CN109302396A - 一种基于风险评估的网络安全态势感知方法 - Google Patents
一种基于风险评估的网络安全态势感知方法 Download PDFInfo
- Publication number
- CN109302396A CN109302396A CN201811175440.5A CN201811175440A CN109302396A CN 109302396 A CN109302396 A CN 109302396A CN 201811175440 A CN201811175440 A CN 201811175440A CN 109302396 A CN109302396 A CN 109302396A
- Authority
- CN
- China
- Prior art keywords
- risk
- network
- value
- assets
- loophole
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于风险评估的网络安全态势感知方法,包括以下步骤:步骤1,获取环境因素,扫描目标网络获取漏洞信息;步骤2,评估设备的风险程度;1)用集合为网络上需要评估的设备设定相应的风险值;2)为网络上需要评估的设备设定相应的权重值,根据经验确定;步骤3,预测、计算网络风险等级;用低、中、高表示风险值;具有易于应用,便于管理员监控整个网络,并对未来可能发生的威胁发出警告的特点。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种基于风险评估的网络安全态势感知方法。
背景技术
网络技术在现代生活中扮演着非常重要的角色。同时,网络安全也受到多重威胁。针对这些安全问题,可以采用防火墙、入侵检测、生物特征认证等方法来增强网络的安全性。这些方法大多针对特定的安全问题,无法为管理者提供网络的整体安全态势。而网络安全态势感知(NSSA)可以处理网络中多种安全问题,并且已经在多种不同的场景下得到了大量的研究。传统的NSSA方法是收集服务器上的日志文件或通过网络设备中的数据包等各种信息来实时检测潜在的攻击。由于系统固有的漏洞,网络在未受到攻击之前仍面临安全风险。
态势感知的概念(SA)最早是由Endsley提出,其主要目的是帮助设计飞机系统。经过多年的发展,SA在各个领域对决策和网络安全都有很大的帮助。自从Bass将NSSA应用到构建更有效的IDS,在该领域有很多工作都取得了显著的进展。例如,Zhao和Liu提出了一种在大数据环境下采用粒子群优化算法的方法。Zhang等人利用DS证据理论将来自于防火墙、NIDS、HIDS等异构网络传感器的数据进行融合,以此判断安全状况。此外还有一种使用语义本体论的方法,通过定义网络中的基本对象,并遵循用户定义的推理规则自动生成当前状态值。上述提到的所有工作以及其他一些NSSA工作,主要依赖于实时网络流检测技术,无法在攻击发生前向管理员提供网络的安全状态。
发明内容
为克服上述现有技术的不足,本发明的目的是提供一种基于风险评估的网络安全态势感知方法,具有易于应用,便于管理员监控整个网络,并对未来可能发生的威胁发出警告的特点。
为实现上述目的,本发明采用的技术方案是:一种基于风险评估的网络安全态势感知方法,其特征在于,包括以下步骤:
步骤1,获取环境因素,扫描目标网络获取漏洞信息;
通过搜索引擎、whois信息网站输入评估目标网络的相关词条可以获得包括目标网络的域名服务器、web服务器、IP地址块等信息;在扫描阶段,使用Nmap、Nessus工具扫描目标网络的各类服务器及IP地址,查找正在运行的资产和相应漏洞;获得漏洞后在通用漏洞库中查找该漏洞信息,或通过专家知识评分获得该漏洞的风险严重程度;
步骤2,评估资产的风险程度,具体做法是:
1)用集合为网络上需要评估的资产设定相应的风险值;
用集合V={v1,v2…,vn},vi表示某个资产上第i个漏洞的严重程度,用n表示该资产的漏洞数量,用函数作来计算资产的风险值r;
函数可能是多种多样的,这取决于漏洞的综合影响;若管理者认为最薄弱的漏洞会造成成最严重的情况,则风险值r可以用V中值最大的元素值表示,该函数可表示为:
若黑客随机选择目标,r可以用V中所有元素的平均值表示,该函数可以表示为:
2)为网络上需要评估的设备设定相应的权重值,根据经验确定;
步骤3,预测、计算网络风险等级
定义两个集合,R=(r1,r2,…,rn)表示网络资产的风险值,W=(w1,w2,…,wn)表示网络资产权重,n是资产的数量,整个网络的风险值可表示为:
rne=∑iri·wi
风险值rne反映网络安全状况,用低、中、高表示风险值。
所述的风险值rne还可以表示为:将rne的值范围划分为相应的连续区间,每一个区间代表一种特定情况。
本发明的有益效果是:
本发明提出了一种网络安全态势评估方法—风险评估NSSA(Risk AssessmentNSSA),该方法收集网络的漏洞,并对相应的风险进行评估,从而反映整个网络的安全状况。
本发明的目的检测网络中的漏洞,计算风险等级,并将其定性地表示为安全情况。该方法还能够在实际攻击发生之前帮助从业者降低风险。
NSSA能够提供目标网络的整体安全状况,这是其他安全技术难以实现的。大多数NSSA方法都依赖于实时网络流量检测,并在攻击发生时进行检测。在发明提出了RA-NSSA模型法,收集网络中的漏洞信息,并定性地推导出目标网络的风险等级。本发明可以帮助管理员掌握网络安全态势,并防范潜在的威胁。
本发明的网络安全态势感知方法(NSSA)可以为网络管理员提供整体的安全态势,通过实时数据包检测技术来检测正在发生或已经造成一定破坏的安全攻击。通过收集网络中的漏洞信息,并用相应的风险等级定性地表示安全状况。该方法易于应用,便于管理员监控整个网络,并对未来可能发生的威胁发出警告。
附图说明
图1为本发明的流程图。
图2为本发明网络、资产、漏洞与风险的关系原理图。
图3为本发明实施例中设备漏洞数示意图。
图4为本发明实施例中漏洞严重程度平均值示意图。
图5为本发明实施例中权重示意图。
图6为本发明实施例中目标网络的安全状态图。
具体实施方式
下面结合附图和实施例对本发明作进一步详细说明。
实施例
本实施例使用一个示例来说明本发明。在传统的风险评估中,资产可以是多种多样的,不仅仅是物理设备、软件、操作手册、人员等,这些都可以影响网络的安全状况。在本发明中,只将网络中的一个节点视为一个独立的资产,可以是路由器、工作站和应用服务器。在本实施例中,假设目标网络有6个节点,6个设备。
参见图1、2,一种基于风险评估的网络安全态势感知方法,包括以下步骤:
步骤1,获取环境因素,扫描目标网络获取漏洞信息;
通过百度或谷歌搜索引擎、whois信息网站输入评估目标网络的相关词条可获得包括目标网络的域名服务器、web服务器、IP地址块等信息;在扫描阶段,使用Nmap、Nessus工具扫描目标网络的各类服务器及IP地址,查找正在运行的资产和相应漏洞;获得漏洞后在通用漏洞库中查找该漏洞信息,或通过专家知识评分获得该漏洞的风险严重程度;
步骤2,评估资产的风险程度,具体做法是:
1)用集合为网络上需要评估的资产设定相应的风险值;
用集合V={v1,v2…,vn},vi表示某个设备上第i个漏洞的严重程度,用n表示该设备的漏洞数量,用函数作来计算资产的风险值r;
函数可能是多种多样的,这取决于漏洞的综合影响;若管理者认为最薄弱的漏洞会造成成最严重的情况,则风险值r可以用V中值最大的元素值表示,该函数可表示为:
若黑客随机选择目标,r可以用V中所有元素的平均值表示,该函数可以表示为:
2)为网络上需要评估的设备设定相应的权重值,根据经验确定;各设备的权重主要由专家根据他们的经验分析来确定;实际上,许多研究都在探讨如何系统地分析用于安全管理的资产价值,当缺乏可靠的专家意见时,可以使用其他的解决方案进行分析;
实施例中采用V中所有元素的平均值表示资产的风险程度,得到相应的风险程度如下:
步骤3,预测、计算网络风险等级
定义两个集合,R=(r1,r2,…,rn)表示网络资产的风险值,W=(w1,w2,…,wn)表示网络资产权重,n是资产的数量,整个网络的风险值可表示为:
rne=∑iri·wi
风险值rne反映网络安全状况,为了直观观察,可以用低、中、高表示风险值。
另外一种表示的方式是,将rne的值范围划分为相应的连续区间,每一个区间代表一种特定情况,如表1所示,rne的范围为[0,10],它被分为四个相同长度的区间,低、中、高、非常高分别对应不同的安全状况。根据rne所属区间,可以确定目标网络的安全状况;如果原有的漏洞等级是用语言表示的,那么可以采用模糊逻辑方法,因为它更符合人类习惯,更容易被理解。应用成员函数是这一过程的关键步骤,梯形和三角形成员函数常用在一些安全相关分析工作中。
实施例中权重的分配如下:
由此得到最后的网络态势风险值如下:
rne=5.57
表1.风险值范围和相应的语言安全等级
风险值范围 | 安全等级 |
[0,0.25) | 低 |
[2.5,5) | 中 |
[5,7.5) | 高 |
(7.5,10) | 非常高 |
对照表1得到该网络的安全风险程度为高
参见图2,即使大多数漏洞可以从NVD等开源漏洞数据库中查询,但仅凭漏洞信息无法推断网络的安全状况。由于特定的网络环境,漏洞、资产和风险之间的关系变得有些复杂。通常,这种关系如图2所示。网络通常有多个设备,每个设备都有多个漏洞。不同设备的相同漏洞可能会对网络造成不同的影响。原因是每个设备在网络中都有不同的重要性。例如,一台没有硬盘驱动器的工作站比安装了包含公司机密信息的数据库服务器产生的风险小。因此,步骤2需要解决两个问题,第一个是每个设备都有多个漏洞,如何为该设备设定合适的风险值,第二个是每个设备都必须有适当的权重来表示设备的在网络中的重要性。
参见图3,每个节点上的漏洞数在0到5之间,漏洞的紧急级别是随机生成的。图3显示了每个节点上的漏洞数量。
参见图4,显示了每个资产上漏洞的平均严重程度。
参见图5,选择使用每个节点上的漏洞严重平均值来表示特定资产的总体风险值。对于每一个节点,随机分配权重来模拟专家经验参与的过程。节点权重如图5所示。
参见图6,根据表1所示的映射关系,计算整个网络的风险值,将实数转化为定性的方式。网络的安全状况如图6所示。
Claims (2)
1.一种基于风险评估的网络安全态势感知方法,其特征在于,包括以下步骤:
步骤1,获取环境因素,扫描目标网络获取漏洞信息;
通过搜索引擎、whois信息网站输入评估目标网络的相关词条可以获得包括目标网络的域名服务器、web服务器、IP地址块等信息;在扫描阶段,使用Nmap、Nessus工具扫描目标网络的各类服务器及IP地址,查找正在运行的资产和相应漏洞;获得漏洞后在通用漏洞库中查找该漏洞信息,或通过专家评分获得该漏洞的风险严重程度;
步骤2,评估资产的风险程度,具体做法是:
1)用集合为网络上需要评估的资产设定相应的风险值;
用集合V={v1,v2…,vn},vi表示某个资产上第i个漏洞的严重程度,用n表示该资产的漏洞数量,用函数作来计算资产的风险值r;
函数可能是多种多样的,这取决于漏洞的综合影响;若管理者认为最薄弱的漏洞会造成成最严重的情况,则风险值r可以用V中值最大的元素值表示,该函数可表示为:
若黑客随机选择目标,r可以用V中所有元素的平均值表示,该函数可以表示为:
2)为网络上需要评估的设备设定相应的权重值,根据经验确定;
步骤3,预测、计算网络风险等级
定义两个集合,R=(r1,r2,…,rn)表示网络资产的风险值,W=(w1,w2,…,wn)表示网络资产权重,n是资产的数量,整个网络的风险值可表示为:
rne=∑iri·wi
风险值rne反映网络安全状况,用低、中、高表示风险值。
2.根据权利要求1所述的一种基于风险评估的网络安全态势感知方法,其特征在于,所述的风险值rne还可以表示为:将rne的值范围划分为相应的连续区间,每一个区间代表一种特定情况。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811175440.5A CN109302396A (zh) | 2018-10-10 | 2018-10-10 | 一种基于风险评估的网络安全态势感知方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811175440.5A CN109302396A (zh) | 2018-10-10 | 2018-10-10 | 一种基于风险评估的网络安全态势感知方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109302396A true CN109302396A (zh) | 2019-02-01 |
Family
ID=65162023
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811175440.5A Pending CN109302396A (zh) | 2018-10-10 | 2018-10-10 | 一种基于风险评估的网络安全态势感知方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109302396A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109933743A (zh) * | 2019-03-14 | 2019-06-25 | 小安(北京)科技有限公司 | 网站风险评估方法及装置 |
CN111865982A (zh) * | 2020-07-20 | 2020-10-30 | 交通运输信息安全中心有限公司 | 基于态势感知告警的威胁评估系统及方法 |
CN112887341A (zh) * | 2021-04-29 | 2021-06-01 | 北京微步在线科技有限公司 | 一种外部威胁监控方法 |
CN112989333A (zh) * | 2021-05-10 | 2021-06-18 | 北京安泰伟奥信息技术有限公司 | 一种安全认证方法及系统 |
CN113364742A (zh) * | 2021-05-17 | 2021-09-07 | 北京邮电大学 | 一种网络安全威胁定量弹性计算方法及装置 |
CN113824699A (zh) * | 2021-08-30 | 2021-12-21 | 深圳供电局有限公司 | 一种网络安全检测方法及装置 |
CN114697188A (zh) * | 2022-03-28 | 2022-07-01 | 天津大学 | 一种基于网络态势感知的物联网设备风险预测分析方法 |
CN114745166A (zh) * | 2022-03-29 | 2022-07-12 | 烽台科技(北京)有限公司 | 工业资产风险感知方法、装置及电子设备 |
CN115242465A (zh) * | 2022-07-01 | 2022-10-25 | 电子科技大学成都学院 | 一种网络设备配置方法及网络设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150432A (zh) * | 2007-08-24 | 2008-03-26 | 北京启明星辰信息技术有限公司 | 一种信息系统风险评估方法及系统 |
CN102624696A (zh) * | 2011-12-27 | 2012-08-01 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全态势评估方法 |
US20130298192A1 (en) * | 2012-05-01 | 2013-11-07 | Taasera, Inc. | Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms |
CN104144148A (zh) * | 2013-05-10 | 2014-11-12 | 中国电信股份有限公司 | 漏洞扫描方法和服务器、以及风险评估系统 |
CN106056314A (zh) * | 2016-06-29 | 2016-10-26 | 李明洋 | 一种智能配电网风险评估方法 |
CN107360047A (zh) * | 2017-09-12 | 2017-11-17 | 西安邮电大学 | 基于cia属性的网络安全评估方法 |
CN107370633A (zh) * | 2017-09-12 | 2017-11-21 | 西安邮电大学 | 基于节点权重的网络安全评估方法 |
-
2018
- 2018-10-10 CN CN201811175440.5A patent/CN109302396A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150432A (zh) * | 2007-08-24 | 2008-03-26 | 北京启明星辰信息技术有限公司 | 一种信息系统风险评估方法及系统 |
CN102624696A (zh) * | 2011-12-27 | 2012-08-01 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全态势评估方法 |
US20130298192A1 (en) * | 2012-05-01 | 2013-11-07 | Taasera, Inc. | Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms |
CN104144148A (zh) * | 2013-05-10 | 2014-11-12 | 中国电信股份有限公司 | 漏洞扫描方法和服务器、以及风险评估系统 |
CN106056314A (zh) * | 2016-06-29 | 2016-10-26 | 李明洋 | 一种智能配电网风险评估方法 |
CN107360047A (zh) * | 2017-09-12 | 2017-11-17 | 西安邮电大学 | 基于cia属性的网络安全评估方法 |
CN107370633A (zh) * | 2017-09-12 | 2017-11-21 | 西安邮电大学 | 基于节点权重的网络安全评估方法 |
Non-Patent Citations (1)
Title |
---|
刘意先等: "基于节点权重的网络安全评估方法研究", 《信息技术》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109933743A (zh) * | 2019-03-14 | 2019-06-25 | 小安(北京)科技有限公司 | 网站风险评估方法及装置 |
CN111865982A (zh) * | 2020-07-20 | 2020-10-30 | 交通运输信息安全中心有限公司 | 基于态势感知告警的威胁评估系统及方法 |
CN112887341A (zh) * | 2021-04-29 | 2021-06-01 | 北京微步在线科技有限公司 | 一种外部威胁监控方法 |
CN112887341B (zh) * | 2021-04-29 | 2021-07-23 | 北京微步在线科技有限公司 | 一种外部威胁监控方法 |
CN112989333A (zh) * | 2021-05-10 | 2021-06-18 | 北京安泰伟奥信息技术有限公司 | 一种安全认证方法及系统 |
CN113364742A (zh) * | 2021-05-17 | 2021-09-07 | 北京邮电大学 | 一种网络安全威胁定量弹性计算方法及装置 |
CN113824699A (zh) * | 2021-08-30 | 2021-12-21 | 深圳供电局有限公司 | 一种网络安全检测方法及装置 |
CN113824699B (zh) * | 2021-08-30 | 2023-11-14 | 深圳供电局有限公司 | 一种网络安全检测方法及装置 |
CN114697188A (zh) * | 2022-03-28 | 2022-07-01 | 天津大学 | 一种基于网络态势感知的物联网设备风险预测分析方法 |
CN114745166A (zh) * | 2022-03-29 | 2022-07-12 | 烽台科技(北京)有限公司 | 工业资产风险感知方法、装置及电子设备 |
CN114745166B (zh) * | 2022-03-29 | 2023-07-28 | 烽台科技(北京)有限公司 | 工业资产风险感知方法、装置及电子设备 |
CN115242465A (zh) * | 2022-07-01 | 2022-10-25 | 电子科技大学成都学院 | 一种网络设备配置方法及网络设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109302396A (zh) | 一种基于风险评估的网络安全态势感知方法 | |
CN112651006B (zh) | 一种电网安全态势感知系统 | |
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
US11895145B2 (en) | Systems and methods for automatically selecting an access control entity to mitigate attack traffic | |
US20120036577A1 (en) | Method and system for alert classification in a computer network | |
Lan et al. | A framework for network security situation awareness based on knowledge discovery | |
Enoch et al. | A systematic evaluation of cybersecurity metrics for dynamic networks | |
CN106534114A (zh) | 基于大数据分析的防恶意攻击系统 | |
CN111586046A (zh) | 一种结合威胁情报和机器学习的网络流量分析方法及系统 | |
CN110830467A (zh) | 基于模糊预测的网络可疑资产识别方法 | |
Tu et al. | Detecting bot-infected machines based on analyzing the similar periodic DNS queries | |
Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
TWI744545B (zh) | 分散式網路流分析惡意行為偵測系統與其方法 | |
Wei-wei et al. | Prediction model of network security situation based on regression analysis | |
Liang | Research on network security filtering model and key algorithms based on network abnormal traffic analysis | |
Li et al. | The research on network security visualization key technology | |
CN115118525A (zh) | 一种物联网安全防护系统及其防护方法 | |
CN114039780A (zh) | 基于流量系数的低速DoS攻击实时响应方案 | |
Lingkang et al. | Detection of abnormal data flow at network boundary of renewable energy power system | |
Dayanandam et al. | Regression algorithms for efficient detection and prediction of DDoS attacks | |
Gong et al. | Research on Evaluation Method of Hierarchical Network Security Threat | |
Yang et al. | Research on security self-defense of power information network based on artificial intelligence | |
Sun et al. | Research on Whole-Link Risk Situational Awareness Index System and Dynamic Risk Pool Supervision | |
Yanchun | The intrusion detection system based on fuzzy association rules mining | |
Li et al. | Multi-layer reconstruction errors autoencoding and density estimate for network anomaly detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190201 |