技術領域

本發明屬于計算機網絡安全領域，具體涉及一種參數自適應的網絡安全態勢量化評估方法。

背景技術

隨著計算機、通信等信息技術的快速發展，Internet在全球日益普及，已應用到人們工作、學習和生活的方方面面。到2013年底，Internet已經覆蓋全球近40％的人口，用戶數達到了27億，在中國，網民數量也快速發展到6.18億。其應用也在快速增長，其中電子商務、社交網絡的發展進一步促進了Internet的繁榮。然而，隨著Internet的廣泛應用，其安全問題也日益凸顯。那些網絡攻擊者、黑客們在追逐利益、報復、破壞等心理的驅動下，針對計算機網絡系統的漏洞和脆弱環節，采用各種各樣的攻擊手段，竊取、篡改和刪除網絡數據，破壞系統的可用性，造成系統癱瘓，等等。面對當前嚴重的網絡安全威脅，傳統的安全防護手段，如入侵檢測、防火墻以及用戶認證等，雖然從一定程度上提高了網絡的安全性，但是這些技術相互孤立，彼此之間沒有有效的統一管理調度機制，不能互相支撐、協同工作，使其安全防護沒有針對性，其防護功能也未得到充分發揮。因此，需要網絡安全管理員對整個網絡的安全狀況有一個全局的把握，實現對網絡安全事件的預警，并以此來進行決策，實施具體的安全防護措施。而如何評估網絡的總體安全狀況，可采用網絡安全態勢感知(Network Security Situation Awareness，NSSA)技術。

網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。網絡安全態勢感知就是實時地監測網絡安全狀態，快速準確地做出安全狀態評判，并能利用網絡安全屬性的歷史記錄，以多角度、多尺度的可視化方式，為用戶提供一個準確直觀的網絡安全態勢走向圖。它可分為網絡態勢要素獲取、網絡態勢評估和網絡態勢預測3個階段。

現有關于網絡安全態勢感知的研究成果大多數采用層次化的指標體系和指標加權的評估模型，但模型參數是靜態的，不能根據動態的網絡環境、網管人員的安全需求進行自適應調整。

發明內容

為了克服上述現有技術的不足，本發明提供一種參數自適應的網絡安全態勢量化評估方法，其中參數可動態地進行在線更新，使得態勢量化評估更加科學、合理；主要解決如何高效、準確地評估網絡的總體安全狀況，為網絡安全事件預警提供依據和支撐。

為了實現上述發明目的，本發明采取如下技術方案：

本發明提供一種參數自適應的網絡安全態勢量化評估方法，所述方法包括以下步驟：

步驟1：建立網絡安全態勢感知系統；

步驟2：獲取態勢要素；

步驟3：對態勢要素進行標準化處理和加權處理；

步驟4：對態勢要素的權重進行動態調整。

所述步驟1中，網絡安全態勢感知系統包括多個子網、第二級交換機、第一級交換機、防火墻、流量抓取軟件系統、IDS和態勢感知服務器；各個子網通過第二級交換機連接到第一級交換機，第一級交換機通過防火墻后連接至外網，所述第一級交換機通過鏡像端口連接流量抓取軟件系統，所述流量抓取軟件系統進行協議分析處理，其抓取的流量作為IDS的輸入；所述防火墻開啟病毒木馬掃描功能以及入侵防御系統，其上報Syslog格式日志到態勢感知服務器；子網中主機上安裝有安全防護軟件，定期掃描漏洞并上報態勢感知服務器。

所述步驟2中，所述態勢要素包括異常流量、網絡攻擊、病毒木馬、主機漏洞、資源消耗和網絡運行；各個態勢要素獲取途徑如下：

(1)異常流量：通過IDS報警信息和IPS報警信息獲取異常流量信息；

(2)網絡攻擊：通過IDS報警信息和IPS報警信息分析出現的網絡攻擊信息；

(3)病毒木馬：一方面通過在防火墻上配置病毒庫和木馬庫進行實時檢測，獲取病毒木馬信息，另一方面通過各主機上的安全防護軟件實時上報檢測結果獲取病毒木馬信息；

(4)主機漏洞：通過在各主機上安裝的安全防護軟件進行漏洞掃描并上傳至態勢感知服務器，獲取主機漏洞信息；

(5)資源消耗：通過實時監控網絡中各節點流量獲取資源消耗信息；

(6)網絡運行：通過對網絡基本運行情況以及各主機連通性情況獲取網絡運行信息。

所述步驟3包括以下步驟：

步驟3-1：對態勢要素進行標準化處理；

采用最小-最大規范化對態勢要素進行線性變換，假定Max(Attri)與Min(Attri)分別表示屬性Attri的最大值與最小值，計算將屬性Attri的值映射到區間[0，1]上的Attri′，Attri′表示為：