一种基于多级联动方式的网络安全态势感知方法与流程

1.本发明涉及网络安全态势感知的技术领域，尤其涉及一种基于多级联动方式的网络安全态势感知方法。


背景技术：

2.电力集团包含多个发电厂，网络安全环境复杂，网络安全设备种类多，日志类型较多，缺乏统一信息收集汇总分析的平台及态势感知平台，对全局安全问题进行总体监管分析。
3.电厂与集团之间的通信能力有限，无法将全流量上送到区域级，利用集团侧的大计算集群进行安全建模分析，而电厂侧缺乏大计算集群及安全建模能力导致大量的安全数据没有被利用上。
4.网络安全检测能力需要实时更新，因此如何才能将实时更新的检测能力下放到各个电厂并形成统一的管理，区域级的安全专家如何有效的对电厂的出现的安全问题进行指导与解决，对存在的安全隐患进行分析并进行预警是亟待解决的问题。


技术实现要素：

5.本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本技术的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。
6.鉴于上述现有存在的问题，提出了本发明。
7.因此，本发明解决的技术问题是：现有技术无法对存在的安全隐患进行实时地分析及预警，从而导致网络安全防护不及时。
8.为解决上述技术问题，本发明提供如下技术方案：采集电厂i区和ii区的流量和安全日志；对所采集的数据进行预处理并提取关键特征要素；基于所提取的关键特征要素，通过基线学习构建基线流量与日志模型，利用安全检测模型对所述基线流量与日志模型中异常信息进行实时分析与检测；当检测到异常信息时，利用安全专家知识对所述异常信息进行安全溯源分析，得到安全问题。
9.作为本发明所述的基于多级联动方式的网络安全态势感知方法的一种优选方案，其中：利用厂站级态势感知设备采集所述电厂i区和ii区的流量和安全日志。
10.作为本发明所述的基于多级联动方式的网络安全态势感知方法的一种优选方案，其中：对所采集的数据进行预处理并提取关键特征要素包括，对所采集的数据进行数据清洗、数据集成、数据变换和数据归约；利用主成分分析策略提取所述关键特征要素。
11.作为本发明所述的基于多级联动方式的网络安全态势感知方法的一种优选方案，其中：通过基线学习构建所述基线流量与日志模型包括，会话集合：f1＝{目的端口目的ip地址源ip地址传输协议协议上行包数量下行包数量上行包大小下行包大小通信开始时间通信时长}；协议行为集合：f2＝{目的端口目的ip地址源ip地址传输协议协议上行包数量
下行包数量上行包大小下行包大小通信开始时间通信时长协议指令协议指令参数}。
12.作为本发明所述的基于多级联动方式的网络安全态势感知方法的一种优选方案，其中：还包括，基于所述会话集合和协议行为集合构建所述基线流量与日志模型：
[0013][0014]
其中，e(y|x＝x)表示行为匹配度输出值，y表示集合行为，x表示输入行为，τ1表示抽取次数，τ2表示行为概率。
[0015]
作为本发明所述的基于多级联动方式的网络安全态势感知方法的一种优选方案，其中：根据所述行为匹配度输出值判断是否存在异常流量或行为，包括，当0≤e(y|x＝x)＜0.83时，存在异常流量或行为；当0.83≤e(y|x＝x)≤1时，流量或行为正常。
[0016]
作为本发明所述的基于多级联动方式的网络安全态势感知方法的一种优选方案，其中：利用所述安全检测模型对所述基线流量与日志模型中异常信息进行实时分析与检测包括，根据历史信息建立异常信息特征库；采用深度学习网络构建所述安全检测模型，并进行数据训练，得到完善的安全检测模型；将所述异常信息与所述异常信息特征库进行匹配，分析检测得到最终的安全漏洞。
[0017]
作为本发明所述的基于多级联动方式的网络安全态势感知方法的一种优选方案，其中：所述异常信息包括异常流量和日志。
[0018]
作为本发明所述的基于多级联动方式的网络安全态势感知方法的一种优选方案，其中：所述安全检测模型的包括，
[0019][0020]
其中，[a，b]表示检测区间，x
k
表示子区间为k值时流量值，x
k
‑1表示子区间为k
‑
1值时流量值，δx
k
＝x
k
‑
x
k
‑1表示子区间k的长度，n表示迭代次数。
[0021]
本发明的有益效果：本发明能够提前对存在的安全隐患进行实时地分析及预警，从而能够及时不安全的网络问题进行防护。
附图说明
[0022]
为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：
[0023]
图1为本发明一个实施例提供的一种基于多级联动方式的网络安全态势感知方法的基本流程示意图；
[0024]
图2为本发明一个实施例提供的一种基于多级联动方式的网络安全态势感知方法的区域级安全态势感知平台示意图。
具体实施方式
[0025]
为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对
本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。
[0026]
在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。
[0027]
其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。
[0028]
本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。
[0029]
同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
[0030]
本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
[0031]
实施例1
[0032]
参照图1～2，为本发明的一个实施例，提供了一种基于多级联动方式的网络安全态势感知方法，包括：
[0033]
s1：采集电厂i区和ii区的流量和安全日志；需要说明的是：
[0034]
利用厂站级态势感知设备采集电厂i区和ii区的流量和安全日志。
[0035]
s2：对所采集的数据进行预处理并提取关键特征要素；需要说明的是：
[0036]
对所采集的数据进行预处理并提取关键特征要素包括：
[0037]
对所采集的数据进行数据清洗、数据集成、数据变换和数据归约；
[0038]
利用主成分分析策略提取关键特征要素；其中，主成分分析策略运用如下代码进行特征要素提取：
[0039]
[0040][0041]
s3：基于所提取的关键特征要素，通过基线学习构建基线流量与日志模型，利用安全检测模型对基线流量与日志模型中异常信息进行实时分析与检测；需要说明的是：
[0042]
通过基线学习构建基线流量与日志模型包括：
[0043]
会话集合：
[0044]
f1＝{目的端口目的ip地址源ip地址传输协议协议上行包数量下行包数量上行包大小下行包大小通信开始时间通信时长}；
[0045]
协议行为集合：
[0046]
f2＝{目的端口目的ip地址源ip地址传输协议协议上行包数量下行包数量上行包大小下行包大小通信开始时间通信时长协议指令协议指令参数}。
[0047]
基于会话集合和协议行为集合构建基线流量与日志模型：
[0048][0049]
其中，e(y|x＝x)表示行为匹配度输出值，y表示集合行为，x表示输入行为，τ1表示抽取次数，τ2表示行为概率。
[0050]
根据行为匹配度输出值判断是否存在异常流量或行为，包括：
[0051]
当0≤e(y|x＝x)＜0.83时，存在异常流量或行为；
[0052]
当0.83≤e(y|x＝x)≤1时，流量或行为正常。
[0053]
利用安全检测模型对基线流量与日志模型中异常信息进行实时分析与检测包括：
[0054]
根据历史信息建立异常信息特征库；
[0055]
采用深度学习网络构建安全检测模型，并进行数据训练，得到完善的安全检测模型；
[0056]
其中，安全检测模型的包括，
[0057][0058]
其中，[a，b]表示检测区间，x
k
表示子区间为k值时流量值，x
k
‑1表示子区间为k
‑
1值时流量值，δx
k
＝x
k
‑
x
k
‑1表示子区间k的长度，n表示迭代次数。
[0059]
将异常信息与异常信息特征库进行匹配，分析检测得到最终的安全漏洞；
[0060]
其中，异常信息包括异常流量和日志。
[0061]
s4：当检测到异常信息时，利用安全专家知识对异常信息进行安全溯源分析，得到安全问题；需要说明的是：
[0062]
如图2所示，区域级态势感知平台通过自身的安全专家能力与第三方安全厂商合作不断的构建自身的安全核心安全能力，包括：漏洞库，情报库，病毒查杀库，入侵检查库，关联规则分析库，基于行为分析的模型库，安全资讯等，并将这些核心检测能力下发到厂级态势感知平台；当出现安全漏洞问题或者有可能存在异常流量时，区域级安全专家可以通过远程的方式直接连接到厂站级态势感知平台进行安全溯源与取证。
[0063]
实施例2
[0064]
为本发明另一个实施例，该实施例不同于第一个实施例的是，提供了一种基于多级联动方式的网络安全态势感知方法的验证测试，为对本方法中采用的技术效果加以验证说明，本实施例采用传统技术方案与本发明方法进行对比测试，以科学论证的手段对比试验结果，以验证本方法所具有的真实效果。
[0065]
传统的技术方案：无法对存在的安全隐患进行实时地分析及预警，从而导致网络安全防护不及时。为验证本方法相对传统方法具有较高实时性以及分析准确性。本实施例中将采用传统网络安全态势感知方法和本方法分别对仿真网络安全漏洞问题的检测及分析准确度及速度进行实时测量对比。
[0066]
测试环境：主机操作系统：windows、solaris、aix、linux、sco、sgi；数据库系统：mssql、oracle、mysql、informix、sybase；应用系统：目标提供的各种应用，如asp、cgi、jsp、php等组成的www应用；网络设备：防火墙、安全检测系统、网络设备；其安全事件的按照10、12、15、12、21顺序每隔1小时利用自动化测试设备进行发放并运用matlb软件编程实现两种方法的仿真测试，根据实验结果得到仿真数据。每种方法各测试1000组数据，两种方法的测试结果如下表所示。
[0067]
表1：实验结果对比表。
[0068]
实验样本传统方法本发明方法时延1.2min0.4ms准确率85％98％
[0069]
从上表可以看出本发明方法具有良好的性能。
[0070]
应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。