WO2020248306A1

WO2020248306A1 - 采集代理部署方法及装置

Info

Publication number: WO2020248306A1
Application number: PCT/CN2019/092999
Authority: WO
Inventors: 李凤华; 陈黎丽; 郭云川; 王震; 张玲翠
Original assignee: 中国科学院信息工程研究所
Priority date: 2019-06-13
Filing date: 2019-06-26
Publication date: 2020-12-17
Also published as: CN110430158A; CN110430158B

Abstract

本申请提供一种采集代理部署方法及装置，方法包括：根据目标网络-数据服务库、数据服务-潜在威胁事件属性库、威胁事件-特征信标库和采集代理-威胁检测原子数据项库构建所述网络的威胁-采集树；对于任一所述潜在威胁事件，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取潜在该潜在威胁事件的风险值；根据各所述潜在威胁事件的风险值和所述威胁-采集树，确定各所述设备节点是否为风险点；根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，将所述采集代理部署在所述风险点上。本申请提升数据采集能力，降低数据采集和分析所消耗的资源。

Description

采集代理部署方法及装置

相关申请的交叉引用

本申请要求于2019年6月13日提交的申请号为201910509683.6，发明名称为“采集代理部署方法及装置”的中国专利申请的优先权，其通过引用方式全部并入本申请。

技术领域

本申请属于网络安全技术领域，尤其涉及一种采集代理部署方法及装置。

背景技术

大规模复杂信息网络中存在大量重要设备和***，为了监测这些设备和***的运行状态，及时发现潜在威胁，需要部署采集代理来采集设备和***的运行状态及其产生的海量数据和日志。

现有的采集代理部署方案主要在数据产生与汇聚等节点上部署采集代理。现有部署方式主要考虑网络拓扑或部署成本等因素，一般利用镜像等方式实现数据采集。但这种采集代理部署方式不适用于大规模复杂信息网络，这是因为不同的采集代理的采集能力，以及攻击者的能力是不同的。对于不同采集能力的采集代理和不同攻击能力的攻击者，若在部署时仅考虑考虑网络拓扑或部署成本等因素，容易导致数据的过度采集或欠采集。其中，过度采集指的是在网络中部署大量的采集代理，造成采集数量过多，采集内容冗余，这将消耗大量的部署、采集和维护成本；欠采集指的是采集成本约束下，在重要风险点未部署采集代理或未部署具有相应采集能力的采集代理，而不能获取与威胁密切相关的数据，无法为后续分析潜在威胁事件提供支持。

综上所述，现有的采集代理部署方法仅考虑网络拓扑或部署成本等因素，对于不同采集能力的采集代理和不同攻击能力的攻击者，采用这种方法进行采集代理部署容易造成过度采集或欠采集。

发明内容

为克服上述现有的采集代理部署方法易造成过度采集或欠采集的问题或者至少部分地解决上述问题，本申请实施例提供一种采集代理部署方法及装置。

根据本申请实施例的第一方面，提供一种采集代理部署方法，包括：

根据目标网络-数据服务库、数据服务-威胁事件库、威胁事件-特征信标库和采集代理-威胁检测原子数据项库构建网络的威胁-采集树；其中，目标网络-数据服务库存储目标网络拓扑与目标网络所提供的数据服务之间的对应关系，数据服务-威胁事件库存储数据服务与数据服务面临的潜在威胁事件之间的对应关系，威胁事件-特征信标库存储潜在威胁事件与能发现所述潜在威胁事件的威胁事件特征信标间的对应关系，采集代理-威胁检测原子数据项库存储采集代理与采集代理所能采集的用于检测潜在威胁事件的威胁检测原子数据项的对应关系；

对于任一所述潜在威胁事件，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值；

根据所述潜在威胁事件的风险值和所述威胁-采集树，确定设备节点是否为风险点；

根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，选择部署点并部署采集代理。

根据本申请实施例第二方面提供一种采集代理部署装置，包括：

构建模块，根据目标网络-数据服务库、数据服务-威胁事件库、威胁事件-特征信标库和采集代理-威胁检测原子数据项库构建网络的威胁-采集树；其中，目标网络-数据服务库存储目标网络拓扑与目标网络所提供的数据服务之间的对应关系，数据服务-威胁事件库存储数据服务与数据服务面临的潜在威胁事件之间的对应关系，威胁事件-特征信标库存储潜在威胁事件与能发现所述潜在威胁事件的威胁事件特征信标间的对应关系，采集代理-威胁检测原子数据项库存储采集代理与采集代理所能采集的用于检测潜在威胁事件的威胁检测原子数据项的对应关系；

获取模块，用于对于任一所述潜在威胁事件，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值；

确定模块，用于根据各所述潜在威胁事件的风险值和所述威胁-采集树，确定各所述设备节点是否为风险点；

部署模块，用于根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，选择部署点并部署采集代理。

根据本申请实施例的第三个方面，还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器调用所述程序指令能够执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的采集代理部署方法。

根据本申请实施例的第四个方面，还提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的采集代理部署方法。

本申请实施例提供一种采集代理部署方法及装置，该方法通过依据网络拓扑图、数据服务、潜在威胁事件，计算威胁事件风险值，构建威胁-采集树，确定风险点，并依据风险点、威胁-采集树、采集代理能力、采集约束确定采集代理部署位置，从而提升数据采集能力，降低数据采集和分析所消耗的资源。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作以简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的采集代理部署方法整体流程示意图；

图2为本申请实施例提供的采集代理部署方法中威胁-采集树结构示意图；

图3为本申请又一实施例提供的采集代理部署方法中威胁-采集树结构示意图；

图4为本申请实施例提供的采集代理部署方法中贪心算法流程示意图；

图5为本申请实施例提供的采集代理部署方法中部署算法流程示意图；

图6为本申请实施例提供的采集代理部署方法中采集代理调度策略流程示意图；

图7为本申请实施例提供的采集代理部署装置整体结构示意图。

具体实施方式

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

在本申请的一个实施例中提供一种采集代理部署方法，图1为本申请实施例提供的采集代理部署方法整体流程示意图，该方法包括：S101，根据目标网络-数据服务库、数据服务-威胁事件库、威胁事件-特征信标库和采集代理-威胁检测原子数据项库构建网络的威胁-采集树；其中，目标网络-数据服务库存储目标网络拓扑与目标网络所提供的数据服务之间的对应关系，数据服务-威胁事件库存储数据服务与数据服务面临的潜在威胁事件之间的对应关系，威胁事件-特征信标库存储潜在威胁事件与能发现所述潜在威胁事件的威胁事件特征信标间的对应关系，采集代理-威胁检测原子数据项库存储采集代理与采集代理所能采集的用于检测潜在威胁事件的威胁检测原子数据项的对应关系；

其中，数据服务是指目标网络的设备节点上运行的业务服务，数据服务类型包括但不限于Web服务、FTP服务和数据库服务等。威胁事件是可能会对目标网络造成影响的攻击事件和/或对目标网络已经造成影响的攻击事件，可用一个或多个威胁事件特征属性的任意组合进行描述。

其中，潜在威胁事件属性包括但不限于威胁事件类型、威胁事件等级、威胁事件影响和潜在威胁事件被监测到的置信度。威胁事件类型包括但不限于DDOS(Distributed Denial of Service，分布式拒绝服务)攻击、暴力破解、XSS(Cross-Site Scripting，跨站脚本)攻击、SQL(Structured Query Language，结构化查询语言)注入、蠕虫攻击、木马攻击和流量劫持和欺骗攻击等。威胁事件等级用于表示威胁的严重程度，确定威胁事件等级的方法包括但不限于经验知识和模糊统计。例如，可用离散值度量，用从1到5的整数，数字越大，表示威胁越严重。威胁事件影响指的是威胁事件对目标网络的影响，威胁事件影响可以从目标网络的安全属性进行描述。目标网络的安全属性包括但不限于***的完整性(Integrity)、***的可用性(Availability)和***的机密性(Confidentiality)等。确定威胁事件影响的方法包括但限于专家知识、概率统计和模糊统计。潜在威胁事件被监测到的置信度指的是潜在威胁事件被最小特征信标集合检测到的真实性。确定潜在威胁事件被监测到的置信度的方法包括但不限于专家知识、模糊统计、加权求和和概率分析等。

最小特征信标集合由一个或多个威胁事件特征信标组成，每个最小特征信标集合足以检测到一个潜在威胁事件。需要说明的是，同一个潜在威胁事件可以被一个或多个最小特征信标集合检测出来。其中，威胁事件特征信标是从采集代理的采集项数据中提取的可用于检测潜在威胁事件的威胁检测原子数据项，生成判断潜在威胁事件的原子谓词，利用逻辑连接词连接而成的威胁检测规则。例如，“SYN半连接数>Φ ₁ and TCP流量>Φ ₂”是用于检测DOS攻击的威胁事件特征信标，其中，Φ ₁和Φ ₂是阈值。“SYN半连接数”和“TCP流量”是从采集项数据中可获取的威胁检测原子数据项，“and”是逻辑连接词。威胁事件特征信标如图2中第4层所示。威胁-采集树是利用树的形式将数据服务、潜在威胁事件、威胁事件特征信标和采集代理之间对应关系进行描述，如图2所示。其中，潜在威胁事件的范畴不限于本专利实施例中所涉及的潜在威胁事件，其范围可以更广泛。

S102，对于任一潜在威胁事件，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值；

在计算风险值时，依据潜在威胁事件被监测到的置信度和潜在威胁事件的影响计算威胁事件风险值，计算方法包括但不限于相乘法、矩阵法、加权和法等。确定潜在威胁事件被监测到的置信度的因素包括但不限于威胁检测原子数据项被采集代理监测到的概率和***中设备被攻击的可能性。确定威胁检测原子数据项被采集代理监测到的概率步骤包含但不限于：根据威胁检测原子数据项与采集代理的对应关系，通过随机赋值、固定值选取法、蒙特卡罗模拟法、概率分析等方法确定威胁检测原子数据项被采集代理监测到的概率。确定目标网络中设备节点被攻击的可能性的步骤包含但不限于：根据设备在目标网络***中的位置(例如，距离外网的跳数)，利用随机赋值、固定值选取法、蒙特卡罗模拟法、概率分析等方法确定目标网络中的设备节点被攻击的可能性(例如，距离外网的跳数越少，被攻击者攻击的可能性就越大)。

S103，根据所述潜在威胁事件的风险值和所述威胁-采集树，确定设备节点是否为风险点；

根据潜在威胁事件的风险值、威胁-采集树中威胁事件特征信标与潜在威胁事件的对应关系和威胁检测原子数据项与采集代理的关系确定风险点。首先，对所有潜在威胁事件的风险值进行排序，选取风险值大于第一预设阈值的潜在威胁事件；其次，利用威胁-采集树中的潜在威胁事件与威胁特征信标的对应关系、威胁检测原子数据项与目标网络设备节点的关系，如图2中第3-5层所示，确定能够采集到威胁检测原子数据项的设备节点，这些设备节点即为风险点的位置。

S104，根据所述目标网络中的风险点、所述采集代理的采集能力和预设约束条件，选择部署点并部署采集代理。

依据风险点、威胁-采集树、采集代理能力、采集约束(包括成本约束，QoS约束等)，调用部署点选取算法确定采集代理部署位置。其中，描述风险点的要素包括但不限于：位置、数量、类型等。其中，根据数据服务风险点类型可以分为：Web服务、FTP服务、数据库服和应用程序服务等。采集代理能力是采集代理能够从设备和网络***上获取采集内容的能力。部署约束可以从成本约束和QoS(Quality of Service，服务质量)约束两个方面描述。其中，成本包括但不限于：采集代理的购买成本、部署成本、维护成本和资源成本，其中资源成本包括但不限于电量、带宽、设备当前运行状态等。QoS包括但不限于：采集数据的可用性、吞吐量、采集数据的时延、时延变化、丢包率等。

本实施例通过依据目标网络的拓扑图、数据服务、威胁事件，计算威胁事件风险值，构建威胁-采集树，确定风险点，并依据风险点、威胁-采集树、采集代理能力、采集约束确定采集代理部署位置，从而提升数据采集能力，降低数据采集和分析所消耗的资源。

在上述实施例的基础上，本实施例中在构建所述目标网络的威胁-采集树的步骤之前还包括：获取所述网络的采集项数据；所述采集项数据包括网络流量信息、设备状态信息和日志信息；对所述采集项数据进行分析，从所述采集项数据中提取出关键字段，从所述关键字段中提取出用于检测所述潜在威胁事件的威胁检测原子数据项；其中，所述采集项数据为历史所采集的数据和/或当前采集的数据；对所述威胁检测原子数据项进行分析，生成判断所述潜在威胁事件的原子谓词；使用逻辑连接词将所述原子谓词进行连接，生成能检测所述潜在威胁事件的威胁事件特征信标。

其中，所述的采集项数据包括但不限于网络流量信息(例如，发送数据包的个数、接收数据包的个数等)、设备状态信息(例如，CPU利用率、内存利用率等)和日志信息。其中，日志信息包括但不限于操作***日志数据(例如，Windows***、Linux***等)、目标网络中部署的路由器、交换机等传输设备日志数据(例如，带宽、流量等)、主机上记录的具体服务运行日志数据(例如，SSH、MySQL、HTTP、Web等)和安全设备日志数据(例如，防火墙、IDS等)等。

威胁检测原子数据项是从采集项数据直接采集或间接提取的与潜在威胁事件相关的标志性数据。提取威胁检测原子数据项的方式可以分为对已知威胁事件特征数据提取和对未知威胁事件特征数据提取。其中，对已知威胁事件特征数据的提取方式包括但不限于专家知识库、概率统计、攻击序列模板对比、因果关系和层次式关联分析等；对未知威胁事件特征数据的提取方式包括但不限于模糊统计、贝叶斯网络和机器学习等。其中，所述采集项数据为历史所采集的数据或当前采集的数据。

潜在威胁事件是指从采集项数据中分析出来的对目标网络可能会对目标网络造成影响的攻击事件和/或对目标网络已经造成影响的攻击事件，也可用一个或多个威胁事件特征属性的任意组合进行描述。生成潜在威胁事件特征信标的步骤包含但不限于：第一步，对采集项数据进行分析，提取出关键字段(例如，将非结构化信息转化为结构化等)，从关键字段中提取出可用于检测潜在威胁事件的威胁检测原子数据项；第二步，根据威胁检测原子数据项，通过统计方法学等进行分析，生成判断潜在威胁事件的原子谓词；第三步，根据判断潜在威胁事件的原子谓词，利用逻辑连接词连接，从而生成能检测潜在威胁事件特征信标。威胁事件特征信标与潜在威胁事件的对应关系可以用列表或者构建威胁树的方式进行描述，如图2中第3-4层所示。

在上述实施例的基础上，本实施例中根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值的步骤之前还包括：根据采集代理与采集代理所能采集的用于检测威胁的威胁检测原子数据项的对应关系，确定所述潜在威胁事件特征信标中的威胁检测原子数据项被所述采集代理监测到的概率；根据所述威胁检测原子数据项被所述采集代理监测到的概率，基于概率传递方法，计算该潜在威胁事件的最小特征信标集合所对应的威胁检测原子数据项集合被所述采集代理监测到的概率；其中，该潜在威胁事件对应的最小特征信标集合是由满足如下条件且能检测该潜在威胁事件的威胁事件特征信标所组成的集合：该集合的任意真子集均不能检测所述潜在威胁事件；根据各所述设备节点在网络***中的位置信息和/或设备防御度信息，确定各所述设备节点被攻击的可能性；根据所述设备节点被攻击的可能性，计算所述设备节点上的采集代理获取的威胁检测原子数据项的真实性；根据所述威胁检测原子数据项的真实性，计算所述威胁检测原子数据项对应的最小特征信标集合的真实性；根据所述最小特征信标集合被监测到的概率和所述最小特征信标集合的真实性，确定被所述采集代理监测到的最小威胁特征信标集合对应的潜在威胁事件的置信度。

具体地，确定潜在威胁事件被监测到的置信度主要包括以下步骤：首先，确定威胁检测原子数据项被采集代理监测到的概率和***中设备被攻击的可能性。其次，根据***中设备被攻击的可能性，利用三角范式等方法，计算设备对应采集代理获取采集项数据的真实性与威胁检测原子数据项的真实性。再次，依据威胁检测原子数据项的真实性、威胁事件特征信标，计算确定已监测到数据对应的潜在威胁事件的真实性。最后，根据威胁检测原子数据项被采集代理监测到的概率和已监测到数据对应的潜在威胁事件的真实性，利用加权求和方法，计算出潜在威胁事件被监测到的置信度。

在上述实施例的基础上，本实施例中通过以下公式根据该潜在威胁事件对应的最小特征信标集合被所述采集代理监测到的概率和该潜在威胁事件对应的最小特征信标集合的真实性，确定该潜在威胁事件被所述采集代理监测到的置信度：

其中，p _ψ表示任一所述潜在威胁事件ψ被所述采集代理监测到的置信度，τ _i表示ψ对应的第i个最小特征信标集合，γ(ψ)表示ψ对应的所有最小特征信标集合的集合，

表示τ _i被所述采集代理监测到的概率，

表示τ _i的真实性。

在上述实施例的基础上，本实施例中根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值的步骤之前还包括：对该潜在威胁事件所涉及的所述目标网络的安全属性进行评估；所述安全属性包括完整性、可用性和保密性；根据评估结果确定该潜在威胁事件的影响。

其中，潜在威胁事件影响指的是潜在威胁事件对目标网络的影响，潜在威胁事件影响可以从目标网络的安全属性进行描述。目标网络的安全属性包括但不限于***的完整性(Integrity)、***的可用性(Availability)和***的机密性(Confidentiality)等。对潜在威胁事件所涉及的安全属性进行评估，根据评估结果确定潜在威胁事件的影响。

在上述实施例的基础上，本实施例中根据所述目标网络中的风险点、所述采集代理的采集能力和预设约束条件，将所述采集代理部署在所述风险点上的步骤具体包括：1)构建第一目标函数，并确定所述第一目标函数的约束条件，对所第一目标函数进行求解，获得需要部署的采集代理个数；所述第一目标函数包括：最大化采集效用、最小化采集代理部署成本、最小化采集代理的资源消耗中的任意一个或多个；第一目标函数的约束条件包括：部署采集代理的成本小于部署总预算、采集效用不低于第二预设阈值、采集代理的资源消耗不超过第三预设阈值中的任意一个或多个；2)构建第二目标函数，并确定所述第二目标函数的约束条件，对所述第二目标函数进行求解，获得需要部署的采集代理位置；所述第二目标函数包括攻击者第一收益函数和/或者监测者第一收益函数；所述攻击者第一收益函数包括：最大化攻击者对所述设备节点造成的影响、最大化攻击者被所述采集代理监测到的时间、最大化所述攻击者被监测到时所述设备节点的感染数量中的任意一个或多个；所述监测者第一收益函数包括：最小化所述采集代理的成本、最大化所述采集代理获取的采集项数据的有效性、最小化所述攻击者第一收益函数中的任意一个或多个；所述第二目标函数的约束条件包括：采集代理的个数小于第四预设阈值、各潜在威胁事件导致的风险值小于第五预设阈值、所述采集代理的监测时间小于第六预设阈值中的任意一个或多个；根据所述第二目标函数和所述第二目标函数的约束条件，基于启发式算法或非启发式算法，获取所述采集代理的部署位置。

具体地，采集代理部署主要包括三个步骤：确定采集代理个数、确定采集代理部署点和采集代理实施部署，具体流程如下：

(1)采集代理个数确定：依据成本约束和QoS约束，确定部署采集代理的个数。

确定采集代理个数具体步骤包含但不限于：首先，构建第一目标函数，所构建的第一目标函数包括但不限于：最大化采集效用、最小化采集代理部署成本、最小化采集代理的资源消耗中的任意一个或多个；其次，选择约束条件，约束条件包括但限于：部署采集代理的成本小于部署总预算、采集效用不低于第二预设阈值、采集代理的资源消耗不超过第三预设阈值中的任意一个或多个；最后，求解上述优化第一目标函数，求解第一目标函数的方法包括但不限于：背包算法、多目标规划方程、局部搜索等。需要说明的是，在构建优化第一目标函数中选取作为优化目标的一项，不能出现在约束条件中。例如，第一目标函数为最大化采集效用，则采集效用不低于最低基本效用值不可作为约束条件。

(2)采集代理位置确定：依据风险点、采集代理个数，构建监测者目标函数，确定采集代理的部署点。

确定采集代理位置的具体步骤包含但不限于：首先，构建第二目标函数：①以攻击者角度选择攻击者第一收益函数，攻击者第一收益函数包括但不限于：最大化攻击者对设备节点或网络***造成的影响，最大化攻击者被监测到的时间，最大化攻击者被监测到时设备节点或网络***被感染的数量。②以监测角度选择监测者第一收益函数，监测者第一收益函数包括但不限于：最小化采集成本，最大化采集信息的有效性，最小化攻击者的收益。其次，选择约束条件，约束条件包括但不限于：采集代理的个数小于第四预设阈值、各所述潜在威胁事件的风险值小于第五预设阈值、所述采集代理的监测时间小于第六预设阈值中的任意一个或多个；然后，求解第二目标函数，求解第二目标函数的方法包括但不限于：贪心算法、局部搜索法、模拟退火算法、遗传算法、蚁群算法、粒子群算法、拉格朗日乘数法等。最后，输出部署采集代理位置的编号ID，即为采集代理的部署位置。

(3)采集代理部署：依据(1)(2)的要求，实施部署采集代理。

在上述各实施例的基础上，本实施例中根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，将所述采集代理部署在所述风险点上的步骤之后还包括：根据所述采集代理的部署位置、所述采集代理的能力和攻击者的能力，生成所述采集代理的调度策略。

其中，所述的攻击者能力指的是攻击者对目标***的一组设备节点或数据服务进行攻击时的能力，评价攻击者能力的要素包括但不限于：所能选择的攻击中继点、所能选择的攻击范围、所能选择的攻击路径、所能选择的攻击方式、可利用的漏洞数量。本实施例依据采集代理部署位置、采集代理能力、攻击者能力，调用采集代理调度生成算法，生成采集代理调度策略。

现有采集代理开启策略主要采用被动开启模式和主动开启模式。其中，被动开启模式是指采集代理等待管理者发送的采集启动命令，一旦接收到启动命令后，按照采集命令执行数据采集。主动开启模式是指采集代理依据预先设定方式和当前环境状态自主激活采集代理，进行数据采集。其中，典型主动开启模式为定时或周期式采集，即按照预先设置的采集周期进行数据采集。例如，每5分钟采集一次主机CPU负载。这些采集代理开启策略未有效考虑攻击者能力和攻击时机等因素，从而不能有效地采集数据。例如，攻击者可探测攻击目标网络的拓扑，观测采集代理部署位置和采集代理开启规律(如，攻击者通过扫描、渗透、社会工程学等手段获得部署位置和开启规律)等信息，选取未部署采集代理或未开启采集代理的节点作为攻击目标，从而使其攻击效果最大，破坏采集代理采集数据的有效性，进而使得监测者无法准确分析目标网络安全状态。

本实施例监测者以不同概率选择采集代理组合进行开启，确保攻击者无法观测采集代理开启规律，从而阻止攻击者躲避监测，提升采集代理采集数据的有效性。

在上述实施例的基础上，本实施例中根据所述采集代理的部署位置、所述采集代理的能力和攻击者的能力，生成所述采集代理的调度策略的步骤具体包括：1)构建第三目标函数，并确定所述第三目标函数的约束条件，对所述第三目标函数进行求解，获得需要开启的采集代理个数；所述第三目标函数包括：最大化采集代理开启效用、最小化开启采集代理的所消耗的资源中的任意一个或多个；第三目标函数的约束条件包括：采集代理开启效用不低于第七预设阈、开启采集代理的资源消耗不超过第八预设阈值中的任意一个或多个；2)构建攻击者第二收益函数和监测者第二收益函数，根据所述攻击者第二收益函数和/或所述监测者第二收益函数构建第四目标函数；根据攻击者策略集合、监测者策略集合和调度所述采集代理的个数构建所述第四目标函数的约束条件；所述的攻击者策略集合是攻击者能够选择的行动集合，攻击者的行动集合包括：选取感染源、选择攻击路径、选取攻击目标中的任意一个或多个。所述的监测方策略集合是监测方能够选择的行动集合，监测方的行动集合指的是监测方选取开启哪些采集代理进行监测；根据所述第四目标函数和所述第四目标函数的约束条件，计算所述监测者的混合策略和所述攻击者的混合策略；其中，所述攻击者的混合策略包括所述攻击者选取的攻击策略和所述攻击策略被选取的概率，所述监测者的混合策略为所述监测者选取的监测策略和所述监测策略被选取的概率；根据所述监测者的混合策略，生成所述采集代理的调度策略；其中，所述攻击者第二收益函数依赖于攻击者从开始攻击到被监测者监测到的时间、所述攻击者从开始攻击到被所述监测者监测到时所述攻击者感染的设备节点总数量，和/或，所述攻击者对所述数据服务造成的影响；所述监测者第二收益函数依赖于所述监测者监测到所述攻击者的时间、所述监测者监测到所述攻击者时被感染的节点数量；所述监测者监测到所述攻击者时所述服务数据受到的影响；所述第四目标函数的约束条件包括：所述采集代理开启的个数小于第九预设阈值、所述攻击者的混合策略中策略被选取的概率总和等于1、所述监测者的混合策略中策略被选取的概率总和等于1、所述采集代理的资源消耗量小于第十预设阈值、所述采集代理的运行成本小于第十一预设阈值和所述采集代理的维护成本小于第十二预设阈值中的任意一个或多个。

具体地，本实施例确定采集代理调度策略主要步骤包含但不限于：

(1)确定第三目标函数和约束条件：依据监测者收益函数、攻击者收益函数构建整个***的目标函数；依据攻击者的策略集合、监测者的策略集合、调度采集代理的个数构建约束条件。双方的收益函数是双方依据其所属类型和选择的行动可获得的收益，收益函数包括攻击者收益函数、监测者收益函数中的一个或两个。

所述的攻击策略集合是攻击者能够选择的行动集合，攻击者的行动集合包括但不限于：选取感染源、选择攻击路径、选取攻击目标。所述的监测方策略集合是监测方能够选择的行动集合，监测方的行动集合指的是监测方选取开启哪些采集代理进行监测。

构建第四目标函数的步骤包含但不限于：首先，确定参与双方各自的收益函数，其中，①攻击者第二收益函数包括但不限于：攻击者从开始攻击到被监测者发现的时间；攻击者从开始攻击到被监测者发现时，攻击者一共感染节点数量；攻击者对服务数据造成影响等。②监测者第二收益函数包括但不限于：监测者监测到攻击的时间；监测者监测到攻击时被感染的节点数量；监测者监测到攻击是数据服务受到的影响。其次，构建第四目标函数，根据参与双方的收益函数，利用加权求和等方法计算期望收益，该期望收益即为***目标函数。

约束条件包括但不限于：采集代理开启的个数小于预设阈值、攻击者混合策略中每条策略的概率总和等于1、监测者混合策略中每条策略的概率总和等于1、资源消耗量小于第七预设阈值(例如，安装采集代理所的五个设备的剩余电量分别为20％、45％、50％、75％、90％，为了增加采集代理的运行时间，根据设备节点当前的电量有选择的开启五个设备节点中一个或多个组合)、运行成本小于第八预设阈值(开启每个采集代理都会消耗一定的成本，如人力、财力、时间等)、维护成本小于第九阈值(维护采集代理的正常运行也会消耗一定的成本，如人力、财力、时间等)。

(2)生成调度策略：依据整个***的目标函数、约束条件，求解目标函数，获得混合策略，即开启不同采集代理组合的概率。

其中，所述的混合策略是参与双方以一定的概率值选取的策略，即监测者以一定的概率值选取监测策略，攻击者以一定的概率值选取攻击策略。求解目标函数的步骤包含但不限于：第一步，初始化参与双方的一条或几条策略，初始化的方式包括：随机选取、度中心性等。第二步，求解当前策略集的目标函数，求解目标函数的方法包括但不限于：线性规划、梯度下降法、贪心算法、局部搜索法、模拟退火算法、遗传算法、蚁群算法、粒子群算法等。求解目标函数可以分为三种情况讨论：①当参与双方的策略集合规模均小于预设阈值时，参与双方的初始策略是全部策略，可以通过线性规划方法直接求解，求出最佳目标函数值和双方混合策略；②当参与双方的策略集合规模均大于预设阈值时，参与方的初始策略是全部策略的一部分，通过目标函数求解方法直接求出选取当前策略的概率，并将其作为下一步的基准，在此基准上参与双方从各自策略集合中选取新的策略添加到原有的策略集合中，再重新调用通过上述目标函数求解方法求解基于新策略的目标函数值，循环至参与双方备选策略集合为空，最后求出最佳目标函数值和双方混合策略。③当参与双方中的一方策略集合规模大于预设阈值时，策略集规模小的参与方的初始策略是全部策略，策略集规模大的参与方的初始策略是全部策略的一部分，通过目标函数求解方法直接求出选取当前策略的概率，并将其作为下一步的基准，在此基准上从策略结合规模大的备选策略集合中选取新的策略添加到原有的策略集合中，再重新调用通过上述目标函数求解方法求解基于新策略的目标函数值，循环至参与双方备选策略集合为空，最后求出最佳目标函数值和双方混合策略。

以下为采集代理部署方法的举例。本实施例需要用到的符号及含义如表1所示。

表1 符号含义表

假设在目标网络拓扑中，共有5个可以部署采集代理的设备。其中，s1代表防火墙，其上运行的数据服务是UFW服务；s2和s3代表管理服务器，其上均运行的数据服务是SSH服务；s4代表web服务器其上运行的数据服务是Apache HTTP服务；s5代表数据库，其上运行的数据服务是MySQL服务。根据web网络OWASP中top10选取排名靠前的4类作为本实施例的网络潜在威胁事件，其中，1表示暴力破解，2表示DDOS攻击，3表示XSS攻击，4表示SQL注入。

1、风险点确定：依据目标网络拓扑图、数据服务、威胁事件，计算威胁事件风险值，构建威胁-采集树，确定风险点。

(1)威胁事件特征信标生成：数据服务类型根据目标网络拓扑中设备中运行的服务为例，包括UFW服务，SSH服务，Apache HTTP服务， MySQL服务。可获取的采集项数据可以分为三类：网络流量信息(例如，发送数据包的个数、接收数据包的个数等)、设备状态信息(例如，CPU利用率、内存利用率等)和日志信息。其中日志信息包括但不限于：SSH日志信息、MySQL日志信息、HTTP日志信息、Web日志信息、防火墙、IDS等。根据上述提取方法从采集项数据中提取特征数据，形成威胁事件特征信标集合。

以应用日志(SSH日志)为例，生成潜在威胁事件“暴力破解”的特征信标的过程如下：

第一步，对采集项数据进行分析，提取出关键字段，从关键字段中提取出可用于检测威胁的威胁检测原子数据项：“failed password”。

第二步，通过对多条采集项数据SSH连接失败日志数据中“暴力破解”事件威胁事件特征标志性数据进行提取，使用统计学方法进行分析，生成判断潜在威胁事件的原子谓词“SSH尝试失败次数>阈值”。

第三步，利用逻辑连接词连接而成的威胁检测规则：“SSH尝试失败次数>阈值”and“SSH开始尝试次数>阈值”本实施例中的其他威胁事件特征信标的详细提取过程就不再进行累述，直接给出本实施例的威胁事件特征信标如下：

SSH尝试失败次数>阈值

SSH开始尝试次数>阈值

Syn半连接个数>阈值

XXS尝试通过资源上的URL字符串/logfile/index.php？page＝capture_data.php

XXS尝试通过表格NET_STAT_INFO注入

XXS尝试通过资源上的URL字符串/logfile/index.php

包含MySQL版本的字符串

接收到网络数据包的个数>正常值

HTTP PHP文件POST请求

MySQL注入HTTP获取尝试

CPU利用率>正常值

表格NET_STAT_INFO尝试SQL注入

MySQL注入类型询问

威胁事件特征信标和采集代理之间的对应关系可以用一个威胁-采集树进行表示，如图3所示。

(2)风险值计算：依据威胁事件特征被监测到的置信度和潜在威胁事件的影响计算潜在威胁事件风险值，计算方法包括但不限于：相乘法、矩阵法、加权和法等。

计算潜在威胁事件被监测到的置信度的步骤如下：

首先，确定最小特征信标集合被采集代理监测到的概率：根据威胁检测原子数据项与采集代理的关系，通过随机赋值方法，确定威胁检测原子数据项被采集代理监测到的概率，在利用概率传递、概率计算方法，计算最小特征信标集合被监测到的概率，如表2所示。

根据图3可知，威胁事件特征信标与采集代理的关系如下：

表2 最小特征信标集合被采集代理监测到的概率

以跳数作为衡量设备的物理位置距离网络边缘的标准，数据库一般存放的物理位置距离网络边缘比较远，且逻辑访问关系的限制会比较多，则数据库服务器被攻击的可能性大，防火墙数据一般处于内网与外网的边缘，且容易受到非法访问和攻击，则防火墙被攻击的可能性小。根据***中设备被攻击的可能性，利用三角范式，确定设备对应采集代理获取采集项数据的真实性和威胁检测原子数据项的真实性，真实性的取值范围在0～1之间，其中，采集项数据中无法按照威胁特征信标进行生成有效信标时，默认情况下该数据服务的真实性为0。需要说明的是，使用0.1～0.3表示真实性小，0.4～0.6表示真实性中等，0.7～0.9表示真实性大。因此，部署在数据库服务器上的采集代理获取威胁检测原子数据的真实性为0.9，部署在防火墙服务器上的采集代理获取威胁检测原子数据的真实性为0.3。每个威胁检测原子数据项真实性与生成它的采集代理的真实性保持一致，如表 3所示。

表3 采集代理的真实性

再次，根据威胁检测原子数据项的真实性、威胁事件特征信标，通过模糊统计、概率分析等方法，确定已监测到数据对应的潜在威胁事件的真实性，由于每个威胁检测原子数据项是由不同的采集代理采集的采集项数据生成的，那么每个威胁检测原子数据项真实性与生成它的采集代理的真实性保持一致。当最小特征信标集合包含了两个或两个以上的特征信标，则以最低的真实性作为整个最小特征信标集合的真实性，例如最小特征信标

中

来自s2，s2的真实性为0.3，

来自s3，s3的真实性为0.5，因此最小特征信标

的真实性为0.3。最小特征信标集合的真实性如表4所示。

表4 被采集代理监测到的最小特征信标集合的真实性

最后，根据被监测到的威胁检测原子数据项的概率和已监测到数据对应的潜在威胁事件的置信度，利用加权求和方法，计算出潜在威胁事件被采集代理监测到的置信度，公式如下：

表示τ _i被所述采集代理监测到的概率，

表示τ _i的真实性。

潜在威胁事件被采集代理监测到的置信度分别为：

P _ψ1＝(1-0.3*0.3)(1-0.3*0.8)＝0.6916

P _ψ2＝(1-0.5*0.5)(1-0.7*0.5)(1-0.5*0.8)＝0.75*0.65*0.6＝0.2925

P _ψ3＝(1-0.3*0.5)(1-0.3*1)(1-0.3*0.3)＝0.85*0.7*0.91＝0.54145

P _ψ4＝(1-0.3*0.9)(1-0.5*0.3)(1-0.9*0.8)＝0.73*0.85*0.28＝0.17374

在本实施例中，潜在威胁事件影响主要以安全属性角度对其进行描述，主要可以包括三个方面对其进行评估：***机密性(Confidentiality)、系统完整性(Integrity)、***可用性(Availability)。以上三个方面的取值分别在在0～5之间，影响级别在I级～V级之间，I级代表极低影响，II级代表低影响，III级代表中影响，IV级代表高影响，V级代表极高影响。通过对三个方面的考虑，同时参照OWASP中top10列表中的信息，给出本算例中每个潜在威胁事件的影响值，如表5所示。

表5 潜在威胁事件影响值

通过以下公式计算潜在威胁事件ψ的风险值：

Utility _attacker＝Risk＝P _ψ×I _ψ；

其中，P _ψ表示潜在威胁事件ψ被采集代理监测到的置信度，I _ψ表示潜在威胁事件ψ的影响值。

根据潜在威胁事件被检测到的置信度和潜在威胁事件的影响计算出潜在威胁事件风险值表示如下：

潜在威胁事件ψ ₁的风险值：Risk _ψ1＝0.6916*14＝9.6824

潜在威胁事件ψ ₂的风险值：Risk _ψ2＝0.2925*20＝5.85

潜在威胁事件ψ ₃的风险值：Risk _ψ3＝0.54145*5＝2.70725

潜在威胁事件ψ ₄的风险值：Risk _ψ4＝0.17374*10＝1.7374

(3)风险点确定

首先，根据(2)中计算的潜在威胁事件风险值，选取出风险值大于阈值1.5的潜在威胁事件。后续简化等式的表述，使用函数R来替代Risk _ψ，S _d表示采集代理的部署集合。

其次，根据威胁-采集树中的第3-5层给出了潜在威胁事件与威胁特征信标的对应关系和威胁特征信标与目标网络设备节点的关系。因此，潜在威胁事件ψ ₁对应的威胁特征信标是

和

ψ ₂对应的威胁特征信标是

和

ψ ₃对应的威胁特征信标是

和

ψ ₄对应的威胁特征信标是

和

威胁特征信标

对应的网络设备节点是v ₁，威胁特征信标

和

对应的网络设备节点是v ₂，威胁特征信标

和

对应的网络设备节点是v ₃，威胁特征信标

和

对应的网络设备节点是v ₄，威胁特征信标

对应的网络设备节点是v ₅最后，确定风险点为网络设备节点是v ₁、v ₂、v ₃、v ₄、v ₅。

2、采集代理部署：

(1)采集代理个数确定

首先选择最大化采集效用为目标方程，即使采集代理获取的威胁检测原子数据项能够尽可能多的检测出潜在威胁事件，选择所有部署采集代理的金额之和小于总预算、采集代理的资源消耗不超过预设值，根据背包算法计算第一目标函数。

(2)采集代理位置确定：采集代理的类型选取采集代理能力无差异的同质内嵌式采集代理，由于部署的设备类型不同，设备上运行的数据服务的不同，因此只考虑采集项数据存在差异。

本实施例中要考虑到敌对环境的设置，因此针对本实施例中确定采集代理的位置，即第二目标函数的优化，监测者最小化攻击者的最大化攻击影响。在本实施例中，选取确定采集代理位置的方式使用贪心算法。选取一个尽可能小的数值z，对于每个z的取值，可找到成本最低的集合S _d，对于所有的潜在威胁事件i可以满足R _i(S _d)≤z对于z>0，有如下定义：

最初的函数R _i在z的位置被截断，其平均值是：

首先，计算出该问题中所能取到的最大值z _max和最小值z _min，其中，最大值z _max是当所有采集代理都没有部署时，攻击方效用值最大，最小值z _min是当所有设备节点上都部署上采集代理，攻击方效用最小。其次，求出最大值z _max和最小值z _min的平均值z，同时，针对任意一组采集代理集合S _d都可以计算出对应的收益

再次，调用贪心算法，根据均值z与

依次找出每一轮中增量绝对值最大的设备节点ID的组合，并且将其赋值给S _dbest；若所选采集代理个数不满足3个时，则使用z当前的取值赋给z _max或z _min。最后，再次调用贪心算法算法，依次循环来找到满足目标函数的部署集合。需要注意的是，每次调用贪心算法时，都是从空集开始的。计算结果为设备标号为1、3、4，这三个点即为部署位置。贪心算法如图4所示，采集代理部署算法流程图5所示。

(3)采集代理部署：根据(2)中的计算，将采集代理部署在v ₁、v ₃、v ₄的设备节点上。

以下为采集代理调度方法的举例。

假设在目标网络拓扑中，有7个节点分别为：V＝{v0,……,v6}，每一个节点代表一个已经部署的采集代理。采集代理的能力为采集代理本身能够获取采集项数据的能力，攻击者能力为攻击者可以选择目标网络中的任意一个节点作为传播病毒的传染源。其中，监测者的策略为从目标网络7个设备节点中选取k个采集代理进行开启，监测者共有c(k,n)条备选策略。攻击者的策略为从目标网络7个节点中选取一个点作为感染源点，攻击者共有7条备选策略。策略空间集合阈值设为20。采集代理开启个数k要小于预阈值，可以通过构建第三目标函数和约束条件进行求解确定，本实施中为了便于计算，k值设为3，监测者从备选策略中选取每条策略的概率总和为1。

以上述场景为例来说明：

(1)确定第四目标函数和约束条件：

本实施例中监测者第二收益函数选择最小化攻击者被监测者监测到的时间，即检测者尽早监测攻击者，攻击者第二收益函数选择最大化监测者的收益函数。根据监测者和攻击者双方的收益函数，利用加权求和的方法计算期望收益，构建整个***的第四目标函数。

监测者第二收益函数P _D＝τ(A,D)，攻击者第二收益函数P _A＝-(P _D)。其中，A表示任一攻击者策略，D表示任一监测策略，τ表示当监测者选择D，攻击者选择A时，攻击者被监测者监测到的时间。

给定监测者的混合策略x和攻击者选择的攻击策略A，攻击者的期望收益为：

其中，

是标识变量，如果

即监测者未检测到攻击感染事件，z _D,A＝1。反之，z _D,A＝0。

同样，给定攻击者的混合策略y和监测者策略D，攻击者的期望收益为：

当双方都是混合策略时，攻击者的期望收益为：

整个***的第四目标函数如下：

双方策略的限制条件如第四目标函数中的等式和不等式。其中，A是攻击者选取的攻击策略；D是监测者选取的监测策略；U为***目标函数；U _d为监测者的收益函数；x是监测者的混合策略，能够以x _D的概率选取备选策略集合

中的一条策略D。

(2)生成调度策略：

根据策略空间集合预设置20，判断策略空间集合的规模。攻击者策略集合规模为7，监测者策略集合规模为35，因此，符合求解目标函数的第③种情况：参与双方中的一方策略集合规模大于预设阈值。

求解第四目标函数的步骤如下：第一步，攻击者的策略共有7条备选策略，可将全部策略{v0},{v1},{v2},{v3},{v4},{v5},{v6}作为攻击者初始策略；使用随机选取的方法初始化监测者，从监测者的c(3,7)条全部备选策略中随机选取一条策略{v4,v5,v3}作为监测者初始策略。第二步，根据初始策略可使用线性规划计算出当前目标函数收益、监测者当前混合策略、攻击者当前混合策略，并将上述三者作为基准，在此基准上利用贪心算法查找能够改善目标函数收益的新的监测者策略，循环制参与双方备选策略集合为空，求解最终第四目标函数收益和监测者调度采集代理的混合策略。采集代理调度策略流程如图6所示。

监测者的混合策略为：选取策略{v2,v5,v6}的概率为0.278624，选取{v3,v5,v6}的概率为0.0248471，选取{v0,v3,v6}的概率为0.246089，选取{v2,v3,v6}的概率为0.029415，选取{v2,v3,v5}的概率为0.162656，选取{v1,v3,v4}的概率为0.230108，选取{v3,v4,v6}的概率为0.0282604。

在本申请的另一个实施例中提供一种采集代理部署装置，该装置用于实现前述各实施例中的方法。因此，在前述采集代理部署方法的各实施例中的描述和定义，可以用于本申请实施例中各个执行模块的理解。图7为采集代理部署装置整体结构示意图，该装置包括构建模块701、获取模块702、确定模块703和部署模块704；其中：

构建模块701用于根据目标网络-数据服务库、数据服务-威胁事件库、威胁事件-特征信标库和采集代理-威胁检测原子数据项库构建网络的威胁-采集树；其中，目标网络-数据服务库存储目标网络拓扑与目标网络所提供的数据服务之间的对应关系，数据服务-威胁事件库存储数据服务与数据服务面临的潜在威胁事件之间的对应关系，威胁事件-特征信标库存储潜在威胁事件与能发现所述潜在威胁事件的威胁事件特征信标间的对应关系，采集代理-威胁检测原子数据项库存储采集代理与采集代理所能采集的用于检测潜在威胁事件的威胁检测原子数据项的对应关系；获取模块702用于对于任一所述潜在威胁事件，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值；确定模块703用于根据所述潜在威胁事件的风险值和所述威胁-采集树，确定设备节点是否为风险点；部署模块704用于根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，选择部署点并部署采集代理。

本实施例通过依据目标网络拓扑图、数据服务、威胁事件，计算威胁事件风险值，构建威胁-采集树，确定风险点，并依据风险点、威胁-采集树、采集代理能力、采集约束确定采集代理部署位置，从而提升数据采集能力，降低数据采集和分析所消耗的资源。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims

一种采集代理部署方法，其特征在于，包括：

根据目标网络-数据服务库、数据服务-威胁事件库、威胁事件-特征信标库和采集代理-威胁检测原子数据项库构建网络的威胁-采集树；其中，目标网络-数据服务库存储目标网络拓扑与目标网络所提供的数据服务之间的对应关系，数据服务-威胁事件库存储数据服务与数据服务面临的潜在威胁事件之间的对应关系，威胁事件-特征信标库存储潜在威胁事件与能发现所述潜在威胁事件的威胁事件特征信标间的对应关系，采集代理-威胁检测原子数据项库存储采集代理与采集代理所能采集的用于检测潜在威胁事件的威胁检测原子数据项的对应关系；

对于任一所述潜在威胁事件，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值；

根据所述潜在威胁事件的风险值和所述威胁-采集树，确定设备节点是否为风险点；

根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，选择部署点并部署采集代理。
根据权利要求1所述的采集代理部署方法，其特征在于，在构建所述目标网络的威胁-采集树的步骤之前还包括：

获取所述网络的采集项数据；所述采集项数据包括网络流量信息、设备状态信息和日志信息；

对所述采集项数据进行分析，从所述采集项数据中提取出关键字段，从所述关键字段中提取出用于检测所述潜在威胁事件的威胁检测原子数据项；其中，所述采集项数据为历史所采集的数据和/或当前采集的数据；

对所述威胁检测原子数据项进行分析，生成判断所述潜在威胁事件的原子谓词；

使用逻辑连接词将所述原子谓词进行连接，生成能检测所述潜在威胁事件的威胁事件特征信标。
根据权利要求2所述的采集代理部署方法，其特征在于，根据该潜在威胁事件被所述采集代理所监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值的步骤之前还包括：

根据采集代理与采集代理所能采集的用于检测威胁的威胁检测原子数据项的对应关系，确定所述潜在威胁事件特征信标中的威胁检测原子数据项被所述采集代理监测到的概率；

根据所述威胁检测原子数据项被所述采集代理监测到的概率，基于概率传递方法，计算该潜在威胁事件的最小特征信标集合所对应的威胁检测原子数据项集合被所述采集代理监测到的概率；其中，该潜在威胁事件对应的最小特征信标集合是由满足如下条件且能检测该潜在威胁事件的威胁事件特征信标所组成的集合：该集合的任意真子集均不能检测所述潜在威胁事件；

根据各所述设备节点在网络***中的位置信息和/或设备防御度信息，确定各所述设备节点被攻击的可能性；根据所述设备节点被攻击的可能性，计算所述设备节点上的采集代理获取的威胁检测原子数据项的真实性；

根据所述威胁检测原子数据项的真实性，计算所述威胁检测原子数据项对应的最小特征信标集合的真实性；

根据所述最小特征信标集合被监测到的概率和所述最小特征信标集合的真实性，确定被所述采集代理监测到的最小威胁特征信标集合对应的潜在威胁事件的置信度。
根据权利要求3所述的采集代理部署方法，其特征在于，通过以下公式根据该潜在威胁事件对应的最小特征信标集合被所述采集代理监测到的概率和该潜在威胁事件对应的最小特征信标集合的真实性，确定该潜在威胁事件被所述采集代理监测到的置信度：

其中，p _ψ表示任一所述潜在威胁事件ψ被所述采集代理监测到的置信度，τ _i表示ψ对应的第i个最小特征信标集合，γ(ψ)表示ψ对应的所有最小特征信标集合的集合，
表示τ _i被所述采集代理监测到的概率，
表示τ _i的真实性。
根据权利要求1所述的采集代理部署方法，其特征在于，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值的步骤之前还包括：

对该潜在威胁事件所涉及的所述网络的安全属性进行评估；所述安全属性包括完整性、可用性和保密性；

根据评估结果确定该潜在威胁事件的影响。
根据权利要求1所述的采集代理部署方法，其特征在于，根据各所述潜在威胁事件的风险值和所述威胁-采集树，确定各所述设备节点是否为风险点的步骤具体包括：

从所有所述潜在威胁事件中选择出所述风险值大于第一预设阈值的潜在威胁事件；

根据所述威胁-采集树，确定所述潜在威胁事件对应的威胁事件特征信标和能采集所述威胁事件特征信标所对应的威胁检测原子数据项的采集代理，将所述采集代理所在的设备节点作为所述风险点。
根据权利要求1所述的采集代理部署方法，其特征在于，根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，选择部署点并部署采集代理的步骤具体包括：

1)构建第一目标函数，并确定所述第一目标函数的约束条件，对所第一目标函数进行求解，获得需要部署的采集代理个数；

所述第一目标函数包括：最大化采集效用、最小化采集代理部署成本、最小化采集代理的资源消耗中的任意一个或多个；

第一目标函数的约束条件包括：部署采集代理的成本小于部署总预算、采集效用不低于第二预设阈值、采集代理的资源消耗不超过第三预设阈值中的任意一个或多个；

2)构建第二目标函数，并确定所述第二目标函数的约束条件，对所述第二目标函数进行求解，获得需要部署的采集代理位置；

所述第二目标函数包括攻击者第一收益函数和/或者监测者第一收益函数；

所述攻击者第一收益函数包括：最大化攻击者对所述设备节点造成的影响、最大化攻击者被所述采集代理监测到的时间、最大化所述攻击者被监测到时所述设备节点的感染数量中的任意一个或多个；

所述监测者第一收益函数包括：最小化所述采集代理的成本、最大化所述采集代理获取的采集项数据的有效性、最小化所述攻击者第一收益函数中的任意一个或多个；所述第二目标函数的约束条件包括：采集代理的个数小于第四预设阈值、各潜在威胁事件导致的风险值小于第五预设阈值、所述采集代理的监测时间小于第六预设阈值中的任意一个或多个；

根据所述第二目标函数和所述第二目标函数的约束条件，基于启发式算法或非启发式算法，获取所述采集代理的部署位置。
根据权利要求1-7任一所述的采集代理部署方法，其特征在于，根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，将所述采集代理部署在所述风险点上的步骤之后包括：

根据所述采集代理的部署位置、所述采集代理的能力和攻击者的能力，生成所述采集代理的调度策略。
根据权利要求8所述的采集代理部署方法，其特征在于，根据所述采集代理的部署位置、所述采集代理的能力和攻击者的能力，生成所述采集代理的调度策略的步骤具体包括：

1)构建第三目标函数，并确定所述第三目标函数的约束条件，对所述第三目标函数进行求解，获得需要开启的采集代理个数；

所述第三目标函数包括：最大化采集代理开启效用、最小化开启采集代理的所消耗的资源中的任意一个或多个；

第三目标函数的约束条件包括：采集代理开启效用不低于第七预设阈值、开启采集代理的资源消耗不超过第八预设阈值中的任意一个或多个；

2)构建攻击者第二收益函数和监测者第二收益函数，根据所述攻击者第二收益函数和/或所述监测者第二收益函数构建第四目标函数；

根据攻击者策略集合、监测者策略集合和调度所述采集代理的个数，构建所述第四目标函数的约束条件；

所述的攻击者策略集合是攻击者能够选择的行动集合，攻击者的行动由选取感染源、选择攻击路径、选取攻击目标中的任意一个或多个构成；

所述的监测者策略集合是监测者能够选择的行动集合，监测者的行动是指监测者选取开启用于监测的采集代理；根据所述第四目标函数和所述第四目标函数的约束条件，计算所述监测者的混合策略和所述攻击者的混合策略；其中，所述攻击者的混合策略包括所述攻击者选取的攻击策略和所述攻击策略被选取的概率，所述监测者的混合策略为所述监测者选取的监测策略和所述监测策略被选取的概率；

根据所述监测者的混合策略，生成所述采集代理的调度策略；

其中，所述攻击者第二收益函数依赖于攻击者从开始攻击到被监测者监测到的时间、所述攻击者从开始攻击到被所述监测者监测到时所述攻击者感染的设备节点总数量和/或所述攻击者对所述数据服务造成的影响；

所述监测者第二收益函数依赖于所述监测者监测到所述攻击者的时间、所述监测者监测到所述攻击者时被感染的节点数量；所述监测者监测到所述攻击者时所述服务数据受到的影响；

所述第四目标函数的约束条件包括：所述采集代理开启的个数小于第九预设阈值、所述攻击者的混合策略中策略被选取的概率总和等于1、所述监测者的混合策略中策略被选取的概率总和等于1、所述采集代理的资源消耗量小于第十预设阈值、所述采集代理的运行成本小于第十一预设阈值和所述采集代理的维护成本小于第十二预设阈值中的任意一个或多个。
一种采集代理部署装置，其特征在于，包括：

构建模块，根据目标网络-数据服务库、数据服务-威胁事件库、威胁事件-特征信标库和采集代理-威胁检测原子数据项库构建网络的威胁-采集树；其中，目标网络-数据服务库存储目标网络拓扑与目标网络所提供的数据服务之间的对应关系，数据服务-威胁事件库存储数据服务与数据服务面临的潜在威胁事件之间的对应关系，威胁事件-特征信标库存储潜在威胁事件与能发现所述潜在威胁事件的威胁事件特征信标间的对应关系，采集代理-威胁检测原子数据项库存储采集代理与采集代理所能采集的用于检测潜在威胁事件的威胁检测原子数据项的对应关系；

获取模块，用于对于任一所述潜在威胁事件，根据该潜在威胁事件被所述采集代理监测到的置信度和该潜在威胁事件的影响，获取该潜在威胁事件的风险值；

确定模块，用于根据所述潜在威胁事件的风险值和所述威胁-采集树，确定设备节点是否为风险点；

部署模块，用于根据所述网络中的风险点、所述采集代理的采集能力和预设约束条件，选择部署点并部署采集代理。