[发明专利]基于异常度量的宏观网络安全状态评估方法

说明书

技术领域

本发明涉及信息安全领域，具体涉及一种基于异常度量的应用于宏观网络的安全状态评估的方法。

背景技术

随着Internet的发展，计算机网络的信息与网络安全面临着前所未有的严峻形势。对计算机网络的安全状态的评估变得越来越重要。在网络安全状态的评价方面，目前主要集中在局部范围内网络重要资产的风险评价上，极少有涉及宏观网络整体安全状态评价的研究成果。

在目前风险评估中使用的技术中，无论是基于层次分析法的网络风险状态评估模型，还是基于免疫的网络入侵危险性评估方法，都是针对特定的网络环境，对受保护的机器进行重点监控(有些与漏洞扫描相结合给出风险系数，有些分配大量资源记忆正常状态)。这些方法在局域网环境下有很好的效果，但当网络中主机个数达到一定量级，由于计算资源、存储资源等的限制，将无法具体使用。

美国的研究组织CAIDA(Cooperative Association for Internet Data Analysis，互联网数据分析协会)，提出了一种在宏观网络上评估Internet蠕虫传播状况的方法。该方法主要通过模拟1600万个可路由的主机地址，通过连续不断地对来自互联网的访问请求进行监测、收集和统计，使用后散推理算法(Back-ScatterAlgorithm)来修正、反推蠕虫在爆发时的传播情况。该方法的数据采集范围为模拟出的主机地址，而非骨干网上真实的IP地址；其主要目的是评估Internet蠕虫爆发时的影响，难以用于评估宏观网络的日常运行状态。

发明内容

本发明的目的是克服现有技术的缺点，提供一种在宏观网络中对海量数据进行实时检测，评估网络整体安全状态的方法。本发明依据对宏观网络系统的观察，根据正常网络数据变化的规律性，提取指标变量，既能很好反映网络状态，又能减低对存储资源的依赖；基于异常度量来检测网络状况安全与否，在模型建立过程中提取能反映网络运行状态的主要成分，过滤网络运行中的偶然性因素，从而准确描述宏观网络的总体安全状态。

本发明的目的是通过以下技术方案实现的：

一种基于异常度量的宏观网络安全状态评估方法，所述方法包括以下步骤：

A、定义建模参数与评分标准；

B、根据已定义的建模参数，采集样本数据，提取用于描述网络安全状态的指标变量；

C、根据从样本数据中提取的指标变量，提取能反映网络运行状态的规律性因素，过滤偶然性因素，建立网络正常运行状态模型；

D、采集指标变量检测数据，计算指标变量检测数据与正常模型间的异常程度；

E、根据已定义的评分标准，按照所述指标变量的异常程度计算该指标的标准化评分，按照指标变量的重要程度给出网络整体状态的标准化评分。

优选地，所述步骤A包含：

A1、自定义建模参数：样本个数可定义、样本主成分波动幅度可定义、样本贡献率可定义；

A2、自定义评分标准：异常度量评分标准可定义、指标变量的重要程度可定义。

优选地，所述步骤B包含：

B1、采集原始数据；

B2、提取指标变量；

B3、针对指标变量对数据进行周期汇总；

B4、汇总后的指标变量作为建模样本数据。

优选地，所述步骤B2中指标变量包括但不限于：tcp端口流量、udp端口流量、长度流量、icmp标识流量、tcp标识流量、多个标识上的四元组(源ip、目的ip、源端口、目的端口)熵分布以及安全事件发生次数。

优选地，对于每个指标变量分别建立模型，模型的建立使用主成分分析方法。所述步骤C包含：

C1、某指标变量的一系列数据构成样本矩阵X；

C2、计算样本数据的协方差矩阵M、样本均值向量μ；

C3、计算矩阵M的特征值和特征向量，根据特征值从m维的指标变量中提取k维主成份，此处k＜＝m；

C4、计算将样本数据从k维主成份，重新映射回原有的m维样本数据的转换矩阵UU^T；

C5、计算样本数据在转换矩阵U上映射后的残差均值μ_d和残差标准差σ_d(其中，向量在转换空间U上映射前与映射后向量之间的欧氏距离，本发明中称之为残差)，计算方法与步骤D相同；

C6、样本均值向量μ、残差均值μ_d、残差标准差σ_d与转换矩阵UU^T共同构成某指标变量的模型。