專利名稱:一種網(wǎng)絡安全態(tài)勢評估方法
技術領域:
本發(fā)明屬于網(wǎng)絡安全技術領域,特別是一種網(wǎng)絡安全態(tài)勢評估方法�����。
背景技術:
網(wǎng)絡是信 息時代的產(chǎn)物�,目前幾乎覆蓋了世界上所有重要領域。隨著網(wǎng)絡規(guī)模不斷擴大����,網(wǎng)絡攻擊和破壞行為日益頻繁,網(wǎng)絡安全形勢日趨嚴峻�����。為形成網(wǎng)絡安全主動防護能力,首先需要了解網(wǎng)絡的內(nèi)外部威脅和整體安全狀態(tài)���。網(wǎng)絡安全態(tài)勢評估技術通過對網(wǎng)絡中影響安全的因素進行深層次綜合處理分析����,對網(wǎng)絡整體安全狀況進行實時評估�,為網(wǎng)絡安全管理指揮、決策提供指導��。目前用于網(wǎng)絡安全態(tài)勢評估的方法主要分為3類基于數(shù)學模型的方法�、基于知識推理的方法和基于模式識別的方法。但從應用的角度看���,目前的研究還存在以下不足I�、數(shù)據(jù)源單一用于網(wǎng)絡安全態(tài)勢評估的基礎數(shù)據(jù)來源偏少�,導致網(wǎng)絡安全態(tài)勢評估結果存在片面性���,無法全面反映網(wǎng)絡安全整體狀況����;2、評估結果不夠精確網(wǎng)絡安全態(tài)勢評估算法設計不合理�,導致評估結果不夠精確,無法真實反映網(wǎng)絡安全整體狀況�����;3�����、評估結果難于理解評估結果僅僅是網(wǎng)絡安全一個方面的數(shù)值或者等級����,很難直接用于指導網(wǎng)絡安全管理指揮、決策�。
發(fā)明內(nèi)容
本發(fā)明的目的在于,通過提供一種網(wǎng)絡安全態(tài)勢評估方法�����,對網(wǎng)絡中影響網(wǎng)絡安全的因素進行綜合處理分析����,對外部和內(nèi)部威脅態(tài)勢分別進行評估,再對網(wǎng)絡安全態(tài)勢進行綜合評估��。本發(fā)明是采用以下技術手段實現(xiàn)的一種網(wǎng)絡安全態(tài)勢評估方法,包括安全事件信息�����、網(wǎng)絡拓撲信息���、資產(chǎn)基本信息和資產(chǎn)狀態(tài)信息�;包括以下步驟步驟I :對原始數(shù)據(jù)進行預處理��,消除重復信息和錯誤信息�,生成格式化的安全事件信息、網(wǎng)絡拓撲信息��、資產(chǎn)基本信息和資產(chǎn)狀態(tài)信息���;用于網(wǎng)絡安全態(tài)勢評估的數(shù)據(jù)來源包括防火墻�����、入侵檢測系統(tǒng)��、防病毒軟件、漏洞掃描系統(tǒng)����、拓撲發(fā)現(xiàn)工具���、性能采集工具;經(jīng)過去冗余�����、消除錯誤信息��,再進行格式化��,形成安全事件信息���、網(wǎng)絡拓撲信息�、資產(chǎn)基本信息和資產(chǎn)狀態(tài)信息��。步驟2 :基于網(wǎng)絡拓撲信息����、資產(chǎn)基本信息,計算各資產(chǎn)在子網(wǎng)中的權重和各子網(wǎng)在整個網(wǎng)絡中的權重��;設定網(wǎng)絡中有η個網(wǎng)絡設備類資產(chǎn)ASSET1, ASSET2, . . .����,ASSETn,每個網(wǎng)絡設備類資產(chǎn)與其連接的終端類資產(chǎn)構成一個子網(wǎng)����,根據(jù)網(wǎng)絡拓撲信息���,設定有m個終端類資產(chǎn)與網(wǎng)絡設備類資產(chǎn) ASSETk (I < k 彡 η)相連接=ASSETkl, ASSETk2, · · ·��,ASSETkm ��;計算網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)總資產(chǎn)值���;
在計算權重時,設定權值為資產(chǎn)值的平方����;計算終端類資產(chǎn)ASSETkf在網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)中的權重;計算網(wǎng)絡設備類資產(chǎn)ASSETk在其子網(wǎng)中的權重����;計算網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)在整個網(wǎng)絡中的權重。步驟3 :基于入侵信息����,對各資產(chǎn)進行外部威脅態(tài)勢評估�����;基于病毒信息、漏洞信息�����,對各資產(chǎn)進行內(nèi)部威脅態(tài)勢評估�;在時間段[h,tj內(nèi)����,無論入侵是否成功,對入侵信息進行統(tǒng)計���,設定針對資產(chǎn)ASSETw 的所有入侵信息為 IDS1, IDS2, · · ·���,IDSp ;計算資產(chǎn)ASSETw的外部威脅態(tài)勢值����;計算資產(chǎn)ASSETw的內(nèi)部威脅態(tài)勢值。步驟4 :基于各資產(chǎn)在子網(wǎng)中的權重,采用權重分析法���,進行各子網(wǎng)外部威脅態(tài)勢評估和內(nèi)部威脅態(tài)勢評估���;網(wǎng)絡設備類資產(chǎn)的子網(wǎng)外部威脅態(tài)勢值就是該子網(wǎng)內(nèi)所有資產(chǎn)的外部威脅態(tài)勢值的加權和;網(wǎng)絡設備類資產(chǎn)的子網(wǎng)內(nèi)部威脅態(tài)勢值就是該子網(wǎng)內(nèi)所有資產(chǎn)的內(nèi)部威脅態(tài)勢值的加權和����。步驟5 :基于各子網(wǎng)在整個網(wǎng)絡中的權重,采用權重分析法��,進行網(wǎng)絡外部威脅態(tài)勢評估和內(nèi)部威脅態(tài)勢評估�����;網(wǎng)絡外部威脅態(tài)勢值就是所有子網(wǎng)的外部威脅態(tài)勢值的加權和�;網(wǎng)絡內(nèi)部威脅態(tài)勢值就是所有子網(wǎng)的內(nèi)部威脅態(tài)勢值的加權和。步驟6 :對防火墻日志信息���、入侵信息和漏洞信息進行交叉關聯(lián)����,消除無效告警����;針對資產(chǎn)ASSETw的入侵信息�,若資產(chǎn)ASSETw上不存在入侵針對的漏洞����,則該入侵無效,不會對網(wǎng)絡安全產(chǎn)生危害����,最終篩選得到針對資產(chǎn)ASSETw的所有有效入侵信息IDS1,IDS2, . . .�����,IDSs�����。步驟7 :基于交叉關聯(lián)后的各類信息���,綜合評估各資產(chǎn)的安全態(tài)勢��;在時間段[ty tj內(nèi)�,對資產(chǎn)狀態(tài)信息進行統(tǒng)計���,設定資產(chǎn)ASSETw的所有狀態(tài)信息為 STATEttl, STATE1, STATE2, · · ·��,STATEt, STATEtl��。計算資產(chǎn)ASSETw的單位時間流量����;資產(chǎn)的單位時間流量就是某時間段內(nèi)總流量的平均值;處理器平均使用率就是某時間段內(nèi)所有采集的處理器使用率的算術平均值�;內(nèi)存平均占用率就是某時間段內(nèi)所有采集的內(nèi)存占用率的算術平均值;基于資產(chǎn)ASSETw的有效入侵信息��、病毒信息��、狀態(tài)信息,計算資產(chǎn)ASSETw的安全態(tài)勢值���;資產(chǎn)的安全態(tài)勢值通過對流量����、處理器平均使用率�����、內(nèi)存平均占用率�、有效入侵的嚴重等級���、病毒嚴重等級的數(shù)學計算得到。步驟8 :基于各資產(chǎn)在子網(wǎng)中的權重�,采用權重分析法,進行各子網(wǎng)安全態(tài)勢評估�;用權重分析法,計算網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)綜合安全態(tài)勢值����;網(wǎng)絡設備類資產(chǎn)的子網(wǎng)綜合安全態(tài)勢值就是該子網(wǎng)內(nèi)所有資產(chǎn)的安全態(tài)勢值的加權和。步驟9 :基于各子網(wǎng)在整個網(wǎng)絡中的權重����,采用權重分析法�����,進行網(wǎng)絡安全態(tài)勢評估���;采用權重分析法����,計算綜合網(wǎng)絡安全態(tài)勢值��;綜合網(wǎng)絡安全態(tài)勢值就是所有子網(wǎng)的綜合安全態(tài)勢值的加權和。前述的安全事件信息分為防火墻日志信息�����、入侵信息���、病毒信息��、漏洞信息�;防火墻日志信息FW包含源地址�、目的地址、源端口����、目的端口、協(xié)議�����、處理方式�����;入侵信息IDS包含目的地址�、入侵類型����、入侵針對的漏洞���、入侵嚴重等級����;病毒信息VIRUS包含資產(chǎn)地址���、病毒類型�、病毒嚴重等級���;漏洞信息VUL包含資產(chǎn)地址���、漏洞類型���、漏洞嚴重等級�。前述的網(wǎng)絡拓撲信息包括資產(chǎn)標識�、資產(chǎn)連接關系。前述的資產(chǎn)基本信息ASSET包括資產(chǎn)標識�、資產(chǎn)類型�����、資產(chǎn)值�����、子網(wǎng)總資產(chǎn)值����;資產(chǎn)基本信息分為兩類終端類和網(wǎng)絡設備類�,終端類資產(chǎn)的子網(wǎng)總資產(chǎn)值為0,網(wǎng)絡設備類資產(chǎn)的子網(wǎng)總資產(chǎn)值為該網(wǎng)絡設備子網(wǎng)內(nèi)所有資產(chǎn)的資產(chǎn)值總和�。前述的資產(chǎn)狀態(tài)信息包括資產(chǎn)標識、時間���、總流量�、處理器使用率�、內(nèi)存占用率。本發(fā)明一種網(wǎng)絡安全態(tài)勢評估方法�����,與現(xiàn)有技術相比���,具有以下明顯的優(yōu)勢和有益效果本發(fā)明一種網(wǎng)絡安全態(tài)勢評估方法�����,改變了現(xiàn)有技術中數(shù)據(jù)源單一的問題��,使網(wǎng)絡安全態(tài)勢評估結果更加全面��,客觀的反映了網(wǎng)絡安全整體狀況�;評估結果精確,真實反映網(wǎng)絡安全整體狀況���;評估結果直觀實用��,可以直接用于指導網(wǎng)絡安全管理指揮���、決策。
圖I為本發(fā)明網(wǎng)絡安全態(tài)勢評估方法的流程圖�。
具體實施方式
下面結合流程圖��,對優(yōu)選實施例作詳細說明�,應該強調(diào)的是,下述說明僅僅是示例性的����,而不是為了限制本發(fā)明的范圍及其應用��。步驟I :對原始數(shù)據(jù)進行預處理��,消除重復信息和錯誤信息��,生成格式化的安全事件信息��、網(wǎng)絡拓撲信息�、資產(chǎn)基本信息和資產(chǎn)狀態(tài)信息���。用于網(wǎng)絡安全態(tài)勢評估的數(shù)據(jù)來源包括防火墻��、入侵檢測系統(tǒng)�����、防病毒軟件����、漏洞掃描系統(tǒng)��、拓撲發(fā)現(xiàn)工具、性能采集工具等���。經(jīng)過去冗余����、消除錯誤信息����,再進行格式化,形成安全事件信息���、網(wǎng)絡拓撲信息����、資產(chǎn)基本信息和資產(chǎn)狀態(tài)信息����。安全事件信息主要分為防火墻日志信息、入侵信息��、病毒信息�、漏洞信息。防火墻日志信息FW主要包含源地址��、目的地址�、源端口、目的端口�、協(xié)議、處理方式�����;入侵信息IDS主要包含目的地址���、入侵類型�、入侵針對的漏洞�、入侵嚴重等級;病毒信息VIRUS主要包含資產(chǎn)地址����、病毒類型、病毒嚴重等級���;漏洞信息VUL主要包含資產(chǎn)地址�����、漏洞類型�����、漏洞嚴重等級�。網(wǎng)絡拓撲信息主要包含資產(chǎn)標識、資產(chǎn)連接關系�����。資產(chǎn)基本信息ASSET主要包含資產(chǎn)標識�����、資產(chǎn)類型���、資產(chǎn)值����、子網(wǎng)總資產(chǎn)值���。資產(chǎn)基本信息主要分為兩類終端類和網(wǎng)絡設備類�,終端類資產(chǎn)的子網(wǎng)總資產(chǎn)值為0�����,網(wǎng)絡設備類資產(chǎn)的子網(wǎng)總資產(chǎn)值為該網(wǎng)絡設備子網(wǎng)內(nèi)所有資產(chǎn)(包括終端類和網(wǎng)絡設備類)的資產(chǎn)值總和。資產(chǎn)狀態(tài)信息STATE主要包含資產(chǎn)標識�、時間、總流量�、處理器使用率�、內(nèi)存占用率。步驟 2 :基于網(wǎng)絡拓撲信息����、資產(chǎn)基本信息,計算各資產(chǎn)在子網(wǎng)中的權重和各子網(wǎng)在整個網(wǎng)絡中的權重��。設定網(wǎng)絡中有η個網(wǎng)絡設備類資產(chǎn)ASSET1, ASSET2, . . .�,ASSETn,每個網(wǎng)絡設備類資產(chǎn)與其連接的終端類資產(chǎn)構成一個子網(wǎng)�,根據(jù)網(wǎng)絡拓撲信息,設定有m個終端類資產(chǎn)與網(wǎng)絡設備類資產(chǎn) ASSETk (I < k 彡 η)相連接=ASSETkl, ASSETk2, · · ·����,ASSETkm0計算網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)總資產(chǎn)值TOTAL JVALUEk=VALUE^YjVALUEkl (網(wǎng)絡設備類資產(chǎn)的子網(wǎng)總資產(chǎn)值就是
i=\
該子網(wǎng)內(nèi)所有資產(chǎn)的資產(chǎn)值之和)其中,T0TAL_VALUEk為網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)總資產(chǎn)值���,VALUEk為網(wǎng)絡設
備類資產(chǎn)ASSETk的資產(chǎn)值����,為與網(wǎng)絡設備類資產(chǎn)ASSETk相連接的m個終端類資
i=\
產(chǎn)的資產(chǎn)值之和,I彡k彡η�����。在計算權重時�����,為突出資產(chǎn)值高的資產(chǎn)的重要性����,設定權值為資產(chǎn)值的平方。計算終端類資產(chǎn)ASSETkf在網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)中的權重 π _ VALUEkf2 ¥ = VALUE2+fyALUE 2 (終端類資產(chǎn)的權重就是該資產(chǎn)的權值在子網(wǎng)的總
kIci
i=l
權值中所占的比重)其中�,Pkf為終端類資產(chǎn)ASSETkf在網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)中的權重,
VALUEkf2為終端類資產(chǎn)ASSETkf的權值�����,F(xiàn)ILM����;2為網(wǎng)絡設備類資產(chǎn)ASSETk的
i=l
子網(wǎng)中所有資產(chǎn)的權值和,I彡k彡n����,I彡f彡m��。計算網(wǎng)絡設備類資產(chǎn)ASSETk在其子網(wǎng)中的權重
_VALUEk2VALUE2+fVALUE 2 (網(wǎng)絡設備類資產(chǎn)的權重就是該資產(chǎn)的權值在子網(wǎng)的
kIci
i=l
總權值中所占的比重) 其中�����,Pk為網(wǎng)絡設備類資產(chǎn)ASSETk在其子網(wǎng)中的權重�����,VALUEk2為網(wǎng)絡設備類資產(chǎn)
ASSETk的權值,F(xiàn)lLOEifc2為網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)中所有資產(chǎn)的權值
i=\
和���,I < k < η���。計算網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)在整個網(wǎng)絡中的權重
TOTAL—VALUEk2- k = ^j0tal VALUE2 (子網(wǎng)的權值就是子網(wǎng)的權值在整個網(wǎng)絡的總權值
i=l中所占的比重)其中,T_Pk為網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)在整個網(wǎng)絡中的權重����,T0TAL_VALUEk2
為網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)的權值,—"巧2為整個網(wǎng)絡中所有子網(wǎng)的權
i=\
值和����,I < k < η。步驟3 :基于入侵信息���,對各資產(chǎn)進行外部威脅態(tài)勢評估�����;基于病毒信息�、漏洞信息,對各資產(chǎn)進行內(nèi)部威脅態(tài)勢評估�。 在時間段[h,tj內(nèi)�����,無論入侵是否成功�,對入侵信息進行統(tǒng)計,設定針對資產(chǎn)ASSETw 的所有入侵信息為 IDS1, IDS2, · · ·�,IDSp。計算資產(chǎn)ASSETw的外部威脅態(tài)勢值ATTw = ^IDS_LEVf (資產(chǎn)的外部威脅態(tài)勢由資產(chǎn)外部的因素決定�����,主要為入
侵��,資產(chǎn)的外部威脅態(tài)勢值通過對所有入侵的嚴重等級的數(shù)學計算得到)其中�,ATTw為資產(chǎn)ASSETw的外部威脅態(tài)勢值,IDSJEVi為入侵信息IDSi的入侵嚴
重等級��。在時間段[h,tj內(nèi)��,對病毒信息進行統(tǒng)計����,設定資產(chǎn)ASSETw感染的所有病毒信息VIRUS1, VIRUS2, · · · , VIRUSq。在時間段[h�����,tj內(nèi)�����,對漏洞信息進行統(tǒng)計���,設定資產(chǎn)ASSETw的所有漏洞信息VUL1, VUL2, . . . , VULr。計算資產(chǎn)ASSETw的內(nèi)部威脅態(tài)勢值DEFw = ^yiRUS_LEV^ + ^VUL_LEVf (資產(chǎn)的內(nèi)部威脅態(tài)勢由資產(chǎn)內(nèi)部
的因素決定�����,主要包含病毒和漏洞���,資產(chǎn)的內(nèi)部威脅態(tài)勢值通過對資產(chǎn)的所有病毒和漏洞的嚴重等級的數(shù)學計算得到)其中�����,DEFw為資產(chǎn)ASSETw的內(nèi)部威脅態(tài)勢值�����,VIRUSJEVi為病毒信息VIRUSi的病毒嚴重等級����,VULJEVi為漏洞信息VULi的漏洞嚴重等級。步驟4 :基于各資產(chǎn)在子網(wǎng)中的權重��,采用權重分析法����,進行各子網(wǎng)外部威脅態(tài)勢評估和內(nèi)部威脅態(tài)勢評估。采用權重分析法��,計算網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)外部威脅態(tài)勢值和內(nèi)部威脅態(tài)勢值ATT_SAk = PkXATTk +Yj(PklXATTkl)(網(wǎng)絡設備類資產(chǎn)的子網(wǎng)外部威脅態(tài)勢值
i=\
就是該子網(wǎng)內(nèi)所有資產(chǎn)的外部威脅態(tài)勢值的加權和)DEF_SAk =PkxDEFk + ^(Pkl xDEFkl)(網(wǎng)絡設備類資產(chǎn)的子網(wǎng)內(nèi)部威脅態(tài)勢值
i=\
就是該子網(wǎng)內(nèi)所有資產(chǎn)的內(nèi)部威脅態(tài)勢值的加權和)其中����,ATT_SAk為網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)外部威脅態(tài)勢值,DEF_SAk為網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)內(nèi)部威脅態(tài)勢值�,Pk為網(wǎng)絡設備類資產(chǎn)ASSETk在其子網(wǎng)中的權重,Pki為終端類資產(chǎn)ASSETki在網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)中的權重,ATTk為網(wǎng)絡設備類資產(chǎn)ASSETk的外部威脅態(tài)勢值�,DEFk為網(wǎng)絡設備類資產(chǎn)ASSETk的內(nèi)部威脅態(tài)勢值,ATTki 為終端類資產(chǎn)ASSETki的外部威脅態(tài)勢值�,DEFki為終端類資產(chǎn)ASSETki的內(nèi)部威脅態(tài)勢值, I < k < n����。步驟5 :基于各子網(wǎng)在整個網(wǎng)絡中的權重,采用權重分析法�����,進行網(wǎng)絡外部威脅態(tài) 勢評估和內(nèi)部威脅態(tài)勢評估����;采用權重分析法,計算網(wǎng)絡外部威脅態(tài)勢值和內(nèi)部威脅態(tài)勢值
權利要求
1.一種網(wǎng)絡安全態(tài)勢評估方法����,包括安全事件信息�、網(wǎng)絡拓撲信息、資產(chǎn)基本信息和資產(chǎn)狀態(tài)信息��;其特征在于包括以下步驟步驟I:對原始數(shù)據(jù)進行預處理�����,消除重復信息和錯誤信息,生成格式化的安全事件信息��、網(wǎng)絡拓撲信息��、資產(chǎn)基本信息和資產(chǎn)狀態(tài)信息����;用于網(wǎng)絡安全態(tài)勢評估的數(shù)據(jù)來源包括防火墻、入侵檢測系統(tǒng)�����、防病毒軟件�、漏洞掃描系統(tǒng)、拓撲發(fā)現(xiàn)工具�����、性能采集工具����;經(jīng)過去冗余、消除錯誤信息��,再進行格式化,形成安全事件信息���、網(wǎng)絡拓撲信息��、資產(chǎn)基本信息和資產(chǎn)狀態(tài)信息�����;步驟2:基于網(wǎng)絡拓撲信息���、資產(chǎn)基本信息,計算各資產(chǎn)在子網(wǎng)中的權重和各子網(wǎng)在整個網(wǎng)絡中的權重��;設定網(wǎng)絡中有η個網(wǎng)絡設備類資產(chǎn)ASSET1, ASSET2, , ASSETn�,每個網(wǎng)絡設備類資產(chǎn)與其連接的終端類資產(chǎn)構成一個子網(wǎng),根據(jù)網(wǎng)絡拓撲信息���,設定有m個終端類資產(chǎn)與網(wǎng)絡設備類資產(chǎn) ASSETk (I < k 彡 η)相連接=ASSETkl, ASSETk2, · · ·��,ASSETkm ����;計算網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)總資產(chǎn)值���;在計算權重時�,設定權值為資產(chǎn)值的平方�����;計算終端類資產(chǎn)ASSETkf在網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)中的權重�����;計算網(wǎng)絡設備類資產(chǎn)ASSETk在其子網(wǎng)中的權重�����;計算網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)在整個網(wǎng)絡中的權重�����;步驟3 :基于入侵信息���,對各資產(chǎn)進行外部威脅態(tài)勢評估�����;基于病毒信息����、漏洞信息,對各資產(chǎn)進行內(nèi)部威脅態(tài)勢評估�;在時間段[h,tj內(nèi)��,無論入侵是否成功����,對入侵信息進行統(tǒng)計,設定針對資產(chǎn)ASSETw 的所有入侵信息為IDS1, IDS2, , IDSp �����;計算資產(chǎn)ASSETw的外部威脅態(tài)勢值�;計算資產(chǎn)ASSETw的內(nèi)部威脅態(tài)勢值;步驟4:基于各資產(chǎn)在子網(wǎng)中的權重��,采用權重分析法��,進行各子網(wǎng)外部威脅態(tài)勢評估和內(nèi)部威脅態(tài)勢評估��;網(wǎng)絡設備類資產(chǎn)的子網(wǎng)外部威脅態(tài)勢值就是該子網(wǎng)內(nèi)所有資產(chǎn)的外部威脅態(tài)勢值的加權和����;網(wǎng)絡設備類資產(chǎn)的子網(wǎng)內(nèi)部威脅態(tài)勢值就是該子網(wǎng)內(nèi)所有資產(chǎn)的內(nèi)部威脅態(tài)勢值的加權和�����;步驟5 :基于各子網(wǎng)在整個網(wǎng)絡中的權重,采用權重分析法���,進行網(wǎng)絡外部威脅態(tài)勢評估和內(nèi)部威脅態(tài)勢評估����;網(wǎng)絡外部威脅態(tài)勢值就是所有子網(wǎng)的外部威脅態(tài)勢值的加權和�����;網(wǎng)絡內(nèi)部威脅態(tài)勢值就是所有子網(wǎng)的內(nèi)部威脅態(tài)勢值的加權和�;步驟6 :對防火墻日志信息、入侵信息和漏洞信息進行交叉關聯(lián)����,消除無效告警;針對資產(chǎn)ASSETw的入侵信息���,若資產(chǎn)ASSETw上不存在入侵針對的漏洞��,則該入侵無效���,不會對網(wǎng)絡安全產(chǎn)生危害�,最終篩選得到針對資產(chǎn)ASSETw的所有有效入侵信息IDS1, IDS2, · · ·��,IDSs ����;步驟7 :基于交叉關聯(lián)后的各類信息,綜合評估各資產(chǎn)的安全態(tài)勢�����;在時間段[h����,tj內(nèi),對資產(chǎn)狀態(tài)信息進行統(tǒng)計���,設定資產(chǎn)ASSETw的所有狀態(tài)信息為STATEto, STATE1, STATE2, . . . , STATEt, STATEtl ����; 計算資產(chǎn)ASSETw的單位時間流量�����; 資產(chǎn)的單位時間流量就是某時間段內(nèi)總流量的平均值; 處理器平均使用率就是某時間段內(nèi)所有采集的處理器使用率的算術平均值�; 內(nèi)存平均占用率就是某時間段內(nèi)所有采集的內(nèi)存占用率的算術平均值; 基于資產(chǎn)ASSETw的有效入侵信息�、病毒信息、狀態(tài)信息��,計算資產(chǎn)ASSETw的安全態(tài)勢值�; 資產(chǎn)的安全態(tài)勢值通過對流量���、處理器平均使用率�����、內(nèi)存平均占用率���、有效入侵的嚴重等級、病毒嚴重等級的數(shù)學計算得到�; 步驟8 :基于各資產(chǎn)在子網(wǎng)中的權重,采用權重分析法��,進行各子網(wǎng)安全態(tài)勢評估�; 采用權重分析法,計算網(wǎng)絡設備類資產(chǎn)ASSETk的子網(wǎng)綜合安全態(tài)勢值���; 網(wǎng)絡設備類資產(chǎn)的子網(wǎng)綜合安全態(tài)勢值就是該子網(wǎng)內(nèi)所有資產(chǎn)的安全態(tài)勢值的加權和���; 步驟9 :基于各子網(wǎng)在整個網(wǎng)絡中的權重�����,采用權重分析法���,進行網(wǎng)絡安全態(tài)勢評估; 采用權重分析法����,計算綜合網(wǎng)絡安全態(tài)勢值; 綜合網(wǎng)絡安全態(tài)勢值就是所有子網(wǎng)的綜合安全態(tài)勢值的加權和�。
2.根據(jù)權利要求I所述的一種網(wǎng)絡安全態(tài)勢評估方法,其特征在于所述的安全事件信息分為防火墻日志信息���、入侵信息����、病毒信息�����、漏洞信息;防火墻日志信息FW包含源地址�����、目的地址��、源端口��、目的端口�、協(xié)議�����、處理方式��;入侵信息IDS包含目的地址�、入侵類型、入侵針對的漏洞�、入侵嚴重等級;病毒信息VIRUS包含資產(chǎn)地址�����、病毒類型、病毒嚴重等級�;漏洞信息VUL包含資產(chǎn)地址、漏洞類型��、漏洞嚴重等級�。
3.根據(jù)權利要求I所述的一種網(wǎng)絡安全態(tài)勢評估方法,其特征在于所述的網(wǎng)絡拓撲信息包括資產(chǎn)標識�����、資產(chǎn)連接關系�����。
4.根據(jù)權利要求I所述的一種網(wǎng)絡安全態(tài)勢評估方法�,其特征在于所述的資產(chǎn)基本信息ASSET包括資產(chǎn)標識、資產(chǎn)類型�����、資產(chǎn)值�、子網(wǎng)總資產(chǎn)值;資產(chǎn)基本信息分為兩類終端類和網(wǎng)絡設備類�,終端類資產(chǎn)的子網(wǎng)總資產(chǎn)值為O,網(wǎng)絡設備類資產(chǎn)的子網(wǎng)總資產(chǎn)值為該網(wǎng)絡設備子網(wǎng)內(nèi)所有資產(chǎn)的資產(chǎn)值總和�����。
5.根據(jù)權利要求I所述的一種網(wǎng)絡安全態(tài)勢評估方法,其特征在于所述資產(chǎn)狀態(tài)信息包括資產(chǎn)標識����、時間、總流量���、處理器使用率��、內(nèi)存占用率�。
全文摘要
一種網(wǎng)絡安全態(tài)勢評估方法����,包括對原始數(shù)據(jù)進行預處理����,計算各資產(chǎn)在子網(wǎng)中的權重和各子網(wǎng)在整個網(wǎng)絡中的權重;對各資產(chǎn)進行外部威脅態(tài)勢評估����;對各資產(chǎn)進行內(nèi)部威脅態(tài)勢評估;采用權重分析法�,進行各子網(wǎng)外部威脅態(tài)勢評估和內(nèi)部威脅態(tài)勢評估����;進行網(wǎng)絡外部威脅態(tài)勢評估和內(nèi)部威脅態(tài)勢評估�����;對防火墻日志信息�、入侵信息和漏洞信息進行交叉關聯(lián),消除無效告警�;綜合評估各資產(chǎn)的安全態(tài)勢;進行各子網(wǎng)安全態(tài)勢評估�;采用權重分析法,進行網(wǎng)絡安全態(tài)勢評估�����;本發(fā)明改變了現(xiàn)有技術中數(shù)據(jù)源單一的問題�,使網(wǎng)絡安全態(tài)勢評估結果更加全面、精確�;真實反映網(wǎng)絡安全整體狀況;評估結果直觀實用�,可以直接用于指導網(wǎng)絡安全管理指揮、決策����。
文檔編號H04L29/06GK102624696SQ20111044311
公開日2012年8月1日 申請日期2011年12月27日 優(yōu)先權日2011年12月27日
發(fā)明者王斌, 王曉程, 石波, 胡晴, 陳志浩 申請人:中國航天科工集團第二研究院七〇六所