[发明专利]基于攻击链因子的网络态势量化评估方法

说明书

本发明公开了一种基于攻击链因子的网络态势量化评估方法，包括：识别网络攻击各阶段的评估指标，并构建态势评估指标体系；以从下向上、先局部后整体的方式建立评估模型；定义评估模型的态势因素层中各评估指标的权重或得分，以建立评分准则；采集预设周期内的安全日志和流量数据，根据评分准则获取评估模型中所有的二级指标得分数据；根据二级指标得分数据计算得到一级指标得分数据；根据一级指标得分数据计算得到网络总体态势值。通过本发明的技术方案，能够更加准确、全面地量化网络受到的攻击威胁情况，从而快速找到安全弱点，采取针对性的对抗措施，为提升已知威胁和未知威胁的主动防御能力提供强有力的支撑。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于攻击链因子的网络态势量化评估方法。

背景技术

目前，随着网络信息系统的日益扩大，日趋动态化与复杂化，来自网络的安全威胁也在呈指数级增长。黑客们利用各种漏洞对网络进行多阶段攻击，使得网络安全风险评估越来越为人们所重视。为了减少网络系统的风险，网络风险评估领域出现了许多网络安全扫描工具，如IDS、NESSUS、ISS等，它们的单机检查功能比较强，通过对网络的扫描，网络管理员可以了解网络中单机的安全配置和运行的应用服务，及时发现安全漏洞，但是整体分析功能比较弱，不能对发现的各种配置脆弱性、软件漏洞、安全事件及其之间的关系进行关联分析，导致评估结果的不精确和缺乏整体性。

发明内容

针对上述问题中的至少之一，本发明提供了一种基于攻击链因子的网络态势量化评估方法，通过将攻击链因子的概念引入本方法中，从黑客的角度出发，利用各种扫描器对网络扫描的大量漏洞信息、安全事件、攻击次数进行采集，结合攻击链因子，计算每个网络攻击阶段的风险值，最终得出整个网络的风险值，能够更加准确、全面地量化网络受到的攻击威胁情况，从而快速找到安全弱点，采取针对性的对抗措施，为提升已知威胁和未知威胁的主动防御能力提供强有力的支撑。

为实现上述目的，本发明提供了一种基于攻击链因子的网络态势量化评估方法，包括：识别网络攻击各阶段的评估指标，并构建态势评估指标体系；在所述态势评估指标体系的基础上，以从下向上、先局部后整体的方式建立评估模型；定义所述评估模型的态势因素层中各评估指标的权重或得分，以建立评分准则；采集预设周期内的安全日志和流量数据，根据所述评分准则获取所述评估模型中所有的二级指标得分数据；根据所述二级指标得分数据计算得到一级指标得分数据；根据所述一级指标得分数据计算得到网络总体态势值。

在上述技术方案中，优选地，所述识别网络攻击各阶段的评估指标并构建态势评估指标体系具体包括：将网络攻击行为划分为探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段，针对每个阶段建立对网络造成不同伤害的安全事件的评估指标。

在上述技术方案中，优选地，所述在所述态势评估指标体系的基础上以从下向上、先局部后整体的方式建立评估模型具体包括：以影响网络安全态势的网络攻击信息、资产价值、攻击频率、事件严重程度及系统可用性作为态势因素层，以网络中的各个节点作为评估对象层，以网络总体态势、探测性态势、攻击性态势、侵入性态势、预警性态势、危害性态势及可用性态势的安全态势值作为评估目标层；将所述态势因素层、所述评估对象层和所述评估目标层由下向上建立所述评估模型。

在上述技术方案中，优选地，所述采集预设周期内的安全日志和流量数据，根据所述评分准则获取所述评估模型中所有的二级指标得分数据具体包括：通过网络安全设备采集预设指定周期内各节点对应态势因素层的指标数据；将采集到的指标数据根据所述评分准则计算得到所有评估指标的二级指标得分数据。

在上述技术方案中，优选地，所述根据所述二级指标得分数据计算得到一级指标得分数据具体包括：根据下列计算公式(1)，计算得到所述一级指标得分数据中探测性态势Tc、攻击性态势Gj、侵入性态势Qr、预警性态势Yj和危害性态势Wh的得分：