申请/专利权人：北京工业大学

申请日：2021-12-31

公开（公告）日：2024-04-16

公开（公告）号：CN114244728B

主分类号：H04L41/28

分类号：H04L41/28;H04L9/40;G06N3/0442;G06N3/08

优先权：

专利状态码：有效-授权

法律状态：2024.04.16#授权;2022.04.12#实质审查的生效;2022.03.25#公开

摘要：本发明公开了基于多因素层次化的网络安全态势评估与预测方法，首先，针对态势评估数据来源单一且融合较少问题并基于当前的网络规模庞大的情况下，提出将网络划分为总网络级、子网级、主机级和服务级，并依据层次价值、威胁、脆弱性三个指标由下至上依次对各层进行态势评估方法的设计。态势评估结果表明该评估方法在较低的评估时间细粒度的情况下具有较高的准确性，为后续预测奠定了基础。其次，通过堆叠长短期记忆网络StackingLSTM对网络节点的态势值进行预测及态势曲线的可视化。态势预测结果表明该预测模型具有预测误差小和预测效率高的优势，给网络安全工作人员提供及时的安全状态信息。未来的工作集中在降低态势评估过程的人为因素上，使各指标进一步细化。

主权项：1.基于多因素层次化的网络安全态势评估与预测方法，其特征在于：该方法的具体实现步骤如下：步骤1：将信息系统所处网络由上至下划分为总网络层、子网络层、主机层、服务层；步骤2：提出网络态势基本信息的定义，其反映当前网络安全状态的基本信息，包括网络流量信息和报警信息；表示为：Situation_info＝{ID,Timestamp,DIP,DP,Attack,Δt}；其中，ID为流量唯一标识；Timestamp为流量产生的时间戳信息；DIP为接收流量的目的主机IP地址；DP为接收流量的目的端口；Attack为受攻击类型；Δt为计算当前时刻网络安全态势利用的历史时间窗口大小；步骤3：计算服务层态势：服务层态势的评估以端口作为单位，端口对应相应服务，t时刻服务层态势值S0t计算方法如下： 其中，NΔt为Δt时间内该端口被访问数量，f为该端口发生攻击事件的频率，aΔt为Δt时间内该端口发生的攻击数量，niΔt为Δt时间内攻击i发生次数，xi为攻击i的影响力；步骤4：计算主机层态势：在主机威胁方面，主机发生网络攻击事件所带来的威胁即为该主机所有端口发生网络攻击事件的威胁总和，因此以该主机全部开放端口的态势总和的平均值作为该主机的威胁值；在脆弱性方面，主机脆弱性体现在该主机受到攻击的可能性上，通过统计该主机遭受到攻击的频率而得出；在层次要素价值方面，主机的价值体现在其所承担的信息系统服务价值上，t时刻主机层态势值S1t计算方法如下： 其中，A为操作系统脆弱性，B为该主机重要性，ut为t时间内该主机开放的端口数量，yj为端口j发生攻击的频率；步骤5：计算子网层态势：在子网威胁方面，以该子网全部主机的态势总和的平均值作为该子网的威胁值；在脆弱性方面，通过评估区域边界防护措施有效性进行确定，考虑该措施对于网络安全事件进行特征检测或异常检测、识别或分析、报警或阻断，进而进行整体评估；在层次属性价值方面，与主机层评估相似，体现在其承担的服务价值上；综上所述，t时刻子网层态势值S2t如下： 其中，C为区域边界防护措施有效性，D为子网区域资产重要程度，v为该子网存在的主机数量；步骤6：计算总网络层态势：累积以上层次的态势值，t时刻总网络的态势值St计算方法如下： 其中，w为子网区域数量；步骤7：将态势值映射至态势隶属度函数态势值的波动幅度反应态势的高低；g设置为态势评估结果分布的较小四分位数，当态势评估结果处于该值以下时，不会产生任何报警；h设置为态势评估结果分布的较大四分位数，当态势评估结果处于该值以上时，产生报警；由于在态势评估的过程中已考虑到各因素指标相对于安全状态的影响程度，因此在映射部分仅进行态势值的线性缩放，将处于[g,h]的态势评估结果缩放至[0,1]，网络安全管理员可直观的观察到此区间内网络状态的趋势变化；步骤8：划分数据集，制作态势样本集X和态势标签集X'：态势值集合AssessmentResult为n个具有时间序列的态势值构成的向量，记作x＝[x1,x2,x3,…,xn]T；假设时间步长设置为t，则取长度为t的向量作为样本，所得态势样本集为X＝[Xt,Xt+1,…,Xn]T，其中Xt＝[x1,x2,…,xt]T,Xt+1＝[x2,x3,…,xt+1]T,……,Xn＝[xn-t+1,xn-t+2,…,xn]T，每个样本包含了当前t时刻和历史t-1个时刻的态势值；经过神经网络的训练，预测下一时刻t+1的态势样本，因此设置Y＝[Yt,Yt+1,Yt+2,…,Yn]T为神经网络的训练标签，其中Yt＝Xt+1,Yt+1＝Xt+2,…,Yn-1＝Xn,Yn＝[xn-t+2,…,xn,xn+1]；步骤9：预测模型采用堆叠式长短期记忆网络，神经网络由输入层Input、隐藏层、全连接层Dense、输出层Output构成，隐藏层由堆叠的2个LSTM层构成，通过Dense层将信息传递给输出层；将X和X'输入至神经网络，进行迭代训练：前一层LSTM预测的向量结果作为下一层LSTM的输入向量；最后得到态势预测值集合PredictionResult；步骤10：展示PredictionResult和AssessmentResult折线图。

全文数据：

权利要求：

百度查询： 北京工业大学 基于多因素层次化的网络安全态势评估与预测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD