CN104270372B - 一种参数自适应的网络安全态势量化评估方法 - Google Patents

Abstract

本发明提供一种参数自适应的网络安全态势量化评估方法，包括以下步骤：建立网络安全态势感知系统；获取态势要素；对态势要素进行标准化处理和加权处理；对态势要素的权重进行动态调整。本发明所获取的态势要素较为全面，从流量和主机两个角度考虑，包括异常流量、网络攻击、病毒木马、主机漏洞、资源消耗、网络运行等六个方面；相关参数是动态的，可随着网络环境、安全需求的变化而动态调整，能够较为准确的反应网络安全态势的变化情况，且动态调整算法具有较高的效率。

Description

一种参数自适应的网络安全态势量化评估方法

技术领域

本发明属于计算机网络安全领域，具体涉及一种参数自适应的网络安全态势量化评估方法。

背景技术

随着计算机、通信等信息技术的快速发展，Internet在全球日益普及，已应用到人们工作、学习和生活的方方面面。到2013年底，Internet已经覆盖全球近40％的人口，用户数达到了27亿，在中国，网民数量也快速发展到6.18亿。其应用也在快速增长，其中电子商务、社交网络的发展进一步促进了Internet的繁荣。然而，随着Internet的广泛应用，其安全问题也日益凸显。那些网络攻击者、黑客们在追逐利益、报复、破坏等心理的驱动下，针对计算机网络系统的漏洞和脆弱环节，采用各种各样的攻击手段，窃取、篡改和删除网络数据，破坏系统的可用性，造成系统瘫痪，等等。面对当前严重的网络安全威胁，传统的安全防护手段，如入侵检测、防火墙以及用户认证等，虽然从一定程度上提高了网络的安全性，但是这些技术相互孤立，彼此之间没有有效的统一管理调度机制，不能互相支撑、协同工作，使其安全防护没有针对性，其防护功能也未得到充分发挥。因此，需要网络安全管理员对整个网络的安全状况有一个全局的把握，实现对网络安全事件的预警，并以此来进行决策，实施具体的安全防护措施。而如何评估网络的总体安全状况，可采用网络安全态势感知(Network Security Situation Awareness，NSSA)技术。

网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络安全态势感知就是实时地监测网络安全状态，快速准确地做出安全状态评判，并能利用网络安全属性的历史记录，以多角度、多尺度的可视化方式，为用户提供一个准确直观的网络安全态势走向图。它可分为网络态势要素获取、网络态势评估和网络态势预测3个阶段。

现有关于网络安全态势感知的研究成果大多数采用层次化的指标体系和指标加权的评估模型，但模型参数是静态的，不能根据动态的网络环境、网管人员的安全需求进行自适应调整。

发明内容

为了克服上述现有技术的不足，本发明提供一种参数自适应的网络安全态势量化评估方法，其中参数可动态地进行在线更新，使得态势量化评估更加科学、合理；主要解决如何高效、准确地评估网络的总体安全状况，为网络安全事件预警提供依据和支撑。

为了实现上述发明目的，本发明采取如下技术方案：

本发明提供一种参数自适应的网络安全态势量化评估方法，所述方法包括以下步骤：

步骤1：建立网络安全态势感知系统；

步骤2：获取态势要素；

步骤3：对态势要素进行标准化处理和加权处理；

步骤4：对态势要素的权重进行动态调整。

所述步骤1中，网络安全态势感知系统包括多个子网、第二级交换机、第一级交换机、防火墙、流量抓取软件系统、IDS和态势感知服务器；各个子网通过第二级交换机连接到第一级交换机，第一级交换机通过防火墙后连接至外网，所述第一级交换机通过镜像端口连接流量抓取软件系统，所述流量抓取软件系统进行协议分析处理，其抓取的流量作为IDS的输入；所述防火墙开启病毒木马扫描功能以及入侵防御系统，其上报Syslog格式日志到态势感知服务器；子网中主机上安装有安全防护软件，定期扫描漏洞并上报态势感知服务器。

所述步骤2中，所述态势要素包括异常流量、网络攻击、病毒木马、主机漏洞、资源消耗和网络运行；各个态势要素获取途径如下：

(1)异常流量：通过IDS报警信息和IPS报警信息获取异常流量信息；

(2)网络攻击：通过IDS报警信息和IPS报警信息分析出现的网络攻击信息；

(3)病毒木马：一方面通过在防火墙上配置病毒库和木马库进行实时检测，获取病毒木马信息，另一方面通过各主机上的安全防护软件实时上报检测结果获取病毒木马信息；

(4)主机漏洞：通过在各主机上安装的安全防护软件进行漏洞扫描并上传至态势感知服务器，获取主机漏洞信息；

(5)资源消耗：通过实时监控网络中各节点流量获取资源消耗信息；

(6)网络运行：通过对网络基本运行情况以及各主机连通性情况获取网络运行信息。

所述步骤3包括以下步骤：

步骤3-1：对态势要素进行标准化处理；

采用最小-最大规范化对态势要素进行线性变换，假定Max(Attri)与Min(Attri)分别表示属性Attri的最大值与最小值，计算将属性Attri的值映射到区间[0，1]上的Attri′，Attri′表示为：

步骤3-2：在标准化处理的基础上，对态势要素指数进行加权处理；

令：

异常流量为C₁，不同来源的异常流量指数为C_1,1、C_1,2、…；

网络攻击为C₂，不同来源的网络攻击指数为C_2,1、C_2,2、…；

病毒木马为C₃，不同来源的病毒木马指数为C_3,1、C_3,2、…；

主机漏洞为C₄，不同来源的主机漏洞指数为C_4,1、C_4,2、…；

资源消耗为C₅，不同来源的资源消耗指数为C_5,1、C_5,2、…；

网络运行为C₆，不同来源的网络运行指数为C_6,1、C_6,2、…；

将态势要素指数放入一个向量[x₁,x₂,...,x_n-1]中，有：

[C_1,1,C_1,2,...,C_2,1,C_2,2,...,C_3,1,C_3,2,...,C_4,1,C_4,2,...,C_5,1,C_5,2,...,C_6,1,C_6,2,...]＝[x₁,x₂,...,x_n-1]

其中，n为态势要素指数总数；

于是，t时刻态势值f(t)表示为：

f(t)＝a₁*x₁+a₂*x₂+...+a_n-1*x_n-1+C

其中，C为常数因子，且C＝a_n，a₁,a₂,a₃,…,a_n-1分别为态势要素指数的权重；

各个态势要素的权重形成参数向量，令参数向量为A＝[a₁,a₂,...,a_n-1,a_n]，态势要素向量为X＝[x₁,x₂,...,x_n-1,1]^T，f(t)又可表示为f(t)＝A*X。

所述步骤4包括以下步骤：

步骤4-1：在离线阶段，确定参数向量A；

步骤4-2：采用递推的最小二乘法对参数向量中参数进行动态调整。

所述步骤4-1中，设f(t_i)为t_i时刻态势值，f′(t_i)为f(t_i)的目标值，f(t_i)与f′(t_i)之间的误差表示为|f(t_i)-f′(t_i)|，且有m个参数观测值，于是误差的平方和I表示为：

按照使得I为最小的方式进行求解，分别对参数向量中各个参数求偏导数，并分别令其等于0，可得下列方程组：

……

设参数观测值与参数计算值之间的差值为e，于是m个参数观测值对应的态势目标值可表示为：

f′(t₁)＝a₁x₁(t₁)+a₂x₂(t₁)+...+a_nx_n(t₁)+e_t1

f′(t₂)＝a₁x₁(t₂)+a₂x₂(t₂)+...+a_nx_n(t₂)+e_t2

……

f′(t_m)＝a₁x₁(t_m)+a₂x₂(t_m)+...+a_nx_n(t_m)+e_tm

其中，e_t1、e_t2、…、e_tm分别表示t₁、t₂、…、t_m时刻参数观测值与参数计算值之间的差值，令：

于是有z＝H_mA+e，推导可得参数向量A＝(H_m ^TH_m)^-1H_m ^Tz，其中逆矩阵(H_m ^TH_m)^-1存在。

所述步骤4-2中，令中间向量P_m＝H_m ^TH_m，则参数在t_m+1时刻的态势估值A_m+1表示为：

A_m+1＝A_m+P_mh_m+1 ^T[h_m+1P_mh_m+1 ^T+1]^-1[z_m+1-h_m+1A_m]

其中，A_m为参数在t_m时刻的估值，P_m通过下式得到：

P_m+1＝P_m-P_mh_m+1 ^T[h_m+1P_mh_m+1 ^T+1]^-1h_m+1P_m。

与现有技术相比，本发明的有益效果在于：

(1)所获取的态势要素较为全面，从流量和主机两个角度考虑，包括异常流量、网络攻击、病毒木马、主机漏洞、资源消耗、网络运行等六个方面；

(2)相关参数是动态的，可随着网络环境、安全需求的变化而动态调整，能够较为准确的反应网络安全态势的变化情况，且动态调整算法具有较高的效率。

附图说明

图1是本发明是实施例中网络安全态势感知系统拓扑结构图；

图2是本发明是实施例中网络安全态势综合指数图。

具体实施方式

下面结合附图对本发明作进一步详细说明。

本发明提供一种参数自适应的网络安全态势量化评估方法，所述方法包括以下步骤：

步骤1：建立网络安全态势感知系统；

步骤2：获取态势要素；

步骤3：对态势要素进行标准化处理和加权处理；

步骤4：对态势要素的权重进行动态调整。

所述步骤1中，如图1，网络安全态势感知系统包括多个子网、第二级交换机、第一级交换机、防火墙、流量抓取软件系统、IDS和态势感知服务器；各个子网通过第二级交换机连接到第一级交换机，第一级交换机通过防火墙后连接至外网，所述第一级交换机通过镜像端口连接流量抓取软件系统，所述流量抓取软件系统进行协议分析处理，其抓取的流量作为IDS的输入；所述防火墙开启病毒木马扫描功能以及入侵防御系统，其上报Syslog格式日志到态势感知服务器；子网中主机上安装有安全防护软件，定期扫描漏洞并上报态势感知服务器。

所述步骤2中，(如图2)所述态势要素包括异常流量、网络攻击、病毒木马、主机漏洞、资源消耗和网络运行；各个态势要素获取途径如下：

(1)异常流量：通过IDS报警信息和IPS报警信息获取异常流量信息；

(2)网络攻击：通过IDS报警信息和IPS报警信息分析出现的网络攻击信息；

(3)病毒木马：一方面通过在防火墙上配置病毒库和木马库进行实时检测，获取病毒木马信息，另一方面通过各主机上的安全防护软件实时上报检测结果获取病毒木马信息；

(4)主机漏洞：通过在各主机上安装的安全防护软件进行漏洞扫描并上传至态势感知服务器，获取主机漏洞信息；

(5)资源消耗：通过实时监控网络中各节点流量获取资源消耗信息；

(6)网络运行：通过对网络基本运行情况以及各主机连通性情况获取网络运行信息。

所述步骤3包括以下步骤：

步骤3-1：对态势要素进行标准化处理；

采用最小-最大规范化对态势要素进行线性变换，假定Max(Attri)与Min(Attri)分别表示属性Attri的最大值与最小值，计算将属性Attri的值映射到区间[0，1]上的Attri′，Attri′表示为：

步骤3-2：在标准化处理的基础上，对态势要素指数进行加权处理；

令：

异常流量为C₁，不同来源的异常流量指数为C_1,1、C_1,2、…；

网络攻击为C₂，不同来源的网络攻击指数为C_2,1、C_2,2、…；

病毒木马为C₃，不同来源的病毒木马指数为C_3,1、C_3,2、…；

主机漏洞为C₄，不同来源的主机漏洞指数为C_4,1、C_4,2、…；

资源消耗为C₅，不同来源的资源消耗指数为C_5,1、C_5,2、…；

网络运行为C₆，不同来源的网络运行指数为C_6,1、C_6,2、…；

将态势要素指数放入一个向量[x₁,x₂,...,x_n-1]中，有：

[C_1,1,C_1,2,...,C_2,1,C_2,2,...,C_3,1,C_3,2,...,C_4,1,C_4,2,...,C_5,1,C_5,2,...,C_6,1,C_6,2,...]＝[x₁,x₂,...,x_n-1]

其中，n为态势要素指数总数；

于是，t时刻态势值f(t)表示为：

f(t)＝a₁*x₁+a₂*x₂+...+a_n-1*x_n-1+C

其中，C为常数因子，且C＝a_n，a₁,a₂,a₃,…,a_n-1分别为态势要素指数的权重；

各个态势要素的权重形成参数向量，令参数向量为A＝[a₁,a₂,...,a_n-1,a_n]，态势要素向量为X＝[x₁,x₂,...,x_n-1,1]^T，f(t)又可表示为f(t)＝A*X。

所述步骤4包括以下步骤：

步骤4-1：在离线阶段，确定参数向量A；

步骤4-2：采用递推的最小二乘法对参数向量中参数进行动态调整。

所述步骤4-1中，设f(t_i)为t_i时刻态势值，f′(t_i)为f(t_i)的目标值，f(t_i)与f′(t_i)之间的误差表示为|f(t_i)-f′(t_i)|，且有m个参数观测值，于是误差的平方和I表示为：

按照使得I为最小的方式进行求解，分别对参数向量中各个参数求偏导数，并分别令其等于0，可得下列方程组：

……

设参数观测值与参数计算值之间的差值为e，于是m个参数观测值对应的态势目标值可表示为：

f′(t₁)＝a₁x₁(t₁)+a₂x₂(t₁)+...+a_nx_n(t₁)+e_t1

f′(t₂)＝a₁x₁(t₂)+a₂x₂(t₂)+...+a_nx_n(t₂)+e_t2

……

f′(t_m)＝a₁x₁(t_m)+a₂x₂(t_m)+...+a_nx_n(t_m)+e_tm

其中，e_t1、e_t2、…、e_tm分别表示t₁、t₂、…、t_m时刻参数观测值与参数计算值之间的差值，令：

于是有z＝H_mA+e，推导可得参数向量A＝(H_m ^TH_m)^-1H_m ^Tz，其中逆矩阵(H_m ^TH_m)^-1存在。

所述步骤4-2中，令中间向量P_m＝H_m ^TH_m，则参数在t_m+1时刻的态势估值A_m+1表示为：

A_m+1＝A_m+P_mh_m+1 ^T[h_m+1P_mh_m+1 ^T+1]^-1[z_m+1-h_m+1A_m]

其中，A_m为参数在t_m时刻的估值，P_m通过下式得到：

P_m+1＝P_m-P_mh_m+1 ^T[h_m+1P_mh_m+1 ^T+1]^-1h_m+1P_m。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，所属领域的普通技术人员参照上述实施例依然可以对本发明的具体实施方式进行修改或者等同替换，这些未脱离本发明精神和范围的任何修改或者等同替换，均在申请待批的本发明的权利要求保护范围之内。

Claims (5)

1.一种参数自适应的网络安全态势量化评估方法，其特征在于：所述方法包括以下步骤：

步骤1：建立网络安全态势感知系统；

步骤2：获取态势要素；

步骤3：对态势要素进行标准化处理和加权处理；

步骤4：对态势要素的权重进行动态调整；

所述步骤3包括以下步骤：

步骤3-1：对态势要素进行标准化处理；

采用最小-最大规范化对态势要素进行线性变换，假定Max(Attri)与Min(Attri)分别表示属性Attri的最大值与最小值，计算将属性Attri的值映射到区间[0，1]上的Attri′，Attri′表示为：

${\mathrm{Attri}}^{\′}=\frac{Max\left(Attri\right)-Attri}{Max\left(Attri\right)-Min\left(Attri\right)}$

步骤3-2：在标准化处理的基础上，对态势要素指数进行加权处理；

令：

异常流量为C₁，不同来源的异常流量指数为C_1,1、C_1,2、…；

网络攻击为C₂，不同来源的网络攻击指数为C_2,1、C_2,2、…；

病毒木马为C₃，不同来源的病毒木马指数为C_3,1、C_3,2、…；

主机漏洞为C₄，不同来源的主机漏洞指数为C_4,1、C_4,2、…；

资源消耗为C₅，不同来源的资源消耗指数为C_5,1、C_5,2、…；

网络运行为C₆，不同来源的网络运行指数为C_6,1、C_6,2、…；

将态势要素指数放入一个向量[x₁,x₂,...,x_n-1]中，有：

[C_1,1,C_1,2,...,C_2,1,C_2,2,...,C_3,1,C_3,2,...,C_4,1,C_4,2,...,C_5,1,C_5,2,...,C_6,1,C_6,2,...]＝[x₁,x₂,...,x_n-1]

其中，n为态势要素指数总数；

于是，t时刻态势值f(t)表示为：

f(t)＝a₁*x₁+a₂*x₂+...+a_n-1*x_n-1+C

其中，C为常数因子，且C＝a_n；a₁,a₂,a₃,…,a_n-1分别为态势要素指数的权重；

各个态势要素的权重形成参数向量，令参数向量为A＝[a₁,a₂,...,a_n-1,a_n]，态势要素向量为X＝[x₁,x₂,...,x_n-1,1]^T，f(t)又可表示为f(t)＝A*X；

所述步骤4包括以下步骤：

步骤4-1：在离线阶段，确定参数向量A；

步骤4-2：采用递推的最小二乘法对参数向量中参数进行动态调整。

2.根据权利要求1所述的参数自适应的网络安全态势量化评估方法，其特征在于：所述步骤1中，网络安全态势感知系统包括多个子网、第二级交换机、第一级交换机、防火墙、流量抓取软件系统、IDS和态势感知服务器；各个子网通过第二级交换机连接到第一级交换机，第一级交换机通过防火墙后连接至外网，所述第一级交换机通过镜像端口连接流量抓取软件系统，所述流量抓取软件系统进行协议分析处理，其抓取的流量作为IDS的输入；所述防火墙开启病毒木马扫描功能以及入侵防御系统，其上报Syslog格式日志到态势感知服务器；子网中主机上安装有安全防护软件，定期扫描漏洞并上报态势感知服务器。

3.根据权利要求1所述的参数自适应的网络安全态势量化评估方法，其特征在于：所述步骤2中，所述态势要素包括异常流量、网络攻击、病毒木马、主机漏洞、资源消耗和网络运行；各个态势要素获取途径如下：

(1)异常流量：通过IDS报警信息和IPS报警信息获取异常流量信息；

(2)网络攻击：通过IDS报警信息和IPS报警信息分析出现的网络攻击信息；

(3)病毒木马：一方面通过在防火墙上配置病毒库和木马库进行实时检测，获取病毒木马信息，另一方面通过各主机上的安全防护软件实时上报检测结果获取病毒木马信息；

(4)主机漏洞：通过在各主机上安装的安全防护软件进行漏洞扫描并上传至态势感知服务器，获取主机漏洞信息；

(5)资源消耗：通过实时监控网络中各节点流量获取资源消耗信息；

(6)网络运行：通过对网络基本运行情况以及各主机连通性情况获取网络运行信息。

4.根据权利要求1所述的参数自适应的网络安全态势量化评估方法，其特征在于：所述步骤4-1中，设f(t_i)为t_i时刻态势值，f′(t_i)为f(t_i)的目标值，f(t_i)与f′(t_i)之间的误差表示为|f(t_i)-f′(t_i)|，且有m个参数观测值，于是误差的平方和I表示为：

$I=\underset{i=1}{\overset{m}{\Σ}}{|f\left(t_i\right)-f^{\′}\left(t_i\right)|}^2$

按照使得I为最小的方式进行求解，分别对参数向量中各个参数求偏导数，并分别令其等于0，可得下列方程组：

$\underset{i=1}{\overset{m}{\Σ}}(\[f(t_i)-f^{\′}(t_i)\]*\frac{\∂}{\∂a_1}f(t_i\left)\right)=0$

$\underset{i=1}{\overset{m}{\Σ}}(\[f(t_i)-f^{\′}(t_i)\]*\frac{\∂}{\∂a_2}f(t_i\left)\right)=0$

……

$\underset{i=1}{\overset{m}{\Σ}}(\[(t_i)-f^{\′}(t_i)\]*\frac{\∂}{\∂a_n}f(t_i\left)\right)=0$

设参数观测值与参数计算值之间的差值为e，于是m个参数观测值对应的态势目标值可表示为：

f′(t₁)＝a₁x₁(t₁)+a₂x₂(t₁)+...+a_nx_n(t₁)+e_t1

f′(t₂)＝a₁x₁(t₂)+a₂x₂(t₂)+...+a_nx_n(t₂)+e_t2

……

f′(t_m)＝a₁x₁(t_m)+a₂x₂(t_m)+...+a_nx_n(t_m)+e_tm

其中，e_t1、e_t2、…、e_tm分别表示t₁、t₂、…、t_m时刻参数观测值与参数计算值之间的差值，令：

于是有z＝H_mA+e，推导可得参数向量A＝(H_m ^TH_m)^-1H_m ^Tz，其中逆矩阵(H_m ^TH_m)^-1存在。

5.根据权利要求4所述的参数自适应的网络安全态势量化评估方法，其特征在于：所述步骤4-2中，令中间向量P_m＝H_m ^TH_m，则参数在t_m+1时刻的态势估值A_m+1表示为：

A_m+1＝A_m+P_mh_m+1 ^T[h_m+1P_mh_m+1 ^T+1]^-1[z_m+1-h_m+1A_m]

其中，A_m为参数在t_m时刻的估值，P_m通过下式得到：

P_m+1＝P_m-P_mh_m+1 ^T[h_m+1P_mh_m+1 ^T+1]^-1h_m+1P_m。