[發明專利]一種基于局域網的網絡安全態勢感知系統及方法有效
| 申請號: | 202011167000.2 | 申請日: | 2020-10-27 |
| 公開(公告)號: | CN112351010B | 公開(公告)日: | 2022-05-17 |
| 發明(設計)人: | 孫強強 | 申請(專利權)人: | 濱州學院 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 合肥正則元起專利代理事務所(普通合伙) 34160 | 代理人: | 劉生昕 |
| 地址: | 256600 山東*** | 國省代碼: | 山東;37 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 局域網 網絡安全 態勢 感知 系統 方法 | ||
1.一種基于局域網的網絡安全態勢感知系統,其特征在于,包括病毒監測模塊、數據分析模塊、控制器、存儲模塊、數據處理模塊、CPU監控模塊、網速監測模塊、安全評估模塊以及顯示模塊;
所述病毒監測模塊用于進行蠕蟲病毒檢測,獲取預設時段中受到蠕蟲病毒感染的主機信息;所述數據分析模塊用于接收預設時段中受到蠕蟲病毒感染的主機信息并對主機信息進行分析,得到設備威脅表信息和病毒威脅表信息;具體分析步驟如下:
步驟一:獲取預設時段中受到蠕蟲病毒感染的主機信息;所述主機信息包括主機設備編號、病毒名稱、病毒攻擊開始時刻以及病毒攻擊結束時刻;將主機信息中的病毒攻擊結束時刻與病毒攻擊開始時刻進行時間差計算得到病毒攻擊時長;
步驟二:按照主機設備編號將同一主機設備編號的被攻擊次數累加形成設備攻擊頻次,將設備攻擊頻次標記為J1i;其中i表示第i個主機設備;
按照主機設備編號將同一主機設備編號的病毒攻擊時長累加形成設備攻擊總時長,將設備攻擊總時長標記為J2i;設備攻擊頻次J1i與設備攻擊總時長J2i一一對應;
步驟三:設定每個主機設備編號均對應一個預設值,將該主機設備編號與所有的主機設備編號進行匹配獲取得到對應的設備預設值,并標記為Wi;
對設備攻擊頻次、設備攻擊總時長和設備預設值進行權重分配,將設備攻擊頻次的權重標記為Z1,將設備攻擊總時長的權重標記為Z2,將設備預設值的權重標記為Z3,其中Z1、Z2和Z3均為預設值且Z1Z2Z3;
步驟四:利用公式Qi=J1i×Z1+J2i×Z2+Wi×Z3分別計算每個主機設備的設備威脅值Qi;
將主機設備按照設備威脅值Qi進行降序排列并制成設備威脅表信息;
步驟五:按照病毒名稱將同一病毒名稱的攻擊次數累加形成病毒攻擊頻次,將病毒攻擊頻次標記為J3m;其中m表示第m種病毒;
按照病毒名稱將同一病毒名稱的病毒攻擊時長累加形成病毒攻擊總時長J4m;病毒攻擊頻次J3m與病毒攻擊總時長J4m一一對應;
步驟六:設定每種病毒均對應一個預設值,將該病毒與所有的病毒進行匹配獲取得到對應的病毒預設值,并標記為Bm;
對病毒攻擊頻次、病毒攻擊總時長和病毒預設值進行權重分配,將病毒攻擊頻次的權重標記為C1,將病毒攻擊總時長的權重標記為C2,將病毒預設值的權重標記為C3,其中C1、C2和C3均為預設值且C1C2C3;
步驟七:利用公式Ri=J3m×C1+J4m×C2+Bm×C3分別計算每種病毒的病毒威脅值Ri;將病毒按照病毒威脅值Ri進行降序排列并制成病毒威脅表信息;
所述數據分析模塊用于將設備威脅表信息和病毒威脅表信息傳輸到控制器,所述控制器接收到數據分析模塊傳輸的設備威脅表信息和病毒威脅表信息并將其傳輸到存儲模塊進行存儲;
所述病毒監測模塊用于在監測到病毒時向數據處理模塊傳輸病毒信號;所述數據處理模塊接收病毒監測模塊傳輸的病毒信號時進行分析得到攻擊值Pg;具體分析步驟為:
S1:當監測到產生病毒信號時,記錄此時受到病毒感染的主機信息;
S2:根據主機信息自動從存儲模塊獲取到對應主機設備編號的設備威脅值并標記為Qc以及獲取到對應病毒名稱的病毒威脅值并標記為Rc;
S3:獲取到病毒攻擊開始時刻和病毒攻擊結束時刻,并將病毒攻擊開始時刻與病毒攻擊結束時刻進行時間差計算得到病毒攻擊時長并標記為Gi;
S4:利用公式計算得到攻擊值Pg;其中a1、a1和a3均為預設系數因子;所述數據處理模塊用于將攻擊值Pg傳輸到安全評估模塊;
所述CPU監控模塊用于監控主機設備CPU的實時使用率,并對實時使用率進行穩態分析得到穩態值Ui;具體分析過程如下:
SS1:將病毒攻擊開始時刻標記為t時刻,設定在t時刻采集到的CPU的實時使用率為Ft,從病毒攻擊開始時刻起至病毒攻擊結束時刻止,每間隔T1時間采集一次CPU的實時使用率,將CPU的實時使用率標記為Ft+x,x=1,...,n;得到實時使用率組Fa;
SS2:將病毒攻擊結束時刻標記為r時刻,設定在r時刻采集到的CPU的實時使用率為Fr;
SS3:利用公式得到實時使用率組Fa距離Ft的穩偏值GL1;利用公式得到實時使用率組Fa距離Fr的穩偏值GL2;
SS4:利用公式Ui=GL1×D1+GL2×D2得到穩態值Ui,其中D1、D2為預設系數因子且D1D2;
所述CPU監控模塊用于將穩態值Ui和實時使用率組Fa傳輸到安全評估模塊;所述網速監測模塊用于監測主機設備的實時網絡訪問速度并將實時網絡訪問速度傳輸到安全評估模塊;
所述安全評估模塊在接收到攻擊值Pg時,會自動結合穩態值Ui、實時使用率組Fa和實時網絡訪問速度進行安全分析,得到安全估值AC;具體分析步驟為:
DD1:當接收攻擊值Pg時,獲取到此時的實時使用率組Fa;
DD2:遍歷實時使用率組Fa,獲取實時使用率最大值為Fmax,實時使用率最小值為Fmin;求取實時使用率最大值和實時使用率最小值之間的差值Fc,即Fc=Fmax-Fmin;
DD3:求取病毒攻擊前后的實時使用率差值Gc,即Gc=Fr-Ft ;
利用公式Cb=Fc/Gc獲取得到差異比Cb;
DD4:獲取接收到攻擊值Pg時的實時網絡訪問速度,將實時網絡訪問速度標記為S1;
DD5: 利用公式獲取得到安全估值AC;其中d1、d2、d3和d4均為預設比例系數,α為補償因子,取值0.56325;
所述安全評估模塊用于將安全估值AC傳輸到控制器,所述控制器用于對安全估值AC進行等級評判得到預警信號,具體為:
AA1:當AC≤X2時,此時預警信號為輕度威脅信號;
AA2:當X2ACX3時,此時預警信號為中度威脅信號;
AA3:當AC≥X3時,此時預警信號為重度威脅信號;其中X2、X3均為預設值;
所述控制器用于將安全估值AC傳輸到顯示模塊進行顯示,并在產生輕度威脅信號、中度威脅信號和重度威脅信號時,分別對應顯示“輕度威脅”、“中度威脅”和“重度威脅”字眼。
2.一種基于局域網的網絡安全態勢感知方法,應用于如權利要求1所述的一種基于局域網的網絡安全態勢感知系統,其特征在于,具體步驟如下:
W1:對主機設備進行蠕蟲病毒檢測,獲取預設時段中受到蠕蟲病毒感染的主機信息;
W2:根據步驟W1中獲取的主機信息,得到設備威脅表信息和病毒威脅表信息;
W3:當監測到產生病毒信號時,記錄此時受到病毒感染的主機信息,分析得到攻擊值Pg;具體分析步驟為:
W31:根據主機信息自動從步驟W2中的設備威脅表信息和病毒威脅表信息中獲取到對應的設備威脅值并標記為Qc以及對應的病毒威脅值并標記為Rc;
W32:獲取到病毒攻擊開始時刻和病毒攻擊結束時刻,并將病毒攻擊開始時刻與病毒攻擊結束時刻進行時間差計算得到病毒攻擊時長并標記為Gi;
W33:利用公式計算得到攻擊值Pg;其中a1、a1和a3均為預設系數因子;
W4:監控主機設備CPU的實時使用率,并對實時使用率進行穩態分析得到穩態值Ui;
W5:結合攻擊值Pg、穩態值Ui、實時使用率組Fa和實時網絡訪問速度進行安全分析,得到安全估值AC;
W6:對安全估值AC進行等級評判得到預警信號,具體為:
W61:當AC≤X2時,此時預警信號為輕度威脅信號;
W62:當X2ACX3時,此時預警信號為中度威脅信號;
W63:當AC≥X3時,此時預警信號為重度威脅信號。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于濱州學院,未經濱州學院許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011167000.2/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:異常渠道識別方法、裝置、存儲介質和設備
- 下一篇:一種綠豆粉皮及其制備方法
