[发明专利]一种分布式的态势感知方法和系统

权利要求书

1.一种分布式的态势感知方法，其特征在于，所述方法包括：

采集不同来源的传感器、信息平台、探测设备的运行状态数据；

接收采集数据后，清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，分入对应的字段，合并成数据流；

从合并后的数据流提取要素，发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息，从中发掘高频项目组，根据高频项目组对应的信息生成高频关联规则，加大其对应的权重，组成频繁模式树状结构；

根据所述频繁模式树状结构，查询地址相邻相近的资产态势信息，查询访问对象所属同层的资产态势信息，以及查询流量速度、流量总量相似的资产态势信息；

判断单个关键设备是否存在与地址相邻相近资产相同的安全漏洞，判断单个关键设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层资产相同的报警，判断单个关键设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似资产相同的变化，计算单个关键设备的安全态势值；

所述安全态势值计算考虑均衡服务器当前所提供的服务s、该服务收到的攻击种类k、服务所受到的攻击的次数N、攻击的严重程度d、攻击时刻t，得到分布式均衡服务器下的单个关键设备的安全态势值Rservice(s,k,N,d,t)＝N(t)·10^d(t),N(t)表示t时刻攻击所发生的次数，用10^d(t)计算攻击的威胁程度，反映威胁程度高的攻击对分布式均衡服务器下的单个关键设备的安全态势的影响程度；

将邻近的若干个单个关键设备，或者依据有业务交互的若干个单个关键设备，组成局部网络，由局部网络内的每个关键设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例，根据业务优先级引入模糊处理计算局部网络的安全态势值；

根据多个局部网络的拓扑关系，模糊处理计算整个网络的安全态势值；

分别将单个关键设备、局部网络和整个网络的安全态势值导入神经网络模型，通过神经网络模型推演，得出未来一段时间关于攻击者来源和攻击范围的预测；

将单个关键设备、局部网络和整个网络的安全态势值，攻击者来源和攻击范围的预测结果进行可视化展示；

所述从合并后的数据流提取要素，包括：根据以往历史数据的评估模型、关联规则和指标库，从数据流的相应字段中提取要素信息。

2.根据权利要求1所述的方法，其特征在于，所述清除数据中的冗余信息，根据来源的类型，将数据格式转换为统一的格式，是基于Map Reduce分布式并行计算处理的。

3.根据权利要求2所述的方法，其特征在于，所述模糊处理计算是基于D-S理论与模糊集相结合的方法，计算攻击发生支持的概率。