網(wǎng)絡(luò)安全態(tài)勢分析方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)安全態(tài)勢分析方法。
【背景技術(shù)】
[0002] 隨著電力信息網(wǎng)絡(luò)環(huán)境規(guī)模的日益擴(kuò)大,網(wǎng)絡(luò)中各種設(shè)備的數(shù)量急劇增加,來自 外部和內(nèi)部的各種安全和攻擊也在急劇增加,威脅著網(wǎng)絡(luò)信息安全。為了不斷應(yīng)對(duì)新的安 全挑戰(zhàn),電力信息網(wǎng)絡(luò)先后部署了防病毒系統(tǒng)、防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、UTM 等等。在這種復(fù)雜的安全體系下,網(wǎng)絡(luò)具有資源分布共享化、用戶分散化和管理分布化等特 性,為實(shí)現(xiàn)多元化、智能信息服務(wù)提供了基礎(chǔ)。然而,這種復(fù)雜的網(wǎng)絡(luò)顯示中安全問題已經(jīng) 成為制約其發(fā)展的一大障礙。安全態(tài)勢評(píng)估技術(shù)能夠從全面、宏觀反映出網(wǎng)絡(luò)動(dòng)態(tài)安全狀 況,并對(duì)安全狀況的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警,因此,針對(duì)電力信息網(wǎng)絡(luò)的安全態(tài)勢分析模 型及關(guān)鍵技術(shù)已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。
[0003] 目前,對(duì)電力信息網(wǎng)絡(luò)進(jìn)行安全態(tài)勢分析已經(jīng)開展了一些有價(jià)值理論和應(yīng)用研 究,例如:研究基于模糊理論的網(wǎng)絡(luò)安全事件編群方法;建立基于模糊時(shí)間序列模型;研究 支持向量機(jī)回歸的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法等等。應(yīng)用實(shí)踐中,常見的安全態(tài)勢分析方法包 括:(1)態(tài)勢可視化展示,該方法的主要是利用人對(duì)直觀圖像的敏銳性,以可視化視圖的方 式將網(wǎng)絡(luò)互聯(lián)狀態(tài)呈現(xiàn)出來,從而使安全分析員對(duì)當(dāng)前的網(wǎng)絡(luò)狀態(tài)有直觀的了解,并通過 經(jīng)驗(yàn)去判斷網(wǎng)絡(luò)是否受到攻擊威脅,但這種方法的缺點(diǎn)是對(duì)安全分析人員經(jīng)驗(yàn)水平要求 高,難以精確量化分析。(2)全面采集各類安全設(shè)備的安全日志,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全態(tài) 勢分析,通過數(shù)據(jù)挖掘的方案評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)的安全性,但這種方法的缺點(diǎn)是信息來源單 一,只有安全日志信息,且性能低下,因?yàn)閷?duì)異構(gòu)安全事件的采集和處理效率較低。(3)利用 安全日志信息和設(shè)備漏洞信息的結(jié)合,采用風(fēng)險(xiǎn)計(jì)算算法,得到直觀的安全態(tài)勢圖,但此種 選取的態(tài)勢評(píng)估指標(biāo)還不夠全面,量化算法結(jié)果也不夠準(zhǔn)確,并且針對(duì)大型電力信息網(wǎng)絡(luò), 安全日志信息和設(shè)備漏洞信息的采集難以全面,導(dǎo)致最終的計(jì)算結(jié)果失真。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明提供了一種網(wǎng)絡(luò)安全態(tài)勢分析方法,解決了現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢分析方式準(zhǔn) 確程度和處理效率低下的問題。
[0005] -種安全態(tài)勢分析方法,包括:
[0006] A、通過SYSLOG協(xié)議和Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息,并從中提取IP地址 信息,基于地理信息或業(yè)務(wù)信息對(duì)得到的IP地址進(jìn)行分層,得到多個(gè)層級(jí);
[0007] B、分別計(jì)算各層級(jí)的地址熵值;
[0008] C、持續(xù)計(jì)算全局地址熵的值,以5分鐘為時(shí)間周期計(jì)算地址熵值基準(zhǔn)點(diǎn),以歷史 較長時(shí)間地址熵值基準(zhǔn)點(diǎn)數(shù)據(jù)的集合建立長周期熵值基線,以最近時(shí)間的地址熵值基準(zhǔn)點(diǎn) 數(shù)據(jù)的集合建立短周期熵值基線;
[0009] D、將所述全局地址熵的實(shí)測值與所述長周期熵值基線和短周期熵值基線的綜合 偏差度轉(zhuǎn)換為安全態(tài)勢指標(biāo)數(shù)據(jù);
[0010] E、當(dāng)安全態(tài)勢指標(biāo)超過預(yù)置的閾值時(shí),判定安全態(tài)勢發(fā)生異常,通過各層級(jí)地址 熵值的對(duì)比定位異常。
[0011] 優(yōu)選的,通過SYSLOG協(xié)議和Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息,并從中提取IP 地址信息包括:
[0012] 分布式采集點(diǎn)從以下任一信息或任意多個(gè)信息中提取IP地址:
[0013] 網(wǎng)絡(luò)安全設(shè)備日志,應(yīng)用系統(tǒng)日志,路由交換設(shè)備flow信息,
[0014] 所述IP地址包括源IP地址和目的IP地址。
[0015] 優(yōu)選的,通過SYSLOG協(xié)議和Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息,并從中提取IP 地址信息還包括:
[0016] 獲取所述IP地址的地理標(biāo)記;
[0017] 將所述IP地址映射為整形數(shù)據(jù)結(jié)構(gòu),將所述整形數(shù)據(jù)結(jié)構(gòu)和該IP地址的地理標(biāo) 記存儲(chǔ)于多層嵌套HashMap數(shù)據(jù)結(jié)構(gòu)中;
[0018]將所述IP地址的整形數(shù)據(jù)結(jié)構(gòu)加入IP映射緩存表,該IP映射緩存表存儲(chǔ)了IP地址的整形數(shù)據(jù)結(jié)構(gòu)和該IP地址被采集到的次數(shù)。
[0019] 優(yōu)選的,該方法還包括:
[0020] 根據(jù)預(yù)置的更新周期,周期性的對(duì)上一周期中所述IP映射緩存表中的IP地址依 據(jù)各IP地址的流量進(jìn)行排序;
[0021] 對(duì)排序后排名較靠前的IP地址對(duì)應(yīng)的被采集到的次數(shù)進(jìn)行更新。
[0022] 優(yōu)選的,分別計(jì)算各層級(jí)的地址熵值包括:
[0023] 根據(jù)以下表達(dá)式計(jì)算基礎(chǔ)層的源地址熵:
【主權(quán)項(xiàng)】
1. 一種網(wǎng)絡(luò)安全態(tài)勢分析方法,其特征在于,具體步驟包括: A、 通過SY化0G協(xié)議和Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息,并從中提取IP地址信 息,基于地理信息或業(yè)務(wù)信息對(duì)得到的IP地址進(jìn)行分層,得到多個(gè)層級(jí); B、 分別計(jì)算各層級(jí)的地址賭值; C、 持續(xù)計(jì)算全局地址賭的值,W 5分鐘為時(shí)間周期計(jì)算地址賭值基準(zhǔn)點(diǎn),W歷史較長 時(shí)間地址賭值基準(zhǔn)點(diǎn)數(shù)據(jù)的集合建立長周期賭值基線,W最近時(shí)間的地址賭值基準(zhǔn)點(diǎn)數(shù)據(jù) 的集合建立短周期賭值基線; D、 將所述全局地址賭的實(shí)測值與所述長周期賭值基線和短周期賭值基線的綜合偏差 度轉(zhuǎn)換為安全態(tài)勢指標(biāo)數(shù)據(jù); E、 當(dāng)安全態(tài)勢指標(biāo)超過預(yù)置的闊值時(shí),判定安全態(tài)勢發(fā)生異常,通過各層級(jí)地址賭值 的對(duì)比定位異常。
2. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法,其特征在于,通過SY化0G協(xié)議和 Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息,并從中提取IP地址信息包括: 分布式采集點(diǎn)從W下任一信息或任意多個(gè)信息中提取IP地址: 網(wǎng)絡(luò)安全設(shè)備日志,應(yīng)用系統(tǒng)日志,路由交換設(shè)備flow信息, 所述IP地址包括源IP地址和目的IP地址。
3. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法,其特征在于,通過SY化0G協(xié)議和 Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息,并從中提取IP地址信息還包括: 獲取所述IP地址的地理標(biāo)記; 將所述IP地址映射為整形數(shù)據(jù)結(jié)構(gòu),將所述整形數(shù)據(jù)結(jié)構(gòu)和該IP地址的地理標(biāo)記存 儲(chǔ)于多層嵌套化shMap數(shù)據(jù)結(jié)構(gòu)中; 將所述IP地址的整形數(shù)據(jù)結(jié)構(gòu)加入IP映射緩存表,該IP映射緩存表存儲(chǔ)了 IP地址 的整形數(shù)據(jù)結(jié)構(gòu)和該IP地址被采集到的次數(shù)。
4. 根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)安全態(tài)勢分析方法,其特征在于,該方法還包括: 根據(jù)預(yù)置的更新周期,周期性的對(duì)上一周期中所述IP映射緩存表中的IP地址依據(jù)各 IP地址的流量進(jìn)行排序; 對(duì)排序后排名較靠前的IP地址對(duì)應(yīng)的被采集到的次數(shù)進(jìn)行更新。
5. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法,其特征在于,分別計(jì)算各層級(jí)的地 址賭值包括: 根據(jù)W下表達(dá)式計(jì)算基礎(chǔ)層的源地址賭:
根據(jù)W下表達(dá)式計(jì)算基礎(chǔ)層的目的地址賭:
其中,S =之jlinipi表示觀測時(shí)間段內(nèi)的IP地址的總出現(xiàn)次數(shù); 根據(jù)W下表達(dá)式計(jì)算中間層的賭:
H(MIDDLE) =a地(SRC)+b 地值EST), 其中,a、b的取值區(qū)間為[0,1],且a+b = 1 ; 根據(jù)W下表達(dá)式計(jì)算全局層的賭:
6. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法,其特征在于,W歷史較長時(shí)間地址 賭值基準(zhǔn)點(diǎn)數(shù)據(jù)的集合建立長周期賭值基線包括: W較長周期為循環(huán)時(shí)長,計(jì)算每經(jīng)第一時(shí)間間隔后的全局賭值,形成一組有多個(gè)點(diǎn)的 賭值數(shù)組; 對(duì)本較長周期的賭值與上一較長周期的基線賭值進(jìn)行加權(quán)平均W獲得新的基線賭值, 多個(gè)所述基線賭值形成動(dòng)態(tài)的長周期賭值基線。
7. 根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)安全態(tài)勢分析方法,其特征在于,所述較長周期為一天 或一天W上的時(shí)間周期。
8. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法,其特征在于,W最近時(shí)間的地址賭 值基準(zhǔn)點(diǎn)數(shù)據(jù)的集合建立短周期賭值基線包括: 按照較短周期周期性的計(jì)算全局賭值; W最近的多個(gè)周期的全局賭值形成賭值數(shù)據(jù),所述賭值數(shù)據(jù)構(gòu)成的曲線即為短周期賭 值基線。
9. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法,其特征在于,將所述地址賭值轉(zhuǎn)換 為安全態(tài)勢指標(biāo)數(shù)據(jù)包括: 從所述長周期賭值基線中提取當(dāng)前時(shí)刻對(duì)應(yīng)的賭值,即為當(dāng)前時(shí)刻的長周期賭預(yù)測 值; 根據(jù)W下表達(dá)式獲得短周期基線對(duì)應(yīng)的賭預(yù)測值: H"i=Ht+a(yt-Ht), 設(shè)當(dāng)前短周期基線中的賭值序列為: y。72, 73, y4. . . . yt為當(dāng)前短周期基線中的賭值序列,a是加權(quán)系統(tǒng)(〇<a<l),Ht是第t 期的預(yù)測賭值; 根據(jù)W下表達(dá)式計(jì)算賭值偏差率Ut:
其中,H為實(shí)測全局賭值,Hi為基于長周期賭值基線獲取的預(yù)測賭值,H ,是基于短周期 賭值基線獲取的預(yù)測賭值; 根據(jù)W下表達(dá)式轉(zhuǎn)換得到安全態(tài)勢指標(biāo)(SSI):
〇
10.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢分析方法,其特征在于,當(dāng)SSI出現(xiàn)異常時(shí),通 過對(duì)各層級(jí)地址賭值進(jìn)行排序,確定地址賭值最大的網(wǎng)絡(luò)分層為網(wǎng)絡(luò)安全態(tài)勢異常所在位 置。
【專利摘要】本發(fā)明提供了一種網(wǎng)絡(luò)安全態(tài)勢分析方法。涉及網(wǎng)絡(luò)安全領(lǐng)域;解決了現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢分析方式準(zhǔn)確程度和處理效率低下的問題。A、通過SYSLOG協(xié)議和Flow協(xié)議采集網(wǎng)絡(luò)中各設(shè)備日志信息,并從中提取IP地址信息,基于地理信息或業(yè)務(wù)信息對(duì)得到的IP地址進(jìn)行分層,得到多個(gè)層級(jí);B、分別計(jì)算各層級(jí)的地址熵值;C、持續(xù)計(jì)算全局地址熵的值,以5分鐘為時(shí)間周期計(jì)算地址熵值基準(zhǔn)點(diǎn),以歷史較長時(shí)間地址熵值基準(zhǔn)點(diǎn)數(shù)據(jù)的集合建立長周期熵值基線,以最近時(shí)間的地址熵值基準(zhǔn)點(diǎn)數(shù)據(jù)的集合建立短周期熵值基線;D、將所述全局地址熵的實(shí)測值與所述長周期熵值基線和短周期熵值基線的綜合偏差度轉(zhuǎn)換為安全態(tài)勢指標(biāo)數(shù)據(jù);E、當(dāng)安全態(tài)勢指標(biāo)超過預(yù)置的閾值時(shí),判定安全態(tài)勢發(fā)生異常,通過各層級(jí)地址熵值的對(duì)比定位異常。實(shí)現(xiàn)了準(zhǔn)確高效的安全態(tài)勢分析。
【IPC分類】H04L29-06
【公開號(hào)】CN104601604
【申請(qǐng)?zhí)枴緾N201510090101
【發(fā)明人】陳連棟, 辛銳, 趙煒, 黃鏡宇, 崔志坤, 王靜, 宋崢崢, 孔明, 李井泉, 白濤, 付強(qiáng), 劉成龍, 張磊, 王震, 周文芳
【申請(qǐng)人】國家電網(wǎng)公司, 國網(wǎng)河北省電力公司信息通信分公司
【公開日】2015年5月6日
【申請(qǐng)日】2015年2月27日