专利名称:基于信息关联的网络安全态势感知系统及其方法
技术领域:
本发明涉及信息安全领域,尤涉及一种基于信息关联的网络安全态势感知系统及其方法。
背景技术:
目前有很多科研机构正在进行网络态势感知工具的研发,并取得了一定的进展。 CERT NetSA(Network Situational Awareness Team)开发的 SiLK 是一款流量分析工具。 它可以在大规模网络中进行安全分析,支持高效的网络流数据的收集、存储和分析,使得网络安全分析员可以从大量历史数据集中快速查询相关信息,根据查询结果对网络安全态势进行评估。Silk由收集系统和分析系统两部分构成。收集系统负责接收Netflow,并且将其转化为更合理的格式,将这些包存入特定服务的二进制文件中;分析系统负责读取文件、 执行各种查询操作,过滤,统计相关信息。NCASSR(National Center for Advanced Secure System Research)开发 的NVisionIP和NFlowConnect-IP侧重于研究网络安全态势的可视化。NVisionIP和 NFlowCormect-IP分别从网络流量信息和网络连接信息的角度对网络安全态势进行感知, 并在一个屏幕中显示整个网络的安全态势。NVisionIP主要是对网络流量信息进行数据挖掘,从网络流量信息的角度对网络的态势进行感知,它利用路由等设备提供的流量信息, 依据相关攻击的流量特性,对网络的攻击态势从流量的角度进行分析,并进行可视化展示。 NFlowCormect-IP主要从网络连接的角度对网络态势进行感知,它利用网络中主机的连接情况,结合相关攻击的连接特性,对网络的攻击态势从连接的角度进行分析。并进行可视化展不。Sourcefire公司开发的3D System是进行高效的网络安全管理的智能化基础设施。其中的3D knsor负责监测和收集各种网络信息,并对网络信息进行控制管理的网络态势感知工具。3D Sensor 由 IPS、RNA、RUA 和 Netf low Analysis 四部分组成。IPS (Intrusion Detection System,入侵检测系统)提供入侵检测和保护,RNA (Real-time Network Awareness,实时网络识别)监测和收集网络信息;RUA(Real-time User Awareness,实时用户识别)监测和收集网络用户信息;Netflow Analysis (流量分析)收集并监测网络流量 fn息ο信息安全国家重点实验室开发的信息系统安全态势评估工具,是一套采集与处理信息系统多源数据,并进行安全态势分析与预测的综合性工具。该工具以信息系统的资产信息、脆弱性信息和威胁信息三方面为基础,通过网络拓扑自动发现技术、脆弱性扫描技术和多源日志采集与分析技术获取相应信息,实现辅助型信息资产的安全审核、安全管理制度的执行检查以及面向海量日志的安全事件分析,最后综合分析信息系统安全态势并进行预测。西安交通大学的陈秀真等提出的层次化网络安全威胁态势量化评估方法,在报警发生频率、报警严重性及其网络带宽耗用率的统计基础上,对服务、主机本身的重要性因子进行加权,层次化计算服务、主机以及整个网络系统的威胁指数,进而分析网络的安全态势。该方法侧重于从服务、主机和网络受到威胁的角度层次化的评估网络的安全态势。西安电子科技大学的李伟生等根据网络安全态势和安全事件之间的不同的关联性建立态势评估的贝叶斯网络模型,并给出相应的信息传播算法,以安全事件的发生为触发点,根据相应的信息传播算法评估网络的安全态势,该方法从以安全事件为代表的网络威胁的角度评估网络的安全态势。哈尔滨工程大学的王惠强等将多种理论与态势感知相结合,提出了多种态势感知模型。基于简单加权法和灰色理论的网络态势感知模型,利用简单加权法评估网络态势的安全性,并利用灰色理论预测网络安全的发展趋势。基于粗糙集的态势感知算法,将网络攻击行为作为安全要素,利用粗糙集理论处理海量网络安全数据,并且通过具有攻击行为、网络服务和安全态势三个层次的感知模型进行网络态势感知。基于Netfolw的安全态势感知系统,通过NetFlow流数据采集器进行数据采集,并且在此基础上进行数据预处理、事件关联与目标识别、态势评估、威胁评估、响应与预警、态势可视化显示等操作,从而对网络的安全态势进行监控和应急响应。综上所述,现有的网络安全态势感知系统存在以下不足1)缺乏数据有效性的验证从网络中直接采集的数据可能是由网络安全设备误报产生的,对这样的数据进行加工取得的结果,准确性值得商讨。2)缺乏数据关联现有的网络安全态势感知系统倾向于获取多源数据信息,但缺乏对数据信息之间关联性的分析。3)缺乏定量分析目前网络安全评估一般都采用定性的或者等级分类的方式描述网络的安全状态, 缺乏更为准确的,与国际标准一致的定量分析。
发明内容
本发明的一目的在于提供一种基于信息关联的网络安全态势感知系统及其方法, 用于克服现有的网络态势感知系统缺乏数据有效性验证,数据关联和定量分析的问题,从而使得网络安全态势感知更为准确。为了实现上述目的,本发明提供一种基于信息关联的网络安全态势感知系统,其特征在于,包括数据采集模块,用于从网络中获取网络基本信息;网络安全态势评估模块,连接所述数据采集模块,用于利用所述网络基本信息,对网络的威胁性、脆弱性和稳定性进行量化分析,进而实现对当前的网络安全态势的分析;网络安全态势预测模块,连接所述数据采集模块、所述网络安全态势评估模块,用于根据所述网络安全态势的历史信息和当前状态对网络安全态势进行预测;网络态势可视化模块,连接所述网络安全态势评估模块、所述网络安全态势预测模块,用于根据网络安全态势的分析和预测结果,对网络安全指标进行可视化展现。所述的基于信息关联的网络安全态势感知系统,其中,还包括
数据库支撑模块,连接所述数据采集模块、所述网络安全态势评估模块、所述网络安全态势预测模块、所述网络态势可视化模块,用于设置数据库存储所述网络基本信息、进行网络安全态势分析和预测所需的数据信息、进行网络态势可视化显示所需的数据信息。所述的基于信息关联的网络安全态势感知系统,其中,所述数据采集模块又包括入侵检测模块,用于获取用于感知威胁态势的信息;主动扫描模块,用于获取网络基本信息和脆弱性信息;流量监测模块,用于获取描述网络稳定性的网络流量信息。所述的基于信息关联的网络安全态势感知系统,其中,所述网络安全态势评估模块又包括威胁性态势评估模块,连接所述入侵检测模块,用于将所述入侵检测模块产生的警报信息与所述脆弱性信息、网络拓扑信息进行数据关联,得到网络的威胁性态势;脆弱性态势评估模块,连接所述主动扫描模块,用于将所述脆弱性信息与CVSS相关联,获取网络的脆弱性态势;稳定性态势评估模块,连接所述流量监测模块,用于基于流量的变化获取网络的稳定性态势;网络安全态势整体评估模块,连接所述威胁态势评估模块、所述脆弱性态势评估模块、所述稳定性态势评估模块,用于根据所述威胁性态势、所述脆弱性态势、所述稳定性态势,获取网络的整体安全态势值。所述的基于信息关联的网络安全态势感知系统,其中,所述威胁性态势评估模块又包括标准化模块,用于将所述警报信息转化为统一的格式;预处理模块,连接所述标准化模块,用于对具有相同源、目的和攻击类型的警报进行合并;警报验证模块,连接所述预处理模块,用于通过判定攻击可能成功的概率,获取警报的完成度;影响分析模块,连接所述预处理模块,用于量化评估每条警报的严重程度;威胁识别模块,连接所述警报验证模块、所述影响分析模块,用于根据警报的完成度和严重程度,获取网络的威胁性态势。所述的基于信息关联的网络安全态势感知系统,其中,所述威胁识别模块以如下公式获取用于评价网络的威胁性态势的网络威胁性指数TI =^=i(CiXSi)
η其中TI为网络的威胁性指数,η表示单位时间内警报的数目,Ci表示每条警报的完成度,Si表示每条警报的严重程度。所述的基于信息关联的网络安全态势感知系统,其中,所述脆弱性态势评估模块以如下公式获取用于评价网络的脆弱性态势的网络脆弱性指数
权利要求
1.一种基于信息关联的网络安全态势感知系统,其特征在于,包括 数据采集模块,用于从网络中获取网络基本信息;网络安全态势评估模块,连接所述数据采集模块,用于利用所述网络基本信息,对网络的威胁性、脆弱性和稳定性进行量化分析,进而实现对当前的网络安全态势的分析;网络安全态势预测模块,连接所述数据采集模块、所述网络安全态势评估模块,用于根据所述网络安全态势的历史信息和当前状态对网络安全态势进行预测;网络态势可视化模块,连接所述网络安全态势评估模块、所述网络安全态势预测模块, 用于根据网络安全态势的分析和预测结果,对网络安全指标进行可视化展现。
2.根据权利要求1所述的基于信息关联的网络安全态势感知系统,其特征在于,还包括数据库支撑模块,连接所述数据采集模块、所述网络安全态势评估模块、所述网络安全态势预测模块、所述网络态势可视化模块,用于设置数据库存储所述网络基本信息、进行网络安全态势分析和预测所需的数据信息、进行网络态势可视化显示所需的数据信息。
3.根据权利要求1或2所述的基于信息关联的网络安全态势感知系统,其特征在于, 所述数据采集模块又包括入侵检测模块,用于获取用于感知威胁态势的信息; 主动扫描模块,用于获取网络基本信息和脆弱性信息; 流量监测模块,用于获取描述网络稳定性的网络流量信息。
4.根据权利要求3所述的基于信息关联的网络安全态势感知系统,其特征在于, 所述网络安全态势评估模块又包括威胁性态势评估模块,连接所述入侵检测模块,用于将所述入侵检测模块产生的警报信息与所述脆弱性信息、网络拓扑信息进行数据关联,得到网络的威胁性态势;脆弱性态势评估模块,连接所述主动扫描模块,用于将所述脆弱性信息与CVSS相关联,获取网络的脆弱性态势;稳定性态势评估模块,连接所述流量监测模块,用于基于流量的变化获取网络的稳定性态势;网络安全态势整体评估模块,连接所述威胁态势评估模块、所述脆弱性态势评估模块、 所述稳定性态势评估模块,用于根据所述威胁性态势、所述脆弱性态势、所述稳定性态势, 获取网络的整体安全态势值。
5.根据权利要求4所述的基于信息关联的网络安全态势感知系统,其特征在于, 所述威胁性态势评估模块又包括标准化模块,用于将所述警报信息转化为统一的格式;预处理模块,连接所述标准化模块,用于对具有相同源、目的和攻击类型的警报进行合并;警报验证模块,连接所述预处理模块,用于通过判定攻击可能成功的概率,获取警报的完成度;影响分析模块,连接所述预处理模块,用于量化评估每条警报的严重程度; 威胁识别模块,连接所述警报验证模块、所述影响分析模块,用于根据警报的完成度和严重程度,获取网络的威胁性态势。
6.根据权利要求5所述的基于信息关联的网络安全态势感知系统,其特征在于, 所述威胁识别模块以如下公式获取用于评价网络的威胁性态势的网络威胁性指数TI^Ell1CCiXSi)其中TI为网络的威胁性指数,η表示单位时间内警报的数目,Ci表示每条警报的完成度,Si 表示每条警报的严重程度。
7.根据权利要求6所述的基于信息关联的网络安全态势感知系统,其特征在于, 所述脆弱性态势评估模块以如下公式获取用于评价网络的脆弱性态势的网络脆弱性指数VI= -Zf=I V1. CVSS13.其中VI为网络的脆弱性指数,η表示网络中漏洞的数目,Vi。CVSS表示每条漏洞在CVSS中的分值。
8.根据权利要求7所述的基于信息关联的网络安全态势感知系统,其特征在于, 所述稳定性态势评估模块以如下公式获取用于评价网络的稳定性态势的流量的方差E = -S^0XiSI= ^Σ;^-E)2其中SI为网络的稳定性指数,由流量的方差表示,η表示单位时间内流量的记录数,Xi表示每条流量记录的输入和输出流量之和,E表示单位时间内流量的期望值。
9.根据权利要求8所述的基于信息关联的网络安全态势感知系统,其特征在于, 所述网络安全态势整体评估模块以如下公式获取网络的整体安全态势值ST = α JI+α 2SI+a 3VI其中ST为网络的整体安全态势值,a !表示威胁性指数在网络的整体安全态势中所占的比重,a 2表示稳定性指数在网络的整体安全态势中所占的比重,α 3表示脆弱性指数在网络的整体安全态势中所占的比重。
10.根据权利要求1、2、4-9中任一所述的基于信息关联的网络安全态势感知系统,其特征在于,所述网络安全态势预测模块以如下公式对网络安全态势进行预测ρ/ ι 、= /(sjsiapgsia rV^jIk3U _ S^FCSilSiJPCSO其中η表示网络安全状态的数目,Si表示网络处于的安全状态i,P(Si)表示网络处于Si的概率,h表示网络处于的安全状态j,P (Sj Si)表示网络在τ-1时刻出于Si,在τ时刻处于&的概率,P(SjISi)表示网络在τ时刻处于S」,在τ +1时刻处于&的概率。
11.一种基于信息关联的网络安全态势感知方法,其特征在于,包括步骤A,从网络中获取网络基本信息;步骤B,利用所述网络基本信息,对网络的威胁性,脆弱性和稳定性进行量化分析,进而实现对当前的网络安全态势的分析;步骤C,根据所述网络安全态势的历史信息和当前状态对网络安全态势进行预测; 步骤D,根据网络安全态势的分析和预测结果,对网络安全指标进行可视化展现。
12.根据权利要求11所述的基于信息关联的网络安全态势感知方法,其特征在于,还包括步骤E,设置数据库存储所述网络基本信息、进行网络安全态势分析和预测所需的数据信息、进行网络态势可视化显示所需的数据信息。
13.根据权利要求11或12所述的基于信息关联的网络安全态势感知方法,其特征在于,所述A步骤进一步包括Al、获取用于感知威胁态势的信息; A2、获取网络基本信息和脆弱性信息; A3、获取描述网络稳定性的网络流量信息。
14.根据权利要求13所述的基于信息关联的网络安全态势感知方法,其特征在于,所述B步骤进一步包括Bi、将所述入侵检测模块产生的警报信息与所述脆弱性信息、网络拓扑信息进行数据关联,得到网络的威胁性态势;B2、将所述脆弱性信息与CVSS相关联,获取网络的脆弱性态势; B3、基于流量的变化获取网络的稳定性态势;B4、根据所述威胁性态势、所述脆弱性态势、所述稳定性态势,获取网络的整体安全态势值。
15.根据权利要求14所述的基于信息关联的网络安全态势感知方法,其特征在于, 所述Bl步骤进一步包括B11、将所述警报信息转化为统一的格式;B12、对具有相同源、目的和攻击类型的警报进行合并;B13、通过判定攻击可能成功的概率,获取攻击的完成度;B14、量化评估每条警报的严重程度;B15、根据警报的完成度和严重程度,获取网络的威胁性态势。
16.根据权利要求15所述的基于信息关联的网络安全态势感知方法,其特征在于, 所述B15步骤进一步包括以如下公式获取用于评价网络的威胁性态势的网络威胁性指数
17.根据权利要求16所述的基于信息关联的网络安全态势感知方法,其特征在于, 所述Β2步骤进一步包括以如下公式获取用于评价网络的脆弱性态势的网络脆弱性指数
18.根据权利要求17所述的基于信息关联的网络安全态势感知方法,其特征在于,所述B3步骤进一步包括以如下公式获取用于评价网络的稳定性态势的流量的方差 其中SI为网络的稳定性指数,由流量的方差表示,η表示单位时间内流量的记录数,Xi表示每条流量记录的输入和输出流量之和,E表示单位时间内流量的期望值。
19.根据权利要求18所述的基于信息关联的网络安全态势感知方法,其特征在于,所述Β4步骤进一步包括以如下公式获取网络的整体安全态势值
20.根据权利要求11、12、14-19中任一所述的基于信息关联的网络安全态势感知方法,其特征在于,所述C步骤进一步包括以如下公式对网络安全态势进行预测
全文摘要
本发明有关于一种基于信息关联的网络安全态势感知系统及其方法,其中该系统包括数据采集模块,用于获取网络基本信息;网络安全态势评估模块,用于利用网络基本信息,对网络的威胁性、脆弱性和稳定性进行量化分析,进而实现对当前的网络安全态势的分析;网络安全态势预测模块,用于根据网络安全态势的历史信息和当前状态对网络安全态势进行预测;网络态势可视化模块,用于根据网络安全态势的分析和预测结果,对网络安全指标进行可视化展现。本发明克服了现有的网络态势感知系统缺乏数据有效性验证,数据关联和定量分析的问题,从而使得网络安全态势感知更为准确。
文档编号H04L29/06GK102340485SQ201010233950
公开日2012年2月1日 申请日期2010年7月19日 优先权日2010年7月19日
发明者吴进, 席荣荣, 董昭, 金舒原 申请人:中国科学院计算技术研究所