技术领域
[0001] 本
发明涉及信息安全领域,具体涉及一种基于态势感知学习的信息安全风险评估方法和系统。
背景技术
[0002] 随着计算机技术和通信技术高速发展,网络攻防技术不断革新,网络威胁加剧,信息系统安全受到严重挑战,网络安全风险评估为解决网络中的安全威胁提供了新的解决思路,是实现网络安全可控的
基础。
[0003] 但是,现有的网络安全风险评估仍处在发展阶段,没有形成统一的评估指标体系,由于评估的侧重点不同,导致评估结果可能会出现较大的差异,例如:基于指标体系的风险评估方法虽然能够将抽象问题的简单化过程抽象出来,但是存在一定的主观性,受到专家自身知识经验和知识领域的限制及影响,缺乏统一的度量标准和权重确定方法;基于模型的风险评估体系指标运用比较单一、盲目,没有提出有层次性、多
角度有说服
力的指标体系模型,由此建立的网络态势
预测模型也只能根据网络日志来分析整个网络的安全状况,不能有效的反映未来网络安全的变化趋势来做出针对性的防御。
发明内容
[0004] 针对
现有技术中存在的
缺陷,本发明的目的在于:通过一种基于态势感知学习的信息安全风险评估方法和系统,对安全风险进行全面的认知和确认,帮助管理人员全面、深入的了解风险产生的原因,从而有针对性的选择风险措施来降低和控制风险。由于
机器学习是
人工智能的一类重要方法,也是目前发展最迅速、效果最显著的方法,因此本发明利用
贝叶斯网络,这一机器学习领域重要的分支,结合图论和概率理论方面的知识,来表达随机变量之间复杂的不确定性关系,并提供了一种自然的表示因果关联的方法,能用于发现数据间的潜在关系,并根据发现的数据划分安全防护等级,进而更好的对网络安全的变化趋势来做出针对性的防御。
[0005] 为实现上述目的,本发明提供的技术方案是:基于态势感知学习的信息安全风险评估方法,包括以下步骤:
[0006] S1、资产防御信息收集:基于
大数据态势感知技术收集系统网络安全资产防御情况;
[0007] S2、统计部
门人员组织信息:收集所在部门人员的管理制度、部门人员的技术能力、部门人员的意识
水平以及相应的监督与审核机制,核查部门人员是否是信息安全专业出身,是否具有基本的安全意识,核查部门的系统监督与审核机制是否完善;
[0008] S3、数据集预处理:对步骤S1和S2中采集到的资产防御信息和部门人员组织信息进行预处理,具体包括数据格式统一化、无用数据事件过滤及重复数据信息归并等步骤;
[0009] S4、建立风险评估模型:结合已有的信息安全风险评估标准和信息安全风险评估模型,系统性建立风险评估模型的条目信息,便于为后期基于机器学习
算法的评估操作,提供系统、可靠的模型;
[0010] S5、网络安全综合评定:利用贝叶斯网络机器学习算法,基于已有的数据集和建立的风险评估模型,根据所采集的信息,对网络安全进行评估打分。
[0011] 在上述基于态势感知学习的信息安全风险评估方法的基础上,步骤S1具体包括以下步骤:
[0012] S101、在应用系统层,收集是否使用
防火墙、入侵检测系统和入侵防御系统被动和主动防御系统的信息;其中具体包括防火墙安全日志记录信息、防火墙
访问控制信息、应用通信加密信息和通讯访问控制与认证信息;
[0013] S102、在
数据库系统层,收集前台访问数据库等安全机制的信息,具体包括数据库访问控制程度信息、数据
保密性信息、数据库安全审计信息、数据库人员管理信息;
[0014] S103、在
操作系统层,通过对操作系统的漏洞检测完成安全资产防御信息;其中,对操作系统的漏洞检测是由安装的主机发起和进行的,收集到的安全资产防御信息包括系统更新维护信息、系统安全日志信息、系统访问控制信息和系统
补丁修复信息;
[0015] S104、在网络系统层,采用模拟攻击的形式对网络可能存在的已知安全漏洞进行逐项检查和扫描,收集安全资产防御信息,并根据扫描结果向系统管理员提供周密可靠的安全性分析报告,其中,收集到的安全资产防御信息包括攻击防护信息、信息流控制信息、通信平台安全信息和通信加密信息。
[0016] 在上述基于态势感知学习的信息安全风险评估方法的基础上,步骤S3具体包括以下几个步骤:
[0017] S301、对通常的系统环境下采集到的部分不完整的、有噪声的或有偏差的数据进行数据清洗,并对源数据进行处理,填充缺失值、光滑噪声并识别离群点,纠正原始数据,将完整、正确、一致的数据集重新存入
数据仓库中;
[0018] S302、对来源于不同的网络安全设备的安全防护配置信息,进行数据集成操作,将不同结构的源数据集成到一个数据仓库中,通过光滑聚集、数据规范化、以及属性构造操作,将源数据转换成适用于机器学习识别的数据集;
[0019] S303、对大数据环境下采集到具有大规模、高维度、低
质量的特征的数据,进行数据规约,得到数据集的归约表示,在保证源数据信息完整性的前提下,尽量缩小数据集大小,规约后的数据集可在保证与原有数据具有近似分析结果的前提下,尽量缩小计算时间;
[0020] 常用的数据规约的方法采用主成分分析法,所述主成分分析法具体方法如下:
[0021] A、先假定需要收集的数据元素的个数为P,则收集到的数据集合可表示为X1,X2,…Xp;
[0022] B、当收集n次数据后,则需要处理的数据集的矩阵可表示为:
[0023]
[0024] C、在将数据进行中心标准化后,得到的数据相关系数矩阵如下公式(2)所示:
[0025] R=(rij)p×p (1)
[0026] 其中,公式(1)中rij的值由以下公式(2)计算得到:
[0027]
[0028] 公式(2)中rij=rji,rii=1,xki以及xkj为数据矩阵中对应的数据,表示某一个评价条目对应的值;
[0029] D、根据通过A~C,推导出主成分Zi如下公式(3)所示:
[0030] Zi=β1iX1+β2iX2+...βpiXp (3)
[0031] 其中,β为上述关系矩阵公式所计算出的单位
特征向量。
[0032] 在上述基于态势感知学习的信息安全风险评估方法的基础上,所述步骤S302中,数据仓库中的存储方式包括分布式文件系统存储、列式存储和结构化存储。
[0033] 在上述基于态势感知学习的信息安全风险评估方法的基础上,步骤S5具体包括以下步骤:
[0034] S501:分类级别的定义:包含A,B,C,D,E五种等级,其中A等级所代表的安全防护程度最高,E等级所代表的安全防护程度最低,根据贝叶斯定理可知,所采集的信息属于某一等级的概率为:
[0035]
[0036] 其中,向量X为某一环境下所采集的事件集合,变量c以及k为某一特定风险等级,具体而言,P(C=c|X=x)为所采集事件集合的风险等级的条件概率,P(C=c)为风险等级的先验概率,P(X=x|C=c)为根据所采集事件计算的不同等级的概率,分母为所采集事件本身的先验概率;
[0037] S502:借助朴素贝叶斯的思想,对特征向量X进行假设:即假设X中每一维的特征都是相互独立的,特征与特征之间不存在任何联系,得到公式(5):
[0038]
[0039] 其中,向量X为所采集所有事件的集合,xk为具体某一事件元素,n为所有元素的数量;
[0040] S503:将步骤501中的公式(4)代入到步骤502中的公式(5)中,得拥有特征向量X的未知样本所属等级概率,且公式表示如下:
[0041]
[0042] 其中,拥有特征向量X的未知样本的所属等级即为此时网络安全的风险等级。
[0043] 一种基于态势感知学习的信息安全风险评估系统,包括资产防御信息收集模
块、统计人员组织信息模块、数据集预处理模块、风险评估模型建立模块和网络安全综合评定模块,其中:
[0044] 所述资产防御信息收集模块,用于基于大数据态势感知技术收集系统网络安全资产防御情况;
[0045] 所述统计人员组织信息模块,用于收集所在部分人员的管理制度,人员的技术能力,人员的意识水平以及相应的监督与审核机制,判断部分人员是否是信息安全专业出身,是否具有基本的安全意识,判断部分的核查部门的系统监督与审核机制是否完善;
[0046] 所述数据集预处理模块,用于对资产防御信息收集模块和统计人员组织信息模块中采集到的资产防御信息和部门人员组织信息进行预处理工作,包括使得数据格式统一化、无用数据事件过滤、重复数据信息归并;
[0047] 所述风险评估模型建立模块,用于结合已有的信息安全风险评估标准和信息安全风险评估模型,系统性建立风险评估模型的条目信息,便于为后期基于机器学习算法的评估操作,提供系统、可靠的模型;
[0048] 所述网络安全综合评定模块,用于利用贝叶斯网络机器学习算法,基于已有的数据集和建立的风险评估模型,根据所采集的信息,对网络安全进行评估打分。
[0049] 在上述基于态势感知学习的信息安全风险评估系统的基础上,所述资产防御信息收集模块包含分别在应用系统层、数据库系统层、操作系统层和网络系统层中收集相应的资产防御信息,具体包括以下步骤:
[0050] 在应用系统层,收集是否使用防火墙、入侵检测系统和入侵防御系统被动和主动防御系统的信息;具体包括收集防火墙安全日志记录信息、防火墙访问控制信息、应用通信加密信息和通讯访问控制与认证信息;
[0051] 在数据库系统层,收集前台访问数据库等安全机制的信息;
[0052] 具体包括收集数据库访问控制程度信息、数据保密性信息、数据库安全审计信息及数据库人员管理信息;
[0053] 在操作系统层,通过对操作系统的漏洞检测完成安全资产防御信息;
[0054] 其中,收集到的安全资产防御信息包括系统更新维护信息、系统安全日志信息、系统访问控制信息和系统补丁修复信息;
[0055] 在网络系统层,采用模拟攻击的形式对网络可能存在的已知安全漏洞进行逐项检查和扫描,收集安全资产防御信息,并根据扫描结果向系统管理员提供周密可靠的安全性分析报告;
[0056] 其中,收集到安全资产防御信息包括攻击防护信息、信息流控制信息、通信平台安全信息和通信加密信息。
[0057] 一种基于态势感知学习的信息安全风险评估方法的工作原理为:首先收集网络安全资产防御信息和部门人员组织信息;然后将收集到的信息进行预处理,将数据格式统一化、无用数据事件过滤、重复数据信息归并等;之后结合已有的信息安全风险评估标准及信息建立安全风险评估模型,系统性建立风险评估模型的条目信息;最后利用贝叶斯网络机器学习算法,根据所采集的信息,对网络安全进行评估打分。
[0058] 与现有技术相比,本发明的优点是:
[0059] 本发明基于大数据态势感知机制的优势,结合多种已有的信息安全风险评估标准及信息安全风险评估的模型构建风险评估条目,多方面、多途径构建了一套更完备的风险评估体系,并使用机器学习的方法,对所测系统进行安全评估分级,可有效的认知被评估系统所面临的风险,以及这些风险的严重程度,可帮助管理人员全面、深入的了解风险产生的原因,从而针对性的选择风险措施来降低和控制风险,除此之外,本
专利可为科学建设信息安全保障管理机制提供更有利的支持,从而更有效的管理、规避可能存在的风险。
附图说明
[0060] 图1为本发明基于态势感知学习的信息安全风险评估方法的
流程图;
[0061] 图2为本发明基于态势感知学习的信息安全风险评估系统的示意图;
[0062] 图3为图1中统计部门人员组织信息的具体信息列表。
具体实施方式
[0063] 为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图详细说明本发明的具体实施方式。
[0064] 参阅图1所示,本发明
实施例中的基于态势感知学习的信息安全风险评估方法,包括以下步骤:
[0065] S1、资产防御信息收集:基于大数据态势感知技术收集系统网络安全资产防御情况;
[0066] S2、统计部门人员组织信息:包括收集所在部门人员的管理制度、部门人员的技术能力、部门人员的意识水平以及相应的监督与审核机制,核查是否是信息安全专业出身,是否具有基本的安全意识,核查部门的系统监督与审核机制是否完善;
[0067] S3、数据集预处理:对步骤S1和S2中采集到的资产防御信息和部门人员组织信息进行预处理工作,包括使得数据格式统一化、无用数据事件过滤、重复数据信息归并;
[0068] S4、建立风险评估模型:并结合已有的信息安全风险评估标准和信息安全风险评估模型,系统性建立风险评估模型的条目信息,便于为后期基于机器学习算评估操作,提供系统、可靠的模型;
[0069] S5、网络安全综合评定:利用贝叶斯网络机器学习算法,基于已有的数据集和建立的风险评估模型,根据所采集的信息,对网络安全进行评估打分。
[0070] 更具体的说,在本发明基于态势感知学习的信息安全风险评估方法实施例中,S1根据所在政府、
银行、学校系统安全防护配置信息,通过应用系统层、数据库系统层、操作系统层以及网络系统层面收集必要的安全防护配置信息,其中包括所在系统认证授权机制,是否加密通讯,加密通讯强度、入侵检测系统配置信息,具体包括以下步骤:
[0071] S101、在应用系统层,收集是否使用防火墙、入侵检测系统和入侵防御系统被动和主动防御系统的信息;其中具体包括防火墙安全日志记录信息、防火墙访问控制信息、应用通信加密信息和通讯访问控制与认证信息,防火墙、入侵检测系统和入侵防御系统等被动和主动防御系统的使用,可显著增强系统的防御能力和安全性;
[0072] S102、在数据库系统层,收集前台访问数据库等安全机制的信息,具体包括数据库访问控制程度信息、数据保密性信息、数据库安全审计信息、数据库人员管理信息,采用数据库安全机制可提高系统安全性;
[0073] S103、在操作系统层,通过对操作系统的漏洞检测完成安全资产防御信息;其中,安装的主机具有特权身份能遍历操作系统的内部,并检査配置、寻找漏洞、搜集信息,根据漏洞
知识库检査安全隐患,提供周密可靠的安全性分析报告,以收集安全资产防御信息,其中搜集到的信息包括系统更新维护信息、系统安全日志信息、系统访问控制信息和系统补丁修复信息;
[0074] S104、在网络系统层,采用模拟攻击的形式对网络可能存在的已知安全漏洞进行逐项检查和扫描,其中,收集到的安全资产防御信息,根据扫描结果向系统管理员提供周密可靠的安全性分析报告,可在攻击发生前发现网络隐患、修补网络漏洞、提供网络防护水平,其中收集到的安全资产防御信息包括攻击防护信息、信息流控制信息、通信平台安全信息和通信加密信息。
[0075] 更具体的说,在本发明基于态势感知学习的信息安全风险评估方法实施例中,S3具体包括以下几个步骤:
[0076] S301、对通常的系统环境下采集到的部分不完整的、有噪声的或有偏差的数据进行数据清洗,并对源数据进行处理,填充缺失值、光滑噪声并识别离群点,纠正原始数据,将完整、正确、一致的数据集重新存入数据仓库中;
[0077] S302、对来源于不同的网络安全设备的安全防护配置信息,进行数据集成操作,将不同结构的源数据集成到一个数据仓库中,通过光滑聚集、数据规范化、属性构造操作将源数据转换成适用于机器学习识别的数据集;
[0078] S303、对大数据环境下采集到具有大规模、高维度、低质量的特征的数据,直接分析会消耗大量的系统资源,因此需要进行数据规约,数据规约技术能得到数据集的归约表示,在保证源数据信息完整性的前提下,尽量缩小数据集大小,规约后的数据集可在保证与原有数据具有近似分析结果的前提下,尽量缩小计算时间,常用的数据规约的方法采用主成分分析法,其具体方法为:
[0079] 常用的数据规约的方法采用主成分分析法,所述主成分分析法具体方法如下:
[0080] A、先假定需要收集的数据元素的个数为P,则收集到的数据集合可表示为X1,X2,…Xp;
[0081] B、当收集n次数据后,则需要处理的数据集的矩阵可表示为:
[0082]
[0083] C、在将数据进行中心标准化后,得到的数据相关系数矩阵如下公式(2所示:
[0084] R=(rij)p×p (1)
[0085] 其中,公式(1)中rij的值由以下公式(2)计算得到:
[0086]
[0087] 公式(2)中rij=rji,rii=1,xki以及xkj为数据矩阵中对应的数据,表示某一个评价条目对应的值;
[0088] D、根据通过A~C,推导出主成分Zi如下公式(3)所示:
[0089] Zi=β1iX1+β2iX2+...βpiXp (3)
[0090] 其中,β为上述关系矩阵公式所计算出的单位特征向量;
[0091] 由于S3中大数据态势感知的数据来自不同的网络安全设备,包括防火墙、入侵检测系统、防病毒系统、Web应用防火墙、流量控制与
物联网传感器等,对各种安全设备上收集格式多样的数据,对其进行
整理和存储在数据仓库后发现,这些系统日志与配置信息具有截然不同的数据内容和数据格式,因此需要对数据集进行必要的预处理,为后续基于机器学习算法的智能化异常行为检测机制提供精确的数据集,进而得到准确的用户异常行为检测结果;
[0092] 更具体的说,在本发明基于态势感知学习的信息安全风险评估方法实施例中,步骤S302中数据仓库的存储方式包括分布式文件系统存储、列式存储和结构化存储;
[0093] 更具体的说,在本发明基于态势感知学习的信息安全风险评估方法实施例中,风险评估模型中的信息安全风险评估标准包括《信息安全通用评估准则》CC、ISO/IEC17799:2005--《信息技术—安全技术—信息安全管理实施
细则》、OCTAVE、NISTSP800-53--美国联邦信息系统最低安全控制标准,信息安全风险评估模型包括RMCF、WPDRRC。
[0094] 更具体的说,在本发明基于态势感知学习的信息安全风险评估方法步骤S5具体流程如下:
[0095] S501:分类级别的定义包含A,B,C,D,E五种等级,其中A等级所代表的安全防护程度最高,E等级所代表的安全防护程度最低,根据贝叶斯定理可知,所采集的信息属于某一等级的概率为:
[0096]
[0097] 其中,向量X为某一环境下所采集的事件集合,变量c以及k为某一特定风险等级,具体而言,P(C=c|X=x)为所采集事件集合的风险等级的条件概率,P(C=c)为风险等级的先验概率,P(X=x|C=c)为根据所采集事件计算的不同等级的概率,分母为所采集事件本身的先验概率。
[0098] S502:借助朴素贝叶斯的思想,对特征向量X进行假设,即假设X中每一维的特征都是相互独立的,特征与特征之间不存在任何联系,得到公式(5):
[0099]
[0100] 其中,向量X为所采集所有事件的集合,xk为具体某一事件元素,n为所有元素的数量;
[0101] S503:将步骤501中的公式(4)代入到步骤502中的公式(5)中,得拥有特征向量X的未知样本所属等级概率,且公式表示如下:
[0102]
[0103] 其中,拥有特征向量X的未知样本的所属等级即为此时网络安全的风险等级。
[0104] 参阅图2所示,本发明实施例中的基于态势感知学习的信息安全风险评估系统,包括资产防御信息收集模块1、统计人员组织信息模块2、数据集预处理模块3、风险评估模型建立模块4和网络安全综合评定模块5,其中:
[0105] 资产防御信息收集模块1,用于基于大数据态势感知技术收集系统网络安全资产防御情况,包括应用系统层、数据库系统层、操作系统层、网络系统层配置数量以及配置参数;
[0106] 统计人员组织信息模块2,用于收集所在部分人员的管理制度,人员的技术能力,人员的意识水平以及相应的监督与审核机制,判断部门人员信息安全专业出身,部分人员是否具有基本的安全意识,判断部门系统监督与审核机制是否完善;
[0107] 数据集预处理模块3,用于对资产防御信息收集模块1和统计人员组织信息模块2中采集到的资产防御信息和部门人员组织信息进行预处理工作,包括使得数据格式统一化、无用数据事件过滤、重复数据信息归并;
[0108] 风险评估模型建立模块4,用于结合已有的信息安全风险评估标准和信息安全风险评估模型,系统性建立风险评估模型的条目信息,便于为后期基于机器学习算评估操作,提供系统、可靠的模型;
[0109] 网络安全综合评定模块5,用于利用贝叶斯网络机器学习算法,基于已有的数据集和建立的风险评估模型,根据所采集的信息,对网络安全进行评估打分。
[0110] 更具体的说,在本发明基于态势感知学习的信息安全风险评估系统实施例中,资产防御信息收集模块1根据所在政府、银行、学校系统安全防护配置信息,包括分别在应用系统层、数据库系统层、操作系统层以及网络系统层面中收集必要的相应的资产防御信息,其中包括所在系统认证授权机制,是否加密通讯,加密通讯强度、入侵检测系统配置信息,具体包括以下步骤:
[0111] 1、在应用系统层,收集是否使用防火墙、入侵检测系统和入侵防御系统被动和主动防御系统的信息;
[0112] 其中包括防火墙安全日志记录信息、防火墙访问控制信息、应用通信加密信息和通讯访问控制与认证信息,防火墙、入侵检测系统和入侵防御系统等被动和主动防御系统的使用,可显著增强系统的防御能力和安全性;
[0113] 2、在数据库系统层,收集前台访问数据库等安全机制的信息;
[0114] 其中包括数据库访问控制程度信息、数据保密性信息、数据库安全审计信息、数据库人员管理信息,采用数据库安全机制可提高系统安全性;
[0115] 3、在操作系统层,对操作系统的漏洞检测是由安装的主机发起和进行的,安装的主机具有特权身份能遍历操作系统的内部,并检査配置、寻找漏洞、搜集信息,根据漏洞知识库检査安全隐患,提供周密可靠的安全性分析报告,以收集安全资产防御信息;
[0116] 其中搜集到的信息包括系统更新维护信息、系统安全日志信息、系统访问控制信息和系统补丁修复信息;
[0117] 4、在网络系统层,采用模拟攻击的形式对网络可能存在的已知安全漏洞进行逐项检查和扫描,收集安全资产防御信息,并根据扫描结果向系统管理员提供周密可靠的安全性分析报告,可在攻击发生前发现网络隐患、修补网络漏洞、提供网络防护水平;
[0118] 其中收集安全资产防御信息包括攻击防护信息、信息流控制信息、通信平台安全信息和通信加密信息。
[0119] 更具体的说,在本发明基于态势感知学习的信息安全风险评估系统实施例中,其中数据集预处理模块3包括以下几个方面:
[0120] 一、对通常系统环境下采集到的部分不完整的、有噪声的或有偏差的数据进行数据清洗,并对源数据进行处理,填充缺失值、光滑噪声并识别离群点,纠正原始数据,将完整、正确、一致的数据集重新存入数据仓库中;
[0121] 二、对来源于不用的网络安全设备的安全防护配置信息,进行数据集成操作,将不同的结构源数据集成到一个数据仓库中,通过光滑聚集、数据规范化、属性构造操作将源数据转换成适用于机器学习识别的数据集;
[0122] 三、对大数据环境下采集到具有大规模、高维度、低质量的特征的数据,直接分析会消耗大量的系统资源,因此需要进行数据规约,数据规约技术能得到数据集的归约表示,在保证源数据信息完整性的前提下,尽量缩小数据集大小,规约后的数据集可在保证与原有数据具有近似分析结果的前提下,尽量缩小计算时间,常用的数据规约的方法采用主成分分析法;
[0123] 基于态势感知学习的信息安全风险评估方法的工作原理为:首先收集网络安全资产防御信息和部门人员组织信息,然后将收集到的信息进行预处理,将数据格式统一化、无用数据过滤、重复数据信息归并等,之后结合已有的信息安全风险评估标准及信息安全风险评估模型,系统性建立风险评估模型的条目信息,最后利用贝叶斯网络机器学习算法,根据所采集的信息,对网络安全进行评估打分。
[0124] 以上所述仅为本发明的较佳实施例,并不用以限制本发明,上述实施例的技术特征可进行任意组合,凡在本发明的精神和原则之内,所作的任何
修改、等同替换、改进等,均应包含在本发明的保护范围之内。
