[发明专利]一种网络安全态势感知方法

说明书

技术领域

本发明属于信息安全技术领域，尤其涉及一种网络安全态势感知方法。

背景技术

网络已深入现代生活的各个方面，但是人们备受关注的网络安全却存在着巨大的隐患。传统的网络防御手段如：防火墙、防病毒软件、入侵监测系统(IDS)等都是被动的网络防御，这已满足不了目前人们对网络安全的要求。网络安全态势感知是一种主动的网络防御手段，它不仅能够反应当前网络安全态势，并且能够对网络中潜在的攻击做出预测，从而对潜在攻击做出主动防御。网络安全态势感知是从防火墙、安全审计、防病毒软件等软硬件中获取到大量的日志数据，在对数据处理的基础上，对整个网络的当前状况进行及时评估和反映，并对未来的变化趋势进行预测。由于从防火墙、安全审计、防病毒软件所获取的数据量相当庞大，这严重制约着网络安全态势评估和预测的实时性。因此，如何能够实时而准确的反映当前网络安全态势，通过可视化技术将整个网络安全态势显示出来，并利用智能学习算法对未来网络安全态势进行预测成为网络安全态势感知的主要研究方向。网络安全态势感知的研究过程主要包括以下六个步骤：数据的预处理、事件关联目标识别、态势和威胁评估、响应与预警、态势可视化显示以及网络安全态势预测。

网络安全态势感知的基本处理流程如下：首先从防火墙、安全审计、防病毒软件等软硬件中获取的数据进行去噪、统一格式；然后将数据进行关联以及目标识别，数据间的关联和识别越准确，越能促进准确反映网络的整体安全状况；在数据关联以及目标识别的基础上，对网络安全态势和威胁做出评估，然后根据威胁的程度和种类，在确定预警阈值的基础上做出响应，并给出威胁的相应解决措施，以及基于网络安全态势评估、威胁评估和响应与预警形成网络安全态势可视化图，利用历史数据和当前网络安全态势值，预测未来一段时间内的网络安全态势，以供决策者做出正确决策。由网络安全态势处理的基本流程可知，要得到更好的网络安全态势感知效果，主要要解决四个方面的问题：第一是研究怎样能从海量数据中挖掘出有用的特征数据，不仅反映数据的基本信息，同时也减少处理数据的维数，从而提高网络安全态势感知的实时性；第二是研究如何提高数据的融合效果，减少冗余信息；第三是研究怎样使网络安全态势评估和威胁评估更加合理、有效；第四是研究怎样建立准确的网络安全态势预测模型。

发明内容

本发明的目的在于，针对目前网络安全态势感知过程中存在的问题，提出一种网络安全态势感知方法，用以提高网络安全态势感知的实时性和准确性。

技术方案是，一种网络安全态势感知方法，其特征是所述方法包括下列步骤：

步骤1：从安全防护软件和/或硬件中采集数据，对数据进行预处理，并将预处理后的数据作为数据样本；

步骤2：利用流形学习对数据样本进行特征提取和降维，得到数据样本的输出值；

步骤3：利用核匹配集成聚类算法对数据样本的输出值进行聚类；

步骤4：采用DS证据推理对聚类后的结果进行融合；

步骤5：采用层次模型，评估网络安全态势和威胁；

步骤6：利用历史数据和当前网络安全态势，预测未来设定时长内的网络安全态势；

步骤7：根据设定阈值，判定网络安全是否受到威胁；当态势值大于设定阈值时，则判定网络安全受到威胁。

所述利用流形学习对数据样本进行特征提取和降维具体包括：

步骤201：设定数值k，利用公式计算每个数据样本的k个近邻点；其中，M(i)，M(j)分别表示数据样本y_i，y_j和其他数据样本之间的平均值，i＝1，2，...，n，j＝1，2，...，n；

步骤202：利用公式根据每个数据样本的近邻点计算出该数据样本的局部重建权值矩阵；其中，是x_i与x_ij之间的权值，且要满足条件：Qⁱ是一个局部协方差矩阵，且x_ij(j＝1，2，...，k)为x_i的k个近邻点；

步骤203：由该数据样本的局部重建权值矩阵和其近邻点计算出该数据样本的输出值；计算公式为：