CN110493043B - 一种分布式态势感知调用方法和装置 - Google Patents
一种分布式态势感知调用方法和装置 Download PDFInfo
- Publication number
- CN110493043B CN110493043B CN201910757472.4A CN201910757472A CN110493043B CN 110493043 B CN110493043 B CN 110493043B CN 201910757472 A CN201910757472 A CN 201910757472A CN 110493043 B CN110493043 B CN 110493043B
- Authority
- CN
- China
- Prior art keywords
- situation
- information
- data
- single key
- distributed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24568—Data stream processing; Continuous queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2465—Query processing support for facilitating data mining operations in structured databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/254—Extract, transform and load [ETL] procedures, e.g. ETL data flows in data warehouses
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/258—Data format conversion from or to a database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computational Linguistics (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Fuzzy Systems (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Software Systems (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种分布式态势感知调用方法和装置,将采集不同信息来源的接口封装起来,方便客户调用,通过预处理得到统一格式的数据流,从该数据流中提取高频项目组要素,生成高频关联规则,送入态势评估进行评估量化,通过与不同评估体系的融合,以及模糊处理数据要素,得到单个设备、局部网络的态势值,结合整个网络的架构组成,得到整个装置的态势值,将不同层次的态势值导入神经网络模型进行预测,最后可视化展示预测结果,充分评估整个分布式***以及每一个单个设备,将每一个设备、每一个分层建立关联,对于不同的规则进行规则检测,计算风险值,从而可以对未来的装置进行科学地预测,为用户提供有价值的参考建议。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种分布式态势感知调用方法和装置。
背景技术
下一代网络包括车联网、物联网、云网络、工业互联网、视频监控网都需要调用态势感知功能,而搭建态势感知平台却是一项复杂、昂贵的工作,由此需要能够提供态势感知服务的业务提供商,将态势感知虚拟为插件或组件方便客户调用。
同时,现有的态势感知技术采用简单的态势理解,就可以得出关于整个装置的安全态势评估结果,无法定量地给出态势评估的报告,更无法基于态势评估的结果进行安全态势的预测,其利用价值非常有限。
本发明意图不仅在算法上充分评估整个网络以及每一个单个设备,而且可以基于给出的态势值,将其与每一个设备、每一个分层建立关联,对于不同的规则进行规则检测,计算风险值,从而可以对未来的装置进行科学地预测,为用户提供有价值的参考建议。
发明内容
本发明的目的在于提供一种分布式态势感知调用方法和装置,将采集不同信息来源的接口封装起来,方便客户调用,通过预处理得到统一格式的数据流,从该数据流中提取高频项目组要素,生成高频关联规则,送入态势评估进行评估量化,通过与不同评估体系的融合,以及模糊处理数据要素,得到单个设备、局部网络的态势值,结合整个网络的架构组成,得到整个装置的态势值,将不同层次的态势值导入神经网络模型进行预测,最后可视化展示预测结果。
第一方面,本申请提供一种分布式态势感知调用方法,所述方法包括:
将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;
接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;
根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;
判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t,得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)=N(t)·10d(t),N(t)表示t时刻攻击所发生的次数,用10d(t)计算攻击的威胁程度,反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,再次调用分布式数据库,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
向分布式均衡服务器请求网络拓扑关系,根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,由分布式均衡服务器返回预测结果;
将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果送出进行可视化展示。
结合第一方面,在第一方面第一种可能的实现方式中,所述从合并后的数据流提取要素,包括:调用以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
结合第一方面,在第一方面第二种可能的实现方式中,所述清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
结合第一方面,在第一方面第三种可能的实现方式中,所述模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
第二方面,本申请提供一种分布式态势感知调用装置,所述装置包括:
对外接口单元,用于将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;
预处理单元,用于接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
态势理解单元,用于从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;
态势评估单元,用于根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t,得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)=N(t)·10d(t),N(t)表示t时刻攻击所发生的次数,用10d(t)计算攻击的威胁程度,反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,再次调用分布式数据库,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
向分布式均衡服务器请求网络拓扑关系,根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
态势预测单元,用于分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,由分布式均衡服务器返回预测结果;
态势输出单元,用于将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果送出进行可视化展示。
结合第二方面,在第二方面第一种可能的实现方式中,所述态势理解单元从合并后的数据流提取要素,包括:调用以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
结合第二方面,在第二方面第二种可能的实现方式中,所述预处理单元清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
结合第二方面,在第二方面第三种可能的实现方式中,所述态势评估单元模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
本发明提供一种分布式态势感知调用方法和装置,将采集不同信息来源的接口封装起来,方便客户调用,通过预处理得到统一格式的数据流,从该数据流中提取高频项目组要素,生成高频关联规则,送入态势评估进行评估量化,通过与不同评估体系的融合,以及模糊处理数据要素,得到单个设备、局部网络的态势值,结合整个网络的架构组成,得到整个装置的态势值,将不同层次的态势值导入神经网络模型进行预测,最后可视化展示预测结果,充分评估整个分布式***以及每一个单个设备,将每一个设备、每一个分层建立关联,对于不同的规则进行规则检测,计算风险值,从而可以对未来的装置进行科学地预测,为用户提供有价值的参考建议。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明分布式态势感知调用方法的流程图;
图2为本发明分布式态势感知调用装置的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的分布式态势感知调用方法的流程图,所述方法包括:
将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;
接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;
根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;
判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t,得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)=N(t)·10d(t),N(t)表示t时刻攻击所发生的次数,用10d(t)计算攻击的威胁程度,反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,再次调用分布式数据库,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
向分布式均衡服务器请求网络拓扑关系,根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,由分布式均衡服务器返回预测结果;
将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果送出进行可视化展示。
在一些优选实施例中,所述从合并后的数据流提取要素,包括:调用以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
在一些优选实施例中,所述清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
在一些优选实施例中,所述模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
图2为本申请提供的分布式态势感知调用装置的架构图,所述装置包括:
对外接口单元,用于将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;
预处理单元,用于接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
态势理解单元,用于从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;
态势评估单元,用于根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t,得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)=N(t)·10d(t),N(t)表示t时刻攻击所发生的次数,用10d(t)计算攻击的威胁程度,反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,再次调用分布式数据库,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
向分布式均衡服务器请求网络拓扑关系,根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
态势预测单元,用于分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,由分布式均衡服务器返回预测结果;
态势输出单元,用于将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果送出进行可视化展示。
在一些优选实施例中,所述态势理解单元从合并后的数据流提取要素,包括:调用以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
在一些优选实施例中,所述预处理单元清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
在一些优选实施例中,所述态势评估单元模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (6)
1.一种分布式态势感知调用方法,其特征在于,所述方法包括:
将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;
接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;
根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;
判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t,得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)=N(t)·10d(t),N(t)表示t时刻攻击所发生的次数,用10d(t)计算攻击的威胁程度,反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,再次调用分布式数据库,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
向分布式均衡服务器请求网络拓扑关系,根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,由分布式均衡服务器返回预测结果;
将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果送出进行可视化展示;
所述从合并后的数据流提取要素,包括:调用以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
2.根据权利要求1所述的方法,其特征在于,所述清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
3.根据权利要求1所述的方法,其特征在于,所述模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
4.一种分布式态势感知调用装置,其特征在于,所述装置包括:
对外接口单元,用于将可接收不同信息来源的接口虚拟成一个对外数据接口,方便其他网络调用,不同信息来源之间彼此相互独立,不会发现其他信息来源的接口,自适应对应相应接口;通过对外数据接口采集不同来源的传感器、信息平台、探测设备的运行状态数据;
预处理单元,用于接收采集数据后,清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,分入对应的字段,合并成数据流;
态势理解单元,用于从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,组成频繁模式树状结构;
判断规则队列是否为空,若为空则与子规则库进行匹配查询,将查询到的子规则作为指定的关联规则,依据子规则进行规则检测;若不为空则进行规则检测;所述规则检测计算风险值,发出对应的报警信息;
态势评估单元,用于根据所述频繁模式树状结构,调用分布式数据库,查询地址相邻相近的资产态势信息,查询访问对象所属同层的资产态势信息,以及查询流量速度、流量总量相似的资产态势信息;判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞,判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警,判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化,计算单个关键设备的安全态势值;
所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t,得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)=N(t)·10d(t),N(t)表示t时刻攻击所发生的次数,用10d(t)计算攻击的威胁程度,反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度;
将邻近的若干个单个关键设备,或者依据有业务交互的若干个单个关键设备,组成局部网络,再次调用分布式数据库,由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
向分布式均衡服务器请求网络拓扑关系,根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值;
态势预测单元,用于分别将单个关键设备、局部网络和整个网络的安全态势值导入分布式均衡服务器中的神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,由分布式均衡服务器返回预测结果;
态势输出单元,用于将单个关键设备、局部网络和整个网络的安全态势值,攻击者来源和攻击范围的预测结果送出进行可视化展示;
所述态势理解单元从合并后的数据流提取要素,包括:调用以往历史数据的评估模型、关联规则和指标库,从数据流的相应字段中提取要素信息。
5.根据权利要求4所述的装置,其特征在于,所述预处理单元清除数据中的冗余信息,根据来源的类型,将数据格式转换为统一的格式,是基于Map Reduce分布式并行计算处理的。
6.根据权利要求4所述的装置,其特征在于,所述态势评估单元模糊处理计算是基于D-S理论与模糊集相结合的方法,计算攻击发生支持的概率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910757472.4A CN110493043B (zh) | 2019-08-16 | 2019-08-16 | 一种分布式态势感知调用方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910757472.4A CN110493043B (zh) | 2019-08-16 | 2019-08-16 | 一种分布式态势感知调用方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110493043A CN110493043A (zh) | 2019-11-22 |
CN110493043B true CN110493043B (zh) | 2022-05-03 |
Family
ID=68551386
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910757472.4A Active CN110493043B (zh) | 2019-08-16 | 2019-08-16 | 一种分布式态势感知调用方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110493043B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112035828B (zh) * | 2020-07-22 | 2024-04-30 | 北京中安星云软件技术有限公司 | 针对大规模数据库集群的安全态势感知分析方法及*** |
CN113780614A (zh) * | 2021-01-04 | 2021-12-10 | 北京沃东天骏信息技术有限公司 | 一种风险识别方法和装置 |
CN113709183B (zh) * | 2021-09-16 | 2023-07-18 | 北京恒安嘉新安全技术有限公司 | 数据处理方法、装置、设备及存储介质 |
CN115664697B (zh) * | 2022-09-01 | 2023-06-13 | 国网河南省电力公司信息通信公司 | 一种多级级联的物联网态势感知*** |
CN117938431B (zh) * | 2023-12-11 | 2024-06-21 | 广州安行信息安全科技有限公司 | 一种基于关联规则的工业控制***复杂攻击检测方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102263410A (zh) * | 2010-05-31 | 2011-11-30 | 河南省电力公司 | 一种安全风险评估模型、评估方法及评估参数确定方法 |
CN102624696A (zh) * | 2011-12-27 | 2012-08-01 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全态势评估方法 |
CN102821007A (zh) * | 2012-08-06 | 2012-12-12 | 河南科技大学 | 一种基于自律计算的网络安全态势感知***及其处理方法 |
WO2016172514A1 (en) * | 2015-04-24 | 2016-10-27 | Siemens Aktiengesellschaft | Improving control system resilience by highly coupling security functions with control |
CN108769048A (zh) * | 2018-06-08 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种安全可视化与态势感知平台*** |
CN110059939A (zh) * | 2018-12-13 | 2019-07-26 | 成都亚信网络安全产业技术研究院有限公司 | 一种风险检测方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107404400B (zh) * | 2017-07-20 | 2020-05-19 | 中国电子科技集团公司第二十九研究所 | 一种网络态势感知实现方法及装置 |
-
2019
- 2019-08-16 CN CN201910757472.4A patent/CN110493043B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102263410A (zh) * | 2010-05-31 | 2011-11-30 | 河南省电力公司 | 一种安全风险评估模型、评估方法及评估参数确定方法 |
CN102624696A (zh) * | 2011-12-27 | 2012-08-01 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全态势评估方法 |
CN102821007A (zh) * | 2012-08-06 | 2012-12-12 | 河南科技大学 | 一种基于自律计算的网络安全态势感知***及其处理方法 |
WO2016172514A1 (en) * | 2015-04-24 | 2016-10-27 | Siemens Aktiengesellschaft | Improving control system resilience by highly coupling security functions with control |
CN108769048A (zh) * | 2018-06-08 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种安全可视化与态势感知平台*** |
CN110059939A (zh) * | 2018-12-13 | 2019-07-26 | 成都亚信网络安全产业技术研究院有限公司 | 一种风险检测方法及装置 |
Non-Patent Citations (2)
Title |
---|
加权频繁模式挖掘算法研究;耿汝年;《中国博士学位论文全文数据库》;20100515;论文正文第1-7章 * |
基于RAN-RBF神经网络的网络安全态势预测模型;甘文道等;《计算机科学》;20161115;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110493043A (zh) | 2019-11-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110493043B (zh) | 一种分布式态势感知调用方法和装置 | |
US10855545B2 (en) | Centralized resource usage visualization service for large-scale network topologies | |
CN110445801B (zh) | 一种物联网的态势感知方法和*** | |
Kumar et al. | A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing | |
US10599456B2 (en) | Centralized networking configuration in distributed systems | |
US11212299B2 (en) | System and method for monitoring security attack chains | |
US9647904B2 (en) | Customer-directed networking limits in distributed systems | |
CN110460608B (zh) | 一种包含关联分析的态势感知方法和*** | |
CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
CN110474904B (zh) | 一种改进预测的态势感知方法和*** | |
US9712390B2 (en) | Encoding traffic classification information for networking configuration | |
CN112738040A (zh) | 一种基于dns日志的网络安全威胁检测方法、***及装置 | |
CN110493218B (zh) | 一种态势感知虚拟化的方法和装置 | |
CN110471975B (zh) | 一种物联网态势感知调用方法和装置 | |
CN109873790A (zh) | 网络安全检测方法、装置以及计算机可读存储介质 | |
CN110493217B (zh) | 一种分布式的态势感知方法和*** | |
CN110493044B (zh) | 一种可量化的态势感知的方法和*** | |
CN114363212B (zh) | 一种设备检测方法、装置、设备和存储介质 | |
CN117097578B (zh) | 一种网络流量的安全监控方法、***、介质及电子设备 | |
US9471779B2 (en) | Information processing system, information processing device, monitoring device, monitoring method | |
CN110474805B (zh) | 一种可调用的态势感知分析的方法和装置 | |
CN110460472B (zh) | 一种加权量化的态势感知方法和*** | |
Su et al. | Detection ddos of attacks based on federated learning with digital twin network | |
CN115858309B (zh) | 面向分布式***的数据监控方法、装置和电子设备 | |
Hou et al. | Intelligent system security event description method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |