[发明专利]基于多因素层次化的网络安全态势评估与预测方法

权利要求书

1.基于多因素层次化的网络安全态势评估与预测方法，其特征在于：该方法的具体实现步骤如下：

步骤1：将信息系统所处网络由上至下划分为总网络层、子网络层、主机层、服务层；

步骤2：提出网络态势基本信息的定义，其反应当前网络安全状态的基本信息，包括网络流量信息和报警信息；

表示为：Situation_info＝{ID,Timestamp,DIP,DP,Attack,Δt}；

其中，ID为流量唯一标识；Timestamp为流量产生的时间戳信息；DIP为接收流量的目的主机IP地址；DP为接收流量的目的端口；Attack为受攻击类型；Δt为计算当前时刻网络安全态势利用的历史时间窗口大小；

步骤3：计算服务层态势：服务层态势的评估以端口作为单位，端口对应相应服务，t时刻服务层态势值S₀(t)计算方法如下：

其中，N(Δt)为Δt时间内该端口被访问数量，f为该端口发生攻击事件的频率，a(Δt)为Δt时间内该端口发生的攻击数量，n_i(Δt)为Δt时间内攻击i发生次数，x_i为攻击i的影响力；

步骤4：计算主机层态势：在主机威胁方面，主机发生网络攻击事件所带来的威胁即为该主机所有端口发生网络攻击事件的威胁总和，因此以该主机全部开放端口的态势总和作为该主机的威胁值；在脆弱性方面，主机脆弱性体现在该主机受到攻击的可能性上，通过统计该主机遭受到攻击的频率而得出；在层次要素价值方面，主机的价值体现在其所承担的信息系统服务价值上，t时刻主机层态势值S₁(t)计算方法如下：

其中，A为操作系统脆弱性，B为该主机重要性，u(Δt)为Δt时间内该主机开放的端口数量，y_j为端口j发生攻击的频率；

步骤5：计算子网层态势：在子网威胁方面，以该子网全部主机的态势总和作为该子网的威胁值；在脆弱性方面，通过评估该区域边界防护措施有效性进行确定，考虑该措施对于网络安全事件进行特征检测或异常检测、识别或分析、报警或阻断，进而进行整体评估；在层次属性价值方面，与主机层评估相似，体现在其承担的服务价值上；综上所述，t时刻子网层态势值S₂(t)如下：

其中，C为区域边界防护措施有效性，D为子网区域资产重要程度，v为该子网存在的主机数量；

步骤6：计算总网络层态势：累积以上层次的态势值，t时刻总网络的态势值S(t)计算方法如下：

其中，w为子网区域数量；

步骤7：将态势值映射至态势隶属度函数上，态势值的波动幅度反应态势的高低；g设置为态势评估结果分布的较小四分位数，当态势评估结果处于该值以下时，不会产生任何报警；h设置为态势评估结果分布的较大四分位数，当态势评估结果处于该值以上时，产生报警；由于在态势评估的过程中已考虑到各因素指标相对于安全状态的影响程度，因此在映射部分仅进行态势值的线性缩放，将处于[g,h]的态势评估结果缩放至[0,1]，网络安全管理员可直观的观察到此区间内网络状态的趋势变化；

步骤8：划分数据集，制作态势样本集X和态势标签集X'：态势值集合AssessmentResult为n个具有时间序列的态势值构成的向量，记作x＝[x₁,x₂,x₃,...,x_n]；假设时间步长设置为k，则取长度为k的向量作为样本，所得态势样本集为X＝[X_k,X_k+1,...,X_n-1]，每个样本包含了当前k时刻和历史k-1个时刻的态势值；每个样本经过预测模型预测下一时刻k+1的态势值，设置X'＝[x_k+1,x_k+2,...,x_n]为态势标签集；

步骤9：预测模型采用堆叠式长短期记忆网络，神经网络由输入层Input、隐藏层、全连接层Dense、输出层Output构成，隐藏层由堆叠的2个LSTM层构成，通过Dense层将信息传递给输出层；将X和X'输入至神经网络，进行迭代训练：前一层LSTM预测的向量结果作为下一层LSTM的输入向量；最后得到态势预测值集合Prediction Result；

步骤10：展示Prediction Result和Assessment Result折线图。

2.根据权利要求1所述的基于多因素层次化的网络安全态势评估与预测方法，其特征在于：首先考虑威胁因素，威胁因素与该端口发生的攻击数量和攻击影响力相关，而攻击影响力体现攻击发生后对网络信息系统所带来的影响，关系到安全管理员的直接决策，攻击影响力采用指数级进行计算；考虑到大部分端口无攻击事件发生，为确保其他因素在态势值中的表达，在计算威胁值时，1代表无威胁情况，保证服务层态势不为0；在脆弱性方面，端口脆弱性即端口被利用程度，通过该端口发生攻击事件的频率体现；端口被利用即发生攻击事件，影响信息系统安全状态，以指数级表达；在层次要素价值方面，端口被访问数量决定端口的价值。