本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)、信息安全技術(shù)、數(shù)據(jù)安全
技術(shù)領(lǐng)域：
，具體地說(shuō)是一種安全態(tài)勢(shì)感知方法。
背景技術(shù)：
：云計(jì)算的“爆發(fā)式”發(fā)展也給政府及企業(yè)帶來(lái)監(jiān)管上的困難。數(shù)據(jù)損壞，信息泄露，賬號(hào)被盜……近年來(lái)，隨著云存儲(chǔ)行業(yè)的發(fā)展，“云安全”漏洞問(wèn)題屢見(jiàn)不鮮。輕觸“上傳”“保存”，原本需要存儲(chǔ)在實(shí)體工具中的大容量文件，只需幾步就能輕松保存到網(wǎng)絡(luò)“云端”。但隨之而來(lái)的，是個(gè)人隱私數(shù)據(jù)泄露層出不窮，一些依賴(lài)于云盤(pán)存儲(chǔ)數(shù)據(jù)的企業(yè)也面臨信息安全威脅，有的企業(yè)甚至因數(shù)據(jù)流失而被迫承擔(dān)巨額賠償甚至破產(chǎn)的風(fēng)險(xiǎn)。目前，我國(guó)尚未制定相關(guān)的評(píng)估標(biāo)準(zhǔn)和政策，以對(duì)“云服務(wù)”提供商進(jìn)行以安全為主要內(nèi)容的評(píng)估監(jiān)督。我國(guó)需加強(qiáng)自主可控云計(jì)算安全技術(shù)的研發(fā)，杜絕云計(jì)算安全技術(shù)和應(yīng)用尤其是電子政務(wù)云建設(shè)依賴(lài)國(guó)外主流公司的情況，這是解決我國(guó)云計(jì)算安全問(wèn)題以及云中數(shù)據(jù)安全問(wèn)題的關(guān)鍵點(diǎn)之一，對(duì)“云”安全的研究及技術(shù)解決方案的探索需要持續(xù)深入。而在眾多云服務(wù)中，政企云的落地是發(fā)展趨勢(shì)的必然，安全是政企云的重中之中，只有具有全局戰(zhàn)略的云安全管理規(guī)劃，才能確保政府和企業(yè)平滑的向政企云遷徙，并確保合規(guī)。未來(lái)幾年云安全市場(chǎng)將進(jìn)入高速發(fā)展時(shí)期，國(guó)內(nèi)和國(guó)外諸多安全廠商也均在布局云安全領(lǐng)域戰(zhàn)略。但總體而言，國(guó)內(nèi)市場(chǎng)也尚未有一個(gè)明確的規(guī)范標(biāo)準(zhǔn)體系，市場(chǎng)上也是群雄逐鹿，各有千秋。政企云的建設(shè)既需要解決職能部門(mén)之間的“信息孤島”問(wèn)題，同時(shí)還要考慮云計(jì)算技術(shù)的各種安全問(wèn)題。總體而言，當(dāng)前的政企云在全面開(kāi)發(fā)上面臨資源整合、行業(yè)監(jiān)管、安全監(jiān)管、用戶(hù)監(jiān)管以及老舊應(yīng)用的遷移等挑戰(zhàn)，除此以外還面臨著云上運(yùn)維的新式壓力和安全問(wèn)題的挑戰(zhàn)。云的應(yīng)用已經(jīng)基本普及到各個(gè)企業(yè)當(dāng)中，在國(guó)家的“十二五”規(guī)劃中也提出要“加強(qiáng)信息共享，厲行節(jié)約”，構(gòu)建政企云是勢(shì)在必行的。全面落地政企云首要是從安全角度入手和規(guī)劃。符合合規(guī)，是政企云切實(shí)落地和平滑遷徙的重要保障。云計(jì)算提供的服務(wù)可分為IaaS、PaaS、SaaS三個(gè)層面，而這三個(gè)層面的安全關(guān)注點(diǎn)是不一樣的。漏洞掃描和滲透測(cè)試是所有PaaS和基礎(chǔ)設(shè)施即服務(wù)(IaaS)云安全技術(shù)都必須執(zhí)行的。無(wú)論他們是在云中托管應(yīng)用程序還是運(yùn)行服務(wù)器和存儲(chǔ)基礎(chǔ)設(shè)施，用戶(hù)都必須對(duì)暴露在互聯(lián)網(wǎng)中的系統(tǒng)的安全狀態(tài)進(jìn)行評(píng)估。對(duì)于在PaaS和IaaS環(huán)境中測(cè)試API和應(yīng)用程序的集成來(lái)說(shuō)，與云供應(yīng)商協(xié)作的企業(yè)應(yīng)重點(diǎn)關(guān)注處于傳輸狀態(tài)下的數(shù)據(jù)，以及通過(guò)繞過(guò)身份認(rèn)證或注入式攻擊等方式對(duì)應(yīng)用程序和數(shù)據(jù)的潛在非法訪(fǎng)問(wèn)。因此，本發(fā)明建立了一個(gè)云平臺(tái)安全態(tài)勢(shì)感知方法。與傳統(tǒng)的大數(shù)據(jù)安全態(tài)勢(shì)分析方法不同，本方法把安全體系進(jìn)行多層面劃分，結(jié)合評(píng)估點(diǎn)從多重角度分析，構(gòu)成該安全態(tài)勢(shì)感知方法的數(shù)據(jù)核心。檢測(cè)云平臺(tái)安全事件、安全漏洞，感知云平臺(tái)安全態(tài)勢(shì)，對(duì)整個(gè)云平臺(tái)進(jìn)行監(jiān)控并對(duì)實(shí)時(shí)收集到的日志進(jìn)行分析，得到系統(tǒng)的安全態(tài)勢(shì)，從而為云平臺(tái)的穩(wěn)定性和可靠性提供保障，提高系統(tǒng)和數(shù)據(jù)的安全性，增強(qiáng)用戶(hù)對(duì)系統(tǒng)的可控性，提高系統(tǒng)的服務(wù)質(zhì)量和用戶(hù)滿(mǎn)意度。技術(shù)實(shí)現(xiàn)要素：基于以上問(wèn)題，本發(fā)明的目的在于提供一種云平臺(tái)安全態(tài)勢(shì)感知方法，能夠?qū)φ麄€(gè)云平臺(tái)進(jìn)行監(jiān)控并對(duì)實(shí)時(shí)收集到的日志進(jìn)行分析，評(píng)估系統(tǒng)的安全態(tài)勢(shì)，操作簡(jiǎn)便，安全可靠性高。本發(fā)明的云平臺(tái)安全態(tài)勢(shì)感知方法，包括基礎(chǔ)評(píng)估點(diǎn)量化、浮動(dòng)評(píng)估點(diǎn)量化、安全層面融合、云平臺(tái)安全評(píng)估指標(biāo)和云平臺(tái)安全態(tài)勢(shì)感知五個(gè)步驟。步驟1：基礎(chǔ)評(píng)估點(diǎn)量化基礎(chǔ)評(píng)估點(diǎn)結(jié)果量化工作以專(zhuān)家評(píng)估的方式來(lái)主導(dǎo)，通過(guò)評(píng)審方式由專(zhuān)家對(duì)相關(guān)基礎(chǔ)評(píng)估點(diǎn)(根據(jù)實(shí)際情況提前設(shè)定好需要列入考慮范圍內(nèi)的基礎(chǔ)評(píng)估點(diǎn)以及其具體的指標(biāo)項(xiàng))進(jìn)行打分。這一步工作大部分是在云平臺(tái)建設(shè)完成部署之后就可以進(jìn)行的，然后對(duì)相關(guān)信息進(jìn)行存儲(chǔ)，在之后的云平臺(tái)運(yùn)行過(guò)程中也可以根據(jù)需要和變化，重新進(jìn)行基礎(chǔ)評(píng)估點(diǎn)量化。按照基礎(chǔ)評(píng)估點(diǎn)的實(shí)際情況分為符合、大部分符合、大部分不符合、不符合四級(jí)，其對(duì)應(yīng)的量化值為{1，0.8，0.4，0}。根據(jù)n個(gè)專(zhuān)家的評(píng)分gi，可以如下計(jì)算單個(gè)基礎(chǔ)評(píng)估點(diǎn)P的量化值：步驟2：浮動(dòng)評(píng)估點(diǎn)量化浮動(dòng)評(píng)估點(diǎn)量化工作分為兩步首先是基于基礎(chǔ)評(píng)估方式，由專(zhuān)家對(duì)相關(guān)指標(biāo)給予初始的評(píng)分P0，這一步僅在方法初始的時(shí)候進(jìn)行，之后該評(píng)估點(diǎn)的量化方法按照浮動(dòng)方式進(jìn)行。首先本發(fā)明定義安全浮動(dòng)因素，本發(fā)明將系統(tǒng)存在漏洞、受到的攻擊以及其他的安全事件等等統(tǒng)稱(chēng)為安全浮動(dòng)因素。假使浮動(dòng)評(píng)估點(diǎn)量化以間隔時(shí)間T周期進(jìn)行，則該浮動(dòng)評(píng)估點(diǎn)的量化值將受前一周期評(píng)估值與本周期內(nèi)浮動(dòng)因素共同影響。安全浮動(dòng)因素RT主要是由第T周期內(nèi)產(chǎn)生的n個(gè)安全問(wèn)題所決定，對(duì)于一個(gè)安全問(wèn)題，其往往涉及到系統(tǒng)的脆弱性和漏洞問(wèn)題，所以本發(fā)明在量化時(shí)參考CVSS(通用安全漏洞評(píng)分系統(tǒng))漏洞評(píng)分，對(duì)于不在CVE(通用漏洞與披露庫(kù))庫(kù)中的安全問(wèn)題，需要管理員對(duì)問(wèn)題進(jìn)行具體定位與評(píng)分，故一個(gè)安全問(wèn)題的評(píng)分S為：其中scvss為該安全問(wèn)題相對(duì)應(yīng)漏洞在CVE中CVSS評(píng)分值，當(dāng)安全問(wèn)題在CVE中無(wú)依據(jù)時(shí)，則采用系統(tǒng)管理員人工審核的方式，即vi、ki、yi∈[0,1]，變量vi表示安全問(wèn)題的威脅程度，ki表示安全問(wèn)題的易用程度，yi表示安全問(wèn)題對(duì)相應(yīng)評(píng)估點(diǎn)影響程度，由此來(lái)刻畫(huà)該安全問(wèn)題。通過(guò)以上方法便可得到第T周期時(shí)的安全浮動(dòng)因素量化結(jié)果RT?，F(xiàn)在本發(fā)明考慮對(duì)第T周期內(nèi)，出現(xiàn)n個(gè)安全問(wèn)題時(shí)該浮動(dòng)評(píng)估點(diǎn)的量化PT的計(jì)算：步驟3：安全層面融合根據(jù)前兩步，可以方便地計(jì)算出各個(gè)評(píng)估點(diǎn)(包括前述的基礎(chǔ)評(píng)估點(diǎn)和浮動(dòng)評(píng)估點(diǎn)兩類(lèi))的量化值Pi，接下來(lái)以層面為單位，對(duì)評(píng)估點(diǎn)的量化值進(jìn)行融合?？紤]到本方法的適用范圍和擴(kuò)展性，這里不對(duì)層面的具體劃分，和評(píng)估點(diǎn)層面劃分做出嚴(yán)格限制，方法在使用時(shí)，可根據(jù)云平臺(tái)的主要業(yè)務(wù)功能和要求，有目的的進(jìn)行劃分和使用，以某一安全層面為基礎(chǔ)，對(duì)其所屬的N個(gè)評(píng)估點(diǎn)量化結(jié)果進(jìn)行融合的評(píng)估值C為：步驟4：云平臺(tái)安全評(píng)估指標(biāo)如前所述，整個(gè)云臺(tái)沿縱向分為7個(gè)層面，因?yàn)楦鱾€(gè)層面涉及內(nèi)容和安全問(wèn)題各不相同，其對(duì)整個(gè)云平臺(tái)安全運(yùn)行有著各不相同的影響，同時(shí)結(jié)合云平臺(tái)自身的服務(wù)要求，對(duì)各個(gè)安全層面的關(guān)注程度不同，分別設(shè)定每個(gè)安全層面的權(quán)重qi來(lái)更好地結(jié)合云平臺(tái)自身的實(shí)際情況，其中qi∈[60,100]，由此計(jì)算云平臺(tái)安全評(píng)估結(jié)果如下：步驟5：云平臺(tái)安全態(tài)勢(shì)感知通過(guò)上述方法本發(fā)明已經(jīng)可以對(duì)云平臺(tái)從橫縱兩個(gè)方向(評(píng)估點(diǎn)和安全層面)對(duì)云平臺(tái)的安全狀態(tài)進(jìn)行評(píng)估量化，獲得相應(yīng)的實(shí)時(shí)結(jié)果。根據(jù)云平臺(tái)安全態(tài)勢(shì)變化的特點(diǎn)和之前對(duì)于安全問(wèn)題突發(fā)性的分析，同時(shí)考慮到基礎(chǔ)指標(biāo)量化工作基本都是在云平臺(tái)部署之后或運(yùn)行之初就完成了相關(guān)工作，所以在這里本發(fā)明主要考慮的是受浮動(dòng)因素影響的浮動(dòng)評(píng)估點(diǎn)，即在第T周期時(shí)對(duì)某一浮動(dòng)評(píng)估點(diǎn)的預(yù)測(cè)量化值為：根據(jù)浮動(dòng)點(diǎn)的預(yù)測(cè)值PT+1，接下來(lái)可以分別對(duì)安全層面、整體云平臺(tái)按照前面的量化方法進(jìn)行預(yù)測(cè)量化，從而實(shí)現(xiàn)在橫向與縱向兩個(gè)角度對(duì)平臺(tái)整體、安全層面、評(píng)估點(diǎn)全面的趨勢(shì)預(yù)測(cè)。本發(fā)明云平臺(tái)安全態(tài)勢(shì)感知方法，結(jié)合云平臺(tái)實(shí)際情況，該方法將云平臺(tái)系統(tǒng)沿縱向劃分為7個(gè)層面一次是物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、虛擬層抽象安全、軟件平臺(tái)安全、應(yīng)用安全、數(shù)據(jù)安全。其中結(jié)合云平臺(tái)特點(diǎn)，相對(duì)于傳統(tǒng)系統(tǒng)劃分出虛擬層更好地刻畫(huà)云平臺(tái)安全。此外在橫向角度上劃分出若干評(píng)估點(diǎn)貫穿各個(gè)層面。本發(fā)明針對(duì)云平臺(tái)的感知預(yù)測(cè)方法，基于云平臺(tái)近期真實(shí)的安全態(tài)勢(shì)數(shù)據(jù)對(duì)云平臺(tái)安全態(tài)勢(shì)進(jìn)行感知。本發(fā)明云平臺(tái)安全態(tài)勢(shì)感知方法，通過(guò)下述方式實(shí)現(xiàn)評(píng)估點(diǎn)的計(jì)算。該方法將評(píng)估點(diǎn)劃分為2大類(lèi)依次是基礎(chǔ)評(píng)估點(diǎn)與浮動(dòng)評(píng)估點(diǎn)，在浮動(dòng)評(píng)估點(diǎn)中明確浮動(dòng)因素的概念并對(duì)評(píng)估點(diǎn)進(jìn)行量化。與現(xiàn)有技術(shù)相比，本發(fā)明的積極效果為：該方法中的分層方式覆蓋了從底層物理環(huán)境到上層的應(yīng)用與數(shù)據(jù)部分，同時(shí)根據(jù)云平臺(tái)特點(diǎn)，將虛擬層抽象出來(lái)方便更好地刻畫(huà)云平臺(tái)與傳統(tǒng)信息系統(tǒng)的區(qū)別。從橫向與縱向兩個(gè)方面提供了針對(duì)云平臺(tái)環(huán)境的全方位評(píng)估體系，從而確保了云平臺(tái)安全態(tài)勢(shì)感知方法的可用性與準(zhǔn)確性。結(jié)合云平臺(tái)安全環(huán)境的實(shí)際情況，現(xiàn)實(shí)中安全問(wèn)題存在很強(qiáng)的突發(fā)性，往往是大規(guī)模爆發(fā)，經(jīng)過(guò)及時(shí)修復(fù)又可以快速恢復(fù)安全狀態(tài)。相對(duì)的趨勢(shì)性和舊數(shù)據(jù)對(duì)于安全態(tài)勢(shì)感知的作用十分有限，因此在進(jìn)行預(yù)測(cè)感知時(shí)，本發(fā)明優(yōu)先考慮利用近期數(shù)據(jù)，從三個(gè)維度對(duì)云平臺(tái)的安全態(tài)勢(shì)進(jìn)行合理的評(píng)估和預(yù)測(cè)。附圖說(shuō)明圖1是本發(fā)明的系統(tǒng)日志實(shí)時(shí)處理流程圖。圖2是本發(fā)明的系統(tǒng)態(tài)勢(shì)評(píng)估處理流程。具體實(shí)施方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白，以下結(jié)合具體實(shí)施例，并參照附圖1，對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明。本發(fā)明的實(shí)施例應(yīng)用于云平臺(tái)環(huán)境下。本發(fā)明把評(píng)估點(diǎn)分為2大類(lèi)分別是基礎(chǔ)評(píng)估點(diǎn)和浮動(dòng)評(píng)估點(diǎn)。這里考慮到不同的平臺(tái)在具體實(shí)施時(shí)，其監(jiān)控能力和環(huán)境條件的不同，對(duì)評(píng)估點(diǎn)有不同的監(jiān)測(cè)需求，所以不對(duì)評(píng)估點(diǎn)類(lèi)別做硬性劃分。使用者在采用本方法時(shí)，可以根據(jù)云平臺(tái)實(shí)例的具體情況來(lái)設(shè)計(jì)評(píng)估點(diǎn)分類(lèi)情況。下面詳細(xì)說(shuō)明上述方法中的5個(gè)步驟。本發(fā)明方法步驟1中所述的基礎(chǔ)評(píng)估點(diǎn)包含許多靜態(tài)指標(biāo)，這些指標(biāo)涵蓋了從底層硬件到上層應(yīng)用及數(shù)據(jù)各個(gè)層面，其中與物理環(huán)境、系統(tǒng)架構(gòu)、已有安全措施等相關(guān)的評(píng)估點(diǎn)往往在設(shè)計(jì)與部署時(shí)都已基本確立，故其稱(chēng)為基礎(chǔ)評(píng)估點(diǎn)。本發(fā)明認(rèn)為在云平臺(tái)中這些基礎(chǔ)評(píng)估點(diǎn)的分值是幾乎不會(huì)隨著時(shí)間改變的。這些評(píng)估點(diǎn)就是公式中的P。根據(jù)評(píng)估點(diǎn)中的評(píng)估指標(biāo)，專(zhuān)家對(duì)各個(gè)評(píng)估點(diǎn)(即PI至Pn)進(jìn)行打分。本發(fā)明假設(shè)有n個(gè)專(zhuān)家，且每個(gè)專(zhuān)家對(duì)Pi打的分?jǐn)?shù)稱(chēng)為gi，那么對(duì)gi求平均就可以得到Pi。基礎(chǔ)評(píng)估點(diǎn)的個(gè)數(shù)和內(nèi)容可以根據(jù)應(yīng)用場(chǎng)景的不同改變，通過(guò)步驟1就可以得到各個(gè)基礎(chǔ)評(píng)估點(diǎn)的靜態(tài)指標(biāo)項(xiàng)的得分Pi。本發(fā)明方法步驟2中所用到的浮動(dòng)評(píng)估點(diǎn)的指標(biāo)主要涉及系統(tǒng)漏洞，各種攻擊事件、安全威脅以及安全事件等安全問(wèn)題。我們把這些指標(biāo)歸入浮動(dòng)評(píng)估點(diǎn)是由于這些安全問(wèn)題的出現(xiàn)具有突發(fā)性，因此這些因素是跟時(shí)間有關(guān)的、會(huì)發(fā)生變化的。正是因?yàn)檫@個(gè)原因，我們認(rèn)為這些點(diǎn)的評(píng)分是會(huì)浮動(dòng)的，所以稱(chēng)這樣的評(píng)估點(diǎn)為浮動(dòng)評(píng)估點(diǎn)。同一種類(lèi)型的安全問(wèn)題會(huì)根據(jù)類(lèi)別被劃分到不同的浮動(dòng)評(píng)估點(diǎn)中，從而方便對(duì)某一浮動(dòng)評(píng)估點(diǎn)進(jìn)行評(píng)分。在本方法中將這些安全問(wèn)題統(tǒng)稱(chēng)為安全浮動(dòng)因素。例如：在主機(jī)安全層面我們需要考慮入侵防范這個(gè)浮動(dòng)評(píng)估點(diǎn)，在這個(gè)浮動(dòng)評(píng)估點(diǎn)中有許多的指標(biāo)來(lái)輔助這個(gè)點(diǎn)的評(píng)分，比如借助漏洞掃描工具掃描到的漏洞、借助安全防護(hù)軟件檢測(cè)到未經(jīng)授權(quán)打開(kāi)的端口等。下面本發(fā)明說(shuō)明本發(fā)明實(shí)施例在進(jìn)行步驟2評(píng)估時(shí)可能的數(shù)據(jù)來(lái)源。以對(duì)該云平臺(tái)的一次安全態(tài)勢(shì)評(píng)估為例。需要對(duì)來(lái)源不同結(jié)構(gòu)各異的數(shù)據(jù)進(jìn)行收集?？衫玫臄?shù)據(jù)分為以下幾種：日志數(shù)據(jù)，包括系統(tǒng)日志、應(yīng)用日志等以及由一些成熟的技術(shù)(例如：云應(yīng)用安全防護(hù)軟件)所發(fā)現(xiàn)的安全事件。這些事件可以通過(guò)日志傳輸協(xié)議rsyslog協(xié)議轉(zhuǎn)發(fā)，再經(jīng)由高可靠高可用特性的分布式海量日志收集、聚合、傳輸系統(tǒng)Flume進(jìn)行采集。從這些數(shù)據(jù)中本發(fā)明可以分析得到云平臺(tái)存在的安全問(wèn)題。云平臺(tái)的漏洞，可以使用開(kāi)放式漏洞評(píng)估系統(tǒng)Openvas對(duì)主機(jī)和虛擬機(jī)進(jìn)行漏洞掃描來(lái)獲得。虛擬機(jī)的創(chuàng)建需要一個(gè)平臺(tái)作為支撐，常見(jiàn)的云計(jì)算管理平臺(tái)是openstack。對(duì)于openstack這些平臺(tái)自身的信息以及存在的問(wèn)題由openstack自帶的應(yīng)用程序接口(api)來(lái)提供。除了上面提到的方式還可以使用其他方法來(lái)獲取云平臺(tái)的安全問(wèn)題。本發(fā)明根據(jù)采集數(shù)據(jù)類(lèi)型的不同將它們分為下面兩個(gè)模塊來(lái)說(shuō)明安全問(wèn)題的采集過(guò)程：1.漏洞掃描模塊利用開(kāi)放式漏洞評(píng)估系統(tǒng)openvas對(duì)目標(biāo)主機(jī)進(jìn)行掃描，獲取主機(jī)漏洞信息，并將掃描結(jié)果存儲(chǔ)到mysql數(shù)據(jù)庫(kù)的相應(yīng)表項(xiàng)中。漏洞信息分別有：漏洞名、創(chuàng)建時(shí)間、修改時(shí)間、所有者、主機(jī)、端口號(hào)、威脅因素、嚴(yán)重程度、描述等。這些漏洞信息是浮動(dòng)評(píng)估云平臺(tái)安全態(tài)勢(shì)時(shí)需要用到的，是安全態(tài)勢(shì)評(píng)估數(shù)據(jù)來(lái)源之一。2.日志采集處理模塊負(fù)責(zé)采集云平臺(tái)內(nèi)的安全事件日志，包括系統(tǒng)日志審查事件，防火墻事件，完整性監(jiān)控事件等。采集完日志后，還需要對(duì)采集到的各類(lèi)日志進(jìn)行接收、分類(lèi)、格式化，最后將它們存入合適的數(shù)據(jù)庫(kù)，在進(jìn)行評(píng)估時(shí)進(jìn)行調(diào)用。1)日志分類(lèi)基于日志信息中的message字段的結(jié)構(gòu)對(duì)所有的原始日志進(jìn)行分類(lèi)，把具有相同message結(jié)構(gòu)的分為一類(lèi)，由此可以得到下面幾個(gè)分類(lèi)以及其具體message字段內(nèi)容：2)日志格式化針對(duì)不同類(lèi)別的日志，設(shè)計(jì)日志格式化所需的正則表達(dá)式，使用日志處理工具(例如：日志采集聚合傳輸系統(tǒng)Flume自帶的Morphline工具)對(duì)實(shí)時(shí)日志流進(jìn)行處理，轉(zhuǎn)化成結(jié)構(gòu)化的日志并存儲(chǔ)到數(shù)據(jù)庫(kù)中，在需要分析使用時(shí)再進(jìn)行調(diào)用。下面說(shuō)明方法步驟2的運(yùn)算過(guò)程。浮動(dòng)評(píng)估點(diǎn)量化工作的第一步是基于步驟1中的基礎(chǔ)評(píng)估方式，由專(zhuān)家根據(jù)安全浮動(dòng)因素相關(guān)指標(biāo)項(xiàng)，給予云平臺(tái)的各個(gè)浮動(dòng)評(píng)估點(diǎn)一個(gè)初始的評(píng)分P0。這一步僅在方法初始的時(shí)候進(jìn)行，為系統(tǒng)評(píng)分提供一個(gè)初始值，之后評(píng)估點(diǎn)的量化方法按照浮動(dòng)方式進(jìn)行。在浮動(dòng)方式中本發(fā)明定義了一個(gè)時(shí)間間隔T，每過(guò)一段時(shí)間T本發(fā)明就重新進(jìn)行評(píng)分。前述的安全問(wèn)題在量化時(shí)參考CVSS(通用安全漏洞評(píng)分系統(tǒng))漏洞評(píng)分，對(duì)于不在CVE(通用漏洞與披露庫(kù))庫(kù)中的安全問(wèn)題，需要管理員對(duì)問(wèn)題進(jìn)行具體定位與評(píng)分。管理員在評(píng)分時(shí)每個(gè)問(wèn)題都對(duì)應(yīng)一組vi、ki，yi，其中vi、ki、yi∈[0,1]。變量vi表示安全問(wèn)題的威脅程度，ki表示安全問(wèn)題的易用程度(即安全問(wèn)題容易被利用的程度)，yi表示安全問(wèn)題相應(yīng)的評(píng)估點(diǎn)對(duì)評(píng)分的影響程度。現(xiàn)在暫把這三項(xiàng)相乘作為這個(gè)漏洞的評(píng)分值，如果不在CVE庫(kù)中的安全問(wèn)題有評(píng)分值了，本發(fā)明就稱(chēng)這個(gè)問(wèn)題已經(jīng)被解決了。把屬于同一個(gè)評(píng)估點(diǎn)的所有這些安全問(wèn)題(在CVE中的和被管理員處理過(guò)的)的評(píng)分值加起來(lái)就得到了公式中的RT′。但是如果經(jīng)過(guò)T周期，還有一些安全問(wèn)題它不再CVE庫(kù)中，也沒(méi)有被管理員處理，那么本發(fā)明就把其前面得到的RT′乘上系數(shù)1.3作為最后的浮動(dòng)因素量化結(jié)果RT。如果都有評(píng)分值，則不需要這個(gè)系數(shù)R′T＝RT。如果在這段RT時(shí)間里面沒(méi)有出現(xiàn)安全問(wèn)題，則這一項(xiàng)RT為0。如果RT值為0，且安全問(wèn)題數(shù)n＝0，則本發(fā)明認(rèn)為云平臺(tái)正在往向好的方向發(fā)展，因此本發(fā)明將原來(lái)的這一浮動(dòng)評(píng)估項(xiàng)的值乘以1.1作為這個(gè)周期的浮動(dòng)評(píng)分PT。如果RT值為0，但安全問(wèn)題數(shù)n>0，說(shuō)明出現(xiàn)了不在CVE庫(kù)中的漏洞并且這些漏洞都沒(méi)有被管理員處理，那么平臺(tái)還是一個(gè)變壞的趨勢(shì)，所以本發(fā)明將原來(lái)的這一浮動(dòng)評(píng)估項(xiàng)的值乘以0.5作為這個(gè)周期的浮動(dòng)評(píng)分PT。如果RT值大于0，則本發(fā)明從原來(lái)的評(píng)分中減去這個(gè)浮動(dòng)值RT即PT-1-RT，得到這一周期的浮動(dòng)評(píng)分PT。最后，由于本發(fā)明的評(píng)分限定在0，1之間，因此如果PT小于0，本發(fā)明就取0；如果大于1，則取1。本發(fā)明方法步驟3中所述是按照實(shí)際需要將云平臺(tái)劃分為不同的層面，將本發(fā)明在步驟1，2中得到的兩類(lèi)評(píng)估點(diǎn)放入各自的層面，然后根據(jù)步驟3中的公式將屬于該層面的評(píng)估點(diǎn)的分值相加取平均，算出各個(gè)層面的評(píng)估值C。本發(fā)明方法步驟4中所述是計(jì)算整個(gè)云平臺(tái)的安全態(tài)勢(shì)評(píng)估值，由于不同應(yīng)用環(huán)境對(duì)各個(gè)安全層面的關(guān)注程度不同，因此本發(fā)明分別給每個(gè)安全層面設(shè)定了不同的權(quán)重qi來(lái)更好地結(jié)合平臺(tái)自身的實(shí)際情況。例如在云平臺(tái)中，本發(fā)明可以將網(wǎng)絡(luò)安全、虛擬機(jī)安全等層面的權(quán)重設(shè)置的較高。本發(fā)明方法步驟5中所述是預(yù)測(cè)步驟2中的浮動(dòng)評(píng)估點(diǎn)未來(lái)的數(shù)值變化趨勢(shì)。由于基礎(chǔ)評(píng)估點(diǎn)是不會(huì)改變的，所以本發(fā)明只需要預(yù)測(cè)浮動(dòng)評(píng)估點(diǎn)，再重復(fù)步驟3、4的計(jì)算過(guò)程就可以得到未來(lái)云平臺(tái)的安全態(tài)勢(shì)評(píng)估值。根據(jù)云平臺(tái)安全態(tài)勢(shì)變化的特點(diǎn)和之前對(duì)于安全問(wèn)題突發(fā)性的分析，本發(fā)明用待預(yù)測(cè)周期之前5個(gè)周期的評(píng)分乘以不同的權(quán)重來(lái)預(yù)測(cè)這個(gè)周期的評(píng)分(距離現(xiàn)在時(shí)間越近比重越大，但是比重差別又不是很大，因?yàn)楸景l(fā)明認(rèn)為云平臺(tái)如果過(guò)去發(fā)生過(guò)嚴(yán)重安全事件則說(shuō)明云平臺(tái)可能系統(tǒng)中就存在問(wèn)題，那么將意味著它還有可能在將來(lái)出現(xiàn)這樣的安全問(wèn)題)。下面本發(fā)明將舉例說(shuō)明本發(fā)明中的安全態(tài)勢(shì)感知評(píng)估方法是如何進(jìn)行具體的評(píng)估計(jì)算的。該計(jì)算過(guò)程分成以下5步：首先，假設(shè)現(xiàn)在本發(fā)明的云平臺(tái)分為4層，分別是：網(wǎng)絡(luò)安全層C1，虛擬機(jī)安全層C2，虛擬平臺(tái)管理層安全層C3和物理機(jī)安全層C4。步驟1：基礎(chǔ)評(píng)估點(diǎn)量化。本發(fā)明請(qǐng)專(zhuān)家為本發(fā)明的云平臺(tái)進(jìn)行基礎(chǔ)評(píng)估點(diǎn)的打分。假設(shè)該云平臺(tái)的這4層中共有4個(gè)基礎(chǔ)評(píng)估點(diǎn)P1-P4。按照指標(biāo)項(xiàng)的實(shí)際情況與理想安全情況的符合程度，本發(fā)明分為符合、大部分符合、大部分不符合、不符合四級(jí)，其對(duì)應(yīng)的量化值為{1，0.8，0.4，0}。每個(gè)專(zhuān)家對(duì)這4層進(jìn)行打分，將每一層所有專(zhuān)家的分?jǐn)?shù)求和取平均得到每一個(gè)基礎(chǔ)評(píng)估點(diǎn)的分值。步驟2：浮動(dòng)評(píng)估點(diǎn)量化。浮動(dòng)評(píng)估點(diǎn)量化第一步是是基于基礎(chǔ)評(píng)估方式，由專(zhuān)家對(duì)相關(guān)指標(biāo)給予初始的評(píng)分。假設(shè)該云平臺(tái)的4層中共有3個(gè)浮動(dòng)評(píng)估點(diǎn)P5-P8。根據(jù)步驟1的公式算出專(zhuān)家給出的初始評(píng)估值的平均值如下：經(jīng)過(guò)T周期以后，假設(shè)漏洞掃描模塊發(fā)現(xiàn)了3個(gè)漏洞，分別是TCPtimestamps、SSHWeakMACAlgorithmsSupported、CheckforSSLWeakCiphers以及DropbearSSHCRLFInjectionVulnerability，本發(fā)明把它們統(tǒng)一命名為安全問(wèn)題1、2、3、4。除此之外，從收集到的日志中本發(fā)明發(fā)現(xiàn)在這個(gè)周期內(nèi)系統(tǒng)受到了拒絕服務(wù)攻擊和MAC欺騙攻擊，本發(fā)明把它們統(tǒng)一命名為安全問(wèn)題5、6。在這6個(gè)安全問(wèn)題中，假設(shè)安全問(wèn)題1，2，4，5屬于浮動(dòng)評(píng)估點(diǎn)P5，安全問(wèn)題3屬于浮動(dòng)評(píng)估點(diǎn)P6，浮動(dòng)評(píng)估點(diǎn)P7沒(méi)有出現(xiàn)安全問(wèn)題，安全問(wèn)題6屬于浮動(dòng)評(píng)估點(diǎn)P8。它們的評(píng)分如下：是否在CVE庫(kù)中scvss是否已經(jīng)被管理員評(píng)分vikiyivi·ki·yi安全問(wèn)題1不在-是0.80.40.20.064安全問(wèn)題2在0.9-安全問(wèn)題3不在-是0.20.70.70.098安全問(wèn)題4在2.4-安全問(wèn)題5不在否安全問(wèn)題6不在-否R5T1′＝0.064+0.9×0.1+2.4×0.1＝0.394由于存在安全問(wèn)題5沒(méi)有被評(píng)分，所以R5T1＝1.3·R5′T1＝0.5122R6T1′＝0.098，R6T1＝R6′T1＝0.098R7T1′＝0，R7T1＝R7′T1＝0R8T1′＝0，R8T1＝1.3·R8′T1＝0因此根據(jù)規(guī)則，經(jīng)過(guò)一個(gè)T周期后，P5、P6、P7、P8的評(píng)估值如下：P5T1＝P5′T1＝0.306P6T1＝P6′T1＝0.202P7T1＝P7′T1＝0.99P8′T1＝0.5·P8T0＝0.25P7T1＝P8′T1＝0.99步驟3：安全層面融合。根據(jù)前兩步，已經(jīng)計(jì)算出各個(gè)評(píng)估點(diǎn)的量化值，接下來(lái)以層面為單位，對(duì)網(wǎng)絡(luò)安全層C1，虛擬機(jī)安全層C2，虛擬平臺(tái)管理層安全層C3，物理機(jī)安全層C4的安全層面的評(píng)估值進(jìn)行計(jì)算。假設(shè)P1、P3、P5屬于C1層，P2、P4屬于C2層，P6屬于C3層，P7、P8屬于C4層。初始階段：P1P2P3P4P5P6P7P80.780.780.380.280.70.30.90.5根據(jù)公式C1C2C3C40.620.530.30.7經(jīng)過(guò)T周期：P1P2P3P4P5P6P7P80.780.780.380.280.3060.2020.990.25根據(jù)公式C1C2C3C40.48870.530.2020.62步驟4：云平臺(tái)安全評(píng)估指標(biāo)。本發(fā)明給四層分別賦權(quán)重如下：C1C2C3C4qi80907060根據(jù)公式可以得到：初始Q＝0.5343經(jīng)過(guò)T周期后Q＝0.4605可以看到Q值變小，說(shuō)明該云平臺(tái)的安全性正在下降，從上面的描述中本發(fā)明也可以發(fā)現(xiàn)平臺(tái)出現(xiàn)了安全問(wèn)題，所以Q值變小是合理的。步驟5：云平臺(tái)安全態(tài)勢(shì)感知。這一步是用在預(yù)測(cè)當(dāng)中的，如果平臺(tái)不需要預(yù)測(cè)未來(lái)安全態(tài)勢(shì)趨勢(shì)，那么前4步就已經(jīng)足夠了。如果需要預(yù)測(cè)，就必須預(yù)測(cè)浮動(dòng)評(píng)估點(diǎn)的變化情況(基礎(chǔ)評(píng)估點(diǎn)不改變)。下面舉例解釋這一步是如何對(duì)浮動(dòng)評(píng)估點(diǎn)進(jìn)行預(yù)測(cè)的：首先，基礎(chǔ)評(píng)估點(diǎn)不變P1P2P3P40.780.780.380.28而浮動(dòng)評(píng)估點(diǎn)需要根據(jù)公式進(jìn)行變化?，F(xiàn)假設(shè)有一個(gè)浮動(dòng)評(píng)估點(diǎn)在T1-T5周期的評(píng)分如下：PT1PT2PT3PT4PT50.420.30.50.620.71則可以求得PT6＝0.539同理可以計(jì)算得到T6時(shí)刻所有浮動(dòng)評(píng)估點(diǎn)的數(shù)值，將這些數(shù)值再重新進(jìn)行第3，4步運(yùn)算就可以得到T6時(shí)刻的C，Q值，也就可以得到T6時(shí)刻云平臺(tái)的安全態(tài)勢(shì)值了。上述具體實(shí)施方式僅是本發(fā)明的具體個(gè)案，本發(fā)明的專(zhuān)利保護(hù)范圍包括但不限于上述具體實(shí)施方式，任何在本發(fā)明的精神和原則之內(nèi)所做的任何省略、修改、等同替換、改進(jìn)等，皆應(yīng)落入本發(fā)明的專(zhuān)利保護(hù)范圍。當(dāng)前第1頁(yè)1 2 3