专利名称:一种网络安全态势评估方法及系统的制作方法
技术领域:
本发明涉及网络安全领域,特别是涉及一种网络安全态势评估方法和系统。
背景技术:
网络安全态势评估是信息安全领域的重要研究内容。所谓网络安全态势评估是指 利用评估算法综合分析网络空间的各个安全元素,将元素之间的影响关系以及影响程度以 宏观指数的方式呈现给管理员,让管理员从全局的角度感知、觉察网络系统的安全态势,进 而促使管理员做出合理、准确的决策。网络安全态势评估是整个安全管理的基础。目前基于静态加权的量化分级技术在网络安全态势评估中应用较为普遍,它的工
作原理是当网络空间中有攻击活动发生时,攻击活动会触发各个分布式部署的安全设备,
如入侵检测系统、防火墙等,产生安全事件。安全事件以记录的形式给出了攻击的相关属
性,如攻击类型、源地址、目标地址、攻击风险等级等。静态加权的量化分级技术通常会按照
网络资源的粒度从系统级、主机级再到服务级结合事件的目的地址对事件进行分类,这样
就产生了一个层次式的事件集,如
图1所示。图1的树形结构中,每一个叶节点都是一个事
件集合。当一个安全事件产生时,根据事件的目标主机和目标服务将该事件归类到某一个
叶节点中,这样一个叶节点就代表针对某个目标主机上某个服务的所有安全事件。评估的
时候首先对各个叶节点进行分别处理,将叶节点中各个事件的攻击风险等级累加得到主机
i上服务j的态势指数Service^,然后再通过式(1)计算出各个主机的态势指数N0dei,其
中Weight (Service^)表示主机i上服务j的权重,得到各个主机的态势指数N0dei根据式
(2)计算出整个系统的态势指数System,完成整个评估过程。System从宏观角度反映了当
全网络空间的安全状况。 kNod6[ = ^Service! ,Weight(Service丨)(1)System = Nodet * Weight(Nodei)(2)
/=i但由于静态加权的量化分级技术是遵循从系统级、主机级,再到服务级结合事件 的目标地址对事件进行归并分类的,这种方案至少存在以下缺点首先,由于对事件的归类 划分依赖于目标地址,使得在目标地址不存在或不唯一的情况下,该方法将不适用。例如利 用ICMP报文进行洪泛攻击,其没有明确的目标地址,这时该方法将不适用,具有明显的局 限性。另外,当网络中同时发生多种类型的攻击活动时,其处理特点仅仅停留在静态加权层 面,使得该技术的融合过程不能体现出不同攻击活动行为特征之间的区别差异,使得评估 最终结果的准确性下降。
发明内容
为解决上述技术问题,本发明实施例提供一种网络安全态势评估方法及系统,以 提高网络安全态势评估的适用范围和准确性,技术方案如下
一种网络安全态势评估方法,包括将预置时间段内所有安全事件按照攻击类型分类,构成至少一个事件集;分别累加各事件集中所述安全事件的攻击风险等级,将累加值确定为各事件集的 危害程度值;将各事件集的危害程度值作为自变量带入与各事件集相对应的经验函数fi(),获 得各事件集使网络处于不安全状态的可信度值;其中,所述经验函数为根据具体的网络 应用环境并且满足证据理论的合成规则的应用条件设计出的用于将危害程度值映射到区 间
的函数;将各事件集的可信度值作为证据分量,利用证据理论的合成规则,综合各个所述 证据分量,获得预置时间段网络处于不安全状态的可信度。优选地,所述经验函数为可信度分配函数为
权利要求
一种网络安全态势评估方法,其特征在于,包括将预置时间段内所有安全事件按照攻击类型分类,构成至少一个事件集;分别累加各事件集中所述安全事件的攻击风险等级,将累加值确定为各事件集的危害程度值;将各事件集的危害程度值作为自变量带入与各事件集相对应的经验函数fi(),获得各事件集使网络处于不安全状态的可信度值;其中,所述经验函数为根据具体的网络应用环境并且满足证据理论的合成规则的应用条件设计出的用于将危害程度值映射到区间
的函数;将各事件集的可信度值作为证据分量,利用证据理论的合成规则,综合各个所述证据分量,获得预置时间段网络处于不安全状态的可信度。
2.根据权利要求1所述的方法,其特征在于,所述经验函数为可信度分配函数为f^^il^arctgxln-e^-x^/l + Q.S-其中,i表示攻击活动的类型标识,自变量X为事件集的危害程度值,ki和Si为预置的 标识为i的攻击活动的修正因子,e&j 为标识为i的攻击活动的修正函数。
3.根据权利要求1所述的方法,其特征在于,所述利用证据理论的合成规则,综合各个 证据分量,获得预置时间段网络处于不安全状态的可信度,包括将各个事件集的可信度作为证据分量带入以下公式,获得预置时间段网络处于不安全 状态的可信度(叫 m2十…十w )(A0 =_mi(N)*m2(N)*...*mn(N)_1 - (m, (N) *m2(Y)*...*mn (Y) + m, (7) *m2(N)*m3(Y)*..*mn(Y) + ... + mx (Y) *m2(Y)*..*mn (N))其中,m为获得事件集使网络处于不安全状态可信度的函数;mi(N)为标识为i的攻击活动使网络处于不安全状态的可信度,所述i = 1,2,3......n,mi (Y)为标识为i的攻击活动使网络处于安全状态的可信度,所述叫⑴=十… m )(iV)为预置时间 段网络处于不安全状态的可信度。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括,利用证据理论的合成规 则,综合各个所述证据分量,获得预置时间段网络处于安全状态的可信度。
5.根据权利要求4所述的方法,其特征在于,所述利用证据理论的合成规则,综合各个 证据分量,获得预置时间段网络处于安全状态的可信度,包括将各个事件集的可信度作为证据分量带入以下公式,获得预置时间段网络处于安全状 态的可信度(叫十…十m )(J) = _m1(Y)*m2(Y)*...*mn(Y)_其中,(趴1 巾2 ... 双 )(10为预置时间段网络处于安全状态的可信度。
6.一种网络安全态势评估系统,其特征在于,包括攻击分类单元,用于将预置时间段内所有安全事件按照攻击类型分类,构成至少一个 事件集;风险累加单元,用于分别累加所述攻击分类单元构成的各事件集中所述安全事件的攻 击风险等级,将累加值确定为各事件集的危害程度值;证据分量获得单元,用于将所述风险累加单元获得的各事件集的危害程度值作为自变 量带入与各事件集相对应的经验函数fi 0,获得各事件集使网络处于不安全状态的可信度 值;其中,所述经验函数为根据具体的网络应用环境并且应用证据理论的合成规则的条 件设计出的用于将危害程度值映射到区间w,l]的函数;第一可信度获得单元,用于将所述证据分量获得单元获得的各事件集的可信度值作为 证据分量,利用证据理论的合成规则,综合各个所述证据分量,获得预置时间段网络处于不 安全状态的可信度。
7.根据权利要求6所述的系统,其特征在于,所述经验函数为可信度分配函数为
8.根据权利要求6所述的系统,其特征在于,所述第一可信度获得单元将各个事件集 的可信度作为证据分量带入以下公式,获得预置时间段网络处于不安全状态的可信度
9.根据权利要求8所述的系统,其特征在于,所述系统还包括第二可信度获得单元;所述第二可信度获得单元,用于将所述证据分量获得单元获得的各事件集的可信度值作为证据分量,利用证据理论的合成规则,综合各个所述证据分量,获得预置时间段网络处 于安全状态的可信度。
10.根据权利要求9所述的系统,其特征在于,所述第二可信度获得单元,将各个事件 集的可信度作为证据分量带入以下公式,获得预置时间段网络处于安全状态的可信度
全文摘要
本发明公开了一种网络安全态势评估方法和系统,以提高网络安全态势评估的适用范围和准确性。上述方法包括将预置时间段内所有安全事件按照攻击类型分类,构成至少一个事件集;分别累加各事件集中所述安全事件的攻击风险等级,将累加值确定为各事件集的危害程度值;将各事件集的危害程度值作为自变量带入与各事件集相对应的经验函数fi(),获得各事件集使网络处于不安全状态的可信度值;将各事件集的可信度值作为证据分量,利用证据理论的合成规则,综合各个所述证据分量,获得预置时间段网络处于不安全状态的可信度。可见,本技术方案实现了对整个网络系统安全态势的定量评估,提高了网络安全态势评估的适用范围和准确性。
文档编号H04L29/06GK101951329SQ201010292870
公开日2011年1月19日 申请日期2010年9月27日 优先权日2010年9月27日
发明者冯学伟, 刘杰, 张鲁峰, 方兰, 李响, 李津, 李远玲, 王东霞, 王春雷, 苗青, 赵刚, 赵金晶, 马国庆 申请人:北京系统工程研究所