專利名稱:一種網絡安全態勢評估方法及系統的制作方法
技術領域:
本發明涉及網絡安全領域,特別是涉及一種網絡安全態勢評估方法和系統。
背景技術:
網絡安全態勢評估是信息安全領域的重要研究內容。所謂網絡安全態勢評估是指 利用評估算法綜合分析網絡空間的各個安全元素,將元素之間的影響關系以及影響程度以 宏觀指數的方式呈現給管理員,讓管理員從全局的角度感知、覺察網絡系統的安全態勢,進 而促使管理員做出合理、準確的決策。網絡安全態勢評估是整個安全管理的基礎。目前基于靜態加權的量化分級技術在網絡安全態勢評估中應用較為普遍,它的工
作原理是當網絡空間中有攻擊活動發生時,攻擊活動會觸發各個分布式部署的安全設備,
如入侵檢測系統、防火墻等,產生安全事件。安全事件以記錄的形式給出了攻擊的相關屬
性,如攻擊類型、源地址、目標地址、攻擊風險等級等。靜態加權的量化分級技術通常會按照
網絡資源的粒度從系統級、主機級再到服務級結合事件的目的地址對事件進行分類,這樣
就產生了一個層次式的事件集,如
圖1所示。圖1的樹形結構中,每一個葉節點都是一個事
件集合。當一個安全事件產生時,根據事件的目標主機和目標服務將該事件歸類到某一個
葉節點中,這樣一個葉節點就代表針對某個目標主機上某個服務的所有安全事件。評估的
時候首先對各個葉節點進行分別處理,將葉節點中各個事件的攻擊風險等級累加得到主機
i上服務j的態勢指數Service^,然后再通過式(1)計算出各個主機的態勢指數N0dei,其
中Weight (Service^)表示主機i上服務j的權重,得到各個主機的態勢指數N0dei根據式
(2)計算出整個系統的態勢指數System,完成整個評估過程。System從宏觀角度反映了當
全網絡空間的安全狀況。 kNod6[ = ^Service! ,Weight(Service丨)(1)System = Nodet * Weight(Nodei)(2)
/=i但由于靜態加權的量化分級技術是遵循從系統級、主機級,再到服務級結合事件 的目標地址對事件進行歸并分類的,這種方案至少存在以下缺點首先,由于對事件的歸類 劃分依賴于目標地址,使得在目標地址不存在或不唯一的情況下,該方法將不適用。例如利 用ICMP報文進行洪泛攻擊,其沒有明確的目標地址,這時該方法將不適用,具有明顯的局 限性。另外,當網絡中同時發生多種類型的攻擊活動時,其處理特點僅僅停留在靜態加權層 面,使得該技術的融合過程不能體現出不同攻擊活動行為特征之間的區別差異,使得評估 最終結果的準確性下降。
發明內容
為解決上述技術問題,本發明實施例提供一種網絡安全態勢評估方法及系統,以 提高網絡安全態勢評估的適用范圍和準確性,技術方案如下
一種網絡安全態勢評估方法,包括將預置時間段內所有安全事件按照攻擊類型分類,構成至少一個事件集;分別累加各事件集中所述安全事件的攻擊風險等級,將累加值確定為各事件集的 危害程度值;將各事件集的危害程度值作為自變量帶入與各事件集相對應的經驗函數fi(),獲 得各事件集使網絡處于不安全狀態的可信度值;其中,所述經驗函數為根據具體的網絡 應用環境并且滿足證據理論的合成規則的應用條件設計出的用于將危害程度值映射到區 間
的函數;將各事件集的可信度值作為證據分量,利用證據理論的合成規則,綜合各個所述 證據分量,獲得預置時間段網絡處于不安全狀態的可信度。優選地,所述經驗函數為可信度分配函數為
權利要求
一種網絡安全態勢評估方法,其特征在于,包括將預置時間段內所有安全事件按照攻擊類型分類,構成至少一個事件集;分別累加各事件集中所述安全事件的攻擊風險等級,將累加值確定為各事件集的危害程度值;將各事件集的危害程度值作為自變量帶入與各事件集相對應的經驗函數fi(),獲得各事件集使網絡處于不安全狀態的可信度值;其中,所述經驗函數為根據具體的網絡應用環境并且滿足證據理論的合成規則的應用條件設計出的用于將危害程度值映射到區間
的函數;將各事件集的可信度值作為證據分量,利用證據理論的合成規則,綜合各個所述證據分量,獲得預置時間段網絡處于不安全狀態的可信度。
2.根據權利要求1所述的方法,其特征在于,所述經驗函數為可信度分配函數為f^^il^arctgxln-e^-x^/l + Q.S-其中,i表示攻擊活動的類型標識,自變量X為事件集的危害程度值,ki和Si為預置的 標識為i的攻擊活動的修正因子,e&j 為標識為i的攻擊活動的修正函數。
3.根據權利要求1所述的方法,其特征在于,所述利用證據理論的合成規則,綜合各個 證據分量,獲得預置時間段網絡處于不安全狀態的可信度,包括將各個事件集的可信度作為證據分量帶入以下公式,獲得預置時間段網絡處于不安全 狀態的可信度(叫 m2十…十w )(A0 =_mi(N)*m2(N)*...*mn(N)_1 - (m, (N) *m2(Y)*...*mn (Y) + m, (7) *m2(N)*m3(Y)*..*mn(Y) + ... + mx (Y) *m2(Y)*..*mn (N))其中,m為獲得事件集使網絡處于不安全狀態可信度的函數;mi(N)為標識為i的攻擊活動使網絡處于不安全狀態的可信度,所述i = 1,2,3......n,mi (Y)為標識為i的攻擊活動使網絡處于安全狀態的可信度,所述叫⑴=十… m )(iV)為預置時間 段網絡處于不安全狀態的可信度。
4.根據權利要求3所述的方法,其特征在于,所述方法還包括,利用證據理論的合成規 則,綜合各個所述證據分量,獲得預置時間段網絡處于安全狀態的可信度。
5.根據權利要求4所述的方法,其特征在于,所述利用證據理論的合成規則,綜合各個 證據分量,獲得預置時間段網絡處于安全狀態的可信度,包括將各個事件集的可信度作為證據分量帶入以下公式,獲得預置時間段網絡處于安全狀 態的可信度(叫十…十m )(J) = _m1(Y)*m2(Y)*...*mn(Y)_其中,(趴1 巾2 ... 雙 )(10為預置時間段網絡處于安全狀態的可信度。
6.一種網絡安全態勢評估系統,其特征在于,包括攻擊分類單元,用于將預置時間段內所有安全事件按照攻擊類型分類,構成至少一個 事件集;風險累加單元,用于分別累加所述攻擊分類單元構成的各事件集中所述安全事件的攻 擊風險等級,將累加值確定為各事件集的危害程度值;證據分量獲得單元,用于將所述風險累加單元獲得的各事件集的危害程度值作為自變 量帶入與各事件集相對應的經驗函數fi 0,獲得各事件集使網絡處于不安全狀態的可信度 值;其中,所述經驗函數為根據具體的網絡應用環境并且應用證據理論的合成規則的條 件設計出的用于將危害程度值映射到區間w,l]的函數;第一可信度獲得單元,用于將所述證據分量獲得單元獲得的各事件集的可信度值作為 證據分量,利用證據理論的合成規則,綜合各個所述證據分量,獲得預置時間段網絡處于不 安全狀態的可信度。
7.根據權利要求6所述的系統,其特征在于,所述經驗函數為可信度分配函數為
8.根據權利要求6所述的系統,其特征在于,所述第一可信度獲得單元將各個事件集 的可信度作為證據分量帶入以下公式,獲得預置時間段網絡處于不安全狀態的可信度
9.根據權利要求8所述的系統,其特征在于,所述系統還包括第二可信度獲得單元;所述第二可信度獲得單元,用于將所述證據分量獲得單元獲得的各事件集的可信度值作為證據分量,利用證據理論的合成規則,綜合各個所述證據分量,獲得預置時間段網絡處 于安全狀態的可信度。
10.根據權利要求9所述的系統,其特征在于,所述第二可信度獲得單元,將各個事件 集的可信度作為證據分量帶入以下公式,獲得預置時間段網絡處于安全狀態的可信度
全文摘要
本發明公開了一種網絡安全態勢評估方法和系統,以提高網絡安全態勢評估的適用范圍和準確性。上述方法包括將預置時間段內所有安全事件按照攻擊類型分類,構成至少一個事件集;分別累加各事件集中所述安全事件的攻擊風險等級,將累加值確定為各事件集的危害程度值;將各事件集的危害程度值作為自變量帶入與各事件集相對應的經驗函數fi(),獲得各事件集使網絡處于不安全狀態的可信度值;將各事件集的可信度值作為證據分量,利用證據理論的合成規則,綜合各個所述證據分量,獲得預置時間段網絡處于不安全狀態的可信度。可見,本技術方案實現了對整個網絡系統安全態勢的定量評估,提高了網絡安全態勢評估的適用范圍和準確性。
文檔編號H04L29/06GK101951329SQ201010292870
公開日2011年1月19日 申請日期2010年9月27日 優先權日2010年9月27日
發明者馮學偉, 劉杰, 張魯峰, 方蘭, 李響, 李津, 李遠玲, 王東霞, 王春雷, 苗青, 趙剛, 趙金晶, 馬國慶 申請人:北京系統工程研究所