CN103748996B - 一种攻防对抗环境下的网络安全态势评估方法 - Google Patents
一种攻防对抗环境下的网络安全态势评估方法Info
- Publication number
- CN103748996B CN103748996B CN200910122318.6A CN200910122318A CN103748996B CN 103748996 B CN103748996 B CN 103748996B CN 200910122318 A CN200910122318 A CN 200910122318A CN 103748996 B CN103748996 B CN 103748996B
- Authority
- CN
- China
- Prior art keywords
- attack
- situation
- main frame
- calculate
- centerdot
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明涉及一种攻防对抗环境下的网络安全态势评估方法,属于网络信息 安全技术领域。本发明基于黑客实施完整攻击的过程中逐步深入的不同阶段, 结合攻防对抗环境下受保护网络的拓扑和入侵检测系统(IDS)收集的不同攻击 阶段的实际攻击信息和潜在攻击信息、网络扫描设备收集的漏洞信息,构建网 络安全态势评估模型,并设计相应的量化评估算法,以提供粒度划分更为合理 的安全态势信息,使安全管理员能够及时采取有效的防范和对抗措施,保障网 络的安全。
Description
技术领域
本发明涉及一种攻防对抗环境下的网络安全态势评估方法,属于网络信息安全技术领域。
背景技术
所谓网络安全态势即网络所面临的威胁的状态及趋势。实时动态的网络安全态势评估可以使安全管理人员准确地把握网络的安全状况及趋势,充分认识网络存在的风险,及时制定和调整安全防范策略,将安全隐患消灭在萌芽状态。
网络安全态势评估是网络信息安全领域的一个新方向,网络安全态势评估模型的构建和评估算法的设计是其核心技术,如何实现量化评估是研究的难点。
网络环境是一个攻防对抗的环境,攻击方采取各种手段试图攻入,防护方则采用防火墙等手段进行阻挡。因此,针对某一网络的攻击分为潜在攻击和实际攻击两种。潜在攻击是指被防火墙等设备屏蔽掉的攻击行为,实际攻击是指突破防火墙限制进入网络的攻击行为和来自网络内部用户的攻击行为。
从攻击方看,通常,一个黑客要实现自己诸如偷窃信息等恶意目标,必须经过多步攻击才能完成:首先是探测,在网上搜寻存在弱点的主机;然后是通过权限提升手段,使自己获得对主机的控制能力,也就是占领主机;最后才是真正的入侵,实施盗窃等行为。因此,整个攻击过程表现为一个多阶段、逐步深入的过程,一个攻击行为完成后达到新的攻击状态,使下一个阶段的攻击行为成为可能。显然,随着攻击阶段的不断深入,相应攻击行为对网络系统的威胁程度逐级加大。
从防护方看,入侵检测系统(IDS)是目前主流的攻击行为监控报警设备。IDS的报警量很大,监控一个中等规模网络,其报警量每天接近G数量级。这些海量的报警中,包含着来自不同黑客的处于不同阶段的攻击行为,这些行为对网络形成了不同程度的威胁。
获取实际攻击信息仅需要在被保护网络内部部署IDS,而获取潜在攻击信息则必须在防火墙的外面增加一台IDS,虽然成本会增加,但是获取的信息更为丰富和完善。
相应地,根据使用的攻击信息源的不同,网络安全态势评估亦可以分为两种:第一种是仅依据实际攻击信息进行威胁评估;第二种是评估时同时考虑潜在攻击和实际攻击对态势的影响。这两种评估因数据源的不同造成了评估模型和评估算法的差异。第二种评估虽然设备部署成本增加,但是能够获取潜在攻击信息,使安全态势评估的信息源更为丰富,评估出的结果更为客观和完备。
姚淑萍等人在文献《攻防对抗环境下的网络安全态势评估技术研究》(科技导报,2007,04)中首次提出了一种同时考虑潜在攻击和实际攻击的网络安全态势评估方法。该方法在深入分析影响安全态势的各项因素基础上,按照攻击类别进行安全态势的量化评估。
该方法的核心在于将攻击分为探测、缓冲区溢出、拒绝服务、蠕虫、木马和其他六大类,并针对每一类攻击/威胁分别评估局域网的安全态势。这种分类方法存有缺陷,它是基于黑客攻击手段的不同而进行的分类,无法体现出黑客攻击过程所具有的“步步深入、不断逼近”的特点,以这种分类方式进行的态势评估信息对安全管理人员防护策略的制定指导意义较弱。
发明内容
本发明的目的是为了克服已有技术的缺陷而提出一种攻防对抗环境下的网络安全态势评估方法。本发明基于黑客实施完整攻击的过程中逐步深入的不同阶段,结合攻防对抗环境下受保护网络的拓扑和入侵检测系统(IDS)收集的不同攻击阶段的实际攻击信息和潜在攻击信息、网络扫描设备收集的漏洞信息,构建网络安全态势评估模型,并设计相应的量化评估算法,以提供粒度划分更为合理的安全态势信息,使安全管理员能够及时采取有效的防范和对抗措施,保障网络的安全。
本发明提出的网络安全态势评估模型如图1所示。
整个模型形成一个m×n的矩阵,矩阵中的行是被评估网络系统中所有受保护的主机;矩阵中的列是网络系统受到的不同阶段的攻击情况,这里攻击分为两种,一是由部署于防火墙内的IDS提供的实际攻击信息;二是由部署于防火墙外的IDS提供但被防火墙屏蔽了的潜在攻击信息。
图1中,主机i所在行对应的虚线椭圆标识的范围描述的是第i台主机的综合威胁态势,由第i台主机的实际攻击态势和潜在攻击态势两部分组成;第j阶段所在列对应的虚线椭圆标识的范围描述的是第j阶段的攻击形成的综合威胁态势,由第j阶段的实际攻击形成的威胁态势和第j阶段的潜在攻击形成的威胁态势组成;两个椭圆相交的部分描述的是第i台主机受到第j阶段的攻击形成的威胁态势,其中圆形表示实际攻击态势,正方形表示潜在攻击态势;图中的实线圆角矩形描述的是网络系统的整体态势,也由实际攻击整体态势和潜在攻击整体态势两部分组成。
基于上述模型的网络安全态势评估方法的整体框架设计流程如图2所示,具体方法如下:
首先定义相关的形式化表达:
1.集合表示在某一时间段Δt内,IDS检测到的针对主机i的第j攻击阶段的所有实际攻击,共有k项。
2.集合表示在某一时间段Δt内,IDS检测到的针对主机i的第j攻击阶段的每一项实际攻击的严重性等级。较佳地,参照Snort(当前最主流的开源IDS)对攻击严重性的等级定义,将攻击分为高、中、低三等,计算时,分别用3,2,1表示。
6.集合表示在某一时间段Δt内,IDS检测到的针对主机i的第j攻击阶段的所有潜在攻击,共有g项。
7.集合表示在某一时间段Δt内,IDS检测到的针对主机i的第j攻击阶段的每一项潜在攻击的严重性等级。较佳地,参照Snort(当前最主流的开源IDS)对攻击严重性的等级定义,将潜在攻击分为高、中、低三等,计算时,分别用3,2,1表示。。
9.集合表示在某一时间段Δt内,IDS检测到的针对主机i的第j攻击阶段的每一项潜在攻击发生的次数。
基于以上定义,本发明的一种攻防对抗环境下的网络安全态势评估方法的具体评估步骤如下:
步骤一、计算每一个攻击阶段在评估中的权重,用ωj′(j=1,…,n)表示,其体现不同攻击阶段对网络形成的威胁态势的严重程度。可通过公式1计算得到。
其中,n为划分的攻击阶段数量。
步骤二、计算网络中每台主机在评估中的权重,用ωi(i=1,…,m)表示,其体现不同主机在网络中的价值高低。
首先,令集合Value={Value1,Value2,…,Valuem}表示网络中m台主机的资产价值,其取值原则为:根据资产价值的重要程度进行分类,并按照资产价值的重要程度越高,其值越大的原则进行赋值。
然后,ωi(i=1,…,m)的值可通过公式2计算得到。
在步骤一、步骤二的基础上,计算一阶段的实际攻击对每台主机形成的威胁态势,其具体操作为:
若vq≠ε且表示主机上不存在该实际攻击针对的特定漏洞,攻击实际上不可能成功,此时实际攻击调低一个等级。
其中,α为调节因子,取值大于1,ωmin表示主机权重的最小值。
α用于保证当攻击针对一台很重要的主机时,即使攻击本身形成的威胁并不大,评估值仍然可以较大,以提醒安全管理人员优先对重要主机发生的状况进行处理。
在步骤一、步骤二的基础上,计算每一阶段的潜在攻击对每台主机形成的威胁态势,其具体如下操作如下:
其中,参数α、ωmin的含义与公式3中的对应参数相同。
在步骤三的基础上,根据公式6计算
步骤十二、计算网络系统的实际攻击整体态势,表示为SA。
在步骤三的基础上,根据公式12计算SA:
步骤十三、计算网络系统的潜在攻击整体态势,表示为SP。
在步骤四的基础上,根据公式13计算SP:
步骤十四、计算网络系统的整体态势,表示为S。
在步骤十二、步骤十三的基础上,根据公式14计算S:
S=SA+SP (14)
经过上述步骤,完成攻防对抗环境下的网络安全态势评估。
有益效果
本发明依据当前网络攻击的多阶段特点,基于黑客实施完整攻击的不同阶段为进行评估粒度的划分,同时考虑潜在攻击和实际攻击对网络安全态势的影响,构建了一种攻防对抗环境下的网络安全态势评估模型,并给出了相应量化评估算法。该方法与仅基于实际攻击进行评估的模型相比,可以提供更多的不同粒度的潜在攻击态势;与文献《攻防对抗环境下的网络安全态势评估技术研究》提出的评估模型相比,可以从更为合理的角度表征多粒度威胁态势,从而为安全管理员提供更有参考价值的信息。
附图说明
图1为本发明的一种攻防对抗环境下的网络安全态势评估模型图;
图2为本发明的一种攻防对抗环境下的网络安全态势评估方法的整体框架设计流程图。
具体实施方式
下面结合实施例对本发明方案进行详细说明。
实验网络里有三台主机,主机1(IP1)为对外提供www服务的服务器,主机2(IP2)为内部www服务器,主机3(IP3)为普通主机。
将攻击分为三个阶段:探测(C1)、权限提升(C2)和入侵(C3)。
令α=10。
用漏洞扫描工具发现的各台主机上具有的漏洞情况为:
具体评估如下:
步骤一、计算每一个攻击阶段在评估中的权重,通过公式1,有:
步骤二、计算网络中每台主机在评估中的权重,其体现不同主机在网络中的价值高低。
按如下方式定义主机价值:
第一类:普通主机,赋值1;
第二类:对外网用户提供FTP、WWW、E-mail等网络服务的服务器,赋值2;
第三类:对外网用户提供数据服务的服务器,以及对内网用户提供FTP、WWW、E-mail等网络服务的服务器,赋值3;
第四类:对内网用户提供数据服务的服务器,赋值4;
第五类:内网存放关键信息、提供关键应用的主机,赋值5。
则集合Value={2,3,1},依据公式2,有:
显然,ωmin=0.2
在步骤一、步骤二的基础上,计算一阶段的实际攻击对每台主机形成的威胁态势,其具体操作为:
第1步:在IDS报警中提取在某一时间段Δt内,IDS检测到的针对该主机的每一攻击阶段的所有实际攻击集合:
相应严重度等级集合:
各实际攻击对应的特定漏洞集合:
各实际攻击发生次数集合:
第3步:根据公式3计算得:
在步骤一、步骤二的基础上,计算每一阶段的潜在攻击对每台主机形成的威胁态势,其具体如下操作如下:
第1步:在IDS报警中提取在某一时间段Δt内,IDS检测到的针对该主机的每一攻击阶段的所有潜在攻击集合:
相应严重度等级集合:
各潜在攻击对应的特定漏洞集合:
各潜在攻击发生次数集合:
第3步:根据公式3计算得:
步骤十二、计算网络系统的实际攻击整体态势,表示为SA。
在步骤三的基础上,根据公式12计算SA:
SA=1472
步骤十三、计算网络系统的潜在攻击整体态势,表示为SP。
在步骤四的基础上,根据公式13计算SP:
SP=1009
步骤十四、计算网络系统的整体态势,表示为S。
在步骤十二、步骤十三的基础上,根据公式14计算S:
S=2481
经过上述步骤,完成攻防对抗环境下的网络安全态势评估。
需要特别说明的是,对于本领域技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进,这些也应视为属于本发明的保护范围。
Claims (1)
1.一种攻防对抗环境下的网络安全态势评估方法,其特征在于:首先提出一种攻防对抗环境下的网络安全态势评估模型;该模型由一个m×n的矩阵组成,矩阵中的行是被评估网络系统中所有受保护的主机;矩阵中的列是网络系统受到的不同阶段的攻击情况,这里攻击分为两种,一是由部署于防火墙内的IDS提供的实际攻击信息;二是由部署于防火墙外的IDS提供但被防火墙屏蔽了的潜在攻击信息;基于该模型的威胁态势评估方法的具体步骤如下:
步骤一、计算每一个攻击阶段在评估中的权重,用ωj′(j=1,…,n)表示,其体现不同攻击阶段对网络形成的威胁态势的严重程度;可通过公式1计算得到;
其中,n为划分的攻击阶段数量;
步骤二、计算网络中每台主机在评估中的权重,用ωi(i=1,…,m)表示,其体现不同主机在网络中的价值高低;
首先,令集合Value={Value1,Value2,…,Valuem}表示网络中m台主机的资产价值,其取值原则为:根据资产价值的重要程度进行分类,并按照资产价值的重要程度越高,其值越大的原则进行赋值;
然后,ωi(i=1,…,m)的值可通过公式2计算得到;
在步骤一、步骤二的基础上,计算一阶段的实际攻击对每台主机形成的威胁态势,其具体操作为:
第2步:根据主机上漏洞的真实存在情况对每一项实际攻击的严重性等级进行调整,构造集合调整原则为:
其中,α为调节因子,取值大于1,ωmin表示主机权重的最小值;
α用于保证当攻击针对一台很重要的主机时,即使攻击本身形成的威胁并不大,评估值仍然可以较大,以提醒安全管理人员优先对重要主机发生的状况进行处理;
在步骤一、步骤二的基础上,计算每一阶段的潜在攻击对每台主机形成的威胁态势,其具体如下操作如下:
其中,参数α、ωmin的含义与公式3中的对应参数相同;
步骤九、计算每一阶段的实际攻击形成的威胁态势,表示为
步骤十、计算每一阶段的潜在攻击形成的威胁态势,表示为
步骤十二、计算网络系统的实际攻击整体态势,表示为SA;
在步骤三的基础上,根据公式12计算SA:
步骤十三、计算网络系统的潜在攻击整体态势,表示为SP;
在步骤四的基础上,根据公式13计算SP:
步骤十四、计算网络系统的整体态势,表示为S;
在步骤十二、步骤十三的基础上,根据公式14计算S:
S=SA+SP (14)
经过上述步骤,完成攻防对抗环境下的网络安全态势评估。
Publications (1)
Publication Number | Publication Date |
---|---|
CN103748996B true CN103748996B (zh) | 2011-01-12 |
Family
ID=
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107294971A (zh) * | 2017-06-23 | 2017-10-24 | 西安交大捷普网络科技有限公司 | 服务器攻击源的威胁度排序方法 |
CN107454108A (zh) * | 2017-09-18 | 2017-12-08 | 北京理工大学 | 一种基于攻防对抗效用的网络安全评估方法 |
CN111147518A (zh) * | 2019-12-30 | 2020-05-12 | 论客科技(广州)有限公司 | 一种基于攻防对抗的电子邮件系统安全评价方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002328893A (ja) * | 2001-05-01 | 2002-11-15 | Ntt Data Corp | ネットワークセキュリティに関する被害評価システムおよびその方法 |
US20090106843A1 (en) * | 2007-10-18 | 2009-04-23 | Pil-Yong Kang | Security risk evaluation method for effective threat management |
CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
CN101459537A (zh) * | 2008-12-20 | 2009-06-17 | 中国科学技术大学 | 基于多层次多角度分析的网络安全态势感知系统及方法 |
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002328893A (ja) * | 2001-05-01 | 2002-11-15 | Ntt Data Corp | ネットワークセキュリティに関する被害評価システムおよびその方法 |
US20090106843A1 (en) * | 2007-10-18 | 2009-04-23 | Pil-Yong Kang | Security risk evaluation method for effective threat management |
CN101459537A (zh) * | 2008-12-20 | 2009-06-17 | 中国科学技术大学 | 基于多层次多角度分析的网络安全态势感知系统及方法 |
CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
Non-Patent Citations (3)
Title |
---|
姚淑萍.攻防对抗环境下的网络安全态势评估技术研究.科技导报. 2007, 25(7)9-12页. * |
闫怀志等.网络安全主动防护体系研究及应用.计算机工程与应用. 2002,26-28页. * |
韦勇等.基于信息融合的网络安全态势评估模型.计算机研究与发展. 2009,353-361页. * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107294971A (zh) * | 2017-06-23 | 2017-10-24 | 西安交大捷普网络科技有限公司 | 服务器攻击源的威胁度排序方法 |
CN107294971B (zh) * | 2017-06-23 | 2020-05-26 | 西安交大捷普网络科技有限公司 | 服务器攻击源的威胁度排序方法 |
CN107454108A (zh) * | 2017-09-18 | 2017-12-08 | 北京理工大学 | 一种基于攻防对抗效用的网络安全评估方法 |
CN107454108B (zh) * | 2017-09-18 | 2019-07-16 | 北京理工大学 | 一种基于攻防对抗效用的网络安全评估方法 |
CN111147518A (zh) * | 2019-12-30 | 2020-05-12 | 论客科技(广州)有限公司 | 一种基于攻防对抗的电子邮件系统安全评价方法及装置 |
CN111147518B (zh) * | 2019-12-30 | 2021-08-13 | 论客科技(广州)有限公司 | 一种基于攻防对抗的电子邮件系统安全评价方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sendi et al. | Real time intrusion prediction based on optimized alerts with hidden Markov model | |
Khalaf et al. | An adaptive protection of flooding attacks model for complex network environments | |
Asif et al. | Network intrusion detection and its strategic importance | |
CN102075516A (zh) | 一种网络多步攻击识别和预测方法 | |
WO2019222662A1 (en) | Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful | |
CN106209856B (zh) | 基于可信计算的大数据安全态势地图生成方法 | |
CN111818102B (zh) | 一种应用于网络靶场的防御效能评估方法 | |
CN104601553A (zh) | 一种结合异常监测的物联网篡改入侵检测方法 | |
Pharate et al. | Classification of intrusion detection system | |
CN105025011A (zh) | 车载信息安全的评价方法 | |
CN103944919A (zh) | 一种面向wlan的无线多步攻击模式挖掘方法 | |
Haslum et al. | Fuzzy online risk assessment for distributed intrusion prediction and prevention systems | |
Bode et al. | Risk analysis in cyber situation awareness using Bayesian approach | |
Chen et al. | Quantitative threat assessment of denial of service attacks on service availability | |
CN103748996B (zh) | 一种攻防对抗环境下的网络安全态势评估方法 | |
CN106453235A (zh) | 网络安全方法 | |
Wei-wei et al. | Prediction model of network security situation based on regression analysis | |
Ahmed et al. | Collecting and analyzing digital proof material to detect cybercrimes | |
Mahajan et al. | Performance Analysis of Honeypots Against Flooding Attack | |
TianYu et al. | Research on security threat assessment for power iot terminal based on knowledge graph | |
CN103748989B (zh) | 一种矩阵式多粒度网络安全威胁态势评估方法 | |
Arifin et al. | The trends of supervisory control and data acquisition security challenges in heterogeneous networks | |
Jakalan | Network security situational awareness | |
CN106993005A (zh) | 一种网络服务器的预警方法及系统 | |
Mu et al. | Fuzzy cognitive maps for decision support in an automatic intrusion response mechanism |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR03 | Grant of secret patent right | ||
DC01 | Secret patent status has been lifted |