[发明专利]基于可信计算的大数据安全态势地图生成方法

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及基于可信计算的大数据安全态势地图生成方法。

背景技术

随着网络规模的扩大，警报信息的数据量越来越大,如何有效区分有效信息,去除冗余也是网络安全防护的难点。相关技术中，信息安全风险管理系统中的人为主观因素太多,缺少一个科学的管理手段。这就迫切需要一个可以了解整个网络的状态和未来趋势的方法,能够在网络发生威胁和攻击时进行应急响应,重新调整网络安全资源配置并做出安全响应策略。

有关可信计算的概念，在ISO/IEC 15408标准中给出了以下定义：一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。可信计算的基本思路是在硬件平台上引入安全芯片(可信平台模块)来提高终端系统的安全性，也就是说在每个终端平台上植入一个信任根，让计算机从BIOS到操作系统内核层，再到应用层都构建信任关系；以此为基础，扩大到网络上，建立相应的信任链，从而进入计算机免疫时代。当终端受到攻击时，可实现自我保护、自我管理和自我恢复。

可信计算为行为安全而生。据中国信息安全专家在《软件行为学》一书中描述，行为安全应该包括：行为的机密性、行为的完整性、行为的真实性等特征，在态势地图方面，现在人们更多的式研究如何保证信息的机密性和完整性，但是对于行为的真实性，例如某些由于背景时间或者无害的突发安全事件，却很难行之有效地甄别出来，这给操作人员带来了不小的困扰。

发明内容

针对上述问题，本发明提供基于可信计算的大数据安全态势地图生成方法。

本发明的目的采用以下技术方案来实现：

基于可信计算的大数据安全态势地图生成方法，其特征是，包括以下步骤：

(1)利用MAPX软件，将网络所在的地理地图作为背景图层，将网络划分为多个节点和连接两个节点之间的链路，将节点和链路映射到背景图层上；

(2)通过多种数据采集器对网络信息数据进行采集，认证进行信息收集的网络中的硬件节点，判断网络硬件节点可信度，建立所采集信息的信任关系，所述数据采集器以Syslog采集方式为主，以Snmp作为补充采集方式，通过配置不同的网络安全设备完成对网络信息数据的采集；所述网络信息数据包括日志数据、流量数据和漏洞信息，其中所述漏洞信息的获取借助扫描工具和网络IDS入侵检测工具，通过Snmp或Http协议由日志采集插件或数据接口来完成；所述日志数据由数据采集器通过Syslog协议和Flow协议进行采集；

(3)通过代理管理服务器对采集后的所述网络信息数据进行归并、过滤和加密，通过密钥技术、硬件访问控制技术和存储加密技术保证系统和数据的信任状态，通过软件的数字签名技术将使得系统能识别出经过第三方修改可能加入间谍软件的应用程序，形成统一的数据格式发送到服务器终端形成基础数据库，形成可度量的量化数据，确保数据不会被随意获取，构建整体地图生成信任环境，建立信任关系后，以分布在云环境下的数据资源为基础，对数据资源进行封装存储，构建可信数据平台；所述可信数据平台还提供可信软件系统，所述可信软件系统为操作系统和应用软件提供使用可信数据平台的接口，同时对所述可信数据平台后续软件提供完整性度量，并对不可控操作系统的特定行为进行行为审计和分析；所述后续软件包括核心加载软件和不可控操作系统软件；

(4)基于可信计算的真实性，在已建立的整体地图生成信任环境中对网络信息数据进行聚合分类并据此生成滚动式报警，所述滚动式报警设置在安全态势地图的右侧，具体执行以下步骤：

(4-1)从基础数据库中调出网络信息数据，同时设置多个分级阈值T1，T2，T3，……，Tn、相似度更新阀值T、曲率阈值K、相似度持续时间阈值A和初始相似度C，循环取出给定时间内的网络信息数据，调用相似度计算函数计算实时相似度，并生成每个节点处的实时相似度与时间的曲线函数AI；

(4-2)对计算结果进行比较，如果实时相似度大于初始相似度C，则更新实时相似度为当前相似度，否则保留初始相似度C为当前相似度，计数器加1；

(4-3)将当前相似度与多个分级阈值T1，T2，T3，……，Tn进行比较，根据当前相似度所在的阈值区间来确定安全事件的报警等级，其中T＜T1＜T2＜T3……＜Tn；如果当前相似度未落在任一区间，则将当前相似度与相似度更新阀值T进行比较，若当前相似度小于相似度更新阀值T，则执行以下操作：