面向类型化资源的自动安全态势感知、分析与报警系统

摘要

本发明是面向类型化资源的自动安全态势感知、分析与报警系统的开发方法，并给出了资源形态包括数据、信息和知识等的解释和数据图谱、信息图谱和知识图谱的概念表示，属于分布式计算和软件工程学技术交叉领域。本发明提出将网络安全态势情况和自动报警规则映射成数据、信息和知识等类型的资源实例的集合，建立资源优化目标函数，通过存储和计算协同调整资源存储和匹配方案，优化资源存储的空间代价和态势感知的时间效率，实时监控网络安全态势变化，更新自动报警规则集合，有利于及时响应安全状况。

说明书

技术领域

本发明是一种分布式计算的安全解决方案。主要用于解决面向类型化资源的自动安全态势感知、分析与报警问题，通过转换资源类型，使得网络资源利用效率有很大的提高，同时网络节点延时状态保持了一定程度的稳定，属于分布式计算软件安全技术领域。

背景技术

现有的网络安全保障或管理系统,虽然能够获取大量的安全数据,却缺乏有效的数据融合和协同管理机制。网络态势感知作为下一代网络管理系统,受到越来越多的关注,成为网络安全研究中的新热点。 传统的网络态势感知基本以入侵检测报警记录为数据源，而入侵检测系统在大规模高速主干网上难以部署,导致目前的网络态势感知研究局限于中小规模网络。以往的自动报警系统中，报警规则存在冗余、不一致等问题。当网络系统很复杂时，安全威胁和传感器的数量以及数据流将急剧增加使得模型难以控制。网络安全态势感知在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势，并在一定条件下对网络安全态势的发展趋势进行预测，当网络安全受到威胁时，启动自动报警系统。

发明内容

技术问题：本发明的目的是提供一种面向类型化资源的自动安全态势感知、分析与报警系统开发方法，来预测和解决网络安全态势问题，与过去的网络安全态势监测方法不同，本方法将态势状况和自动报警规则看作是数据、信息和知识等类型化的资源实例的集合，从数据、信息和知识的角度对安全态势资源和报警规则进行分析和匹配。

技术方案：本发明是面向类型化资源的自动安全态势感知、分析与报警系统，基于对现有知识图谱（Knowledge Graph）概念的拓展提出了一种三层可自动抽象调整的解决架构。这个架构包括：数据图谱（DataGraph_DIK）、信息图谱（InformationGraph_DIK）和知识图谱（KnowledgeGraph_DIK）等三个层面。

本发明提出基于数据图谱、信息图谱和知识图谱框架从资源建模、资源处理、处理优化的角度对网络安全态势资源和自动报警规则集合进行管理和组织，优化时空效率。本发明定义资源建模包括采用资源实例、资源类型、资源集合的概念对资源分类的描述、资源类型转换的描述，具体定义如下：

（1）资源实例(RINS)：描述事务资源的原子级的资源，作为资源分类树的最底层结点，资源实例包括资源类型(RE_type)和资源规模(RE_sca)两个属性，可表示为RINS:=<RE_type,>sca>；

（2）资源类型(Type_DIK)：本发明定义资源包含三种类型，分别是数据、信息和知识，可表示为Type_DIK:=<Data_DIK,>DIK,>DIK>。表1给出了对Data_DIK、Information_DIK和Knowledge_DIK等资源类型的解释；

（3）资源集合(RC)：资源集合是不同类型或相同类型资源的集合，由资源实例构成。

以上定义中，资源实例和资源类型主要针对事务资源的静态模型，资源集合用来完成各种活动。

表1.资源类型的渐进形式

Data_DIKInformation_DIKKnowledge_DIK语义负载没有指定利益相关者/机器指定利益相关者/机器对已知信息进行抽象形式元素的概念集合数据的概念映射和相关关系组合对信息的进一步分类与抽象用法统计与传输交互、协作推理与预测子图DataGraph_DIKInformationGraph_DIKKnowledgeGraph_DIK子图表达形式数组、链表、栈、树、图关系数据库语义网络

体系结构

DataGraph_DIK是包含RINS的数据集合，在没有上下文背景的情况下，Data_DIK是没有语义的；Information_DIK可通过概念映射和相关数据的组合得到，对Data_DIK赋予上下文背景后，Data_DIK含有了语义，成为Information_DIK，InformationGraph_DIK表达了资源之间的交互和协作；Knowledge_DIK可由Information_DIK抽象得出，KnowledgeGraph_DIK表达了资源实例及资源集合中所包含的实体之间的语义关系，通过知识推理，可在图谱上挖掘新的关系，链接新的实体，从而扩展KnowledgeGraph_DIK的点密度和边密度。运用三层图谱对网络安全态势资源和自动报警规则集合进行建模，全面覆盖资源实体之间的关系，对资源进行完整的表达。表2所示为资源实例类型转换的原子代价。下面我们给出DataGraph_DIK,InformationGraph_DIK和KnowledgeGraph_DIK的具体说明。

本发明定义DataGraph_DIK为：

DataGraph_DIK>

DataGraph_DIK是各种数据结构包括数组（array）、链表（list）、栈（stack）、队列（queue）、树（tree）和图（graph）等的集合（collection）。DataGraph_DIK只能对图谱上表示的Data_DIK进行静态分析，无法分析和预测Data_DIK的动态变化。

本发明定义InformationGraph_DIK为：

InformationGraph_DIK:=>DIK}。

InformationGraph_DIK是相互关联的Data_DIK（relatedData_DIK）的组合（combination），Information_DIK是通过Data_DIK和Data_DIK组合之后的上下文传达的，经过概念映射和相关关系组合之后的适合分析和解释的信息。在InformationGraph_DIK上进行数据清洗，消除冗余数据。

本发明定义KnowledgeGraph_DIK为：

KnowledgeGraph_DIK>

KnowledgeGraph_DIK实质是语义网络和由Information_DIK总结出的统计规则（statistical>DIK蕴含丰富的语义关系，在KnowledgeGraph_DIK上能通过信息推理和实体链接提高KnowledgeGraph_DIK的边密度和结点密度，KnowledgeGraph_DIK的无结构特性使得其自身可以无缝链接。信息推理需要有相关关系规则的支持，这些规则可以由人手动构建，但往往耗时费力，得到复杂关系中的所有推理规则更加困难。使用路径排序算法将每个不同的关系路径作为一维特征，通过在KnowledgeGraph_DIK中构建大量的关系路径来构建关系分类的特征向量和关系分类器来提取关系。

表2. 资源实例类型转换的单位代价

Data_DIKInformation_DIKKnowledge_DIKData_DIKCost_D-DCost_D-ICost_D-KInformation_DIKCost_I-DCost_I-ICost_I-KKnowledge_DIKCost_K-DCost_K-ICost_K-K

有益效果：

本发明方法提出了一种面面向类型化资源的自动安全态势感知、分析与报警系统，将安全态势资源和自动报警规则从数据、信息和知识的角度进行分析和匹配，优化资源存储所需的空间代价，同时提高态势资源与自动报警规则集合的匹配效率，有利于及时响应网络安全事件。具体有益效果如下：

（1）全面及时地掌握网络态势安全，为制订合理准确的决策提供可靠依据；

（2）实现对潜在的、偶然的网络安全事件的自动响应，并能从已有的数据、信息和知识等资源中进行自我推理，积极完善系统性能及自我防护能力；

（3）实现全方位一体化的网络安全态势感知共享和自我监督。

附图说明

图1是面向类型化资源的自动安全态势感知、分析与报警系统结构示意图。

图2是面向类型化资源的自动安全态势感知、分析与报警系统的流程示意图。

具体实施方式

本发明将网络态势资源集合定义为一个三元组NSR:={NSR₁,NSR₂,NSR₃}，NSR_i代表相同类型资源的集合，网络态势资源中会包含数据、信息和知识三种类型的资源。NSR的类型集合为NType={NType₁,NType₂,NType₃},每种资源的规模为NSca={NSca₁,NSca₂,NSca₃}。本发明定义报警规则集合为ARC:=>1,ARC₂,ARC₃},>1,AType₂,AType₃}，每种资源的规模为ASca={ASca₁,ASca₂,ASca₃}。本发明假定NSR中所有类型资源已在当前图谱资源空间中以任意一种存储方案存储完毕，通过计算资源在图谱上存储所需空间代价和处理资源所需的计算代价，协同调整安全态势资源组织方案，具体实现方式为：

步骤1).对应于图2中步骤001，通过传感器或代理检测网络系统的运行状况，采集有关系统状态或系统运行中产生的数据、信息和知识等资源实例；

步骤2). 对应于图2中步骤002，对NSR中每个资源元素集合的类型依次取Type_DIK中的值，形成组合情形NType’={>1’,NType₂’,NType₃’}；

步骤3). 对应于图2中步骤003，对应类型赋值后的每种情形，根据公式1计算NSR中的资源从当前最初状态向赋值后的类型集合NType’转换的代价 (CostTF₁)：

(1)

其中Cost表示进行单位资源进行类型转换的原子代价，取值包括{Cost_D-D,>D-I,Cost_D-K,>I-D,>I-I,>I-K,>K-D,>K-I,>K-K}，资源类型转换后，资源规模会发生变化，所需网络带宽和转发时间也会随之变化，通过转换资源类型达到网络带宽和节点缓冲区的优化配置，提高网络性能；

步骤4). 对应于图2中步骤004，本发明定义对网络资源的优化模型的目标函数包含带宽使用均衡度（UE_BW）和节点资源转发的等待时间(WTime)两个参数，其中带宽使用均衡度为带宽空闲率（IRate_BW）的方差，带宽空闲率和带宽使用均衡度的计算方式如公式2和3：

（2）

（3）

其中BW_ij表示从节点i到节点j的链路的带宽，F_ij表示链路上的流量，l表示平均分组长度；

步骤5). 对应于图2中步骤005，在一个节点上资源转发的等待时间包括转发等待率（WRate）和等待均衡度（WEqu），等待均衡度为资源转发等待率的方差，转发等待率和等待均衡度可根据就公式4和5计算：

（4）

（5）

其中N_i表示第i个节点需转发的资源的平均分组个数，H_i表示节点i的缓冲区长度。对应于图2中步骤006，计算资源类型转换后是否满足目标优化函数，本发明定义网络资源的优化目标函数为：

（6）

其中α和β分别表示带宽使用均衡度和等待均衡度的权重系数，可通过数据训练得出，F的值越小，表示网络流量分布越均衡；

步骤6). 对应于图2中步骤007，对ARC中每个资源元素集合的类型依次取Type_DIK中的值，形成组合情形AType’={>1’,AType₂’,AType₃’}；

步骤7). 对应于图2中步骤008，对应类型赋值后的每种情形，根据公式7计算ARC中的资源从当前最初状态向赋值后的类型集合AType’转换的代价 (CostTF₂)：

(7)

步骤8). 对应于图2中步骤009，根据步骤7得到的自动报警规则资源集合协同类型转换的代价计算所需投入 (Inves)：

(8)

其中ϕ、分别表示单位网络资源类型转换代价和单位报警规则资源集合类型转换所需投入，可通过数据训练得出；

步骤9). 对应于图2中步骤010，根据步骤8得到的资源协同调整方案的所需投入，根据公式9计算每种方案的效益比(Inve_cos)：

(9)

当有新规则加入时，首先从数据层面进行分析，提取规则中的资源元素，遍历含有该资源元素的规则，将新规则与找到的含有相同资源元素的规则进行匹配，若有与新规则相同或者相互冲突的规则在原自动报警规则集合中时，不加入新规则。所以当报警规则集合中资源规模越小时，遍历的时间复杂度越小，效益比越大；

步骤10). 对应于图2中步骤011，获取预期投入(Inve₀)和期望效益比(Inve_Cos₀)。对应于图2中步骤012、013和014，将不同协同调整方案的Inve_Cos和Inve_Cos₀进行比较，同时将对应方案所需投入（Inves）和期望投入(Inve₀)进行比较，找出Inves不超过Inve₀的并且具有最大Inve_cos的方案；

步骤11). 对应于图2中步骤015，根据步骤10得到的具有最大Inve_Cos的方案调整ARC中资源的类型；

步骤12). 对应于图2中步骤016，匹配NSR和ARC，遍历NSR和ARC中的资源实例，017判断条件“NSR∩ARC=∅”是否成立。若是，则返回步骤1继续监测和更新网络安全状况资源集合；若否，018启动自动报警系统。