[发明专利]基于异常度量的宏观网络安全状态评估方法

权利要求书

1.一种基于异常度量的宏观网络安全状态评估方法，其特征在于，包括以下步骤：

A、定义建模参数与评分标准；

B、根据已定义的建模参数，采集样本数据，提取用于描述网络安全状态的指标变量；

C、根据从样本数据中提取的指标变量，提取能反映网络运行状态的规律性因素，过滤偶然性因素，建立网络正常运行状态模型；

D、采集指标变量检测数据，计算指标变量检测数据与正常模型间的异常程度；

E、根据已定义的评分标准，按照所述指标变量的异常程度计算该指标的标准化评分，按照指标变量的重要程度给出网络整体状态的标准化评分。

2.根据权利要求1所述的基于异常度量的宏观网络安全状态评估方法，其特征在于，所述步骤A包含：

A1、自定义建模参数：样本个数可定义、样本主成分波动幅度可定义、样本贡献率可定义；

A2、自定义评分标准：异常程度评分标准可定义、指标变量的重要程度可定义。

3.根据权利要求1所述的基于异常度量的宏观网络安全状态评估方法，其特征在于，所述步骤B中指标变量包括：tcp端口流量、udp端口流量、长度流量、icmp标识流量、tcp标识流量、多个标识上的四元组，即源ip、目的ip、源端口、目的端口，熵分布以及安全事件发生次数。

4.根据权利要求1所述的基于异常度量的宏观网络安全状态评估方法，其特征在于对于每个指标变量分别建立模型，模型的建立使用主成分分析方法；所述步骤C包含：

C1、某指标变量的一系列数据构成样本矩阵X；

C2、计算样本数据的协方差矩阵M、样本均值向量μ；

C3、计算协方差矩阵M的特征值和特征向量，根据特征值从m维的指标变量中提取k维主成份，此处k＜＝m；

C4、计算将样本数据从k维主成份，重新映射回原有的m维样本数据的转换矩阵UU^T；

C5、计算样本数据在转换矩阵U上映射后的残差均值μ_d和残差标准差σ_d；

C6、样本均值向量μ、残差均值μ_d、残差标准差σ_d与转换矩阵UU^T共同构成某指标变量的模型。

5.根据权利要求4所述的基于异常度量的宏观网络安全状态评估方法，其特征在于所述步骤C3包括：选取主成分的方法是：根据每个主成分的波动周期性进行选取；根据主成分的贡献率进行选取。

6.根据权利要求1所述的基于异常度量的宏观网络安全状态评估方法，其特征在于，所述步骤D包含：

D1、将待检测向量t中心化为φ：φ＝t-μ；

D2、将φ在空间UU^T上映射：φ_f＝UU^Tφ；

D3、计算φ的残差ξ：ξ＝||φ-φf||。