專(zhuān)利名稱(chēng):一種網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別是涉及一種網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法和系統(tǒng)�。
背景技術(shù):
網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是信息安全領(lǐng)域的重要研究?jī)?nèi)容。所謂網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是指 利用評(píng)估算法綜合分析網(wǎng)絡(luò)空間的各個(gè)安全元素����,將元素之間的影響關(guān)系以及影響程度以 宏觀指數(shù)的方式呈現(xiàn)給管理員,讓管理員從全局的角度感知���、覺(jué)察網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢(shì)�,進(jìn) 而促使管理員做出合理����、準(zhǔn)確的決策。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是整個(gè)安全管理的基礎(chǔ)�。目前基于靜態(tài)加權(quán)的量化分級(jí)技術(shù)在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估中應(yīng)用較為普遍,它的工
作原理是當(dāng)網(wǎng)絡(luò)空間中有攻擊活動(dòng)發(fā)生時(shí)�����,攻擊活動(dòng)會(huì)觸發(fā)各個(gè)分布式部署的安全設(shè)備�����,
如入侵檢測(cè)系統(tǒng)�、防火墻等�����,產(chǎn)生安全事件���。安全事件以記錄的形式給出了攻擊的相關(guān)屬
性,如攻擊類(lèi)型�、源地址、目標(biāo)地址、攻擊風(fēng)險(xiǎn)等級(jí)等���。靜態(tài)加權(quán)的量化分級(jí)技術(shù)通常會(huì)按照
網(wǎng)絡(luò)資源的粒度從系統(tǒng)級(jí)、主機(jī)級(jí)再到服務(wù)級(jí)結(jié)合事件的目的地址對(duì)事件進(jìn)行分類(lèi),這樣
就產(chǎn)生了一個(gè)層次式的事件集��,如
圖1所示����。圖1的樹(shù)形結(jié)構(gòu)中�,每一個(gè)葉節(jié)點(diǎn)都是一個(gè)事
件集合。當(dāng)一個(gè)安全事件產(chǎn)生時(shí)��,根據(jù)事件的目標(biāo)主機(jī)和目標(biāo)服務(wù)將該事件歸類(lèi)到某一個(gè)
葉節(jié)點(diǎn)中�,這樣一個(gè)葉節(jié)點(diǎn)就代表針對(duì)某個(gè)目標(biāo)主機(jī)上某個(gè)服務(wù)的所有安全事件。評(píng)估的
時(shí)候首先對(duì)各個(gè)葉節(jié)點(diǎn)進(jìn)行分別處理����,將葉節(jié)點(diǎn)中各個(gè)事件的攻擊風(fēng)險(xiǎn)等級(jí)累加得到主機(jī)
i上服務(wù)j的態(tài)勢(shì)指數(shù)Service^��,然后再通過(guò)式(1)計(jì)算出各個(gè)主機(jī)的態(tài)勢(shì)指數(shù)N0dei�,其
中Weight (Service^)表示主機(jī)i上服務(wù)j的權(quán)重����,得到各個(gè)主機(jī)的態(tài)勢(shì)指數(shù)N0dei根據(jù)式
(2)計(jì)算出整個(gè)系統(tǒng)的態(tài)勢(shì)指數(shù)System,完成整個(gè)評(píng)估過(guò)程��。System從宏觀角度反映了當(dāng)
全網(wǎng)絡(luò)空間的安全狀況����。 kNod6[ = ^Service! ,Weight(Service丨)(1)System = Nodet * Weight(Nodei)(2)
/=i但由于靜態(tài)加權(quán)的量化分級(jí)技術(shù)是遵循從系統(tǒng)級(jí)、主機(jī)級(jí)���,再到服務(wù)級(jí)結(jié)合事件 的目標(biāo)地址對(duì)事件進(jìn)行歸并分類(lèi)的���,這種方案至少存在以下缺點(diǎn)首先,由于對(duì)事件的歸類(lèi) 劃分依賴(lài)于目標(biāo)地址���,使得在目標(biāo)地址不存在或不唯一的情況下��,該方法將不適用��。例如利 用ICMP報(bào)文進(jìn)行洪泛攻擊��,其沒(méi)有明確的目標(biāo)地址����,這時(shí)該方法將不適用,具有明顯的局 限性�。另外,當(dāng)網(wǎng)絡(luò)中同時(shí)發(fā)生多種類(lèi)型的攻擊活動(dòng)時(shí)�,其處理特點(diǎn)僅僅停留在靜態(tài)加權(quán)層 面,使得該技術(shù)的融合過(guò)程不能體現(xiàn)出不同攻擊活動(dòng)行為特征之間的區(qū)別差異�,使得評(píng)估 最終結(jié)果的準(zhǔn)確性下降。
發(fā)明內(nèi)容
為解決上述技術(shù)問(wèn)題���,本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法及系統(tǒng),以 提高網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的適用范圍和準(zhǔn)確性�,技術(shù)方案如下
一種網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法,包括將預(yù)置時(shí)間段內(nèi)所有安全事件按照攻擊類(lèi)型分類(lèi)��,構(gòu)成至少一個(gè)事件集���;分別累加各事件集中所述安全事件的攻擊風(fēng)險(xiǎn)等級(jí)����,將累加值確定為各事件集的 危害程度值;將各事件集的危害程度值作為自變量帶入與各事件集相對(duì)應(yīng)的經(jīng)驗(yàn)函數(shù)fi()��,獲 得各事件集使網(wǎng)絡(luò)處于不安全狀態(tài)的可信度值�;其中,所述經(jīng)驗(yàn)函數(shù)為根據(jù)具體的網(wǎng)絡(luò) 應(yīng)用環(huán)境并且滿足證據(jù)理論的合成規(guī)則的應(yīng)用條件設(shè)計(jì)出的用于將危害程度值映射到區(qū) 間
的函數(shù)�;將各事件集的可信度值作為證據(jù)分量,利用證據(jù)理論的合成規(guī)則�����,綜合各個(gè)所述 證據(jù)分量��,獲得預(yù)置時(shí)間段網(wǎng)絡(luò)處于不安全狀態(tài)的可信度���。優(yōu)選地����,所述經(jīng)驗(yàn)函數(shù)為可信度分配函數(shù)為
權(quán)利要求
一種網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法�,其特征在于,包括將預(yù)置時(shí)間段內(nèi)所有安全事件按照攻擊類(lèi)型分類(lèi)����,構(gòu)成至少一個(gè)事件集;分別累加各事件集中所述安全事件的攻擊風(fēng)險(xiǎn)等級(jí)�����,將累加值確定為各事件集的危害程度值;將各事件集的危害程度值作為自變量帶入與各事件集相對(duì)應(yīng)的經(jīng)驗(yàn)函數(shù)fi()�,獲得各事件集使網(wǎng)絡(luò)處于不安全狀態(tài)的可信度值;其中�����,所述經(jīng)驗(yàn)函數(shù)為根據(jù)具體的網(wǎng)絡(luò)應(yīng)用環(huán)境并且滿足證據(jù)理論的合成規(guī)則的應(yīng)用條件設(shè)計(jì)出的用于將危害程度值映射到區(qū)間
的函數(shù)���;將各事件集的可信度值作為證據(jù)分量���,利用證據(jù)理論的合成規(guī)則,綜合各個(gè)所述證據(jù)分量�,獲得預(yù)置時(shí)間段網(wǎng)絡(luò)處于不安全狀態(tài)的可信度。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于��,所述經(jīng)驗(yàn)函數(shù)為可信度分配函數(shù)為f^^il^arctgxln-e^-x^/l + Q.S-其中����,i表示攻擊活動(dòng)的類(lèi)型標(biāo)識(shí)�����,自變量X為事件集的危害程度值�����,ki和Si為預(yù)置的 標(biāo)識(shí)為i的攻擊活動(dòng)的修正因子�����,e&j 為標(biāo)識(shí)為i的攻擊活動(dòng)的修正函數(shù)�。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述利用證據(jù)理論的合成規(guī)則��,綜合各個(gè) 證據(jù)分量���,獲得預(yù)置時(shí)間段網(wǎng)絡(luò)處于不安全狀態(tài)的可信度����,包括將各個(gè)事件集的可信度作為證據(jù)分量帶入以下公式,獲得預(yù)置時(shí)間段網(wǎng)絡(luò)處于不安全 狀態(tài)的可信度(叫 m2十…十w )(A0 =_mi(N)*m2(N)*...*mn(N)_1 - (m, (N) *m2(Y)*...*mn (Y) + m, (7) *m2(N)*m3(Y)*..*mn(Y) + ... + mx (Y) *m2(Y)*..*mn (N))其中��,m為獲得事件集使網(wǎng)絡(luò)處于不安全狀態(tài)可信度的函數(shù);mi(N)為標(biāo)識(shí)為i的攻擊活動(dòng)使網(wǎng)絡(luò)處于不安全狀態(tài)的可信度���,所述i = 1,2,3......n,mi (Y)為標(biāo)識(shí)為i的攻擊活動(dòng)使網(wǎng)絡(luò)處于安全狀態(tài)的可信度�,所述叫⑴=十… m )(iV)為預(yù)置時(shí)間 段網(wǎng)絡(luò)處于不安全狀態(tài)的可信度���。
4.根據(jù)權(quán)利要求3所述的方法���,其特征在于,所述方法還包括���,利用證據(jù)理論的合成規(guī) 則�,綜合各個(gè)所述證據(jù)分量�����,獲得預(yù)置時(shí)間段網(wǎng)絡(luò)處于安全狀態(tài)的可信度�����。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于����,所述利用證據(jù)理論的合成規(guī)則�����,綜合各個(gè) 證據(jù)分量�,獲得預(yù)置時(shí)間段網(wǎng)絡(luò)處于安全狀態(tài)的可信度,包括將各個(gè)事件集的可信度作為證據(jù)分量帶入以下公式�,獲得預(yù)置時(shí)間段網(wǎng)絡(luò)處于安全狀 態(tài)的可信度(叫十…十m )(J) = _m1(Y)*m2(Y)*...*mn(Y)_其中,(趴1 巾2 ... 雙 )(10為預(yù)置時(shí)間段網(wǎng)絡(luò)處于安全狀態(tài)的可信度����。
6.一種網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng),其特征在于����,包括攻擊分類(lèi)單元,用于將預(yù)置時(shí)間段內(nèi)所有安全事件按照攻擊類(lèi)型分類(lèi)�����,構(gòu)成至少一個(gè) 事件集����;風(fēng)險(xiǎn)累加單元���,用于分別累加所述攻擊分類(lèi)單元構(gòu)成的各事件集中所述安全事件的攻 擊風(fēng)險(xiǎn)等級(jí),將累加值確定為各事件集的危害程度值����;證據(jù)分量獲得單元,用于將所述風(fēng)險(xiǎn)累加單元獲得的各事件集的危害程度值作為自變 量帶入與各事件集相對(duì)應(yīng)的經(jīng)驗(yàn)函數(shù)fi 0�����,獲得各事件集使網(wǎng)絡(luò)處于不安全狀態(tài)的可信度 值���;其中����,所述經(jīng)驗(yàn)函數(shù)為根據(jù)具體的網(wǎng)絡(luò)應(yīng)用環(huán)境并且應(yīng)用證據(jù)理論的合成規(guī)則的條 件設(shè)計(jì)出的用于將危害程度值映射到區(qū)間w��,l]的函數(shù)����;第一可信度獲得單元,用于將所述證據(jù)分量獲得單元獲得的各事件集的可信度值作為 證據(jù)分量�,利用證據(jù)理論的合成規(guī)則���,綜合各個(gè)所述證據(jù)分量���,獲得預(yù)置時(shí)間段網(wǎng)絡(luò)處于不 安全狀態(tài)的可信度��。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)�,其特征在于�����,所述經(jīng)驗(yàn)函數(shù)為可信度分配函數(shù)為
8.根據(jù)權(quán)利要求6所述的系統(tǒng)��,其特征在于����,所述第一可信度獲得單元將各個(gè)事件集 的可信度作為證據(jù)分量帶入以下公式,獲得預(yù)置時(shí)間段網(wǎng)絡(luò)處于不安全狀態(tài)的可信度
9.根據(jù)權(quán)利要求8所述的系統(tǒng)��,其特征在于��,所述系統(tǒng)還包括第二可信度獲得單元�;所述第二可信度獲得單元,用于將所述證據(jù)分量獲得單元獲得的各事件集的可信度值作為證據(jù)分量�����,利用證據(jù)理論的合成規(guī)則,綜合各個(gè)所述證據(jù)分量�,獲得預(yù)置時(shí)間段網(wǎng)絡(luò)處 于安全狀態(tài)的可信度。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)��,其特征在于��,所述第二可信度獲得單元����,將各個(gè)事件 集的可信度作為證據(jù)分量帶入以下公式,獲得預(yù)置時(shí)間段網(wǎng)絡(luò)處于安全狀態(tài)的可信度
全文摘要
本發(fā)明公開(kāi)了一種網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法和系統(tǒng)����,以提高網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的適用范圍和準(zhǔn)確性。上述方法包括將預(yù)置時(shí)間段內(nèi)所有安全事件按照攻擊類(lèi)型分類(lèi)�,構(gòu)成至少一個(gè)事件集;分別累加各事件集中所述安全事件的攻擊風(fēng)險(xiǎn)等級(jí)�,將累加值確定為各事件集的危害程度值;將各事件集的危害程度值作為自變量帶入與各事件集相對(duì)應(yīng)的經(jīng)驗(yàn)函數(shù)fi()��,獲得各事件集使網(wǎng)絡(luò)處于不安全狀態(tài)的可信度值�;將各事件集的可信度值作為證據(jù)分量,利用證據(jù)理論的合成規(guī)則�,綜合各個(gè)所述證據(jù)分量�����,獲得預(yù)置時(shí)間段網(wǎng)絡(luò)處于不安全狀態(tài)的可信度���?���?梢?jiàn),本技術(shù)方案實(shí)現(xiàn)了對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢(shì)的定量評(píng)估�����,提高了網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的適用范圍和準(zhǔn)確性���。
文檔編號(hào)H04L29/06GK101951329SQ201010292870
公開(kāi)日2011年1月19日 申請(qǐng)日期2010年9月27日 優(yōu)先權(quán)日2010年9月27日
發(fā)明者馮學(xué)偉, 劉杰, 張魯峰, 方蘭, 李響, 李津, 李遠(yuǎn)玲, 王東霞, 王春雷, 苗青, 趙剛, 趙金晶, 馬國(guó)慶 申請(qǐng)人:北京系統(tǒng)工程研究所