CN103748989B - 一种矩阵式多粒度网络安全威胁态势评估方法 - Google Patents

Abstract

本发明涉及一种矩阵式多粒度网络安全威胁态势评估方法，属于网络信息 安全技术领域。本发明依据当前网络攻击的多阶段特点，基于受保护网络的拓 扑和入侵检测系统收集的不同种类的攻击信息、网络扫描设备收集的漏洞信息， 结合完整的攻击过程中逐步深入的攻击阶段，首次将各类攻击信息与攻击阶段 进行对应，构建了一种矩阵式网络安全威胁态势模型，并给出了相应量化评估 算法。本发明提出的评估方法能够提供更多粒度、更为细致的态势信息。特别 地，每一阶段的攻击对每台主机形成的威胁态势和每一阶段的攻击形成的综合 威胁态势是目前所有层次化评估模型不能给出的。

Description

一种矩阵式多粒度网络安全威胁态势评估方法

技术领域

本发明涉及一种矩阵式多粒度网络安全威胁态势评估方法，属于网络信息安全技术领域。

背景技术

所谓网络安全威胁态势即网络所面临的威胁的状态及趋势。切实有效的网络安全威胁态势评估可以使安全管理人员实时、准确地把握网络的安全状况及趋势，充分认识网络存在的风险，及时采取有效的安全防范措施，将安全隐患消灭在萌芽状态。

网络安全威胁态势评估的研究主要涉及网络安全威胁态势评估模型、评估算法及评估结果的可视化等三项核心技术，是网络安全领域的一个新方向，研究难度大，进展缓慢。

评价网络安全威胁态势评估的效果主要有评估粒度和评估精度两个指标。评估粒度主要取决于网络安全威胁态势评估模型的优劣，评估精度主要取决于评估算法的好坏。显然，评估粒度越细，提供给安全管理员的信息就越详尽；评估精度越高，提供给安全管理员的信息就越准确。

网络安全威胁态势评估的目的就是判断在某一时间段内，所有黑客的攻击行为对网络造成的威胁有多大。通常，一个黑客要实现自己诸如偷窃信息等恶意目标，必须经过多步攻击才能完成：首先是探测，在网上搜寻存在弱点的主机；然后是通过权限提升手段，使自己获得对主机的控制能力，也就是占领主机；最后才是真正的入侵，实施盗窃等行为。因此，整个攻击过程表现为一个多阶段、逐步深入的过程，一个攻击行为完成后达到新的攻击状态，使下一个阶段的攻击行为成为可能。显然，随着攻击阶段的不断深入，相应攻击行为对网络系统的威胁程度逐级加大。

每一个阶段的攻击手段都是多样化的。以探测阶段为例，探测可以分为嗅探(Sniffing)，跟踪足迹(Footprinting)，扫描(Scanning)，列举(Enumeration)等4类。而每一类攻击手段又包含若干具体的攻击行为，如IP扫描、端口扫描等均属于扫描类。

从防护方的角度看，入侵检测系统(IDS)是目前主流的攻击行为监控报警设备。IDS的报警量很大，监控一个中等规模网络，其报警量每天接近G数量级。这些海量的报警中，包含着来自不同黑客的处于不同阶段的攻击行为，这些行为对网络形成了不同程度的威胁。

网络环境是一个攻防对抗的环境，攻击方采取各种手段试图攻入，防护方则采用防火墙等手段进行阻挡。这样，针对某一网络的攻击就可以分为潜在威胁和实际攻击两种。潜在威胁是指被防火墙等设备屏蔽掉的攻击行为，实际攻击是指突破防火墙限制进入网络的攻击行为和来自网络内部用户的攻击行为。

获取实际攻击信息仅需要在被保护网络内部部署IDS，而获取潜在威胁信息则必须在防火墙的外面增加一台IDS，成本会增加，因而企事业单位多选择仅在网络内部部署IDS。

相应地，根据使用的攻击信息源的不同，网络安全态势评估亦可以分为两种：第一种是仅依据实际攻击信息进行威胁评估；第二种是评估时同时考虑潜在威胁和实际攻击对态势的影响。这两种评估因数据源的不同造成了评估模型和评估算法的差异。

从可查阅的文献情况看，绝大多数的评估是基于实际攻击信息进行的。其中陈秀真等人在文献《层次化网络安全威胁态势量化评估方法》(软件学报.2006，17(4)：885-897)中提出的层次化网络安全威胁态势评估模型是评估效果比较好的一种方法，评估模型如图1所示。该方法利用IDS报警，基于服务(service)、主机(host)的重要性，采用自下而上、先局部后整体的评估策略，构建了层次化网络安全威胁态势评估模型和相应的量化计算方法，定量评估了网络所受攻击的状况。该系统减轻了管理员繁重的报警数据分析任务，能够提供服务(Service)、主机(Host)和网络系统(System)3个层次的安全威胁态势，使其对系统的安全威胁状况有宏观的了解。该模型的基本原理是认为主机(Host)的态势是由该主机提供的所有服务(Service)的态势组合而成，网络系统(System)的态势又是由组成网络的相应主机(Host)的态势组合而成。

但该方法的缺点是：

1.模型中的主机(Host)指的是能够提供网络服务(Service)的服务器，不包括网络中的其他设备，因而对主机态势的评估仅限于对提供网络服务的服务器态势进行评估，评估是不全面的；进而，模型对网络系统(System)态势 的评估仅考虑了服务器这一类设备对网络系统态势的影响，评估也是不全面的，因此评估精度不够高。

2.基于层次化方法，该方法给出的态势报告在每一层次上都仅仅是一个综合的威胁结果，粒度不够细，安全管理员无法从中了解不同种类攻击在态势演化中的作用，而缺失的这部分信息恰恰是安全管理员赖以查找发生安全变化的原因、制定合理的安全策略，以便采用有效安全防护措施的关键。

发明内容

本发明的目的是为了进一步细化网络安全态势评估粒度和精度而提出的一种矩阵式多粒度网络安全威胁态势评估方法。

本发明基于受保护网络的拓扑和入侵检测系统(IDS)收集的不同阶段的攻击信息、网络扫描设备收集的漏洞信息，结合完整的攻击过程中逐步深入的攻击阶段，构建一种矩阵式网络安全威胁态势评估模型，并设计相应的量化评估算法，以提供不同粒度的威胁态势，为安全管理员提供更多有参考价值的信息，使安全管理员能够及时采取有效的防范和对抗措施，保障网络的安全。本发明的评估方法适用于对实际攻击造成的威胁度的评价。

本发明提出的矩阵式多粒度网络安全威胁态势评估模型如图2所示。

整个模型形成一个m×n的矩阵，矩阵中的行是被评估网络系统中所有的主机；矩阵中的列是网络系统受到的不同阶段的攻击情况。

图2中，主机i所在行对应的虚线椭圆标识的范围描述的是第i台主机的综合威胁态势；第j阶段所在列对应的虚线椭圆标识的范围描述的是第j阶段的攻击形成的综合威胁态势；两个椭圆相交的灰色圆点描述的是第j阶段的攻击对第i台主机形成的威胁态势；图中的实线圆角矩形描述的是网络系统的整体态势。

图2可以抽象为矩阵形式，如图3所示。

矩阵中，用每台主机的IP地址IP_i(i＝1，…，m)标识m台主机，用C_j(j＝1，…，n)标识n个攻击阶段，矩阵中的元素

表示在某一时间段内网络中第j阶段的攻击对第i台主机形成的威胁态势。

基于上述模型的威胁态势评估方法的整体框架设计流程如图4所示，步骤如下：

步骤一、评估每一阶段的攻击对每台主机形成的威胁态势，即计算矩阵中 的每一个元素的值，表示为

首先定义相关的形式化表达：

①集合

表示在某一时间段Δt内，IDS检测到的针对主机i的第j攻击阶段的所有攻击，共有k项。

②集合

表示在某一时间段Δt内，IDS检测到的针对主机i的第j攻击阶段的每一项攻击的严重性等级。较佳地，参照Snort(当前最主流的开源IDS)对攻击严重性的等级定义，将攻击分为高、中、低三等，计算时，分别用3，2，1表示。

③集合表示在某一时间段Δt内，根据主机上漏洞的存在情况，对IDS检测到的针对主机i的第j攻击阶段的每一项攻击的严重性等级进行调整以后的结果。

④集合

表示在某一时间段Δt内，IDS检测到的针对主机i的第j攻击阶段的每一项攻击发生的次数。

⑤集合 ${\stackrel{\→}{V}}_{I{P}_i,C_j}=\{v_1,v_2,...,v_k\}:$ 表示集合 ${\stackrel{\→}{A}}_{I{P}_i,C_j}=\{a_1,a_2,...,a_k\}$ 中的每一项攻击对应的特定漏洞。“某一项攻击是针对特定漏洞的”含义是指只有当主机上具有相应漏洞时，该项攻击才能成功。如果某项攻击行为不是针对特定漏洞的，则定义v_i＝ε。

⑥集合

表示漏洞扫描工具发现的主机i上具有的所有漏洞。

然后，根据上述定义，计算矩阵中的每一个元素的值

具体计算步骤如下：

第1步：给出每一个攻击阶段在评估中的权重，用

表示，其体现不同攻击阶段对网络形成的威胁态势的严重程度。可通过公式1计算得到。

${\mathrm{\ω}}_j^{\′}=\frac{j}{\underset{q=1}{\overset{n}{\mathrm{\Σ}}}q}=\frac{2j}{n(n+1)}---\left(1\right)$

其中，n为划分的攻击阶段数量。

第2步：给出网络中每台主机在评估中的权重，用ω_i(i＝1，…，m)表示，其体现不同主机在网络中的价值高低。

首先，令集合Value＝{Value₁，Value₂，…，Value_m}表示网络中m台主机的资产价值， 其取值原则为：根据资产价值的重要程度进行分类，并按照资产价值的重要程度越高，其值越大的原则进行赋值。

然后，ω_i(i＝1，…，m)的值可通过公式2计算得到。

${\mathrm{\ω}}_i=\frac{{\mathrm{Value}}_i}{\underset{q=1}{\overset{m}{\mathrm{\Σ}}}{\mathrm{Value}}_q}---\left(2\right)$

第3步：在IDS报警中提取在某一时间段Δt内，IDS检测到的针对该主机的每一攻击阶段的所有攻击

相应严重度等级 ${\stackrel{\→}{L}}_{{\mathrm{IP}}_i,C_j}=\{l_1,l_2,...,l_k\},$ 各攻击对应的特定漏洞 ${\stackrel{\→}{V}}_{I{P}_i,C_j}=\{v_1,v_2,...,v_k\}$ 及各攻击发生次数 ${\stackrel{\→}{T}}_{I{P}_i,C_j}=\{n_1,n_2,...,n_k\}$ 等数据。

第4步：根据主机上漏洞的真实存在情况

对每一项攻击的严重性等级进行调整，构造集合

调整原则为：

即，若v_q＝ε或

表示该攻击与漏洞无关或者主机上存在该攻击针对的特定漏洞，此时攻击等级不变；若v_q≠ε且

表示主机上不存在该攻击针对的特定漏洞，攻击实际上不可能成功，此时攻击调低一个等级。

第5步：根据公式3计算矩阵中的每一个元素的值

$S_{{\mathrm{IP}}_i,C_j}={\mathrm{\ω}}_j^{\′}\·{\mathrm{\ω}}_i\·{\mathrm{\α}}^{\frac{{\mathrm{\ω}}_i}{{\mathrm{\ω}}_{\min }}}\·\underset{q=1}{\overset{k}{\mathrm{\Σ}}}{l}_q^{\′}\·n_q---\left(3\right)$

其中，α为调节因子，取值大于1；ω_min表示主机权重的最小值。

α用于保证当攻击针对一台很重要的主机时，即使攻击本身形成的威胁并不大，评估值仍然可以较大，以提醒安全管理人员优先对重要主机发生的状况进行处理。

通过以上步骤，评估出每一阶段的攻击对每台主机形成的威胁态势。

步骤二、计算每台主机的综合威胁态势

在步骤一的基础上，计算每台主机的综合威胁态势。该态势即矩阵中每一行元素的和，表示为

可通过公式4计算得到。

$S_{{\mathrm{IP}}_i}=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}---\left(4\right)$

步骤三、计算每一阶段的攻击形成的综合威胁态势

在步骤一的基础上，计算每一阶段的攻击形成的综合威胁态势。该态势即矩阵中的每一列元素的和，表示为

可通过公式5计算得到。

$S_{C_j}=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}---\left(5\right)$

步骤四、计算网络系统的整体态势

在步骤一的基础上，计算每一阶段的攻击形成的综合威胁态势。该态势即整个矩阵的和，表示为S。S可通过公式6计算得到。

$S=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}---\left(6\right)$

有益效果

本发明依据当前网络攻击的多阶段特点，基于受保护网络的拓扑和入侵检测系统(IDS)收集的不同种类的攻击信息、网络扫描设备收集的漏洞信息，结合完整的攻击过程中逐步深入的攻击阶段，首次将各类攻击信息与攻击阶段进行对应，构建了一种矩阵式网络安全威胁态势模型，并给出了相应量化评估算法。该方法与目前主流的层次化模型相比，可以表征如下四种粒度的威胁态势：

①每一阶段的攻击对每台主机形成的威胁态势；

②每台主机的综合威胁态势；

③每一阶段的攻击形成的综合威胁态势；

④网络系统的整体态势。

显然，第①、③种威胁态势是所有层次化评估模型均不能给出的。本发明提出的评估模型能够提供更多粒度、更为细致的态势信息。

附图说明

图1为已有技术的层次化网络安全威胁态势评估模型；

图2为本发明的一种矩阵式多粒度网络安全威胁态势模型图；

图3为本发明的一种矩阵式多粒度网络安全威胁态势模型的矩阵化抽象图；

图4为本发明的一种矩阵式多粒度网络安全威胁态势评估方法的整体框架设计流程图。

具体实施方式

下面结合实施例对本发明方案进行详细说明。

实验网络里有三台主机，主机1(IP₁)为对外提供www服务的服务器，主机2(IP₂)为内部www服务器，主机3(IP₃)为普通主机。

将攻击分为三个阶段：探测(C₁)、权限提升(C₂)和入侵(C₃)。

令α＝10。

用漏洞扫描工具发现的各台主机上具有的漏洞情况为：

${\stackrel{\→}{V}}_{{\mathrm{IP}}_1}^{\′}=\{{\stackrel{\·}{v}}_1^{\′},{\stackrel{\·}{v}}_2^{\′},\·\·\·,{\stackrel{\·}{v}}_{10}^{\′}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_2}^{\′}=\{{\stackrel{\·\·}{v}}_1^{\′},{\stackrel{\·\·}{v}}_2^{\′},\·\·\·,{\stackrel{\·\·}{v}}_{12}^{\′}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_3}^{\′}=\{{\stackrel{\·\·\·}{v}}_1^{\′},{\stackrel{\·\·\·}{v}}_2^{\′},\·\·\·,{\stackrel{\·\·\·}{v}}_{15}^{\′}\}$

具体评估如下：

步骤一、评估每台主机受到每一阶段的攻击形成的威胁态势，表示为

第1步：给出每一个攻击阶段在评估中的权重，依据公式1，有：

${\mathrm{\ω}}_1^{\′}=\frac{2}{3(3+1)}=0.2;$ ${\mathrm{\ω}}_2^{\′}=\frac{4}{3(3+1)}=0.3;$ ${\mathrm{\ω}}_3^{\′}=\frac{6}{3(3+1)}=0.5$

第2步：给出网络中每台主机在评估中的权重，用ω_i(i＝1，…，m)表示，其体现不同主机在网络中的价值高低。

按如下方式定义主机价值：

第一类：普通主机，赋值1；

第二类：对外网用户提供FTP、WWW、E-mail等网络服务的服务器，赋值2；

第三类：对外网用户提供数据服务的服务器，以及对内网用户提供FTP、WWW、E-mail等网络服务的服务器，赋值3；

第四类：对内网用户提供数据服务的服务器，赋值4；

第五类：内网存放关键信息、提供关键应用的主机，赋值5。

则集合Value＝{2，3，1}，依据公式2，有：

${\mathrm{\ω}}_1=\frac{2}{2+3+1}=0.3;$ ${\mathrm{\ω}}_2=\frac{3}{2+3+1}=0.5;$ ${\mathrm{\ω}}_3=\frac{1}{2+3+1}=0.2$

显然，ω_min＝0.2

第3步：在IDS报警中提取在某一时间段Δt内，IDS检测到的针对该主机的每一攻击阶段的所有攻击构成的集合：

${\stackrel{\→}{A}}_{{\mathrm{IP}}_1,C_1}=\{{\stackrel{\·}{a}}_{11},{\stackrel{\·}{a}}_{21},{\stackrel{\·}{a}}_{31},{\stackrel{\·}{a}}_{41},{\stackrel{\·}{a}}_{51}\};$ ${\stackrel{\→}{A}}_{{\mathrm{IP}}_1,C_2}=\{{\stackrel{\·}{a}}_{12},{\stackrel{\·}{a}}_{22},{\stackrel{\·}{a}}_{32},{\stackrel{\·}{a}}_{42}\};$ ${\stackrel{\→}{A}}_{{\mathrm{IP}}_1,C_3}=\{{\stackrel{\·}{a}}_{13},{\stackrel{\·}{a}}_{23},{\stackrel{\·}{a}}_{33}\};$

${\stackrel{\→}{A}}_{{\mathrm{IP}}_2,C_1}=\{{\stackrel{\·\·}{a}}_{11},{\stackrel{\·\·}{a}}_{21},{\stackrel{\·\·}{a}}_{31},{\stackrel{\·\·}{a}}_{41}\};$ ${\stackrel{\→}{A}}_{{\mathrm{IP}}_2,C_2}=\{{\stackrel{\·\·}{a}}_{12},{\stackrel{\·\·}{a}}_{22}\};$ ${\stackrel{\→}{A}}_{{\mathrm{IP}}_2,C_3}=\{{\stackrel{\·\·}{a}}_{13},{\stackrel{\·\·}{a}}_{23}\};$

${\stackrel{\→}{A}}_{{\mathrm{IP}}_3,C_1}=\{{\stackrel{\·\·\·}{a}}_{31},{\stackrel{\·\·\·}{a}}_{31},{\stackrel{\·\·\·}{a}}_{31}\};$ ${\stackrel{\→}{A}}_{{\mathrm{IP}}_3,C_2}=\mathrm{\Φ};$ ${\stackrel{\→}{A}}_{{\mathrm{IP}}_3,C_3}=\mathrm{\Φ}$

相应严重度等级集合：

${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_1}=\left\{\mathrm{1,1,2,1,1}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_2}=\{\mathrm{2,1},\mathrm{2,3}\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_3}=\left\{\mathrm{3,3,2}\right\};$

${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_1}=\left\{\mathrm{2,3,2,1}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_2}=\left\{\mathrm{2,1}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_3}=\left\{\mathrm{3,1}\right\};$

${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_1}=\left\{\mathrm{1,1,2}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_2}=\mathrm{\Φ};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_3}=\mathrm{\Φ};$

各攻击对应的特定漏洞集合：

${\stackrel{\→}{V}}_{{\mathrm{IP}}_1,C_1}=\{\mathrm{\ϵ},\mathrm{\ϵ},{\stackrel{\·}{v}}_3^{\′},\mathrm{\ϵ},\mathrm{\ϵ}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_1,C_2}=\{{\stackrel{\·}{v}}_{11},\mathrm{\ϵ},{\stackrel{\·}{v}}_2^{\′},{\stackrel{\·}{v}}_4^{\′}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_1,C_3}=\{{\stackrel{\·}{v}}_1^{\′},{\mathrm{\ϵ},\stackrel{\·}{v}}_{12}^{\′}\};$

${\stackrel{\→}{V}}_{{\mathrm{IP}}_2,C_1}=\{\mathrm{\ϵ},\mathrm{\ϵ},{\stackrel{\·\·}{v}}_2^{\′},\mathrm{\ϵ}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_2,C_2}=\left\{{\stackrel{\·\·}{v}}_{12}^{\′}{,\stackrel{\·\·}{v}}_{13}^{\′}\right\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_2,C_3}=\{\mathrm{\ϵ},{\stackrel{\·\·}{v}}_{10}^{\′}\};$

${\stackrel{\→}{V}}_{{\mathrm{IP}}_3,C_1}=\{\mathrm{\ϵ},\mathrm{\ϵ},{\stackrel{\·\·\·}{v}}_{16}^{\′}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_3,C_2}=\mathrm{\Φ};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_3,C_3}=\mathrm{\Φ};$

各攻击发生次数集合：

${\stackrel{\→}{T}}_{{\mathrm{IP}}_1,C_1}=\left\{\mathrm{10,7,3,2,1}\right\};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_1,C_2}=\left\{\mathrm{5,4,2,1}\right\};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_1,C_3}=\left\{\mathrm{1,6,2}\right\};$

${\stackrel{\→}{T}}_{{\mathrm{IP}}_2,C_1}=\left\{\mathrm{3,7,1,2}\right\};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_2,C_2}=\left\{\mathrm{3,1}\right\};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_2,C_3}=\left\{\mathrm{2,4}\right\};$

${\stackrel{\→}{T}}_{{\mathrm{IP}}_3,C_1}=\left\{\mathrm{12,1,2}\right\};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_3,C_2}=\mathrm{\Φ};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_3,C_3}=\mathrm{\Φ}$

第4步：根据主机上漏洞的真实存在情况对每一项攻击的严重性等级进行调整，构造集合为：

${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_1}^{\′}=\left\{\mathrm{1,1,2,1,1}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_2}^{\′}=\{\mathrm{1,1,2},3\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_3}^{\′}=\left\{\mathrm{3,3,1}\right\};$

${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_1}^{\′}=\left\{\mathrm{2,3,2,1}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_2}^{\′}=\{2,0\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_3}^{\′}=\left\{\mathrm{3,1}\right\};$

${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_1}^{\′}=\left\{\mathrm{1,1,1}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_2}^{\′}=\mathrm{\Φ};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_3}^{\′}=\mathrm{\Φ}$

第5步：根据公式3计算矩阵中的每一个元素的值

结果如下。

$S_{{\mathrm{IP}}_1,C_1}=47;$ $S_{{\mathrm{IP}}_1,C_2}=43;$ $S_{{\mathrm{IP}}_1,C_3}=104;$

$S_{{\mathrm{IP}}_2,C_1}=930;$ $S_{{\mathrm{IP}}_2,C_2}=270;$ $S_{{\mathrm{IP}}_2,C_3}=750;$

$S_{{\mathrm{IP}}_3,C_1}=6;$ $S_{{\mathrm{IP}}_3,C_2}=0;$ $S_{{\mathrm{IP}}_3,C_3}=0;$

步骤二、计算每台主机的综合威胁态势

在步骤一的基础上，计算每台主机的综合威胁态势。该态势即矩阵中每一行元素的和，表示为

可通过公式4计算得到。

$S_{{\mathrm{IP}}_1}=194;$ $S_{{\mathrm{IP}}_2}=1950;$ $S_{{\mathrm{IP}}_3}=6$

步骤三、计算每一阶段的攻击形成的综合威胁态势

在步骤一的基础上，计算每一阶段的攻击形成的综合威胁态势。该态势即 矩阵中的每一列元素的和，表示为可通过公式5计算得到。

$S_{C_1}=983;$ $S_{C_2}=313;$ $S_{C_3}=854$

步骤四、计算网络系统的整体态势

在步骤一的基础上，计算每一阶段的攻击形成的综合威胁态势。该态势即整个矩阵的和，表示为S。S可通过公式6计算得到。

S＝2150。

虽然结合实施例描述了本发明的实施方式，但是对于本领域技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进，这些也应视为属于本发明的保护范围。

Claims (1)

1.一种矩阵式多粒度网络安全威胁态势评估方法，其特征在于：首先提出一个矩阵式多粒度网络安全威胁态势评估模型；该模型由一个m×n的矩阵组成，矩阵中的行是被评估网络系统中所有的主机；矩阵中的列是网络系统受到的不同阶段的攻击情况；基于该模型的威胁态势评估方法的具体步骤如下：

步骤一、评估每一阶段的攻击对每台主机形成的威胁态势，即计算矩阵中的每一个元素的值，表示为

首先定义相关的形式化表达：

①集合

表示在某一时间段Δt内，IDS检测到的针对主机i的第j攻击阶段的所有攻击，共有k项；

②集合

表示在某一时间段Δt内，IDS检测到的针对主机i的第j攻击阶段的每一项攻击的严重性等级；较佳地，参照Snort(当前最主流的开源IDS)对攻击严重性的等级定义，将攻击分为高、中、低三等，计算时，分别用3，2，1表示；

③集合

表示在某一时间段Δt内，根据主机上漏洞的存在情况，对IDS检测到的针对主机i的第j攻击阶段的每一项攻击的严重性等级进行调整以后的结果；

④集合

表示在某一时间段Δt内，IDS检测到的针对主机i的第j攻击阶段的每一项攻击发生的次数；

⑤集合 ${\stackrel{\→}{V}}_{I{P}_i,C_j}=\{v_1,v_2,...,v_k\}:$ 表示集合 ${\stackrel{\→}{A}}_{I{P}_i,C_j}=\{a_1,a_2,...,a_k\}$ 中的每一项攻击对应的特定漏洞；“某一项攻击是针对特定漏洞的”含义是指只有当主机上具有相应漏洞时，该项攻击才能成功；如果某项攻击行为不是针对特定漏洞的，则定义v_i＝ε；

⑥集合

表示漏洞扫描工具发现的主机i上具有的所有漏洞；

然后，根据上述定义，计算矩阵中的每一个元素的值

其具体计算步骤如下：

第1步：给出每一个攻击阶段在评估中的权重，用

表示，其体现不同攻击阶段对网络形成的威胁态势的严重程度；

${\mathrm{\ω}}_j^{\′}=\frac{j}{\underset{q=1}{\overset{n}{\mathrm{\Σ}}}q}=\frac{2j}{n(n+1)}---\left(1\right)$

其中，n为攻击阶段的数量；

第2步：给出网络中每台主机在评估中的权重，用ω_i表示，其体现不同主机在网络中的价值高低；

首先，令集合Value＝{Value₁，Value₂，…，Value_m}表示网络中m台主机的资产价值，其取值原则为：根据资产价值的重要程度进行分类，并按照资产价值的重要程度越高，其值越大的原则进行赋值；

然后，ω_i(i＝1，…，m)的值可通过公式2计算得到；

${\mathrm{\ω}}_i=\frac{{\mathrm{Value}}_i}{\underset{q=1}{\overset{m}{\mathrm{\Σ}}}{\mathrm{Value}}_q}---\left(2\right)$

第3步：在IDS报警中提取在某一时间段Δt内，IDS检测到的针对该主机的每一攻击阶段的所有攻击

相应严重度等级各攻击对应的特定漏洞 ${\stackrel{\→}{V}}_{I{P}_i,C_j}=\{v_1,v_2,...,v_k\}$ 及各攻击发生次数 ${\stackrel{\→}{T}}_{I{P}_i,C_j}=\{n_1,n_2,...,n_k\}$ 等数据；

第4步：根据主机上漏洞的真实存在情况对每一项攻击的严重性等级进行调整，构造集合

调整原则为：

即，若v_q＝ε或

表示该攻击与漏洞无关或者主机上存在该攻击针对的特定漏洞，此时攻击等级不变；若v_q≠ε且

表示主机上不存在该攻击针对的特定漏洞，攻击实际上不可能成功，此时攻击调低一个等级；

第5步：根据公式3计算矩阵中的每一个元素的值

$S_{{\mathrm{IP}}_i,C_j}={\mathrm{\ω}}_j^{\′}\·{\mathrm{\ω}}_i\·{\mathrm{\α}}^{\frac{{\mathrm{\ω}}_i}{{\mathrm{\ω}}_{\min }}}\·\underset{q=1}{\overset{k}{\mathrm{\Σ}}}{l}_q^{\′}\·n_q---\left(3\right)$

其中，α为调节因子，取值大于1；ω_min表示主机权重的最小值；

通过以上步骤，评估出每一阶段的攻击对每台主机形成的威胁态势；

步骤二、计算每台主机的综合威胁态势

在步骤一的基础上，计算每台主机的综合威胁态势；该态势即矩阵中每一行元素的和，表示为

可通过公式4计算得到；

$S_{{\mathrm{IP}}_i}=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i{,C}_j}---\left(4\right)$

步骤三、计算每一阶段的攻击形成的综合威胁态势

在步骤一的基础上，计算每一阶段的攻击形成的综合威胁态势；该态势即矩阵中的每一列元素的和，表示为

可通过公式5计算得到；

$S_{C_j}=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}---\left(5\right)$

步骤四、计算网络系统的整体态势

在步骤一的基础上，计算每一阶段的攻击形成的综合威胁态势；该态势即整个矩阵的和，表示为S；S可通过公式6计算得到；

$S=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}---\left(6\right).$

Images