[发明专利]一种网络安全态势感知方法及系统

说明书

技术领域

本发明涉及网络安全领域，特别涉及网络安全态势感知指标及计算。

背景技术

计算机网络是通信技术和计算机技术发展到一定程度后相结合的产物，高度发展的网络技术为人们带来快速便捷的信息交互的同时，基于网络的恶意攻击和窃取行为也愈演愈烈。攻击者利用网络的快速传播性和广泛互联性，大肆地破坏网络基本性能、侵害用户合法权益，威胁社会和国家的安全与利益，对传统意义上的网络安全措施提出了严峻的考验。网络入侵行为向着多元化、规模化、复杂化、持续化等趋势发展，安全管理者越来越希望更好地了解其监管的网络当前时刻和未来时刻的安全健康状态，以便及时发现问题、采取预警措施，网络安全态势感知技术研究应运而生。

近年来，网络安全态势感知成为当前网络安全界研究的热点，这项研究取得的成果，在提高网络的监控、应急响应能力和预测网络的安全发展趋势等方面都将起到重大的推动作用。

网络安全态势感知中，通过先验知识或者数据挖掘技术，来构建网络安全态势感知的指标体系，并通过，诸如IDS入侵检测系统、OpenVAS漏洞扫描工具、NetFlow流量分析等安全工具，来获取相应的网络安全数据，并对其进行过滤、去重和格式化等基本的预处理，为接下来的评估和预测准备充分的数据源。数据的收集是网络安全态势感知的第一步，也是态势认知阶段的主要任务，只有在获取大量网络安全信息的基础上，才能尽量客观全面地评估网络的安全态势。

网络安全态势感知是在大量网络安全信息基础上完成的，但由于网络的复杂性和灵活性，获取全面的网络安全信息是不可能的，只能力求在选择信息种类和数量上，力求能相对全面的反应当前网络的真实状态。采用何种方式，从何处获取网络安全信息，并对信息进行实时更新和相应的预处理，是网络安全态势感知在态势认知阶段的主要研究问题。

目前，一般从以下几个方面获取安全信息：通过拓扑自发现技术获取网络的拓扑信息；通过主动扫描和被动嗅探方式，获取网络的漏洞信息、状态信息和运行信息等；通过对各安全工具、系统日志的采集和分析技术来获取威胁攻击信息等。

如发明名称为“基于指标体系的大规模网络安全态势评估方法”，提供一种基于指标体系的大规模网络安全态势评估方法，包括：步骤1、确定网络安全态势需要分析的维度；步骤2、根据各维度确定网络安全要素；步骤3、根据各网络安全要素确定具体指标；所述维度、安全要素和具体指标为层次式评估模型的各层节点；步骤4、对所述层次式评估模型进行安全态势评估，得到网络安全态势值。采用上述方法可以提高大规模网络安全态势评估的效率。该发明关注于提高评估网络安全态势的效率问题，并没有关注于解决提出全面衡量网络安全态势的指标，不能有效的、实时的反映当前网络安全态势。

再如发明名称为“多维网络安全指标体系冗余度评估方法”，提供一种基于关联度的多维网络安全指标体系冗余度评估方法，通过采用利用两序列对应数据项差值绝对值之和是否超过阈值判断关联性以及利用两序列间差值绝对值低于阈值的对应数据项对所占的比例判断关联性来对关联度进行分析，其计算量小，对数据存在形式要求宽泛，易于理解，便于广泛应用。同时这些技术能够有效的发现多维网络安全指标体系各个维度间存在的关联性。该发明关注网络安全的指标体系的冗余问题，也不关注于网络安全态势感知中反应网络安全状态的指标及其计算，不反映网络当前的安全状态。

再如发明名称为“多维网络安全指标体系正确性评估方法”，提供一种多维网络安全指标体系正确性评估方法，采用可接收区间内的相对偏差来避免其受样本和系统误差以及用户主观性的影响，使评估结果更符合实际情况。采用熵权法为各样本赋权值有效的刻画了各个样本在指标体系合理性评估中所起的作用，既充分利用多维度多样本指标体系计算结果又充分体现不同维度、不同样本的重要性和对指标体系正确性评估贡献度的不同，有效地评估了指标体系计算结果与预期值的相似性。该发明关注网络安全的指标体系的正确性问题，并不关注于网络安全态势感知中反应网络安全状态的指标及其计算，也不反映网络当前的安全状态。

再如发明名称为“一种多维网络安全指标体系稳定性评估方法”，提供一种基于统计方法的多维网络安全指标体系稳定性评估方法，从一个指标体系在多个不同样本情况下是否都能得到正确评估结果的角度评估一个指标体系的好坏。尤其是针对不同维度源数据分布特征的差异采用分段抽样的方式使得不同维度稳定性的评价更为公平合理。该发明关注网络安全的指标体系的稳定性问题，并不关注网络安全态势感知中反应网络安全状态的指标及其计算，也不反映网络当前的安全状态。

发明内容