[发明专利]一种网络安全态势评估方法

说明书

技术领域

本发明属于网络安全技术领域，具体涉及一种网络安全态势评估方法。

背景技术

随着计算机技术和通信技术的迅速发展以及用户需求的不断增加，计算机网络获得了越来越广泛的应用。网络具有资源分布共享化、用户分散化和管理分布化等特性，为实现大规模的并行计算和信息服务提供了基础。然而，当前网络正面临着严峻的信息安全形势，安全问题已经成为制约其发展的一大障碍。安全态势评估技术能够从整体上反映出网络动态安全状况，并对安全状况的发展趋势进行预测和预警，因此，针对网络的安全态势评估模型及关键技术已经成为目前网络安全领域的研究热点。

目前，对网络进行安全态势评估主要有以下四类方法：第一类是可视化方法，该方法的主要思想是利用人对直观图像的敏锐性，以可视化视图的方式将网络连接状态呈现出来，从而使管理员对当前的网络状态有直观的了解，并通过经验去判断网络是否受到攻击威胁，但此类方法所反映的网络安全指标较为单一，对管理员经验水平要求也很高。第二类是基于入侵检测系统的分布式传感器进行数据融合的方法，对计算机网络安全态势进行评估，通过数据融合和数据挖掘的方法评估计算机网络的安全性，但没有实现具体的原型系统。第三类是基于蜜网进行因特网安全态势评估的方法，使用蜜网提供的大量网络活动信息，根据入侵检测工具对这些活动产生的报警信息来构建安全态势曲线，但该曲线只有在大规模病毒或蠕虫爆发时才能体现出明显效果。第四类是层次化网络安全威胁态势量化评估方法，利用入侵检测系统报警信息和网络性能指标，并且结合主机的漏洞信息，对服务、主机和网络进行层次化的安全定量评估，得到直观的安全态势图，但选取的态势评估指标还不够全面，量化算法结果也不够准确。

考虑到网络安全态势评估的实际应用背景，态势评估方法应该选取较全面的态势评估指标，建立相应的较为准确的态势评估方法，我们设计了本发明所述的一种基于期望状态图和性能修正的网络安全态势评估方法。

发明内容

本发明的目的在于提供一种基于期望状态图和性能修正的网络安全态势评估方法。针对网络安全性的各种因素进行分析，利用网络中各主机攻击图和漏洞信息生成期望状态图，并提出期望威胁与性能修正相结合的方法，利用主机性能和服务信息以及网络组件的性能指标，对期望状态进行修正并绘制安全态势曲线，从而实现网络安全态势的量化分析和趋势预测。

本发明结合计算机网络自身的特点，将网络安全的影响因素归纳为三类：网络特性、入侵信息和网络性能。

网络特性主要包含了网络主机特性、网络组件特性和节点关系。主机特性包括主机的唯一标识符、主机权重、主机上运行的应用服务和主机上存在的漏洞；网络组件特性包括网络组件的唯一标识符、网络组件的类型和网络组件所占的权重值。节点关系包含物理链接关系和信任关系。

入侵信息主要包括入侵信息的唯一标识符、入侵信息的类型、入侵所依赖的漏洞和入侵的期望威胁。

网络性能包含了网络主机性能和网络组件性能。主机性能包括主机的唯一标识符、主机处理器使用率、主机内存使用率、主机服务时间、主机服务队列数、连接数、流量、包延迟时间和丢包率；网络组件性能包括网络组件的唯一标识符、网络组件的类型、网络组件的入侵检测和防护能力和网络组件处理的流量。

本发明方法的框架图如图1所示。

本发明方法包含了三个层次：原始数据层、量化分析层和网络综合层。原始数据层包括告警信息、漏洞信息、服务信息、主机性能和网络组件性能；而量化分析层包括期望状态图生成、性能修正算法、主机权重计算、主机安全态势计算和网络组件安全态势计算；最后网络综合层是利用主机安全态势和网络组件安全态势综合计算网络安全态势。

本发明的具体步骤如下：

步骤A：告警关联分析，通过对海量告警信息进行相关性分析，以降低网络入侵检测系统产生的告警数量，减少误报，并对攻击步骤的前后相关性进行分析，从而得到较高抽象层次的入侵信息，包括类型、依赖漏洞和入侵的期望威胁等信息，生成较准确的主机攻击图；

步骤B：风险传播分析，利用网络内部主机之间的信任关系和攻击所依赖的漏洞，分析某成功攻击在局域网内可能对其它主机产生的威胁，从而得到更完整的主机攻击图；

步骤C：漏洞关联分析，利用主机漏洞信息、攻击所依赖的漏洞和入侵的期望威胁，针对主机攻击图进行关联分析，得到主机的期望状态图；

步骤D：计算期望威胁，利用已有的攻击知识和主机期望状态图，对期望状态图中的各个期望状态进行赋值，计算期望状态的差值并取其中最大值作为主机期望威胁；