CN108494810B

CN108494810B - 面向攻击的网络安全态势预测方法、装置及系统

Info

Publication number: CN108494810B
Application number: CN201810594501.5A
Authority: CN
Inventors: 张玉臣; 胡浩; 邱辉; 张红旗; 汪永伟; 范钰丹; 何淼; 汪涛
Original assignee: Information Engineering University of PLA Strategic Support Force
Current assignee: Information Engineering University of PLA Strategic Support Force
Priority date: 2018-06-11
Filing date: 2018-06-11
Publication date: 2021-01-26
Anticipated expiration: 2038-06-11
Also published as: CN108494810A

Abstract

本发明属于网络安全技术领域，特别涉及一种面向攻击的网络安全态势预测方法、装置及系统，该方法包含：检测并收集网络对抗环境下的报警数据和网络环境运维信息，获取网络安全态势预测所需的要素集，该要素集包含攻击方、防御方和网络环境三类信息；对攻击方能力和防御方水平进行评估，建立动态贝叶斯攻击图，计算攻击阶段数和攻击状态发生概率向量；结合漏洞评分标准和网络资产信息，从时空维度量化网络安全态势值。本发明实现防御方、攻击方与环境信息等态势要素间的动态关联，更加符合网络实际环境，能够准确地对未来态势与攻击发生时间进行预测，具有更高的预测效率，优化网络安全态势感知的存储规模与时效性，为网络防护提供更有效的指导。

Description

面向攻击的网络安全态势预测方法、装置及系统

技术领域

本发明属于网络安全技术领域，特别涉及一种面向攻击的网络安全态势预测方法、装置及系统。

背景技术

随着网络规模的不断扩大，传统行业与互联网的结合越来越广泛，人们的生活已高度依赖于网络。目前网络安全环境不容乐观，网络攻击日益频繁，造成的威胁与损失也越来越大。因此在复杂多变的网络环境中认知、理解并预测网络的安全状态及其发展趋势，有助于管理人员及时掌握网络安全状况，并对未来可能出现的威胁提前做出防护，减小攻击对网络的危害。网络安全态势预测作为安全态势感知的重要环节，通过预测未来网络安全态势的发展，帮助管理员提前做出防护准确，降低网络攻击所带来的潜在损失。

传统方法在对安全状态的趋势进行预测时，主要以攻击威胁、网络脆弱性为预测要素，该类方法仅结合单一要素进行预测，已经无法满足管理人员对掌握网络整体安全趋势的需求。网络安全态势感知技术融合了入侵检测系统IDS、防火墙、病毒检测系统VDS等网络安全设备的防护数据，是对网络安全状况与趋势的一个整体反映，能够作为网络预警与响应的重要参照。目前主流的网络安全态势预测方法一般分为以下三种：1)、基于时空序列分析的方法.该方法的假设条件为安全态势值的变化具有规则和周期性，因此通过对网络中历史与当前安全态势值的分析，从而实现对网络安全趋势的预测，该方法未对网络各安全态势要素的变化、以及各动态安全态势要素间的相互影响进行分析，因此模式固定，预测突发事件不强。2)、基于博弈论的方法.该方法在攻防对抗环境中，利用博弈理论动态选择攻击方与防御方的最优策略选择，通过综合分析攻击方、防御方与网络环境信息的变化，在态势要素选择上较为全面，博弈论在军事领域应用比较成熟，而在网络环境中突发性强、不可预知因素过多，因此对网络攻防建立博弈论的模型难度较大；且该方法只能对安全趋势进行短期预测，无法给出网络态势长期的预测。3)、基于图论的方法.该方法利用网络环境中的脆弱性信息生成状态转移图，并从攻击者角度出发，依据当前状态对网络未来可能出现的安全状态进行预测。但该方法仅仅从攻击方与网络环境信息进行考虑，其建立的攻击图为静态攻击图，忽略了防御方的策略选择对网络未来安全态势的影响。综上，现有方法存在一些亟待解决的问题：1)、缺乏对防御方、攻击方与环境信息等态势要素间的动态关联。其中基于序列分析与攻击图的方法均只对攻击方与环境信息进行分析，而基于博弈论的方法建模难度较大，尚无成熟模型；2)、尚未对攻击入侵成功的时间进行预测。现有方法都是对网络未来一段时间的预测，其预测为下一阶段，时间上具有模糊性，缺乏对攻击的入侵成功时间量化预测。

发明内容

针对现有技术中的不足，本发明提供一种面向攻击的网络安全态势预测方法、装置及系统，通过提取攻防双方及网络环境的全方位态势要素，构建动态贝叶斯网路攻击图，从时空两个维度对未来态势与攻击发生时间进行预测，符合网路实际对抗环境，实现网络安全态势的量化分析和趋势预测，增强网络安全态势预测的有效性和实时性。

按照本发明所提供的设计方案，一种面向攻击的网络安全态势预测方法，包含如下内容：

检测并收集网络对抗环境下的报警数据和网络环境运维信息，获取网络安全态势预测所需的要素集，该要素集包含攻击方、防御方和网络环境三类信息；

对攻击方能力和防御方水平进行评估，建立动态贝叶斯攻击图，计算攻击阶段数和攻击状态发生概率向量；

结合漏洞评分标准和网络资产信息，从时空维度量化网络安全态势值。

上述的，要素集中攻击方信息包含原子攻击动作、攻击序列和攻击能力；防御方信息包含防御策略集；网络环境信息包含主机运维信息、拓扑结构、服务漏洞和网络连通性。

优选的，通过采集网络传感器报警信息并对报警信息进行数据融合，获取原子攻击动作，网络传感器至少包含入侵检测系统、防火墙和系统日志；对原子攻击动作进行因果分析，得到攻击序列；并依据攻击方历史安全时间数据获取攻击能力。

优选的，依据收集到的网络安全态势要素集，建立动态贝叶斯攻击图，包含如下内容：

读取服务漏洞数据，并结合通用漏洞评分和漏洞生命周期模型获取漏洞真实利用率；

通过漏洞真实利用率及原子攻击动作前提攻击发生时间，计算先验攻击耗时和未知漏洞期望耗时；

依据网络安全态势要素集合，生成目标网络动态贝叶斯攻击图BAG＝(S,A,ξ,p)，并构造状态转移矩阵、攻击期望耗时矩阵、防御期望耗时矩阵、依存关系矩阵、状态发生概率向量和状态转移时间向量，其中，S表示状态节点集合，A表示为状态节点间的有向边集合，ξ表示状态间的依赖关系，P表示状态转移概率集合；

结合攻击方攻击能力与防御策略评估结果，对状态转移矩阵、攻击期望耗时矩阵、防御期望耗时矩阵进行赋值，并初始化状态转移时间向量；对攻击序列中各原子攻击动作实现状态进行映射，获取状态发生概率向量；

根据攻防双方期望耗时，判断攻击者能否在脆弱性修复前进行状态转移，更新状态转移矩阵；依据攻击者所处当前状态，迭代更新状态发生概率向量、状态转移时间向量及状态转移矩阵，直至满足预设递归终结条件，结束本次递归，输出攻击阶段数和攻击状态发生概率向量。

优选的，结合漏洞评分标准和网络资产信息，从时空维度量化网络安全态势值，包含如下内容：

通过查询美国NVD数据库，获取每个服务漏洞的威胁得分；

读取第t个攻击阶段的状态发生概率向量P^t，P_i ^t表示状态节点i的预测发生概率，设定状态节点i发生主机的权重值为Weight_i，v_i是该节点发生所依赖的服务漏洞，则第t个攻击阶段的网络安全态势值计算公式表示为：NSA^t＝∑P_i ^tImpact(v_i)Weight_i，Impact(v_i)表示服务漏洞v_i的威胁得分；

结合各攻击阶段的安全态势值，构建安全态势演化图和攻击路径状态转移图，获取网络安全发展趋势。

一种面向攻击的网络安全态势预测装置，包含信息收集模块、攻击图建立模块及态势预测模块，其中，

信息收集模块，用于检测并收集网络对抗环境下的报警数据和网络环境运维信息，获取网络安全态势预测所需的要素集，该要素集包含攻击方、防御方和网络环境三类信息；

攻击图建立模块，用于对攻击方能力和防御方水平进行评估，建立动态贝叶斯攻击图，计算攻击阶段数和攻击状态发生概率向量；

态势预测模块，用于结合漏洞评分标准和网络资产信息，从时空维度量化网络安全态势值。

上述的装置中，所述的信息收集模块包含要素集收集子模块、数据聚类子模块和数据存储子模块，其中，

要素集收集子模块，用于获取对抗环境下的攻击方信息、防御方信息和网络环境信息，该攻击方信息包含原子攻击动作、攻击序列和攻击能力；防御方信息包含防御策略集；网络环境信息包含主机运维信息、拓扑结构、服务漏洞和网络连通性；

数据聚类子模块，用于通过预设过滤规则对要素集收集子模块获取的数据进行过滤，并通过多源异构数据统一格式进行统一和聚类；

数据存储子模块，用于对数据聚类子模块中统一和聚类结果进行数据存储。

上述的装置中，要素集收集子模块包含攻击方信息收集单元、防御方信息收集单元和网络环境信息收集单元，其中，

攻击方信息收集单元，用于通过采集网络传感器报警信息并对报警信息进行数据融合，获取原子攻击动作，网络传感器至少包含入侵检测系统、防火墙和系统日志；对原子攻击动作进行因果分析，得到攻击序列；并依据攻击方历史安全时间数据获取攻击能力；

防御方信息收集单元，用于收集网络防护配置信息，该网络防护配置信息至少包含防火墙规则、入侵检测系统安全策略和脆弱性解决方案；

网路环境信息收集单元，用于采集网络环境统计信息，该网络环境统计信息至少包含网络连接性、主机运维数据、服务漏洞和拓扑结构。

一种面向攻击的网络安全态势预测系统，包含态势数据服务器、态势量化服务器和Hadoop支撑平台，其中，

态势数据服务器，用于通过部署在网络中安全传感器对影响网络完全状况的安全要素进行收集，并对收集到的数据进行数据清洗、聚类和融合，获取网络安全态势预测所需的要素集；

态势量化服务器，用于依据要素集构造目标网络的动态贝叶斯攻击图，通过攻击迭代预测攻击行为，获取不同攻击阶段的网络安全态势值；

Hadoop支撑平台，用于将要素集数据的计算和存储扩展到Hadoop集群中各个节点，通过调用Hadoop端口，利用分布式文件系统进行数据存储，通过映射归约编程模型MapReduce进行数据并行计算。

上述的系统中，所述的态势量化服务器包含攻击预测模块、态势量化模块和可视化模块，其中，

攻击预测模块，利用要素集构造目标网络的动态贝叶斯攻击图，获取攻击阶段数和攻击状态发生概率向量；

态势量化模块，用于结合通用漏洞评分标准和网络环境主机资产信息，及攻击阶段数和攻击状态发生概率向量，获取攻击阶段的网络安全态势值；

可视化模块，用于依据不同攻击阶段的网络安全态势值，构建安全态势演化图和攻击路径状态转移图，获取网络安全发展趋势。

本发明的有益效果：

本发明通过提取攻击方、防御方、网络环境信息全方位的态势要素，对攻击者能力与防御者水平进行评估，建立动态的贝叶斯攻击图，预测网络攻击的可能行为，并从时空两个维度对态势预测值进行量化分析，相比传统方法，实现了防御方、攻击方与环境信息等态势要素间的动态关联，更加符合网络实际环境，能够准确地对未来态势与攻击发生时间进行预测，无需对历史序列进行训练，具有更高的预测效率，同时优化网络安全态势感知的存储规模与时效性，为网络防护提供更有效的指导。

附图说明：

图1为实施例中的方法流程示意图；

图2为实施例中贝叶斯攻击图构建示意图；

图3为实施例中网络安全态势值获取示意图；

图4为实施例中的装置结构示意图；

图5为实施例中的信息收集模块结构示意图；

图6为实施例中的要素集收集子模块结构示意图；

图7为实施例中系统架构示意图；

图8为实施例中的系统工作原理示意图；

图9为实施例中的态势数据服务器功能模块示意图；

图10为实施例中的态势量化服务器功能模块示意图；

图11为实施例中的Hadoop支撑平台功能模块示意图；

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。实施例中涉及到的技术术语如下：

现有网络安全态势预测中，主要以攻击威胁和网络脆弱性作为预测要素，因预测要素单一，无法满足管理人员掌握网络整体安全需求，缺乏攻防双方及网络环境要素的动态关联，且建模难度大，模型不成熟，预测时间段比较模糊，缺乏对攻击入侵成功时间量化的预测。鉴于此，本发明实施例提供一种面向攻击的网络安全态势预测方法，参见图1所示，包含：

S101、检测并收集网络对抗环境下的报警数据和网络环境运维信息，获取网络安全态势预测所需的要素集，该要素集包含攻击方、防御方和网络环境三类信息；

S102、对攻击方能力和防御方水平进行评估，建立动态贝叶斯攻击图，计算攻击阶段数和攻击状态发生概率向量；

S103、结合漏洞评分标准和网络资产信息，从时空维度量化网络安全态势值。

通过提取攻击方、防御方、网络环境信息全方位的态势要素，并对攻击者能力与防御者水平进行评估，建立动态的贝叶斯攻击图，预测网络攻击的可能行为，并结合通用漏洞评分标准CVSS，计算基于攻击预测的安全态势值，从时空两个维度对未来态势与攻击发生时间进行预测，符合网络对抗环境，具有广泛的应用前景。

依据网络对抗环境，本发明的另一个实施例中，检测收集对抗环境下的报警数据与网络环境自身运维信息，并对收集到的信息进行标准化规范，从而得到网络安全态势预测所需的要素集，包括攻击方、防御方、环境信息3类；其中，攻击方信息包括原子攻击动作、攻击序列、攻击能力，攻击信息的来源主要依靠网络中入侵检测系统IDS、防火墙、系统日志等传感器的报警信息，对报警信息进行数据融合得到原子攻击动作，并对原子动作进行因果分析得到攻击序列，攻击能力计算依据攻击者历史安全事件数据分析得到；防御方信息包括防护策略集，防御方信息的收集依靠对网络中出现的脆弱性的解决方案的汇总；环境信息包括主机信息、拓扑结构、网络连通性，环境信息的收集依靠对网络信息的统计与漏洞扫描系统的结果，其中拓扑结构依据对网络结构的统计，网络连通性依据网络中防火墙的过滤规则，主机信息依据对运维系统、软件的统计和对主机的漏洞扫描。

依据收集到的网络安全态势要素集，建立动态贝叶斯攻击图，本发明的再一个实施例中，参见图2所示，攻击图建立具体包含如下内容：

S201、读取服务漏洞数据，并结合通用漏洞评分和漏洞生命周期模型获取漏洞真实利用率；

S202、通过漏洞真实利用率及原子攻击动作前提攻击发生时间，计算先验攻击耗时和未知漏洞期望耗时；

S203、依据网络安全态势要素集合，生成目标网络动态贝叶斯攻击图BAG＝(S,A,ξ,p)，并构造状态转移矩阵、攻击期望耗时矩阵、防御期望耗时矩阵、依存关系矩阵、状态发生概率向量和状态转移时间向量，其中，S表示状态节点集合，A表示为状态节点间的有向边集合，ξ表示状态间的依赖关系，P表示状态转移概率集合；

S204、结合攻击方攻击能力与防御策略评估结果，对状态转移矩阵、攻击期望耗时矩阵、防御期望耗时矩阵进行赋值，并初始化状态转移时间向量；对攻击序列中各原子攻击动作实现状态进行映射，获取状态发生概率向量；

S205、根据攻防双方期望耗时，判断攻击者能否在脆弱性修复前进行状态转移，更新状态转移矩阵；依据攻击者所处当前状态，迭代更新状态发生概率向量、状态转移时间向量及状态转移矩阵，直至满足预设递归终结条件，结束本次递归，输出攻击阶段数和攻击状态发生概率向量。

与传统基于静态攻击图的网络攻击行为预测方法相比，本实施例通过动态关联攻击方与防御方的策略选择对环境信息的影响，在攻防对抗环境下生成动态贝叶斯攻击图来预测攻击行为。攻击行为预测即是状态间的相互转移，其转移依据当前的攻击状态、以及未来可能的攻击途径，其预测过程是一个递归，从一个状态转移到另一种状态取决于前面已发生的状态，包括漏洞利用率评估、攻击期望耗时评估、预测算法准备、预测算法初始化、预测算法递归、预测算法结束这6个子步骤：

(1)漏洞利用率评估，态势量化&可视化服务器端调用漏洞利用率评估子模块，读取态势数据集成服务器端MySQL数据库中存储的漏洞数据，结合行业公开的通用漏洞评分CVSS与Frei’s漏洞生命周期模型计算漏洞真实利用率p_t(v)＝F(t)×p；CVSS提供了漏洞v的攻击复杂度评估标准，若复杂度为低级，则利用率p＝0.71；若为中级，则p＝0.61；若为高级，则p＝0.35；Frei’s模型给出漏洞的时间因子函数，用于衡量利用技术的当前状况以及漏洞攻击代码的可获得性。其时间因子函数

其中α与k为常数参数，α＝0.26，k＝0.00161；t＝t_now-t_SIP，即为当前时间与该漏洞首次发布在SIP上时的天数差。

(2)攻击期望耗时评估，攻击期望耗时评估子模块采用加权平均值的方法，从态势数据集成服务器端读取安全事件信息，计算先验攻击耗时

其中n表示已知攻击序列的边数，t表示攻击序列中一个原子攻击动作的发生时间，原子攻击动作a是指攻击者在网络中实施的单个攻击动作，其可能是对主机服务的扫描或对主机某个漏洞v的利用，pre(t)表示该原子攻击动作的前提攻击的发生时间，p_t(v)表示执行该原子攻击动作所依赖漏洞的利用率。计算攻击者利用未知漏洞v₀的期望耗时t_attack＝ASLT/p_t(v₀)。

(3)预测算法准备，贝叶斯攻击图构造子模块利用自动化工具MulVAL，以网络连通性信息、网络漏洞、主机/网络配置、访问策略信息为输入，生成目标网络的贝叶斯攻击图BAG＝(S,A,ξ,p)，其中，S表示状态节点集合，A表示为状态节点间的有向边集合，ξ表示状态间的依赖关系，P表示状态转移概率集合：

·A∈S×S.

a＝pre(a)→post(a)，pre(a)为a的起始状态节点，post(a)为a的目的状态节点。

·S＝S_internalUS_externalUS_terminal.其中对于

不存在a∈A使得S_i＝post(a)；对于

使得S_i＝post(a_j)＝post(a_k)；对于

不存在a∈A使得S_i＝pre(a)。

·对于

P(S_i)表示状态S_i的可达概率；对于

p(a)表示攻击者从状态pre(a)转移到状态post(a)的概率，等于原子攻击a利用漏洞v的真实利用率p_t(v)。

·对于

存在ξ_j∈ξ与S_i相对应，且ξ_j∈{AND,OR}。其中，ξ_j＝AND表示只有状态S_i的全部父节点全部入侵成功，S_i才有可能成功；ξ_j＝OR表示只要状态S_i的任一父节点被成功入侵，S_i就有可能成功。其满足如下运算规则，其中pre(S_i)表示状态S_i的父节点，a＝pre(S_i)→S_i

构造状态转移矩阵Pr，Pr_ij∈Pr表示该攻击者从状态i转移到状态j的概率，其等于该攻击者对所依赖漏洞的真实利用率p_t(v)；若从状态i到状态j不可达，则设置Pr_ij＝0；设置Pr_ii＝1。构造攻击期望耗时矩阵CT，CT_ij∈CT表示该攻击者从状态i转移到状态j的期望耗时，其等于该攻击者对所依赖漏洞的期望耗时t_attack；若从状态i到状态j不可达，则设置CT_ij＝∞；设置CT_ii＝0。构造防御期望耗时矩阵RT，RT_ij∈RT表示防御方修复从状态i转移到状态j所依赖脆弱性的期望耗时；若从状态i到状态j不可达，则设置RT_ij＝0；设置RT_ii＝0。构造依存关系矩阵Q，Q_ij∈Q表示从状态i转移到状态j的依存关系，若状态i到状态j可达，设置Q_ij＝ξ_j；若状态i到状态j不可达，设置

设置Q_ii＝OR。构造状态发生概率向量P，P_i∈P表示状态i的发生概率。构造状态转移时间向量T，T_i∈T表示状态i的预测发生时间。

(4)预测算法初始化，矩阵运算子模块结合攻击者能力与防御策略的评估结果，对状态转移概率矩阵Pr、攻击期望耗时矩阵CT、防御期望耗时矩阵RT赋值，并设置初始状态转移时间向量T中各元素T_i＝0。然后对攻击序列中各原子攻击动作所实现的状态进行映射，得到状态发生概率向量P，其中各状态的实现概率即为对应原子攻击利用漏洞v的利用率P_i＝p_t(v)。

(5)预测算法递归，递归过程即是状态转移的过程，其一次递归就是攻击者可能实施的一次原子攻击动作，递归过程如下：

a)首先根据攻防双方的攻击与防护期望耗时，判断攻击者能否在脆弱性修复之前进行状态转移，矩阵运算子模块根据计算结果，更新状态转移概率矩阵Pr；如果T_i+CT_ij>RT_ij，则表明攻击者在成功实施从状态i到状态j的原子攻击动作之前，防御方已经修复该脆弱性，则状态i到状态j不可达，更新Pr_ij＝0；

b)在贝叶斯攻击图的基础上，依据攻击者所处当前状态，矩阵运算子模块计算其可能的状态转移路径，利用下述公式更新状态发生概率向量P

其中，t表示递归的轮次；

计算

若状态节点i为与节点，即ξ_i＝AND，则状态节点i的所有父节点全部成功实施，状态节点i才可能实现，

运算规则为依据依存关系矩阵Q找出状态节点i所有的父节点，并按照公式(1)的“AND”节点计算方法进行计算；若状态节点i为或节点，即ξ_i＝OR，则状态节点i的任何一个父节点成功实施，状态节点i即可以实现，

运算规则为依据依存关系矩阵Q找出状态节点i所有的父节点，并按照公式(1)的“OR”节点计算方法进行计算。

c)依据本轮状态转移发生情况，判断是否存在状态节点的发生概率出现变动，矩阵运算子模块依据判定结果，更新状态转移时间向量T，

其中t表示递归的轮次；

表示从状态i到状态j的转移成功；该式即为更新到达状态j的最近时间；

d)为保证攻击者不进行重复的状态转移，将攻击图中已经发生过，且无其他路径可以利用的状态转移边删去，同时矩阵运算子模块更新状态转移概率矩阵Pr，

其中t表示递归的轮次；

表示状态节点i仅有来自节点i自身一条入边。

(6)预测算法终止，递归过程的终结条件为状态发生概率向量P趋于稳定，即当P^t+1＝P^t时，结束本次递归，矩阵运算子模块输出向量P和数值t，攻击时间与概率识别子模块输出攻击阶段数t，攻击状态发生概率向量P。

结合漏洞评分标准和网络资产信息，参见图3所示，本发明的再一个实施例中从时空维度量化网络安全态势值，包含如下内容：

S301、通过查询美国NVD数据库，获取每个服务漏洞的威胁得分；

S302、读取第t个攻击阶段的状态发生概率向量P^t，P_i ^t表示状态节点i的预测发生概率，设定状态节点i发生主机的权重值为Weight_i，v_i是该节点发生所依赖的服务漏洞，则第t个攻击阶段的网络安全态势值计算公式表示为：NSA^t＝∑P_i ^tImpact(v_i)Weight_i，Impact(v_i)表示服务漏洞v_i的威胁得分；

S303、结合各攻击阶段的安全态势值，构建安全态势演化图和攻击路径状态转移图，获取网络安全发展趋势。

读取态势数据集成服务器端MySQL数据库中的漏洞统计信息，CVSS给出了一种基于机密性C、完整性I、可用性A三个指标评价的漏洞威胁得分，用于衡量单个漏洞对网络的影响，对于每个漏洞v，漏洞威胁影响评估子模块通过查询美国NVD数据库得到指标分值，并计算威胁得分Impact(v)＝10×(1-(1-C)×(1-I)×(1-A))。求解第t个攻击阶段的网络安全态势值，由于∑P_i ⁰＝1，Impact(v_i)≤10，∑Weight_i＝1，因此NSA≤10。依据CVSS中对得分的威胁程度定义，设定当NSA∈[0,4.0]时，该主机处于低风险；当NSA∈(4.0,7.0]时，该主机处于中度风险；当NSA∈(7.0,10]时，该主机处于高风险。结合各攻击阶段的安全态势值，构建安全态势演化图，横坐标表示攻击阶段t，纵坐标表示网络在该阶段的态势值NSA^t；构建攻击路径状态转移图，横坐标表示攻击阶段t，纵坐标表示各阶段攻击者最有可能处于的状态节点，用户通过访问能够直观地获取网络的安全发展趋势。

基于上述的网络安全态势预测方法，本发明实施例，参见图4所示，提供一种面向攻击的网络安全态势预测装置，包含信息收集模块001、攻击图建立模块002及态势预测模块003，其中，

信息收集模块001，用于检测并收集网络对抗环境下的报警数据和网络环境运维信息，获取网络安全态势预测所需的要素集，该要素集包含攻击方、防御方和网络环境三类信息；

攻击图建立模块002，用于对攻击方能力和防御方水平进行评估，建立动态贝叶斯攻击图，计算攻击阶段数和攻击状态发生概率向量；

态势预测模块003，用于结合漏洞评分标准和网络资产信息，从时空维度量化网络安全态势值。

上述的装置中，参见图5所示，所述的信息收集模块001包含要素集收集子模块101、数据聚类子模块102和数据存储子模块103，其中，

要素集收集子模块101，用于获取对抗环境下的攻击方信息、防御方信息和网络环境信息，该攻击方信息包含原子攻击动作、攻击序列和攻击能力；防御方信息包含防御策略集；网络环境信息包含主机运维信息、拓扑结构、服务漏洞和网络连通性；

数据聚类子模块102，用于通过预设过滤规则对要素集收集子模块获取的数据进行过滤，并通过多源异构数据统一格式进行统一和聚类；

数据存储子模块103，用于对数据聚类子模块中统一和聚类结果进行数据存储。

上述的装置中，参见图6所示，要素集收集子模块101包含攻击方信息收集单元1001、防御方信息收集单元1002和网络环境信息收集单元1003，其中，

攻击方信息收集单元1001，用于通过采集网络传感器报警信息并对报警信息进行数据融合，获取原子攻击动作，网络传感器至少包含入侵检测系统、防火墙和系统日志；对原子攻击动作进行因果分析，得到攻击序列；并依据攻击方历史安全时间数据获取攻击能力；

防御方信息收集单元1002，用于收集网络防护配置信息，该网络防护配置信息至少包含防火墙规则、入侵检测系统安全策略和脆弱性解决方案；

网路环境信息收集单元1003，用于采集网络环境统计信息，该网络环境统计信息至少包含网络连接性、主机运维数据、服务漏洞和拓扑结构。

基于上述的方法和装置，本发明实施例还提供一种面向攻击的网络安全态势预测系统，参见图7所示，包含态势数据服务器、态势量化服务器和Hadoop支撑平台，其中，

通过部署在网络各节点的传感器收集数据，然后将这些安全数据通过预处理后集成到态势数据集成服务器中，对数据进行聚类与融合，该阶段通过调用Hadoop平台接口进行处理，Hadoop主要由分布式存储HDFS和并行计算MapReduce两部分组成，优化网络安全态势感知的存储规模与时效性。态势量化服务器调用态势数据服务器与Hadoop平台上的安全数据对当前态势进行分析并图形化展示，最终用户通过访问可视化服务器获取网络的安全态势。该系统工作原理如图8所示，首先收集网络系统中对抗环境下的攻防双方及网络环境信息作为态势要素，然后根据态势要素集中数据生成动态贝叶斯攻击图，计算得到攻击阶段及状态转移概率向量，识别攻击路径及意图；结合CVSS通用漏洞评分及主机资产信息，对网络安全态势进行量化，进而从时空两个维度对未来网络态势与攻击发生时间进行预测，符合网络对抗环境，具有广泛的应用前景。

进一步地，参见图9所示，态势数据服务器包含数据采集模块和数据处理模块，数据采集模块包括攻击方要素采集子模块、防御方要素采集子模块和网络环境要素采集子模块，通过部署在网络中的多种安全传感器，如网络安全设备、网络管理设备以及网络监控设备，对影响网络安全状况的安全要素进行收集，为后面的态势预测提供数据支撑；数据处理模块包括数据清洗、聚类、融合子模块，用于对收集到的复杂、海量、冗余、异构的安全要素进行简化与预处理，并对各安全要素进行分类与提取，为后面的态势预测提供格式化数据；通过检测与收集对抗环境下的报警数据与网络环境自身运维信息，并对收集到的信息进行标准化规范。

进一步地，参见图10所示，态势量化服务器包含攻击预测模块、态势量化模块和可视化模块，其中，

图10中，攻击预测模块又包含贝叶斯攻击图构造子模块、漏洞利用率评估子模块、攻击期望耗时评估子模块、矩阵生成子模块、矩阵运算子模块、攻击时间与概率识别子模块：用于构造目标网络攻击图，通过攻击迭代预测攻击行为。态势量化模块包括漏洞威胁影响评估子模块和安全态势值计算子模块：用于结合通用漏洞评分标准CVSS，网络环境中的主机资产信息，计算不同攻击阶段的网络风险值。可视化模块：将态势预测的结果进行可视化展示，直观呈现给管理人员和用户，主要包括实时态势曲线图展示子模块、攻击场景重构子模块。实时态势曲线图是对当前态势值以及未来一段时间态势值的预测的一个直观反映；攻击场景重构是将攻击者的攻击路径还原，便于查找漏洞。

进一步地，参见图11所示，Hadoop支撑平台包括HDFS分布式存储子模块和MapReduce并行计算子模块。用于利用Hadoop的集群特征，将态势数据集成服务器端采集到的海量报警数据的计算和存储要求扩展到Hadoop集群中的各个节点上，利用集群的并行计算和存储能力来进行相关分析，在整个系统中，数据处理模块通过调用Hadoop端口，使用HDFS分布式存储子模块存储文件和数据，并利用MapReduce并行计算子模块实现并行计算。攻击方要素采集子模块采集部署在网络各节点处的传感器传回的原始报警日志，通过调用Hadoop接口，HDFS分布式存储子模块将海量报警数据存储在Hadoop平台上；防御方要素采集子模块收集网络配置信息，包括防火墙规则、IDS安全策略和脆弱性解决方案等安全防护信息；网络环境要素采集子模块采集网络连接性、主机运维、服务漏洞等统计信息；防御方和网络环境信息由于数据量小，直接存取在态势数据集成服务器的MySQL数据库中。数据处理模块中的数据清洗子模块对原始报警数据进行清洗，通过设置过滤规则，将不符合规范的数据过滤掉，例如字段缺省，参数错误，冗余数据，并对多源异构数据统一格式，保存成通用的XML格式的数据文件。数据聚类子模块对统一格式的XML文件进行聚类，为满足实时处理，该阶段在数据集成服务器上调用Hadoop接口，由MapReduce并行运算子模块实现对海量报警数据的聚类。Hadoop支撑平台将聚类结果回传到数据集成服务器的MySQL数据库中，其数据量较原始报警数据已大大减小。数据融合子模块对精简的报警数据进行融合，该阶段在态势数据集成服务器端完成，最终得到当前时间段内的安全事件；通过全方位的攻防双方和网络环境信息收集，作为态势要素集，对攻击者能力和防御者水平进行评估，建立动态贝叶斯攻击图，结合CVSS，从时空两个维度对未来态势与攻击发生时间进行预测，符合网络实际对抗环境，具有较强的有效性和实用性。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的各实例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不认为超出本发明的范围。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如：只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种面向攻击的网络安全态势预测方法，其特征在于，包含如下内容：

结合漏洞评分标准和网络资产信息，从时空维度量化网络安全态势值；结合各攻击阶段的安全态势值构建用于对当前态势值以及未来一段时间态势值的预测进行直观反映的安全态势演化图和用于通过将攻击场景重构来还原攻击者攻击路径以查找漏洞的攻击路径状态转移图；

通过部署在网络各节点的传感器收集数据，然后将数据通过预处理后集成到态势数据集成服务器中对数据进行聚类与融合，聚类融合阶段通过调用Hadoop平台接口进行处理，以优化网络安全态势感知的存储规模与时效性；通过调用态势数据集成服务器与Hadoop平台上的安全数据对当前态势进行分析并图形化展示，最终用户通过访问可视化服务器获取网络的安全态势。

2.根据权利要求1所述的面向攻击的网络安全态势预测方法，其特征在于，要素集中攻击方信息包含原子攻击动作、攻击序列和攻击能力；防御方信息包含防御策略集；网络环境信息包含主机运维信息、拓扑结构、服务漏洞和网络连通性。

3.根据权利要求2所述的面向攻击的网络安全态势预测方法，其特征在于，通过采集网络传感器报警信息并对报警信息进行数据融合，获取原子攻击动作，网络传感器至少包含入侵检测系统、防火墙和系统日志；对原子攻击动作进行因果分析，得到攻击序列；并依据攻击方历史安全时间数据获取攻击能力。

4.根据权利要求2所述的面向攻击的网络安全态势预测方法，其特征在于，依据收集到的网络安全态势要素集，建立动态贝叶斯攻击图，包含如下内容：

5.根据权利要求2所述的面向攻击的网络安全态势预测方法，其特征在于，结合漏洞评分标准和网络资产信息，从时空维度量化网络安全态势值，包含如下内容：

通过查询美国NVD数据库，获取每个服务漏洞的威胁得分；

6.一种面向攻击的网络安全态势预测装置，其特征在于，基于权利要求1所述的方法实现，包含信息收集模块、攻击图建立模块及态势预测模块，其中，

7.根据权利要求6所述的面向攻击的网络安全态势预测装置，其特征在于，所述的信息收集模块包含要素集收集子模块、数据聚类子模块和数据存储子模块，其中，

8.根据权利要求7所述的面向攻击的网络安全态势预测装置，其特征在于，要素集收集子模块包含攻击方信息收集单元、防御方信息收集单元和网络环境信息收集单元，其中，

网络环境信息收集单元，用于采集网络环境统计信息，该网络环境统计信息至少包含网络连接性、主机运维数据、服务漏洞和拓扑结构。

9.一种面向攻击的网络安全态势预测系统，其特征在于，基于权利要求1所述的方法实现，包含态势数据服务器、态势量化服务器和Hadoop支撑平台，其中，

态势数据服务器，用于通过部署在网络中安全传感器对影响网络安全状况的安全要素进行收集，并对收集到的数据进行数据清洗、聚类和融合，获取网络安全态势预测所需的要素集；

10.根据权利要求9所述的面向攻击的网络安全态势预测系统，其特征在于，所述的态势量化服务器包含攻击预测模块、态势量化模块和可视化模块，其中，