CN102457412A

CN102457412A - 基于指标体系的大规模网络安全态势评估方法

Info

Publication number: CN102457412A
Application number: CN2011103107539A
Authority: CN
Inventors: 张建锋; 韩伟红; 贾焰; 杨树强; 周斌; 郑黎明; 徐镜湖; 刘�东; 刘斐; 李远征; 王雯霞; 夏榕泽
Original assignee: National University of Defense Technology
Current assignee: National University of Defense Technology
Priority date: 2011-10-14
Filing date: 2011-10-14
Publication date: 2012-05-16

Abstract

本发明提供一种基于指标体系的大规模网络安全态势评估方法，包括：步骤1、确定网络安全态势需要分析的维度；步骤2、根据各维度确定网络安全要素；步骤3、根据各网络安全要素确定具体指标；所述维度、安全要素和具体指标为层次式评估模型的各层节点；和步骤4、对所述层次式评估模型进行安全态势评估，得到网络安全态势值。采用上述方法可以提高大规模网络安全态势评估的效率。

Description

基于指标体系的大规模网络安全态势评估方法

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种基于指标体系的大规模网络安全态势评估方法。

背景技术

随着人类社会的发展，网络已经融入人们生活的方方面面，在网络给人们带来巨大便利的同时也伴随着不可忽视的安全问题，例如全球互联网络频繁遭受攻击导致网络大面积瘫痪等，使得重要信息系统的安全受到严重威胁。同时，在我国的网络信息化水平发展到一定阶段后，各种网络安全事件增多，如网络经济犯罪、大规模网络攻击、网络窃密等，已成为制约我国国民经济发展，甚至危及社会稳定和国家安全的因素。

鉴于日趋严峻的网络安全形势，如何全面客观的反映网络的安全状况，特别是大规模网络的安全状况，成为当前的一个挑战性课题。

现有技术中包括层次化网络安全威胁态势评估模型及相应的量化计算方法。该方法利用IDS报警信息和网络性能指标进行网络安全的定量威胁评估，从攻击/漏洞、服务、主机、网络四个层次自下而上的评估网络安全威胁态势。

该方法的主要针对局域网环境下网络攻击造成的威胁，不适合大规模网络系统的安全威胁评估；大规模网络环境主机、服务呈现出一种大规模的分布特性，如果按照上述的模型进行聚合，存在计算速度慢等不足。

发明内容

因此，本发明的任务是提供一种基于指标体系的大规模网络安全态势评估方法，提高大规模网络安全态势评估的效率。

根据本发明的一个方面，提供一种基于指标体系的大规模网络安全态势评估方法，包括：

步骤1、确定网络安全态势需要分析的维度；

步骤2、根据各维度确定网络安全要素；

步骤3、根据各网络安全要素确定具体指标；所述维度、安全要素和具体指标为层次式评估模型的各层节点；和

步骤4、对所述层次式评估模型进行安全态势评估，得到网络安全态势值。

可选的，所述步骤4包括：

步骤4.1、对具体的指标进行归一化处理；和

步骤4.2、采用加权求和算法来逐层计算节点的值。

可选的，所述步骤4包括：

步骤4.1、对具体的指标进行归一化处理；

步骤4.2、通过构建隶属度评价函数，对归一化指标进行模糊化得到模糊评价矩阵；

步骤4.3、通过重要程度比较矩阵，确定层次式评价体系中各子指标对直接父指标的权重；和

步骤4.4、通过加权求和进行模糊计算和结果分析，得到层次式评估模型中各节点的所代表的评价值。

可选的，所述步骤4包括：

步骤4.1、对具体的指标进行归一化处理；

步骤4.2、根据层次式模型的底层子节点，确定用于评估其上层节点的网络安全态势指数的因素集和评判等级；

步骤4.3、构建隶属度评价函数；

步骤4.4、构建模糊评价矩阵；

步骤4.5、确定各下层节点对其上层节点的重要性的权重；和

步骤4.6、模糊计算和结果分析。

可选的，所述步骤1的维度包括：基础运行状态维度、脆弱性维度或网络威胁维度。

可选的，所述步骤2包括：

通过网络流量异常事件、网络中设备异常事件来衡量网络的基础运行状态；

通过网络中检测到的漏洞事件来衡量网络的脆弱性状态；

通过各种IDS、防火墙上报上来的网络攻击事件来衡量网络遭受威胁的状态。

可选的，所述步骤3的具体指标包括：安全事件规模；安全事件增长率；和安全事件的源分布。

可选的，所述步骤4.1包括：

对安全事件规模，通过统计历史数据的得到一个最大值MAX，用最大值算法进行归一化：

y = \{\begin{matrix} x / MAX & x < MAX \\ 1 & x &GreaterEqual; MAX \end{matrix}

其中x为统计的安全事件规模，y为归一化的安全事件规模。

可选的，所述步骤4.1包括：

对安全事件增长率，通过对比最近两个单位时间间隔内安全事件的统计数目变化进行归一化：

x＝(x₁-x₂)/x₂

y＝arctg(x)/π+0.5，x∈R，y∈[0，1]

其中x₁为当前单位时间内事件的规模，x₂为最近一个单位时间内事件的规模，y为归一化的安全事件增长率。

可选的，所述步骤4.1包括：

对于安全事件的源分布，通过集合C中的元素个数和各集合元素的元素个数来归一化安全事件的源分布特性；

其中，集合C＝{C_Int，C_Ext，C₁，C₂，…C_n}，C_Int表示待评估网络内部源地址集合，C_i表示一些重点区域的地址集合，C_Ext表示除了C_i以外的所有待评估网络的外部地址集合。

与现有技术相比，本发明上述方案的优点在于：

(1)采用的基于网络安全事件维度的层次式指标体系评估模型对网络安全状况的刻画更加直接，全面；

(2)通过选取的关键指标的变化来反应网络的安全状况，提高评估效率；

(3)采用量化计算的方法对网络安全态势进行客观的评估，避免人的主观评价，提高评估客观性。

附图说明

以下，结合附图来详细说明本发明的实施例，其中：

图1是本发明一个实施例中提供的基于指标体系的大规模网络安全态势评估方法的流程图；

图2是本发明一个实施例中提供的层次式评估模型的示意图；

图3是本发明一个实施例中提供的对层次式评估模型进行安全态势评估的方法流程图；

图4是本发明另一个实施例中提供的对层次式评估模型进行安全态势评估的方法流程图。

具体实施方式

定义：

定义1，网络态势：网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。值得注意的是，态势强调环境、动态性以及实体间的关系，是一种状态，一种趋势，一个整体和宏观的概念，任何单一的情况或状态都不能称之为态势。

定义2，态势因子：态势因子是指能够引起网络态势发生变化的重要因素，记作f_k。SF＝{f₁，f₂，…，f_d}即为态势因子集合，它是监测指标集合的子集。

定义3，网络态势感知：网络态势感知是指在大规模网络环境中，对态势因子进行获取、理解、评估、显示以及对未来发展趋势的预测。

定义4，网络态势指数：对某个时间周期内某网络区域内影响其安全态势的各种因素采用一定的方法进行综合评估量化后得到的一个反映网络整体安全态势的数值或者向量。

定义5，DDos(Distributed Denial of service)分布式拒绝服务攻击。

发明人通过研究发现：在大规模网络环境下，为了全面监控网络的运行状况，需要部署一系列的安全设备，比如入侵检测系统，防火墙，漏洞扫描等，各个网络节点都具有多个参数，可以提供多个实时测量值。指标体系是由若干互相联系、互相补充的指标所组成的统一整体，可以用来评价和反应某个领域的某种态势。利用网络设备或节点的参数值构建指标体系，可以用来评价网络安全态势。

基于上述发现，本发明一个实施例提供一种基于指标体系的大规模网络安全态势评估方法，首先，构建层次式指标体系评估模型；然后，对所述模型进行安全态势评估。如图1所示，所述方法具体包括：

S101，确定网络安全态势需要分析的维度；所述维度表示衡量所述网络安全态势的角度(即从哪些方面衡量网络的安全态势情况)；

S102，根据各维度确定网络安全要素；所述安全要素表示衡量所述维度的事件；

S103，根据各网络安全要素确定具体指标；所述具体指标表示衡量所述安全要素的统计特征属性；所述维度、安全要素和具体指标为层次式评估模型的各层节点；和

S104，对所述模型进行安全态势评估，得到整个网络安全态势值。

其中，步骤S101中，根据网络管理员对网络安全管理的需求，确定网络安全态势衡量的维度。如图2所示，安全态势衡量的维度可以包括网络的基础运行安全情况、网络存在的漏洞情况、网络遭受的攻击情况，步骤S101中就将网络安全态势划分为三个维度：基础运行状态维度、脆弱性维度、网络威胁维度。该维度将在层次式评估模型中处于第二层，例如威胁指数200和基础运行状态指数100等。

步骤S102主要依据步骤S101选择的维度来选择相应的网络安全要素(事件)。在网络中衡量网络安全的要素可能包含很多的内容，比如流量要素、设备的资源利用率要素、入侵检测系统的告警、防火墙的告警、网络中的漏洞等等。本实施例中选择通过网络流量异常事件、网络中设备异常事件来衡量网络的基础运行状态，通过网络中检测到的漏洞事件来衡量网络的脆弱性状态，通过各种IDS、防火墙上报上来的网络攻击事件来衡量网络遭受威胁的状态。例如图2中的威胁指数下层的攻击分类1201和攻击分类2220。

步骤S103针对步骤S102中选择的事件，选择具体指标。由于大规模网络环境下，系统所采集的安全事件在数量上呈现出海量性的特点，采用传统的评估方法耗时较大，很难适应大规模网络安全态势实时评估的要求，因此需要选择一些有意义的统计特征属性来对大规模网络的安全状况进行评估。比如对于DDOS攻击事件，可以通过DDos的规模(即事件数目)、增长率和源地址分布来衡量DDos的危害，网络流量异常事件，可以通过流量异常事件的数目和增长率来衡量。

例如，衡量威胁状态或威胁指数的攻击分类的具体指标包括：

(1)安全事件规模(即数目)，主要通过统计网络安全事件的发生的数目来反应当前网络遭受的异常情况；

(2)安全事件增长率，通过对最近两个单位时间内的事件数目的统计分析来反应当前网络安全的发展趋势；和

(3)安全事件的源分布，通过检测的异常事件的源地址分布进行统计分析来反应当前网络面临的安全来源。

如图2所示，具体指标为子节点事件数目221、增长率222、源地址分布223以及事件数目211、增长率212、源地址分布213。至此，层次式评估模型建立完成。

如图3所示，S104包括：

S201，对具体的指标进行归一化处理；和

S202，采用加权求和算法来逐层计算节点的值。

步骤S201中，由于选择的统计特征属性(即具体的指标)存在类型和单位的不统一以及数值数量级间悬殊的问题，如果直接将其用于评估可能会使得评估结果不确定，从而失去评估的意义。因此需要在评估前对评估指标的数据进行标准化后再进行评估，避免不合理现象的发生。统计特征属性的归一化方法如下：

(1)安全事件规模：安全事件的规模在通过统计历史数据的得到一个最大值MAX，通过最大值算法进行归一化：

y = \{\begin{matrix} x / MAX & x < MAX \\ 1 & x &GreaterEqual; MAX \end{matrix}

其中x为统计的安全事件规模，y为归一化的安全事件规模。

(2)安全事件增长率：安全事件的增长率通过对比最近两个单位时间间隔内安全事件的统计数目变化来得到：

x＝(x₁-x₂)/x₂

y＝arctg(x)/π+0.5，x∈R，y∈[0，1]

(3)安全事件的源分布：

通过对安全事件的源地址做聚类分析，得到待评估网络所面临的安全威胁来源分布。通过该分布特性可以间接的分析得出安全威胁严重程度。

源地址分类：C＝{C_Int，C_Ext，C₁，C₂，…C_n}，其中C_Int表示待评估网络内部源地址集合，C_i表示一些重点区域的地址集合，C_Ext表示除了C_i以外的所有待评估网络的外部地址集合。通过集合C中的元素个数和各集合元素的元素个数来归一化安全事件的源分布特性。归一化后的结果属于0-1之间的值，越大说明网络攻击源分布越分散，则危害性越大。

例如，对于DDOS攻击，其攻击源可能分布在以下几个维度：

1——源地址和攻击的目标地址处于一个网络内，即属于Cixt，

2——源地址和攻击对目标地址不在一个网络内，即属于Cext，

3——攻击的源地址可能来自一些敏感地区的IP。

如果将危害度的最大值归一化为1的话，可以设置不同IP对危害度的贡献值上限，比如Cixt贡献度上限为0.1，Cext贡献度上限为0.3，敏感地区Ci的贡献度上限为0.6。Cixt对危害度的贡献为0.001×集合Cixt中元素个数，如果其结果大于0.1则取上限0.1；Cext对危害度的贡献为0.01×集合Cixt中元素个数，如果其结果大于0.3则取上限0.3；C1，C2到Ci对危害度的贡献为0.1×i，如果其结果大于0.6则取上限0.6。其中i为敏感地区的个数。

当然上述的参数只是一个经验值，在本发明的其他实施例中，可以根据实际的需要调整相关的源地址分布度量算法。

步骤S202中，从多叉树的叶子节点出发，采用加权求和算法来逐层计算节点的值，最后计算出网络安全态势某一维度的数值，该数值即评估结果。如图3所示，假设攻击分类1下面的三个叶节点值为[0.3，0.5，0.6]，如果事件数目、增长率、源地址分布的重要性分别为0.5，0.3，0.2，那么可以通过加权求和来简单的计算攻击分类1的值为0.3×0.5+0.5×0.3+0.6×0.2，用这个值来刻画攻击分类1所代表的网络攻击事件的严重程度。

进一步的，各个维度之间也可以根据加权求和方法计算得到反映整体网络安全态势的数值。

根据本发明另一个实施例，如图4所示，步骤S104中使用的评估方法包括：

S400，对具体的指标进行归一化处理；

S401，根据层次式模型的底层子节点，确定用于评估其上层节点的网络安全态势指数的因素集和评判等级；

S402，构建隶属度评价函数；

S403，构建模糊评价矩阵；

S404，确定各下层节点对其上层节点的重要性的权重；

S405，模糊计算和结果分析。

其中，步骤S401：根据层次式模型的底层子节点，确定用于评估其上层节点的网络安全态势指数的因素集和评判等级。

设U＝{u₁，u₂，…，u_n}表示影响某一上层节点的各下层节点组成的模糊集合，例如：事件数目、增长率、源地址分布等属性。

设V＝{v₁，v₂，…，v_m}表示这些属性的评估等级集合。通过将0-1的区间进行划分并分配到评判集合V的每个评判等级v_i上，来为每个等级选取归一化后的值区间。例如在本发明中选取四个等级的模糊表达方式V＝{v₁，v₂，v₃，v₄}，评判集V＝{v₁，v₂，v₃，v₄}对应在数量要素上分别表示的含义为：v₁代表数量“很少”，其代表的数量归一化后的值区间为(0-0.1)，平均值为

v₂代表数量“少”，其代表的数量归一化后的值区间为(0.1-0.5)，平均值为v₃代表数量“多”，其代表的数量归一化后的值区间为(0.5-0.9)，平均值为

v₄代表数量“很多”，其代表的数量归一化后的值区间为(0.9-1.0)，平均值为

上述评价集V中的评价等级的个数也可以为其他值，例如三个、五个等，例如评判集V可以是V＝{v₁，v₂，v₃，v₄，v₅}，其中各个等级v₁、v₂、v₃、v₄、v₅例如分别代表数量“很少”、“少”、“一般”、“多”、“很多”。

上述归一化后值的各个区间不限于上述划分方式，还可以基于评判集合V的评判等级v_i的个数，根据一定的专家经验做出其它的划分。

步骤S402主要解决如何对归一化后的结果进行评判。本实施例中，根据属性归一化值的不同，通过隶属度函数来确定每一属性、即每一子节点属于评判集V＝{v₁，v₂，v₃，v₄}中不同评判等级v_i的概率。

该隶属度函数可以根据专家经验定义，主要作用在于将专家经验模糊化，但必须满足以下条件：(1)首尾两个评判等级的隶属度函数应该是单调的。(2)相邻两个等级的隶属函数必须是交叉的，体现“亦此亦彼”的模糊集的概念。不相邻的两个等级之间隶属度函数不应该交叉。(3)任何一个单位某一项指标对不同评判等级的隶属程度之和应该是1。

通过隶属度函数计算出每个子节点属于不同评判等级的概率。比如v_i的隶属度函数f_i(x)，其中x表示某个属性归一化后的值：

\begin{matrix} f_{1} (x) = &GreaterEqual; \{\begin{matrix} 1 & x \leq 0.05 \\ 4 * (0.3 - x) & 0.05 < x < 0.3 \\ 0 & x &GreaterEqual; 0.3 \end{matrix} & f_{2} (x) = &GreaterEqual; \{\begin{matrix} 0 & x &GreaterEqual; 0.7, x \leq 0.05 \\ 4 * (x - 0.05) & 0.05 < x \leq 0.3 \\ 2.5 * (0.7 - x) & 0.3 < x < 0.7 \end{matrix} \\ f_{3} (x) = &GreaterEqual; \{\begin{matrix} 0 & x &GreaterEqual; 0.95, x \leq 0.3 \\ \frac{5 * (x - 0.3)}{2} & 0.3 < x \leq 0.7 \\ 4 * (0.95 - x) & 0.7 < x < 0.95 \end{matrix} & f_{4} (x) = &GreaterEqual; \{\begin{matrix} 1 & x &GreaterEqual; 0.95 \\ 4 * (x - 0.7) & 0.7 < x < 0.95 \\ 0 & x \leq 0.7 \end{matrix} \end{matrix}

例如一个属性归一化后的值为0.5，那么利用上述隶属度函数，可以计算出其属于v₁的概率为f₁＝0，属于v₂的概率f₂＝0.5，属于v₃的概率f₃＝0.5，属于V₄的概率f₄＝0。

步骤S403根据步骤S402的隶属度函数计算出的每个子节点属于不同评判等级的概率和层次式网络安全指标体系，构建网络安全指标体系中各属性的模糊评价矩阵A＝(a_ij)_n×m，其中a_i＝{a_i1，a_i2，a_i3，a_i4}表示不同的属性(如事件数目)属于不同评判等级V＝{v₁，v₂，…，v_m}的概率。这个概率主要根据该属性的归一化值，通过不同的隶属度函数f_i(x)计算得到。

步骤S404用来评估不同属性对上层节点的贡献度，即属于同一上层节点的所有下层子节点中每一个对该上层节点的贡献度。

当然，本发明的方法可以直接利用专家的知识经验来指定不同子节点的权重，比如有某一个上层节点有三个属性A、B、C。管理者可以直接指定其权重，比如为0.5，0.3，0.2，只要保证和为1即可。

更优选地，本发明还提供一种通过引入相对重要性判断矩阵来合理客观地评估网络安全指标体系层次式模型中各子节点对其上层节点的贡献度。其分为以下几个阶段：(1)建立重要程度比较矩阵，即对某一个上层节点下的所有子节点的重要性进行两两比较，得到其关于相对重要性模糊互补矩阵R＝(r_ij)_n×m，其中r_ij表示子节点i和子节点j相比对于其上层节点k的相对重要程度。本发明可以用0.1～0.9之间的数量进行标度，如果r_ij越大，表明子节点i比子节点j对上一层节点k的贡献度更大，显然有r_ii＝0.5且r_ij＝1-r_ji；(2)将矩阵R转换为模糊一致性矩阵

首先求和矩阵R各行的和记为r_k(k＝1，2，…，n)；其次求矩阵

的元素，在本发明中令

(3)根据模糊一致性矩阵元素与权重的关系，确定指标层节点相对于上层节点的权重。假设某上层节点k具有n个子节点，子节点j对上层节点k的重要性权重：

ω_{ki} = \frac{2 * Σ_{j = 1}^{n} {\overset{&OverBar;}{r}}_{ij} - 1}{n * (n - 1)} .

步骤S405在上述构建模糊评价矩阵和已经确定的不同属性的重要性权重的基础上，对结果进行模糊计算，得到最终的网安全态势值。假设节点k具有n个子节点，各子节点的权重分别为ω_k1，ω_k2，…ω_kn，该n个子节点根据步骤S403构建的模糊评价矩阵为A＝(a_ij)_n×m，从而通过：

Z＝(ω_k1，ω_k2，…ω_kn)·A＝(z₁，z₂，…z_m)

计算出节点k的模糊指数向量。Z_i表示该节点k属于所述评判集V＝{v₁，v₂，…，v_m}不同元素的概率，通过：

Value = Σ_{k = 1}^{m} z_{k} \times {\overset{&OverBar;}{v}}_{k}

计算出上层节点k的安全态势指数。

判断已经计算出其安全态势指数的上层节点k是否为顶层节点。如果是，则计算出的该安全态势指数即为最终的网络安全态势值；如果该节点k不是顶层节点，则针对节点k的上层节点确定包括该上层节点的指标层的因素级和评判等级，并继续执行步骤2、3、4、5，直到计算出顶层节点的网络安全态势指数，即最终整个网络安全态势值。

本发明的实施例中提出了基于指标体系的大规模网络安全态势评估方法，该评估模型中结合大规模网络的特性，主要从安全事件的统计规律上来衡量具体的网络安全态势变化，主要包括事件数目、增长率、分布特性等，提高了对于大规模网络完全态势评估结果的效率和客观性。该基于层次式网络指标体系的评估方法一方面把管理员从海量的日志分析中解放出来，便于管理人员能够直观的了解网络的安全状况；另一方面，便于管理员及时发现影响网络安全的主要要素，做到有的放矢，做好安全防护措施。

Claims

1.一种基于指标体系的大规模网络安全态势评估方法，包括：

步骤1、确定网络安全态势需要分析的维度；

步骤2、根据各维度确定网络安全要素；

2.根据权利要求1中任意一项所述的评估方法，所述步骤4包括：

步骤4.1、对具体的指标进行归一化处理；和

步骤4.2、采用加权求和算法来逐层计算节点的值。

3.根据权利要求1中任意一项所述的评估方法，所述步骤4包括：

步骤4.1、对具体的指标进行归一化处理；

4.根据权利要求1中任意一项所述的评估方法，所述步骤4包括：

步骤4.1、对具体的指标进行归一化处理；

步骤4.3、构建隶属度评价函数；

步骤4.4、构建模糊评价矩阵；

步骤4.5、确定各下层节点对其上层节点的重要性的权重；和

步骤4.6、模糊计算和结果分析。

5.根据权利要求2或3或4所述的评估方法，所述步骤1的维度包括：基础运行状态维度、脆弱性维度或网络威胁维度。

6.根据权利要求5所述的评估方法，所述步骤2包括：

通过网络中检测到的漏洞事件来衡量网络的脆弱性状态；

7.根据权利要求6所述的评估方法，所述步骤3的具体指标包括：安全事件规模；安全事件增长率；和安全事件的源分布。

8.根据权利要求7所述的评估方法，所述步骤4.1包括：

y = \{\begin{matrix} x / MAX & x < MAX \\ 1 & x &GreaterEqual; MAX \end{matrix}

其中x为统计的安全事件规模，y为归一化的安全事件规模。

9.根据权利要求7所述的评估方法，所述步骤4.1包括：

x＝(x₁-x₂)/x₂

y＝arctg(x)/π+0.5，x∈R，y∈[0，1]

10.根据权利要求7所述的评估方法，所述步骤4.1包括：