[发明专利]一种定量化的网络安全保护强度评估方法及系统

权利要求书

1.一种定量化的网络安全保护强度评估方法，其特征在于，所述方法包括以下步骤：

1)采用网络节点中的软件行为监视代理程序通过以下步骤持续监视并采集节点的软件行为特征，并将所述软件行为特征发送到软件行为数据库：

1.1)统计相应时间范围内的软件行为记录数量，从而获得可执行代码调用总数，分别统计可信和不可信的可执行代码调用总数及其被成功调用的总数；

1.2)按安全域划分，基于IP地址分别统计各安全域内可信和不可信的可执行代码调用总数及其被成功调用的总数；

1.3)按用户名分别统计各用户可执行代码调用总量、可信和不可信的可执行代码调用总数及其被成功调用的总数；

2)从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型；

3)网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估，计算出定量化的网络安全保护强度，定量化的网络安全保护强度包括系统中可信和不可信代码调用总次数以及被成功调用次数的比例，各区域中可信和不可信代码调用总次数以及被成功调用次数的比例，各用户可信和不可信代码调用总次数以及被成功调用次数的比例。

2.根据权利要求1所述的方法，其特征在于，将软件行为监视代理程序通过钩子程序的方式置于网络节点的系统内核中，并采用内核保护机制进行保护。

3.根据权利要求1所述的方法，其特征在于，所述机器学习算法采用隐马尔科夫模型算法，将网络安全保护强度作为隐马尔科夫模型的状态变量，将软件行为特征作为观测变量。

4.根据权利要求3所述的方法，其特征在于，所述软件行为特征为可执行代码的调用和执行状态信息，所述调用和执行状态信息包括被调用代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户。

5.根据权利要求4所述的方法，其特征在于，采用离散化的方式来表示所述调用和执行状态信息和网络安全保护强度。

6.一种定量化的网络安全保护强度评估系统，其特征在于，所述系统包括：

信息采集模块，采用网络节点中的软件行为监视代理程序通过以下步骤持续监视并采集节点的软件行为特征，并将所述软件行为特征发送到软件行为数据库：

1.1)统计相应时间范围内的软件行为记录数量，从而获得可执行代码调用总数，分别统计可信和不可信的可执行代码调用总数及其被成功调用的总数；

1.2)按安全域划分，基于IP地址分别统计各安全域内可信和不可信的可执行代码调用总数及其被成功调用的总数；

1.3)按用户名分别统计各用户可执行代码调用总量、可信和不可信的可执行代码调用总数及其被成功调用的总数；

模型训练模块，从软件行为数据库中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练生成网络安全分析模型；

网络安全保护强度评估模块，网络安全分析模型通过机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估，计算出定量化的网络安全保护强度，定量化的网络安全保护强度包括系统中可信和不可信代码调用总次数以及被成功调用次数的比例，各区域中可信和不可信代码调用总次数以及被成功调用次数的比例，各用户可信和不可信代码调用总次数以及被成功调用次数的比例。

7.根据权利要求6所述的系统，其特征在于，将软件行为监视代理程序通过钩子程序的方式置于网络节点的系统内核中，并采用内核保护机制进行保护。

8.根据权利要求6所述的系统，其特征在于，所述机器学习算法采用隐马尔科夫模型算法，将网络安全保护强度作为隐马尔科夫模型的状态变量，将软件行为特征作为观测变量。

9.根据权利要求7所述的系统，其特征在于，所述软件行为特征为可执行代码的调用和执行状态信息，所述调用和执行状态信息包括被调用代码的hash值、可信度、调用时间、调用范围、调用结果、节点IP地址和当前用户。

10.根据权利要求9所述的系统，其特征在于，采用离散化的方式来表示所述调用和执行状态信息和网络安全保护强度。