一种基于自律计算的网络安全态势感知系统及其处理方法转让专利
申请号 : CN201210275986.4
文献号 : CN102821007B
文献日 : 2016-12-21
发明人 : 郑瑞娟 , 吴庆涛 , 张明川 , 杨春蕾 , 赵旭辉 , 魏汪洋 , 李冠峰
申请人 : 河南科技大学
摘要 :
一种基于自律计算的网络安全态势感知系统及其处理方法,包括被管资源、Agent协同层模块、传感器和效应器模块和自律管理者模块,Agent协同层模块连接被管资源和自律管理者模块,传感器和效应器模块分别连接Agent协同层模块和自律管理者模块,针对态势感知的系统结构及态势提取进行改进,自主调节系统环境,使其能够动态适应环境变化,以实现资源的动态配置、服务的动态合成、系统参数的动态校正。
权利要求 :
1.一种基于自律计算的网络安全态势感知系统,其特征在于:包括被管资源、Agent协同层模块、传感器和效应器模块和自律管理者模块,Agent协同层模块连接被管资源和自律管理者模块,传感器和效应器模块分别连接Agent协同层模块和自律管理者模块,Agent协同层模块捕获被管资源信息并做预处理,去除冗余信息,最终把信息交给自律管理者模块,接收自律管理者模块的信息反馈,并自主调节系统环境,使其能够动态适应环境变化,以实现资源的动态配置、服务的动态合成、系统参数的动态校正;
传感器和效应器模块,连接所述的Agent协同层模块,需要定义统一的标准接口来实现由不同供应商提供的软硬件的通信,屏蔽由于内部结构的不同而产生的异构性;
自律管理者模块包括知识库模块、态势提取模块、态势评估模块、态势预测模块和自动响应模块,知识库模块包括状态判定知识、策略知识、问题求解知识和模式匹配知识,对态势提取模块、态势预测模块和自动响应模块提供知识支持;
态势提取模块,用于提取有效的态势信息,即攻击要素;
态势评估模块,连接所述的态势提取模块,通过识别态势信息中的安全事件,依据它们之间的关联关系,计算出服务、主机和网络所受到的威胁,进而实现对当前的网络安全态势的分析;
态势预测模块,连接所述的态势评估模块,用于根据过去和当前网络安全态势状况,对未来网络安全态势进行预测;
自动响应模块,用于根据知识库模块中的策略知识和问题求解知识,对态势提取模块提取的行为特征实时做出响应,对态势评估得出的态势值进行自主调节。
2.如权利要求1所述的一种基于自律计算的网络安全态势感知系统,其特征在于:所述的态势提取模块包括网络安全数据源集成平台模块、异常发现模块、自律联想学习模块、聚类分析模块和融合分析模块,网络安全数据源集成平台模块,用于实现多源异构数据的集成处理,为上层模块提供数据支持;
异常发现模块,采用模式匹配技术,根据异常行为库来检测网络中可能存在的各类攻击行为,并对异常行为库进行实时更新;
自律联想学习模块,用于根据攻击特征与异常行为库的原有攻击行为特征的记录进行关联、整合和集成分析,找出安全隐患的形成与发展规律;预测可能产生异常的条件及早期异常征兆,采用诊断预测和智能决策的方法实现攻击行为特征的自律联想学习,并将学习结果加入异常行为库;
从而实现对未知攻击行为的联想学习,快速提取有效态势信息;
聚类分析模块,连接所述的自律联想学习模块,采用相异度计算DSimC聚类方法对自律联想学习结果进行聚类判别分析;
其中所考虑的特征属性主要有源/目的IP、源/目的端口、检测时间、攻击类别,分别计算其相异度,最终计算出综合相异程度;
融合分析模块,连接所述的聚类分析模块,采用指数加权DS证据理论EWDS对聚合后的安全信息进行融合分析,进一步精简安全信息数量和识别攻击行为。
3.如权利要求2所述的一种基于自律计算的网络安全态势感知系统,其特征在于:所述的利用DSimC聚类方法对自律联想学习结果进行聚类具体包括:步骤1:采用相关属性距离计算的方法对报警进行聚类;
假设有两个报警Ai和Aj,利用公式 计算这两个报警之间
的相异度;其中,n是这两个报警中属性的个数,k代表n个属性中的某一个,wk表示属性k在相应报警相异度中的权重, 表示报警Ai和Aj在属性k上的相异度;
步骤2:根据相关属性距离计算,依据事先设定的相应阈值,进行聚类判别判断。
4.权利要求2所述的一种基于自律计算的网络安全态势感知系统,其特征在于:所述的利用EWDS对聚类结果进行融合,具体包括:步骤1:将聚类后的结果作为证据,并依据不同传感器的检测率分配置信度,依据攻击情况,获取各个传感器的权值;
步骤2:采用DS证据组合规则对证据进行组合;
步骤3:采用基本概率函数的融合决策规则对组合后的基本概率分配值进行决策判断,提取出态势要素。
5.如权利要求1所述的一种基于自律计算的网络安全态势感知系统,其特征在于:所述的态势评估模块的具体评估步骤如下:步骤1:对网络系统进行分层,然后对分层指标进行量化计算,将网络系统分为网络层、主机层和攻防层,网络层由不同的主机构成,主机层由所运行的服务、安全措施所构成,攻防层主要考虑运行于主机上的服务和安全要素两部分;
步骤2:计算各个层次的网络安全态势值,定义t时刻目标网络的服务安全态势状况为:Rservice(s,k,N,d,t)=N(t)·10d(t)
其中,Rservice为服务安全态势值,s表示目标网络当前所提供的某种服务;k表示该服务受到的攻击种类;N表示服务所受到的攻击的次数;d表示攻击的严重程度;N(t)表示t时刻攻击所发生的次数;d(t)表示t时刻攻击的严重程度;攻击的威胁程度用10d(t)予以计算,反映威胁程度高的攻击对服务安全态势的影响程度,Rservice越大,说明服务s受到的威胁程度越大;
定义t时刻目标网络的主机的防御强度为:
DFHost(Ws,SM,ed,t)=Ws·ed(t)
其中,DFHost为主机上的防御强度值,Ws表示安全属性在主机上的重要性权重,SM表示主机上运行的安全措施,ed表示SM相对于安全属性的影响度,当DFHost的值越大,说明主机Host的安全防御能力越强;
定义t时刻目标网络的主机安全态势状况为:
RHost(H,Vs,Rservice,t)=Vs·Rservice(t)/DFHost其中,RHost为主机的安全态势值,H表示目标网络中的主机,Vs表示服务在主机开通的所有服务中所占的权重,Rservice为服务安全态势值,DFHost表示主机上的防御强度,当RHost的值越大,说明主机Host所受到的威胁程度越大,安全管理员应该引起重视,及时调整防御策略予以应对;
定义t时刻目标网络的安全态势状况为:
RNetwork(WH,RHost,t)=WH·RHost(t)其中,RNetwork为网络安全态势值,WH表示主机在被评估局域网中所占重要性的权重,RHost为主机的安全态势值;
当RNetwork的值越大,说明网络系统所受到的威胁程度越大,当RNetwork值超过标准状态,自主响应部件会做出响应,自主调节系统环境,使其能够动态适应环境变化。
6.如权利要求1所述的一种基于自律计算的网络安全态势感知系统,其特征在于:所述的态势预测模块的具体预测步骤如下:步骤1:根据历史和当前态势值信息,定义关于服务、主机和网络系统的多输入单输出的态势预测函数 和相应的误差函数G(V):
其中,k表示服务受到的攻击种类;ym表示输入的第m个神经元对应的期望输出,m=1,2,
3,...,Np; 和 分别代表第p层第m个神经元的实际输出和期望输出,对应于态势预测值;对于每个单点输入传播过程中的流量参数,式中V分别代表态势评估层次模型中的攻击严重程度d、服务权重Vs和主机重要性权重WH;
步骤2:训练步骤1中已建立的神经网络,使拟合偏差 趋于零,对指定参数的权值进行自学习调整,寻找最优的参数组合,最后输出训练后的态势预测曲线。
7.如权利要求4所述的一种基于自律计算的网络安全态势感知系统的处理方法,其特征在于:步骤一,Agent协同层模块采用多属性拍卖方法处理被管资源提供的数据,最终把信息交给自律管理者模块;
步骤二,自律管理者模块处理由Agent协同层模块提供的数据信息;
步骤三,态势提取模块提取攻击行为特征,若有与知识库模块中的攻击行为特征不匹配的异常行为发生,则调用自动响应模块做出响应,自动响应模块根据知识库模块中的模式匹配知识和策略知识,自主调节系统环境,使其能够动态适应环境变化,以实现资源的动态配置、服务的动态合成、系统参数的动态校正,然后进入态势评估阶段,即步骤四;若没有未知攻击行为发生,则直接进入态势评估阶段,即步骤四;
步骤四,根据权利要求4提取的态势要素,采用层次分析法对网络系统分层,进而实现对当前网络安全态势的分析进行评估;若态势值信息不符合态势知识库模块中的策略知识,则自动响应模块会做出响应,自主调节系统环境,使其能够动态适应环境变化,然后进入步骤五;若符合,则直接进入步骤五;
步骤五,根据所述网络安全态势的历史信息和当前状态对未来网络安全态势进行预测;寻找最优的参数组合,最后输出训练后的态势预测曲线。
说明书 :
一种基于自律计算的网络安全态势感知系统及其处理方法
技术领域
[0001] 本发明涉及网络安全技术领域,具体是基于自律计算的网络安全态势感知系统及其技术方案。
背景技术
[0002] 随着网络的普及,其面临的威胁越来越大,计算机病毒、木马程序、DoS/DDoS攻击日益猖獗。为保证网络安全运行,目前采用的入侵检测、防火墙、病毒检测等技术属于被动防御手段,只能对系统局部进行检测,获取的信息之间缺乏关联。基于此种形势,自2000年网络安全态势感知的概念[1]被提出之后,相关模型与方法的研究迅速成为一个新的研究热点。
[0003] 网络安全态势感知是应网络安全监控需求而出现的一种新技术。在网络安全领域,针对入侵检测所构建的融合结构很多,其中Bass[1]提出的利用入侵检测系统的分布式多传感器进行数据融合的网络安全态势感知框架结构比较典型且普遍被业界所接受。该结构共分为五层,分别为数据提取层、攻击对象识别层、态势评估层、威胁评估层和资源管理层,层层递进,体现了由“数据->信息->知识”的过程。数据层主要负责从入侵检测传感器和Sniffers等安全设备中提取有用的数据;攻击对象识别层将数据层所获取的各种时间进行时空校准,并进行关联预处理,实现攻击识别;态势评估层是一个动态智能推理的过程,通过分析攻击对象识别层所识别的攻击事件之间的联系,评估整个网络当前的安全态势;威胁评估层是建立在态势评估层的基础之上,它是对恶意攻击的破坏能力和整个网络威胁程度进行估计,其任务是评估攻击事件出现的频度和对网络的威胁程度;资源管理层跟踪和评估整个融合系统的运行状况,指导融合系统的分配,接受和执行威胁评估层的任务、计划、协调与其他安全设备之间的协作等。
[0004] 在感知与评估策略方面,文献[2]提出了一种基于免疫的网络安全态势感知方法,该方法采用基于免疫的入侵检测模型作为态势感知的基础,实现对网络中已知和未知入侵行为的检测;依据生物免疫系统抗体浓度的变化与病原体入侵强度的对应关系,对网络安全态势评估进行定量分析,并采用灰色马尔可夫方法对网络安全态势进行预测。将人工免疫技术应用于网络安全态势感知中,通过对恶意攻击行为的识别,实现对网络系统当前安全状况及未来变化趋势的实时、定量的分析和预测,使网络信息系统和生物免疫系统同样具有自学习性和自适应性,从而增强系统的免疫力和生存能力,缓解网络攻击造成的危害,为管理人员制定合理准确的响应决策提供依据,从而提高网络信息系统的应急响应能力。文献[3]首次提出一种基于CRFs (Conditional Random Fields条件随机场)网络安全态势量化感知方法,该方法以入侵检测系统的报警信息作为网络安全态势感知的要素,结合主机的漏洞和状态,定义网络安全威胁度来更好地体现网络的风险,并对攻击进行分类,同时进行了有效的特征选择,该方法能够很好地反映网络风险和量化网络安全态势。文献[4]通过对攻击要素间具有相互依赖的关联关系进行识别,采用模糊信息融合技术对攻击要素进行关联,并在服务、主机、网络3个层次使用统计技术进行相应的态势融合,提出了基于模糊信息融合的网络化系统安全态势评估方法。文献[5]提出了利用Honeynets 进行因特网安全态势评估的方法,该方法利用Honeynets收集到大量网络入侵信息,能够对当前网络的安全态势状况进行分析。
[0005] 2. 与本发明相关的现有技术一
[0006] 2.1 现有技术一的技术方案
[0007] 文献[6]提出了一个基于Markov博弈模型的网络安全态势感和技术方案。Markov博弈是由博弈论和Markov决策过程(MDP)综合而来,综合考虑多个参加者的决策。通过对多传感器检测到的安全数据进行融合,得到资产、威胁和脆弱性的规范化数据,对每个威胁,分析其传播规律,建立相应的威胁传播网络;通过对威胁、管理员和普通永恒的行为进行分析,建立三方参与的Markov博弈模型,并对相关算法进行优化分析,使得评估过程能够实时运行。Markov博弈模型能够动态评估系统安全态势,并为管理员提供最佳的加固方案,而有效抑制威胁的扩散。
[0008] 该方案提出的系统框架通过多传感器检测网络系统的各种安全信息,根据态势感知模型评估系统的安全态势及其变化趋势,并给出安全加固方案,主要包括以下几个模块:
[0009] 1) 数据采集:通过多传感器检测网络系统的运行状况,检测大量的原始安全数据;
[0010] 2) 态势理解:采用规范化分析、冗余检测和冲突检测等方法,分析原始数据,得到规范化的数据集;
[0011] 3) 态势评估:采用态势评估算法,分析态势理解模块的数据,定量描述系统的安全态势;
[0012] 4) 态势预测:采用态势预测算法,分析态势的变化规律,预测系统安全态势变化趋势;
[0013] 5) 加固方案生成:分析系统最薄弱的节点,给出加固方案,指导管理员提高系统安全性。
[0014] 该方案根据系统框架结构,给出了态势感知流程,态势感知过程分为两部分:基于Markov博弈分析的态势量化评估和基于时间序列分析的态势预测。
[0015] 态势量化评估部分是态势感知的核心。首先,数据采集模块检测的安全数据被融合归类到资产集合、威胁集合、脆弱性集合和网络结构信息,这些数据以规范化数据集的格式保存在数据库中,可以被实时地存取和修改,然后对威胁集合中的每个威胁建立TPN;然后,对威胁、管理员和普通用户的行为进行Markov博弈分析,评估单个威胁的保密性态势,并给出最佳加固方案;最后,对威胁集合中的所有威胁的保密性态势综合分析评估出系统保密性态势;以同样的方法评估系统完整性态势和系统可用性态势,根据不同的应用背景和需求,对保密性、完整性、可用性态势加权,评估整个系统当前状态的安全态势。
[0016] 态势预测部分以态势评估结果为基础,系统在不同时刻安全态势彼此相关,可以利用这种相关性采用时间序列分析法分析态势变化规律对系统安全态势进行预测。
[0017] 2.2 现有技术一的缺点
[0018] 基于Markov博弈模型的网络安全态势感知技术方案提供的安全加固方案能很好地找到针对某个威胁危害程度最大的节点和路径,有效地抑制了威胁的扩散,提高了系统的安全性。但是该方案存在以下不足:
[0019] 1) 威胁传播网络的复杂性造成状态空间很大,对大规模网络的评估效率低,需要一定的近似处理,近似处理可能会引起评估结果的准确性。
[0020] 2} 由于攻击者手段的多变性和诡计性,以致于采用该方法进行态势评估时攻击策略和防御对策不便掌控,难以在实际中得以实现。
[0021] 3) 未考虑防御机制对整体网络安全状况的影响,而仅从攻击或脆弱性角度对整个网络安全态势进行评估。并且整个态势感知过程缺乏自适应性。
[0022] 3. 与本发明相关的现有技术二
[0023] 3.1 现有技术二的技术方案
[0024] 文献[7]提出了层次化网络安全威胁态势量化评估技术方案。该方案利用IDS报警信息和网络性能指标,根据服务、主机本身的重要性及网络系统的组织结构,提出采用自下而上、先局部后整体评估策略的层次化网络安全威胁态势量化评估模型及其相应的计算方法。在报警发生频率、报警严重性及其网络带宽耗用率的统计基础上,对服务、主机本身的重要性因子进行加权,计算服务、主机以及整个网络系统的威胁指数,进而评估分析安全威胁态势。这样,一方面,把管理员从海量的日志分析中解放出来,提供一种直观的安全威胁态势图,使管理员对系统的安全威胁状况有宏观的了解;另一方面,可从态势图中发现系统安全趋势和规律,以便调整系统的安全策略,更好地提高网络系统的安全性能。
[0025] 实际系统按规模和层次关系可分解为系统、主机、服务3层次,而且大多数攻击是针对系统中主机上某一服务的。该方案利用系统分解技术,根据系统组织结构,提出一个如图1所示的层次化网络系统安全威胁态势量化评估模型。从上到下分为网络系统、主机、服务和攻击/漏洞4个层次,采取“自上而下,先局部后整体”的评估策略。以IDS报警和漏洞信息为原始数据,结合网络资源耗用,发现各个主机所提供服务的威胁情况,在攻击层统计分析供给严重程度、发生次数以及网络带宽占用率,进而评估各项服务的安全威胁状况。在此基础上,综合评估网络系统中个主机的安全状况。最后根据网络系统结构评估整个局域网系统的安全威胁态势。
[0026] 图4中,攻击层包含常见网络IDS能够检测到的攻击,主要由探测、权限提升和DoS三大类。其中,DoS攻击(A1, ..., Am)利用协议设计上的缺陷,通过向目标主机连续发送大量数据报耗尽网络资源,造成服务不可用,即DoS攻击威胁系统所有服务的安全。
[0027] 3.2 现有技术二的缺点
[0028] 该方案提出的层次化网络安全威胁态势定量评估模型能够直接地给出整个网络系统、主机和服务3个层次的安全威胁态势,使网络管理员能够及时了解系统安全态势,查找安全变化的原因,调整安全策略,保证系统安全最大化。并且该系统在Net-Keeper系统中得到很好的应用。但是,该方案仍存在以下不足:
[0029] 1) 安全威胁态势评估系统的分析是基于网络入侵检测传感器报警日志和网络带宽占用率,然而这些信息还不能全面反映黑客的攻击行为。
[0030] 2) 采用的层次分析法或多或少存在诸如指标权重的确立过于主观和绝对、一致性修正过于依赖外界参与。
[0031] 3) 如何根据系统当前状态、安全性以及环境参数等得变化情况,融合自律特征,对网络安全态势感知系统的配置和相应运行参数进行动态调整以实现真正的自适应,则没有涉及。
发明内容
[0032] 本发明为解决上述技术问题,设计一种能精确测量润滑油拖动力的试验机,针对态势感知的系统结构及态势提取进行改进,自主调节系统环境,使其能够动态适应环境变化,以实现资源的动态配置、服务的动态合成、系统参数的动态校正。
[0033] 本发明为解决上述技术问题的不足而采用的技术方案是:一种基于自律计算的网络安全态势感知系统,包括被管资源、Agent协同层模块、传感器和效应器模块和自律管理者模块,Agent协同层模块连接被管资源和自律管理者模块,传感器和效应器模块分别连接Agent协同层模块和自律管理者模块,
[0034] Agent协同层模块捕获被管资源信息并做预处理,去除冗余信息,最终把信息交给自律管理者模块,接收自律管理者模块的信息反馈,并自主调节系统环境,使其能够动态适应环境变化,以实现资源的动态配置、服务的动态合成、系统参数的动态校正;
[0035] 传感器和效应器模块,连接所述的Agent协同层模块,需要定义统一的标准接口来实现由不同供应商提供的软硬件的通信,屏蔽由于内部结构的不同而产生的异构性。
[0036] 本发明所述的自律管理者模块包括知识库模块、态势提取模块、态势预测模块和自主响应模块,
[0037] 知识库模块包括状态判定知识、策略知识、问题求解知识和模式匹配知识,对态势提取模块、态势预测模块和自主响应模块提供知识支持;
[0038] 态势提取模块,用于提取有效的态势信息,即攻击要素;
[0039] 态势评估模块,连接所述的态势提取模块,通过识别态势信息中的安全事件,依据它们之间的关联关系,计算出服务、主机和网络所受到的威胁,进而实现对当前的网络安全态势的分析;
[0040] 态势预测模块,连接所述的态势评估模块,用于根据过去和当前网络安全态势状况,对未来网络安全态势进行预测;
[0041] 自主响应模块,用于根据知识库中的策略知识和问题求解知识,对态势提取模块提取的行为特征实时做出响应,对态势评估得出的态势值进行自主调节。
[0042] 本发明所述的态势提取模块包括网络安全数据源集成平台模块、异常发现模块和自律联想学习模块,
[0043] 网络安全数据源集成平台模块,用于实现多源异构数据的集成处理,为上层模块提供数据支持;
[0044] 异常发现模块,采用模式匹配技术,根据异常行为库来检测网络中可能存在的各类攻击行为,并对异常行为库进行实时更新;
[0045] 自律联想学习模块,用于根据攻击特征与异常行为库的原有攻击行为特征的记录进行关联、整合和集成分析,找出安全隐患的形成与发展规律;预测可能产生异常的条件及早期异常征兆,采用诊断预测和智能决策的方法实现攻击行为特征的自律联想学习,并将学习结果加入异常行为库;从而实现对未知攻击行为的联想学习,快速提取有效态势信息;
[0046] 聚类分析模块,连接所述的自律联想学习模块,采用相异度计算(DSimC)聚类方法对自律联想学习结果进行聚类判别分析;其中所考虑的特征属性主要有源/目的IP、源/目的端口、检测时间、攻击类别等,分别计算其相异度,最终计算出综合相异程度;
[0047] 融合分析模块,连接所述的聚类分析模块,采用指数加权DS证据理论(EWDS)对聚合后的安全信息进行融合分析,进一步精简安全信息数量和识别攻击行为。
[0048] 本发明所述的利用DSimC聚类方法对自律联想学习结果进行聚类具体包括:
[0049] 步骤1:采用相关属性距离计算的方法对报警进行聚类;假设有两个报警 和,利用公式 计算这两个报警之间的相异度;其中,n是这两个报警中属性的个数,k代表n个属性中的某一个, 表示属性k在相应报警相异度中的权重, 表示报警 和 在属性k上的相异度;
[0050] 步骤2:根据相关属性距离计算,依据事先设定的相应阈值,进行聚类判别判断。
[0051] 本发明所述的利用EWDS对聚类结果进行融合,具体包括:
[0052] 步骤1:将聚类后的结果作为证据,并依据不同传感器的检测率分配置信度,依据攻击情况,获取各个传感器的权值;
[0053] 步骤2:采用DS证据组合规则对证据进行组合;
[0054] 步骤3:采用基本概率函数的融合决策规则对组合后的基本概率分配值进行决策判断,提取出态势要素。
[0055] 本发明所述的态势评估模块的具体评估步骤如下:
[0056] 步骤1:对网络系统进行分层,然后对分层指标进行量化计算,将网络系统分为网络层、主机层和攻防层,网络层由不同的主机构成,主机层由所运行的服务、安全措施等所构成,攻防层主要考虑运行于主机上的服务和安全要素两部分;
[0057] 步骤2:计算各个层次的网络安全态势值,定义t时刻目标网络的服务安全态势状况为:
[0058]
[0059] 其中, 为服务安全态势值,s表示目标网络当前所提供的某种服务;k表示该服务受到的攻击种类;N表示服务所受到的攻击的次数;d表示攻击的严重程度;N(t)表示t时刻攻击所发生的次数;d(t)表示t时刻攻击的严重程度;攻击的威胁程度用 予以计算,反映威胁程度高的攻击对服务安全态势的影响程度, 越大,说明服务s受到的威胁程度越大;
[0060] 定义t时刻目标网络的主机的防御强度为:
[0061]
[0062] 其中, 为主机上的防御强度值, 表示安全属性在主机上的重要性权重,SM表示主机上运行的安全措施,ed表示SM相对于安全属性的影响度,当 的值越大,说明主机Host的安全防御能力越强;
[0063] 定义t时刻目标网络的主机安全态势状况为:
[0064]
[0065] 其中, 为主机的安全态势值,H表示目标网络中的主机, 表示服务在主机开通的所有服务中所占的权重, 为服务安全态势值, 表示主机上的防御强度,当的值越大,说明主机Host所受到的威胁程度越大,安全管理员应该引起重视,及时调整防御策略予以应对;
[0066] 定义t时刻目标网络的安全态势状况为:
[0067]
[0068] 其中, 为网络安全态势值, 表示主机在被评估局域网中所占重要性的权重, 为主机的安全态势值;当 的值越大,说明网络系统所受到的威胁程度越大,当 值超过标准状态,自主响应部件会做出响应,自主调节系统环境,使其能够动态适应环境变化。
[0069] 本发明所述的态势预测模块的具体预测步骤如下:
[0070] 步骤1:根据历史和当前态势值信息,定义关于服务、主机和网络系统的多输入单输出的态势预测函数 和相应的误差函数G(V):
[0071]
[0072]
[0073] 其中,k表示服务受到的攻击种类; 和 分别代表第p层第m个神经元的实际输出和期望输出,对应于态势预测值;对于每个单点输入传播过程中的流量参数,式中V分别代表态势评估层次模型中的攻击严重程度d、服务权重 和主机重要性权重 ;
[0074] 步骤2:训练该神经网络,使拟合偏差 趋于零,对指定参数的权值进行自学习调整,寻找最优的参数组合,最后输出训练后的态势预测曲线。
[0075] 一种基于自律计算的网络安全态势感知系统的处理方法
[0076] 步骤一,Agent协同层采用多属性拍卖方法处理被管资源提供的数据,最终把信息交给自律管理者模块;
[0077] 步骤二,自律管理者处理由Agent协同层提供的数据信息;
[0078] 步骤三,态势提取部件提取攻击行为特征,若有与知识库中的攻击行为特征不匹配的异常行为发生,则调用自主响应部件做出响应,自主响应部件根据知识库中的模式匹配知识和策略知识,自主调节系统环境,使其能够动态适应环境变化,以实现资源的动态配置、服务的动态合成、系统参数的动态校正,然后进入态势评估阶段,即步骤四;若没有未知攻击行为发生,则直接进入态势评估阶段,即步骤四;
[0079] 步骤四,根据所述态势提取信息,采用层次分析法对网络系统分层,进而实现对当前网络安全态势的分析进行评估;若态势值信息不符合态势知识库中的策略知识,则自动响应部件会做出响应,自主调节系统环境,使其能够动态适应环境变化,然后进入步骤五;若符合,则直接进入步骤五;
[0080] 步骤五,根据所述网络安全态势的历史信息和当前状态对未来网络安全态势进行预测;寻找最优的参数组合,最后输出训练后的态势预测曲线。
[0081] 本发明所述的多属性拍卖方法来解决资源配置、任务分配等问题,以优化系统性能,其方法为:
[0082] 定义 多属性拍卖模型
[0083] ,其中,A为所有物品的属性所组成的空间,,被拍卖的物品有n个属性 ,取值范围为 ;令a为物品的属性
向量,且 , ;
向量,且 , ;
[0084] 拍卖中,B为惟一的买方,B需要购买商品;
[0085] S为由卖方组成的集合,包含m个卖方, ,每个卖方可以提供不同属性的物品;
[0086] V: 为B的属性权值函数(R为实数集合),即 表示卖方B根据属性a对物品的评价;
[0087] ,其中 表示为物品成本函数,那么 就是卖方根据属性a计算出的物品成本值;
[0088] Result为成交方案, ,其中 表示为成交的价格,成交属性向量 ;此时买方B的收益为 ,卖方 的收益为 ;
[0089] 拍卖流程分为四个步骤:
[0090] 步骤1:由卖方公布估价函数 ( 可与V有所区别);
[0091] 步骤2:每个卖方i进行暗标叫价 ;
[0092] 步骤3:确定成交卖方;首先买方确定备选成交卖方集合
[0093] ( , 为 的叫价),若 ,则没有成交卖方,拍卖结束;若 ,则随机产生 为成交卖方;并令 ,其中, , ,易知 ,其中 , ;
的直观含义为去除最大的一个元素后剩余元素中的最大值,例如 ,
; 的直观含义为除成交卖方 之外的其他卖方的最高价;
的直观含义为去除最大的一个元素后剩余元素中的最大值,例如 ,
; 的直观含义为除成交卖方 之外的其他卖方的最高价;
[0094] 步骤4:由成交卖方提出成交方案 ,合法提案需要满足 ,成交卖方与买方以此成交方案成交,拍卖结束。
[0095] 本发明有益效果为:
[0096] 1、本专利创造使系统具备了较好的自适应性,能够有效的获取态势信息,准确了解网络的当前安全状况,快速预测未来网络安全态势,能够动态智能地适应复杂环境并有效地指导未来的自主决策。从而减轻了管理员的负担,降低了管理成本,进一步解决网络安全管理复杂性问题。
[0097] 2、防御机制高,在态势评估阶段具有很强的掌控性,能全方面对整个网络安全态势进行评估,具有软好的自适应性。
附图说明
[0098] 图1为本发明的结构示意图;
[0099] 图2为本发明的态势提取流程图;
[0100] 图3是本发明的网络系统分层的结构示意图;
[0101] 图4是本发明层次化网络系统安全威胁态势评估模型的结构示意图;
具体实施方式
[0102] 该系统包括如下模块:
[0103] 被管资源(Managed Resource, MR)模块,主要包括数据库、应用模块、路由器、服务器和主机日志、防火墙报警信息和网络数据包等各种多源异构数据源。MR由Agent协同层进行统一调度和管理。
[0104] Agent协同层模块,连接所述的MR模块,针对不同类型的MR,采用不同的智能Agent为自律管理者提供数据支持,这些Agent均是能够独立运行的实体。Agent实体捕获MR信息并做预处理,去除冗余信息,最终把信息交给自律管理者(Autonomic Manager, AM)。同时,Agent协同层接收AM的信息反馈,并自主调节系统环境,使其能够动态适应环境变化,以实现资源的动态配置、服务的动态合成、系统参数的动态校正。
[0105] 传感器和效应器模块,连接所述的Agent协同层模块,需要定义统一的标准接口来实现由不同供应商提供的软硬件的通信,屏蔽由于内部结构的不同而产生的异构性。
[0106] 态势提取模块,用于提取有效的态势信息,即攻击要素。
[0107] 态势评估模块,连接所述的态势提取模块,通过识别态势信息中的安全事件,依据它们之间的关联关系,计算出服务、主机和网络所受到的威胁,进而实现对当前的网络安全态势的分析。
[0108] 态势预测模块,连接所述的态势评估模块,用于根据过去和当前网络安全态势状况,对未来网络安全态势进行预测。
[0109] 自主响应模块,用于根据知识库中的Kp和Ks,对态势提取模块提取的行为特征实时做出响应,对评估后的态势值进行自主调节。
[0110] 如图所示,是本发明的态势提取流程图,该态势提取模块包括以下模块:
[0111] 网络安全数据源集成平台模块,用于实现多源异构数据的集成处理并统一表示为XML,为上层模块提供数据支持。这些数据主要包括有诸如入侵检测系统(IDS)、防火墙(Firewall)等安全设备的报警信息、系统日志信息等。
[0112] 异常发现模块采用模式匹配技术,根据异常行为库来检测网络中可能存在的各类攻击行为,并对异常行为库进行实时更新。
[0113] 自律联想学习模块用于根据攻击特征与异常行为库的原有攻击行为特征的记录进行关联、整合和集成分析,找出安全隐患的形成与发展规律;预测可能产生异常的条件及早期异常征兆,采用诊断预测和智能决策的方法实现攻击行为特征的自律联想学习,并将学习结果加入异常行为库。从而实现对未知攻击行为的联想学习,快速提取有效态势信息。
[0114] 聚类分析模块,连接所述的自律联想学习模块,采用相异度计算(DSimC)聚类方法对自律联想学习结果进行聚类判别分析。其中所考虑的特征属性主要有源/目的IP、源/目的端口、检测时间、攻击类别等,分别计算其相异度,最终计算出综合相异程度。
[0115] 融合分析模块,连接所述的聚类分析模块,采用指数加权DS证据理论(EWDS)对聚合后的安全信息进行融合分析,进一步精简安全信息数量和识别攻击行为。
[0116] 态势提取过程包括以下步骤:
[0117] 步骤A:数据源集成,对多源异构数据的集成处理并统一表示为XML,为上层模块提供数据支持,这些数据主要包括有诸如入侵检测系统(IDS)、防火墙(Firewall)等安全设备的报警信息、系统日志信息等。
[0118] 步骤B:异常发现,采用模式匹配技术,根据异常行为库来检测网络中可能存在的各类攻击行为,并对异常行为库进行实时更新。
[0119] 步骤C:自律联想学习,根据攻击特征与异常行为库的原有攻击行为特征的记录进行关联、整合和集成分析,找出安全隐患的形成与发展规律;预测可能产生异常的条件及早期异常征兆,采用诊断预测和智能决策的方法实现攻击行为特征的自律联想学习,并将学习结果加入异常行为库。从而实现对未知攻击行为的联想学习,快速提取有效态势信息。
[0120] 步骤D:对自律联想学习结果进行聚类分析,具体步骤如下:
[0121] 步骤D1:采用相关属性距离计算的方法对报警进行聚类。假设有两个报警 和,利用公式 计算这两个报警之间的相异度;其中,n是这两个报警中属性的个数,k代表n个属性中的某一个, 表示属性k在相应报警相异度中的权重, 表示报警 和 在属性k上的相异度。
[0122] 步骤D2:根据相关属性距离计算,依据事先设定的相应阈值,进行聚类判别判断。
[0123] 步骤E:利用EWDS对聚类结果进行融合,具体包括:
[0124] 步骤E1:将聚类后的结果作为证据,并依据不同传感器的检测率分配置信度,依据攻击情况,获取各个传感器的权值。
[0125] 步骤E2:采用DS证据组合规则对证据进行组合。
[0126] 步骤E3:采用基本概率函数的融合决策规则对组合后的基本概率分配值进行决策判断,提取出态势要素。
[0127] 如图所示,是网络系统的分层结构图,对各层的量化计算步骤如下:
[0128] 步骤A:对网络系统进行分层,然后对分层指标进行量化计算。将网络系统分为网络层、主机层和攻防层。网络层由不同的主机构成,主机层由所运行的服务、安全措施等所构成,攻防层主要考虑运行于主机上的服务和安全要素两部分
[0129] 步骤B:计算各个层次的网络安全态势值。
[0130] 步骤B1:计算目标网络的服务安全态势状况。服务的安全态势与服务的正常访问量、攻击强度和攻击威胁度有关,量化公式如下:
[0131]
[0132] 其中, 为服务安全态势值,s表示目标网络当前所提供的某种服务;k表示该服务受到的攻击种类;N表示服务所受到的攻击的次数;d表示攻击的严重程度;N(t)表示t时刻攻击所发生的次数;d(t)表示t时刻攻击的严重程度。攻击的威胁程度用 予以计算,旨在更好地反映威胁程度高的攻击对服务安全态势的影响程度。 越大,说明服务s受到的威胁程度越大。
[0133] 步骤B2:计算目标网络的主机安全态势状况。
[0134] 步骤B21:计算目标网络的防御强度。防御强度与主机上所运行的安全措施对主机全属性的影响度和安全属性在该主机的重要性有关,计算公式如下:
[0135]
[0136] 其中, 为主机上的防御强度值, 表示安全属性在主机上的重要性权重,SM表示主机上运行的安全措施,ed表示SM相对于安全属性的影响度。当 的值越大,说明主机Host的安全防御能力越强。
[0137] 步骤B22:计算目标网络的主机安全态势状况,根据t时刻所运行服务遭受的服务安全态势和主机的防御强度,对其进行量化计算,公式如下:
[0138]
[0139] 其中, 为主机的安全态势值,H表示目标网络中的主机, 表示服务在主机开通的所有服务中所占的权重, 为服务安全态势值, 表示主机上的防御强度。当的值越大,说明主机Host所受到的威胁程度越大,安全管理员应该引起重视,及时调整防御策略予以应对。
[0140] 步骤C:计算t时刻目标网络的安全态势状况。t时刻的网络安全态势与该时刻的主机安全态势有关,量化公式如下:
[0141]
[0142] 其中, 为网络安全态势值, 表示主机在被评估局域网中所占重要性的权重, 为主机的安全态势值。当 的值越大,说明网络系统所受到的威胁程度越大,此时,自主响应部件会做出响应,自主调节系统环境,使其能够动态适应环境变化。
[0143] 对网络的安全态势进行预测,具体步骤如下:
[0144] 步骤1:根据历史和当前态势值信息,定义关于服务、主机和网络系统的多输入单输出的态势预测函数 和相应的误差函数G(V):
[0145]
[0146]
[0147] 其中,k表示服务受到的攻击种类; 和 分别代表第p层第m个神经元的实际输出和期望输出,对应于态势预测值;对于每个单点输入传播过程中的流量参数,式中V分别代表态势评估层次模型中的攻击严重程度d、服务权重 和主机重要性权重 。
[0148] 步骤2:训练该神经网络,使拟合偏差 趋于零,对指定参数的权值进行自学习调整,寻找最优的参数组合,最后输出训练后的态势预测曲线。
[0149] 为了实现上述目的,本发明提供一种基于自律计算的网络安全态势感知方法,其特征在于,包括:
[0150] 步骤A,Agent协同层采用多属性拍卖方法处理被管资源提供的数据;
[0151] 所述的多属性拍卖方法来解决资源配置、任务分配等问题,以优化系统性能,其方法为:
[0152] 定义 多属性拍卖模型
[0153] ,其中,A为所有物品的属性所组成的空间,,被拍卖的物品有n个属性 ,取值范围为 。令a为物品的属性
向量,且 , 。
向量,且 , 。
[0154] 拍卖中,B为惟一的买方,B需要购买商品。
[0155] S为由卖方组成的集合,包含m个卖方, ,每个卖方可以提供不同属性的物品。
[0156] V: 为B的属性权值函数(R为实数集合),即 表示卖方B根据属性a对物品的评价。
[0157] ,其中 表示为物品成本函数,那么 就是卖方根据属性a计算出的物品成本值。
[0158] Result为成交方案, ,其中 表示为成交的价格,成交属性向量 。此时买方B的收益为 ,卖方 的收益为 。
[0159] 拍卖流程分为四个步骤:
[0160] 步骤1:由卖方公布估价函数 ( 可与V有所区别);
[0161] 步骤2:每个卖方i进行暗标叫价 ;
[0162] 步骤3:确定成交卖方。首先买方确定备选成交卖方集合
[0163] ( , 为 的叫价),若 ,则没有成交卖方,拍卖结束。若 ,则随机产生 为成交卖方。并令 ,其中, , ,易知 ,其中 ,
。 的直观含义为去除最大的一个元素后剩余元素中的最大值,例如
, 。 的直观含义为除成交卖方 之外的其他卖方的最
高价。
。 的直观含义为去除最大的一个元素后剩余元素中的最大值,例如
, 。 的直观含义为除成交卖方 之外的其他卖方的最
高价。
[0164] 步骤4:由成交卖方提出成交方案 ,合法提案需要满足 ,成交卖方与买方以此成交方案成交,拍卖结束。
[0165] 步骤B,自律管理者(AM)处理由Agent协同层提供的数据信息。
[0166] 所述的基于自律计算的网络安全态势感知方法,其中,所述步骤B进一步包括:
[0167] 步骤B1,态势提取部件提取攻击行为特征,若有与知识库中的攻击行为特征不匹配的异常行为发生,则调用自主响应部件做出响应,自主响应部件根据知识库中的模式匹配知识和策略知识,自主调节系统环境,使其能够动态适应环境变化,以实现资源的动态配置、服务的动态合成、系统参数的动态校正。然后进入态势评估阶段,即步骤B2;若没有未知攻击行为发生,则直接进入态势评估阶段,即步骤B2;
[0168] 步骤B2,根据所述态势提取信息,采用层次分析法对网络系统分层,进而实现对当前网络安全态势的分析进行评估。若态势值信息不符合态势知识库中的策略知识,则自动响应部件会做出响应,自主调节系统环境,使其能够动态适应环境变化。然后进入步骤B3;若符合,则直接进入步骤B3;
[0169] 步骤B3,根据所述网络安全态势的历史信息和当前状态对未来网络安全态势进行预测。
[0170] 所述的基于自律计算的网络安全态势感知方法,其中,
[0171] 所述B1步骤进一步包括:
[0172] 步骤B11,数据源集成,对多源异构数据集成处理并统一表示为XML,为上层模块提供数据支持。这些数据主要包括有诸如入侵检测系统(IDS)、防火墙(Firewall)等安全设备的报警信息、系统日志信息等;
[0173] 步骤B12,异常发现,采用模式匹配技术,根据异常行为库来检测网络中可能存在的各类攻击行为,并对异常行为库进行实时更新;
[0174] 步骤B13,自律联想学习,根据攻击特征与异常行为库的原有攻击行为特征的记录进行关联、整合和集成分析,找出安全隐患的形成与发展规律;预测可能产生异常的条件及早期异常征兆,采用诊断预测和智能决策的方法实现攻击行为特征的自律联想学习,并将学习结果加入异常行为库。从而实现对未知攻击行为的联想学习,快速提取有效态势信息;
[0175] 步骤B14,对自律联想学习结果进行聚类分析;
[0176] 步骤B15,对聚类结果进行融合分析。
[0177] 所述的基于自律计算的网络安全态势感知方法,其中,
[0178] 所述步骤B14步骤进一步包括:
[0179] B141,采用相关属性距离计算的方法对报警进行聚类。以如下公式计算报警之间的相异度,从而将具有相同源、目的和攻击类型的报警划分到同一个报警集合中。
[0180]
[0181] 其中:
[0182] n是这两个报警中属性的个数,k代表n个属性中的某一个, 表示属性k在相应报警相异度中的权重, 表示报警 和 在属性k上的相异度。
[0183] B142,根据相关属性距离计算,依据事先设定的相应阈值,进行聚类判别判断。
[0184] 所述的基于自律计算的网络安全态势感知方法,其中,
[0185] 所述步骤B15进一步包括:
[0186] B151,将聚类后的结果作为证据,并依据不同传感器的检测率分配置信度,依据攻击情况,获取各个传感器的权值。
[0187] B152,采用DS证据组合规则对证据进行组合。
[0188] B153,采用基本概率函数的融合决策规则对组合后的基本概率分配值进行决策判断,提取出态势要素。
[0189] 所述的基于自律计算的网络安全态势感知方法,其中,
[0190] 所述步骤B2进一步包括:
[0191] 步骤B21,对网络系统进行分层,;将网络系统分为网络层、主机层和攻防层;
[0192] 步骤B22,计算各个层次的网络安全态势值。
[0193] 所述的基于自律计算的网络安全态势感知方法,其中,
[0194] 所述的B22步骤进一步包括:
[0195] B221,计算目标网络的服务安全态势状况。服务的安全态势与服务的正常访问量、攻击强度和攻击威胁度有关,量化公式如下:
[0196]
[0197] 其中, 为服务安全态势值,s表示目标网络当前所提供的某种服务;k表示该服务受到的攻击种类;N表示服务所受到的攻击的次数;d表示攻击的严重程度;N(t)表示t时刻攻击所发生的次数;d(t)表示t时刻攻击的严重程度。攻击的威胁程度用 予以计算,旨在更好地反映威胁程度高的攻击对服务安全态势的影响程度。 越大,说明服务s受到的威胁程度越大。
[0198] B222,计算目标网络的防御强度。防御强度与主机上所运行的安全措施对主机全属性的影响度和安全属性在该主机的重要性有关,计算公式如下:
[0199]
[0200] 其中, 为主机上的防御强度值, 表示安全属性在主机上的重要性权重,SM表示主机上运行的安全措施,ed表示SM相对于安全属性的影响度。当 的值越大,说明主机Host的安全防御能力越强。
[0201] B223,计算目标网络的主机安全态势状况,根据t时刻所运行服务遭受的服务安全态势和主机的防御强度,对其进行量化计算,公式如下:
[0202]
[0203] 其中, 为主机的安全态势值,H表示目标网络中的主机, 表示服务在主机开通的所有服务中所占的权重, 为服务安全态势值, 表示主机上的防御强度。当的值越大,说明主机Host所受到的威胁程度越大,安全管理员应该引起重视,及时调整防御策略予以应对。
[0204] B224,计算t时刻目标网络的安全态势状况。t时刻的网络安全态势与该时刻的主机安全态势有关,量化公式如下:
[0205]
[0206] 其中, 为网络安全态势值, 表示主机在被评估局域网中所占重要性的权重, 为主机的安全态势值。当 的值越大,说明网络系统所受到的威胁程度越大,此时,自主响应部件会做出响应,自主调节系统环境,使其能够动态适应环境变化。
[0207] 所述的基于自律计算的网络安全态势感知方法,其中,所述步骤B3进一步包括:
[0208] 步骤B31,根据历史和当前态势值信息,定义关于服务、主机和网络系统的多输入单输出的态势预测函数 和相应的误差函数G(V):
[0209]
[0210]
[0211] 其中,k表示服务受到的攻击种类; 和 分别代表第p层第m个神经元的实际输出和期望输出,对应于态势预测值;对于每个单点输入传播过程中的流量参数,式中V分别代表态势评估层次模型中的攻击严重程度d、服务权重 和主机重要性权重 。
[0212] 步骤B32,训练该神经网络,使拟合偏差 趋于零,对指定参数的权值进行自学习调整,寻找最优的参数组合,最后输出训练后的态势预测曲线。