[发明专利]面向攻击的网络安全态势预测方法、装置及系统

权利要求书

1.一种面向攻击的网络安全态势预测方法，其特征在于，包含如下内容：

检测并收集网络对抗环境下的报警数据和网络环境运维信息，获取网络安全态势预测所需的要素集，该要素集包含攻击方、防御方和网络环境三类信息；

对攻击方能力和防御方水平进行评估，建立动态贝叶斯攻击图，计算攻击阶段数和攻击状态发生概率向量；

结合漏洞评分标准和网络资产信息，从时空维度量化网络安全态势值；结合各攻击阶段的安全态势值构建用于对当前态势值以及未来一段时间态势值的预测进行直观反映的安全态势演化图和用于通过将攻击场景重构来还原攻击者攻击路径以查找漏洞的攻击路径状态转移图；

通过部署在网络各节点的传感器收集数据，然后将数据通过预处理后集成到态势数据集成服务器中对数据进行聚类与融合，聚类融合阶段通过调用Hadoop平台接口进行处理，以优化网络安全态势感知的存储规模与时效性；通过调用态势数据集成服务器与Hadoop平台上的安全数据对当前态势进行分析并图形化展示，最终用户通过访问可视化服务器获取网络的安全态势。

2.根据权利要求1所述的面向攻击的网络安全态势预测方法，其特征在于，要素集中攻击方信息包含原子攻击动作、攻击序列和攻击能力；防御方信息包含防御策略集；网络环境信息包含主机运维信息、拓扑结构、服务漏洞和网络连通性。

3.根据权利要求2所述的面向攻击的网络安全态势预测方法，其特征在于，通过采集网络传感器报警信息并对报警信息进行数据融合，获取原子攻击动作，网络传感器至少包含入侵检测系统、防火墙和系统日志；对原子攻击动作进行因果分析，得到攻击序列；并依据攻击方历史安全时间数据获取攻击能力。

4.根据权利要求2所述的面向攻击的网络安全态势预测方法，其特征在于，依据收集到的网络安全态势要素集，建立动态贝叶斯攻击图，包含如下内容：

读取服务漏洞数据，并结合通用漏洞评分和漏洞生命周期模型获取漏洞真实利用率；

通过漏洞真实利用率及原子攻击动作前提攻击发生时间，计算先验攻击耗时和未知漏洞期望耗时；

依据网络安全态势要素集合，生成目标网络动态贝叶斯攻击图BAG＝(S,A,ξ,p)，并构造状态转移矩阵、攻击期望耗时矩阵、防御期望耗时矩阵、依存关系矩阵、状态发生概率向量和状态转移时间向量，其中，S表示状态节点集合，A表示为状态节点间的有向边集合，ξ表示状态间的依赖关系，P表示状态转移概率集合；

结合攻击方攻击能力与防御策略评估结果，对状态转移矩阵、攻击期望耗时矩阵、防御期望耗时矩阵进行赋值，并初始化状态转移时间向量；对攻击序列中各原子攻击动作实现状态进行映射，获取状态发生概率向量；

根据攻防双方期望耗时，判断攻击者能否在脆弱性修复前进行状态转移，更新状态转移矩阵；依据攻击者所处当前状态，迭代更新状态发生概率向量、状态转移时间向量及状态转移矩阵，直至满足预设递归终结条件，结束本次递归，输出攻击阶段数和攻击状态发生概率向量。

5.根据权利要求2所述的面向攻击的网络安全态势预测方法，其特征在于，结合漏洞评分标准和网络资产信息，从时空维度量化网络安全态势值，包含如下内容：

通过查询美国NVD数据库，获取每个服务漏洞的威胁得分；

读取第t个攻击阶段的状态发生概率向量P^t，P_i^t表示状态节点i的预测发生概率，设定状态节点i发生主机的权重值为Weight_i，v_i是该节点发生所依赖的服务漏洞，则第t个攻击阶段的网络安全态势值计算公式表示为：NSA^t＝∑P_i^tImpact(v_i)Weight_i，Impact(v_i)表示服务漏洞v_i的威胁得分；

结合各攻击阶段的安全态势值，构建安全态势演化图和攻击路径状态转移图，获取网络安全发展趋势。