一種網絡安全態勢感知系統及方法
【專利摘要】本發明提供一種網絡安全態勢感知系統及方法。所述系統包括:采集模塊,用于采集網絡中的用于進行安全態勢感知的網絡安全數據;感知模塊,用于將采集到的用于進行安全態勢感知的網絡安全數據作為預先構建的智能融合模型的輸入,計算網絡安全態勢;可視化模塊,用于將計算得到的網絡安全態勢的結果進行可視化。通過本發明的網絡安全態勢感知系統能夠克服網絡安全態勢感知系統數據處理異構信息來源困難、輸出結果單一、感知過程智能程度不高的問題。
【專利說明】一種網絡安全態勢感知系統及方法
【技術領域】
[0001] 本發明涉及網絡信息安全領域,尤其涉及一種網絡安全態勢感知系統及方法。
【背景技術】
[0002] 隨著供應鏈的發展,信息流在其中的作用越來越明顯。現代供應鏈的目標是提高 整體效率、降低成本、滿足客戶需求,信息化成為現代供應鏈運營的核心驅動力。供應鏈信 息平臺上核心網絡的IP化,移動通信、固定通信和互聯網的融合逐漸成為新的發展趨勢。 供應鏈信息流在網絡傳輸過程中,經常會遭到黑客的攔截、竊取、篡改、盜用、監聽等惡意破 壞,給商戶帶來重大損失。以各種非法手段企圖入侵計算機網絡的黑客,其惡意攻擊構成信 息系統中信息安全的威脅,已經成為供應鏈信息流安全的隱患。
[0003] 自從TimBass提出應用多傳感器安全態勢分析以來,關于安全態勢的研究就一直 是信息管理領域的熱點,最初的安全態勢感知是建立網絡空間態勢的框架,通過推理識別 入侵者身份、速度、威脅性和入侵目標,進而評估網絡空間的安全狀態。歐美發達國家相關 研究機構在這方面做著積極探索,如美國勞倫斯伯克利國家實驗室的TheSpinningCube ofPotentialDoom系統;卡內基梅隆大學的SILK系統;美國國家高級安全系統研究中 心(NCASSR:NationalCenterforAdvancedSecureSystemsResearch)的SIFT項目; BruceD'Ambrosio提出基于問卷調查方式的計算機攻擊態勢評估軟件系統SSARE;在這 樣的背景下,已有一些學者取得了一些進展,如St印henG.Batsell等集成現有網絡安全系 統,開發了一個網絡安全框架用來識別和抵御攻擊,該框架由入侵檢測、攻擊源定位和攻擊 抵御二部分組成,采用可視化方式反映網絡整體的安全狀祝,這種方法對于同一企業內部 網絡中來挖掘態勢感知信息比較有效,但針對于復雜的供應鏈信息網絡環境有局限性,原 因來自供應鏈上下游企業的信息共享在網絡應用高層,同時供應商之間存在合作博弈利益 關系,對商務交易或電子數據交換(EDI)信息環境安全保障需求有高度的利益一致性,卻 由于信息安全底層數據無法共享難以實現。
[0004]由于供應鏈信息環境的不對稱性,以及供應鏈環境特有的"牛鞭效應",信息共享、 傳遞、甚至決策過程中,使得安全信息感知處理困難,現有網絡安全態勢感知系統存在以下 不足:
[0005] 1)針對供應鏈所面臨的信息安全風險的研究大多采用與企業運營風險幾乎相同 的方法,從時間、空間和成本三個維度對信息安全的危害程度建立測量指標體系,在提取特 征時沒有把信息和其他運營要素區別對待;
[0006] 2)在發生應急事件時生成的匯聚指標不魯棒,而且沒有考慮到網絡信息空間數 據本身的結構、傳輸速率、分布性存在互補特性,因此使整體輔助決策系統的性能和效率降 低。這一問題將在未來的供應鏈云環境和物聯網應用環境下變得更嚴重。
[0007] 3)在實際網絡環境中部署困難。而隨網絡信息技術的不斷發展,企業面臨海量信 息處理的情況已普遍存在。很難將統一的網絡安全構架部署到網絡環境異構的復雜的實際 應用息環境中去。
【發明內容】
[0008] 本發明的目的是提供一種網絡安全態勢感知系統及方法,以克服相關技術中網絡 安全態勢感知系統數據處理異構信息來源困難、輸出結果單一、感知過程智能程度不高的 問題。
[0009] 本發明提供一種網絡安全態勢感知系統,包括:
[0010] 采集模塊,用于采集網絡中的用于進行安全態勢感知的網絡安全數據;
[0011] 感知模塊,用于將采集到的用于進行安全態勢感知的網絡安全數據作為預先構建 的智能融合模型的輸入,計算網絡安全態勢;
[0012] 可視化模塊,用于將計算得到的網絡安全態勢的結果進行可視化。
[0013] 其中,所述智能融合模型為F層,上一層的每個節點在下一層擁有N個子節點,其 中F彡2,且N彡2 ;
[0014] 所述智能融合模型中包含有歷史網絡安全數據的時序記憶模式,所述時序記憶模 式至少表征了歷史網絡安全數據的特征點的時序關系。
[0015] 其中,所述系統還包括:
[0016] 訓練數據采集模塊,用于采集用于訓練智能融合模型的網絡安全數據;
[0017] 特征提取模塊,用于針對采集的用于訓練智能融合模型的網絡安全數據,提取該 數據的時空關聯特征;
[0018] 樣本數據確定模塊,用于對采集到的用于訓練智能融合模型的網絡安全數據以及 提取的時空關聯特征進行預設定的攻擊以獲得特征集和攻擊反饋數據集,這兩個集合作為 智能融合模型的樣本數據;
[0019] 訓練模塊,用于根據獲取的樣本數據,訓練智能融合模型,生成智能融合模型的時 序記憶模式。
[0020] 其中,所述訓練模塊,包括:
[0021] 輸入單元,用于將特征集和攻擊反饋數據集作為智能融合算法的樣本數據,輸入 給智能融合模型;
[0022] 學習單元,用于智能融合模型根據輸入的樣本數據進行學習,并形成與各層的節 點對應的時序記憶模式。
[0023] 其中,所述感知模塊,包括:
[0024] 輸入模式提取單元,用于提取網絡安全數據的時間序列作為一組輸入模式,輸入 給智能融合模型;
[0025] 處理單元,用于通過預先構建的智能融合模型,計算輸入模式與智能融合模型的 時序記憶模式的匹配概率,并將匹配概率大于預設閾值的時序記憶模式作為最終匹配的時 序記憶模式,形成態勢特征結果集,用于進行可視化。
[0026] 其中,所述可視化模塊,用于將態勢特征結果集中的時序記憶模式,與預先存儲的 時空數據片段進行特征匹配,輸出匹配結果,將匹配結果作為可視化片段。
[0027] 其中,所述系統還包括:
[0028] 記錄模塊,用于所述可視化模塊將態勢特征結果集中的時序記憶模式,與預先存 儲的時空數據片段進行特征匹配之后,記錄每個可視化片段的特征點的空間,時間和主方 向供可視化使用;
[0029] 第一劃分模塊,用于以主方向為起點,以特征點為中心,將可視化空間劃分為p個 扇形區域,其中,P>1 ;
[0030] 第二劃分模塊,用于以特征點所在時空位置為基點劃分時域推演區間為前后兩個 區間來明確歷史態勢和未來態勢關系,將時空空間劃分為2p個區間;
[0031] 時空編碼建立模塊,用于按時間先后順序和預設的空間順序對每個區間設好索 弓丨,建立起該特征點的特征和其他特征點的特征的時空編碼關系,其中,所述時空編碼關系 是依據時間軸建立的安全特征變化數據集;
[0032] 校驗模塊,用于根據時空編碼關系生成分別與可視化片段和時空片段對應的時空 檢驗矩陣Mv和M。,然后將Mv和M。進行異或運算,得到異或矩陣Dv。,并分析異或矩陣Dv。中 的非零元素所在的行和列,從而剔除掉錯誤的匹配;
[0033] 輸出模塊,用于用直方圖相似選優算法做出相似性判斷,輸出匹配結果。
[0034] 本發明還提供一種網絡安全態勢感知方法,所述方法包括:
[0035] 采集網絡中的用于進行安全態勢感知的網絡安全數據;
[0036] 將采集到的用于進行安全態勢感知的網絡安全數據作為預先構建的智能融合模 型的輸入,計算網絡安全態勢;
[0037] 將計算得到的網絡安全態勢的結果進行可視化。
[0038] 其中,所述智能融合模型為F層,上一層的每個節點在下一層擁有N個子節點,其 中F彡2,且N彡2 ;
[0039] 所述智能融合模型中包含有歷史網絡安全數據的時序記憶模式,所述時序記憶模 式至少表征了歷史網絡安全數據的特征點的時序關系。
[0040] 其中,所述智能融合模型根據以下方法構建:
[0041] 采集用于訓練智能融合模型的網絡安全數據;
[0042] 針對采集的用于訓練智能融合模型的網絡安全數據,提取該數據的時空關聯特 征;
[0043] 對采集到的用于訓練智能融合模型的網絡安全數據以及提取的時空關聯特征進 行預設定的攻擊以獲得特征集和攻擊反饋數據集,這兩個集合作為智能融合模型的樣本數 據;
[0044] 根據獲取的樣本數據,訓練智能融合模型,生成智能融合模型的時序記憶模式。
[0045] 其中,所述根據獲取的樣本數據,訓練智能融合模型,生成智能融合模型的時序記 憶模式,包括:
[0046] 將特征集和攻擊反饋數據集作為智能融合算法的樣本數據,輸入給智能融合模 型;
[0047] 智能融合模型根據輸入的樣本數據進行學習,并形成與各層的節點對應的時序記 憶模式。
[0048] 其中,所述將采集到的網絡安全數據作為預先構建的智能融合模型的輸入,計算 網絡安全態勢,包括:
[0049] 提取網絡安全數據的時間序列作為一組輸入模式,輸入給智能融合模型;
[0050] 通過預先構建的智能融合模型,計算輸入模式與智能融合模型的時序記憶模式的 匹配概率,并將匹配概率大于預設閾值的時序記憶模式作為最終匹配的時序記憶模式,形 成態勢特征結果集,用于進行可視化。
[0051] 其中,所述將計算得到的網絡安全態勢的結果進行可視化,包括:
[0052] 將態勢特征結果集中的時序記憶模式,與預先存儲的時空數據片段進行特征匹 配,輸出匹配結果,將匹配結果作為可視化片段。
[0053] 其中,所述將態勢特征結果集中的時序記憶模式,與預先存儲的時空數據片段進 行特征匹配之后,所述方法還包括:
[0054] 記錄每個可視化片段的特征點的空間,時間和主方向供可視化使用;
[0055] 以主方向為起點,以特征點為中心,將可視化空間劃分為p個扇形區域,其中, P>1 ;
[0056] 以特征點所在時空位置為基點劃分時域推演區間為前后兩個區間來明確歷史態 勢和未來態勢關系,將時空空間劃分為2p個區間;
[0057] 按時間先后順序和預設的空間順序對每個區間設好索引,建立起該特征點的特征 和其他特征點的特征的時空編碼關系,其中,所述時空編碼關系是依據時間軸建立的安全 特征變化數據集;
[0058] 根據時空編碼關系生成分別與可視化片段和時空片段對應的時空檢驗矩陣Mv和 M。,然后將Mv和M。進行異或運算,得到異或矩陣Dv。,并分析異或矩陣Dv。中的非零元素所在 的行和列,從而剔除掉錯誤的匹配;
[0059] 用直方圖相似選優算法做出相似性判斷,輸出匹配結果。
[0060] 本發明至少具有以下有益效果:通過本發明實施例提供的網絡安全態勢感知系 統,實現智能數據聚融,在不完整的數據呈現中,記憶模式能夠被學習并識別出來。通過組 合模式學習的記憶與當前的輸入,HTM網絡能夠預測下一步可能發生什么,可以更準確、全 面地進行網絡安全態勢感知。針對泛在網絡中信息流安全多特征存在互補的特性,可以進 行多角度的學習;從多個層次、多個角度對網絡的安全態勢進行分析,采用定量分析和定性 描述相結合的方法,保證評估結果系統而全面。此外,本發明在安全態勢評估的基礎上,采 用可視化片段與態勢特征匹配方法,對感知數據進行進一步優化處理,完成匹配特征可視 化精煉和匹配態勢演化過程精煉。這對于動態預測網絡系統安全態勢變化趨勢非常有幫 助,使得態勢數據集直觀迅速的展示,有助于提高網絡系統安全響應效率。
[0061] 應當理解的是,以上的一般描述和后文的細節描述僅是示例性和解釋性的,并不 能限制本發明。
【專利附圖】
【附圖說明】
[0062] 圖1為本發明實施例中網絡安全態勢感知系統的示意圖;
[0063] 圖2為本發明實施例中網絡安全態勢感知系統的另一示意圖;
[0064] 圖3為本發明實施例中網絡安全態勢感知方法的示例性流程圖;
[0065]圖4為本發明實施例中智能融合網絡的示意圖;
[0066] 圖5為本發明實施例中空間矩陣的示意圖;
[0067]圖6為本發明實施例中歐幾里得高斯函數分布示意圖;
[0068]圖7為本發明實施例中匹配特征可視化精煉的示意圖;
[0069] 圖8為本發明實施例中劃分空間域的示意圖;
[0070] 圖9為本發明實施例中網絡安全態勢感知框架的示意圖。
【具體實施方式】
[0071] 以下結合說明書附圖對本發明的優選實施例進行說明,應當理解,此處所描述的 優選實施例僅用于說明和解釋本發明,并不用于限定本發明,并且在不沖突的情況下,本發 明中的實施例及實施例中的特征可以相互組合。
[0072] 本發明基于HTM(HierarchicalTemporalMemory,層級時序記憶),提出了一種網 絡安全態勢感知系統和方法。HTM是一項對大腦新皮層進行建模的技術。大腦新皮層占了 大約75%的人腦的容量,負責所有高層次的理解,包括視覺、聽覺、語言、觸覺等。因為HTM 是從生物學中得到的,所以它適合那些對于人類非常容易而對計算機非常困難的工作,例 如物體的識別、做出預測、理解語言、在復雜的數據中發現模式等。根據HTM理論構建的HTM 網絡是一個記憶系統,隨著時間變化,它通過給它的感知數據來學習它的世界,并從數據中 抽象出高層的概念。抽象允許HTM網絡來進行一般化,并對于傳統計算機編程處理的嚴格 規則提供靈活性和效率。例如,在不完整或是模糊不清的數據呈現中,模式能夠被學習并識 別出來。通過組合模式學習的記憶與當前的輸入,HTM網絡能夠預測下一步可能發生什么。
[0073]HTM網絡的設計確定了分層結構的大小與架構,然后為分層結構提供感知數據來 訓練它。感知數據來自供應鏈業務中的歷史數據。重要的是在分層中,有許多數據用來訓 練,而且數據是具有時間這一基本元素。在供應鏈信息流安全分析中,為了進行有效的學 習,都需要在時間的流逝中觀察一組模式。
[0074] -方面,本發明基于HTM網絡的原理,提出一種網絡安全態勢感知系統,如圖1所 示,為本發明提出的網絡安全態勢感知系統,包括:
[0075] 采集模塊101,用于采集網絡中的用于進行安全態勢感知的網絡安全數據;
[0076] 感知模塊102,用于將采集到的用于進行安全態勢感知的網絡安全數據作為預先 構建的智能融合模型的輸入,計算網絡安全態勢;
[0077] 可視化模塊103,用于將計算得到的網絡安全態勢的結果進行可視化。
[0078] 其中,在一個實施例中,智能融合模型為F層,上一層的每個節點在下一層擁有N 個子節點,其中F彡2,且N彡2 ;
[0079] 智能融合模型中包含有歷史網絡安全數據的時序記憶模式,時序記憶模式至少表 征了歷史網絡安全數據的特征點的時序關系。
[0080]其中,在一個實施例中,如圖2所示,系統還包括:
[0081] 訓練數據采集模塊104,用于采集用于訓練智能融合模型的網絡安全數據;
[0082] 特征提取模塊105,用于針對采集的用于訓練智能融合模型的網絡安全數據,提取 該數據的時空關聯特征;
[0083] 樣本數據確定模塊106,用于對采集到的用于訓練智能融合模型的網絡安全數據 以及提取的時空關聯特征進行預設定的攻擊以獲得特征集和攻擊反饋數據集,這兩個集合 作為智能融合模型的樣本數據;
[0084] 訓練模塊107,用于根據獲取的樣本數據,訓練智能融合模型,生成智能融合模型 的時序記憶模式。
[0085] 其中,在一個實施例中,如圖2所示,訓練模塊107,包括:
[0086] 輸入單元108,用于將特征集和攻擊反饋數據集作為智能融合算法的樣本數據,輸 入給智能融合模型;
[0087] 學習單元109,用于智能融合模型根據輸入的樣本數據進行學習,并形成與各層的 節點對應的時序記憶模式。
[0088] 其中,在一個實施例中,如圖2所示,感知模塊102,包括:
[0089] 輸入模式提取單元110,用于提取網絡安全數據的時間序列作為一組輸入模式,輸 入給智能融合模型;
[0090] 處理單元111,用于通過預先構建的智能融合模型,計算輸入模式與智能融合模型 的時序記憶模式的匹配概率,并將匹配概率大于預設閾值的時序記憶模式作為最終匹配的 時序記憶模式,形成態勢特征結果集,用于進行可視化。
[0091] 其中,在一個實施例中,可視化模塊103,用于將態勢特征結果集中的時序記憶模 式,與預先存儲的時空數據片段進行特征匹配,輸出匹配結果,將匹配結果作為可視化片 段。
[0092] 其中,在一個實施例中,如圖2所示,系統還包括:
[0093] 記錄模塊112,用于可視化模塊將態勢特征結果集中的時序記憶模式,與預先存儲 的時空數據片段進行特征匹配之后,記錄每個可視化片段的特征點的空間,時間和主方向 供可視化使用;
[0094] 第一劃分模塊113,用于以主方向為起點,以特征點為中心,將可視化空間劃分為 P個扇形區域,其中,P>1 ;
[0095] 第二劃分模塊114,用于以特征點所在時空位置為基點劃分時域推演區間為前后 兩個區間來明確歷史態勢和未來態勢關系,將時空空間劃分為2p個區間;
[0096] 時空編碼建立模塊115,用于按時間先后順序和預設的空間順序對每個區間設好 索引,建立起該特征點的特征和其他特征點的特征的時空編碼關系,其中,時空編碼關系是 依據時間軸建立的安全特征變化數據集;
[0097] 校驗模塊116,用于根據時空編碼關系生成分別與可視化片段和時空片段對應的 時空檢驗矩陣Mv和M。,然后將Mv和M。進行異或運算,得到異或矩陣Dv。,并分析異或矩陣Dto 中的非零元素所在的行和列,從而剔除掉錯誤的匹配;
[0098] 輸出模塊117,用于用直方圖相似選優算法做出相似性判斷,輸出匹配結果。
[0099] 關于上述實施例中的網絡安全態勢感知系統中的各裝置,其中各個模塊執行操作 的具體方式將在有關該方法的實施例中進行詳細描述,下面對基于上述網絡安全態勢感知 系統進行網絡安全態勢感知的方法進行詳細說明。
[0100] 實施例一
[0101] 另一方面,本發明基于上述的網絡安全態勢感知系統,提出一種網絡安全態勢感 知方法,如圖3所示,包括:
[0102] 301 :采集網絡中的用于進行安全態勢感知的網絡安全數據。
[0103] 302:將采集到的用于進行安全態勢感知的網絡安全數據作為預先構建的智能融 合模型的輸入,計算網絡安全態勢。
[0104] 其中,歷史網絡安全數據指用于訓練智能融合模型的樣本數據和后期通過智能融 合模型進行網絡安全態勢感知的網絡安全數據。
[0105] 其中,在一個實施例中,智能融合模型中包含有歷史網絡安全數據的時序記憶模 式,時序記憶模式至少表征了歷史網絡安全數據的特征點的時序關系。
[0106] 303 :將計算得到的網絡安全態勢的結果進行可視化。
[0107] 通過本發明實施例提供的網絡安全態勢感知方法實現網絡安全態勢感知,需要基 于HTM網絡構建智能融合模型,并對該智能融合模型進行訓練,然后基于該智能融合模型 進行安全態勢感知。該智能融合模型在進行網絡安全態勢感知的過程中可以不斷的學習和 自我完善。
[0108] 下面對本發明實施例提供的網絡安全態勢感知方法進行展開說明:
[0109] 一、構建智能融合模型包括:
[0110] 步驟A1 :獲取樣本數據。
[0111] 步驟A2 :根據獲取的樣本數據,訓練智能融合模型,生成智能融合模型的時序記 憶模式。
[0112] 下面對上述兩個步驟進行詳細說明:
[0113] 1)對于步驟A1:
[0114] 步驟A1具體包括以下步驟B1-B3:
[0115] 步驟B1:采集用于訓練智能融合模型的網絡安全數據。
[0116] 其中,在一個實施例中,網絡安全數據包括:應用層、網絡傳輸層以及物理層面的 數據;其中應用層的網絡安全數據將包括云計算登陸認證種類及安全等級,供應鏈信息應 用集成安全信息,webservice安全,解析服務安全數據等,此外,信息利用環節,企業中間 件涉及的安全數據也納入到這一部分;對于涉及泛在網絡環境的網絡安全數據可以通過網 關和安管設備如防火墻、IDS等獲得,網絡環境包括移動通信網、計算機網絡、無線網絡等; 物理層的安全數據主要涉及到物聯網的傳感節點,可從傳感器網關獲得。
[0117] 步驟B2:針對采集的用于訓練智能融合模型的網絡安全數據,提取該數據的時空 關聯特征。
[0118] 其中,時空關聯特征用于得到多層面的局部時空對象的特征表述。
[0119] 步驟B3:對采集到的用于訓練智能融合模型的網絡安全數據以及提取的時空關 聯特征進行預設定的攻擊以獲得特征集和攻擊反饋數據集,這兩個集合作為HTM網絡的樣 本數據。
[0120] 可以通過摒棄權重弱化的特征達到特征篩選的目的,具體的:采集的網絡安全數 據中,若IDS虛警高的話可以減少IDS權重,防火墻策略可靠的話可以提高防火墻數據的權 重。
[0121] 其中,在一個實施例中,步驟B3可具體執行為:對采集到的網絡安全數據以及提 取的時空關聯特征進行預設定的攻擊,獲取魯棒性高的時空關聯特征,其中,對于每一種攻 擊,由對應于該攻擊的魯棒性高的時空關聯特征形成對應于該攻擊的特征集;并根據進行 預設定的攻擊后的結果,獲取與該攻擊對應的安全攻擊反饋數據集。
[0122] 其中,在特征篩選的過程中可以摒棄權重弱化的特征達到特征篩選的目的,具體 的如:采集的網絡安全數據中若IDS虛警高的話可以減少IDS權重,防火墻策略可靠的話可 以提高防火墻數據的權重。
[0123] 至此,樣本數據的獲取過程已經闡述清楚,下面介紹一下HTM網絡的訓練學習過 程。
[0124] 2)對于步驟A2
[0125] 智能融合模型的設計確定了分層結構的大小與架構,然后為分層結構提供感知數 據來訓練它。感知數據來自業務中的歷史網絡安全數據(在智能融合模型的初始形成階 段,該感知數據即為前述采集到的網絡安全數據)。重要的是在分層中,有許多數據用來訓 練,而且數據是具有時間這一基本元素。在供應鏈信息流安全分析中,為了進行有效的學 習,都需要在時間的流逝中觀察一組模式。由此,步驟A2可具體執行為:
[0126] 步驟C1 :將特征集和攻擊反饋數據集作為HTM算法的樣本數據,輸入給智能融合 模型。
[0127] 其中,在一個實施例中,智能融合模型為F層,除最低層外其他層的各節點擁有N 個子節點,其中,F和N均大于等于2。
[0128] 其中,需要說明的是,除底層外其他各層的節點的子節點的數目可以相同也可以 不相同,可以視實際需要進行設定,本發明對此不做限定。
[0129] 步驟C2 :智能融合模型根據輸入的樣本數據進行學習,并形成與各層的節點對應 的時序記憶模式。
[0130] 在智能融合模型中,當由高層到低層,節點數量指數級擴展時,可以有效實現大規 模信息流的態勢匯聚。如圖4所示,可以構建3層HTM網絡作為智能融合模型,每一層中每 一個網格表示一個節點,每一個節點為一個特征描述區域。上層的一個節點對應下層的4 個節點。該HTM網絡中,每個節點的輸入都是一組模式構成的時間序列,每一層都用于進行 安全數據聚融,第3層的節點(即最高層的節點)用來實現最終的態勢匯聚。具體的,在該 HTM網絡中,最低層(即第1層)用于接收樣本數據(特征集和安全攻擊反饋數據集),進 行安全信息流處理。該樣本數據還可以由第三方設備提供,如由安管設備提供安全特征值 序列,可以通過多維向量引入安全特征值序列。對于每一層:第1層的各節點對輸入的樣本 數據進行學習,形成并記憶樣本數據之間的時序特征模式,然后將時序特征模式數據作為 第二層的輸入。第2層的各節點對時序特征模式進行分析,形成并記憶時序特征模式中穩 定的特征,從而形成中間層模式(可以理解為第2層的實現特征模式),并將中間層模式作 為第3層的輸入。第3層為融合輸出層,它基于大量已得到訓練的中間層模式,將空間及時 間變化特征一致的中間層模式歸為一類,并可以統一輸出網絡安全態勢感知結果,如對當 前網絡安全態勢的評估結果和預測結果。
[0131] 例如,樣本數據中包括入侵檢測數據、防火墻數據和系統安全漏洞數據;除去量 綱,保留影響因子,對該樣本數據歸一化處理后的結果為:入侵檢測安全為3,防火墻安全 為1,系統安全漏洞為1,空間矩陣化為[311],該矩陣圖示如圖5所示。根據該空間矩陣獲 得3*3大小的特征矩陣作為信息流輸入特征數據作為第1層的輸入,對于圖4中標識為a 的節點,它的輸入為一個"拐角形"特征的描述,如果該空間矩陣向右移動一幀,也就是在下 一個時刻,該節點的輸入對應的是一個變化后的"拐角形";
[0132]如:
【權利要求】
1. 一種網絡安全態勢感知系統,其特征在于,所述系統包括: 采集模塊,用于采集網絡中的用于進行安全態勢感知的網絡安全數據; 感知模塊,用于將采集到的用于進行安全態勢感知的網絡安全數據作為預先構建的智 能融合模型的輸入,計算網絡安全態勢; 可視化模塊,用于將計算得到的網絡安全態勢的結果進行可視化。
2. 根據權利要求1所述的系統,其特征在于, 所述智能融合模型為F層,上一層的每個節點在下一層擁有N個子節點,其中2,且 N > 2 ; 所述智能融合模型中包含有歷史網絡安全數據的時序記憶模式,所述時序記憶模式至 少表征了歷史網絡安全數據的特征點的時序關系。
3. 根據權利要求2所述的系統,其特征在于,所述系統還包括: 訓練數據采集模塊,用于采集用于訓練智能融合模型的網絡安全數據; 特征提取模塊,用于針對采集的用于訓練智能融合模型的網絡安全數據,提取該數據 的時空關聯特征; 樣本數據確定模塊,用于對采集到的用于訓練智能融合模型的網絡安全數據W及提取 的時空關聯特征進行預設定的攻擊W獲得特征集和攻擊反饋數據集,該兩個集合作為智能 融合模型的樣本數據; 訓練模塊,用于根據獲取的樣本數據,訓練智能融合模型,生成智能融合模型的時序記 憶模式。
4. 根據權利要求3所述的系統,其特征在于,所述訓練模塊,包括: 輸入單元,用于將特征集和攻擊反饋數據集作為智能融合算法的樣本數據,輸入給智 能融合模型; 學習單元,用于智能融合模型根據輸入的樣本數據進行學習,并形成與各層的節點對 應的時序記憶模式。
5. 根據權利要求1所述的系統,其特征在于,所述感知模塊,包括: 輸入模式提取單元,用于提取網絡安全數據的時間序列作為一組輸入模式,輸入給智 能融合模型; 處理單元,用于通過預先構建的智能融合模型,計算輸入模式與智能融合模型的時序 記憶模式的匹配概率,并將匹配概率大于預設闊值的時序記憶模式作為最終匹配的時序記 憶模式,形成態勢特征結果集,用于進行可視化。
6. 根據權利要求5所述的系統,其特征在于,所述可視化模塊,用于將態勢特征結果集 中的時序記憶模式,與預先存儲的時空數據片段進行特征匹配,輸出匹配結果,將匹配結果 作為可視化片段。
7. 根據權利要求6所述的系統,其特征在于,所述系統還包括: 記錄模塊,用于所述可視化模塊將態勢特征結果集中的時序記憶模式,與預先存儲的 時空數據片段進行特征匹配之后,記錄每個可視化片段的特征點的空間,時間和主方向供 可視化使用; 第一劃分模塊,用于W主方向為起點,W特征點為中也,將可視化空間劃分為P個扇形 區域,其中,P〉1 ; 第二劃分模塊,用于w特征點所在時空位置為基點劃分時域推演區間為前后兩個區間 來明確歷史態勢和未來態勢關系,將時空空間劃分為化個區間; 時空編碼建立模塊,用于按時間先后順序和預設的空間順序對每個區間設好索引,建 立起該特征點的特征和其他特征點的特征的時空編碼關系,其中,所述時空編碼關系是依 據時間軸建立的安全特征變化數據集; 校驗模塊,用于根據時空編碼關系生成分別與可視化片段和時空片段對應的時空檢驗 矩陣Mv和M。,然后將Mv和Me進行異或運算,得到異或矩陣Dve,并分析異或矩陣Dw中的非 零元素所在的行和列,從而剔除掉錯誤的匹配; 輸出模塊,用于用直方圖相似選優算法做出相似性判斷,輸出匹配結果。
8. -種網絡安全態勢感知方法,其特征在于,所述方法包括: 采集網絡中的用于進行安全態勢感知的網絡安全數據; 將采集到的用于進行安全態勢感知的網絡安全數據作為預先構建的智能融合模型的 輸入,計算網絡安全態勢; 將計算得到的網絡安全態勢的結果進行可視化。
9. 根據權利要求8所述的方法,其特征在于, 所述智能融合模型為F層,上一層的每個節點在下一層擁有N個子節點,其中2,且 N > 2 ; 所述智能融合模型中包含有歷史網絡安全數據的時序記憶模式,所述時序記憶模式至 少表征了歷史網絡安全數據的特征點的時序關系。
10. 根據權利要求9所述的方法,其特征在于,所述智能融合模型根據W下方法構建: 采集用于訓練智能融合模型的網絡安全數據; 針對采集的用于訓練智能融合模型的網絡安全數據,提取該數據的時空關聯特征; 對采集到的用于訓練智能融合模型的網絡安全數據W及提取的時空關聯特征進行預 設定的攻擊W獲得特征集和攻擊反饋數據集,該兩個集合作為智能融合模型的樣本數據; 根據獲取的樣本數據,訓練智能融合模型,生成智能融合模型的時序記憶模式。
11. 根據權利要求10所述的方法,其特征在于,所述根據獲取的樣本數據,訓練智能融 合模型,生成智能融合模型的時序記憶模式,包括: 將特征集和攻擊反饋數據集作為智能融合算法的樣本數據,輸入給智能融合模型; 智能融合模型根據輸入的樣本數據進行學習,并形成與各層的節點對應的時序記憶模 式。
12. 根據權利要求8所述的方法,其特征在于,所述將采集到的網絡安全數據作為預先 構建的智能融合模型的輸入,計算網絡安全態勢,包括: 提取網絡安全數據的時間序列作為一組輸入模式,輸入給智能融合模型; 通過預先構建的智能融合模型,計算輸入模式與智能融合模型的時序記憶模式的匹配 概率,并將匹配概率大于預設闊值的時序記憶模式作為最終匹配的時序記憶模式,形成態 勢特征結果集,用于進行可視化。
13. 根據權利要求12所述的方法,其特征在于,所述將計算得到的網絡安全態勢的結 果進行可視化,包括: 將態勢特征結果集中的時序記憶模式,與預先存儲的時空數據片段進行特征匹配,輸 出匹配結果,將匹配結果作為可視化片段。
14.根據權利要求13所述的方法,其特征在于,所述將態勢特征結果集中的時序記憶 模式,與預先存儲的時空數據片段進行特征匹配之后,所述方法還包括: 記錄每個可視化片段的特征點的空間,時間和主方向供可視化使用; W主方向為起點,W特征點為中也,將可視化空間劃分為P個扇形區域,其中,P〉1 ; W特征點所在時空位置為基點劃分時域推演區間為前后兩個區間來明確歷史態勢和 未來態勢關系,將時空空間劃分為化個區間; 按時間先后順序和預設的空間順序對每個區間設好索引,建立起該特征點的特征和其 他特征點的特征的時空編碼關系,其中,所述時空編碼關系是依據時間軸建立的安全特征 變化數據集; 根據時空編碼關系生成分別與可視化片段和時空片段對應的時空檢驗矩陣Mv和M。,然 后將Mv和M。進行異或運算,得到異或矩陣Dve,并分析異或矩陣Dw中的非零元素所在的行 和列,從而剔除掉錯誤的匹配; 用直方圖相似選優算法做出相似性判斷,輸出匹配結果。
【文檔編號】H04L29/06GK104348829SQ201410505350
【公開日】2015年2月11日 申請日期:2014年9月26日 優先權日:2014年9月26日
【發明者】蕭海東, 陳寧 申請人:智慧城市信息技術有限公司