CN115085948A

CN115085948A - 基于改进d-s证据理论的网络安全态势评估方法

Info

Publication number: CN115085948A
Application number: CN202110228632.3A
Authority: CN
Inventors: 段鸿杰; 刘宝军; 罗阳; 胥林; 匡波; 冯海涛; 史进; 郭海静; 梁琦; 王文蔚; 杨岳
Original assignee: Information Management Center Of Shengli Oilfield Branch Of Sinopec; China Petroleum and Chemical Corp
Current assignee: Information Management Center Of Shengli Oilfield Branch Of Sinopec; China Petroleum and Chemical Corp
Priority date: 2021-03-02
Filing date: 2021-03-02
Publication date: 2022-09-20
Anticipated expiration: 2041-03-02
Also published as: CN115085948B

Abstract

本发明提供一种基于改进D‑S证据理论的网络安全态势评估方法，包括：步骤1，利用IDMFE模型对于多种网络安全设备产生的格式不统一的报警日志进行规范化；步骤2，对于冗余的报警日志，采用基于特征相似度的报警融合方法，减少冗余报警的数量；步骤3，采用基于改进的FP‑Growth算法对前两步处理后独立的报警日志进行协同分析；步骤4，根据基于改进D‑S证据理论，将步骤3中得到的最大频繁多步攻击作为评估网络中主机的风险程度；步骤5，对全网络的态势进行评估。该基于改进D‑S证据理论的网络安全态势评估方法提高报警处理效率，可以对网络当前的危险程度进行估计，使管理人员提高了对网络安全情况的认识能力。

Description

基于改进D-S证据理论的网络安全态势评估方法

技术领域

本发明涉及网络通信技术领域，特别是涉及到一种基于改进D-S证据理论的网络安全态势评估方法。

背景技术

随着互联网终端时代的崛起，网络规模不断扩大，网络安全形势也越来越严峻，网络面临着故障、攻击等各类安全事件的威胁。而传统的网络安全防范措施难以应对如今迭代迅速且入侵手段先进的网络攻击，传统的网络安全监测软件和方法不仅效率低、及时性低且有很大的误检率。为了解决日益严峻的网络安全问题，态势感知技术被引进网络安全防护领域中。网络安全态势感知是一种现代化智能网络安全监测技术，态势感知技术能够全面的侦查当前网络安全状况，而态势评估作为态势感知中的核心部分，具有十分重要的意义。通过态势评估可以对网络当前的危险程度进行估计，网络管理人员可以据此做出相应的判断和决策。

现有的态势评估方法大致包括基于数学模型、基于知识推理和基于模式识别三大类，其中包括使用模糊理论、贝叶斯网络、马尔科夫链、博弈论、攻击树等方式实现对网络风险的评估。这些方法的确在网络安全态势感知上具有不错的效果，但是也存在着以下问题：(1)使用不同网络安全设备或者传感器收集到的数据用于态势感知，但一般的传感器、IDS设备在监测时会发生误报、漏报和冗余，这将会导致后续的态势理解和态势评估的结果产生偏差，从而无法及时的对网络威胁进行检测和防御。(2)态势评估方法容易受到一些其他因素的干扰，比如态势评估常用的贝叶斯推理方法比较依赖先验概率和条件概率，而先验概率的获取有一定难度。

在申请号：CN201310507468.5的中国专利申请中，涉及到一种网络安全效能评估方法。首先确定网络安全效能评估的要素，以及衡量每个评估要素变化情况的因子；然后，利用网络探针、perfmon性能计数器等获取遭受攻击前、后评估要素各个因子的值，并对采集的原始数据进行预处理；最后，通过分别计算各评估要素的评价值，计算网络安全效能评价值。

在申请号：CN201810532355.3的中国专利申请中，涉及到一种定量化的网络安全评估方法及评估系统。本发明的方法包括：利用网络流数据采集模块监测目标系统中各网络节点中的网络流，并采集该网络节点的网络流数据发送至模型参数计算模块和网络安全评估模块；利用模型参数计算模块根据该网络流数据计算网络通信分析模型参数并发送至网络安全评估模块；利用网络安全评估模块接收网络通信分析模型参数，根据网络通信分析模型参数建立网络通信分析模型，并通过该网络通信分析模型根据网络流数据计算目标系统的安全等级评估报告。

在申请号：CN201010292870.2的中国专利申请中，涉及到一种网络安全态势评估方法和系统，以提高网络安全态势评估的适用范围和准确性。上述方法包括：将预置时间段内所有安全事件按照攻击类型分类，构成至少一个事件集；分别累加各事件集中所述安全事件的攻击风险等级，将累加值确定为各事件集的危害程度值；将各事件集的危害程度值作为自变量带入与各事件集相对应的经验函数fi()，获得各事件集使网络处于不安全状态的可信度值；将各事件集的可信度值作为证据分量，利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于不安全状态的可信度。

以上现有技术均与本发明有较大区别，未能解决我们想要解决的技术问题，为此我们发明了一种新的基于改进D-S证据理论的网络安全态势评估方法。

发明内容

本发明的目的是提供一种准确地评估出网络态势情况，提高了网络安全人员识别和防御网络威胁的能力的基于改进D-S证据理论的网络安全态势评估方法。

本发明的目的可通过如下技术措施来实现：基于改进D-S证据理论的网络安全态势评估方法，该基于改进D-S证据理论的网络安全态势评估方法包括：

步骤1，利用IDMFE模型对于多种网络安全设备产生的格式不统一的报警日志进行规范化；

步骤2，对于冗余的报警日志，采用基于特征相似度的报警融合方法，减少冗余报警的数量；

步骤3，采用基于改进的FP-Growth算法对前两步处理后独立的报警日志进行协同分析；

步骤4，根据基于改进D-S证据理论，将步骤3中得到的最大频繁多步攻击作为评估网络中主机的风险程度；

步骤5，对全网络的态势进行评估。

在步骤1中，针对采用多种网络安全设备，对网络攻击行为检测过程中产生的报警日志格式不统一的问题，采用IDMEF标准将不同的入侵检测系统和其他安全工具生成的报警日志进行格式规范化，等待下一步进行处理。

在步骤2中，对于同一个攻击行为，在检测过程中可能会产生多个相似的报警日志，造成报警冗余，使用基于特征相似度的报警融合方法，减少冗余报警的数量，生成更准确的网络攻击特征；对报警中一些属性的相似度进行计算，然后在对这些相似度值加权求和，相似度的值大于某个阈值，则说明两个报警相似程度大，将相似程度大的报警进行融合，生成超报警。

在步骤2中，首先读取一条未经融合的新警报，在计算该警报与所有超警报中最后一条警报的时间差值time，对time值进行判断，如果time值大于1则将该警报作为一条新的超警报，但如果time值小于等于1，则计算该警报与所有警报的相似度，并在其中选择相似度值最大的超警报记为S；将S值与已设定好的M值进行比较，如果S值大于M则将警报添加到超警报中，但如果S值小于等于M，则将该警报作为一条新的超警报；最后判断是否还有未融合的新警报，如果有则重复以上步骤，没有则结束融合过程。

在步骤3中，对处理后独立的报警数据进行协同分析，即将网络中独立的报警关联起来以发现更高层次的攻击信息。

在步骤3中，首先需扫描警报数据库，并建立频繁项表，构造FP-Tree，然后按叶节点求条件模式基，将条件模式基与当前项组成频繁项集，判断叶节点是否处理完毕，如果处理完毕则得到频繁项集即最大频繁多步攻击序列，没有处理完毕则继续按叶结点求条件模式基。

在步骤4中，将最大频繁多步攻击序列作为评估网络中每个主机风险程度的证据，通过合成公式将这些证据生成信任度更高的主机风险值，以实现对网络主机态势的准确、快速的评估。

在步骤4中，引入改进的D-S证据理论，将数据进行融合，即将得到的最大频繁多步攻击序列作为评估网络中每个主机风险程度的证据，通过合成公式将这些证据融合生成主机风险值。

在步骤5中，建立多层次的态势评估模型，先对多步攻击序列的威胁程度进行评估，再根据多步攻击序列的信任度生成网络中每个主机的风险值，最后由每个主机的风险值生成整个网络的风险值，以实现对全网络的态势评估。

在步骤5中，假设网络中主机有n台，整个网络风险值定义如公式(18)：

式(18)中，DW为整个网络的风险值，M(A)_i表示网络中每个主机的风险值，W_i为每个主机的权重，代表网络主机资产的重要性，主机资产的重要性越高，对该主机发动攻击造成的危害就越高；

DW值越高表示网络中的风险程度越大，将整个网络的安全状态分为三个状态：安全、低风险、高风险，并设定相应阈值s_l，s_t来作为这三个状态的分界值，如公式(19)所示：

阈值根据被评估网络的实际状况以及安全管理的要求来决定。

本发明中的基于改进D-S证据理论的网络安全态势评估方法，包含：首先利用IDMFE模型对于多种网络安全设备产生的格式不统一的报警日志进行规范化，然后对于冗余的报警日志，采用基于特征相似度的报警融合方法，减少冗余报警的数量，生成更准确的网络攻击特征并定义为一个九元组，这个称为超警报；针对每一个主机的超报警日志组成一个新的报警数据库，并按照发生时间顺序排序，设定时间窗口，从攻击序列集合第一条数据开始，逐步向后滑动时间窗口，处于同一个时间窗口的攻击类型组成了一个候选攻击序列，通过改进的FP-Growth算法得到的最大频繁多步攻击作为评估网络中主机的风险程度；基于改进的D-S理论，通过合成公式将所有证据融合生成主机风险值，根据每个主机的风险值生成整个网络的风险值实现对全网络的态势评估。该基于改进D-S证据理论的网络安全态势评估方法准确地评估出网络态势情况，提高了网络安全人员识别和防御网络威胁的能力，与现有技术相比，本发明具有以下优点：

(1)本发明的报警融合技术可以有效减少报警数量，提高报警处理效率，且能够清晰地刻画攻击行为。大大提高了后续报警分析及处理结果的准确性。

(2)本发明采用的改进的FP-Growth用于多步攻击模式挖掘，面对网络中存在数据规模庞大及攻击手段日益复杂等问题，很好的解决了从海量数据中获得隐藏在其中的网络攻击行为和威胁信息。

(3)本发明的方法可以对网络当前的危险程度进行估计，能够在动态变化的复杂网络环境中高效的组织不确定的网络信息并对其进行分析和评估，使管理人员提高了对网络安全情况的认识能力，辅助管理人员做出相应的决策和判断，避免网络威胁产生的严重后果。

附图说明

图1为本发明的基于改进D-S证据理论的网络安全态势评估方法的一具体实施例的流程图；

图2为本发明的基于特征相似度的报警融合方法的一具体实施例流程图；

图3为本发明的基于改进的FP-Growth算法进行关联分析的一具体实施例流程图。

具体实施方式

应该指出，以下详细说明都是示例性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作和/或它们的组合。

如图1所示，图1为本发明的基于改进D-S证据理论的网络安全态势评估方法的流程图。该基于改进D-S证据理论的网络安全态势评估方法包括了以下步骤：

S1，采用IDMEF标准将不同的入侵检测系统和其他安全工具生成的报警日志进行格式规范化，等待下一步进行处理。

S2，各类安全设备在检测过程中产生了大量报警数据，但是有些报警日志可能是针对同一个攻击行为或者是安全事件产生的，所以在检测过程中就会产生大量的冗余报警信息，加大了后续报警处理的工作量，处理效率下降，不利于态势的实时感知。报警融合就是将针对同一个攻击行为产生的冗余报警合并成能够代表一个攻击行为的超警报的过程。如图2所示，首先读取一条未经融合的新警报，在计算该警报与所有超警报中最后一条警报的时间差值time，对time值进行判断，如果time值大于1则将该警报作为一条新的超警报，但如果time值小于等于1，则计算该警报与所有警报的相似度，并在其中选择相似度值最大的超警报记为S。将S值与已设定好的M值进行比较，如果S值大于M则将警报添加到超警报中，但如果S值小于等于M，则将该警报作为一条新的超警报。最后判断是否还有未融合的新警报，如果有则重复以上步骤，没有则结束融合过程。

S3，网络攻击行为是由一系列相关步骤组成的。一个完整的攻击行为，不仅仅通过一个报警事件体现，即完整的攻击行为所触发的报警之间并不是孤立的，而是具有一定的逻辑关系。通过对报警进行格式规范化和冗余去除等处理后得到了高质量、无冗余的能够代表攻击事件的超警报，下一步对处理后独立的报警数据进行协同分析，即将网络中独立的报警关联起来以发现更高层次的攻击信息。如图3所示，首先需扫描警报数据库，并建立频繁项表，构造FP-Tree，然后按叶节点求条件模式基，将条件模式基与当前项组成频繁项集，判断叶节点是否处理完毕，如果处理完毕则得到频繁项集即最大频繁多步攻击序列，没有处理完毕则继续按叶结点求条件模式基。

S4，将最大频繁多步攻击序列作为评估网络中每个主机风险程度的证据，通过合成公式将这些证据生成信任度更高的主机风险值，以实现对网络主机态势的准确、快速的评估，提高评估结果的准确性。

S5，多层次的态势评估模型，先对多步攻击序列的威胁程度进行评估，再根据多步攻击序列的信任度生成网络中每个主机的风险值，最后由每个主机的风险值生成整个网络的风险值，以实现对全网络的态势评估。

在应用本发明的一具体实施例1中，该基于改进D-S证据理论的网络安全态势评估方法包括了以下步骤：

S1，针对采用多种网络安全设备，对网络攻击行为检测过程中产生的报警日志格式不统一的问题，使用基于IDMFE模型完成报警格式规范化，进行格式的统一；

S2，对于同一个攻击行为，在检测过程中可能会产生多个相似的报警日志，造成报警冗余，使用基于特征相似度的报警融合方法，减少冗余报警的数量，生成更准确的网络攻击特征；

需对报警中一些属性的相似度进行计算，然后在对这些相似度值加权求和，相似度的值大于某个阈值，则说明两个报警相似程度大，将相似程度大的报警进行融合，生成超报警。而属性的选择会影响后续处理的复杂度和后续报警分析的准确度。本发明选择的属性除了常见属性，还增加了新的属性作为相似度比较的内容。比较属性集合包括以下字段：{报警时间，源IP，源端口号，目的IP，目的端口号，攻击协议类型，攻击类型，报警等级，报警字节数}。将超警报定义为一个九元组，包含以下字段{id,srcIp,srcPort,dstIp,dstPort,attactType,startTime,endTime,protocol}，如表1。

表1超警报表

名称	含义
		id	编号
srcIp	源地址
		srcPort	源端口
dstIp	目的地址
		dstPort	目的端口
attactType	攻击类型
		startTime	警报最早发生时间
endTime	警报最晚发生时间
		protocol	攻击协议

计算两个报警A1和A2的相似度，即为各个属性相似度的加权和。以下是各个属性相似度的计算方法：

IP地址属性相似度S_ip计算时，将A1、A2的IP地址转换为二进制字符串，相同的个数为n，则相似度计算如公式(1)所示：

端口号属性相似度Sport计算时，根据A1、A2的报警端口A1.port、A2.port是否相同进行计算，相似度计算公式如公式(2)所示：

攻击类型属性相似度S_{attack_name}计算时，根据A1、A2的报警类型A1.attackType、A2.attackType是否相同进行计算，相似度计算公式如公式(3)所示：

时间属性相似度S_time计算时，某一个网络攻击行为可能会持续一段时间，会在短时间内产生大量的冗余报警，因此报警的时间越接近，说明这两个报警越有可能是针对同一网络攻击行为产生的，根据A1、A2的发生时间差A1.time-A2.time的绝对值是否超过阈值T，相似度计算公式如公式(4)所示：

攻击协议类型属性相似度S_protocol计算时，根据A1、A2的报警通信协议A1.protocol、A2.protocol是否相同进行计算，相似度计算公式如公式(5)所示：

报警等级属性相似度S_priority计算时，根据A1、A2的报警等级A1.priority、A2.priority是否相同进行计算，相似度计算公式如公式(6)所示：

报警数据包所含字节数属性相似度S_packet计算时，根据A1、A2的报警所含字节数A1.bytes、A2.bytes是否相同进行计算，相似度公式如公式(7)所示：

最后计算A1、A2的相似度S，如公式(8)所示：

其中n表示A1、A2包含的属性个数，S_i表示A1、A2属性i的相似度，W_i表示属性i的权重。

报警的各个属性的权重值与该属性的重要性相关，属性的权重分配遵循越重要的属性权重值越高，所有属性的权重值之和为1的规则。表2展示了属性权重值分配情况：

表2各属性权重值表

属性	IP地址	端口号	攻击类型	时间	攻击协议	报警等级	报警数据包
								权重	0.2	0.2	0.15	0.15	0.1	0.1	0.1

S3，采用基于改进的FP-Growth算法对前两步处理后独立的报警日志进行协同分析，即将网络中独立的报警关联起来以发现单个攻击事件之间的关系，得到最大频繁多步攻击序列，为后面的网络安全态势评估提供依据；本发明采用改进的FP-Growth算法挖掘出隐藏在报警数据中的多步攻击模式，又称为多步攻击序列。攻击步骤之间是按照一定的时间顺序发生的，前一个攻击步骤成功并获得相应资源后，下一个步骤才能够发生，并且一个多步攻击的发生应该是在一个时间段内，使用时间窗口机制将生成的安全报警日志转换成候选攻击序列集合。每一个主机的报警日志组成警报数据库，数据库中的警报按照发生的时间顺序进行排序，排序后的所有报警的攻击类型属性作为攻击序列集合。设定时间窗口T_w，从攻击序列集合第一条数据开始，逐步向后滑动时间窗口，处于同一个时间窗口的攻击类型组成了一个候选攻击序列S_i。一个多步攻击的整个过程包含在候选攻击序列中，因此时间窗口的取值要与一个多步攻击时间相当。

时间窗口每滑动一次就会产生一个候选攻击序列S_i，直至窗口滑动到攻击序列集合的最后，产生的候选攻击序列集合为attackSet＝{S₁，S₂，...，S_n}。再使用改进的FP-Growth算法对得到的候选攻击序列集合attackSet进行频繁项挖掘，挖掘出最大频繁攻击序列，这些攻击序列就代表了攻击者针对该主机发动的攻击模式。

关联分析算法是发现数据集中频繁出现的项集组合或模式。设项的集合为I＝{I₁,I₂,…,I_n}，I称为项集，数据集D中的每个事件T都是由项组成的集合。每个事件的项都包含在项集中，即

事件关联性可通过支持度和置信度两个参数来进行描述。支持度定义为Support(A＝＞B)＝P(A∪B)，表示在数据集的所有事件中，项A和项B同时出现的概率；置信度定义为Confidence(A＝＞B)＝P(B|A)，表示在数据集的所有事件中，项A出现的条件下项B也出现的概率。满足最小支持度的项集称为频繁项集，在满足最小支持度条件的同时满足最小置信度的称为强规则，表示事件的关联性很强。FP-Growth算法属于关联分析算法。

优选地，FP-Growth算法的步骤如下：(1)建立频繁项列表L。第一次遍历训练数据集D，统计数据集中出现的所有项，对这些项按出现的频数由高到低降序排序，得到的表称频繁项列表，记为L。(2)构造FP-Tree。创建一个空结点表示树根，第二次遍历训练数据集D，逐条处理数据集中每一个事件，对事件中的项按L中的次序排序，如果事件中的项没有出现过，则新建一个结点连接到上一级结点，如果没有上一级结点则连接到根结点，最后数据集中所有项均对应到树中的结点。(3)求频繁项集。按照频繁项列表L中频繁度由低到高的顺序逐个求解各项的频繁项集，对FP-Tree路径中的结点，从叶结点开始逐个求解与当前结点的共同出现的其他项的组合，即条件模式基，满足最小支持度计数和条件模式基，生成所有非空子集，分别与当前项组合，得到关于当前项的所有频繁项集。

改进的FP-Growth算法在第一次遍历数据集后，使用二维表保存所有事务的信息，可快速建立起频繁项表，减少了遍历数据集的次数，提高建立FP-Tree的效率。对于海量的报警数据，改进后的算法大大减小了内存开销和时间花费。

S4，根据基于改进D-S证据理论，将上一步产生的最大频繁多步攻击序列作为评估网络中每个主机风险程度的证据，通过合成公式将这些证据生成信任度更高的主机风险值，以实现对网络主机态势的评估。本发明引入改进的D-S证据理论，将数据进行融合，即将得到的最大频繁多步攻击序列作为评估网络中每个主机风险程度的证据，通过合成公式将这些证据融合生成主机风险值。

D-S证据理论可以用于多源数据融合，但是可能出现不合理甚至错误的结论，即当存在合理的证据时，使用D-S组合规则才可以得到理想的信息合成结果，当证据之间有冲突时，就会出现与表达信息相反的合成结果。而改进的D-S证据理论可以解决证据的冲突并提高数据融合的准确性，即提高主机风险值的准确性。

本发明中提到的改进的D-S理论引入置信度的概念，用置信度α来描述证据的可靠性和可信度，在证据融合前可对融合所需的证据进行修改。首先需度量不同证据之间的距离，采用Bhattacharyya距离，计算不同证据间的距离，m_i，m_j是两条证据，如(9)所示：

d(m_i，m_j)＝d_ij＝-ln(BC(m_i，m_j)) (9)

式(9)中，d(m_i，m_j)是m_i，m_j之间的Bhattacharyya距离，BC(m_i，m_j)是Bhattacharyya系数。

由此可导出一个n*n的矩阵D，而D是一个对称矩阵，且对角元素为0，如(11)所示：

式(11)中，矩阵D中的元素d_ij是证据m_i，m_j之间的距离。

证据m_i和其他证据之间的距离之和为u_i，如(12)所示：

式(12)中，u_i的大小代表证据和其他证据之间的距离之和，它的大小反映了证据m_i和其他证据之间的差异程度。证据m_i和其他证据之间的差异越大，m_i是噪声点的可能性越大，且置信水平α越低。相反，证据m_i的u_i值越小，m_i与其他证据表达的信息的一致性越强，置信度α应该越高。

所以m_i的置信度α_i定义如(13)所示：

式(13)中，α_i是证据m_i与其他证据表达的信息的一致性的强弱程度，与1/u_i成正比。

根据D-S证据理论中定义的基本信任分配函数(BPA)，在证据理论中用来分配证据的初始信任度，定义如(14)所示：

式(14)中θ为识别框架，包含互相独立的事件，A_j是θ中的事件，φ为不可能发生的事件。

改进后，BPA定义如(15)所示：

式(15)中，在计算事件A_j的基本信任分配函数m(A_j)时，为每一个证据的基本信任函数值m_i(A_j)乘上了置信度α_i。

最终调整后的BPA避免了证据冲突，为下一步的证据融合奠定了良好的基础。

网络的状况分为两大类：危险和安全，可确定识别框架Θ＝{S，D}，其中S代表当前网络状态是安全，D代表当前网络状态是危险。根据D-S证据理论相关定义，m(S)+m(D)＝1。

首先对证据分配初始信任度值，初始基本可信度分配主要衡量两个方面。一个是该多步攻击成功发生的概率，另一个是该多步攻击的威胁程度。

一个目标主机在一段时间内挖掘出来的每一条最大频繁多步攻击序列作为评估该主机态势的一个证据，利用合成公式，如公式(16)对这些证据的信任度值进行合成，这个值就代表着目标主机的态势状况。

式(16)中，M(A)为主机中A事件的风险值，A_i为事件A的证据，m_i(A_i)为A_i的基本信任函数值。k代表证据之间的冲突程度，随着k值的增大，证据之间的冲突程度就越大。

S5，采用一种多层次的态势评估模型，根据每个主机的风险值生成整个网络的风险值，以实现对全网络的态势评估。本发明提出一种多层次的态势评估模型，先对多步攻击序列的威胁程度进行评估，再由多步攻击序列的风险值生成网络中每个主机的风险值，最后由每个主机的风险值生成整个网络的风险值，以实现对全网络的态势评估。假设网络中主机有n台，整个网络风险值定义如公式(18)：

式(18)中，DW为整个网络的风险值，M(A)_i表示网络中每个主机的风险值，W_i为每个主机的权重，代表网络主机资产的重要性，主机资产的重要性越高，对该主机发动攻击造成的危害就越高。

DW值越高表示网络中的风险程度越大。可将整个网络的安全状态分为三个状态：安全、低风险、高风险，并设定相应阈值s_l，s_t来作为这三个状态的分界值，如公式(19)所示：

在应用本发明的具体实施例2中，多步攻击过程主要分为信息探测、漏洞扫描、漏洞利用、权限提升和发动攻击这五个步骤。这五个攻击复杂程度是逐级增高，攻击的复杂程度越高，攻击实现的难度就越大。一个多步攻击成功发生的概率依赖于其所包含的所有单个攻击发生的成功率。先对单步攻击的成功率进行分配，如表3：

表3单步攻击成功率分配表

信息探测	0.7
		漏洞扫描	0.6
漏洞利用	0.4
		权限提升	0.3
发动攻击	0.2

一个多步攻击成功发生的概率依赖于其所包含的所有单个攻击发生的成功率，攻击阶段越深入，攻击者发起的多步攻击成功率越高，对网络主机的威胁性就越高。以M(A)_i来表示。

根据主机在网络中的作用对主机的重要性进行赋值，即W_i，如表4，

表4主机重要性权重赋值

一般主机	1
		重要主机	2
一般服务器	3
		重要服务器	4
网关/防火墙	5

最后计算整个网络的DW值，以此来判断网络风险程度。

综上所述，本发明的基于改进D-S证据理论的网络安全态势评估方法适用于需要仍然在使用传统的网络安全防护的企业或高校，并且在胜利油田网络安全态势感知项目中，应用了本发明提出的方法，对分散的网络安全日志异构日志进行整合，并对数据进行关联分析与检索，实时洞悉安全情报和安全态势，从而快速做出判断和响应。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域技术人员来说，其依然可以对前述实施例记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

除说明书所述的技术特征外，均为本专业技术人员的已知技术。

Claims

1.基于改进D-S证据理论的网络安全态势评估方法，其特征在于，该基于改进D-S证据理论的网络安全态势评估方法包括：

步骤5，对全网络的态势进行评估。

2.根据权利要求1所述的基于改进D-S证据理论的网络安全态势评估方法，其特征在于，在步骤1中，针对采用多种网络安全设备，对网络攻击行为检测过程中产生的报警日志格式不统一的问题，采用IDMEF标准将不同的入侵检测系统和其他安全工具生成的报警日志进行格式规范化，等待下一步进行处理。

3.根据权利要求1所述的基于改进D-S证据理论的网络安全态势评估方法，其特征在于，在步骤2中，对于同一个攻击行为，在检测过程中可能会产生多个相似的报警日志，造成报警冗余，使用基于特征相似度的报警融合方法，减少冗余报警的数量，生成更准确的网络攻击特征；对报警中一些属性的相似度进行计算，然后在对这些相似度值加权求和，相似度的值大于某个阈值，则说明两个报警相似程度大，将相似程度大的报警进行融合，生成超报警。

4.根据权利要求3所述的基于改进D-S证据理论的网络安全态势评估方法，其特征在于，在步骤2中，首先读取一条未经融合的新警报，在计算该警报与所有超警报中最后一条警报的时间差值time，对time值进行判断，如果time值大于1则将该警报作为一条新的超警报，但如果time值小于等于1，则计算该警报与所有警报的相似度，并在其中选择相似度值最大的超警报记为S；将S值与已设定好的M值进行比较，如果S值大于M则将警报添加到超警报中，但如果S值小于等于M，则将该警报作为一条新的超警报；最后判断是否还有未融合的新警报，如果有则重复以上步骤，没有则结束融合过程。

5.根据权利要求1所述的基于改进D-S证据理论的网络安全态势评估方法，其特征在于，在步骤3中，对处理后独立的报警数据进行协同分析，即将网络中独立的报警关联起来以发现更高层次的攻击信息。

6.根据权利要求5所述的基于改进D-S证据理论的网络安全态势评估方法，其特征在于，在步骤3中，首先需扫描警报数据库，并建立频繁项表，构造FP-Tree，然后按叶节点求条件模式基，将条件模式基与当前项组成频繁项集，判断叶节点是否处理完毕，如果处理完毕则得到频繁项集即最大频繁多步攻击序列，没有处理完毕则继续按叶结点求条件模式基。

7.根据权利要求1所述的基于改进D-S证据理论的网络安全态势评估方法，其特征在于，在步骤4中，将最大频繁多步攻击序列作为评估网络中每个主机风险程度的证据，通过合成公式将这些证据生成信任度更高的主机风险值，以实现对网络主机态势的准确、快速的评估。

8.根据权利要求7所述的基于改进D-S证据理论的网络安全态势评估方法，其特征在于，在步骤4中，引入改进的D-S证据理论，将数据进行融合，即将得到的最大频繁多步攻击序列作为评估网络中每个主机风险程度的证据，通过合成公式将这些证据融合生成主机风险值。

9.根据权利要求1所述的基于改进D-S证据理论的网络安全态势评估方法，其特征在于，在步骤5中，建立多层次的态势评估模型，先对多步攻击序列的威胁程度进行评估，再根据多步攻击序列的信任度生成网络中每个主机的风险值，最后由每个主机的风险值生成整个网络的风险值，以实现对全网络的态势评估。

10.根据权利要求9所述的基于改进D-S证据理论的网络安全态势评估方法，其特征在于，在步骤5中，假设网络中主机有n台，整个网络风险值定义如公式(18)：