面向服务的大规模网络安全态势评估装置及方法

摘要

本发明提供的是一种面向服务的大规模网络安全态势评估装置及方法。包括监控平台和采集代理；监控平台包括数据分析/指标提取模块、态势评估模块、数据库中间件模块、命令配置模块、插件模块、XML数据转换模块；采集代理包括服务器性能状态采集代理、网络设备状态采集代理以及具体服务性能状态采集代理。监控平台将通过一种或多种方式发出警告并采取预先定义的事件处理程序来进行应急处理。采集代理负责接收监控平台发送过来的特定的监控命令，完成各种网络安全态势指标的采集工作。本发明有助于对网络系统的全局安全性做出准确评估，方便网络管理员安全策略的及时调整，并为后续的安全态势预测及态势可视化提供理论依据和技术支持。

主权项

一种面向服务的大规模网络安全态势评估方法，面向服务的大规模网络安全态势评估装置包括监控平台和采集代理；所述监控平台包括数据分析/指标提取模块、态势评估模块、数据库中间件模块、命令配置模块、插件模块、XML数据转换模块；所述采集代理包括服务器性能状态采集代理、网络设备状态采集代理以及具体服务性能状态采集代理；其特征是：步骤1首先在监控平台中输入采集命令；步骤2判断步骤1中输入是否是新命令，如果是就执行步骤3；否者直接执行步骤4；步骤3进入插件模块，定义和生成相应的插件，然后执行步骤4；步骤4进入采集命令生成模块，生成更为详细的采集命令，将命令传送给采集代理；步骤5采集代理收到采集命令，采集安全态势指标并将指标用FTP通信传送回监控平台；步骤6监控平台得到指标后，进入数据分析/指标提取模块，对相应指标进行分析和指标的提取，然后同时执行步骤7、8、9；步骤7将步骤6的输出作为数据库中间件模块的输入，实现核心进程对数据库的数据存取；步骤8进入XML转换模块，完成面向服务安全态势信息的统一化、格式化，按照制定好的基于XML的数据公共模型转换成XML格式的数据文档，用于监控平台的查询和访问以及上层应用的调用；步骤9进入安全态势的评估模块，进行大规模网络的网络安全态势评估，然后执行步骤10；步骤10在输出模块输出评估报告和以动态图形的形式显示各类安全指标的运行状态；所述进入数据分析/指标提取模块，对相应指标进行分析和指标的提取的方法为：（1）提取从采集代理发送过来的各类态势数据；（2）通过对流量数据和性能数据建立正常流量模型，然后得出正常的阈值区间，通过协议分析的方法对报文特征字段进行攻击报文判断，对特征数据进行特征匹配；（3）根据检测模型给出各态势指标数据所处状态对应的特征值；（4）根据特征值判断数据是否正常状态，如果正常则进入步骤（5）；否则进入步骤（7）；（5）提取与面向服务网络安全态势评估相关的各类指标；（6）对安全态势指标归类整理后的数据进入安全态势评估步骤的同时也要转化成XML标准格式存储到态势数据库中；（7）触发异常事件或报警事件；（8）数据流向（5）的同时还要进行安全事件分析，进而转化成XML标准格式，最终向上层集成组提交安全事件或将XML数据存储到态势数据库中作为历史数据，以备今后查询；所述进入安全态势的评估模块进行大规模网络的网络安全态势评估是采用一种模糊层次分析法处理，具体步骤如下：（1）将态势量化指标划分为若干个不同要素；（2）计算各层指标的权重向量，包括：各层指标的权重向量和各层内部指标的权重向量，首先建立优先关系矩阵，其次将优先关系矩阵转化成模糊一致矩阵，最后利用行归一法得到权重向量；（3）建立评估等级集合；（4）将各层内部量化指标的权重和与之对应的模糊一致矩阵进行Fuzzy合成运算，进而计算出模糊综合评估向量；（5）计算综合评估矩阵。