一种网络安全态势评估方法与流程

本发明涉及一种网络安全态势评估方法，属于网络安全技术领域。

背景技术：

随着互联网的应用普及，网络规模越来越大，也越来越复杂。相应的，网络攻击也向着分布式、规模化、复杂化的方向发展。对于网络管理人员来说，迫切需要能对网络安全整体态势进行展示的安全产品。

所谓网络安全态势是指能够表达网络攻击行为和网络防御措施等由各种因素所构成的网络安全状态，并以数值量化的形式展示出来。网络安全态势评估，可以帮助网络管理人员了解当前网络安全的状态，有针对性的采取安全措施防止潜在的风险。

目前，已有一些涉及网络安全态势评估方法的专利，如下：

1)“一种网络安全态势评估方法及其系统”(申请号：200810240733.7)，

2)“一种网络安全态势评估方法”(申请号：200910082181.6)，

3)“基于信息关联的网络安全态势感知系统及其方法”(申请号：201010233950.0)，

4)“一种网络安全态势评估方法及系统”(申请号：201010292870.2)，

5)“一种基于指对数分析的网络安全态势评估系统和方法”(申请号：201110008617.4)，

6)“面向服务的大规模网络安全态势评估装置及方法”(申请号：201110052330.1)，

7)“基于不确定数据的网络安全态势模糊评估方法”(申请号：201110310406.6)，

8)“基于指标体系的大规模网络安全态势评估方法”(申请号：201110310753.9)，

9)“一种网络安全态势评估方法”(申请号：201110443114.X)，

10)“一种网络安全态势评估方法”(申请号：201410668554.9)，

11)“基于模糊粗糙集的网络安全态势评估方法”(申请号：201510593297.1)，

12)“一种数据处理方法和装置”(申请号：201510890581.5)。

这些方法基于不同的理论，从不同的角度提出网络安全态势的评估方法。一般来说目前的方法都是将整个网络系统划分为单个主机，通过对单个主机的安全态势评估综合为整个网络系统的安全态势评估结果。但目前的方法存在两个问题：一是在将网络系统划分为单个主机时，主机的权重不容易确定；二是影响安全态势的因素，也就是评估要素不够全面。这些问题影响了安全态势最终评估结果的准确性。

技术实现要素：

针对上述不足，本发明提供了一种网络安全态势评估方法，其能够根据所获取的网络安全数据，量化评估整个网络的安全态势。

本发明解决其技术问题采取的技术方案是：一种网络安全态势评估方法，它包括以下步骤：

1)确定各个网络设备及主机的重要程度权重；

2)对各个网络设备及主机分别进行评估；

3)将各个网络设备及主机的评估结果综合为整体网络系统的评估结果。

优选地，在步骤1)中，网络设备及主机的重要程度权重的具体确定过程包括以下步骤：

步骤101：假设网络包含n个信息系统，并分布部署在m个设备中，n个信息系统对网络的重要程度分别为x₁，x₂，...，x_n，则有：

步骤102：构造m×n矩阵：

其中：

步骤103：m个设备的重要程度为y₁，y₂，...，y_m，令Y＝[y₁y₂...y_m]^T，X＝[x₁x₂...x_n]^T，则有：

其中，A为步骤102中构造的m×n矩阵。

优选地，在步骤2)中，对网络设备及主机进行评估的评估要素包括：攻击者能力、攻击后果、漏洞危害、漏洞传播、抗攻击能力、配置正确性、安全策略和安全策略执行情况。

优选地，所述攻击者能力为网络设备及主机受到攻击时攻击者的攻击能力；所述攻击后果为网络设备及主机所受到的攻击对网络设备及主机造成的损害；所述漏洞危害为网络设备及主机所具有的漏洞、脆弱性对其潜在的威胁；所述漏洞传播为网络设备及主机所具有多个漏洞被攻击者潜在利用造成对网络设备及主机的威胁；所述抗攻击能力为网络设备及主机所部署的安全防御措施；所述配置正确性为网络设备及主机安全措施配置的正确性；所述安全策略为网络设备及主机中安全策略的完整性和正确性；所述安全策略执行情况为网络设备及主机中安全策略的执行情况。

优选地，在步骤2)中，对网络设备及主机进行评估的具体过程包括以下步骤：

步骤201：从威胁情报的角度对攻击者能力进行评估，评估攻击者的战术、技术和过程，通过提取攻击过程中攻击者所使用的工具、所采取的步骤及攻击的来源进行评估攻击者能力的高低；

步骤202：从实际攻击行为对网络系统所造成的损害来对攻击后果进行评估，度量攻击者对网络系统的非授权控制程度、信息泄露程度和服务受影响程度，所述攻击行为包括所获得的系统权限、所获取的敏感信息、对重要服务所造成的影响；

步骤203：从单个漏洞对网络系统所造成的危害程度、漏洞的公开程度及受影响网络系统的广泛性对系统漏洞危害的进行评估；

步骤204：从多个漏洞联合利用对网络系统所造成的危害对系统漏洞传播进行评估，评估攻击路径的长度、多个漏洞利用的隐蔽性、前置条件的困难性，从漏洞所导致的风险传播进行考察评估；

步骤205：根据安全系统所实现的安全功能对安全系统抗攻击能力进行评估，评估对攻击的防御能力、受其他攻击的影响程度、安全系统本身所可能存在的漏洞以及对系统服务的影响程度；

步骤206：对安全系统配置正确性的评估主要包括评估安全系统是否适用于在所部署的网络环境，各种配置是否清晰、准确，以及能否保证安全系统功能的实现；

步骤207：借鉴风险评估中的方法对安全管理中安全策略进行评估，检查各项安全战略、策略是否完善，是否能够保证安全系统发挥最大的作用；

步骤208：借鉴风险评估中的方法对安全管理中安全策略执行情况的评估，检查系统是否充分实现了所制定的安全策略、安全策略是否存在冲突和缺陷问题；

步骤209：计算网络设备、主机的安全态势值；

步骤210：重复上述步骤201至步骤209，得到整个网络的安全态势值。

优选地，所述漏洞的公开程度包括对未知漏洞的评估，即总结漏洞被发现的历史，预测在某一段时间内新的漏洞的出现的可能性。

优选地，在步骤2)中，对网络设备及主机进行评估的具体步骤如下：

定义攻击者能力指数V_A1，假设在安全态势评估的时间周期内，检测到p个安全事件，评估得到每个安全事件中攻击者能力分别为A₁，A₂，...，A_p，则

V_A1＝max{A₁A₂...A_p}

定义攻击后果指数V_A2，假设在安全态势评估的时间周期内，检测到p个安全事件，评估得到每个安全事件中攻击所造成的危害分别为R₁，R₂，...，R_p，则

V_A2＝R₁+R₂+...+R_p

定义漏洞危害指数V_V1，假设在安全态势评估的时间周期内，检测到存在q个系统漏洞，评估得到每个漏洞潜在的危害分别为V₁，V₂，...，V_q，则

V_V1＝max{V₁V₂...V_q}

定义漏洞传播指数V_V2，假设在安全态势评估的时间周期内，检测到存在q个系统漏洞，攻击者利用多个漏洞进行攻击，可以得到共s条攻击路径，评估得到每条攻击路径潜在的危害分别为P₁，P₂，...，P_s，则

V_V2＝max{P₁P₂...P_s}

定义抗攻击能力指数V_E1，假设在安全态势评估的时间周期内，检测到存在q个系统漏洞，评估得到对攻击者利用这q个漏洞的防御能力分别为E₁，E₂，...，E_q，则

V_E1＝min{E₁E₂...E_q}

定义配置正确性指数V_E2，假设在安全态势评估的时间周期内，存在n个安全措施，评估得到这n个安全措施的正确性比率则为V_E2；

定义安全策略指数V_M1，假设在安全态势评估的时间周期内，存在r个安全策略规则，评估得到这r个规则是否能够应对攻击，是否覆盖所有的攻击情况，则覆盖的比率为V_M1；

定义安全策略执行情况V_M2，假设在安全态势评估的时间周期内，存在r个安全策略规则，评估这r个规则被正确执行的比率则为V_M2；

计算网络设备及主机的安全态势值：

对m个网络设备及主机重复上述步骤得到整个网络的安全态势值分别为v₁，v₂，...，v_m。

优选地，在步骤3)中，综合整个网络系统的安全态势评估值的具体过程为：对每个设备的安全态势进行评估后，再结合设备的重要程度，综合得到整个网络的安全态势。

优选地，在步骤3)中，综合整个网络系统的安全态势评估值的具体步骤为：对于m个网络设备，其安全态势值为v₁，v₂，...，v_m，其重要程度为y₁，y₂，...，y_m，则整体的网络安全态势值为

其中，V_i为网络设备的安全态势值，y_i为网络设备的重要程度。

本发明的有益效果是：

由于一个组织中IT网络系统的复杂性，直接对整个网络系统进行安全态势评估往往是不可行的，因此本发明从方法论上采用分层的原则，将整个网络系统按照某种规则划分为多个较为简单的组件，对单个组件分别进行评估，然后在综合为整体的安全评估结果。

在网络安全态势评估中，根据组织的战略目标，业务系统的重要程度容易确定，但在实际评估中易于对设备资产进行评估，而不便于直接对业务系统进行评估，因此本发明将业务系统的重要程度转化为设备资产的重要程度，并将评估因素分为8类，相比其他方法，考虑的因素更全面，这保证了评估的结果更精确；本发明既保留了按照应用系统划分便于赋予子系统重要程度的特性，又便于评估人员按照网络设备、主机进行实际的评估操作，并且增加细化了对网络设备、主机进行评估的评估要素。

本发明以设备资产为中心，将评估过程分为三个阶段：一是确定各设备资产的重要程度权重；二是对单个设备资产的安全态势进行分别评估；三是综合所有设备资产的评估结果为整个网络的安全态势。其中，对单个设备资产的评估，评估因素分为8类，分别为攻击者能力、攻击后果、漏洞危害、漏洞传播、安全措施、安全配置正确性、安全策略、安全策略执行情况，从威胁与防御对抗的角度量化安全态势。本发明可用于网络安全管理领域，帮助管理人员了解整体网络安全态势，为安全管理决策提供支持。

附图说明

下面结合说明书附图对本发明进行说明。

图1为本发明的方法流程图。

具体实施方式

为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

由于一个组织中IT网络系统的复杂性，直接对整个网络系统进行安全态势评估往往是不可行的，因此本发明从方法论上采用分层的原则，将整个网络系统按照某种规则划分为多个较为简单的组件，对单个组件分别进行评估，然后在综合为整体的安全评估结果。

如图1所示，本发明的一种网络安全态势评估方法，它包括以下步骤：

1)确定各个网络设备及主机的重要程度权重；

2)对各个网络设备及主机分别进行评估；

3)将各个网络设备及主机的评估结果综合为整体网络系统的评估结果。

优选地，在步骤1)中，网络设备及主机的重要程度权重的具体确定过程包括以下步骤：

步骤101：假设组织的业务包含n个信息系统，并分布部署在m个设备中，已知n个信息系统对业务的重要程度分别为x₁，x₂，...，x_n，

步骤102：构造m×n矩阵：

其中：

步骤103：m个设备的重要程度为y₁，y₂，...，y_m，令Y＝[y₁y₂...y_m]^T，X＝[x₁x₂...x_m]^T，则

优选地，在步骤2)中，对网络设备及主机进行评估的具体过程包括以下步骤：

步骤200：对网络设备及主机的评估要素进行分类，分为8大类，如下：

1)网络设备及主机所受到攻击，其攻击者的攻击能力，简称攻击者能力；

2)网络设备及主机所受到攻击，其攻击对网络设备及主机造成的损害，简称攻击后果；

3)网络设备及主机所具有的漏洞、脆弱性，其对网络设备及主机潜在的威胁，简称漏洞危害；

4)网络设备及主机所具有多个漏洞，攻击者潜在利用这多个漏洞对网络设备及主机造成的威胁，简称漏洞传播；

5)网络设备及主机所部署的安全防御措施，简称抗攻击能力；

6)网络设备及主机安全措施配置的正确性，简称配置正确性；

7)网络设备及主机中安全策略的完整性、正确性，简称安全策略；

8)网络设备及主机中安全策略的执行情况，简称安全策略执行情况。

步骤201：对于攻击者能力的评估，主要从威胁情报的角度，评估攻击者的战术、技术和过程(Tactics、Techniques、Procedures，TTP)，通过提取攻击过程中攻击者所使用的工具、所采取的步骤、攻击的来源等评估攻击者能力的高低；

定义攻击者能力指数V_A1，假设在安全态势评估的时间周期内，检测到p个安全事件，评估得到每个安全事件中攻击者能力分别为A₁，A₂，...，A_p，则

V_A1＝max{A₁A₂...A_p}

步骤202：对于攻击后果的评估，主要从实际攻击行为对网络系统所造成的损害来进行评估，包括所获得的系统权限、所获取的敏感信息、对重要服务所造成的影响等，度量攻击者对网络系统的非授权控制程度、信息泄露程度、服务受影响程度等；

定义攻击后果指数V_A2，假设在安全态势评估的时间周期内，检测到p个安全事件，评估得到每个安全事件中攻击所造成的危害分别为R₁，R₂，...，R_p，则

V_A2＝R₁+R₂+...+R_p

步骤203：对系统漏洞(脆弱性)危害的评估，主要从单个漏洞对网络系统所造成的危害程度、漏洞的公开程度(即攻击工具的可获得性、利用的难度)、受影响网络系统的广泛性等方面进行评估。其中，在漏洞公开程度中包含了对未知漏洞的评估，即总结漏洞被发现的历史，预测在某一段时间内新的漏洞的出现的可能性；

定义漏洞危害指数V_V1，假设在安全态势评估的时间周期内，检测到存在q个系统漏洞，评估得到每个漏洞潜在的危害分别为V₁，V₂，...，V_q，则

V_V1＝max{V₁V₂...V_q}

步骤204：对系统漏洞传播的评估，主要从多个漏洞联合利用对网络系统所造成的危害进行评估，评估攻击路径的长度、多个漏洞利用的隐蔽性、前置条件的困难性等，从漏洞所导致的风险传播进行考察评估；

定义漏洞传播指数V_V2，假设在安全态势评估的时间周期内，检测到存在q个系统漏洞，攻击者利用多个漏洞进行攻击，可以得到共s条攻击路径，评估得到每条攻击路径潜在的危害分别为P₁，P₂，...，P_s，则

V_V2＝max{P₁P₂...P_s}

步骤205：对安全系统抗攻击能力的评估，主要根据安全系统所实现的安全功能，评估该功能对攻击的防御的能力、受其他攻击的影响程度、安全系统本身所可能存在的漏洞、对系统服务的影响程度等，这一评估主要评估安全系统设计目标的实现程度；

定义抗攻击能力指数V_E1，假设在安全态势评估的时间周期内，检测到存在q个系统漏洞，评估得到对攻击者利用这q个漏洞的防御能力分别为E₁，E₂，...，E_q，则

V_E1＝min{E₁E₂...E_q}

步骤206：对安全系统配置正确性的评估，主要评估安全系统是否适用于在所部署的网络环境、各种配置是否清晰、准确，能否保证安全系统功能的实现；

定义配置正确性指数V_E2，假设在安全态势评估的时间周期内，存在n个安全措施，评估得到这n个安全措施的正确性比率则为V_E2。

步骤207：对于安全管理中安全策略的评估，主要借鉴风险评估中的方法，检查各项安全战略、策略是否完善，是否能够保证安全系统发挥最大的作用；

定义安全策略指数V_M1，假设在安全态势评估的时间周期内，存在r个安全策略规则，评估得到这r个规则是否能够应对攻击，是否覆盖所有的攻击情况，则覆盖的比率为V_M1。

步骤208：对于安全管理中安全策略执行情况的评估，主要借鉴风险评估中的方法，检查系统是否充分实现了所制定的安全策略、安全策略是否存在冲突、缺陷等问题；

定义安全策略执行情况V_M2，假设在安全态势评估的时间周期内，存在r个安全策略规则，评估这r个规则被正确执行的比率则为V_M2。

步骤209：计算网络设备、主机的安全态势值

步骤210：对m个网络设备、主机重复上述步骤202--210，得到安全态势值分别为v₁，v₂，...，v_m。

优选地在步骤3)中，综合整个网络系统的安全态势评估值的具体过程为：

对每个设备的安全态势进行评估后，再结合设备的重要程度，综合得到整个网络的安全态势；对于m个设备，其安全态势值为v₁，v₂，...，v_m，其重要程度为y₁，y₂，...，y_m，则整体的网络安全态势值为：

在网络安全态势评估中，根据组织的战略目标，业务系统的重要程度容易确定，但在实际评估中易于对设备资产进行评估，而不便于直接对业务系统进行评估，因此本发明将业务系统的重要程度转化为设备资产的重要程度，并将评估因素分为8类，相比其他方法，考虑的因素更全面，这保证了评估的结果更精确。

本发明以设备资产为中心，将评估过程分为三个阶段：一是确定各设备资产的重要程度权重；二是对单个设备资产的安全态势进行分别评估；三是综合所有设备资产的评估结果为整个网络的安全态势。其中，对单个设备资产的评估，评估因素分为8类，分别为攻击者能力、攻击后果、漏洞危害、漏洞传播、安全措施、安全配置正确性、安全策略、安全策略执行情况，从威胁与防御对抗的角度量化安全态势。本发明可用于网络安全管理领域，帮助管理人员了解整体网络安全态势，为安全管理决策提供支持。

以上所述只是本发明的优选实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也被视为本发明的保护范围。