CN112637207A - 一种网络安全态势预测方法及装置 - Google Patents

Abstract

本发明公开了一种网络安全态势的预测方法，包括：获取待预测网络中每个节点的当前网络安全态势要素集；基于当前网络安全态势要素集进行时间维度分析，得到下一时刻的预计网络安全态势要素集；基于当前网络安全态势要素集和预计网络安全态势要素集进行空间维度分析，得到下一时刻的各个攻击序列；计算每一个攻击序列的安全态势影响值，对各个安全态势影响值进行累加求和，得到待预测网络的目标安全态势值。上述方法中，在时间维度对网络安全态势要素进行预测，空间维度基于时间维度的预测结果确定攻击序列，基于攻击序列确定目标安全态势值，因此，目标安全态势值可以反映网络在时序和空间的安全状况，可以完整的体现网络未来的安全态势。

Description

一种网络安全态势预测方法及装置

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络安全态势的预测方 法及装置。

背景技术

随着互联网的迅速发展，网络安全问题日趋严重。网络安全态势预测 可以在日益复杂的网络环境和动态变化的攻防场景下，获取并理解网络中 未来的安全状况及其变化趋势，为安全管理员的安全操作提供依据并为其 安全决策提供指导，从而尽可能的降低网络安全威胁危害，提高网络安全 主动防御能力。

目前，网络安全态势预测方法主要针对典型网络攻防场景进行多步安 全攻击建模分析，进而预测未来攻击步骤下的网络安全态势状况，该类方 法能够根据不同的攻防场景调整建模参数，但是由于主要考虑了攻击方的 动态演变性，只能在时序上反映网络的部分安全状况，不能完整的体现网 络未来的安全态势。

发明内容

有鉴于此，本发明提供了及一种网络安全态势的预测方法及装置，用以 解决目前网络安全态势预测方法主要针对典型网络攻防场景进行多步安全 攻击建模分析，进而预测未来攻击步骤下的网络安全态势状况，该类方法 能够根据不同的攻防场景调整建模参数，但是由于主要考虑了攻击方的动 态演变性，只能在时序上反映网络的部分安全状况，不能完整的体现网络 未来的安全态势的问题。具体方案如下：

一种网络安全态势的预测方法，包括：

获取待预测网络中每个节点的当前网络安全态势要素集；

基于所述当前网络安全态势要素集进行时间维度分析，得到下一时刻的 预计网络安全态势要素集；

基于所述当前网络安全态势要素集和所述预计网络安全态势要素集进行 空间维度分析，得到下一时刻的各个攻击序列；

计算每一个攻击序列的安全态势影响值，对各个安全态势影响值进行累 加求和，得到所述待预测网络的目标安全态势值。

上述的方法，可选的，所述当前网络安全态势要素集包括：当前资产数 据、当前防护策略数据和当前漏洞数据。

上述的方法，可选的，基于所述当前运行数据进行时间维度分析，得到 下一时刻的预计运行数据，包括：

基于所述当前资产数中的当前重要性程度，确定预测重要性程度，基于 所述预测重要性程度确定预测资产数据；

依据演化博弈理论对所述当前防护策略进行预测，得到预测防护策略数 据；

依据推演分析法对所述当前漏洞数据进行预测，得到预测漏洞数据；

所述预计网络安全态势要素集包括：预测资产数据、预测防护策略数据 和预测漏洞数据。

上述的方法，可选的，基于所述当前网络安全态势要素集和所述预计网 络安全态势要素集进行空间维度分析，得到下一时刻的各个攻击序列，包括：

基于所述当前网络安全态势要素集确定当前时刻攻击者的攻击意图、当 前时刻的攻击序列和当前时刻的攻击阶段；

基于所述当前时刻的攻击意图、所述当前时刻的攻击序列、所述当前时 刻的攻击节点和所述预计网络安全态势要素集确定下一时刻的各个攻击序 列。

上述的方法，可选的，还包括：

将所述当前网络安全态势要素集的数据以预设格式存储。

一种网络安全态势的预测装置，包括：

数据获取模块，用于获取待预测网络中每个节点的当前网络安全态势要 素集；

时间维度分析模块，用于基于所述当前网络安全态势要素集进行时间维 度分析，得到下一时刻的网络安全态势要素集；

空间维度分析模块，用于基于所述当前网络安全态势要素集和所述下一 时刻的网络安全态势要素集进行空间维度分析，得到下一时刻的预计各个攻 击序列；

加权求和模块，用于计算每一个攻击序列的安全态势影响值，对各个安 全态势影响值进行累加求和，得到所述待预测网络的目标安全态势值。

上述的装置，可选的，所述当前网络安全态势要素集包括：当前资产数 据、当前防护策略数据和当前漏洞数据。

上述的装置，可选的，所述时间维度分析模块包括：

资产数据确定单元，用于基于所述当前资产数中的当前重要性程度，确 定预测重要性程度，基于所述预测重要性程度确定预测资产数据；

防护策略数据预测单元，用于依据演化博弈理论对所述当前防护策略进 行预测，得到预测防护策略数据；

漏洞数据预测单元，用于依据推演分析法对所述当前漏洞数据进行预测， 得到预测漏洞数据；

所述预计网络安全态势要素集包括：预测资产数据、预测防护策略数据 和预测漏洞数据。

上述的装置，可选的，所述空间维度预测模块包括：

第一确定单元，用于基于所述当前网络安全态势要素集确定当前时刻攻 击者的攻击意图、当前时刻的攻击序列和当前时刻的攻击阶段；

第二确定单元，用于基于所述当前时刻的攻击意图、所述当前时刻的攻 击序列、所述当前时刻的攻击节点和所述预计网络安全态势要素集确定下一 时刻的各个攻击序列。

上述的装置，可选的，还包括：

存储模块，用于将所述当前网络安全态势要素集的数据以预设格式存储。

与现有技术相比，本发明包括以下优点：

本发明公开了一种网络安全态势的预测方法及装置，所述方法包括：获 取待预测网络中每个节点的当前网络安全态势要素集；基于当前网络安全态 势要素集进行时间维度分析，得到下一时刻的预计网络安全态势要素集；基 于当前网络安全态势要素集和预计网络安全态势要素集进行空间维度分析， 得到下一时刻的各个攻击序列；计算每一个攻击序列的安全态势影响值，对 各个安全态势影响值进行累加求和，得到待预测网络的目标安全态势值。上 述方法中，在时间维度对网络安全态势要素进行预测，空间维度基于时间维度的预测结果确定攻击序列，基于攻击序列确定目标安全态势值，因此，目 标安全态势值可以反映网络在时序和空间的安全状况，可以完整的体现网络 未来的安全态势。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面 描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例公开的一种网络安全态势预测方法流程图；

图2为本申请实施例公开的一种状态转移示意图；

图3为本申请实施例公开的一种网络安全态势预测装置结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行 清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而 不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用 本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易 见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下， 在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例， 而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

本发明公开了一种网络安全态势的预测方法及装置，应用在对网络安全态 势的预测过程中，现有的网络安全态势预测过程中，网络安全态势预测方法 主要分为两大类：一是攻击驱动的预测方法，该类方法针对典型网络攻防场 景进行多步安全攻击建模分析，进而预测未来攻击步骤下的网络安全态势状 况，该类方法比较成熟且能够根据不同的攻防场景调整建模参数，但是由于 主要考虑了攻击方的动态演变性，只能在时序上反映网络的部分安全状况， 欠缺攻击方、防护方、网络环境三方及其相互关系动态演变的全面考虑，只 能反映网络的部分安全状况，不能完整的体现网络未来的安全态势；二是利 用历史和现在的安全态势数据，基于纯数学的方法，比如时序分析、马尔科 夫等方法预测未来的网络安全态势，该类方法完全依赖已有的数据，缺乏对 实际攻防场景中未来安全态势要素演变的考虑，不能反映未来安全要素及其 相互影响关系的演变对未来安全态势的影响。因此，为例解决上述问题，本 发明提供了一种网络安全态势预测方法，所述预测方法从时间维度上构建攻 防演化博弈模型，设计Logit随机最优反应动态方程刻画随攻防策略选取随时 间的变化概率，引入理性参数刻画博弈者的策略学习能力，通过求解稳定均 衡点输出最优防御策略，并刻画攻防策略的演化轨迹。该策略选取方法及装 置考虑了个体认知差异，能够准确、客观地反映攻防决策行为的随机性和多 样性，通过动态展示攻防参与者在不同演化时刻的策略选择，刻画攻防双方 最大可能性实施的策略集合；进一步从攻防策略集合中提取攻防态势要素， 从空间维度上通过关联实时攻击事件与网络漏洞，确定攻击在网络中的传播 路线与各攻击阶段，并结合网络连通关系，对网络攻击意图进行识别并预测网络攻击的可能转移情况；在上述攻防要素推演的基础上，结合网络资产、 漏洞和攻击严重程度，综合量化分析网络安全态势发展趋势。

所述预测方法的执行流程如图1所示，包括步骤：

S101、获取待预测网络中每个节点的当前网络安全态势要素集；

本发明实施例中，所述待预测网络中包含多个节点，每个节点对应一个 终端，所述终端可以为主机、交换机/路由器、服务器、IDS和防火墙或者其 它优选终端，针对所述待预测网络中的每一个节点，获取该节点当前运行数 据，其中，获取的方式可以为扫描、监听、钩子函数截获或/和日志读取。优 选的，所述当前运行数据指网络实际运行过程中产生的各种信息，所述当前 网络安全态势要素集包括：当前资产数据、当前防护策略数据和当前漏洞数 据。

本发明实施例中，所述当前网络安全态势要素集中的当前资产数据、当 前防护策略数据和当前漏洞数据以数据集的形式存在，其中：

(1)针对当前资产数据，以资产集的形式存在，所述资产集(Asset)为 攻防场景中有价值的资源的集合，资产集分为硬件资产和软件资产，硬件资 产包括主机设备、服务器设备、虚拟化设备、网络设备、安全设备，所述资 产集包括：

id_p(资产的唯一标识)

name_p(资产的名称)

type_p(资产的类型)

value_p(资产的重要性程度)

上述信息中，id_p、name_p、type_p可通过已知扫描器如Nessus获取，value_p可由风险评估的结果得出。

(2)针对防护策略数据，以防护策略数据集的形式存在，所述防护策略 集(DefendPolicy)是防护方运行的访问控制规则和实行的安全配置更改等资 产重要性信息，所述防护策略集包括

id_d(防护策略的唯一标识)

type_d(防护策略的类型)

id_p(防护策略影响到的资产)

time_d(策略的生效时间)

cn_t(防护策略的描述信息)

针对上述信息的存储，本发明采用的方法是为上述信息的每类信息建立 一个xml文档，因为xml格式存储强大而灵活，易于更新和扩展，并易于转 化为各种接口形式。

进一步的，防护策略集中的防护策略类型包括访问控制规则和安全配置 更改

(3)针对漏洞数据，以漏洞数据集的形式存在，所述漏洞集(Vulnerability) 为攻防场景中可被攻击序列利用的缺陷的集合，所述漏洞集包括

id_v(漏洞的唯一标识符)

type_v(漏洞的类型)

id_p(漏洞所在资产的标识)

pro_v(漏洞可被成功利用的可能性)

time_v(漏洞出现的时间)

impact_v(漏洞的影响程度)

info_v(漏洞的描述信息)

漏洞信息中id_v、type_v、time_v和info_v分别为国家信息安全漏洞库中该漏 洞的CNNVD编号、漏洞类型、发布时间和漏洞简介；id_p为该漏洞影响到的 资产ID；prov为该漏洞的CVSS得分；impactv为该漏洞的危害等级。

如漏洞Microsoft Internet Explorer缓冲区错误漏洞，其id_v、type_v、time_v、pro_v、time_v、impact_v分别为CNNVD-202001-876、缓冲区错误、7.5、2020-01-17、 高危；该漏洞的描述信息infov为“Microsoft Internet Explorer(IE)是美国微 软(Microsoft)公司的一款Windows操作系统附带的Web浏览器。Microsoft IE 9、10和11中脚本引擎处理内存对象的方法存在安全漏洞。攻击者可利用 该漏洞在当前用户的上下文中执行任意代码，损坏内存。”；该漏洞所在资 产的标识id_p为安装了上述浏览器的资产的标识。

S102、基于所述当前网络安全态势要素集进行时间维度分析，得到下一 时刻的预计网络安全态势要素集；

本发明实施例中，基于所述当前网络安全态势要素集进行时间维度分析， 具体的处理过程如下：

(1)针对资产的时间维度预测分析

安全管理员根据历史和现在资产集Asset，通过分析资产集的数量变更、 位置变更、重要性程度的改变等来预测得出未来各时段内的资产集，未来时 段t+1内的预测资产数据对应放入预测资产集为Asset_i(t+1)；

假设时段t内某资产的信息表示为

Asset_i(t)＝(id_pi(t)，name_pi(t)，type_pi(t)，value_pi(t))

id_p(资产的唯一标识)、name_p(资产的名称)和type_p(资产的类型)在 推演过程中不变；

在时段t+1内使用公式

计算网络系统中资产的重要度函数；

其中，如果资产i和j相连，且i≠j，则value_pij＝1，否则value_pij＝O，w_ij表示节点i和j关系的重要性程度，由资产i和资产j资产重要性程度的并集 得出，n表示资产数；

得出时段t+1内资产的信息

Asset_i(t+1)＝(id_pi(t+1)，name_pi(t+1)，type_pi(t+1)，value_pi(t+1))

安全管理员根据历史和现在防护策略集DefendPolicy，通过分析防护策略 集的数量变更、访问控制规则的变化、安全配置的更改来预测得出未来各时 段内的防护策略集，未来时段Ti内的资产集为DefendPolicyi。

(2)针对防护策略的时间维度预测分析

防护策略的时间维度预测分析用来预测未来各时段内的与防护策略数据 对应的预测防护策略集，具体步骤为：

假设未来时段t+1防御者策略空间S_D＝{D_j}，1≤j≤m，m表示攻击者备选 策略的数量；攻击者策略空间S_A＝{A_i}，1≤i≤n，n表示攻击者备选策略的数 量；攻防博弈策略选择信念为θ；

构造该时段内攻击策略选取向量P＝{p_i}，0≤p_i≤1，

表示攻击者 以概率p_i∈P选择攻击策略A_i；构造防御策略概率向量Q＝{q_j}，0≤q_j≤1，

表示防御者以概率q_j∈Q选择防御策略D_j；

依次遍历每一种攻击策略A_i，i＝1,…,n，计算攻击者选择策略的期望收益 为：

其中aij和dij分别表示攻击方、防护方策略的收益，即

定义选择攻击方群体中选取策略A_i的人数比例随时间的变化率为

构 造其变化速度的Logit随机最优反应动态微分方程如下：

其中，λ₁和λ₂分别表示攻击者和防御者的理性参数，为安全管理员设置的 常数，一般为0.5，λ₁,λ₂≥0；

依次遍历每一种攻击类型策略组合A_i和D_j，计算各方的攻防收益

定义防御方群体中选择策略D_j的博弈比例随时间的变化率为

构造其 变化速度的Logit随机最优反应动态微分方程如下：

在时段t+1内计算攻防双方博弈的均衡解，其中，q_j表示防御者选择策略 D_j的概率，dq_j/dt表示选择策略D_j的概率随时间的变化率，依据参与者理性 程度设置理性参数λ₂(λ₂≥0)，具体实施时分为3个等级，当λ₂∈(0,1]时，表示 参与者的理性程度较低；当λ＝1₂时，表示参与者理性程度中等；当λ₂∈(1,∞)时， 表示参与者理性程度较高。

构造概率向量P＝(p₁,p₂,…,p_n)和Q＝(q₁,q₂,…,q_m)分别表示攻击者和防御者 的选择策略P＝(A₁,A₂,…,A_n)和Q＝(D₁,D₂,…,D_m)的混合概率，然后分别构造选取 攻击策略A_i和防御策略D_j的Logit微分方程

和

1≤i≤n， 1≤j≤m，联立上述方程组，通过求解

得到网络安全攻防博弈的演化稳定均衡解，即防御者的最优防御策略是 以概率(q₁,q₂,…,q_m)随机选取策略(D₁,D₂,…,D_m)加以实施。

根据均衡解下的防护策略集合，输出预测防御策略集Q＝{q₁,q₂,…,q_m}；

(3)针对漏洞的时间维度预测分析

采用国家信息安全漏洞库CNNVD的漏洞类型，涵盖26类漏洞类型，分 别是：配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条 件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链 接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征 问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求 伪造、权限许可和访问控制、访问控制错误、资料不足。

漏洞时间维度预测分析用来预测未来各时段内的与漏洞数据对应的预测 漏洞集，具体步骤如下：

统计漏洞type_vi在历史和现在漏洞集中出现的概率VT_i，如果统计的时序 总计为N个，某一类漏洞type_vi在N个时序内出现的次数为R次，则该类漏 洞出现的概率VT_i＝R/N；

a)使用公式

预测未来时段t+1内的漏洞type_vi的数量，其中参数A、B、C为常数， 由安全管理员依据经验预先设定；

b)计算未来时段t+1内漏洞type_vi出现的次数

Num(VT_i)＝y(t+1)*VT_i (9)

c)重复步骤b和步骤c得到漏洞type_vi出现的次数

Num(VT)＝Num(VT₁)+…+Num(VT_i)+…+Num(VT_M) (10)

其中M为未来时段的数量；

d)根据漏洞type_vi出现的次数Num(VT)与阈值THD的比较结果决定是 否将该类型的漏洞加入未来漏洞集中，如果需要加入，则同时加入该脆弱性 类型的出现次数Num(VT)和发布时间Time(VT)，阈值THD由安全管理员 根据实际攻防环境设置，一般取值为1；

S103、基于所述当前网络安全态势要素集和所述预计网络安全态势要素 集进行空间维度分析，得到下一时刻的各个攻击序列；

本发明实施例中，所述各个攻击序列以攻击序列集(AttackSequence)的 形式存在，用于表征攻防场景中攻击序列的集合，所述攻击序列集包括

ida(攻击序列的唯一标识符)

times(攻击序列的起始时间)

timee(攻击序列的终止时间)

pa(攻击序列所涉及的资产的集合)

va(攻击序列所利用的漏洞的集合)

sa(攻击序列所包含的攻击阶段数量)

proa(攻击序列的发生概率)

攻击序列信息将由自动化工具,如INFERD,ArcSight等来自动生成。攻击 序列(3，2020-01-03，2020-02-01，(Host-3721，Host-5645)， (CNNVD-201912-1546，CNNVD-201804-1420)，2，0.73)表示该攻击序列 标识为3，攻击序列的起始时间为2020年1月3日，终止时间为2020年2月 5日，攻击序列涉及的资产分别为标识为Host-3721和Host-5645的资产，攻击序列所利用的漏洞为Tencent WeChat输入验证错误漏洞(标识为 CNNVD-201912-1546)和TunnelBear for Windows提权漏洞(标识为 CNNVD-201804-1420)，攻击序列包括2个攻击阶段，攻击序列发生的概率 为0.73。

本发明实施例中，基于所述预测网络安全态势要素集，通过关联实时攻 击事件与网络漏洞，以图论为基础并结合概率论，确定攻击在网络中的传播 路线与各攻击阶段，并结合网络连通关系，对网络攻击意图进行识别并预测 网络攻击的可能转移情况。

考虑同一时间段内网络可能受到多个攻击者的入侵，为识别出每一个攻 击者的入侵意图，将融合得到的攻击事件聚类到不同的攻击序列中。利用一 种定量的告警关联度计算方法，将系统每新收到的一条攻击事件进行攻击序 列划分。

在同一个多步攻击中，由于攻击者的攻击意图和攻击目标十分明确，因 此前后攻击步骤所引发的攻击事件在不同属性上具有或多或少的关联关系。 例如，攻击者进行漏洞扫描前先要进行IP扫描行为，这两个攻击步骤所引发 的告警在属性上存在关联关系。它们的源IP地址相同，发生时间也存在前后 关联因此关联度的定义主要由属性的关联度来决定。

基于所述当前网络安全态势要素集和所述预计网络安全态势要素集进行 空间维度分析过程如下：

定义1攻击关联度cor(a,b)，是指两个攻击间的关联程度，用于确定两个 攻击属于同一攻击序列的可能性。抽取源IP地址、目的IP地址、源端口号、 目的端口号、时间与攻击类型6个属性，作为确定攻击关联度的依据。并定 义攻击关联度函数为:

其中Feature_k(a,b)和α_k分别表示第k^th个特征属性之间的关联度和相应的权 重。

当系统收到一条新的攻击事件时，将其与已保存的各个攻击序列进行匹 配，计算该攻击事件和他们之间的关联度，若存在与多个攻击序列的关联度 超过事先设定的关联度阈值，则将该攻击事件加入到关联度最大的攻击序列 中；若所有关联度均未超过阈值，则认为该攻击事件另存为新的攻击序列。

定义2状态发生函数bool(s)。该函数用于标识攻击状态发生情况。若该 攻击状态已经发生，bool(s)＝true；否则，bool(s)＝false。

定义3转移等待窗口

攻击者对网络的入侵一般有一个攻击周期，若 其在长时间内仍未发起后续攻击，则该攻击者的能力无法利用网络中出现的 漏洞，入侵失败。为提高对有效攻击的识别，设置一个转移等待窗口来衡量 攻击者的成功与否。已知大部分攻击的一个攻击周期2h，因此设置

将实时攻击事件Alert利用攻击关联度进行聚类，得到不同攻击序列的报 警集合。对每一个攻击序列的攻击事件与生成的攻击模式库进行关联分析， 可能出现如图2所示3种典型情景。其中，图2(a)中攻击意图的前提状态与后 续状态能够按序进行，属于正常状态转移。图2(b)中在未检测出攻击意图阶 段状态S2的情况下，状态直接转移到S3，出现了跳跃状态转移。实际上，由 于攻击检测策略与实际入侵行为的特征之间会存在一定的差异，入侵检测设 备在报警时常会产生漏报现象，因此该情景在实际中也较为常见。图2(c)中在 已经检测到阶段状态S1后，攻击阶段再次转移到S1，出现重复状态转移情景。 出现该情景多为报警数据在网络传输中出现时延，或不同安全传感器的时钟 出现异步。基于上述分析，t时刻攻击序列识别算法的基本步骤如下所示。

算法1：t时刻攻击序列识别算法

输入：融合的攻击事件(基于当前网络安全态势要素集确定)

输出：攻击者的攻击意图、t时刻攻击序列、当前的攻击阶段

具体的识别过程包括如下步骤：

①若攻击序列不存在，初始化攻击序列，利用实时攻击事件Alert创建攻 击序列，设置该攻击序列的当前状态s_current；否则，转到②。

②计算实时攻击事件Alert与已生成攻击序列的关联度cor(a,b)，并利用 攻击关联度将攻击事件聚类到不同的攻击序列中。

③对每一个攻击序列中攻击事件集与生成的攻击模式库进行关联分析， 搜索得到该攻击序列所达到的攻击阶段状态s，并记录当前时间t。

④若攻击阶段状态s的前提状态即为攻击序列中的当前状态， s_current＝pre(s)，则该情景为正常状态转移。该情景将阶段状态s加入到攻击序 列中，并设置bool(s)＝true，更新当前状态s_current＝s、状态发生时间t_current＝t。 转到⑧。

⑤若攻击阶段状态的bool(s)＝true，则该情景属于重复状态转移。该情景 不对攻击序列图作任何改动，并丢弃该攻击状态。转到⑧。

⑥若攻击阶段状态s的前提状态不是攻击序列中的当前状态， bool(pre(s))＝flase。对攻击模式库进行搜索，若状态s为当前状态后面的某个 后续状态，则该情景为跳跃状态转移。该情景将阶段状态s以及状态s与s_current之间的状态均加入到攻击序列中，设置bool(s)＝true，并更新当前状态s_current＝s、 状态发生时间t_current＝t，转到⑧。若状态s不是当前状态后面的某个后续状态， 则转移到⑦。

⑦若状态s不是当前状态后面的某个后续状态，该情景表明该攻击模式尚 未出现过，将该攻击路径标记为新型攻击路径，并将其保存至攻击模式库中。 设置bool(s)＝true，更新当前状态s_current＝s、状态发生时间t_current＝t，转回①。

⑧将攻击序列图与攻击模式库关联分析，得到其攻击意图集合{G1、G2… Gn}。攻击模式的攻击技术与阶段状态可能相同，因此根据生成的攻击序列， 可能识别出多个攻击意图，在更新当前状态s_current＝s后，判断攻击阶段状态s 是否在已识别的攻击意图G_i的攻击路径path_i上。若攻击阶段状态s仍在其攻击 路径上，s∈path_i，则保留该攻击意图G_i；否则，则将该攻击意图从集合中删 去。

⑨判断所有攻击序列的状态转移时间是否超时，如果

则将 该攻击序列删去。转回①。

定义8攻击阶段所需最小漏洞集合 {MinVuls_i|MinVuls_i＝vuls_j&vuls_k…&vuls_l}，最小漏洞集合是指攻击者为达到某个 攻击阶段目的，必须实施的攻击手段所依赖的漏洞信息。攻击者成功实施某 个阶段目的，可能会有多种攻击手段可以利用，因此攻击阶段所需最小漏洞 集合也不止一个元素。

定义9可达主机，是指攻击者可以实施下一步攻击入侵行动的主机集合。 包括当前攻击状态的发生主机、与该主机存在通连关系的其他主机。

定义10可利用漏洞集合{ExploitVuls_i}，是指在当前攻击状态下，可达主 机上可以被攻击者利用的漏洞信息集合。因为存在通连协议、端口限制的原 因，可利用漏洞集合不一定等于可达主机上的全部漏洞集合，

其中当前攻击状态发生主机上的可利用漏洞集合为该主机 上的全部漏洞集合，{ExploitVuls_i}＝Vuls；而其他可达主机根据连通关系 (host_i,host_j,protocol/port)，获得在该协议/端口通信条件下攻击者可以利用的漏 洞集合。

定义11漏洞利用率Av，是指各可达主机上的可利用漏洞能否满足攻击 者实施下一步攻击阶段所需最小漏洞集合。若可达主机上的可利用漏洞集合 {ExploitVuls_i}包含{MinVuls_i}中任意一个元素，该主机上的漏洞即可被攻击者所 利用。因此其数学表达式为：

在攻击者攻击能力未知的情况下，假设攻击者拥有极强的攻击能力，可 以对目标实施一切所需的攻击手段；且攻击者的攻击目标主机也是未知，假 设攻击者以等可能的概率对所有可达主机实施下一攻击阶段。基于上述分析， 实时攻击阶段状态预测算法的基本步骤如下所示。

算法2：t+1时刻攻击序列预测算法

输入：t时刻攻击者的攻击意图、t时刻攻击序列、当前的攻击阶段和预 计网络安全态势要素集；

输出：t+1时刻攻击序列；

步骤：

①等待更新状态的攻击序列。若发现攻击序列path_i更新当前状态为现攻 击序列s_current，则转到②；否则，继续执行①。

②依据攻击当前状态的发生主机，并利用通连关系，找到可达主机。

③利用可达主机与攻击当前状态的发生主机之间的通连关系 (host_i,host_j,protocol/port)，找到所有可达主机的可利用漏洞集合{ExploitVuls_i}。

④根据攻击模式库，找出所有识别的攻击意图集合{G1、G2…Gn}的下一 阶段所需的最小漏洞集合{MinVuls_i}。

⑤依据可利用漏洞集合{ExploitVuls_i}与攻击阶段所需最小漏洞集合{MinVuls_j}，计算每一个可达主机针对每一个攻击下一阶段的漏洞利用率Av_ij。 若漏洞利用率Av_ij＝1，则该主机host_i将有可能成为攻击意图G_j的下一步骤实施 主机；否则，针对攻击意图G_j的下一阶段，主机host_i不可达。

攻击成功概率p(ac)，是指对于特定网络，某种攻击成功入侵的可能性。 一次攻击成功与否依赖于其攻击技术与所入侵网络的环境配置与漏洞信息， 仅当攻击入侵网络的环境配置与漏洞信息可以被该次攻击所利用时，本次攻 击才可能成功入侵。

其中，p(a)为该攻击发生概率，vlus_j表示该攻击成功实施所依赖漏洞， vlus_j∈Vlus表示被入侵主机存在该攻击所依赖漏洞。

攻击阶段实现概率p(s)，是指攻击者已经成功入侵到某个阶段状态的可能 性。攻击阶段的实现依赖于多种单个攻击的成功与否，仅当攻击阶段必需的 攻击手段全部入侵成功，该攻击阶段才可能实现。

其中p_i(ac)、p_j(ac)分别为攻击行为Alter_i、Alter_j的成功入侵概率；d＝0表 示状态节点s为或节点；d＝1表示状态节点s为与节点。

S104、计算每一个攻击序列的安全态势影响值，对各个安全态势影响值 进行累加求和，得到所述待预测网络的目标安全态势值。。

本发明实施例中，通过建立态势量化标准，结合攻击阶段及其威胁指数， 实现对网络安全态势的预测。

CVSS给出了一种基于机密性、完整性、可用性三个指标评价的漏洞威胁 得分，用于衡量单个漏洞对网络的影响。其威胁得分公式为：

Impact(v)＝10*(1-(1-C)*(1-I)*(1-A)) (15)

因此，将攻击阶段实现概率p(s)结合该攻击阶段利用的漏洞威胁得分 Impact(v)和攻击阶段发生的资产节点权重值Weight。其中，权重值的确定可 以基于经验或者具体情况进行设定，计算每一条攻击序列对网络安全态势的 影响值sa(path_i)。

其中，m为攻击序列path_i已经实现的攻击阶段。

公式(10)中pj(s)≤1，Impact(v)≤10，∑Weight＝1，因此sa(path_i)≤10。依 据CVSS中对得分的威胁程度定义，设定当sa(path_i)∈[0,4.0]时，该攻击者对网 络造成的危害为低风险；当sa(path_i)∈(4.0,7.0]时，该攻击者对网络造成的危害 为中度风险；当sa(path_i)∈(7.0,10]时，该攻击者对网络造成的危害为高风险。

最后结合每一条攻击序列对网络安全态势的影响值，得到待预测网络的 目标安全态势值SA。

其中n为检测到的所有攻击序列的总和。

本发明公开了一种网络安全态势的预测方法，方法包括：获取待预测网 络中每个节点的当前网络安全态势要素集；基于当前网络安全态势要素集进 行时间维度分析，得到下一时刻的预计网络安全态势要素集；基于当前网络 安全态势要素集和预计网络安全态势要素集进行空间维度分析，得到下一时 刻的各个攻击序列；计算每一个攻击序列的安全态势影响值，对各个安全态 势影响值进行累加求和，得到待预测网络的目标安全态势值。上述方法中， 在时间维度对网络安全态势要素进行预测，空间维度基于时间维度的预测结果确定攻击序列，基于攻击序列确定目标安全态势值，因此，目标安全态势 值可以反映网络在时序和空间的安全状况，可以完整的体现网络未来的安全 态势。

本发明实施例中，量化计算了网络安全态势感知要素在时间维度上的演 变特性和空间维度上的关联关系对安全态势预测的影响。从时间维度对网络 安全态势要素进行预测分析，从而能够很好地处理未来时段内安全态势要素 变化对安全态势的影响；使用基于空间数据发掘理论的安全态势空间维度分 析方法对同一时段内各安全态势要素间的互相影响关系进行分析，从而很好 地处理了各安全态势要素的关联性对未来安全态势的影响。

基于上述的一种网络安全态势的预测方法，本发明实施例中，还提供了 一种网络安全态势的预测装置，所述预测装置的结构框图如图3所示，包 括：

数据获取模块201、时间维度分析模块202、空间维度分析模203和加 权求和模块204。

其中，

所述数据获取模块201，用于获取待预测网络中每个节点的当前网络安全 态势要素集；

所述时间维度分析模块202，用于基于所述当前网络安全态势要素集进行 时间维度分析，得到下一时刻的网络安全态势要素集；

所述空间维度分析模块203，用于基于所述当前网络安全态势要素集和所 述下一时刻的网络安全态势要素集进行空间维度分析，得到下一时刻的预计 各个攻击序列；

所述加权求和模块204，用于计算每一个攻击序列的安全态势影响值，对 各个安全态势影响值进行累加求和，得到所述待预测网络的目标安全态势值。

本发明公开了一种网络安全态势的预测装置，包括：获取待预测网络中 每个节点的当前网络安全态势要素集；基于当前网络安全态势要素集进行时 间维度分析，得到下一时刻的预计网络安全态势要素集；基于当前网络安全 态势要素集和预计网络安全态势要素集进行空间维度分析，得到下一时刻的 各个攻击序列；计算每一个攻击序列的安全态势影响值，对各个安全态势影 响值进行累加求和，得到待预测网络的目标安全态势值。上述装置中，在时 间维度对网络安全态势要素进行预测，空间维度基于时间维度的预测结果确定攻击序列，基于攻击序列确定目标安全态势值，因此，目标安全态势值可 以反映网络在时序和空间的安全状况，可以完整的体现网络未来的安全态 势。

本发明实施例中，所述预测装置中所述当前网络安全态势要素集包括： 当前资产数据、当前防护策略数据和当前漏洞数据。

本发明实施例中，所述时间维度分析模块202包括：

资产数据确定单元205、防护策略数据确定单元206和漏洞数据预测单元 207。

所述资产数据确定单元205，用于基于所述当前资产数中的当前重要性程 度，确定预测重要性程度，基于所述预测重要性程度确定预测资产数据；

所述防护策略数据预测单元206，用于依据演化博弈理论对所述当前防护 策略进行预测，得到预测防护策略数据；

所述漏洞数据预测单元207，用于依据推演分析法对所述当前漏洞数据进 行预测，得到预测漏洞数据；

所述预计网络安全态势要素集包括：预测资产数据、预测防护策略数据 和预测漏洞数据。

本发明实施例中，所述空间维度预测模块203包括：

第一确定单元208和第二确定单元209。

其中，

所述第一确定单元208，用于基于所述当前网络安全态势要素集确定当前 时刻攻击者的攻击意图、当前时刻的攻击序列和当前时刻的攻击阶段；

所述第二确定单元209，用于基于所述当前时刻的攻击意图、所述当前时 刻的攻击序列、所述当前时刻的攻击节点和所述预计网络安全态势要素集确 定下一时刻的各个攻击序列。

本发明实施例中，所述预测装置还包括：存储模块210。

其中，

所述存储模块210，用于将所述当前网络安全态势要素集的数据以预设格 式存储。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个 实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似 的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相 似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语 仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求 或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术 语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包 括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括 没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备 所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素， 并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同 要素。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然， 在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到 本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解， 本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品 的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、 磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机， 服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所 述的方法。

以上对本发明所提供的一种网络安全态势的预测方法及装置进行了详 细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以 上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于 本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上 均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种网络安全态势的预测方法，其特征在于，包括：

获取待预测网络中每个节点的当前网络安全态势要素集；

基于所述当前网络安全态势要素集进行时间维度分析，得到下一时刻的预计网络安全态势要素集；

基于所述当前网络安全态势要素集和所述预计网络安全态势要素集进行空间维度分析，得到下一时刻的各个攻击序列；

计算每一个攻击序列的安全态势影响值，对各个安全态势影响值进行累加求和，得到所述待预测网络的目标安全态势值。

2.根据权利要求1所述的方法，其特征在于，所述当前网络安全态势要素集包括：当前资产数据、当前防护策略数据和当前漏洞数据。

3.根据权利要求2所述的方法，其特征在于，基于所述当前运行数据进行时间维度分析，得到下一时刻的预计运行数据，包括：

基于所述当前资产数中的当前重要性程度，确定预测重要性程度，基于所述预测重要性程度确定预测资产数据；

依据演化博弈理论对所述当前防护策略进行预测，得到预测防护策略数据；

依据推演分析法对所述当前漏洞数据进行预测，得到预测漏洞数据；

所述预计网络安全态势要素集包括：预测资产数据、预测防护策略数据和预测漏洞数据。

4.根据权利要求3所述的方法，其特征在于，基于所述当前网络安全态势要素集和所述预计网络安全态势要素集进行空间维度分析，得到下一时刻的各个攻击序列，包括：

基于所述当前网络安全态势要素集确定当前时刻攻击者的攻击意图、当前时刻的攻击序列和当前时刻的攻击阶段；

基于所述当前时刻的攻击意图、所述当前时刻的攻击序列、所述当前时刻的攻击节点和所述预计网络安全态势要素集确定下一时刻的各个攻击序列。

5.根据权利要求1所述的方法，其特征在于，还包括：

将所述当前网络安全态势要素集的数据以预设格式存储。

6.一种网络安全态势的预测装置，其特征在于，包括：

数据获取模块，用于获取待预测网络中每个节点的当前网络安全态势要素集；

时间维度分析模块，用于基于所述当前网络安全态势要素集进行时间维度分析，得到下一时刻的网络安全态势要素集；

空间维度分析模块，用于基于所述当前网络安全态势要素集和所述下一时刻的网络安全态势要素集进行空间维度分析，得到下一时刻的预计各个攻击序列；

加权求和模块，用于计算每一个攻击序列的安全态势影响值，对各个安全态势影响值进行累加求和，得到所述待预测网络的目标安全态势值。

7.根据权利要求6所述的装置，其特征在于，所述当前网络安全态势要素集包括：当前资产数据、当前防护策略数据和当前漏洞数据。

8.根据权利要求7所述的装置，其特征在于，所述时间维度分析模块包括：

资产数据确定单元，用于基于所述当前资产数中的当前重要性程度，确定预测重要性程度，基于所述预测重要性程度确定预测资产数据；

防护策略数据预测单元，用于依据演化博弈理论对所述当前防护策略进行预测，得到预测防护策略数据；

漏洞数据预测单元，用于依据推演分析法对所述当前漏洞数据进行预测，得到预测漏洞数据；

所述预计网络安全态势要素集包括：预测资产数据、预测防护策略数据和预测漏洞数据。

9.根据权利要求8所述的装置，其特征在于，所述空间维度预测模块包括：

第一确定单元，用于基于所述当前网络安全态势要素集确定当前时刻攻击者的攻击意图、当前时刻的攻击序列和当前时刻的攻击阶段；

第二确定单元，用于基于所述当前时刻的攻击意图、所述当前时刻的攻击序列、所述当前时刻的攻击节点和所述预计网络安全态势要素集确定下一时刻的各个攻击序列。

10.根据权利要求6所述的装置，其特征在于，还包括：

存储模块，用于将所述当前网络安全态势要素集的数据以预设格式存储。

Images