[发明专利]一种网络安全态势评估方法

权利要求书

1.一种网络安全态势评估方法，其步骤为：

1)对输入的告警信息进行相关性分析，得到主机攻击图；

2)根据输入的主机漏洞信息、攻击所依赖的漏洞和入侵的期望威胁对主机攻击图进行关联分析，得到主机的期望状态图；

3)利用入侵的期望威胁和主机期望状态图，计算主机威胁值；

4)利用各主机提供服务的权重信息和各主机的威胁值计算主机综合安全态势；

5)利用网络组件性能信息和各网络组件权重值计算网络组件综合安全态势；

6)利用主机综合安全态势和网络组件综合安全态势计算网络安全态势。

2.如权利要求1所述的方法，其特征在于采用基于预定义攻击场景的告警关联算法进行所述相关性，得到主机攻击图。

3.如权利要求2所述的方法，其特征在于利用网络内部主机之间的信任关系和攻击所依赖的漏洞对所述主机攻击图进行修正，其方法为：首先将所有主机的成功攻击进行传播，传播对象是主机信任关系中信任被攻击主机的其它主机；然后再利用传播对象主机的漏洞信息判断该风险传播是否成功，如果不成功则中断该条传播路径，否则传播成功并继续从成功主机向信任对象传播，直至所有信任关系都已进行了分析，从而得到完整的主机攻击图。

4.如权利要求1所述的方法，其特征在于所述对主机攻击图进行关联分析，得到主机的期望状态图的方法为：对所述主机攻击图中每一步所依赖的漏洞进行检查，如果包含该漏洞则继续检查下一转移过程，否则删除当前状态转移过程，继续检查下一转移过程，最后得到主机期望状态图。

5.如权利要求1所述的方法，其特征在于所述主机威胁值的计算方法为：利用入侵的期望威胁和主机期望状态图，对期望状态图中的各个期望状态进行赋值，计算期望状态的变化值并取其中最大值作为所述主机威胁值VoT_max。

6.如权利要求5所述的方法，其特征在于利用实际主机性能参数计算主机性能改变值，对所述主机威胁VoT_max进行修正，得到网络主机的修正威胁值VoT_cor，其方法为：

1)计算主机某时段内的性能变化量ΔP_H；

2)利用公式VoT_cor＝(1-η)×VoT_max+η×ΔP_H计算网络主机的修正威胁值；其中η为修正系数，取值为[0，1]。

7.如权利要求6所述的方法，其特征在于所述主机性能的计算公式为其中：τ≥τ₀时，ε≥ε₀时，γ是处理器使用率；μ是内存使用率；τ是服务时间；λ是服务队列数；κ是连接数；ρ是流量；ε是包延迟时间；δ是丢包率；λ₀是最大服务队列数；κ₀是最大连接数；ρ₀是最大流量；τ₀是临界服务时间；ε₀是临界包延迟时间。

8.如权利要求6所述的方法，其特征在于采用公式计算所述主机综合安全态势；其中n为主机数，w_Hi为每个主机所占的权重，m为主机提供的服务数，w_i为每个服务所占的权重。

9.如权利要求1所述的方法，其特征在于所述网络组件性能信息包括：网络组件的唯一标识符、网络组件的类型、网络组件的入侵检测和防护能力、网络组件处理的流量。

10.如权利要求7所述的方法，其特征在于所述网络组件综合安全态势的计算方法为：首先采用公式计算某时段内的网络组件性能变化量ΔP_N，然后利用公式计算所述网络组件综合安全态势值SA_N，其中：网络组件的检测和防护能力β∈[0，1]，处理流量θ∈[0，θ₀]、θ₀是最大处理流量，n为网络组件数，w_Ni为每个网络组件所占的权重。

如权利要求1所述的方法，其特征在于利用所述主机综合安全态势和所述网络组件综合安全态势进行加权计算，得到所述网络安全态势SA；所述计算公式为：SA＝x×SA_H+(1-χ)×SA_N；其中χ为比例系数，取值为[0，1]；SA_H为主机综合安全态势；SA_N为网络组件综合安全态势。