[发明专利]基于安全因子的网络安全态势评估方法

权利要求书

1.一种基于安全因子的网络安全态势评估方法，其特征在于：包括以下步骤，

步骤(A)，计算当前网络的安全态势数据；

步骤(B)，根据当前网络的安全态势数据，形成某个时刻或时间段内的安全因子；

步骤(C)，根据安全因子，进行网络的安全态势评估，若评估为安全，则返回步骤(A)，进行下一时刻或者下一时间段的安全态势评估；若评估为异常，则为异常事件，报警输出；

步骤(B)，根据当前网络的安全态势数据，形成某个时刻或时间段内的安全因子，包括以下步骤，

(B1)，建立每个安全态势数据的单独安全因子K1-K8；

(B2)，根据各安全态势数据对应网络安全的重要性，形成单独安全因子K1-K8的权重系数Q1-Q8；

(B3)，根据权重系数，将权重占比较大的五个单独安全因子，进行两两组合，形成多个组合安全因子；

(B1)，建立每个安全态势数据的单独安全因子，安全态势值流量变化率的单独安全因子为0.6、安全态势值数据包端口分布和IP分布的单独安全因子为1.8、安全态势值吞吐率的单独安全因子为0.05、安全态势值丢包率的单独安全因子为0.01、安全态势值时延的单独安全因子为0.02、安全态势值传输速率的单独安全因子为1024、安全态势值响应时长的单独安全因子为0.01、安全态势值服务响应率的单独安全因子为0.99；

(B2)，根据各安全态势数据对应网络安全的重要性，形成单独安全因子K1-K8的权重系数Q1-Q8，权重系数Q1-Q8分别为25％、2％、15％、30％、8％、1％、7％、4％、9％；

步骤(C)，根据安全因子，进行网络的安全态势评估，评估过程为，

(C1)，若权重占比较大的五个单独安全因子任意发生，则评估为异常；

(C2)，若组合安全因子任意发生，则评估为异常；

(C3)，若权重占比较小的三个单独安全因子，存在两个同时或者三个同时发生，则评估为异常；

(C4)，其他情况，评则估为安全。

2.根据权利要求1所述的基于安全因子的网络安全态势评估方法，其特征在于：步骤(A)，所述安全态势数据，包括安全态势值流量变化率、安全态势值数据包端口分布和IP分布、安全态势值吞吐率、安全态势值丢包率、安全态势值时延、安全态势值传输速率、安全态势值响应时长、安全态势值服务响应率。

3.根据权利要求2所述的基于安全因子的网络安全态势评估方法，其特征在于：所述安全态势值流量变化率为(Flow_t+1/Flow_t)*100％，其中，Flow_t为t时刻网络数据的字节总量；Flow_t+1为t+1时刻网络数据的字节总量；

所述安全态势值数据包端口分布和IP分布：在一段s时间内，网络端口的集合为Port＝{Port₁,Port₂,...,Port_s}，网络IP的集合为Ip＝{Ip₁,Ip₂,...,Ip_s}，Port_t为t时刻的网络端口，Ip_t为t时刻的网络IP，则安全态势值数据包端口分布为Port_t/Port；安全态势值数据包IP分布为Ip_t/Ip；

所述安全态势值吞吐率：若一条网络链路的传输速率为R，在t时刻有n个网络指令需要执行，则该条网络链路的安全态势值吞吐率为min{R₁,R₂,...,R_n}，其中R_n为t时刻第n个网络指令的传输速率；

所述安全态势值丢包率：若客户端发送一条字节包数为total_packet的网络数据，服务器端接收字节包数量packet，则安全态势值丢包率为(total_packet-packet)/total_packet；

所述安全态势值时延：若报文长度和分组长度分别为x和(y+z)，其中，y为分组的数据部分长度，z为每个分组所带的控制信息固定长度，x为报文长度；通过k段链路，链路的传输率为b，每段链路的传播时延为d，

则安全态势值时延为(x/y)*((y+z)/b)+(k-1)*((y+z)/b)+k*d；

所述安全态势值传输速率为单位时间内能达到的最高传输速率，即每秒钟传送的数据量大小；

所述安全态势值响应时长：在t时刻，网络数据从响应到结束时间为t_i，则安全态势值响应时长为t_i-t；

所述安全态势值服务响应率：在t时刻，服务请求总数Q、响应数Q_t，则安全态势值服务响应率为Q_t/Q_t*100％。