[发明专利]一种网络安全状态预测方法

权利要求书

1.一种网络安全状态预测方法，其特征在于步骤如下：

步骤1：构造网络可能处于的所有安全状态的集合；

步骤2：获取网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况和整体安全状态的评估值和评定等级；

步骤3：分析出一段时间内网络的外部威胁状况、网络性能状况和整体安全状态的变化趋势；

步骤4：基于网络当前外部威胁状况及其变化趋势，构造外部威胁状况对下一时刻安全状态的影响的证据体；基于网络当前内部威胁状况，构造内部威胁状况对下一时刻安全状态的影响的证据体；基于网络当前性能状况及其变化趋势，构造网络性能状况对下一时刻安全状态的影响的证据体；基于网络当前整体安全状态及其变化趋势，构造整体安全状态对下一时刻安全状态的影响的证据体；确定四类证据体中下一时刻网络处于各类安全状态的概率分配；

步骤5：利用合成规则对四类证据体进行融合，确定下一时刻网络处于各类安全状态的新的概率分配；

步骤6：确定下一时刻网络处于各类安全状态的可信度区间。

2.根据权利要求1所述的一种网络安全状态预测方法，其特征在于步骤如下：

步骤1：构造网络可能处于的所有安全状态的集合；

网络可能处于的所有安全状态包括：安全、危险、未知，构造集合：

P={S₁,S₂,S₃}

其中，P表示网络可能处于的所有安全状态集合，S₁表示网络处于安全状态，S₂表示网络处于危险状态，S₃表示网络处未知状态；

步骤2：获取网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况和整体安全状态的评估值和评定等级；

从现有技术获得网络的历史和当前的安全状态的评估值，包括四个方面：外部威胁状况、内部威胁状况、网络性能状态以及整体安全状态相应的评定等级：高、中、低；

步骤3：分析出一段时间内网络的外部威胁状况、网络性能状况和整体安全状态的变化趋势；

依据历史和当前的外部威胁状况、网络性能状况和整体安全状态的评估值，分析出其整体变化趋势：增大或减小；

步骤4：基于网络当前外部威胁状况及其变化趋势，构造外部威胁状况对下一时刻网络安全状态的影响的证据体；基于网络当前内部威胁状况，构造内部威胁状况对下一时刻网络安全状态的影响的证据体；基于网络当前性能状况及其变化趋势，构造网络性能状况对下一时刻网络安全状态的影响的证据体；基于网络当前整体安全状态及其变化趋势，构造整体安全状态对下一时刻网络安全状态的影响的证据体；确定四类证据体中下一时刻网络处于各类安全状态的概率分配；

基于网络当前外部威胁状况及其整体变化趋势，构造外部威胁状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_OTH={m_OTH(S₁),m_OTH(S₂),m_OTH(S₃)}

其中，E_OTH是外部威胁状况对下一时刻网络安全状态的影响的证据体，m_OTH(S₁)是由外部威胁状况预测出的下一时刻网络处于安全状态的概率，m_OTH(S₂)是由外部威胁状况预测出的下一时刻网络处于危险状态的概率，m_OTH(S₃)是由外部威胁状况预测出的下一时刻网络处于未知状态的概率，

基于网络当前内部威胁状况，由于内部威胁状况基于漏洞信息和病毒信息评估得出，是相对稳定的数值，因此不考虑其变化趋势，造内部威胁状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_ITH={m_ITH(S₁),m_ITH(S₂),m_ITH(S₃)}

其中，E_ITH是内部威胁状况对下一时刻网络安全状态的影响的证据体，m_ITH(S₁)是由内部威胁状况预测出的下一时刻网络处于安全状态的概率，m_ITH(S₂)是由内部威胁状况预测出的下一时刻网络处于危险状态的概率，m_ITH(S₃)是由内部威胁状况预测出的下一时刻网络处于未知状态的概率，

基于网络当前性能状况及其整体变化趋势，构造网络性能状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_CAP={m_CAP(S₁),m_CAP(S₂),m_CAP(S₃)}

其中，E_CAP是网络性能状况对下一时刻网络安全状态的影响的证据体，m_CAP(S₁)是由网络性能状况预测出的下一时刻网络处于安全状态的概率，m_CAP(S₂)是由网络性能状况预测出的下一时刻网络处于危险状态的概率，m_CAP(S₃)是由网络性能状况预测出的下一时刻网络处于未知状态的概率，

基于网络当前整体安全状态及其整体变化趋势，构造网络整体安全状态对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_WHO={m_WHO(S₁),m_WHO(S₂),m_WHO(S₃)}

其中，E_WHO是整体安全状态对下一时刻网络安全状态的影响的证据体，m_WHO(S₁)是由整体安全状态预测出的下一时刻网络处于安全状态的概率，m_WHO(S₂)是由整体安全状态预测出的下一时刻网络处于危险状态的概率，m_WHO(S₃)是由整体安全状态预测出的下一时刻网络处于未知状态的概率，

构造四类用于网络安全态势预测的证据体，并依据各类证据体的概率分配方案确定各类安全状态的概率分配：

步骤5：利用合成规则对四类证据体进行融合，确定下一时刻网络处于各类安全状态的新的概率分配；

对四类证据体进行融合，得出新的下一时刻网络安全状态概率分配：

E= E OTH ⊕ E ITH ⊕ E CAP ⊕ E WHO ]]>

其中，是两个证据体的融合运算符号，融合运算不分先后，与加法、乘法运算类似，E是下一时刻网络处于各类安全状态的新的概率分配，E_OTH是外部威胁状况对下一时刻网络安全状态的影响的证据体，E_ITH是内部威胁状况对下一时刻网络安全状态的影响的证据体，E_CAP是网络性能状况对下一时刻网络安全状态的影响的证据体，E_WHO是整体安全状态对下一时刻网络安全状态的影响的证据体；

对于步骤4中构造的四类证据体，不妨首先融合E_OTH、E_ITH，得出

E 1= E OTH ⊕ E ITH =( m 1( S 1 ), m 1( S 2 ), m 1( S 3 ) ) ]]>

m1(S1)=mOTH(S1)?mITH(S1)+mOTH(S3)?mITH(S1)+mOTH(S1)?mITH(S3)1?mOTH(S1)?mITH(S2)?mOTH(S2)?mITH(S1)]]>

m1(S2)=mOTH(S2)?mITH(S2)+mOTH(S3)?mITH(S2)+mOTH(S2)?mITH(S3)1?mOTH(S1)?mITH(S2)?mOTH(S2)?mITH(S1)]]>

m1(S3)=mOTH(S3)?mITH(S3)1?mOTH(S1)?mITH(S2)?mOTH(S2)?mITH(S1)]]>

其中，*是乘法运算符号，E₁是外部威胁状况与内部威胁状况对下一时刻安全状态的影响的证据体融合成的新的证据体，m₁(S₁)、m₁(S₂)、m₁(S₃)分别表示新证据体中下一时刻网络处于安全、危险、未知状态的概率；

同理，融合E₁、E_CAP，得出

E 2= E 1⊕ E CAP =( m 2( S 1 ), m 2( S 2 ), m 2( S 3 ) ) ]]>

m2(S1)=m1(S1)?mCAP(S1)+m1(S3)?mCAP(S1)+m1(S1)?mCAP(S3)1?m1(S1)?mCAP(S2)?m1(S2)?mCAP(S1)]]>

m2(S2)=m1(S2)?mCAP(S2)+m1(S3)?mCAP(S2)+m1(S2)?mCAP(S3)1?m1(S1)?mCAP(S2)?m1(S2)?mCAP(S1)]]>

m2(S3)=m1(S3)?mCAP(S3)1?m1(S1)?mCAP(S2)?m1(S2)?mCAP(S1)]]>

其中，E₂是外部威胁状况、内部威胁状况及网络性能状况对下一时刻安全状态的影响的证据体融合成的新的证据体，m₂(S₁)、m₂(S₂)、m₂(S₃)分别表示新证据体中下一时刻网络处于安全、危险、未知状态的概率；

融合E₂、E_WHO，得出

E= E 2⊕ E WHO =( m( S 1 ),m( S 2 ),m( S 3 ) ) ]]>

m(S1)=m2(S1)?mWHO(S1)+m2(S3)?mWHO(S1)+m2(S1)?mWHO(S3)1?m2(S1)?mWHO(S2)?m2(S2)?mWHO(S1)]]>

m(S2)=m2(S2)?mWHO(S2)+m2(S3)?mWHO(S2)+m2(S2)?mWHO(S3)1?m2(S1)?mWHO(S2)?m2(S2)?mWHO(S1)]]>

m(S3)=m2(S3)?mWHO(S3)1?m2(S1)?mWHO(S2)?m2(S2)?mWHO(S1)]]>

其中，E是融合四类证据体后下一时刻网络处于各类安全状态的新的概率分配，m(S₁)、m(S₂)、m(S₃)分别表示新证据体中下一时刻网络处于安全、危险、未知状态的概率；

步骤6：确定下一时刻网络处于各类安全状态的可信度区间；

根据获得的新的网络处于各类安全状态的概率，确定下一时刻网络处于安全状态的可信度区间为[m(S₁),m(S₁)+m(S₃)]，下一时刻网络处于危险状态的可信度区间为[m(S₂),m(S₂)+m(S₃)]。