地址賭：
根據(jù)W下表達(dá)式計(jì)算基礎(chǔ)層的目的地址賭：
其中，S =之jlinipi表示觀測時(shí)間段內(nèi)的IP地址的總出現(xiàn)次數(shù)； 根據(jù)W下表達(dá)式計(jì)算中間層的賭：
H(MIDDLE) =a地（SRC)+b 地值EST), 其中，a、b的取值區(qū)間為[0，1]，且a+b = 1 ; 根據(jù)W下表達(dá)式計(jì)算全局層的賭：
6. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法，其特征在于，W歷史較長時(shí)間地址 賭值基準(zhǔn)點(diǎn)數(shù)據(jù)的集合建立長周期賭值基線包括： W較長周期為循環(huán)時(shí)長，計(jì)算每經(jīng)第一時(shí)間間隔后的全局賭值，形成一組有多個(gè)點(diǎn)的 賭值數(shù)組； 對本較長周期的賭值與上一較長周期的基線賭值進(jìn)行加權(quán)平均W獲得新的基線賭值， 多個(gè)所述基線賭值形成動(dòng)態(tài)的長周期賭值基線。
7. 根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)安全態(tài)勢分析方法，其特征在于，所述較長周期為一天 或一天W上的時(shí)間周期。
8. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法，其特征在于，W最近時(shí)間的地址賭 值基準(zhǔn)點(diǎn)數(shù)據(jù)的集合建立短周期賭值基線包括： 按照較短周期周期性的計(jì)算全局賭值； W最近的多個(gè)周期的全局賭值形成賭值數(shù)據(jù)，所述賭值數(shù)據(jù)構(gòu)成的曲線即為短周期賭 值基線。
9. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法，其特征在于，將所述地址賭值轉(zhuǎn)換 為安全態(tài)勢指標(biāo)數(shù)據(jù)包括： 從所述長周期賭值基線中提取當(dāng)前時(shí)刻對應(yīng)的賭值，即為當(dāng)前時(shí)刻的長周期賭預(yù)測 值； 根據(jù)W下表達(dá)式獲得短周期基線對應(yīng)的賭預(yù)測值： H"i=Ht+a(yt-Ht)， 設(shè)當(dāng)前短周期基線中的賭值序列為： y。72, 73, y4. . . . yt為當(dāng)前短周期基線中的賭值序列，a是加權(quán)系統(tǒng)（〇<a<l)，Ht是第t 期的預(yù)測賭值； 根據(jù)W下表達(dá)式計(jì)算賭值偏差率Ut:
其中，H為實(shí)測全局賭值，Hi為基于長周期賭值基線獲取的預(yù)測賭值，H ,是基于短周期 賭值基線獲取的預(yù)測賭值； 根據(jù)W下表達(dá)式轉(zhuǎn)換得到安全態(tài)勢指標(biāo)（SSI):
〇

10.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法，其特征在于，當(dāng)SSI出現(xiàn)異常時(shí)，通 過對各層級地址賭值進(jìn)行排序，確定地址賭值最大的網(wǎng)絡(luò)分層為網(wǎng)絡(luò)安全態(tài)勢異常所在位 置。
【專利摘要】本發(fā)明提供了一種網(wǎng)絡(luò)安全態(tài)勢分析方法。涉及網(wǎng)絡(luò)安全領(lǐng)域；解決了現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢分析方式準(zhǔn)確程度和處理效率低下的問題。A、通過SYSLOG協(xié)議和Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息，并從中提取IP地址信息，基于地理信息或業(yè)務(wù)信息對得到的IP地址進(jìn)行分層，得到多個(gè)層級；B、分別計(jì)算各層級的地址熵值；C、持續(xù)計(jì)算全局地址熵的值，以5分鐘為時(shí)間周期計(jì)算地址熵值基準(zhǔn)點(diǎn)，以歷史較長時(shí)間地址熵值基準(zhǔn)點(diǎn)數(shù)據(jù)的集合建立長周期熵值基線，以最近時(shí)間的地址熵值基準(zhǔn)點(diǎn)數(shù)據(jù)的集合建立短周期熵值基線；D、將所述全局地址熵的實(shí)測值與所述長周期熵值基線和短周期熵值基線的綜合偏差度轉(zhuǎn)換為安全態(tài)勢指標(biāo)數(shù)據(jù)；E、當(dāng)安全態(tài)勢指標(biāo)超過預(yù)置的閾值時(shí)，判定安全態(tài)勢發(fā)生異常，通過各層級地址熵值的對比定位異常。實(shí)現(xiàn)了準(zhǔn)確高效的安全態(tài)勢分析。
【IPC分類】H04L29-06
【公開號】CN104601604
【申請?zhí)枴緾N201510090101
【發(fā)明人】陳連棟, 辛銳, 趙煒, 黃鏡宇, 崔志坤, 王靜, 宋崢崢, 孔明, 李井泉, 白濤, 付強(qiáng), 劉成龍, 張磊, 王震, 周文芳
【申請人】國家電網(wǎng)公司, 國網(wǎng)河北省電力公司信息通信分公司
【公開日】2015年5月6日
【申請日】2015年2月27日