層次式網絡的安全態勢聚合方法
2023-05-04 01:17:36 1
專利名稱:層次式網絡的安全態勢聚合方法
技術領域:
本發明涉及一種網絡安全態勢評估方法,特別涉及一種層次式網絡安全態勢聚合方法。
背景技術:
隨著人類社會的發展,網絡已經融入人們生活的方方面面,在網絡給人們帶來巨大便利的同時也伴隨著不可忽視的安全問題,全球網際網路頻繁遭受攻擊,導致網絡大面積癱瘓,重要信息系統的安全受到嚴重威脅.與此同時,在我國的網絡信息化水平發展到一定階段後,各種網絡安全事件也變得不可避免,日益嚴重的網絡安全事件,如網絡經濟犯罪、大規模網絡攻擊、網絡失竊密等已成為制約我國國民經濟發展,甚至危及社會穩定和國家安全的關鍵因素.鑑於日趨嚴峻的網絡安全形勢,如何全面客觀的反映網絡的安全狀況成為當前的一個挑戰性課題,特別是針對大規模網絡的安全狀況問題。網絡安全態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡的安全的當前狀態和變化趨勢。在現有的技術背景下,面對動態複雜的大規模網絡環境,網絡管理者必須藉助網絡安全態勢評估的方法和手段來反映當前網絡所處的安全狀態及變化情況,從而便於了解和掌握引起網絡安全態勢發生變化的關鍵要素,做到有的放矢,便於對網絡的安全管理提供準確的決策支持,減少網絡攻擊對網絡自身以及其上承載的業務帶來的損失,有效的提高對網絡安全的管理能力。在大規模網絡環境下,網絡在邏輯上表現出一種層次式的關係,特別是像類似省、 市、縣這樣的邏輯組織關係。為了合理地對每個層次的安全態勢進行一個評估,需要綜合考慮其下級單位網絡的安全狀況,因此需要研究解決大規模網絡環境下態勢聚合的方法。現有技術中有一種網絡安全態勢的聚合方法,其將各個子網的所有安全事件全部上報到上級網絡中來,由上級網絡態勢評估單元進行統一的評估,得到整體的網絡安全態勢。這種方法可以提高態勢評估的準確度,但是其需要下級子網匯聚大量的網絡安全事件, 傳輸數據量大,不利於大規模層次式網絡安全態勢的實時評估。現有技術中還有一種層次式網絡安全態勢的聚合方法,其中上級網絡安全的總體態勢的獲得是上級網絡將下級網絡的安全態勢值收集匯聚,然後跟上級的本地網絡的安全態勢進行匯聚得到的。它表示的是自該層網絡起涵蓋下級所有網絡安全態勢的匯總,即總體安全態勢。該做法目前是一種普遍性的匯聚算法,其優點在於只需要匯聚下級子網安全態勢值的評估結果,傳輸數據量小,速度快。但是其忽略了影響態勢變化的要素之間的內在聯繫,具有一定的局限性,無法客觀地反映出整體網絡安全態勢情況。網絡安全態勢的聚合僅僅考慮了網絡的邏輯關係,通過簡單的加權求和算法將底層子網的態勢聚合然後跟上層子網匯聚得到總體安全態勢。在這個過程中,基本上忽略了影響網絡安全態勢的要素之間的關聯性。例如一些跨子網的協同攻擊的出現會使得整體的網絡安全態勢呈現出更差的狀態,也就是說會提高這些協同攻擊的影響力。
發明內容
為克服現有技術的缺陷,本發明提供一種層次式網絡安全態勢聚合方法,用於計算該層次式網絡的總體安全態勢值,該層次式網絡包括多個下級子網和本級子網,該方法包括(1)採集包括下級子網和本級子網的所有子網的網絡安全態勢值以及影響該網絡安全態勢值的網絡安全事件;(2)根據採集到的各網絡安全事件,確定每個該網絡安全事件在該層次式網絡中的分布度,並根據每個網絡安全事件的分布度確定所有網絡安全事件對該層次式網絡的網絡協同攻擊的影響,即總協同攻擊因數;以及(3)確定各子網以及網絡協同攻擊對該層次式網絡的權重,並基於所確定的權重以及在步驟(1)採集到的各子網的網絡安全態勢值和在步驟(2)確定的總協同攻擊因數,計算出該層次式網絡的總體安全態勢值。本發明通過引入協同攻擊評估技術來修正傳統的態勢聚合算法,從而可以有效提高網絡安全態勢聚合的合理性和準確性,對大規模網絡的安全態勢評估發揮至關重要的作用。
圖1是層次式網絡示意圖;圖2是根據本發明實施例的層次式網絡安全態勢聚合方法的流程圖;圖3是根據本發明一個實施例的計算子網的網絡安全態勢值的流程圖。
具體實施例方式下級子網絡安全態勢如何匯聚得到上級網絡安全態勢是層次式網絡安全態勢評估的一個重要問題。為了合理準確快速地評估層次式大規模網絡安全態勢,本發明在上述兩種現有技術之間取了一定的折中,主要解決子網態勢聚合算法中合理性和準確性的問題。上層網絡安全態勢並不僅僅是下層子網安全態勢的一個簡單的聚合,子網之間態勢的相關性會對整體網絡的安全狀況產生重大影響。並且由於並非子網中發生的所有安全事件都會對整個上級網絡的安全態勢有很大的影響,有些安全事件可能僅在某一個子網中出現,並且對整個上級網絡的安全態勢的影響非常小,幾乎可以忽略。基於此,本發明僅考慮對上級網絡安全態勢產生重大影響的安全事件,而不考慮那些對上級網路的安全態勢影響非常小的安全事件。在本發明中協同攻擊評估主要是對各子網上報的重大網絡安全事件進行相似性判斷,通過這種相似性判別技術可以評判某種網絡安全事件的流行程度。很顯然如果同一種攻擊只在一個子網中存在和在多個子網中存在對網絡安全態勢的影響是不同的。如果在某個時間節點上,多個子網檢測到了相似度比較高的網絡安全事件,那麼可以推斷出該網絡安全事件所反應的網絡威脅具有大面積全網擴散的風險,因此整個網絡的安全態勢狀況會更加嚴峻一些。下面結合附圖和具體實施方式
對本發明加以說明。圖1是層次式網絡示意圖。如圖1所示,該層次式網絡包括上級子網和多個下級子網。利用根據本發明的層次式網絡安全態勢聚合方法,能夠將該多個下級子網的安全態勢和該上級子網的安全態勢進行聚合,得到包括該多個下級子網和該上級子網的上級網絡的總體安全態勢。圖2為根據本發明實施例的層次式網絡安全態勢聚合方法的流程圖。該方法分為以下幾個步驟步驟1:採集子網數據採集子網數據採集包括下級子網和本級子網的各子網計算得到的安全態勢值以及影響該安全態勢值的關鍵網絡安全事件,其中該關鍵網絡安全事件為根據管理員策略而確定的需要向上級網絡報告的網絡安全事件,各子網的安全態勢值可以通過本領域公知的任意計算網絡安全態勢的方法計算得到。具體而言,所採集的數據包含兩個方面^tLANi ,即各子網計算的安全態勢值。 根據管理員策略而確定的關鍵網絡安全事件。該安全事件的描述例如按照下述的格式〈Time,dIP:Port,sIPPort,EventType,Scale〉,其中 Time 表示該數據上報的時間; EventType是該事件的類型,可以結合具體的應用進行設置;Scale為該類型事件的規模; sIP:Port表示統計事件的源地址和埠 ;dIP:Port為統計事件的目的地址和埠,如果該統計事件有多個目的地址和埠,則用0. 0. 0. 0:0來表示。該目的地址和埠用於判定子網中所發生的安全事件的相似度,即,通過對各個子網上報的事件類型相同的安全事件的源地址和目的地址進行比較,判斷子網中所發生的安全事件的相似度。當然,也可以採用其它的格式描述對各子網的網絡安全態勢值產生重大影響的網絡安全事件。對於各個子網的網絡安全態勢值,可以採用本領域公知的計算或評估方法獲得。 例如,可以採用本發明人在申請號為201110310406. 6、發明名稱為「基於不確定數據的網絡安全態勢模糊評估方法」中提出的計算網絡安全態勢值的方法來計算各子網的網絡安全態勢值。具體而言,根據本發明的一個實施例,按照圖3中所示的方法計算各子網的網絡安全態勢值,該方法包括以下步驟(a)構建用於評估該子網的網絡安全態勢的層次式模型並確定評估因素集和評判集;(b)利用各評估因素與評判集中的評判等級之間的關係構建隸屬度函數,並根據該隸屬度函數確定該評估因素集中的各子節點屬於該評判集中不同評判等級的概率;(c)基於步驟(b)確定的各子節點屬於不同評判等級的概率,構建模糊評價矩陣;(d)確定各子節點對其上層節點的重要性權重;(e)根據在步驟(C)構建的模糊評價矩陣和在步驟(d)確定的各子節點對其上層節點的重要性權重,計算該上層節點的網絡安全態勢指數;(f)判斷該上層節點是否是該層次式模型的頂層節點;如果是該層次式模型的頂層節點,則在步驟(e)中計算出的該上層節點的網絡安全態勢指數為該層次式模型的網絡安全態勢值;如果不是頂層節點,則針對該上層節點的上層節點確定用於評估其網絡安全態勢指數的評估因素級和評判集,並繼續執行步驟(b)、(c)、(d)、(e),直到計算出該網絡安全態勢值。步驟2:協同攻擊評估假設知識庫中的安全事件類型C = {Cl,c2,-cj ;安全事件的危害性分為m個等級R= {ri,r2,…rj且r e W,1],對於事件類型為Ci的網絡安全事件,其危害性巧e R,; 該層次式網絡由b個子網組成,包括本級子網和下級子網。 假設網絡安全態勢需要每隔At時間計算一次,則每次統計的時間段範圍為 t。+At,其中、為上個時間統計區間的上確界。 統計計算上述該時間段範圍、+Δ t內所採集到的事件類型為Ci的安全事件在所有子網中的分布情況。令Cli =Hiount (Ci)/b*100%,其中m0imt(Ci)表示對子網上報的網絡安全事件按照事件類型進行相似度判斷後統計的結果。例如在一個具體實施例中,可以設定在時間段範圍『+At內,如果在k個子網上報數據中都有某類型的網絡安全事件Ci,且它們的目標地址相同,則認為這k個子網中都存在該網絡安全事件Ci,即mount (Ci) = k。 根據某一網絡安全事件Ci在子網的分布度Cli,評估大規模網絡中某個安全協同攻擊事件Ci對該層次式網絡的安全態勢值的影響,即網絡安全事件Ci的協同攻擊因數Pi
權利要求
1.一種層次式網絡的安全態勢聚合方法,用於計算該層次式網絡的總體安全態勢值, 該層次式網絡包括多個下級子網和本級子網,該方法包括(1)採集包括下級子網和本級子網的所有子網的網絡安全態勢值以及影響該網絡安全態勢值的網絡安全事件;(2)根據採集到的各網絡安全事件,確定每個該網絡安全事件在該層次式網絡中的分布度,並根據每個網絡安全事件的分布度確定所有網絡安全事件對該層次式網絡的網絡協同攻擊的影響,即總協同攻擊因數;以及(3)確定各子網以及網絡協同攻擊對該層次式網絡的權重,並基於所確定的權重以及在步驟(1)採集到的各子網的網絡安全態勢值和在步驟(2)確定的總協同攻擊因數,計算出該層次式網絡的總體安全態勢值。
2.如權利要求1所述的層次式網絡的安全態勢聚合方法,其中各子網的網絡安全態勢值採用如下步驟計算(a)構建用於評估該子網的網絡安全態勢的層次式模型並確定評估因素集和評判集;(b)利用各評估因素與評判集中的評判等級之間的關係構建隸屬度函數,並根據該隸屬度函數確定該評估因素集中的各子節點屬於該評判集中不同評判等級的概率;(c)基於步驟(b)確定的各子節點屬於不同評判等級的概率,構建模糊評價矩陣;(d)確定各子節點對其上層節點的重要性權重;(e)根據在步驟(c)構建的模糊評價矩陣和在步驟(d)確定的各子節點對其上層節點的重要性權重,計算該上層節點的網絡安全態勢指數;以及(f)判斷該上層節點是否是該層次式模型的頂層節點;如果是該層次式模型的頂層節點,則在步驟(e)中計算出的該上層節點的網絡安全態勢指數為該層次式模型的網絡安全態勢值;如果不是頂層節點,則針對該上層節點的上層節點確定用於評估其網絡安全態勢指數的評估因素級和評判集,並繼續執行步驟(b)、(c)、(d)、(e),直到計算出該子網的網絡安全態勢值。
3.如權利要求1或2所述的層次式網絡的安全態勢聚合方法,其中採集影響該網絡安全態勢值的網絡安全事件包括採集該網絡安全事件的事件類型、目的地址以及上報時間。
4.如權利要求3所述的層次式網絡的安全態勢聚合方法,其中步驟(2)包括根據網絡安全事件的事件類型和目的地址來確定該網絡安全事件在所有子網中的分布度。
5.如權利要求3所述的層次式網絡的安全態勢聚合方法,其中步驟(2)包括根據網絡安全事件的上報時間以及該網絡安全事件的事件類型和目的地址來確定網絡安全事件在所有子網中的分布度。
6.如權利要求1或2所述的層次式網絡的安全態勢聚合方法,其中,根據如下步驟確定網絡安全事件在該層次式網絡中的總協同攻擊因數根據採集到的各網絡安全事件在子網中的分布度,確定每個該網絡安全事件對層次式網絡的協同攻擊因數;以及將所有網絡安全事件對層次式網絡的協同攻擊因數進行求和得到總協同攻擊因數。
7.如權利要求6所述的層次式網絡的安全態勢聚合方法,其中使用如下公式計算事件類型為Ci的網絡安全事件在子網中的分布度Cli Cli = Iiiount(Ci)MlOO^其中,b為該層次式網絡中所有子網的數目,Hioimt(Ci)為所有子網中發生網絡安全事件Ci且該網絡安全事件Ci的目的地址相同的子網數目。
8.如權利要求7所述的方法,其中使用如下公式確定網絡安全事件Ci對層次式網絡的協同攻擊因數Pi,
9.如權利要求1或2所述的方法,其中步驟(3)包括採用如下方法確定各子網以及網絡協同攻擊對該層次式網絡的安全態勢影響的權重建立各子網以及網絡協同攻擊相對於該層次式網絡的重要度比較矩陣; 將該重要度比較矩陣轉換為模糊一致性矩陣;以及根據該模糊一致性矩陣中的各元素,計算各子網以及網絡協同攻擊在該層次式網絡中的權重。
10.如權利要求1或2所述的方法,其中步驟(3)包括根據如下公式計算該層次式網絡的總體安全態勢值 b
全文摘要
本發明提供一種層次式網絡的安全態勢聚合方法,用於計算包括多個下級子網和本級子網的層次式網絡的總體安全態勢值,該方法包括採集包括所有子網的網絡安全態勢值以及影響該網絡安全態勢值的網絡安全事件;根據採集到的各網絡安全事件,確定每個該網絡安全事件在該層次式網絡中的分布度,並確定所有網絡安全事件對該層次式網絡的網絡協同攻擊的影響,即總協同攻擊因數;以及確定各子網以及網絡協同攻擊對該層次式網絡的權重,並基於所確定的權重以及採集到的各子網的網絡安全態勢值和所確定的總協同攻擊因數,計算出該層次式網絡的總體安全態勢值。本發明的方法可以有效提高網絡安全態勢聚合的合理性和準確性。
文檔編號H04L29/06GK102457524SQ20111037771
公開日2012年5月16日 申請日期2011年11月23日 優先權日2011年11月23日
發明者劉 東, 劉斐, 周斌, 夏榕澤, 張建鋒, 徐鏡湖, 李遠徵, 楊樹強, 王雯霞, 賈焰, 鄭黎明, 韓偉紅 申請人:中國人民解放軍國防科學技術大學