CN103748989B - 一种矩阵式多粒度网络安全威胁态势评估方法 - Google Patents
一种矩阵式多粒度网络安全威胁态势评估方法Info
- Publication number
- CN103748989B CN103748989B CN200910121929.9A CN200910121929A CN103748989B CN 103748989 B CN103748989 B CN 103748989B CN 200910121929 A CN200910121929 A CN 200910121929A CN 103748989 B CN103748989 B CN 103748989B
- Authority
- CN
- China
- Prior art keywords
- attack
- situation
- main frame
- phase
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明涉及一种矩阵式多粒度网络安全威胁态势评估方法,属于网络信息 安全技术领域。本发明依据当前网络攻击的多阶段特点,基于受保护网络的拓 扑和入侵检测系统收集的不同种类的攻击信息、网络扫描设备收集的漏洞信息, 结合完整的攻击过程中逐步深入的攻击阶段,首次将各类攻击信息与攻击阶段 进行对应,构建了一种矩阵式网络安全威胁态势模型,并给出了相应量化评估 算法。本发明提出的评估方法能够提供更多粒度、更为细致的态势信息。特别 地,每一阶段的攻击对每台主机形成的威胁态势和每一阶段的攻击形成的综合 威胁态势是目前所有层次化评估模型不能给出的。
Description
技术领域
本发明涉及一种矩阵式多粒度网络安全威胁态势评估方法,属于网络信息安全技术领域。
背景技术
所谓网络安全威胁态势即网络所面临的威胁的状态及趋势。切实有效的网络安全威胁态势评估可以使安全管理人员实时、准确地把握网络的安全状况及趋势,充分认识网络存在的风险,及时采取有效的安全防范措施,将安全隐患消灭在萌芽状态。
网络安全威胁态势评估的研究主要涉及网络安全威胁态势评估模型、评估算法及评估结果的可视化等三项核心技术,是网络安全领域的一个新方向,研究难度大,进展缓慢。
评价网络安全威胁态势评估的效果主要有评估粒度和评估精度两个指标。评估粒度主要取决于网络安全威胁态势评估模型的优劣,评估精度主要取决于评估算法的好坏。显然,评估粒度越细,提供给安全管理员的信息就越详尽;评估精度越高,提供给安全管理员的信息就越准确。
网络安全威胁态势评估的目的就是判断在某一时间段内,所有黑客的攻击行为对网络造成的威胁有多大。通常,一个黑客要实现自己诸如偷窃信息等恶意目标,必须经过多步攻击才能完成:首先是探测,在网上搜寻存在弱点的主机;然后是通过权限提升手段,使自己获得对主机的控制能力,也就是占领主机;最后才是真正的入侵,实施盗窃等行为。因此,整个攻击过程表现为一个多阶段、逐步深入的过程,一个攻击行为完成后达到新的攻击状态,使下一个阶段的攻击行为成为可能。显然,随着攻击阶段的不断深入,相应攻击行为对网络系统的威胁程度逐级加大。
每一个阶段的攻击手段都是多样化的。以探测阶段为例,探测可以分为嗅探(Sniffing),跟踪足迹(Footprinting),扫描(Scanning),列举(Enumeration)等4类。而每一类攻击手段又包含若干具体的攻击行为,如IP扫描、端口扫描等均属于扫描类。
从防护方的角度看,入侵检测系统(IDS)是目前主流的攻击行为监控报警设备。IDS的报警量很大,监控一个中等规模网络,其报警量每天接近G数量级。这些海量的报警中,包含着来自不同黑客的处于不同阶段的攻击行为,这些行为对网络形成了不同程度的威胁。
网络环境是一个攻防对抗的环境,攻击方采取各种手段试图攻入,防护方则采用防火墙等手段进行阻挡。这样,针对某一网络的攻击就可以分为潜在威胁和实际攻击两种。潜在威胁是指被防火墙等设备屏蔽掉的攻击行为,实际攻击是指突破防火墙限制进入网络的攻击行为和来自网络内部用户的攻击行为。
获取实际攻击信息仅需要在被保护网络内部部署IDS,而获取潜在威胁信息则必须在防火墙的外面增加一台IDS,成本会增加,因而企事业单位多选择仅在网络内部部署IDS。
相应地,根据使用的攻击信息源的不同,网络安全态势评估亦可以分为两种:第一种是仅依据实际攻击信息进行威胁评估;第二种是评估时同时考虑潜在威胁和实际攻击对态势的影响。这两种评估因数据源的不同造成了评估模型和评估算法的差异。
从可查阅的文献情况看,绝大多数的评估是基于实际攻击信息进行的。其中陈秀真等人在文献《层次化网络安全威胁态势量化评估方法》(软件学报.2006,17(4):885-897)中提出的层次化网络安全威胁态势评估模型是评估效果比较好的一种方法,评估模型如图1所示。该方法利用IDS报警,基于服务(service)、主机(host)的重要性,采用自下而上、先局部后整体的评估策略,构建了层次化网络安全威胁态势评估模型和相应的量化计算方法,定量评估了网络所受攻击的状况。该系统减轻了管理员繁重的报警数据分析任务,能够提供服务(Service)、主机(Host)和网络系统(System)3个层次的安全威胁态势,使其对系统的安全威胁状况有宏观的了解。该模型的基本原理是认为主机(Host)的态势是由该主机提供的所有服务(Service)的态势组合而成,网络系统(System)的态势又是由组成网络的相应主机(Host)的态势组合而成。
但该方法的缺点是:
1.模型中的主机(Host)指的是能够提供网络服务(Service)的服务器,不包括网络中的其他设备,因而对主机态势的评估仅限于对提供网络服务的服务器态势进行评估,评估是不全面的;进而,模型对网络系统(System)态势
的评估仅考虑了服务器这一类设备对网络系统态势的影响,评估也是不全面的,因此评估精度不够高。
2.基于层次化方法,该方法给出的态势报告在每一层次上都仅仅是一个综合的威胁结果,粒度不够细,安全管理员无法从中了解不同种类攻击在态势演化中的作用,而缺失的这部分信息恰恰是安全管理员赖以查找发生安全变化的原因、制定合理的安全策略,以便采用有效安全防护措施的关键。
发明内容
本发明的目的是为了进一步细化网络安全态势评估粒度和精度而提出的一种矩阵式多粒度网络安全威胁态势评估方法。
本发明基于受保护网络的拓扑和入侵检测系统(IDS)收集的不同阶段的攻击信息、网络扫描设备收集的漏洞信息,结合完整的攻击过程中逐步深入的攻击阶段,构建一种矩阵式网络安全威胁态势评估模型,并设计相应的量化评估算法,以提供不同粒度的威胁态势,为安全管理员提供更多有参考价值的信息,使安全管理员能够及时采取有效的防范和对抗措施,保障网络的安全。本发明的评估方法适用于对实际攻击造成的威胁度的评价。
本发明提出的矩阵式多粒度网络安全威胁态势评估模型如图2所示。
整个模型形成一个m×n的矩阵,矩阵中的行是被评估网络系统中所有的主机;矩阵中的列是网络系统受到的不同阶段的攻击情况。
图2中,主机i所在行对应的虚线椭圆标识的范围描述的是第i台主机的综合威胁态势;第j阶段所在列对应的虚线椭圆标识的范围描述的是第j阶段的攻击形成的综合威胁态势;两个椭圆相交的灰色圆点描述的是第j阶段的攻击对第i台主机形成的威胁态势;图中的实线圆角矩形描述的是网络系统的整体态势。
图2可以抽象为矩阵形式,如图3所示。
基于上述模型的威胁态势评估方法的整体框架设计流程如图4所示,步骤如下:
首先定义相关的形式化表达:
②集合表示在某一时间段Δt内,IDS检测到的针对主机i的第j攻击阶段的每一项攻击的严重性等级。较佳地,参照Snort(当前最主流的开源IDS)对攻击严重性的等级定义,将攻击分为高、中、低三等,计算时,分别用3,2,1表示。
③集合表示在某一时间段Δt内,根据主机上漏洞的存在情况,对IDS检测到的针对主机i的第j攻击阶段的每一项攻击的严重性等级进行调整以后的结果。
⑤集合 表示集合 中的每一项攻击对应的特定漏洞。“某一项攻击是针对特定漏洞的”含义是指只有当主机上具有相应漏洞时,该项攻击才能成功。如果某项攻击行为不是针对特定漏洞的,则定义vi=ε。
其中,n为划分的攻击阶段数量。
第2步:给出网络中每台主机在评估中的权重,用ωi(i=1,…,m)表示,其体现不同主机在网络中的价值高低。
首先,令集合Value={Value1,Value2,…,Valuem}表示网络中m台主机的资产价值,
其取值原则为:根据资产价值的重要程度进行分类,并按照资产价值的重要程度越高,其值越大的原则进行赋值。
然后,ωi(i=1,…,m)的值可通过公式2计算得到。
其中,α为调节因子,取值大于1;ωmin表示主机权重的最小值。
α用于保证当攻击针对一台很重要的主机时,即使攻击本身形成的威胁并不大,评估值仍然可以较大,以提醒安全管理人员优先对重要主机发生的状况进行处理。
通过以上步骤,评估出每一阶段的攻击对每台主机形成的威胁态势。
步骤二、计算每台主机的综合威胁态势
步骤三、计算每一阶段的攻击形成的综合威胁态势
步骤四、计算网络系统的整体态势
在步骤一的基础上,计算每一阶段的攻击形成的综合威胁态势。该态势即整个矩阵的和,表示为S。S可通过公式6计算得到。
有益效果
本发明依据当前网络攻击的多阶段特点,基于受保护网络的拓扑和入侵检测系统(IDS)收集的不同种类的攻击信息、网络扫描设备收集的漏洞信息,结合完整的攻击过程中逐步深入的攻击阶段,首次将各类攻击信息与攻击阶段进行对应,构建了一种矩阵式网络安全威胁态势模型,并给出了相应量化评估算法。该方法与目前主流的层次化模型相比,可以表征如下四种粒度的威胁态势:
①每一阶段的攻击对每台主机形成的威胁态势;
②每台主机的综合威胁态势;
③每一阶段的攻击形成的综合威胁态势;
④网络系统的整体态势。
显然,第①、③种威胁态势是所有层次化评估模型均不能给出的。本发明提出的评估模型能够提供更多粒度、更为细致的态势信息。
附图说明
图1为已有技术的层次化网络安全威胁态势评估模型;
图2为本发明的一种矩阵式多粒度网络安全威胁态势模型图;
图3为本发明的一种矩阵式多粒度网络安全威胁态势模型的矩阵化抽象图;
图4为本发明的一种矩阵式多粒度网络安全威胁态势评估方法的整体框架设计流程图。
具体实施方式
下面结合实施例对本发明方案进行详细说明。
实验网络里有三台主机,主机1(IP1)为对外提供www服务的服务器,主机2(IP2)为内部www服务器,主机3(IP3)为普通主机。
将攻击分为三个阶段:探测(C1)、权限提升(C2)和入侵(C3)。
令α=10。
用漏洞扫描工具发现的各台主机上具有的漏洞情况为:
具体评估如下:
第1步:给出每一个攻击阶段在评估中的权重,依据公式1,有:
第2步:给出网络中每台主机在评估中的权重,用ωi(i=1,…,m)表示,其体现不同主机在网络中的价值高低。
按如下方式定义主机价值:
第一类:普通主机,赋值1;
第二类:对外网用户提供FTP、WWW、E-mail等网络服务的服务器,赋值2;
第三类:对外网用户提供数据服务的服务器,以及对内网用户提供FTP、WWW、E-mail等网络服务的服务器,赋值3;
第四类:对内网用户提供数据服务的服务器,赋值4;
第五类:内网存放关键信息、提供关键应用的主机,赋值5。
则集合Value={2,3,1},依据公式2,有:
显然,ωmin=0.2
第3步:在IDS报警中提取在某一时间段Δt内,IDS检测到的针对该主机的每一攻击阶段的所有攻击构成的集合:
相应严重度等级集合:
各攻击对应的特定漏洞集合:
各攻击发生次数集合:
第4步:根据主机上漏洞的真实存在情况对每一项攻击的严重性等级进行调整,构造集合为:
步骤二、计算每台主机的综合威胁态势
步骤三、计算每一阶段的攻击形成的综合威胁态势
在步骤一的基础上,计算每一阶段的攻击形成的综合威胁态势。该态势即
矩阵中的每一列元素的和,表示为可通过公式5计算得到。
步骤四、计算网络系统的整体态势
在步骤一的基础上,计算每一阶段的攻击形成的综合威胁态势。该态势即整个矩阵的和,表示为S。S可通过公式6计算得到。
S=2150。
虽然结合实施例描述了本发明的实施方式,但是对于本领域技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进,这些也应视为属于本发明的保护范围。
Claims (1)
1.一种矩阵式多粒度网络安全威胁态势评估方法,其特征在于:首先提出一个矩阵式多粒度网络安全威胁态势评估模型;该模型由一个m×n的矩阵组成,矩阵中的行是被评估网络系统中所有的主机;矩阵中的列是网络系统受到的不同阶段的攻击情况;基于该模型的威胁态势评估方法的具体步骤如下:
首先定义相关的形式化表达:
②集合表示在某一时间段Δt内,IDS检测到的针对主机i的第j攻击阶段的每一项攻击的严重性等级;较佳地,参照Snort(当前最主流的开源IDS)对攻击严重性的等级定义,将攻击分为高、中、低三等,计算时,分别用3,2,1表示;
⑤集合 表示集合 中的每一项攻击对应的特定漏洞;“某一项攻击是针对特定漏洞的”含义是指只有当主机上具有相应漏洞时,该项攻击才能成功;如果某项攻击行为不是针对特定漏洞的,则定义vi=ε;
其中,n为攻击阶段的数量;
第2步:给出网络中每台主机在评估中的权重,用ωi表示,其体现不同主机在网络中的价值高低;
首先,令集合Value={Value1,Value2,…,Valuem}表示网络中m台主机的资产价值,其取值原则为:根据资产价值的重要程度进行分类,并按照资产价值的重要程度越高,其值越大的原则进行赋值;
然后,ωi(i=1,…,m)的值可通过公式2计算得到;
其中,α为调节因子,取值大于1;ωmin表示主机权重的最小值;
通过以上步骤,评估出每一阶段的攻击对每台主机形成的威胁态势;
步骤二、计算每台主机的综合威胁态势
步骤三、计算每一阶段的攻击形成的综合威胁态势
步骤四、计算网络系统的整体态势
在步骤一的基础上,计算每一阶段的攻击形成的综合威胁态势;该态势即整个矩阵的和,表示为S;S可通过公式6计算得到;
Publications (1)
Publication Number | Publication Date |
---|---|
CN103748989B true CN103748989B (zh) | 2010-10-06 |
Family
ID=
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108683663A (zh) * | 2018-05-14 | 2018-10-19 | 中国科学院信息工程研究所 | 一种网络安全态势的评估方法及装置 |
CN110958261A (zh) * | 2019-12-13 | 2020-04-03 | 微创(上海)网络技术股份有限公司 | 一种网络攻击全面检测及应对方法 |
CN111245807A (zh) * | 2020-01-07 | 2020-06-05 | 北京工业大学 | 基于攻击链因子的网络态势量化评估方法 |
CN111935137A (zh) * | 2020-08-08 | 2020-11-13 | 詹能勇 | 基于大数据和人工智能的通信信息处理方法及云计算平台 |
CN113612736A (zh) * | 2021-07-20 | 2021-11-05 | 天津七所精密机电技术有限公司 | 一种基于流量分析的网络安全评估方法 |
CN117220978B (zh) * | 2023-09-26 | 2024-03-22 | 广州云峰信息科技有限公司 | 一种网络安全运营模型量化评估系统及评估方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
CN1949720A (zh) * | 2006-09-08 | 2007-04-18 | 中山大学 | 一种分布式网络入侵检测系统 |
CN100450046C (zh) * | 2006-08-30 | 2009-01-07 | 北京启明星辰信息技术有限公司 | 一种结合病毒检测与入侵检测的方法及系统 |
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
CN100450046C (zh) * | 2006-08-30 | 2009-01-07 | 北京启明星辰信息技术有限公司 | 一种结合病毒检测与入侵检测的方法及系统 |
CN1949720A (zh) * | 2006-09-08 | 2007-04-18 | 中山大学 | 一种分布式网络入侵检测系统 |
Non-Patent Citations (2)
Title |
---|
吴华.基于网络拓扑的安全态势控制技术.硕士学位论文. 2008,全文. * |
张秋余等.基于模糊D-S证据论的入侵检测.计算机工程与应用. 2007, 2007(22)全文. * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108683663A (zh) * | 2018-05-14 | 2018-10-19 | 中国科学院信息工程研究所 | 一种网络安全态势的评估方法及装置 |
CN108683663B (zh) * | 2018-05-14 | 2021-04-20 | 中国科学院信息工程研究所 | 一种网络安全态势的评估方法及装置 |
CN110958261A (zh) * | 2019-12-13 | 2020-04-03 | 微创(上海)网络技术股份有限公司 | 一种网络攻击全面检测及应对方法 |
CN111245807A (zh) * | 2020-01-07 | 2020-06-05 | 北京工业大学 | 基于攻击链因子的网络态势量化评估方法 |
CN111245807B (zh) * | 2020-01-07 | 2022-05-17 | 北京工业大学 | 基于攻击链因子的网络态势量化评估方法 |
CN111935137A (zh) * | 2020-08-08 | 2020-11-13 | 詹能勇 | 基于大数据和人工智能的通信信息处理方法及云计算平台 |
CN111935137B (zh) * | 2020-08-08 | 2021-04-30 | 吕梁市经开区信息化投资建设有限公司 | 基于大数据和人工智能的通信信息处理方法及云计算平台 |
CN113612736A (zh) * | 2021-07-20 | 2021-11-05 | 天津七所精密机电技术有限公司 | 一种基于流量分析的网络安全评估方法 |
CN117220978B (zh) * | 2023-09-26 | 2024-03-22 | 广州云峰信息科技有限公司 | 一种网络安全运营模型量化评估系统及评估方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Yang et al. | Anomaly-based intrusion detection for SCADA systems | |
CN102546638B (zh) | 一种基于场景的混合入侵检测方法及系统 | |
CN100463461C (zh) | 主动式网络安全漏洞检测器 | |
Haslum et al. | Dips: A framework for distributed intrusion prediction and prevention using hidden markov models and online fuzzy risk assessment | |
Hassan | Current studies on intrusion detection system, genetic algorithm and fuzzy logic | |
Harrop et al. | Cyber resilience: A review of critical national infrastructure and cyber security protection measures applied in the UK and USA | |
Tianfield | Cyber security situational awareness | |
CN108769051A (zh) | 一种基于告警融合的网络入侵态势意图评估方法 | |
WO2019222662A1 (en) | Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful | |
CN101420442A (zh) | 基于博弈理论的网络安全风险评估系统 | |
CN108600275B (zh) | 基于人工智能的威胁情景感知信息安全主动防御系统 | |
CN102075516A (zh) | 一种网络多步攻击识别和预测方法 | |
Mejias | An integrative model of information security awareness for assessing information systems security risk | |
CN111818102B (zh) | 一种应用于网络靶场的防御效能评估方法 | |
CN106713358A (zh) | 一种攻击性检测方法及装置 | |
Yeboah-Ofori et al. | Cybercrime and risks for cyber physical systems | |
Ghafir et al. | A survey on intrusion detection and prevention systems | |
CN108200095A (zh) | 互联网边界安全策略脆弱性确定方法及装置 | |
Wagner et al. | Agent-based simulation for assessing network security risk due to unauthorized hardware | |
Depoy et al. | Risk assessment for physical and cyber attacks on critical infrastructures | |
Pricop et al. | Fuzzy approach on modelling cyber attacks patterns on data transfer in industrial control systems | |
Shi et al. | Quantitative security analysis of a dynamic network system under lateral movement-based attacks | |
CN103748989B (zh) | 一种矩阵式多粒度网络安全威胁态势评估方法 | |
CN106453235A (zh) | 网络安全方法 | |
CN103748996B (zh) | 一种攻防对抗环境下的网络安全态势评估方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR03 | Grant of secret patent right | ||
DC01 | Secret patent status has been lifted |