CN109302408A - 一种网络安全态势评估方法 - Google Patents

Abstract

一种网络安全态势评估方法，利用网络中的各项指标作为依据，利用节点收集的指标信息与链路收集的指标信息，根据节点中受到的攻击威胁度、攻击威胁发生率与节点损失价值以及链路上的延迟、拥塞度、丢包率，分别计算网络中的节点态势和链路态势，然后将两者融合得到最终全网的安全态势。本发明可根据网络的即时信息有效衡量网络所处的状态，方法简单有效。

Description

一种网络安全态势评估方法

技术领域

本发明属于网络安全异常检测领域，涉及一种网络安全态势评估方法。

背景技术

网络安全态势评估技术的研究起步较早，在1999年TimBass首次提出了网络态势感知(Cyberspace Situation Awareness,CSA)的概念，通过研究入侵检测技术的发展现状，提出基于多元异构传感数据融合的态势感知功能模型。随着互联网安全事件的日益增多，网络安全态势感知成为了信息安全领域一个主要地研究方向。国外学者在网络安全态势感知方面已知开展长时间的研究，并取得了许多成果。美国劳伦斯伯克利国家实验室Stephen Lau“The Spinning Cube of Potential Doom”系统，极大地提高了网络态势感知能力。卡内基梅隆大学SEI(Software Engineering Institute)的NetSA小组开发的SILK采用集成化思想，集成了现有的Netflow工具，提供整个网络的态势感知。Srihari R提出了一种基于概念的要素提取方法，用于提取态势感知的信息，取得了较好的信息提取效果。陈秀真等人提出了一种层次化网络安全威胁态势量化评估方法，提出从服务、主机、局域网系统3个层次进行安全威胁态势评估。韦勇等人提出了基于D-S理论的信息融合的网络安全态势评估模型，引入改进的D-S证据理论讲多数据源信息进行融合，利用漏洞信息和服务信息，计算网络安全态势。陈虹等人在基于韦勇等人提出了方法中加入了链路威胁对整个网络的安全态势的影响，从主机和链路两个方面进行融合从而分析网络的安全态势。上面都是一些较为粗粒度的评估网络安全态势的方法，刘世文等人提出一种细粒度的网络威胁态势评估方法，从节点、链路、路径、目标和全网威胁态势进行评估，实现了对网络威胁的深入分析和细粒度评估。

以上方法为网络安全态势评估的研究工作做了良好的基础，但也存在一些普遍性的不足。例如，缺乏对网络安全因素的全面考虑，评估所用的数据源单一。SILK与“TheSpinning Cube of Potential Doom”系统存在影响因素比较单一，不能准确的评估网络安全态势。Srihari R的方法、陈秀真等人提出的方法和韦勇等人提出的方法未加入链路威胁使得整体评估不够完整，陈虹等人提出的方法与刘世文等人提出的方法虽然加入了链路威胁的评估方法，但是其链路威胁评估方法过于复杂效果并不太好。因此针对这些，有必要提出了一种新型的网络安全态势评估方法。

发明内容

本发明的目的在于提供一种更全面的量化的网络安全态势评估方法。

为实现上述目的，本发明采用的技术方案如下：

一种网络安全态势评估方法，包括如下步骤：

步骤1：通过主机日志、网络IDS告警、主机探针数据以及网络探针数据，收集网络态势要素信息；

步骤2：威胁评估指标量化；

根据收集到的网络态势要素信息分别计算威胁影响度I(t)、威胁发生率H(t)和节点损失价值V(t|t₀)三个量化指标；

步骤3：计算节点安全态势，得到网络节点态势值NC(t)；

步骤4：计算链路安全态势，得到网络链路态势值；

步骤5：将计算得到的网络节点态势值与网络链路态势值融合，得到全网安全态势量化值：

NTSA＝α·N(t)+β·NE(t₀)

其中，α为网络节点态势值的权值，反应最后网络节点态势值在全网安全态势占的比重，β为网络链路态势值的权值，反应最后网络链路态势值在全网安全态势占的比重。

本发明进一步的改进在于，步骤2中，t时刻的威胁影响度I(t)定义如下：

t时刻的威胁影响度I(t)表示根据从IDS、事件日志以及其他检测设备中的信息反映攻击事件造成破坏的有效性和严重程度，参考Snort用户手册中攻击的分类方法及其等级设定分数，然后根据IDS、事件日志以及其他检测设备中的信息，判定攻击的影响程度，分为很高、高、中、低和无5个等级，设定量化值为0.4、0.3、0.2、0.1、0。

本发明进一步的改进在于，步骤2中，t时刻的威胁发生率W(t)定义如下：

其中，R表示相关度函数，w表示各网络环境属性信息的相关度函数缩招的权重，i表示网络环境属性信息的数量，在计算过程中用来表示各属性信息。

本发明进一步的改进在于，相关度函数公式定义如下：

如果警报信息与网络环境属性信息无关，则R＝0；如果无法确定警报与网络环境属性信息是否匹配，则R＝0.5；如果警报信息与网络环境属性信息相关，则R＝1。

本发明进一步的改进在于，步骤2中，节点损失价值V(t|t₀)的计算公式：

其中，μ₁，μ₂，μ₃分别表示节点损失价值的机密性指标权重、完整性指标权重、可用性指标权重；P₁，P₂，P₃分别表示节点本身的机密性等级数值、完整性等级数值、可用性等级数值；节点损失价值V(t|t₀)表示的是在某一时刻t相对于t₀时刻的节点的损失价值。

本发明进一步的改进在于，步骤3中，网络节点态势取决于威胁影响度、威胁发生成功率和节点损失价值3个网络节点态势评估指标，将这三个指标相结合得到网络节点态势值N(t):

N(t)＝I(t)·W(t)·V(t)

然后评判节点的重要性，在网络中担任服务器的节点重要性设置为0.8，在网络中起连接作用的节点重要性设置为0.7，在网络中作为单独节点重要性设置为0.6，从而得到网络中各节点的权值W_i(t)，利用权值与网络节点的态势值计算整个网络节点态势值NC(t):

其中m为节点的个数，n为被攻击的节点个数。

本发明进一步的改进在于，步骤4中，对于网络链路的安全态势，首先需要利用Dijkstra算法计算每两个节点的最短距离，其中边上的权值用到的是在指标约简之后的指标，包括时延、可用带宽、时延抖动和丢包率，然后根据每个各节点之间的最短路径记为l_ij，全部节点间最短路径距离总和记为L，则l_ij出现的概率为p(ij)＝l_ij/L，获得节点间的联系熵为E_ij＝-p(ij)logp(ij)；

定义网络在某一动态演化时刻t的时效熵为：

其中m为节点的个数，因为总共存在m(m+1)/2条路径，所以除以此数进行归一化；

在计算某一时刻的网络链路态势时，根据此时刻的网络时效熵与稳态时的网络时效熵对比，得到此时刻的网络链路态势值NE(t)；

NE(t)＝E(t)-E(t₀)。

本发明和现有技术相比较，具有如下有益效果：本方法将网络安全态势分为网络节点态势和网络链路态势，然后利用网络中的节点指标与链路指标，以及主机的IDS，主机日志等信息分别计算节点态势和链路态势。对网络安全态势进行细粒度的量化评估，按照从局部到整体的思想，对网络安全态势进行评估。本发明直观的量化网络所处状态，简单有效。相比于已有经典的网络安全态势评估方法，本发明对网络链路更加敏感，态势评估不单独针对节点，本方法能良好的评估链路态势，更加全面对网络进行态势评估，方法简单有效。

附图说明

图1为本发明的流程图。

具体实施方式

下面结合附图对本发明做详细描述。

本发明利用网络中的各项指标作为依据，利用节点收集的指标信息与链路收集的指标信息，根据节点中受到的攻击威胁度、攻击威胁发生率与节点损失价值以及链路上的延迟、拥塞度、丢包率，分别计算网络中的节点态势和链路态势，然后将两者融合得到最终全网的安全态势，本发明可根据网络的即时信息有效衡量网络所处的状态，方法简单有效。

参见图1，本发明具体包括以下步骤：

1)首先，对网络中各主机节点，各网络链路进行监测，通过主机日志，网络IDS告警，主机探针数据，网络探针数据，收集网络中的数据；

2)威胁评估指标量化。根据收集到的网络态势要素信息分别计算威胁影响度I(t)、威胁发生率H(t)和节点损失价值V(t|t₀)三个量化指标；

其中t时刻的威胁影响度定义如下：

I(t)表示根据从IDS、事件日志以及其他检测设备中的信息反映攻击事件造成破坏的有效性和严重程度，参考Snort用户手册中攻击的分类方法及其等级设定分数，然后根据IDS、事件日志以及其他检测设备中的信息，判定攻击的影响程度，分为很高、高、中、低和无5个等级，设定量化值为0.4、0.3、0.2、0.1、0。

然后t时刻的威胁发生率W(t)定义如下：

其中，R表示相关度函数，w表示各网络环境属性信息的相关度函数缩招的权重，i表示网络环境属性信息的数量，在计算过程中用来表示各属性信息。相关度函数是将网络威胁事件引发的报警信息与网络环境属性信息进行匹配，确定警报与该网络的相关性，报警信息与网络环境属性信息的匹配性越高，表示警报与该网络的相关性越大，则该威胁事件发生的可能性越大，即威胁发生率越大。相关度函数公式定义如下：

如果警报信息与网络环境属性信息无关，则R＝0；如果无法确定警报与网络环境属性信息是否匹配，则R＝0.5；如果警报信息与网络环境属性信息相关，则R＝1。

然后节点损失价值的定义下：

节点的价值不是用其经济价值衡量的，而是由机密性、完整性、可用性3个安全指标来确定和度量。本发明依据CVSS基本评价指标集对节点损失价值进行计算。该评价指标集包括机密性指标(Con)、完整性指标(Int)、可用性指标(Ava)，如表1所示。

表1评价指标

基本评价指标集中的3类基本指标影响越大，指标数值越大，说明节点价值受到威胁后的损失越严重。基于该评价指标集，给出节点损失价值的计算公式：

其中，μ₁，μ₂，μ₃分别表示节点损失价值的机密性指标权重、完整性指标权重、可用性指标权重；P₁，P₂，P₃分别表示节点本身的机密性等级数值、完整性等级数值、可用性等级数值。节点损失价值V(t|t₀)表示的是在某一时刻t相对于t₀时刻的节点的损失价值，结果保留两位小数。

步骤3：节点安全态势计算：网络节点态势取决于攻击影响度、攻击发生成功率和节点损失价值3个网络节点态势评估指标，将这三个指标相结合得到网络节点态势值N(t):

N(t)＝I(t)·W(t)·V(t)

然后评判节点的重要性，其由节点在网络中承担的作用所决定。在网络中担任服务器的节点重要性可设置为0.8，在网络中起连接作用的节点重要性可设置为0.7，在网络中作为单独节点重要性可设置为0.6，得到网络中各节点的权值W_i(t)，利用权值与网络节点的态势值计算整个网络节点的态势值NC(t):

其中m为节点的个数，n为被攻击的节点个数。

3)链路安全态势计算：对于网络链路的安全态势，首先需要利用Dijkstra算法计算每两个节点的最短距离，其中边上的权值用到的是在指标约简之后的指标，包括时延、可用带宽、时延抖动和丢包率等，这些指标可以单一的作为边上的权值，也可多个指标融合作为边上的权值。然后根据每个各节点之间的最短路径记为l_ij，全部节点间最短路径距离总和记为L，则l_ij出现的概率为p(ij)＝l_ij/L，可获得节点间的联系熵为E_ij＝-p(ij)log p(ij)。因此，可定义网络时效熵如下：

定义网络在某一动态演化时刻t的时效熵为：

其中m为节点的个数，因为总共存在m(m+1)/2条路径，所以需要除以此数进行归一化。

在计算某一时刻的网络链路态势时，根据此时刻的网络时效熵与稳态时的网络时效熵对比，得到此时刻的网络链路态势值NE(t)。

NE(t)＝E(t)-E(t₀)

4)将计算得到的网络节点态势与网络链路态势进行融合，得到全网安全态势量化值NTSA：

NTSA＝α·N(t)+β·NE(t₀)

其中，α为网络节点态势值的权值反应最后网络节点态势值在全网安全态势占的比重，β为网络链路态势值的权值反应最后网络链路态势值在全网安全态势占的比重。α与β的值由网络节点态势与网络链路态势在网络态势中占据的比例确定，此比例与α和β数量级均由用户确定。例如如果要把网络节点态势比重占的相对较大，其比重可以设置为0.6，数量级则根据N(t)的大小设置，如果N(t)的大小为0.00015，其数量级可设置为10⁴，则α可为6×10⁴，β为4×10⁴。

本发明的有效果是：

相比于已有经典的网络安全态势评估方法，本方法对网络链路更加敏感，态势评估不单独针对节点，本方法能良好的评估链路态势，更加全面对网络进行态势评估，方法简单有效。

本发明的算法在基于Exata的网络仿真环境，该网络拓扑结构包括2848个节点组成的网络拓扑结构，主要包有线网络和无线网络，结构包括有星型结构，网状结构等。

本发明中实验共进行了4次，分别是无攻击仿真实验N₁，对单个节点攻击成功仿真实验A₁，对单个节点攻击失败仿真实验A₂，对多个节点攻击成功仿真实验A₃。

通过计算，得到网络中节点的态势评估值，如表2所示。

表2节点态势量化值

该实验环境的网络中被攻击的节点共有2个，分别计算攻击影响度I(t)，攻击发生成功率，节点损失价值，得到节点态势评估指数N(t)。

然后，根据实验中得到的全网链路边上的延迟，利用最短路径的计算方法，计算每一实验的网络各节点之间的最短路径长度，然后利用网络时效熵的公式得到各实验的网络时效熵，最后通过网络时效熵计算各个实验的网络链路态势指数NE(t)，如表3所示。

表3各仿真实验对应网络链路态势值

最后通过将网络节点态势值和网络链路态势值融合得到最后的网络安全态势值，其中α、β值为10⁴，然后计算得到网络的安全态势值如表4。

表4网络的安全态势值

根据实验结果，按照不同的实验场景，表现出的相应安全态势值呈现的趋势符合事情。本发明的方法在充分分析网络中时效的重要性的基础上，全面的评估网络节点态势，链路态势，得到的态势评估随着攻击手段的深入而不断的增大，在发生攻击的时候能够很好的察觉，体现出攻击程度加深的趋势。

Claims (7)

1.一种网络安全态势评估方法，其特征在于，包括如下步骤：

步骤1：通过主机日志、网络IDS告警、主机探针数据以及网络探针数据，收集网络态势要素信息；

步骤2：威胁评估指标量化；

根据收集到的网络态势要素信息分别计算威胁影响度I(t)、威胁发生率H(t)和节点损失价值V(t|t₀)三个量化指标；

步骤3：计算节点安全态势，得到网络节点态势值NC(t)；

步骤4：计算链路安全态势，得到网络链路态势值；

步骤5：将计算得到的网络节点态势值与网络链路态势值融合，得到全网安全态势量化值：

NTSA＝α·N(t)+β·NE(t₀)

其中，α为网络节点态势值的权值，反应最后网络节点态势值在全网安全态势占的比重，β为网络链路态势值的权值，反应最后网络链路态势值在全网安全态势占的比重。

2.根据权利要求1所述的一种网络安全态势评估方法，其特征在于，步骤2中，t时刻的威胁影响度I(t)定义如下：

t时刻的威胁影响度I(t)表示根据从IDS、事件日志以及其他检测设备中的信息反映攻击事件造成破坏的有效性和严重程度，参考Snort用户手册中攻击的分类方法及其等级设定分数，然后根据IDS、事件日志以及其他检测设备中的信息，判定攻击的影响程度，分为很高、高、中、低和无5个等级，设定量化值为0.4、0.3、0.2、0.1、0。

3.根据权利要求1所述的一种网络安全态势评估方法，其特征在于，步骤2中，t时刻的威胁发生率W(t)定义如下：

其中，R表示相关度函数，w表示各网络环境属性信息的相关度函数缩招的权重，i表示网络环境属性信息的数量，在计算过程中用来表示各属性信息。

4.根据权利要求2所述的一种网络安全态势评估方法，其特征在于，相关度函数公式定义如下：

如果警报信息与网络环境属性信息无关，则R＝0；如果无法确定警报与网络环境属性信息是否匹配，则R＝0.5；如果警报信息与网络环境属性信息相关，则R＝1。

5.根据权利要求1所述的一种网络安全态势评估方法，其特征在于，步骤2中，节点损失价值V(t|t₀)的计算公式：

其中，μ₁，μ₂，μ₃分别表示节点损失价值的机密性指标权重、完整性指标权重、可用性指标权重；P₁，P₂，P₃分别表示节点本身的机密性等级数值、完整性等级数值、可用性等级数值；节点损失价值V(t|t₀)表示的是在某一时刻t相对于t₀时刻的节点的损失价值。

6.根据权利要求1所述的一种网络安全态势评估方法，其特征在于，步骤3中，网络节点态势取决于威胁影响度、威胁发生成功率和节点损失价值3个网络节点态势评估指标，将这三个指标相结合得到网络节点态势值N(t):

N(t)＝I(t)·W(t)·V(t)

然后评判节点的重要性，在网络中担任服务器的节点重要性设置为0.8，在网络中起连接作用的节点重要性设置为0.7，在网络中作为单独节点重要性设置为0.6，从而得到网络中各节点的权值W_i(t)，利用权值与网络节点的态势值计算整个网络节点态势值NC(t):

其中m为节点的个数，n为被攻击的节点个数。

7.根据权利要求1所述的一种网络安全态势评估方法，其特征在于，步骤4中，对于网络链路的安全态势，首先需要利用Dijkstra算法计算每两个节点的最短距离，其中边上的权值用到的是在指标约简之后的指标，包括时延、可用带宽、时延抖动和丢包率，然后根据每个各节点之间的最短路径记为l_ij，全部节点间最短路径距离总和记为L，则l_ij出现的概率为p(ij)＝l_ij/L，获得节点间的联系熵为E_ij＝-p(ij)log p(ij)；

定义网络在某一动态演化时刻t的时效熵为：

其中m为节点的个数，因为总共存在m(m+1)/2条路径，所以除以此数进行归一化；

在计算某一时刻的网络链路态势时，根据此时刻的网络时效熵与稳态时的网络时效熵对比，得到此时刻的网络链路态势值NE(t)；

NE(t)＝E(t)-E(t₀)。