CN103748996B - 一种攻防对抗环境下的网络安全态势评估方法 - Google Patents

Abstract

本发明涉及一种攻防对抗环境下的网络安全态势评估方法，属于网络信息 安全技术领域。本发明基于黑客实施完整攻击的过程中逐步深入的不同阶段， 结合攻防对抗环境下受保护网络的拓扑和入侵检测系统(IDS)收集的不同攻击 阶段的实际攻击信息和潜在攻击信息、网络扫描设备收集的漏洞信息，构建网 络安全态势评估模型，并设计相应的量化评估算法，以提供粒度划分更为合理 的安全态势信息，使安全管理员能够及时采取有效的防范和对抗措施，保障网 络的安全。

Description

一种攻防对抗环境下的网络安全态势评估方法

技术领域

本发明涉及一种攻防对抗环境下的网络安全态势评估方法，属于网络信息安全技术领域。

背景技术

所谓网络安全态势即网络所面临的威胁的状态及趋势。实时动态的网络安全态势评估可以使安全管理人员准确地把握网络的安全状况及趋势，充分认识网络存在的风险，及时制定和调整安全防范策略，将安全隐患消灭在萌芽状态。

网络安全态势评估是网络信息安全领域的一个新方向，网络安全态势评估模型的构建和评估算法的设计是其核心技术，如何实现量化评估是研究的难点。

网络环境是一个攻防对抗的环境，攻击方采取各种手段试图攻入，防护方则采用防火墙等手段进行阻挡。因此，针对某一网络的攻击分为潜在攻击和实际攻击两种。潜在攻击是指被防火墙等设备屏蔽掉的攻击行为，实际攻击是指突破防火墙限制进入网络的攻击行为和来自网络内部用户的攻击行为。

从攻击方看，通常，一个黑客要实现自己诸如偷窃信息等恶意目标，必须经过多步攻击才能完成：首先是探测，在网上搜寻存在弱点的主机；然后是通过权限提升手段，使自己获得对主机的控制能力，也就是占领主机；最后才是真正的入侵，实施盗窃等行为。因此，整个攻击过程表现为一个多阶段、逐步深入的过程，一个攻击行为完成后达到新的攻击状态，使下一个阶段的攻击行为成为可能。显然，随着攻击阶段的不断深入，相应攻击行为对网络系统的威胁程度逐级加大。

从防护方看，入侵检测系统(IDS)是目前主流的攻击行为监控报警设备。IDS的报警量很大，监控一个中等规模网络，其报警量每天接近G数量级。这些海量的报警中，包含着来自不同黑客的处于不同阶段的攻击行为，这些行为对网络形成了不同程度的威胁。

获取实际攻击信息仅需要在被保护网络内部部署IDS，而获取潜在攻击信息则必须在防火墙的外面增加一台IDS，虽然成本会增加，但是获取的信息更为丰富和完善。

相应地，根据使用的攻击信息源的不同，网络安全态势评估亦可以分为两种：第一种是仅依据实际攻击信息进行威胁评估；第二种是评估时同时考虑潜在攻击和实际攻击对态势的影响。这两种评估因数据源的不同造成了评估模型和评估算法的差异。第二种评估虽然设备部署成本增加，但是能够获取潜在攻击信息，使安全态势评估的信息源更为丰富，评估出的结果更为客观和完备。

姚淑萍等人在文献《攻防对抗环境下的网络安全态势评估技术研究》(科技导报，2007，04)中首次提出了一种同时考虑潜在攻击和实际攻击的网络安全态势评估方法。该方法在深入分析影响安全态势的各项因素基础上，按照攻击类别进行安全态势的量化评估。

该方法的核心在于将攻击分为探测、缓冲区溢出、拒绝服务、蠕虫、木马和其他六大类，并针对每一类攻击/威胁分别评估局域网的安全态势。这种分类方法存有缺陷，它是基于黑客攻击手段的不同而进行的分类，无法体现出黑客攻击过程所具有的“步步深入、不断逼近”的特点，以这种分类方式进行的态势评估信息对安全管理人员防护策略的制定指导意义较弱。

发明内容

本发明的目的是为了克服已有技术的缺陷而提出一种攻防对抗环境下的网络安全态势评估方法。本发明基于黑客实施完整攻击的过程中逐步深入的不同阶段，结合攻防对抗环境下受保护网络的拓扑和入侵检测系统(IDS)收集的不同攻击阶段的实际攻击信息和潜在攻击信息、网络扫描设备收集的漏洞信息，构建网络安全态势评估模型，并设计相应的量化评估算法，以提供粒度划分更为合理的安全态势信息，使安全管理员能够及时采取有效的防范和对抗措施，保障网络的安全。

本发明提出的网络安全态势评估模型如图1所示。

整个模型形成一个m×n的矩阵，矩阵中的行是被评估网络系统中所有受保护的主机；矩阵中的列是网络系统受到的不同阶段的攻击情况，这里攻击分为两种，一是由部署于防火墙内的IDS提供的实际攻击信息；二是由部署于防火墙外的IDS提供但被防火墙屏蔽了的潜在攻击信息。

图1中，主机i所在行对应的虚线椭圆标识的范围描述的是第i台主机的综合威胁态势，由第i台主机的实际攻击态势和潜在攻击态势两部分组成；第j阶段所在列对应的虚线椭圆标识的范围描述的是第j阶段的攻击形成的综合威胁态势，由第j阶段的实际攻击形成的威胁态势和第j阶段的潜在攻击形成的威胁态势组成；两个椭圆相交的部分描述的是第i台主机受到第j阶段的攻击形成的威胁态势，其中圆形表示实际攻击态势，正方形表示潜在攻击态势；图中的实线圆角矩形描述的是网络系统的整体态势，也由实际攻击整体态势和潜在攻击整体态势两部分组成。

基于上述模型的网络安全态势评估方法的整体框架设计流程如图2所示，具体方法如下：

首先定义相关的形式化表达：

1.集合表示在某一时间段Δt内，IDS检测到的针对主机i的第j攻击阶段的所有实际攻击，共有k项。

2.集合表示在某一时间段Δt内，IDS检测到的针对主机i的第j攻击阶段的每一项实际攻击的严重性等级。较佳地，参照Snort(当前最主流的开源IDS)对攻击严重性的等级定义，将攻击分为高、中、低三等，计算时，分别用3，2，1表示。

3.集合

表示在某一时间段Δt内，根据主机上漏洞的存在情况，对IDS检测到的针对主机i的第j攻击阶段的每一项实际攻击的严重性等级进行调整以后的结果。

4.集合

表示在某一时间段Δt内，IDS检测到的针对主机i的第j攻击阶段的每一项实际攻击发生的次数。

5集合.

表示集合

中的每一项实际攻击对应的特定漏洞。“某一项实际攻击是针对特定漏洞的”含义是指只有当主机上具有相应漏洞时，该项攻击才能成功。如果某项实际攻击行为不是针对特定漏洞的，则定义v_i＝ε。

6.集合表示在某一时间段Δt内，IDS检测到的针对主机i的第j攻击阶段的所有潜在攻击，共有g项。

7.集合表示在某一时间段Δt内，IDS检测到的针对主机i的第j攻击阶段的每一项潜在攻击的严重性等级。较佳地，参照Snort(当前最主流的开源IDS)对攻击严重性的等级定义，将潜在攻击分为高、中、低三等，计算时，分别用3，2，1表示。。

8.集合

表示在某一时间段Δt内，根据主机上漏洞的存°情况，对IDS检测到的针对主机i的第j攻击阶段的每一项潜在攻击的严重性等级进行调整以后的结果。

9.集合表示在某一时间段Δt内，IDS检测到的针对主机i的第j攻击阶段的每一项潜在攻击发生的次数。

10.集合

表示集合

中的每一项潜在攻击对应的特定漏洞。如果某项潜在攻击行为不是针对特定漏洞的，则定义v_i＝ε。

11.集合

表示漏洞扫描工具发现的主机i上具有的所有漏洞。

基于以上定义，本发明的一种攻防对抗环境下的网络安全态势评估方法的具体评估步骤如下：

步骤一、计算每一个攻击阶段在评估中的权重，用ω_j′(j＝1，…，n)表示，其体现不同攻击阶段对网络形成的威胁态势的严重程度。可通过公式1计算得到。

${\mathrm{\ω}}_j^{\′}=\frac{j}{\underset{q=1}{\overset{n}{\mathrm{\Σ}}}q}=\frac{2j}{n(n+1)}---\left(1\right)$

其中，n为划分的攻击阶段数量。

步骤二、计算网络中每台主机在评估中的权重，用ω_i(i＝1，…，m)表示，其体现不同主机在网络中的价值高低。

首先，令集合Value＝{Value₁，Value₂，…，Value_m}表示网络中m台主机的资产价值，其取值原则为：根据资产价值的重要程度进行分类，并按照资产价值的重要程度越高，其值越大的原则进行赋值。

然后，ω_i(i＝1，…，m)的值可通过公式2计算得到。

${\mathrm{\ω}}_i=\frac{{\mathrm{Value}}_i}{\underset{q=1}{\overset{m}{\mathrm{\Σ}}}{\mathrm{Value}}_q}---\left(2\right)$

步骤三、计算每一阶段的实际攻击对每台主机形成的威胁态势，表示为

在步骤一、步骤二的基础上，计算一阶段的实际攻击对每台主机形成的威胁态势，其具体操作为：

第1步：在IDS报警中提取在某一时间段Δt内，IDS检测到的针对该主机的每一攻击阶段的所有实际攻击

相应严重度等级各实际攻击对应的特定漏洞

及各实际攻击发生次数

等数据；

第2步：根据主机上漏洞的真实存在情况

对每一项实际攻击的严重性等级进行调整，构造集合

调整原则为：

即，若v_q＝ε或

表示该实际攻击与漏洞无关或者主机上存在该实际攻击针对的特定漏洞，此时实际攻击的等级不变。

若v_q≠ε且表示主机上不存在该实际攻击针对的特定漏洞，攻击实际上不可能成功，此时实际攻击调低一个等级。

第3步：根据公式3计算

$S_{{\mathrm{IP}}_i,C_j}^A={\mathrm{\ω}}_j^{\′}\·{\mathrm{\ω}}_i\·{\mathrm{\α}}^{\frac{{\mathrm{\ω}}_i}{{\mathrm{\ω}}_{\min }}}\·\underset{q=1}{\overset{k}{\mathrm{\Σ}}}{l}_q^{\′}\·n_q---\left(3\right)$

其中，α为调节因子，取值大于1，ω_min表示主机权重的最小值。

α用于保证当攻击针对一台很重要的主机时，即使攻击本身形成的威胁并不大，评估值仍然可以较大，以提醒安全管理人员优先对重要主机发生的状况进行处理。

步骤四、计算每一阶段的潜在攻击对每台主机形成的威胁态势，表示为

在步骤一、步骤二的基础上，计算每一阶段的潜在攻击对每台主机形成的威胁态势，其具体如下操作如下：

第1步：在IDS报警中提取在某一时间段Δt内，IDS检测到的针对该主机的每一攻击阶段的所有潜在攻击

相应严重度等级

各潜在攻击对应的特定漏洞

及各潜在攻击发生次数

等数据；

第2步：根据主机上漏洞的真实存在情况

对每一项潜在攻击的严重性等级进行调整，构造集合

调整原则为：

即，若或

表示该潜在攻击与漏洞无关或者主机上存在该潜在攻击针对的特定漏洞，这种情况还是需要引起安全管理人员的注意的，此时潜在攻击调低一个等级。

若

且表示主机上不存在该潜在攻击针对的特定漏洞，这种情况在评估时不予考虑，将攻击等级置为0。

第3步：根据公式4计算

$S_{{\mathrm{IP}}_i,C_j}^P={\mathrm{\ω}}_j^{\′}\·{\mathrm{\ω}}_i\·{\mathrm{\α}}^{\frac{{\mathrm{\ω}}_i}{{\mathrm{\ω}}_{\min }}}\·\underset{q=1}{\overset{g}{\mathrm{\Σ}}}{\tilde{l}}_q^{\′}\·{\tilde{n}}_q---\left(4\right)$

其中，参数α、ω_min的含义与公式3中的对应参数相同。

步骤五、计算每一阶段的攻击对每台主机形成的威胁态势，表示为

。

在步骤三、步骤四的基础上，根据公式5计算

$S_{{\mathrm{IP}}_i,C_j}=S_{{\mathrm{IP}}_i,C_j}^A+S_{{\mathrm{IP}}_i,C_j}^P---\left(5\right)$

步骤六、计算每台主机的实际攻击态势，表示为

在步骤三的基础上，根据公式6计算

$S_{{\mathrm{IP}}_i}^A=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}^A---\left(6\right)$

步骤七、计算每台主机的潜在攻击态势，表示为

在步骤四的基础上，根据公式7计算

$S_{{\mathrm{IP}}_i}^p=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}^p---\left(7\right)$

步骤八、计算每台主机的综合威胁态势，表示为

在步骤六、步骤七的基础上，根据公式8计算

$S_{{\mathrm{IP}}_i}=S_{{\mathrm{IP}}_i}^A+S_{{\mathrm{IP}}_i}^P---\left(8\right)$

步骤九、计算每一阶段的实际攻击形成的威胁态势，表示为

在步骤三的基础上，根据公式9计算

$S_{C_j}^A=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}^A---\left(9\right)$

步骤十、计算每一阶段的潜在攻击形成的威胁态势，表示为

在步骤四的基础上，根据公式10计算

$S_{C_j}^P=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}^P---\left(10\right)$

步骤十一、计算每一阶段的攻击形成的综合威胁态势，表示为

在步骤九、步骤十的基础上，根据公式11计算

$S_{C_j}=S_{C_j}^A+S_{C_j}^P---\left(11\right)$

步骤十二、计算网络系统的实际攻击整体态势，表示为S^A。

在步骤三的基础上，根据公式12计算S^A：

$S^A=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}^A---\left(12\right)$

步骤十三、计算网络系统的潜在攻击整体态势，表示为S^P。

在步骤四的基础上，根据公式13计算S^P：

$S^P=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}^P---\left(13\right)$

步骤十四、计算网络系统的整体态势，表示为S。

在步骤十二、步骤十三的基础上，根据公式14计算S：

S＝S^A+S^P  (14)

经过上述步骤，完成攻防对抗环境下的网络安全态势评估。

有益效果

本发明依据当前网络攻击的多阶段特点，基于黑客实施完整攻击的不同阶段为进行评估粒度的划分，同时考虑潜在攻击和实际攻击对网络安全态势的影响，构建了一种攻防对抗环境下的网络安全态势评估模型，并给出了相应量化评估算法。该方法与仅基于实际攻击进行评估的模型相比，可以提供更多的不同粒度的潜在攻击态势；与文献《攻防对抗环境下的网络安全态势评估技术研究》提出的评估模型相比，可以从更为合理的角度表征多粒度威胁态势，从而为安全管理员提供更有参考价值的信息。

附图说明

图1为本发明的一种攻防对抗环境下的网络安全态势评估模型图；

图2为本发明的一种攻防对抗环境下的网络安全态势评估方法的整体框架设计流程图。

具体实施方式

下面结合实施例对本发明方案进行详细说明。

实验网络里有三台主机，主机1(IP₁)为对外提供www服务的服务器，主机2(IP₂)为内部www服务器，主机3(IP₃)为普通主机。

将攻击分为三个阶段：探测(C₁)、权限提升(C₂)和入侵(C₃)。

令α＝10。

用漏洞扫描工具发现的各台主机上具有的漏洞情况为：

${\stackrel{\→}{V}}_{{\mathrm{IP}}_1}^{\′}=\{{\stackrel{\·}{v}}_1^{\′},{\stackrel{\·}{v}}_2^{\′},...,{\stackrel{\·}{v}}_{10}^{\′}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_2}^{\′}=\{{\stackrel{\·\·}{v}}_1^{\′},{\stackrel{\·\·}{v}}_2^{\′},...,{\stackrel{\·\·}{v}}_{12}^{\′}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_3}^{\′}=\{{\stackrel{\·\·\·}{v}}_1^{\′},{\stackrel{\·\·\·}{v}}_2^{\′},...,{\stackrel{\·\·\·}{v}}_{15}^{\′}\}$

具体评估如下：

步骤一、计算每一个攻击阶段在评估中的权重，通过公式1，有：

${\mathrm{\ω}}_1^{\′}=\frac{2}{3(3+1)}=0.2;$ ${\mathrm{\ω}}_2^{\′}=\frac{4}{3(3+1)}=0.3;$ ${\mathrm{\ω}}_2^{\′}=\frac{4}{3(3+1)}=0.5$

步骤二、计算网络中每台主机在评估中的权重，其体现不同主机在网络中的价值高低。

按如下方式定义主机价值：

第一类：普通主机，赋值1；

第二类：对外网用户提供FTP、WWW、E-mail等网络服务的服务器，赋值2；

第三类：对外网用户提供数据服务的服务器，以及对内网用户提供FTP、WWW、E-mail等网络服务的服务器，赋值3；

第四类：对内网用户提供数据服务的服务器，赋值4；

第五类：内网存放关键信息、提供关键应用的主机，赋值5。

则集合Value＝{2，3，1}，依据公式2，有：

${\mathrm{\ω}}_1=\frac{2}{2+3+1}=0.3;$ ${\mathrm{\ω}}_2=\frac{2}{2+3+1}=0.5;$ ${\mathrm{\ω}}_3=\frac{1}{2+3+1}=0.2$

显然，ω_min＝0.2

步骤三、计算每一阶段的实际攻击对每台主机形成的威胁态势，表示为

在步骤一、步骤二的基础上，计算一阶段的实际攻击对每台主机形成的威胁态势，其具体操作为：

第1步：在IDS报警中提取在某一时间段Δt内，IDS检测到的针对该主机的每一攻击阶段的所有实际攻击集合：

${\stackrel{\→}{T}}_{{\mathrm{IP}}_1,C_1}^A=\{{\stackrel{\·}{t}}_{11},{\stackrel{\·}{t}}_{21},{\stackrel{\·}{t}}_{31},{\stackrel{\·}{t}}_{41}\};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_1,C_2}^A=\mathrm{\Φ};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_1,C_3}^A=\{{\stackrel{\·}{t}}_{13},{\stackrel{\·}{t}}_{23},{\stackrel{\·}{t}}_{33}\};$

${\stackrel{\→}{T}}_{{\mathrm{IP}}_2,C_1}^A=\{{\stackrel{\·\·}{t}}_{11},{\stackrel{\·\·}{t}}_{21},{\stackrel{\·\·}{t}}_{31}\};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_2,C_2}^A=\{{\stackrel{\·\·}{t}}_{12},{\stackrel{\·\·}{t}}_{22}\};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_2,C_3}^A=\mathrm{\Φ};$

${\stackrel{\→}{T}}_{{\mathrm{IP}}_3,C_1}^A=\{{\stackrel{\·\·\·}{t}}_{11},{\stackrel{\·\·\·}{t}}_{21}\};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_3,C_2}^A=\mathrm{\Φ};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_3,C_3}^A=\mathrm{\Φ};$

相应严重度等级集合：

${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_1}^A=\left\{\mathrm{2,2,1,3}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_2}^A=\mathrm{\Φ};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_3}^A=\left\{\mathrm{3,2,1}\right\};$

${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_1}^A=\left\{\mathrm{1,1,3}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_2}^A=\left\{\mathrm{2,1}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_3}^A=\mathrm{\Φ};$

${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_1}^A=\left\{\mathrm{2,1}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_2}^A=\mathrm{\Φ};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_3}^A=\mathrm{\Φ};$

各实际攻击对应的特定漏洞集合：

${\stackrel{\→}{V}}_{{\mathrm{IP}}_1,C_1}^A=\{{\stackrel{\·}{v}}_1^{\′},\mathrm{\ϵ},{\stackrel{\·}{v}}_{12}^{\′},{\stackrel{\·}{v}}_3^{\′}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_1,C_2}^A=\mathrm{\Φ};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_1,C_3}^A=\{\mathrm{\ϵ},{\stackrel{\·}{v}}_{13}^{\′},{\stackrel{\·}{v}}_4^{\′}\}$

${\stackrel{\→}{V}}_{{\mathrm{IP}}_2,C_1}^A=\{\mathrm{\ϵ},{\stackrel{\·\·}{v}}_1^{\′},{\stackrel{\·\·}{v}}_{15}^{\′}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_2,C_2}^A=\{\mathrm{\ϵ},{\stackrel{\·\·}{v}}_5^{\′}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_2,C_3}^A=\mathrm{\Φ}$

${\stackrel{\→}{V}}_{{\mathrm{IP}}_3,C_1}^A=\{{\stackrel{\·\·\·}{v}}_1^{\′},{\stackrel{\·\·\·}{v}}_{20}^{\′}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_3,C_2}^A=\mathrm{\Φ};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_3,C_3}^A=\mathrm{\Φ}$

各实际攻击发生次数集合：

${\stackrel{\→}{N}}_{{\mathrm{IP}}_1,C_1}^A=\left\{\mathrm{6,10,3,2}\right\};$ ${\stackrel{\→}{N}}_{{\mathrm{IP}}_1,C_2}^A=\mathrm{\Φ};$ ${\stackrel{\→}{N}}_{{\mathrm{IP}}_1,C_3}^A=\left\{\mathrm{5,2,7}\right\};$

${\stackrel{\→}{N}}_{{\mathrm{IP}}_2,C_1}^A=\left\{\mathrm{2,7,6}\right\};$ ${\stackrel{\→}{N}}_{{\mathrm{IP}}_1,C_2}^A=\left\{\mathrm{5,3}\right\};$ ${\stackrel{\→}{N}}_{{\mathrm{IP}}_2,C_3}^A=\mathrm{\Φ};$

${\stackrel{\→}{N}}_{{\mathrm{IP}}_3,C_1}^A=\left\{\mathrm{8,11}\right\};$ ${\stackrel{\→}{N}}_{{\mathrm{IP}}_3,C_2}^A=\mathrm{\Φ};$ ${\stackrel{\→}{N}}_{{\mathrm{IP}}_2,C_3}^A=\mathrm{\Φ};$

第2步：根据主机上漏洞的真实存在情况

对每一项实际攻击的严重性等级进行调整，得：

${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_1}^{A^{\′}}=\left\{\mathrm{2,2,0,3}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_2}^{A^{\′}}=\mathrm{\Φ};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_3}^{A^{\′}}=\left\{\mathrm{3,1,1}\right\};$

${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_1}^{A^{\′}}=\left\{\mathrm{1,1,2}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_2}^{A^{\′}}=\left\{\mathrm{2,1}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_3}^{A^{\′}}=\mathrm{\Φ};$

${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_1}^{A^{\′}}=\left\{\mathrm{2,0}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_2}^{A^{\′}}=\mathrm{\Φ};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_3}^{A^{\′}}=\mathrm{\Φ};$

第3步：根据公式3计算得：

$S_{{\mathrm{IP}}_1,C_1}^A=72;$ $S_{{\mathrm{IP}}_1,C_2}^A=0;$ $S_{{\mathrm{IP}}_1,C_3}^A=114;$

$S_{{\mathrm{IP}}_2,C_1}^A=664;$ $S_{{\mathrm{IP}}_2,C_2}^A=616;$ $S_{{\mathrm{IP}}_2,C_3}^A=0;$

$S_{{\mathrm{IP}}_3,C_1}^A=6;$ $S_{{\mathrm{IP}}_3,C_2}^A=0;$ $S_{{\mathrm{IP}}_3,C_3}^A=0;$

步骤四、计算每一阶段的潜在攻击对每台主机形成的威胁态势，表示为

在步骤一、步骤二的基础上，计算每一阶段的潜在攻击对每台主机形成的威胁态势，其具体如下操作如下：

第1步：在IDS报警中提取在某一时间段Δt内，IDS检测到的针对该主机的每一攻击阶段的所有潜在攻击集合：

${\stackrel{\→}{T}}_{{\mathrm{IP}}_1,C_1}^P=\{{\stackrel{\stackrel{\·}{~}}{t}}_{11},{\stackrel{\stackrel{\·}{~}}{t}}_{21},{\stackrel{\stackrel{\·}{~}}{t}}_{31}\};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_1,C_2}^P=\{{\stackrel{\·}{\tilde{t}}}_{12},{\stackrel{\·}{\tilde{t}}}_{22},{\stackrel{\·}{\tilde{t}}}_{32}\};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_1,C_3}^A=\mathrm{\Φ};$

${\stackrel{\→}{T}}_{{\mathrm{IP}}_2,C_1}^P=\{{\stackrel{\stackrel{\·\·}{~}}{t}}_{11},{\stackrel{\stackrel{\·\·}{~}}{t}}_{21},{\stackrel{\stackrel{\·\·}{~}}{t}}_{31},{\stackrel{\stackrel{\·\·}{~}}{t}}_{41}\};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_2,C_2}^P=\mathrm{\Φ};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_2,C_3}^P=\left\{{\stackrel{\stackrel{\·\·}{~}}{t}}_{13}\right\};$

${\stackrel{\→}{T}}_{{\mathrm{IP}}_3,C_1}^P=\mathrm{\Φ};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_3,C_2}^P=\mathrm{\Φ};$ ${\stackrel{\→}{T}}_{{\mathrm{IP}}_3,C_3}^P=\{{\stackrel{\stackrel{\·\·\·}{~}}{t}}_{13},{\stackrel{\stackrel{\·\·\·}{~}}{t}}_{23}\};$

相应严重度等级集合：

${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_1}^P=\left\{\mathrm{3,2,1}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_2}^P=\left\{\mathrm{1,2,3}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_3}^P=\mathrm{\Φ};$

${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_1}^P=\left\{\mathrm{3,2,3,1}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_2}^P=\mathrm{\Φ};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_3}^P=\left\{3\right\};$

${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_1}^P=\mathrm{\Φ};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_2}^P=\mathrm{\Φ};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_3}^P=\left\{\mathrm{2,1}\right\};$

各潜在攻击对应的特定漏洞集合：

${\stackrel{\→}{V}}_{{\mathrm{IP}}_1,C_1}^P=\{{\stackrel{\·}{v}}_2^{\′},\mathrm{\ϵ},{\stackrel{\·}{v}}_{16}^{\′}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_1,C_2}^P=\{\mathrm{\ϵ},{\stackrel{\·}{v}}_7^{\′},{\stackrel{\·}{v}}_{24}^{\′}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_1,C_3}^P=\mathrm{\Φ};$

${\stackrel{\→}{V}}_{{\mathrm{IP}}_2,C_1}^P=\{{\stackrel{\·\·}{v}}_2^{\′},\mathrm{\ϵ},{\stackrel{\·\·}{v}}_3^{\′},{\stackrel{\·\·}{v}}_{12}^{\′}\};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_2,C_2}^P=\mathrm{\Φ};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_2,C_3}^P=\left\{{\stackrel{\·\·}{v}}_{16}^{\′}\right\};$

${\stackrel{\→}{V}}_{{\mathrm{IP}}_3,C_1}^P=\mathrm{\Φ};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_3,C_2}^P=\mathrm{\Φ};$ ${\stackrel{\→}{V}}_{{\mathrm{IP}}_3,C_3}^P=\{{\stackrel{\·\·\·}{v}}_{21}^{\′},{\stackrel{\·\·\·}{v}}_1^{\′}\};$

各潜在攻击发生次数集合：

${\stackrel{\→}{N}}_{{\mathrm{IP}}_1,C_1}^P=\left\{\mathrm{10,5,2}\right\};$ ${\stackrel{\→}{N}}_{{\mathrm{IP}}_1,C_2}^P=\left\{\mathrm{12,5,7}\right\};$ ${\stackrel{\→}{N}}_{{\mathrm{IP}}_1,C_3}^P=\mathrm{\Φ};$

${\stackrel{\→}{N}}_{{\mathrm{IP}}_2,C_1}^P=\left\{\mathrm{5,12,4,6}\right\};$ ${\stackrel{\→}{N}}_{{\mathrm{IP}}_2,C_2}^P=\mathrm{\Φ};$ ${\stackrel{\→}{N}}_{{\mathrm{IP}}_1,C_3}^P=\left\{15\right\};$

${\stackrel{\→}{N}}_{{\mathrm{IP}}_3,C_1}^P=\mathrm{\Φ};$ ${\stackrel{\→}{N}}_{{\mathrm{IP}}_2,C_2}^P=\mathrm{\Φ};$ ${\stackrel{\→}{N}}_{{\mathrm{IP}}_3,C_3}^P=\left\{\mathrm{8,11}\right\};$

第2步：根据主机上漏洞的真实存在情况

对每一项潜在攻击的严重性等级进行调整，得：

${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_1}^{P^{\′}}=\left\{\mathrm{2,1,0}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_2}^{P^{\′}}=\left\{\mathrm{0,1,0}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_1,C_3}^{P^{\′}}=\mathrm{\Φ};$

${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_1}^{P^{\′}}=\left\{\mathrm{2,1,2,0}\right\};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_2}^{P^{\′}}=\mathrm{\Φ};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_2,C_3}^{P^{\′}}=\left\{0\right\};$

${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_1}^{P^{\′}}=\mathrm{\Φ};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_2}^{P^{\′}}=\mathrm{\Φ};$ ${\stackrel{\→}{L}}_{{\mathrm{IP}}_3,C_3}^{P^{\′}}=\left\{\mathrm{0,0}\right\};$

第3步：根据公式3计算得：

$S_{{\mathrm{IP}}_1,C_1}^P=47;$ $S_{{\mathrm{IP}}_1,C_2}^P=14;$ $S_{{\mathrm{IP}}_1,C_3}^P=0;$

$S_{{\mathrm{IP}}_2,C_1}^P=948;$ $S_{{\mathrm{IP}}_2,C_2}^P=0;$ $S_{{\mathrm{IP}}_2,C_3}^P=0;$

$S_{{\mathrm{IP}}_3,C_1}^p=0;$ $S_{{\mathrm{IP}}_3,C_2}^p=0;$ $S_{{\mathrm{IP}}_3,C_3}^P=0;$

步骤五、计算每一阶段的攻击对每台主机形成的威胁态势，表示为

在步骤三、步骤四的基础上，根据公式5计算

$S_{{\mathrm{IP}}_1,C_1}=119;$ $S_{{\mathrm{IP}}_1,C_2}=14;$ $S_{{\mathrm{IP}}_1,C_3}=114;$

$S_{{\mathrm{IP}}_2,C_1}=1612;$ $S_{{\mathrm{IP}}_2,C_2}=616;$ $S_{{\mathrm{IP}}_2,C_3}=0;$

$S_{{\mathrm{IP}}_3,C_1}=6;$ $S_{{\mathrm{IP}}_3,C_2}=0;$ $S_{{\mathrm{IP}}_3,C_3}=0;$

步骤六、计算每台主机的实际攻击态势，表示为

在步骤三的基础上，根据公式6计算

$S_{{\mathrm{IP}}_1}^A=186;$ $S_{{\mathrm{IP}}_2}^A=1280;$ $S_{{\mathrm{IP}}_3}^A=6;$

步骤七、计算每台主机的潜在攻击态势，表示为

在步骤四的基础上，根据公式7计算

$S_{{\mathrm{IP}}_1}^P=61;$ $S_{{\mathrm{IP}}_2}^P=948;$ $S_{{\mathrm{IP}}_3}^P=0;$

步骤八、计算每台主机的综合威胁态势，表示为

在步骤六、步骤七的基础上，根据公式8计算

$S_{{\mathrm{IP}}_1}=247;$ $S_{{\mathrm{IP}}_2}=2228;$ $S_{{\mathrm{IP}}_3}=6;$

步骤九、计算每一阶段的实际攻击形成的威胁态势，表示为

在步骤三的基础上，根据公式9计算

$S_{C_1}^A=742;$ $S_{C_2}^A=616;$ $S_{C_3}^A=114;$

步骤十、计算每一阶段的潜在攻击形成的威胁态势，表示为

在步骤四的基础上，根据公式10计算

$S_{C_1}^P=995;$ $S_{C_2}^P=14;$ $S_{C_3}^P=0;$

步骤十一、计算每一阶段的攻击形成的综合威胁态势，表示为

在步骤九、步骤十的基础上，根据公式11计算

$S_{C_1}=1737;$ $S_{C_2}=630;$ $S_{C_3}=114;$

步骤十二、计算网络系统的实际攻击整体态势，表示为S^A。

在步骤三的基础上，根据公式12计算S^A：

S^A＝1472

步骤十三、计算网络系统的潜在攻击整体态势，表示为S^P。

在步骤四的基础上，根据公式13计算S^P：

S^P＝1009

步骤十四、计算网络系统的整体态势，表示为S。

在步骤十二、步骤十三的基础上，根据公式14计算S：

S＝2481

经过上述步骤，完成攻防对抗环境下的网络安全态势评估。

需要特别说明的是，对于本领域技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进，这些也应视为属于本发明的保护范围。

Claims (1)

1.一种攻防对抗环境下的网络安全态势评估方法，其特征在于：首先提出一种攻防对抗环境下的网络安全态势评估模型；该模型由一个m×n的矩阵组成，矩阵中的行是被评估网络系统中所有受保护的主机；矩阵中的列是网络系统受到的不同阶段的攻击情况，这里攻击分为两种，一是由部署于防火墙内的IDS提供的实际攻击信息；二是由部署于防火墙外的IDS提供但被防火墙屏蔽了的潜在攻击信息；基于该模型的威胁态势评估方法的具体步骤如下：

步骤一、计算每一个攻击阶段在评估中的权重，用ω_j′(j＝1，…，n)表示，其体现不同攻击阶段对网络形成的威胁态势的严重程度；可通过公式1计算得到；

${\mathrm{\ω}}_j^{\′}=\frac{j}{\underset{q=1}{\overset{n}{\mathrm{\Σ}}}q}=\frac{2j}{n(n+1)}---\left(1\right)$

其中，n为划分的攻击阶段数量；

步骤二、计算网络中每台主机在评估中的权重，用ω_i(i＝1，…，m)表示，其体现不同主机在网络中的价值高低；

首先，令集合Value＝{Value₁，Value₂，…，Value_m}表示网络中m台主机的资产价值，其取值原则为：根据资产价值的重要程度进行分类，并按照资产价值的重要程度越高，其值越大的原则进行赋值；

然后，ω_i(i＝1，…，m)的值可通过公式2计算得到；

${\mathrm{\ω}}_i=\frac{{\mathrm{Value}}_i}{\underset{q=1}{\overset{m}{\mathrm{\Σ}}}{\mathrm{Value}}_q}---\left(2\right)$

步骤三、计算每一阶段的实际攻击对每台主机形成的威胁态势，表示为

在步骤一、步骤二的基础上，计算一阶段的实际攻击对每台主机形成的威胁态势，其具体操作为：

第1步：在IDS报警中提取在某一时间段Δt内，IDS检测到的针对该主机的每一攻击阶段的所有实际攻击

相应严重度等级

各实际攻击对应的特定漏洞

及各实际攻击发生次数

等数据；

第2步：根据主机上漏洞的真实存在情况对每一项实际攻击的严重性等级进行调整，构造集合调整原则为：

即，若v_q＝ε或

表示该实际攻击与漏洞无关或者主机上存在该实际攻击针对的特定漏洞，此时实际攻击的等级不变；

若v_q≠ε且

表示主机上不存在该实际攻击针对的特定漏洞，攻击实际上不可能成功，此时实际攻击调低一个等级；

第3步：根据公式3计算

$S_{{\mathrm{IP}}_i,C_j}^A={\mathrm{\ω}}_j^{\′}\·{\mathrm{\ω}}_i\·{\mathrm{\α}}^{\frac{{\mathrm{\ω}}_i}{{\mathrm{\ω}}_{\min }}}\·\underset{q=1}{\overset{k}{\mathrm{\Σ}}}{l}_q^{\′}\·n_q---\left(3\right)$

其中，α为调节因子，取值大于1，ω_min表示主机权重的最小值；

α用于保证当攻击针对一台很重要的主机时，即使攻击本身形成的威胁并不大，评估值仍然可以较大，以提醒安全管理人员优先对重要主机发生的状况进行处理；

步骤四、计算每一阶段的潜在攻击对每台主机形成的威胁态势，表示为

在步骤一、步骤二的基础上，计算每一阶段的潜在攻击对每台主机形成的威胁态势，其具体如下操作如下：

第1步：在IDS报警中提取在某一时间段Δt内，IDS检测到的针对该主机的每一攻击阶段的所有潜在攻击

相应严重度等级各潜在攻击对应的特定漏洞

及各潜在攻击发生次数

等数据；

第2步：根据主机上漏洞的真实存在情况

对每一项潜在攻击的严重性等级进行调整，构造集合

调整原则为：

即，若或

表示该潜在攻击与漏洞无关或者主机上存在该潜在攻击针对的特定漏洞，这种情况还是需要引起安全管理人员的注意的，此时潜在攻击调低一个等级；

若

且

表示主机上不存在该潜在攻击针对的特定漏洞，这种情况在评估时不予考虑，将攻击等级置为0；

第3步：根据公式4计算

$S_{{\mathrm{IP}}_i,C_j}^P={\mathrm{\ω}}_j^{\′}\·{\mathrm{\ω}}_i\·{\mathrm{\α}}^{\frac{{\mathrm{\ω}}_i}{{\mathrm{\ω}}_{\min }}}\·\underset{q=1}{\overset{g}{\mathrm{\Σ}}}{\tilde{l}}_q^{\′}\·{\tilde{n}}_q---\left(4\right)$

其中，参数α、ω_min的含义与公式3中的对应参数相同；

步骤五、计算每一阶段的攻击对每台主机形成的威胁态势，表示为

在步骤三、步骤四的基础上，根据公式5计算

$S_{{\mathrm{IP}}_i,C_i}=S_{{\mathrm{IP}}_i,C_j}^A+S_{{\mathrm{IP}}_i,C_j}^P---\left(5\right)$

步骤六、计算每台主机的实际攻击态势，表示为

在步骤三的基础上，根据公式6计算

$S_{{\mathrm{IP}}_i}^A=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}^A---\left(6\right)$

步骤七、计算每台主机的潜在攻击态势，表示为

在步骤四的基础上，根据公式7计算

$S_{{\mathrm{IP}}_i}^p=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}^p---\left(7\right)$

步骤八、计算每台主机的综合威胁态势，表示为

在步骤六、步骤七的基础上，根据公式8计算

$S_{{\mathrm{IP}}_i}=S_{{\mathrm{IP}}_i}^A+S_{{\mathrm{IP}}_i}^P---\left(8\right)$

步骤九、计算每一阶段的实际攻击形成的威胁态势，表示为

在步骤三的基础上，根据公式9计算

$S_{C_j}^A=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}^A---\left(9\right)$

步骤十、计算每一阶段的潜在攻击形成的威胁态势，表示为

在步骤四的基础上，根据公式10计算

$S_{C_j}^P=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}^P---\left(10\right)$

步骤十一、计算每一阶段的攻击形成的综合威胁态势，表示为

在步骤九、步骤十的基础上，根据公式11计算

$S_{C_j}=S_{C_j}^A+S_{C_j}^P---\left(11\right)$

步骤十二、计算网络系统的实际攻击整体态势，表示为S^A；

在步骤三的基础上，根据公式12计算S^A：

$S^A=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}^A---\left(12\right)$

步骤十三、计算网络系统的潜在攻击整体态势，表示为S^P；

在步骤四的基础上，根据公式13计算S^P：

$S^P=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{S}_{{\mathrm{IP}}_i,C_j}^P---\left(13\right)$

步骤十四、计算网络系统的整体态势，表示为S；

在步骤十二、步骤十三的基础上，根据公式14计算S：

S＝S^A+S^P  (14)

经过上述步骤，完成攻防对抗环境下的网络安全态势评估。

Images