一種網絡安全態勢評估方法及其系統的制作方法

專利名稱：一種網絡安全態勢評估方法及其系統的制作方法
技術領域：
本發明涉及一種動態的、可擴展的、網絡安全態勢評估方法及其系統，屬 于網絡安全技術領域。
背景技術：
隨著網絡規模的不斷擴大，現在的網絡在社會生活中已經扮演著越來越重
要的角色；同時，網絡安全問題也日益突出，并逐漸成為網絡服務和應用進一 步發展所亟需解決的關鍵問題。此外，隨著網絡入侵和攻擊行為向著分布化、 規模化、復雜化、間接化等趨勢的發展，網絡病毒和Dos/DDos攻擊等構成的 威脅和造成的損失越來越大，很多科研人員和機構已經開始意識到僅僅依賴于 現有的網絡安全產品是無法對整個網絡安全狀況進行實時監控的。
網絡安全態勢評估是指對網絡進行全方位的安全態勢元素的提取、對當前 態勢進行分析和計算，并預測網絡安全態勢。所謂態勢是一種狀態和趨勢，它 是一個整體和全局的概念，任何單一的情況或狀態都不能稱之為態勢3
自Tim Bass提出了網絡安全態勢感知概念后，隨即又提出了基于多傳感器
勢感知系統。采用該框架能夠實現入侵行為的檢測、入侵率計算、入侵者身份 和入侵者行為的識別、態勢評估以及威脅評估等功能。網絡安全態勢感知工具
主要包括美國勞倫斯伯克利國家實驗室的Stephen Lau于2003年開發的"The Spinning Cube of Potential Doom"系統；卡內基梅隆大學軟件工程研究所領導 的CERT/NetSA開發出的SILK;美國國家高級安全系統研究中心正在進行的 SIFT項目。其他研究機構還有美國國防部計算機安全中心、美國空軍、加拿大 國防研究與開發中心，以及瑞士聯邦技術院等。
鑒于當前網絡的現狀、發展以及入侵與攻擊行為造成的巨大損失，有關政府部門已經意識到開展網絡安全態勢評估研究的必要性和緊迫性。美國國防部 在2005年的財政預算報告中就包括了對網絡安全態勢評估項目的資助。美國高
級研究和發展機構在2006年的預研計劃中，明確指出網絡安全態勢感知的研究
目標及關鍵技術。研究目標是以可視化方式為不同的決策者和分析員提供易訪
問、易理解的信息保障數據一一攻擊的信息和知識、漏洞信息、防御措施等； 關鍵技術包括數據融合技術、數據可視化技術、網絡管理工具集成技術、實時 漏洞分析技術等等。
中國國內對網絡安全態勢評估的研究才剛剛起步。國防科學技術大學的馮 毅從我軍信息與網絡安全的角度出發，闡述了我軍積極開展網絡安全態勢評估 研究的必要性和重要性，指出了兩項關鍵技術——多源傳感器數據融合技術和 數據挖掘。國內其它相關研究主要是圍繞網絡安全態勢評估、大規模網絡預警 等來開展的。在網絡安全態勢評估方面，西安交通大學實現了基于IDS和防火 墻的集成化網絡安全監控平臺；北京理工大學信息安全與對抗技術研究中心研 制了一套基于局域網絡的網絡安全態勢評估系統；在大規模網絡預警方面，國 防科技大學的胡華平等人提出了面向大規模網絡的入侵檢測與預警系統的基本 框架及其關鍵技術與難點問題。
網絡安全態勢評估包括以下內容(1 )在設定的網絡環境下，提取與網絡 安全相關的各態勢要素，用于安全分析和預測的準備。(2)分析事件發生的原 因和影響力，對事件進行評級，并計算整個網絡的安全態勢。(3')形成可視化 的網絡綜合態勢圖和態勢分析"^艮告。影響網絡安全的因素包括資產重要性和價 值、脆弱性、威脅，其中，資產是構成網絡業務的基本元素，是整個網絡的最 基本組件。脆弱性是可能^C威脅利用對資產造成損害的薄弱環節，威脅是一種 對資產造成潛在破壞的可能性因素。威脅可能利用脆弱性對網絡資產造成破壞。 網絡安全態勢評估就是根據上述影響網絡安全的各個因素對網絡安全態勢進行 評估和預測。
從以上闡述，不難發現國內外的研究都還存在一些問題(一)現有的工具 實時性不強網絡安全態勢是對網絡安全狀況進行實時監控，但是現有的監測系統普遍存在的問題是實時性不強。(二)數據源單一網絡安全態勢的相關因
素復雜，而目前的數據源選取過于單一。(三)安全態勢的顯示沒有突出重點， 過于普通。如對于某個網絡，客戶可能最關注的是該網絡發生安全事件將會造 成的直接損失，而不僅僅只是泛泛地關注整個網絡的情況。(四)風險數據的提 取過于簡單化，例如只關注威脅等。
隨著網絡技術的發展，網絡逐漸趨向于采用統一的承載機制，即將現有的 各種網絡都融合到一個統一的承載網上，從而實現統一、方便、快捷的業務提 供方式。這樣自然就會引入新的功能實體和新的協議，同時也引入了新的安全 隱患。因此，如何針對這種結構龐大、新穎而又復雜的網絡，對其進行網絡安 全態勢的評估已經成為十分必要且緊迫的科研熱點，也是業內科研人員關注的 新課題。

發明內容
有鑒于此，本發明的目的是提供一種網絡安全態勢評估方法及其系統，本 發明的評估系統基于網絡業務的運營特點，結合現有的風險評估方法、流程和 安全檢測工具，提出了一套新穎、動態、實時的評估方法。基于該評估系統和 方法，能夠實現對網絡中的資產、業務和整個網絡的風險進行分析，并進行持 續性的安全態勢評估 本發明評估系統不但在宏觀上提供整體網絡的安全狀態，
還可以深入具體的業務和資產，了解其具體的安全問題；從而能夠有效幫助網 絡安全人員分析安全問題的根源所在，并且能夠輔助提出安全解決方案和實施 防御措施。
為了達到上述目的，本發明提供了 一種網絡安全態勢評估方法及其系統， 其特征在于所述系統為兩面三層架構，設有對該系統中各功能模塊執行統一 協調管理的公共服務面和系統管理面，以及按照業務邏輯處理流程分為的三個 層次采集層、分析層和展示層，用于完成資產、脆弱性、威脅和安全態勢的 四個評估操作；其中
采集層，由分別釆集資產脆弱性、威脅及資產信息的不同傳感器組和由多個傳感器管理器組成的傳感器管理模塊所組成，以便根據用戶需求利用傳感器
采集相關基礎信息、并對傳感器進行管理和對信息進行格式處理；
分析層是系統的核心功能層，負責對采集層采集的包括資產、威脅和脆弱 性風險因素數據進行在線/離線分析，提取風險事件，并對其進行實時賦值和計
算，預測安全態勢；或者對采集的威脅數據進行關聯分析，以預警網絡新的威 脅，并發現網絡攻擊事件之間的關聯關系；包括威脅評估模塊、脆弱性評估模 塊、資產價值計算模塊和對上述模塊采集的數據進行實時分析處理的風險因素 管理模塊和安全態勢評估模塊，以及用于離線分析的威脅關聯分析模塊；
展示層，用于通過圖形化的直觀方式展示網絡資產、網絡拓樸、網絡中存 在的脆弱性、面臨的威脅的信息以及網絡的安全態勢，包括；資產信息展示模 塊、脆弱性報告展示模塊、成脅報告展示模塊、威脅關聯展示模塊、網絡拓樸 展示模塊和安全態勢展示模塊；
公共服務面是系統運行時的公共服務提供者，負責提供數據服務、系統各 個模塊間的通信服務、計時服務和日志服務；包括為各層之間提供內部通信 的通信服務模塊，維護系統時鐘的計時服務模塊，為各層之間提供數據傳輸、 數據存儲和數據管理的數據服務模塊，以及提供包括記錄系統運行、用戶登錄 操作、系統受攻擊自我保護及其他情況的日志服務模塊；
系統管理面作為系統運行時進行協調統一的支撐環境，設有以下功能模塊
-■^t 丄、m 、i ，<* -《 '-:1』 —4i<、一, n'乂 二 /々 一/_ *^ r> i"rr , A tn二 'nn i _L 丄；'。_ m 二
元取用尸免、豕牙、？尤金^f人、砭j2^/fy、'5尸、i'多、f又貧^5的/tj_r 1—》王沖關:yt，《安叉川尸；^ 制的評估策略，并根據該策略對各個模塊間的協作進行控制的策略管理模塊， 以及對安全態勢評估項目進行控制和調整，即包括啟動和停止態勢評估項目、 調整數據采集策略，設置數據分析的相關參數的任務管理模塊。
所述采集層設置的分別采集資產信息、資產脆弱性及威脅的三類傳感器組， 分別采集風險評估過程中所需的資產、脆弱性和威脅的基礎信息，這些傳感器 組分別部署在網絡中的主機或交換機/路由器上，通過掃描或監聽來獲取基于主 機或網絡的數據；其中部署在主機的傳感器負責采集主機資產信息及其資產脆 弱性信息；部署于交換機/路由器上的傳感器用于采集網絡威脅信息；
ii采集層中的傳感器管理模塊設有多個傳感器管理器單元、消息隊列及消息 處理單元和傳感器管理器注冊單元，其中每個傳感器管理器單元用作傳感器管 理模塊中的獨立功能實體，與具體類型的傳感器綁定而為該類型傳感器提供消 息中轉和管理服務；消息隊列及消息處理單元負責對傳感器采集的消息進行存
儲和處理；傳感器管理器注冊單元用于實現傳感器管理器的可擴展性，以便通 過各個傳感器管理器的標識ID來互相識別，以實現系統的可擴展性。
所述分析層中的各模塊的功能分別是
威脅評估模塊，用于根據威脅事件數據庫對采集到的威脅事件進行評估，
再依據威脅事件對網絡安全造成影響的程度，賦以相應的數值；根據資產的脆 弱性的不同，每個威脅賦值所利用的專家數據庫的賦值也不同；
脆弱性評估模塊，用于根據脆弱性數據庫對評估對象采集到的脆弱性參數 進行評估，并通過匹配脆弱性在公共漏洞和暴露數據庫CVE中的危險程度進行 賦值；
資產價值計算模塊，采用分層方式對資產和業務價值進行綜合分析，再根 據資產的固有價值、其承載業務的附屬價值和承載業務的重要性及其他相關因 素計算資產價值；
風險因素管理模塊，負責對威脅、脆弱性和資產評估后的結果進行分析， 提取出其中對網絡、業務和資產有危害的部分，并將威脅與脆弱性作關聯，提 耳又可能對網絡造成安全威脅的風險事件，以供安全態勢評估模塊進行計算；
安全態勢評估模塊，根據風險因素管理提供的風險事件，按照風險態勢計 算模型實時計算當前時刻的網絡風險值，并預測網絡風險值的發展趨勢；
用于離線分析和處理威脅事件關聯關系的威脅關聯分析模塊，用于深入分 析成脅事件，依賴威脅關聯知識庫和已知的威脅關聯關系，發現當前威脅事件 之間的關聯關系，生成關聯圖并根據該關聯圖預測新的威脅事件，以供分析人 員了解威脅事件。
所述展示層包括以下功能模塊展示網絡中的資產信息、資產承載的業務 信息和資產其它重要信息的資產信息展示模塊；以直觀方式展示網絡整體結構并在該拓樸圖上以不同色彩表示各資產安全狀況的網絡拓樸展示模塊；從多方 面分析資產脆弱性并對該脆弱性進行統計分析，以及提供脆弱性補救措施的脆
弱性報告展示模塊；對網絡、業務或主機所受到的威脅事件展示的威脅報告展 示模塊；對網絡安全態勢值進行匯總，以多視角多層次的方式展示網絡安全態 勢的安全態勢展示模塊；對成脅事件進行深入分析，挖掘網絡中威脅事件之間 的關聯關系，并預測新的威脅事件的威脅關聯展示模塊。
為了達到上述目的，本發明還提供了采用上述網絡安全態勢評估系統評估 網絡安全態勢的方法，其特征在于所述網絡安全態勢評估是對網絡安全風險 態勢的評估和預測，基于網絡系統的整體運行包括多個不同的業務，每個業務 的運營需要多個網絡資產的支撐，而每個網絡資產又能同時支撐多個業務同時 運作的特點，以及人們關注的焦點是網絡中的風險事件是否會影響每個業務的 正常運營；因此網絡風險是由各個業務的風險與其業務重要性的加權之和來計 算的，即以業務為中心來分析和評估安全態勢；所述網絡安全態勢評估方法是 先分別采集資產、脆弱性和成脅的三種不同信息，再根據資產信息計算資產價 值，同時對脆弱性信息和威脅信息進行實時風險分析；然后提取網絡中的風險 因素并對其進行管理；最后通過歷史數據和安全事件的關聯分析計算網絡中資 產、業務和整個網絡的風險，得到網絡的整體安全態勢。
所述方法包括下列操作步驟
(1) 系統才是供用戶界面，用尸4安照自己需求建立評估'f壬務；
(2) 系統按照評估任務的策略分別采集相應數據，分別進行資產價值、脆 弱性賦值和威脅賦值的計算，再分析其中的風險因素和提取風險事件，然后根 據風險事件評估和計算網絡安全態勢，同時對威脅分析的結果進行再分析，挖 掘網絡威脅之間內在的關聯關系；
(3 )系統對評估任務處理后得到的評估結果以不同形式進行展示，系統記 錄相關各項操作。
所述步驟(1 )進一步包括下列操作
(11)系統提供用戶登錄接口和用戶輸入用戶名與密碼后，用戶管理模塊對其進行鑒權并返回結果；
(12) 系統提供用戶輸入接口，由用戶輸入包括評估對象網絡、評估對象 的資產參數、數據分析參數的評估任務的具體信息；
(13) 根據用戶輸入的評估任務信息，策略管理模塊將該評估任務分解為 系統能夠識別的各個掃描任務，并通過通信管理模塊提供的內部通信機制將相 關信息轉發到系統的采集層和分析層。
所述步驟(2)進一步包括下列操作
(21) 采集層的傳感器管理模塊接收到評估任務的相關信息，按照策略匹 配對其進行分解，由各種傳感器分別采集資產、脆弱性和威脅的相關信息，并 對這些傳感器進行線程監控；
(22) 采集層的各種傳感器采集得到的原始數據通過傳感器管理器進行格 式轉換后，傳送至分析層；
(23) 分析層得到各種傳感器送來的相應數據后，由資產價值計算模塊、 脆弱性評估模塊和威脅評估模塊分別進行資產價值、脆弱性賦值和成脅賦值的 計算處理后；再將得到的結果提供給風險因素管理模塊和安全態勢評估模塊， 由后者對其進行風險事件的分析和提取，并利用計算模型進行網絡安全態勢的
實時評估；
(24)威脅關聯分析模塊對威脅事件的關聯進行離線分析，并將分析結果 4于'rar》'j凌5u/sv午t ;—以 一少迅<千3承'1下。
所述步驟(23)中，安全態勢評估模塊實時評估網絡安全態勢的操作進一 步包括下列內容
(231)根據資產風險的計算模型:&=血!]0;>^}，式中，^為資產。
的價值，L為根據資產a遭受的某個威脅來源和影響程度賦予的威脅值，^為 資產"所具有的某個脆弱性值，"、x、少分別是資產、威脅和脆弱性的序號； 分別計算各個資產風險；(232 )根據業務風險的計算模型A=Z{」:xZ7>^}，式中， <為該
業務包含的某個資產價值；z;為該資產4遭受某個威脅來源和影響程度賦予的 威脅值；K,為該資產4所具有的某個脆弱性的值，"x、 y分別是支撐該業務 的某個資產、威脅和脆弱性的序號，分別計算各個業務風險；
(233 )根據整個網絡的安全風險為其中各個業務的風險與每個業務的重要
性的加權之和的計算模型，計算整個系統的網絡風險值= H{C, x《}，
式中，i ,為其中某個業務/的業務風險值，r,是某個業務/的重要性級別賦值， /是網絡中運行的各個業務的序號。
所述資產風險是指網絡中存在的某個資產，當該資產具有脆弱性和網絡威 脅的目標為該資產時，針對該資產的脆弱性所產生在該資產上的風險事件的加 權數值；
所述業務風險是指業務在運行過程中，針對該業務的運行和承載該業務的 網絡設備發生風險事件的可能性以及可能造成的影響；業務風險是下述兩個變 量意外事件發生的可能性和意外事件發生后可能產生的影響的函數，前者是 威脅源利用 一個潛在脆弱性的可能性，后者是意外事件對網絡安全產生的影響； 風險值是所面臨的所有威脅下的風險數值；
所述網絡風險是指整個網絡中，針對網絡的資產，網絡中運行的業務發生 的風險事件的可能性以及可能造成的影響。，從而實現統一、方便、快捷的業務 提供方式。
本發明是一種網絡安全態勢評估方法及其系統，眾所周知，現有的各種成 熟的網絡安全工具能夠捕捉到TCP/IP網絡中的安全信息，由于網絡的發展趨勢 是將現有的各種網絡都融合到一個統一的承載網上，并采用基于IP的分組網絡 結構，因此本發明網絡安全態勢的評估系統是在集成現有成熟網絡安全工具的 基礎上構建的，該系統的主要特點是采用兩面三層的體系架構完成四個操作流程，它能夠涵蓋網絡安全態勢分析過程中的多個環節，并通過日志服務增強系 統本身的安全性。整個系統的工作邏輯清晰、流暢，減少了系統各層之間的耦
合度。該評估系統采用CORBA的分布式系統結構，將系統的各層次和各層面 的各個軟件功能模塊之間的耦合性降到最低，且各層的軟件功能模塊既可以分 布在不同的物理平臺上，也可以將各層分布在不同的地域，增加了系統的擴展 性和靈活性。另外，本發明的評估方法的操作步驟簡單、易行，既能夠實現對 包括現有的各種網絡以及未來的下 一代電信網或其他網絡的安全狀態提供實 時、動態、全面的在線風險評估報告，也能夠提供離線的風險關聯評估報告， 具有很好的實際應用價值。


圖1是本發明網絡安全態勢評估系統的架構組成示意圖。
圖2是本發明網絡安全態勢評估系統的網絡部署示意圖。
圖3是本發明評估系統中的傳感器管理模塊結構組成示意圖。
圖4是本發明評估系統中的分析層功能模塊結構組成示意圖。
圖5是本發明評估系統中的資產信息采集處理流程示意圖。
圖6是本發明評估系統中的威脅關聯分析模塊結構組成示意圖。
圖7是本發明評估系統中的展示層結構組成框架圖。
圖8是本發明評估系統進行安全態勢評估的操作流程圖。
ran Pi曰 + 丄-二t' / l z;/丄nr n入-'l《 p 、；- /丄:立r;fl 頃^疋冬久"力》卞T6爾—沉tTJ W|升/^r /入和J TJ、思面。
圖1 0是本發明系統實施例中展示的威脅關聯分析所生成的關聯分析圖。 圖11是本發明系統實施例中展示的安全態勢柱狀圖示意圖。 圖1 2是本發明系統實施例中展示的安全態勢折線圖示意圖。
具體實施例方式
為使本發明的目的、技術方案和優點更加清楚，下面結合附圖對本發明作 進一步的詳細描述。
先解釋本發明中的若干術語的定義資產是通過信息化建設所積累起來的 包括信息設備、信息、生產或服務能力及其社會信譽的有形和無形資產；資產
16值是根據資產在業務中的重要性及其他相關因素估算出來的數值，該數值越大 說明其資產越重要。脆弱性是指信息或資產及其防護措施在安全防衛上的不足、 漏洞或弱點，脆弱性值是根據資產已發現的漏洞所評估的脆弱性數值，該數值
越大說明其資產越重要；威脅是每個單位的信息或資產的安全可能受到的侵害， 威脅有多個屬性網絡威脅的主體、能力、資源、動機、途徑、可能性及其后 果，威脅值是根據包括外部攻擊對資產造成的損失、攻擊發生概率及資產本身 價值的多種因素來評估資產所受到的威脅數值，其數字越大說明其資產越重要。
參見圖1，介紹本發明網絡安全態勢評估系統的組成架構，該評估系統的 核心功能是對目標網絡進行安全態勢評估，根據風險評估的要素，應該提供資 產價值計算、威脅分析、脆弱性分析和安全態勢評估的功能。因此，本發明系 統由兩面三層的架構體系組成對該系統中各軟件功能模塊執行統一協調管理 的公共服務面和系統管理面，以及按照業務邏輯處理流程分為的三個層次根 據用戶需求利用傳感器采集相關基礎信息、對傳感器進行管理、并對采集的信 息進行初步處理的采集層，分別對網絡中資產信息價值、脆弱性和系統受到的 威脅進行分析和計算，再計算網絡安全態勢和進行威脅關聯分析的分析層，以 及對網絡的資產信息和拓樸信息、網絡中存在的脆弱性信息和威脅信息、網絡 的安全態勢進行多視點多角度展現的展示層，用于完成資產、脆弱性、威脅和 安全態勢的四個評估操作流程的功能。下面具體分析各層結構
采集層設有分別采集網絡資產脆弱性、網絡威脅及網絡資產信息的不同傳 感器組和由多個傳感器管理器組成的傳感器管理模塊。傳感器組的作用主要是 采集風險評估過程中所需的資產、脆弱性和威脅等三類基礎數據。傳感器組主 要通過部署在網絡中主機資產或交換機上進行掃描或監聽來獲取數據。傳感器 管理模塊負責接收傳感器發送來的數據，控制傳感器所執行的采集任務的啟動、 關閉，并對采集的數據進行格式轉換處理。
參見圖2,介紹本發明評估系統及其中采集層的傳感器組在網絡中的部署 情況該系統設有多個服務器，其中采集層服務器、分析層服務器和展示層服 務器分別實現采集層、分析層和展示層的相關功能，公共服務與系統管理服務器用于實現公共服務面與系統管理面的功能。傳感器組分別部署在網絡中的主 機或交換機/路由器上，分為基于主機或基于網絡的傳感器，通過掃描或監聽來 獲取基于主機或網絡的數據。其中部署在主機的傳感器負責采集主機資產信息 及其資產脆弱性信息；部署于交換機/路由器上的傳感器用于采集網絡威脅信
息；在大型網絡中部署的子傳感器管理模塊用于完成網絡傳感器組的分層部署。 采集層是根據用戶需求利用傳感器采集相關基礎信息、并對傳感器進行管理和 對信息進行格式處理。
參見圖3，介紹釆集層中重要部分-傳感器管理模塊，用于統一管理傳感 器組，收發傳感器組采集的數據，并對各種傳感器采集上來的數據進行處理。 它設有多個傳感器管理器單元、消息隊列及消息處理單元和傳感器管理器注冊 單元，其中每個傳感器管理器單元用作傳感器管理模塊中的獨立功能實體，與 具體類型的傳感器綁定而為該類型傳感器提供消息中轉和管理服務。如果添加 新的傳感器，可以編寫新的傳感器管理器進行處理，從而大大提高了系統的擴 展性。這種擴展性通過傳感器管理器注冊庫單元和消息隊列單元實現。傳感器 組接入是傳感器管理器的關鍵部分，接入方式是研究工具內部的通信機制。如 果工具已經有內部通信協議，這種工具就是可控的，只需采用傳感器管理器封 裝其內部協議進行管理即可；如果工具沒有內部通信協議，只能在本地記錄數 據或不記錄數據，則這種工具是不可控的，還要為其編寫相應的輔助工具進行 處7f玍1節禍T/j艮貪。1節 &備r^-主"片j 丁l ,王Oi/(丁T 恐^"日勺凄^f/S7^朱，口rgJ王^/月b， n于r 了處理命令和數據外，代理的設計可添加數據存儲/查詢功能，以方便查詢歷史 數據并進行深入分析。消息隊列及消息處理單元負責對傳感器采集的消息進行 存儲和處理。本發明評估系統還借薟普通信件傳遞原理設計了 一套消息格式， 該消息格式中的消息域只存儲發送消息的來源和目的模塊名，在消息體中封裝 具體消息內容。這樣使用同一套消息可以處理多種消息體。傳感器管理器注冊 單元用于實現傳感器管理器的可擴展性，以便通過各個傳感器管理器的標識ID 來互相識別，并實現系統的可擴展性。其中標識ID與具體傳感器關聯，且由傳 感器管理器注冊來記錄。所有傳感器管理器在啟動時，都會在傳感器管理器注冊單元注冊自己的標識ID。消息隊列處理則在傳感器管理器注冊單元中查找標 識ID對應的模塊，并把消息轉發給該模塊進行處理。
參見圖4，介紹本發明系統的核心部分-分析層，包括威脅評估模塊、脆 弱性評估模塊、資產價值計算模塊和對上述模塊采集的數據進行實時分析處理 的風險因素管理模塊和安全態勢評估模塊，以及用于離線分析的威脅關聯分析 模塊。分析層負責對采集層采集的包括資產、威脅和脆弱性風險因素數據進行 在線/離線分析，提供風險因素的分析和管理，并從中提取風險事件，再對其進 行實時賦值并按照風險計算模型，計算網絡、業務和資產的風險值和預測安全
態勢；或者采用離線分析對采集的威脅數據進行關聯分析，以預警網絡新的 威脅，并發現網絡攻擊事件之間的關聯關系。
參見圖5，本發明系統的資產價值計算模塊是根據資產信息以及該資產承 載的業務來計算資產價值。為實現資產信息的自動化采集，先由人工輸入相關 信息，然后本發明評估系統通過資產傳感器對實際網絡中部署的資產及其上承 載的業務進行掃描和計算，再給出結果并提示，最后人工確定該資產的最終信 息。確認以后，再按照本發明系統所采用的資產價值計算方法對其進行賦值。 其中在線分析引擎用于完成對數據的實時分析，包括資產價值計算模塊、脆弱 性評估模塊、威脅評估模塊、風險因素管理模塊和安全態勢評估模塊。
下面分別具體說明分析層中的各模塊的功能
脫/KK卞i石沖關決貝u水用，人及^日" ^/妙爭'1卞#:凈佑乂軍只亇水朱;^|日'/及、/炒爭'1亇近1丁力-析和評估，現有的許多權威的入侵檢測工具對每種實際威脅類型都有相應的賦 值，根據這些威脅賦值，結合威脅的類型進行賦值。再依據威脅事件對網絡安 全造成影響的程度，賦以相應的數值；根據資產的脆弱性的不同，每個威脅賦 值所利用的專家數據庫中的賦值也不同。賦值完成后，網絡威脅信息賦值結果 存入風險因素管理模塊中，由于威脅信息是時刻變化的，因此在風險因素管理 模塊緩存一段時間后，將該段時間內緩存下來的威脅信息結果寫入數據庫中。
脆弱性評估模塊負責對評估對象采集到的網絡脆弱性信息進行評估和賦值 計算。脆弱性是評估對象的基本安全屬性，賦值計算的依據是公共漏洞和暴露完成后，將賦值結果提交給風險因素管理模塊，并且將完成后的脆弱性數據結
構寫入數據庫。
資產價值計算模塊采用分層方式對資產和業務價值進行綜合分析，再根據 資產的固有價值、其承載業務的附屬價值和承載業務的重要性及其他相關因素
計算資產價值。
風險因素管理模塊負責在內存中維護資產、網絡脆弱性及網絡威脅信息， 并根據資產與脆弱性、威脅的關聯關系提取其中危害資產的部分，并將威脅與 脆弱性作關聯，提取可能對網絡造成安全威脅的風險因素和風險事件，以供安 全態勢評估模塊進行實時的風險計算與預測。風險因素管理模塊主要保存上次 掃描完成后的網絡脆弱性的賦值結果。由于威脅信息的實時性，以及安全態勢 計算公式的特性，需要風險因素管理單元存儲設定時間內的網絡威脅賦值結果。 由此提出窗口的概念。風險因素管理模塊需要保存窗口范圍內的數據，窗口的 邊緣為當前時間，窗口大小則由用戶設定，即窗口內保存的威脅賦值是從當前 時間往前某個時間段內的所有威脅賦值。該時間段的長度即為窗口的大小。
安全態勢評估模塊負責根據對威脅、脆弱性和資產評估后的結果進行分析-提取出其中對網絡、業務和資產有危害的部分，提供給安全態勢評估進行計算。 風險因素管理將威脅與脆弱性作關聯，提取可能對網絡造成安全威脅的風險事 件風險因素管理才莫塊才是供的風險事件，"l安照i^險態勢計算才莫型實時分別計算當 前威脅事件的賦值、脆弱性的賦值、資產價值，進而計算出當前時刻的網絡風 險值，并根據風險因素管理模塊的分析，將孤立的威脅、脆弱性、資產信息綜 合起來，根據前文提出的方法計算和預測整個網絡風險值的發展態勢。該模塊 的計算方法詳見后述。
參見圖6,說明用于完成安全態勢評估中的離線分析的威脅關聯分析模塊， 它主要對網絡中出現的威脅事件進行關聯分析，用于深入分析威脅事件，并依 賴威脅關聯知識庫和已知的威脅關聯關系，發現當前威脅事件之間的關聯關系， 最終生成關聯圖并預測新的威脅事件，以供分析人員進一步了解威脅事件。由于脆弱性和資產的信息都相對穩定，而威脅信息是動態頻繁變化的。威 脅信息來源于各個入侵檢測工具提供的單個威脅事件，因為這些事件都是孤立 的，所以本發明的評估系統設計了威脅關聯分析模塊，用于研究和解析各個孤 立威脅事件之間的關聯，并發現可能引起的威脅事件的起因。
威脅關聯分析模塊設有一個輪詢進程，該輪詢進程每隔一段時間從采集層 中采集這段時間內的威脅報警數據，存放在數據庫中。對于數據庫中的報警數 據，先由告警預處理單元將其轉換為高級報警形式，這種形式的報警增添了可 能引起的結果及其條件，以便進行關聯分析。告警關聯匹配與關聯圖生成單元 再將高級報警中的因素進行總結，利用威脅關聯知識庫推導出各個報警之間的 關系，再形成關聯圖，達到預測新威脅的目的。
展示層，用于通過圖形化的直觀方式展示網絡資產、網絡拓樸、網絡中存 在的脆弱性和威脅的不同信息以及網絡的安全態勢，包括；資產信息展示模塊、 脆弱性展示模塊、威脅展示模塊、威脅關聯展示模塊、網絡拓樸展示模塊和安
全態勢展示模塊；
參見圖7，介紹采用瀏覽器/服務器架構的展示層，用于通過圖形化的直觀
方式展示網絡資產、網絡拓樸、網絡中存在的脆弱性和威脅的不同信息以及網
絡的安全態勢，包括以下模塊；
展示網絡中的資產信息、資產承載的業務信息和其它重要信息的資產信息 很卞汁旲決；該，旲》夫"3艮告形式夕'j年、^刖門2合卞日3尸/r,'臾、廣、"T廣f;門旦、賞廣"義 載的業務以及資產的其他基本信息，以供系統或用戶在發生風險事件時能夠及 時、準確地查找到具體資產，并對資產的基本情況有個清楚地認識。
以直觀方式展示網絡整體拓樸并在該拓樸圖上以不同色彩表示各資產安全 狀況的網絡拓樸展示模塊，該模塊通過拓樸掃描工具得到的數據生成網絡拓樸 結構圖，再基于該網絡拓樸圖在其上進行加工，以便能夠從宏觀上展示網絡拓 樸結構，并依據極低、低、中、高、極高的風險等級進行分顏色標識。
從多方面分析資產脆弱性并對此脆弱性進行統計分析，以及提供脆弱性補 救措施的脆弱性報告展示模塊。該模塊主要功能是通過調用數據庫中的脆弱性信息，并對其進行展示和提供脆弱性報告，該報告包含脆弱性名稱、脆弱性所 在資產信息、脆弱性的補救方法、脆弱性被利用的幾率，以及脆弱性的危險程 度。脆弱性報告展示模塊還以餅狀圖、柱狀圖的形式對網絡中資產的脆弱性進 行統計分析，以快捷的方式展示脆弱性信息。
對網絡、業務或主機所受到的威脅事件并對這些威脅事件進行展示的威脅 報告展示模塊。威脅報告展示模塊完成的主要功能是提供威脅報告，該報告包 含威脅名稱、威脅源與威脅目的、威脅強度等信息。威脅報告展示模塊還對相 同的威脅進行統計，以威脅源、威脅目的為屬性條件分析成脅事件。
對網絡安全態勢值進行匯總，以多視角多層次的方式展示網絡安全態勢的 安全態勢展示模塊。
對威脅事件進行深入分析，挖掘網絡中威脅事件之間的關聯關系，并預測 新的威脅事件的威脅關聯展示模塊。
本發明評估系統中的上述各個層次的每個軟件功能模塊都必須依靠公共服 務面和系統管理面進行協調統一 。其中公共服務面是系統運行時的公共服務提 供者，負責提供數據服務、系統各個模塊間的通信服務、計時服務和日志服務。 設有提供各層之間的內部通信機制的通信服務模塊，維護系統時鐘的計時服務 模塊，該計時服務模塊為系統運行維護一個時鐘，以選取系統時間作為整個系 統三層結構之間的同步，并為任務的執行提供統一的時間管理。提供各層之間 進行數據傳輸、數據存1'諸、數椐管理的數據服務模塊，該模塊是系統維護的數 據庫，也是系統所有數據的集中地，無論在線分析、離線分析的結果都將存入 該數據庫，以供展示層的調用。以及提供記錄系統運行、用戶登錄操作、系統 受攻擊自我保護及其他情況日志服務模塊，該模塊采用成熟的日志記錄技術， 在系統其他各個模塊中添加相關記錄信息，并通過日志服務模塊進行日志管理 操作，如查詢、存儲、刪除日志條目。
系統管理面作為系統運行時進行協調統一 的支撐環境，設有以下功能模塊 完成用戶登錄系統鑒權、建立新賬戶、修改密碼的用戶管理模塊，該模塊維護 登錄系統的用戶數據，對用戶身份進行鑒別，并為管理員提供用戶管理功能。
22用戶管理模塊提供用戶與系統的界面交互。接受用戶定制的評估策略，并根據 該策略對各個模塊間的協作進行控制的策略管理模塊，該模塊在任務執行過程 中采用相應策略(如系統采集層傳感器組的采集頻率等)進行管理，該模塊與 任務管理模塊雖在邏輯上分開，但在實現過程中同時發揮作用。用戶在提交任 務時，需要對任務執行策略和系統運行策略分別進行配置。以及對安全態勢評 估項目進行控制和調整，即包括啟動和停止態勢評估項目、調整數據采集策略， 設置數據分析的相關參數的任務管理模塊，該模塊包括有用戶登錄后可以進行
操作的具體內容包括態勢評估項目的啟動與停止，數據采集策略的調整，數 據分析相關參數的配置等。本發明的評估系統通過該模塊協調其他各個模塊的 工作，其他所有模塊的運行狀態都是由該模塊進行維護并發送命令。
下面介紹本發明使用網絡安全態勢評估系統來評估網絡安全態勢的方法， 眾所周知，本發明評估系統的核心功能是對目標網絡進行安全風險態勢的評估 和預測，根據風險評估的要素，系統必須提供資產價值計算、威脅分析、脆弱 性分析和安全態勢評估的功能。鑒于網絡系統的整體運行包括多個不同的業務， 每個業務的運營需要多個網絡資產的支撐，而每個網絡資產又能同時支撐多個
業務同時運作的特點，以及人們關注的焦點是網絡中的風險事件是否會影響每 個業務的正常運營；因此網絡風險是由各個業務的風險與其業務重要性的加權 之和來計算，即以業務為中心來分析和評估安全態勢。因此，本發明的網絡安
i、 <。劣"卞1古^ '/去、參7G園 SJ疋凡勿、力'J水集'臾-廣、/J/L習習'I'王7F口翔、/炒日？二，T^1、 l口jl呂 息，再根據資產信息計算資產價值，同時對脆弱性信息和威脅信息進行實時風
險分析；然后提取網絡中的風險因素并對其進行管理；最后通過歷史數據和安 全事件的關聯分析計算網絡中資產、業務和整個網絡的風險，得到網絡的整體 安全態勢。
該方法包括下列操作步驟
步驟l、系統提供用戶界面，用戶按照自己需求建立評估任務。該步驟的具 體操作內容是
(11)系統提供用戶登錄接口和用戶輸入用戶名與密碼后，用戶管理模塊
23對其進行鑒權并返回結杲；
(12)系統提供用戶輸入接口，由用戶輸入包括評估對象網絡、評估對象 的資產參數、數據分析參數的評估任務的具體信息；
(13)根據用戶輸入的評估任務信息，策略管理模塊將該評估任務分解為
系統能夠識別的各個掃描任務，并通過通信管理模塊提供的內部通信機制將相 關信息轉發到系統的釆集層和分析層。
步驟2、系統按照評估任務的策略分別采集相應數據，分別進行資產價值、
脆弱性賦值和威脅賦值的計算，再分析其中的風險因素和提取風險事件，然后 根據風險事件評估和計算網絡安全態勢，同時對威脅分析的結果進行再分析， 挖掘網絡威脅之間內在的關聯關系。
根據網絡安全態勢評估的基本流程和要素，以及網絡安全態勢的定義，詳 細說明本發明方法中的該關鍵操作步驟的具體流程。網絡安全態勢評估是對網 絡安全風險態勢的評估，主要的三要素分別是資產、威脅和脆弱性，系統通過 數據采集模塊的傳感器組獲得上述三要素的基礎數據。其中資產數據由資產傳
感器收集，并交給分析層的資產價值計算模塊計算得出資產的價值；威脅和脆
弱性分別由威脅傳感器和脆弱性傳感器采集數據并交給分析層的威脅評估模塊 和脆弱性評估模塊，然后統一交由風險因素管理模塊來存儲和管理，再由安全 態勢評估模塊結合資產信息和風險要素，實時計算各個風險值，并得出評估對
象網纟各的當前安z全態劣，'直。
其中資產風險是指網絡中存在的某個資產，當該資產具有脆弱性和網絡威 脅的目標為該資產時，針對該資產的脆弱性所產生在該資產上的風險事件的加 權數值。業務風險是指業務在運行過程中，針對該業務的運行和承載該業務的
網絡設備發生風險事件的可能性以及可能造成的影響；業務風險是下述兩個變 量意外事件發生的可能性和意外事件發生后可能產生的影響的函數，前者是 威脅源利用一個潛在脆弱性的可能性，后者是意外事件對網絡安全產生的影響； 風險值是所面臨的所有威脅下的風險數值。網絡風險是指整個網絡中，針對網 絡的資產，網絡中運行的業務發生的風險事件的可能性以及可能造成的影響。由于網絡基本信息的數據采集是時刻變化的，本發明系統能夠實時捕捉這 些變化，及時反映系統當前的安全態勢，進行持續的態勢評估。該步驟具體操
作內容是
(21)采集層的傳感器管理模塊接收到評估任務的相關信息，按照策略匹 配對其進行分解，由各種傳感器分別采集資產、脆弱性和威脅的相關信息，并 對這些傳感器進行線程監控；
(22 )采集層的各種傳感器采集得到的原始數據通過傳感器管理器進行格 式轉換后，傳送給分析層；
(23 )分斬層得到各種傳感器送來的相應數據^,由資產價偵計算才莫塊、 脆弱性評估模塊和威脅評估模塊分別進行資產價值、脆弱性贈、值和威脅賦值的
計算處理后；再將得到的結果提供給風險因素管理模塊和安全態勢評估模塊， 由后者對其進行風險事件的分析和提取，并利用計算模型進行網絡安全態勢的
實時評估；
參見圖9，介紹該步驟(23)中，安全態勢評估模塊實時評估網絡安全態 勢的具體操作內容
(231 )根據資產風險的計算模型W。=//xJ]{7>^},式中，^為資產"
的價值，z;為根據資產a遭受的某個威脅來源和影響程度賦予的威脅值，^為 資產a所具有的某個脆弱性值，"、x、 ^分別是資產、威脅和脆弱性的序號；
分別計算各個資產風險；
(232 )根據業務風險的計算模型^=l!M:x2] 7>^}，式中， <，為該
業務包含的某個資產價值；7;為該資產4遭受某個威脅來源和影響程度賦予的 威脅值；K,為該資產4所具有的某個脆弱性的值，z、 x、》'分別是支撐該業務
的某個資產、威脅和脆弱性的序號，分別計算各個業務風險；
(233 )根據整個網絡的安全風險為其中各個業務的風險與每個業務的重要性的力口才又之和的計算才莫型，計算整個系統的網^吝乂3T、險1直= S (C; x —,},
式中，《為其中某個業務/的業務風險值，C,是某個業務/的重要性級別賦值， /是網絡中運行的各個業務的序號。
(24)威脅關聯分析模塊對威脅事件的關聯進行離線分析，并將分析結果 存儲到數據庫中；該步驟為可選擇操作。
步驟3、系統對評估任務處理后得到的評估結果以不同形式進行展示，系 統記錄相關各項4喿作。
本發明已經進行了實施試驗，試驗是成功的，實現了發明目的，下面簡要 說明實施試驗的若干情況
參見圖10,該圖是本發明評估系統進行實施試驗時，其中威脅關聯分析模 塊生成的一張威脅關聯圖。圖中的橢圓表示網絡威脅報警事件，通過箭頭表示 各個威脅事件之間的關聯關系。左邊第一個橢圓表示本次仿真試驗中釆集到的 所有告警中的第71個、名稱為"ICMP PING NMAP'，的告警。圖中從A到B的 箭頭表示告警A是告警B的發生的前提，告警B是告警A的后果。
參見圖11,該圖是本發明評估系統中的安全態勢展示模塊采用柱狀圖展示 的資產風險狀況，展示圖中的橫軸為各個資產，縱軸為相應的風險值，并通過 分界線把縱軸分成了極低、低、中、高、極高五個風險等級。每個柱狀代表一 個資產，柱狀的高度標明了該資產對應的風險值，并用不同顏色深度進行標記。 本發明的業務安全態勢圖與該資產安全態勢圖類似，只是橫軸以業務為單位。
參見圖12，該圖也是本發明評估系統中的安全態勢展示模塊生成的安全態 勢圖。展示網絡、業務、資產的安全風險變化過程，并預測未來安全走勢。圖 中的折線由網絡、業務或資產的安全風險值連接而成，折線圖可以直觀地表示 網絡、業務或資產隨著時間的變化，風險值變化的過程，并能夠實時地動態展 示出來。該模塊以30秒為間隔實時讀取安全態勢值，并根據混沌理論預測方法 預測安全趨勢。
權利要求
1、一種網絡安全態勢評估系統，其特征在于所述系統為兩面三層架構，設有對該系統中各功能模塊執行統一協調管理的公共服務面和系統管理面，以及按照業務邏輯處理流程分為的三個層次采集層、分析層和展示層，用于完成資產、脆弱性、威脅和安全態勢的四個評估操作；其中采集層，由分別采集資產脆弱性、威脅及資產信息的不同傳感器組和由多個傳感器管理器組成的傳感器管理模塊所組成，以便根據用戶需求利用傳感器采集相關基礎信息、并對傳感器進行管理和對信息進行格式處理；分析層是系統的核心功能層，負責對采集層采集的包括資產、威脅和脆弱性風險因素數據進行在線/離線分析，提取風險事件，并對其進行實時賦值和計算，預測安全態勢；或者對采集的威脅數據進行關聯分析，以預警網絡新的威脅，并發現網絡攻擊事件之間的關聯關系；包括威脅評估模塊、脆弱性評估模塊、資產價值計算模塊和對上述模塊采集的數據進行實時分析處理的風險因素管理模塊和安全態勢評估模塊，以及用于離線分析的威脅關聯分析模塊；展示層，用于通過圖形化的直觀方式展示網絡資產、網絡拓撲、網絡中存在的脆弱性、面臨的威脅的信息以及網絡的安全態勢，包括；資產信息展示模塊、脆弱性報告展示模塊、威脅報告展示模塊、威脅關聯展示模塊、網絡拓撲展示模塊和安全態勢展示模塊；公共服務面是系統運行時的公共服務提供者，負責提供數據服務、系統各個模塊間的通信服務、計時服務和日志服務；包括為各層之間提供內部通信的通信服務模塊，維護系統時鐘的計時服務模塊，為各層之間提供數據傳輸、數據存儲和數據管理的數據服務模塊，以及提供包括記錄系統運行、用戶登錄操作、系統受攻擊自我保護及其他情況的日志服務模塊；系統管理面作為系統運行時進行協調統一的支撐環境，設有以下功能模塊完成用戶登錄系統鑒權、建立新賬戶、修改密碼的用戶管理模塊，接受用戶定制的評估策略，并根據該策略對各個模塊間的協作進行控制的策略管理模塊，以及對安全態勢評估項目進行控制和調整，即包括啟動和停止態勢評估項目、調整數據采集策略，設置數據分析的相關參數的任務管理模塊。
2、 根據權利要求1所述的網絡安全態勢評估系統，其特征在于所述采集 層設置的分別采集資產信息、資產脆弱性及威脅的三類傳感器組，分別采集風 險評估過程中所需的資產、脆弱性和威脅的基礎信息，這些傳感器組分別部署 在網絡中的主機或交換機/路由器上，通過掃描或監聽來獲取基于主機或網絡的數據；其中部署在主機的傳感器負責采集主機資產信息及其資產脆弱性信息； 部署于交換機/路由器上的傳感器用于采集網絡成脅信息；采集層中的傳感器管理模塊設有多個傳感器管理器單元、消息隊列及消息 處理單元和傳感器管理器注冊單元，其中每個傳感器管理器單元用作傳感器管 理模塊中的獨立功能實體，與具體類型的傳感器綁定而為該類型傳感器提供消 息中轉和管理服務；消息隊列及消息處理單元負責對傳感器采集的消息進行存 儲和處理；傳感器管理器注冊單元用于實現傳感器管理器的可擴展性，以便通 過各個傳感器管理器的標識ID來互相識別，以實現系統的可擴展性。
3、 根據權利要求1所述的網絡安全態勢評估系統，其特征在于所述分析 層中的各模塊的功能分別是威脅評估模塊，用于根據威脅事件數據庫對采集到的威脅事件進行評估， 再依據威脅事件對網絡安全造成影響的程度，賦以相應的數值；根據資產的脆 弱性的不同，每個成脅賦值所利用的專家數據庫中的賦值也不同；脆弱性評估模塊，用于根據脆弱性數據庫對評估對象采集到的脆弱性參數 進行評估，并通過匹配脆弱性在公共漏洞和暴露數據庫CVE中的危險程度進行 賦值；資產價值計算模塊，采用分層方式對資產和業務價值進行綜合分析，再根 據資產的固有價值、其承載業務的附屬價值和承載業務的重要性及其他相關因 素計算資產價值；風險因素管理-漠塊，負責對威脅、脆弱性和資產評估后的結果進行分析， 提取出其中對網絡、業務或資產有危害的部分，并將威脅與脆弱性作關聯，提取可能對網絡造成安全威脅的風險事件，以供安全態勢評估模塊進行計算；安全態勢評估模塊，根據風險因素管理提供的風險事件，按照風險態勢計 算模型實時計算當前時刻的網絡風險值，并預測網絡風險值的發展趨勢用于離線分析和處理威脅事件關聯關系的威脅關聯分析模塊，用于深入分 析威脅事件，依賴威脅關聯知識庫和已知的威脅關聯關系，發現當前威脅事件 之間的關聯關系，生成關聯圖并根據該關聯圖預測新的威脅事件，以供分析人 員了解威脅事件。
4、 根據權利要求1所述的網絡安全態勢評估系統，其特征在于所述展示 層包括以下功能模塊展示網絡中的資產信息、資產承載的業務信息和資產其 它重要信息的資產信息展示模塊；以直觀方式展示網絡整體結構并在該拓樸圖 上以不同色彩表示各資產安全狀況的網絡拓樸展示模塊；從多方面分忻資產脆 弱性并對該脆弱性進行統計分析，以及提供脆弱性補救措施的脆弱性報告展示 模塊；對網絡、業務或主機所受到的威脅事件展示的成脅報告展示模塊；對網 絡安全態勢值進行匯總，以多視角多層次的方式展示網絡安全態勢的安全態勢 展示模塊；對威脅事件進行深入分析，挖掘網絡中威脅事件之間的關聯關系， 并預測新的威脅事件的威脅關聯展示^f莫塊。
5、 一種采用權利要求1所述的網絡安全態勢評估系統評估網絡安全態勢的 方法，其特征在于所迷網絡安全態勢評估是對網絡安全風險態勢的評估和預 測，基于網絡系統的整體運行包括多個不同的業務，每個業務的運營需要多個 網絡資產的支撐，而每個網絡資產又能同時支撐多個業務同時運作的特點，以 及人們關注的焦點是網絡中的風險事件是否會影響每個業務的正常運營；因此 網絡風險是由各個業務的風險與其業務重要性的加權之和來計算的，即以業務 為中心來分析和評估安全態勢；所述網絡安全態勢評估方法是先分別采集資產、 脆弱性和威脅的三種不同信息，再根據資產信息計算資產價值，同時對脆弱性 信息和威脅信息進行實時風險分析；然后提取網絡中的風險因素并對其進行管 理；最后通過歷史泰:據和安全事件的關聯分析計算網絡中資產、業務和整個網 絡的風險，得到網絡的整體安全態勢。
6、 才艮據權利要求5所述的評估網絡安全態勢的方法，其特征在于所述方 法包括下列操作步驟(1) 系統提供用戶界面，用戶按照自己需求建立評估任務；(2) 系統按照評估任務的策略分別采集相應數據，分別進行資產價值、脆 弱性賦值和威脅賦值的計算，再分析其中的風險因素和提取風險事件，然后根 據風險事件評估和計算網絡安全態勢，同時對威脅分析的結果進行再分析，挖 掘網絡威脅之間內在的關聯關系；(3 )系統對評估任務處理后得到的評估結果以不同形式進行展示，系統記 錄相關各項操作。
7、 根據權利要求6所述的評估網絡安全態勢的方法，其特征在于所述步 驟(1 )進一步包括下列操作(11) 系統提供用戶登錄接口和用戶輸入用戶名與密碼后，用盧管理模塊 對其進行鑒權并返回結果；(12) 系統提供用戶輸入接口 ，由用戶輸入包括評估對象網絡、評估對象 的資產參數、數據分析參數的評估任務的具體信息；(13) 根據用戶輸入的評估任務信息，策略管理模塊將該評估任務分解為 系統能夠識別的各個掃描任務，并通過通信管理模塊提供的內部通信機制將相 關信息轉發到系統的采集層和分析層。
8、根據權利要求6所述的評估網絡安全態勢的方法，其特征在于所述 步驟(2)進一步包括下列操作(21) 采集層的傳感器管理模塊接收到評估任務的相關信息，按照策略匹 配對其進行分解，由各種傳感器分別采集資產、脆弱性和威脅的相關信息，并 對這些傳感器進行線程監控；(22) 采集層的各種傳感器采集得到的原始數據通過傳感器管理器進行格 式轉換后，傳送至分析層；(23) 分析層得到各種傳感器送來的相應數據后，由資產價值計算模塊、 脆弱性評估模塊和威脅評估模塊分別進行資產價值、脆弱性賦值和威脅賦值的計算處理后；再將得到的結果提供給風險因素管理模塊和安全態勢評估模塊， 由后者對其進行風險事件的分析和提取，并利用計算模型進行網絡安全態勢的 實時評估；(24)威脅關聯分析模塊對威脅事件的關聯進行離線分析，并將分析結果存儲到數據庫中；該步驟為可選擇操作。
9、根據權利要求8所述的評估網絡安全態勢的方法，其特征在于所述步 驟(23)中，安全態勢評估模塊實時評估網絡安全態勢的搡作進一步包括下列 內容(231)根據資產風險的計算模型^=JxZ{7;x&}，式中，^為資產。的價值，？；為根據資產"遭受的某個威脅來源和影響程度賦予的威脅值，F,為 資產"所具有的某個脆弱性值，。、x、 .v分別是資產、威脅和脆弱性的序號； 分別計算各個資產風險；(232 )根據業務風險的計算模型W、=IlM:xi;乙WJ，式中，汄為該業務包含的某個資產價值；7;為該資產4遭受某個威脅來源和影響程度賦予的威脅值；[,為該資產4所具有的某個脆弱性的值，"h y分別是支撐該業務 的某個資產、威脅和脆弱性的序號，分別計算各個業務風險；(233 )根據整個網絡的安全風險為其中各個業務的風險與每個業務的重要性的加權之和的計算模型，計算整個系統的網絡風險值Aw =Z{C;.xW,},式中，W,為其中某個業務/的業務風險值，〔，,是某個業務/的重要性級別賦值， /是網絡中運行的各個業務的序號。
10、根據權利要求9所述的評估網絡安全態勢的方法，其特征在于所述 資產風險是指網絡中存在的某個資產，當該資產具有脆弱性和網絡成脅的目標 為該資產時，針對該資產的脆弱性所產生在該資產上的風險事件的加權數值；所述業務風險是指業務在運行過程中，針對該業務的運行和承載該業務的 網絡設備發生風險事件的可能性以及可能造成的影響；業務風險是下述兩個變 量意外事件發生的可能性和意外事件發生后可能產生的影響的函數，前者是 威脅源利用一個潛在脆弱性的可能性，后者是意外事件對網絡安全產生的影響；風險值是所面臨的所有威脅下的風險數值；所述網絡風險是指整個網絡中，針對網絡的資產，網絡中運行的業務發生 的風險事件的可能性以及可能造成的影響。
全文摘要
一種網絡安全態勢評估方法及其系統，該系統為兩面三層架構，設有對該系統中各功能模塊執行統一協調管理的公共服務面和系統管理面，以及按照業務邏輯處理流程分為的三個層次采集層、分析層和展示層，用于完成資產、脆弱性、威脅和安全態勢的四個評估操作；并基于網絡中的業務運營特點，結合現有的風險評估方法、流程和安全檢測工具，提出一套新穎、動態、實時的評估方法。本發明能分析網絡中的資產、業務和整個網絡的風險，并進行安全態勢評估。該系統可在宏觀上提供整體網絡的安全狀態，并能深入具體業務和資產，了解具體的安全問題，從而能有效幫助網絡安全人員分析安全問題的根源所在，從而輔助提出安全解決方案和實施防御措施。
文檔編號H04L12/26GK101436967SQ20081024073
公開日2009年5月20日 申請日期2008年12月23日 優先權日2008年12月23日
發明者孫其博, 沁 李, 楊放春, 王文彬, 閆丹鳳 申請人:北京郵電大學