專(zhuān)利名稱(chēng):一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域���,尤其涉及一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)及方法。
背景技術(shù):
互聯(lián)網(wǎng)(Internet)的飛速發(fā)展���,為信息的傳播和利用帶來(lái)了極大的便利����,同時(shí)也 使人類(lèi)社會(huì)面臨著信息安全的巨大挑戰(zhàn)���。為了緩解日益嚴(yán)重的安全問(wèn)題�����,入侵檢測(cè)設(shè)備 (Intrusion Detection System, IDS)得到了越來(lái)越廣泛的應(yīng)用。入侵檢測(cè)設(shè)備安裝在被 保護(hù)的網(wǎng)段中�,其監(jiān)聽(tīng)網(wǎng)卡工作在混雜模式下����,分析網(wǎng)段中所有的數(shù)據(jù)包,進(jìn)行網(wǎng)絡(luò)安全事 件的實(shí)時(shí)檢測(cè)和響應(yīng)�����。目前入侵檢測(cè)設(shè)備普遍采用誤用檢測(cè)技術(shù),其檢測(cè)方法為首先對(duì)標(biāo) 識(shí)特定的入侵行為模式進(jìn)行編碼,建立誤用模式庫(kù)��,然后對(duì)實(shí)際檢測(cè)過(guò)程中得到的事件數(shù) 據(jù)進(jìn)行過(guò)濾�����,檢查是否包含入侵行為的標(biāo)識(shí),是則認(rèn)為有入侵行為����。如果檢測(cè)到入侵行為���, 則產(chǎn)生一條對(duì)應(yīng)的安全日志���,其中包含了入侵行為發(fā)起方地址(源地址)���、入侵行為目標(biāo)方 地址(目的地址)����、入侵行為描述(事件類(lèi)型)等信息�。入侵檢測(cè)設(shè)備的大量引入一方面保護(hù)了信息系統(tǒng)的安全,另一方面也帶來(lái)了新的 問(wèn)題。連續(xù)運(yùn)行的入侵檢測(cè)設(shè)備會(huì)產(chǎn)生海量的日志,而真正有價(jià)值的報(bào)警信息被淹沒(méi)在海 量日志中。由于報(bào)警量大�、不相關(guān)報(bào)警多����,安全管理人員的大部分精力被耗費(fèi)在處理無(wú)用信 息上���,難以從整體上評(píng)估當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)����。目前的現(xiàn)有技術(shù)中�����,有的解決方案是從入侵檢測(cè)系統(tǒng)報(bào)警綜合評(píng)估得到網(wǎng)絡(luò)攻擊 態(tài)勢(shì)評(píng)估指標(biāo)入手,應(yīng)用支持向量回歸的預(yù)測(cè)方法對(duì)網(wǎng)絡(luò)攻擊態(tài)勢(shì)評(píng)估指標(biāo)進(jìn)行時(shí)間序列 預(yù)測(cè)�。該方案能夠根據(jù)歷史攻擊態(tài)勢(shì)指標(biāo),來(lái)預(yù)測(cè)下一時(shí)刻的攻擊態(tài)勢(shì)指標(biāo),但無(wú)法做出下 一時(shí)刻攻擊態(tài)勢(shì)是否正常的判斷�����。而且�����,在指標(biāo)選取上只考慮了報(bào)警數(shù)量���,難以準(zhǔn)確量化網(wǎng) 絡(luò)攻擊行為的威脅程度。例如,假設(shè)有兩個(gè)信息系統(tǒng)��,分別為信息系統(tǒng)A和信息系統(tǒng)B��,這 兩個(gè)信息系統(tǒng)在一個(gè)觀測(cè)周期內(nèi)都檢測(cè)到了 100條攻擊事件�����,其中在信息系統(tǒng)A中,100條 攻擊事件是分別針對(duì)100臺(tái)主機(jī)的,而在信息系統(tǒng)B中�����,100條攻擊事件是針對(duì)同一臺(tái)主機(jī) 的,這兩個(gè)系統(tǒng)所面臨的威脅顯然不同�����,但利用前述方案�����,則難以體現(xiàn)出這種差別�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是在于需要提供一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)及方法, 用于入侵檢測(cè)設(shè)備評(píng)估網(wǎng)絡(luò)安全狀態(tài)。為了解決上述技術(shù)問(wèn)題,本發(fā)明提供了一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估方法�����,用于入侵檢 測(cè)設(shè)備評(píng)估網(wǎng)絡(luò)安全狀態(tài)���,包括根據(jù)入侵檢測(cè)設(shè)備當(dāng)前觀測(cè)周期之前的歷史日志,提取網(wǎng)絡(luò)安全狀態(tài)指標(biāo),建立 網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型�;所述評(píng)估時(shí)���,根據(jù)所述入侵檢測(cè)設(shè)備當(dāng)前觀測(cè)周期的實(shí)時(shí)日志��,獲得所述實(shí)時(shí)日 志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值��,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值及正態(tài)分布模型,獲 得所述入侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果���。
優(yōu)選地����,所述建立網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型的步驟�,包括通過(guò)對(duì)所述歷史日志進(jìn)行學(xué)習(xí)�,根據(jù)所述歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值��,獲得 所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)�����,建立所述正態(tài)分布模型����。優(yōu)選地�����,根據(jù)所述歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值����,獲得所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo) 的模型參數(shù)的步驟��,包括計(jì)算所述歷史日志若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值�����;計(jì)算所述若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值的均值和方差����,將所述均值和 方差作為所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)�����。優(yōu)選地��,所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)���,包括安全事件數(shù)量指標(biāo)、地址熵指標(biāo)及安全事件 擴(kuò)散指標(biāo)。優(yōu)選地,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值及正態(tài)分布模型�,獲得所述入 侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果的步驟����,包括采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方式����,獲得所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo) 值與正態(tài)分布模型的偏離程度����;根據(jù)所述偏離程度�����,評(píng)估所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài),獲得所述網(wǎng)絡(luò)安全 狀態(tài)評(píng)估結(jié)果。為了解決上述技術(shù)問(wèn)題,本發(fā)明還提供了一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng),用于入侵 檢測(cè)設(shè)備評(píng)估網(wǎng)絡(luò)安全狀態(tài)����,包括存儲(chǔ)模塊��,用于存儲(chǔ)所述入侵檢測(cè)設(shè)備的日志�,包括當(dāng)前觀測(cè)周期的實(shí)時(shí)日志,以 及所述當(dāng)前觀測(cè)周期之前的歷史日志�;指標(biāo)提取模塊���,與所述存儲(chǔ)模塊相連,根據(jù)所述入侵檢測(cè)設(shè)備的日志�,提取網(wǎng)絡(luò)安 全狀態(tài)指標(biāo)���,獲得網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值�����;模型建立模塊�,與所述存儲(chǔ)模塊及指標(biāo)提取模塊相連�,根據(jù)所述歷史日志的網(wǎng)絡(luò) 安全狀態(tài)指標(biāo)值�,建立所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型���;評(píng)估模塊,與所述指標(biāo)提取模塊及模型建立模塊相連����,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò) 安全狀態(tài)指標(biāo)值與正態(tài)分布模型,獲得所述入侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全 狀態(tài)評(píng)估結(jié)果��。優(yōu)選地���,所述模型建立模塊��,通過(guò)對(duì)所述歷史日志進(jìn)行學(xué)習(xí)����,根據(jù)所述歷史日志的 網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值�����,獲得所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)�����,建立所述正態(tài)分布模型����。優(yōu)選地,所述模型建立模塊計(jì)算所述歷史日志若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài) 指標(biāo)值����,再計(jì)算所述若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值的均值和方差���,將所述均值 和方差作為所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)。優(yōu)選地��,所述指標(biāo)提取模塊��,包括安全事件數(shù)量指標(biāo)提取單元�����,與所述存儲(chǔ)模塊�����、模型建立模塊及評(píng)估模塊相連,用 于過(guò)濾一個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備的日志,獲得安全事件數(shù)量���;地址熵指標(biāo)提取單元��,與所述存儲(chǔ)模塊��、模型建立模塊及評(píng)估模塊相連�,用于利用 信息熵的計(jì)算方法���,計(jì)算一個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備日志源地址�、目的地址的地址分布 熵�����;及安全事件擴(kuò)散指標(biāo)提取單元,與所述存儲(chǔ)模塊�、模型建立模塊及評(píng)估模塊相連���,用于獲得一個(gè)觀測(cè)周期內(nèi)的安全事件擴(kuò)散指標(biāo)值����。優(yōu)選地,所述評(píng)估模塊��,采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方式�,獲得實(shí)時(shí)日志的 網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與正態(tài)分布模型的偏離程度��,根據(jù)所述偏離程度評(píng)估所述當(dāng)前觀測(cè)周 期的網(wǎng)絡(luò)安全狀態(tài)�����,獲得所述網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果�����。本發(fā)明提出的網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)及方法,能夠根據(jù)入侵檢測(cè)設(shè)備產(chǎn)生的日 志����,自動(dòng)評(píng)估當(dāng)前網(wǎng)絡(luò)安全狀態(tài)����。與現(xiàn)有技術(shù)相比,本發(fā)明通過(guò)計(jì)算安全事件數(shù)量指標(biāo)���,能 夠在爆發(fā)大規(guī)模網(wǎng)絡(luò)安全事件、入侵檢測(cè)設(shè)備產(chǎn)生大量日志的時(shí)候及時(shí)檢測(cè)到異常��。通過(guò) 計(jì)算地址熵指標(biāo)���,能夠?qū)θ肭謾z測(cè)設(shè)備日志數(shù)量未異常��,但地址分布異常的安全事件進(jìn)行 及時(shí)檢測(cè)����,例如小范圍的Internet蠕蟲(chóng)傳播、網(wǎng)絡(luò)掃描等事件等��。通過(guò)計(jì)算安全事件擴(kuò)散 指標(biāo),能夠在大規(guī)模安全事件爆發(fā)的初期進(jìn)行及時(shí)檢測(cè),例如在Internet蠕蟲(chóng)傳播的初期 檢測(cè)到異常。通過(guò)異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方法,能夠?qū)u變和突變的網(wǎng)絡(luò)異常進(jìn)行 及時(shí)檢測(cè)。
圖1為本發(fā)明中網(wǎng)絡(luò)安全狀態(tài)評(píng)估方法實(shí)施例的流程示意圖���。圖2為圖1所示方法實(shí)施例中步驟S130的流程示意圖。圖3為本發(fā)明中網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)實(shí)施例組成示意圖�����。
具體實(shí)施例方式以下將結(jié)合附圖及實(shí)施例來(lái)詳細(xì)說(shuō)明本發(fā)明的實(shí)施方式�,借此對(duì)本發(fā)明如何應(yīng)用 技術(shù)手段來(lái)解決技術(shù)問(wèn)題����,并達(dá)成技術(shù)效果的實(shí)現(xiàn)過(guò)程能充分理解并據(jù)以實(shí)施。圖1為本發(fā)明中網(wǎng)絡(luò)安全狀態(tài)評(píng)估方法實(shí)施例的流程示意圖。如圖1所示,該方 法實(shí)施例主要包括如下步驟步驟S110���,存儲(chǔ)入侵檢測(cè)設(shè)備的日志,包括當(dāng)前觀測(cè)周期的實(shí)時(shí)日志����,以及當(dāng)前觀 測(cè)周期之前的歷史日志��;步驟S120�,根據(jù)存儲(chǔ)的入侵檢測(cè)設(shè)備的日志���,提取網(wǎng)絡(luò)安全狀態(tài)指標(biāo)�,獲得網(wǎng)絡(luò) 安全狀態(tài)指標(biāo)值����,包括歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值以及實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo) 值�;其中該網(wǎng)絡(luò)安全狀態(tài)指標(biāo)包括安全事件數(shù)量指標(biāo)���、地址熵指標(biāo)及安全事件擴(kuò)散指標(biāo)��;步驟S130��,通過(guò)對(duì)入侵檢測(cè)設(shè)備的歷史日志進(jìn)行學(xué)習(xí)�,根據(jù)歷史日志的網(wǎng)絡(luò)安 全狀態(tài)指標(biāo)值�����,獲得網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)��,建立網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模 型;步驟S140�����,采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方式���,將實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài) 指標(biāo)值與正態(tài)分布模型中的模型參數(shù)相比較,獲得實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與正態(tài) 分布模型的偏離程度����;步驟S150,根據(jù)實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與正態(tài)分布模型參數(shù)的偏離程 度��,評(píng)估當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)�,獲得當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果���。需要說(shuō)明的是����,整個(gè)評(píng)估過(guò)程分為兩個(gè)階段�,自學(xué)習(xí)階段和評(píng)估階段����。先進(jìn)行自學(xué) 習(xí)階段,通過(guò)自學(xué)習(xí)階段建立指標(biāo)的正態(tài)分布模型后���,再通過(guò)該正態(tài)分布模型進(jìn)行網(wǎng)絡(luò)安 全狀態(tài)的評(píng)估����,即進(jìn)行第二個(gè)階段�,將實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與模型參數(shù)進(jìn)行比較����,獲得網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果。在自學(xué)習(xí)階段完成后,實(shí)際應(yīng)用時(shí)的評(píng)估過(guò)程,就不需要 再進(jìn)行自學(xué)習(xí)了�,直接利用自學(xué)習(xí)階段建立的正態(tài)分布模型進(jìn)行評(píng)估即可�,不用反復(fù)學(xué)習(xí) 并建立正態(tài)分布模型��。上述步驟S120中提取安全事件數(shù)量指標(biāo)�����,將某個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備產(chǎn)生 的日志���,按照設(shè)定的過(guò)濾條件進(jìn)行過(guò)濾,統(tǒng)計(jì)過(guò)濾后的入侵檢測(cè)設(shè)備日志數(shù)量,即為該安全 事件數(shù)量。其中的過(guò)濾條件包括但不限于安全事件類(lèi)型�、安全事件等級(jí)��、安全事件源地址范 圍及安全事件目的地址范圍等等���。上述步驟S120中提取地址熵指標(biāo)�����,是利用信息熵的計(jì)算方法����,計(jì)算該某個(gè)觀測(cè)周 期內(nèi)入侵檢測(cè)設(shè)備日志源地址���、目的地址的地址分布熵;具體地���,接收該某個(gè)觀測(cè)周期內(nèi)入 侵檢測(cè)設(shè)備上報(bào)的所有安全日志���,統(tǒng)計(jì)安全日志中所有源IP地址、目的IP地址的出現(xiàn)次 數(shù)�����;在統(tǒng)計(jì)的時(shí)候利用哈希(Hash)算法將32位的IPv4地址映射為16位的整數(shù);計(jì)算源 IP地址分布熵�、目的IP地址分布熵�����,計(jì)算方法如式(1)所示 其中Ci為經(jīng)Hash運(yùn)算后的IP地址i出現(xiàn)的次數(shù)����;
S為當(dāng)前觀測(cè)周期內(nèi)總IP地址的個(gè)數(shù) 上述步驟S120中提取安全事件擴(kuò)散指標(biāo)����,是將某個(gè)觀測(cè)周期內(nèi)統(tǒng)計(jì)得到的安全 事件數(shù)量指標(biāo)值�����,減去相鄰的前一個(gè)觀測(cè)周期的安全事件數(shù)量指標(biāo)值�����,得到該某個(gè)觀測(cè)周 期內(nèi)的安全事件擴(kuò)散指標(biāo)值。圖2為上述步驟S130的流程示意圖。上述步驟S130中�����,對(duì)歷史日志進(jìn)行學(xué)習(xí)以 提取各指標(biāo)的模型參數(shù)的流程���,主要包括如下步驟步驟S210�,通過(guò)設(shè)定歷史日志的起止時(shí)間�����,確定歷史日志的范圍�;步驟S220�����,設(shè)定觀測(cè)周期長(zhǎng)度��;步驟S230��,計(jì)算該歷史日志范圍內(nèi)每個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值即安全 事件數(shù)量指標(biāo)值��、地址熵指標(biāo)值和安全事件擴(kuò)散指標(biāo)值�����,構(gòu)成一個(gè)指標(biāo)變量數(shù)組并保存�����;及步驟S240�����,計(jì)算每個(gè)觀測(cè)周期中上述指標(biāo)變量數(shù)組中各指標(biāo)值的均值和方差�����,將 該均值和方差作為對(duì)應(yīng)指標(biāo)的模型參數(shù)�;步驟S250,將各指標(biāo)的模型參數(shù)生成文本文件并保存����,以用于建立網(wǎng)絡(luò)狀態(tài)指標(biāo) 的正態(tài)分布模型���。如果步驟S220是以小時(shí)為單位進(jìn)行建模,則對(duì)于安全事件數(shù)量指標(biāo)���,共有24個(gè)模 型��。對(duì)應(yīng)的�����,上述步驟S240則是計(jì)算每個(gè)小時(shí)內(nèi),各指標(biāo)值的均值和方差�����,作為對(duì)應(yīng)指標(biāo)的 模型參數(shù)。上述步驟S140�����,可以采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方法,判斷當(dāng)前觀測(cè)周期 的各個(gè)指標(biāo)值與當(dāng)前時(shí)刻對(duì)應(yīng)的指標(biāo)模型參數(shù)是否一致�,并將指標(biāo)值量化為若干個(gè)安全等 級(jí),比如將指標(biāo)狀態(tài)由低到高量化為正常��、輕度異常、中度異常、嚴(yán)重異常4個(gè)安全等級(jí)���。上述步驟S150�,可以根據(jù)前述的所有指標(biāo)值量化后的安全等級(jí)���,確定當(dāng)前網(wǎng)絡(luò)安 全狀態(tài)評(píng)估結(jié)果����,比如將所有指標(biāo)值量化后的最高安全等級(jí),作為當(dāng)前網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果。上述異常檢驗(yàn)方式���,假設(shè)在獲取的指標(biāo)模型參數(shù)為Nhtl, ο J,其中l(wèi)·^和ο C1分 別表示正態(tài)分布模型的均值和方差�����,假設(shè)當(dāng)前獲取的指標(biāo)值為S,則對(duì)于安全事件數(shù)量指標(biāo) 和安全事件擴(kuò)散指標(biāo),采取如下方式判斷如果S-μ。< 2σ。,則當(dāng)前指標(biāo)正常��;如果2 ο Q彡S- μ Q < 3 σ�。�����,則當(dāng)前指標(biāo)輕度異常;如果3 ο�。彡S-μ���。< 4 ο。�����,則當(dāng)前指標(biāo)中度異常���;如果S-μ Q彡4 ο。�,則當(dāng)前指標(biāo)高度異常。對(duì)于地址熵指標(biāo)�����,包括源地址熵指標(biāo)和目的地址熵指標(biāo),采用如下的判斷方式如果I S-μ。I <2%,則當(dāng)前指標(biāo)正常�����;如果2 %彡I S-μ����。I < 3����。����。,則當(dāng)前指標(biāo)輕度異常�;如果3 %彡I S-μ��。I <4��。。,則當(dāng)前指標(biāo)中度異常;如果I S-μ ^ I彡4o ^�,則當(dāng)前指標(biāo)高度異常��。上述假設(shè)檢驗(yàn)方式,假設(shè)獲取的指標(biāo)模型參數(shù)為Nhtl, %)�,其中Ptl和σ����。分別 表示正態(tài)分布模型的均值和方差��,假設(shè)當(dāng)前獲取的指標(biāo)值為S,則對(duì)于安全事件數(shù)量指標(biāo)和 安全事件擴(kuò)散指標(biāo)�����,構(gòu)造如式(2)所示的統(tǒng)計(jì)量υ =式⑵
σ·0其中方表示從模型參數(shù)更新起,所有該指標(biāo)值的均值;η表示從模型參數(shù)更新起��,該指標(biāo)值的觀測(cè)個(gè)數(shù)���;其中的模型參數(shù)更新,表示在不同的觀測(cè)周期會(huì)采用不同的模型參數(shù)�,在觀測(cè)周 期變化時(shí)�����,會(huì)更新模型參數(shù)。禾Ij用式⑵所示的統(tǒng)計(jì)量的判斷方式為如果U < 2. 33,則當(dāng)前指標(biāo)正常;如果2. 33彡U < 3. 1,則當(dāng)前指標(biāo)輕度異常;如果3. 1彡U < 3. 72��,則當(dāng)前指標(biāo)中度異常��;如果U彡3. 72��,則當(dāng)前指標(biāo)高度異常。其中的參考標(biāo)準(zhǔn)2. 33�����,3. 1和3. 72,分別對(duì)應(yīng)于標(biāo)準(zhǔn)正態(tài)分布的0. 01,0. 001和 0. 0001分位點(diǎn)���。對(duì)于地址熵指標(biāo)�,包括源地址熵指標(biāo)和目的地址熵指標(biāo)���,構(gòu)造如式(3)所示的統(tǒng) 計(jì)量f/ = ^"1^ ▲式(3)禾Ij用式(3)所示的統(tǒng)計(jì)量的判斷方式為如果U < 2. 48���,則當(dāng)前指標(biāo)正常����;如果2. 48 ^ U < 3. 3���,則當(dāng)前指標(biāo)輕度異常;如果3. 3彡U < 3. 9�����,則當(dāng)前指標(biāo)中度異常;如果U > 3. 9���,則當(dāng)前指標(biāo)高度異常�。
其中的參考標(biāo)準(zhǔn)2. 48���,3. 3和3. 9���,分別對(duì)應(yīng)于標(biāo)準(zhǔn)正態(tài)分布的0. 005,0. 0005和 0. 00005分位點(diǎn)����。通過(guò)對(duì)安全事件數(shù)量指標(biāo)��、地址熵指標(biāo)(包括源地址熵指標(biāo)和目的地址熵指標(biāo)) 以及安全事件擴(kuò)散指標(biāo)分別進(jìn)行異常檢驗(yàn)和假設(shè)檢驗(yàn),可以得到8個(gè)安全狀態(tài)判斷值。取 各指標(biāo)異常程度最高的評(píng)估值,作為當(dāng)前網(wǎng)絡(luò)安全狀態(tài)的評(píng)估值���。圖3為本發(fā)明中網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)一實(shí)施例組成示意圖。如圖1所示�����,該網(wǎng) 絡(luò)安全狀態(tài)評(píng)估系統(tǒng)實(shí)施例����,包括存儲(chǔ)模塊310�、指標(biāo)提取模塊320���、模型建立模塊330及評(píng) 估模塊340���,其中存儲(chǔ)模塊310�,用于存儲(chǔ)入侵檢測(cè)設(shè)備的日志����,包括當(dāng)前觀測(cè)周期的實(shí)時(shí)日志�����,以 及當(dāng)前觀測(cè)周期之前的歷史日志�����; 指標(biāo)提取模塊320�����,與存儲(chǔ)模塊310相連�����,根據(jù)存儲(chǔ)模塊310所存儲(chǔ)的日志��,提取網(wǎng) 絡(luò)安全狀態(tài)指標(biāo)����,獲得網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值���,包括歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值以及實(shí) 時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值;其中該網(wǎng)絡(luò)安全狀態(tài)指標(biāo)包括安全事件數(shù)量指標(biāo)��、地址熵 指標(biāo)及安全事件擴(kuò)散指標(biāo)�����;模型建立模塊330�,與存儲(chǔ)模塊310及指標(biāo)提取模塊320相連�����,通過(guò)對(duì)入侵檢測(cè)設(shè) 備的歷史日志進(jìn)行學(xué)習(xí),根據(jù)歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,獲得指標(biāo)提取模塊320所 提取的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù),建立網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型���;其中該網(wǎng) 絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)的值在一個(gè)取值范圍內(nèi)��;及評(píng)估模塊340�,與指標(biāo)提取模塊320及模型建立模塊330相連,采用異常檢驗(yàn)與假 設(shè)檢驗(yàn)相結(jié)合的方式��,獲得實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與正態(tài)分布模型的偏離程度���, 根據(jù)該偏離程度評(píng)估當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)����,獲得當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng) 估結(jié)果�。上述指標(biāo)提取模塊320在自學(xué)習(xí)階段,從歷史日志中提取網(wǎng)絡(luò)安全狀態(tài)指標(biāo)用于 自學(xué)習(xí)�����,從評(píng)估階段從實(shí)時(shí)日志中提取網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值用于評(píng)估��。實(shí)際應(yīng)用時(shí)����,在建立 正態(tài)分布模型之后����,就可以直接用該正態(tài)分布模型去評(píng)估網(wǎng)絡(luò)安全狀態(tài)�����,不用反復(fù)學(xué)習(xí)并 建立正態(tài)分布模型�。上述指標(biāo)提取模塊320��,如圖3所示����,包括安全事件數(shù)量指標(biāo)提取單元321����、地址熵 指標(biāo)提取單元322及安全事件擴(kuò)散指標(biāo)提取單元323���,其中安全事件數(shù)量指標(biāo)提取單元321����,與存儲(chǔ)模塊310�����、模型建立模塊330及評(píng)估模塊 340相連��,用于將某個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備產(chǎn)生的日志�����,按照設(shè)定的過(guò)濾條件進(jìn)行過(guò) 濾����,統(tǒng)計(jì)過(guò)濾后的入侵檢測(cè)設(shè)備日志數(shù)量����,即為該安全事件數(shù)量�����;其中的過(guò)濾條件包括但不 限于安全事件類(lèi)型��、安全事件等級(jí)��、安全事件源地址范圍及安全事件目的地址范圍等等����;地址熵指標(biāo)提取單元322,與存儲(chǔ)模塊310���、模型建立模塊330及評(píng)估模塊340,用 于利用信息熵的計(jì)算方法�,計(jì)算某個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備日志源地址����、目的地址的地 址分布熵���,具體計(jì)算過(guò)程請(qǐng)參考上述方法實(shí)施例中步驟S120的內(nèi)容���;及安全事件擴(kuò)散指標(biāo)提取單元323,與存儲(chǔ)模塊310��、模型建立模塊330及計(jì)評(píng)估模 塊340�����,用于將某個(gè)觀測(cè)周期內(nèi)統(tǒng)計(jì)得到的安全事件數(shù)量指標(biāo)值,減去相鄰的前一個(gè)觀測(cè)周 期的安全事件數(shù)量指標(biāo)值�,得到該某個(gè)觀測(cè)周期內(nèi)的安全事件擴(kuò)散指標(biāo)值。上述地址熵指標(biāo)提取單元322計(jì)算地址分布熵的具體過(guò)程�,是接收某個(gè)觀測(cè)周期
9內(nèi)入侵檢測(cè)設(shè)備上報(bào)的所有安全日志�����,統(tǒng)計(jì)安全日志中所有源IP地址、目的IP地址的出現(xiàn) 次數(shù)����;在統(tǒng)計(jì)的時(shí)候利用哈希(Hash)算法將32位的IPv4地址映射為16位的整數(shù)��;計(jì)算源 IP地址分布熵���、目的IP地址分布熵����,計(jì)算方法如上述式(1)所示。上述評(píng)估模塊340,采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方式�����,通過(guò)比較網(wǎng)絡(luò)安全 指標(biāo)的當(dāng)前值與模型參數(shù),判斷網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的當(dāng)前值是否與所建立的正態(tài)分布模型 一致,如果一致則根據(jù)該正態(tài)分布模型得到當(dāng)前網(wǎng)絡(luò)安全狀態(tài)的綜合評(píng)估值�,如果不一致 則根據(jù)網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與正態(tài)分布模型的偏離程度,評(píng)估當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀 態(tài)����,獲得當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估值�。以下是網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)的一個(gè)應(yīng)用實(shí)例��,借以更清楚地描述本發(fā)明的實(shí)施 方式����。假設(shè)當(dāng)前設(shè)置的觀測(cè)周期為1分鐘�,目前上報(bào)的觀測(cè)時(shí)間段為8:30-8:31,則從 8:00開(kāi)始,提取8:00-9:00期間指標(biāo)變量的模型參數(shù)作為參考標(biāo)準(zhǔn)���。假設(shè)此時(shí)安全事件數(shù) 量指標(biāo)的模型參數(shù)為(100,10)�����,源地址熵指標(biāo)的參數(shù)為(0.6,0. 1)�,目的地址熵指標(biāo)的模 型參數(shù)為(0.65�,0. 1)��,安全事件擴(kuò)散指標(biāo)的模型參數(shù)為(10,5)��,并假設(shè)當(dāng)前的安全事件數(shù) 量指標(biāo)為125�����,源地址熵為0. 75����,目的地址熵為0. 1��,安全事件擴(kuò)散指標(biāo)為8�����。采用異常檢驗(yàn)的方式可得出如下判斷安全事件數(shù)量指標(biāo)2X10 < 125-100 = 25 < 3 X 10,該指標(biāo)輕度異常���;源地址熵指標(biāo)0. 1 < 0. 75-0. 6 I = 0. 15 < 2X0. 1����,該指標(biāo)正常;目的地址熵指標(biāo)I 0. 1-0. 65 I =0. 55 >4X0. 1���,該指標(biāo)嚴(yán)重異常����;安全事件擴(kuò)散指標(biāo)8_10 = -2 < 5�,該指標(biāo)正常���。采用假設(shè)檢驗(yàn)的方法進(jìn)行判斷時(shí)�,該時(shí)刻的觀測(cè)值為模型參數(shù)從8:00起更新以 來(lái)的第31個(gè)采樣值�����。假設(shè)對(duì)于安全事件數(shù)量指標(biāo),從8:01起獲取第1個(gè)觀測(cè)值到當(dāng)前的 第31個(gè)觀測(cè)值之間,所有安全事件數(shù)量指標(biāo)觀測(cè)值的均值為105�,則利用假設(shè)檢驗(yàn)的判斷 過(guò)程為U = 105^1q0 λ/3Τ = 2.78 , 2. 33 彡 U < 3. 1因此該指標(biāo)為輕度異常。同理利用該方法可以評(píng)估源地址熵指標(biāo)、目的地址熵指標(biāo)、安全事件擴(kuò)散指標(biāo)的
異常度���。最終計(jì)算該時(shí)刻網(wǎng)絡(luò)安全狀態(tài)評(píng)估值時(shí)����,由于異常檢測(cè)方式下���,目的地址熵指標(biāo) 為嚴(yán)重異常,將當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)評(píng)估為嚴(yán)重異常。雖然本發(fā)明所揭露的實(shí)施方式如上�,但所述的內(nèi)容只是為了便于理解本發(fā)明而采 用的實(shí)施方式�����,并非用以限定本發(fā)明。任何本發(fā)明所屬技術(shù)領(lǐng)域內(nèi)的技術(shù)人員,在不脫離本 發(fā)明所揭露的精神和范圍的前提下,可以在實(shí)施的形式上及細(xì)節(jié)上作任何的修改與變化���, 但本發(fā)明的專(zhuān)利保護(hù)范圍,仍須以所附的權(quán)利要求書(shū)所界定的范圍為準(zhǔn)����。
權(quán)利要求
一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估方法�����,用于入侵檢測(cè)設(shè)備評(píng)估網(wǎng)絡(luò)安全狀態(tài),其特征在于���,包括根據(jù)入侵檢測(cè)設(shè)備當(dāng)前觀測(cè)周期之前的歷史日志,提取網(wǎng)絡(luò)安全狀態(tài)指標(biāo)���,建立網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型��;所述評(píng)估時(shí)����,根據(jù)所述入侵檢測(cè)設(shè)備當(dāng)前觀測(cè)周期的實(shí)時(shí)日志�����,獲得所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值及正態(tài)分布模型,獲得所述入侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果���。
2.如權(quán)利要求1所述的方法���,其特征在于��,所述建立網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模 型的步驟,包括通過(guò)對(duì)所述歷史日志進(jìn)行學(xué)習(xí)����,根據(jù)所述歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值����,獲得所述 網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù),建立所述正態(tài)分布模型��。
3.如權(quán)利要求2所述的方法,其特征在于,根據(jù)所述歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值���, 獲得所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)的步驟���,包括計(jì)算所述歷史日志若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值�; 計(jì)算所述若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值的均值和方差,將所述均值和方差 作為所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)�。
4.如權(quán)利要求1所述的方法����,其特征在于所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)�����,包括安全事件數(shù)量指標(biāo)����、地址熵指標(biāo)及安全事件擴(kuò)散指標(biāo)���。
5.如權(quán)利要求1所述的方法,其特征在于�����,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值 及正態(tài)分布模型���,獲得所述入侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果的 步驟���,包括采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方式,獲得所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值與 正態(tài)分布模型的偏離程度;根據(jù)所述偏離程度,評(píng)估所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)�����,獲得所述網(wǎng)絡(luò)安全狀態(tài) 評(píng)估結(jié)果����。
6.一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng),用于入侵檢測(cè)設(shè)備評(píng)估網(wǎng)絡(luò)安全狀態(tài)�,其特征在于��,包括存儲(chǔ)模塊���,用于存儲(chǔ)所述入侵檢測(cè)設(shè)備的日志�,包括當(dāng)前觀測(cè)周期的實(shí)時(shí)日志�,以及所 述當(dāng)前觀測(cè)周期之前的歷史日志�;指標(biāo)提取模塊�����,與所述存儲(chǔ)模塊相連���,根據(jù)所述入侵檢測(cè)設(shè)備的日志,提取網(wǎng)絡(luò)安全狀 態(tài)指標(biāo),獲得網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值����;模型建立模塊�����,與所述存儲(chǔ)模塊及指標(biāo)提取模塊相連,根據(jù)所述歷史日志的網(wǎng)絡(luò)安全 狀態(tài)指標(biāo)值,建立所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型�;評(píng)估模塊��,與所述指標(biāo)提取模塊及模型建立模塊相連����,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全 狀態(tài)指標(biāo)值與正態(tài)分布模型��,獲得所述入侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài) 評(píng)估結(jié)果���。
7.如權(quán)利要求6所述的系統(tǒng)�����,其特征在于���,所述模型建立模塊�,通過(guò)對(duì)所述歷史日志進(jìn) 行學(xué)習(xí),根據(jù)所述歷史日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值�����,獲得所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參 數(shù)�,建立所述正態(tài)分布模型����。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于所述模型建立模塊計(jì)算所述歷史日志若干 個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,再計(jì)算所述若干個(gè)觀測(cè)周期中的網(wǎng)絡(luò)安全狀態(tài)指標(biāo) 值的均值和方差��,將所述均值和方差作為所述網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的模型參數(shù)����。
9.如權(quán)利要求6所述的系統(tǒng)�,其特征在于�,所述指標(biāo)提取模塊���,包括安全事件數(shù)量指標(biāo)提取單元���,與所述存儲(chǔ)模塊�、模型建立模塊及評(píng)估模塊相連�����,用于過(guò) 濾一個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備的日志,獲得安全事件數(shù)量�����;地址熵指標(biāo)提取單元,與所述存儲(chǔ)模塊、模型建立模塊及評(píng)估模塊相連�,用于利用信息 熵的計(jì)算方法�����,計(jì)算一個(gè)觀測(cè)周期內(nèi)入侵檢測(cè)設(shè)備日志源地址、目的地址的地址分布熵;及安全事件擴(kuò)散指標(biāo)提取單元��,與所述存儲(chǔ)模塊、模型建立模塊及評(píng)估模塊相連��,用于獲 得一個(gè)觀測(cè)周期內(nèi)的安全事件擴(kuò)散指標(biāo)值�����。
10.如權(quán)利要求1所述的系統(tǒng)��,其特征在于所述評(píng)估模塊�,采用異常檢驗(yàn)與假設(shè)檢驗(yàn)相結(jié)合的方式,獲得實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀 態(tài)指標(biāo)值與正態(tài)分布模型的偏離程度��,根據(jù)所述偏離程度評(píng)估所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安 全狀態(tài),獲得所述網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果。
全文摘要
本發(fā)明公開(kāi)了一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)及方法���,用于入侵檢測(cè)設(shè)備評(píng)估網(wǎng)絡(luò)安全狀態(tài)�。其中該方法包括根據(jù)入侵檢測(cè)設(shè)備當(dāng)前觀測(cè)周期之前的歷史日志�,提取網(wǎng)絡(luò)安全狀態(tài)指標(biāo)����,建立網(wǎng)絡(luò)安全狀態(tài)指標(biāo)的正態(tài)分布模型����;所述評(píng)估時(shí)����,根據(jù)所述入侵檢測(cè)設(shè)備當(dāng)前觀測(cè)周期的實(shí)時(shí)日志,獲得所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值,根據(jù)所述實(shí)時(shí)日志的網(wǎng)絡(luò)安全狀態(tài)指標(biāo)值及正態(tài)分布模型�,獲得所述入侵檢測(cè)設(shè)備在所述當(dāng)前觀測(cè)周期的網(wǎng)絡(luò)安全狀態(tài)評(píng)估結(jié)果。本發(fā)明提出的網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)及方法,能夠根據(jù)入侵檢測(cè)設(shè)備產(chǎn)生的日志�����,自動(dòng)評(píng)估當(dāng)前網(wǎng)絡(luò)安全狀態(tài)�����。
文檔編號(hào)H04L29/06GK101883017SQ20091008338
公開(kāi)日2010年11月10日 申請(qǐng)日期2009年5月4日 優(yōu)先權(quán)日2009年5月4日
發(fā)明者力立, 吳恩平, 周濤, 楊立純, 石堅(jiān) 申請(qǐng)人:北京啟明星辰信息技術(shù)股份有限公司;北京啟明星辰信息安全技術(shù)有限公司;上海市計(jì)算機(jī)病毒防范服務(wù)中心