一种网络安全态势感知方法及系统的制作方法

一种网络安全态势感知方法及系统的制作方法
【专利摘要】本发明涉及一种网络安全态势感知方法及系统，方法包括：提取可用于描述网络安全态势的关键要素，包括网络流量稳定性、威胁性、脆弱性、用户行为；对提取的该关键要素，进行二级指标分值和一级指标分值计算，该一级指标分值包括网络流量稳定性指标分值SS、威胁性指标分值TS、脆弱性指标分值VS、用户行为指标分值US；最后，利用加权求和计算整个网络安全态势值。本发明的目的在于，力求建立全面的网络安全态势感知指标，提高网络安全态势感知的有效性和实时性。
【专利说明】一种网络安全态势感知方法及系统
【技术领域】
[0001]本发明涉及网络安全领域，特别涉及网络安全态势感知指标及计算。
【背景技术】
[0002]计算机网络是通信技术和计算机技术发展到一定程度后相结合的产物，高度发展的网络技术为人们带来快速便捷的信息交互的同时，基于网络的恶意攻击和窃取行为也愈演愈烈。攻击者利用网络的快速传播性和广泛互联性，大肆地破坏网络基本性能、侵害用户合法权益，威胁社会和国家的安全与利益，对传统意义上的网络安全措施提出了严峻的考验。网络入侵行为向着多元化、规模化、复杂化、持续化等趋势发展，安全管理者越来越希望更好地了解其监管的网络当前时刻和未来时刻的安全健康状态，以便及时发现问题、采取预警措施，网络安全态势感知技术研究应运而生。
[0003]近年来，网络安全态势感知成为当前网络安全界研究的热点，这项研究取得的成果，在提高网络的监控、应急响应能力和预测网络的安全发展趋势等方面都将起到重大的推动作用。
[0004]网络安全态势感知中，通过先验知识或者数据挖掘技术，来构建网络安全态势感知的指标体系，并通过，诸如IDS入侵检测系统、OpenVAS漏洞扫描工具、NetFlow流量分析等安全工具，来获取相应的网络安全数据，并对其进行过滤、去重和格式化等基本的预处理，为接下来的评估和预测准备充分的数据源。数据的收集是网络安全态势感知的第一步，也是态势认知阶段的主要任务，只有在获取大量网络安全信息的基础上，才能尽量客观全面地评估网络的安全态势。
[0005]网络安全态势感知是在大量网络安全信息基础上完成的，但由于网络的复杂性和灵活性，获取全面的网络安全信息是不可能的，只能力求在选择信息种类和数量上，力求能相对全面的反应当前网络的真实状态。采用何种方式，从何处获取网络安全信息，并对信息进行实时更新和相应的预处理，是网络安全态势感知在态势认知阶段的主要研究问题。
[0006]目前，一般从以下几个方面获取安全信息:通过拓扑自发现技术获取网络的拓扑信息；通过主动扫描和被动嗅探方式，获取网络的漏洞信息、状态信息和运行信息等；通过对各安全工具、系统日志的采集和分析技术来获取威胁攻击信息等。
[0007]如发明名称为“基于指标体系的大规模网络安全态势评估方法”，提供一种基于指标体系的大规模网络安全态势评估方法，包括:步骤1、确定网络安全态势需要分析的维度；步骤2、根据各维度确定网络安全要素；步骤3、根据各网络安全要素确定具体指标；所述维度、安全要素和具体指标为层次式评估模型的各层节点；步骤4、对所述层次式评估模型进行安全态势评估，得到网络安全态势值。采用上述方法可以提高大规模网络安全态势评估的效率。该发明关注于提高评估网络安全态势的效率问题，并没有关注于解决提出全面衡量网络安全态势的指标，不能有效的、实时的反映当前网络安全态势。
[0008]再如发明名称为“多维网络安全指标体系冗余度评估方法”，提供一种基于关联度的多维网络安全指标体系冗余度评估方法，通过采用利用两序列对应数据项差值绝对值之和是否超过阈值判断关联性以及利用两序列间差值绝对值低于阈值的对应数据项对所占的比例判断关联性来对关联度进行分析，其计算量小，对数据存在形式要求宽泛，易于理解，便于广泛应用。同时这些技术能够有效的发现多维网络安全指标体系各个维度间存在的关联性。该发明关注网络安全的指标体系的冗余问题，也不关注于网络安全态势感知中反应网络安全状态的指标及其计算，不反映网络当前的安全状态。
[0009]再如发明名称为“多维网络安全指标体系正确性评估方法”，提供一种多维网络安全指标体系正确性评估方法，采用可接收区间内的相对偏差来避免其受样本和系统误差以及用户主观性的影响，使评估结果更符合实际情况。采用熵权法为各样本赋权值有效的刻画了各个样本在指标体系合理性评估中所起的作用，既充分利用多维度多样本指标体系计算结果又充分体现不同维度、不同样本的重要性和对指标体系正确性评估贡献度的不同，有效地评估了指标体系计算结果与预期值的相似性。该发明关注网络安全的指标体系的正确性问题，并不关注于网络安全态势感知中反应网络安全状态的指标及其计算，也不反映网络当前的安全状态。
[0010]再如发明名称为“一种多维网络安全指标体系稳定性评估方法”，提供一种基于统计方法的多维网络安全指标体系稳定性评估方法，从一个指标体系在多个不同样本情况下是否都能得到正确评估结果的角度评估一个指标体系的好坏。尤其是针对不同维度源数据分布特征的差异采用分段抽样的方式使得不同维度稳定性的评价更为公平合理。该发明关注网络安全的指标体系的稳定性问题，并不关注网络安全态势感知中反应网络安全状态的指标及其计算，也不反映网络当前的安全状态。

【发明内容】

[0011]为了解决上述问题，本发明的目的在于提供一种网络安全态势感知指标及计算方法，力求建立全面的网络安全态势感知指标，提高网络安全态势感知的有效性和实时性。
[0012]为实现上述目的，本发明所提出的网络安全态势感知方法，其特征在于，包括如下步骤:
[0013]步骤1，提取可用于描述网络安全态势的关键要素，包括网络流量稳定性、威胁性、脆弱性、用户行为；
[0014]步骤2，对提取的该关键要素，进行二级指标分值和一级指标分值计算，该一级指标分值的计算包括，
[0015]步骤21，计算网络流量稳定性指标分值SS，该二级指标包括网络流量的变化率和分布，
[0016]步骤22，计算威胁性指标分值TS，该二级指标包括警报数目和等级、网络使用带宽、安全事件发生历史数目，
[0017]步骤23，计算脆弱性指标分值VS，该二级指标包括漏洞的数目和等级，服务种类，
[0018]步骤24，计算用户行为指标分值US，该二级指标包括关键业务常用IP、关键业务未知IP、活跃用户topN、活跃时间段、关键业务使用频度比、关键业务使用频度比、同时刻关键业务在线用户数；
[0019]步骤3，利用加权求和计算网络安全态势值NASAscot-
[0020]本发明所提出的网络安全态势感知方法，其特征在于，在步骤21中，[0021]所述网络流量的变化率包括流出Packets总数、流入Packets总数、Packets总数、流出Bytes总数、流入Bytes总数、Bytes总数、流出Flows总数、流入Flows总数和Flows总数；所述网络流量的分布包括流出数据包大小、流入数据包大小、流出方向源IP、流出方向目的IP、流出方向源端口和流出方向目的端口。
[0022]本发明所提出的网络安全态势感知方法，其特征在于，
[0023]计算所述网络流量稳定性指标的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，根据将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值的比较，为所述网络流量稳定性指标的每个二级指标赋予范围为[0，5]的分值，并通过权重分析法，赋予每个二级指标的测度一个[0，1]的权重，利用加权求和计算出网络流量稳定性指标分值SS。
[0024]本发明所提出的网络安全态势感知方法，其特征在于，所述步骤22包括警报关联处理:将原始警报的一条警报信息OriAlert及其10个属性标签表示为
[0025]OriAlert(aid, type, pro, srcip, dstip, srcport, dstport, starttime, endtime, summary)
[0026]其中，该属性标签依次为警报名称、警报类型、协议类型、警报源IP地址、警报目的IP地址、警报源端口、警报目的端口、产生警报时间、结束警报时间、警报描述；将该OriAlert按srcip、dstip、type属性标签进行横向的初步聚集,将不同警报规范化到IDMEF格式；将存在重复关系的该OriAlert进行归并处理，并生成去冗余警报DisAlert，该DisAlert区别于该OriAlert，增加有num属性标签，代表具有重复关系的警报数目；依据关联规则对该DisAlert进行警报关联分析,得出最后的综合警报CorAlert,该CorAlert的属性标签较该DisAlert增加了警报严重等级level和警报发生可信度credit，去掉了警报数目 num。
[0027]本发明所提出的网络安全态势感知方法，其特征在于，该步骤22包括:
[0028]步骤221，计算警报威胁性指数Al，
[0029](I)计算所述CorAlert的警报严重等级level,
[0030]当产生所述CorAlert时，根据判断所述警报源IP地址、所述警报目的IP地址是否为网内监控设备的IP地址，警报所涉及的操作系统与攻击目标系统是否匹配，监控设备是否存在所述CorAlert攻击所利用的漏洞,所述CorAlert攻击所利用的端口和服务是否为开启状态这n个验证条件的满足条件数m，计算所述警报发生可信度credit的概率值，即所述警报发生可信度credit为m与n的比值，分别通过资产表获得设备等级ml，通过漏洞表获得漏洞等级rl，通过所述OriAlert获得警报类型type后，加权求和所述设备等级ml、所述漏洞等级rl、所述警报类型type和所述警报发生可信度credit计算得出所述CorAlert的警报严重等级level ；
[0031](2)将所述警报发生可信度credit与所述警报严重等级level的乘积定义为所述CorAlert的等级指数,则警报威胁性评估指数Al为所有所述CorAlert的等级指数的期望。
[0032]本发明所提出的网络安全态势感知方法，其特征在于，该步骤22还包括:
[0033]步骤222，计算网络安全带宽指数BI，包括统计报告期rp、基期bp时期内的网络安全带宽，然后分别计算出该网络安全带宽的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的网络安全带宽指数ABI，最后通过将每台监控设备的网络安全带宽指数ABI加权平均得到网络安全带宽指数BI ；
[0034]步骤223，计算安全事件历史同期发生数目指数E0I，统计报告期rp、基期bp时期内的安全事件历史同期发生数目，然后分别计算该安全事件历史同期发生数目的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的安全历史事件同期发生数目指数AE0I，最后通过将每台监控设备的安全事件历史同期发生数目指数AEOI加权平均得到安全历史事件同期发生数目指数EOI ；
[0035]步骤224，通过加权求和该警报威胁性指数Al、该网络安全带宽指数B1、该安全事件历史同期发生数目EOI计算得出威胁性指标分值TS。
[0036]本发明所提出的网络安全态势感知方法，其特征在于，所述步骤23具体为，
[0037]步骤231，在XML格式漏洞数据库基础上结合应用环境的设备和要求信息，对时间因素修正评分和环境因素修正评分进行计算，最后得出符合应用环境的自有的漏洞库表，根据漏洞扫描工具监控全网得出的漏洞报告，关联经修正的漏洞库表以及漏洞等级，得出全网的漏洞评分均值，作为全网的漏洞指标分值VVS ;
[0038]步骤232，参照监测网络的资产表进行评估，得出服务指标分值VSS ；
[0039]步骤233，通过加权求和该漏洞指标分值VVS与该服务指标分值VSS，计算脆弱性分值VS。
[0040]本发明所提出的网络安全态势感知方法，其特征在于，所述步骤24具体为，
[0041]利用历史记录数据建立正常的监控网络中的用户使用行为模型，计算用户行为的二级指标的测度集合中的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，根据偏离所述阈值的程度为每个二级指标赋予范围为[0，5]的分值，结合每个测度的权重和分值得出单台设备的用户行为指标分值，最后综合所有设备的用户行为指标分值得出用户行为指标分值US。
[0042]本发明还提出一种网络安全态势感知系统，其特征在于，包括:
[0043]提取模块，用于提取可用于描述网络安全态势的关键要素，包括网络流量稳定性、威胁性、脆弱性、用户行为；
[0044]指标分值计算模块，用于计算二级指标分值和一级指标分值，该一级指标分值的计算模块包括，
[0045]第一模块，用于计算网络流量稳定性指标分值SS，该二级指标包括网络流量的变化率和分布，
[0046]第二模块，用于计算威胁性指标分值TS，该二级指标包括警报数目和等级、网络使用带宽、安全事件发生历史数目和度型特征，
[0047]第三模块，用于计算脆弱性指标分值VS，该二级指标包括漏洞的数目和等级，服务种类，
[0048]第四模块，用于计算用户行为指标分值US，该二级指标包括关键业务常用IP、关键业务未知IP、活跃用户topN、活跃时间段、关键业务使用频度比、关键业务使用频度比、同时刻关键业务在线用户数；
[0049]网络安全态势值计算模块，用于利用加权求和计算整个网络安全态势值。
[0050]本发明所提出的网络安全态势感知系统，其特征在于，在所述第一模块中，
[0051]所述网络流量的变化率包括流出Packets总数、流入Packets总数、Packets总数、流出Bytes总数、流入Bytes总数、Bytes总数、流出Flows总数、流入Flows总数和Flows总数；所述网络流量的分布包括流出数据包大小、流入数据包大小、流出方向源IP、流出方向目的IP、流出方向源端口和流出方向目的端口。
[0052]本发明所提出的网络安全态势感知系统，其特征在于，
[0053]计算所述网络流量稳定性指标的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，根据将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值的比较，为所述网络流量稳定性指标的每个二级指标赋予范围为[0，5]的分值，并通过权重分析法，赋予每个二级指标的测度一个[0，1]的权重，利用加权求和计算出网络流量稳定性指标分值SS。
[0054]本发明所提出的网络安全态势感知系统，其特征在于，
[0055]所述第二模块包括警报关联处理模块，用于对原始警报信息进行关联处理，生成去冗余警报和综合警报，其具体处理过程为:将原始警报的一条警报信息OriAlert及其10个属性标签表示为
[0056]OriAlert(aid, type, pro, srcip, dstip, srcport, dstport, starttime, endtime, summary)
[0057]其中，该属性标签依次为警报名称、警报类型、协议类型、警报源IP地址、警报目的IP地址、警报源端口、警报目的端口、产生警报时间、结束警报时间、警报描述；将该OriAlert按srcip、dstip、type属性标签进行横向的初步聚集,将不同警报规范化到IDMEF格式；将存在重复关系的该OriAlert进行归并处理，并生成去冗余警报DisAlert，该DisAlert区别于该OriAlert，增加有num属性标签，代表具有重复关系的警报数目；依据关联规则对该DisAlert进行警报关联分析,得出最后的综合警报CorAlert,该CorAlert的属性标签较该DisAlert增加了警报严重等级level和警报发生可信度credit，去掉了警报数目 num。
[0058]本发明所提出的网络安全态势感知系统，其特征在于，所述第二模块具体包括:
[0059]警报威胁性指数Al计算模块，计算过程如下，
[0060](I)计算所述CorAlert的警报严重等级level,
[0061]当产生所述CorAlert时，根据判断所述警报源IP地址、所述警报目的IP地址是否为网内监控设备的IP地址，警报所涉及的操作系统与攻击目标系统是否匹配，监控设备是否存在所述CorAlert攻击所利用的漏洞,所述CorAlert攻击所利用的端口和服务是否为开启状态这n个验证条件的满足条件数m，计算所述警报发生可信度credit的概率值，即所述警报发生可信度credit为m与n的比值，分别通过资产表获得设备等级ml，通过漏洞表获得漏洞等级rl，通过所述OriAlert获得警报类型type后，加权求和所述设备等级ml、所述漏洞等级rl、所述警报类型type和所述警报发生可信度credit计算得出所述CorAlert的警报严重等级level ；
[0062](2)将所述警报发生可信度credit与所述警报严重等级level的乘积定义为所述CorAlert的等级指数,则警报威胁性评估指数Al为所有所述CorAlert的等级指数的期望。
[0063]本发明所提出的网络安全态势感知系统，其特征在于，所述第二模块还包括:
[0064]网络安全带宽指数BI计算模块，统计报告期rp、基期bp时期内的网络安全带宽，然后分别计算出该网络安全带宽的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的网络安全带宽指数ABI，最后通过将每台监控设备的网络安全带宽指数ABI加权平均得到网络安全带宽指数BI ；
[0065]安全事件历史同期发生数目指数EOI计算模块，统计报告期rp、基期bp时期内的安全事件历史同期发生数目，然后分别计算该安全事件历史同期发生数目的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的安全历史事件同期发生数目指数AE0I，最后通过将每台监控设备的安全事件历史同期发生数目指数AEOI加权平均得到安全历史事件同期发生数目指数EOI ；
[0066]威胁性指标分值TS计算模块，用于通过加权求和该警报威胁性指数Al、该网络安全带宽指数B1、该安全事件历史同期发生数目EOI计算得出威胁性指标分值TS。
[0067]本发明所提出的网络安全态势感知系统，其特征在于，所述第三模块具体包括:
[0068]漏洞指标分值VVS计算模块，在XML格式漏洞数据库基础上结合应用环境的设备和要求信息，对时间因素修正评分和环境因素修正评分进行计算，最后得出符合应用环境的自有的漏洞库表，根据漏洞扫描工具监控全网得出的漏洞报告，关联经修正的漏洞库表以及漏洞等级，得出全网的漏洞评分均值，作为全网的漏洞指标分值WS;
[0069]服务指标分值VSS计算模块，参照监测网络的资产表进行评估，得出服务指标分值 VSS ；
[0070]脆弱性分值VS计算模块，通过加权求和漏洞指标分值VVS与服务指标分值VSS，计算脆弱性分值VS。
[0071]本发明所提出的网络安全态势感知系统，其特征在于，在所述第四模块中，
[0072]利用历史记录数据建立正常的监控网络中的用户使用行为模型，计算用户行为的二级指标的测度集合中的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，根据偏离所述阈值的程度为每个二级指标赋予范围为[0，5]的分值，结合每个测度的权重和分值得出单台设备的用户行为指标分值，最后综合所有设备的用户行为指标分值得出用户行为指标分值US。
[0073]相较于其他网络安全态势感知指标及计算，本发明所提出的技术方案，具有以下优势:第一，指标体系更为全面，除了一般的指标体系都有的稳定性、威胁性和脆弱性之外，还有用户行为指标，该指标面向网络中的关键业务，涉及敏感、重要信息的业务。第二，更加细化了稳定性、威胁性和脆弱性的子指标。第三，该指标的计算容易实施，方便扩展。
【专利附图】

【附图说明】
[0074]图1为网络安全态势感知指标图；[0075]图2为稳定性指标要素评价过程示意图；
[0076]图3为警报关联模型示意图；
[0077]图4为本方案采用的改进的K-均值算法示意图。
【具体实施方式】
[0078]为更清楚明白的解释本发明的技术方案，以下通过具体实施例对本发明作进一步详细说明。应当理解，此处所述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0079]本发明通过如下技术方案实现:
[0080]步骤1，根据图1中列出的网络安全态势感知指标图，提取可用于描述网络安全态势的关键要素；图1为网络安全态势感知指标图。
[0081]步骤2，对步骤I中提取的要素，进行8个二级指标和4个一级指标计算；
[0082]步骤21，进行稳定性指标分值SS的计算，稳定性通过考察网络的流量型特征和度型特征来表征，其中流量型特征包括不同方向上的数据包个数、字节数以及数据流个数，度型特征包括不同方向上的数据包大小分布、源目的IP分布、源目的端口分布，利用基于方差模型的计算方法对监控网络的流量稳定性进行计算，设稳定性指标的二级指标的测度集合为{A、B、C、D......}，其中，A、B、C、D......分别代表稳定性指标的二级指标的测度集
合。若A代表某二级指标测度集合，Ai代表历史观测时间第i个样本值，则式的置信区间
为:
[0083]
【权利要求】
1.一种网络安全态势感知方法，其特征在于，包括如下步骤: 步骤1，提取可用于描述网络安全态势的关键要素，包括网络流量稳定性、威胁性、脆弱性、用户行为； 步骤2，对提取的该关键要素，进行二级指标分值和一级指标分值计算，该一级指标分值的计算包括， 步骤21，计算网络流量稳定性指标分值SS，该二级指标包括网络流量的变化率和分布， 步骤22，计算威胁性指标分值TS，该二级指标包括警报数目和等级、网络使用带宽、安全事件发生历史数目， 步骤23，计算脆弱性指标分值VS，该二级指标包括漏洞的数目和等级，服务种类， 步骤24，计算用户行为指标分值US，该二级指标包括关键业务常用IP、关键业务未知IP、活跃用户topN、活跃时间段、关键业务使用频度比、关键业务使用频度比、同时刻关键业务在线用户数； 步骤3，利用加权求和计算网络安全态势值NASASc;_。
2.如权利要求1所述的网络安全态势感知方法，其特征在于，在步骤21中， 所述网络流量的变化率包括流出Packets总数、流入Packets总数、Packets总数、流出Bytes总数、流入Bytes总数、Bytes总数、流出Flows总数、流入Flows总数和Flows总数；所述网络流量的分布包括流出数据包大小、流入数据包大小、流出方向源IP、流出方向目的IP、流出方向源端口和流出方向目的端口。
3.如权利要求1-2所述的网络安全态势感知方法，其特征在于， 计算所述网络流量稳定性指标的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，根据将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值的比较，为所述网络流量稳定性指标的每个二级指标赋予范围为[0，5]的分值，并通过权重分析法，赋予每个二级指标的测度一个[0，1]的权重，利用加权求和计算出网络流量稳定性指标分值SS。
4.如权利要求1所述的网络安全态势感知方法，其特征在于，所述步骤22包括警报关联处理:将原始警报的一条警报信息OriAlert及其10个属性标签表示为
OriAlert (aid, type, pro, srcip, dstip, srcport, dstport, starttime, endtime, summary) 其中，该属性标签依次为警报名称、警报类型、协议类型、警报源IP地址、警报目的IP地址、警报源端口、警报目的端口、产生警报时间、结束警报时间、警报描述；将该OriAlert按srcip、dstip、type属性标签进行横向的初步聚集,将不同警报规范化到IDMEF格式；将存在重复关系的该OriAlert进行归并处理，并生成去冗余警报DisAlert,该DisAlert区别于该OriAlert，增加有num属性标签，代表具有重复关系的警报数目；依据关联规则对该DisAlert进行警报关联分析，得出最后的综合警报CorAlert，该CorAlert的属性标签较该DisAlert增加了警报严重等级level和警报发生可信度credit，去掉了警报数目num。
5.如权利要求1或权利要求4所述的网络安全态势感知方法，其特征在于，该步骤22包括: 步骤221，计算警报威胁性指数Al，(1)计算所述CorAlert的警报严重等级level, 当产生所述CorAlert时，根据判断所述警报源IP地址、所述警报目的IP地址是否为网内监控设备的IP地址，警报所涉及的操作系统与攻击目标系统是否匹配，监控设备是否存在所述CorAlert攻击所利用的漏洞,所述CorAlert攻击所利用的端口和服务是否为开启状态这η个验证条件的满足条件数m，计算所述警报发生可信度credit的概率值，即所述警报发生可信度credit为m与η的比值，分别通过资产表获得设备等级ml，通过漏洞表获得漏洞等级rl，通过所述OriAlert获得警报类型type后，加权求和所述设备等级ml、所述漏洞等级rl、所述警报类型type和所述警报发生可信度credit计算得出所述CorAlert的警报严重等级level ; (2)将所述警报发生可信度credit与所述警报严重等级level的乘积定义为所述CorAlert的等级指数,则警报威胁性评估指数Al为所有所述CorAlert的等级指数的期望。
6.如权利要求1所述的网络安全态势感知方法，其特征在于，该步骤22还包括: 步骤222，计算网络安全带宽指数BI，包括统计报告期rp、基期bp时期内的网络安全带宽，然后分别计算出该网络安全带宽的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的网络安全带宽指数ABI，最后通过将每台监控设备的网络安全带宽指数ABI加权平均得到网络安全带宽指数BI ； 步骤223，计算安全事件历史同期发生数目指数E0I，统计报告期rp、基期bp时期内的安全事件历史同期发生数目，然后分别计算该安全事件历史同期发生数目的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的安全历史事件同期发生数目指数AE0I，最后通过将每台监控设备的安全事件历史同期发生数目指数AEOI加权平均得到安全历史事件同期发生数目指数EOI ； 步骤224，通过加权求和该警报威胁性指数Al、该网络安全带宽指数B1、该安全事件历史同期发生数目EOI计算得出威胁性指标分值TS。
7.如权利要求1所述的网络安全态势感知方法，其特征在于，所述步骤23具体为， 步骤231，在XML格式漏洞数据库基础上结合应用环境的设备和要求信息，对时间因素修正评分和环境因素修正评分进行计算，最后得出符合应用环境的自有的漏洞库表，根据漏洞扫描工具监控全网得出的漏洞报告，关联经修正的漏洞库表以及漏洞等级，得出全网的漏洞评分均值，作为全网的漏洞指标分值VVS ； 步骤232，参照监测网络的资产表进行评估，得出服务指标分值VSS ； 步骤233，通过加权求和该漏洞指标分值VVS与该服务指标分值VSS，计算脆弱性分值VS0
8.如权利要求1所述的网络安全态势感知方法，其特征在于，所述步骤24具体为， 利用历史记录数据建立正常的监控网络中的用户使用行为模型，计算用户行为的二级指标的测度集合中的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，根据偏离所述阈值的程度为每个二级指标赋予范围为[0，5]的分值，结合每个测度的权重和分值得出单台设备的用户行为指标分值，最后综合所有设备的用户行为指标分值得出用户行为指标分值US。
9.一种网络安全态势感知系统，其特征在于，包括: 提取模块，用于提取可用于描述网络安全态势的关键要素，包括网络流量稳定性、威胁性、脆弱性、用户行为； 指标分值计算模块，用于计算二级指标分值和一级指标分值，该一级指标分值的计算模块包括， 第一模块，用于计算网络流量稳定性指标分值SS，该二级指标包括网络流量的变化率和分布， 第二模块，用于计算威胁性指标分值TS，该二级指标包括警报数目和等级、网络使用带宽、安全事件发生历史数目和度型特征， 第三模块，用于计算脆弱性指标分值VS，该二级指标包括漏洞的数目和等级，服务种类， 第四模块，用于计算用户行为指标分值US，该二级指标包括关键业务常用IP、关键业务未知IP、活跃用户topN、活跃时间段、关键业务使用频度比、关键业务使用频度比、同时刻关键业务在线用户数； 网络安全态势值计算模块，用于利用加权求和计算整个网络安全态势值。
10.如权利要求9所述的网络安全态势感知系统，其特征在于，在所述第一模块中， 所述网络流量的变化率包括流出Packets总数、流入Packets总数、Packets总数、流出Bytes总数、流入Bytes总数、Bytes总数、流出Flows总数、流入Flows总数和Flows总数；所述网络流量的分布包括流出数据包大小、流入数据包大小、流出方向源IP、流出方向目的IP、流出方向源端口和流出方向目的端口。
11.如权利要求9-10所述的网络安全态势感知系统，其特征在于， 计算所述网络流量稳定性指标的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，根据将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值的比较，为所述网络流量稳定性指标的每个二级指标赋予范围为[0，5]的分值，并通过权重分析法，赋予每个二级指标的测度一个[0，1]的权重，利用加权求和计算出网络流量稳定性指标分值SS。
12.如权利要求9所述的网络安全态势感知系统，其特征在于，所述第二模块包括警报关联处理模块，用于对原始警报信息进行关联处理，生成去冗余警报和综合警报，其具体处理过程为:将原始警报的一条警报信息OriAlert及其10个属性标签表示为
OriAlert (aid, type, pro, srcip, dstip, srcport, dstport, starttime, endtime, summary) 其中，该属性标签依次为警报名称、警报类型、协议类型、警报源IP地址、警报目的IP地址、警报源端口、警报目的端口、产生警报时间、结束警报时间、警报描述；将该OriAlert按srcip、dstip、type属性标签进行横向的初步聚集,将不同警报规范化到IDMEF格式；将存在重复关系的该OriAlert进行归并处理,并生成去冗余警报DisAlert,该DisAlert区别于该OriAlert，增加有num属性标签，代表具有重复关系的警报数目；依据关联规则对该DisAlert进行警报关联分析，得出最后的综合警报CorAlert，该CorAlert的属性标签较该DisAlert增加了警报严 重等级level和警报发生可信度credit，去掉了警报数目num。
13.如权利要求9或权利要求12所述的网络安全态势感知系统，其特征在于，所述第二模块具体包括: 警报威胁性指数Al计算模块，计算过程如下， (1)计算所述CorAlert的警报严重等级level, 当产生所述CorAlert时，根据判断所述警报源IP地址、所述警报目的IP地址是否为网内监控设备的IP地址，警报所涉及的操作系统与攻击目标系统是否匹配，监控设备是否存在所述CorAlert攻击所利用的漏洞,所述CorAlert攻击所利用的端口和服务是否为开启状态这η个验证条件的满足条件数m，计算所述警报发生可信度credit的概率值，即所述警报发生可信度credit为m与η的比值，分别通过资产表获得设备等级ml，通过漏洞表获得漏洞等级rl，通过所述OriAlert获得警报类型type后，加权求和所述设备等级ml、所述漏洞等级rl、所述警报类型type和所述警报发生可信度credit计算得出所述CorAlert的警报严重等级level ; (2)将所述警报发生可信度credit与所述警报严重等级level的乘积定义为所述CorAlert的等级指数,则警报威胁性评估指数Al为所有所述CorAlert的等级指数的期望。
14.如权利要求9所述的网络安全态势感知系统，其特征在于，所述第二模块还包括: 网络安全带宽指数BI计算模块，统计报告期rp、基期bp时期内的网络安全带宽，然后 分别计算出该网络安全带宽的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的网络安全带宽指数ABI，最后通过将每台监控设备的网络安全带宽指数ABI加权平均得到网络安全带宽指数BI ； 安全事件历史同期发生数目指数EOI计算模块，统计报告期rp、基期bp时期内的安全事件历史同期发生数目，然后分别计算该安全事件历史同期发生数目的样本的均值在报告期rp、基期bp时期内的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，视偏离所述阈值的程度设置监控设备的安全历史事件同期发生数目指数AE0I，最后通过将每台监控设备的安全事件历史同期发生数目指数AEOI加权平均得到安全历史事件同期发生数目指数EOI ； 威胁性指标分值TS计算模块，用于通过加权求和该警报威胁性指数Al、该网络安全带宽指数B1、该安全事件历史同期发生数目EOI计算得出威胁性指标分值TS。
15.如权利要求9所述的网络安全态势感知系统，其特征在于，所述第三模块具体包括: 漏洞指标分值VVS计算模块，在XML格式漏洞数据库基础上结合应用环境的设备和要求信息，对时间因素修正评分和环境因素修正评分进行计算，最后得出符合应用环境的自有的漏洞库表，根据漏洞扫描工具监控全网得出的漏洞报告，关联经修正的漏洞库表以及漏洞等级，得出全网的漏洞评分均值，作为全网的漏洞指标分值VVS; 服务指标分值VSS计算模块，参照监测网络的资产表进行评估，得出服务指标分值VSS ； 脆弱性分值VS计算模块，通过加权求和漏洞指标分值VVS与服务指标分值VSS，计算脆弱性分值VS。
16.如权利要求9所述的网络安全态势感知系统，其特征在于，在所述第四模块中，利用历史记录数据建立正常的监控网络中的用户使用行为模型，计算用户行为的二级指标的测度集合中的每个二级指标的测度的样本的均值在报告期rp和基期bp的置信区间，设定置信区间的阈值，然后将该报告期rp的置信区间偏离该基期bp的置信区间的程度与所述阈值进行比较，根据偏离所述阈值的程度为每个二级指标赋予范围为[O，5]的分值，结合每个测度的权重和分值得出单台设备的用户行为指标分值，最后综合所有设备的用户行为指标分 值得出用户行为指标分值US。
【文档编号】H04L29/06GK103581186SQ201310541306
【公开日】2014年2月12日 申请日期:2013年11月5日 优先权日:2013年11月5日
【发明者】金舒原, 张亚星, 庞依 申请人:中国科学院计算技术研究所