CN103581186A - 一种网络安全态势感知方法及系统 - Google Patents

Abstract

本发明涉及一种网络安全态势感知方法及系统，方法包括：提取可用于描述网络安全态势的关键要素，包括网络流量稳定性、威胁性、脆弱性、用户行为；对提取的该关键要素，进行二级指标分值和一级指标分值计算，该一级指标分值包括网络流量稳定性指标分值SS、威胁性指标分值TS、脆弱性指标分值VS、用户行为指标分值US；最后，利用加权求和计算整个网络安全态势值。本发明的目的在于，力求建立全面的网络安全态势感知指标，提高网络安全态势感知的有效性和实时性。

Description

一种网络安全态势感知方法及系统

技术领域

本发明涉及网络安全领域，特别涉及网络安全态势感知指标及计算。

背景技术

计算机网络是通信技术和计算机技术发展到一定程度后相结合的产物，高度发展的网络技术为人们带来快速便捷的信息交互的同时，基于网络的恶意攻击和窃取行为也愈演愈烈。攻击者利用网络的快速传播性和广泛互联性，大肆地破坏网络基本性能、侵害用户合法权益，威胁社会和国家的安全与利益，对传统意义上的网络安全措施提出了严峻的考验。网络入侵行为向着多元化、规模化、复杂化、持续化等趋势发展，安全管理者越来越希望更好地了解其监管的网络当前时刻和未来时刻的安全健康状态，以便及时发现问题、采取预警措施，网络安全态势感知技术研究应运而生。

近年来，网络安全态势感知成为当前网络安全界研究的热点，这项研究取得的成果，在提高网络的监控、应急响应能力和预测网络的安全发展趋势等方面都将起到重大的推动作用。

网络安全态势感知中，通过先验知识或者数据挖掘技术，来构建网络安全态势感知的指标体系，并通过，诸如IDS入侵检测系统、OpenVAS漏洞扫描工具、NetFlow流量分析等安全工具，来获取相应的网络安全数据，并对其进行过滤、去重和格式化等基本的预处理，为接下来的评估和预测准备充分的数据源。数据的收集是网络安全态势感知的第一步，也是态势认知阶段的主要任务，只有在获取大量网络安全信息的基础上，才能尽量客观全面地评估网络的安全态势。

网络安全态势感知是在大量网络安全信息基础上完成的，但由于网络的复杂性和灵活性，获取全面的网络安全信息是不可能的，只能力求在选择信息种类和数量上，力求能相对全面的反应当前网络的真实状态。采用何种方式，从何处获取网络安全信息，并对信息进行实时更新和相应的预处理，是网络安全态势感知在态势认知阶段的主要研究问题。

目前，一般从以下几个方面获取安全信息：通过拓扑自发现技术获取网络的拓扑信息；通过主动扫描和被动嗅探方式，获取网络的漏洞信息、状态信息和运行信息等；通过对各安全工具、系统日志的采集和分析技术来获取威胁攻击信息等。

如发明名称为“基于指标体系的大规模网络安全态势评估方法”，提供一种基于指标体系的大规模网络安全态势评估方法，包括：步骤1、确定网络安全态势需要分析的维度；步骤2、根据各维度确定网络安全要素；步骤3、根据各网络安全要素确定具体指标；所述维度、安全要素和具体指标为层次式评估模型的各层节点；步骤4、对所述层次式评估模型进行安全态势评估，得到网络安全态势值。采用上述方法可以提高大规模网络安全态势评估的效率。该发明关注于提高评估网络安全态势的效率问题，并没有关注于解决提出全面衡量网络安全态势的指标，不能有效的、实时的反映当前网络安全态势。

再如发明名称为“多维网络安全指标体系冗余度评估方法”，提供一种基于关联度的多维网络安全指标体系冗余度评估方法，通过采用利用两序列对应数据项差值绝对值之和是否超过阈值判断关联性以及利用两序列间差值绝对值低于阈值的对应数据项对所占的比例判断关联性来对关联度进行分析，其计算量小，对数据存在形式要求宽泛，易于理解，便于广泛应用。同时这些技术能够有效的发现多维网络安全指标体系各个维度间存在的关联性。该发明关注网络安全的指标体系的冗余问题，也不关注于网络安全态势感知中反应网络安全状态的指标及其计算，不反映网络当前的安全状态。

再如发明名称为“多维网络安全指标体系正确性评估方法”，提供一种多维网络安全指标体系正确性评估方法，采用可接收区间内的相对偏差来避免其受样本和系统误差以及用户主观性的影响，使评估结果更符合实际情况。采用熵权法为各样本赋权值有效的刻画了各个样本在指标体系合理性评估中所起的作用，既充分利用多维度多样本指标体系计算结果又充分体现不同维度、不同样本的重要性和对指标体系正确性评估贡献度的不同，有效地评估了指标体系计算结果与预期值的相似性。该发明关注网络安全的指标体系的正确性问题，并不关注于网络安全态势感知中反应网络安全状态的指标及其计算，也不反映网络当前的安全状态。

再如发明名称为“一种多维网络安全指标体系稳定性评估方法”，提供一种基于统计方法的多维网络安全指标体系稳定性评估方法，从一个指标体系在多个不同样本情况下是否都能得到正确评估结果的角度评估一个指标体系的好坏。尤其是针对不同维度源数据分布特征的差异采用分段抽样的方式使得不同维度稳定性的评价更为公平合理。该发明关注网络安全的指标体系的稳定性问题，并不关注网络安全态势感知中反应网络安全状态的指标及其计算，也不反映网络当前的安全状态。

发明内容

为了解决上述问题，本发明的目的在于提供一种网络安全态势感知指标及计算方法，力求建立全面的网络安全态势感知指标，提高网络安全态势感知的有效性和实时性。

为实现上述目的，本发明所提出的网络安全态势感知方法，其特征在于，包括如下步骤：

步骤1，提取可用于描述网络安全态势的关键要素，包括网络流量稳定性、威胁性、脆弱性、用户行为；

步骤2，对提取的该关键要素，进行二级指标分值和一级指标分值计算，该一级指标分值的计算包括，

步骤21，计算网络流量稳定性指标分值SS，该二级指标包括网络流量的变化率和分布，

步骤22，计算威胁性指标分值TS，该二级指标包括警报数目和等级、网络使用带宽、安全事件发生历史数目，

步骤23，计算脆弱性指标分值VS，该二级指标包括漏洞的数目和等级，服务种类，

步骤24，计算用户行为指标分值US，该二级指标包括关键业务常用IP、关键业务未知IP、活跃用户topN、活跃时间段、关键业务使用频度比、关键业务使用频度比、同时刻关键业务在线用户数；

步骤3，利用加权求和计算网络安全态势值NASA_Score。

本发明所提出的网络安全态势感知方法，其特征在于，在步骤21中，

所述网络流量的变化率包括流出Packets总数、流入Packets总数、Packets总数、流出Bytes总数、流入Bytes总数、Bytes总数、流出Flows总数、流入Flows总数和Flows总数；所述网络流量的分布包括流出数据包大小、流入数据包大小、流出方向源IP、流出方向目的IP、流出方向源端口和流出方向目的端口。

本发明所提出的网络安全态势感知方法，其特征在于，

计算所述网络流量稳定性指标的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，根据将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值的比较，为所述网络流量稳定性指标的每个二级指标赋予范围为[0,5]的分值，并通过权重分析法，赋予每个二级指标的测度一个[0,1]的权重，利用加权求和计算出网络流量稳定性指标分值SS。

本发明所提出的网络安全态势感知方法，其特征在于，所述步骤22包括警报关联处理：将原始警报的一条警报信息OriAlert及其10个属性标签表示为

OriAlert(aid,type,pro,srcip,dstip,srcport,dstport,starttime,endtime,summary)

其中，该属性标签依次为警报名称、警报类型、协议类型、警报源IP地址、警报目的IP地址、警报源端口、警报目的端口、产生警报时间、结束警报时间、警报描述；将该OriAlert按srcip、dstip、type属性标签进行横向的初步聚集，将不同警报规范化到IDMEF格式；将存在重复关系的该OriAlert进行归并处理，并生成去冗余警报DisAlert，该DisAlert区别于该OriAlert，增加有num属性标签，代表具有重复关系的警报数目；依据关联规则对该DisAlert进行警报关联分析，得出最后的综合警报CorAlert，该CorAlert的属性标签较该DisAlert增加了警报严重等级level和警报发生可信度credit，去掉了警报数目num。

本发明所提出的网络安全态势感知方法，其特征在于，该步骤22包括：

步骤221，计算警报威胁性指数AI，

（1）计算所述CorAlert的警报严重等级level，

当产生所述CorAlert时，根据判断所述警报源IP地址、所述警报目的IP地址是否为网内监控设备的IP地址，警报所涉及的操作系统与攻击目标系统是否匹配，监控设备是否存在所述CorAlert攻击所利用的漏洞，所述CorAlert攻击所利用的端口和服务是否为开启状态这n个验证条件的满足条件数m，计算所述警报发生可信度credit的概率值，即所述警报发生可信度credit为m与n的比值，分别通过资产表获得设备等级ml，通过漏洞表获得漏洞等级rl，通过所述OriAlert获得警报类型type后，加权求和所述设备等级ml、所述漏洞等级rl、所述警报类型type和所述警报发生可信度credit计算得出所述CorAlert的警报严重等级level；

（2）将所述警报发生可信度credit与所述警报严重等级level的乘积定义为所述CorAlert的等级指数，则警报威胁性评估指数AI为所有所述CorAlert的等级指数的期望。

本发明所提出的网络安全态势感知方法，其特征在于，该步骤22还包括：

步骤222，计算网络安全带宽指数BI，包括统计报告期rp、基期bp时期内的网络安全带宽，然后分别计算出该网络安全带宽的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的网络安全带宽指数ABI，最后通过将每台监控设备的网络安全带宽指数ABI加权平均得到网络安全带宽指数BI；

步骤223，计算安全事件历史同期发生数目指数EOI，统计报告期rp、基期bp时期内的安全事件历史同期发生数目，然后分别计算该安全事件历史同期发生数目的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的安全历史事件同期发生数目指数AEOI，最后通过将每台监控设备的安全事件历史同期发生数目指数AEOI加权平均得到安全历史事件同期发生数目指数EOI；

步骤224，通过加权求和该警报威胁性指数AI、该网络安全带宽指数BI、该安全事件历史同期发生数目EOI计算得出威胁性指标分值TS。

本发明所提出的网络安全态势感知方法，其特征在于，所述步骤23具体为，

步骤231，在XML格式漏洞数据库基础上结合应用环境的设备和要求信息，对时间因素修正评分和环境因素修正评分进行计算，最后得出符合应用环境的自有的漏洞库表，根据漏洞扫描工具监控全网得出的漏洞报告，关联经修正的漏洞库表以及漏洞等级，得出全网的漏洞评分均值，作为全网的漏洞指标分值VVS；

步骤232，参照监测网络的资产表进行评估，得出服务指标分值VSS；

步骤233，通过加权求和该漏洞指标分值VVS与该服务指标分值VSS，计算脆弱性分值VS。

本发明所提出的网络安全态势感知方法，其特征在于，所述步骤24具体为，

利用历史记录数据建立正常的监控网络中的用户使用行为模型，计算用户行为的二级指标的测度集合中的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，根据偏离所述阈值的程度为每个二级指标赋予范围为[0,5]的分值，结合每个测度的权重和分值得出单台设备的用户行为指标分值，最后综合所有设备的用户行为指标分值得出用户行为指标分值US。

本发明还提出一种网络安全态势感知系统，其特征在于，包括：

提取模块，用于提取可用于描述网络安全态势的关键要素，包括网络流量稳定性、威胁性、脆弱性、用户行为；

指标分值计算模块，用于计算二级指标分值和一级指标分值，该一级指标分值的计算模块包括，

第一模块，用于计算网络流量稳定性指标分值SS，该二级指标包括网络流量的变化率和分布，

第二模块，用于计算威胁性指标分值TS，该二级指标包括警报数目和等级、网络使用带宽、安全事件发生历史数目和度型特征，

第三模块，用于计算脆弱性指标分值VS，该二级指标包括漏洞的数目和等级，服务种类，

第四模块，用于计算用户行为指标分值US，该二级指标包括关键业务常用IP、关键业务未知IP、活跃用户topN、活跃时间段、关键业务使用频度比、关键业务使用频度比、同时刻关键业务在线用户数；

网络安全态势值计算模块，用于利用加权求和计算整个网络安全态势值。

本发明所提出的网络安全态势感知系统，其特征在于，在所述第一模块中，

所述网络流量的变化率包括流出Packets总数、流入Packets总数、Packets总数、流出Bytes总数、流入Bytes总数、Bytes总数、流出Flows总数、流入Flows总数和Flows总数；所述网络流量的分布包括流出数据包大小、流入数据包大小、流出方向源IP、流出方向目的IP、流出方向源端口和流出方向目的端口。

本发明所提出的网络安全态势感知系统，其特征在于，

计算所述网络流量稳定性指标的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，根据将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值的比较，为所述网络流量稳定性指标的每个二级指标赋予范围为[0,5]的分值，并通过权重分析法，赋予每个二级指标的测度一个[0,1]的权重，利用加权求和计算出网络流量稳定性指标分值SS。

本发明所提出的网络安全态势感知系统，其特征在于，

所述第二模块包括警报关联处理模块，用于对原始警报信息进行关联处理，生成去冗余警报和综合警报，其具体处理过程为：将原始警报的一条警报信息OriAlert及其10个属性标签表示为

OriAlert(aid,type,pro,srcip,dstip,srcport,dstport,starttime,endtime,summary)

其中，该属性标签依次为警报名称、警报类型、协议类型、警报源IP地址、警报目的IP地址、警报源端口、警报目的端口、产生警报时间、结束警报时间、警报描述；将该OriAlert按srcip、dstip、type属性标签进行横向的初步聚集，将不同警报规范化到IDMEF格式；将存在重复关系的该OriAlert进行归并处理，并生成去冗余警报DisAlert，该DisAlert区别于该OriAlert，增加有num属性标签，代表具有重复关系的警报数目；依据关联规则对该DisAlert进行警报关联分析，得出最后的综合警报CorAlert，该CorAlert的属性标签较该DisAlert增加了警报严重等级level和警报发生可信度credit，去掉了警报数目num。

本发明所提出的网络安全态势感知系统，其特征在于，所述第二模块具体包括：

警报威胁性指数AI计算模块，计算过程如下，

（1）计算所述CorAlert的警报严重等级level，

当产生所述CorAlert时，根据判断所述警报源IP地址、所述警报目的IP地址是否为网内监控设备的IP地址，警报所涉及的操作系统与攻击目标系统是否匹配，监控设备是否存在所述CorAlert攻击所利用的漏洞，所述CorAlert攻击所利用的端口和服务是否为开启状态这n个验证条件的满足条件数m，计算所述警报发生可信度credit的概率值，即所述警报发生可信度credit为m与n的比值，分别通过资产表获得设备等级ml，通过漏洞表获得漏洞等级rl，通过所述OriAlert获得警报类型type后，加权求和所述设备等级ml、所述漏洞等级rl、所述警报类型type和所述警报发生可信度credit计算得出所述CorAlert的警报严重等级level；

（2）将所述警报发生可信度credit与所述警报严重等级level的乘积定义为所述CorAlert的等级指数，则警报威胁性评估指数AI为所有所述CorAlert的等级指数的期望。

本发明所提出的网络安全态势感知系统，其特征在于，所述第二模块还包括：

网络安全带宽指数BI计算模块，统计报告期rp、基期bp时期内的网络安全带宽，然后分别计算出该网络安全带宽的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的网络安全带宽指数ABI，最后通过将每台监控设备的网络安全带宽指数ABI加权平均得到网络安全带宽指数BI；

安全事件历史同期发生数目指数EOI计算模块，统计报告期rp、基期bp时期内的安全事件历史同期发生数目，然后分别计算该安全事件历史同期发生数目的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的安全历史事件同期发生数目指数AEOI，最后通过将每台监控设备的安全事件历史同期发生数目指数AEOI加权平均得到安全历史事件同期发生数目指数EOI；

威胁性指标分值TS计算模块，用于通过加权求和该警报威胁性指数AI、该网络安全带宽指数BI、该安全事件历史同期发生数目EOI计算得出威胁性指标分值TS。

本发明所提出的网络安全态势感知系统，其特征在于，所述第三模块具体包括：

漏洞指标分值VVS计算模块，在XML格式漏洞数据库基础上结合应用环境的设备和要求信息，对时间因素修正评分和环境因素修正评分进行计算，最后得出符合应用环境的自有的漏洞库表，根据漏洞扫描工具监控全网得出的漏洞报告，关联经修正的漏洞库表以及漏洞等级，得出全网的漏洞评分均值，作为全网的漏洞指标分值VVS；

服务指标分值VSS计算模块，参照监测网络的资产表进行评估，得出服务指标分值VSS；

脆弱性分值VS计算模块，通过加权求和漏洞指标分值VVS与服务指标分值VSS，计算脆弱性分值VS。

本发明所提出的网络安全态势感知系统，其特征在于，在所述第四模块中，

利用历史记录数据建立正常的监控网络中的用户使用行为模型，计算用户行为的二级指标的测度集合中的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，根据偏离所述阈值的程度为每个二级指标赋予范围为[0,5]的分值，结合每个测度的权重和分值得出单台设备的用户行为指标分值，最后综合所有设备的用户行为指标分值得出用户行为指标分值US。

相较于其他网络安全态势感知指标及计算，本发明所提出的技术方案，具有以下优势：第一，指标体系更为全面，除了一般的指标体系都有的稳定性、威胁性和脆弱性之外，还有用户行为指标，该指标面向网络中的关键业务，涉及敏感、重要信息的业务。第二，更加细化了稳定性、威胁性和脆弱性的子指标。第三，该指标的计算容易实施，方便扩展。

附图说明

图1为网络安全态势感知指标图；

图2为稳定性指标要素评价过程示意图；

图3为警报关联模型示意图；

图4为本方案采用的改进的K-均值算法示意图。

具体实施方式

为更清楚明白的解释本发明的技术方案，以下通过具体实施例对本发明作进一步详细说明。应当理解，此处所述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明通过如下技术方案实现：

步骤1，根据图1中列出的网络安全态势感知指标图，提取可用于描述网络安全态势的关键要素；图1为网络安全态势感知指标图。

步骤2，对步骤1中提取的要素，进行8个二级指标和4个一级指标计算；

步骤21，进行稳定性指标分值SS的计算，稳定性通过考察网络的流量型特征和度型特征来表征，其中流量型特征包括不同方向上的数据包个数、字节数以及数据流个数，度型特征包括不同方向上的数据包大小分布、源目的IP分布、源目的端口分布，利用基于方差模型的计算方法对监控网络的流量稳定性进行计算，设稳定性指标的二级指标的测度集合为{A、B、C、D......}，其中，A、B、C、D......分别代表稳定性指标的二级指标的测度集合。若A代表某二级指标测度集合，A_i代表历史观测时间第i个样本值，则

的置信区间为：

$(\stackrel{\‾}{A_n}-Z_{\frac{\mathrm{\α}}{2}}{S}_n/\sqrt{n},\stackrel{\‾}{A_n}+Z_{\frac{\mathrm{\α}}{2}}{S}_n/\sqrt{n}),$ 其中 $S_n=\sqrt{\frac{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{A}_i^2}{n}-{\stackrel{\‾}{A_n}}^2}$

如果某时间范围内的测度A_i在该置信区间内，则认为该指标正常；否则认为出现异常。其偏离程度影响分值，偏离越远，该指标的分值越高，随之稳定性指标分值也越高，高分数高危险，表明此时刻网络安全态势表现在稳定性指标内较低；

步骤22，进行威胁性指标分值TS的计算。威胁性，主要考虑的外界对特定监控网络的危害程度，二级指标包括警报数目、网络使用带宽、安全事件发生历史数目和度型特征；

步骤23，进行脆弱性指标分值VS的计算。脆弱性主要是从网络的自身存在的一些缺陷问题，包括软硬件配置、服务配置等信息。相对于稳定性和威胁性的实时变化，脆弱性可以说是网络中相对静态的信息，为考虑实际应用中成本，对于此项指标的评估可以在一定的周期内进行，更新频度远远小于稳定性和威胁性。

步骤24，进行用户行指标分值US的计算。其二级指标包括关键业务常用IP、关键业务未知IP、活跃用户topN、活跃时间段、关键业务使用频度比、关键业务使用频度比、同时刻关键业务在线用户数以及其他，这里设置为空。该指标计算参照稳定性指标计算方法。

步骤3，整个网络安全态势值的影响因素包括稳定性、威胁性、脆弱性以及用户行为，计算得到四个要素指标的分值，然后利用加权求和计算整个网络安全态势值，可以如下表示：

网络安全态势值NASA_Score=SS*α₁+TS*α₂+VS*α₃+US*α₄

其中α₁+α₂+α₃+α₄=1，SS、TS、VS、US分别代表稳定性、威胁性、脆弱性以及用户行为的分值，取值范围为[0,5]，且分数越高，网络安全态势越不理想，态势越紧急，需要采取有效地安全措施。

在网络安全态势值的计算过程中，首先需要在待监测网络中选择一定数量的路由器或主机节点作为数据的采集点，待监测网络中的所有网络节点形成的集合记为wnet，所有数据采集点形成的集合记为snet。该指标的计算涉及到基期与报告期，因此先要设置基期与报告期的具体时间，例如，用bp表示基期，用rp表示报告期，基期bp可设置为某一天的每个十分钟，报告期rp为后续每一天的每个相对应的十分钟。同时，设置各个计算过程的间隔时间s，如s为十分钟。

在步骤21中，稳定性指标分值的计算需要统计和计算的指标包括网络流量的变化率和分布，其中变化率包括流出Packets总数、流入Packets总数、Packets总数、流出Bytes总数、流入Bytes总数、Bytes总数、流出Flows总数、流入Flows总数和Flows总数；分布包括流出数据包大小、流入数据包大小、流出方向源IP、流出方向目的IP、流出方向源端口和流出方向目的端口。

下面依次对上述指标的计算公式予以说明。

统计部分：

其中，wnet表示整个待监测网络的网络对象，即由主机或路由器组成的整个网络节点集合；snet为wnet的子集，即所选取的数据采集点的集合；i表示所选的网络节点；F_t(i)表示稳定性子指标变化率的某一项，即t时期节点i的流出Packets总数、流入Packets总数、Packets总数、流出Bytes总数、流入Bytes总数、Bytes总数、流出Flows总数、流入Flows总数和Flows总数的某一项。

其中，FDI_kt(i)表示稳定性子指标分布的某一项，即在t时期节点i具有的流出数据包大小、流入数据包大小、流入方向源IP、流出方向目的IP、流入方向源端口、流出方向目的端口。

稳定性通过考察网络的流量型特征和度型特征来表征，其中流量型特征包括不同方向上的数据包个数、字节数以及数据流个数，度型特征包括不同方向上的数据包大小分布、源目的IP分布、源目的端口分布，利用基于方差模型的计算方法对监控网络的流量稳定性进行计算，设{A、B、C、D......}为稳定性指标集合，其中A、B、C、D.......分别代表稳定性指标的二级指标的测度集合，即包含上述F_t(wnet)以及FD_t(wnet)。若A代表某二级指标测度集合，A_i代表rp时期第i个样本值，则

的置信区间为：

$(\stackrel{\‾}{A_n}-Z_{\frac{\mathrm{\α}}{2}}{S}_n/\sqrt{n},\stackrel{\‾}{A_n}+Z_{\frac{\mathrm{\α}}{2}}{S}_n/\sqrt{n}),$ 其中 $S_n=\sqrt{\frac{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{A}_i^2}{n}-{\stackrel{\‾}{A_n}}^2}$

将该置信区间同对应基期的置信区间比较，设定阈值T，偏离程度超过T时，则认为出现异常，偏离程度越大，该指标的分值越高，表明此时刻待监测网络安全态势表现在该指标内较低。

对于稳定性指标的二级指标，分别应用上述方差模型计算后，通过权重分析法，得出稳定性指标分值，分值区间为[0,5]，分值越高，指标安全状态越差。

步骤22，计算威胁性指标分值TS，计算方法如下：

如图3所示的警报关联模型示意图，为了更好的阐述警报关联模型，将原始警报的一条警报信息及其10个属性标签形式化的表示为

OriAlert(aid,type,pro,srcip,dstip,srcport,dstport,starttime,endtime,summary)

属性标签依次为警报名称、警报类型、协议类型、警报源IP地址、警报目的IP地址、警报源端口、警报目的端口、产生警报时间、结束警报时间、警报描述。

警报预处理，主要是将OriAlert按srcip、dstip、type等属性进行横向的初步聚集，将不同警报规范化到预先约定的统一格式，以方便后续的警报处理操作。

警报去冗余，是指将存在重复关系的警报进行归并处理。我们认为具有当除starttime和endtime不同之外，其他属性标签完全相同这样的性质的原始警报OriAlert，将列入具有重复关系的警报集合，（表述不清楚，意思是“其他属性标签具有完全相同的OriAlert，将OriAlert列入具有重复关系的警报集合”吗？）进一步考察属性标签starttime和endtime，当不同OriAlert的该时间字段差别小于所设阈值时，则认为警报冗余，归并该数条警报，并生成去冗余警报DisAlert。DisAlert区别于OriAlert，将增加num属性标签，代表具有重复关系的警报数目。去冗余警报可表示为：

DisAlert(aid,type,num,pro,srcip,dstip,srcport,dstport,starttime,endtime,summary)

警报关联，DisAlert警报将进入警报关联模块做下一步分析处理，警报关联模块依据关联规则库进行警报关联分析，得出最后的综合警报，同时视警报的发生时间、规模程度、可信度等对警报划分严重等级。综合警报CorAlert的属性标签较DisAlert增加了警报严重等级level和警报发生可信度credit，去掉了警报数目num，因此12个属性标签表示为：

CorAlert(aid,type,level,credit,pro,srcip,dstip,srcport,dstport,starttime,endtime,summary)

CorAlert最终将写入警报记录库中，留作后续的威胁性指标评估和态势告警。

对警报进行基于属性标签的聚类关联。由图3所述的警报关联模型可知，基于属性标签的聚类关联算法L-AC的输入为去冗余警报DisAlert集，输出为综合警报CorAlert集。

为了更好的阐述建模方法，我们先对检测过程进行形式化的描述如下：

把一个集合DisAlert={DisAlert₁,DisAlert₂,...,DisAlert_n}视为一组去冗余警报DisAlert集。集合中的每一个实例DisAlert_i可以用一组属性向量来描述，DisAlert_i={DisAlert_ij|1≤j≤11}，其中由于DisAlert属性标签个数为11个，所以j的取值范围为[1,11]，DisAlert_ij为集合中第i个DisAlert的第j个属性。

设定集合CorAlert={CorAlert₁,CorAlert₂,...,CorAlert_n}被视为模型中综合警报CorAlert生成类的集合，其中k为模型中类的个数，集合中的每一个C_i包含若干条符合关联规则的DisAlert。在设定的限值到达时，每一个C_i都将产生并输出一条CorAlert_i警报，即满足有C_i和CorAlert_i一一对应的关系。

由此对警报实例DisAlert_e关联的问题，被转化为判别DisAlert_e属于C中哪一个类的问题。建模过程中生成的标记类对于最后检测至关重要，我们生成标记类的策略主要分为两步。第一步应用聚类方法（无监督学习方法）对训练集中的样例进行划分得到若干聚类；第二步根据每个聚类中正确关联实例与错误关联实例所占的比例进行标记（标记为正确或者错误）。

1）属性标签选择。

DisAlert的属性标签有11个，具体如下所示：

DisAlert(aid,type,num,pro,srcip,dstip,srcport,dstport,starttime,endtime,summary)

属性标签依次为警报名称、警报类型、警报数目、协议类型、警报源IP地址、警报目的IP地址、警报源端口、警报目的端口、产生警报时间、结束警报时间、警报描述。在关联时，我们不需要也不应当选择所有的属性标签进行聚类关联。考虑关联的准确性和时效性的权衡，我们选择DisAlert的第2、4、5、6、7、8、9、10个属性标签，即警报类型、协议类型、警报源IP地址、警报目的IP地址、警报源端口、警报目的端口、产生警报时间、警报描述，这共计8个属性标签作为特征，组成后续聚类处理的输入特征向量。

2）使用K-均值算法对警报进行聚类。

在聚类的过程中，我们采用欧氏距离d(x_i,x_j)来测量两个向量x_i和x_j的相似性，欧氏距离计算公式如公式3-1所示：

$d(x_i,x_j)=\sqrt{\underset{k=1}{\overset{m}{\mathrm{\Σ}}}(x_{\mathrm{ik}}-x_{\mathrm{jk}})}$

同时研究中，每个实例的都有不同形式的特征变量，为了使每个特征变量能比较公平的影响聚类结果，我们对所有的变量进行归一化处理，把所有变量的取值都归化到区间[0,1]内。采取的归一化公式如公式3-2所示：

$A_i^{\′}=\frac{A_i-A_{\min }}{A_{\max }-A_{\min }}$

其中A_i′是实例i的特征A归一化后的值，A_i是特征A处理之前的值。A_min是所有特征A在所有实例中的最小值，A_max是特征A在所有实例中的最大值。

对于一个新到的DisAlert警报实例，计算该警报实例到每个分类中心的距离，若距离最近的距离值小于等于设定的最大欧氏距离阈值D_max，则实例划分到该警报分类中；若距离最近的距离值大于设定的最大欧氏距离阈值D_max，则实例不划分任何已有警报分类中，而是成为新的警报聚类中心。每一个中心都可以代表它所在的类的其他警报实例。同时考虑到攻击的多步原子操作具有一定时间内完成的特点，我们为聚类过程加入时间窗监控T。一旦监测警报类别的持续时间大于时间窗T范围，则作为独立的CorAlert警报输出，不再等待是否后续会有与之相关联的警报，防止聚类过程中，类别k无限增大，存在很多“过时、无效”的警报。同时，为了解决K-均值算法中初始中心的选择对最终聚类效果的影响，本方案采取了一种算法如图4来选择k个初始中心，使得初始中心的距离尽可能的远。

为方便聚类过程，我们将各个属性标签给予量化表征如下：

属相标签type

type代表的是警报类型，这里我们认为具有相同警报类型的DisAlert，具有属于同一CorAlert的可能性，而不具有同一警报类型的DisAlert不具有属于同一CorAlert的可能性。因此两个DisAlert的type的欧氏距离有如下定义：

$d({\mathrm{type}}_i,{\mathrm{type}}_j)=\left\{\begin{array}{c}0,{\mathrm{type}}_i={\mathrm{type}}_j\\ 1,{\mathrm{type}}_i\≠{\mathrm{type}}_j\end{array}\right.$

属性标签pro

pro代表的是警报中的协议类型，这里我们认为具有相同协议类型的DisAlert，具有属于同一CorAlert的可能性，而不具有同一协议类型的DisAlert不具有属于同一CorAlert的可能性。因此两个DisAlert的pro的欧氏距离有如下定义：

$d({\mathrm{pro}}_i,{\mathrm{pro}}_j)=\left\{\begin{array}{c}0,{\mathrm{pro}}_i={\mathrm{pro}}_j\\ 1,{\mathrm{pro}}_i\≠{\mathrm{pro}}_j\end{array}\right.$

属性标签srcip，dstip

srcip，dstip代表的是警报中的关于IP地址的信息，这里我们认为IP地址相近的DisAlert，具有属于同一CorAlert的可能性，而IP地址相差很远的DisAlert不具有属于同一CorAlert的可能性。对于IPv4地址，我们可以依据如下方法将IP地址转化为长整型表示：假设IP为：w.x.y.z，则IP地址转为整型数字的计算公式为：

int IP=256*256*256*w+256*256*x+256*y+z

因此两个DisAlert的srcip，dstip的欧氏距离有如下定义：

$d({\mathrm{srcip}}_i,{\mathrm{srcip}}_j)=\frac{{|\mathrm{intsrcip}}_i-{\mathrm{intsrcip}}_j|-{\mathrm{intsrcip}}_{\min }}{{\mathrm{intsrcip}}_{\max }-{\mathrm{intsrcip}}_{\min }}$

$d({\mathrm{dstip}}_i,{\mathrm{dstip}}_j)=\frac{{|\mathrm{intdstip}}_i-{\mathrm{intdstip}}_j|-{\mathrm{intdstip}}_{\min }}{{\mathrm{intdstip}}_{\max }-{\mathrm{intdstip}}_{\min }}$

其中，int srcip_min是|int srcip_i-int srcip_j|在所有实例中的最小值，int srcip_max是所有|int srcip_i-int srcip_j|在所有实例中的最大值；

int dstip_min是所有|int dstip_i-int dstip_j|在所有实例中的最小值，int dstip_max是所有|int dstip_i-int dstip_j|在所有实例中的最大值。

属性标签srcport，dstport

通常攻击一般使用一个端口或者一系列连续端口进行通信，因此与属性标签srcip，dstip相类似的标准量化srcport，dstport，这里直接使用端口号作为计算距离的数值：

$d({\mathrm{srcport}}_i,{\mathrm{srcport}}_j)=\frac{{|\mathrm{intsrcport}}_i-{\mathrm{intsrcport}}_j|-{\mathrm{intsrcport}}_{\min }}{{\mathrm{intsrcport}}_{\max }-{\mathrm{intsrcport}}_{\min }}$

$d({\mathrm{dstport}}_i,{\mathrm{dstport}}_j)=\frac{{|\mathrm{intdstport}}_i-{\mathrm{intdstport}}_j|-{\mathrm{intdstport}}_{\min }}{{\mathrm{intdstport}}_{\max }-{\mathrm{intdstport}}_{\min }}$

其中int srcport_min是所有|int srcport_i-int srcport_j|在所有实例中的最小值，int srcport_max是所有|int srcport_i-int srcport_j|在所有实例中的最大值；

int dstport_min是所有|int dstport_i-int dstport_j|在所有实例中的最小值，int dstport_max是所有|int dstport_i-int dstport_j|在所有实例中的最大值。

属性标签starttime

警报的时间属性对于警报关联具有重要意义，我们认为攻击的多步原子操作，会在一定的时间段内完成，随之，警报的数量也会在一定的时间内增加。考虑设置攻击有效时间区间[T_min,T_max]，所谓的攻击有效时间是指，一般情况下攻击动作由开始到完成的持续时间。在此时间段之内的警报都视为拥有关联成为一条CorAlert的可能。属性标签距离值d(starttime_i,starttime_j)计算定义如下：

$d({\mathrm{starttime}}_i-{\mathrm{starttime}}_j)=\left\{\begin{array}{c}0,{|\mathrm{starttime}}_i-{\mathrm{starttime}}_j|<T_{\min }\\ \frac{{|\mathrm{starttime}}_i-{\mathrm{starttime}}_j|-T_{\min }}{T_{\max }-T_{\min }},T_{\min }<{|\mathrm{starttime}}_i-{\mathrm{starttime}}_j|<T_{\max }\\ 1,{|\mathrm{starttime}}_i-{\mathrm{starttime}}_j|>T_{\max }\end{array}\right.$

DisAlert警报向量距离

各个属性标签距离对于两个DisAlert警报向量的距离有不同权重的影响，由此得到两个DisAlert警报向量的距离d(DisAlert_i,DisAlert_j)计算公式如下：

式中表明，一旦某一组警报属性标签距离为1，则认为该警报不相关，所以将整个警报距离置为1，其他情况下，警报距离是各个属性标签距离的加权求和。关于各个属性标签的权重值w_k，可以由专家知识获得，人为设定；也可以由数据集学习训练获得。

3）警报验证。经过基于属性标签的聚类警报关联操作后，综合警报CorAlert具有12个属性标签，较DisAlert增加了警报严重等级level和警报发生可信度credit，去掉了警报数目num，因此表示为：

CorAlert(aid,type,level,credit,pro,srcip,dstip,srcport,dstport,starttime,endtime,summary)

警报验证阶段就是要根据网络的综合信息，给予警报严重等级level和警报发生可信度credit标签一个量化，方便后续客观真实地进行安全性评估。本方案依据CVSS评分标准中的环境属性为依据，提出了一种基于环境属性的警报验证方法E-AV。

如图4所示，E-AV警报验证使用三张表，分别为资产表、漏洞表和安全配置表，其中资产表包括待监测网络内设备的标号、配置及重要性等信息，漏洞表一般由漏洞扫描工具如OpenVas产生，而安全配置表包括待检测网络内设备的端口及服务等信息。当产生CorAlert警报时，E-AV警报验证操作主动进行如下过程：

查找资产表以确定源、目的IP地址是否为网内监控设备的IP地址，若是，则返回该设备标号mid和等级ml；

查找资产表以确定警报所涉及的操作系统，与攻击目标系统是否匹配，若匹配，则返回攻击目标设备标号mid和等级ml；

利用设备标号mid查找漏洞表以判断该设备存在该CorAlert警报攻击所利用的漏洞，返回该漏洞的等级rl；

查找安全配置表，判断该攻击所利用的端口和服务信息，该设备的端口和服务是否为开启状态；

步骤221，计算警报威胁性指数AI，

（1）计算CorAlert警报的严重等级level，

当产生CorAlert警报时，根据判断源、目的IP地址是否为网内监控设备的IP地址，警报所涉及的操作系统与攻击目标系统是否匹配，该网内监控设备是否存在该CorAlert警报攻击所利用的漏洞，该CorAlert警报攻击所利用的端口和服务是否为开启状态这n个验证条件的满足条件数m，将credit设置为0到1区间的不同概率值，计算可信度credit的概率值，满足的条件越多，概率值越高，该警报发生攻击的可信度，即可能性越高；该警报的严重等级level属性标签为设备等级ml、漏洞等级rl、警报类型type和可信度credit共同决定，其中，设备等级通过资产表获得，漏洞等级通过漏洞表获得，而警报类型通过警报信息获得，于是有如下表达式成立：

${\mathrm{credit}}_i=\frac{m}{n}$

level_i=α₁*ml_i+α₂*rl_i+α₃*type_i+α₄*credit_i

其中i代表第i条CorAlert，即CorAlert_i，α₁,α₂,α₃,α₄为权重值，

我们将警报的可信度与其对应的严重等级的乘积定义为该警报的等级指数，而警报威胁性评估指数AI为所有警报等级指数的期望。

（2）计算警报威胁性评估指数AI，

$\mathrm{AI}=\frac{1}{n}\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{\mathrm{rcedit}}_i*{\mathrm{level}}_i$

利用CorAlert_i的警报严重等级level_i和警报发生可信度credit_i计算得到该条综合警报的威胁性指数，求和所有监测时间间隔(s为十分钟)内的所有综合警报威胁性指数，从而得到监控子网中的全局警报威胁性指数。

步骤222，计算网络安全带宽指数BI，参照稳定性子指标的计算方法，先计算单台设备的网络安全带宽指数ABI，选定基期，计算基期内网络安全带宽的置信区间，然后计算报告期内网络安全带宽的置信区间，将报告期内网络安全带宽的置信区间同对应基期内网络安全带宽的置信区间比较，设定阈值T，视偏离T的程度设置该设备的网络安全带宽指数ABI，最后通过将每台设备的网络安全带宽指数加权平均得到全网的网络安全带宽指数BI；

步骤223，计算安全历史事件同期发生数目指数EOI，先计算单台设备的安全历史事件同期发生数目指数AEOI，选定基期，以间隔p划分，统计各个时间段内的安全历史事件发生数目，然后计算基期安全历史事件同期发生数目的置信区间，然后计算报告期内安全历史事件同期发生数目的置信区间，将报告期内安全历史事件同期发生数目的置信区间同对应基期内安全历史事件同期发生数目的置信区间比较，设定阈值T，视偏离T的程度设置该设备的安全历史事件同期发生数目指数AEOI，最后通过将每台设备的网络安全带宽指数加权平均得到全网的安全历史事件同期发生数目指数EOI。

步骤224，威胁性指标分值由全局警报威胁性指数，网络安全带宽指数，安全事件历史同期发生数目指数确定，

TS=AI*β₁+BI*β₂+EOI*β₃

其中，β₁+β₂+β₃=1代表全局警报威胁性指数，BI代表网络安全带宽指数、EOI代表安全事件历史同期发生数目指数，TS取值范围为[0,5]，分值越高代表威胁性越高。

步骤23，脆弱性指标分值VS计算：

步骤231，计算漏洞指标分值VVS。

本发明支持CVSS评分体系，在NVD发布的XML格式漏洞数据库基础上结合应用环境的设备和要求信息，对时间因素修正评分和环境因素修正评分进行计算，最后得出符合应用环境的自有的漏洞库表。根据漏洞扫描工具监控全网得出的漏洞报告，关联经修正的漏洞库表以及漏洞等级，得出全网的漏洞评分均值，作为全网的漏洞指标分值VVS。

步骤232，对于服务，参照待监测网络的资产表进行评估，得出服务指标分值VSS。

步骤233，脆弱性分值VS由漏洞指标分值与服务指标分值确定，

VS=VVS*γ₁+VSS*γ₂

其中，γ₁+γ₂=1，VVS代表漏洞指标分值，VSS代表服务指标分值，VS取值范围为[0,5]，分值越高代表威胁性越高。

步骤24，用户行为指标分值US计算：

对于用户行为需要利用历史记录等数据建立正常的监控网络中的用户使用行为模型，对用户行为特征组成的向量SU={关键业务常用IP，关键业务未知IP，活跃用户top N，活跃时间段，关键业务使用频度比，同时刻关键业务在线用户数}，参照稳定性指标中的计算方法，即图1稳定性指标要素评价过程进行用户行为指标分值的计算，其取值范围为[0,5]，分值越高代表威胁性越高。具体如下：以用户行为特征组成的向量SU作为用户行为指标的测度集合，针对每一台设备的每一个测度，分别计算该测度在基期和报告期的置信区间并进行比较，根据偏离阈值的程度赋予[0,5]的分值，得到每个测度的分值之后，结合每个测度的权重和分值得出单台设备的用户行为指标分值，最后综合所有设备的用户行为指标分值得出全网的用户行为指标分值。

本发明还涉及一种网络安全态势感知系统，包括：

提取模块，用于提取可用于描述网络安全态势的关键要素，包括网络流量稳定性、威胁性、脆弱性、用户行为；

指标分值计算模块，用于计算二级指标分值和一级指标分值，该一级指标分值的计算模块包括，

第一模块，用于计算网络流量稳定性指标分值SS，该二级指标包括网络流量的变化率和分布，

第二模块，用于计算威胁性指标分值TS，该二级指标包括警报数目和等级、网络使用带宽、安全事件发生历史数目和度型特征，

第三模块，用于计算脆弱性指标分值VS，该二级指标包括漏洞的数目和等级，服务种类，

第四模块，用于计算用户行为指标分值US，该二级指标包括关键业务常用IP、关键业务未知IP、活跃用户topN、活跃时间段、关键业务使用频度比、关键业务使用频度比、同时刻关键业务在线用户数；

网络安全态势值计算模块，用于利用加权求和计算整个网络安全态势值。

本发明所提出的网络安全态势感知系统，其中，在所述第一模块中，

所述网络流量的变化率包括流出Packets总数、流入Packets总数、Packets总数、流出Bytes总数、流入Bytes总数、Bytes总数、流出Flows总数、流入Flows总数和Flows总数；所述网络流量的分布包括流出数据包大小、流入数据包大小、流出方向源IP、流出方向目的IP、流出方向源端口和流出方向目的端口。

本发明所提出的网络安全态势感知系统，其中，

计算所述网络流量稳定性指标的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，根据将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值的比较，为所述网络流量稳定性指标的每个二级指标赋予范围为[0,5]的分值，并通过权重分析法，赋予每个二级指标的测度一个[0,1]的权重，利用加权求和计算出网络流量稳定性指标分值SS。

本发明所提出的网络安全态势感知系统，其中，

所述第二模块包括警报关联处理模块，用于对原始警报信息进行关联处理，生成去冗余警报和综合警报，其具体处理过程为：将原始警报的一条警报信息OriAlert及其10个属性标签表示为

OriAlert(aid,type,pro,srcip,dstip,srcport,dstport,starttime,endtime,summary)

其中，该属性标签依次为警报名称、警报类型、协议类型、警报源IP地址、警报目的IP地址、警报源端口、警报目的端口、产生警报时间、结束警报时间、警报描述；将该OriAlert按srcip、dstip、type属性标签进行横向的初步聚集，将不同警报规范化到IDMEF格式；将存在重复关系的该OriAlert进行归并处理，并生成去冗余警报DisAlert，该DisAlert区别于该OriAlert，增加有num属性标签，代表具有重复关系的警报数目；依据关联规则对该DisAlert进行警报关联分析，得出最后的综合警报CorAlert，该CorAlert的属性标签较该DisAlert增加了警报严重等级level和警报发生可信度credit，去掉了警报数目num。

本发明所提出的网络安全态势感知系统，其中，所述第二模块具体包括：

警报威胁性指数AI计算模块，计算过程如下，

（1）计算所述CorAlert的警报严重等级level，

当产生所述CorAlert时，根据判断所述警报源IP地址、所述警报目的IP地址是否为网内监控设备的IP地址，警报所涉及的操作系统与攻击目标系统是否匹配，监控设备是否存在所述CorAlert攻击所利用的漏洞，所述CorAlert攻击所利用的端口和服务是否为开启状态这n个验证条件的满足条件数m，计算所述警报发生可信度credit的概率值，即所述警报发生可信度credit为m与n的比值，分别通过资产表获得设备等级ml，通过漏洞表获得漏洞等级rl，通过所述OriAlert获得警报类型type后，加权求和所述设备等级ml、所述漏洞等级rl、所述警报类型type和所述警报发生可信度credit计算得出所述CorAlert的警报严重等级level；

（2）将所述警报发生可信度credit与所述警报严重等级level的乘积定义为所述CorAlert的等级指数，则警报威胁性评估指数AI为所有所述CorAlert的等级指数的期望。

本发明所提出的网络安全态势感知系统，其中，所述第二模块还包括：

网络安全带宽指数BI计算模块，统计报告期rp、基期bp时期内的网络安全带宽，然后分别计算出该网络安全带宽的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的网络安全带宽指数ABI，最后通过将每台监控设备的网络安全带宽指数ABI加权平均得到网络安全带宽指数BI；

安全事件历史同期发生数目指数EOI计算模块，统计报告期rp、基期bp时期内的安全事件历史同期发生数目，然后分别计算该安全事件历史同期发生数目的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的安全历史事件同期发生数目指数AEOI，最后通过将每台监控设备的安全事件历史同期发生数目指数AEOI加权平均得到安全历史事件同期发生数目指数EOI。

威胁性指标分值TS计算模块，用于通过加权求和该警报威胁性指数AI、该网络安全带宽指数BI、该安全事件历史同期发生数目EOI计算得出威胁性指标分值TS。

本发明所提出的网络安全态势感知系统，其中，所述第三模块具体包括：

漏洞指标分值VVS计算模块，在XML格式漏洞数据库基础上结合应用环境的设备和要求信息，对时间因素修正评分和环境因素修正评分进行计算，最后得出符合应用环境的自有的漏洞库表，根据漏洞扫描工具监控全网得出的漏洞报告，关联经修正的漏洞库表以及漏洞等级，得出全网的漏洞评分均值，作为全网的漏洞指标分值VVS；

服务指标分值VSS计算模块，参照监测网络的资产表进行评估，得出服务指标分值VSS；

脆弱性分值VS计算模块，通过加权求和漏洞指标分值VVS与服务指标分值VSS，计算脆弱性分值VS。

本发明所提出的网络安全态势感知系统，其中，在所述第四模块中，

利用历史记录数据建立正常的监控网络中的用户使用行为模型，计算用户行为的二级指标的测度集合中的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，根据偏离所述阈值的程度为每个二级指标赋予范围为[0,5]的分值，结合每个测度的权重和分值得出单台设备的用户行为指标分值，最后综合所有设备的用户行为指标分值得出用户行为指标分值US。

Claims (16)

1.一种网络安全态势感知方法，其特征在于，包括如下步骤：

步骤1，提取可用于描述网络安全态势的关键要素，包括网络流量稳定性、威胁性、脆弱性、用户行为；

步骤2，对提取的该关键要素，进行二级指标分值和一级指标分值计算，该一级指标分值的计算包括，

步骤21，计算网络流量稳定性指标分值SS，该二级指标包括网络流量的变化率和分布，

步骤22，计算威胁性指标分值TS，该二级指标包括警报数目和等级、网络使用带宽、安全事件发生历史数目，

步骤23，计算脆弱性指标分值VS，该二级指标包括漏洞的数目和等级，服务种类，

步骤24，计算用户行为指标分值US，该二级指标包括关键业务常用IP、关键业务未知IP、活跃用户topN、活跃时间段、关键业务使用频度比、关键业务使用频度比、同时刻关键业务在线用户数；

步骤3，利用加权求和计算网络安全态势值NASA_Score。

2.如权利要求1所述的网络安全态势感知方法，其特征在于，在步骤21中，

所述网络流量的变化率包括流出Packets总数、流入Packets总数、Packets总数、流出Bytes总数、流入Bytes总数、Bytes总数、流出Flows总数、流入Flows总数和Flows总数；所述网络流量的分布包括流出数据包大小、流入数据包大小、流出方向源IP、流出方向目的IP、流出方向源端口和流出方向目的端口。

3.如权利要求1-2所述的网络安全态势感知方法，其特征在于，

计算所述网络流量稳定性指标的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，根据将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值的比较，为所述网络流量稳定性指标的每个二级指标赋予范围为[0,5]的分值，并通过权重分析法，赋予每个二级指标的测度一个[0,1]的权重，利用加权求和计算出网络流量稳定性指标分值SS。

4.如权利要求1所述的网络安全态势感知方法，其特征在于，所述步骤22包括警报关联处理：将原始警报的一条警报信息OriAlert及其10个属性标签表示为

OriAlert(aid,type,pro,srcip,dstip,srcport,dstport,starttime,endtime,summary)

其中，该属性标签依次为警报名称、警报类型、协议类型、警报源IP地址、警报目的IP地址、警报源端口、警报目的端口、产生警报时间、结束警报时间、警报描述；将该OriAlert按srcip、dstip、type属性标签进行横向的初步聚集，将不同警报规范化到IDMEF格式；将存在重复关系的该OriAlert进行归并处理，并生成去冗余警报DisAlert，该DisAlert区别于该OriAlert，增加有num属性标签，代表具有重复关系的警报数目；依据关联规则对该DisAlert进行警报关联分析，得出最后的综合警报CorAlert，该CorAlert的属性标签较该DisAlert增加了警报严重等级level和警报发生可信度credit，去掉了警报数目num。

5.如权利要求1或权利要求4所述的网络安全态势感知方法，其特征在于，该步骤22包括：

步骤221，计算警报威胁性指数AI，

（1）计算所述CorAlert的警报严重等级level，

当产生所述CorAlert时，根据判断所述警报源IP地址、所述警报目的IP地址是否为网内监控设备的IP地址，警报所涉及的操作系统与攻击目标系统是否匹配，监控设备是否存在所述CorAlert攻击所利用的漏洞，所述CorAlert攻击所利用的端口和服务是否为开启状态这n个验证条件的满足条件数m，计算所述警报发生可信度credit的概率值，即所述警报发生可信度credit为m与n的比值，分别通过资产表获得设备等级ml，通过漏洞表获得漏洞等级rl，通过所述OriAlert获得警报类型type后，加权求和所述设备等级ml、所述漏洞等级rl、所述警报类型type和所述警报发生可信度credit计算得出所述CorAlert的警报严重等级level；

（2）将所述警报发生可信度credit与所述警报严重等级level的乘积定义为所述CorAlert的等级指数，则警报威胁性评估指数AI为所有所述CorAlert的等级指数的期望。

6.如权利要求1所述的网络安全态势感知方法，其特征在于，该步骤22还包括：

步骤222，计算网络安全带宽指数BI，包括统计报告期rp、基期bp时期内的网络安全带宽，然后分别计算出该网络安全带宽的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的网络安全带宽指数ABI，最后通过将每台监控设备的网络安全带宽指数ABI加权平均得到网络安全带宽指数BI；

步骤223，计算安全事件历史同期发生数目指数EOI，统计报告期rp、基期bp时期内的安全事件历史同期发生数目，然后分别计算该安全事件历史同期发生数目的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的安全历史事件同期发生数目指数AEOI，最后通过将每台监控设备的安全事件历史同期发生数目指数AEOI加权平均得到安全历史事件同期发生数目指数EOI；

步骤224，通过加权求和该警报威胁性指数AI、该网络安全带宽指数BI、该安全事件历史同期发生数目EOI计算得出威胁性指标分值TS。

7.如权利要求1所述的网络安全态势感知方法，其特征在于，所述步骤23具体为，

步骤231，在XML格式漏洞数据库基础上结合应用环境的设备和要求信息，对时间因素修正评分和环境因素修正评分进行计算，最后得出符合应用环境的自有的漏洞库表，根据漏洞扫描工具监控全网得出的漏洞报告，关联经修正的漏洞库表以及漏洞等级，得出全网的漏洞评分均值，作为全网的漏洞指标分值VVS；

步骤232，参照监测网络的资产表进行评估，得出服务指标分值VSS；

步骤233，通过加权求和该漏洞指标分值VVS与该服务指标分值VSS，计算脆弱性分值VS。

8.如权利要求1所述的网络安全态势感知方法，其特征在于，所述步骤24具体为，

利用历史记录数据建立正常的监控网络中的用户使用行为模型，计算用户行为的二级指标的测度集合中的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，根据偏离所述阈值的程度为每个二级指标赋予范围为[0,5]的分值，结合每个测度的权重和分值得出单台设备的用户行为指标分值，最后综合所有设备的用户行为指标分值得出用户行为指标分值US。

9.一种网络安全态势感知系统，其特征在于，包括：

提取模块，用于提取可用于描述网络安全态势的关键要素，包括网络流量稳定性、威胁性、脆弱性、用户行为；

指标分值计算模块，用于计算二级指标分值和一级指标分值，该一级指标分值的计算模块包括，

第一模块，用于计算网络流量稳定性指标分值SS，该二级指标包括网络流量的变化率和分布，

第二模块，用于计算威胁性指标分值TS，该二级指标包括警报数目和等级、网络使用带宽、安全事件发生历史数目和度型特征，

第三模块，用于计算脆弱性指标分值VS，该二级指标包括漏洞的数目和等级，服务种类，

第四模块，用于计算用户行为指标分值US，该二级指标包括关键业务常用IP、关键业务未知IP、活跃用户topN、活跃时间段、关键业务使用频度比、关键业务使用频度比、同时刻关键业务在线用户数；

网络安全态势值计算模块，用于利用加权求和计算整个网络安全态势值。

10.如权利要求9所述的网络安全态势感知系统，其特征在于，在所述第一模块中，

所述网络流量的变化率包括流出Packets总数、流入Packets总数、Packets总数、流出Bytes总数、流入Bytes总数、Bytes总数、流出Flows总数、流入Flows总数和Flows总数；所述网络流量的分布包括流出数据包大小、流入数据包大小、流出方向源IP、流出方向目的IP、流出方向源端口和流出方向目的端口。

11.如权利要求9-10所述的网络安全态势感知系统，其特征在于，

计算所述网络流量稳定性指标的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，根据将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值的比较，为所述网络流量稳定性指标的每个二级指标赋予范围为[0,5]的分值，并通过权重分析法，赋予每个二级指标的测度一个[0,1]的权重，利用加权求和计算出网络流量稳定性指标分值SS。

12.如权利要求9所述的网络安全态势感知系统，其特征在于，所述第二模块包括警报关联处理模块，用于对原始警报信息进行关联处理，生成去冗余警报和综合警报，其具体处理过程为：将原始警报的一条警报信息OriAlert及其10个属性标签表示为

OriAlert(aid,type,pro,srcip,dstip,srcport,dstport,starttime,endtime,summary)

其中，该属性标签依次为警报名称、警报类型、协议类型、警报源IP地址、警报目的IP地址、警报源端口、警报目的端口、产生警报时间、结束警报时间、警报描述；将该OriAlert按srcip、dstip、type属性标签进行横向的初步聚集，将不同警报规范化到IDMEF格式；将存在重复关系的该OriAlert进行归并处理，并生成去冗余警报DisAlert，该DisAlert区别于该OriAlert，增加有num属性标签，代表具有重复关系的警报数目；依据关联规则对该DisAlert进行警报关联分析，得出最后的综合警报CorAlert，该CorAlert的属性标签较该DisAlert增加了警报严重等级level和警报发生可信度credit，去掉了警报数目num。

13.如权利要求9或权利要求12所述的网络安全态势感知系统，其特征在于，所述第二模块具体包括：

警报威胁性指数AI计算模块，计算过程如下，

（1）计算所述CorAlert的警报严重等级level，

当产生所述CorAlert时，根据判断所述警报源IP地址、所述警报目的IP地址是否为网内监控设备的IP地址，警报所涉及的操作系统与攻击目标系统是否匹配，监控设备是否存在所述CorAlert攻击所利用的漏洞，所述CorAlert攻击所利用的端口和服务是否为开启状态这n个验证条件的满足条件数m，计算所述警报发生可信度credit的概率值，即所述警报发生可信度credit为m与n的比值，分别通过资产表获得设备等级ml，通过漏洞表获得漏洞等级rl，通过所述OriAlert获得警报类型type后，加权求和所述设备等级ml、所述漏洞等级rl、所述警报类型type和所述警报发生可信度credit计算得出所述CorAlert的警报严重等级level；

（2）将所述警报发生可信度credit与所述警报严重等级level的乘积定义为所述CorAlert的等级指数，则警报威胁性评估指数AI为所有所述CorAlert的等级指数的期望。

14.如权利要求9所述的网络安全态势感知系统，其特征在于，所述第二模块还包括：

网络安全带宽指数BI计算模块，统计报告期rp、基期bp时期内的网络安全带宽，然后分别计算出该网络安全带宽的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的网络安全带宽指数ABI，最后通过将每台监控设备的网络安全带宽指数ABI加权平均得到网络安全带宽指数BI；

安全事件历史同期发生数目指数EOI计算模块，统计报告期rp、基期bp时期内的安全事件历史同期发生数目，然后分别计算该安全事件历史同期发生数目的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的安全历史事件同期发生数目指数AEOI，最后通过将每台监控设备的安全事件历史同期发生数目指数AEOI加权平均得到安全历史事件同期发生数目指数EOI；

威胁性指标分值TS计算模块，用于通过加权求和该警报威胁性指数AI、该网络安全带宽指数BI、该安全事件历史同期发生数目EOI计算得出威胁性指标分值TS。

15.如权利要求9所述的网络安全态势感知系统，其特征在于，所述第三模块具体包括：

漏洞指标分值VVS计算模块，在XML格式漏洞数据库基础上结合应用环境的设备和要求信息，对时间因素修正评分和环境因素修正评分进行计算，最后得出符合应用环境的自有的漏洞库表，根据漏洞扫描工具监控全网得出的漏洞报告，关联经修正的漏洞库表以及漏洞等级，得出全网的漏洞评分均值，作为全网的漏洞指标分值VVS；

服务指标分值VSS计算模块，参照监测网络的资产表进行评估，得出服务指标分值VSS；

脆弱性分值VS计算模块，通过加权求和漏洞指标分值VVS与服务指标分值VSS，计算脆弱性分值VS。

16.如权利要求9所述的网络安全态势感知系统，其特征在于，在所述第四模块中，

利用历史记录数据建立正常的监控网络中的用户使用行为模型，计算用户行为的二级指标的测度集合中的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，根据偏离所述阈值的程度为每个二级指标赋予范围为[0,5]的分值，结合每个测度的权重和分值得出单台设备的用户行为指标分值，最后综合所有设备的用户行为指标分值得出用户行为指标分值US。

Images