CN102340485B - 基于信息关联的网络安全态势感知系统及其方法 - Google Patents

Abstract

本发明有关于一种基于信息关联的网络安全态势感知系统及其方法，其中该系统包括：数据采集模块，用于获取网络基本信息；网络安全态势评估模块，用于利用网络基本信息，对网络的威胁性、脆弱性和稳定性进行量化分析，进而实现对当前的网络安全态势的分析；网络安全态势预测模块，用于根据网络安全态势的历史信息和当前状态对网络安全态势进行预测；网络态势可视化模块，用于根据网络安全态势的分析和预测结果，对网络安全指标进行可视化展现。本发明克服了现有的网络态势感知系统缺乏数据有效性验证，数据关联和定量分析的问题，从而使得网络安全态势感知更为准确。

Description

基于信息关联的网络安全态势感知系统及其方法

技术领域

本发明涉及信息安全领域，尤涉及一种基于信息关联的网络安全态势感知系统及其方法。

背景技术

目前有很多科研机构正在进行网络态势感知工具的研发，并取得了一定的进展。CERT NetSA(Network Situational Awareness Team)开发的SiLK是一款流量分析工具。它可以在大规模网络中进行安全分析，支持高效的网络流数据的收集、存储和分析，使得网络安全分析员可以从大量历史数据集中快速查询相关信息，根据查询结果对网络安全态势进行评估。Silk由收集系统和分析系统两部分构成。收集系统负责接收Netflow，并且将其转化为更合理的格式，将这些包存入特定服务的二进制文件中；分析系统负责读取文件、执行各种查询操作，过滤，统计相关信息。

NCASSR(National Center for Advanced Secure System Research)开发的NVisionIP和NFlowConnect-IP侧重于研究网络安全态势的可视化。NVisionIP和NFlowConnect-IP分别从网络流量信息和网络连接信息的角度对网络安全态势进行感知，并在一个屏幕中显示整个网络的安全态势。NVisionIP主要是对网络流量信息进行数据挖掘，从网络流量信息的角度对网络的态势进行感知，它利用路由等设备提供的流量信息，依据相关攻击的流量特性，对网络的攻击态势从流量的角度进行分析，并进行可视化展示。NFlowConnect-IP主要从网络连接的角度对网络态势进行感知，它利用网络中主机的连接情况，结合相关攻击的连接特性，对网络的攻击态势从连接的角度进行分析。并进行可视化展示。

Sourcefire公司开发的3D System是进行高效的网络安全管理的智能化基础设施。其中的3D Sensor负责监测和收集各种网络信息，并对网络信息进行控制管理的网络态势感知工具。3D Sensor由IPS、RNA、RUA和NetflowAnalysis四部分组成。IPS(Intrusion Detection System，入侵检测系统)提供入侵检测和保护，RNA(Real-time Network Awareness，实时网络识别)监测和收集网络信息；RUA(Real-time User Awareness，实时用户识别)监测和收集网络用户信息；Netflow Analysis(流量分析)收集并监测网络流量信息。

信息安全国家重点实验室开发的信息系统安全态势评估工具，是一套采集与处理信息系统多源数据，并进行安全态势分析与预测的综合性工具。该工具以信息系统的资产信息、脆弱性信息和威胁信息三方面为基础，通过网络拓扑自动发现技术、脆弱性扫描技术和多源日志采集与分析技术获取相应信息，实现辅助型信息资产的安全审核、安全管理制度的执行检查以及面向海量日志的安全事件分析，最后综合分析信息系统安全态势并进行预测。

西安交通大学的陈秀真等提出的层次化网络安全威胁态势量化评估方法，在报警发生频率、报警严重性及其网络带宽耗用率的统计基础上，对服务、主机本身的重要性因子进行加权，层次化计算服务、主机以及整个网络系统的威胁指数，进而分析网络的安全态势。该方法侧重于从服务、主机和网络受到威胁的角度层次化的评估网络的安全态势。

西安电子科技大学的李伟生等根据网络安全态势和安全事件之间的不同的关联性建立态势评估的贝叶斯网络模型，并给出相应的信息传播算法，以安全事件的发生为触发点，根据相应的信息传播算法评估网络的安全态势，该方法从以安全事件为代表的网络威胁的角度评估网络的安全态势。

哈尔滨工程大学的王惠强等将多种理论与态势感知相结合，提出了多种态势感知模型。基于简单加权法和灰色理论的网络态势感知模型，利用简单加权法评估网络态势的安全性，并利用灰色理论预测网络安全的发展趋势。基于粗糙集的态势感知算法，将网络攻击行为作为安全要素，利用粗糙集理论处理海量网络安全数据，并且通过具有攻击行为、网络服务和安全态势三个层次的感知模型进行网络态势感知。基于Netfolw的安全态势感知系统，通过NetFlow流数据采集器进行数据采集，并且在此基础上进行数据预处理、事件关联与目标识别、态势评估、威胁评估、响应与预警、态势可视化显示等操作，从而对网络的安全态势进行监控和应急响应。

综上所述，现有的网络安全态势感知系统存在以下不足：

1)缺乏数据有效性的验证

从网络中直接采集的数据可能是由网络安全设备误报产生的，对这样的数据进行加工取得的结果，准确性值得商讨。

2)缺乏数据关联

现有的网络安全态势感知系统倾向于获取多源数据信息，但缺乏对数据信息之间关联性的分析。

3)缺乏定量分析

目前网络安全评估一般都采用定性的或者等级分类的方式描述网络的安全状态，缺乏更为准确的，与国际标准一致的定量分析。

发明内容

本发明的一目的在于提供一种基于信息关联的网络安全态势感知系统及其方法，用于克服现有的网络态势感知系统缺乏数据有效性验证，数据关联和定量分析的问题，从而使得网络安全态势感知更为准确。

为了实现上述目的，本发明提供一种基于信息关联的网络安全态势感知系统，其特征在于，包括：

数据采集模块，用于从网络中获取网络基本信息；

网络安全态势评估模块，连接所述数据采集模块，用于利用所述网络基本信息，对网络的威胁性、脆弱性和稳定性进行量化分析，进而实现对当前的网络安全态势的分析；

网络安全态势预测模块，连接所述数据采集模块、所述网络安全态势评估模块，用于根据所述网络安全态势的历史信息和当前状态对网络安全态势进行预测；

网络态势可视化模块，连接所述网络安全态势评估模块、所述网络安全态势预测模块，用于根据网络安全态势的分析和预测结果，对网络安全指标进行可视化展现。

所述的基于信息关联的网络安全态势感知系统，其中，还包括：

数据库支撑模块，连接所述数据采集模块、所述网络安全态势评估模块、所述网络安全态势预测模块、所述网络态势可视化模块，用于设置数据库存储所述网络基本信息、进行网络安全态势分析和预测所需的数据信息、进行网络态势可视化显示所需的数据信息。

所述的基于信息关联的网络安全态势感知系统，其中，

所述数据采集模块又包括：

入侵检测模块，用于获取用于感知威胁态势的信息；

主动扫描模块，用于获取网络基本信息和脆弱性信息；

流量监测模块，用于获取描述网络稳定性的网络流量信息。

所述的基于信息关联的网络安全态势感知系统，其中，

所述网络安全态势评估模块又包括：

威胁性态势评估模块，连接所述入侵检测模块，用于将所述入侵检测模块产生的警报信息与所述脆弱性信息、网络拓扑信息进行数据关联，得到网络的威胁性态势；

脆弱性态势评估模块，连接所述主动扫描模块，用于将所述脆弱性信息与CVSS相关联，获取网络的脆弱性态势；

稳定性态势评估模块，连接所述流量监测模块，用于基于流量的变化获取网络的稳定性态势；

网络安全态势整体评估模块，连接所述威胁态势评估模块、所述脆弱性态势评估模块、所述稳定性态势评估模块，用于根据所述威胁性态势、所述脆弱性态势、所述稳定性态势，获取网络的整体安全态势值。

所述的基于信息关联的网络安全态势感知系统，其中，

所述威胁性态势评估模块又包括：

标准化模块，用于将所述警报信息转化为统一的格式；

预处理模块，连接所述标准化模块，用于对具有相同源、目的和攻击类型的警报进行合并；

警报验证模块，连接所述预处理模块，用于通过判定攻击可能成功的概率，获取警报的完成度；

影响分析模块，连接所述预处理模块，用于量化评估每条警报的严重程度；

威胁识别模块，连接所述警报验证模块、所述影响分析模块，用于根据警报的完成度和严重程度，获取网络的威胁性态势。

所述的基于信息关联的网络安全态势感知系统，其中，

所述威胁识别模块以如下公式获取用于评价网络的威胁性态势的网络威胁性指数：

$\mathrm{TI}=\frac{1}{n}{\mathrm{\Σ}}_{i=1}^n(C_i\×S_i)$

其中：

TI为网络的威胁性指数，n表示单位时间内警报的数目，C_i表示每条警报的完成度，S_i表示每条警报的严重程度。

所述的基于信息关联的网络安全态势感知系统，其中，

所述脆弱性态势评估模块以如下公式获取用于评价网络的脆弱性态势的网络脆弱性指数：

$\mathrm{VI}=\frac{1}{n}{\mathrm{\Σ}}_{i=1}^n{v}_i.\mathrm{CVSS}$

其中：

VI为网络的脆弱性指数，n表示网络中漏洞的数目，v_i。CVSS表示每条漏洞在CVSS中的分值。

所述的基于信息关联的网络安全态势感知系统，其中，

所述稳定性态势评估模块以如下公式获取用于评价网络的稳定性态势的流量的方差：

$E=\frac{1}{n}{\mathrm{\Σ}}_{i=0}^n{x}_i$

$\mathrm{SI}=\frac{1}{n}{\mathrm{\Σ}}_{i=0}^n{(x_i-E)}^2$

其中：

SI为网络的稳定性指数，由流量的方差表示，n表示单位时间内流量的记录数，x_i表示每条流量记录的输入和输出流量之和，E表示单位时间内流量的期望值。

所述的基于信息关联的网络安全态势感知系统，其中，

所述网络安全态势整体评估模块以如下公式获取网络的整体安全态势值：

ST＝α₁TI+α₂SI+α₃VI

其中：

ST为网络的整体安全态势值，α₁表示威胁性指数在网络的整体安全态势中所占的比重，α₂表示稳定性指数在网络的整体安全态势中所占的比重，α₃表示脆弱性指数在网络的整体安全态势中所占的比重。

所述的基于信息关联的网络安全态势感知系统，其中，

所述网络安全态势预测模块以如下公式对网络安全态势进行预测：

$P\left(S_j\right|S_i)=\frac{P\left(\mathrm{SjSi}\right)P\left(\mathrm{Si}\right)}{{\mathrm{\Σ}}_{j=0}^{n}P\left(\mathrm{Si}\right|\mathrm{Sj})P\left(\mathrm{Sj}\right)}$

其中：

n表示网络安全状态的数目，S_i表示网络处于的安全状态i，P(S_i)表示网络处于S_i的概率，S_j表示网络处于的安全状态j，P(S_j S_i)表示网络在τ-1时刻出于S_i，在τ时刻处于S_j的概率，P(S_j|S_i)表示网络在τ时刻处于S_j，在τ+1时刻处于S_j的概率。

为了实现上述目的，本发明提供一种基于信息关联的网络安全态势感知方法，其特征在于，包括：

步骤A，从网络中获取网络基本信息；

步骤B，利用所述网络基本信息，对网络的威胁性，脆弱性和稳定性进行量化分析，进而实现对当前的网络安全态势的分析；

步骤C，根据所述网络安全态势的历史信息和当前状态对网络安全态势进行预测；

步骤D，根据网络安全态势的分析和预测结果，对网络安全指标进行可视化展现。

所述的基于信息关联的网络安全态势感知方法，其中，还包括：

步骤E，设置数据库存储所述网络基本信息、进行网络安全态势分析和预测所需的数据信息、进行网络态势可视化显示所需的数据信息。

所述的基于信息关联的网络安全态势感知方法，其中，所述A步骤进一步包括：

A1、获取用于感知威胁态势的信息；

A2、获取网络基本信息和脆弱性信息；

A3、获取描述网络稳定性的网络流量信息。

所述的基于信息关联的网络安全态势感知方法，其中，所述B步骤进一步包括：

B1、将所述入侵检测模块产生的警报信息与所述脆弱性信息、网络拓扑信息进行数据关联，得到网络的威胁性态势；

B2、将所述脆弱性信息与CVSS相关联，获取网络的脆弱性态势；

B3、基于流量的变化获取网络的稳定性态势；

B4、根据所述威胁性态势、所述脆弱性态势、所述稳定性态势，获取网络的整体安全态势值。

所述的基于信息关联的网络安全态势感知方法，其中，

所述B1步骤进一步包括：

B11、将所述警报信息转化为统一的格式；

B12、对具有相同源、目的和攻击类型的警报进行合并；

B13、通过判定攻击可能成功的概率，获取攻击的完成度；

B14、量化评估每条警报的严重程度；

B15、根据警报的完成度和严重程度，获取网络的威胁性态势。

所述的基于信息关联的网络安全态势感知方法，其中，

所述B15步骤进一步包括：以如下公式获取用于评价网络的威胁性态势的网络威胁性指数：

$\mathrm{TI}=\frac{1}{n}{\mathrm{\Σ}}_{i=1}^n(C_i\×S_i)$

其中：

TI为网络的威胁性指数，n代表单位时间内警报的数目，C_i表示每条警报的完成度，S_i表示每条警报的严重程度。

所述的基于信息关联的网络安全态势感知方法，其中，

所述B2步骤进一步包括：以如下公式获取用于评价网络的脆弱性态势的网络脆弱性指数：

$\mathrm{VI}=\frac{1}{n}{\mathrm{\Σ}}_{i=1}^n{v}_i.\mathrm{CVSS}$

其中：

VI为网络的脆弱性指数，n表示网络中漏洞的数目，v_i。CVSS表示每条漏洞在CVSS中的分值。

所述的基于信息关联的网络安全态势感知方法，其中，

所述B3步骤进一步包括：以如下公式获取用于评价网络的稳定性态势的流量的方差：

$E=\frac{1}{n}{\mathrm{\Σ}}_{i=0}^n{x}_i$

$\mathrm{SI}=\frac{1}{n}{\mathrm{\Σ}}_{i=0}^n{(x_i-E)}^2$

其中：

SI为网络的稳定性指数，由流量的方差表示，n表示单位时间内流量的记录数，x_i表示每条流量记录的输入和输出流量之和，E表示单位时间内流量的期望值。

所述的基于信息关联的网络安全态势感知方法，其中，

所述B4步骤进一步包括：以如下公式获取网络的整体安全态势值：

ST＝α₁TI+α₂SI+α₃VI

其中：

ST为网络的整体安全态势值，α₁表示威胁性指数在网络的整体安全态势中所占的比重，α₂表示稳定性指数在网络的整体安全态势中所占的比重，α₃表示脆弱性指数在网络的整体安全态势中所占的比重。

所述的基于信息关联的网络安全态势感知方法，其中，

所述C步骤进一步包括：以如下公式对网络安全态势进行预测：

$P\left(S_j\right|S_i)=\frac{P\left(\mathrm{SjSi}\right)P\left(\mathrm{Si}\right)}{{\mathrm{\Σ}}_{j=0}^{n}P\left(\mathrm{Si}\right|\mathrm{Sj})P\left(\mathrm{Sj}\right)}$

其中：

n表示网络安全状态的数目，S_i表示网络处于的安全状态i，P(S_i)表示网络处于S_i的概率，S_j表示网络处于的安全状态j，P(S_j S_i)表示网络在τ-1时刻出于S_i，在τ时刻处于S_j的概率，P(S_j|S_i)表示网络在τ时刻处于S_j，在τ+1时刻处于S_j的概率。

本发明与现有的网络安全态势感知系统相比，具有以下优点：

1)本发明通过警报验证提高数据的有效性，主要来判定攻击成功的概率，即攻击的完成度；对于不可能成功的攻击直接过滤，从而提高数据信息的有效性；

2)本发明的警报验证模块和影响分析模块都涉及到数据的关联，警报验证通过匹配攻击的需求信息与网络的基本配置信息，实现了网络威胁性信息与网络拓扑信息的关联，影响分析模块通过警报的CVE-id(CommonVulnerabilites and Exposure-id，通用脆弱性标识符)实现了威胁性信息和脆弱性信息的关联，从而很好的实现了网络中各种数据信息的关联分析；

3)本发明依据CVSS(Common Vulnerability Scoring System，通用弱点评价体系)量化评估每条警报以及每个漏洞的严重程度，另外通过流量的方差来描述网络的稳定性，从而实现了采用与国际评分标准一致的方法定量分析网络的安全态势。

附图说明

图1是本发明基于信息关联的网络安全态势感知系统结构图；

图2是本发明数据采集模块与网络安全态势评估模块的结构图；

图3是本发明基于信息关联的网络安全态势感知方法流程图；

图4是本发明网络脆弱性的柱状图展示；

图5是本发明网络脆弱性的饼状图展示；

图6是本发明网络威胁性的曲线图展示；

图7是本发明网络流量的曲线图展示；

图8是本发明网络整体安全状态的柱状图展示；

图9是本发明网络安全状态预测值与真实值曲线比较展示。

具体实施方式

以下结合附图和具体实施例对本发明进行详细描述，但不作为对本发明的限定。

如图1所示，是本发明基于信息关联的网络安全态势感知系统结构图，图2是本发明数据采集模块与网络安全态势评估模块的结构图。

该系统100包括如下模块：

数据采集模块10，用于从网络(即网络数据源110)中获取网络基本信息，通过拓扑自发现技术获取网络的拓扑信息；通过主动扫描和被动嗅探相结合的方式获取网络的脆弱性信息、状态信息和运行信息等基本的网络安全信息；通过对各种防护措施日志的采集和分析技术来获取威胁信息等。

网络安全态势评估模块20，连接数据采集模块10，用于利用获取的网络基本信息，对网络的威胁性、脆弱性和稳定性分别进行量化分析，进而实现对当前的网络安全态势的分析。

网络安全态势预测模块30，连接网络安全态势评估模块20，用于根据网络安全态势的历史信息和当前状态对网络安全态势(网络未来一段时间的发展趋势)进行预测。

网络态势可视化模块40，连接网络安全态势评估模块20、网络安全态势预测模块30，用于根据网络安全态势的分析和预测结果，以多种展现方式(直方图、饼图等)、多角度(威胁的种类、漏洞的类型、流量的变化等)对网络安全指标进行可视化展现。实时反映被监控网络运行状况的态势系统，让网络管理员能直观，快捷的获得网络运行信息，发现网络恶意行为，采取有效措施。

在图4中，网络态势可视化模块40是以柱状图形式展示网络的脆弱性；在图5中，网络态势可视化模块40是以饼状图形式展示网络的脆弱性；在图6中，网络态势可视化模块40是以曲线图形式展示网络的威胁性；在图7中，网络态势可视化模块40是以曲线图形式展示网络的流量；在图8中，网络态势可视化模块40是以柱状图形式展示网络整体安全状态；在图9中，网络态势可视化模块40是以网络安全状态预测值与真实值曲线对比进行展示。

数据库支撑模块50，连接数据采集模块10、网络安全态势评估模块20、网络安全态势预测模块30、网络态势可视化模块40，用于设计合理的数据库，以用于网络基本信息的存储，为态势分析，预测和可视化子系统提供分析和显示的数据信息。

其中，数据采集模块10根据获取信息的不同，又可以进一步分为：

入侵检测模块11，用于获取用于感知威胁态势的信息；

主动扫描模块12，用于获取网络基本信息和脆弱性信息；

流量监测模块13，用于获取描述网络稳定性的流量信息。

其中，网络安全态势评估模块20从不同的角度，可以进一步分为：

威胁性态势评估模块21，用于将入侵检测模块11产生的警报信息与脆弱性信息，网络拓扑信息进行数据关联，得到网络的威胁性态势；

脆弱性态势评估模块22，用于将主动扫描模块12产生的脆弱性信息与CVSS相关联，获取网络的脆弱性态势；

稳定性态势评估模块23，用于利用流量监测模块13获取网络流量信息，并基于流量的变化获取网络的稳定性态势。

网络安全态势整体评估模块24，连接威胁态势评估模块21、脆弱性态势评估模块22、稳定性态势评估模块23，用于根据上述模块从三个角度进行评估得到的评估结果，获取网络的整体安全态势值。

其中，威胁态势评估模块21根据数据处理的流程，可以进一步分为：

标准化模块211，用于将入侵检测模块11产生的警报信息，结合IDMEF格式，转化为统一的格式，使得各模块之间便于交互；

预处理模块212，连接标准化模块211，用于对具有相同源、目的和攻击类型的警报进行合并，从而减少警报的数量，提高性能；

警报验证模块213，连接预处理模块212，用于通过匹配攻击的需求信息与网络的基本配置信息，判定攻击可能成功的概率，获取攻击的完成度；

影响分析模块214，连接预处理模块212，用于依据CVSS，量化评估每条警报的严重程度；

威胁识别模块215，连接警报验证模块213、影响分析模块214，用于根据警报的完成度和严重程度，获取网络的威胁性态势。

其中，数据库支撑模块50设置的数据库包括对象库120、态势库130。对象库120用于存储网络基本信息，态势库130用于存储为态势分析、预测提供分析和显示的数据信息；对象库120和态势库130同时为可视化子系统提供分析和显示的数据信息。

如图3所示，是本发明基于信息关联的网络安全态势感知方法流程图。结合图1、2，对基于信息关联的网络安全态势感知方法进行描述，该方法包括以下步骤：

步骤A：数据采集，从网络中获取网络基本信息，威胁性信息，脆弱性信息以及流量信息。通过拓扑自发现技术获取网络的拓扑信息；通过主动扫描和被动嗅探相结合的方式获取网络的脆弱性信息、状态信息和运行信息等基本的网络安全信息；通过入侵检测模块11产生警报信息来获取威胁性信息；通过流量监测模块13获取描述网络稳定性的流量信息。

其中，步骤A根据获取信息的不同，又可以进一步分为：

A1，获取脆弱性信息的入侵检测步骤；

A2，获取脆弱性信息和网络基本信息的主动扫描步骤；

A3，获取流量信息的流量监测步骤。

A1-A3各步骤获取的数据内容格式如下：

威胁性信息表：警报ID，检测时间，警报名，警报类型，警报严重程度，协议，源主机，目的主机，源端口，目的端口；

脆弱性信息：漏洞ID，扫描时间，CVE-ID，主机IP，端口，安全类型，风险级别；

主机信息表：主机ID，主机名，主机状态，开放端口，端口状态，服务，协议，主机IP，操作系统，扫描时间；

路由信息表：表项ID，源主机IP，目的主机IP，距离，路由路径；

流量信息表：流量ID，开始时间，运行时间，输入数据包，输出数据包，输入字节数，输出字节数，Tcp数据包，Udp数据包，Icmp数据包，其他IP数据包，非IP数据包，广播数据包；

步骤B：网络态势评估，利用数据采集模块10获取的网络基本信息，对网络的威胁性，脆弱性和稳定性分别进行量化分析，进而实现对当前的网络安全态势的分析。具体包括：

B1，威胁性态势评估步骤；

B2，脆弱性态势评估步骤；

B3，稳定性态势评估步骤；以及

B4，网络安全态势整体评估步骤。

其中步骤B1：威胁性态势评估步骤，是以入侵检测模块11产生的警报信息作为原始数据信息，经过一系列处理获取网络的威胁性指数。该步骤又可以进一步分为：

B11，标准化；

B12，预处理；

B13，警报验证；

B14，影响分析；以及

B15，威胁识别。

步骤B11：参考IDMEF中Impact Class的格式，将原始数据信息转化为统一的格式，使得各模块之间便于交互信息。标准化处理之后的威胁信息数据格式如下：

警报信息表：检测时间，警报名称，源IP，源端口，目的IP，目的端口，分类，完成度，严重度。

其中，前六项由原始信息拷贝获取，分类通过匹配Snort规则库获取，完成度由警报验证模块213获取，严重度由影响分析模块214获取。

步骤B12：对具有相同源，目的和攻击类型的警报进行合并，从而减少警报的数量，提高性能。

步骤B13：判定攻击可能成功的概率。通过匹配攻击的需求信息与网络的基本配置信息完成。根据网络配置信息的获取方式可以分为被动验证和主动验证。警报验证模块213采用被动验证和主动验证相结合的方式获取网络配置信息。警报验证模块213利用主动扫描模块12获取网络基本信息作为配置信息的基本数据库，当警报验证模块213接收到某个警报时，首先在基本数据库中进行匹配，根据匹配结果判定攻击可能成功的概率；若在基本数据库中没有警报对应的网络基本信息，则利用主动验证的方式判定攻击可能成功的概率，过程如下：首先从警报中提取对应的CVE-ID，根据CVE-ID查找相应的NASL脚本并执行，然后根据脚本的返回值判定攻击成功的概率。对于没有相应的NASL脚本的警报，其成功概率赋值为不可判定。通过警报验证可以确定每条警报的完成度，其参考值为成功100％，不成功0％，不可判定50％。

步骤B14：判定警报对网络所造成的影响。处理过程如下：首先从警报中提取对应的CVE-ID，然后根据CVE-ID在CVSS中获取相应的分值，利用该值来表示警报的影响程度。对于没有对应CVE-ID的警报信息，根据警报分类查找缺省值。缺省值通过计算某类警报信息的CVSS分值的平均值获取。通过影响分析可以确定警报的严重度，其参考值范围为0.0-10.0.

步骤B15：获取网络的威胁性指数。

安全事件的影响＝安全事件成功的概率X安全事件的严重程度

其中，成功的概率由警报验证过程获取，严重程度由影响分析过程获取。这样就可以获取一个量化的网络威胁性指数，用于评价网络的威胁性态势，威胁识别模块215利用下面公式实现网络威胁性指数的获取：

$\mathrm{TI}=\frac{1}{n}{\mathrm{\Σ}}_{i=1}^n(C_i\×S_i)$

其中：

TI为网络的威胁性指数，n代表单位时间内警报的数目，C_i表示每条警报的完成度，即警报所代表攻击的成功概率，S_i表示每条警报的严重程度。

步骤B2：脆弱性态势评估，脆弱性态势评估模块22依据CVSS对网络的脆弱性信息进行定量分析，从而获取每个脆弱性信息的量化值，进而获取网络脆弱性指数的量化值，网络脆弱性指数用于评价网络的脆弱性态势，公式如下：

$\mathrm{VI}=\frac{1}{n}{\mathrm{\Σ}}_{i=1}^n{v}_i.\mathrm{CVSS}$

其中：

VI为网络的脆弱性指数，n表示网络中脆弱性(即漏洞)的数目，v_i.CVSS表示每条漏洞在CVSS中的分值。

步骤B3：稳定性态势评估，方差可以描述事物的变化情况，稳定性态势评估模块23利用流量的方差来刻画/评价网络的稳定性态势，并且对其进行量化，公式如下：

$E=\frac{1}{n}{\mathrm{\Σ}}_{i=0}^n{x}_i$

$\mathrm{SI}=\frac{1}{n}{\mathrm{\Σ}}_{i=0}^n{(x_i-E)}^2$

其中：

SI为网络的稳定性指数，由流量的方差表示，n表示单位时间内流量的记录数，x_i表示每条流量记录的输入和输出流量之和，E表示单位时间内流量的期望值。

步骤B4：网络安全态势整体评估，由网络安全态势整体评估模块24利用前面三个角度对网络安全性的评估，获取整体的网络安全态势量化值，具体操作如下：

ST＝α₁TI+α₂SI+α₃VI

其中：

ST是网络安全态势量化值，α₁表示威胁性指数在网络的整体安全态势中所占的比重，即威胁性指数的权值，α₂表示稳定性指数在网络的整体安全态势中所占的比重，即稳定性指数的权值，α₃表示脆弱性指数在网络的整体安全态势中所占的比重，即脆弱性指数的权值。

步骤C：对网络的安全态势进行预测，网络安全态势预测模块30采用贝叶斯推理过程，即

$P\left(S_j\right|S_i)=\frac{P\left(\mathrm{SjSi}\right)P\left(\mathrm{Si}\right)}{{\mathrm{\Σ}}_{j=0}^{n}P\left(\mathrm{Si}\right|\mathrm{Sj})P\left(\mathrm{Sj}\right)}$

其中：

n表示网络安全状态的数目，S_i表示网络处于的安全状态i，P(S_i)表示网络处于S_i的概率，S_j表示网络处于的安全状态j，P(S_j)表示网络处于S_j的概率，P(S_j S_i)表示网络在τ-1时刻处于S_i，在τ时刻处于S_j的概率，P(S_j|S_i)表示网络在τ时刻处于S_j，在τ+1时刻处于S_j的概率。

将网络的安全态势分为安全，一般，危险和高危险四种状态Si，公式中的先验概率由自学习方法获取，通过实时统计网络状态信息获取。

通过上述步骤可以获取网络的总体安全态势值，并对其发展趋势进行预测。同时该系统提供对原始网络基本信息，威胁性信息，脆弱性信息和流量信息，以及威胁性态势，脆弱性态势和稳定性态势的查询和统计显示功能。

本发明提供了一种基于信息关联的网络安全态势感知系统及其方法，克服现有的网络态势感知系统缺乏数据有效性验证，数据关联和定量分析的问题，从而使得网络安全态势感知更为准确。

当然，本发明还可有其它多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明做出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (10)

1.一种基于信息关联的网络安全态势感知系统，其特征在于，包括：

数据采集模块，用于从网络中获取网络基本信息；

网络安全态势评估模块，连接所述数据采集模块，用于利用所述网络基本信息，对网络的威胁性、脆弱性和稳定性进行量化分析，进而实现对当前的网络安全态势的分析；

网络安全态势预测模块，连接所述数据采集模块、所述网络安全态势评估模块，用于根据所述网络安全态势的历史信息和当前状态对网络安全态势进行预测；

网络态势可视化模块，连接所述网络安全态势评估模块、所述网络安全态势预测模块，用于根据网络安全态势的分析和预测结果，对网络安全指标进行可视化展现；

所述网络安全态势预测模块以如下公式对网络安全态势进行预测：

$P\left(S_j\right|S_i)=\frac{P\left(\mathrm{SjSi}\right)P\left(\mathrm{Si}\right)}{{\mathrm{\Σ}}_{j=0}^{n}P\left(\mathrm{Si}\right|\mathrm{Sj})P\left(\mathrm{Sj}\right)}$

其中：

n表示网络安全状态的数目，S_i表示网络处于的安全状态i，P(S_i)表示网络处于S_i的概率，S_j表示网络处于的安全状态j，P(S_j S_i)表示网络在τ-1时刻处于S_i，在τ时刻处于S_j的概率，P(S_j︱S_i)表示网络在τ时刻处于S_i，在τ+1时刻处于S_j的概率，P(S_i︱S_j)表示网络在τ时刻处于S_j，在τ+1时刻处于S_i的概率；

所述数据采集模块又包括：

入侵检测模块，用于获取用于感知威胁态势的信息；

主动扫描模块，用于获取网络基本信息和脆弱性信息；

流量监测模块，用于获取描述网络稳定性的网络流量信息；

所述网络安全态势评估模块又包括：

威胁性态势评估模块，连接所述入侵检测模块，用于将所述入侵检测模块产生的警报信息与所述脆弱性信息、网络拓扑信息进行数据关联，得到网络的威胁性态势；

脆弱性态势评估模块，连接所述主动扫描模块，用于将所述脆弱性信息与通用弱点评价体系CVSS相关联，获取网络的脆弱性态势；

稳定性态势评估模块，连接所述流量监测模块，用于基于流量的变化获取网络的稳定性态势；

网络安全态势整体评估模块，连接所述威胁态势评估模块、所述脆弱性态势评估模块、所述稳定性态势评估模块，用于根据所述威胁性态势、所述脆弱性态势、所述稳定性态势，获取网络的整体安全态势值；

所述威胁性态势评估模块又包括：

标准化模块，用于将所述警报信息转化为统一的格式；

预处理模块，连接所述标准化模块，用于对具有相同源、目的和攻击类型的警报进行合并；

警报验证模块，连接所述预处理模块，用于通过判定攻击成功的概率，获取警报的完成度；

影响分析模块，连接所述预处理模块，用于量化评估每条警报的严重程度；

威胁识别模块，连接所述警报验证模块、所述影响分析模块，用于根据警报的完成度和严重程度，获取网络的威胁性态势；

所述警报验证模块利用警报所针对的漏洞情况确定所对应的攻击成功的概率：若警报是针对特定漏洞的，根据相应的通用脆弱性标识符CVE-ID查找对应的NASL脚本并执行，并根据脚本的返回值判定攻击成功的概率；若警报不是针对特定漏洞的，不具有相应的CVE-ID，无相应的NASL脚本，则其成功概率赋值为不可判定；

所述影响分析模块根据警报针对的漏洞情况确定其严重程度：若警报是针对特定漏洞的，具有相应的CVE-ID，则采用相应的安全漏洞风险级别表征警报的严重程度；若警报不是针对特定漏洞的，不具有相应的CVE-ID，则采用警报所属类别的风险值表征警报的严重程度；

所述威胁识别模块以如下公式获取用于评价网络的威胁性态势的网络威胁性指数：

$\mathrm{TI}=\frac{1}{n}{\mathrm{\Σ}}_{t=1}^n(C_1\×S_1)$

其中：

TI为网络的威胁性指数，n表示单位时间内警报的数目，C_i表示每条警报的完成度，S_i表示每条警报的严重程度。

2.根据权利要求1所述的基于信息关联的网络安全态势感知系统，其特征在于，还包括：

数据库支撑模块，连接所述数据采集模块、所述网络安全态势评估模块、所述网络安全态势预测模块、所述网络态势可视化模块，用于设置数据库存储所述网络基本信息、进行网络安全态势分析和预测所需的数据信息、进行网络态势可视化显示所需的数据信息。

3.根据权利要求1所述的基于信息关联的网络安全态势感知系统，其特征在于，

所述脆弱性态势评估模块以如下公式获取用于评价网络的脆弱性态势的网络脆弱性指数：

$\mathrm{VI}=\frac{1}{n}{\mathrm{\Σ}}_{i=1}^n{v}_i\·\mathrm{CVSS}$

其中：

VI为网络的脆弱性指数，n表示网络中漏洞的数目，v_i.CVSS表示每条漏洞在CVSS中的分值。

4.根据权利要求3所述的基于信息关联的网络安全态势感知系统，其特征在于，

所述稳定性态势评估模块以如下公式获取用于评价网络的稳定性态势的流量的方差：

$E=\frac{1}{n}{\mathrm{\Σ}}_{t=0}^n{x}_t$

$\mathrm{SI}=\frac{1}{n}{\mathrm{\Σ}}_{t=0}^n{(x_t-E)}^2$

其中：

SI为网络的稳定性指数，由流量的方差表示，n表示单位时间内流量的记录数，x_i表示每条流量记录的输入和输出流量之和，E表示单位时间内流量的期望值。

5.根据权利要求4所述的基于信息关联的网络安全态势感知系统，其特征在于，

所述网络安全态势整体评估模块以如下公式获取网络的整体安全态势值：

ST＝a₁TI+a₂SI+a₂VI

其中：

ST为网络的整体安全态势值，α₁表示威胁性指数在网络的整体安全态势中所占的比重，α₂表示稳定性指数在网络的整体安全态势中所占的比重，α₃表示脆弱性指数在网络的整体安全态势中所占的比重。

6.一种基于信息关联的网络安全态势感知方法，其特征在于，包括：

步骤A，从网络中获取网络基本信息；

步骤B，利用所述网络基本信息，对网络的威胁性，脆弱性和稳定性进行量化分析，进而实现对当前的网络安全态势的分析；

步骤C，根据所述网络安全态势的历史信息和当前状态对网络安全态势进行预测；

步骤D，根据网络安全态势的分析和预测结果，对网络安全指标进行可视化展现；

所述C步骤进一步包括：以如下公式对网络安全态势进行预测：

$P\left(S_j\right|S_i)=\frac{P\left(\mathrm{SjSi}\right)P\left(\mathrm{Si}\right)}{{\mathrm{\Σ}}_{j=0}^{n}P\left(\mathrm{Si}\right|\mathrm{Sj})P\left(\mathrm{Sj}\right)}$

其中：

n表示网络安全状态的数目，S_i表示网络处于的安全状态i，P(S_i)表示网络处于S_i的概率，S_j表示网络处于的安全状态j，P(S_j S_i)表示网络在τ-1时刻处于S_i，在τ时刻处于S_j的概率，P(S_j︱S_i)表示网络在τ时刻处于S_i，在τ+1时刻处于S_j的概率，P(S_i︱S_j)表示网络在τ时刻处于S_j，在τ+1时刻处于S_i的概率；

所述A步骤进一步包括：

A1、获取用于感知威胁态势的信息；

A2、获取网络基本信息和脆弱性信息；

A3、获取描述网络稳定性的网络流量信息；

所述B步骤进一步包括：

B1、将入侵检测模块产生的警报信息与所述脆弱性信息、网络拓扑信息进行数据关联，得到网络的威胁性态势；

B2、将所述脆弱性信息与CVSS相关联，获取网络的脆弱性态势；

B3、基于流量的变化获取网络的稳定性态势；

B4、根据所述威胁性态势、所述脆弱性态势、所述稳定性态势，获取网络的整体安全态势值；

所述B1步骤进一步包括：

B11、将所述警报信息转化为统一的格式；

B12、对具有相同源、目的和攻击类型的警报进行合并；

B13、通过判定攻击可能成功的概率，获取攻击的完成度；

B14、量化评估每条警报的严重程度；

B15、根据警报的完成度和严重程度，获取网络的威胁性态势；

所述B13进一步包括：

利用警报所针对的漏洞情况确定所对应的攻击成功的概率：若警报是针对特定漏洞的，根据相应的CVE-ID查找对应的NASL脚本并执行，并根据脚本的返回值判定攻击成功的概率；若警报不是针对特定漏洞的，不具有相应的CVE-ID，无相应的NASL脚本，则其成功概率赋值为不可判定；

所述B14进一步包括：

根据警报针对的漏洞情况确定其严重程度：若警报是针对特定漏洞的，具有相应的CVE-ID，则采用相应的安全漏洞风险级别表征警报的严重程度；若警报不是针对特定漏洞的，不具有相应的CVE-ID，则采用警报所属类别的风险值表征警报的严重程度；

所述B15步骤进一步包括：以如下公式获取用于评价网络的威胁性态势的网络威胁性指数：

$\mathrm{TI}=\frac{1}{n}{\mathrm{\Σ}}_{t=1}^n(C_1\×S_1)$

其中：

TI为网络的威胁性指数，n代表单位时间内警报的数目，C_i表示每条警报的完成度，S_i表示每条警报的严重程度。

7.根据权利要求6所述的基于信息关联的网络安全态势感知方法，其特征在于，还包括：

步骤E，设置数据库存储所述网络基本信息、进行网络安全态势分析和预测所需的数据信息、进行网络态势可视化显示所需的数据信息。

8.根据权利要求6所述的基于信息关联的网络安全态势感知方法，其特征在于，

所述B2步骤进一步包括：以如下公式获取用于评价网络的脆弱性态势的网络脆弱性指数：

$\mathrm{VI}=\frac{1}{n}{\mathrm{\Σ}}_{i=1}^n{v}_i\·\mathrm{CVSS}$

其中：

VI为网络的脆弱性指数，n表示网络中漏洞的数目，v_i.CVSS表示每条漏洞在CVSS中的分值。

9.根据权利要求8所述的基于信息关联的网络安全态势感知方法，其特征在于，

所述B3步骤进一步包括：以如下公式获取用于评价网络的稳定性态势的流量的方差：

$E=\frac{1}{n}{\mathrm{\Σ}}_{t=0}^n{x}_t$

$\mathrm{SI}=\frac{1}{n}{\mathrm{\Σ}}_{t=0}^n{(x_t-E)}^2$

其中：

SI为网络的稳定性指数，由流量的方差表示，n表示单位时间内流量的记录数，x_i表示每条流量记录的输入和输出流量之和，E表示单位时间内流量的期望值。

10.根据权利要求9所述的基于信息关联的网络安全态势感知方法，其特征在于，

所述B4步骤进一步包括：以如下公式获取网络的整体安全态势值：

ST＝a₁TI+a₂SI+a₃VI

其中：

ST为网络的整体安全态势值，α₁表示威胁性指数在网络的整体安全态势中所占的比重，α₂表示稳定性指数在网络的整体安全态势中所占的比重，α₃表示脆弱性指数在网络的整体安全态势中所占的比重。