基于多层次多角度分析的网络安全态势感知系统及方法

专利名称：基于多层次多角度分析的网络安全态势感知系统及方法
技术领域：
本发明属于信息安全领域，涉及一种基于多层次多角度分析的网络安全 态势感知方法。
背景技术：
网络安全态势感知(NSSA: Network Security Situation Awareness)起源与 态势感知(SA: Situation Awareness),态势感知这一概念源于航天飞行的人因 (HumanFactors)研究，此后在军事战场、核反应控制、空中交通监管以及 医疗应急调度等领域被广泛地研究。在1995年，Endsley把态势感知定义为感 知(perception)在一定的时间和空间环境中的元素，包括它们现在的状况和 它们未来的发展趋势[l]。在1999年，TimBass首次提出了网络态势感知这个 概念，并对网络态势感知与空中交通管制(ATC: Air Traffic Control)态势感 知进行了类比，把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去， 并提出了网络安全态势感知概念模型[2]，随即在文献[3]中提出了基于多传感 器数据融合的入侵检测框架，并把该框架用于下一代入侵检测系统和NSAS。 采用该框架能够实现入侵行为检测、入侵率计算、入侵者身份和入侵者行为 识别、态势评估以及威胁评估等功能。但是该模型在网络系统很复杂的时候， 威胁和传感器的数量以及数据流将会变的非常巨大而不可控制。王慧强等人 在文献[4]中，总结了前人的研究，给网络态势做了一个较为全面的定义，所 谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所
5构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境 中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预 测未来的发展趋势。
陈秀真等人在文献[5]中提出了层次化网络安全态势评估方法，该方法基 于IDS报警信息和网络性能指标进行网络安全的定量威胁评估，根据网络系统 的组织结构，基于服务主机本身的重要性，提出一种层次化网络安全威胁态 势评估模型及相应的量化计算方法，该模型从服务、主机和网络系统三个层 次评估安全威胁态势。该方法把管理员从海量的日志分析中解放出来，提供 一种直观的安全威胁态势图，使管理员对系统的安全威胁状况有宏观的了解。 层次化网络安全威胁态势定量评估模型能够直观地给出整个网络系统、主机 和服务三个层次的安全威胁态势，使网络管理员能够及时了解系统安全动态， 查找安全变化的原因，调整安全策略，保证系统安全最大化。而且，从长时 期的安全威胁态势曲线中可以发现安全威胁演化规律。并且，该系统在实际 中得到应用，能够合理评估常见网络攻击对系统安全的威胁，将管理员从繁 重的报警数据分析任务中解脱出来。但是该方法的数据来源单一，仅对IDS的 检测结果或者网络威胁数据分析，没有能综合考虑资产、威胁、脆弱性的依 赖关系。并且，该方法态势评估的结果单一，只是对网络安全态势的一个方 面进行描述。
美国劳伦斯伯克利国家实验室的Stephen Lau于2003年开发了 "The Spinning Cube of Potential Doom"系统，该系统在三维空间中用点来表示网络 流量信息，在笛卡儿坐标系中，即x轴代表网络地址，y轴代表所有可能的源IP，z轴代表端口号，该方法极大地提高了网络态势感知能力[6]。卡内基梅隆大学 SEI (Software Engineering Institute)所领导的CERT/NetSA (The CERT Network Situational Awareness Group)开发出SILK (the System for Internet-Level Knowledge",该系统采用集成化思想，即把现有的Netflow工具集成在一起， 提供整个网络的态势感知，便于大规模网络的安全分析。但是，这些方法是 对网络流量进行可视化分析描述，输出的结果只是网络安全态势感知很小的 一部分。
美国国家高级安全系统研究中心(National Center for Advanced Secure Systems Research, NCASSR)进行的SIFT (Security Incident Fusion Tool) [8]项 目，通过开发一个安全事件融合工具的集成框架，为Internet提供安全可视化。 但是，该方法是基于安全事件的描述，输出的结果也只是网络安全态势感知 的一部分。
此外，基于GB/T20984-2007的风险评估方法可以借鉴到网络安全态势感 知中去，但是传统的风险评估方法程自动化程度不高，需要较多手工参与， 造成资源消耗大并且实时性不高，常常是问题出现了以后才发现。
综上所述，现有网络安全态势感知系统存在以下不足
1) 数据来源单一，仅对入侵检测系统(IDS)的检测结果或者网络威胁数 据分析，没有综合考虑资产、威胁、脆弱性的依赖关系；
2) 输出结果单一，有的只有定性描述而缺乏定量分析，有的是仅对网络 安全态势的某一方面的分析；
3) 感知过程自动化程度不高，需要较多手工参与，造成感知系统资源消耗大并且实时性不高，常常是问题出现了以后很长时间才发现。 参考文献. Endsley M R, "Design and evaluation for situation awareness enhancement", Human Factors Society, 32nd Annual Meeting, Santa Monica, CA, 1988.. Bass T etc., "A glimpse into the fliture of id", http:〃www.usenix.org/publications/login/1999-9/features/f uture.html.. Bass T， "Intrusion Detection Systems and Multi-sensor Data Fusion: Creating Cyberspace Situation awareness", Communications of the ACM， 2000, 43(4): pp.99-105,.王慧强、赖积保等，"网络态势感知系统综述"，计算机科学，2006 Vol.33 No. 10.陈秀真、郑庆华等，"层次化网络安全威胁态势量化评估方法"， Journal of Software, 2006, 17(4): pp.885-897.. Stephen Lau， "The spinning cube of potential doom", Communications ofthe ACM, 2004, 47(6):25 26. Carnegie Mellon's SEI, "System for Internet Level Knowledge (SILK)", http:〃silktools.sourceforge.net, 2005. William Yurcik， "Visualizing NetFlows for Security at Line Speed: The SIFT Tool Suite", 19th Large Installation System Administration Conference (LISA'05), San Diego ，CAUSA, Dec, 2005.

发明内容
本发明的目的是提供一种基于多层次多角度分析的网络安全态势感知系 统及方法，克服现有网络安全态势感知系统数据来源单一、输出结果单一、 感知过程自动化程度不高的问题，从而使得网络安全态势感知更为准确、全 面。为实现上述目的，本发明的基于多层次多角度分析的网络安全态势感知 系统包括
数据采集模块，通过多传感器捕获网络系统的资产、威胁、脆弱性方面 的数据；
网络安全态势理解模块，首先在数据库中建立与资产、威胁和脆弱性相 关的数据字典，然后对数据采集模块采集到的原始数据进行统计分析，去除 重复、错误项，修改不一致项，接着将统计分析后的数据与数据字典进行关 联分析，得到规范化格式的资产、威胁和脆弱性数据；
网络安全态势评估模块，根据网络安全态势理解模块提供的数据，首先 从资产、威胁和脆弱性三方面对网络安全态势进行专题评估，输出评估结果； 接着根据专题评估的结果和态势理解提供的规范化数据，从网络安全的机密 性、完整性和可用性三方面对网络安全态势进行要素评估，输出评估结果； 然后根据网络机密性安全态势值、完整性安全态势值、可用性安全态势值对 网络安全态势进行整体评估，输出评估结果；
网络安全态势预测模块，根据态势评估模块提供的网络安全态势评估值， 采用时间序列分析方法，分析网络安全态势变化规律，给出态势变化曲线图， 预测将来某一时刻网络安全态势值，并给出预测误差。
其中，该网络安全态势感知系统进一步包括
安全加固方案模块，根据网络系统的安全态势和变化规律，提供不同的 加固方案，满足不同需求的用户提高网络系统的安全性。
实现本发明所述的基于多层次多角度分析的网络安全态势感知的方法，包括以下步骤
A. 对传感器采集到的网络系统的资产、威胁、脆弱性方面的数据进行统 计数据融合和关联分析，得到规范化数据，接着执行B;
B. 对步骤A融合后的规范化数据进行分析，进行网络安全态势专题评估， 生成评估结果，接着执行C;
C. 对步骤A融合后的规范化数据和步骤B的专题评估结果进行分析，进行
网络安全态势要素评估，生成评估结果，接着执行D;
D. 对步骤C的要素评估结果进行分析，进行网络安全态势整体评估，并输
出评估结果，接着执行E;
E. 对步骤D的整体评估结果进行分析，进行网络安全态势预测，并输出预
测结果。
其中，步骤A中对检测数据的统计数据融合和关联分析进一步包括数据 库中数据字典的建立、更新和删除；对各种检测子系统的检测结果进行统计 分析，去除错误、重复项，修正不一致项；将得到的融合结果与数据字典进 行关联分析，得到规范化格式的资产、威胁和脆弱性数据。
其中，步骤B中的网络安全态势专题评估进一步包括网络安全资产评估、 网络安全威胁评估、网络安全脆弱性评估。
其中，步骤C中的网络安全态势要素评估进一步包括网络安全机密性评 估、网络安全完整性评估、网络安全可用性评估。
其中，步骤D中的网络安全态势整体评估进一步包括面向不同应用领域 加的加权系数分析和整体评估计算。其中，步骤E中的网络安全态势预测进一步包括基于时间序列分析的网 络安全态势预测。
该网络安全态势感知方法还进一步包括步骤F:对步骤B、 C、 D、 E的评
估预测结果进行分析，生成网络安全态势加固方案。
本发明与现有网络安全态势感知系统相比，具有以下优点
1、 本发明采用多种检测方法，在全面获取数据的基础上，综合考虑资产、 威胁和脆弱性对网络安全态势的影响，更准确、全面地进行网络安全态势感 知。
2、 本发明针对不同行业、职位等用户对网络安全态势的关注点和侧重点
的不同，从多个层次、多个角度对网络的安全态势进行分析，采用定量分析 和定性描述相结合的方法，保证评估结果系统而全面。
3、 本发明在安全态势评估的基础上，采用时间序列分析方法，预测网络
系统安全态势变化趋势，并能在此基础上针对不同的需求给出解决网络系统
安全问题、提高网络系统安全性的加固方案。


图1为本发明网络安全态势感知系统示意图2为本发明基于多层次多角度分析方法的网络安全态势感知方法的工 作流程图。
具体实施例方式
下面结合附图和具体实施方式
对本发明作进一步详细的说明。 本发明的基于多层次多角度分析的网络安全态势感知系统，如图1所示，包括以下模块数据采集模块、网络安全态势理解模块、网络安全态势评估 模块、网络安全态势预测模块、安全加固方案模块。
其中，数据采集模块，通过多传感器检测所感知网络系统的运行状况， 捕获网络系统的资产、威胁、脆弱性方面的数据。所述传感器检测子模块包 括资产识别、在线测试、恶意代码检测、脆弱性检测，渗透测试、IDS和安全 事件验证，用于检测资产数据、各种恶意代码和网络入侵数据、各种漏洞和 管理配置脆弱性数据、各种已发生和可能发生的安全事件数据。传感器检测
子模块得到的数据内容见步骤101、 102、 103、 104所述。
网络安全态势理解模块，由于数据采集模块使用的多种不同类别的检测 传感器，收集到的原始数据数量很大，并且存在重复、错误以及不一致的数 据项，不能被态势评估模块直接使用，需要进行预处理。该模块首先在数据 库中建立资产字典、威胁字典和脆弱性字典等数据字典；然后对各种检测子 模块的检测结果进行统计分析，去除错误、重复项，修正不一致项；接着将 统计分析后的数据与数据字典进行关联分析，得到规范化格式的资产、威胁 和脆弱性数据；最后将规范化的数据发送到网络安全态势评估模块。所述数 据字典的字段内容见步骤201、 202、 203所示，所述规范化格式的资产、威胁 和脆弱性数据的字段内容见步骤301、 302所示。
网络安全态势评估模块，采用多层次多角度分析方法，分析态势理解模 块提供的数据，从上到下分为三个层次进行态势评估网络安全态势专题评 估、网络安全态势要素评估、网络安全态势整体评估，每一个评估层次中又 分别从不同的角度进行评估，具体如下所述。网络安全态势专题评估进一步从三个角度进行评估网络安全资产评估、 网络安全威胁评估、网络安全脆弱性评估。
1) 资产评估资产评估是对资产在机密性、完整性和可用性上的达成程 度进行分析，并在此基础上得出一个综合结果。
2) 威胁评估主要评估威胁的当前形势和发展趋势，包括威胁的数量、 范围、影响、技术类别及其发展趋势。威胁评估分为三个层次网络系统中 所有威胁的评估，网络系统中某一类恶意代码或者某一类网络攻击的评估， 以及具体某个威胁的评估。
3) 脆弱性评估主要评估脆弱性当前形势，包括脆弱性的数量、范围、 被利用概率及其对资产安全性的影响。脆弱性评估分为三个层次网络系统 中总体脆弱性的评估，网络系统中某一类漏洞或者某一类管理配置脆弱性的 评估；以及具体某个脆弱性的评估。
所述网络安全态势专题评估的评估方法见步骤501、 502、 601、 602所示。
网络安全态势要素评估进一步从三个角度进行评估网络安全机密性评
估、网络安全完整性评估、网络安全可用性评估。
1) 机密性评估整个网络机密性达成程度的分析，保证机密信息不被窃 听，或窃听者不能了解信息的真实含义的能力；
2) 完整性评估整个网络完整性达成程度的分析，保证数据的一致性， 防止数据被非法用户篡改的能力；
3) 可用性评估整个网络可用性达成程度的分析，保证合法用户对信息 和资源的使用不会被不正当地拒绝的能力。的评估方法见步骤701、 702所示。 网络安全态势整体评估对整个网络系统的安全性进行定量分析和定性描 述，由于不同应用背景对安全性各个方面需求的紧要程度不同，需要区别对 待，本发明采用面向不同应用领域的加权系数分析来进行网络安全态势整体 评估。
所述网络安全态势整体评估的评估方法见步骤801、 802所示。
网络安全态势预测模块，根据态势评估模块提供的评估结果，采用时间 序列分析方法，分析网络安全态势变化规律，给出态势变化曲线图，预测将 来某一时刻网络安全态势值，并给出预测误差。网络系统不同时刻的安全态 势彼此相关，有一定的内部规律，这种规律可以预测系统将来时刻的态势值， 有预见性的指导系统安全策略的配置，实现网络安全的动态管理。本发明中 采用的预测算法是基于时间序列的分析方法，该方法立足概率论和统计学， 有很好的理论基础，适合刻画与时间相关序列的前后依赖性。本发明采用的 网络安全态势预测方法及预测报告的内容见步骤901、 902所示。
安全加固方案模块，根据网络系统的安全态势和用户的需求，提供不同 的加固方案，满足用户对网络系统安全性的需要。该模块首先将网络安全态 势专题评估结果与预先设定的阈值比较，网络全态势要素评估结果与预先设 定的阈值比较，网络当前安全态势值与预先设定的安全态势阈值比较，然后 根据比较结果，对安全态势值大于阈值的部分，生成相应的加固方案。
图2是本发明基于多层次多角度分析方法的网络安全态势感知方法的工 作流程图。态势感知从步骤OOO开始步骤IOI、 102、 103、 104:
步骤IOI、 102、 103、 104代表数据采集过程，通过多传感器检测所感知 网络系统的运行状况，捕获数据，本发明中使用的检测子模块有资产识别、 在线测试、恶意代码检测、脆弱性检测，渗透测试、IDS和安全事件验证。根 据子模块接口规范，各个检测模块得到的数据内容如下
*恶意代码检测子模块恶意代码所在资产的ID和IP地址(当IP地址存在 时)，恶意代码的类型和名称，恶意代码所在文件的类型和名称，恶意代码 的行为模式和安全威胁级别，恶意代码对应威胁的ID，时间。
*脆弱性检测子模块脆弱性所在资产的ID和IP地址(当IP地址存在时)， 漏洞的名称，漏洞类型，漏洞描述，漏洞的MS和CVE编号，漏洞对应的端口， 漏洞对于脆弱性的ID，脆弱性数值，时间。
參在线测试子模块领B式用柳D，检测脆弱性的ID，脆弱性的值，时间。
*渗透测试子模块渗透测试对应资产的ID和IP地址(当IP地址存在时)， 测试得到脆弱性ID和数值，测试得到的威胁ID和数值，渗透测试使用工具的 名称和类型，渗透测试获得的权限，对威胁利用脆弱性权重系数的调整，时 间。
*安全事件验证子模块安全事件对应资产的ID和IP地址(当IP地址存在 时)，安全事件攻击和漏洞的描述，安全事件对应脆弱性ID和数值，安全事 件对应威胁ID和数值，对威胁利用脆弱性权重系数的调整，时间。
*资产识别子模块资产ID，资产名称、类型和描述，资产位置(主机IP、
子网ID)，资产的CIA赋值和整体赋值，时间。*入侵检测系统入侵对应资产的ID和IP地址(当IP地址存在时)，入侵 对应威胁的ID，检测时间，入侵次数，入侵的状态。
步骤201、 202、 203:
步骤201、 202、 203代表数据库中预先建立的一些字典，根据相关资料调 查，在数据库中建立威胁字典、脆弱性字典、组合脆弱性字典(图3中略)、 修补方案字典(图3中略)、组合修补方案字典(图3中略)、多角度权值表， 字段内容如下
參威胁字典威胁ID，威胁名称，威胁描述，威胁类型，威胁可影响的 资产类型，威胁值，威胁的(组合)加固方案，威胁利用的(组合)脆弱性 值；
參脆弱性字典脆弱粗D，脆弱性名称，脆弱性描述，脆弱性类型，脆 弱性CVE编号，脆弱性MS编号，脆弱性对机密性的影响，脆弱性对完整性的 影响，脆弱性对可用性的影响，脆弱性值，脆弱性的(组合)加固方案； 參组合脆弱性字典组合脆弱性ID，脆弱性ID，组合脆弱性名称； 參修补方案字典修补方案ID，修补方案名称，修补方案描述； 參组合修补方案字典组合修补方案ID，修补方案ID，组合修补方案名
称；
*多角度权值表权值ID，机密性加权系数、完整性加权系数、可用性 加权系数。
步骤301、 302:
步骤301、 302的数据关联代表两部分内容，首先将IOI、 102、 103检测子系统得到的数据进行统计分析汇总，分别扫描各个检测子系统的输出数据，
按照资产ID、威胁ID和脆弱性ID进行整理，去除错误、重复项，修正不一致 项，得到(图3中略)信息系统描述表、子网信息描述表、系统资产表、系
统威胁表、系统脆弱性表，字段内容如下
參信息系统描述信息系统ID，项目ID，信息系统描述； 參子网信息描述子网标识ID，子网名称、IP范围、描述； 參系统资产表资产ID，资产名称、类型和描述，资产位置(主机IP、
子网ID)，资产的CIA值，资产值，时间；
*系统威胁表威胁ID、威胁所在的资产ID、威胁的状态、威胁发生时
间，威胁利用脆弱性权重系数的调整；
參系统脆弱性表脆弱性ID，脆弱性所在资产的ID，脆弱性检测时间，
威胁利用脆弱性权重系数的调整。
接着将上述得到的融合结果表与数据字典201、 202相关联，根据威胁ID 和脆弱性ID到相应的字典中査找相关项，得到规范化格式的内容系统威胁 评估表和系统脆弱性评估表，字段内容如下
參系统威胁汇总表(步骤401):威胁ID，威胁所在的资产ID，威胁名称、 描述、类型，威胁值，威胁影响的资产类型，威胁利用的(组合)脆弱性ID， 威胁对应的(组合)修补方案ID，威胁发生时间，威胁利用脆弱性权重系数 的调整；
參系统脆弱性汇总表(步骤402):脆弱性ID，脆弱性所在的资产ID，脆 弱性名称、描述、类型，脆弱性CVE和MS编号，脆弱性对资产CIA的影响，脆弱性值，脆弱性相关(组合)修补方案ID，脆弱性检测时间，威胁利用脆 弱性权重系数的调整。
步骤501、 502、 601、 602:
步骤501、 502、 601、 602代表安全态势专题评估，包括威胁评估(步骤 501、 502)和脆弱性评估(步骤601、 602)，评估结果是威胁评估报告和脆 弱性评估报告。此外安全态势专题评估还包括资产评估(图3中略)，并生成 相应的资产评估报告，资产评估报告由资产识别104得到，内容如前所述的系 统资产表。威胁评估和脆弱性评估类似，下面就以威胁评估为例说明评估步 骤501的细节。
烕胁评估501按照评估粒度不同分三种评估类型某个具体威胁的评估、 某类威胁的评估、整个系统所有威胁的评估。得到威胁评估报告502，具体内 容是项目ID，任务ID，威胁的数量，威胁分布范围(威胁所影响的资产的 数量)，威胁态势，威胁态势描述，威胁加固方案，评估时间。
其中，威胁的数量和威胁分布范围可用采用统计方法获得，依次扫描系 统威胁汇总表401，对同一个(同一类)威胁的数量和影响的资产进行统计。 威胁态势包括威胁数量、范围的变化趋势和威胁对整个网络的影响，威胁的 数量和范围的发展趋势可以根据历史记录，采用时间序列分析方法，预测将 来时刻的威胁数量和范围，得到其变化趋势。威胁对整个网络的影响根据威 胁引起的安全事件(包括已经发生或者可能发生)的影响来确定。
安全事件的影响^安全事件发生的可能性X安全事件造成的损失X安全
事件所影响资产的资产值，其中，安全事件发生的可能性是其相关威胁发生的可能性(即系统威胁汇总表401中威胁值)，安全事件的损失是其相关脆弱 性的损失(即系统脆弱性汇总表402中脆弱性值)，安全事件所影响资产的资 产值可在系统资产表中査询。
同理，脆弱性评估601按照评估粒度不同分三种评估类型某个具体脆弱 性的评估、某类脆弱性的评估、整个系统所有脆弱性的评估。得到脆弱性评 估报告602，具体内容是项目ID，任务ID，脆弱性的数量，脆弱性分布范围 (脆弱性所影响的资产的数量)，脆弱性态势，脆弱性态势描述，脆弱性加 固方案，评估时间。 步骤70K 702:
步骤70K 702代表安全态势要素评估，包括机密性评估，完整性评估， 可用性评估，得到安全态势要素评估报告，具体内容是项目ID，任务ID， 机密性(完整性、可用性)态势值，机密性(完整性、可用性)态势描述， 机密性(完整性、可用性)加固方案，评估时间。
机密性、完整性和可用性态势值的计算过程类似，下面仅以机密性态势 值计算为例说明。首先，由系统威胁汇总表401和系统脆弱性汇总表402得到 系统安全事件(包括已经发生或者可能发生)汇总表安全事件所在的资产ID， 安全事件相关联威胁ID，威胁名称，安全事件发生的可能性(相关威胁值)， 安全事件相关联的(组合)脆弱粗D，脆弱性名称，安全事件对资产的影响 (相关脆弱性对资产C、 I、 A的影响)，安全事件相关联的(组合)修补方案 ID，时间，权重系数的调整；接着计算单个资产的机密性安全态势值，计算
方法为先计算单个安全事件对该资产机密性的影响，再将该资产上所有安全事件的影响相加；然后，根据资产的重要性，将所有资产机密性态势值加 权求和，计算出整个网络的机密性安全态势值。
其中，单个安全事件对该资产机密性的影响=安全事件发生可能性X安 全事件对机密性的影响X该资产机密性值。安全事件发生可能性、安全事件 对机密性的影响可从上述系统安全事件汇总表中获取，该资产机密性值可从 系统资产表中获^(。
步骤801、 802:
步骤801、 802代表安全态势整体评估，801采用多角度加权评估方法。不 同的网络信息系统对安全性的需求不同，根据不同需求，选择多角度权值表 203中的相应的权值，分别对整个网络机密性安全态势值、完整性安全态势值、 可用性安全态势值加权，得到整个网络的安全态势值。得到安全态势整体评 估报告802，具体内容是项目ID，信息系统ID，安全态势值，安全态势描述， 安全加固方案，评估时间。 步骤901、 902:
步骤901、 902代表安全态势预测，网络不同时刻的安全态势彼此相关， 有一定的内部规律，这种规律可以预测系统将来时刻的态势值，有预见性的 指导系统安全策略的配置，实现网络安全的动态管理。步骤901态势预测采用 的方法是基于时间序列分析的方法。由于态势评估模块输出的不同时刻的安 全态势值彼此相关，并且随时间的不同变化，可以看成一个非平稳的时间序 列，可以采用ARIMA模型拟合。首先，计算序列的自相关函数和偏相关函数， 进行模型识别；接着，采用采用最小二乘估计和最大似然估计的方法，进行参数估计；最后，根据确定的时间序列模型进行不同提前期的预测和误差估 计，画出态势变化曲线，预测态势变化规律。
得到态势预测报告902，具体内容是项目ID，信息系统ID，安全态势预 测值，将来时刻安全态势描述，预测时间(提前期)，预测误差。 步骤lll:
步骤lll代表整个评估流程结束，输出相关的评估报告。 本发明基于多层次多角度分析的网络安全态势感知系统及方法能够通过 上述系统和方法实现，但不仅限于此。其中，数据采集的目的是采集资产、 威胁、脆弱性方面的数据，可以根据实际情况，采用其它能满足需要的传感 器；网络安全态势评估时，针对每一个层次，每一个角度，都有一系列可以
选择的成熟算法，如果替换为类似的算法，能达到同样的发明效果；安全态 势预测除本发明采用的基于时间序列分析的方法外，也可采用其它的预测方 法。
权利要求
1. 一种基于多层次多角度分析的网络安全态势感知系统，包括数据采集模块、网络安全态势理解模块、网络安全态势评估模块和网络安全态势预测模块，其特征在于数据采集模块，通过多传感器捕获网络系统的资产、威胁、脆弱性方面的数据；网络安全态势理解模块，首先在数据库中建立与资产、威胁和脆弱性相关的数据字典，然后对数据采集模块采集到的原始数据进行统计分析，去除重复、错误项，修改不一致项，接着将统计分析后的数据与数据字典进行关联分析，得到规范化格式的资产、威胁和脆弱性数据；网络安全态势评估模块，根据网络安全态势理解模块提供的数据，首先从资产、威胁和脆弱性三方面对网络安全态势进行专题评估，输出评估结果；接着根据专题评估的结果和态势理解提供的规范化数据，从网络安全的机密性、完整性和可用性三方面对网络安全态势进行要素评估，输出评估结果；然后根据网络机密性安全态势值、完整性安全态势值、可用性安全态势值对网络安全态势进行整体评估，输出评估结果；网络安全态势预测模块，根据态势评估模块整体评估子模块提供的网络安全态势评估值，采用时间序列分析方法，分析网络安全态势变化规律，给出态势变化曲线图，预测将来某一时刻网络安全态势值，并给出预测误差。
2. 按照权利要求1所述的网络安全态势感知系统，其特征在于，该网络安 全态势感知系统进一步包括安全加固方案模块，根据网络系统的安全态势 和变化规律，提供不同的加固方案，满足不同需求的用户提高网络系统的安全性。
3. 实现权利要求l所述的网络安全态势感知系统的方法，包括以下步骤:A. 对传感器采集到的网络系统的资产、威胁、脆弱性方面的数据进行统 计数据融合和关联分析，得到规范化数据，接着执行B;B. 对步骤A融合后的规范化数据进行分析，进行网络安全态势专题评估，生成评估结果，接着执行C;C. 对步骤A融合后的规范化数据和步骤B的专题评估结果进行分析，进行网络安全态势要素评估，生成评估结果，接着执行D;D. 对步骤C的要素评估结果进行分析，进行网络安全态势整体评估，并输出评估结果，接着执行E;E. 对步骤D的整体评估结果进行分析，进行网络安全态势预测，并输出预测结果。
4. 按照权利要求3所述的方法，其中，步骤A中对传感器采集到的数据的统计数据融合和关联分析进一步包括首先在数据库中建立与资产、威胁和脆弱性相关的数据字典，然后对数据采集模块采集到的原始数据进行统计分 析，去除重复、错误项，修改不一致项，接着将统计分析后的数据与数据字 典进行关联分析，得到规范化格式的资产、威胁和脆弱性数据。
5. 按照权利要求3所述的方法，其中，步骤B中的网络安全态势专题评估进一步包括网络安全资产评估、网络安全威胁评估、网络安全脆弱性评估。
6. 按照权利要求3所述的方法，其中，步骤C中的网络安全态势要素评估进一步包括网络安全机密性评估、网络安全完整性评估、网络安全可用性评估。
7. 按照权利要求3所述的方法，其中，步骤D中的网络安全态势整体评估进一步包括对步骤C输出的整个网络机密性安全态势值、完整性安全态势值、 可用性安全态势值加权分析，得到整个网络的安全态势值。
8. 按照权利要求3所述的方法，其中，步骤E中的网络安全态势预测进一步包括基于时间序列分析的网络安全态势预测。
9. 按照权利要求3所述的方法，其特征在于，该方法还进一步包括步骤F: 对步骤B、 C、 D、 E的评估预测结果进行分析，生成网络安全态势加固方案。
全文摘要
本发明公开了一种基于多层次多角度分析的网络安全态势感知系统及方法。该系统包括数据采集模块、网络安全态势理解模块、网络安全态势评估模块和网络安全态势预测模块；实现该网络安全态势感知系统的方法包括以下步骤A.对传感器采集到的网络系统的资产、威胁、脆弱性方面的数据进行统计数据融合和关联分析，得到规范化数据；B.对步骤A融合后的规范化数据进行分析，进行网络安全态势专题评估；C.根据步骤A得到的规范化数据和步骤B的评估结果进行网络安全态势要素评估；D.根据步骤C的评估结果进行网络安全态势整体评估；E.根据步骤D的评估结果进行网络安全态势预测。本发明从多层次、多角度对网络的安全态势进行分析，保证感知结果系统更为准确、全面。
文档编号H04L12/24GK101459537SQ20081018901
公开日2009年6月17日 申请日期2008年12月20日 优先权日2008年12月20日
发明者奚宏生, 崔孝林, 帅建梅, 勇 张, 谭小彬 申请人:中国科学技术大学