专利名称:一种网络安全态势评估方法
技术领域:
本发明属于网络安全技术领域,具体涉及一种网络安全态势评估方法。
背景技术:
随着计算机技术和通信技术的迅速发展以及用户需求的不断增加,计算机网络获 得了越来越广泛的应用。网络具有资源分布共享化、用户分散化和管理分布化等特性,为实 现大规模的并行计算和信息服务提供了基础。然而,当前网络正面临着严峻的信息安全形 势,安全问题已经成为制约其发展的一大障碍。安全态势评估技术能够从整体上反映出网 络动态安全状况,并对安全状况的发展趋势进行预测和预警,因此,针对网络的安全态势评 估模型及关键技术已经成为目前网络安全领域的研究热点。目前,对网络进行安全态势评估主要有以下四类方法第一类是可视化方法,该方 法的主要思想是利用人对直观图像的敏锐性,以可视化视图的方式将网络连接状态呈现出 来,从而使管理员对当前的网络状态有直观的了解,并通过经验去判断网络是否受到攻击 威胁,但此类方法所反映的网络安全指标较为单一,对管理员经验水平要求也很高。第二类 是基于入侵检测系统的分布式传感器进行数据融合的方法,对计算机网络安全态势进行评 估,通过数据融合和数据挖掘的方法评估计算机网络的安全性,但没有实现具体的原型系 统。第三类是基于蜜网进行因特网安全态势评估的方法,使用蜜网提供的大量网络活动信 息,根据入侵检测工具对这些活动产生的报警信息来构建安全态势曲线,但该曲线只有在 大规模病毒或蠕虫爆发时才能体现出明显效果。第四类是层次化网络安全威胁态势量化评 估方法,利用入侵检测系统报警信息和网络性能指标,并且结合主机的漏洞信息,对服务、 主机和网络进行层次化的安全定量评估,得到直观的安全态势图,但选取的态势评估指标 还不够全面,量化算法结果也不够准确。考虑到网络安全态势评估的实际应用背景,态势评估方法应该选取较全面的态势 评估指标,建立相应的较为准确的态势评估方法,我们设计了本发明所述的一种基于期望 状态图和性能修正的网络安全态势评估方法。
发明内容
本发明的目的在于提供一种基于期望状态图和性能修正的网络安全态势评估方 法。针对网络安全性的各种因素进行分析,利用网络中各主机攻击图和漏洞信息生成期望 状态图,并提出期望威胁与性能修正相结合的方法,利用主机性能和服务信息以及网络组 件的性能指标,对期望状态进行修正并绘制安全态势曲线,从而实现网络安全态势的量化 分析和趋势预测。本发明结合计算机网络自身的特点,将网络安全的影响因素归纳为三类网络特 性、入侵信息和网络性能。网络特性主要包含了网络主机特性、网络组件特性和节点关系。主机特性包括主 机的唯一标识符、主机权重、主机上运行的应用服务和主机上存在的漏洞;网络组件特性包括网络组件的唯一标识符、网络组件的类型和网络组件所占的权重值。节点关系包含物理 链接关系和信任关系。入侵信息主要包括入侵信息的唯一标识符、入侵信息的类型、入侵所依赖的漏洞 和入侵的期望威胁。网络性能包含了网络主机性能和网络组件性能。主机性能包括主机的唯一标识 符、主机处理器使用率、主机内存使用率、主机服务时间、主机服务队列数、连接数、流量、包 延迟时间和丢包率;网络组件性能包括网络组件的唯一标识符、网络组件的类型、网络组件 的入侵检测和防护能力和网络组件处理的流量。本发明方法的框架图如图1所示。本发明方法包含了三个层次原始数据层、量化分析层和网络综合层。原始数据层 包括告警信息、漏洞信息、服务信息、主机性能和网络组件性能;而量化分析层包括期望状 态图生成、性能修正算法、主机权重计算、主机安全态势计算和网络组件安全态势计算;最 后网络综合层是利用主机安全态势和网络组件安全态势综合计算网络安全态势。本发明的具体步骤如下步骤A 告警关联分析,通过对海量告警信息进行相关性分析,以降低网络入侵检 测系统产生的告警数量,减少误报,并对攻击步骤的前后相关性进行分析,从而得到较高抽 象层次的入侵信息,包括类型、依赖漏洞和入侵的期望威胁等信息,生成较准确的主机攻击 图;步骤B:风险传播分析,利用网络内部主机之间的信任关系和攻击所依赖的漏洞, 分析某成功攻击在局域网内可能对其它主机产生的威胁,从而得到更完整的主机攻击图;步骤C:漏洞关联分析,利用主机漏洞信息、攻击所依赖的漏洞和入侵的期望威 胁,针对主机攻击图进行关联分析,得到主机的期望状态图;步骤D:计算期望威胁,利用已有的攻击知识和主机期望状态图,对期望状态图中 的各个期望状态进行赋值,计算期望状态的差值并取其中最大值作为主机期望威胁;步骤E:计算修正威胁,利用实际主机性能参数计算主机性能改变值,对主机期望 威胁进行修正,得到网络主机的修正威胁;步骤F:计算主机综合安全态势和网络组件综合安全态势,利用各主机提供服务 的权重信息和各主机的修正威胁值计算出主机综合安全态势;步骤G:计算网络安全态势,利用主机综合安全态势和网络组件综合安全态势进 行加权计算即可得到网络安全态势,计算公式如下SA = x X SAH+ (1- x ) X SAn其中x为比例系数,取值为W,l],表示主机态势值在安全态势分析中所占的比 例;主机综合安全态势,反映网络的服务能力;SAN为网络组件综合安全态势,反映网 络的连通性;步骤H:结果输出,利用以上步骤可以计算网络不同时段的安全态势值,结果输出 即是将安全态势计算结果通过绘制网络安全态势曲线图的方法进行可视化展现,安全态势 曲线图可以从整体上反映网络的安全态势变化情况。本发明的积极效果本发明可以有效地将理论分析结果和实际性能参数结合在一起,更加准确地分析攻击对网络主机和网络组件的实际影响,并且通过性能修正方法可以对未知攻击造成的威 胁进行分析,因此比传统方法更准确地反映了网络的安全态势。
图1示出了基于期望状态图和性能修正算法的网络安全态势评估方法的主要框 架;图2示出了主机攻击图和主机期望状态图的对比;(a)主机攻击图(b)主机期望状态图。
具体实施例方式本发明的输入是告警信息、漏洞信息、主机性能信息和服务信息、网络组件性能信 息、网络拓扑信息及主机信任关系。输入信息可以来自任何一个网络系统的各种设备,如主 机、服务器、入侵检测系统、路由器、防火墙等等。这些设备上的数据流经过对应的预处理设 备处理后,提取出的信息都可作为本发明的输入信息。以上信息要求完整全面,信息越完 整,评估结果越准确。通过对输入信息的层层处理和分析,最后得到网络安全态势评估结 果,以网络安全态势曲线图进行展现。下面给出详细过程。步骤A 告警关联分析。告警关联分析,是通过对海量告警信息进行相关性分析,有效降低网络入侵检测 系统产生的告警数量,减少误报,并对攻击步骤的前后相关性进行分析,从而得到较高抽象 层次的入侵信息,生成较准确的主机攻击图。本发明方法采用基于预定义攻击场景的告警 关联算法,首先将攻击图设置为空,然后依次读入每一条告警日志,将告警日志与预定义攻 击场景进行匹配,如果不匹配则读入下一条告警日志,否则检查攻击图中是否已添加该攻 击场景,如果已添加则读入下一条告警日志,否则将匹配的攻击场景添加到攻击图中,每一 条告警日志处理完成后得到主机攻击图。步骤B 风险传播分析。风险传播分析,是利用网络内部主机之间的信任关系和攻击所依赖的漏洞,分析 某成功攻击在局域网内可能对其它主机产生的威胁。本发明方法首先将所有主机的成功攻 击进行传播,传播对象是主机信任关系中信任被攻击主机的其它主机,然后再利用传播对 象主机的漏洞信息判断该风险传播是否成功,如果不成功则中断该条传播路径,否则传播 成功并继续从成功主机向信任对象传播,直至所有信任关系都已进行了分析,从而得到更 加完整的主机攻击图。步骤C:漏洞关联分析。漏洞关联分析,是利用主机漏洞信息、攻击所依赖的漏洞和入侵的期望威胁,针对 主机攻击图进行关联分析,得到主机的期望状态图。漏洞关联分析可以去除攻击图中的无 效攻击,降低期望状态图的复杂度。本发明方法对主机攻击图中每一步所依赖的漏洞进行 检查,如果包含该漏洞则继续检查下一转移过程,否则删除当前状态转移过程,继续检查下 一转移过程,最后得到主机期望状态图。以上得到的主机攻击图和主机期望状态图如图2实例所示,其中图(a)为攻击图,图(b)为期望状态图,期望状态图是根据主机漏洞信息将攻击图中的不可能路径去掉后得 到的。步骤D:计算期望威胁。计算期望威胁,是利用攻击的期望威胁和主机期望状态图,对期望状态图中的各 个期望状态进行赋值,计算期望状态的变化值并取其中最大值作为主机期望威胁。以图2所示期望状态图为例,假设期望状态SO、SI、S2、S4、S6的期望状态值分别 为1、0. 85、0. 95、0. 8、0. 9,其中SO为初始状态,计算其它所有期望状态与初始状态的差值 可得期望威胁值集合VoT为{0. 15,0. 05,0. 2,0. 1},取最大值0. 2作为攻击的期望威胁值 VoTmax。步骤E:计算修正威胁。计算修正威胁是利用实际主机性能参数计算主机性能改变值,对主机期望威胁进 行修正,得到网络主机的修正威胁。安全态势评估模型中的主机性能集合HP用(id,y,u,T,A,K,p,e,6)^ 示,该参数用于对主机性能变化量进行计算,其中id是主机的唯一标识符,、是处理器使 用率;U是内存使用率;T是服务时间;\是服务队列数;K是连接数;P是流量;£是包 延迟时间;S是丢包率。对某主机,其性能参数的最小值都为0,对应的最大值为(id,l,l, To^O'^O' P0' %,1),其中、是最大服务队列数;!^是最大连接数;P。是最大流量; t。是临界服务时间;e。是临界包延迟时间。主机性能由当前可利用资源来衡量,采用如下 公式计算主机当前的性能值PH
r^A-^i , ifT X K O £ ^ph=1~- r + + —+ — + — + —+ — +
ro K ^o Po £o >其中t 彡 T 时,# = 1; e 彡 £ 时,= 易知 PH G
。设在某时段开始时刻某主机的性能参数为(id,i^,x17 Kl,Pl, £l, \),该时段结束时刻的性能参数为(id,y2, u2, x2, A2, k2, p2, e2, S 2),则= + + T + - + A + - + ^
8、 . r0 Ao K0 p0 e0 & = 去+令色+ 爲
T0 ^ K0 p0 e0 )
<>vro A)Po £oJ使用性能变化量APH对期望威胁值VoT_进行修正,就可以得到修正威胁值 CoT。 ,计算公式为VoTcor = (l-n)X VoT隨+ n X A PH其中n为修正系数,取值为w,i],表示性能修正在威胁值计算中所占的比例。步骤F 计算主机综合安全态势和网络组件综合安全态势。利用各主机提供服务的权重信息和各主机的修正威胁值可以计算出网络中所有 主机综合后的安全态势,即主机综合安全态势,计算公式如下
nSAh = Z wHi x VoTCOIt
i=l其中n为主机数,wHi为每个主机所占的权重,由下式计算 其中m为主机提供的服务数,Wi为每个服务所占的权重,为已知信息。利用网络组件性能信息和各网络组件权重值可以计算网络组件综合安全态势。根据网络安全态势评估模型,网络组件的检测和防护能力 处理流量
>其中Qtl是最大处理流量,可由以下公式来计算网络组件的性能值pN: 设在某时段开始时刻某网络组件的性能参数为β工和θ工,该时段结束时刻的性能 参数为日2和θ2,则 由所有网络组件的性能变化量ΔΡΝ和安全态势评估模型中的网络组件权重wN就 可以得到网络组件的综合态势值SAn,计算公式如下 其中η为网络组件数,wM为每个网络组件所占的权重。步骤G 计算网络安全态势。利用主机综合安全态势和网络组件综合安全态势进行加权计算即可得到网络安 全态势,计算公式如下 其中χ为比例系数,取值为W,l],表示主机态势值在安全态势分析中所占的比 例;SAh*主机综合安全态势,反映网络的服务能力;SAn为网络组件综合安全态势,反映网 络的连通性。步骤H:结果输出。利用以上步骤可以计算网络不同时段的安全态势值,结果输出即是将安全态势计 算结果通过绘制网络安全态势曲线图的方法进行可视化展现,安全态势曲线图可以从整体 上反映网络的安全态势变化情况。尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明 的内容并据以实施,但是本领域的技术人员可以理解在不脱离本发明及所附的权利要求 的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于最佳实施例 和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
权利要求
一种网络安全态势评估方法,其步骤为1)对输入的告警信息进行相关性分析,得到主机攻击图;2)根据输入的主机漏洞信息、攻击所依赖的漏洞和入侵的期望威胁对主机攻击图进行关联分析,得到主机的期望状态图;3)利用入侵的期望威胁和主机期望状态图,计算主机威胁值;4)利用各主机提供服务的权重信息和各主机的威胁值计算主机综合安全态势;5)利用网络组件性能信息和各网络组件权重值计算网络组件综合安全态势;6)利用主机综合安全态势和网络组件综合安全态势计算网络安全态势。
2.如权利要求1所述的方法,其特征在于采用基于预定义攻击场景的告警关联算法进 行所述相关性,得到主机攻击图。
3.如权利要求2所述的方法,其特征在于利用网络内部主机之间的信任关系和攻击所 依赖的漏洞对所述主机攻击图进行修正,其方法为首先将所有主机的成功攻击进行传播, 传播对象是主机信任关系中信任被攻击主机的其它主机;然后再利用传播对象主机的漏洞 信息判断该风险传播是否成功,如果不成功则中断该条传播路径,否则传播成功并继续从 成功主机向信任对象传播,直至所有信任关系都已进行了分析,从而得到完整的主机攻击 图。
4.如权利要求1所述的方法,其特征在于所述对主机攻击图进行关联分析,得到主机 的期望状态图的方法为对所述主机攻击图中每一步所依赖的漏洞进行检查,如果包含该 漏洞则继续检查下一转移过程,否则删除当前状态转移过程,继续检查下一转移过程,最后 得到主机期望状态图。
5.如权利要求1所述的方法,其特征在于所述主机威胁值的计算方法为利用入侵的 期望威胁和主机期望状态图,对期望状态图中的各个期望状态进行赋值,计算期望状态的 变化值并取其中最大值作为所述主机威胁值VoTmax。
6.如权利要求5所述的方法,其特征在于利用实际主机性能参数计算主机性能改变 值,对所述主机威胁VoTmax进行修正,得到网络主机的修正威胁值VoT。 ,其方法为1)计算主机某时段内的性能变化量ΔPH;2)利用公式VOTcot=(I-Jl)XVoTmax+η X ΔΡη计算网络主机的修正威胁值;其中η 为修正系数,取值为W,l]。
7.如权利要求6所述的方法,其特征在于所述主机性能的计算公式为U —$ ++ 〕.其中》τ。时,f = ^ ^ 时,t = 1· Y 是处理器,使用率;μ是内存使用率;τ是服务时间;λ是服务队列数;Κ是连接数;P是流量;ε是 包延迟时间;δ是丢包率;λ 0是最大服务队列数;κ ^是最大连接数;P ^是最大流量;τ Q 是临界服务时间;ε。是临界包延迟时间。
8.如权利要求6所述的方法,其特征在于采用公式十算所述主机综/ = 1合安全态势;其中n为主机数,wHi为每个主机所占的权重, m为主机提供的服务U丄/=1,数,Wi为每个服务所占的权重。
9.如权利要求1所述的方法,其特征在于所述网络组件性能信息包括网络组件的唯一标识符、网络组件的类型、网络组件的入侵检测和防护能力、网络组件处理的流量。
10.如权利要求7所述的方法,其特征在于所述网络组件综合安全态势的计算方法为首先采用公式计算某时段内的网络组件性能变化量ΔΡΝ,然后利用公式 = MV, χ Δ4计算所述网络组件综合安全态势值SAn,其中网络组件的检测和防护能/=I1Ν力β e
,处理流量θ e
、θ。是最大处理流量,η为网络组件数,wNi为每个 网络组件所占的权重。如权利要求1所述的方法,其特征在于利用所述主机综合安全态势和所述网络 组件综合安全态势进行加权计算,得到所述网络安全态势SA ;所述计算公式为SA = xXSAH+(l-x)XSAN;其中χ为比例系数,取值为
;SAh*主机综合安全态势;SAn* 网络组件综合安全态势。
全文摘要
本发明公开了一种网络安全态势评估方法,属于网络安全技术领域。本发明方法为1)对输入的告警信息进行相关性分析得到主机攻击图;2)根据输入的主机漏洞信息对主机攻击图进行关联分析,得到主机的期望状态图;3)利用入侵的期望威胁和主机期望状态图计算主机威胁值;4)利用各主机提供服务的权重信息和各主机的威胁值计算主机综合安全态势;5)利用网络组件性能信息和各网络组件权重值计算网络组件综合安全态势;6)利用主机综合安全态势和网络组件综合安全态势进行加权计算,得到网络安全态势。本发明可更加准确地分析攻击对网络主机和网络组件的实际影响,以及对未知攻击造成的威胁进行分析,比传统方法更准确地反映了网络的安全态势。
文档编号H04L12/26GK101867498SQ20091008218
公开日2010年10月20日 申请日期2009年4月17日 优先权日2009年4月17日
发明者冯登国, 连一峰, 韦勇 申请人:中国科学院软件研究所