本發(fā)明提供一種分布式態(tài)勢感知調(diào)用方法和裝置，將采集不同信息來源的接口封裝起來，方便客戶調(diào)用，通過預(yù)處理得到統(tǒng)一格式的數(shù)據(jù)流，從該數(shù)據(jù)流中提取高頻項(xiàng)目組要素，生成高頻關(guān)聯(lián)規(guī)則，送入態(tài)勢評估進(jìn)行評估量化，通過與不同評估體系的融合，以及模糊處理數(shù)據(jù)要素，得到單個(gè)設(shè)備、局部網(wǎng)絡(luò)的態(tài)勢值，結(jié)合整個(gè)網(wǎng)絡(luò)的架構(gòu)組成，得到整個(gè)裝置的態(tài)勢值，將不同層次的態(tài)勢值導(dǎo)入神經(jīng)網(wǎng)絡(luò)模型進(jìn)行預(yù)測，最后可視化展示預(yù)測結(jié)果，充分評估整個(gè)分布式系統(tǒng)以及每一個(gè)單個(gè)設(shè)備，將每一個(gè)設(shè)備、每一個(gè)分層建立關(guān)聯(lián)，對于不同的規(guī)則進(jìn)行規(guī)則檢測，計(jì)算風(fēng)險(xiǎn)值，從而可以對未來的裝置進(jìn)行科學(xué)地預(yù)測，為用戶提供有價(jià)值的參考建議。

技術(shù)領(lǐng)域

本申請涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種分布式態(tài)勢感知調(diào)用方法和裝置。

背景技術(shù)

下一代網(wǎng)絡(luò)包括車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云網(wǎng)絡(luò)、工業(yè)互聯(lián)網(wǎng)、視頻監(jiān)控網(wǎng)都需要調(diào)用態(tài)勢感知功能，而搭建態(tài)勢感知平臺卻是一項(xiàng)復(fù)雜、昂貴的工作，由此需要能夠提供態(tài)勢感知服務(wù)的業(yè)務(wù)提供商，將態(tài)勢感知虛擬為插件或組件方便客戶調(diào)用。

同時(shí)，現(xiàn)有的態(tài)勢感知技術(shù)采用簡單的態(tài)勢理解，就可以得出關(guān)于整個(gè)裝置的安全態(tài)勢評估結(jié)果，無法定量地給出態(tài)勢評估的報(bào)告，更無法基于態(tài)勢評估的結(jié)果進(jìn)行安全態(tài)勢的預(yù)測，其利用價(jià)值非常有限。

本發(fā)明意圖不僅在算法上充分評估整個(gè)網(wǎng)絡(luò)以及每一個(gè)單個(gè)設(shè)備，而且可以基于給出的態(tài)勢值，將其與每一個(gè)設(shè)備、每一個(gè)分層建立關(guān)聯(lián)，對于不同的規(guī)則進(jìn)行規(guī)則檢測，計(jì)算風(fēng)險(xiǎn)值，從而可以對未來的裝置進(jìn)行科學(xué)地預(yù)測，為用戶提供有價(jià)值的參考建議。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種分布式態(tài)勢感知調(diào)用方法和裝置，將采集不同信息來源的接口封裝起來，方便客戶調(diào)用，通過預(yù)處理得到統(tǒng)一格式的數(shù)據(jù)流，從該數(shù)據(jù)流中提取高頻項(xiàng)目組要素，生成高頻關(guān)聯(lián)規(guī)則，送入態(tài)勢評估進(jìn)行評估量化，通過與不同評估體系的融合，以及模糊處理數(shù)據(jù)要素，得到單個(gè)設(shè)備、局部網(wǎng)絡(luò)的態(tài)勢值，結(jié)合整個(gè)網(wǎng)絡(luò)的架構(gòu)組成，得到整個(gè)裝置的態(tài)勢值，將不同層次的態(tài)勢值導(dǎo)入神經(jīng)網(wǎng)絡(luò)模型進(jìn)行預(yù)測，最后可視化展示預(yù)測結(jié)果。

第一方面，本申請?zhí)峁┮环N分布式態(tài)勢感知調(diào)用方法，所述方法包括：

將可接收不同信息來源的接口虛擬成一個(gè)對外數(shù)據(jù)接口，方便其他網(wǎng)絡(luò)調(diào)用，不同信息來源之間彼此相互獨(dú)立，不會發(fā)現(xiàn)其他信息來源的接口，自適應(yīng)對應(yīng)相應(yīng)接口；通過對外數(shù)據(jù)接口采集不同來源的傳感器、信息平臺、探測設(shè)備的運(yùn)行狀態(tài)數(shù)據(jù)；

接收采集數(shù)據(jù)后，清除數(shù)據(jù)中的冗余信息，根據(jù)來源的類型，將數(shù)據(jù)格式轉(zhuǎn)換為統(tǒng)一的格式，分入對應(yīng)的字段，合并成數(shù)據(jù)流；

從合并后的數(shù)據(jù)流提取要素，發(fā)現(xiàn)要素中包括的行為動作、訪問對象、來源者地址、瞬時(shí)流量大小的信息，從中發(fā)掘高頻項(xiàng)目組，根據(jù)高頻項(xiàng)目組對應(yīng)的信息生成高頻關(guān)聯(lián)規(guī)則，加大其對應(yīng)的權(quán)重，組成頻繁模式樹狀結(jié)構(gòu)；

判斷規(guī)則隊(duì)列是否為空，若為空則與子規(guī)則庫進(jìn)行匹配查詢，將查詢到的子規(guī)則作為指定的關(guān)聯(lián)規(guī)則，依據(jù)子規(guī)則進(jìn)行規(guī)則檢測；若不為空則進(jìn)行規(guī)則檢測；所述規(guī)則檢測計(jì)算風(fēng)險(xiǎn)值，發(fā)出對應(yīng)的報(bào)警信息；

根據(jù)所述頻繁模式樹狀結(jié)構(gòu)，調(diào)用分布式數(shù)據(jù)庫，查詢地址相鄰相近的資產(chǎn)態(tài)勢信息，查詢訪問對象所屬同層的資產(chǎn)態(tài)勢信息，以及查詢流量速度、流量總量相似的資產(chǎn)態(tài)勢信息；

判斷單個(gè)關(guān)鍵設(shè)備是否存在與地址相鄰相近資產(chǎn)相同的安全漏洞，判斷單個(gè)關(guān)鍵設(shè)備的并發(fā)線程、帶寬、網(wǎng)絡(luò)拓?fù)洹⒃L問頻率是否存在與所屬同層資產(chǎn)相同的報(bào)警，判斷單個(gè)關(guān)鍵設(shè)備的流入量增長率、不同協(xié)議數(shù)據(jù)包分布比例、不同大小數(shù)據(jù)包分布比例是否存在與流量速度、流量總量相似資產(chǎn)相同的變化，計(jì)算單個(gè)關(guān)鍵設(shè)備的安全態(tài)勢值；