CN110474805A - 一种可调用的态势感知分析的方法和装置 - Google Patents

一种可调用的态势感知分析的方法和装置 Download PDF

Info

Publication number
CN110474805A
CN110474805A CN201910757693.1A CN201910757693A CN110474805A CN 110474805 A CN110474805 A CN 110474805A CN 201910757693 A CN201910757693 A CN 201910757693A CN 110474805 A CN110474805 A CN 110474805A
Authority
CN
China
Prior art keywords
data
network
rule
situation
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910757693.1A
Other languages
English (en)
Other versions
CN110474805B (zh
Inventor
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuleng Technology Co Ltd
Original Assignee
Wuhan Sipuleng Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuleng Technology Co Ltd filed Critical Wuhan Sipuleng Technology Co Ltd
Priority to CN201910757693.1A priority Critical patent/CN110474805B/zh
Publication of CN110474805A publication Critical patent/CN110474805A/zh
Application granted granted Critical
Publication of CN110474805B publication Critical patent/CN110474805B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种可调用的态势感知分析的方法和装置,将采集不同信息来源的接口封装起来,方便客户调用,通过预处理得到统一格式的数据流,从该数据流中提取高频项目组要素,生成高频关联规则,送入态势评估进行评估量化,通过与不同评估体系的融合,以及模糊处理数据要素,得到单个设备、局部网络的态势值,结合整个网络的架构组成,得到整个装置的态势值,将不同层次的态势值导入神经网络模型进行预测,最后可视化展示预测结果,充分评估整个网络以及每一个单个设备,将每一个设备、每一个分层建立关联,对于不同的规则进行规则检测,计算风险值,从而可以对未来的装置进行科学地预测,为用户提供有价值的参考建议。

Description

一种可调用的态势感知分析的方法和装置
技术领域
本申请涉及网络安全技术领域,尤其涉及一种可调用的态势感知分析的方法和装置。
背景技术
下一代网络包括车联网、物联网、云网络、工业互联网、视频监控网都需要调用态势感知功能,而搭建态势感知平台却是一项复杂、昂贵的工作,由此需要能够提供态势感知服务的业务提供商,将态势感知虚拟为插件或组件方便客户调用。
同时,现有的态势感知技术采用简单的态势理解,就可以得出关于整个装置的安全态势评估结果,无法定量地给出态势评估的报告,更无法基于态势评估的结果进行安全态势的预测,其利用价值非常有限。
本发明意图不仅在算法上充分评估整个网络以及每一个单个设备,而且可以基于给出的态势值,将其与每一个设备、每一个分层建立关联,对于不同的规则进行规则检测,计算风险值,从而可以对未来的装置进行科学地预测,为用户提供有价值的参考建议。
发明内容
本发明的目的在于提供一种可调用的态势感知分析的方法和装置,将采集不同信息来源的接口封装起来,方便客户调用,通过预处理得到统一格式的数据流,从该数据流中提取高频项目组要素,生成高频关联规则,送入态势评估进行评估量化,通过与不同评估体系的融合,以及模糊处理数据要素,得到单个设备、局部网络的态势值,结合整个网络的架构组成,得到整个装置的态势值,将不同层次的态势值导入神经网络模型进行预测,最后可视化展示预测结果。
第一方面,本申请提供一种可调用的态势感知分析的方法,所述方法包括:
将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;
接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;
根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;
判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,再次调用分布式数据库,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
向分布式均衡服务器请求网络拓扑关系,根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,由分布式均衡服务器返回预测结果;
将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果送出进行可视化展示。
结合第一方面,在第一方面第一种可能的实现方式中,所述从合并后的数据流提取要素,包括:调用以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
结合第一方面,在第一方面第二种可能的实现方式中,所述清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
结合第一方面,在第一方面第三种可能的实现方式中,所述模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
第二方面,本申请提供一种可调用的态势感知分析的装置,所述装置包括:
对外接口单元,用于将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;
预处理单元,用于接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
态势理解单元,用于从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;
态势评估单元,用于根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,再次调用分布式数据库,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
向分布式均衡服务器请求网络拓扑关系,根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
态势预测单元,用于分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,由分布式均衡服务器返回预测结果;
态势输出单元,用于将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果送出进行可视化展示。
结合第二方面,在第二方面第一种可能的实现方式中,所述态势理解单元从合并后的数据流提取要素,包括:调用以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
结合第二方面,在第二方面第二种可能的实现方式中,所述预处理单元清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
结合第二方面,在第二方面第三种可能的实现方式中,所述态势评估单元模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
本发明提供一种可调用的态势感知分析的方法和装置,将采集不同信息来源的接口封装起来,方便客户调用,通过预处理得到统一格式的数据流,从该数据流中提取高频项目组要素,生成高频关联规则,送入态势评估进行评估量化,通过与不同评估体系的融合,以及模糊处理数据要素,得到单个设备、局部网络的态势值,结合整个网络的架构组成,得到整个装置的态势值,将不同层次的态势值导入神经网络模型进行预测,最后可视化展示预测结果,充分评估整个网络以及每一个单个设备,将每一个设备、每一个分层建立关联,对于不同的规则进行规则检测,计算风险值,从而可以对未来的装置进行科学地预测,为用户提供有价值的参考建议。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明可调用的态势感知分析的方法的流程图;
图2为本发明可调用的态势感知分析的装置的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的可调用的态势感知分析的方法的流程图,所述方法包括:
将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;
接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;
根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;
判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,再次调用分布式数据库,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
向分布式均衡服务器请求网络拓扑关系,根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,由分布式均衡服务器返回预测结果;
将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果送出进行可视化展示。
在一些优选实施例中,所述从合并后的数据流提取要素,包括:调用以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
在一些优选实施例中,所述清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
在一些优选实施例中,所述模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
图2为本申请提供的可调用的态势感知分析的装置的架构图,所述装置包括:
对外接口单元,用于将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;
预处理单元,用于接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
态势理解单元,用于从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;
态势评估单元,用于根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,再次调用分布式数据库,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
向分布式均衡服务器请求网络拓扑关系,根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
态势预测单元,用于分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,由分布式均衡服务器返回预测结果;
态势输出单元,用于将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果送出进行可视化展示。
在一些优选实施例中,所述态势理解单元从合并后的数据流提取要素,包括:调用以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
在一些优选实施例中,所述预处理单元清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
在一些优选实施例中,所述态势评估单元模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (8)

1.一种可调用的态势感知分析的方法,其特征在于,所述方法包括:
将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;
接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;
根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;
判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,再次调用分布式数据库,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
向分布式均衡服务器请求网络拓扑关系,根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,由分布式均衡服务器返回预测结果;
将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果送出进行可视化展示。
2.根据权利要求1所述的方法,其特征在于,所述从合并后的数据流提取要素,包括:调用以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
5.一种可调用的态势感知分析的装置,其特征在于,所述装置包括:
对外接口单元,用于将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;
预处理单元,用于接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
态势理解单元,用于从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;
态势评估单元,用于根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,再次调用分布式数据库,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
向分布式均衡服务器请求网络拓扑关系,根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
态势预测单元,用于分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,由分布式均衡服务器返回预测结果;
态势输出单元,用于将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果送出进行可视化展示。
6.根据权利要求5所述的装置,其特征在于,所述态势理解单元从合并后的数据流提取要素,包括:调用以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
7.根据权利要求5-6任一项所述的装置,其特征在于,所述预处理单元清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
8.根据权利要求5-7任一项所述的装置,其特征在于,所述态势评估单元模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
CN201910757693.1A 2019-08-16 2019-08-16 一种可调用的态势感知分析的方法和装置 Active CN110474805B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910757693.1A CN110474805B (zh) 2019-08-16 2019-08-16 一种可调用的态势感知分析的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910757693.1A CN110474805B (zh) 2019-08-16 2019-08-16 一种可调用的态势感知分析的方法和装置

Publications (2)

Publication Number Publication Date
CN110474805A true CN110474805A (zh) 2019-11-19
CN110474805B CN110474805B (zh) 2022-05-03

Family

ID=68510931

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910757693.1A Active CN110474805B (zh) 2019-08-16 2019-08-16 一种可调用的态势感知分析的方法和装置

Country Status (1)

Country Link
CN (1) CN110474805B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102263410A (zh) * 2010-05-31 2011-11-30 河南省电力公司 一种安全风险评估模型、评估方法及评估参数确定方法
CN102624696A (zh) * 2011-12-27 2012-08-01 中国航天科工集团第二研究院七〇六所 一种网络安全态势评估方法
WO2016172514A1 (en) * 2015-04-24 2016-10-27 Siemens Aktiengesellschaft Improving control system resilience by highly coupling security functions with control
CN107404400A (zh) * 2017-07-20 2017-11-28 中国电子科技集团公司第二十九研究所 一种网络态势感知实现方法及装置
CN108494810A (zh) * 2018-06-11 2018-09-04 中国人民解放军战略支援部队信息工程大学 面向攻击的网络安全态势预测方法、装置及***
CN108769048A (zh) * 2018-06-08 2018-11-06 武汉思普崚技术有限公司 一种安全可视化与态势感知平台***
CN110059939A (zh) * 2018-12-13 2019-07-26 成都亚信网络安全产业技术研究院有限公司 一种风险检测方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102263410A (zh) * 2010-05-31 2011-11-30 河南省电力公司 一种安全风险评估模型、评估方法及评估参数确定方法
CN102624696A (zh) * 2011-12-27 2012-08-01 中国航天科工集团第二研究院七〇六所 一种网络安全态势评估方法
WO2016172514A1 (en) * 2015-04-24 2016-10-27 Siemens Aktiengesellschaft Improving control system resilience by highly coupling security functions with control
CN107404400A (zh) * 2017-07-20 2017-11-28 中国电子科技集团公司第二十九研究所 一种网络态势感知实现方法及装置
CN108769048A (zh) * 2018-06-08 2018-11-06 武汉思普崚技术有限公司 一种安全可视化与态势感知平台***
CN108494810A (zh) * 2018-06-11 2018-09-04 中国人民解放军战略支援部队信息工程大学 面向攻击的网络安全态势预测方法、装置及***
CN110059939A (zh) * 2018-12-13 2019-07-26 成都亚信网络安全产业技术研究院有限公司 一种风险检测方法及装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
刘鹏等: "大规模网络安全态势感知及预测", 《计算机安全》 *
甘文道等: "基于RAN-RBF神经网络的网络安全态势预测模型", 《计算机科学》 *
耿汝年: "加权频繁模式挖掘算法研究", 《中国博士学位论文全文数据库》 *

Also Published As

Publication number Publication date
CN110474805B (zh) 2022-05-03

Similar Documents

Publication Publication Date Title
CN110493043A (zh) 一种分布式态势感知调用方法和装置
CN110445801A (zh) 一种物联网的态势感知方法和***
Yang et al. A time efficient approach for detecting errors in big sensor data on cloud
CN104580349B (zh) 安全云管理代理
CN110460608A (zh) 一种包含关联分析的态势感知方法和***
CN110474904A (zh) 一种改进预测的态势感知方法和***
CN108989136A (zh) 业务端到端性能监控方法及装置
Roy et al. Micro-safe: Microservices-and deep learning-based safety-as-a-service architecture for 6G-enabled intelligent transportation system
CN109389518A (zh) 关联分析方法及装置
Li et al. mBm‐Based Scalings of Traffic Propagated in Internet
Silva et al. Performance evaluation of an internet of healthcare things for medical monitoring using M/M/c/K queuing models
CN108429767A (zh) 一种基于人工智能的网络安全态势预测***
Queiroz et al. A probabilistic model to predict the survivability of SCADA systems
CN110493218A (zh) 一种态势感知虚拟化的方法和装置
CN110471975A (zh) 一种物联网态势感知调用方法和装置
Solmaz et al. ALACA: A platform for dynamic alarm collection and alert notification in network management systems
Saad et al. A trust and explainable federated deep learning framework in zero touch b5g networks
CN110493217A (zh) 一种分布式的态势感知方法和***
Alowaidi et al. Integrating artificial intelligence in cyber security for cyber-physical systems
CN110493044A (zh) 一种可量化的态势感知的方法和***
CN105608380A (zh) 一种基于虚拟机生命周期的云计算安全性评估方法
Hussain et al. Risk management framework to avoid SLA violation in cloud from a provider’s perspective
US9929921B2 (en) Techniques for workload toxic mapping
Mateen et al. Software QualityAssurance in Internet of Things
Polishchuk Influence and betweenness in flow models of complex network systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant