技術領域

本發明涉及信息安全領域，尤其涉及一種網絡安全狀態評估系統及方法。

背景技術

互聯網(Internet)的飛速發展，為信息的傳播和利用帶來了極大的便利，同時也使人類社會面臨著信息安全的巨大挑戰。為了緩解日益嚴重的安全問題，入侵檢測設備(Intrusion?Detection?System，IDS)得到了越來越廣泛的應用。入侵檢測設備安裝在被保護的網段中，其監聽網卡工作在混雜模式下，分析網段中所有的數據包，進行網絡安全事件的實時檢測和響應。目前入侵檢測設備普遍采用誤用檢測技術，其檢測方法為：首先對標識特定的入侵行為模式進行編碼，建立誤用模式庫，然后對實際檢測過程中得到的事件數據進行過濾，檢查是否包含入侵行為的標識，是則認為有入侵行為。如果檢測到入侵行為，則產生一條對應的安全日志，其中包含了入侵行為發起方地址(源地址)、入侵行為目標方地址(目的地址)、入侵行為描述(事件類型)等信息。

入侵檢測設備的大量引入一方面保護了信息系統的安全，另一方面也帶來了新的問題。連續運行的入侵檢測設備會產生海量的日志，而真正有價值的報警信息被淹沒在海量日志中。由于報警量大、不相關報警多，安全管理人員的大部分精力被耗費在處理無用信息上，難以從整體上評估當前的網絡安全狀態。

目前的現有技術中，有的解決方案是從入侵檢測系統報警綜合評估得到網絡攻擊態勢評估指標入手，應用支持向量回歸的預測方法對網絡攻擊態勢評估指標進行時間序列預測。該方案能夠根據歷史攻擊態勢指標，來預測下一時刻的攻擊態勢指標，但無法做出下一時刻攻擊態勢是否正常的判斷。而且，在指標選取上只考慮了報警數量，難以準確量化網絡攻擊行為的威脅程度。例如，假設有兩個信息系統，分別為信息系統A和信息系統B，這兩個信息系統在一個觀測周期內都檢測到了100條攻擊事件，其中在信息系統A中，100條攻擊事件是分別針對100臺主機的，而在信息系統B中，100條攻擊事件是針對同一臺主機的，這兩個系統所面臨的威脅顯然不同，但利用前述方案，則難以體現出這種差別。

發明內容

本發明所要解決的技術問題是在于需要提供一種網絡安全狀態評估系統及方法，用于入侵檢測設備評估網絡安全狀態。

為了解決上述技術問題，本發明提供了一種網絡安全狀態評估方法，用于入侵檢測設備評估網絡安全狀態，包括：

根據入侵檢測設備當前觀測周期之前的歷史日志，提取網絡安全狀態指標，建立網絡安全狀態指標的正態分布模型；

所述評估時，根據所述入侵檢測設備當前觀測周期的實時日志，獲得所述實時日志的網絡安全狀態指標值，根據所述實時日志的網絡安全狀態指標值及正態分布模型，獲得所述入侵檢測設備在所述當前觀測周期的網絡安全狀態評估結果。

優選地，所述建立網絡安全狀態指標的正態分布模型的步驟，包括：

通過對所述歷史日志進行學習，根據所述歷史日志的網絡安全狀態指標值，獲得所述網絡安全狀態指標的模型參數，建立所述正態分布模型。

優選地，根據所述歷史日志的網絡安全狀態指標值，獲得所述網絡安全狀態指標的模型參數的步驟，包括：

計算所述歷史日志若干個觀測周期中的網絡安全狀態指標值；

計算所述若干個觀測周期中的網絡安全狀態指標值的均值和方差，將所述均值和方差作為所述網絡安全狀態指標的模型參數。

優選地，所述網絡安全狀態指標，包括安全事件數量指標、地址熵指標及安全事件擴散指標。

優選地，根據所述實時日志的網絡安全狀態指標值及正態分布模型，獲得所述入侵檢測設備在所述當前觀測周期的網絡安全狀態評估結果的步驟，包括：

采用異常檢驗與假設檢驗相結合的方式，獲得所述實時日志的網絡安全狀態指標值與正態分布模型的偏離程度；

根據所述偏離程度，評估所述當前觀測周期的網絡安全狀態，獲得所述網絡安全狀態評估結果。

為了解決上述技術問題，本發明還提供了一種網絡安全狀態評估系統，用于入侵檢測設備評估網絡安全狀態，包括：

存儲模塊，用于存儲所述入侵檢測設備的日志，包括當前觀測周期的實時日志，以及所述當前觀測周期之前的歷史日志；

指標提取模塊，與所述存儲模塊相連，根據所述入侵檢測設備的日志，提取網絡安全狀態指標，獲得網絡安全狀態指標值；

模型建立模塊，與所述存儲模塊及指標提取模塊相連，根據所述歷史日志的網絡安全狀態指標值，建立所述網絡安全狀態指標的正態分布模型；