[发明专利]基于可信计算的大数据安全态势地图生成方法

摘要

本发明提供了基于可信计算的大数据安全态势地图生成方法，在地理地图、安全数据采集等基础上构建了一种可信安全态势地图的生成方法，确保了可信网络信息数据采集的可信性，且基于属性相近度的算法对警报信息进行过滤、聚合，将无碍安全的事件剔除出正常报警外，在避免安全漏洞的同时减小了对监视人员的干扰，态势地图的可信安全行为真实性更高，构建了从可信的数据采集到归并过滤，再到报警生成和态势地图生成的整体地图生成可信环境，保证安全态势地图的可信安全、完整和真实性，保证了态势地图的可信化，在具有保护性功能、认证和完整性度量等特征基础上构建一种可信访问和展示机制。

主权项

基于可信计算的大数据安全态势地图生成方法，其特征是，包括以下步骤：(1)利用MAPX软件，将网络所在的地理地图作为背景图层，同时将网络划分为多个节点和连接两个节点之间的链路，将节点和链路映射到背景图层上；(2)通过多种数据采集器对网络信息数据进行采集，认证进行信息收集的网络中的硬件节点，判断网络硬件节点可信度，建立所采集信息的信任关系，所述数据采集器以Syslog采集方式为主，以Snmp作为补充采集方式，通过配置不同的网络安全设备完成对网络信息数据的采集；所述网络信息数据包括日志数据、流量数据和漏洞信息，其中所述漏洞信息的获取借助扫描工具和网络IDS入侵检测工具，通过Snmp或Http协议由日志采集插件或数据接口来完成；所述日志数据由数据采集器通过Syslog协议和Flow协议进行采集，为可信环境的建立提供基础；(3)通过代理管理服务器对采集后的所述网络信息数据进行归并、过滤和加密，通过密钥技术、硬件访问控制技术和存储加密技术保证系统和数据的信任状态，通过软件的数字签名技术将使得系统能识别出经过第三方修改可能加入间谍软件的应用程序，形成统一的数据格式发送到服务器终端形成基础数据库，形成可度量的量化数据，确保数据不会被随意获取，构建整体地图生成信任环境，建立信任关系后，以分布在云环境下的数据资源为基础，对数据资源进行封装存储，构建可信数据平台；所述可信数据平台还提供可信软件系统，所述可信软件系统为操作系统和应用软件提供使用可信数据平台的接口，同时对所述可信数据平台后续软件提供完整性度量，并对不可控操作系统的特定行为进行行为审计和分析；所述后续软件包括核心加载软件和不可控操作系统软件；(4)基于可信计算的真实性，在已建立的整体地图生成信任环境中对网络信息数据进行聚合分类并据此生成滚动式报警，所述滚动式报警设置在安全态势地图的右侧，具体执行以下步骤：(4‑1)从基础数据库中调出网络信息数据，同时设置多个分级阈值T1，T2，T3，……，Tn、相似度更新阀值T、曲率阈值K、相似度持续时间阈值A和初始相似度C，循环取出给定时间内的网络信息数据，调用相似度计算函数计算实时相似度，并生成每个节点处的实时相似度与时间的曲线函数AI；(4‑2)对计算结果进行比较，如果实时相似度大于初始相似度C，则更新实时相似度为当前相似度，否则保留初始相似度C为当前相似度，计数器加1；(4‑3)将当前相似度与多个分级阈值T1，T2，T3，……，Tn进行比较，根据当前相似度所在的阈值区间来确定安全事件的报警等级，其中T＜T1＜T2＜T3……＜Tn；如果当前相似度未落在任一区间，则将当前相似度与相似度更新阀值T进行比较，若当前相似度小于相似度更新阀值T，则执行以下操作：计算当前时间点相对于前一时间点的实时相似度变化量，即计算所述曲线函数AI当前时间点相对于前一时间点的曲率K'，如果K'＞K，并且当前相似度小于相似度更新阀值T的持续时间小于相似度持续时间阈值A时，将该网络信息数据定性为无害安全事件，不执行添加新报警类别的操作，同时将所述无害安全事件的相关信息储存到人为设置的临时储存器中，当同一节点由计数器记数累计达到3次无害安全事件时，则执行添加新报警类别的操作；当任一次当前相似度小于相似度更新阀值T的持续时间大于等于相似度持续时间阈值A时，也执行添加新报警类别的操作；(4‑4)将所有网络信息数据，按照上述的聚合分类方法分类后，以滚动报警的形式显示在地图的右侧，并且不同分类的报警颜色设置为不一样；(5)基于可信计算的完整性，在已建立的整体地图生成信任环境中，根据下式得到各个节点和链路的网络安全态势值：FN{WH，WL，FH，FL，t}＝WH.FH+WL.FL此处，FH(H，V1，Fs，t)＝V1.Fs(t)+10P’(t)FL(L，V2，US，t)＝V2.US(t)+10B‘(t)其中，FN表示t时刻目标节点和目标链路的总网络安全态势值，WH表示目标节点在所有节点中所占的权重值，WL表示目标链路在所有链路中所占的权重值，WH、WL分别由节点和链路组件提供的服务信息获得；FH表示t时刻目标节点的安全态势状况，H表示目标节点，V1表示某一服务在节点运行的所有服务中所占的权重；P表示节点性能状况，P值越大表示节点性能越差，P’(t)表示t时刻节点性能变化状况，通过计算函数P某点的曲率求得，且强制P’(t)≤3，当P’(t)值大于3时，强制令P’(t)＝3；Fs(t)＝N1(t).10D1(t)，表示t时刻目标节点的服务安全态势状况，N1(t)表示t时刻节点被攻击发生的次数，D1(t)表示t时刻节点被攻击的严重程度，其与目标节点当前所提供服务受到的攻击种类和受到的攻击次数有关，根据具体情况人为设定该函数；FL表示t时刻目标链路的安全态势状况，L表示目标链路，V2表示某一组件服务在链路运行的所有组件服务中所占权重；B表示链路性能状况，数值越大表示链路的性能越差，B’(t)表示t时刻链路性能变化状况，通过计算函数B某点的曲率求得，且强制B’(t)≤3，当B’(t)值大于3时，强制令B’(t)＝3；US(t)＝N2(t).10D2(t)，表示t时刻目标链路的服务安全态势状况，N2(t)表示t时刻链路被攻击发生的次数，D2(t)表示t时刻链路被攻击的严重程度，其与目标链路所提供的服务受到的攻击种类和所受到的攻击次数有关，根据具体情况人为设定该函数；(6)根据计算得到的各个节点和链路的网络安全态势值，在已建立的整体地图生成信任环境中，根据预先设定的阈值对不同数值的网络安全态势进行分级，用不同颜色代表不同态势等级的节点和链路的安全状态，生成安全态势地图；所述数据采集器为可信链的起点，其设置有数据发送应用程序，所述数据采集器、代理管理服务器、报警生成和态势地图生成四者共同构成可信链，数据通过3G模块进行传输，3G模块上电后，由所述可信数据平台进行上电检测。