专利名称:基于指标体系的大规模网络安全态势评估方法
技术领域:
本发明涉及计算机网络安全领域,尤其涉及一种基于指标体系的大规模网络安全态势评估方法。
背景技术:
随着人类社会的发展,网络已经融入人们生活的方方面面,在网络给人们带来巨大便利的同时也伴随着不可忽视的安全问题,例如全球互联网络频繁遭受攻击导致网络大面积瘫痪等,使得重要信息系统的安全受到严重威胁。同时,在我国的网络信息化水平发展到一定阶段后,各种网络安全事件增多,如网络经济犯罪、大规模网络攻击、网络窃密等,已成为制约我国国民经济发展,甚至危及社会稳定和国家安全的因素。鉴于日趋严峻的网络安全形势,如何全面客观的反映网络的安全状况,特别是大规模网络的安全状况,成为当前的一个挑战性课题。现有技术中包括层次化网络安全威胁态势评估模型及相应的量化计算方法。该方法利用IDS报警信息和网络性能指标进行网络安全的定量威胁评估,从攻击/漏洞、服务、 主机、网络四个层次自下而上的评估网络安全威胁态势。该方法的主要针对局域网环境下网络攻击造成的威胁,不适合大规模网络系统的安全威胁评估;大规模网络环境主机、服务呈现出一种大规模的分布特性,如果按照上述的模型进行聚合,存在计算速度慢等不足。
发明内容
因此,本发明的任务是提供一种基于指标体系的大规模网络安全态势评估方法, 提高大规模网络安全态势评估的效率。根据本发明的一个方面,提供一种基于指标体系的大规模网络安全态势评估方法,包括步骤1、确定网络安全态势需要分析的维度;步骤2、根据各维度确定网络安全要素;步骤3、根据各网络安全要素确定具体指标;所述维度、安全要素和具体指标为层次式评估模型的各层节点;和步骤4、对所述层次式评估模型进行安全态势评估,得到网络安全态势值。可选的,所述步骤4包括步骤4. 1、对具体的指标进行归一化处理;和步骤4. 2、采用加权求和算法来逐层计算节点的值。可选的,所述步骤4包括步骤4. 1、对具体的指标进行归一化处理;步骤4. 2、通过构建隶属度评价函数,对归一化指标进行模糊化得到模糊评价矩阵;
步骤4. 3、通过重要程度比较矩阵,确定层次式评价体系中各子指标对直接父指标的权重;和步骤4. 4、通过加权求和进行模糊计算和结果分析,得到层次式评估模型中各节点的所代表的评价值。可选的,所述步骤4包括步骤4. 1、对具体的指标进行归一化处理;步骤4. 2、根据层次式模型的底层子节点,确定用于评估其上层节点的网络安全态势指数的因素集和评判等级;步骤4. 3、构建隶属度评价函数;步骤4. 4、构建模糊评价矩阵;步骤4. 5、确定各下层节点对其上层节点的重要性的权重;和步骤4. 6、模糊计算和结果分析。可选的,所述步骤1的维度包括基础运行状态维度、脆弱性维度或网络威胁维度。可选的,所述步骤2包括通过网络流量异常事件、网络中设备异常事件来衡量网络的基础运行状态;通过网络中检测到的漏洞事件来衡量网络的脆弱性状态;通过各种IDS、防火墙上报上来的网络攻击事件来衡量网络遭受威胁的状态。可选的,所述步骤3的具体指标包括安全事件规模;安全事件增长率;和安全事件的源分布。可选的,所述步骤4. 1包括对安全事件规模,通过统计历史数据的得到一个最大值MAX,用最大值算法进行归一化 ^ =X>MAX其中χ为统计的安全事件规模,y为归一化的安全事件规模。可选的,所述步骤4. 1包括对安全事件增长率,通过对比最近两个单位时间间隔内安全事件的统计数目变化进行归一化χ = (X1-X2) /x2y = arctg(x)/ π +0. 5, χ e R, y e
其中X1为当前单位时间内事件的规模,&为最近一个单位时间内事件的规模,y为归一化的安全事件增长率。可选的,所述步骤4. 1包括对于安全事件的源分布,通过集合C中的元素个数和各集合元素的元素个数来归一化安全事件的源分布特性;其中,集合C = {CInt,CExt,C1, C2, -CJ,Clnt表示待评估网络内部源地址集合,Ci 表示一些重点区域的地址集合,CExt表示除了 Ci以外的所有待评估网络的外部地址集合。与现有技术相比,本发明上述方案的优点在于
(1)采用的基于网络安全事件维度的层次式指标体系评估模型对网络安全状况的刻画更加直接,全面;(2)通过选取的关键指标的变化来反应网络的安全状况,提高评估效率;(3)采用量化计算的方法对网络安全态势进行客观的评估,避免人的主观评价,提高评估客观性。
以下,结合附图来详细说明本发明的实施例,其中图1是本发明一个实施例中提供的基于指标体系的大规模网络安全态势评估方法的流程图;图2是本发明一个实施例中提供的层次式评估模型的示意图;图3是本发明一个实施例中提供的对层次式评估模型进行安全态势评估的方法流程图;图4是本发明另一个实施例中提供的对层次式评估模型进行安全态势评估的方法流程图。
具体实施例方式定义定义1,网络态势网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。值得注意的是,态势强调环境、动态性以及实体间的关系,是一种状态,一种趋势,一个整体和宏观的概念,任何单一的情况或状态都不能称之为态势。定义2,态势因子态势因子是指能够引起网络态势发生变化的重要因素,记作fk。 SF= {fi; f2,…,fd}即为态势因子集合,它是监测指标集合的子集。定义3,网络态势感知网络态势感知是指在大规模网络环境中,对态势因子进行获取、理解、评估、显示以及对未来发展趋势的预测。定义4,网络态势指数对某个时间周期内某网络区域内影响其安全态势的各种因素采用一定的方法进行综合评估量化后得到的一个反映网络整体安全态势的数值或者向量。定义5,DDos (Distributed Denial of service)分布式拒绝服务攻击。发明人通过研究发现在大规模网络环境下,为了全面监控网络的运行状况,需要部署一系列的安全设备,比如入侵检测系统,防火墙,漏洞扫描等,各个网络节点都具有多个参数,可以提供多个实时测量值。指标体系是由若干互相联系、互相补充的指标所组成的统一整体,可以用来评价和反应某个领域的某种态势。利用网络设备或节点的参数值构建指标体系,可以用来评价网络安全态势。基于上述发现,本发明一个实施例提供一种基于指标体系的大规模网络安全态势评估方法,首先,构建层次式指标体系评估模型;然后,对所述模型进行安全态势评估。如图 1所示,所述方法具体包括S101,确定网络安全态势需要分析的维度;所述维度表示衡量所述网络安全态势的角度(即从哪些方面衡量网络的安全态势情况);S102,根据各维度确定网络安全要素;所述安全要素表示衡量所述维度的事件;S103,根据各网络安全要素确定具体指标;所述具体指标表示衡量所述安全要素的统计特征属性;所述维度、安全要素和具体指标为层次式评估模型的各层节点;和S104,对所述模型进行安全态势评估,得到整个网络安全态势值。其中,步骤SlOl中,根据网络管理员对网络安全管理的需求,确定网络安全态势衡量的维度。如图2所示,安全态势衡量的维度可以包括网络的基础运行安全情况、网络存在的漏洞情况、网络遭受的攻击情况,步骤SlOl中就将网络安全态势划分为三个维度基础运行状态维度、脆弱性维度、网络威胁维度。该维度将在层次式评估模型中处于第二层, 例如威胁指数200和基础运行状态指数100等。步骤S102主要依据步骤SlOl选择的维度来选择相应的网络安全要素(事件)。在网络中衡量网络安全的要素可能包含很多的内容,比如流量要素、设备的资源利用率要素、 入侵检测系统的告警、防火墙的告警、网络中的漏洞等等。本实施例中选择通过网络流量异常事件、网络中设备异常事件来衡量网络的基础运行状态,通过网络中检测到的漏洞事件来衡量网络的脆弱性状态,通过各种IDS、防火墙上报上来的网络攻击事件来衡量网络遭受威胁的状态。例如图2中的威胁指数下层的攻击分类1201和攻击分类2220。步骤S103针对步骤S102中选择的事件,选择具体指标。由于大规模网络环境下, 系统所采集的安全事件在数量上呈现出海量性的特点,采用传统的评估方法耗时较大,很难适应大规模网络安全态势实时评估的要求,因此需要选择一些有意义的统计特征属性来对大规模网络的安全状况进行评估。比如对于DDOS攻击事件,可以通过DDos的规模(即事件数目)、增长率和源地址分布来衡量DDos的危害,网络流量异常事件,可以通过流量异常事件的数目和增长率来衡量。例如,衡量威胁状态或威胁指数的攻击分类的具体指标包括(1)安全事件规模(即数目),主要通过统计网络安全事件的发生的数目来反应当前网络遭受的异常情况;(2)安全事件增长率,通过对最近两个单位时间内的事件数目的统计分析来反应当前网络安全的发展趋势;和(3)安全事件的源分布,通过检测的异常事件的源地址分布进行统计分析来反应当前网络面临的安全来源。如图2所示,具体指标为子节点事件数目221、增长率222、源地址分布223以及事件数目211、增长率212、源地址分布213。至此,层次式评估模型建立完成。如图3所示,S104包括S201,对具体的指标进行归一化处理;和S202,采用加权求和算法来逐层计算节点的值。步骤S201中,由于选择的统计特征属性(即具体的指标)存在类型和单位的不统一以及数值数量级间悬殊的问题,如果直接将其用于评估可能会使得评估结果不确定,从而失去评估的意义。因此需要在评估前对评估指标的数据进行标准化后再进行评估,避免不合理现象的发生。统计特征属性的归一化方法如下(1)安全事件规模安全事件的规模在通过统计历史数据的得到一个最大值MAX,通过最大值算法进行归一化
权利要求
1.一种基于指标体系的大规模网络安全态势评估方法,包括 步骤1、确定网络安全态势需要分析的维度;步骤2、根据各维度确定网络安全要素;步骤3、根据各网络安全要素确定具体指标;所述维度、安全要素和具体指标为层次式评估模型的各层节点;和步骤4、对所述层次式评估模型进行安全态势评估,得到网络安全态势值。
2.根据权利要求1中任意一项所述的评估方法,所述步骤4包括 步骤4. 1、对具体的指标进行归一化处理;和步骤4. 2、采用加权求和算法来逐层计算节点的值。
3.根据权利要求1中任意一项所述的评估方法,所述步骤4包括 步骤4. 1、对具体的指标进行归一化处理;步骤4. 2、通过构建隶属度评价函数,对归一化指标进行模糊化得到模糊评价矩阵; 步骤4. 3、通过重要程度比较矩阵,确定层次式评价体系中各子指标对直接父指标的权重;和步骤4. 4、通过加权求和进行模糊计算和结果分析,得到层次式评估模型中各节点的所代表的评价值。
4.根据权利要求1中任意一项所述的评估方法,所述步骤4包括 步骤4. 1、对具体的指标进行归一化处理;步骤4. 2、根据层次式模型的底层子节点,确定用于评估其上层节点的网络安全态势指数的因素集和评判等级;步骤4. 3、构建隶属度评价函数; 步骤4. 4、构建模糊评价矩阵;步骤4. 5、确定各下层节点对其上层节点的重要性的权重;和步骤4. 6、模糊计算和结果分析。
5.根据权利要求2或3或4所述的评估方法,所述步骤1的维度包括基础运行状态维度、脆弱性维度或网络威胁维度。
6.根据权利要求5所述的评估方法,所述步骤2包括通过网络流量异常事件、网络中设备异常事件来衡量网络的基础运行状态; 通过网络中检测到的漏洞事件来衡量网络的脆弱性状态; 通过各种IDS、防火墙上报上来的网络攻击事件来衡量网络遭受威胁的状态。
7.根据权利要求6所述的评估方法,所述步骤3的具体指标包括安全事件规模;安全事件增长率;和安全事件的源分布。
8.根据权利要求7所述的评估方法,所述步骤4.1包括对安全事件规模,通过统计历史数据的得到一个最大值MAX,用最大值算法进行归一化[xlMAX x<MAX [{lx>MAX其中χ为统计的安全事件规模,y为归一化的安全事件规模。
9.根据权利要求7所述的评估方法,所述步骤4.1包括对安全事件增长率,通过对比最近两个单位时间间隔内安全事件的统计数目变化进行归一化X = Cs1-X2)/ y = arctg(x)/ π +0. 5, χ e R, y e
其中X1为当前单位时间内事件的规模,X2为最近一个单位时间内事件的规模,y为归一化的安全事件增长率。
10.根据权利要求7所述的评估方法,所述步骤4. 1包括对于安全事件的源分布,通过集合C中的元素个数和各集合元素的元素个数来归一化安全事件的源分布特性;其中,集合C = IClnt,CExt,C1,C2, -CJ,Clnt表示待评估网络内部源地址集合,Ci表示一些重点区域的地址集合,CExt表示除了 Ci以外的所有待评估网络的外部地址集合。
全文摘要
本发明提供一种基于指标体系的大规模网络安全态势评估方法,包括步骤1、确定网络安全态势需要分析的维度;步骤2、根据各维度确定网络安全要素;步骤3、根据各网络安全要素确定具体指标;所述维度、安全要素和具体指标为层次式评估模型的各层节点;和步骤4、对所述层次式评估模型进行安全态势评估,得到网络安全态势值。采用上述方法可以提高大规模网络安全态势评估的效率。
文档编号H04L29/06GK102457412SQ20111031075
公开日2012年5月16日 申请日期2011年10月14日 优先权日2011年10月14日
发明者刘 东, 刘斐, 周斌, 夏榕泽, 张建锋, 徐镜湖, 李远征, 杨树强, 王雯霞, 贾焰, 郑黎明, 韩伟红 申请人:中国人民解放军国防科学技术大学