[发明专利]面向攻击的网络安全态势预测方法、装置及系统

说明书

本发明属于网络安全技术领域，特别涉及一种面向攻击的网络安全态势预测方法、装置及系统，该方法包含：检测并收集网络对抗环境下的报警数据和网络环境运维信息，获取网络安全态势预测所需的要素集，该要素集包含攻击方、防御方和网络环境三类信息；对攻击方能力和防御方水平进行评估，建立动态贝叶斯攻击图，计算攻击阶段数和攻击状态发生概率向量；结合漏洞评分标准和网络资产信息，从时空维度量化网络安全态势值。本发明实现防御方、攻击方与环境信息等态势要素间的动态关联，更加符合网络实际环境，能够准确地对未来态势与攻击发生时间进行预测，具有更高的预测效率，优化网络安全态势感知的存储规模与时效性，为网络防护提供更有效的指导。

技术领域

本发明属于网络安全技术领域，特别涉及一种面向攻击的网络安全态势预测方法、装置及系统。

背景技术

随着网络规模的不断扩大，传统行业与互联网的结合越来越广泛，人们的生活已高度依赖于网络。目前网络安全环境不容乐观，网络攻击日益频繁，造成的威胁与损失也越来越大。因此在复杂多变的网络环境中认知、理解并预测网络的安全状态及其发展趋势，有助于管理人员及时掌握网络安全状况，并对未来可能出现的威胁提前做出防护，减小攻击对网络的危害。网络安全态势预测作为安全态势感知的重要环节，通过预测未来网络安全态势的发展，帮助管理员提前做出防护准确，降低网络攻击所带来的潜在损失。

传统方法在对安全状态的趋势进行预测时，主要以攻击威胁、网络脆弱性为预测要素，该类方法仅结合单一要素进行预测，已经无法满足管理人员对掌握网络整体安全趋势的需求。网络安全态势感知技术融合了入侵检测系统IDS、防火墙、病毒检测系统VDS等网络安全设备的防护数据，是对网络安全状况与趋势的一个整体反映，能够作为网络预警与响应的重要参照。目前主流的网络安全态势预测方法一般分为以下三种：1)、基于时空序列分析的方法.该方法的假设条件为安全态势值的变化具有规则和周期性，因此通过对网络中历史与当前安全态势值的分析，从而实现对网络安全趋势的预测，该方法未对网络各安全态势要素的变化、以及各动态安全态势要素间的相互影响进行分析，因此模式固定，预测突发事件不强。2)、基于博弈论的方法.该方法在攻防对抗环境中，利用博弈理论动态选择攻击方与防御方的最优策略选择，通过综合分析攻击方、防御方与网络环境信息的变化，在态势要素选择上较为全面，博弈论在军事领域应用比较成熟，而在网络环境中突发性强、不可预知因素过多，因此对网络攻防建立博弈论的模型难度较大；且该方法只能对安全趋势进行短期预测，无法给出网络态势长期的预测。3)、基于图论的方法.该方法利用网络环境中的脆弱性信息生成状态转移图，并从攻击者角度出发，依据当前状态对网络未来可能出现的安全状态进行预测。但该方法仅仅从攻击方与网络环境信息进行考虑，其建立的攻击图为静态攻击图，忽略了防御方的策略选择对网络未来安全态势的影响。综上，现有方法存在一些亟待解决的问题：1)、缺乏对防御方、攻击方与环境信息等态势要素间的动态关联。其中基于序列分析与攻击图的方法均只对攻击方与环境信息进行分析，而基于博弈论的方法建模难度较大，尚无成熟模型；2)、尚未对攻击入侵成功的时间进行预测。现有方法都是对网络未来一段时间的预测，其预测为下一阶段，时间上具有模糊性，缺乏对攻击的入侵成功时间量化预测。

发明内容

针对现有技术中的不足，本发明提供一种面向攻击的网络安全态势预测方法、装置及系统，通过提取攻防双方及网络环境的全方位态势要素，构建动态贝叶斯网路攻击图，从时空两个维度对未来态势与攻击发生时间进行预测，符合网路实际对抗环境，实现网络安全态势的量化分析和趋势预测，增强网络安全态势预测的有效性和实时性。

按照本发明所提供的设计方案，一种面向攻击的网络安全态势预测方法，包含如下内容：

检测并收集网络对抗环境下的报警数据和网络环境运维信息，获取网络安全态势预测所需的要素集，该要素集包含攻击方、防御方和网络环境三类信息；

对攻击方能力和防御方水平进行评估，建立动态贝叶斯攻击图，计算攻击阶段数和攻击状态发生概率向量；