CN106209829A - 一种基于告警策略的网络安全管理*** - Google Patents

Abstract

本发明公开了一种基于告警策略的网络安全管理***，包括依次连接的安全事件收集模块、风险实时评估模块、告警策略获取模块和告警执行模块；所述安全事件收集模块用于通过网络安全设备对安全日志进行归一化处理，生成安全事件，并对所述安全事件进行收集；所述风险实时评估模块用于评估所述安全事件的风险度；并针对风险度大于预设风险度阈值的安全事件，发出告警信息；所述告警策略获取模块用于接收所述告警信息，并获取相应的告警策略；所述告警执行模块用于根据所述告警策略，执行告警。本发明能实现对告警信息自身的修正和管理，提高了网络安全的可控性、实时性和灵活性，同时保证了输出告警信息的可靠性。

Description

一种基于告警策略的网络安全管理***

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于告警策略的网络安全管理***。

背景技术

目前，针对于网络的安全管理***集中了防火墙、防病毒设备、入侵检测设备、漏洞扫描设备等，将各种安全产品产生的安全事件关联起来，利用关联分析算法和风险估计手段，发现网络中的风险，及时产生告警信息，形成一个集中的监控、管理网络平台，有效的抵御网络安全威胁。

相关技术中的安全管理***集成了各类安全产品和设施，构建了庞大的数据库，同时支持对安全事件优先级别的修正，为事件的关联分析和风险评估提供了很好的数据来源，但是缺乏对告警信息自身的修正和管理，不具有对***实时变化的灵活性，导致产生的告警可能是过时的，不重要的信息。

发明内容

针对上述问题，本发明提供一种基于告警策略的网络安全管理***。

本发明的目的采用以下技术方案来实现：

一种基于告警策略的网络安全管理***，包括依次连接的安全事件收集模块、风险实时评估模块、告警策略获取模块和告警执行模块；所述安全事件收集模块用于通过网络安全设备对安全日志进行归一化处理，生成安全事件，并对所述安全事件进行收集；所述风险实时评估模块用于评估所述安全事件的风险度；并针对风险度大于预设风险度阈值的安全事件，发出告警信息；所述告警策略获取模块用于接收所述告警信息，并获取相应的告警策略；所述告警执行模块用于根据所述告警策略，执行告警。

所述风险实时评估模块包括：

(1)评估指标***生成单元，用于生成针对于网络安全事件的评价指标***，所述评价指标***由评价网络安全事件的专家组制定，其包括目标层、准则层和指标层，所述目标层定义为待评估的网络安全事件，所述准则层包括网络安全事件的可靠程度、网络安全事件发生后的影响程度和不可控性三个母指标，所述指标层包括对应于母指标的各项子指标，其中考虑***所采取安全措施对风险的消减和控制作用，定义不可控性为网络安全事件发生后使安全措施失效的能力特性；

(2)评价等级***生成单元，用于生成对应于评价指标***的评价等级***，所述评价等级***由评价网络安全事件的专家组制定，其包括多个评价等级，每一个评价等级对应一个等级模糊子集；

(3)指标量化单元，用于对子指标对对应母指标的影响程度进行评定，并对评定结果进行量化；

(4)指标权重计算单元，用于引用层次分析法计算母指标和子指标的权重向量；

(5)隶属度矩阵构建单元，用于根据所述评价指标***，计算母指标对所述等级模糊子集的隶属度，构建母指标的隶属度矩阵；

(6)模糊综合评价结果计算单元，用于根据隶属度矩阵和权重向量计算模糊综合评价结果；

(7)风险评估单元，用于根据权重向量及模糊综合评价结果向量计算网络安全事件的风险度。

其中，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

所述预设风险度阈值的设定范围为[45％,50％]。

优选地，所述预设风险度阈值为50％。

其中，所述指标量化模块运作时具体执行：

设P、D、C分别表示网络安全事件的可靠程度、网络安全事件发生后的影响程度和不可控性,评价网络安全事件的专家组对母指标y的第x个子指标的量化值进行n次评定得到的量化值集为y＝P,D,C，母指标y的第x个子指标的最终量化值为：

$I_x^{y^{\′}}=\frac{{\mathrm{\Σ}}_i^n{I}_{xi}^y}{n},I_x^{y^{\′}}\∈\[0,1\]$

其中，所述隶属度矩阵构建模块计算母指标对所述等级模糊子集的隶属度时，具体执行以下操作：

定义等级模糊子集为{v_j,j＝1,2,...,5}，并定义用于描述母指标的影响程度对等级模糊子集的隶属度的隶属函数：

其中，ρ为由评价网络安全事件的专家组专家确定的母指标y的第x个子指标的最终量化值，为等级模糊子集{v_j,j＝1,2,...,5}对应的标准取值，μ为评价网络安全事件的专家组对所述最终量化值的确信度；

根据所述隶属函数，分别构造P，D，C三个母指标的隶属度矩阵R_P,R_D,R_C：

$R_P=\left\{\begin{array}{cccc}{f}_{v_1}\left(I_1^{P^{\′}}\right)& f_{v_2}\left(I_1^{P^{\′}}\right)& ...& f_{v_5}\left(I_1^{P^{\′}}\right)\\ f_{v_1}\left(I_2^{P^{\′}}\right)& f_{v_2}\left(I_2^{P^{\′}}\right)& ...& f_{v_5}\left(I_2^{P^{\′}}\right)\\ \·& \·& & \·\\ \·& \·& & \·\\ \·& \·& & \·\\ f_{v_1}\left(I_{N_P}^{P^{\′}}\right)& f_{v_2}\left(I_{N_P}^{P^{\′}}\right)& ...& f_{v_5}\left(I_{N_P}^{P^{\′}}\right)\end{array}\right.$

$R_D=\left\{\begin{array}{cccc}{f}_{v_1}\left(I_1^{D^{\′}}\right)& f_{v_2}\left(I_1^{D^{\′}}\right)& ...& f_{v_5}\left(I_1^{D^{\′}}\right)\\ f_{v_1}\left(I_2^{D^{\′}}\right)& f_{v_2}\left(I_2^{D^{\′}}\right)& ...& f_{v_5}\left(I_2^{D^{\′}}\right)\\ \·& \·& & \·\\ \·& \·& & \·\\ \·& \·& & \·\\ f_{v_1}\left(I_{N_D}^{D^{\′}}\right)& f_{v_2}\left(I_{N_D}^{D^{\′}}\right)& ...& f_{v_5}\left(I_{N_D}^{D^{\′}}\right)\end{array}\right.$

$R_C=\left\{\begin{array}{cccc}{f}_{v_1}\left(I_1^{C^{\′}}\right)& f_{v_2}\left(I_1^{C^{\′}}\right)& ...& f_{v_5}\left(I_1^{C^{\′}}\right)\\ f_{v_1}\left(I_2^{C^{\′}}\right)& f_{v_2}\left(I_2^{C^{\′}}\right)& ...& f_{v_5}\left(I_2^{C^{\′}}\right)\\ \·& \·& & \·\\ \·& \·& & \·\\ \·& \·& & \·\\ f_{v_1}\left(I_{N_C}^{C^{\′}}\right)& f_{v_2}\left(I_{N_C}^{C^{\′}}\right)& ...& f_{v_5}\left(I_{N_C}^{C^{\′}}\right)\end{array}\right.$

其中，N_P表示母指标P包含的子指标个数，N_D表示母指标D包含的子指标个数，N_C表示母指标C包含的子指标个数；

其中，所述模糊综合评价结果计算模块计算模糊综合评价结果M的计算公式为：

$M=W*\left(\begin{array}{c}{m}_P*R_P\\ m_D*R_D\\ m_C*R_C\end{array}\right)=(L_1,L_2,...,L_5)$

其中，设根据权重向量得到的母指标P、D、C所对应的权重模糊子集为W＝{w_P,w_D,w_C}，根据权重向量得到的母指标P、D、C下的子指标集所对应的权重模糊子集分别为m_P、m_D、m_C，*表示广义模糊合成运算；

其中，计算所述风险度时，设等级模糊子集对应的等级赋值为{H_j,j＝1,2,..,5}，即等级v_j对应数值H_j，且等级v_j从低至高时所述H_j取值递增，所述风险度的计算公式为：

本发明的有益效果为：

(1)能实现对告警信息自身的修正和管理，提高了网络安全的可控性、实时性和灵活性，同时保证了输出告警信息的可靠性，有效阻断网络中的安全威胁，且通过模糊矩阵以及层次分析法在风险评估中的应用，可对风险评估过程中出现的各种不确定因素、指标进行分析；

(2)定义了用于描述母指标的影响程度对等级模糊子集的隶属度的隶属函数，并利用所述隶属函数进行隶属度矩阵构造，计算出的隶属度服从正态分布，避免了人为主观因素的影响，增强了评估结果的客观性；

(3)提出了模糊综合评价结果和风险度的计算公式，该计算公式尽可能全面地考虑了影响风险的因素，强调了安全措施有效性对***风险度的影响，实现了对网络安全事件的事后评估，提高了***评估精度。

附图说明

利用附图对本发明作进一步说明，但附图中的实施例不构成对本发明的任何限制，对于本领域的普通技术人员，在不付出创造性劳动的前提下，还可以根据以下附图获得其它的附图。

图1是本发明各模块的连接示意图；

图2是本发明风险评价***的结构示意图。

附图标记：

安全事件收集模块1、风险实时评估模块2、告警策略获取模块3、告警执行模块4。

具体实施方式

结合以下实施例对本发明作进一步描述。

实施例1

参见图1、图2，本实施例基于告警策略的网络安全管理***，包括依次连接的安全事件收集模块1、风险实时评估模块2、告警策略获取模块3和告警执行模块4；所述安全事件收集模块1用于通过网络安全设备对安全日志进行归一化处理，生成安全事件，并对所述安全事件进行收集；所述风险实时评估模块2用于评估所述安全事件的风险度；并针对风险度大于预设风险度阈值的安全事件，发出告警信息；所述告警策略获取模块3用于接收所述告警信息，并获取相应的告警策略；所述告警执行模块4用于根据所述告警策略，执行告警。

所述风险实时评估模块2包括：

(1)评估指标***生成单元，用于生成针对于网络安全事件的评价指标***，所述评价指标***由评价网络安全事件的专家组制定，其包括目标层、准则层和指标层，所述目标层定义为待评估的网络安全事件，所述准则层包括网络安全事件的可靠程度、网络安全事件发生后的影响程度和不可控性三个母指标，所述指标层包括对应于母指标的各项子指标，其中考虑***所采取安全措施对风险的消减和控制作用，定义不可控性为网络安全事件发生后使安全措施失效的能力特性；

(2)评价等级***生成单元，用于生成对应于评价指标***的评价等级***，所述评价等级***由评价网络安全事件的专家组制定，其包括多个评价等级，每一个评价等级对应一个等级模糊子集；

(3)指标量化单元，用于对子指标对对应母指标的影响程度进行评定，并对评定结果进行量化；

(4)指标权重计算单元，用于引用层次分析法计算母指标和子指标的权重向量；

(5)隶属度矩阵构建单元，用于根据所述评价指标***，计算母指标对所述等级模糊子集的隶属度，构建母指标的隶属度矩阵；

(6)模糊综合评价结果计算单元，用于根据隶属度矩阵和权重向量计算模糊综合评价结果；

(7)风险评估单元，用于根据权重向量及模糊综合评价结果向量计算网络安全事件的风险度。

其中，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

本实施例能实现对告警信息自身的修正和管理，提高了网络安全的可控性、实时性和灵活性，同时保证了输出告警信息的可靠性，有效阻断网络中的安全威胁，且通过模糊矩阵以及层次分析法在风险评估中的应用，可对风险评估过程中出现的各种不确定因素、指标进行分析。

实施例2

参见图1、图2，本实施例基于告警策略的网络安全管理***，包括依次连接的安全事件收集模块1、风险实时评估模块2、告警策略获取模块3和告警执行模块4；所述安全事件收集模块1用于通过网络安全设备对安全日志进行归一化处理，生成安全事件，并对所述安全事件进行收集；所述风险实时评估模块2用于评估所述安全事件的风险度；并针对风险度大于预设风险度阈值的安全事件，发出告警信息；所述告警策略获取模块3用于接收所述告警信息，并获取相应的告警策略；所述告警执行模块4用于根据所述告警策略，执行告警。

所述风险实时评估模块2包括：

(1)评估指标***生成单元，用于生成针对于网络安全事件的评价指标***，所述评价指标***由评价网络安全事件的专家组制定，其包括目标层、准则层和指标层，所述目标层定义为待评估的网络安全事件，所述准则层包括网络安全事件的可靠程度、网络安全事件发生后的影响程度和不可控性三个母指标，所述指标层包括对应于母指标的各项子指标，其中考虑***所采取安全措施对风险的消减和控制作用，定义不可控性为网络安全事件发生后使安全措施失效的能力特性；

(2)评价等级***生成单元，用于生成对应于评价指标***的评价等级***，所述评价等级***由评价网络安全事件的专家组制定，其包括多个评价等级，每一个评价等级对应一个等级模糊子集；

(3)指标量化单元，用于对子指标对对应母指标的影响程度进行评定，并对评定结果进行量化；

(4)指标权重计算单元，用于引用层次分析法计算母指标和子指标的权重向量；

(5)隶属度矩阵构建单元，用于根据所述评价指标***，计算母指标对所述等级模糊子集的隶属度，构建母指标的隶属度矩阵；

(6)模糊综合评价结果计算单元，用于根据隶属度矩阵和权重向量计算模糊综合评价结果；

(7)风险评估单元，用于根据权重向量及模糊综合评价结果向量计算网络安全事件的风险度。

其中，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

本实施例设定预设风险度阈值为50％。

实施例3

参见图1、图2，本实施例基于告警策略的网络安全管理***，包括依次连接的安全事件收集模块1、风险实时评估模块2、告警策略获取模块3和告警执行模块4；所述安全事件收集模块1用于通过网络安全设备对安全日志进行归一化处理，生成安全事件，并对所述安全事件进行收集；所述风险实时评估模块2用于评估所述安全事件的风险度；并针对风险度大于预设风险度阈值的安全事件，发出告警信息；所述告警策略获取模块3用于接收所述告警信息，并获取相应的告警策略；所述告警执行模块4用于根据所述告警策略，执行告警。

所述风险实时评估模块2包括：

(1)评估指标***生成单元，用于生成针对于网络安全事件的评价指标***，所述评价指标***由评价网络安全事件的专家组制定，其包括目标层、准则层和指标层，所述目标层定义为待评估的网络安全事件，所述准则层包括网络安全事件的可靠程度、网络安全事件发生后的影响程度和不可控性三个母指标，所述指标层包括对应于母指标的各项子指标，其中考虑***所采取安全措施对风险的消减和控制作用，定义不可控性为网络安全事件发生后使安全措施失效的能力特性；

(2)评价等级***生成单元，用于生成对应于评价指标***的评价等级***，所述评价等级***由评价网络安全事件的专家组制定，其包括多个评价等级，每一个评价等级对应一个等级模糊子集；

(3)指标量化单元，用于对子指标对对应母指标的影响程度进行评定，并对评定结果进行量化；

(4)指标权重计算单元，用于引用层次分析法计算母指标和子指标的权重向量；

(5)隶属度矩阵构建单元，用于根据所述评价指标***，计算母指标对所述等级模糊子集的隶属度，构建母指标的隶属度矩阵；

(6)模糊综合评价结果计算单元，用于根据隶属度矩阵和权重向量计算模糊综合评价结果；

(7)风险评估单元，用于根据权重向量及模糊综合评价结果向量计算网络安全事件的风险度。

其中，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

本实施例设定预设风险度阈值为45％。

实施例4

参见图1、图2，本实施例基于告警策略的网络安全管理***，包括依次连接的安全事件收集模块1、风险实时评估模块2、告警策略获取模块3和告警执行模块4；所述安全事件收集模块1用于通过网络安全设备对安全日志进行归一化处理，生成安全事件，并对所述安全事件进行收集；所述风险实时评估模块2用于评估所述安全事件的风险度；并针对风险度大于预设风险度阈值的安全事件，发出告警信息；所述告警策略获取模块3用于接收所述告警信息，并获取相应的告警策略；所述告警执行模块4用于根据所述告警策略，执行告警。

所述风险实时评估模块2包括：

(1)评估指标***生成单元，用于生成针对于网络安全事件的评价指标***，所述评价指标***由评价网络安全事件的专家组制定，其包括目标层、准则层和指标层，所述目标层定义为待评估的网络安全事件，所述准则层包括网络安全事件的可靠程度、网络安全事件发生后的影响程度和不可控性三个母指标，所述指标层包括对应于母指标的各项子指标，其中考虑***所采取安全措施对风险的消减和控制作用，定义不可控性为网络安全事件发生后使安全措施失效的能力特性；

(2)评价等级***生成单元，用于生成对应于评价指标***的评价等级***，所述评价等级***由评价网络安全事件的专家组制定，其包括多个评价等级，每一个评价等级对应一个等级模糊子集；

(3)指标量化单元，用于对子指标对对应母指标的影响程度进行评定，并对评定结果进行量化；

(4)指标权重计算单元，用于引用层次分析法计算母指标和子指标的权重向量；

(5)隶属度矩阵构建单元，用于根据所述评价指标***，计算母指标对所述等级模糊子集的隶属度，构建母指标的隶属度矩阵；

(6)模糊综合评价结果计算单元，用于根据隶属度矩阵和权重向量计算模糊综合评价结果；

(7)风险评估单元，用于根据权重向量及模糊综合评价结果向量计算网络安全事件的风险度。

其中，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

其中，所述指标量化模块运作时具体执行：设P、D、C分别表示网络安全事件的可靠程度、网络安全事件发生后的影响程度和不可控性,评价网络安全事件的专家组对母指标y的第x个子指标的量化值进行n次评定得到的量化值集为y＝P,D,C，母指标y的第x个子指标的最终量化值为：

$I_x^{y^{\′}}=\frac{{\mathrm{\Σ}}_i^n{I}_{xi}^y}{n},I_x^{y^{\′}}\∈\[0,1\]$

其中，所述隶属度矩阵构建模块计算网络安全事件对所述等级模糊子集的隶属度时，具体执行以下操作：

定义等级模糊子集为{v_j,j＝1,2,...,5}，并定义用于描述母指标的影响程度对等级模糊子集的隶属度的隶属函数：

其中，ρ为由评价网络安全事件的专家组专家确定的母指标y的第x个子指标的最终量化值，为等级模糊子集{v_j,j＝1,2,...,5}对应的标准取值，μ为评价网络安全事件的专家组对所述最终量化值的确信度；

根据所述隶属函数，分别构造P，D，C三个母指标的隶属度矩阵R_P,R_D,R_C：

$R_P=\left\{\begin{array}{cccc}{f}_{v_1}\left(I_1^{P^{\′}}\right)& f_{v_2}\left(I_1^{P^{\′}}\right)& ...& f_{v_5}\left(I_1^{P^{\′}}\right)\\ f_{v_1}\left(I_2^{P^{\′}}\right)& f_{v_2}\left(I_2^{P^{\′}}\right)& ...& f_{v_5}\left(I_2^{P^{\′}}\right)\\ \·& \·& & \·\\ \·& \·& & \·\\ \·& \·& & \·\\ f_{v_1}\left(I_{N_P}^{P^{\′}}\right)& f_{v_2}\left(I_{N_P}^{P^{\′}}\right)& ...& f_{v_5}\left(I_{N_P}^{P^{\′}}\right)\end{array}\right.$

$R_D=\left\{\begin{array}{cccc}{f}_{v_1}\left(I_1^{D^{\′}}\right)& f_{v_2}\left(I_1^{D^{\′}}\right)& ...& f_{v_5}\left(I_1^{D^{\′}}\right)\\ f_{v_1}\left(I_2^{D^{\′}}\right)& f_{v_2}\left(I_2^{D^{\′}}\right)& ...& f_{v_5}\left(I_2^{D^{\′}}\right)\\ \·& \·& & \·\\ \·& \·& & \·\\ \·& \·& & \·\\ f_{v_1}\left(I_{N_D}^{D^{\′}}\right)& f_{v_2}\left(I_{N_D}^{D^{\′}}\right)& ...& f_{v_5}\left(I_{N_D}^{D^{\′}}\right)\end{array}\right.$

$R_C=\left\{\begin{array}{cccc}{f}_{v_1}\left(I_1^{C^{\′}}\right)& f_{v_2}\left(I_1^{C^{\′}}\right)& ...& f_{v_5}\left(I_1^{C^{\′}}\right)\\ f_{v_1}\left(I_2^{C^{\′}}\right)& f_{v_2}\left(I_2^{C^{\′}}\right)& ...& f_{v_5}\left(I_2^{C^{\′}}\right)\\ \·& \·& & \·\\ \·& \·& & \·\\ \·& \·& & \·\\ f_{v_1}\left(I_{N_C}^{C^{\′}}\right)& f_{v_2}\left(I_{N_C}^{C^{\′}}\right)& ...& f_{v_5}\left(I_{N_C}^{C^{\′}}\right)\end{array}\right.$

其中，N_P表示母指标P包含的子指标个数，N_D表示母指标D包含的子指标个数，N_C表示母指标C包含的子指标个数；

本实施例定义了用于描述母指标的影响程度对等级模糊子集的隶属度的隶属函数，并利用所述隶属函数进行隶属度矩阵构造，计算出的隶属度服从正态分布，避免了人为主观因素的影响，增强了评估结果的客观性。

实施例5

参见图1、图2，本实施例基于告警策略的网络安全管理***，包括依次连接的安全事件收集模块1、风险实时评估模块2、告警策略获取模块3和告警执行模块4；所述安全事件收集模块1用于通过网络安全设备对安全日志进行归一化处理，生成安全事件，并对所述安全事件进行收集；所述风险实时评估模块2用于评估所述安全事件的风险度；并针对风险度大于预设风险度阈值的安全事件，发出告警信息；所述告警策略获取模块3用于接收所述告警信息，并获取相应的告警策略；所述告警执行模块4用于根据所述告警策略，执行告警。

所述风险实时评估模块2包括：

(1)评估指标***生成单元，用于生成针对于网络安全事件的评价指标***，所述评价指标***由评价网络安全事件的专家组制定，其包括目标层、准则层和指标层，所述目标层定义为待评估的网络安全事件，所述准则层包括网络安全事件的可靠程度、网络安全事件发生后的影响程度和不可控性三个母指标，所述指标层包括对应于母指标的各项子指标，其中考虑***所采取安全措施对风险的消减和控制作用，定义不可控性为网络安全事件发生后使安全措施失效的能力特性；

(2)评价等级***生成单元，用于生成对应于评价指标***的评价等级***，所述评价等级***由评价网络安全事件的专家组制定，其包括多个评价等级，每一个评价等级对应一个等级模糊子集；

(3)指标量化单元，用于对子指标对对应母指标的影响程度进行评定，并对评定结果进行量化；

(4)指标权重计算单元，用于引用层次分析法计算母指标和子指标的权重向量；

(5)隶属度矩阵构建单元，用于根据所述评价指标***，计算母指标对所述等级模糊子集的隶属度，构建母指标的隶属度矩阵；

(6)模糊综合评价结果计算单元，用于根据隶属度矩阵和权重向量计算模糊综合评价结果；

(7)风险评估单元，用于根据权重向量及模糊综合评价结果向量计算网络安全事件的风险度。

其中，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

其中，所述指标量化模块运作时具体执行：设P、D、C分别表示网络安全事件的可靠程度、网络安全事件发生后的影响程度和不可控性,评价网络安全事件的专家组对母指标y的第x个子指标的量化值进行n次评定得到的量化值集为y＝P,D,C，母指标y的第x个子指标的最终量化值为：

$I_x^{y^{\′}}=\frac{{\mathrm{\Σ}}_i^n{I}_{xi}^y}{n},I_x^{y^{\′}}\∈\[0,1\]$

其中，所述隶属度矩阵构建模块计算网络安全事件对所述等级模糊子集的隶属度时，具体执行以下操作：

定义等级模糊子集为{v_j,j＝1,2,...,5}，并定义用于描述母指标的影响程度对等级模糊子集的隶属度的隶属函数：

其中，ρ为由评价网络安全事件的专家组专家确定的母指标y的第x个子指标的最终量化值，为等级模糊子集{v_j,j＝1,2,...,5}对应的标准取值，μ为评价网络安全事件的专家组对所述最终量化值的确信度；

根据所述隶属函数，分别构造P，D，C三个母指标的隶属度矩阵R_P,R_D,R_C：

$R_P=\left\{\begin{array}{cccc}{f}_{v_1}\left(I_1^{P^{\′}}\right)& f_{v_2}\left(I_1^{P^{\′}}\right)& ...& f_{v_5}\left(I_1^{P^{\′}}\right)\\ f_{v_1}\left(I_2^{P^{\′}}\right)& f_{v_2}\left(I_2^{P^{\′}}\right)& ...& f_{v_5}\left(I_2^{P^{\′}}\right)\\ \·& \·& & \·\\ \·& \·& & \·\\ \·& \·& & \·\\ f_{v_1}\left(I_{N_P}^{P^{\′}}\right)& f_{v_2}\left(I_{N_P}^{P^{\′}}\right)& ...& f_{v_5}\left(I_{N_P}^{P^{\′}}\right)\end{array}\right.$

$R_D=\left\{\begin{array}{cccc}{f}_{v_1}\left(I_1^{D^{\′}}\right)& f_{v_2}\left(I_1^{D^{\′}}\right)& ...& f_{v_5}\left(I_1^{D^{\′}}\right)\\ f_{v_1}\left(I_2^{D^{\′}}\right)& f_{v_2}\left(I_2^{D^{\′}}\right)& ...& f_{v_5}\left(I_2^{D^{\′}}\right)\\ \·& \·& & \·\\ \·& \·& & \·\\ \·& \·& & \·\\ f_{v_1}\left(I_{N_D}^{D^{\′}}\right)& f_{v_2}\left(I_{N_D}^{D^{\′}}\right)& ...& f_{v_5}\left(I_{N_D}^{D^{\′}}\right)\end{array}\right.$

$R_C=\left\{\begin{array}{cccc}{f}_{v_1}\left(I_1^{C^{\′}}\right)& f_{v_2}\left(I_1^{C^{\′}}\right)& ...& f_{v_5}\left(I_1^{C^{\′}}\right)\\ f_{v_1}\left(I_2^{C^{\′}}\right)& f_{v_2}\left(I_2^{C^{\′}}\right)& ...& f_{v_5}\left(I_2^{C^{\′}}\right)\\ \·& \·& & \·\\ \·& \·& & \·\\ \·& \·& & \·\\ f_{v_1}\left(I_{N_C}^{C^{\′}}\right)& f_{v_2}\left(I_{N_C}^{C^{\′}}\right)& ...& f_{v_5}\left(I_{N_C}^{C^{\′}}\right)\end{array}\right.$

其中，N_P表示母指标P包含的子指标个数，N_D表示母指标D包含的子指标个数，N_C表示母指标C包含的子指标个数；

其中，所述模糊综合评价结果计算模块计算模糊综合评价结果M的计算公式为：

$M=W*\left(\begin{array}{c}{m}_P*R_P\\ m_D*R_D\\ m_C*R_C\end{array}\right)=(L_1,L_2,...,L_5)$

其中，设根据权重向量得到的母指标P、D、C所对应的权重模糊子集为W＝{w_P,w_D,w_C}，根据权重向量得到的母指标P、D、C下的子指标集所对应的权重模糊子集分别为m_P、m_D、m_C，*表示广义模糊合成运算；

其中，计算所述风险度时，设等级模糊子集对应的等级赋值为{H_j,j＝1,2,..,5}，即等级v_j对应数值H_j，且等级v_j从低至高时所述H_j取值递增，所述风险度的计算公式为：

本实施例基于实施例4的基础上，继续提出了模糊综合评价结果和风险度的计算公式，该计算公式尽可能全面地考虑了影响风险的因素，强调了安全措施有效性对***风险度的影响，实现了对网络安全事件的事后评估，提高了***评估精度。

最后应当说明的是，以上实施例仅用以说明本发明的技术方案，而非对本发明保护范围的限制，尽管参照较佳实施例对本发明作了详细地说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的实质和范围。

Claims (8)

1.一种基于告警策略的网络安全管理***，其特征在于，包括依次连接的安全事件收集模块、风险实时评估模块、告警策略获取模块和告警执行模块；所述安全事件收集模块用于通过网络安全设备对安全日志进行归一化处理，生成安全事件，并对所述安全事件进行收集；所述风险实时评估模块用于评估所述安全事件的风险度；并针对风险度大于预设风险度阈值的安全事件，发出告警信息；所述告警策略获取模块用于接收所述告警信息，并获取相应的告警策略；所述告警执行模块用于根据所述告警策略，执行告警。

2.根据权利要求1所述的一种基于告警策略的网络安全管理***，其特征在于，所述风险实时评估模块包括：

(1)评估指标***生成单元，用于生成针对于网络安全事件的评价指标***，所述评价指标***由评价网络安全事件的专家组制定，其包括目标层、准则层和指标层，所述目标层定义为待评估的网络安全事件，所述准则层包括网络安全事件的可靠程度、网络安全事件发生后的影响程度和不可控性三个母指标，所述指标层包括对应于母指标的各项子指标，其中考虑***所采取安全措施对风险的消减和控制作用，定义不可控性为网络安全事件发生后使安全措施失效的能力特性；

(2)评价等级***生成单元，用于生成对应于评价指标***的评价等级***，所述评价等级***由评价网络安全事件的专家组制定，其包括多个评价等级，每一个评价等级对应一个等级模糊子集；

(3)指标量化单元，用于对子指标对对应母指标的影响程度进行评定，并对评定结果进行量化；

(4)指标权重计算单元，用于引用层次分析法计算母指标和子指标的权重向量；

(5)隶属度矩阵构建单元，用于根据所述评价指标***，计算母指标对所述等级模糊子集的隶属度，构建母指标的隶属度矩阵；

(6)模糊综合评价结果计算单元，用于根据隶属度矩阵和权重向量计算模糊综合评价结果；

(7)风险评估单元，用于根据权重向量及模糊综合评价结果向量计算网络安全事件的风险度。

3.根据权利要求1所述的一种基于告警策略的网络安全管理***，其特征在于，所述网络安全设备包括：防火墙设备、防病毒设备、入侵检测设备、漏洞扫描设备中的一种或多种。

4.根据权利要求2所述的一种基于告警策略的网络安全管理***，其特征在于，所述预设风 险度阈值为50％。

5.根据权利要求2所述的一种基于告警策略的网络安全管理***，其特征在于，所述指标量化模块运作时具体执行：

设P、D、C分别表示网络安全事件的可靠程度、网络安全事件发生后的影响程度和不可控性,评价网络安全事件的专家组对母指标y的第x个子指标的量化值进行n次评定得到的量化值集为y＝P,D,C，母指标y的第x个子指标的最终量化值为：

。

6.根据权利要求5所述的一种基于告警策略的网络安全管理***，其特征在于，所述隶属度矩阵构建模块计算母指标对所述等级模糊子集的隶属度时，具体执行以下操作：

定义等级模糊子集为{v_j,j＝1,2,…,5}，并定义用于描述母指标的影响程度对等级模糊子集的隶属度的隶属函数：

其中，ρ为由评价网络安全事件的专家组专家确定的母指标y的第x个子指标的最终量化值， 为等级模糊子集{v_j,j＝1,2,…,5}对应的标准取值，μ为评价网络安全事件的专家组对所述最终量化值的确信度；

根据所述隶属函数，分别构造P，D，C三个母指标的隶属度矩阵R_P,R_D,R₆：

其中，N_P表示母指标P包含的子指标个数，N_D表示母指标D包含的子指标个数，N_C表示 母指标C包含的子指标个数。

7.根据权利要求6所述的一种基于告警策略的网络安全管理***，其特征在于，所述模糊综合评价结果计算模块计算模糊综合评价结果M的计算公式为：

其中，设根据权重向量得到的母指标P、D、C所对应的权重模糊子集为W＝{w_P,w_D,w_C}，根据权重向量得到的母指标P、D、C下的子指标集所对应的权重模糊子集分别为m_P、m_D、m_C，*表示广义模糊合成运算。

8.根据权利要求7所述的一种基于告警策略的网络安全管理***，其特征在于，计算所述风险度时，设等级模糊子集对应的等级赋值为{H_j,j＝1,2,..,5}，即等级v_j对应数值H_j，且等级v_j从低至高时所述H_j取值递增，所述风险度的计算公式为：