[发明专利]一种基于多节点关联性的网络安全态势诊断方法

说明书

技术领域

本发明涉及网络安全态势诊断技术领域，具体涉及一种基于多节点关联性的网络安全态势诊断方法。

背景技术

网络安全态势诊断的目的是在一定时空范围内，对威胁当前网络的异常行为进行认知、理解，并对其溯源。

目前安全态势作为网络态势的一部分，主要是在获取各类网络监测数据的基础上，根据领域知识和历史数据，借助一些数学工具或者数据模型，经过分析推理，对整个网络的当前状态做出合理的解释。

网络安全态势诊断：指在大规模网络环境中，通过对能够引起网络态势发生变化的安全因素进行获取、分析以及预测其未来的发展态势，对所有产生变化的节点进行诊断，寻找引起未知异常行为的源节点。

随着网络规模的不断扩大和云计算服务体系的不断发展，相应的网络单元信息越来越庞大，网络单元间的关系越来越复杂，而已有的网络安全态势诊断方法，只从单一网络单元信息去判断当前网络单元的安全状态，未能很好的利用网络单元之间的联系，无法有效的进行信息的共享，对威胁当前网络的异常行为无法确定其发生源，从而无法对当前网络安全态势做出有效诊断，因此，已不能满足网络规模扩大所带来的变化。

发明内容

本发明的目的在于：为解决现有的网络安全态势诊断方法只从单一网络单元信息去判断当前网络单元的安全状态，未能很好的利用网络单元之间的联系，无法有效的进行信息的共享，对威胁当前网络的异常行为无法确定其发生源，从而无法对当前网络安全态势做出有效诊断的问题，本发明提供一种基于多节点关联性的网络安全态势诊断方法。

本发明的技术方案如下：

一种基于多节点关联性的网络安全态势诊断方法，包括如下步骤：

S1：对多节点数据项进行采样。

S2：获取节点间关联规则。

S3：根据网络中各节点的变化程度，由关联规则进行溯源，推断出异常源节点；该步骤包括如下步骤：

S31：以采样间隔为单位更新数据项。

S32：根据更新前规则窗口内已标注数据项，对更新后获得的新数据项进行分类，得到采样间隔处各节点的网络安全状态。

S33:结合当前各节点的网络安全状态与更新前规则窗口内获得的关联规则，进行关联规则匹配。

S34:对于网络中任一节点，根据其数值化的网络安全状态、其匹配的关联规则和周围节点的网络安全状态，利用数值的衰减规律，逆向溯源异常源节点。

S35：通过对匹配到的关联规则进行推理分析，将关联后的结果进行网络安全态势呈现，完成异常源节点的诊断。

S4：通过更新规则窗口，循环S1、S2、S3步骤，对整体网络安全态势进行诊断。

进一步地，S1的步骤具体包括：

S11：设定采样间隔及规则窗口的大小作为初始化参数；

S12：根据S11设定的初始化参数，每个节点各自运行一个收集和发送数据的数据采样线程，同时根据需要直接传送原始数据或对数据进行预处理后传送，预处理包括去除单位信息并对数据进行归一化处理等；

S13：服务节点周期性地轮询各节点采样到的数据项信息，存入数据库。

具体地，S2的步骤具体包括：

S21:对采样数据项进行特征提取、特征选择，特征提取和特征选择用于后面的聚类过程；

S22:根据当前网络中网络安全状态的类别个数，设定聚类过程中簇的个数；

S23:聚类，并由聚类后簇的个数的不同，标注节点所属网络安全状态；

S24：由标注的节点所属网络安全状态，得到规则窗口内，以采样间隔为单位的安全态势矩阵；

S25：对安全态势矩阵进行频繁项集挖掘，并在频繁项集中提取出规则窗口内多节点间的关联规则。

进一步地，S13中，服务节点通过单播路由的方式与其它节点通信，收集所需节点的状态信息，并保存在数据库中。

具体地，当网络中某一个或者若干节点发生异常行为时，与其具有强相关性的节点也会受其影响，产生相应的变化，此种关联性的发现分为两个阶段：(1)发现网络异常行为时，由节点产生相关变化而组成的频繁项集；(2)利用频繁项集寻找规则可信性高的关联规则。

具体地，S3具体包括如下步骤：

S31：以采样间隔为单位更新数据项并进行特征提取、特征选择；

S32：根据更新前规则窗口内已标注数据项，对更新后获得的新数据项进行分类，得到采样间隔处各节点的网络安全状态；