基於多層次多角度分析的網絡安全態勢感知系統及方法

2023-11-03 07:53:37

專利名稱：基於多層次多角度分析的網絡安全態勢感知系統及方法
技術領域：
本發明屬於信息安全領域，涉及一種基於多層次多角度分析的網絡安全 態勢感知方法。
背景技術：
網絡安全態勢感知(NSSA: Network Security Situation Awareness)起源與 態勢感知(SA: Situation Awareness),態勢感知這一概念源於航天飛行的人因 (HumanFactors)研究，此後在軍事戰場、核反應控制、空中交通監管以及 醫療應急調度等領域被廣泛地研究。在1995年，Endsley把態勢感知定義為感 知(perception)在一定的時間和空間環境中的元素，包括它們現在的狀況和 它們未來的發展趨勢[l]。在1999年，TimBass首次提出了網絡態勢感知這個 概念，並對網絡態勢感知與空中交通管制(ATC: Air Traffic Control)態勢感 知進行了類比，把ATC態勢感知的成熟理論和技術借鑑到網絡態勢感知中去， 並提出了網絡安全態勢感知概念模型[2]，隨即在文獻[3]中提出了基於多傳感 器數據融合的入侵檢測框架，並把該框架用於下一代入侵檢測系統和NSAS。 採用該框架能夠實現入侵行為檢測、入侵率計算、入侵者身份和入侵者行為 識別、態勢評估以及威脅評估等功能。但是該模型在網絡系統很複雜的時候， 威脅和傳感器的數量以及數據流將會變的非常巨大而不可控制。王慧強等人 在文獻[4]中，總結了前人的研究，給網絡態勢做了一個較為全面的定義，所 謂網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所
5構成的整個網絡當前狀態和變化趨勢。網絡態勢感知是指在大規模網絡環境 中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預 測未來的發展趨勢。
陳秀真等人在文獻[5]中提出了層次化網絡安全態勢評估方法，該方法基 於IDS報警信息和網絡性能指標進行網絡安全的定量威脅評估，根據網絡系統 的組織結構，基於服務主機本身的重要性，提出一種層次化網絡安全威脅態 勢評估模型及相應的量化計算方法，該模型從服務、主機和網絡系統三個層 次評估安全威脅態勢。該方法把管理員從海量的日誌分析中解放出來，提供 一種直觀的安全威脅態勢圖，使管理員對系統的安全威脅狀況有宏觀的了解。 層次化網絡安全威脅態勢定量評估模型能夠直觀地給出整個網絡系統、主機 和服務三個層次的安全威脅態勢，使網絡管理員能夠及時了解系統安全動態， 查找安全變化的原因，調整安全策略，保證系統安全最大化。而且，從長時 期的安全威脅態勢曲線中可以發現安全威脅演化規律。並且，該系統在實際 中得到應用，能夠合理評估常見網絡攻擊對系統安全的威脅，將管理員從繁 重的報警數據分析任務中解脫出來。但是該方法的數據來源單一，僅對IDS的 檢測結果或者網絡威脅數據分析，沒有能綜合考慮資產、威脅、脆弱性的依 賴關係。並且，該方法態勢評估的結果單一，只是對網絡安全態勢的一個方 面進行描述。
美國勞倫斯伯克利國家實驗室的Stephen Lau於2003年開發了 "The Spinning Cube of Potential Doom"系統，該系統在三維空間中用點來表示網絡 流量信息，在笛卡兒坐標系中，即x軸代表網絡地址，y軸代表所有可能的源IP，z軸代表埠號，該方法極大地提高了網絡態勢感知能力[6]。卡內基梅隆大學 SEI (Software Engineering Institute)所領導的CERT/NetSA (The CERT Network Situational Awareness Group)開發出SILK (the System for Internet-Level Knowledge",該系統採用集成化思想，即把現有的Netflow工具集成在一起， 提供整個網絡的態勢感知，便於大規模網絡的安全分析。但是，這些方法是 對網絡流量進行可視化分析描述，輸出的結果只是網絡安全態勢感知很小的 一部分。
美國國家高級安全系統研究中心(National Center for Advanced Secure Systems Research, NCASSR)進行的SIFT (Security Incident Fusion Tool) [8]項 目，通過開發一個安全事件融合工具的集成框架，為Internet提供安全可視化。 但是，該方法是基於安全事件的描述，輸出的結果也只是網絡安全態勢感知 的一部分。
此外，基於GB/T20984-2007的風險評估方法可以借鑑到網絡安全態勢感 知中去，但是傳統的風險評估方法程自動化程度不高，需要較多手工參與， 造成資源消耗大並且實時性不高，常常是問題出現了以後才發現。
綜上所述，現有網絡安全態勢感知系統存在以下不足
1) 數據來源單一，僅對入侵檢測系統(IDS)的檢測結果或者網絡威脅數 據分析，沒有綜合考慮資產、威脅、脆弱性的依賴關係；
2) 輸出結果單一，有的只有定性描述而缺乏定量分析，有的是僅對網絡 安全態勢的某一方面的分析；
3) 感知過程自動化程度不高，需要較多手工參與，造成感知系統資源消耗大並且實時性不高，常常是問題出現了以後很長時間才發現。 參考文獻. Endsley M R, "Design and evaluation for situation awareness enhancement", Human Factors Society, 32nd Annual Meeting, Santa Monica, CA, 1988.. Bass T etc., "A glimpse into the fliture of id", http:〃www.usenix.org/publications/login/1999-9/features/f uture.html.. Bass T， "Intrusion Detection Systems and Multi-sensor Data Fusion: Creating Cyberspace Situation awareness", Communications of the ACM， 2000, 43(4): pp.99-105,.王慧強、賴積保等，"網絡態勢感知系統綜述"，計算機科學，2006 Vol.33 No. 10.陳秀真、鄭慶華等，"層次化網絡安全威脅態勢量化評估方法"， Journal of Software, 2006, 17(4): pp.885-897.. Stephen Lau， "The spinning cube of potential doom", Communications ofthe ACM, 2004, 47(6):25 26. Carnegie Mellon's SEI, "System for Internet Level Knowledge (SILK)", http:〃silktools.sourceforge.net, 2005. William Yurcik， "Visualizing NetFlows for Security at Line Speed: The SIFT Tool Suite", 19th Large Installation System Administration Conference (LISA'05), San Diego ，CAUSA, Dec, 2005.

發明內容
本發明的目的是提供一種基於多層次多角度分析的網絡安全態勢感知系 統及方法，克服現有網絡安全態勢感知系統數據來源單一、輸出結果單一、 感知過程自動化程度不高的問題，從而使得網絡安全態勢感知更為準確、全 面。為實現上述目的，本發明的基於多層次多角度分析的網絡安全態勢感知 系統包括
數據採集模塊，通過多傳感器捕獲網絡系統的資產、威脅、脆弱性方面 的數據；
網絡安全態勢理解模塊，首先在資料庫中建立與資產、威脅和脆弱性相 關的數據字典，然後對數據採集模塊採集到的原始數據進行統計分析，去除 重複、錯誤項，修改不一致項，接著將統計分析後的數據與數據字典進行關 聯分析，得到規範化格式的資產、威脅和脆弱性數據；
網絡安全態勢評估模塊，根據網絡安全態勢理解模塊提供的數據，首先 從資產、威脅和脆弱性三方面對網絡安全態勢進行專題評估，輸出評估結果； 接著根據專題評估的結果和態勢理解提供的規範化數據，從網絡安全的機密 性、完整性和可用性三方面對網絡安全態勢進行要素評估，輸出評估結果； 然後根據網絡機密性安全態勢值、完整性安全態勢值、可用性安全態勢值對 網絡安全態勢進行整體評估，輸出評估結果；
網絡安全態勢預測模塊，根據態勢評估模塊提供的網絡安全態勢評估值， 採用時間序列分析方法，分析網絡安全態勢變化規律，給出態勢變化曲線圖， 預測將來某一時刻網絡安全態勢值，並給出預測誤差。
其中，該網絡安全態勢感知系統進一步包括
安全加固方案模塊，根據網絡系統的安全態勢和變化規律，提供不同的 加固方案，滿足不同需求的用戶提高網絡系統的安全性。
實現本發明所述的基於多層次多角度分析的網絡安全態勢感知的方法，包括以下步驟
A. 對傳感器採集到的網絡系統的資產、威脅、脆弱性方面的數據進行統 計數據融合和關聯分析，得到規範化數據，接著執行B;
B. 對步驟A融合後的規範化數據進行分析，進行網絡安全態勢專題評估， 生成評估結果，接著執行C;
C. 對步驟A融合後的規範化數據和步驟B的專題評估結果進行分析，進行
網絡安全態勢要素評估，生成評估結果，接著執行D;
D. 對步驟C的要素評估結果進行分析，進行網絡安全態勢整體評估，並輸
出評估結果，接著執行E;
E. 對步驟D的整體評估結果進行分析，進行網絡安全態勢預測，並輸出預
測結果。
其中，步驟A中對檢測數據的統計數據融合和關聯分析進一步包括數據 庫中數據字典的建立、更新和刪除；對各種檢測子系統的檢測結果進行統計 分析，去除錯誤、重複項，修正不一致項；將得到的融合結果與數據字典進 行關聯分析，得到規範化格式的資產、威脅和脆弱性數據。
其中，步驟B中的網絡安全態勢專題評估進一步包括網絡安全資產評估、 網絡安全威脅評估、網絡安全脆弱性評估。
其中，步驟C中的網絡安全態勢要素評估進一步包括網絡安全機密性評 估、網絡安全完整性評估、網絡安全可用性評估。
其中，步驟D中的網絡安全態勢整體評估進一步包括面向不同應用領域 加的加權係數分析和整體評估計算。其中，步驟E中的網絡安全態勢預測進一步包括基於時間序列分析的網 絡安全態勢預測。
該網絡安全態勢感知方法還進一步包括步驟F:對步驟B、 C、 D、 E的評
估預測結果進行分析，生成網絡安全態勢加固方案。
本發明與現有網絡安全態勢感知系統相比，具有以下優點
1、 本發明採用多種檢測方法，在全面獲取數據的基礎上，綜合考慮資產、 威脅和脆弱性對網絡安全態勢的影響，更準確、全面地進行網絡安全態勢感 知。
2、 本發明針對不同行業、職位等用戶對網絡安全態勢的關注點和側重點
的不同，從多個層次、多個角度對網絡的安全態勢進行分析，採用定量分析 和定性描述相結合的方法，保證評估結果系統而全面。
3、 本發明在安全態勢評估的基礎上，採用時間序列分析方法，預測網絡
系統安全態勢變化趨勢，並能在此基礎上針對不同的需求給出解決網絡系統
安全問題、提高網絡系統安全性的加固方案。


圖1為本發明網絡安全態勢感知系統示意圖2為本發明基於多層次多角度分析方法的網絡安全態勢感知方法的工 作流程圖。
具體實施例方式
下面結合附圖和具體實施方式
對本發明作進一步詳細的說明。 本發明的基於多層次多角度分析的網絡安全態勢感知系統，如圖1所示，包括以下模塊數據採集模塊、網絡安全態勢理解模塊、網絡安全態勢評估 模塊、網絡安全態勢預測模塊、安全加固方案模塊。
其中，數據採集模塊，通過多傳感器檢測所感知網絡系統的運行狀況， 捕獲網絡系統的資產、威脅、脆弱性方面的數據。所述傳感器檢測子模塊包 括資產識別、在線測試、惡意代碼檢測、脆弱性檢測，滲透測試、IDS和安全 事件驗證，用於檢測資產數據、各種惡意代碼和網絡入侵數據、各種漏洞和 管理配置脆弱性數據、各種已發生和可能發生的安全事件數據。傳感器檢測
子模塊得到的數據內容見步驟101、 102、 103、 104所述。
網絡安全態勢理解模塊，由於數據採集模塊使用的多種不同類別的檢測 傳感器，收集到的原始數據數量很大，並且存在重複、錯誤以及不一致的數 據項，不能被態勢評估模塊直接使用，需要進行預處理。該模塊首先在數據 庫中建立資產字典、威脅字典和脆弱性字典等數據字典；然後對各種檢測子 模塊的檢測結果進行統計分析，去除錯誤、重複項，修正不一致項；接著將 統計分析後的數據與數據字典進行關聯分析，得到規範化格式的資產、威脅 和脆弱性數據；最後將規範化的數據發送到網絡安全態勢評估模塊。所述數 據字典的欄位內容見步驟201、 202、 203所示，所述規範化格式的資產、威脅 和脆弱性數據的欄位內容見步驟301、 302所示。
網絡安全態勢評估模塊，採用多層次多角度分析方法，分析態勢理解模 塊提供的數據，從上到下分為三個層次進行態勢評估網絡安全態勢專題評 估、網絡安全態勢要素評估、網絡安全態勢整體評估，每一個評估層次中又 分別從不同的角度進行評估，具體如下所述。網絡安全態勢專題評估進一步從三個角度進行評估網絡安全資產評估、 網絡安全威脅評估、網絡安全脆弱性評估。
1) 資產評估資產評估是對資產在機密性、完整性和可用性上的達成程 度進行分析，並在此基礎上得出一個綜合結果。
2) 威脅評估主要評估威脅的當前形勢和發展趨勢，包括威脅的數量、 範圍、影響、技術類別及其發展趨勢。威脅評估分為三個層次網絡系統中 所有威脅的評估，網絡系統中某一類惡意代碼或者某一類網絡攻擊的評估， 以及具體某個威脅的評估。
3) 脆弱性評估主要評估脆弱性當前形勢，包括脆弱性的數量、範圍、 被利用概率及其對資產安全性的影響。脆弱性評估分為三個層次網絡系統 中總體脆弱性的評估，網絡系統中某一類漏洞或者某一類管理配置脆弱性的 評估；以及具體某個脆弱性的評估。
所述網絡安全態勢專題評估的評估方法見步驟501、 502、 601、 602所示。
網絡安全態勢要素評估進一步從三個角度進行評估網絡安全機密性評
估、網絡安全完整性評估、網絡安全可用性評估。
1) 機密性評估整個網絡機密性達成程度的分析，保證機密信息不被竊 聽，或竊聽者不能了解信息的真實含義的能力；
2) 完整性評估整個網絡完整性達成程度的分析，保證數據的一致性， 防止數據被非法用戶篡改的能力；
3) 可用性評估整個網絡可用性達成程度的分析，保證合法用戶對信息 和資源的使用不會被不正當地拒絕的能力。的評估方法見步驟701、 702所示。 網絡安全態勢整體評估對整個網絡系統的安全性進行定量分析和定性描 述，由於不同應用背景對安全性各個方面需求的緊要程度不同，需要區別對 待，本發明採用面向不同應用領域的加權係數分析來進行網絡安全態勢整體 評估。
所述網絡安全態勢整體評估的評估方法見步驟801、 802所示。
網絡安全態勢預測模塊，根據態勢評估模塊提供的評估結果，採用時間 序列分析方法，分析網絡安全態勢變化規律，給出態勢變化曲線圖，預測將 來某一時刻網絡安全態勢值，並給出預測誤差。網絡系統不同時刻的安全態 勢彼此相關，有一定的內部規律，這種規律可以預測系統將來時刻的態勢值， 有預見性的指導系統安全策略的配置，實現網絡安全的動態管理。本發明中 採用的預測算法是基於時間序列的分析方法，該方法立足概率論和統計學， 有很好的理論基礎，適合刻畫與時間相關序列的前後依賴性。本發明採用的 網絡安全態勢預測方法及預測報告的內容見步驟901、 902所示。
安全加固方案模塊，根據網絡系統的安全態勢和用戶的需求，提供不同 的加固方案，滿足用戶對網絡系統安全性的需要。該模塊首先將網絡安全態 勢專題評估結果與預先設定的閾值比較，網絡全態勢要素評估結果與預先設 定的閾值比較，網絡當前安全態勢值與預先設定的安全態勢閾值比較，然後 根據比較結果，對安全態勢值大於閾值的部分，生成相應的加固方案。
圖2是本發明基於多層次多角度分析方法的網絡安全態勢感知方法的工 作流程圖。態勢感知從步驟OOO開始步驟IOI、 102、 103、 104:
步驟IOI、 102、 103、 104代表數據採集過程，通過多傳感器檢測所感知 網絡系統的運行狀況，捕獲數據，本發明中使用的檢測子模塊有資產識別、 在線測試、惡意代碼檢測、脆弱性檢測，滲透測試、IDS和安全事件驗證。根 據子模塊接口規範，各個檢測模塊得到的數據內容如下
*惡意代碼檢測子模塊惡意代碼所在資產的ID和IP位址(當IP位址存在 時)，惡意代碼的類型和名稱，惡意代碼所在文件的類型和名稱，惡意代碼 的行為模式和安全威脅級別，惡意代碼對應威脅的ID，時間。
*脆弱性檢測子模塊脆弱性所在資產的ID和IP位址(當IP位址存在時)， 漏洞的名稱，漏洞類型，漏洞描述，漏洞的MS和CVE編號，漏洞對應的埠， 漏洞對於脆弱性的ID，脆弱性數值，時間。
參在線測試子模塊領B式用柳D，檢測脆弱性的ID，脆弱性的值，時間。
*滲透測試子模塊滲透測試對應資產的ID和IP位址(當IP位址存在時)， 測試得到脆弱性ID和數值，測試得到的威脅ID和數值，滲透測試使用工具的 名稱和類型，滲透測試獲得的權限，對威脅利用脆弱性權重係數的調整，時 間。
*安全事件驗證子模塊安全事件對應資產的ID和IP位址(當IP位址存在 時)，安全事件攻擊和漏洞的描述，安全事件對應脆弱性ID和數值，安全事 件對應威脅ID和數值，對威脅利用脆弱性權重係數的調整，時間。
*資產識別子模塊資產ID，資產名稱、類型和描述，資產位置(主機IP、
子網ID)，資產的CIA賦值和整體賦值，時間。*入侵檢測系統入侵對應資產的ID和IP位址(當IP位址存在時)，入侵 對應威脅的ID，檢測時間，入侵次數，入侵的狀態。
步驟201、 202、 203:
步驟201、 202、 203代表資料庫中預先建立的一些字典，根據相關資料調 查，在資料庫中建立威脅字典、脆弱性字典、組合脆弱性字典(圖3中略)、 修補方案字典(圖3中略)、組合修補方案字典(圖3中略)、多角度權值表， 欄位內容如下
參威脅字典威脅ID，威脅名稱，威脅描述，威脅類型，威脅可影響的 資產類型，威脅值，威脅的(組合)加固方案，威脅利用的(組合)脆弱性 值；
參脆弱性字典脆弱粗D，脆弱性名稱，脆弱性描述，脆弱性類型，脆 弱性CVE編號，脆弱性MS編號，脆弱性對機密性的影響，脆弱性對完整性的 影響，脆弱性對可用性的影響，脆弱性值，脆弱性的(組合)加固方案； 參組合脆弱性字典組合脆弱性ID，脆弱性ID，組合脆弱性名稱； 參修補方案字典修補方案ID，修補方案名稱，修補方案描述； 參組合修補方案字典組合修補方案ID，修補方案ID，組合修補方案名
稱；
*多角度權值表權值ID，機密性加權係數、完整性加權係數、可用性 加權係數。
步驟301、 302:
步驟301、 302的數據關聯代表兩部分內容，首先將IOI、 102、 103檢測子系統得到的數據進行統計分析匯總，分別掃描各個檢測子系統的輸出數據，
按照資產ID、威脅ID和脆弱性ID進行整理，去除錯誤、重複項，修正不一致 項，得到(圖3中略)信息系統描述表、子網信息描述表、系統資產表、系
統威脅表、系統脆弱性表，欄位內容如下
參信息系統描述信息系統ID，項目ID，信息系統描述； 參子網信息描述子網標識ID，子網名稱、IP範圍、描述； 參系統資產表資產ID，資產名稱、類型和描述，資產位置(主機IP、
子網ID)，資產的CIA值，資產值，時間；
*系統威脅表威脅ID、威脅所在的資產ID、威脅的狀態、威脅發生時
間，威脅利用脆弱性權重係數的調整；
參系統脆弱性表脆弱性ID，脆弱性所在資產的ID，脆弱性檢測時間，
威脅利用脆弱性權重係數的調整。
接著將上述得到的融合結果表與數據字典201、 202相關聯，根據威脅ID 和脆弱性ID到相應的字典中査找相關項，得到規範化格式的內容系統威脅 評估表和系統脆弱性評估表，欄位內容如下
參系統威脅匯總表(步驟401):威脅ID，威脅所在的資產ID，威脅名稱、 描述、類型，威脅值，威脅影響的資產類型，威脅利用的(組合)脆弱性ID， 威脅對應的(組合)修補方案ID，威脅發生時間，威脅利用脆弱性權重係數 的調整；
參系統脆弱性匯總表(步驟402):脆弱性ID，脆弱性所在的資產ID，脆 弱性名稱、描述、類型，脆弱性CVE和MS編號，脆弱性對資產CIA的影響，脆弱性值，脆弱性相關(組合)修補方案ID，脆弱性檢測時間，威脅利用脆 弱性權重係數的調整。
步驟501、 502、 601、 602:
步驟501、 502、 601、 602代表安全態勢專題評估，包括威脅評估(步驟 501、 502)和脆弱性評估(步驟601、 602)，評估結果是威脅評估報告和脆 弱性評估報告。此外安全態勢專題評估還包括資產評估(圖3中略)，並生成 相應的資產評估報告，資產評估報告由資產識別104得到，內容如前所述的系 統資產表。威脅評估和脆弱性評估類似，下面就以威脅評估為例說明評估步 驟501的細節。
烕脅評估501按照評估粒度不同分三種評估類型某個具體威脅的評估、 某類威脅的評估、整個系統所有威脅的評估。得到威脅評估報告502，具體內 容是項目ID，任務ID，威脅的數量，威脅分布範圍(威脅所影響的資產的 數量)，威脅態勢，威脅態勢描述，威脅加固方案，評估時間。
其中，威脅的數量和威脅分布範圍可用採用統計方法獲得，依次掃描系 統威脅匯總表401，對同一個(同一類)威脅的數量和影響的資產進行統計。 威脅態勢包括威脅數量、範圍的變化趨勢和威脅對整個網絡的影響，威脅的 數量和範圍的發展趨勢可以根據歷史記錄，採用時間序列分析方法，預測將 來時刻的威脅數量和範圍，得到其變化趨勢。威脅對整個網絡的影響根據威 脅引起的安全事件(包括已經發生或者可能發生)的影響來確定。
安全事件的影響^安全事件發生的可能性X安全事件造成的損失X安全
事件所影響資產的資產值，其中，安全事件發生的可能性是其相關威脅發生的可能性(即系統威脅匯總表401中威脅值)，安全事件的損失是其相關脆弱 性的損失(即系統脆弱性匯總表402中脆弱性值)，安全事件所影響資產的資 產值可在系統資產表中査詢。
同理，脆弱性評估601按照評估粒度不同分三種評估類型某個具體脆弱 性的評估、某類脆弱性的評估、整個系統所有脆弱性的評估。得到脆弱性評 估報告602，具體內容是項目ID，任務ID，脆弱性的數量，脆弱性分布範圍 (脆弱性所影響的資產的數量)，脆弱性態勢，脆弱性態勢描述，脆弱性加 固方案，評估時間。 步驟70K 702:
步驟70K 702代表安全態勢要素評估，包括機密性評估，完整性評估， 可用性評估，得到安全態勢要素評估報告，具體內容是項目ID，任務ID， 機密性(完整性、可用性)態勢值，機密性(完整性、可用性)態勢描述， 機密性(完整性、可用性)加固方案，評估時間。
機密性、完整性和可用性態勢值的計算過程類似，下面僅以機密性態勢 值計算為例說明。首先，由系統威脅匯總表401和系統脆弱性匯總表402得到 系統安全事件(包括已經發生或者可能發生)匯總表安全事件所在的資產ID， 安全事件相關聯威脅ID，威脅名稱，安全事件發生的可能性(相關威脅值)， 安全事件相關聯的(組合)脆弱粗D，脆弱性名稱，安全事件對資產的影響 (相關脆弱性對資產C、 I、 A的影響)，安全事件相關聯的(組合)修補方案 ID，時間，權重係數的調整；接著計算單個資產的機密性安全態勢值，計算
方法為先計算單個安全事件對該資產機密性的影響，再將該資產上所有安全事件的影響相加；然後，根據資產的重要性，將所有資產機密性態勢值加 權求和，計算出整個網絡的機密性安全態勢值。
其中，單個安全事件對該資產機密性的影響=安全事件發生可能性X安 全事件對機密性的影響X該資產機密性值。安全事件發生可能性、安全事件 對機密性的影響可從上述系統安全事件匯總表中獲取，該資產機密性值可從 系統資產表中獲^(。
步驟801、 802:
步驟801、 802代表安全態勢整體評估，801採用多角度加權評估方法。不 同的網絡信息系統對安全性的需求不同，根據不同需求，選擇多角度權值表 203中的相應的權值，分別對整個網絡機密性安全態勢值、完整性安全態勢值、 可用性安全態勢值加權，得到整個網絡的安全態勢值。得到安全態勢整體評 估報告802，具體內容是項目ID，信息系統ID，安全態勢值，安全態勢描述， 安全加固方案，評估時間。 步驟901、 902:
步驟901、 902代表安全態勢預測，網絡不同時刻的安全態勢彼此相關， 有一定的內部規律，這種規律可以預測系統將來時刻的態勢值，有預見性的 指導系統安全策略的配置，實現網絡安全的動態管理。步驟901態勢預測採用 的方法是基於時間序列分析的方法。由於態勢評估模塊輸出的不同時刻的安 全態勢值彼此相關，並且隨時間的不同變化，可以看成一個非平穩的時間序 列，可以採用ARIMA模型擬合。首先，計算序列的自相關函數和偏相關函數， 進行模型識別；接著，採用採用最小二乘估計和最大似然估計的方法，進行參數估計；最後，根據確定的時間序列模型進行不同提前期的預測和誤差估 計，畫出態勢變化曲線，預測態勢變化規律。
得到態勢預測報告902，具體內容是項目ID，信息系統ID，安全態勢預 測值，將來時刻安全態勢描述，預測時間(提前期)，預測誤差。 步驟lll:
步驟lll代表整個評估流程結束，輸出相關的評估報告。 本發明基於多層次多角度分析的網絡安全態勢感知系統及方法能夠通過 上述系統和方法實現，但不僅限於此。其中，數據採集的目的是採集資產、 威脅、脆弱性方面的數據，可以根據實際情況，採用其它能滿足需要的傳感 器；網絡安全態勢評估時，針對每一個層次，每一個角度，都有一系列可以
選擇的成熟算法，如果替換為類似的算法，能達到同樣的發明效果；安全態 勢預測除本發明採用的基於時間序列分析的方法外，也可採用其它的預測方 法。
權利要求
1. 一種基於多層次多角度分析的網絡安全態勢感知系統，包括數據採集模塊、網絡安全態勢理解模塊、網絡安全態勢評估模塊和網絡安全態勢預測模塊，其特徵在於數據採集模塊，通過多傳感器捕獲網絡系統的資產、威脅、脆弱性方面的數據；網絡安全態勢理解模塊，首先在資料庫中建立與資產、威脅和脆弱性相關的數據字典，然後對數據採集模塊採集到的原始數據進行統計分析，去除重複、錯誤項，修改不一致項，接著將統計分析後的數據與數據字典進行關聯分析，得到規範化格式的資產、威脅和脆弱性數據；網絡安全態勢評估模塊，根據網絡安全態勢理解模塊提供的數據，首先從資產、威脅和脆弱性三方面對網絡安全態勢進行專題評估，輸出評估結果；接著根據專題評估的結果和態勢理解提供的規範化數據，從網絡安全的機密性、完整性和可用性三方面對網絡安全態勢進行要素評估，輸出評估結果；然後根據網絡機密性安全態勢值、完整性安全態勢值、可用性安全態勢值對網絡安全態勢進行整體評估，輸出評估結果；網絡安全態勢預測模塊，根據態勢評估模塊整體評估子模塊提供的網絡安全態勢評估值，採用時間序列分析方法，分析網絡安全態勢變化規律，給出態勢變化曲線圖，預測將來某一時刻網絡安全態勢值，並給出預測誤差。
2. 按照權利要求1所述的網絡安全態勢感知系統，其特徵在於，該網絡安 全態勢感知系統進一步包括安全加固方案模塊，根據網絡系統的安全態勢 和變化規律，提供不同的加固方案，滿足不同需求的用戶提高網絡系統的安全性。
3. 實現權利要求l所述的網絡安全態勢感知系統的方法，包括以下步驟:A. 對傳感器採集到的網絡系統的資產、威脅、脆弱性方面的數據進行統 計數據融合和關聯分析，得到規範化數據，接著執行B;B. 對步驟A融合後的規範化數據進行分析，進行網絡安全態勢專題評估，生成評估結果，接著執行C;C. 對步驟A融合後的規範化數據和步驟B的專題評估結果進行分析，進行網絡安全態勢要素評估，生成評估結果，接著執行D;D. 對步驟C的要素評估結果進行分析，進行網絡安全態勢整體評估，並輸出評估結果，接著執行E;E. 對步驟D的整體評估結果進行分析，進行網絡安全態勢預測，並輸出預測結果。
4. 按照權利要求3所述的方法，其中，步驟A中對傳感器採集到的數據的統計數據融合和關聯分析進一步包括首先在資料庫中建立與資產、威脅和脆弱性相關的數據字典，然後對數據採集模塊採集到的原始數據進行統計分 析，去除重複、錯誤項，修改不一致項，接著將統計分析後的數據與數據字 典進行關聯分析，得到規範化格式的資產、威脅和脆弱性數據。
5. 按照權利要求3所述的方法，其中，步驟B中的網絡安全態勢專題評估進一步包括網絡安全資產評估、網絡安全威脅評估、網絡安全脆弱性評估。
6. 按照權利要求3所述的方法，其中，步驟C中的網絡安全態勢要素評估進一步包括網絡安全機密性評估、網絡安全完整性評估、網絡安全可用性評估。
7. 按照權利要求3所述的方法，其中，步驟D中的網絡安全態勢整體評估進一步包括對步驟C輸出的整個網絡機密性安全態勢值、完整性安全態勢值、 可用性安全態勢值加權分析，得到整個網絡的安全態勢值。
8. 按照權利要求3所述的方法，其中，步驟E中的網絡安全態勢預測進一步包括基於時間序列分析的網絡安全態勢預測。
9. 按照權利要求3所述的方法，其特徵在於，該方法還進一步包括步驟F: 對步驟B、 C、 D、 E的評估預測結果進行分析，生成網絡安全態勢加固方案。
全文摘要
本發明公開了一種基於多層次多角度分析的網絡安全態勢感知系統及方法。該系統包括數據採集模塊、網絡安全態勢理解模塊、網絡安全態勢評估模塊和網絡安全態勢預測模塊；實現該網絡安全態勢感知系統的方法包括以下步驟A.對傳感器採集到的網絡系統的資產、威脅、脆弱性方面的數據進行統計數據融合和關聯分析，得到規範化數據；B.對步驟A融合後的規範化數據進行分析，進行網絡安全態勢專題評估；C.根據步驟A得到的規範化數據和步驟B的評估結果進行網絡安全態勢要素評估；D.根據步驟C的評估結果進行網絡安全態勢整體評估；E.根據步驟D的評估結果進行網絡安全態勢預測。本發明從多層次、多角度對網絡的安全態勢進行分析，保證感知結果系統更為準確、全面。
文檔編號H04L12/24GK101459537SQ20081018901
公開日2009年6月17日 申請日期2008年12月20日 優先權日2008年12月20日
發明者奚宏生, 崔孝林, 帥建梅, 勇 張, 譚小彬 申請人:中國科學技術大學