CN110191137A - 一种网络系统量化安全评估方法与装置 - Google Patents

Abstract

本发明公开了一种网络系统量化安全评估方法与装置。使用本发明能够全面整体地考虑网络系统安全，包括各种设备以及链路等安全；并且能够科学有效地计算网络系统安全值，提高网络系统风险评估的精确性。本发明在风险观测矩阵中考虑了链路的风险，从而使得本发明在攻击发生时，不仅考虑了对于攻击路径的风险，并且还考虑了非攻击路径的风险，使得网络风险评估更为全面；效能函数结果包含了攻击能和防御功的计算，从攻击能和防御功中包含了网络的脆弱性、漏洞和威胁的特性，充分考虑了网络系统的静态风险；最后，利用构造矩阵的微分流形特性，利用李群计算整个网络在微分流形上的距离，可以计算风险的微小变化，计算更为合理。

Description

一种网络系统量化安全评估方法与装置

技术领域

本发明涉及网络空间安全技术领域，具体涉及一种网络系统量化安全评估方法与装置。

背景技术

网络安全度量和评估日益重要。目前的网络评估方法中，对网路系统度量和评估存在一定的问题，比如对网络系统进行度量，得到的结果不精确，而且度量过程十分复杂，主观性过强；另外不能从全方面的角度度量网络系统；考虑的风险因素不够全面。

例如：专利文件CN107204876A“一种网络安全风险评估方法”(发明人：高强，黄元飞，林星辰等)描述了一种网络安全风险评估方法，这种方法采用结合入侵检测系统、漏洞检测以及第三方获取到的实时攻击事件，在静态风险评估基础上进行动态评估目标网络的安全性。这种方法建立在对目标网络进行静态风险评估，给出的静态评估结果之上。进而通过借助相应工具来分析威胁与脆弱性的信息动态变化，利用入侵检测系统和防火墙生成的告警信息作为评价系统风险状况的重要依据。但是该方案所描述的网络安全风险评估方法评估结果需要静态风险评估结果的支撑，而对静态风险进行评估则会不可避免地受到主观因素影响，从而使评估结果不够完全客观。同时，该方案还存在如下缺陷：首先，该方案对于脆弱性只计算了漏洞的个数，粒度太大，不能有效评估风险；其次，该方案统计的指标都是对于整个网络系统进行综合的，没有分析节点与节点之间的连接关系；最后，该方案只考虑了防火墙、入侵检测和第三方数据样本信息，没有考虑整体网络系统中的指标。

专利文献CN108566307A“一种定量化的网络安全保护强度评估方法”(发明人：李晓勇，郭煜)中描述了一种定量化的网络安全保护强度评估方法，这种方法通过采集网络节点中的软件行为特征，从软件行为中随机选取部分节点的软件行为特征作为软件行为分析训练数据进行训练，从而生成网络安全分析模型。使用机器学习算法对软件行为特征库中所有节点的软件行为特征进行分析和评估，最终计算得出定量化的网络安全保护强度评估结果。但该方案中所描述的网络安全保护强度评估方法旨在得出一种定量化的网络安全保护强度评估结果，其在软件行为特征选取过程中，软件行为分析训练数据的选取是在软件行为数据库中随机选取的部分节点数据，因此在一定程度上软件行为特征选取不够全面，导致评估结果全面性、整体性不够严谨，并只从软件的行为进行建模，而对于网络系统没有进行静态评估。

专利文件CN201810580357.X“一种基于李群的网络系统风险度量方法”(发明人：赵小林、陈全保、薛静锋等)描述了一种基于李群的网络系统风险度量方法，这种方法采集网络系统中的指标，根据服务调用图构建网络系统的拓扑结构，并计算节点之间的黎曼距离来度量网络风险，最后对于整个攻击路径进行风险评估。但该方案只考虑了服务调用关系，对于网络系统中不存在调用关系的节点无法评估风险；其次，该方案只针对攻击行为发生时才能进行风险动态度量，对于静态的风险值没有进行计算，所以只能当风险发生的时候才能进行计算。

因此，需要一种客观的、全方面的、可量化的且度量过程简单的网络安全量化评估方法。

发明内容

有鉴于此，本发明提供了一种网络系统量化安全评估方法及装置，能够全面整体地考虑网络系统安全，包括各种设备以及链路等安全；并且能够科学有效地计算网络系统安全值，提高网络系统风险评估的精确性。

本发明的网络系统量化安全评估方法，包括如下步骤：

步骤1，采集网络系统中各设备、各链路的指标，构建各设备、链路的指标向量，并做归一化处理；

步骤2，分别计算单个设备以及单个链路的风险变化量：所述单个设备或单个链路的风险变化量为该设备或链路的当前时刻指标向量与上一时刻指标向量之间的黎曼距离；

步骤3，根据网络系统的网络拓扑结构构建网络系统的风险观测矩阵G：风险观测矩阵中对角线上是单个设备的风险变化量，非对角线上是链路的风险变化量；

步骤4，计算网络系统的效用函数矩阵U：网络系统的效用函数矩阵U为由网络系统中各设备的风险效用组成的向量对角化而成；所述设备的风险效用为该设备的漏洞风险评分值之和；

步骤5，计算网络系统风险累积量：

步骤5.1，将风险观测矩阵G和效用函数矩阵U相加，获得新的风险观测矩阵G′；

步骤5.2，计算网络系统的两个相邻时刻的风险变化量Δrisk：所述Δrisk即为风险观测矩阵G′的两个相邻时刻的李代数；

步骤5.3，对风险变化量Δrisk沿时间进行积分，积分结果即为网络系统的安全评估值。

较优的，所述步骤1中，对各设备、链路的指标向量做降维处理。

较优的，降维处理后的指标向量的维数小于或等于10。

较优的，降维处理所采用的方法为主成分分析法、线性判别分析法、局部线性嵌入法或拉普拉斯特征映射法。

较优的，采用核主成分分析法进行降维处理。

较优的，所述步骤2中，首先利用线性分类方法计算得到各指标或降维后各指标的权重向量weight；单个设备或单个链路的风险值为该设备或链路的当前时刻的加权指标向量与上一时刻的加权指标向量的黎曼距离。

较优的，采用序列最小优化算法计算获得权重向量weight。

较优的，所述步骤5.1中，根据节点设备和链路在网络系统中的重要性，构造网络系统的资产重要性矩阵W_g；新的风险观测矩阵G′为：G′＝W_g·(G+U)。

较优的，采用如下方法构造网络系统的资产重要性矩阵W_g：

(1)对网络系统中各个设备和链路的重要性进行从小到大的排序；其中，重要性取值为自然数；如果链路不存在，则该链路重要性为0；相同的链路，重要性值相同；排序后相邻设备或链路之间的差为1或者0；

(2)对(1)中所有设备和链路的重要性值进行均一化，获得资产重要性矩阵W_g。

本发明还提供了一种网络系统量化安全评估装置，包括：指标采集模块、单个设备和链路风险变化量计算模块、网络风险观测矩阵计算模块、设备漏洞风险评估模块、网络效用函数矩阵计算模块、以及网络风险计算模块；

其中，指标采集模块用于采集网络系统中各设备、各链路的指标；并将采集到的指标发送至单个设备和链路风险变化量计算模块；

单个设备和链路风险变化量计算模块根据相邻时刻的设备或链路的指标向量，计算获得单个设备或链路的风险变化量；并将各设备和链路的风险变化量发送至网络风险观测矩阵计算模块；

网络风险观测矩阵计算模块根据网络系统的网络拓扑结构，以及单个设备或链路的风险变化量，构建网络系统的风险观测矩阵；并将构建的网络系统风险观测矩阵发送至网络风险计算模块；

设备漏洞风险评估模块用于对网络系统中各设备进行漏洞检测和评估，将各设备的漏洞风险评估值发送至网络效用函数矩阵计算模块；

网络效用函数矩阵计算模块根据各设备的漏洞风险评估值构建网络系统的效用函数矩阵；并将构建的网络系统效用函数矩阵发送至网络风险计算模块；

网络风险计算模块用于计算两个相邻时刻的风险观测矩阵和效用函数矩阵的矩阵和的李代数；对李代数沿时间进行积分，积分结果即为网络系统的安全评估值。

较优的，所述单个设备和链路风险变化量计算模块包括归一化单元和风险变化量计算单元；归一化单元对采集到的设备或链路的指标进行归一化处理；风险变化量计算单元根据设备和链路的归一化后的指标计算单个设备和链路的风险变化量。

较优的，所述单个设备和链路风险变化量计算模块还包括指标降维模块，所述指标降维模块用于对单个设备和链路的归一化后的指标进行降维处理；风险变化量计算单元根据设备和链路的降维处理后的指标计算单个设备和链路的风险变化量。

较优的，指标降维模块输出的指标维数小于或等于10。

较优的，指标降维模块所采用的方法为主成分分析法、线性判别分析法、局部线性嵌入法或拉普拉斯特征映射法。

较优的，指标降维模块采用核主成分分析法进行降维处理。

较优的，所述单个设备和链路风险变化量计算模块还包括指标权重模块；指标权重模块用于计算设备和链路的各指标或降维后各指标的权重；风险变化量计算单元根据设备和链路的指标或降维处理后的指标、以及各指标的权重计算单个设备和链路的风险变化量。

较优的，所述指标权重模块采用线性分类方法计算得到各指标或降维后各指标的指标权重。

较优的，所述指标权重模块采用序列最小优化算法计算获得指标权重。

较优的，所述网络风险计算模块包括矩阵和单元、风险变化量计算单元和积分单元；其中，矩阵和单元用于计算风险观测矩阵和效用函数矩阵的和；风险变化量计算单元用于计算两个相邻时刻的矩阵和的李代数；积分单元用于对李代数沿时间进行积分；积分结果即为安全评估装置的输出结果。

较优的，所述网络风险计算模块还包括资产权重单元，所述资产权重单元根据网络系统中各设备和链路的重要性，获得对应设备和链路的资产权重；风险变化量计算单元根据资产权重对矩阵和进行加权，计算两个相邻时刻的加权矩阵和的李代数。

较优的，所述资产权重单元采用如下方法获得各设备和链路的资产权重：

(1)对网络系统中各个设备和链路的重要性进行从小到大的排序；其中，重要性取值为自然数；如果链路不存在，则该链路重要性为0；相同的链路，重要性值相同；排序后相邻设备或链路之间的差为1或者0；

(2)对(1)中所有设备和链路的重要性值进行均一化，获得对应设备和链路的资产权重。

有益效果：

(1)本发明方法充分考虑了网络系统的静、动态风险，比较全面地对网络安全风险进行了刻画：风险观测矩阵中考虑了链路的风险，从而使得本发明在攻击发生时，不仅考虑了对于攻击路径的风险，并且还考虑了非攻击路径的风险，使得网络风险评估更为全面，非攻击路径上的设备和链路同样存在风险需要进行评估；效能函数结果包含了攻击能和防御功的计算，从攻击能和防御功中包含了网络的脆弱性、漏洞和威胁的特性，充分考虑了网络系统的静态风险；最后，利用构造矩阵的微分流形特性，利用李群计算整个网络在微分流形上的距离，可以计算风险的微小变化，计算更为合理。

(2)本发明将网络系统映射为李群的数学模型，在李群上计算网络在时间上的累积量，描述了风险的变化过程。通过和正常环境下风险值进行比较，可以评估网络风险状态。

(3)考虑了不同设备下服务，指标的采集和量化也都相对方便、可行，数据采集方法方便扩展；本发明中的算法对于指标的个数没有限制，对于指标的前后顺序没有要求，所以方便动态的改变指标的个数。

(4)对设备、链路的指标向量进行降维处理，提高了网络风险的计算速度与效率。此外，通过构建指标权重，对风险的刻画更为精细。

(5)通过构建网络系统的资产重要性矩阵，考虑了网络系统的资产对风险评估的影响，使得风险的刻画更为精细。

(6)本发明采用的设备和链路资产重要性矩阵构建方法，减少了对网络系统资产的风险影响权重的主观性，保证利用不同的资产评估方法得到的资产重要性矩阵的一致性。

附图说明

图1为本发明评估方法整体流程图。

图2为构建风险观测矩阵流程图。

图3为计算网络效用函数流程图。

图4为网络系统风险对时间的积分流程图。

图5为本发明评估装置结构示意图。

具体实施方式

下面结合附图并举实施例，对本发明进行详细描述。

本发明提供了一种网络系统量化安全评估方法。网络系统的特征空间可以看成一个流形，在每个时间点，网络系统中的n个指标是安全风险的特征输入，从而利用指标计算单个设备或者链路上的风险，并将计算的单个链路上的风险根据网络系统拓扑关系构成风险观测矩阵。算法过程中构建的风险观测矩阵在数学上是一般线性群，满足微分流形的定义。风险观测矩阵结合网络系统资产重要性矩阵和节点效用矩阵形成新的风险观测矩阵。从而可以对网络系统进行动静态结合的整体的网络风险评估。可以证明风险观测矩阵是李群，用李代数表示相邻时刻的网络系统风险变化量。并对时间进行积分，计算网络系统的风险累积量，从而得到网络系统风险值。

具体流程如图1所示，包括如下步骤：

步骤1，指标的量化采集

采集网络系统中各设备以及各链路的指标。其中，设备指标主要考虑可用性指标，选取对于设备关键指标CPU占用值、内存占用值、磁盘占用值和系统负载值等进行度量，同时考虑连通性，从设备的开放端口值等进行度量；对于网络中的路由器、交换机等设备则选取上述指标中的部分进行度量。链路指标主要考虑包括连通性指标，网络系统运行状态包括流量、带宽、端口流量和平均流量等信息，因此，从峰值流量值、宽带利用值、平均流量值、网络状态数量比例(FIN、SYN、RST等)等指标对链路进行度量。TCP标示有6种，SYN(synchronous建立联机)、ACK(acknowledgement确认)、PSH(push传送)、FIN(finish结束)、RST(reset重置)、URG(urgent紧急)。其中，网络状态指的是网络传输过程中，TCP服务的多种状态。链路是网络系统的拓扑结构的体现，表示了设备之间的连接关系。对于链路的指标提取和风险计算对整体网络系统的风险评估有着重要的作用。

表1给出了常用的指标，但可以根据设备、链路的不同对指标项进行扩展或选取，只要能够反映网络的可用性和连通性就可以。

表1采集的指标项

采集的指标和普通网络系统采集过程相似，只是从指标所处的位置可以分为网络系统节点设备上的指标和链路上的指标，同一位置(设备或链路)上的指标构成向量。可以表示为：host_i＝[a_i1，a_i2，a_i3，…，a_in]，link_j＝[b_j1，b_j2，b_j3，…，b_jm]；host_i表示第i个节点设备，a_i1，a_i2，a_i3，…，a_in为节点设备host_i的指标；link_j表示第j个链接，b_j1，b_j2，b_j3，…，b_jm为链接link_j的指标。

对采集的指标进行指标去除异常值、归一化等操作。由于后续步骤中，对设备的计算和链路的计算相同，为方便描述，将设备和链路的指标向量统一表达为index。

步骤2，对节点设备和链路的指标向量进行降维，并计算降维后各指标的权重。

单个设备或者链路上采集的指标通过扩展可能会超过上述列举的指标数量，当指标过多时，可以利用指标降维，进一步提高算法的计算速度。降维的方法有很多，例如主成分分析、线性判别分析、局部线性嵌入、拉普拉斯特征映射等。本发明采用核主成分分析(KPCA)方法进行降维，将维数约简到10以下。KPCA可以保证降维前后数据的内在信息尽可能的保留。

此外，还可以利用线性分类方法计算得到各指标的权重，获得指标权重向量weight(若进行了指标降维处理，则计算的是降维后的指标权重向量)；计算指标权重的目的是计算每个指标(或维数约简后形成的维度值)对风险的影响因子。

维数约简和指标权重计算主要利用采集的历史数据，由不同时刻的指标向量构成的矩阵作为算法的输入值。以核主成分分析降维方法为例，维数约简和指标权重计算流程如下：

a)计算历史数据构成的矩阵，进行中心化；

b)利用核函数计算历史数成的核矩阵K，在本实施例采用高斯核，但并不限于高斯核，还可以利用其它的核函数，例如多项式核，线性核，Tanh函数核等等；

c)计算核矩阵K的特征值和特征向量；

d)对特征值进行由大到小的排序，并取最大的前k个特征值构成矩阵P；

e)针对矩阵P，利用序列最小优化(SMO)算法进行迭代计算得到P中各指标的权重W；SMO算法在结果完全相同的同时，求解的时间短很多。

f)还可以采用测试数据对上述的指标及其权重进行测试验证，验证降维后的指标是否合适以及权重是否合适，如果不合适，则调整选取特征值的个数以及采用的核函数；

g)获取降维后的指标及其权重值。

步骤3，计算单个设备或者链路的风险变化量。

经过上面2个步骤，计算得到链路和设备上的指标对应的权重。利用权重和指标计算风险的变化量。

将观测的当前时刻指标index(T+t)和前一时刻的指标index(t)计算差分Δindex：T表示指标观测周期。假设当前是T+t，则前一个时刻的指标采集的时间就是t，间隔为T。利用对应指标相减，可以计算两个时刻指标的变化量，如式(1)所示：

Δindex＝index(T+t)-index(t)＝[Δindex₁，Δindex₂，…，Δindex_n] (1)

式中，Δindex是当前时刻与上一时刻的指标差值。

计算单个设备i的风险变化量：

其中，transform表示矩阵的转置；index_i是设备i的指标向量；weight_i是对应的指标权重向量。

链路上的风险变化量的计算方法和设备上的计算方法一致，不同的是指标的个数以及权重的值不一样。

步骤5，构建网络系统的风险观测矩阵；

步骤4中已经得到了网络系统中所有设备和链路上的风险，在本步骤中，利用这些风险值以及网络拓扑结构构造网络系统的风险观测矩阵。风险观测矩阵中对角线上是设备的风险变化量，非对角线上是链路上的风险变化量。如果实际链路上不存在链接关系，则设置为0，通过以上的方法构成了风险观测矩阵G；

如式(3)所示，某个时刻(T+t)的网络风险观测矩阵G(T+t)，可以看到这个矩阵反映了网络的拓扑关系，网络中含有3个设备，以及3个链路。Host表示节点设备，可以是防火墙、路由器、普通主机等；link表示链路，可以认为两个设备的链路值是相同的，即设备i到设备j的链路值和设备j到设备i的链路值是相同的，因此有Risk(link_ij)＝Risk(link_ji)，从而风险观测矩阵是对称矩阵。

以上步骤是网络的风险观测矩阵的计算，流程图如图2示。

步骤6，计算网络系统的资产重要性矩阵W_g；节点重要性矩阵反映了设备和链路的重要性。如果某个设备的资产重要性高，在受到攻击的时候，造成的危害也将更大。所以需要用资产重要性矩阵来区分设备和链路的重要性。为了提高资产评估的客观性，避免对资产的重要性任意赋值，本发明提出了重要性矩阵的构造方法。构造方法中规定如果链路不存在，则重要性为0，对设备和链路重要性进行大小排序，最小的为1，后面的值要么相等，要么比前面值大于1，最后对所有的值除以总数进行归一化。

重要性矩阵W_g的构造方法如下：

a)对整个设备和链路的重要性进行排序，重要性的评估主要通过提供的服务和资产信息得到。矩阵中的相同的链路，重要性值相同，数学表示为1≤w_ij，w_ij＝w_ji；

b)重要性从小到大进行排序，相邻元素之间的差为1或者0，数学表示为：如果1≤w_x≤w_y≤w_z≤w_e，则w_z＝w_y+1或者w_z＝w_y；

c)对所有的重要性指标均一化，数学表述为w_ij＝w_ij/(∑w_ij)。

步骤7，利用输入的漏洞和脆弱性计算效用函数矩阵U；

攻击能的定义如下：

其中，攻击能由3个参数组成，l表示受到攻击产生的危害，v表示受到攻击的等级评估，p表示利用漏洞发生攻击成功的可能性，下标i表示第i次攻击。攻击不可能凭空产生的，是利用网络系统中的脆弱性，因此这符合攻击能的定义，并明确了脆弱性、威胁和攻击能的关系。

防御功定义：

防御功由对应的抵御攻击的方法类型以及对应的防范能力组成。其中，v_i表示第i种类型的攻击。而f表示系统针对该攻击进行的防御措施。例如及时安装补丁、定期杀毒、设置防火墙、数据加密、定期审计代码等措施。这些方法都可以有效地提高系统的防御能力，然而目前没有一个有效的方法去量化这些措施对于攻击的抵御能力。并且通常防御功的计算和攻击能的计算很难区分开。

本发明得出如下的攻防效用计算公式:

U(x)＝E_in-E_out (6)

式(6)中，U(x)表示系统的攻防效用，攻防效用指的是网络中攻击行为和防御行为对网络系统造成的资产上的影响，效用度量值来源于两部分，一个是来自外部的风险，称为攻击能，是风险危害的来源，用E_in表示，另外一个是系统对攻击的抵御，可以提高系统的安全性，称为防御功，用E_out表示。攻防效用结果就是风险变化的结果。当攻击能增大，则攻防效用指数变大，而网络的风险是同时增加的，所以网络风险和攻击能成正相关。当防御功增大，则攻防效用指数减小，网络风险也减小，所以防御功和网络风险是负相关。并且可以用网络的攻防效用来评估网络风险。

攻防效用计算公式中的x指的是节点设备，如果网络系统中有三个设备，则效用函数的向量为U(x)＝[μ₁，μ₂，μ₃]，μ₁，μ₂，μ₃分别为三个设备的风险效用函数；为了和风险观测矩阵进行对应，对向量进行对角化，则效用函数向量变成如下所示：

效能计算过程流程图见图3。想要计算整体网络系统的效用，则需要知道整个网络系统中存在的设备，所以需要采用流量分析工具和端口扫描工具去发现设备和端口。然后采用服务发现工具去探测设备上的服务器版本和安装的服务等基础信息，根据这些信息，可以去挖掘更多的网络系统信息，从而发现其中的漏洞。得到设备上的漏洞之后，通过关联CVSS评分计算方法，计算单个的设备上的漏洞针对设备的影响评分，最后结合这些漏洞的整体效用评分，从而得到每一个设备上的风险效用函数评分。

通过上述的计算，得到的效能函数结果包含了攻击能和防御功的计算，从攻击能和防御功中包含了网络的脆弱性、漏洞和威胁的特性，计算结果的意义是网络受到攻击的概率，也就是效用函数风险值，结果值在0到1之间。

步骤8、计算网络系统风险累积量。

计算网络系统风险在时间上的累积量流程图如图4所示。步骤7中效用函数评分是静态的值，而网络系统环境是在不断变化的，所以要更精确的计算风险的演化，本发明采用李群的路径积分方法计算网络系统的动态风险效用评分，具体步骤如下：

a)计算节点重要性矩阵W_g、指标风险观测矩阵G和效用函数矩阵U的乘积，得到新的风险观测矩阵G′：

G′＝W_g·(G+U) (8)

b)计算新的风险观测矩阵G′的两个相邻时刻的李代数Δrisk：

式中，ΔG'表示计算的矩阵差值；det表示矩阵行列式的值；T+t₀和t₀表示当前时刻和前一个时刻；上标T表示转置。

风险观测矩阵中的元素都是实数，并且是对称矩阵，而且主对角线上表示设备的风险值。所以构建的矩阵满足一般线性群的定义。指标的变化在实数范围内是任意的，并可以进行求导，所以满足微分流形的定义，因此构成的风险观测矩阵是一般线性群，并且是李群。从而可以计算矩阵的李代数。

c)计算风险累积量。风险的计算不仅需要计算时间的累积量，而且需要计算空间的累积量。空间的累积量则是设备和链路上的风险的组合。通过G′的计算公式(式(8))可以看到攻击能和防御功得到的效用函数矩阵以及指标变化矩阵、资产权重矩阵等信息，因此，本发明是对网络系统进行动静态结合评估，并考虑了网络系统的资产和脆弱性。最后计算时间的累积量，则是对时间进行积分。所以整体的计算公式如式(11)所示。通过计算两个相邻的时刻的变化量，对时间的累积量计算是通过计算两个时刻的差分值得到的。

sum_risk＝∑Δrisk (11)

sum_risk即为通过本发明方法所获得的网络安全评估值。

基于上述安全评估方法，本发明还提供了一种网络系统安全评估装置，如图5所示，包括：指标采集模块、单个设备和链路风险变化量计算模块、网络风险观测矩阵计算模块、设备漏洞风险评估模块、网络效用函数矩阵计算模块、以及网络风险计算模块；

其中，指标采集模块用于采集网络系统中各设备、各链路的指标；并将采集到的指标发送至单个设备和链路风险变化量计算模块；

单个设备和链路风险变化量计算模块根据相邻时刻的设备或链路的指标向量，计算获得单个设备或链路的风险变化量；并将各设备和链路的风险变化量发送至网络风险观测矩阵计算模块；

网络风险观测矩阵计算模块根据网络系统的网络拓扑结构，以及单个设备或链路的风险变化量，构建网络系统的风险观测矩阵；并将构建的网络系统风险观测矩阵发送至网络风险计算模块；

设备漏洞风险评估模块用于对网络系统中各设备进行漏洞检测和评估，将各设备的漏洞风险评估值发送至网络效用函数矩阵计算模块；

网络效用函数矩阵计算模块根据各设备的漏洞风险评估值构建网络系统的效用函数矩阵；并将构建的网络系统效用函数矩阵发送至网络风险计算模块；

网络风险计算模块将同一时刻的风险观测矩阵和效用函数矩阵进行相加，计算两个相邻时刻的矩阵和的李代数；对李代数沿时间进行积分，积分结果即为网络系统的安全评估值。

其中，所述单个设备和链路风险变化量计算模块包括归一化单元和风险变化量计算单元；归一化单元对采集到的设备或链路的指标进行归一化处理；风险变化量计算单元根据设备和链路的归一化后的指标计算单个设备和链路的风险变化量。

此外，单个设备和链路风险变化量计算模块还可以包括指标降维模块，所述指标降维模块用于对单个设备和链路的归一化后的指标进行降维处理；风险变化量计算单元根据设备和链路的降维处理后的指标计算单个设备和链路的风险变化量。指标降维模块所可以采用主成分分析法、线性判别分析法、局部线性嵌入法或拉普拉斯特征映射法等方法将指标将至10个以下。较优的，采用核主成分分析法进行指标降维。

此外，单个设备和链路风险变化量计算模块还可以包括指标权重模块；指标权重模块用于计算设备和链路的各指标或降维后各指标的权重；风险变化量计算单元根据设备和链路的指标或降维处理后的指标、以及各指标的权重计算单个设备和链路的风险变化量。指标权重模块可以采用线性分类法等方法计算指标权重。较优的，采用序列最小优化算法计算获得指标权重。

网络风险计算模块包括矩阵和单元、风险变化量计算单元和积分单元；其中，矩阵和单元用于计算风险观测矩阵和效用函数矩阵的和；风险变化量计算单元用于计算两个相邻时刻的矩阵和的李代数；积分单元用于对李代数沿时间进行积分；积分结果即为安全评估装置的输出结果。

此外，网络风险计算模块还可以包括资产权重单元，所述资产权重单元根据网络系统中各设备和链路的重要性，获得对应设备和链路的资产权重；风险变化量计算单元根据资产权重对矩阵和进行加权，计算两个相邻时刻的加权矩阵和的李代数。资产权重单元采用如下方法获得各设备和链路的资产权重：

(1)对网络系统中各个设备和链路的重要性进行从小到大的排序；其中，重要性取值为自然数；如果链路不存在，则该链路重要性为0；相同的链路，重要性值相同；排序后相邻设备或链路之间的差为1或者0；

(2)对(1)中所有设备和链路的重要性值进行均一化，获得对应设备和链路的资产权重。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (21)

1.一种网络系统量化安全评估方法，其特征在于，包括如下步骤：

步骤1，采集网络系统中各设备、各链路的指标，构建各设备、链路的指标向量，并做归一化处理；

步骤2，分别计算单个设备以及单个链路的风险变化量：所述单个设备或单个链路的风险变化量为该设备或链路的当前时刻指标向量与上一时刻指标向量之间的黎曼距离；

步骤3，根据网络系统的网络拓扑结构构建网络系统的风险观测矩阵G：风险观测矩阵中对角线上是单个设备的风险变化量，非对角线上是链路的风险变化量；

步骤4，计算网络系统的效用函数矩阵U：网络系统的效用函数矩阵U为由网络系统中各设备的风险效用组成的向量对角化而成；所述设备的风险效用为该设备的漏洞风险评分值之和；

步骤5，计算网络系统风险累积量：

步骤5.1，将风险观测矩阵G和效用函数矩阵U相加，获得新的风险观测矩阵G′；

步骤5.2，计算网络系统的两个相邻时刻的风险变化量Δrisk：所述Δrisk即为风险观测矩阵G′的两个相邻时刻的李代数；

步骤5.3，对风险变化量Δrisk沿时间进行积分，积分结果即为网络系统的安全评估值。

2.如权利要求1所述的网络系统量化安全评估方法，其特征在于，所述步骤1中，对各设备、链路的指标向量做降维处理。

3.如权利要求2所述的网络系统量化安全评估方法，其特征在于，降维处理后的指标向量的维数小于或等于10。

4.如权利要求2或3所述的网络系统量化安全评估方法，其特征在于，降维处理所采用的方法为主成分分析法、线性判别分析法、局部线性嵌入法或拉普拉斯特征映射法。

5.如权利要求4所述的网络系统量化安全评估方法，其特征在于，采用核主成分分析法进行降维处理。

6.如权利要求1～5任意一项所述的网络系统量化安全评估方法，其特征在于，所述步骤2中，首先利用线性分类方法计算得到各指标或降维后各指标的权重向量weight；单个设备或单个链路的风险值为该设备或链路的当前时刻的加权指标向量与上一时刻的加权指标向量的黎曼距离。

7.如权利要求6所述的网络系统量化安全评估方法，其特征在于，采用序列最小优化算法计算获得权重向量weight。

8.如权利要求1所述的网络系统量化安全评估方法，其特征在于，所述步骤5.1中，根据节点设备和链路在网络系统中的重要性，构造网络系统的资产重要性矩阵W_g；新的风险观测矩阵G′为：G′＝W_g·(G+U)。

9.如权利要求8所述的网络系统量化安全评估方法，其特征在于，采用如下方法构造网络系统的资产重要性矩阵W_g：

(1)对网络系统中各个设备和链路的重要性进行从小到大的排序；其中，重要性取值为自然数；如果链路不存在，则该链路重要性为0；相同的链路，重要性值相同；排序后相邻设备或链路之间的差为1或者0；

(2)对(1)中所有设备和链路的重要性值进行均一化，获得资产重要性矩阵W_g。

10.一种网络系统量化安全评估装置，其特征在于，包括：指标采集模块、单个设备和链路风险变化量计算模块、网络风险观测矩阵计算模块、设备漏洞风险评估模块、网络效用函数矩阵计算模块、以及网络风险计算模块；

其中，指标采集模块用于采集网络系统中各设备、各链路的指标；并将采集到的指标发送至单个设备和链路风险变化量计算模块；

单个设备和链路风险变化量计算模块根据相邻时刻的设备或链路的指标向量，计算获得单个设备或链路的风险变化量；并将各设备和链路的风险变化量发送至网络风险观测矩阵计算模块；

网络风险观测矩阵计算模块根据网络系统的网络拓扑结构，以及单个设备或链路的风险变化量，构建网络系统的风险观测矩阵；并将构建的网络系统风险观测矩阵发送至网络风险计算模块；

设备漏洞风险评估模块用于对网络系统中各设备进行漏洞检测和评估，将各设备的漏洞风险评估值发送至网络效用函数矩阵计算模块；

网络效用函数矩阵计算模块根据各设备的漏洞风险评估值构建网络系统的效用函数矩阵；并将构建的网络系统效用函数矩阵发送至网络风险计算模块；

网络风险计算模块用于计算两个相邻时刻的风险观测矩阵和效用函数矩阵的矩阵和的李代数；对李代数沿时间进行积分，积分结果即为网络系统的安全评估值。

11.如权利要求10所述的网络系统量化安全评估装置，其特征在于，所述单个设备和链路风险变化量计算模块包括归一化单元和风险变化量计算单元；归一化单元对采集到的设备或链路的指标进行归一化处理；风险变化量计算单元根据设备和链路的归一化后的指标计算单个设备和链路的风险变化量。

12.如权利要求11所述的网络系统量化安全评估装置，其特征在于，所述单个设备和链路风险变化量计算模块还包括指标降维模块，所述指标降维模块用于对单个设备和链路的归一化后的指标进行降维处理；风险变化量计算单元根据设备和链路的降维处理后的指标计算单个设备和链路的风险变化量。

13.如权利要求12所述的网络系统量化安全评估装置，其特征在于，指标降维模块输出的指标维数小于或等于10。

14.如权利要求12或13所述的网络系统量化安全评估装置，其特征在于，指标降维模块所采用的方法为主成分分析法、线性判别分析法、局部线性嵌入法或拉普拉斯特征映射法。

15.如权利要求14所述的网络系统量化安全评估装置，其特征在于，指标降维模块采用核主成分分析法进行降维处理。

16.如权利要求11～15任意一项所述的网络系统量化安全评估装置，其特征在于，所述单个设备和链路风险变化量计算模块还包括指标权重模块；指标权重模块用于计算设备和链路的各指标或降维后各指标的权重；风险变化量计算单元根据设备和链路的指标或降维处理后的指标、以及各指标的权重计算单个设备和链路的风险变化量。

17.如权利要求16所述的网络系统量化安全评估装置，其特征在于，所述指标权重模块采用线性分类方法计算得到各指标或降维后各指标的指标权重。

18.如权利要求17所述的网络系统量化安全评估装置，其特征在于，所述指标权重模块采用序列最小优化算法计算获得指标权重。

19.如权利要求10所述的网络系统量化安全评估装置，其特征在于，所述网络风险计算模块包括矩阵和单元、风险变化量计算单元和积分单元；其中，矩阵和单元用于计算风险观测矩阵和效用函数矩阵的和；风险变化量计算单元用于计算两个相邻时刻的矩阵和的李代数；积分单元用于对李代数沿时间进行积分；积分结果即为安全评估装置的输出结果。

20.如权利要求19所述的网络系统量化安全评估装置，其特征在于，所述网络风险计算模块还包括资产权重单元，所述资产权重单元根据网络系统中各设备和链路的重要性，获得对应设备和链路的资产权重；风险变化量计算单元根据资产权重对矩阵和进行加权，计算两个相邻时刻的加权矩阵和的李代数。

21.如权利要求20所述的网络系统量化安全评估装置，其特征在于，所述资产权重单元采用如下方法获得各设备和链路的资产权重：

(1)对网络系统中各个设备和链路的重要性进行从小到大的排序；其中，重要性取值为自然数；如果链路不存在，则该链路重要性为0；相同的链路，重要性值相同；排序后相邻设备或链路之间的差为1或者0；

(2)对(1)中所有设备和链路的重要性值进行均一化，获得对应设备和链路的资产权重。