CN101867498A - 一种网络安全态势评估方法 - Google Patents

Abstract

本发明公开了一种网络安全态势评估方法，属于网络安全技术领域。本发明方法为：1)对输入的告警信息进行相关性分析得到主机攻击图；2)根据输入的主机漏洞信息对主机攻击图进行关联分析，得到主机的期望状态图；3)利用入侵的期望威胁和主机期望状态图计算主机威胁值；4)利用各主机提供服务的权重信息和各主机的威胁值计算主机综合安全态势；5)利用网络组件性能信息和各网络组件权重值计算网络组件综合安全态势；6)利用主机综合安全态势和网络组件综合安全态势进行加权计算，得到网络安全态势。本发明可更加准确地分析攻击对网络主机和网络组件的实际影响，以及对未知攻击造成的威胁进行分析，比传统方法更准确地反映了网络的安全态势。

Description

一种网络安全态势评估方法

技术领域

本发明属于网络安全技术领域，具体涉及一种网络安全态势评估方法。

背景技术

随着计算机技术和通信技术的迅速发展以及用户需求的不断增加，计算机网络获得了越来越广泛的应用。网络具有资源分布共享化、用户分散化和管理分布化等特性，为实现大规模的并行计算和信息服务提供了基础。然而，当前网络正面临着严峻的信息安全形势，安全问题已经成为制约其发展的一大障碍。安全态势评估技术能够从整体上反映出网络动态安全状况，并对安全状况的发展趋势进行预测和预警，因此，针对网络的安全态势评估模型及关键技术已经成为目前网络安全领域的研究热点。

目前，对网络进行安全态势评估主要有以下四类方法：第一类是可视化方法，该方法的主要思想是利用人对直观图像的敏锐性，以可视化视图的方式将网络连接状态呈现出来，从而使管理员对当前的网络状态有直观的了解，并通过经验去判断网络是否受到攻击威胁，但此类方法所反映的网络安全指标较为单一，对管理员经验水平要求也很高。第二类是基于入侵检测系统的分布式传感器进行数据融合的方法，对计算机网络安全态势进行评估，通过数据融合和数据挖掘的方法评估计算机网络的安全性，但没有实现具体的原型系统。第三类是基于蜜网进行因特网安全态势评估的方法，使用蜜网提供的大量网络活动信息，根据入侵检测工具对这些活动产生的报警信息来构建安全态势曲线，但该曲线只有在大规模病毒或蠕虫爆发时才能体现出明显效果。第四类是层次化网络安全威胁态势量化评估方法，利用入侵检测系统报警信息和网络性能指标，并且结合主机的漏洞信息，对服务、主机和网络进行层次化的安全定量评估，得到直观的安全态势图，但选取的态势评估指标还不够全面，量化算法结果也不够准确。

考虑到网络安全态势评估的实际应用背景，态势评估方法应该选取较全面的态势评估指标，建立相应的较为准确的态势评估方法，我们设计了本发明所述的一种基于期望状态图和性能修正的网络安全态势评估方法。

发明内容

本发明的目的在于提供一种基于期望状态图和性能修正的网络安全态势评估方法。针对网络安全性的各种因素进行分析，利用网络中各主机攻击图和漏洞信息生成期望状态图，并提出期望威胁与性能修正相结合的方法，利用主机性能和服务信息以及网络组件的性能指标，对期望状态进行修正并绘制安全态势曲线，从而实现网络安全态势的量化分析和趋势预测。

本发明结合计算机网络自身的特点，将网络安全的影响因素归纳为三类：网络特性、入侵信息和网络性能。

网络特性主要包含了网络主机特性、网络组件特性和节点关系。主机特性包括主机的唯一标识符、主机权重、主机上运行的应用服务和主机上存在的漏洞；网络组件特性包括网络组件的唯一标识符、网络组件的类型和网络组件所占的权重值。节点关系包含物理链接关系和信任关系。

入侵信息主要包括入侵信息的唯一标识符、入侵信息的类型、入侵所依赖的漏洞和入侵的期望威胁。

网络性能包含了网络主机性能和网络组件性能。主机性能包括主机的唯一标识符、主机处理器使用率、主机内存使用率、主机服务时间、主机服务队列数、连接数、流量、包延迟时间和丢包率；网络组件性能包括网络组件的唯一标识符、网络组件的类型、网络组件的入侵检测和防护能力和网络组件处理的流量。

本发明方法的框架图如图1所示。

本发明方法包含了三个层次：原始数据层、量化分析层和网络综合层。原始数据层包括告警信息、漏洞信息、服务信息、主机性能和网络组件性能；而量化分析层包括期望状态图生成、性能修正算法、主机权重计算、主机安全态势计算和网络组件安全态势计算；最后网络综合层是利用主机安全态势和网络组件安全态势综合计算网络安全态势。

本发明的具体步骤如下：

步骤A：告警关联分析，通过对海量告警信息进行相关性分析，以降低网络入侵检测系统产生的告警数量，减少误报，并对攻击步骤的前后相关性进行分析，从而得到较高抽象层次的入侵信息，包括类型、依赖漏洞和入侵的期望威胁等信息，生成较准确的主机攻击图；

步骤B：风险传播分析，利用网络内部主机之间的信任关系和攻击所依赖的漏洞，分析某成功攻击在局域网内可能对其它主机产生的威胁，从而得到更完整的主机攻击图；

步骤C：漏洞关联分析，利用主机漏洞信息、攻击所依赖的漏洞和入侵的期望威胁，针对主机攻击图进行关联分析，得到主机的期望状态图；

步骤D：计算期望威胁，利用已有的攻击知识和主机期望状态图，对期望状态图中的各个期望状态进行赋值，计算期望状态的差值并取其中最大值作为主机期望威胁；

步骤E：计算修正威胁，利用实际主机性能参数计算主机性能改变值，对主机期望威胁进行修正，得到网络主机的修正威胁；

步骤F：计算主机综合安全态势和网络组件综合安全态势，利用各主机提供服务的权重信息和各主机的修正威胁值计算出主机综合安全态势；

步骤G：计算网络安全态势，利用主机综合安全态势和网络组件综合安全态势进行加权计算即可得到网络安全态势，计算公式如下：

SA＝χ×SA_H+(1-χ)×SA_N

其中χ为比例系数，取值为[0，1]，表示主机态势值在安全态势分析中所占的比例；SA_H为主机综合安全态势，反映网络的服务能力；SA_N为网络组件综合安全态势，反映网络的连通性；

步骤H：结果输出，利用以上步骤可以计算网络不同时段的安全态势值，结果输出即是将安全态势计算结果通过绘制网络安全态势曲线图的方法进行可视化展现，安全态势曲线图可以从整体上反映网络的安全态势变化情况。

本发明的积极效果：

本发明可以有效地将理论分析结果和实际性能参数结合在一起，更加准确地分析攻击对网络主机和网络组件的实际影响，并且通过性能修正方法可以对未知攻击造成的威胁进行分析，因此比传统方法更准确地反映了网络的安全态势。

附图说明

图1示出了基于期望状态图和性能修正算法的网络安全态势评估方法的主要框架；

图2示出了主机攻击图和主机期望状态图的对比；

(a)主机攻击图                    (b)主机期望状态图。

具体实施方式

本发明的输入是告警信息、漏洞信息、主机性能信息和服务信息、网络组件性能信息、网络拓扑信息及主机信任关系。输入信息可以来自任何一个网络系统的各种设备，如主机、服务器、入侵检测系统、路由器、防火墙等等。这些设备上的数据流经过对应的预处理设备处理后，提取出的信息都可作为本发明的输入信息。以上信息要求完整全面，信息越完整，评估结果越准确。通过对输入信息的层层处理和分析，最后得到网络安全态势评估结果，以网络安全态势曲线图进行展现。

下面给出详细过程。

步骤A：告警关联分析。

告警关联分析，是通过对海量告警信息进行相关性分析，有效降低网络入侵检测系统产生的告警数量，减少误报，并对攻击步骤的前后相关性进行分析，从而得到较高抽象层次的入侵信息，生成较准确的主机攻击图。本发明方法采用基于预定义攻击场景的告警关联算法，首先将攻击图设置为空，然后依次读入每一条告警日志，将告警日志与预定义攻击场景进行匹配，如果不匹配则读入下一条告警日志，否则检查攻击图中是否已添加该攻击场景，如果已添加则读入下一条告警日志，否则将匹配的攻击场景添加到攻击图中，每一条告警日志处理完成后得到主机攻击图。

步骤B：风险传播分析。

风险传播分析，是利用网络内部主机之间的信任关系和攻击所依赖的漏洞，分析某成功攻击在局域网内可能对其它主机产生的威胁。本发明方法首先将所有主机的成功攻击进行传播，传播对象是主机信任关系中信任被攻击主机的其它主机，然后再利用传播对象主机的漏洞信息判断该风险传播是否成功，如果不成功则中断该条传播路径，否则传播成功并继续从成功主机向信任对象传播，直至所有信任关系都已进行了分析，从而得到更加完整的主机攻击图。

步骤C：漏洞关联分析。

漏洞关联分析，是利用主机漏洞信息、攻击所依赖的漏洞和入侵的期望威胁，针对主机攻击图进行关联分析，得到主机的期望状态图。漏洞关联分析可以去除攻击图中的无效攻击，降低期望状态图的复杂度。本发明方法对主机攻击图中每一步所依赖的漏洞进行检查，如果包含该漏洞则继续检查下一转移过程，否则删除当前状态转移过程，继续检查下一转移过程，最后得到主机期望状态图。

以上得到的主机攻击图和主机期望状态图如图2实例所示，其中图(a)为攻击图，图(b)为期望状态图，期望状态图是根据主机漏洞信息将攻击图中的不可能路径去掉后得到的。

步骤D：计算期望威胁。

计算期望威胁，是利用攻击的期望威胁和主机期望状态图，对期望状态图中的各个期望状态进行赋值，计算期望状态的变化值并取其中最大值作为主机期望威胁。

以图2所示期望状态图为例，假设期望状态S0、S1、S2、S4、S6的期望状态值分别为1、0.85、0.95、0.8、0.9，其中S0为初始状态，计算其它所有期望状态与初始状态的差值可得期望威胁值集合VoT为{0.15，0.05，0.2，0.1}，取最大值0.2作为攻击的期望威胁值VoT_max。

步骤E：计算修正威胁。

计算修正威胁是利用实际主机性能参数计算主机性能改变值，对主机期望威胁进行修正，得到网络主机的修正威胁。

安全态势评估模型中的主机性能集合H_P用(id，γ，μ，τ，λ，κ，ρ，ε，δ)表示，该参数用于对主机性能变化量进行计算，其中id是主机的唯一标识符，γ是处理器使用率；μ是内存使用率；τ是服务时间；λ是服务队列数；κ是连接数；ρ是流量；ε是包延迟时间；δ是丢包率。对某主机，其性能参数的最小值都为0，对应的最大值为(id，1，1，τ₀，λ₀，κ₀，ρ₀，ε₀，1)，其中λ₀是最大服务队列数；κ₀是最大连接数；ρ₀是最大流量；τ₀是临界服务时间；ε₀是临界包延迟时间。主机性能由当前可利用资源来衡量，采用如下公式计算主机当前的性能值P_H：

$P_H=1-\frac{1}{8}(\mathrm{\γ}+\mathrm{\μ}+\frac{\mathrm{\τ}}{{\mathrm{\τ}}_0}+\frac{\mathrm{\λ}}{{\mathrm{\λ}}_0}+\frac{\mathrm{\κ}}{{\mathrm{\κ}}_0}+\frac{\mathrm{\ρ}}{{\mathrm{\ρ}}_0}+\frac{\mathrm{\ϵ}}{{\mathrm{\ϵ}}_0}+\mathrm{\δ})$

其中τ≥τ₀时，

ε≥ε₀时，

易知P_H∈[0，1]。

设在某时段开始时刻某主机的性能参数为(id，γ₁，μ₁，τ₁，λ₁，κ₁，ρ₁，ε₁，δ₁)，该时段结束时刻的性能参数为(id，γ₂，μ₂，τ₂，λ₂，κ₂，ρ₂，ε₂，δ₂)，则：

$P_{H1}=1-\frac{1}{8}({\mathrm{\γ}}_1+{\mathrm{\μ}}_1+\frac{{\mathrm{\τ}}_1}{{\mathrm{\τ}}_0}+\frac{{\mathrm{\λ}}_1}{{\mathrm{\λ}}_0}+\frac{{\mathrm{\κ}}_1}{{\mathrm{\κ}}_0}+\frac{{\mathrm{\ρ}}_1}{{\mathrm{\ρ}}_0}+\frac{{\mathrm{\ϵ}}_1}{{\mathrm{\ϵ}}_0}+{\mathrm{\δ}}_1)$

$P_{H2}=1-\frac{1}{8}({\mathrm{\γ}}_2+{\mathrm{\μ}}_2+\frac{{\mathrm{\τ}}_2}{{\mathrm{\τ}}_0}+\frac{{\mathrm{\λ}}_2}{{\mathrm{\λ}}_0}+\frac{{\mathrm{\κ}}_2}{{\mathrm{\κ}}_0}+\frac{{\mathrm{\ρ}}_2}{{\mathrm{\ρ}}_0}+\frac{{\mathrm{\ϵ}}_2}{{\mathrm{\ϵ}}_0}+{\mathrm{\δ}}_2)$

${\mathrm{\ΔP}}_H=P_{H1}-P_{H2}=\frac{1}{8}({\mathrm{\γ}}_2-{\mathrm{\γ}}_1+{\mathrm{\μ}}_2-{\mathrm{\μ}}_1+\frac{{\mathrm{\τ}}_2-{\mathrm{\τ}}_1}{{\mathrm{\τ}}_0}+\frac{{\mathrm{\λ}}_2-{\mathrm{\λ}}_1}{{\mathrm{\λ}}_0}+\frac{{\mathrm{\κ}}_2-{\mathrm{\κ}}_1}{{\mathrm{\κ}}_0}+\frac{{\mathrm{\ρ}}_2-{\mathrm{\ρ}}_1}{{\mathrm{\ρ}}_0}+\frac{{\mathrm{\ϵ}}_2-{\mathrm{\ϵ}}_1}{{\mathrm{\ϵ}}_0}+{\mathrm{\δ}}_2-{\mathrm{\δ}}_1)$

使用性能变化量ΔP_H对期望威胁值VoT_max进行修正，就可以得到修正威胁值CoT_cor，计算公式为：

VoT_cor＝(1-η)×VoT_max+η×ΔP_H

其中η为修正系数，取值为[0，1]，表示性能修正在威胁值计算中所占的比例。

步骤F：计算主机综合安全态势和网络组件综合安全态势。

利用各主机提供服务的权重信息和各主机的修正威胁值可以计算出网络中所有主机综合后的安全态势，即主机综合安全态势，计算公式如下：

${\mathrm{SA}}_H=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{w}_{\mathrm{Hi}}\×{\mathrm{VoT}}_{\mathrm{cori}}$

其中n为主机数，w_Hi为每个主机所占的权重，由下式计算：

$w_H=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}{w}_i$

其中m为主机提供的服务数，w_i为每个服务所占的权重，为已知信息。

利用网络组件性能信息和各网络组件权重值可以计算网络组件综合安全态势。

根据网络安全态势评估模型，网络组件的检测和防护能力β∈[0，1]，处理流量θ∈[0，θ₀]，其中θ₀是最大处理流量，可由以下公式来计算网络组件的性能值P_N：

$P_N=\frac{1}{2}(\mathrm{\β}+(1-\frac{\mathrm{\θ}}{{\mathrm{\θ}}_0}))$

设在某时段开始时刻某网络组件的性能参数为β₁和θ₁，该时段结束时刻的性能参数为β₂和θ₂，则：

$P_{N1}=\frac{1}{2}({\mathrm{\β}}_1+(1-\frac{{\mathrm{\θ}}_1}{{\mathrm{\θ}}_0}))$

$P_{N2}=\frac{1}{2}({\mathrm{\β}}_2+(1-\frac{{\mathrm{\θ}}_2}{{\mathrm{\θ}}_0}))$

${\mathrm{\ΔP}}_N=P_{N1}-P_{N2}=\frac{1}{2}({\mathrm{\β}}_1-{\mathrm{\β}}_2+\frac{{\mathrm{\θ}}_2-{\mathrm{\θ}}_1}{{\mathrm{\θ}}_0})$

由所有网络组件的性能变化量ΔP_N和安全态势评估模型中的网络组件权重w_N就可以得到网络组件的综合态势值SA_N，计算公式如下：

${\mathrm{SA}}_N=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{w}_{\mathrm{Ni}}\×{\mathrm{\ΔP}}_{\mathrm{Ni}}$

其中n为网络组件数，w_Ni为每个网络组件所占的权重。

步骤G：计算网络安全态势。

利用主机综合安全态势和网络组件综合安全态势进行加权计算即可得到网络安全态势，计算公式如下：

SA＝χ×SA_H+(1-χ)×SA_N

其中χ为比例系数，取值为[0，1]，表示主机态势值在安全态势分析中所占的比例；SA_H为主机综合安全态势，反映网络的服务能力；SA_N为网络组件综合安全态势，反映网络的连通性。

步骤H：结果输出。

利用以上步骤可以计算网络不同时段的安全态势值，结果输出即是将安全态势计算结果通过绘制网络安全态势曲线图的方法进行可视化展现，安全态势曲线图可以从整体上反映网络的安全态势变化情况。

尽管为说明目的公开了本发明的具体实施例和附图，其目的在于帮助理解本发明的内容并据以实施，但是本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。因此，本发明不应局限于最佳实施例和附图所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims (10)

1.一种网络安全态势评估方法，其步骤为：

1)对输入的告警信息进行相关性分析，得到主机攻击图；

2)根据输入的主机漏洞信息、攻击所依赖的漏洞和入侵的期望威胁对主机攻击图进行关联分析，得到主机的期望状态图；

3)利用入侵的期望威胁和主机期望状态图，计算主机威胁值；

4)利用各主机提供服务的权重信息和各主机的威胁值计算主机综合安全态势；

5)利用网络组件性能信息和各网络组件权重值计算网络组件综合安全态势；

6)利用主机综合安全态势和网络组件综合安全态势计算网络安全态势。

2.如权利要求1所述的方法，其特征在于采用基于预定义攻击场景的告警关联算法进行所述相关性，得到主机攻击图。

3.如权利要求2所述的方法，其特征在于利用网络内部主机之间的信任关系和攻击所依赖的漏洞对所述主机攻击图进行修正，其方法为：首先将所有主机的成功攻击进行传播，传播对象是主机信任关系中信任被攻击主机的其它主机；然后再利用传播对象主机的漏洞信息判断该风险传播是否成功，如果不成功则中断该条传播路径，否则传播成功并继续从成功主机向信任对象传播，直至所有信任关系都已进行了分析，从而得到完整的主机攻击图。

4.如权利要求1所述的方法，其特征在于所述对主机攻击图进行关联分析，得到主机的期望状态图的方法为：对所述主机攻击图中每一步所依赖的漏洞进行检查，如果包含该漏洞则继续检查下一转移过程，否则删除当前状态转移过程，继续检查下一转移过程，最后得到主机期望状态图。

5.如权利要求1所述的方法，其特征在于所述主机威胁值的计算方法为：利用入侵的期望威胁和主机期望状态图，对期望状态图中的各个期望状态进行赋值，计算期望状态的变化值并取其中最大值作为所述主机威胁值VoT_max。

6.如权利要求5所述的方法，其特征在于利用实际主机性能参数计算主机性能改变值，对所述主机威胁VoT_max进行修正，得到网络主机的修正威胁值VoT_cor，其方法为：

1)计算主机某时段内的性能变化量ΔP_H；

2)利用公式VoT_cor＝(1-η)×VoT_max+η×ΔP_H计算网络主机的修正威胁值；其中η为修正系数，取值为[0，1]。

7.如权利要求6所述的方法，其特征在于所述主机性能的计算公式为

其中：τ≥τ₀时，

ε≥ε₀时，

γ是处理器使用率；μ是内存使用率；τ是服务时间；λ是服务队列数；κ是连接数；ρ是流量；ε是包延迟时间；δ是丢包率；λ₀是最大服务队列数；κ₀是最大连接数；ρ₀是最大流量；τ₀是临界服务时间；ε₀是临界包延迟时间。

8.如权利要求6所述的方法，其特征在于采用公式

计算所述主机综合安全态势；其中n为主机数，w_Hi为每个主机所占的权重，

m为主机提供的服务数，w_i为每个服务所占的权重。

9.如权利要求1所述的方法，其特征在于所述网络组件性能信息包括：网络组件的唯一标识符、网络组件的类型、网络组件的入侵检测和防护能力、网络组件处理的流量。

10.如权利要求7所述的方法，其特征在于所述网络组件综合安全态势的计算方法为：首先采用公式

计算某时段内的网络组件性能变化量ΔP_N，然后利用公式

计算所述网络组件综合安全态势值SA_N，其中：网络组件的检测和防护能力β∈[0，1]，处理流量θ∈[0，θ₀]、θ₀是最大处理流量，n为网络组件数，w_Ni为每个网络组件所占的权重。

如权利要求1所述的方法，其特征在于利用所述主机综合安全态势和所述网络组件综合安全态势进行加权计算，得到所述网络安全态势SA；所述计算公式为：SA＝x×SA_H+(1-χ)×SA_N；其中χ为比例系数，取值为[0，1]；SA_H为主机综合安全态势；SA_N为网络组件综合安全态势。

Images