CN110830467A - 基于模糊预测的网络可疑资产识别方法 - Google Patents

基于模糊预测的网络可疑资产识别方法 Download PDF

Info

Publication number
CN110830467A
CN110830467A CN201911066715.6A CN201911066715A CN110830467A CN 110830467 A CN110830467 A CN 110830467A CN 201911066715 A CN201911066715 A CN 201911066715A CN 110830467 A CN110830467 A CN 110830467A
Authority
CN
China
Prior art keywords
asset
abnormal
assets
representing
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911066715.6A
Other languages
English (en)
Inventor
卜佑军
沈何阳
周锟
袁征
陈博
白冰
伊鹏
马海龙
胡宇翔
胡静萍
张桥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Network Communication and Security Zijinshan Laboratory
Original Assignee
Information Engineering University of PLA Strategic Support Force
Network Communication and Security Zijinshan Laboratory
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force , Network Communication and Security Zijinshan Laboratory filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN201911066715.6A priority Critical patent/CN110830467A/zh
Publication of CN110830467A publication Critical patent/CN110830467A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/02Computing arrangements based on specific mathematical models using fuzzy logic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/04Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/12Accounting
    • G06Q40/125Finance or payroll

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Accounting & Taxation (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Computing Systems (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Marketing (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Computer Security & Cryptography (AREA)
  • Game Theory and Decision Science (AREA)
  • Operations Research (AREA)
  • Tourism & Hospitality (AREA)
  • Software Systems (AREA)
  • Educational Administration (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Automation & Control Theory (AREA)
  • Biomedical Technology (AREA)
  • Fuzzy Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computer Hardware Design (AREA)
  • Algebra (AREA)
  • Technology Law (AREA)
  • Computational Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)

Abstract

本发明属于网路安全领域,特别涉及一种基于模糊预测的网络可疑资产识别方法,包含步骤1,扫描目标网段,获取资产信息、开放的端口信息和资产***版本信息,输出已知资产、未知资产的详细参数清单;步骤2,异常监控模块负责监控资产清单中的指标变化;步骤3,根据步骤2获取的资产清单中参数的历史数据和实时数据、异常次数和异常数据,结合模糊预测信任模型,计算出资产的信任值;步骤4,对资产的信任值进行分析,识别出可疑资产。本发明以模糊预测算法的形式线性刻画资产的表现,减少预警的误报率。

Description

基于模糊预测的网络可疑资产识别方法
技术领域
本发明属于网路安全领域,特别涉及一种基于模糊预测的网络可疑资产识别方法。
背景技术
近年来,信息化技术飞速发展并深度改变着经济和社会的面貌,伴随而来的是各种网络安全事件的与日俱增。《网络安全法》的发布与实施、等保1.0和等保2.0等政策法律也要求推动网络安全治理,并将网络安全检查常态化。这些均足以证明现阶段的网络空间安全治理刻不容缓。
提升网络治理能力一项至关重要的工作就是能够详细、完整的识别出网络信息资产,继而制定覆盖所有网络资产的安全策略,及时识别可疑资产,封堵安全漏洞,保证内部数据的安全性。可疑资产识别之所以重要是因为安全治理的前提是发现哪些设备获知环节存在安全风险,这样才能有针对的进行安全防护。既然能够识别已知资产的漏洞,也要能够识别未知资产的漏洞。然而未知资产往往因为其未被管理到的原因,成为了网络攻击者的切入点或者跳板,继而进入到核心资产区域。此类的未知信息资产已然成为了网络安全的一个“雷区”。因此,能够及时清楚识别已知资产和未知资产,并及时预警可疑设备,将大幅度降低网络安全事件的发生。
市面上关于可疑资产识别的软件层出不穷,目前使用较为广泛的做法是,对能够引起网络安全事件的安全要素进行获取、分析、可视化,通过采集网络流量、安全日志、安全告警等安全数据,利用大数据分析和机器学习技术、关联分析等,来分析目标的安全状态,并预测发展的趋势。但是从实践角度来看,这种方式存在以下的弊端:
(1)针对网络安全数据源的大数据分析技术,包括使用规则匹配、行为检测、模式识别等技术来识别异常。这类技术预警速度比较及时,但若未结合可疑网络资产的历史数据、历史异常次数、当前异常数据及次数综合计算分析,因此会增加预警误报率,这给事后安全人员处理安全事件的时候带来了一定的干扰。
(2)缺乏综合考虑历史异常和实时异常表现、历史异常数据和实时异常数据的预测算法,将随机的攻击异常行为转化成客观的数学统计值。
发明内容
本发明的目的是提供一种基于模糊预测的网络可疑资产识别方法,以模糊预测算法的形式线性刻画资产的表现,减少预警的误报率。
为解决上述技术问题,本发明采用以下的技术方案:
本发明提供的一种基于模糊预测的网络可疑资产识别方法,包含以下步骤:
步骤1,扫描目标网段,获取资产信息、开放的端口信息和资产***版本信息,输出已知资产、未知资产的详细参数清单;
步骤2,异常监控模块负责监控资产清单中的指标变化;
步骤3,根据步骤2获取的资产清单中参数的历史数据和实时数据、异常次数和异常数据,结合模糊预测信任模型,计算出资产的信任值;
步骤4,对资产的信任值进行分析,识别出可疑资产。
进一步地,在步骤4之后,还包括:模糊预测信任模型自适应更新,调整异常参数标准项。
进一步地,所述步骤1的具体实现过程为:
根据预先配置的扫描信息,匹配到对应的扫描规则,首先探测存活资产,再针对存活资产进行全端口扫描和扫描存活资产***版本信息,输出已知资产、未知资产的详细参数清单,该详细参数清单包括资产IP、开放的端口、开放的服务、资产***版本信息、资产的CPU占用率、内存占用率、磁盘占用率、网络上下行带宽和可疑时间段的访问峰值。
进一步地,对资产进行扫描的工具采用NMAP或者MASSCAN。
进一步地,所述步骤2的具体实现过程为:
异常监控模块集中对资产清单中资产的CPU占用率、内存占用率、磁盘占用率、网络上下行带宽、可疑时间段的访问峰值进行阈值监控。
进一步地,所述步骤3中根据步骤2获取的资产的CPU占用率、内存占用率、磁盘占用率、网络上下行带宽、可疑时间段的访问峰值的历史数据和实时数据,发生内网扫描异常行为、开放异常端口行为的异常次数和异常数据,结合模糊预测信任模型,计算出资产的信任值;具体如下:
步骤3.1,计算资产的异常行为指标模糊隶属度,参数依据是:资产发生内网扫描行为、发生该行为的持续时间的异常次数,资产开放的异常端口行为的次数和资产发生上下行带宽的时间段为异常时间段的次数;异常行为指标模糊隶属度公式如下:
Figure BDA0002259601360000031
表示资产异常行为指标模糊集,
Figure BDA0002259601360000033
表示
Figure BDA0002259601360000034
的隶属函数,Nj表示当前资产,j表示资产编号,f1(Nj)表示当前资产Nj的异常行为集值,NC表示异常行为的关键元素项数,c表示异常行为的关键元素项种类,i表示自然数,ai表示第i项元素的异常行为次数权重系数,ci表示第i项元素的逻辑值,ai 0表示资产发生异常次数多于阈值情况的权重系数,ai 0与ai相等,ci 0表示第i项元素异常行为次数的逻辑参考值,ci 0取值为1;
步骤3.2,计算资产的异常数据指标模糊隶属度,参数依据是:资产的CPU占用率、内存占用率、磁盘占用率的异常数据,将采集到的实时数据与历史数据做比较,若超出允许的阈值范围的误差,认为资产性能数据异常;异常数据指标模糊隶属度公式如下:
Figure BDA0002259601360000041
为误差允许范围,否则
Figure BDA0002259601360000044
表示资产异常数据指标模糊集,表示
Figure BDA0002259601360000046
的隶属函数,Nj表示当前资产,j表示资产编号,f2(Nj)表示当前资产Nj的异常数据集值,nD表示实际获得的关键元素数据不在误差阈值允许范围内的项数,ND表示异常数据的关键元素项数,D表示异常数据的关键元素项种类,k表示自然数,ak表示第k项元素的异常数据权重系数,Dk表示第k项元素的实际值,
Figure BDA0002259601360000047
表示第k项元素的正常参考值;
步骤3.3,异常模糊集整合
将步骤3.1的资产的异常行为指标模糊隶属度和步骤3.2的资产的异常数据指标模糊隶属度进行德摩根数据融合,计算出资产的信任值C,公式如下:
Figure BDA0002259601360000048
进一步地,所述步骤4具体为:所述资产的信任值超过阈值范围的误差时,判断为可疑资产。
与现有技术相比,本发明具有以下优点:
1、本发明的基于模糊预测的网络可疑资产识别方法,综合考虑网络资产的历史数据、历史异常次数、当前异常数据、当前异常峰值等,将随机的攻击行为转化成客观的数学统计值,以数学算法的形式线性刻画资产的表现,识别并预警可疑资产,减少预警的误报率。
2、通过持续收集扫描网络资产的表现,产生异常行为指标模糊集、异常数据指标模糊集,并且针对不同的网络资产环境,可以自适应地调整更新对应模糊算法模型的参数项和参数权重。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的基于模糊预测的网络可疑资产识别方法的流程图;
图2是本发明实施例二提供的基于模糊预测的网络可疑资产识别方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提及的网络资产包括:服务器、终端主机、打印机、传真机等设备。
实施例一
如图1所示,本发明实施例的基于模糊预测的网络可疑资产识别方法,包含以下步骤:
步骤101,扫描目标网段,获取资产信息、开放的端口信息和资产***版本信息,输出已知资产、未知资产的详细参数清单;具体是:
根据预先配置的扫描信息,匹配到对应的扫描规则,首先探测存活资产,再针对存活资产进行全端口扫描和扫描存活资产***版本信息,输出已知资产、未知资产的详细参数清单,该详细参数清单包括资产IP、开放的端口、开放的服务、资产***版本信息、资产的CPU占用率、内存占用率、磁盘占用率、网络上下行带宽和可疑时间段的访问峰值。常见的资产扫描工具有NMAP、MASSCAN等。
步骤S102,异常监控模块负责监控资产清单中的指标变化;具体是:
异常监控模块集中对资产清单中资产的CPU占用率、内存占用率、磁盘占用率、网络上下行带宽、可疑时间段的访问峰值进行阈值监控。由于下面步骤要利用监听数据,线性刻画被监听资产的CPU占用率等相关性能的指标值,因此需要监听资产信息,如定期发起数据收集指令,可每60秒发出一轮指令。
步骤S103,根据步骤S102获取的资产的CPU占用率、内存占用率、磁盘占用率、网络上下行带宽、可疑时间段(非工作时间)的访问峰值的历史数据和实时数据,发生内网扫描异常行为、开放异常端口行为的异常次数和异常数据,结合模糊预测信任模型,计算出资产的信任值;具体是:
步骤S1031,计算资产的异常行为指标模糊隶属度,参数依据是:资产发生内网扫描行为、发生该行为的持续时间的异常次数,资产开放的异常端口行为的次数和资产发生上下行带宽的时间段为异常时间段的次数;异常行为指标模糊隶属度公式如下:
Figure BDA0002259601360000072
表示资产异常行为指标模糊集,
Figure BDA0002259601360000073
表示
Figure BDA0002259601360000074
的隶属函数,Nj表示当前资产,j表示资产编号,f1(Nj)表示当前资产Nj的异常行为集值,NC表示异常行为的关键元素项数,c表示异常行为的关键元素项种类,i表示自然数,ai表示第i项元素的异常行为次数权重系数,ci表示第i项元素的逻辑值,ai 0表示资产发生异常次数多于阈值情况的权重系数,ai 0与ai相等,ci 0表示第i项元素异常行为次数的逻辑参考值,ci 0取值为1;
步骤S1032,计算资产的异常数据指标模糊隶属度,参数依据是:资产的CPU占用率、内存占用率、磁盘占用率的异常数据,将采集到的实时数据与历史数据做比较,若超出允许的阈值范围的误差,认为资产性能数据异常;异常数据指标模糊隶属度公式如下:
Figure BDA0002259601360000075
Figure BDA0002259601360000076
为误差允许范围,否则
Figure BDA0002259601360000077
表示资产异常数据指标模糊集,表示
Figure BDA00022596013600000710
的隶属函数,Nj表示当前资产,j表示资产编号,f2(Nj)表示当前资产Nj的异常数据集值,nD表示实际获得的关键元素数据不在误差阈值允许范围内的项数,ND表示异常数据的关键元素项数,D表示异常数据的关键元素项种类,k表示自然数,ak表示第k项元素的异常数据权重系数,Dk表示第k项元素的实际值,
Figure BDA00022596013600000711
表示第k项元素的正常参考值;
步骤S1033,异常模糊集整合
将步骤S1031的资产的异常行为指标模糊隶属度和步骤S1032的资产的异常数据指标模糊隶属度进行德摩根数据融合,计算出资产的信任值C,公式如下:
Figure BDA0002259601360000081
由步骤S1031和步骤S1032可以得到资产的异常行为指标模糊隶属度和资产的异常数据指标模糊隶属度两个值,因为攻击往往具有很大的隐蔽性,可能需要通过几轮的监测分析,从而发出可疑预警,既要减少误报率,又要重视预警的速度。因此,将上述的两个隶属度进行德摩根定律整合。假设A表示资产的异常行为指标模糊隶属度,其值为1,B表示资产的异常数据指标模糊隶属度,其值为1,C表示资产的信任值,假设,A在第20轮监听时,超过了阈值误差范围,A值为0,标志着资产异常行为指标模糊集在第20轮监听时,发出预警;B达到第30轮监听的时候,超过了阈值误差范围,B值为0,那么整合后的预警以第20轮的结果开始预警,即
Figure BDA0002259601360000082
即当C首次值为0的时候,发出可疑预警信息。
步骤S104,对资产的信任值进行分析,识别出可疑资产;
资产的信任值超过阈值范围的误差时,判断为可疑资产。
步骤S105,模糊预测信任模型自适应更新,调整异常参数标准项。例如:安全运维人员在具体实施时,根据***最终计算出的信任值及预警,去人为查看对应的目标资产的现状。具体的受攻击排查、木马后门的排查,此部分需要人工完成。比如,当发现被预警的目标主机,经过排查后发现并未找到任何后门和可疑信息,但此时的CPU利用率达到了90%,且90%的利用率是近期才发生的,那么经过运维排查,发现是***开启了一个必要的程序,此时就需要根据此次的误报率,调整CPU利用率的参数权重,将其权重降低。具体的调整,***在前端留有参数权重调整界面,可供用户自行配置各性能指标的参数权重。
为了便于理解,下面举一个具体实例进行解释说明。
实施例二
如图2所示,本实施例的基于模糊预测的网络可疑资产识别方法,在可疑资产识别时包含下面三个阶段:
一、获取关键元素指标值阶段
根据配置的网段进行端口探测,支持调用Nmap、MASSCAN之类的扫描器进行IP存活检测和全端口扫描检测。识别并匹配IP及开放的端口、服务,通过监控器监测已识别主机的CPU、磁盘、内存利用率,网络上下行带宽等参数。输出如下格式的过程数据:{<目标IP,版本信息,端口信息>:<目标IP,CPU占用率,权重系数>、<目标IP,磁盘占用率,权重系数>、<目标IP,内存占用率,权重系数>、<目标IP,上行带宽,权重系数>……}。
二、模糊算法预测阶段
在获取到关键元素的基础上,将目标信息数据集中的元素作为模糊预测的关键元素,并根据其分配的不同权重系数,设置对应的安全预警阈值,一般大于设定阈值的元素为异常数据,具体如下:
模糊集:在模糊集合论中,通常只说一个元素以多大的程度隶属于某个模糊集合,它可以用模糊集合的隶属函数刻画。即设U是论域,
Figure BDA0002259601360000091
是U的一个模糊子集,记
Figure BDA0002259601360000092
Figure BDA0002259601360000093
的隶属函数
Figure BDA0002259601360000094
定义为
Figure BDA0002259601360000096
U→[0,1],其中U的一个全体的讨论对象,即论域,它属于[0,1],在具体应用中,x是具体数值,X是一个集合,及x∈X;
确定某个网络资产是否被攻击,模糊预测算法分别对资产的两个指标隶属度进行检测,分别用映射f1:U→C,f2:U→D表示,U表示资产集合,C表示资产行为模糊集合,D表示数据模糊集合。
Figure BDA0002259601360000102
假设
Figure BDA0002259601360000103
表示资产异常行为指标模糊集,
Figure BDA0002259601360000104
表示资产异常数据指标模糊集,资产Nj的指标集值fm(Nj),j=1,2,3,4…;m=1,2,j表示资产的关键元素项,m=1代表资产行为,m=2代表资产数据,隶属于
Figure BDA0002259601360000105
的隶属函数分别定义如下:
1、资产的异常行为指标模糊隶属度公式如下:
Figure BDA0002259601360000106
Figure BDA0002259601360000107
表示资产异常行为指标模糊集,
Figure BDA0002259601360000108
表示
Figure BDA0002259601360000109
的隶属函数,Nj表示当前资产,j表示资产编号,f1(Nj)表示当前资产Nj的异常行为集值,NC表示异常行为的关键元素项数,c表示异常行为的关键元素项种类,i表示自然数,ai表示第i项元素的异常行为次数权重系数,ci表示第i项元素的逻辑值,监控到当前资产Nj异常次数到达阈值以上ci即为1,否则为0,ai 0表示资产发生异常次数多于阈值情况的权重系数,ai 0与ai相等,ci 0表示第i项元素异常行为次数的逻辑参考值,ci 0取值为1;异常行为的关键元素项有异常扫描、异常峰值、异常端口开放等。
2、资产的异常数据指标模糊隶属度公式如下:
Figure BDA00022596013600001010
Figure BDA00022596013600001011
为误差允许范围,否则
Figure BDA00022596013600001012
Figure BDA00022596013600001013
表示资产异常数据指标模糊集,
Figure BDA00022596013600001014
表示
Figure BDA00022596013600001015
的隶属函数,Nj表示当前资产,j表示资产编号,f2(Nj)表示当前资产Nj的异常数据集值,nD表示实际获得的关键元素数据不在误差阈值允许范围内的项数,ND表示异常数据的关键元素项数,D表示异常数据的关键元素项种类,k表示自然数,ak表示第k项元素的异常数据权重系数,Dk表示第k项元素的实际值,
Figure BDA0002259601360000111
表示第k项元素的正常参考值;异常数据的关键元素项有资产性能的各项指标。
3、异常模糊集整合
利用德摩根定律将上述资产的隶属度加以整合,得出资产的信任值C,公式如下:
Figure BDA0002259601360000112
三、资产展示阶段
计算处理后的可疑资产通过扫描***展示出来,包含总资产数、可疑资产预警展示、资产信任值展示、资产服务展示等内容,***支持更新关键元素类型及其权重系数、关键元素的阈值等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (7)

1.一种基于模糊预测的网络可疑资产识别方法,其特征在于,包含以下步骤:
步骤1,扫描目标网段,获取资产信息、开放的端口信息和资产***版本信息,输出已知资产、未知资产的详细参数清单;
步骤2,异常监控模块负责监控资产清单中的指标变化;
步骤3,根据步骤2获取的资产清单中参数的历史数据和实时数据、异常次数和异常数据,结合模糊预测信任模型,计算出资产的信任值;
步骤4,对资产的信任值进行分析,识别出可疑资产。
2.根据权利要求1所述的基于模糊预测的网络可疑资产识别方法,其特征在于,在步骤4之后,还包括:模糊预测信任模型自适应更新,调整异常参数标准项。
3.根据权利要求1所述的基于模糊预测的网络可疑资产识别方法,其特征在于,所述步骤1的具体实现过程为:
根据预先配置的扫描信息,匹配到对应的扫描规则,首先探测存活资产,再针对存活资产进行全端口扫描和扫描存活资产***版本信息,输出已知资产、未知资产的详细参数清单,该详细参数清单包括资产IP、开放的端口、开放的服务、资产***版本信息、资产的CPU占用率、内存占用率、磁盘占用率、网络上下行带宽和可疑时间段的访问峰值。
4.根据权利要求3所述的基于模糊预测的网络可疑资产识别方法,其特征在于,对资产进行扫描的工具采用NMAP或者MASSCAN。
5.根据权利要求3所述的基于模糊预测的网络可疑资产识别方法,其特征在于,所述步骤2的具体实现过程为:
异常监控模块集中对资产清单中资产的CPU占用率、内存占用率、磁盘占用率、网络上下行带宽、可疑时间段的访问峰值进行阈值监控。
6.根据权利要求5所述的基于模糊预测的网络可疑资产识别方法,其特征在于,所述步骤3中根据步骤2获取的资产的CPU占用率、内存占用率、磁盘占用率、网络上下行带宽、可疑时间段的访问峰值的历史数据和实时数据,发生内网扫描异常行为、开放异常端口行为的异常次数和异常数据,结合模糊预测信任模型,计算出资产的信任值;具体如下:
步骤3.1,计算资产的异常行为指标模糊隶属度,参数依据是:资产发生内网扫描行为、发生该行为的持续时间的异常次数,资产开放的异常端口行为的次数和资产发生上下行带宽的时间段为异常时间段的次数;异常行为指标模糊隶属度公式如下:
Figure FDA0002259601350000021
Figure FDA0002259601350000022
表示资产异常行为指标模糊集,
Figure FDA0002259601350000023
表示
Figure FDA0002259601350000024
的隶属函数,Nj表示当前资产,
j表示资产编号,f1(Nj)表示当前资产Nj的异常行为集值,NC表示异常行为的关键元素项数,c表示异常行为的关键元素项种类,i表示自然数,ai表示第i项元素的异常行为次数权重系数,ci表示第i项元素的逻辑值,ai 0表示资产发生异常次数多于阈值情况的权重系数,ai 0与ai相等,ci 0表示第i项元素异常行为次数的逻辑参考值,ci 0取值为1;
步骤3.2,计算资产的异常数据指标模糊隶属度,参数依据是:资产的CPU占用率、内存占用率、磁盘占用率的异常数据,将采集到的实时数据与历史数据做比较,若超出允许的阈值范围的误差,认为资产性能数据异常;异常数据指标模糊隶属度公式如下:
Figure FDA0002259601350000031
Figure FDA0002259601350000032
为误差允许范围,否则
Figure FDA0002259601350000033
Figure FDA0002259601350000036
表示资产异常数据指标模糊集,
Figure FDA0002259601350000038
表示
Figure FDA0002259601350000037
的隶属函数,Nj表示当前资产,j表示资产编号,f2(Nj)表示当前资产Nj的异常数据集值,nD表示实际获得的关键元素数据不在误差阈值允许范围内的项数,ND表示异常数据的关键元素项数,D表示异常数据的关键元素项种类,k表示自然数,ak表示第k项元素的异常数据权重系数,Dk表示第k项元素的实际值,
Figure FDA0002259601350000034
表示第k项元素的正常参考值;
步骤3.3,异常模糊集整合
将步骤3.1的资产的异常行为指标模糊隶属度和步骤3.2的资产的异常数据指标模糊隶属度进行德摩根数据融合,计算出资产的信任值C,公式如下:
Figure FDA0002259601350000035
7.根据权利要求6所述的基于模糊预测的网络可疑资产识别方法,其特征在于,所述步骤4具体为:所述资产的信任值超过阈值范围的误差时,判断为可疑资产。
CN201911066715.6A 2019-11-04 2019-11-04 基于模糊预测的网络可疑资产识别方法 Pending CN110830467A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911066715.6A CN110830467A (zh) 2019-11-04 2019-11-04 基于模糊预测的网络可疑资产识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911066715.6A CN110830467A (zh) 2019-11-04 2019-11-04 基于模糊预测的网络可疑资产识别方法

Publications (1)

Publication Number Publication Date
CN110830467A true CN110830467A (zh) 2020-02-21

Family

ID=69552655

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911066715.6A Pending CN110830467A (zh) 2019-11-04 2019-11-04 基于模糊预测的网络可疑资产识别方法

Country Status (1)

Country Link
CN (1) CN110830467A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111352761A (zh) * 2020-02-28 2020-06-30 北京天融信网络安全技术有限公司 一种车辆检测方法、装置、存储介质和电子设备
CN112118152A (zh) * 2020-09-02 2020-12-22 紫光云(南京)数字技术有限公司 一种实现网络资产快速扫描的分布式架构
CN114745128A (zh) * 2022-03-28 2022-07-12 中国人民解放军战略支援部队信息工程大学 一种面向网络终端设备的信任估值方法及装置
CN115242463A (zh) * 2022-06-30 2022-10-25 北京华顺信安科技有限公司 一种网络资产动态变更监测方法、***及计算机设备
CN115909674A (zh) * 2023-02-13 2023-04-04 成都秦川物联网科技股份有限公司 基于智慧燃气的报警器与燃气表联动方法和物联网***
CN117724928A (zh) * 2023-12-15 2024-03-19 谷技数据(武汉)股份公司 一种基于大数据的智能运维可视化监控方法及***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106888194A (zh) * 2015-12-16 2017-06-23 国家电网公司 基于分布式调度的智能电网it资产安全监测***
CN108810034A (zh) * 2018-08-20 2018-11-13 杭州安恒信息技术股份有限公司 一种工业控制***信息资产的安全防护方法
CN110213212A (zh) * 2018-05-24 2019-09-06 腾讯科技(深圳)有限公司 一种设备的分类方法和装置
CN110324310A (zh) * 2019-05-21 2019-10-11 国家工业信息安全发展研究中心 网络资产指纹识别方法、***及设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106888194A (zh) * 2015-12-16 2017-06-23 国家电网公司 基于分布式调度的智能电网it资产安全监测***
CN110213212A (zh) * 2018-05-24 2019-09-06 腾讯科技(深圳)有限公司 一种设备的分类方法和装置
CN108810034A (zh) * 2018-08-20 2018-11-13 杭州安恒信息技术股份有限公司 一种工业控制***信息资产的安全防护方法
CN110324310A (zh) * 2019-05-21 2019-10-11 国家工业信息安全发展研究中心 网络资产指纹识别方法、***及设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
曹晓梅: "基于模糊预测的无线传感器网络信任模型", 《计算机应用》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111352761A (zh) * 2020-02-28 2020-06-30 北京天融信网络安全技术有限公司 一种车辆检测方法、装置、存储介质和电子设备
CN111352761B (zh) * 2020-02-28 2023-07-04 北京天融信网络安全技术有限公司 一种车辆检测方法、装置、存储介质和电子设备
CN112118152A (zh) * 2020-09-02 2020-12-22 紫光云(南京)数字技术有限公司 一种实现网络资产快速扫描的分布式架构
CN114745128A (zh) * 2022-03-28 2022-07-12 中国人民解放军战略支援部队信息工程大学 一种面向网络终端设备的信任估值方法及装置
CN115242463A (zh) * 2022-06-30 2022-10-25 北京华顺信安科技有限公司 一种网络资产动态变更监测方法、***及计算机设备
CN115242463B (zh) * 2022-06-30 2023-06-09 北京华顺信安科技有限公司 一种网络资产动态变更监测方法、***及计算机设备
CN115909674A (zh) * 2023-02-13 2023-04-04 成都秦川物联网科技股份有限公司 基于智慧燃气的报警器与燃气表联动方法和物联网***
US11989007B2 (en) 2023-02-13 2024-05-21 Chengdu Qinchuan Iot Technology Co., Ltd. Methods for linkage between alarm based on gas and gas meter and internet of things systems thereof
CN117724928A (zh) * 2023-12-15 2024-03-19 谷技数据(武汉)股份公司 一种基于大数据的智能运维可视化监控方法及***

Similar Documents

Publication Publication Date Title
CN110830467A (zh) 基于模糊预测的网络可疑资产识别方法
CN114584405B (zh) 一种电力终端安全防护方法及***
Xia et al. An efficient network intrusion detection method based on information theory and genetic algorithm
CN102098180B (zh) 一种网络安全态势感知方法
JP2019145107A (ja) 機械学習モデルを用いてeメールネットワークを保護するサイバー脅威防御システム
CN112804196A (zh) 日志数据的处理方法及装置
CN111629006B (zh) 融合深度神经网络和层级注意力机制的恶意流量更新方法
CN111669384B (zh) 融合深度神经网络和层级注意力机制的恶意流量检测方法
CN112819336A (zh) 一种基于电力监控***网络威胁的量化方法及***
CN112491779B (zh) 一种异常行为检测方法及装置、电子设备
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
CN111669385B (zh) 融合深度神经网络和层级注意力机制的恶意流量监测***
CN116366374B (zh) 基于大数据的电网网络管理的安全评估方法、***及介质
CN113554330A (zh) 水文信息平台的安全态势感知模型的训练方法及应用方法
CN117478433B (zh) 一种网络与信息安全动态预警***
CN114172699A (zh) 一种工业控制网络安全事件关联分析方法
CN113612625A (zh) 一种网络故障定位方法及装置
CN116886335A (zh) 一种数据安全管理***
Selim et al. Intrusion detection using multi-stage neural network
CN115567241A (zh) 一种多站点网络感知检测***
CN117807590B (zh) 基于人工智能的信息安全预测及监控***及方法
CN117376030B (zh) 流量异常检测方法、装置、计算机设备及可读存储介质
CN117749448B (zh) 一种网络潜在风险智能预警方法及装置
CN114124526B (zh) 一种结合多层次和熵权法的威胁复杂性分析方法
CN117544420B (zh) 一种基于数据分析的融合***安全管理方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200221

RJ01 Rejection of invention patent application after publication