[发明专利]一种网络态势感知实现方法及装置

说明书

本发明涉及网络态势感知领域，针对现有技术存在的问题，提供一种网络态势感知实现方法及装置。通过分析研究现有网络安全态势感知的系统模型，针对它存在的精确度和实时性不够好的问题，提出一种改进的网络态势感知实现方法及装置。该方及装置自底向上分为态势要素提取、态势理解和评估二个层面，其中态势理解与评估同步进行，预测的数据源采用感知的网络拓扑结构数据以及态势要素的提取结果。本发明采集及处理网络状态相关的网络数据；解析态势提取步骤处理后的网络数据各项数据之间的逻辑关联关系，对相关网络数据进行融合，形成网络态势感知图，从而实现网络态势感知。

技术领域

本发明涉及网络态势感知领域，尤其是一种网络态势感知实现方法及装置。

背景技术

目前国内的网络态势感知的研究仍处于发展初期，主要是高校以及专门的研究机构在从事相关的研究工作。北京理工大学信息安全与对抗技术研究中心研究开发了一套网络安全状态及变化趋势综合评估软件，主要包括网络风险状态评估以及网络安全变化趋势预测两部分，该软件能够评估网络环境及其组成要素的安全性、脆弱性等，但是该软件适用范围有限，仅限于局域网，不能很好地应用于大规模的互通网络中；针对大规模网络的态势感知，国防科技大学的胡华平等人从大规模网络入侵检测预警方面开展了相关研究，提出了基本框架，但是没有明确其关键技术的实现方式。

发明内容

本发明所要解决的技术问题是：针对现有技术存在的问题，提供一种网络态势感知实现方法及装置。通过分析研究现有网络安全态势感知的系统模型，针对它存在的精确度和实时性不够好的问题，提出一种改进的网络态势感知实现方法及装置。该方及装置自底向上分为态势要素提取、态势理解和评估二个层面，其中态势理解与评估同步进行，预测的数据源采用感知的网络拓扑结构数据以及态势要素的提取结果。

本发明采用的技术方案如下：

一种网络态势感知实现方法包括：

网络态势提取步骤，采集及处理网络状态相关的网络数据；

态势感知与评估步骤，解析态势提取步骤处理后的网络数据各项数据之间的逻辑关联关系，对相关网络数据进行融合，形成网络态势感知图，从而实现网络态势感知。

进一步的，所述网络数据是网络原始数据流和主机日志数据，其中采集网络原始数据流采集是指通过winpcap从网络数据链路层旁路或者阻断采集网络中流经的数据；采集主机日志数据是指从网络安全状态数据源中抽取出影响网络态势的基本元素的过程，是存储在应用服务器或者目标终端，通过对相应数据的提取，从而进一步抽取出影响网络态势的基本数据元素；网络安全状态数据源是网络原始数据的一种。

进一步的，所述处理网络原始数据流指的是：

获取完整的网络原始数据流进行存储；

TCP/IP协议簇对采集到的原始数据流进行协议分析，提取五元组信息；

将所提取的五元组信息按照TCP/IP协议架构存储，存储格式为格式统一的数据流。

进一步的，所述处理网络原始数据流还包括对格式统一的数据流进行简化、合并处理。

进一步的，所述处理主机日志信息指的是：

获取主机日志数据，从中提取出特征数据，进一步获取系统信息、服务信息，从主机日志数据中人工分析识别异常数据。

进一步的，所述态势感知与评估包括网络信息态势感知与评估以及主机日志信息态势感知与评估；其中网络信息态势感知与评估是基于网络原始数据流的采集与处理，提取网络原始数据各项数据之间的逻辑关联关系，对相关网络数据进行融合，形成网络态势感知图，从而实现网络态势感知；其中主机日志信息态势感知与评估是基于主机日志信息的采集与处理，提取主机日志信息各项数据之间的逻辑关联关系，对相关主机日志信息进行融合，形成主机日志态势感知图，从而实现网络态势感知。