一种网络安全态势评估方法

专利名称：一种网络安全态势评估方法
技术领域：
本发明属于网络安全技术领域，特别是一种网络安全态势评估方法。
背景技术：
网络是信 息时代的产物，目前几乎覆盖了世界上所有重要领域。随着网络规模不断扩大，网络攻击和破坏行为日益频繁，网络安全形势日趋严峻。为形成网络安全主动防护能力，首先需要了解网络的内外部威胁和整体安全状态。网络安全态势评估技术通过对网络中影响安全的因素进行深层次综合处理分析，对网络整体安全状况进行实时评估，为网络安全管理指挥、决策提供指导。目前用于网络安全态势评估的方法主要分为3类基于数学模型的方法、基于知识推理的方法和基于模式识别的方法。但从应用的角度看，目前的研究还存在以下不足I、数据源单一用于网络安全态势评估的基础数据来源偏少，导致网络安全态势评估结果存在片面性，无法全面反映网络安全整体状况；2、评估结果不够精确网络安全态势评估算法设计不合理，导致评估结果不够精确，无法真实反映网络安全整体状况；3、评估结果难于理解评估结果仅仅是网络安全一个方面的数值或者等级，很难直接用于指导网络安全管理指挥、决策。

发明内容
本发明的目的在于，通过提供一种网络安全态势评估方法，对网络中影响网络安全的因素进行综合处理分析，对外部和内部威胁态势分别进行评估，再对网络安全态势进行综合评估。本发明是采用以下技术手段实现的一种网络安全态势评估方法，包括安全事件信息、网络拓扑信息、资产基本信息和资产状态信息；包括以下步骤步骤I :对原始数据进行预处理，消除重复信息和错误信息，生成格式化的安全事件信息、网络拓扑信息、资产基本信息和资产状态信息；用于网络安全态势评估的数据来源包括防火墙、入侵检测系统、防病毒软件、漏洞扫描系统、拓扑发现工具、性能采集工具；经过去冗余、消除错误信息，再进行格式化，形成安全事件信息、网络拓扑信息、资产基本信息和资产状态信息。步骤2 :基于网络拓扑信息、资产基本信息，计算各资产在子网中的权重和各子网在整个网络中的权重；设定网络中有η个网络设备类资产ASSET1, ASSET2, . . .，ASSETn,每个网络设备类资产与其连接的终端类资产构成一个子网，根据网络拓扑信息，设定有m个终端类资产与网络设备类资产 ASSETk (I < k 彡 η)相连接=ASSETkl, ASSETk2, · · ·，ASSETkm ；计算网络设备类资产ASSETk的子网总资产值；
在计算权重时，设定权值为资产值的平方；计算终端类资产ASSETkf在网络设备类资产ASSETk的子网中的权重；计算网络设备类资产ASSETk在其子网中的权重；计算网络设备类资产ASSETk的子网在整个网络中的权重。步骤3 :基于入侵信息，对各资产进行外部威胁态势评估；基于病毒信息、漏洞信息，对各资产进行内部威胁态势评估；在时间段[h，tj内，无论入侵是否成功，对入侵信息进行统计，设定针对资产ASSETw 的所有入侵信息为 IDS1, IDS2, · · ·，IDSp ；计算资产ASSETw的外部威胁态势值；计算资产ASSETw的内部威胁态势值。步骤4 :基于各资产在子网中的权重，采用权重分析法，进行各子网外部威胁态势评估和内部威胁态势评估；网络设备类资产的子网外部威胁态势值就是该子网内所有资产的外部威胁态势值的加权和；网络设备类资产的子网内部威胁态势值就是该子网内所有资产的内部威胁态势值的加权和。步骤5 :基于各子网在整个网络中的权重，采用权重分析法，进行网络外部威胁态势评估和内部威胁态势评估；网络外部威胁态势值就是所有子网的外部威胁态势值的加权和；网络内部威胁态势值就是所有子网的内部威胁态势值的加权和。步骤6 :对防火墙日志信息、入侵信息和漏洞信息进行交叉关联，消除无效告警；针对资产ASSETw的入侵信息，若资产ASSETw上不存在入侵针对的漏洞，则该入侵无效，不会对网络安全产生危害，最终筛选得到针对资产ASSETw的所有有效入侵信息IDS1,IDS2, . . .，IDSs。步骤7 :基于交叉关联后的各类信息，综合评估各资产的安全态势；在时间段[ty tj内，对资产状态信息进行统计，设定资产ASSETw的所有状态信息为 STATEttl, STATE1, STATE2, · · ·，STATEt, STATEtl。计算资产ASSETw的单位时间流量；资产的单位时间流量就是某时间段内总流量的平均值；处理器平均使用率就是某时间段内所有采集的处理器使用率的算术平均值；内存平均占用率就是某时间段内所有采集的内存占用率的算术平均值；基于资产ASSETw的有效入侵信息、病毒信息、状态信息,计算资产ASSETw的安全态势值；资产的安全态势值通过对流量、处理器平均使用率、内存平均占用率、有效入侵的严重等级、病毒严重等级的数学计算得到。步骤8 :基于各资产在子网中的权重，采用权重分析法，进行各子网安全态势评估；用权重分析法，计算网络设备类资产ASSETk的子网综合安全态势值；网络设备类资产的子网综合安全态势值就是该子网内所有资产的安全态势值的加权和。步骤9 :基于各子网在整个网络中的权重，采用权重分析法，进行网络安全态势评估；采用权重分析法，计算综合网络安全态势值；综合网络安全态势值就是所有子网的综合安全态势值的加权和。前述的安全事件信息分为防火墙日志信息、入侵信息、病毒信息、漏洞信息；防火墙日志信息FW包含源地址、目的地址、源端口、目的端口、协议、处理方式；入侵信息IDS包含目的地址、入侵类型、入侵针对的漏洞、入侵严重等级；病毒信息VIRUS包含资产地址、病毒类型、病毒严重等级；漏洞信息VUL包含资产地址、漏洞类型、漏洞严重等级。前述的网络拓扑信息包括资产标识、资产连接关系。前述的资产基本信息ASSET包括资产标识、资产类型、资产值、子网总资产值；资产基本信息分为两类终端类和网络设备类，终端类资产的子网总资产值为0，网络设备类资产的子网总资产值为该网络设备子网内所有资产的资产值总和。前述的资产状态信息包括资产标识、时间、总流量、处理器使用率、内存占用率。本发明一种网络安全态势评估方法，与现有技术相比，具有以下明显的优势和有益效果本发明一种网络安全态势评估方法，改变了现有技术中数据源单一的问题，使网络安全态势评估结果更加全面，客观的反映了网络安全整体状况；评估结果精确，真实反映网络安全整体状况；评估结果直观实用，可以直接用于指导网络安全管理指挥、决策。


图I为本发明网络安全态势评估方法的流程图。
具体实施方式

下面结合流程图，对优选实施例作详细说明，应该强调的是，下述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。步骤I :对原始数据进行预处理，消除重复信息和错误信息，生成格式化的安全事件信息、网络拓扑信息、资产基本信息和资产状态信息。用于网络安全态势评估的数据来源包括防火墙、入侵检测系统、防病毒软件、漏洞扫描系统、拓扑发现工具、性能采集工具等。经过去冗余、消除错误信息，再进行格式化，形成安全事件信息、网络拓扑信息、资产基本信息和资产状态信息。安全事件信息主要分为防火墙日志信息、入侵信息、病毒信息、漏洞信息。防火墙日志信息FW主要包含源地址、目的地址、源端口、目的端口、协议、处理方式；入侵信息IDS主要包含目的地址、入侵类型、入侵针对的漏洞、入侵严重等级；病毒信息VIRUS主要包含资产地址、病毒类型、病毒严重等级；漏洞信息VUL主要包含资产地址、漏洞类型、漏洞严重等级。网络拓扑信息主要包含资产标识、资产连接关系。资产基本信息ASSET主要包含资产标识、资产类型、资产值、子网总资产值。资产基本信息主要分为两类终端类和网络设备类，终端类资产的子网总资产值为0，网络设备类资产的子网总资产值为该网络设备子网内所有资产(包括终端类和网络设备类)的资产值总和。资产状态信息STATE主要包含资产标识、时间、总流量、处理器使用率、内存占用率。步骤 2 :基于网络拓扑信息、资产基本信息，计算各资产在子网中的权重和各子网在整个网络中的权重。设定网络中有η个网络设备类资产ASSET1, ASSET2, . . .，ASSETn，每个网络设备类资产与其连接的终端类资产构成一个子网，根据网络拓扑信息，设定有m个终端类资产与网络设备类资产 ASSETk (I < k 彡 η)相连接=ASSETkl, ASSETk2, · · ·，ASSETkm0计算网络设备类资产ASSETk的子网总资产值TOTAL JVALUEk=VALUE^YjVALUEkl (网络设备类资产的子网总资产值就是
i=\
该子网内所有资产的资产值之和)其中，T0TAL_VALUEk为网络设备类资产ASSETk的子网总资产值，VALUEk为网络设
备类资产ASSETk的资产值，为与网络设备类资产ASSETk相连接的m个终端类资
i=\
产的资产值之和，I彡k彡η。在计算权重时，为突出资产值高的资产的重要性，设定权值为资产值的平方。计算终端类资产ASSETkf在网络设备类资产ASSETk的子网中的权重 π _ VALUEkf2 ￥ = VALUE2+fyALUE 2 (终端类资产的权重就是该资产的权值在子网的总
kIci
i=l
权值中所占的比重)其中，Pkf为终端类资产ASSETkf在网络设备类资产ASSETk的子网中的权重，
VALUEkf2为终端类资产ASSETkf的权值，FILM；2为网络设备类资产ASSETk的
i=l
子网中所有资产的权值和，I彡k彡n，I彡f彡m。计算网络设备类资产ASSETk在其子网中的权重
_VALUEk2VALUE2+fVALUE 2 (网络设备类资产的权重就是该资产的权值在子网的
kIci
i=l
总权值中所占的比重) 其中，Pk为网络设备类资产ASSETk在其子网中的权重，VALUEk2为网络设备类资产
ASSETk的权值，FlLOEifc2为网络设备类资产ASSETk的子网中所有资产的权值
i=\
和，I < k < η。计算网络设备类资产ASSETk的子网在整个网络中的权重
TOTAL—VALUEk2- k = ^j0tal VALUE2 (子网的权值就是子网的权值在整个网络的总权值
i=l中所占的比重)其中，T_Pk为网络设备类资产ASSETk的子网在整个网络中的权重，T0TAL_VALUEk2
为网络设备类资产ASSETk的子网的权值，—"巧2为整个网络中所有子网的权
i=\
值和，I < k < η。步骤3 :基于入侵信息，对各资产进行外部威胁态势评估；基于病毒信息、漏洞信息，对各资产进行内部威胁态势评估。 在时间段[h，tj内，无论入侵是否成功，对入侵信息进行统计，设定针对资产ASSETw 的所有入侵信息为 IDS1, IDS2, · · ·，IDSp。计算资产ASSETw的外部威胁态势值ATTw = ^IDS_LEVf (资产的外部威胁态势由资产外部的因素决定，主要为入
侵，资产的外部威胁态势值通过对所有入侵的严重等级的数学计算得到)其中，ATTw为资产ASSETw的外部威胁态势值，IDSJEVi为入侵信息IDSi的入侵严
重等级。在时间段[h，tj内，对病毒信息进行统计，设定资产ASSETw感染的所有病毒信息VIRUS1, VIRUS2, · · · , VIRUSq。在时间段[h，tj内，对漏洞信息进行统计，设定资产ASSETw的所有漏洞信息VUL1, VUL2, . . . , VULr。计算资产ASSETw的内部威胁态势值DEFw = ^yiRUS_LEV^ + ^VUL_LEVf (资产的内部威胁态势由资产内部
的因素决定，主要包含病毒和漏洞，资产的内部威胁态势值通过对资产的所有病毒和漏洞的严重等级的数学计算得到)其中，DEFw为资产ASSETw的内部威胁态势值，VIRUSJEVi为病毒信息VIRUSi的病毒严重等级，VULJEVi为漏洞信息VULi的漏洞严重等级。步骤4 :基于各资产在子网中的权重，采用权重分析法，进行各子网外部威胁态势评估和内部威胁态势评估。采用权重分析法，计算网络设备类资产ASSETk的子网外部威胁态势值和内部威胁态势值ATT_SAk = PkXATTk +Yj(PklXATTkl)(网络设备类资产的子网外部威胁态势值
i=\
就是该子网内所有资产的外部威胁态势值的加权和)DEF_SAk =PkxDEFk + ^(Pkl xDEFkl)(网络设备类资产的子网内部威胁态势值
i=\
就是该子网内所有资产的内部威胁态势值的加权和)其中，ATT_SAk为网络设备类资产ASSETk的子网外部威胁态势值，DEF_SAk为网络设备类资产ASSETk的子网内部威胁态势值，Pk为网络设备类资产ASSETk在其子网中的权重，Pki为终端类资产ASSETki在网络设备类资产ASSETk的子网中的权重，ATTk为网络设备类资产ASSETk的外部威胁态势值，DEFk为网络设备类资产ASSETk的内部威胁态势值，ATTki 为终端类资产ASSETki的外部威胁态势值，DEFki为终端类资产ASSETki的内部威胁态势值， I < k < n。步骤5 :基于各子网在整个网络中的权重，采用权重分析法，进行网络外部威胁态 势评估和内部威胁态势评估；采用权重分析法，计算网络外部威胁态势值和内部威胁态势值
权利要求
1.一种网络安全态势评估方法，包括安全事件信息、网络拓扑信息、资产基本信息和资产状态信息；其特征在于包括以下步骤步骤I:对原始数据进行预处理，消除重复信息和错误信息，生成格式化的安全事件信息、网络拓扑信息、资产基本信息和资产状态信息；用于网络安全态势评估的数据来源包括防火墙、入侵检测系统、防病毒软件、漏洞扫描系统、拓扑发现工具、性能采集工具；经过去冗余、消除错误信息，再进行格式化，形成安全事件信息、网络拓扑信息、资产基本信息和资产状态信息；步骤2:基于网络拓扑信息、资产基本信息，计算各资产在子网中的权重和各子网在整个网络中的权重；设定网络中有η个网络设备类资产ASSET1, ASSET2, , ASSETn，每个网络设备类资产与其连接的终端类资产构成一个子网，根据网络拓扑信息，设定有m个终端类资产与网络设备类资产 ASSETk (I < k 彡 η)相连接=ASSETkl, ASSETk2, · · ·，ASSETkm ；计算网络设备类资产ASSETk的子网总资产值；在计算权重时，设定权值为资产值的平方；计算终端类资产ASSETkf在网络设备类资产ASSETk的子网中的权重；计算网络设备类资产ASSETk在其子网中的权重；计算网络设备类资产ASSETk的子网在整个网络中的权重；步骤3 :基于入侵信息，对各资产进行外部威胁态势评估；基于病毒信息、漏洞信息，对各资产进行内部威胁态势评估；在时间段[h，tj内，无论入侵是否成功，对入侵信息进行统计，设定针对资产ASSETw 的所有入侵信息为IDS1, IDS2, , IDSp ；计算资产ASSETw的外部威胁态势值；计算资产ASSETw的内部威胁态势值；步骤4:基于各资产在子网中的权重，采用权重分析法，进行各子网外部威胁态势评估和内部威胁态势评估；网络设备类资产的子网外部威胁态势值就是该子网内所有资产的外部威胁态势值的加权和；网络设备类资产的子网内部威胁态势值就是该子网内所有资产的内部威胁态势值的加权和；步骤5 :基于各子网在整个网络中的权重，采用权重分析法，进行网络外部威胁态势评估和内部威胁态势评估；网络外部威胁态势值就是所有子网的外部威胁态势值的加权和；网络内部威胁态势值就是所有子网的内部威胁态势值的加权和；步骤6 :对防火墙日志信息、入侵信息和漏洞信息进行交叉关联，消除无效告警；针对资产ASSETw的入侵信息，若资产ASSETw上不存在入侵针对的漏洞，则该入侵无效，不会对网络安全产生危害，最终筛选得到针对资产ASSETw的所有有效入侵信息IDS1, IDS2, · · ·，IDSs ；步骤7 :基于交叉关联后的各类信息，综合评估各资产的安全态势；在时间段[h，tj内，对资产状态信息进行统计，设定资产ASSETw的所有状态信息为STATEto, STATE1, STATE2, . . . , STATEt, STATEtl ； 计算资产ASSETw的单位时间流量； 资产的单位时间流量就是某时间段内总流量的平均值； 处理器平均使用率就是某时间段内所有采集的处理器使用率的算术平均值； 内存平均占用率就是某时间段内所有采集的内存占用率的算术平均值； 基于资产ASSETw的有效入侵信息、病毒信息、状态信息，计算资产ASSETw的安全态势值； 资产的安全态势值通过对流量、处理器平均使用率、内存平均占用率、有效入侵的严重等级、病毒严重等级的数学计算得到； 步骤8 :基于各资产在子网中的权重，采用权重分析法，进行各子网安全态势评估； 采用权重分析法，计算网络设备类资产ASSETk的子网综合安全态势值； 网络设备类资产的子网综合安全态势值就是该子网内所有资产的安全态势值的加权和； 步骤9 :基于各子网在整个网络中的权重，采用权重分析法，进行网络安全态势评估； 采用权重分析法，计算综合网络安全态势值； 综合网络安全态势值就是所有子网的综合安全态势值的加权和。
2.根据权利要求I所述的一种网络安全态势评估方法，其特征在于所述的安全事件信息分为防火墙日志信息、入侵信息、病毒信息、漏洞信息；防火墙日志信息FW包含源地址、目的地址、源端口、目的端口、协议、处理方式；入侵信息IDS包含目的地址、入侵类型、入侵针对的漏洞、入侵严重等级；病毒信息VIRUS包含资产地址、病毒类型、病毒严重等级；漏洞信息VUL包含资产地址、漏洞类型、漏洞严重等级。
3.根据权利要求I所述的一种网络安全态势评估方法，其特征在于所述的网络拓扑信息包括资产标识、资产连接关系。
4.根据权利要求I所述的一种网络安全态势评估方法，其特征在于所述的资产基本信息ASSET包括资产标识、资产类型、资产值、子网总资产值；资产基本信息分为两类终端类和网络设备类，终端类资产的子网总资产值为O，网络设备类资产的子网总资产值为该网络设备子网内所有资产的资产值总和。
5.根据权利要求I所述的一种网络安全态势评估方法，其特征在于所述资产状态信息包括资产标识、时间、总流量、处理器使用率、内存占用率。
全文摘要
一种网络安全态势评估方法，包括对原始数据进行预处理，计算各资产在子网中的权重和各子网在整个网络中的权重；对各资产进行外部威胁态势评估；对各资产进行内部威胁态势评估；采用权重分析法，进行各子网外部威胁态势评估和内部威胁态势评估；进行网络外部威胁态势评估和内部威胁态势评估；对防火墙日志信息、入侵信息和漏洞信息进行交叉关联，消除无效告警；综合评估各资产的安全态势；进行各子网安全态势评估；采用权重分析法，进行网络安全态势评估；本发明改变了现有技术中数据源单一的问题，使网络安全态势评估结果更加全面、精确；真实反映网络安全整体状况；评估结果直观实用，可以直接用于指导网络安全管理指挥、决策。
文档编号H04L29/06GK102624696SQ20111044311
公开日2012年8月1日 申请日期2011年12月27日 优先权日2011年12月27日
发明者王斌, 王晓程, 石波, 胡晴, 陈志浩 申请人:中国航天科工集团第二研究院七〇六所