基于大数据和WSN技术的网络安全态势分析预警系统

摘要

本发明提供了基于大数据和WSN技术的网络安全态势分析预警系统，包括：无线传感器网络子系统，用于通过无线传感器网络从网络中获取网络基本信息并传输至大数据分析预警子系统，网络基本信息包括网络产生的警报信息、网络脆弱性信息、用于描述网络稳定性的网络流量信息；大数据分析预警子系统包括预处理单元、网络安全态势评估单元和网络态势预警单元；预处理单元用于对网络基本信息进行预处理，得到规范化格式的网络基本信息；网络安全态势评估单元用于利用规范化的网络基本信息，对网络的威胁性、脆弱性和稳定性进行量化分析，输出当前网络安全态势值；网络态势预警单元在当前网络安全态势值超出设定的阈值范围时输出报警信号。

说明书

技术领域

本发明涉及信息安全技术领域，具体涉及基于大数据和WSN技术的网络安全态势分析预警系统。

背景技术

现有的网络安全态势感知系统存在以下不足：

(1)缺乏数据有效性的验证：从网络中直接采集的数据可能是由网络安全设备误报产生的，对这样的数据进行加工取得的结果，准确性值得商讨；

(2)缺乏数据关联：现有的网络安全态势感知系统倾向于获取多源数据信息，但缺乏对数据信息之间关联性的分析；

(3)缺乏定量分析：目前网络安全评估一般都采用定性的或者等级分类的方式描述网络的安全状态，缺乏更为准确的，与国际标准一致的定量分析。

发明内容

针对上述问题，本发明提供基于大数据和WSN技术的网络安全态势分析预警系统。

本发明的目的采用以下技术方案来实现：

提供了基于大数据和WSN技术的网络安全态势分析预警系统，包括：

无线传感器网络子系统，用于通过无线传感器网络从网络中获取网络基本信息并传输至大数据分析预警子系统，网络基本信息包括网络产生的警报信息、网络脆弱性信息、用于描述网络稳定性的网络流量信息；

大数据分析预警子系统包括预处理单元、网络安全态势评估单元和网络态势预警单元；预处理单元用于在其数据库中建立与网络基本信息相关的字典，对无线传感器网络子系统传输的网络基本信息进行统计分析，去除重复、错误项，修改不一致项，接着将统计分析后的数据与数据字典进行关联分析，得到规范化格式的网络基本信息；网络安全态势评估单元连接所述预处理单元，用于利用规范化的网络基本信息，对网络的威胁性、脆弱性和稳定性进行量化分析，进而实现对当前的网络安全态势的分析，输出当前网络安全态势值；网络态势预警单元在当前网络安全态势值超出设定的阈值范围时输出报警信号。

进一步地，还包括：数据存储子系统，连接所述大数据分析预警子系统，用于设置数据库存储所述规范化的网络基本信息、进行网络安全态势分析所需的数据信息。

优选地，所述网络安全态势评估单元包括：

威胁性态势评估子单元，用于根据网络产生的警报信息确定网络的威胁性态势值，当设定时间段网络产生的警报数目大于设定的警报数目阈值时，输出威胁性态势值为1，否则输出威胁性态势值为0；

脆弱性态势评估子单元，用于将所述网络脆弱性信息与通用漏洞评分系统相关联，获取网络的脆弱性态势值，当网络中漏洞的数目大于设定的漏洞数目阈值时，或者各漏洞在通用漏洞评分系统中的评分值总和超过设定的分值上限时，输出网络的脆弱性态势值为1，否则输出网络的脆弱性态势值为0；

稳定性态势评估子单元，用于基于所述网络流量信息获取网络的稳定性态势值，当设定时间段的网络流量大于设定的流量上限时，输出稳定性态势值为1，否则输出稳定性态势值为0；

态势整体评估子单元，连接所述威胁态势评估模块、所述脆弱性态势评估子单元、所述稳定性态势评估子单元，用于根据威胁性态势值、脆弱性态势值、稳定性态势值，获取网络的整体安全态势值。

优选地，网络的整体安全态势值为威胁性态势值、脆弱性态势值和稳定性态势值之和。

本发明的有益效果为：通过无线传感器网络获取网络基本信息，智能快捷，通过预处理单元对无线传感器网络获取的网络基本信息进行规范，并且通过设置网络安全态势评估单元实现了网络威胁性信息与网络拓扑信息的关联，以及威胁性信息和脆弱性信息的关联，克服了现有的网络态势感知系统缺乏数据有效性验证，数据关联和定量分析的问题，从而使得网络安全态势感知更为准确。

附图说明

利用附图对本发明作进一步说明，但附图中的实施例不构成对本发明的任何限制，对于本领域的普通技术人员，在不付出创造性劳动的前提下，还可以根据以下附图获得其它的附图。

图1是本发明一个示例性实施例的系统结构连接框图；

图2是本发明一个示例性实施例的大数据分析预警子系统的结构连接框图。

附图标记：

无线传感器网络子系统1、大数据分析预警子系统2、数据存储子系统3、预处理单元10、网络安全态势评估单元20、网络态势预警单元30。

具体实施方式

结合以下实施例对本发明作进一步描述。

参见图1、图2，本实施例提供了基于大数据和WSN技术的网络安全态势分析预警系统，包括：

无线传感器网络子系统1，用于通过无线传感器网络从网络中获取网络基本信息并传输至大数据分析预警子系统2，网络基本信息包括网络产生的警报信息、网络脆弱性信息、用于描述网络稳定性的网络流量信息；

大数据分析预警子系统2包括预处理单元10、网络安全态势评估单元20和网络态势预警单元30；预处理单元10用于在其数据库中建立与网络基本信息相关的字典，对无线传感器网络子系统1传输的网络基本信息进行统计分析，去除重复、错误项，修改不一致项，接着将统计分析后的数据与数据字典进行关联分析，得到规范化格式的网络基本信息；网络安全态势评估单元20连接所述预处理单元10，用于利用规范化的网络基本信息，对网络的威胁性、脆弱性和稳定性进行量化分析，进而实现对当前的网络安全态势的分析，输出当前网络安全态势值；网络态势预警单元30在当前网络安全态势值超出设定的阈值范围时输出报警信号。

进一步地，网络安全态势分析预警系统还包括：数据存储子系统3，连接所述大数据分析预警子系统2，用于设置数据库存储所述规范化的网络基本信息、进行网络安全态势分析所需的数据信息。

在一个实施例中，所述网络安全态势评估单元20包括：

威胁性态势评估子单元，用于根据网络产生的警报信息确定网络的威胁性态势值，当设定时间段网络产生的警报数目大于设定的警报数目阈值时，输出威胁性态势值为1，否则输出威胁性态势值为0；

脆弱性态势评估子单元，用于将所述网络脆弱性信息与通用漏洞评分系统相关联，获取网络的脆弱性态势值，当网络中漏洞的数目大于设定的漏洞数目阈值时，或者各漏洞在通用漏洞评分系统中的评分值总和超过设定的分值上限时，输出网络的脆弱性态势值为1，否则输出网络的脆弱性态势值为0；

稳定性态势评估子单元，用于基于所述网络流量信息获取网络的稳定性态势值，当设定时间段的网络流量大于设定的流量上限时，输出稳定性态势值为1，否则输出稳定性态势值为0；

态势整体评估子单元，连接所述威胁态势评估模块、所述脆弱性态势评估子单元、所述稳定性态势评估子单元，用于根据威胁性态势值、脆弱性态势值、稳定性态势值，获取网络的整体安全态势值。

在一个实施例中，网络的整体安全态势值为威胁性态势值、脆弱性态势值和稳定性态势值之和。在另一个实施例中，网络的整体安全态势值为威胁性态势值、脆弱性态势值和稳定性态势值的加权和，其中，与威胁性态势值、脆弱性态势值、稳定性态势值相应的权重值由专家指定。

本发明上述实施例通过无线传感器网络获取网络基本信息，智能快捷，通过预处理单元10对无线传感器网络获取的网络基本信息进行规范，并且通过设置网络安全态势评估单元20实现了网络威胁性信息与网络拓扑信息的关联，以及威胁性信息和脆弱性信息的关联，克服了现有的网络态势感知系统缺乏数据有效性验证，数据关联和定量分析的问题，从而使得网络安全态势感知更为准确。

在一个实施例中，传感器节点通过多跳转发的形式向基站发送所采集的网络基本信息，具体包括：

(1)网络初始化时，基站向所有传感器节点广播邻居节点列表构建消息，收到该邻居节点列表构建消息后，传感器节点通过信息交互获取邻居节点信息，并构建邻居节点列表；初始时，传感器节点根据邻居节点列表在其多个邻居节点中随机选取一个邻居节点作为中继节点，将采集的网络基本信息发送至中继节点，从而通过多个中继节点转发网络基本信息的方式向基站发送所采集的网络基本信息；

(2)在一个时间段T后，传感器节点通过与邻居节点的信息交互，获取其邻居节点在时间段T内帮其转发网络基本信息包的数目以及邻居节点转发网络基本信息包的总数目的反馈信息，在下一个时间段T期间，传感器节点根据反馈信息每隔一个时间间隔Δt计算其对各邻居节点的信任度；

(3)传感器节点根据当前的信任度对各邻居节点划分信任等级，将邻居节点划分为正常节点、恶意节点和自私节点三类，并从正常节点中选择一个作为中继节点，将网络基本信息包发送至该中继节点。

其中，设定信任度的计算公式为：

式中，G_ij(T+Δt)表示传感器节点i在T+Δt时刻对其第j个邻居节点的信任度，b_ij(T)为所述第j个邻居节点在时间段T内帮传感器节点i转发网络基本信息包的数目，B_j(T)为所述第j个邻居节点在时间段T内转发网络基本信息包的总数目，S_ij为传感器节点i与其第j个邻居节点之间的距离，S_jo为所述第j个邻居节点到基站的距离，S_il为传感器节点i与其第l个邻居节点之间的距离，S_lo为所述第l个邻居节点到基站的距离，h_i为传感器节点i的邻居节点数目，e^-pΔt为信任度衰减因子，p∈(0,0.1]，d、a皆为权重系数，且满足0＜d,a＜1。

本实施例设定了传感器节点向基站发送所采集的网络基本信息的路由转发机制，该路由机制中，创新性地提出了对各邻居节点根据信任度划分信任等级的策略，并创新性地设定了信任度的计算公式，该计算公式根据节点转发数据包的情况、节点之间的距离情况来评判邻居节点相对于传感器节点的信任度，并考虑了由于时间推移而信任衰减的情况，具有一定的鲁棒性；与基站为多跳距离的传感器节点选择信任度高的传感器节点(即正常节点)来转发网络基本信息包，提高了网络基本信息传输的可靠性，保障通信稳定，为之后的网络安全态势分析及预警奠定良好的数据基础。

其中，每到下一个时间段T，传感器节点重新获取反馈信息，并根据反馈信息每隔一个时间间隔Δt计算其对各邻居节点的信任度，从而传感器节点对邻居节点划分信任等级的过程是动态的，保障计算的信任度能够更准确地衡量邻居节点的状态和转发能力。

其中，对邻居节点划分的具体方式为：设定第一信任临界值q_％、第二信任临界值q₂，对于传感器节点+的任意邻居节点j，当G_ij(T+Δt)∈(0,q_％)时，将邻居节点j划分为恶意节点，当G_ij(T+Δt)∈[q_％,q₂)时，将邻居节点j划分为自私节点，当G_ij(T+Δt)∈[q₂,1)时，将邻居节点j划分为正常节点。

第一信任临界值q_％是非恶意节点和恶意节点的临界值，如果设置过低，将影响判断恶意节点的灵敏度，如果设置过高，将会把一些非恶意节点排除在数据传输路径之外，进而降低路由的效率。在一个实施例中，按照下列公式设定第一信任临界值q_％、第二信任临界值q₂：

式中，h_i为传感器节点i的邻居节点数目，G₀为邻居节点的初始信任度，G₀＝0.5。

本实施例提出了第一信任临界值q_％、第二信任临界值q₂的设定公式，使得信任临界值的设定能够根据信任度的变化而动态变化，从而可以更好地根据信任度进行传感器节点的分类，提高判断恶意节点的灵敏度，提高路由的效率，保障网络安全态势分析预警的实时性。

在一个实施例中，对于存在多个要转发的网络基本信息包的中继节点，其根据网络基本信息包的优先级由大到小的顺序进行网络基本信息包的转发，其中，网络基本信息包的优先级的计算公式为：

式中，表示中继节点j的第μ个要转发的网络基本信息包的优先级，为所述第μ个要转发的网络基本信息包的网络基本信息数量，为中继节点j的第ν个要转发的网络基本信息包的网络基本信息数量，i-X_j(μ)表示向中继节点j发送该第μ个要转发的网络基本信息包的传感器节点，为中继节点j对传感器节点i-X_j(μ)的信任度，i-X_j(ν)表示向中继节点j发送该第ν个要转发的网络基本信息包的传感器节点，为中继节点j对传感器节点i-X_j(ν)的信任度，B_j为中继节点j要转发的网络基本信息包数量，y₁、y₂为设定的权重系数且满足y₁+y₂＝1。

本实施例创新性地设定了网络基本信息包转发优先级的计算公式，中继节点按照计算出的优先级的顺序转发网络基本信息包，有利于使得信任度高且占缓存大的网络基本信息包优先被转发，提高了缓存管理的效率，降低中继节点的拥塞率，提高了网络基本信息传输的速度，从而在整体上提高了网络安全态势分析预警系统的运行效率。

最后应当说明的是，以上实施例仅用以说明本发明的技术方案，而非对本发明保护范围的限制，尽管参照较佳实施例对本发明作了详细地说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的实质和范围。