一种攻防对抗环境下的网络安全态势评估方法

摘要

本发明涉及一种攻防对抗环境下的网络安全态势评估方法，属于网络信息 安全技术领域。本发明基于黑客实施完整攻击的过程中逐步深入的不同阶段， 结合攻防对抗环境下受保护网络的拓扑和入侵检测系统(IDS)收集的不同攻击 阶段的实际攻击信息和潜在攻击信息、网络扫描设备收集的漏洞信息，构建网 络安全态势评估模型，并设计相应的量化评估算法，以提供粒度划分更为合理 的安全态势信息，使安全管理员能够及时采取有效的防范和对抗措施，保障网 络的安全。

主权项

1.一种攻防对抗环境下的网络安全态势评估方法，其特征在于：首先提出一种攻防对抗环境下的网络安全态势评估模型；该模型由一个m×n的矩阵组成，矩阵中的行是被评估网络系统中所有受保护的主机；矩阵中的列是网络系统受到的不同阶段的攻击情况，这里攻击分为两种，一是由部署于防火墙内的IDS提供的实际攻击信息；二是由部署于防火墙外的IDS提供但被防火墙屏蔽了的潜在攻击信息；基于该模型的威胁态势评估方法的具体步骤如下：步骤一、计算每一个攻击阶段在评估中的权重，用ω_j′(j＝1，…，n)表示，其体现不同攻击阶段对网络形成的威胁态势的严重程度；可通过公式1计算得到；${\omega }_j^{\prime }=\frac{j}{\underset{q=1}{\overset{n}{\Sigma }}q}=\frac{2j}{n(n+1)}---\left(1\right)$其中，n为划分的攻击阶段数量；步骤二、计算网络中每台主机在评估中的权重，用ω_i(i＝1，…，m)表示，其体现不同主机在网络中的价值高低；首先，令集合Value＝{Value₁，Value₂，…，Value_m}表示网络中m台主机的资产价值，其取值原则为：根据资产价值的重要程度进行分类，并按照资产价值的重要程度越高，其值越大的原则进行赋值；然后，ω_i(i＝1，…，m)的值可通过公式2计算得到；${\omega }_i=\frac{{\mathrm{Value}}_i}{\underset{q=1}{\overset{m}{\Sigma }}{\mathrm{Value}}_q}---\left(2\right)$步骤三、计算每一阶段的实际攻击对每台主机形成的威胁态势，表示为在步骤一、步骤二的基础上，计算一阶段的实际攻击对每台主机形成的威胁态势，其具体操作为：第1步：在IDS报警中提取在某一时间段Δt内，IDS检测到的针对该主机的每一攻击阶段的所有实际攻击相应严重度等级各实际攻击对应的特定漏洞及各实际攻击发生次数等数据；第2步：根据主机上漏洞的真实存在情况对每一项实际攻击的严重性等级进行调整，构造集合调整原则为：即，若v_q＝ε或表示该实际攻击与漏洞无关或者主机上存在该实际攻击针对的特定漏洞，此时实际攻击的等级不变；若v_q≠ε且表示主机上不存在该实际攻击针对的特定漏洞，攻击实际上不可能成功，此时实际攻击调低一个等级；第3步：根据公式3计算$S_{{\mathrm{IP}}_i,C_j}^A={\omega }_j^{\prime }·{\omega }_i·{\alpha }^{\frac{{\omega }_i}{{\omega }_{\min }}}·\underset{q=1}{\overset{k}{\Sigma }}{l}_q^{\prime }·n_q---\left(3\right)$其中，α为调节因子，取值大于1，ω_min表示主机权重的最小值；α用于保证当攻击针对一台很重要的主机时，即使攻击本身形成的威胁并不大，评估值仍然可以较大，以提醒安全管理人员优先对重要主机发生的状况进行处理；步骤四、计算每一阶段的潜在攻击对每台主机形成的威胁态势，表示为在步骤一、步骤二的基础上，计算每一阶段的潜在攻击对每台主机形成的威胁态势，其具体如下操作如下：第1步：在IDS报警中提取在某一时间段Δt内，IDS检测到的针对该主机的每一攻击阶段的所有潜在攻击相应严重度等级各潜在攻击对应的特定漏洞及各潜在攻击发生次数等数据；第2步：根据主机上漏洞的真实存在情况对每一项潜在攻击的严重性等级进行调整，构造集合调整原则为：即，若或表示该潜在攻击与漏洞无关或者主机上存在该潜在攻击针对的特定漏洞，这种情况还是需要引起安全管理人员的注意的，此时潜在攻击调低一个等级；若且表示主机上不存在该潜在攻击针对的特定漏洞，这种情况在评估时不予考虑，将攻击等级置为0；第3步：根据公式4计算$S_{{\mathrm{IP}}_i,C_j}^P={\omega }_j^{\prime }·{\omega }_i·{\alpha }^{\frac{{\omega }_i}{{\omega }_{\min }}}·\underset{q=1}{\overset{g}{\Sigma }}{\tilde{l}}_q^{\prime }·{\tilde{n}}_q---\left(4\right)$其中，参数α、ω_min的含义与公式3中的对应参数相同；步骤五、计算每一阶段的攻击对每台主机形成的威胁态势，表示为在步骤三、步骤四的基础上，根据公式5计算$S_{{\mathrm{IP}}_i,C_i}=S_{{\mathrm{IP}}_i,C_j}^A+S_{{\mathrm{IP}}_i,C_j}^P---\left(5\right)$步骤六、计算每台主机的实际攻击态势，表示为在步骤三的基础上，根据公式6计算$S_{{\mathrm{IP}}_i}^A=\underset{j=1}{\overset{n}{\Sigma }}{S}_{{\mathrm{IP}}_i,C_j}^A---\left(6\right)$步骤七、计算每台主机的潜在攻击态势，表示为在步骤四的基础上，根据公式7计算$S_{{\mathrm{IP}}_i}^p=\underset{j=1}{\overset{n}{\Sigma }}{S}_{{\mathrm{IP}}_i,C_j}^p---\left(7\right)$步骤八、计算每台主机的综合威胁态势，表示为在步骤六、步骤七的基础上，根据公式8计算$S_{{\mathrm{IP}}_i}=S_{{\mathrm{IP}}_i}^A+S_{{\mathrm{IP}}_i}^P---\left(8\right)$步骤九、计算每一阶段的实际攻击形成的威胁态势，表示为在步骤三的基础上，根据公式9计算$S_{C_j}^A=\underset{i=1}{\overset{m}{\Sigma }}{S}_{{\mathrm{IP}}_i,C_j}^A---\left(9\right)$步骤十、计算每一阶段的潜在攻击形成的威胁态势，表示为在步骤四的基础上，根据公式10计算$S_{C_j}^P=\underset{i=1}{\overset{m}{\Sigma }}{S}_{{\mathrm{IP}}_i,C_j}^P---\left(10\right)$步骤十一、计算每一阶段的攻击形成的综合威胁态势，表示为在步骤九、步骤十的基础上，根据公式11计算$S_{C_j}=S_{C_j}^A+S_{C_j}^P---\left(11\right)$步骤十二、计算网络系统的实际攻击整体态势，表示为S^A；在步骤三的基础上，根据公式12计算S^A：$S^A=\underset{i=1}{\overset{m}{\Sigma }}\underset{j=1}{\overset{n}{\Sigma }}{S}_{{\mathrm{IP}}_i,C_j}^A---\left(12\right)$步骤十三、计算网络系统的潜在攻击整体态势，表示为S^P；在步骤四的基础上，根据公式13计算S^P：$S^P=\underset{i=1}{\overset{m}{\Sigma }}\underset{j=1}{\overset{n}{\Sigma }}{S}_{{\mathrm{IP}}_i,C_j}^P---\left(13\right)$步骤十四、计算网络系统的整体态势，表示为S；在步骤十二、步骤十三的基础上，根据公式14计算S：S＝S^A+S^P  (14)经过上述步骤，完成攻防对抗环境下的网络安全态势评估。