CN112039862B

CN112039862B - 一种面向多维立体网络的安全事件预警方法

Info

Publication number: CN112039862B
Application number: CN202010848719.6A
Authority: CN
Inventors: 栗红梅; 黄小平; 孟博; 常玉兰; 郑裕林; 闫雪; 张振环; 柳娜
Original assignee: Beijing Zhongdun Security Technology Development Co ltd; First Research Institute of Ministry of Public Security
Current assignee: Beijing Zhongdun Security Technology Development Co ltd; First Research Institute of Ministry of Public Security
Priority date: 2020-08-21
Filing date: 2020-08-21
Publication date: 2022-12-27
Anticipated expiration: 2040-08-21
Also published as: CN112039862A

Abstract

本发明公开了一种面向多维立体网络的安全事件预警方法，根据网络安全自身的特点，结合国家网络安全现状和未来发展趋势，通过对网络系统内发生安全事件进行分析，利用基于网络安全态势感知的预警系统相关技术，建立多维立体安全事件联合预警机制，满足常规性、应急性、专项性安全事件和网络安全态势的预警通报业务需求。基于网络安全态势感知的预警系统相关技术利用来分析态势和理解态势，能够在最短的时间内发现和预警，便于准备应急和处置方案。

Description

一种面向多维立体网络的安全事件预警方法

技术领域

本发明涉及安全预警技术领域，具体涉及一种面向多维立体网络的安全事件预警方法。

背景技术

随着互联网及网络技术的发展，互联网的规模和应用领域不断壮大，其基础性和全局性的地位逐渐增强，同时网络攻击和破坏行为也日益普遍，且逐渐呈现出组织严密化、行为趋利化和目标直接化等特点。网络安全问题层出不穷，网络入侵、网络攻击等非法活动威胁了我国的信息安全，网络攻击的目标是能源、电力、金融等重要基础设施，最终造成基础设施破坏和产生不良社会影响，计算机病毒、网络入侵与攻击等各种安全事件给网络带来的威胁和危害越来越大，迫切需要建立和完善安全事件预警体系，提高整体的网络安全保障水平。

然而，当前网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备，由于彼此间缺乏有效的协作，使得各类安全产品的效能无法得到充分地发挥。网络系统的安全问题没有从根本上得以解决，且已成为影响Internet及其各类应用发展的主要问题。网络安全态势感知作为对已发现的安全事件的感知和防御技术手段，重点在反映当前网络安全态势，更重要的是能够对网络中潜在的攻击做出预测，从而对潜在攻击做出主动防御，因此构建一套足以及时、可靠、有效应对网络攻击的安全事件预警体系十分必要，并通过这个指标体系对网络系统内发生安全事件的实时监控与分析、评估、预警，可以及时发现正在发生的安全相关活动和事件，分析这些活动的危害程度和严重级别等，并分析对安全事件的有效控制措施，可以全面实时掌握网络系统内的安全状况。

目前用于安全事件预警的现有技术包括有网络安全态势感知技术。现有的安全态势感知技术或系统都是通过监控和识别受保护网络上的入侵企图和入侵行为实现的，安全系统采集的安全日志信息是主要的数据源，以安全事件为研究对象，结合监测网络系统内的资源状况以及软硬件存在的脆弱性，从系统被攻击的次数、频率和威胁程度等等情况来着手来评估威胁攻击给该网络造成的危害程度，通过统计分析和关联分析技术，并综合各评价向量对网络安全态势进行评估。现有技术依托于系统配置信息和系统运行信息，为网络安全态势提供了一种客观的安全态势评测方法。

然而，现有的安全事件预警技术具有滞后性，因网络入侵行为逐渐趋于复杂化和间接化，尤其是当网络过于复杂，数据量迅猛发展的当前，评估效率显得尤为低下，无法胜任安全预警的任务和目标：

1)传统网络安全态势感知存在数据片段化和态势感知片面化的问题，难以全面完整评估安全事件在全国范围内造成的危害和损失，特别缺少安全事件对社会及其公众利益造成的社会影响。

2)现有安全态势感知缺乏对将来可能发生的网络威胁攻击的预测，缺乏安全事件预测的有效手段，预警技术的核心问题之一是攻击预测以及攻击的危害程度，目的是对由攻击方或授权代理引起的网络攻击推断出未来的定量结果。

发明内容

针对现有技术的不足，本发明旨在提供一种面向多维立体网络的安全事件预警方法，提升网络空间安全监测与预警一体化的多系统协同能力。

为了实现上述目的，本发明采用如下技术方案：

一种面向多维立体网络的安全事件预警方法，具体过程为：

S1、配置用于预警分析的相关数据库，所述相关数据库包括关联规则库、指数模型库和全网模型库；

所述关联规则库中配置有：安全专家总结得到的安全事件与漏洞的关联规则、安全事件与资产的关联规则、安全事件与安全事件的关联规则，根据关联规则库中的关联规则能够对安全数据进行基于规则的关联分析和数据挖掘；

所述指数模型库中配置有：各安全事件的影响范围指数、由专家研判得出的各安全事件的影响程度指数、安全事件所造成的影响对应的影响损失当量；

所述全网模型库中配置有：全局网络子网构成模型、各网络系统所属行业类型对应的损失权重、业务相关性与影响权重，以及各网络系统对应的网络规模与行政区域规模；

S2、获取预设网络区域的安全数据，并提取出安全事件；所述安全数据为被监控对象的日志信息与安全事件，以及可疑威胁样本与威胁信息；

S3、利用步骤S2中关联规则库、指数模型库和全网模型库的数据，对步骤S1所提取的安全事件分别进行多维关联分析和全网联合预警评估；

步骤S4、展示全网联合预警评估结果。

进一步地，步骤S2中，提取出安全事件的具体过程为：

S2.1、对安全数据进行预处理以及数据格式范化；

S2.2、从数据格式范化后的安全数据中提取出安全事件，并对安全事件进行分类入库。

更进一步地，步骤S2.1的具体过程为：数据预处理包括数据清洗、数据融合和数据关联三个过程，完成对数据内容的识别和补全，剔除重复、误报的事件条目，然后对数据进行解析、合并和规整，形成数据格式范化后的安全数据。

更进一步地，步骤S2.2的具体过程为：海量的安全数据中寻找异常活动背后的逻辑，发现攻击信息，根据这些攻击信息生成安全事件的分析模型，用于对安全事件的自动鉴别，并对安全事件进行分类并存入数据库，将属于同一类的安全事件放在一起；其中，安全事件包括已知的安全事件和未知的安全事件，已知的安全事件为网络安全设备将采集的监控对象的日志信息与安全事件在进行预处理以及数据格式范化后，检测出部分攻击信息，通过安全事件的分析模型提取出的安全事件；网络安全设备无法检测出攻击信息的安全数据经预处理以及数据格式范化后输入到安全蜜罐和安全沙箱中进行检测，以提取出未知的安全事件。

再进一步地，安全蜜罐和安全沙箱提取未知的安全事件的过程为：

首先利用安全蜜罐收集可疑的威胁样本及其威胁信息，所述威胁信息包含攻击的来源IP、采用的协议和端口号、攻击特征、域名、漏洞信息；然后将利用安全蜜罐收集到的威胁样本导入到安全沙箱中，利用安全沙箱对威胁样本进行检测和测试；安全沙箱通过拦截系统调用和监视程序的行为，实现检测和测试病毒以及不受信任的应用程序、文档以及上网行为，从而获取未知安全事件及其攻击属性、传播行为特性和攻击路径。

进一步地，步骤S3的具体过程为：

步骤S31、对所提取的已知安全事件进行分类统计分析；

步骤S32、计算已知安全事件在全局网络中的安全事件危害程度；

步骤S33、对已知安全事件进行等级评定；

步骤S34、对所提取的未知安全事件分别进行分类统计分析；

步骤S35、计算未知安全事件的危害损失指数；

步骤S36、对未知安全事件进行等级评定。

更进一步地，步骤S32的具体过程为：

每个已知安全事件对于全局网络的安全事件危害程度W为该安全事件对全局网络造成的危害损失指数LI与危害影响指数SI之和，其中，每个所述已知安全事件对全局网络造成的危害损失指数LI为该已知安全事件对全局网络的所有网络系统造成的危害损失指数之和，具体表示为：

n为网络系统总数；

pHI＝HI/(NS*BR)；

其中，LI代表某安全事件对全局网络造成的系统损失指数，SQ_j代表网络系统j所属的行业类型对应的损失权重，NS_j代表网络系统j对应的网络规模，pHI代表单位安全事件危害指数，BR_j代表网络系统j所属行业类型对应的业务相关性；系统权重SQ_j、网络规模NS_j、网络业务相关性BR_j来自全网模型库的配置参数；

每个所述已知安全事件对全局网络造成的危害影响指数SI为该已知安全事件对全局网络的所有网络系统造成的危害影响指数之和，具体表示为：

其中，SI代表某安全事件对全局网络造成的社会影响指数，EQ_j代表网络系统j所属行业类型对应的影响权重，AS_j代表网络系统j对应的行政区域规模，代表安全事件对社会所造成影响的范围；IS代表某安全事件的影响范围指数，DI代表某安全事件的影响程度指数，代表安全事件对社会所造成影响程度；LE代表某安全事件造成影响对应的影响损失当量LE。

更进一步地，步骤S35的具体过程为：

每个未知安全事件对全局网络造成的危害损失指数LI为相应的未知安全事件对全局网络的所有网络系统造成的危害损失指数之和，具体表示为：

其中，LI代表某个未知安全事件对全局网络造成的危害损失指数，SQ_j代表网络系统j所属行业类型对应的损失权重，NS_j代表网络系统对应的网络规模，DD代表某个未知安全事件对网络系统可能造成的破坏程度，TE代表某个未知安全事件在网络系统的传播效率，AR代表某个未知安全事件对网络系统威胁的攻击成功率，BR_j代表网络系统j所属行业类型对应的业务相关性。

进一步地，步骤S4中，将全局网络可能发生的安全事件发生地映射到地图上呈现安全预警，并根据安全事件预警等级在地图上用不同的颜色表示出来。

本发明还提供一种实现上述方法的网络安全态势感知系统，设置有安全态势预警子系统、安全威胁主动探测子系统和安全态势数据监测子系统,所述安全态势预警子系统分别连接所述安全威胁主动探测子系统和所述安全态势数据监测子系统；

所述安全态势预警子系统，用于配置预警分析的相关数据库后，分别从所述安全威胁主动探测子系统获取未知安全事件，以及从所述安全态势数据监测子系统获取已知安全事件；

所述安全态势预警子系统包括预警系统配置模块、安全数据采集模块、安全事件预警模块、预警结果展示模块、安全态势评估模块、安全分析数据库；

所述安全威胁主动探测子系统由多个安全蜜罐和多个安全沙箱构成，用于获取预设网络区域的未知安全事件、威胁信息和攻击属性；

所述预警系统配置模块，用于配置用于预警分析的相关数据库，所述数据库包括关联规则库、指数模型库和全网模型库；

所述安全数据采集模块，用于从所述安全威胁主动探测子系统获取未知安全事件，以及从所述安全态势数据监测子系统获取已知安全事件；

所述安全事件预警模块，用于根据所述安全数据采集模块获取的安全事件，分别进行多维关联分析和全网联合预警评估；

所述预警结果展示模块，用于展示全网联合预警评估结果；

所述安全态势评估模块，用于通过对当前安全事件的量化评估，计算当前时间范围内的网络安全指数，以对网络安全态势形成一个完整的评价；

所述安全分析数据库，用于存储态势分析的相关数据。

本发明的有益效果在于：本发明根据网络安全自身的特点，结合国家网络安全现状和未来发展趋势，通过对网络系统内发生安全事件进行分析，利用基于网络安全态势感知的预警系统相关技术，建立多维立体安全事件联合预警机制，满足常规性、应急性、专项性安全事件和网络安全态势的预警通报业务需求。基于网络安全态势感知的预警系统相关技术利用来分析态势和理解态势，能够在最短的时间内发现和预警，便于准备应急和处置方案。由此，可以提升国家在网络空间安全持续监测与预警一体化的多系统协同工作能力，支持重点目标安全事件监测、预警、应急响应、处置过程高效衔接。

附图说明

图1为本发明实施例1的方法实施流程示意图；

图2为本发明实施例2中的系统组成示意图；

图3为本发明实施例2中安全态势预警子系统的组成示意图。

具体实施方式

以下将结合附图对本发明作进一步的描述，需要说明的是，本实施例以本技术方案为前提，给出了详细的实施方式和具体的操作过程，但本发明的保护范围并不限于本实施例。

本实施例提供一种面向多维立体网络的安全事件预警方法，如图1所示，具体过程为：

所述全网模型库中配置有：全局网络子网构成模型、各网络系统所属行业类型对应的损失权重、业务相关性与影响权重，以及各网络系统对应的网络规模与行政区域规模。

需要说明的是，需要说明的是，事件关联分析主要包括报警事件聚合、报警事件分类、攻击原因关联分析三个步骤，基于规则的关联分析是指根据关联规则，通过事件关联引擎进行规则匹配、识别已知模式的攻击和违规的过程，属于经典的关联分析技术。

需要说明的是，步骤S1中，在全网模型库中，全局网络子网构成模型根据实际网络情况建立，通过建立全局网络子网构成模型，可以实现由局部网络系统发现的安全事件评估该安全事件在全局网络的危害程度，从而实现对全局网络范围内的安全事件进行相应级别预警和通报。全局网络范围可以为全国网络范围或全国某一区域网络范围。例如，可以选择对北京市区域内的全局网络范围内的安全事件进行相应级别预警和通报。

所述全局网络子网构成模型用于反映全局网络中包含的各行业的网络系统(行业类型)及其规模、子网数量等信息，如表1和表2所示。例如，全局网络中包含的行业网络分别为金融、公安和通信，金融行业网络对应的网络规模为L个中型网络，公安行业网络对应的网络规模为M个中型网络，通信行业网络对应的网络规模为N个大型网络。

表1

表2

从行业维度分析金融、电力、公安、能源等关键行业，从行业业务重要程度以及网络系统的重要程度来评估安全事件导致系统损失的差异。行业类型与损失权重有关，损失权重是对业务价值、数据价值和其他间接消耗的损失补偿，将各网络系统所属行业类型对应的损失权重SQ配置到全网模型库，如表1所示。在全网模型库中还配置有各网络系统对应的网络规模NS(如表2所示)、各网络系统所属行业类型对应的业务相关性BR、各网络系统所属行业类型对应的影响权重EQ(如表3所示)、各网络系统对应的行政区域规模AS。

表3

影响类型	影响权重
		国家安全	10
经济建设	6
		社会生活	3
公众利益	3
		其他影响	1

需要说明的是，步骤S1中，基于历史安全基线，引入专家知识库，专家知识库包括安全事件发生时的社会背景、应用场景及其专业安全知识这些数据，将其加载到指数模型库，用于安全事件造成的危害程度和社会影响评估。指数模型库中还配置有各安全事件的影响范围指数IS(如表4所示)、由专家研判得出的各安全事件的影响程度指数DI(如表5所示)、安全事件造成影响对应的影响损失当量LE。

表4

表5

S2、获取预设网络区域的安全数据，并提取出安全事件；所述安全数据为被监控对象的日志信息与安全事件，以及可疑威胁样本与威胁信息。

需要说明的是，步骤S2中，可以从全国具有一定规模的城市中选取一定数量的城市作为网络监测区域，即预设网络区域，采用相应的网络安全设备和安全蜜罐采集网络监测区域的安全数据。例如，选取北京市作为网络监测区域，从北京市内选取某几个区(如海淀区和朝阳区)，并针对每个区的不同行业(如银行、公安系统等)，采用网络安全设备和安全蜜罐采集采用网络监测区域的安全数据。其中，安全数据为网络安全设备采集的监控对象(如网络设备、主机设备、安全设备、漏洞扫描工具、网络流量监测工具、网络扫描器等)的日志信息与安全事件，以及安全蜜罐采集的可疑威胁样本与威胁信息(包含攻击来源IP、采用的协议和端口号、攻击特征、攻击属性、域名、漏洞信息等)。

网络安全设备同时支持主动收集及被动接收的采集方式，通过配置不同的网络安全设备，完成对监控对象安全数据的采集。

在本实施例中，步骤S2中，提取出安全事件的具体过程为：

S2.1、对安全数据进行预处理以及数据格式范化；

具体地，安全数据包括各种网络安全设备产生的告警数据、各种应用产生的安全日志数据和IDS告警信息，事件采集器得到的安全数据是异构的，因此需要进行预处理和数据格式范化。数据预处理包括数据清洗、数据融合和数据关联三个过程，完成对数据内容的识别和补全，剔除重复、误报的事件条目，然后对数据进行解析、合并和规整，形成数据格式范化后的安全数据；

S2.2、从数据格式范化后的安全数据中提取出安全事件，并对安全事件进行分类入库；

具体地说，从看似分散独立的海量的安全数据中寻找异常活动背后的逻辑，发现攻击信息。根据这些攻击信息生成安全事件的分析模型，用于对安全事件的自动鉴别，并对安全事件进行分类并存入数据库，将属于同一类的安全事件放在一起。其中，安全事件包括已知的安全事件和未知的安全事件。具体地说，已知的安全事件为由网络安全设备采集的监控对象的日志信息与安全事件，进行预处理以及数据格式范化后，检测出部分攻击信息，通过安全事件的分析模型提取出安全事件。由于网络安全设备无法将所采集的安全数据中的攻击信息全部检测出来，因此可以将网络安全设备无法检测出攻击信息的数据经预处理以及数据格式范化后输入到安全沙箱中进行检测，以提取出未知的安全事件。

首先利用安全蜜罐收集可疑的威胁样本及其威胁信息，所述威胁信息包含攻击的来源IP、采用的协议和端口号、攻击特征、域名、漏洞信息等；然后将利用安全蜜罐收集到的威胁样本导入到安全沙箱中，利用安全沙箱对威胁样本进行检测和测试；安全沙箱通过拦截系统调用和监视程序的行为，实现检测和测试病毒以及不受信任的应用程序、文档以及上网行为，从而获取未知安全事件及其攻击属性、传播行为特性和攻击路径等信息。

安全蜜罐的主要功能是对系统中所有的操作和行为进行监视和记录。通过对系统进行伪装，使得攻击者在进入到蜜罐系统后并不会知晓其行为己经处于系统的监视之中，然后根据所有攻击行为分析攻击的方法和攻击企图。

安全蜜罐技术无论对自动化的恶意软件攻击，还是黑客的手动攻击都能够捕获充分的信息，提供给安全研究人员对这些安全威胁进行挖掘和深入分析，同时安全蜜罐技术之一的蜜网体系所提供的数据控制机制也能够有效地在诱捕这些攻击行为的同时降低部署蜜网所带来的安全风险。

基于安全蜜罐和安全沙箱的安全态势评估系统框架的最大特点就是通过在安全蜜罐中部署的入侵检测系统、安全扫描、网络管理等安全工具，同时利用安全沙箱拦截系统调用和监视程序行为来检测可疑对象，这样就可以检测出未知安全事件的攻击属性、传播行为特性和攻击路径等。

S3、利用步骤S2中关联规则库、指数模型库和全网模型库的数据，对步骤S1所提取的安全事件分别进行多维关联分析和全网联合预警评估。具体过程如下：

步骤S31、对所提取的已知安全事件进行分类统计分析。

对所提取的已知安全事件按照资产相关类、脆弱性类、威胁攻击类和风险类进行分类统计和分析，通过统计分析形成基础信息的模糊统计矩阵，通过调用资产相关类、脆弱性类、威胁攻击类三个基础数据库的数据形成统计矩阵的具体数据，然后通过分析来建立模糊统计矩阵。以Word文档进行破坏的病毒为例，首先按照资产相关类分析该Word文档安装的系统类型(如Windows系统)，然后按照脆弱性类分析该Word文档及所安装的系统是否有漏洞，最后按照威胁攻击类分析破坏该Word文档的病毒来源，并判断该病毒对网络是否造成危害。因此，基于对每个已知安全事件进行分类统计分析，以建立模糊统计矩阵，从而便于后续得到各安全事件在全网的安全事件危害程度。

步骤S32、计算已知安全事件在全局网络中的安全事件危害程度。

根据从预设网络区域监测到的已知安全事件，预测各已知安全事件在全局网络中各个网络系统的安全事件危害程度。即由从局部网络已经监测的安全事件推测该安全事件在全局网络中发展趋势以及其可能造成的危害和影响。

安全事件危害程度评估是对安全事件的攻击效果给出定性或定量的评估结果，并以此衡量安全事件对网络造成的破坏程度。安全事件危害程度的评估是安全事件预警和系统安全态势评估的重要基础。

根据《信息安全技术信息安全事件分类分级指南GB/Z 20986—2007》中对信息安全事件分级要素的分析，信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度。系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给事发组织所造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。社会影响是指信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响。

信息安全事件分级主要取决于安全事件造成的危害程度，对信息安全事件的分级主要考虑信息系统的重要程度、系统损失和社会影响这三个要素。如果把信息系统的重要程度作为权重，纳入系统损失一起来考虑，安全事件危害程度的主要因素包括信息系统的系统损失和社会影响这两个要素。

因此，每个已知安全事件对于全局网络的安全事件危害程度W为该安全事件对全局网络造成的危害损失指数LI与危害影响指数SI之和。其中，安全事件对全局网络造成的危害损失指数LI也称为该安全事件的系统损失指数；安全事件对全局网络造成的危害影响指数SI也称为该安全事件的社会影响指数。

具体的说，信息系统损失包括直接损失和间接损失，具体如表6所示，可以看出，直接损失可以从态势感知系统中监测和评估出来的，然而间接损失不易监测，不过可以从网络系统的行业类型和直接损失进行推测和估算，间接损失与网络系统的重要程度有关，可以根据不同网络承载业务中估算得来，网络系统的重要程度可用系统权重来衡量，因此，信息系统损失可以通过直接损失与系统权重两者测算得到。

表6

在安全事件预警中，对于某个安全事件给该网络造成的直接损失，就是安全事件危害指数，可以通过统计分析和关联分析技术，结合监测网络系统内的资源状况以及软硬件存在的脆弱性，从网络系统被攻击的次数、频率和威胁程度等情况来评估给出，这是基于已有技术可以给出的，于是可以得出：

安全事件系统损失指数LI＝损失权重SQ*安全事件危害指数HI

损失权重SQ来自全网模型库中有关行业类型与损失权重配置数据，网络系统的重要程度与损失权重有关，损失权重SQ是对业务价值、数据价值和其他间接消耗(或损失)的补偿，损失权重SQ与网络行业分类有关，这些信息来自全网模型库的参数配置。

安全事件危害指数HI与被监测网络的网络规模NS和行业类型对应的业务相关性BR有关，于是单位安全事件危害指数pHI＝HI/(NS*BR)。

网络系统j的安全事件系统损失指数LI_j＝SQ_j*NS_j*pHI*BR_j

安全事件系统损失指数量化说明如下：

1)、对于现网监测到安全事件的安全事件系统损失指数LI：

n为网络系统总数；

社会影响是指安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响，可以划分为特别重大的社会影响、重大的社会影响、较大的社会影响和一般的社会影响。社会影响大小不仅与影响范围和影响程度有关，还与影响类型(如国家安全、社会秩序、经济建设和公众利益等)有关，影响类型可用影响权重来衡量，因此，安全事件的社会影响也是可以用社会影响指数来量化的，安全事件社会影响指数SI：

其中，SI代表某安全事件对全局网络造成的社会影响指数，EQ_j代表网络系统j所属行业类型对应的影响权重，AS_j代表网络系统j对应的行政区域规模，代表安全事件对社会所造成影响的范围。IS代表某安全事件的影响范围指数，DI代表某安全事件的影响程度指数，代表安全事件对社会所造成影响程度。LE代表某安全事件造成影响对应的影响损失当量LE。通常情况下，并不是所有的安全事件都会社会影响，是否造成社会影响由影响损失当量LE决定，这需要安全专家研判并根据社会背景和应用场景来综合评估后给出。

来自全网模型库配置的参数有：影响权重EQ_j、行政区域规模AS_j；

来自指数模型库配置的参数有：影响范围指数IS、影响程度指数DI、影响损失当量LE。

步骤S33、对已知安全事件进行等级评定。

根据安全事件的分级相对标准(如表7所示)和步骤S32计算的已知安全事件在全网的安全事件危害程度，将已知安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件，安全事件在全网的安全事件危害程度越大，安全事件的级别就越高。同时，依据预警分级标准，实现对安全事件进行相应级别预警和通报。

表7

对所提取的未知安全事件进行全网联合预警评估的过程为：

步骤S34、对所提取的未知安全事件分别进行分类统计分析。

对所提取的未知安全事件按照资产相关类、脆弱性类、威胁攻击类和风险类进行分类统计和分析，通过统计分析形成基础信息的模糊统计矩阵，通过调用资产相关类、脆弱性类、威胁攻击类三个基础数据库的数据形成统计矩阵的具体数据，然后通过分析来建立模糊统计矩阵。通过各个信息源数据之间的相互关系呈现互补、竞争和协作的特点，通过规则关联、分析和推理得出未知安全事件的检测结果，该检测结果包括：行业类型对应的破坏程度DD(如表8所示)、行业类型对应的传播效率TE以及行业类型对应的攻击成功率AR。

表8

步骤S35、计算未知安全事件的危害损失指数。

预警技术的核心在于攻击预测以及攻击的危害程度，目的是对攻击者的网络攻击推断出未来的定量结果。每个未知安全事件对全局网络造成的危害损失指数LI为相应的未知安全事件对全局网络的所有网络系统造成的危害损失指数之和，具体表示为：

步骤S36、对未知安全事件进行等级评定。

如表7所示，根据安全事件的分级相对标准和步骤S35计算的未知安全事件在全局网络的危害损失指数，将未知安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件，未知安全事件在全网的安全事件危害程度越大，安全事件的级别就越高。同时，依据预警分级标准，实现对安全事件进行相应级别预警和通报。

步骤S4、展示全网联合预警评估结果。

将全局网络可能发生的安全事件发生地映射到地图上呈现安全预警，并根据安全事件预警等级在地图上用不同的颜色表示出来，以便于用户能够非常直观地了解到安全事件，根据这些信息可以确定网络中最严重的威胁是什么安全事件。

综上所述，本实施例所提供的面向多维立体网络的安全事件预警方法根据网络安全自身的特点，结合国家网络安全现状和未来发展趋势，通过对网络系统内发生安全事件及所发现的威胁进行分析，建立多维立体安全事件联合预警机制，满足常规性、应急性、专项性安全事件和网络安全态势的预警通报业务需求。该方法能够在最短的时间内发现和预警，便于准备应急和处置方案。由此，可以提升国家在网络空间安全持续监测与预警一体化的多系统协同工作能力，支持重点目标安全事件监测、预警、应急响应、处置过程高效衔接，从而在相关研究领域形成我国和国际同行并跑，甚至可有望引领行业发展的新局面，研究成果可以在社会和经济等领域产生良好效益和重要作用。

实施例2

本实施例提供一种用于实现实施例1所述方法的网络安全态势感知系统，如图2所示，设置有安全态势预警子系统、安全威胁主动探测子系统和安全态势数据监测子系统,所述安全态势预警子系统分别连接所述安全威胁主动探测子系统和所述安全态势数据监测子系统；

在本实施例中，如图3所示，所述安全态势预警子系统包括预警系统配置模块、安全数据采集模块、安全事件预警模块、预警结果展示模块、安全态势评估模块、安全分析数据库；

所述安全威胁主动探测子系统由多个安全蜜罐和多个安全沙箱构成，用于获取预设网络区域的未知安全事件、威胁信息和攻击属性。

所述预警结果展示模块，用于展示全网联合预警评估结果；

所述安全分析数据库，用于存储态势分析的相关数据。

对于本领域的技术人员来说，可以根据以上的技术方案和构思，给出各种相应的改变和变形，而所有的这些改变和变形，都应该包括在本发明权利要求的保护范围之内。

Claims

1.一种用于实现面向多维立体网络的安全事件预警的网络安全态势感知系统，其特征在于，设置有安全态势预警子系统、安全威胁主动探测子系统和安全态势数据监测子系统,所述安全态势预警子系统分别连接所述安全威胁主动探测子系统和所述安全态势数据监测子系统；

所述安全态势预警子系统包括预警系统配置模块、安全数据采集模块、安全事件预警模块、预警结果展示模块、安全态势评估模块和安全分析数据库；

安全威胁主动探测子系统和所述安全态势数据监测子系统通过获取预设网络区域的安全数据，并提取出安全事件；所述安全数据为被监控对象的日志信息与安全事件，以及可疑威胁样本与威胁信息；

所述安全态势数据监测子系统用于提取已知安全事件；

所述关联规则库中配置有：安全专家总结得到的安全事件与漏洞的关联规则、安全事件与资产的关联规则以及安全事件与安全事件的关联规则，根据关联规则库中的关联规则能够对安全数据进行基于规则的关联分析和数据挖掘；

所述指数模型库中配置有：各安全事件的影响范围指数、由专家研判得出的各安全事件的影响程度指数以及安全事件所造成的影响对应的影响损失当量；

所述安全事件预警模块，用于利用关联规则库、指数模型库和全网模型库的数据，根据所述安全数据采集模块获取的安全事件，分别进行多维关联分析和全网联合预警评估；

所述预警结果展示模块，用于展示全网联合预警评估结果；

所述安全分析数据库，用于存储态势分析的相关数据。

2.根据权利要求1所述的系统，其特征在于，提取出安全事件的具体过程为：对安全数据进行预处理以及数据格式范化；从数据格式范化后的安全数据中提取出安全事件，并对安全事件进行分类入库。

3.根据权利要求2所述的系统，其特征在于，数据预处理包括数据清洗、数据融合和数据关联三个过程，完成对数据内容的识别和补全，剔除重复、误报的事件条目，然后对数据进行解析、合并和规整，形成数据格式范化后的安全数据。

4.根据权利要求2所述的系统，其特征在于，从数据格式范化后的安全数据中提取出安全事件，并对安全事件进行分类入库的具体过程为：海量的安全数据中寻找异常活动背后的逻辑，发现攻击信息，根据这些攻击信息生成安全事件的分析模型，用于对安全事件的自动鉴别，并对安全事件进行分类并存入数据库，将属于同一类的安全事件放在一起；其中，安全事件包括已知的安全事件和未知的安全事件，已知的安全事件为网络安全设备将采集的监控对象的日志信息与安全事件在进行预处理以及数据格式范化后，检测出部分攻击信息，通过安全事件的分析模型提取出的安全事件；网络安全设备无法检测出攻击信息的安全数据经预处理以及数据格式范化后输入到安全蜜罐和安全沙箱中进行检测，以提取出未知的安全事件。

5.根据权利要求4所述的系统，其特征在于，安全蜜罐和安全沙箱提取未知的安全事件的过程为：

首先利用安全蜜罐收集可疑的威胁样本及其威胁信息，所述威胁信息包含攻击的来源IP、采用的协议和端口号、攻击特征、域名和漏洞信息；然后将利用安全蜜罐收集到的威胁样本导入到安全沙箱中，利用安全沙箱对威胁样本进行检测和测试；安全沙箱通过拦截系统调用和监视程序的行为，实现检测和测试病毒以及不受信任的应用程序、文档以及上网行为，从而获取未知安全事件及其攻击属性、传播行为特性和攻击路径。

6.根据权利要求1所述的系统，其特征在于，所述安全事件预警模块利用关联规则库、指数模型库和全网模型库的数据，根据所述安全数据采集模块获取的安全事件，分别进行多维关联分析和全网联合预警评估的具体过程为：

1)对所提取的已知安全事件进行分类统计分析；

2)计算已知安全事件在全局网络中的安全事件危害程度；

3)对已知安全事件进行等级评定；

4)对所提取的未知安全事件分别进行分类统计分析；

5)计算未知安全事件的危害损失指数；

6)对未知安全事件进行等级评定。

7.根据权利要求6所述的系统，其特征在于，计算已知安全事件在全局网络中的安全事件危害程度的具体过程为：

n为网络系统总数；

pHI＝HI/(NS*BR)；

其中，LI代表某安全事件对全局网络造成的系统损失指数，SQ_j代表网络系统j所属的行业类型对应的损失权重，NS_j代表网络系统j对应的网络规模，pHI代表单位安全事件危害指数，BR_j代表网络系统j所属行业类型对应的业务相关性；系统权重SQ_j、网络规模NS_j、网络业务相关性BR_j来自全网模型库的配置参数；HI表示安全事件危害指数，NS表示被监测网络的网络规模，BR表示行业类型对应的业务相关性；

8.根据权利要求6所述的系统，其特征在于，计算未知安全事件的危害损失指数的具体过程为：

其中，LI代表某个未知安全事件对全局网络造成的危害损失指数，SQ_j代表网络系统j所属行业类型对应的损失权重，NS_j代表网络系统j对应的网络规模，DD代表某个未知安全事件对网络系统可能造成的破坏程度，TE代表某个未知安全事件在网络系统的传播效率，AR代表某个未知安全事件对网络系统威胁的攻击成功率，BR_j代表网络系统j所属行业类型对应的业务相关性。

9.根据权利要求1所述的系统，其特征在于，所述预警结果展示模块将全局网络可能发生的安全事件发生地映射到地图上呈现安全预警，并根据安全事件预警等级在地图上用不同的颜色表示出来。