技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，特別涉及網(wǎng)絡(luò)異常性指數(shù)的定量計(jì)算方法 和系統(tǒng)。

背景技術(shù)

隨著信息化技術(shù)和互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，針對(duì)網(wǎng)絡(luò)信息系統(tǒng)的惡意 攻擊變得越來越多樣化和復(fù)雜化，這些安全事件極大地威脅了我國(guó)的國(guó)家 安全和人民生活，也給廣大企業(yè)造成了嚴(yán)重的損失，網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán) 峻，由此，網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)測(cè)、評(píng)估和趨勢(shì)預(yù)測(cè)等技術(shù)逐漸成為人們研究 的熱點(diǎn)。而網(wǎng)絡(luò)安全指數(shù)及指數(shù)體系作為上述技術(shù)的研究基礎(chǔ)和技術(shù)手段 具有重要的理論意義和實(shí)際價(jià)值，尤其是用于反映宏觀網(wǎng)絡(luò)安全態(tài)勢(shì)的指 數(shù)體系研究。

從所反映的網(wǎng)絡(luò)安全特性角度看，網(wǎng)絡(luò)安全指數(shù)可分為可用性指數(shù)、 異常性指數(shù)、有效性指數(shù)等，其中的異常性指數(shù)是指用于反映由安全威脅 或攻擊所引起的網(wǎng)絡(luò)通信數(shù)據(jù)特征異常程度的一類指數(shù)。由此可見，異常 性指數(shù)對(duì)測(cè)度和反映網(wǎng)絡(luò)宏觀異常性具有重要意義，本申請(qǐng)僅圍繞著網(wǎng)絡(luò) 異常性指數(shù)展開討論。

在現(xiàn)有技術(shù)中，尚不存在與網(wǎng)絡(luò)異常性指數(shù)計(jì)算相關(guān)的方法。但有對(duì) 網(wǎng)絡(luò)中的異常事件進(jìn)行檢測(cè)的方法。這些網(wǎng)絡(luò)異常檢測(cè)方法選取網(wǎng)絡(luò)中的 某些數(shù)據(jù)特征并對(duì)這些數(shù)據(jù)特征進(jìn)行檢測(cè)或計(jì)算，從而得到網(wǎng)絡(luò)是否存在 異常的結(jié)論。雖然網(wǎng)絡(luò)異常檢測(cè)方法在執(zhí)行過程中所采用的數(shù)據(jù)特征能夠 在一定程度上反映網(wǎng)絡(luò)中的異常情況，但由于現(xiàn)有的網(wǎng)絡(luò)異常檢測(cè)方法通 常針對(duì)某一或某些特定類型的異常事件，其重點(diǎn)在于如何利用有限個(gè)數(shù)的 網(wǎng)絡(luò)數(shù)據(jù)特征盡可能準(zhǔn)確地檢測(cè)出網(wǎng)絡(luò)中的異常事件，因此所選取的數(shù)據(jù) 特征必然具有局限性，只能夠反映網(wǎng)絡(luò)的微觀安全態(tài)勢(shì)，無法反映網(wǎng)絡(luò)的 宏觀安全態(tài)勢(shì)。

發(fā)明內(nèi)容

本發(fā)明的目的是克服現(xiàn)有的網(wǎng)絡(luò)異常檢測(cè)方法只能夠反映網(wǎng)絡(luò)的微 觀安全態(tài)勢(shì)，無法反映網(wǎng)絡(luò)的宏觀安全態(tài)勢(shì)的缺陷，從而提供一種對(duì)網(wǎng)絡(luò) 的整體安全性加以檢測(cè)的方法。

為了實(shí)現(xiàn)上述目的，本發(fā)明提供了一種網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方 法，包括：

步驟1)、在待監(jiān)測(cè)網(wǎng)絡(luò)中選擇一定數(shù)量的路由器節(jié)點(diǎn)作為數(shù)據(jù)的采集 點(diǎn)，并設(shè)置用于采集數(shù)據(jù)的基期和報(bào)告期；

步驟2)、在各個(gè)數(shù)據(jù)采集點(diǎn)上做數(shù)據(jù)采集，得到包含有源IP地址、 目的IP地址、源端口、目的端口、協(xié)議類型、流開始時(shí)間、流結(jié)束時(shí)間、 包數(shù)、字節(jié)數(shù)、TCP標(biāo)記在內(nèi)的相關(guān)信息；

步驟3)、統(tǒng)計(jì)和計(jì)算步驟2)中所采集的數(shù)據(jù)，得到關(guān)于待監(jiān)測(cè)網(wǎng)絡(luò) 中網(wǎng)絡(luò)數(shù)據(jù)流量、協(xié)議成分、IP與端口分布以及行為模式的指標(biāo)；

步驟4)、將當(dāng)前時(shí)刻計(jì)算得到的指標(biāo)與基期內(nèi)計(jì)算的相應(yīng)指標(biāo)相結(jié) 合，計(jì)算用于表示待監(jiān)測(cè)網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)。

上述技術(shù)方案中，在所述的步驟4)中，所述的計(jì)算用于表示待監(jiān)測(cè) 網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)包括：

計(jì)算待監(jiān)測(cè)網(wǎng)絡(luò)中用于表示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度、在比例上 的變化程度、在統(tǒng)計(jì)分布上的變化程度以及在行為模式上的變化程度的指 數(shù)，結(jié)合這些指數(shù)計(jì)算所述網(wǎng)絡(luò)異常性指數(shù)。

上述技術(shù)方案中，在所述的步驟3)中，還要計(jì)算待監(jiān)測(cè)網(wǎng)絡(luò)中與網(wǎng) 絡(luò)數(shù)據(jù)相似性程度有關(guān)的指標(biāo)；在所述的步驟4)中，所述的計(jì)算用于表 示待監(jiān)測(cè)網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)還包括：

計(jì)算待監(jiān)測(cè)網(wǎng)絡(luò)中用于表示網(wǎng)絡(luò)數(shù)據(jù)相似性程度的指數(shù)，利用該指數(shù) 以及所述用于表示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度、在比例上的變化程度、 在統(tǒng)計(jì)分布上的變化程度以及在行為模式上的變化程度的指數(shù)來計(jì)算用 于表示待監(jiān)測(cè)網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)。

上述技術(shù)方案中，所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度、在 比例上的變化程度、在統(tǒng)計(jì)分布上的變化程度以及在行為模式上的變化程 度的指數(shù)包括基指數(shù)與層指數(shù)；所述基指數(shù)由所述指標(biāo)計(jì)算得到，所述層 指數(shù)由所述基指數(shù)計(jì)算得到，根據(jù)所述層指數(shù)計(jì)算所述的網(wǎng)絡(luò)異常性指 數(shù)；其中，

在對(duì)所述基指數(shù)與層指數(shù)做逐層計(jì)算時(shí)，具有相關(guān)性的層指數(shù)或基指 數(shù)應(yīng)取最大值，然后將所有不相關(guān)的層指數(shù)或基指數(shù)進(jìn)行累加從而計(jì)算出 上一級(jí)指數(shù)。

上述技術(shù)方案中，所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度、在 比例上的變化程度、在統(tǒng)計(jì)分布上的變化程度、在行為模式上的變化程度 以及網(wǎng)絡(luò)數(shù)據(jù)相似性程度的指數(shù)包括基指數(shù)與層指數(shù)；所述基指數(shù)由所述 指標(biāo)計(jì)算得到，所述層指數(shù)由所述基指數(shù)計(jì)算得到，根據(jù)所述層指數(shù)計(jì)算 所述的網(wǎng)絡(luò)異常性指數(shù)；其中，