[发明专利]一种网络安全态势检测方法

权利要求书

1.一种网络安全态势检测方法，其特征在于，包括：

在预设的时间段内获取网络中所有数据包，所述数据包至少包括发送端和接收端；

分别统计与每个主体相关的数据包以组成所述主体的数据集；其中，所述数据集中每个数据包的发送端或接收端为所述主体；

根据所述数据集中各个数据包间的相似度，以及所述主体与所有相对主体的拓扑关系，得到所述主体的主体关联度；其中，所述主体和相对主体为至少一个数据包的发送端和接收端；所述数据包还包括预设长度的特征值序列；

根据每个主体的主体关联度和所有数据包的统计特征，得到所述网络的稳定值和风险值；

根据所述稳定值和风险值，采用预设的网络安全态势公式，得到所述网络在所述时间段内的网络态势值；其中，所述网络安全态势公式具体为：

所述网络的安全态势值

其中，所述σ₁和σ₂分别为所述网络的稳定值T₁和网络的风险值T₂的预设稳定系数和风险系数；

所述根据所述数据集中各个数据包间的相似度，以及所述主体与所有相对主体的拓扑关系，得到所述主体的主体关联度；其中，所述主体和相对主体为至少一个数据包的发送端和接收端，具体为：

根据所述数据包与所在数据集中其它数据包间的特征值序列的差得到所述数据包的内部关联度；

同时，根据所述主体与相对主体的拓扑关系得到所述主体的外部关联度；

根据所述主体的数据集内所有数据包的内部关联度和所述主体的外部关联度，得到所述主体的主体关联度。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若所述安全态势值超过了预设的安全态势阈值范围，则所述网络存在安全风险。

3.根据权利要求1或2所述的方法，其特征在于，所述主体关联度具体由下式得到：

主体i的主体关联度

其中，所述r_ia为主体i的数据集S_i中数据包s_ia的内部关联度，所述r_i为所述主体i的外部关联度。

4.根据权利要求3所述的方法，其特征在于，所述数据包的内部关联度具体由下式得到：

所述数据包s_ia的内部关联度

其中，所述N_i为所述主体i的数据集S_i内包含的数据包总数，所述x_iam和x_ibm分别为所述数据包s_ia和s_ib中特征值序列的第m个特征值，每个数据包的特征值序列均包含M个特征值。

5.根据权利要求3所述的方法，其特征在于，所述根据所述主体与相对主体的网络拓扑关系得到所述主体的外部关联度，具体为：

根据所述主体为数据包的发送端和接收端，将对应的数据集分为接收数据集和发送数据集；

根据所述主体与相对主体的网络拓扑关系，分别基于接收数据集和发送数据集得到所述主体的接收外部关联度和发送外部关联度；

将所述接收外部关联度和发送外部关联度进行加权求和，得到所述主体的外部关联度。

6.根据权利要求5所述的方法，其特征在于，所述数据包的外部关联度具体由下式得到：

所述主体i的外部关联度

其中，所述C_i和C_t分别为所述主体i和相对主体t根据各自的拓扑结构得到的尺度因子，所述N_i1和N_i2分别为与所述主体i对应的接收数据集S_i1和发送数据集S_i2的数据包总数，所述W_i1和W_i2分别为对应的接收外部关联度和发送外部关联度的预设关联系数。