CN102624696B - 一种网络安全态势评估方法 - Google Patents

Abstract

一种网络安全态势评估方法，包括：对原始数据进行预处理，计算各资产在子网中的权重和各子网在整个网络中的权重；对各资产进行外部威胁态势评估；对各资产进行内部威胁态势评估；采用权重分析法，进行各子网外部威胁态势评估和内部威胁态势评估；进行网络外部威胁态势评估和内部威胁态势评估；对防火墙日志信息、入侵信息和漏洞信息进行交叉关联，消除无效告警；综合评估各资产的安全态势；进行各子网安全态势评估；采用权重分析法，进行网络安全态势评估；本发明改变了现有技术中数据源单一的问题，使网络安全态势评估结果更加全面、精确；真实反映网络安全整体状况；评估结果直观实用，可以直接用于指导网络安全管理指挥、决策。

Description

一种网络安全态势评估方法

技术领域

本发明属于网络安全技术领域，特别是一种网络安全态势评估方法。

技术背景

网络是信息时代的产物，目前几乎覆盖了世界上所有重要领域。随着网络规模不断扩大，网络攻击和破坏行为日益频繁，网络安全形势日趋严峻。为形成网络安全主动防护能力，首先需要了解网络的内外部威胁和整体安全状态。

网络安全态势评估技术通过对网络中影响安全的因素进行深层次综合处理分析，对网络整体安全状况进行实时评估，为网络安全管理指挥、决策提供指导。

目前用于网络安全态势评估的方法主要分为3类：基于数学模型的方法、基于知识推理的方法和基于模式识别的方法。但从应用的角度看，目前的研究还存在以下不足：

1、数据源单一：用于网络安全态势评估的基础数据来源偏少，导致网络安全态势评估结果存在片面性，无法全面反映网络安全整体状况；

2、评估结果不够精确：网络安全态势评估算法设计不合理，导致评估结果不够精确，无法真实反映网络安全整体状况；

3、评估结果难于理解：评估结果仅仅是网络安全一个方面的数值或者等级，很难直接用于指导网络安全管理指挥、决策。

发明内容

本发明的目的在于，通过提供一种网络安全态势评估方法，对网络中影响网络安全的因素进行综合处理分析，对外部和内部威胁态势分别进行评估，再对网络安全态势进行综合评估。

本发明是采用以下技术手段实现的：

一种网络安全态势评估方法，包括：安全事件信息、网络拓扑信息、资产基本信息和资产状态信息；包括以下步骤：

步骤1：对原始数据进行预处理，消除重复信息和错误信息，生成格式化的安全事件信息、网络拓扑信息、资产基本信息和资产状态信息；

用于网络安全态势评估的数据来源包括防火墙、入侵检测系统、防病毒软件、漏洞扫描系统、拓扑发现工具、性能采集工具；经过去冗余、消除错误信息，再进行格式化，形成安全事件信息、网络拓扑信息、资产基本信息和资产状态信息。

步骤2：基于网络拓扑信息、资产基本信息，计算各资产在子网中的权重和各子网在整个网络中的权重；

设定网络中有n个网络设备类资产ASSET₁，ASSET₂，...，ASSET_n，每个网络设备类资产与其连接的终端类资产构成一个子网，根据网络拓扑信息，设定有m个终端类资产与网络设备类资产ASSET_k(1≤k≤n)相连接：ASSET_k1，ASSET_k2，...，ASSET_km；

计算网络设备类资产ASSET_k的子网总资产值；

在计算权重时，设定权值为资产值的平方；

计算终端类资产ASSET_kf在网络设备类资产ASSET_k的子网中的权重；

计算网络设备类资产ASSET_k在其子网中的权重；

计算网络设备类资产ASSET_k的子网在整个网络中的权重。

步骤3：基于入侵信息，对各资产进行外部威胁态势评估；基于病毒信息、漏洞信息，对各资产进行内部威胁态势评估；

在时间段[t₀，t₁]内，无论入侵是否成功，对入侵信息进行统计，设定针对资产ASSET_w的所有入侵信息为IDS₁，IDS₂，...，IDS_p；

计算资产ASSET_w的外部威胁态势值；

计算资产ASSET_w的内部威胁态势值。

步骤4：基于各资产在子网中的权重，采用权重分析法，进行各子网外部威胁态势评估和内部威胁态势评估；

网络设备类资产的子网外部威胁态势值就是该子网内所有资产的外部威胁态势值的加权和；

网络设备类资产的子网内部威胁态势值就是该子网内所有资产的内部威胁态势值的加权和。

步骤5：基于各子网在整个网络中的权重，采用权重分析法，进行网络外部威胁态势评估和内部威胁态势评估；

网络外部威胁态势值就是所有子网的外部威胁态势值的加权和；

网络内部威胁态势值就是所有子网的内部威胁态势值的加权和。

步骤6：对防火墙日志信息、入侵信息和漏洞信息进行交叉关联，消除无效告警；

针对资产ASSET_w的入侵信息，若资产ASSET_w上不存在入侵针对的漏洞，则该入侵无效，不会对网络安全产生危害，最终筛选得到针对资产ASSET_w的所有有效入侵信息IDS₁，IDS₂，...，IDS_s。

步骤7：基于交叉关联后的各类信息，综合评估各资产的安全态势；

在时间段[t₀，t₁]内，对资产状态信息进行统计，设定资产ASSET_w的所有状态信息为STATE_t0，STATE₁，STATE₂，...，STATE_t，STATE_t1。

计算资产ASSET_w的单位时间流量；

资产的单位时间流量就是某时间段内总流量的平均值；

处理器平均使用率就是某时间段内所有采集的处理器使用率的算术平均值；

内存平均占用率就是某时间段内所有采集的内存占用率的算术平均值；

基于资产ASSET_w的有效入侵信息、病毒信息、状态信息，计算资产ASSET_w的安全态势值；

资产的安全态势值通过对流量、处理器平均使用率、内存平均占用率、有效入侵的严重等级、病毒严重等级的数学计算得到。

步骤8：基于各资产在子网中的权重，采用权重分析法，进行各子网安全态势评估；

采用权重分析法，计算网络设备类资产ASSET_k的子网综合安全态势值；

网络设备类资产的子网综合安全态势值就是该子网内所有资产的安全态势值的加权和。

步骤9：基于各子网在整个网络中的权重，采用权重分析法，进行网络安全态势评估；

采用权重分析法，计算综合网络安全态势值；

综合网络安全态势值就是所有子网的综合安全态势值的加权和。

前述的安全事件信息分为防火墙日志信息、入侵信息、病毒信息、漏洞信息；防火墙日志信息FW包含：源地址、目的地址、源端口、目的端口、协议、处理方式；入侵信息IDS包含：目的地址、入侵类型、入侵针对的漏洞、入侵严重等级；病毒信息VIRUS包含：资产地址、病毒类型、病毒严重等级；漏洞信息VUL包含：资产地址、漏洞类型、漏洞严重等级。

前述的网络拓扑信息包括：资产标识、资产连接关系。

前述的资产基本信息ASSET包括：资产标识、资产类型、资产值、子网总资产值；资产基本信息分为两类：终端类和网络设备类，终端类资产的子网总资产值为0，网络设备类资产的子网总资产值为该网络设备子网内所有资产的资产值总和。

前述的资产状态信息包括：资产标识、时间、总流量、处理器使用率、内存占用率。

本发明一种网络安全态势评估方法，与现有技术相比，具有以下明显的优势和有益效果：

本发明一种网络安全态势评估方法，改变了现有技术中数据源单一的：问题，使网络安全态势评估结果更加全面，客观的反映了网络安全整体状况；评估结果精确，真实反映网络安全整体状况；评估结果直观实用，可以直接用于指导网络安全管理指挥、决策。

附图说明

图1为本发明网络安全态势评估方法的流程图。

具体实施方式

下面结合流程图，对优选实施例作详细说明，应该强调的是，下述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。

步骤1：对原始数据进行预处理，消除重复信息和错误信息，生成格式化的安全事件信息、网络拓扑信息、资产基本信息和资产状态信息。

用于网络安全态势评估的数据来源包括防火墙、入侵检测系统、防病毒软件、漏洞扫描系统、拓扑发现工具、性能采集工具等。经过去冗余、消除错误信息，再进行格式化，形成安全事件信息、网络拓扑信息、资产基本信息和资产状态信息。

安全事件信息主要分为防火墙日志信息、入侵信息、病毒信息、漏洞信息。防火墙日志信息FW主要包含：源地址、目的地址、源端口、目的端口、协议、处理方式；入侵信息IDS主要包含：目的地址、入侵类型、入侵针对的漏洞、入侵严重等级；病毒信息VIRUS主要包含：资产地址、病毒类型、病毒严重等级；漏洞信息VUL主要包含：资产地址、漏洞类型、漏洞严重等级。

网络拓扑信息主要包含：资产标识、资产连接关系。

资产基本信息ASSET主要包含：资产标识、资产类型、资产值、子网总资产值。资产基本信息主要分为两类：终端类和网络设备类，终端类资产的子网总资产值为0，网络设备类资产的子网总资产值为该网络设备子网内所有资产(包括终端类和网络设备类)的资产值总和。

资产状态信息STATE主要包含：资产标识、时间、总流量、处理器使用率、内存占用率。

步骤2：基于网络拓扑信息、资产基本信息，计算各资产在子网中的权重和各子网在整个网络中的权重。

设定网络中有n个网络设备类资产ASSET₁，ASSET₂，...，ASSET_n，每个网络设备类资产与其连接的终端类资产构成一个子网，根据网络拓扑信息，设定有m个终端类资产与网络设备类资产ASSET_k(1≤k≤n)相连接：ASSET_k1，ASSET_k2，...，ASSET_km。

计算网络设备类资产ASSET_k的子网总资产值：

(网络设备类资产的子网总资产值就是该子网内所有资产的资产值之和)

其中，TOTAL_VALUE_k为网络设备类资产ASSET_k的子网总资产值，VALUE_k为网络设备类资产ASSET_k的资产值，为与网络设备类资产ASSET_k相连接的m个终端类资产的资产值之和，1≤k≤n。

在计算权重时，为突出资产值高的资产的重要性，设定权值为资产值的平方。

计算终端类资产ASSET_kf在网络设备类资产ASSET_k的子网中的权重：

(终端类资产的权重就是该资产的权值在子网的总权值中所占的比重)

其中，P_kf为终端类资产ASSET_kf在网络设备类资产ASSET_k的子网中的权重，VALUE_kf ²为终端类资产ASSET_kf的权值，为网络设备类资产ASSET_k的子网中所有资产的权值和，1≤k≤n，1≤f≤m。

计算网络设备类资产ASSET_k在其子网中的权重：

(网络设备类资产的权重就是该资产的权值在子网的总权值中所占的比重)

其中，P_k为网络设备类资产ASSET_k在其子网中的权重，VALUE_k ²为网络设备类资产ASSET_k的权值，为网络设备类资产ASSET_k的子网中所有资产的权值和，1≤k≤n。

计算网络设备类资产ASSET_k的子网在整个网络中的权重

(子网的权值就是子网的权值在整个网络的总权值中所占的比重)

其中，T_P_k为网络设备类资产ASSET_k的子网在整个网络中的权重，TOTAL_VALUE_k ²为网络设备类资产ASSET_k的子网的权值，为整个网络中所有子网的权值和，1≤k≤n。

步骤3：基于入侵信息，对各资产进行外部威胁态势评估；基于病毒信息、漏洞信息，对各资产进行内部威胁态势评估。

在时间段[t₀，t₁]内，无论入侵是否成功，对入侵信息进行统计，设定针对资产ASSET_w的所有入侵信息为IDS₁，IDS₂，...，IDS_p。

计算资产ASSET_w的外部威胁态势值

(资产的外部威胁态势由资产外部的因素决定，主要为入侵，资产的外部威胁态势值通过对所有入侵的严重等级的数学计算得到)

其中，ATT_w为资产ASSET_w的外部威胁态势值，IDS_LEV_i为入侵信息IDS_i的入侵严重等级。

在时间段[t₀，t₁]内，对病毒信息进行统计，设定资产ASSET_w感染的所有病毒信息VIRUS₁，VIRUS₂，...，VIRUS_q。

在时间段[t₀，t₁]内，对漏洞信息进行统计，设定资产ASSET_w的所有漏洞信息VUL₁，VUL₂，...，VUL_r。

计算资产ASSET_w的内部威胁态势值

(资产的内部威胁态势由资产内部的因素决定，主要包含病毒和漏洞，资产的内部威胁态势值通过对资产的所有病毒和漏洞的严重等级的数学计算得到)

其中，DEF_w为资产ASSET_w的内部威胁态势值，VIRUS_LEV_i为病毒信息VIRUS_i的病毒严重等级，VUL_LEV_i为漏洞信息VUL_i的漏洞严重等级。

步骤4：基于各资产在子网中的权重，采用权重分析法，进行各子网外部威胁态势评估和内部威胁态势评估。

采用权重分析法，计算网络设备类资产ASSET_k的子网外部威胁态势值和内部威胁态势值

(网络设备类资产的子网外部威胁态势值就是该子网内所有资产的外部威胁态势值的加权和)

(网络设备类资产的子网内部威胁态势值就是该子网内所有资产的内部威胁态势值的加权和)

其中，ATT_SA_k为网络设备类资产ASSET_k的子网外部威胁态势值，DEF_SA_k为网络设备类资产ASSET_k的子网内部威胁态势值，P_k为网络设备类资产ASSET_k在其子网中的权重，P_ki为终端类资产ASSET_ki在网络设备类资产ASSET_k的子网中的权重，ATT_k为网络设备类资产ASSET_k的外部威胁态势值，DEF_k为网络设备类资产ASSET_k的内部威胁态势值，ATT_ki为终端类资产ASSET_ki的外部威胁态势值，DEF_ki为终端类资产ASSET_ki的内部威胁态势值，1≤k≤n。

步骤5：基于各子网在整个网络中的权重，采用权重分析法，进行网络外部威胁态势评估和内部威胁态势评估；

采用权重分析法，计算网络外部威胁态势值和内部威胁态势值

(网络外部威胁态势值就是所有子网的外部威胁态势值的加权和)

(网络内部威胁态势值就是所有子网的内部威胁态势值的加权和)

其中，TOTAL_ATT为网络外部威胁态势值，TOTAL_DEF为网络内部威胁态势值，T_P_i为网络设备类资产ASSET_i的子网在整个网络中的权重，ATT_SA_i为网络设备类资产ASSET_i的子网外部威胁态势值，DEF_SA_i为网络设备类资产ASSET_i的子网内部威胁态势值。

步骤6：对防火墙日志信息、入侵信息和漏洞信息进行交叉关联，消除无效告警。

针对资产ASSET_w的入侵信息，若资产ASSET_w上不存在入侵针对的漏洞，则该入侵无效，不会对网络安全产生危害，最终筛选得到针对资产ASSET_w的所有有效入侵信息IDS₁，IDS₂，...，IDS_s。

步骤7：基于交叉关联后的各类信息，综合评估各资产的安全态势。

在时间段[t₀，t₁]内，对资产状态信息进行统计，设定资产ASSET_w的所有状态信息为STATEt₀，STATE₁，STATE₂，...，STATE_t，STATE_t1。

计算资产ASSET_w的单位时间流量

(资产的单位时间流量就是某时间段内总流量的平均值)

其中，PER_w为时间段[t₀，t₁]内资产ASSET_w单位时间流量，FLEX_t1-FLEX_t0为时间段[t₀，t₁]内资产ASSET_w的总流量，t₁-t₀为时间段[t₀，t₁]内的总时间。

处理器平均使用率

(处理器平均使用率就是某时间段内所有采集的处理器使用率的算术平均值)

其中，CPU_AVG_w为时间段[t₀，t₁]内处理器平均使用率，为时间段[t₀，t₁]内采集的所有资产状态信息的处理器使用率之和，t+2为采集的资产状态信息总数，0≤CPU_i≤1。

内存平均占用率

(内存平均占用率就是某时间段内所有采集的内存占用率的算术平均值)

其中，PF_AVG_w为时间段[t₀，t₁]内内存平均占用率，为时间段[t₀，t₁]内采集的所有资产状态信息的内存占用率之和，t+2为采集的资产状态信息总数，0≤PF_i≤1。

基于资产ASSET_w的有效入侵信息、病毒信息、状态信息，计算资产ASSET_w的安全态势值

${\mathrm{SEC}}_w=\sqrt{\frac{{\left(\frac{{\mathrm{PER}}_w}{{\mathrm{PER}}_{w\_\max }}\right)}^2+\mathrm{CPU}\_{{\mathrm{AVG}}_w}^2+\mathrm{PF}\_{{\mathrm{AVG}}_w}^2}{3}}\×(\sqrt[3]{\underset{i=1}{\overset{s}{\mathrm{\Σ}}}\mathrm{IDS}\_{\mathrm{IEV}}_i^3}+\sqrt[3]{\underset{i=1}{\overset{q}{\mathrm{\Σ}}}\mathrm{VIRUS}\_{\mathrm{LEV}}_i^3})$

(资产的安全态势值通过对流量、处理器平均使用率、内存平均占用率、有效入侵的严重等级、病毒严重等级的数学计算得到)

其中PER_{w_max}为资产ASSET_w单位时间最大流量，IDS_LEV_i为入侵信息IDS_i的入侵严重等级，VIRUS_LEV_i为病毒信息VIRUS_i的病毒严重等级。

步骤8：基于各资产在子网中的权重，采用权重分析法，进行各子网安全态势评估；

采用权重分析法，计算网络设备类资产ASSET_k的子网综合安全态势值

(网络设备类资产的子网综合安全态势值就是该子网内所有资产的安全态势值的加权和)

其中，SEC_SA_k为网络设备类资产ASSET_k的子网综合安全态势值，P_k为网络设备类资产ASSET_k在其子网中的权重，P_ki为终端类资产ASSET_ki在网络设备类资产ASSET_k的子网中的权重，SEC_k为网络设备类资产ASSET_k的安全态势值，SEC_ki为终端类资产ASSET_ki的安全态势值，1≤k≤n。

步骤9：基于各子网在整个网络中的权重，采用权重分析法，进行网络安全态势评估。

采用权重分析法，计算综合网络安全态势值

(综合网络安全态势值就是所有子网的综合安全态势值的加权和)

其中，TOTAL_SEC为综合网络安全态势值，T_P_i为网络设备类资产ASSET_i的子网在整个网络中的权重，SEC_SA_i为网络设备类资产ASSET_i的子网综合安全态势值。

Claims (5)

1.一种网络安全态势评估方法，其特征在于：包括以下步骤：

步骤1：对原始数据进行预处理，消除重复信息和错误信息，生成格式化的安全事件信息、网络拓扑信息、资产基本信息和资产状态信息；

用于网络安全态势评估的数据来源包括防火墙、入侵检测系统、防病毒软件、漏洞扫描系统、拓扑发现工具、性能采集工具；经过去冗余、消除错误信息，再进行格式化，形成安全事件信息、网络拓扑信息、资产基本信息和资产状态信息；

步骤2：基于网络拓扑信息、资产基本信息，计算各资产在子网中的权重和各子网在整个网络中的权重；

设定网络中有n个网络设备类资产ASSET₁，ASSET₂，…，ASSET_n，每个网络设备类资产与其连接的终端类资产构成一个子网，根据网络拓扑信息，设定有m个终端类资产与网络设备类资产ASSET_k(1≤k≤n)相连接：ASSET_k1，ASSET_k2，…，ASSET_km；

计算网络设备类资产ASSET_k的子网总资产值；

在计算权重时，设定权值为资产值的平方；

计算终端类资产ASSET_kf在网络设备类资产ASSET_k的子网中的权重；

计算网络设备类资产ASSET_k在其子网中的权重；

计算网络设备类资产ASSET_k的子网在整个网络中的权重；

步骤3：基于入侵信息，对各资产进行外部威胁态势评估；基于病毒信息、漏洞信息，对各资产进行内部威胁态势评估；

在时间段[t₀，t₁]内，无论入侵是否成功，对入侵信息进行统计，设定针对资产ASSET_w的所有入侵信息为IDS₁，IDS₂，…，IDS_p；

计算资产ASSET_w的外部威胁态势值；

计算资产ASSET_w的内部威胁态势值；

步骤4：基于各资产在子网中的权重，采用权重分析法，进行各子网外部威胁态势评估和内部威胁态势评估；

网络设备类资产的子网外部威胁态势值就是该子网内所有资产的外部威胁态势值的加权和；

网络设备类资产的子网内部威胁态势值就是该子网内所有资产的内部威胁态势值的加权和；

步骤5：基于各子网在整个网络中的权重，采用权重分析法，进行网络外部威胁态势评估和内部威胁态势评估；

网络外部威胁态势值就是所有子网的外部威胁态势值的加权和；

网络内部威胁态势值就是所有子网的内部威胁态势值的加权和；

步骤6：对防火墙日志信息、入侵信息和漏洞信息进行交叉关联，消除无效告警；

针对资产ASSET_w的入侵信息，若资产ASSET_w上不存在入侵针对的漏洞，则该入侵无效，不会对网络安全产生危害，最终筛选得到针对资产ASSET_w的所有有效入侵信息IDS₁，IDS₂，…，IDS_s；

步骤7：基于交叉关联后的各类信息，综合评估各资产的安全态势；

在时间段[t₀，t₁]内，对资产状态信息进行统计，设定资产ASSET_w的所有状态信息为STATE_t0，STATE₁，STATE₂，…，STATE_t，STATE_t1；

计算资产ASSET_w的单位时间流量；

资产的单位时间流量就是某时间段内总流量的平均值；

处理器平均使用率就是某时间段内所有采集的处理器使用率的算术平均值；

内存平均占用率就是某时间段内所有采集的内存占用率的算术平均值；

基于资产ASSET_w的有效入侵信息、病毒信息、状态信息，计算资产ASSET_w的安全态势值；

资产的安全态势值通过对单位时间流量、处理器平均使用率、内存平均占用率、有效入侵的严重等级、病毒严重等级的数学计算得到；

步骤8：基于各资产在子网中的权重，采用权重分析法，进行各子网安全态势评估；

采用权重分析法，计算网络设备类资产ASSET_k的子网综合安全态势值；

网络设备类资产的子网综合安全态势值就是该子网内所有资产的安全态势值的加权和；

步骤9：基于各子网在整个网络中的权重，采用权重分析法，进行网络安全态势评估；

采用权重分析法，计算综合网络安全态势值；

综合网络安全态势值就是所有子网的综合安全态势值的加权和。

2.根据权利要求1所述的一种网络安全态势评估方法，其特征在于：所述的安全事件信息分为防火墙日志信息、入侵信息、病毒信息、漏洞信息；防火墙日志信息FW包含：源地址、目的地址、源端口、目的端口、协议、处理方式；入侵信息IDS包含：目的地址、入侵类型、入侵针对的漏洞、入侵严重等级；病毒信息VIRUS包含：资产地址、病毒类型、病毒严重等级；漏洞信息VUL包含：资产地址、漏洞类型、漏洞严重等级。

3.根据权利要求1所述的一种网络安全态势评估方法，其特征在于：所述的网络拓扑信息包括：资产标识、资产连接关系。

4.根据权利要求1所述的一种网络安全态势评估方法，其特征在于：所述的资产基本信息ASSET包括：资产标识、资产类型、资产值、子网总资产值；资产基本信息分为两类：终端类和网络设备类，终端类资产的子网总资产值为0，网络设备类资产的子网总资产值为该网络设备子网内所有资产的资产值总和。

5.根据权利要求1所述的一种网络安全态势评估方法，其特征在于：所述资产状态信息包括：资产标识、时间、总流量、处理器使用率、内存占用率。