[发明专利]基于多维关联的网络安全事件危害指数评估方法及其系统

说明书

本发明公开了一种基于多维关联的网络安全事件危害指数评估方法，同时也公开了采用该网络安全事件危害指数评估方法的网络安全态势感知系统。该方法建立在资产数据库和漏洞数据库的基础上，利用威胁建模测算出攻击事件对安全网络造成的危害，然后针对特定的威胁攻击给安全系统带来的威胁进行量化，考虑影响网络安全的因素包括安全事件、主机漏洞以及提供的服务等，并根据安全活动与资产、漏洞等对应关系，分析这些活动的危害程度，评估的结果更加准确和可信。

技术领域

本发明涉及一种网络安全评估方法，尤其涉及一种基于多维关联的网络安全事件危害指数评估方法，同时也涉及采用该网络安全事件危害指数评估方法的网络安全态势感知系统，属于网络安全技术领域。

背景技术

当前，全球的网络安全环境和形势已经发生了深刻的变化，所要解决的主要问题是：当攻击者发起攻击，安全事件发生时，能不能在最短的时间内发现和预警，能不能有时间准备和处置。网络安全态势感知作为一种主动的网络防御技术手段，不仅能够反映当前的网络安全态势，并且能够对网络中潜在的攻击做出预测，从而对潜在攻击做出主动防御。

在现有技术中，网络安全态势感知系统普遍是基于日志采集、大数据分析及预测等技术手段实现的，具有滞后性，缺少对网络漏洞造成危害具有针对性的评估方法和手段。同时，因网络入侵行为逐渐趋于复杂化和间接化，现有的态势预测理论或算法存在主观化、评估不够准确，以及使用条件苛刻等方面的不足，尤其是当网络过于复杂，数据量迅猛发展的当前，评估效率显得尤为低下。如何避免上述缺陷，能够在特定应用场景下，准确、方便、高效地评估网络存在的风险，成为亟须解决的技术课题。

在公开号为CN106341414A的中国专利申请中，公开了一种基于贝叶斯网络的多步攻击安全态势评估方法。该方法通过关联分析挖掘多步攻击发生模式构建攻击图，根据多步攻击图建立贝叶斯网络，将攻击意愿、攻击成功概率、事件监测正确率定义为贝叶斯网络概率属性；结合事件监测，通过贝叶斯网络后验推理和累积概率计算多步攻击风险。另外，在公开号为CN101783752A的中国专利申请中，也公开了一种基于网络拓扑特征的网络安全量化评估方法。该方法通过选取用于评估网络安全事件损害程度的网络性能指标，定义网络熵值和计算每一个网络性能指标的指标权重，利用格兰姆施密特正交化方法去除多个网络性能指标间的相关性，获得多个去相关网络性能指标，从而获得安全事件损害程度和安全事件损害等级，通过量化网络拓扑特征评估网络安全事件对网络性能的影响程度。

但是，以上述专利申请为代表的现有技术所存在的问题是：缺乏真正意义上的联动互操作能力和基于各种日志的综合交叉分析能力。由于缺乏较科学的定性和定量相结合的分析手段，导致无法准确评估安全事件的威胁程度，提不出切实可行的应急防范措施，无法胜任安全预警的任务和目标。

发明内容

本发明所要解决的首要技术问题在于提供一种基于多维关联的网络安全事件危害指数评估方法。

本发明所要解决的另一技术问题在于提供一种采用该网络安全事件危害指数评估方法的网络安全态势感知系统。

为实现上述发明目的，本发明采用下述的技术方案：

根据本发明实施例的第一方面，提供一种基于多维关联的网络安全事件危害指数评估方法，包括如下步骤：

⑴安全态势数据采集；

⑵安全事件提取；

⑶利用资产数据库和漏洞数据库进行威胁关联分析；

⑷对各个网络安全事件危害指数进行量化评估；其中，

在所述安全态势数据采集和所述安全事件提取步骤进行的同时，定期刷新资产数据并定期更新漏洞数据库。

其中较优地，利用网络资产识别技术及工具收集网络系统内的资产数据，形成并定期刷新资产数据库。