面向服務的大規模網絡安全態勢評估裝置及方法

2023-10-08 16:46:59

專利名稱：面向服務的大規模網絡安全態勢評估裝置及方法
技術領域：
本發明屬於信息安全領域，涉及面向服務的大規模網絡安全態勢評估系統。
背景技術：
隨著網際網路時代的來臨，我國網絡安全問題日益突出。網絡安全態勢評估 (Network Security Situational Assessment, NSSA)是指通過評估程序評估系統中可能 出現的在設計上或實現上的脆弱性，此過程用於保證網絡系統不受偶然或故意的損害。網 絡安全態勢評估技術能夠從整體上動態反映網絡安全狀況，並對安全狀況的發展趨勢進行 預測和預警，為增強網絡安全性提供可靠的參照性依據。網絡服務是開放網絡環境下資源封裝與共享的基本單元，是網絡通過各種手段提 供滿足不同用戶的特殊需求的一系列功能和動作。它包括網絡應用層所涵蓋的所有服務 (例如DNS、FTP、Http等)以及伺服器和網絡設備能夠向用戶提供的所有功能。國外方面，美國TRUST研究團隊正在建立一個計算機防禦技術網(DETER NETWORK)作為實驗臨床來模擬^ternet中的分布式拒絕服務攻擊和蠕蟲攻擊，試圖系統 的分析攻擊對整個網絡造成的影響並找到可能的解決辦法，此系統利用Byzantine容錯和 一致性協商技術保證所有正確的複製進程間執行相同的操作，以保證服務及系統狀態的完 整性，Byzantine容錯和一致性協商技術、可驗證密碼共享技術和大數表決都可用於檢測出 失效了的服務進程及數據伺服器。Matthew V. Mahoney and Philip K. Chan 等人運用了從 Ethernet、IP、TCP、UDP, ICMP報頭中提取的33種屬性進行檢測分析，這些模型能夠很好的檢測DoS和S/P類攻擊， 如分析TCP報文頭，統計一段時間內到達系統某一埠的SYN報文，計算特徵值，若超過閾 值，則認為發生了 SYN Flooding攻擊，但是對於U2R和R2L兩類攻擊卻無能為力。Christopher描述了一種針對DNS服務的異常檢測方法，把報文載荷按照256個 ASCII字符聚合成6個欄位，計算每個欄位的發生頻率，並按從高到低的順序存儲，對同一 類型的服務請求報文建立載荷分布模型，運用X2_test方法計算新的服務請求報文載荷分 布的異常值判斷攻擊報文。美國防禦系統網站2010年7月12日報導，美國國防部新的賽博司令部司令凱 斯 亞歷山大在一次公開場合表示，國防部面臨薄弱的態勢感知問題，戰區需要更強大的態 勢感知能力，如伊拉克和阿富汗。華盛頓技術網站2010年11月10日日報導，雷神公司團隊將為美國國防信息系統 局提供服務，以抵禦阻撓國防部網絡的潛在攻擊。根據一份價值觀00萬美元的合同，雷神 公司將開發一個綜合網絡運行態勢感知(NetOps SA)的解決方案，這將使國防部快速檢測 網絡入侵，評估整個網絡的健康狀況。國內方面，西安電子科技大學提出基於服務可生存性的概念，將系統服務的故障 歸結到原子服務的配置，由於每個原子服務只有一種配置，對同一服務設置不同的配置組 合來對服務可生存行進行定量分析。
中國科學院提出用篩選和標註網絡服務日誌的方式來發現網絡服務的攻擊事件， 把用戶對網絡服務系統的服務需求映射成為主體對客體的訪問，提出網絡服務系統的安全 屬性，根據網絡系統的安全屬性來約束服務系統行為的規則，從而根據行為的異常來檢測 服務的異常。清華大學根據服務的公共特徵制定了統一服務模型和描述語言，基於該模型設計 了一個可靈活定製的服務測試引擎，在一定程度上能夠實現通用的服務監控框架和故障定 位方法。西安交通大學基於服務攻擊的頻率及攻擊嚴重性的統計分析，評估服務的安全態 勢，從而服務和主機自身的重要性因子進行加權，評估網絡系統內服務、主機以及整個網絡 系統的安全態勢。目前，關於網絡性能態勢感知系統發表的專利有申請號為200610095391. 5、公開 日為2007年12月5日的基於空間態勢感知的快速評估系統，該專利文件中提供一種面向 航天測控的快速評估系統，將專家系統和分布交互仿真手段應用於決策支持系統中，但該 專利只涉及航天硬體資源評估，不涉及網絡安全領域。申請號為200710121584. 8
公開日為 2008年5月7日的大範圍戰場態勢智能感知系統及感知方法，該專利文件中利用分布式多 視頻多跳無線傳感器網絡，多目標檢測、分類、定位與跟蹤的大範圍戰場態勢。該專利所述 的態勢只是針對戰場中目標的識別、分類與定位。目前國內外進行網絡安全態勢感知研究的個人和機構很多，採用的研究角度和研 究方法也多種多樣，但採用面向服務的思想開展大規模網絡安全態勢評估的相關研究還未 見諸報導。

發明內容
本發明的目的在於提供一種能在大規模網絡環境下，對網絡服務態勢狀況進行實 時監控，並對潛在的、惡意的網絡行為變得無法控制之前進行安全態勢的評估、防禦、響應 以及預警的面向服務的大規模網絡安全態勢評估裝置。本發明的目的還在於提供一種面向 服務的大規模網絡安全態勢評估方法。本發明的目的是這樣實現的本發明的面向服務的大規模網絡安全態勢評估裝置包括監控平臺和採集代理；所 述監控平臺包括數據分析/指標提取模塊、態勢評估模塊、資料庫中間件模塊、命令配置模 塊、插件模塊、XML數據轉換模塊；所述採集代理包括伺服器性能狀態採集代理、網絡設備 狀態採集代理以及具體服務性能狀態採集代理；數據分析/指標提取模塊，數據分析是對數據採集代理採集上來的態勢數據進行 分析處理，生成網絡安全態勢評估所需要的某些新的態勢信息，並發現可能發生的異常行 為；指標提取是提取、整理對安全態勢評估有幫助的指標，以相應的數據結構將這些信息存 儲在安全態勢信息庫中，為下一步網絡安全態勢評估做好準備；態勢評估模塊，對兩兩因素做出誰相對重要的決策；資料庫中間件模塊，提取採集到的數據，同時實現自動化的配置管理；命令配置模塊，包括基本命令配置信息維護模塊、命令配置信息合法性檢測模塊 和命令配置文件生成模塊，基本命令配置信息維護模塊負責維護基本的配置信息，管理員使用本模塊來創建、查詢各種對象及其對象之間的關係；命令配置信息合法性檢測模塊檢 查各個對象之間的關聯是否合法，並提示管理員檢查一些潛在的問題；命令配置文件生成 模塊根據基本命令配置信息為各個採集代理生成各自對應的配置文件和目錄結構；插件模塊，實現與其他功能模塊的通訊；XML數據轉換模塊，完成面向服務安全態勢信息的統一化、格式化，按照制定好的 基於XML的數據公共模型轉換成XML格式的數據文檔，供監控平臺的查詢和訪問以及上層 應用的調用；伺服器性能狀態採集代理，負責採集Windows伺服器和Linux伺服器的運行狀態， 這些性能和狀態包括作業系統類型、伺服器設備類型、伺服器硬碟個數、CPU佔用率、埠 開啟情況、內存佔用率、埠流量、各磁碟佔用率、漏洞和補丁 ；針對那些開啟SNMP代理功 能的伺服器，還可以利用SNMP協議的GET命令來獲取相應的信息。網絡設備狀態採集代理，收集各種類型路由器、交換機以及端到端數據鏈路上的 網絡性能信息，這些信息主要包括設備類型、設備型號、埠個數、埠流量、埠速率、網 絡帶寬、傳輸率、端到端丟包率、往返時延；具體服務性能採集代理，採集目前網絡上較為常見、作為網絡基礎設施不可或缺 的FTP服務、DNS服務、TOB服務的各項性能指標，這些指標主要包括服務請求率、服務點擊 率、服務響應率、服務出錯率、服務響應時間、服務可用性、服務漏洞、服務報文長度、服務報 文類型以及服務報文載荷。本發明的面向服務的大規模網絡安全態勢評估方法為面向服務的大規模網絡安全態勢評估裝置包括監控平臺和採集代理；所述監控平 臺包括數據分析/指標提取模塊、態勢評估模塊、資料庫中間件模塊、命令配置模塊、插件 模塊、XML數據轉換模塊；所述採集代理包括伺服器性能狀態採集代理、網絡設備狀態採集 代理以及具體服務性能狀態採集代理；步驟1首先在監控平臺中輸入採集命令；步驟2判斷步驟1中輸入是否是新命令，如果是就執行步驟3 ；否者直接執行步驟 4；步驟3進入插件模塊，定義和生成相應的插件，然後執行步驟4 ；步驟4進入採集命令生成模塊，生成更為詳細的採集命令，將命令傳送給採集代 理；步驟5採集代理收到採集命令，採集安全態勢指標並將指標用FTP通信傳送回監 控平臺；步驟6監控平臺得到指標後，進入數據分析/指標提取模塊，對相應指標進行分析 和指標的提取，然後同時執行步驟7、8、9 ；步驟7將步驟6的輸出作為資料庫中間件模塊的輸入，實現核心進程對資料庫的 數據存取；步驟8進入XML轉換模塊，完成面向服務安全態勢信息的統一化、格式化，按照制 定好的基於XML的數據公共模型轉換成XML格式的數據文檔，用於監控平臺的查詢和訪問 以及上層應用的調用；步驟9進入安全態勢的評估模塊，進行大規模網絡的網絡安全態勢評估，然後執行步驟10 ；步驟10在輸出模塊輸出評估報告和以動態圖形的形式顯示各類安全指標的運行 狀態。所述進入數據分析/指標提取模塊，對相應指標進行分析和指標的提取的方法 為(1)提取從採集代理髮送過來的各類態勢數據；(2)通過對流量數據和性能數據建立正常流量模型，然後得出正常的閾值區間、通 過協議分析的方法對報文特徵欄位進行攻擊報文判斷，對特徵數據進行特徵匹配；(3)根據檢測模型給出個態勢指標數據所處狀態對應的特徵值；(4)根據特徵值判斷數據是否正常狀態，如果正常則進入步驟(5)；否則進入步驟 (7)；(5)提取與面向服務網絡安全態勢評估相關的各類指標；(6)對安全態勢指標歸類整理後的數據進入安全態勢評估步驟的同時也要轉化成 XML標準格式存儲到態勢資料庫中；(7)觸發異常事件或報警事件；(8)數據流向( 的同時還要進行安全事件分析，進而轉化成XML標準格式，最終 向上層集成組提交安全事件或將XML數據存儲到態勢資料庫中作為歷史數據，以備今後查 詢。所述進入安全態勢的評估模塊進行大規模網絡的網絡安全態勢評估是採用一種 模糊層次分析法處理，具體步驟如下(1)將態勢量化指標劃分為若干個不同要素；(2)計算各層指標的權重向量包括各層指標的權重向量和各層內部指標的權重 向量，首先建立優先關係矩陣，其次將優先關係矩陣轉化成模糊一致矩陣，最後利用利用行 歸一法得到權重向量；(3)建立評估等級集合；(4)將各層內部量化指標的權重和與之對應的模糊一致矩陣進行Fuzzy合成運 算，進而計算出模糊綜合評估向量；(5)計算綜合評估矩陣。本發明提供了一種面向服務的大規模網絡安全態勢傳感系統。該系統主要目的 是解決在大規模網絡環境下，對網絡服務態勢狀況進行實時監控，並對潛在的、惡意的網絡 行為變得無法控制之前進行安全態勢的評估、防禦、響應以及預警，給出相應的應對策略。 本發明有助於對網絡系統的全局安全性做出準確評估，方便網絡管理員安全策略的及時調 整，並為後續的安全態勢預測及態勢可視化提供理論依據和技術支持。相對於現有網絡安全態勢評估系統，本發明的優點有(1)針對網絡系統的特殊 安全性需求，從服務的角度出發，採集可能影響網絡系統應用的各類安全數據，經分析處理 完成對網絡系統安全態勢的定量刻畫，態勢評估結果具有新穎、直觀、具體等特點。而現 有系統只從網絡安全的角度對網絡進行評估；(2)不同於現有的網絡安全單一態勢評估系 統，本發明可以實現網絡系統中伺服器狀態級、網絡設備級和網絡服務級的多級服務安全 態勢評估，便於安全管理員全面把握系統各層的安全狀況，提供正確決策。(3)與SNMP完全兼容，支持幾乎所有的操作平臺，可以對遠程伺服器及其服務進行實時監控和管理。而現有 系統只針對單一操作平臺。


圖1為本發明的裝置的框架圖；圖2為數據分析/指標提取模塊工作流程圖；圖3為安全態勢評估模塊單次處理流程圖。
具體實施例方式下面舉例對本發明作更詳細的描述結合圖1.為完成本發明的目標，本發明的面向服務的大規模網絡安全態勢評估 裝置包括監控平臺和採集代理，其中所述的監控平臺負責進行網絡安全態勢評估工作， 監控平臺將向遠程採集代理髮送指令，運行必要的監控程序。根據來自所述的採集代理傳 回的數據，系統將依據它的配置文件，採取靈活的行動。而根據遠程採集的特殊需求，系統 將通過運行一個定製的插件來測試更多的特殊的項目(如，檢查資料庫的數據操作是否正 常)。如果測試返回的值超出正常允許的範圍。所述監控平臺將通過一種或多種方式發出 警告並採取預先定義的事件處理程序來進行應急處理。所述監控平臺包括數據分析/指標提取模塊，數據分析就是對數據採集代理採集 上來的大量態勢數據進行分析處理，以生成網絡安全態勢評估所需要的某些新的態勢信 息，並發現可能發生的異常行為。指標提取是提取、整理對安全態勢評估有幫助的指標，以 相應的數據結構將這些信息存儲在安全態勢信息庫中，為下一步網絡安全態勢評估做好準 備。態勢評估模塊，對兩兩因素做出誰相對重要的決策。資料庫中間件模塊，高效的提取採集到得數據，同時實現自動化的配置管理。命令配置模塊，包括基本命令配置信息維護模塊、命令配置信息合法性檢測模塊 和命令配置文件生成模塊。基本命令配置信息維護模塊負責維護基本的配置信息，管理員 使用本模塊來創建、查詢各種對象及其對象之間的關係；命令配置信息合法性檢測模塊的 功能是檢查各個對象之間的關聯是否合法，並提示管理員檢查一些潛在的問題；命令配置 文件生成模塊根據基本命令配置信息為各個採集代理生成各自對應的配置文件和目錄結 構。插件模塊，它的主要功能是與其他功能模塊的通訊。XML數據轉換模塊完成面向服務安全態勢信息的統一化、格式化，按照制定好的基 於XML的數據公共模型轉換成XML格式的數據文檔，以供監控平臺的查詢和訪問以及上層 應用的調用。所述採集代理包括伺服器性能狀態採集代理、網絡設備狀態採集代理以及具體服 務性能狀態採集代理，採集代理負責接收監控平臺發送過來的特定的監控命令，完成各種 網絡安全態勢指標的採集工作。(1)伺服器性能狀態採集代理主要負責採集目前較為流行的Windows伺服器和 Linux伺服器的運行狀態，這些性能和狀態包括作業系統類型、伺服器設備類型、伺服器硬碟個數、CPU佔用率、埠開啟情況、內存佔用率、埠流量、各磁碟佔用率、漏洞和補丁 等，針對那些開啟SNMP代理功能的伺服器，還可以利用SNMP協議的GET命令來獲取相應的 fn息ο(2)網絡設備狀態採集代理主要負責收集各種類型路由器、交換機以及端到端數 據鏈路上的網絡性能信息。這些信息主要包括設備類型、設備型號、埠個數、埠流量、 埠速率、網絡帶寬、傳輸率、端到端丟包率、往返時延等等。(3)具體服務性能採集代理主要負責採集目前網絡上較為常見、作為網絡基礎設 施不可或缺的FTP服務、DNS服務、WEB服務的各項性能指標，這些指標主要包括服務請求 率、服務點擊率、服務響應率、服務出錯率、服務響應時間、服務可用性、服務漏洞、服務報文 長度、服務報文類型以及服務報文載荷等等。本發明在大規模網絡中採用監控平臺-採集代理結構。監控平臺方負責進行網 絡安全態勢評估工作，它集成了數據分析/指標提取模塊、安全態勢評估模塊、插件定義模 塊、採集命令生成模塊、XML轉換模塊、資料庫中間件模塊以及，它提供了方便、友好的用戶 界面，用於在採集前配置向監控代理髮送的命令，在測試過程中實時的顯示運行進度，在監 控結束後提交各種形式的評估報告。採集代理方需要事先布置在網絡服務關鍵節點上，比 如部署在WEB伺服器、路由器和交換機等，採集代理主要負責接收監控平臺發送過來的特 定的採集命令，完成各種網絡安全態勢指標的採集工作。請參閱圖1，該系統通過以下步驟評估面向服務的大規模網絡安全態勢。1)首先在上述的監控平臺中輸入採集命令；2)判斷步驟1中輸入是否是新命令，如果是就執行步驟3 ；否者直接執行步驟4 ；3)進入插件模塊，定義和生成相應的插件，然後執行步驟4 ；4)進入採集命令生成模塊，生成更為詳細的採集命令，將命令傳送給採集代理；5)採集代理收到採集命令，採集安全態勢指標並將指標用FTP通信傳送回監控平 臺；6)監控平臺得到指標後，進入數據分析/指標提取模塊，對相應指標進行分析和 指標的提取，然後同時執行步驟7，8，9;7)將步驟6的輸出作為資料庫中間件模塊的輸入，實現系統核心進程對資料庫的 數據存取；8)進入XML轉換模塊，完成面向服務安全態勢信息的統一化、格式化，按照制定好 的基於XML的數據公共模型轉換成XML格式的數據文檔，方便監控平臺的查詢和訪問以及 上層應用的調用；9)進入安全態勢的評估模塊，進行大規模網絡的網絡安全態勢評估，然後執行步 驟10 ；10)在輸出模塊輸出評估報告和以動態圖形的形式顯示各類安全指標的運行狀 態；其中在步驟3中插件模塊主要負責與其他功能模塊的通訊，當本發明需要檢測 特定服務或伺服器的狀態時，系統會運行預先指定的插件，然後接收插件返回的結果。在步驟4中命令配置模塊負責來統一管理和生成命令配置文件並將各個伺服器 實用的命令配置文件發送到對應的伺服器上。
在步驟5中當採集代理接收到監控平臺發送過來的採集命令，採集代理開始採集 各種大規模網絡關鍵節點的態勢指標，包括伺服器、網絡設備以及具體服務的態勢指標。在步驟6中數據分析/指標提取模塊通過對流量數據和性能數據建立正常流量模 型，然後得出正常的閾值區間、通過協議分析等方法對報文特徵欄位進行攻擊報文判斷，對 數據進行特徵匹配，給出相應性能指標的特徵值。如圖2所示，數據分析/指標提取模塊工 作流程(1)提取從採集代理髮送過來的各類態勢數據；(2)通過對流量數據和性能數據建立正常流量模型，然後得出正常的閾值區間、通 過協議分析的方法對報文特徵欄位進行攻擊報文判斷，對特徵數據進行特徵匹配。(3)根據檢測模型給出個態勢指標數據所處狀態對應的特徵值；(4)根據特徵值判斷數據是否正常狀態，如果正常則進入步驟(5)；否則進入步驟 (7)；(5)提取與面向服務網絡安全態勢評估相關的各類指標；(6)對安全態勢指標歸類整理後的數據進入安全態勢評估步驟的同時也要轉化成 XML標準格式存儲到態勢資料庫中；(7)觸發異常事件或報警事件；(8)數據流向( 的同時還要進行安全事件分析，進而轉化成XML標準格式，最終 向上層集成組提交安全事件或將XML數據存儲到態勢資料庫中作為歷史數據，以備今後查 詢。在步驟9中安全態勢的評估模塊採用一種模糊層次分析法處理。具體步驟如下 (如圖3示)(1)將態勢量化指標劃分為若干個不同要素；(2)計算各層指標的權重向量包括各層指標的權重向量和各層內部指標的權重 向量。首先建立優先關係矩陣，其次將優先關係矩陣轉化成模糊一致矩陣，最後利用利用行 歸一法得到權重向量；(3)建立評估等級集合；(4)將各層內部量化指標的權重和與之對應的模糊一致矩陣進行Fuzzy合成運 算，進而計算出模糊綜合評估向量；(5)計算綜合評估矩陣。
權利要求
1.一種面向服務的大規模網絡安全態勢評估裝置，包括監控平臺和採集代理；其特徵 是所述監控平臺包括數據分析/指標提取模塊、態勢評估模塊、資料庫中間件模塊、命令 配置模塊、插件模塊、XML數據轉換模塊；所述採集代理包括伺服器性能狀態採集代理、網 絡設備狀態採集代理以及具體服務性能狀態採集代理；數據分析/指標提取模塊，數據分析是對數據採集代理採集上來的態勢數據進行分析 處理，生成網絡安全態勢評估所需要的某些新的態勢信息，並發現可能發生的異常行為；指 標提取是提取、整理對安全態勢評估有幫助的指標，以相應的數據結構將這些信息存儲在 安全態勢信息庫中，為下一步網絡安全態勢評估做好準備； 態勢評估模塊，對兩兩因素做出誰相對重要的決策； 資料庫中間件模塊，提取採集到的數據，同時實現自動化的配置管理； 命令配置模塊，包括基本命令配置信息維護模塊、命令配置信息合法性檢測模塊和命 令配置文件生成模塊，基本命令配置信息維護模塊負責維護基本的配置信息，管理員使用 本模塊來創建、查詢各種對象及其對象之間的關係；命令配置信息合法性檢測模塊檢查各 個對象之間的關聯是否合法，並提示管理員檢查一些潛在的問題；命令配置文件生成模塊 根據基本命令配置信息為各個採集代理生成各自對應的配置文件和目錄結構； 插件模塊，實現與其他功能模塊的通訊；XML數據轉換模塊，完成面向服務安全態勢信息的統一化、格式化，按照制定好的基於 XML的數據公共模型轉換成XML格式的數據文檔，供監控平臺的查詢和訪問以及上層應用 的調用；伺服器性能狀態採集代理，負責採集Windows伺服器和Linux伺服器的運行狀態； 網絡設備狀態採集代理，收集各種類型路由器、交換機以及端到端數據鏈路上的網絡 性能信息；具體服務性能採集代理，採集目前網絡上較為常見、作為網絡基礎設施不可或缺的FTP 服務、DNS服務、TOB服務的各項性能指標。
2.一種面向服務的大規模網絡安全態勢評估方法，面向服務的大規模網絡安全態勢評 估裝置包括監控平臺和採集代理；所述監控平臺包括數據分析/指標提取模塊、態勢評估 模塊、資料庫中間件模塊、命令配置模塊、插件模塊、XML數據轉換模塊；所述採集代理包括 伺服器性能狀態採集代理、網絡設備狀態採集代理以及具體服務性能狀態採集代理；其特 徵是步驟1首先在監控平臺中輸入採集命令；步驟2判斷步驟1中輸入是否是新命令，如果是就執行步驟3 ；否者直接執行步驟4 ； 步驟3進入插件模塊，定義和生成相應的插件，然後執行步驟4 ； 步驟4進入採集命令生成模塊，生成更為詳細的採集命令，將命令傳送給採集代理； 步驟5採集代理收到採集命令，採集安全態勢指標並將指標用FTP通信傳送回監控平臺；步驟6監控平臺得到指標後，進入數據分析/指標提取模塊，對相應指標進行分析和指 標的提取，然後同時執行步驟7、8、9 ；步驟7將步驟6的輸出作為資料庫中間件模塊的輸入，實現核心進程對資料庫的數據 存取；步驟8進入XML轉換模塊，完成面向服務安全態勢信息的統一化、格式化，按照制定好 的基於XML的數據公共模型轉換成XML格式的數據文檔，用於監控平臺的查詢和訪問以及 上層應用的調用；步驟9進入安全態勢的評估模塊，進行大規模網絡的網絡安全態勢評估，然後執行步 驟10 ；步驟10在輸出模塊輸出評估報告和以動態圖形的形式顯示各類安全指標的運行狀態。
3.根據權利要求2所述的面向服務的大規模網絡安全態勢評估方法，其特徵是所述進 入數據分析/指標提取模塊，對相應指標進行分析和指標的提取的方法為(1)提取從採集代理髮送過來的各類態勢數據；(2)通過對流量數據和性能數據建立正常流量模型，然後得出正常的閾值區間、通過協 議分析的方法對報文特徵欄位進行攻擊報文判斷，對特徵數據進行特徵匹配；(3)根據檢測模型給出個態勢指標數據所處狀態對應的特徵值；(4)根據特徵值判斷數據是否正常狀態，如果正常則進入步驟(5)；否則進入步驟(7)；(5)提取與面向服務網絡安全態勢評估相關的各類指標；(6)對安全態勢指標歸類整理後的數據進入安全態勢評估步驟的同時也要轉化成XML 標準格式存儲到態勢資料庫中；(7)觸發異常事件或報警事件；(8)數據流向(5)的同時還要進行安全事件分析，進而轉化成XML標準格式，最終向上 層集成組提交安全事件或將XML數據存儲到態勢資料庫中作為歷史數據，以備今後查詢。
4.根據權利要求2或3所述的面向服務的大規模網絡安全態勢評估方法，其特徵是所 述進入安全態勢的評估模塊進行大規模網絡的網絡安全態勢評估是採用一種模糊層次分 析法處理，具體步驟如下(1)將態勢量化指標劃分為若干個不同要素；(2)計算各層指標的權重向量包括各層指標的權重向量和各層內部指標的權重向 量，首先建立優先關係矩陣，其次將優先關係矩陣轉化成模糊一致矩陣，最後利用利用行歸 一法得到權重向量；(3)建立評估等級集合；(4)將各層內部量化指標的權重和與之對應的模糊一致矩陣進行Fuzzy合成運算，進 而計算出模糊綜合評估向量；(5)計算綜合評估矩陣。
全文摘要
本發明提供的是一種面向服務的大規模網絡安全態勢評估裝置及方法。包括監控平臺和採集代理；監控平臺包括數據分析/指標提取模塊、態勢評估模塊、資料庫中間件模塊、命令配置模塊、插件模塊、XML數據轉換模塊；採集代理包括伺服器性能狀態採集代理、網絡設備狀態採集代理以及具體服務性能狀態採集代理。監控平臺將通過一種或多種方式發出警告並採取預先定義的事件處理程序來進行應急處理。採集代理負責接收監控平臺發送過來的特定的監控命令，完成各種網絡安全態勢指標的採集工作。本發明有助於對網絡系統的全局安全性做出準確評估，方便網絡管理員安全策略的及時調整，並為後續的安全態勢預測及態勢可視化提供理論依據和技術支持。
文檔編號H04L29/06GK102123149SQ201110052330
公開日2011年7月13日 申請日期2011年3月4日 優先權日2011年3月4日
發明者張興園, 李冰洋, 林俊宇, 王慧強 申請人:哈爾濱工程大學