一种云平台安全态势感知方法与流程

本发明涉及网络安全技术、信息安全技术、数据安全
技术领域：
，具体地说是一种安全态势感知方法。
背景技术：
：云计算的“爆发式”发展也给政府及企业带来监管上的困难。数据损坏，信息泄露，账号被盗……近年来，随着云存储行业的发展，“云安全”漏洞问题屡见不鲜。轻触“上传”“保存”，原本需要存储在实体工具中的大容量文件，只需几步就能轻松保存到网络“云端”。但随之而来的，是个人隐私数据泄露层出不穷，一些依赖于云盘存储数据的企业也面临信息安全威胁，有的企业甚至因数据流失而被迫承担巨额赔偿甚至破产的风险。目前，我国尚未制定相关的评估标准和政策，以对“云服务”提供商进行以安全为主要内容的评估监督。我国需加强自主可控云计算安全技术的研发，杜绝云计算安全技术和应用尤其是电子政务云建设依赖国外主流公司的情况，这是解决我国云计算安全问题以及云中数据安全问题的关键点之一，对“云”安全的研究及技术解决方案的探索需要持续深入。而在众多云服务中，政企云的落地是发展趋势的必然，安全是政企云的重中之中，只有具有全局战略的云安全管理规划，才能确保政府和企业平滑的向政企云迁徙，并确保合规。未来几年云安全市场将进入高速发展时期，国内和国外诸多安全厂商也均在布局云安全领域战略。但总体而言，国内市场也尚未有一个明确的规范标准体系，市场上也是群雄逐鹿，各有千秋。政企云的建设既需要解决职能部门之间的“信息孤岛”问题，同时还要考虑云计算技术的各种安全问题。总体而言，当前的政企云在全面开发上面临资源整合、行业监管、安全监管、用户监管以及老旧应用的迁移等挑战，除此以外还面临着云上运维的新式压力和安全问题的挑战。云的应用已经基本普及到各个企业当中，在国家的“十二五”规划中也提出要“加强信息共享，厉行节约”，构建政企云是势在必行的。全面落地政企云首要是从安全角度入手和规划。符合合规，是政企云切实落地和平滑迁徙的重要保障。云计算提供的服务可分为IaaS、PaaS、SaaS三个层面，而这三个层面的安全关注点是不一样的。漏洞扫描和渗透测试是所有PaaS和基础设施即服务(IaaS)云安全技术都必须执行的。无论他们是在云中托管应用程序还是运行服务器和存储基础设施，用户都必须对暴露在互联网中的系统的安全状态进行评估。对于在PaaS和IaaS环境中测试API和应用程序的集成来说，与云供应商协作的企业应重点关注处于传输状态下的数据，以及通过绕过身份认证或注入式攻击等方式对应用程序和数据的潜在非法访问。因此，本发明建立了一个云平台安全态势感知方法。与传统的大数据安全态势分析方法不同，本方法把安全体系进行多层面划分，结合评估点从多重角度分析，构成该安全态势感知方法的数据核心。检测云平台安全事件、安全漏洞，感知云平台安全态势，对整个云平台进行监控并对实时收集到的日志进行分析，得到系统的安全态势，从而为云平台的稳定性和可靠性提供保障，提高系统和数据的安全性，增强用户对系统的可控性，提高系统的服务质量和用户满意度。技术实现要素：基于以上问题，本发明的目的在于提供一种云平台安全态势感知方法，能够对整个云平台进行监控并对实时收集到的日志进行分析，评估系统的安全态势，操作简便，安全可靠性高。本发明的云平台安全态势感知方法，包括基础评估点量化、浮动评估点量化、安全层面融合、云平台安全评估指标和云平台安全态势感知五个步骤。步骤1：基础评估点量化基础评估点结果量化工作以专家评估的方式来主导，通过评审方式由专家对相关基础评估点(根据实际情况提前设定好需要列入考虑范围内的基础评估点以及其具体的指标项)进行打分。这一步工作大部分是在云平台建设完成部署之后就可以进行的，然后对相关信息进行存储，在之后的云平台运行过程中也可以根据需要和变化，重新进行基础评估点量化。按照基础评估点的实际情况分为符合、大部分符合、大部分不符合、不符合四级，其对应的量化值为{1，0.8，0.4，0}。根据n个专家的评分gi，可以如下计算单个基础评估点P的量化值：步骤2：浮动评估点量化浮动评估点量化工作分为两步首先是基于基础评估方式，由专家对相关指标给予初始的评分P0，这一步仅在方法初始的时候进行，之后该评估点的量化方法按照浮动方式进行。首先本发明定义安全浮动因素，本发明将系统存在漏洞、受到的攻击以及其他的安全事件等等统称为安全浮动因素。假使浮动评估点量化以间隔时间T周期进行，则该浮动评估点的量化值将受前一周期评估值与本周期内浮动因素共同影响。安全浮动因素RT主要是由第T周期内产生的n个安全问题所决定，对于一个安全问题，其往往涉及到系统的脆弱性和漏洞问题，所以本发明在量化时参考CVSS(通用安全漏洞评分系统)漏洞评分，对于不在CVE(通用漏洞与披露库)库中的安全问题，需要管理员对问题进行具体定位与评分，故一个安全问题的评分S为：其中scvss为该安全问题相对应漏洞在CVE中CVSS评分值，当安全问题在CVE中无依据时，则采用系统管理员人工审核的方式，即vi、ki、yi∈[0,1]，变量vi表示安全问题的威胁程度，ki表示安全问题的易用程度，yi表示安全问题对相应评估点影响程度，由此来刻画该安全问题。通过以上方法便可得到第T周期时的安全浮动因素量化结果RT。现在本发明考虑对第T周期内，出现n个安全问题时该浮动评估点的量化PT的计算：步骤3：安全层面融合根据前两步，可以方便地计算出各个评估点(包括前述的基础评估点和浮动评估点两类)的量化值Pi，接下来以层面为单位，对评估点的量化值进行融合。考虑到本方法的适用范围和扩展性，这里不对层面的具体划分，和评估点层面划分做出严格限制，方法在使用时，可根据云平台的主要业务功能和要求，有目的的进行划分和使用，以某一安全层面为基础，对其所属的N个评估点量化结果进行融合的评估值C为：步骤4：云平台安全评估指标如前所述，整个云台沿纵向分为7个层面，因为各个层面涉及内容和安全问题各不相同，其对整个云平台安全运行有着各不相同的影响，同时结合云平台自身的服务要求，对各个安全层面的关注程度不同，分别设定每个安全层面的权重qi来更好地结合云平台自身的实际情况，其中qi∈[60,100]，由此计算云平台安全评估结果如下：步骤5：云平台安全态势感知通过上述方法本发明已经可以对云平台从横纵两个方向(评估点和安全层面)对云平台的安全状态进行评估量化，获得相应的实时结果。根据云平台安全态势变化的特点和之前对于安全问题突发性的分析，同时考虑到基础指标量化工作基本都是在云平台部署之后或运行之初就完成了相关工作，所以在这里本发明主要考虑的是受浮动因素影响的浮动评估点，即在第T周期时对某一浮动评估点的预测量化值为：根据浮动点的预测值PT+1，接下来可以分别对安全层面、整体云平台按照前面的量化方法进行预测量化，从而实现在横向与纵向两个角度对平台整体、安全层面、评估点全面的趋势预测。本发明云平台安全态势感知方法，结合云平台实际情况，该方法将云平台系统沿纵向划分为7个层面一次是物理安全、网络安全、主机安全、虚拟层抽象安全、软件平台安全、应用安全、数据安全。其中结合云平台特点，相对于传统系统划分出虚拟层更好地刻画云平台安全。此外在横向角度上划分出若干评估点贯穿各个层面。本发明针对云平台的感知预测方法，基于云平台近期真实的安全态势数据对云平台安全态势进行感知。本发明云平台安全态势感知方法，通过下述方式实现评估点的计算。该方法将评估点划分为2大类依次是基础评估点与浮动评估点，在浮动评估点中明确浮动因素的概念并对评估点进行量化。与现有技术相比，本发明的积极效果为：该方法中的分层方式覆盖了从底层物理环境到上层的应用与数据部分，同时根据云平台特点，将虚拟层抽象出来方便更好地刻画云平台与传统信息系统的区别。从横向与纵向两个方面提供了针对云平台环境的全方位评估体系，从而确保了云平台安全态势感知方法的可用性与准确性。结合云平台安全环境的实际情况，现实中安全问题存在很强的突发性，往往是大规模爆发，经过及时修复又可以快速恢复安全状态。相对的趋势性和旧数据对于安全态势感知的作用十分有限，因此在进行预测感知时，本发明优先考虑利用近期数据，从三个维度对云平台的安全态势进行合理的评估和预测。附图说明图1是本发明的系统日志实时处理流程图。图2是本发明的系统态势评估处理流程。具体实施方式为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图1，对本发明进一步详细说明。本发明的实施例应用于云平台环境下。本发明把评估点分为2大类分别是基础评估点和浮动评估点。这里考虑到不同的平台在具体实施时，其监控能力和环境条件的不同，对评估点有不同的监测需求，所以不对评估点类别做硬性划分。使用者在采用本方法时，可以根据云平台实例的具体情况来设计评估点分类情况。下面详细说明上述方法中的5个步骤。本发明方法步骤1中所述的基础评估点包含许多静态指标，这些指标涵盖了从底层硬件到上层应用及数据各个层面，其中与物理环境、系统架构、已有安全措施等相关的评估点往往在设计与部署时都已基本确立，故其称为基础评估点。本发明认为在云平台中这些基础评估点的分值是几乎不会随着时间改变的。这些评估点就是公式中的P。根据评估点中的评估指标，专家对各个评估点(即PI至Pn)进行打分。本发明假设有n个专家，且每个专家对Pi打的分数称为gi，那么对gi求平均就可以得到Pi。基础评估点的个数和内容可以根据应用场景的不同改变，通过步骤1就可以得到各个基础评估点的静态指标项的得分Pi。本发明方法步骤2中所用到的浮动评估点的指标主要涉及系统漏洞，各种攻击事件、安全威胁以及安全事件等安全问题。我们把这些指标归入浮动评估点是由于这些安全问题的出现具有突发性，因此这些因素是跟时间有关的、会发生变化的。正是因为这个原因，我们认为这些点的评分是会浮动的，所以称这样的评估点为浮动评估点。同一种类型的安全问题会根据类别被划分到不同的浮动评估点中，从而方便对某一浮动评估点进行评分。在本方法中将这些安全问题统称为安全浮动因素。例如：在主机安全层面我们需要考虑入侵防范这个浮动评估点，在这个浮动评估点中有许多的指标来辅助这个点的评分，比如借助漏洞扫描工具扫描到的漏洞、借助安全防护软件检测到未经授权打开的端口等。下面本发明说明本发明实施例在进行步骤2评估时可能的数据来源。以对该云平台的一次安全态势评估为例。需要对来源不同结构各异的数据进行收集。可利用的数据分为以下几种：日志数据，包括系统日志、应用日志等以及由一些成熟的技术(例如：云应用安全防护软件)所发现的安全事件。这些事件可以通过日志传输协议rsyslog协议转发，再经由高可靠高可用特性的分布式海量日志收集、聚合、传输系统Flume进行采集。从这些数据中本发明可以分析得到云平台存在的安全问题。云平台的漏洞，可以使用开放式漏洞评估系统Openvas对主机和虚拟机进行漏洞扫描来获得。虚拟机的创建需要一个平台作为支撑，常见的云计算管理平台是openstack。对于openstack这些平台自身的信息以及存在的问题由openstack自带的应用程序接口(api)来提供。除了上面提到的方式还可以使用其他方法来获取云平台的安全问题。本发明根据采集数据类型的不同将它们分为下面两个模块来说明安全问题的采集过程：1.漏洞扫描模块利用开放式漏洞评估系统openvas对目标主机进行扫描，获取主机漏洞信息，并将扫描结果存储到mysql数据库的相应表项中。漏洞信息分别有：漏洞名、创建时间、修改时间、所有者、主机、端口号、威胁因素、严重程度、描述等。这些漏洞信息是浮动评估云平台安全态势时需要用到的，是安全态势评估数据来源之一。2.日志采集处理模块负责采集云平台内的安全事件日志，包括系统日志审查事件，防火墙事件，完整性监控事件等。采集完日志后，还需要对采集到的各类日志进行接收、分类、格式化，最后将它们存入合适的数据库，在进行评估时进行调用。1)日志分类基于日志信息中的message字段的结构对所有的原始日志进行分类，把具有相同message结构的分为一类，由此可以得到下面几个分类以及其具体message字段内容：2)日志格式化针对不同类别的日志，设计日志格式化所需的正则表达式，使用日志处理工具(例如：日志采集聚合传输系统Flume自带的Morphline工具)对实时日志流进行处理，转化成结构化的日志并存储到数据库中，在需要分析使用时再进行调用。下面说明方法步骤2的运算过程。浮动评估点量化工作的第一步是基于步骤1中的基础评估方式，由专家根据安全浮动因素相关指标项，给予云平台的各个浮动评估点一个初始的评分P0。这一步仅在方法初始的时候进行，为系统评分提供一个初始值，之后评估点的量化方法按照浮动方式进行。在浮动方式中本发明定义了一个时间间隔T，每过一段时间T本发明就重新进行评分。前述的安全问题在量化时参考CVSS(通用安全漏洞评分系统)漏洞评分，对于不在CVE(通用漏洞与披露库)库中的安全问题，需要管理员对问题进行具体定位与评分。管理员在评分时每个问题都对应一组vi、ki，yi，其中vi、ki、yi∈[0,1]。变量vi表示安全问题的威胁程度，ki表示安全问题的易用程度(即安全问题容易被利用的程度)，yi表示安全问题相应的评估点对评分的影响程度。现在暂把这三项相乘作为这个漏洞的评分值，如果不在CVE库中的安全问题有评分值了，本发明就称这个问题已经被解决了。把属于同一个评估点的所有这些安全问题(在CVE中的和被管理员处理过的)的评分值加起来就得到了公式中的RT′。但是如果经过T周期，还有一些安全问题它不再CVE库中，也没有被管理员处理，那么本发明就把其前面得到的RT′乘上系数1.3作为最后的浮动因素量化结果RT。如果都有评分值，则不需要这个系数R′T＝RT。如果在这段RT时间里面没有出现安全问题，则这一项RT为0。如果RT值为0，且安全问题数n＝0，则本发明认为云平台正在往向好的方向发展，因此本发明将原来的这一浮动评估项的值乘以1.1作为这个周期的浮动评分PT。如果RT值为0，但安全问题数n>0，说明出现了不在CVE库中的漏洞并且这些漏洞都没有被管理员处理，那么平台还是一个变坏的趋势，所以本发明将原来的这一浮动评估项的值乘以0.5作为这个周期的浮动评分PT。如果RT值大于0，则本发明从原来的评分中减去这个浮动值RT即PT-1-RT，得到这一周期的浮动评分PT。最后，由于本发明的评分限定在0，1之间，因此如果PT小于0，本发明就取0；如果大于1，则取1。本发明方法步骤3中所述是按照实际需要将云平台划分为不同的层面，将本发明在步骤1，2中得到的两类评估点放入各自的层面，然后根据步骤3中的公式将属于该层面的评估点的分值相加取平均，算出各个层面的评估值C。本发明方法步骤4中所述是计算整个云平台的安全态势评估值，由于不同应用环境对各个安全层面的关注程度不同，因此本发明分别给每个安全层面设定了不同的权重qi来更好地结合平台自身的实际情况。例如在云平台中，本发明可以将网络安全、虚拟机安全等层面的权重设置的较高。本发明方法步骤5中所述是预测步骤2中的浮动评估点未来的数值变化趋势。由于基础评估点是不会改变的，所以本发明只需要预测浮动评估点，再重复步骤3、4的计算过程就可以得到未来云平台的安全态势评估值。根据云平台安全态势变化的特点和之前对于安全问题突发性的分析，本发明用待预测周期之前5个周期的评分乘以不同的权重来预测这个周期的评分(距离现在时间越近比重越大，但是比重差别又不是很大，因为本发明认为云平台如果过去发生过严重安全事件则说明云平台可能系统中就存在问题，那么将意味着它还有可能在将来出现这样的安全问题)。下面本发明将举例说明本发明中的安全态势感知评估方法是如何进行具体的评估计算的。该计算过程分成以下5步：首先，假设现在本发明的云平台分为4层，分别是：网络安全层C1，虚拟机安全层C2，虚拟平台管理层安全层C3和物理机安全层C4。步骤1：基础评估点量化。本发明请专家为本发明的云平台进行基础评估点的打分。假设该云平台的这4层中共有4个基础评估点P1-P4。按照指标项的实际情况与理想安全情况的符合程度，本发明分为符合、大部分符合、大部分不符合、不符合四级，其对应的量化值为{1，0.8，0.4，0}。每个专家对这4层进行打分，将每一层所有专家的分数求和取平均得到每一个基础评估点的分值。步骤2：浮动评估点量化。浮动评估点量化第一步是是基于基础评估方式，由专家对相关指标给予初始的评分。假设该云平台的4层中共有3个浮动评估点P5-P8。根据步骤1的公式算出专家给出的初始评估值的平均值如下：经过T周期以后，假设漏洞扫描模块发现了3个漏洞，分别是TCPtimestamps、SSHWeakMACAlgorithmsSupported、CheckforSSLWeakCiphers以及DropbearSSHCRLFInjectionVulnerability，本发明把它们统一命名为安全问题1、2、3、4。除此之外，从收集到的日志中本发明发现在这个周期内系统受到了拒绝服务攻击和MAC欺骗攻击，本发明把它们统一命名为安全问题5、6。在这6个安全问题中，假设安全问题1，2，4，5属于浮动评估点P5，安全问题3属于浮动评估点P6，浮动评估点P7没有出现安全问题，安全问题6属于浮动评估点P8。它们的评分如下：是否在CVE库中scvss是否已经被管理员评分vikiyivi·ki·yi安全问题1不在-是0.80.40.20.064安全问题2在0.9-安全问题3不在-是0.20.70.70.098安全问题4在2.4-安全问题5不在否安全问题6不在-否R5T1′＝0.064+0.9×0.1+2.4×0.1＝0.394由于存在安全问题5没有被评分，所以R5T1＝1.3·R5′T1＝0.5122R6T1′＝0.098，R6T1＝R6′T1＝0.098R7T1′＝0，R7T1＝R7′T1＝0R8T1′＝0，R8T1＝1.3·R8′T1＝0因此根据规则，经过一个T周期后，P5、P6、P7、P8的评估值如下：P5T1＝P5′T1＝0.306P6T1＝P6′T1＝0.202P7T1＝P7′T1＝0.99P8′T1＝0.5·P8T0＝0.25P7T1＝P8′T1＝0.99步骤3：安全层面融合。根据前两步，已经计算出各个评估点的量化值，接下来以层面为单位，对网络安全层C1，虚拟机安全层C2，虚拟平台管理层安全层C3，物理机安全层C4的安全层面的评估值进行计算。假设P1、P3、P5属于C1层，P2、P4属于C2层，P6属于C3层，P7、P8属于C4层。初始阶段：P1P2P3P4P5P6P7P80.780.780.380.280.70.30.90.5根据公式C1C2C3C40.620.530.30.7经过T周期：P1P2P3P4P5P6P7P80.780.780.380.280.3060.2020.990.25根据公式C1C2C3C40.48870.530.2020.62步骤4：云平台安全评估指标。本发明给四层分别赋权重如下：C1C2C3C4qi80907060根据公式可以得到：初始Q＝0.5343经过T周期后Q＝0.4605可以看到Q值变小，说明该云平台的安全性正在下降，从上面的描述中本发明也可以发现平台出现了安全问题，所以Q值变小是合理的。步骤5：云平台安全态势感知。这一步是用在预测当中的，如果平台不需要预测未来安全态势趋势，那么前4步就已经足够了。如果需要预测，就必须预测浮动评估点的变化情况(基础评估点不改变)。下面举例解释这一步是如何对浮动评估点进行预测的：首先，基础评估点不变P1P2P3P40.780.780.380.28而浮动评估点需要根据公式进行变化。现假设有一个浮动评估点在T1-T5周期的评分如下：PT1PT2PT3PT4PT50.420.30.50.620.71则可以求得PT6＝0.539同理可以计算得到T6时刻所有浮动评估点的数值，将这些数值再重新进行第3，4步运算就可以得到T6时刻的C，Q值，也就可以得到T6时刻云平台的安全态势值了。上述具体实施方式仅是本发明的具体个案，本发明的专利保护范围包括但不限于上述具体实施方式，任何在本发明的精神和原则之内所做的任何省略、修改、等同替换、改进等，皆应落入本发明的专利保护范围。当前第1页1 2 3