[发明专利]网络安全态势分析方法

说明书

本发明提供了一种网络安全态势分析方法。涉及网络安全领域；解决了现有网络安全态势分析方式准确程度和处理效率低下的问题。A、通过SYSLOG协议和Flow协议采集网络中各设备日志信息，并从中提取IP地址信息，基于地理信息或业务信息对得到的IP地址进行分层，得到多个层级；B、分别计算各层级的地址熵值；C、持续计算全局地址熵的值，以5分钟为时间周期计算地址熵值基准点，以历史较长时间地址熵值基准点数据的集合建立长周期熵值基线，以最近时间的地址熵值基准点数据的集合建立短周期熵值基线；D、将所述全局地址熵的实测值与所述长周期熵值基线和短周期熵值基线的综合偏差度转换为安全态势指标数据；E、当安全态势指标超过预置的阈值时，判定安全态势发生异常，通过各层级地址熵值的对比定位异常。实现了准确高效的安全态势分析。

技术领域

本发明涉及网络安全领域，尤其涉及一种网络安全态势分析方法。

背景技术

随着电力信息网络环境规模的日益扩大，网络中各种设备的数量急剧增加，来自外部和内部的各种安全和攻击也在急剧增加，威胁着网络信息安全。为了不断应对新的安全挑战，电力信息网络先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM等等。在这种复杂的安全体系下，网络具有资源分布共享化、用户分散化和管理分布化等特性，为实现多元化、智能信息服务提供了基础。然而，这种复杂的网络显示中安全问题已经成为制约其发展的一大障碍。安全态势评估技术能够从全面、宏观反映出网络动态安全状况，并对安全状况的发展趋势进行预测和预警，因此，针对电力信息网络的安全态势分析模型及关键技术已经成为目前网络安全领域的研究热点。

目前，对电力信息网络进行安全态势分析已经开展了一些有价值理论和应用研究，例如：研究基于模糊理论的网络安全事件编群方法；建立基于模糊时间序列模型；研究支持向量机回归的网络安全态势预测方法等等。应用实践中，常见的安全态势分析方法包括：(1)态势可视化展示，该方法的主要是利用人对直观图像的敏锐性，以可视化视图的方式将网络互联状态呈现出来，从而使安全分析员对当前的网络状态有直观的了解，并通过经验去判断网络是否受到攻击威胁，但这种方法的缺点是对安全分析人员经验水平要求高，难以精确量化分析。(2)全面采集各类安全设备的安全日志，对计算机网络进行安全态势分析，通过数据挖掘的方案评估计算机网络的安全性，但这种方法的缺点是信息来源单一，只有安全日志信息，且性能低下，因为对异构安全事件的采集和处理效率较低。(3)利用安全日志信息和设备漏洞信息的结合，采用风险计算算法，得到直观的安全态势图，但此种选取的态势评估指标还不够全面，量化算法结果也不够准确，并且针对大型电力信息网络，安全日志信息和设备漏洞信息的采集难以全面，导致最终的计算结果失真。

发明内容

本发明提供了一种网络安全态势分析方法，解决了现有网络安全态势分析方式准确程度和处理效率低下的问题。

一种安全态势分析方法，包括：

A、通过SYSLOG协议和Flow协议采集网络中各设备日志信息，并从中提取IP地址信息，基于地理信息或业务信息对得到的IP地址进行分层，得到多个层级；

B、分别计算各层级的地址熵值；

C、持续计算全局地址熵的值，以5分钟为时间周期计算地址熵值基准点，以历史较长时间地址熵值基准点数据的集合建立长周期熵值基线，以最近时间的地址熵值基准点数据的集合建立短周期熵值基线；

D、将所述全局地址熵的实测值与所述长周期熵值基线和短周期熵值基线的综合偏差度转换为安全态势指标数据；

E、当安全态势指标超过预置的阈值时，判定安全态势发生异常，通过各层级地址熵值的对比定位异常。

优选的，通过SYSLOG协议和Flow协议采集网络中各设备日志信息，并从中提取IP地址信息包括：

分布式采集点从以下任一信息或任意多个信息中提取IP地址：