[发明专利]一种网络安全态势检测方法

说明书

本发明实施例提供一种网络安全态势检测方法。所述方法包括：获取网络中数据包；分别统计与每个主体相关的数据包以组成数据集；根据数据集中各个数据包间的相似度，以及所述主体与所有相对主体的拓扑关系，得到所述主体的主体关联度；根据每个主体的主体关联度和所有数据包的统计特征，得到稳定值和风险值；根据稳定值和风险值，采用预设的网络安全态势公式，得到所述网络的网络态势值，本发明实施例通过采集网络中数据包，并统计得到每个主体的数据集，然后通过数据包的相似度和主体的拓扑关系，得到主体关联度，再根据数据包的统计特征，得到稳定值和风险值，进而得到网络态势值，从而能够准确得分析出所述网络当前的安全性。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种网络安全态势检测方法。

背景技术

随着互联网规模和应用领域的不断发展，网络攻击和破坏行为日益增多，且逐渐呈现出组织严密化、行为趋利化和目标直接化的特点。而现有的网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备，由于它们彼此间缺乏有效协作，使得各类安全设备的效能无法得到充分发挥，网络安全问题已成为影响互联网和各类应用发展的主要问题。

网络安全态势感知可以从总体上把握网络运行的安全状况及未来的发展趋势，实时感知当前网络所面临的各种威胁，为及时、准确地采取应对措施提供决策依据，从而将网络威胁带来的风险和损失降至最低。

专利《基于信息关联的网络安全态势感知系统及其方法》(公开号CN102340485A)提出综合利用主动扫描和被动嗅探相结合的方式获取网络脆弱性信息、通过对各种安全日志的采集和分析来获取威胁信息、以及网络流量等基本信息生成网络安全态势。上述方法通过各类检测引擎的检测结果或记录对网络安全态势进行评估，只考虑单一时空尺度上的网络行为，存在分析方法简单，融合层次较低的问题，导致态势评估结果粗糙、难以描述网络行为的复杂特征，更不能细粒度的刻画网络威胁行为发生、发展和演化的全过程。

目前，对网络安全态势感知的研究主要集中于对单机日志、NetFlow、简单网络管理协议SNMP和服务等数据的简单关联分析基础之上，存在着感知范围片面、精度低等不足，因此无法从本质上把握网络运行的内在规律，更难以全面准确地对整个网络的安全态势进行动态评估和趋势预测。

发明内容

本发明实施例提供一种网络安全态势检测方法，用以解决现有技术中无法从本质上把握网络运行的内在规律，更难以全面准确地对整个网络的安全态势进行动态评估和趋势预测。

第一方面，本发明实施例提供了一种网络安全态势检测方法，包括：

在预设的时间段内获取网络中所有数据包，所述数据包至少包括发送端和接收端；

分别统计与每个主体相关的数据包以组成所述主体的数据集；其中，所述数据集中每个数据包的发送端或接收端为所述主体；

根据所述数据集中各个数据包间的相似度，以及所述主体与所有相对主体的拓扑关系，得到所述主体的主体关联度；其中，所述主体和相对主体为至少一个数据包的发送端和接收端；

根据每个主体的主体关联度和所有数据包的统计特征，得到所述网络的稳定值和风险值；

根据所述稳定值和风险值，采用预设的网络安全态势公式，得到所述网络在所述时间段内的网络态势值。

第二方面，本发明实施例还提供了一种电子设备，包括：

处理器、存储器、通信接口和通信总线；其中，

所述处理器、存储器、通信接口通过所述通信总线完成相互间的通信；

所述通信接口用于该电子设备的通信设备之间的信息传输；

所述存储器存储有可被所述处理器执行的计算机程序指令，所述处理器调用所述程序指令能够执行如下方法：