CN101883017A

CN101883017A - 一种网络安全状态评估系统及方法

Info

Publication number: CN101883017A
Application number: CN2009100833851A
Authority: CN
Inventors: 周涛; 石坚; 吴恩平; 杨立纯; 力立
Original assignee: SHANGHAI COMPUTER VIRUS PREVENTION SERVICE; Beijing Venus Information Security Technology Co Ltd; Beijing Venus Information Technology Co Ltd
Current assignee: SHANGHAI COMPUTER VIRUS PREVENTION SERVICE; Beijing Venus Information Security Technology Co Ltd; Beijing Venus Information Technology Co Ltd
Priority date: 2009-05-04
Filing date: 2009-05-04
Publication date: 2010-11-10
Anticipated expiration: 2029-05-04
Also published as: CN101883017B

Abstract

本发明公开了一种网络安全状态评估系统及方法，用于入侵检测设备评估网络安全状态。其中该方法包括：根据入侵检测设备当前观测周期之前的历史日志，提取网络安全状态指标，建立网络安全状态指标的正态分布模型；所述评估时，根据所述入侵检测设备当前观测周期的实时日志，获得所述实时日志的网络安全状态指标值，根据所述实时日志的网络安全状态指标值及正态分布模型，获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果。本发明提出的网络安全状态评估系统及方法，能够根据入侵检测设备产生的日志，自动评估当前网络安全状态。

Description

一种网络安全状态评估系统及方法

技术领域

本发明涉及信息安全领域，尤其涉及一种网络安全状态评估系统及方法。

背景技术

互联网(Internet)的飞速发展，为信息的传播和利用带来了极大的便利，同时也使人类社会面临着信息安全的巨大挑战。为了缓解日益严重的安全问题，入侵检测设备(Intrusion Detection System，IDS)得到了越来越广泛的应用。入侵检测设备安装在被保护的网段中，其监听网卡工作在混杂模式下，分析网段中所有的数据包，进行网络安全事件的实时检测和响应。目前入侵检测设备普遍采用误用检测技术，其检测方法为：首先对标识特定的入侵行为模式进行编码，建立误用模式库，然后对实际检测过程中得到的事件数据进行过滤，检查是否包含入侵行为的标识，是则认为有入侵行为。如果检测到入侵行为，则产生一条对应的安全日志，其中包含了入侵行为发起方地址(源地址)、入侵行为目标方地址(目的地址)、入侵行为描述(事件类型)等信息。

入侵检测设备的大量引入一方面保护了信息系统的安全，另一方面也带来了新的问题。连续运行的入侵检测设备会产生海量的日志，而真正有价值的报警信息被淹没在海量日志中。由于报警量大、不相关报警多，安全管理人员的大部分精力被耗费在处理无用信息上，难以从整体上评估当前的网络安全状态。

目前的现有技术中，有的解决方案是从入侵检测系统报警综合评估得到网络攻击态势评估指标入手，应用支持向量回归的预测方法对网络攻击态势评估指标进行时间序列预测。该方案能够根据历史攻击态势指标，来预测下一时刻的攻击态势指标，但无法做出下一时刻攻击态势是否正常的判断。而且，在指标选取上只考虑了报警数量，难以准确量化网络攻击行为的威胁程度。例如，假设有两个信息系统，分别为信息系统A和信息系统B，这两个信息系统在一个观测周期内都检测到了100条攻击事件，其中在信息系统A中，100条攻击事件是分别针对100台主机的，而在信息系统B中，100条攻击事件是针对同一台主机的，这两个系统所面临的威胁显然不同，但利用前述方案，则难以体现出这种差别。

发明内容

本发明所要解决的技术问题是在于需要提供一种网络安全状态评估系统及方法，用于入侵检测设备评估网络安全状态。

为了解决上述技术问题，本发明提供了一种网络安全状态评估方法，用于入侵检测设备评估网络安全状态，包括：

根据入侵检测设备当前观测周期之前的历史日志，提取网络安全状态指标，建立网络安全状态指标的正态分布模型；

所述评估时，根据所述入侵检测设备当前观测周期的实时日志，获得所述实时日志的网络安全状态指标值，根据所述实时日志的网络安全状态指标值及正态分布模型，获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果。

优选地，所述建立网络安全状态指标的正态分布模型的步骤，包括：

通过对所述历史日志进行学习，根据所述历史日志的网络安全状态指标值，获得所述网络安全状态指标的模型参数，建立所述正态分布模型。

优选地，根据所述历史日志的网络安全状态指标值，获得所述网络安全状态指标的模型参数的步骤，包括：

计算所述历史日志若干个观测周期中的网络安全状态指标值；

计算所述若干个观测周期中的网络安全状态指标值的均值和方差，将所述均值和方差作为所述网络安全状态指标的模型参数。

优选地，所述网络安全状态指标，包括安全事件数量指标、地址熵指标及安全事件扩散指标。

优选地，根据所述实时日志的网络安全状态指标值及正态分布模型，获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果的步骤，包括：

采用异常检验与假设检验相结合的方式，获得所述实时日志的网络安全状态指标值与正态分布模型的偏离程度；

根据所述偏离程度，评估所述当前观测周期的网络安全状态，获得所述网络安全状态评估结果。

为了解决上述技术问题，本发明还提供了一种网络安全状态评估系统，用于入侵检测设备评估网络安全状态，包括：

存储模块，用于存储所述入侵检测设备的日志，包括当前观测周期的实时日志，以及所述当前观测周期之前的历史日志；

指标提取模块，与所述存储模块相连，根据所述入侵检测设备的日志，提取网络安全状态指标，获得网络安全状态指标值；

模型建立模块，与所述存储模块及指标提取模块相连，根据所述历史日志的网络安全状态指标值，建立所述网络安全状态指标的正态分布模型；

评估模块，与所述指标提取模块及模型建立模块相连，根据所述实时日志的网络安全状态指标值与正态分布模型，获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果。

优选地，所述模型建立模块，通过对所述历史日志进行学习，根据所述历史日志的网络安全状态指标值，获得所述网络安全状态指标的模型参数，建立所述正态分布模型。

优选地，所述模型建立模块计算所述历史日志若干个观测周期中的网络安全状态指标值，再计算所述若干个观测周期中的网络安全状态指标值的均值和方差，将所述均值和方差作为所述网络安全状态指标的模型参数。

优选地，所述指标提取模块，包括：

安全事件数量指标提取单元，与所述存储模块、模型建立模块及评估模块相连，用于过滤一个观测周期内入侵检测设备的日志，获得安全事件数量；

地址熵指标提取单元，与所述存储模块、模型建立模块及评估模块相连，用于利用信息熵的计算方法，计算一个观测周期内入侵检测设备日志源地址、目的地址的地址分布熵；及

安全事件扩散指标提取单元，与所述存储模块、模型建立模块及评估模块相连，用于获得一个观测周期内的安全事件扩散指标值。

优选地，所述评估模块，采用异常检验与假设检验相结合的方式，获得实时日志的网络安全状态指标值与正态分布模型的偏离程度，根据所述偏离程度评估所述当前观测周期的网络安全状态，获得所述网络安全状态评估结果。

本发明提出的网络安全状态评估系统及方法，能够根据入侵检测设备产生的日志，自动评估当前网络安全状态。与现有技术相比，本发明通过计算安全事件数量指标，能够在爆发大规模网络安全事件、入侵检测设备产生大量日志的时候及时检测到异常。通过计算地址熵指标，能够对入侵检测设备日志数量未异常，但地址分布异常的安全事件进行及时检测，例如小范围的Internet蠕虫传播、网络扫描等事件等。通过计算安全事件扩散指标，能够在大规模安全事件爆发的初期进行及时检测，例如在Internet蠕虫传播的初期检测到异常。通过异常检验与假设检验相结合的方法，能够对渐变和突变的网络异常进行及时检测。

附图说明

图1为本发明中网络安全状态评估方法实施例的流程示意图。

图2为图1所示方法实施例中步骤S130的流程示意图。

图3为本发明中网络安全状态评估系统实施例组成示意图。

具体实施方式

以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。

图1为本发明中网络安全状态评估方法实施例的流程示意图。如图1所示，该方法实施例主要包括如下步骤：

步骤S110，存储入侵检测设备的日志，包括当前观测周期的实时日志，以及当前观测周期之前的历史日志；

步骤S120，根据存储的入侵检测设备的日志，提取网络安全状态指标，获得网络安全状态指标值，包括历史日志的网络安全状态指标值以及实时日志的网络安全状态指标值；其中该网络安全状态指标包括安全事件数量指标、地址熵指标及安全事件扩散指标；

步骤S130，通过对入侵检测设备的历史日志进行学习，根据历史日志的网络安全状态指标值，获得网络安全状态指标的模型参数，建立网络安全状态指标的正态分布模型；

步骤S140，采用异常检验与假设检验相结合的方式，将实时日志的网络安全状态指标值与正态分布模型中的模型参数相比较，获得实时日志的网络安全状态指标值与正态分布模型的偏离程度；

步骤S150，根据实时日志的网络安全状态指标值与正态分布模型参数的偏离程度，评估当前观测周期的网络安全状态，获得当前观测周期的网络安全状态评估结果。

需要说明的是，整个评估过程分为两个阶段，自学习阶段和评估阶段。先进行自学习阶段，通过自学习阶段建立指标的正态分布模型后，再通过该正态分布模型进行网络安全状态的评估，即进行第二个阶段，将实时日志的网络安全状态指标值与模型参数进行比较，获得网络安全状态评估结果。在自学习阶段完成后，实际应用时的评估过程，就不需要再进行自学习了，直接利用自学习阶段建立的正态分布模型进行评估即可，不用反复学习并建立正态分布模型。

上述步骤S120中提取安全事件数量指标，将某个观测周期内入侵检测设备产生的日志，按照设定的过滤条件进行过滤，统计过滤后的入侵检测设备日志数量，即为该安全事件数量。其中的过滤条件包括但不限于安全事件类型、安全事件等级、安全事件源地址范围及安全事件目的地址范围等等。

上述步骤S120中提取地址熵指标，是利用信息熵的计算方法，计算该某个观测周期内入侵检测设备日志源地址、目的地址的地址分布熵；具体地，接收该某个观测周期内入侵检测设备上报的所有安全日志，统计安全日志中所有源IP地址、目的IP地址的出现次数；在统计的时候利用哈希(Hash)算法将32位的IPv4地址映射为16位的整数；计算源IP地址分布熵、目的IP地址分布熵，计算方法如式(1)所示：

H = (- Σ_{i = 0}^{65535} (\frac{C_{i}}{S}) \log_{2} (\frac{C_{i}}{S})) / \log_{2} S

式(1)

其中：

C_i为经Hash运算后的IP地址i出现的次数；

S为当前观测周期内总IP地址的个数，

S = Σ_{i = 0}^{65535} C_{i} .

上述步骤S120中提取安全事件扩散指标，是将某个观测周期内统计得到的安全事件数量指标值，减去相邻的前一个观测周期的安全事件数量指标值，得到该某个观测周期内的安全事件扩散指标值。

图2为上述步骤S130的流程示意图。上述步骤S130中，对历史日志进行学习以提取各指标的模型参数的流程，主要包括如下步骤：

步骤S210，通过设定历史日志的起止时间，确定历史日志的范围；

步骤S220，设定观测周期长度；

步骤S230，计算该历史日志范围内每个观测周期中的网络安全状态指标值即安全事件数量指标值、地址熵指标值和安全事件扩散指标值，构成一个指标变量数组并保存；及

步骤S240，计算每个观测周期中上述指标变量数组中各指标值的均值和方差，将该均值和方差作为对应指标的模型参数；

步骤S250，将各指标的模型参数生成文本文件并保存，以用于建立网络状态指标的正态分布模型。

如果步骤S220是以小时为单位进行建模，则对于安全事件数量指标，共有24个模型。对应的，上述步骤S240则是计算每个小时内，各指标值的均值和方差，作为对应指标的模型参数。

上述步骤S140，可以采用异常检验与假设检验相结合的方法，判断当前观测周期的各个指标值与当前时刻对应的指标模型参数是否一致，并将指标值量化为若干个安全等级，比如将指标状态由低到高量化为正常、轻度异常、中度异常、严重异常4个安全等级。

上述步骤S150，可以根据前述的所有指标值量化后的安全等级，确定当前网络安全状态评估结果，比如将所有指标值量化后的最高安全等级，作为当前网络安全状态评估结果。

上述异常检验方式，假设在获取的指标模型参数为N(μ₀，σ₀)，其中μ₀和σ₀分别表示正态分布模型的均值和方差，假设当前获取的指标值为S，则对于安全事件数量指标和安全事件扩散指标，采取如下方式判断：

如果S-μ₀＜2σ₀，则当前指标正常；

如果2σ₀≤S-μ₀＜3σ₀，则当前指标轻度异常；

如果3σ₀≤S-μ₀＜4σ₀，则当前指标中度异常；

如果S-μ₀≥4σ₀，则当前指标高度异常。

对于地址熵指标，包括源地址熵指标和目的地址熵指标，采用如下的判断方式：

如果|S-μ₀|＜2σ₀，则当前指标正常；

如果2σ₀≤|S-μ₀|＜3σ₀，则当前指标轻度异常；

如果3σ₀≤|S-μ₀|＜4σ₀，则当前指标中度异常；

如果|S-μ₀|≥4σ₀，则当前指标高度异常。

上述假设检验方式，假设获取的指标模型参数为N(μ₀，σ₀)，其中μ₀和σ₀分别表示正态分布模型的均值和方差，假设当前获取的指标值为S，则对于安全事件数量指标和安全事件扩散指标，构造如式(2)所示的统计量：

U = \frac{\overset{&OverBar;}{s} - μ_{0}}{σ_{0}} \sqrt{n}

式(2)

其中：

表示从模型参数更新起，所有该指标值的均值；

n表示从模型参数更新起，该指标值的观测个数；

其中的模型参数更新，表示在不同的观测周期会采用不同的模型参数，在观测周期变化时，会更新模型参数。

利用式(2)所示的统计量的判断方式为：

如果U＜2.33，则当前指标正常；

如果2.33≤U＜3.1，则当前指标轻度异常；

如果3.1≤U＜3.72，则当前指标中度异常；

如果U≥3.72，则当前指标高度异常。

其中的参考标准2.33，3.1和3.72，分别对应于标准正态分布的0.01，0.001和0.0001分位点。

对于地址熵指标，包括源地址熵指标和目的地址熵指标，构造如式(3)所示的统计量：

U = \frac{| \overset{&OverBar;}{s} - μ_{0} |}{σ_{0}} \sqrt{n}

式(3)

利用式(3)所示的统计量的判断方式为：

如果U＜2.48，则当前指标正常；

如果2.48≤U＜3.3，则当前指标轻度异常；

如果3.3≤U＜3.9，则当前指标中度异常；

如果U≥3.9，则当前指标高度异常。

其中的参考标准2.48，3.3和3.9，分别对应于标准正态分布的0.005，0.0005和0.00005分位点。

通过对安全事件数量指标、地址熵指标(包括源地址熵指标和目的地址熵指标)以及安全事件扩散指标分别进行异常检验和假设检验，可以得到8个安全状态判断值。取各指标异常程度最高的评估值，作为当前网络安全状态的评估值。

图3为本发明中网络安全状态评估系统一实施例组成示意图。如图1所示，该网络安全状态评估系统实施例，包括存储模块310、指标提取模块320、模型建立模块330及评估模块340，其中：

存储模块310，用于存储入侵检测设备的日志，包括当前观测周期的实时日志，以及当前观测周期之前的历史日志；

指标提取模块320，与存储模块310相连，根据存储模块310所存储的日志，提取网络安全状态指标，获得网络安全状态指标值，包括历史日志的网络安全状态指标值以及实时日志的网络安全状态指标值；其中该网络安全状态指标包括安全事件数量指标、地址熵指标及安全事件扩散指标；

模型建立模块330，与存储模块310及指标提取模块320相连，通过对入侵检测设备的历史日志进行学习，根据历史日志的网络安全状态指标值，获得指标提取模块320所提取的网络安全状态指标的模型参数，建立网络安全状态指标的正态分布模型；其中该网络安全状态指标的模型参数的值在一个取值范围内；及

评估模块340，与指标提取模块320及模型建立模块330相连，采用异常检验与假设检验相结合的方式，获得实时日志的网络安全状态指标值与正态分布模型的偏离程度，根据该偏离程度评估当前观测周期的网络安全状态，获得当前观测周期的网络安全状态评估结果。

上述指标提取模块320在自学习阶段，从历史日志中提取网络安全状态指标用于自学习，从评估阶段从实时日志中提取网络安全状态指标值用于评估。实际应用时，在建立正态分布模型之后，就可以直接用该正态分布模型去评估网络安全状态，不用反复学习并建立正态分布模型。

上述指标提取模块320，如图3所示，包括安全事件数量指标提取单元321、地址熵指标提取单元322及安全事件扩散指标提取单元323，其中：

安全事件数量指标提取单元321，与存储模块310、模型建立模块330及评估模块340相连，用于将某个观测周期内入侵检测设备产生的日志，按照设定的过滤条件进行过滤，统计过滤后的入侵检测设备日志数量，即为该安全事件数量；其中的过滤条件包括但不限于安全事件类型、安全事件等级、安全事件源地址范围及安全事件目的地址范围等等；

地址熵指标提取单元322，与存储模块310、模型建立模块330及评估模块340，用于利用信息熵的计算方法，计算某个观测周期内入侵检测设备日志源地址、目的地址的地址分布熵，具体计算过程请参考上述方法实施例中步骤S120的内容；及

安全事件扩散指标提取单元323，与存储模块310、模型建立模块330及计评估模块340，用于将某个观测周期内统计得到的安全事件数量指标值，减去相邻的前一个观测周期的安全事件数量指标值，得到该某个观测周期内的安全事件扩散指标值。

上述地址熵指标提取单元322计算地址分布熵的具体过程，是接收某个观测周期内入侵检测设备上报的所有安全日志，统计安全日志中所有源IP地址、目的IP地址的出现次数；在统计的时候利用哈希(Hash)算法将32位的IPv4地址映射为16位的整数；计算源IP地址分布熵、目的IP地址分布熵，计算方法如上述式(1)所示。

上述评估模块340，采用异常检验与假设检验相结合的方式，通过比较网络安全指标的当前值与模型参数，判断网络安全状态指标的当前值是否与所建立的正态分布模型一致，如果一致则根据该正态分布模型得到当前网络安全状态的综合评估值，如果不一致则根据网络安全状态指标值与正态分布模型的偏离程度，评估当前观测周期的网络安全状态，获得当前观测周期的网络安全状态评估值。

以下是网络安全状态评估系统的一个应用实例，借以更清楚地描述本发明的实施方式。

假设当前设置的观测周期为1分钟，目前上报的观测时间段为8:30-8:31，则从8:00开始，提取8:00-9:00期间指标变量的模型参数作为参考标准。假设此时安全事件数量指标的模型参数为(100，10)，源地址熵指标的参数为(0.6，0.1)，目的地址熵指标的模型参数为(0.65，0.1)，安全事件扩散指标的模型参数为(10，5)，并假设当前的安全事件数量指标为125，源地址熵为0.75，目的地址熵为0.1，安全事件扩散指标为8。

采用异常检验的方式可得出如下判断：

安全事件数量指标：2×10＜125-100＝25＜3×10，该指标轻度异常；

源地址熵指标：0.1＜|0.75-0.6|＝0.15＜2×0.1，该指标正常；

目的地址熵指标：|0.1-0.65|＝0.55＞4×0.1，该指标严重异常；

安全事件扩散指标：8-10＝-2＜5，该指标正常。

采用假设检验的方法进行判断时，该时刻的观测值为模型参数从8:00起更新以来的第31个采样值。假设对于安全事件数量指标，从8:01起获取第1个观测值到当前的第31个观测值之间，所有安全事件数量指标观测值的均值为105，则利用假设检验的判断过程为：

U = \frac{105 - 100}{10} \sqrt{31} = 2.78,

2.33≤U＜3.1

因此该指标为轻度异常。

同理利用该方法可以评估源地址熵指标、目的地址熵指标、安全事件扩散指标的异常度。

最终计算该时刻网络安全状态评估值时，由于异常检测方式下，目的地址熵指标为严重异常，将当前的网络安全状态评估为严重异常。

虽然本发明所揭露的实施方式如上，但所述的内容只是为了便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属技术领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式上及细节上作任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。

Claims

1.一种网络安全状态评估方法，用于入侵检测设备评估网络安全状态，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，所述建立网络安全状态指标的正态分布模型的步骤，包括：

3.如权利要求2所述的方法，其特征在于，根据所述历史日志的网络安全状态指标值，获得所述网络安全状态指标的模型参数的步骤，包括：

4.如权利要求1所述的方法，其特征在于：

所述网络安全状态指标，包括安全事件数量指标、地址熵指标及安全事件扩散指标。

5.如权利要求1所述的方法，其特征在于，根据所述实时日志的网络安全状态指标值及正态分布模型，获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果的步骤，包括：

6.一种网络安全状态评估系统，用于入侵检测设备评估网络安全状态，其特征在于，包括：

7.如权利要求6所述的系统，其特征在于，所述模型建立模块，通过对所述历史日志进行学习，根据所述历史日志的网络安全状态指标值，获得所述网络安全状态指标的模型参数，建立所述正态分布模型。

8.如权利要求7所述的系统，其特征在于：所述模型建立模块计算所述历史日志若干个观测周期中的网络安全状态指标值，再计算所述若干个观测周期中的网络安全状态指标值的均值和方差，将所述均值和方差作为所述网络安全状态指标的模型参数。

9.如权利要求6所述的系统，其特征在于，所述指标提取模块，包括：

10.如权利要求1所述的系统，其特征在于：

所述评估模块，采用异常检验与假设检验相结合的方式，获得实时日志的网络安全状态指标值与正态分布模型的偏离程度，根据所述偏离程度评估所述当前观测周期的网络安全状态，获得所述网络安全状态评估结果。