專利名稱:一種網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體涉及一種網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法。
背景技術(shù):
隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的迅速發(fā)展以及用戶需求的不斷增加,計(jì)算機(jī)網(wǎng)絡(luò)獲 得了越來越廣泛的應(yīng)用。網(wǎng)絡(luò)具有資源分布共享化、用戶分散化和管理分布化等特性,為實(shí) 現(xiàn)大規(guī)模的并行計(jì)算和信息服務(wù)提供了基礎(chǔ)。然而,當(dāng)前網(wǎng)絡(luò)正面臨著嚴(yán)峻的信息安全形 勢(shì),安全問題已經(jīng)成為制約其發(fā)展的一大障礙。安全態(tài)勢(shì)評(píng)估技術(shù)能夠從整體上反映出網(wǎng) 絡(luò)動(dòng)態(tài)安全狀況,并對(duì)安全狀況的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警,因此,針對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)評(píng) 估模型及關(guān)鍵技術(shù)已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。目前,對(duì)網(wǎng)絡(luò)進(jìn)行安全態(tài)勢(shì)評(píng)估主要有以下四類方法第一類是可視化方法,該方 法的主要思想是利用人對(duì)直觀圖像的敏銳性,以可視化視圖的方式將網(wǎng)絡(luò)連接狀態(tài)呈現(xiàn)出 來,從而使管理員對(duì)當(dāng)前的網(wǎng)絡(luò)狀態(tài)有直觀的了解,并通過經(jīng)驗(yàn)去判斷網(wǎng)絡(luò)是否受到攻擊 威脅,但此類方法所反映的網(wǎng)絡(luò)安全指標(biāo)較為單一,對(duì)管理員經(jīng)驗(yàn)水平要求也很高。第二類 是基于入侵檢測(cè)系統(tǒng)的分布式傳感器進(jìn)行數(shù)據(jù)融合的方法,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng) 估,通過數(shù)據(jù)融合和數(shù)據(jù)挖掘的方法評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)的安全性,但沒有實(shí)現(xiàn)具體的原型系 統(tǒng)。第三類是基于蜜網(wǎng)進(jìn)行因特網(wǎng)安全態(tài)勢(shì)評(píng)估的方法,使用蜜網(wǎng)提供的大量網(wǎng)絡(luò)活動(dòng)信 息,根據(jù)入侵檢測(cè)工具對(duì)這些活動(dòng)產(chǎn)生的報(bào)警信息來構(gòu)建安全態(tài)勢(shì)曲線,但該曲線只有在 大規(guī)模病毒或蠕蟲爆發(fā)時(shí)才能體現(xiàn)出明顯效果。第四類是層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng) 估方法,利用入侵檢測(cè)系統(tǒng)報(bào)警信息和網(wǎng)絡(luò)性能指標(biāo),并且結(jié)合主機(jī)的漏洞信息,對(duì)服務(wù)、 主機(jī)和網(wǎng)絡(luò)進(jìn)行層次化的安全定量評(píng)估,得到直觀的安全態(tài)勢(shì)圖,但選取的態(tài)勢(shì)評(píng)估指標(biāo) 還不夠全面,量化算法結(jié)果也不夠準(zhǔn)確??紤]到網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的實(shí)際應(yīng)用背景,態(tài)勢(shì)評(píng)估方法應(yīng)該選取較全面的態(tài)勢(shì) 評(píng)估指標(biāo),建立相應(yīng)的較為準(zhǔn)確的態(tài)勢(shì)評(píng)估方法,我們?cè)O(shè)計(jì)了本發(fā)明所述的一種基于期望 狀態(tài)圖和性能修正的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于期望狀態(tài)圖和性能修正的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方 法。針對(duì)網(wǎng)絡(luò)安全性的各種因素進(jìn)行分析,利用網(wǎng)絡(luò)中各主機(jī)攻擊圖和漏洞信息生成期望 狀態(tài)圖,并提出期望威脅與性能修正相結(jié)合的方法,利用主機(jī)性能和服務(wù)信息以及網(wǎng)絡(luò)組 件的性能指標(biāo),對(duì)期望狀態(tài)進(jìn)行修正并繪制安全態(tài)勢(shì)曲線,從而實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的量化 分析和趨勢(shì)預(yù)測(cè)。本發(fā)明結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)自身的特點(diǎn),將網(wǎng)絡(luò)安全的影響因素歸納為三類網(wǎng)絡(luò)特 性、入侵信息和網(wǎng)絡(luò)性能。網(wǎng)絡(luò)特性主要包含了網(wǎng)絡(luò)主機(jī)特性、網(wǎng)絡(luò)組件特性和節(jié)點(diǎn)關(guān)系。主機(jī)特性包括主 機(jī)的唯一標(biāo)識(shí)符、主機(jī)權(quán)重、主機(jī)上運(yùn)行的應(yīng)用服務(wù)和主機(jī)上存在的漏洞;網(wǎng)絡(luò)組件特性包括網(wǎng)絡(luò)組件的唯一標(biāo)識(shí)符、網(wǎng)絡(luò)組件的類型和網(wǎng)絡(luò)組件所占的權(quán)重值。節(jié)點(diǎn)關(guān)系包含物理 鏈接關(guān)系和信任關(guān)系。入侵信息主要包括入侵信息的唯一標(biāo)識(shí)符、入侵信息的類型、入侵所依賴的漏洞 和入侵的期望威脅。網(wǎng)絡(luò)性能包含了網(wǎng)絡(luò)主機(jī)性能和網(wǎng)絡(luò)組件性能。主機(jī)性能包括主機(jī)的唯一標(biāo)識(shí) 符、主機(jī)處理器使用率、主機(jī)內(nèi)存使用率、主機(jī)服務(wù)時(shí)間、主機(jī)服務(wù)隊(duì)列數(shù)、連接數(shù)、流量、包 延遲時(shí)間和丟包率;網(wǎng)絡(luò)組件性能包括網(wǎng)絡(luò)組件的唯一標(biāo)識(shí)符、網(wǎng)絡(luò)組件的類型、網(wǎng)絡(luò)組件 的入侵檢測(cè)和防護(hù)能力和網(wǎng)絡(luò)組件處理的流量。本發(fā)明方法的框架圖如圖1所示。本發(fā)明方法包含了三個(gè)層次原始數(shù)據(jù)層、量化分析層和網(wǎng)絡(luò)綜合層。原始數(shù)據(jù)層 包括告警信息、漏洞信息、服務(wù)信息、主機(jī)性能和網(wǎng)絡(luò)組件性能;而量化分析層包括期望狀 態(tài)圖生成、性能修正算法、主機(jī)權(quán)重計(jì)算、主機(jī)安全態(tài)勢(shì)計(jì)算和網(wǎng)絡(luò)組件安全態(tài)勢(shì)計(jì)算;最 后網(wǎng)絡(luò)綜合層是利用主機(jī)安全態(tài)勢(shì)和網(wǎng)絡(luò)組件安全態(tài)勢(shì)綜合計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)。本發(fā)明的具體步驟如下步驟A 告警關(guān)聯(lián)分析,通過對(duì)海量告警信息進(jìn)行相關(guān)性分析,以降低網(wǎng)絡(luò)入侵檢 測(cè)系統(tǒng)產(chǎn)生的告警數(shù)量,減少誤報(bào),并對(duì)攻擊步驟的前后相關(guān)性進(jìn)行分析,從而得到較高抽 象層次的入侵信息,包括類型、依賴漏洞和入侵的期望威脅等信息,生成較準(zhǔn)確的主機(jī)攻擊 圖;步驟B:風(fēng)險(xiǎn)傳播分析,利用網(wǎng)絡(luò)內(nèi)部主機(jī)之間的信任關(guān)系和攻擊所依賴的漏洞, 分析某成功攻擊在局域網(wǎng)內(nèi)可能對(duì)其它主機(jī)產(chǎn)生的威脅,從而得到更完整的主機(jī)攻擊圖;步驟C:漏洞關(guān)聯(lián)分析,利用主機(jī)漏洞信息、攻擊所依賴的漏洞和入侵的期望威 脅,針對(duì)主機(jī)攻擊圖進(jìn)行關(guān)聯(lián)分析,得到主機(jī)的期望狀態(tài)圖;步驟D:計(jì)算期望威脅,利用已有的攻擊知識(shí)和主機(jī)期望狀態(tài)圖,對(duì)期望狀態(tài)圖中 的各個(gè)期望狀態(tài)進(jìn)行賦值,計(jì)算期望狀態(tài)的差值并取其中最大值作為主機(jī)期望威脅;步驟E:計(jì)算修正威脅,利用實(shí)際主機(jī)性能參數(shù)計(jì)算主機(jī)性能改變值,對(duì)主機(jī)期望 威脅進(jìn)行修正,得到網(wǎng)絡(luò)主機(jī)的修正威脅;步驟F:計(jì)算主機(jī)綜合安全態(tài)勢(shì)和網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì),利用各主機(jī)提供服務(wù) 的權(quán)重信息和各主機(jī)的修正威脅值計(jì)算出主機(jī)綜合安全態(tài)勢(shì);步驟G:計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì),利用主機(jī)綜合安全態(tài)勢(shì)和網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì)進(jìn) 行加權(quán)計(jì)算即可得到網(wǎng)絡(luò)安全態(tài)勢(shì),計(jì)算公式如下SA = x X SAH+ (1- x ) X SAn其中x為比例系數(shù),取值為W,l],表示主機(jī)態(tài)勢(shì)值在安全態(tài)勢(shì)分析中所占的比 例;主機(jī)綜合安全態(tài)勢(shì),反映網(wǎng)絡(luò)的服務(wù)能力;SAN為網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì),反映網(wǎng) 絡(luò)的連通性;步驟H:結(jié)果輸出,利用以上步驟可以計(jì)算網(wǎng)絡(luò)不同時(shí)段的安全態(tài)勢(shì)值,結(jié)果輸出 即是將安全態(tài)勢(shì)計(jì)算結(jié)果通過繪制網(wǎng)絡(luò)安全態(tài)勢(shì)曲線圖的方法進(jìn)行可視化展現(xiàn),安全態(tài)勢(shì) 曲線圖可以從整體上反映網(wǎng)絡(luò)的安全態(tài)勢(shì)變化情況。本發(fā)明的積極效果本發(fā)明可以有效地將理論分析結(jié)果和實(shí)際性能參數(shù)結(jié)合在一起,更加準(zhǔn)確地分析攻擊對(duì)網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)組件的實(shí)際影響,并且通過性能修正方法可以對(duì)未知攻擊造成的威 脅進(jìn)行分析,因此比傳統(tǒng)方法更準(zhǔn)確地反映了網(wǎng)絡(luò)的安全態(tài)勢(shì)。
圖1示出了基于期望狀態(tài)圖和性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法的主要框 架;圖2示出了主機(jī)攻擊圖和主機(jī)期望狀態(tài)圖的對(duì)比;(a)主機(jī)攻擊圖(b)主機(jī)期望狀態(tài)圖。
具體實(shí)施例方式本發(fā)明的輸入是告警信息、漏洞信息、主機(jī)性能信息和服務(wù)信息、網(wǎng)絡(luò)組件性能信 息、網(wǎng)絡(luò)拓?fù)湫畔⒓爸鳈C(jī)信任關(guān)系。輸入信息可以來自任何一個(gè)網(wǎng)絡(luò)系統(tǒng)的各種設(shè)備,如主 機(jī)、服務(wù)器、入侵檢測(cè)系統(tǒng)、路由器、防火墻等等。這些設(shè)備上的數(shù)據(jù)流經(jīng)過對(duì)應(yīng)的預(yù)處理設(shè) 備處理后,提取出的信息都可作為本發(fā)明的輸入信息。以上信息要求完整全面,信息越完 整,評(píng)估結(jié)果越準(zhǔn)確。通過對(duì)輸入信息的層層處理和分析,最后得到網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié) 果,以網(wǎng)絡(luò)安全態(tài)勢(shì)曲線圖進(jìn)行展現(xiàn)。下面給出詳細(xì)過程。步驟A 告警關(guān)聯(lián)分析。告警關(guān)聯(lián)分析,是通過對(duì)海量告警信息進(jìn)行相關(guān)性分析,有效降低網(wǎng)絡(luò)入侵檢測(cè) 系統(tǒng)產(chǎn)生的告警數(shù)量,減少誤報(bào),并對(duì)攻擊步驟的前后相關(guān)性進(jìn)行分析,從而得到較高抽象 層次的入侵信息,生成較準(zhǔn)確的主機(jī)攻擊圖。本發(fā)明方法采用基于預(yù)定義攻擊場(chǎng)景的告警 關(guān)聯(lián)算法,首先將攻擊圖設(shè)置為空,然后依次讀入每一條告警日志,將告警日志與預(yù)定義攻 擊場(chǎng)景進(jìn)行匹配,如果不匹配則讀入下一條告警日志,否則檢查攻擊圖中是否已添加該攻 擊場(chǎng)景,如果已添加則讀入下一條告警日志,否則將匹配的攻擊場(chǎng)景添加到攻擊圖中,每一 條告警日志處理完成后得到主機(jī)攻擊圖。步驟B 風(fēng)險(xiǎn)傳播分析。風(fēng)險(xiǎn)傳播分析,是利用網(wǎng)絡(luò)內(nèi)部主機(jī)之間的信任關(guān)系和攻擊所依賴的漏洞,分析 某成功攻擊在局域網(wǎng)內(nèi)可能對(duì)其它主機(jī)產(chǎn)生的威脅。本發(fā)明方法首先將所有主機(jī)的成功攻 擊進(jìn)行傳播,傳播對(duì)象是主機(jī)信任關(guān)系中信任被攻擊主機(jī)的其它主機(jī),然后再利用傳播對(duì) 象主機(jī)的漏洞信息判斷該風(fēng)險(xiǎn)傳播是否成功,如果不成功則中斷該條傳播路徑,否則傳播 成功并繼續(xù)從成功主機(jī)向信任對(duì)象傳播,直至所有信任關(guān)系都已進(jìn)行了分析,從而得到更 加完整的主機(jī)攻擊圖。步驟C:漏洞關(guān)聯(lián)分析。漏洞關(guān)聯(lián)分析,是利用主機(jī)漏洞信息、攻擊所依賴的漏洞和入侵的期望威脅,針對(duì) 主機(jī)攻擊圖進(jìn)行關(guān)聯(lián)分析,得到主機(jī)的期望狀態(tài)圖。漏洞關(guān)聯(lián)分析可以去除攻擊圖中的無 效攻擊,降低期望狀態(tài)圖的復(fù)雜度。本發(fā)明方法對(duì)主機(jī)攻擊圖中每一步所依賴的漏洞進(jìn)行 檢查,如果包含該漏洞則繼續(xù)檢查下一轉(zhuǎn)移過程,否則刪除當(dāng)前狀態(tài)轉(zhuǎn)移過程,繼續(xù)檢查下 一轉(zhuǎn)移過程,最后得到主機(jī)期望狀態(tài)圖。以上得到的主機(jī)攻擊圖和主機(jī)期望狀態(tài)圖如圖2實(shí)例所示,其中圖(a)為攻擊圖,圖(b)為期望狀態(tài)圖,期望狀態(tài)圖是根據(jù)主機(jī)漏洞信息將攻擊圖中的不可能路徑去掉后得 到的。步驟D:計(jì)算期望威脅。計(jì)算期望威脅,是利用攻擊的期望威脅和主機(jī)期望狀態(tài)圖,對(duì)期望狀態(tài)圖中的各 個(gè)期望狀態(tài)進(jìn)行賦值,計(jì)算期望狀態(tài)的變化值并取其中最大值作為主機(jī)期望威脅。以圖2所示期望狀態(tài)圖為例,假設(shè)期望狀態(tài)SO、SI、S2、S4、S6的期望狀態(tài)值分別 為1、0. 85、0. 95、0. 8、0. 9,其中SO為初始狀態(tài),計(jì)算其它所有期望狀態(tài)與初始狀態(tài)的差值 可得期望威脅值集合VoT為{0. 15,0. 05,0. 2,0. 1},取最大值0. 2作為攻擊的期望威脅值 VoTmax。步驟E:計(jì)算修正威脅。計(jì)算修正威脅是利用實(shí)際主機(jī)性能參數(shù)計(jì)算主機(jī)性能改變值,對(duì)主機(jī)期望威脅進(jìn) 行修正,得到網(wǎng)絡(luò)主機(jī)的修正威脅。安全態(tài)勢(shì)評(píng)估模型中的主機(jī)性能集合HP用(id,y,u,T,A,K,p,e,6)^ 示,該參數(shù)用于對(duì)主機(jī)性能變化量進(jìn)行計(jì)算,其中id是主機(jī)的唯一標(biāo)識(shí)符,、是處理器使 用率;U是內(nèi)存使用率;T是服務(wù)時(shí)間;\是服務(wù)隊(duì)列數(shù);K是連接數(shù);P是流量;£是包 延遲時(shí)間;S是丟包率。對(duì)某主機(jī),其性能參數(shù)的最小值都為0,對(duì)應(yīng)的最大值為(id,l,l, To^O'^O' P0' %,1),其中、是最大服務(wù)隊(duì)列數(shù);!^是最大連接數(shù);P。是最大流量; t。是臨界服務(wù)時(shí)間;e。是臨界包延遲時(shí)間。主機(jī)性能由當(dāng)前可利用資源來衡量,采用如下 公式計(jì)算主機(jī)當(dāng)前的性能值PH
r^A-^i , ifT X K O £ ^ph=1~- r + + —+ — + — + —+ — +
ro K ^o Po £o >其中t 彡 T 時(shí),# = 1; e 彡 £ 時(shí),= 易知 PH G
。設(shè)在某時(shí)段開始時(shí)刻某主機(jī)的性能參數(shù)為(id,i^,x17 Kl,Pl, £l, \),該時(shí)段結(jié)束時(shí)刻的性能參數(shù)為(id,y2, u2, x2, A2, k2, p2, e2, S 2),則= + + T + - + A + - + ^
8、 . r0 Ao K0 p0 e0 & = 去+令色+ 爲(wèi)
T0 ^ K0 p0 e0 )
<>vro A)Po £oJ使用性能變化量APH對(duì)期望威脅值VoT_進(jìn)行修正,就可以得到修正威脅值 CoT。 ,計(jì)算公式為VoTcor = (l-n)X VoT隨+ n X A PH其中n為修正系數(shù),取值為w,i],表示性能修正在威脅值計(jì)算中所占的比例。步驟F 計(jì)算主機(jī)綜合安全態(tài)勢(shì)和網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì)。利用各主機(jī)提供服務(wù)的權(quán)重信息和各主機(jī)的修正威脅值可以計(jì)算出網(wǎng)絡(luò)中所有 主機(jī)綜合后的安全態(tài)勢(shì),即主機(jī)綜合安全態(tài)勢(shì),計(jì)算公式如下
nSAh = Z wHi x VoTCOIt
i=l其中n為主機(jī)數(shù),wHi為每個(gè)主機(jī)所占的權(quán)重,由下式計(jì)算 其中m為主機(jī)提供的服務(wù)數(shù),Wi為每個(gè)服務(wù)所占的權(quán)重,為已知信息。利用網(wǎng)絡(luò)組件性能信息和各網(wǎng)絡(luò)組件權(quán)重值可以計(jì)算網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì)。根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型,網(wǎng)絡(luò)組件的檢測(cè)和防護(hù)能力 處理流量
>其中Qtl是最大處理流量,可由以下公式來計(jì)算網(wǎng)絡(luò)組件的性能值pN: 設(shè)在某時(shí)段開始時(shí)刻某網(wǎng)絡(luò)組件的性能參數(shù)為β工和θ工,該時(shí)段結(jié)束時(shí)刻的性能 參數(shù)為日2和θ2,則 由所有網(wǎng)絡(luò)組件的性能變化量ΔΡΝ和安全態(tài)勢(shì)評(píng)估模型中的網(wǎng)絡(luò)組件權(quán)重wN就 可以得到網(wǎng)絡(luò)組件的綜合態(tài)勢(shì)值SAn,計(jì)算公式如下 其中η為網(wǎng)絡(luò)組件數(shù),wM為每個(gè)網(wǎng)絡(luò)組件所占的權(quán)重。步驟G 計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)。利用主機(jī)綜合安全態(tài)勢(shì)和網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì)進(jìn)行加權(quán)計(jì)算即可得到網(wǎng)絡(luò)安 全態(tài)勢(shì),計(jì)算公式如下 其中χ為比例系數(shù),取值為W,l],表示主機(jī)態(tài)勢(shì)值在安全態(tài)勢(shì)分析中所占的比 例;SAh*主機(jī)綜合安全態(tài)勢(shì),反映網(wǎng)絡(luò)的服務(wù)能力;SAn為網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì),反映網(wǎng) 絡(luò)的連通性。步驟H:結(jié)果輸出。利用以上步驟可以計(jì)算網(wǎng)絡(luò)不同時(shí)段的安全態(tài)勢(shì)值,結(jié)果輸出即是將安全態(tài)勢(shì)計(jì) 算結(jié)果通過繪制網(wǎng)絡(luò)安全態(tài)勢(shì)曲線圖的方法進(jìn)行可視化展現(xiàn),安全態(tài)勢(shì)曲線圖可以從整體 上反映網(wǎng)絡(luò)的安全態(tài)勢(shì)變化情況。盡管為說明目的公開了本發(fā)明的具體實(shí)施例和附圖,其目的在于幫助理解本發(fā)明 的內(nèi)容并據(jù)以實(shí)施,但是本領(lǐng)域的技術(shù)人員可以理解在不脫離本發(fā)明及所附的權(quán)利要求 的精神和范圍內(nèi),各種替換、變化和修改都是可能的。因此,本發(fā)明不應(yīng)局限于最佳實(shí)施例 和附圖所公開的內(nèi)容,本發(fā)明要求保護(hù)的范圍以權(quán)利要求書界定的范圍為準(zhǔn)。
權(quán)利要求
一種網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法,其步驟為1)對(duì)輸入的告警信息進(jìn)行相關(guān)性分析,得到主機(jī)攻擊圖;2)根據(jù)輸入的主機(jī)漏洞信息、攻擊所依賴的漏洞和入侵的期望威脅對(duì)主機(jī)攻擊圖進(jìn)行關(guān)聯(lián)分析,得到主機(jī)的期望狀態(tài)圖;3)利用入侵的期望威脅和主機(jī)期望狀態(tài)圖,計(jì)算主機(jī)威脅值;4)利用各主機(jī)提供服務(wù)的權(quán)重信息和各主機(jī)的威脅值計(jì)算主機(jī)綜合安全態(tài)勢(shì);5)利用網(wǎng)絡(luò)組件性能信息和各網(wǎng)絡(luò)組件權(quán)重值計(jì)算網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì);6)利用主機(jī)綜合安全態(tài)勢(shì)和網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì)計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)。
2.如權(quán)利要求1所述的方法,其特征在于采用基于預(yù)定義攻擊場(chǎng)景的告警關(guān)聯(lián)算法進(jìn) 行所述相關(guān)性,得到主機(jī)攻擊圖。
3.如權(quán)利要求2所述的方法,其特征在于利用網(wǎng)絡(luò)內(nèi)部主機(jī)之間的信任關(guān)系和攻擊所 依賴的漏洞對(duì)所述主機(jī)攻擊圖進(jìn)行修正,其方法為首先將所有主機(jī)的成功攻擊進(jìn)行傳播, 傳播對(duì)象是主機(jī)信任關(guān)系中信任被攻擊主機(jī)的其它主機(jī);然后再利用傳播對(duì)象主機(jī)的漏洞 信息判斷該風(fēng)險(xiǎn)傳播是否成功,如果不成功則中斷該條傳播路徑,否則傳播成功并繼續(xù)從 成功主機(jī)向信任對(duì)象傳播,直至所有信任關(guān)系都已進(jìn)行了分析,從而得到完整的主機(jī)攻擊 圖。
4.如權(quán)利要求1所述的方法,其特征在于所述對(duì)主機(jī)攻擊圖進(jìn)行關(guān)聯(lián)分析,得到主機(jī) 的期望狀態(tài)圖的方法為對(duì)所述主機(jī)攻擊圖中每一步所依賴的漏洞進(jìn)行檢查,如果包含該 漏洞則繼續(xù)檢查下一轉(zhuǎn)移過程,否則刪除當(dāng)前狀態(tài)轉(zhuǎn)移過程,繼續(xù)檢查下一轉(zhuǎn)移過程,最后 得到主機(jī)期望狀態(tài)圖。
5.如權(quán)利要求1所述的方法,其特征在于所述主機(jī)威脅值的計(jì)算方法為利用入侵的 期望威脅和主機(jī)期望狀態(tài)圖,對(duì)期望狀態(tài)圖中的各個(gè)期望狀態(tài)進(jìn)行賦值,計(jì)算期望狀態(tài)的 變化值并取其中最大值作為所述主機(jī)威脅值VoTmax。
6.如權(quán)利要求5所述的方法,其特征在于利用實(shí)際主機(jī)性能參數(shù)計(jì)算主機(jī)性能改變 值,對(duì)所述主機(jī)威脅VoTmax進(jìn)行修正,得到網(wǎng)絡(luò)主機(jī)的修正威脅值VoT。 ,其方法為1)計(jì)算主機(jī)某時(shí)段內(nèi)的性能變化量ΔPH;2)利用公式VOTcot=(I-Jl)XVoTmax+η X ΔΡη計(jì)算網(wǎng)絡(luò)主機(jī)的修正威脅值;其中η 為修正系數(shù),取值為W,l]。
7.如權(quán)利要求6所述的方法,其特征在于所述主機(jī)性能的計(jì)算公式為U —$ ++ 〕.其中》τ。時(shí),f = ^ ^ 時(shí),t = 1· Y 是處理器,使用率;μ是內(nèi)存使用率;τ是服務(wù)時(shí)間;λ是服務(wù)隊(duì)列數(shù);Κ是連接數(shù);P是流量;ε是 包延遲時(shí)間;δ是丟包率;λ 0是最大服務(wù)隊(duì)列數(shù);κ ^是最大連接數(shù);P ^是最大流量;τ Q 是臨界服務(wù)時(shí)間;ε。是臨界包延遲時(shí)間。
8.如權(quán)利要求6所述的方法,其特征在于采用公式十算所述主機(jī)綜/ = 1合安全態(tài)勢(shì);其中n為主機(jī)數(shù),wHi為每個(gè)主機(jī)所占的權(quán)重, m為主機(jī)提供的服務(wù)U丄/=1,數(shù),Wi為每個(gè)服務(wù)所占的權(quán)重。
9.如權(quán)利要求1所述的方法,其特征在于所述網(wǎng)絡(luò)組件性能信息包括網(wǎng)絡(luò)組件的唯一標(biāo)識(shí)符、網(wǎng)絡(luò)組件的類型、網(wǎng)絡(luò)組件的入侵檢測(cè)和防護(hù)能力、網(wǎng)絡(luò)組件處理的流量。
10.如權(quán)利要求7所述的方法,其特征在于所述網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì)的計(jì)算方法為首先采用公式計(jì)算某時(shí)段內(nèi)的網(wǎng)絡(luò)組件性能變化量ΔΡΝ,然后利用公式 = MV, χ Δ4計(jì)算所述網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì)值SAn,其中網(wǎng)絡(luò)組件的檢測(cè)和防護(hù)能/=I1Ν力β e
,處理流量θ e
、θ。是最大處理流量,η為網(wǎng)絡(luò)組件數(shù),wNi為每個(gè) 網(wǎng)絡(luò)組件所占的權(quán)重。如權(quán)利要求1所述的方法,其特征在于利用所述主機(jī)綜合安全態(tài)勢(shì)和所述網(wǎng)絡(luò) 組件綜合安全態(tài)勢(shì)進(jìn)行加權(quán)計(jì)算,得到所述網(wǎng)絡(luò)安全態(tài)勢(shì)SA ;所述計(jì)算公式為SA = xXSAH+(l-x)XSAN;其中χ為比例系數(shù),取值為
;SAh*主機(jī)綜合安全態(tài)勢(shì);SAn* 網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì)。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法,屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。本發(fā)明方法為1)對(duì)輸入的告警信息進(jìn)行相關(guān)性分析得到主機(jī)攻擊圖;2)根據(jù)輸入的主機(jī)漏洞信息對(duì)主機(jī)攻擊圖進(jìn)行關(guān)聯(lián)分析,得到主機(jī)的期望狀態(tài)圖;3)利用入侵的期望威脅和主機(jī)期望狀態(tài)圖計(jì)算主機(jī)威脅值;4)利用各主機(jī)提供服務(wù)的權(quán)重信息和各主機(jī)的威脅值計(jì)算主機(jī)綜合安全態(tài)勢(shì);5)利用網(wǎng)絡(luò)組件性能信息和各網(wǎng)絡(luò)組件權(quán)重值計(jì)算網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì);6)利用主機(jī)綜合安全態(tài)勢(shì)和網(wǎng)絡(luò)組件綜合安全態(tài)勢(shì)進(jìn)行加權(quán)計(jì)算,得到網(wǎng)絡(luò)安全態(tài)勢(shì)。本發(fā)明可更加準(zhǔn)確地分析攻擊對(duì)網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)組件的實(shí)際影響,以及對(duì)未知攻擊造成的威脅進(jìn)行分析,比傳統(tǒng)方法更準(zhǔn)確地反映了網(wǎng)絡(luò)的安全態(tài)勢(shì)。
文檔編號(hào)H04L12/26GK101867498SQ20091008218
公開日2010年10月20日 申請(qǐng)日期2009年4月17日 優(yōu)先權(quán)日2009年4月17日
發(fā)明者馮登國(guó), 連一峰, 韋勇 申請(qǐng)人:中國(guó)科學(xué)院軟件研究所