CN101436967A - 一种网络安全态势评估方法及其*** - Google Patents

Abstract

一种网络安全态势评估方法及其***，该***为两面三层架构，设有对该***中各功能模块执行统一协调管理的公共服务面和***管理面，以及按照业务逻辑处理流程分为的三个层次：采集层、分析层和展示层，用于完成资产、脆弱性、威胁和安全态势的四个评估操作；并基于网络中的业务运营特点，结合现有的风险评估方法、流程和安全检测工具，提出一套新颖、动态、实时的评估方法。本发明能分析网络中的资产、业务和整个网络的风险，并进行安全态势评估。该***可在宏观上提供整体网络的安全状态，并能深入具体业务和资产，了解具体的安全问题，从而能有效帮助网络安全人员分析安全问题的根源所在，从而辅助提出安全解决方案和实施防御措施。

Description

一种网络安全态势评估方法及其***

技术领域

本发明涉及一种动态的、可扩展的、网络安全态势评估方法及其***，属于网络安全技术领域。

背景技术

随着网络规模的不断扩大，现在的网络在社会生活中已经扮演着越来越重要的角色；同时，网络安全问题也日益突出，并逐渐成为网络服务和应用进一步发展所亟需解决的关键问题。此外，随着网络入侵和攻击行为向着分布化、规模化、复杂化、间接化等趋势的发展，网络病毒和Dos/DDos攻击等构成的威胁和造成的损失越来越大，很多科研人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法对整个网络安全状况进行实时监控的。

网络安全态势评估是指对网络进行全方位的安全态势元素的提取、对当前态势进行分析和计算，并预测网络安全态势。所谓态势是一种状态和趋势，它是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。

自Tim Bass提出了网络安全态势感知概念后，随即又提出了基于多传感器数据融合的入侵检测框架，并把该框架用于下一代入侵检测***和网络安全态势感知***。采用该框架能够实现入侵行为的检测、入侵率计算、入侵者身份和入侵者行为的识别、态势评估以及威胁评估等功能。网络安全态势感知工具主要包括：美国劳伦斯伯克利国家实验室的Stephen Lau于2003年开发的“TheSpinning Cube of Potential Doom”***；卡内基梅隆大学软件工程研究所领导的CERT/NetSA开发出的SILK；美国国家高级安全***研究中心正在进行的SIFT项目。其他研究机构还有美国国防部计算机安全中心、美国空军、加拿大国防研究与开发中心，以及瑞士联邦技术院等。

鉴于当前网络的现状、发展以及入侵与攻击行为造成的巨大损失，有关政府部门已经意识到开展网络安全态势评估研究的必要性和紧迫性。美国国防部在2005年的财政预算报告中就包括了对网络安全态势评估项目的资助。美国高级研究和发展机构在2006年的预研计划中，明确指出网络安全态势感知的研究目标及关键技术。研究目标是以可视化方式为不同的决策者和分析员提供易访问、易理解的信息保障数据——攻击的信息和知识、漏洞信息、防御措施等；关键技术包括数据融合技术、数据可视化技术、网络管理工具集成技术、实时漏洞分析技术等等。

中国国内对网络安全态势评估的研究才刚刚起步。国防科学技术大学的冯毅从我军信息与网络安全的角度出发，阐述了我军积极开展网络安全态势评估研究的必要性和重要性，指出了两项关键技术——多源传感器数据融合技术和数据挖掘。国内其它相关研究主要是围绕网络安全态势评估、大规模网络预警等来开展的。在网络安全态势评估方面，西安交通大学实现了基于IDS和防火墙的集成化网络安全监控平台；北京理工大学信息安全与对抗技术研究中心研制了一套基于局域网络的网络安全态势评估***；在大规模网络预警方面，国防科技大学的胡华平等人提出了面向大规模网络的入侵检测与预警***的基本框架及其关键技术与难点问题。

网络安全态势评估包括以下内容：(1)在设定的网络环境下，提取与网络安全相关的各态势要素，用于安全分析和预测的准备。(2)分析事件发生的原因和影响力，对事件进行评级，并计算整个网络的安全态势。(3)形成可视化的网络综合态势图和态势分析报告。影响网络安全的因素包括资产重要性和价值、脆弱性、威胁，其中，资产是构成网络业务的基本元素，是整个网络的最基本组件。脆弱性是可能被威胁利用对资产造成损害的薄弱环节，威胁是一种对资产造成潜在破坏的可能性因素。威胁可能利用脆弱性对网络资产造成破坏。网络安全态势评估就是根据上述影响网络安全的各个因素对网络安全态势进行评估和预测。

从以上阐述，不难发现国内外的研究都还存在一些问题：(一)现有的工具实时性不强：网络安全态势是对网络安全状况进行实时监控，但是现有的监测***普遍存在的问题是实时性不强。(二)数据源单一：网络安全态势的相关因素复杂，而目前的数据源选取过于单一。(三)安全态势的显示没有突出重点，过于普通。如对于某个网络，客户可能最关注的是该网络发生安全事件将会造成的直接损失，而不仅仅只是泛泛地关注整个网络的情况。(四)风险数据的提取过于简单化，例如只关注威胁等。

随着网络技术的发展，网络逐渐趋向于采用统一的承载机制，即将现有的各种网络都融合到一个统一的承载网上，从而实现统一、方便、快捷的业务提供方式。这样自然就会引入新的功能实体和新的协议，同时也引入了新的安全隐患。因此，如何针对这种结构庞大、新颖而又复杂的网络，对其进行网络安全态势的评估已经成为十分必要且紧迫的科研热点，也是业内科研人员关注的新课题。

发明内容

有鉴于此，本发明的目的是提供一种网络安全态势评估方法及其***，本发明的评估***基于网络业务的运营特点，结合现有的风险评估方法、流程和安全检测工具，提出了一套新颖、动态、实时的评估方法。基于该评估***和方法，能够实现对网络中的资产、业务和整个网络的风险进行分析，并进行持续性的安全态势评估。本发明评估***不但在宏观上提供整体网络的安全状态，还可以深入具体的业务和资产，了解其具体的安全问题；从而能够有效帮助网络安全人员分析安全问题的根源所在，并且能够辅助提出安全解决方案和实施防御措施。

为了达到上述目的，本发明提供了一种网络安全态势评估方法及其***，其特征在于：所述***为两面三层架构，设有对该***中各功能模块执行统一协调管理的公共服务面和***管理面，以及按照业务逻辑处理流程分为的三个层次：采集层、分析层和展示层，用于完成资产、脆弱性、威胁和安全态势的四个评估操作；其中：

采集层，由分别采集资产脆弱性、威胁及资产信息的不同传感器组和由多个传感器管理器组成的传感器管理模块所组成，以便根据用户需求利用传感器采集相关基础信息、并对传感器进行管理和对信息进行格式处理；

分析层是***的核心功能层，负责对采集层采集的包括资产、威胁和脆弱性风险因素数据进行在线/离线分析，提取风险事件，并对其进行实时赋值和计算，预测安全态势；或者对采集的威胁数据进行关联分析，以预警网络新的威胁，并发现网络攻击事件之间的关联关系；包括威胁评估模块、脆弱性评估模块、资产价值计算模块和对上述模块采集的数据进行实时分析处理的风险因素管理模块和安全态势评估模块，以及用于离线分析的威胁关联分析模块；

展示层，用于通过图形化的直观方式展示网络资产、网络拓扑、网络中存在的脆弱性、面临的威胁的信息以及网络的安全态势，包括；资产信息展示模块、脆弱性报告展示模块、威胁报告展示模块、威胁关联展示模块、网络拓扑展示模块和安全态势展示模块；

公共服务面是***运行时的公共服务提供者，负责提供数据服务、***各个模块间的通信服务、计时服务和日志服务；包括：为各层之间提供内部通信的通信服务模块，维护***时钟的计时服务模块，为各层之间提供数据传输、数据存储和数据管理的数据服务模块，以及提供包括记录***运行、用户登录操作、***受攻击自我保护及其他情况的日志服务模块；

***管理面作为***运行时进行协调统一的支撑环境，设有以下功能模块：完成用户登录***鉴权、建立新账户、修改密码的用户管理模块，接受用户定制的评估策略，并根据该策略对各个模块间的协作进行控制的策略管理模块，以及对安全态势评估项目进行控制和调整，即包括启动和停止态势评估项目、调整数据采集策略，设置数据分析的相关参数的任务管理模块。

所述采集层设置的分别采集资产信息、资产脆弱性及威胁的三类传感器组，分别采集风险评估过程中所需的资产、脆弱性和威胁的基础信息，这些传感器组分别部署在网络中的主机或交换机/路由器上，通过扫描或监听来获取基于主机或网络的数据；其中部署在主机的传感器负责采集主机资产信息及其资产脆弱性信息；部署于交换机/路由器上的传感器用于采集网络威胁信息；

采集层中的传感器管理模块设有多个传感器管理器单元、消息队列及消息处理单元和传感器管理器注册单元，其中每个传感器管理器单元用作传感器管理模块中的独立功能实体，与具体类型的传感器绑定而为该类型传感器提供消息中转和管理服务；消息队列及消息处理单元负责对传感器采集的消息进行存储和处理；传感器管理器注册单元用于实现传感器管理器的可扩展性，以便通过各个传感器管理器的标识ID来互相识别，以实现***的可扩展性。

所述分析层中的各模块的功能分别是：

威胁评估模块，用于根据威胁事件数据库对采集到的威胁事件进行评估，再依据威胁事件对网络安全造成影响的程度，赋以相应的数值；根据资产的脆弱性的不同，每个威胁赋值所利用的专家数据库的赋值也不同；

脆弱性评估模块，用于根据脆弱性数据库对评估对象采集到的脆弱性参数进行评估，并通过匹配脆弱性在公共漏洞和暴露数据库CVE中的危险程度进行赋值；

资产价值计算模块，采用分层方式对资产和业务价值进行综合分析，再根据资产的固有价值、其承载业务的附属价值和承载业务的重要性及其他相关因素计算资产价值；

风险因素管理模块，负责对威胁、脆弱性和资产评估后的结果进行分析，提取出其中对网络、业务和资产有危害的部分，并将威胁与脆弱性作关联，提取可能对网络造成安全威胁的风险事件，以供安全态势评估模块进行计算；

安全态势评估模块，根据风险因素管理提供的风险事件，按照风险态势计算模型实时计算当前时刻的网络风险值，并预测网络风险值的发展趋势；

用于离线分析和处理威胁事件关联关系的威胁关联分析模块，用于深入分析威胁事件，依赖威胁关联知识库和已知的威胁关联关系，发现当前威胁事件之间的关联关系，生成关联图并根据该关联图预测新的威胁事件，以供分析人员了解威胁事件。

所述展示层包括以下功能模块：展示网络中的资产信息、资产承载的业务信息和资产其它重要信息的资产信息展示模块；以直观方式展示网络整体结构并在该拓扑图上以不同色彩表示各资产安全状况的网络拓扑展示模块；从多方面分析资产脆弱性并对该脆弱性进行统计分析，以及提供脆弱性补救措施的脆弱性报告展示模块；对网络、业务或主机所受到的威胁事件展示的威胁报告展示模块；对网络安全态势值进行汇总，以多视角多层次的方式展示网络安全态势的安全态势展示模块；对威胁事件进行深入分析，挖掘网络中威胁事件之间的关联关系，并预测新的威胁事件的威胁关联展示模块。

为了达到上述目的，本发明还提供了采用上述网络安全态势评估***评估网络安全态势的方法，其特征在于：所述网络安全态势评估是对网络安全风险态势的评估和预测，基于网络***的整体运行包括多个不同的业务，每个业务的运营需要多个网络资产的支撑，而每个网络资产又能同时支撑多个业务同时运作的特点，以及人们关注的焦点是网络中的风险事件是否会影响每个业务的正常运营；因此网络风险是由各个业务的风险与其业务重要性的加权之和来计算的，即以业务为中心来分析和评估安全态势；所述网络安全态势评估方法是先分别采集资产、脆弱性和威胁的三种不同信息，再根据资产信息计算资产价值，同时对脆弱性信息和威胁信息进行实时风险分析；然后提取网络中的风险因素并对其进行管理；最后通过历史数据和安全事件的关联分析计算网络中资产、业务和整个网络的风险，得到网络的整体安全态势。

所述方法包括下列操作步骤：

(1)***提供用户界面，用户按照自己需求建立评估任务；

(2)***按照评估任务的策略分别采集相应数据，分别进行资产价值、脆弱性赋值和威胁赋值的计算，再分析其中的风险因素和提取风险事件，然后根据风险事件评估和计算网络安全态势，同时对威胁分析的结果进行再分析，挖掘网络威胁之间内在的关联关系；

(3)***对评估任务处理后得到的评估结果以不同形式进行展示，***记录相关各项操作。

所述步骤(1)进一步包括下列操作：

(11)***提供用户登录接口和用户输入用户名与密码后，用户管理模块对其进行鉴权并返回结果；

(12)***提供用户输入接口，由用户输入包括评估对象网络、评估对象的资产参数、数据分析参数的评估任务的具体信息；

(13)根据用户输入的评估任务信息，策略管理模块将该评估任务分解为***能够识别的各个扫描任务，并通过通信管理模块提供的内部通信机制将相关信息转发到***的采集层和分析层。

所述步骤(2)进一步包括下列操作：

(21)采集层的传感器管理模块接收到评估任务的相关信息，按照策略匹配对其进行分解，由各种传感器分别采集资产、脆弱性和威胁的相关信息，并对这些传感器进行线程监控；

(22)采集层的各种传感器采集得到的原始数据通过传感器管理器进行格式转换后，传送至分析层；

(23)分析层得到各种传感器送来的相应数据后，由资产价值计算模块、脆弱性评估模块和威胁评估模块分别进行资产价值、脆弱性赋值和威胁赋值的计算处理后；再将得到的结果提供给风险因素管理模块和安全态势评估模块，由后者对其进行风险事件的分析和提取，并利用计算模型进行网络安全态势的实时评估；

(24)威胁关联分析模块对威胁事件的关联进行离线分析，并将分析结果存储到数据库中；该步骤为可选择操作。

所述步骤(23)中，安全态势评估模块实时评估网络安全态势的操作进一步包括下列内容：

(231)根据资产风险的计算模型：R_a＝A×∑{T_x×V_y}，式中，A为资产a的价值，T_x为根据资产a遭受的某个威胁来源和影响程度赋予的威胁值，V_y为资产a所具有的某个脆弱性值，a、x、y分别是资产、威胁和脆弱性的序号；分别计算各个资产风险；

(232)根据业务风险的计算模型：R_s＝∑{A_z×∑T_x×V_y}，式中，A_z为该业务包含的某个资产价值；T_x为该资产A_z遭受某个威胁来源和影响程度赋予的威胁值；V_y为该资产A_z所具有的某个脆弱性的值，z、x、y分别是支撑该业务的某个资产、威胁和脆弱性的序号，分别计算各个业务风险；

(233)根据整个网络的安全风险为其中各个业务的风险与每个业务的重要性的加权之和的计算模型，计算整个***的网络风险值：R_total/＝∑{C_i×R_i}，式中，R_i为其中某个业务i的业务风险值，C_i是某个业务i的重要性级别赋值，i是网络中运行的各个业务的序号。

所述资产风险是指网络中存在的某个资产，当该资产具有脆弱性和网络威胁的目标为该资产时，针对该资产的脆弱性所产生在该资产上的风险事件的加权数值；

所述业务风险是指业务在运行过程中，针对该业务的运行和承载该业务的网络设备发生风险事件的可能性以及可能造成的影响；业务风险是下述两个变量：意外事件发生的可能性和意外事件发生后可能产生的影响的函数，前者是威胁源利用一个潜在脆弱性的可能性，后者是意外事件对网络安全产生的影响；风险值是所面临的所有威胁下的风险数值；

所述网络风险是指整个网络中，针对网络的资产，网络中运行的业务发生的风险事件的可能性以及可能造成的影响。，从而实现统一、方便、快捷的业务提供方式。

本发明是一种网络安全态势评估方法及其***，众所周知，现有的各种成熟的网络安全工具能够捕捉到TCP/IP网络中的安全信息，由于网络的发展趋势是将现有的各种网络都融合到一个统一的承载网上，并采用基于IP的分组网络结构，因此本发明网络安全态势的评估***是在集成现有成熟网络安全工具的基础上构建的，该***的主要特点是采用两面三层的体系架构完成四个操作流程，它能够涵盖网络安全态势分析过程中的多个环节，并通过日志服务增强***本身的安全性。整个***的工作逻辑清晰、流畅，减少了***各层之间的耦合度。该评估***采用CORBA的分布式***结构，将***的各层次和各层面的各个软件功能模块之间的耦合性降到最低，且各层的软件功能模块既可以分布在不同的物理平台上，也可以将各层分布在不同的地域，增加了***的扩展性和灵活性。另外，本发明的评估方法的操作步骤简单、易行，既能够实现对包括现有的各种网络以及未来的下一代电信网或其他网络的安全状态提供实时、动态、全面的在线风险评估报告，也能够提供离线的风险关联评估报告，具有很好的实际应用价值。

附图说明

图1是本发明网络安全态势评估***的架构组成示意图。

图2是本发明网络安全态势评估***的网络部署示意图。

图3是本发明评估***中的传感器管理模块结构组成示意图。

图4是本发明评估***中的分析层功能模块结构组成示意图。

图5是本发明评估***中的资产信息采集处理流程示意图。

图6是本发明评估***中的威胁关联分析模块结构组成示意图。

图7是本发明评估***中的展示层结构组成框架图。

图8是本发明评估***进行安全态势评估的操作流程图。

图9是本发明评估***的风险计算层次结构示意图。

图10是本发明***实施例中展示的威胁关联分析所生成的关联分析图。

图11是本发明***实施例中展示的安全态势柱状图示意图。

图12是本发明***实施例中展示的安全态势折线图示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。

先解释本发明中的若干术语的定义：资产是通过信息化建设所积累起来的包括信息设备、信息、生产或服务能力及其社会信誉的有形和无形资产；资产值是根据资产在业务中的重要性及其他相关因素估算出来的数值，该数值越大说明其资产越重要。脆弱性是指信息或资产及其防护措施在安全防卫上的不足、漏洞或弱点，脆弱性值是根据资产已发现的漏洞所评估的脆弱性数值，该数值越大说明其资产越重要；威胁是每个单位的信息或资产的安全可能受到的侵害，威胁有多个属性：网络威胁的主体、能力、资源、动机、途径、可能性及其后果，威胁值是根据包括外部攻击对资产造成的损失、攻击发生概率及资产本身价值的多种因素来评估资产所受到的威胁数值，其数字越大说明其资产越重要。

参见图1，介绍本发明网络安全态势评估***的组成架构，该评估***的核心功能是对目标网络进行安全态势评估，根据风险评估的要素，应该提供资产价值计算、威胁分析、脆弱性分析和安全态势评估的功能。因此，本发明***由两面三层的架构体系组成：对该***中各软件功能模块执行统一协调管理的公共服务面和***管理面，以及按照业务逻辑处理流程分为的三个层次：根据用户需求利用传感器采集相关基础信息、对传感器进行管理、并对采集的信息进行初步处理的采集层，分别对网络中资产信息价值、脆弱性和***受到的威胁进行分析和计算，再计算网络安全态势和进行威胁关联分析的分析层，以及对网络的资产信息和拓扑信息、网络中存在的脆弱性信息和威胁信息、网络的安全态势进行多视点多角度展现的展示层，用于完成资产、脆弱性、威胁和安全态势的四个评估操作流程的功能。下面具体分析各层结构：

采集层设有分别采集网络资产脆弱性、网络威胁及网络资产信息的不同传感器组和由多个传感器管理器组成的传感器管理模块。传感器组的作用主要是采集风险评估过程中所需的资产、脆弱性和威胁等三类基础数据。传感器组主要通过部署在网络中主机资产或交换机上进行扫描或监听来获取数据。传感器管理模块负责接收传感器发送来的数据，控制传感器所执行的采集任务的启动、关闭，并对采集的数据进行格式转换处理。

参见图2，介绍本发明评估***及其中采集层的传感器组在网络中的部署情况：该***设有多个服务器，其中采集层服务器、分析层服务器和展示层服务器分别实现采集层、分析层和展示层的相关功能，公共服务与***管理服务器用于实现公共服务面与***管理面的功能。传感器组分别部署在网络中的主机或交换机/路由器上，分为基于主机或基于网络的传感器，通过扫描或监听来获取基于主机或网络的数据。其中部署在主机的传感器负责采集主机资产信息及其资产脆弱性信息；部署于交换机/路由器上的传感器用于采集网络威胁信息；在大型网络中部署的子传感器管理模块用于完成网络传感器组的分层部署。采集层是根据用户需求利用传感器采集相关基础信息、并对传感器进行管理和对信息进行格式处理。

参见图3，介绍采集层中重要部分-传感器管理模块，用于统一管理传感器组，收发传感器组采集的数据，并对各种传感器采集上来的数据进行处理。它设有多个传感器管理器单元、消息队列及消息处理单元和传感器管理器注册单元，其中每个传感器管理器单元用作传感器管理模块中的独立功能实体，与具体类型的传感器绑定而为该类型传感器提供消息中转和管理服务。如果添加新的传感器，可以编写新的传感器管理器进行处理，从而大大提高了***的扩展性。这种扩展性通过传感器管理器注册库单元和消息队列单元实现。传感器组接入是传感器管理器的关键部分，接入方式是研究工具内部的通信机制。如果工具已经有内部通信协议，这种工具就是可控的，只需采用传感器管理器封装其内部协议进行管理即可；如果工具没有内部通信协议，只能在本地记录数据或不记录数据，则这种工具是不可控的，还要为其编写相应的辅助工具进行远程传输服务。传感器代理则用于代理执行传感器的数据采集和管理功能，除了处理命令和数据外，代理的设计可添加数据存储/查询功能，以方便查询历史数据并进行深入分析。消息队列及消息处理单元负责对传感器采集的消息进行存储和处理。本发明评估***还借鉴普通信件传递原理设计了一套消息格式，该消息格式中的消息域只存储发送消息的来源和目的模块名，在消息体中封装具体消息内容。这样使用同一套消息可以处理多种消息体。传感器管理器注册单元用于实现传感器管理器的可扩展性，以便通过各个传感器管理器的标识ID来互相识别，并实现***的可扩展性。其中标识ID与具体传感器关联，且由传感器管理器注册来记录。所有传感器管理器在启动时，都会在传感器管理器注册单元注册自己的标识ID。消息队列处理则在传感器管理器注册单元中查找标识ID对应的模块，并把消息转发给该模块进行处理。

参见图4，介绍本发明***的核心部分-分析层，包括威胁评估模块、脆弱性评估模块、资产价值计算模块和对上述模块采集的数据进行实时分析处理的风险因素管理模块和安全态势评估模块，以及用于离线分析的威胁关联分析模块。分析层负责对采集层采集的包括资产、威胁和脆弱性风险因素数据进行在线/离线分析，提供风险因素的分析和管理，并从中提取风险事件，再对其进行实时赋值并按照风险计算模型，计算网络、业务和资产的风险值和预测安全态势；或者采用离线分析：对采集的威胁数据进行关联分析，以预警网络新的威胁，并发现网络攻击事件之间的关联关系。

参见图5，本发明***的资产价值计算模块是根据资产信息以及该资产承载的业务来计算资产价值。为实现资产信息的自动化采集，先由人工输入相关信息，然后本发明评估***通过资产传感器对实际网络中部署的资产及其上承载的业务进行扫描和计算，再给出结果并提示，最后人工确定该资产的最终信息。确认以后，再按照本发明***所采用的资产价值计算方法对其进行赋值。其中在线分析引擎用于完成对数据的实时分析，包括资产价值计算模块、脆弱性评估模块、威胁评估模块、风险因素管理模块和安全态势评估模块。

下面分别具体说明分析层中的各模块的功能：

威胁评估模块负责采用权威的威胁事件数据库对采集到的威胁事件进行分析和评估，现有的许多权威的入侵检测工具对每种实际威胁类型都有相应的赋值，根据这些威胁赋值，结合威胁的类型进行赋值。再依据威胁事件对网络安全造成影响的程度，赋以相应的数值；根据资产的脆弱性的不同，每个威胁赋值所利用的专家数据库中的赋值也不同。赋值完成后，网络威胁信息赋值结果存入风险因素管理模块中，由于威胁信息是时刻变化的，因此在风险因素管理模块缓存一段时间后，将该段时间内缓存下来的威胁信息结果写入数据库中。

脆弱性评估模块负责对评估对象采集到的网络脆弱性信息进行评估和赋值计算。脆弱性是评估对象的基本安全属性，赋值计算的依据是公共漏洞和暴露数据库CVE建立的脆弱性数据库中所存储的危险程度赋值数据进行赋值。赋值完成后，将赋值结果提交给风险因素管理模块，并且将完成后的脆弱性数据结构写入数据库。

资产价值计算模块采用分层方式对资产和业务价值进行综合分析，再根据资产的固有价值、其承载业务的附属价值和承载业务的重要性及其他相关因素计算资产价值。

风险因素管理模块负责在内存中维护资产、网络脆弱性及网络威胁信息，并根据资产与脆弱性、威胁的关联关系提取其中危害资产的部分，并将威胁与脆弱性作关联，提取可能对网络造成安全威胁的风险因素和风险事件，以供安全态势评估模块进行实时的风险计算与预测。风险因素管理模块主要保存上次扫描完成后的网络脆弱性的赋值结果。由于威胁信息的实时性，以及安全态势计算公式的特性，需要风险因素管理单元存储设定时间内的网络威胁赋值结果。由此提出窗口的概念。风险因素管理模块需要保存窗口范围内的数据，窗口的边缘为当前时间，窗口大小则由用户设定，即窗口内保存的威胁赋值是从当前时间往前某个时间段内的所有威胁赋值。该时间段的长度即为窗口的大小。

安全态势评估模块负责根据对威胁、脆弱性和资产评估后的结果进行分析，提取出其中对网络、业务和资产有危害的部分，提供给安全态势评估进行计算。风险因素管理将威胁与脆弱性作关联，提取可能对网络造成安全威胁的风险事件风险因素管理模块提供的风险事件，按照风险态势计算模型实时分别计算当前威胁事件的赋值、脆弱性的赋值、资产价值，进而计算出当前时刻的网络风险值，并根据风险因素管理模块的分析，将孤立的威胁、脆弱性、资产信息综合起来，根据前文提出的方法计算和预测整个网络风险值的发展态势。该模块的计算方法详见后述。

参见图6，说明用于完成安全态势评估中的离线分析的威胁关联分析模块，它主要对网络中出现的威胁事件进行关联分析，用于深入分析威胁事件，并依赖威胁关联知识库和已知的威胁关联关系，发现当前威胁事件之间的关联关系，最终生成关联图并预测新的威胁事件，以供分析人员进一步了解威胁事件。

由于脆弱性和资产的信息都相对稳定，而威胁信息是动态频繁变化的。威胁信息来源于各个入侵检测工具提供的单个威胁事件，因为这些事件都是孤立的，所以本发明的评估***设计了威胁关联分析模块，用于研究和解析各个孤立威胁事件之间的关联，并发现可能引起的威胁事件的起因。

威胁关联分析模块设有一个轮询进程，该轮询进程每隔一段时间从采集层中采集这段时间内的威胁报警数据，存放在数据库中。对于数据库中的报警数据，先由告警预处理单元将其转换为高级报警形式，这种形式的报警增添了可能引起的结果及其条件，以便进行关联分析。告警关联匹配与关联图生成单元再将高级报警中的因素进行总结，利用威胁关联知识库推导出各个报警之间的关系，再形成关联图，达到预测新威胁的目的。

展示层，用于通过图形化的直观方式展示网络资产、网络拓扑、网络中存在的脆弱性和威胁的不同信息以及网络的安全态势，包括；资产信息展示模块、脆弱性展示模块、威胁展示模块、威胁关联展示模块、网络拓扑展示模块和安全态势展示模块；

参见图7，介绍采用浏览器/服务器架构的展示层，用于通过图形化的直观方式展示网络资产、网络拓扑、网络中存在的脆弱性和威胁的不同信息以及网络的安全态势，包括以下模块；

展示网络中的资产信息、资产承载的业务信息和其它重要信息的资产信息展示模块；该模块以报告形式列举当前网络中的所有资产、资产价值、资产承载的业务以及资产的其他基本信息，以供***或用户在发生风险事件时能够及时、准确地查找到具体资产，并对资产的基本情况有个清楚地认识。

以直观方式展示网络整体拓扑并在该拓扑图上以不同色彩表示各资产安全状况的网络拓扑展示模块，该模块通过拓扑扫描工具得到的数据生成网络拓扑结构图，再基于该网络拓扑图在其上进行加工，以便能够从宏观上展示网络拓扑结构，并依据极低、低、中、高、极高的风险等级进行分颜色标识。

从多方面分析资产脆弱性并对此脆弱性进行统计分析，以及提供脆弱性补救措施的脆弱性报告展示模块。该模块主要功能是通过调用数据库中的脆弱性信息，并对其进行展示和提供脆弱性报告，该报告包含脆弱性名称、脆弱性所在资产信息、脆弱性的补救方法、脆弱性被利用的几率，以及脆弱性的危险程度。脆弱性报告展示模块还以饼状图、柱状图的形式对网络中资产的脆弱性进行统计分析，以快捷的方式展示脆弱性信息。

对网络、业务或主机所受到的威胁事件并对这些威胁事件进行展示的威胁报告展示模块。威胁报告展示模块完成的主要功能是提供威胁报告，该报告包含威胁名称、威胁源与威胁目的、威胁强度等信息。威胁报告展示模块还对相同的威胁进行统计，以威胁源、威胁目的为属性条件分析威胁事件。

对网络安全态势值进行汇总，以多视角多层次的方式展示网络安全态势的安全态势展示模块。

对威胁事件进行深入分析，挖掘网络中威胁事件之间的关联关系，并预测新的威胁事件的威胁关联展示模块。

本发明评估***中的上述各个层次的每个软件功能模块都必须依靠公共服务面和***管理面进行协调统一。其中公共服务面是***运行时的公共服务提供者，负责提供数据服务、***各个模块间的通信服务、计时服务和日志服务。设有提供各层之间的内部通信机制的通信服务模块，维护***时钟的计时服务模块，该计时服务模块为***运行维护一个时钟，以选取***时间作为整个***三层结构之间的同步，并为任务的执行提供统一的时间管理。提供各层之间进行数据传输、数据存储、数据管理的数据服务模块，该模块是***维护的数据库，也是***所有数据的集中地，无论在线分析、离线分析的结果都将存入该数据库，以供展示层的调用。以及提供记录***运行、用户登录操作、***受攻击自我保护及其他情况日志服务模块，该模块采用成熟的日志记录技术，在***其他各个模块中添加相关记录信息，并通过日志服务模块进行日志管理操作，如查询、存储、删除日志条目。

***管理面作为***运行时进行协调统一的支撑环境，设有以下功能模块：完成用户登录***鉴权、建立新账户、修改密码的用户管理模块，该模块维护登录***的用户数据，对用户身份进行鉴别，并为管理员提供用户管理功能。用户管理模块提供用户与***的界面交互。接受用户定制的评估策略，并根据该策略对各个模块间的协作进行控制的策略管理模块，该模块在任务执行过程中采用相应策略(如***采集层传感器组的采集频率等)进行管理，该模块与任务管理模块虽在逻辑上分开，但在实现过程中同时发挥作用。用户在提交任务时，需要对任务执行策略和***运行策略分别进行配置。以及对安全态势评估项目进行控制和调整，即包括启动和停止态势评估项目、调整数据采集策略，设置数据分析的相关参数的任务管理模块，该模块包括有用户登录后可以进行操作的具体内容：包括态势评估项目的启动与停止，数据采集策略的调整，数据分析相关参数的配置等。本发明的评估***通过该模块协调其他各个模块的工作，其他所有模块的运行状态都是由该模块进行维护并发送命令。

下面介绍本发明使用网络安全态势评估***来评估网络安全态势的方法，众所周知，本发明评估***的核心功能是对目标网络进行安全风险态势的评估和预测，根据风险评估的要素，***必须提供资产价值计算、威胁分析、脆弱性分析和安全态势评估的功能。鉴于网络***的整体运行包括多个不同的业务，每个业务的运营需要多个网络资产的支撑，而每个网络资产又能同时支撑多个业务同时运作的特点，以及人们关注的焦点是网络中的风险事件是否会影响每个业务的正常运营；因此网络风险是由各个业务的风险与其业务重要性的加权之和来计算，即以业务为中心来分析和评估安全态势。因此，本发明的网络安全态势评估方法(参见图8)是先分别采集资产、脆弱性和威胁的三种不同信息，再根据资产信息计算资产价值，同时对脆弱性信息和威胁信息进行实时风险分析；然后提取网络中的风险因素并对其进行管理；最后通过历史数据和安全事件的关联分析计算网络中资产、业务和整个网络的风险，得到网络的整体安全态势。

该方法包括下列操作步骤：

步骤1、***提供用户界面，用户按照自己需求建立评估任务。该步骤的具体操作内容是：

(11)***提供用户登录接口和用户输入用户名与密码后，用户管理模块对其进行鉴权并返回结果；

(12)***提供用户输入接口，由用户输入包括评估对象网络、评估对象的资产参数、数据分析参数的评估任务的具体信息；

(13)根据用户输入的评估任务信息，策略管理模块将该评估任务分解为***能够识别的各个扫描任务，并通过通信管理模块提供的内部通信机制将相关信息转发到***的采集层和分析层。

步骤2、***按照评估任务的策略分别采集相应数据，分别进行资产价值、脆弱性赋值和威胁赋值的计算，再分析其中的风险因素和提取风险事件，然后根据风险事件评估和计算网络安全态势，同时对威胁分析的结果进行再分析，挖掘网络威胁之间内在的关联关系。

根据网络安全态势评估的基本流程和要素，以及网络安全态势的定义,详细说明本发明方法中的该关键操作步骤的具体流程。网络安全态势评估是对网络安全风险态势的评估，主要的三要素分别是资产、威胁和脆弱性，***通过数据采集模块的传感器组获得上述三要素的基础数据。其中资产数据由资产传感器收集，并交给分析层的资产价值计算模块计算得出资产的价值；威胁和脆弱性分别由威胁传感器和脆弱性传感器采集数据并交给分析层的威胁评估模块和脆弱性评估模块，然后统一交由风险因素管理模块来存储和管理，再由安全态势评估模块结合资产信息和风险要素，实时计算各个风险值，并得出评估对象网络的当前安全态势值。

其中资产风险是指网络中存在的某个资产，当该资产具有脆弱性和网络威胁的目标为该资产时，针对该资产的脆弱性所产生在该资产上的风险事件的加权数值。业务风险是指业务在运行过程中，针对该业务的运行和承载该业务的网络设备发生风险事件的可能性以及可能造成的影响；业务风险是下述两个变量：意外事件发生的可能性和意外事件发生后可能产生的影响的函数，前者是威胁源利用一个潜在脆弱性的可能性，后者是意外事件对网络安全产生的影响；风险值是所面临的所有威胁下的风险数值。网络风险是指整个网络中，针对网络的资产，网络中运行的业务发生的风险事件的可能性以及可能造成的影响。

由于网络基本信息的数据采集是时刻变化的，本发明***能够实时捕捉这些变化，及时反映***当前的安全态势，进行持续的态势评估。该步骤具体操作内容是：

(21)采集层的传感器管理模块接收到评估任务的相关信息，按照策略匹配对其进行分解，由各种传感器分别采集资产、脆弱性和威胁的相关信息，并对这些传感器进行线程监控；

(22)采集层的各种传感器采集得到的原始数据通过传感器管理器进行格式转换后，传送给分析层；

(23)分析层得到各种传感器送来的相应数据后，由资产价值计算模块、脆弱性评估模块和威胁评估模块分别进行资产价值、脆弱性赋值和威胁赋值的计算处理后；再将得到的结果提供给风险因素管理模块和安全态势评估模块，由后者对其进行风险事件的分析和提取，并利用计算模型进行网络安全态势的实时评估；

参见图9，介绍该步骤(23)中，安全态势评估模块实时评估网络安全态势的具体操作内容：

(231)根据资产风险的计算模型：R_a＝A×∑{T_x×V_y}，式中，A为资产a的价值，T_x为根据资产a遭受的某个威胁来源和影响程度赋予的威胁值，V_y为资产a所具有的某个脆弱性值，a、x、y分别是资产、威胁和脆弱性的序号；分别计算各个资产风险；

(232)根据业务风险的计算模型：R_s＝∑{A_z×∑T_x×V_y}，式中，A_z为该业务包含的某个资产价值；T_x为该资产A_z遭受某个威胁来源和影响程度赋予的威胁值；V_y为该资产A_z所具有的某个脆弱性的值，z、x、y分别是支撑该业务的某个资产、威胁和脆弱性的序号，分别计算各个业务风险；

(233)根据整个网络的安全风险为其中各个业务的风险与每个业务的重要性的加权之和的计异模型，计算整个***的网络风险值：R_total＝∑{C_i×R_i}，式中，R_i为其中某个业务i的业务风险值，C_i是某个业务i的重要性级别赋值，i是网络中运行的各个业务的序号。

(24)威胁关联分析模块对威胁事件的关联进行离线分析，并将分析结果存储到数据库中；该步骤为可选择操作。

步骤3、***对评估任务处理后得到的评估结果以不同形式进行展示，***记录相关各项操作。

本发明已经进行了实施试验，试验是成功的，实现了发明目的，下面简要说明实施试验的若干情况：

参见图10，该图是本发明评估***进行实施试验时，其中威胁关联分析模块生成的一张威胁关联图。图中的椭圆表示网络威胁报警事件，通过箭头表示各个威胁事件之间的关联关系。左边第一个椭圆表示本次仿真试验中采集到的所有告警中的第71个、名称为“ICMP PING NMAP”的告警。图中从A到B的箭头表示告警A是告警B的发生的前提，告警B是告警A的后果。

参见图11，该图是本发明评估***中的安全态势展示模块采用柱状图展示的资产风险状况，展示图中的横轴为各个资产，纵轴为相应的风险值，并通过分界线把纵轴分成了极低、低、中、高、极高五个风险等级。每个柱状代表一个资产，柱状的高度标明了该资产对应的风险值，并用不同颜色深度进行标记。本发明的业务安全态势图与该资产安全态势图类似，只是横轴以业务为单位。

参见图12，该图也是本发明评估***中的安全态势展示模块生成的安全态势图。展示网络、业务、资产的安全风险变化过程，并预测未来安全走势。图中的折线由网络、业务或资产的安全风险值连接而成，折线图可以直观地表示网络、业务或资产随着时间的变化，风险值变化的过程，并能够实时地动态展示出来。该模块以30秒为间隔实时读取安全态势值，并根据混沌理论预测方法预测安全趋势。

Claims (10)

1、一种网络安全态势评估***，其特征在于：所述***为两面三层架构，设有对该***中各功能模块执行统一协调管理的公共服务面和***管理面，以及按照业务逻辑处理流程分为的三个层次：采集层、分析层和展示层，用于完成资产、脆弱性、威胁和安全态势的四个评估操作；其中：

采集层，由分别采集资产脆弱性、威胁及资产信息的不同传感器组和由多个传感器管理器组成的传感器管理模块所组成，以便根据用户需求利用传感器采集相关基础信息、并对传感器进行管理和对信息进行格式处理；

分析层是***的核心功能层，负责对采集层采集的包括资产、威胁和脆弱性风险因素数据进行在线/离线分析，提取风险事件，并对其进行实时赋值和计算，预测安全态势；或者对采集的威胁数据进行关联分析，以预警网络新的威胁，并发现网络攻击事件之间的关联关系；包括威胁评估模块、脆弱性评估模块、资产价值计算模块和对上述模块采集的数据进行实时分析处理的风险因素管理模块和安全态势评估模块，以及用于离线分析的威胁关联分析模块；

展示层，用于通过图形化的直观方式展示网络资产、网络拓扑、网络中存在的脆弱性、面临的威胁的信息以及网络的安全态势，包括；资产信息展示模块、脆弱性报告展示模块、威胁报告展示模块、威胁关联展示模块、网络拓扑展示模块和安全态势展示模块；

公共服务面是***运行时的公共服务提供者，负责提供数据服务、***各个模块间的通信服务、计时服务和日志服务；包括：为各层之间提供内部通信的通信服务模块，维护***时钟的计时服务模块，为各层之间提供数据传输、数据存储和数据管理的数据服务模块，以及提供包括记录***运行、用户登录操作、***受攻击自我保护及其他情况的日志服务模块；

***管理面作为***运行时进行协调统一的支撑环境，设有以下功能模块：完成用户登录***鉴权、建立新账户、修改密码的用户管理模块，接受用户定制的评估策略，并根据该策略对各个模块间的协作进行控制的策略管理模块，以及对安全态势评估项目进行控制和调整，即包括启动和停止态势评估项目、调整数据采集策略，设置数据分析的相关参数的任务管理模块。

2、根据权利要求1所述的网络安全态势评估***，其特征在于：所述采集层设置的分别采集资产信息、资产脆弱性及威胁的三类传感器组，分别采集风险评估过程中所需的资产、脆弱性和威胁的基础信息，这些传感器组分别部署在网络中的主机或交换机/路由器上，通过扫描或监听来获取基于主机或网络的数据；其中部署在主机的传感器负责采集主机资产信息及其资产脆弱性信息；部署于交换机/路由器上的传感器用于采集网络威胁信息；

采集层中的传感器管理模块设有多个传感器管理器单元、消息队列及消息处理单元和传感器管理器注册单元，其中每个传感器管理器单元用作传感器管理模块中的独立功能实体，与具体类型的传感器绑定而为该类型传感器提供消息中转和管理服务；消息队列及消息处理单元负责对传感器采集的消息进行存储和处理；传感器管理器注册单元用于实现传感器管理器的可扩展性，以便通过各个传感器管理器的标识ID来互相识别，以实现***的可扩展性。

3、根据权利要求1所述的网络安全态势评估***，其特征在于：所述分析层中的各模块的功能分别是：

威胁评估模块，用于根据威胁事件数据库对采集到的威胁事件进行评估，再依据威胁事件对网络安全造成影响的程度，赋以相应的数值；根据资产的脆弱性的不同，每个威胁赋值所利用的专家数据库中的赋值也不同；

脆弱性评估模块，用于根据脆弱性数据库对评估对象采集到的脆弱性参数进行评估，并通过匹配脆弱性在公共漏洞和暴露数据库CVE中的危险程度进行赋值；

资产价值计算模块，采用分层方式对资产和业务价值进行综合分析，再根据资产的固有价值、其承载业务的附属价值和承载业务的重要性及其他相关因素计算资产价值；

风险因素管理模块，负责对威胁、脆弱性和资产评估后的结果进行分析，提取出其中对网络、业务或资产有危害的部分，并将威胁与脆弱性作关联，提取可能对网络造成安全威胁的风险事件，以供安全态势评估模块进行计算；

安全态势评估模块，根据风险因素管理提供的风险事件，按照风险态势计算模型实时计算当前时刻的网络风险值，并预测网络风险值的发展趋势；

用于离线分析和处理威胁事件关联关系的威胁关联分析模块，用于深入分析威胁事件，依赖威胁关联知识库和已知的威胁关联关系，发现当前威胁事件之间的关联关系，生成关联图并根据该关联图预测新的威胁事件，以供分析人员了解威胁事件。

4、根据权利要求1所述的网络安全态势评估***，其特征在于：所述展示层包括以下功能模块：展示网络中的资产信息、资产承载的业务信息和资产其它重要信息的资产信息展示模块；以直观方式展示网络整体结构并在该拓扑图上以不同色彩表示各资产安全状况的网络拓扑展示模块；从多方面分析资产脆弱性并对该脆弱性进行统计分析，以及提供脆弱性补救措施的脆弱性报告展示模块；对网络、业务或主机所受到的威胁事件展示的威胁报告展示模块；对网络安全态势值进行汇总，以多视角多层次的方式展示网络安全态势的安全态势展示模块；对威胁事件进行深入分析，挖掘网络中威胁事件之间的关联关系，并预测新的威胁事件的威胁关联展示模块。

5、一种采用权利要求1所述的网络安全态势评估***评估网络安全态势的方法，其特征在于：所述网络安全态势评估是对网络安全风险态势的评估和预测，基于网络***的整体运行包括多个不同的业务，每个业务的运营需要多个网络资产的支撑，而每个网络资产又能同时支撑多个业务同时运作的特点，以及人们关注的焦点是网络中的风险事件是否会影响每个业务的正常运营；因此网络风险是由各个业务的风险与其业务重要性的加权之和来计算的，即以业务为中心来分析和评估安全态势；所述网络安全态势评估方法是先分别采集资产、脆弱性和威胁的三种不同信息，再根据资产信息计算资产价值，同时对脆弱性信息和威胁信息进行实时风险分析；然后提取网络中的风险因素并对其进行管理；最后通过历史数据和安全事件的关联分析计算网络中资产、业务和整个网络的风险，得到网络的整体安全态势。

6、根据权利要求5所述的评估网络安全态势的方法，其特征在于：所述方法包括下列操作步骤：

(1)***提供用户界面，用户按照自己需求建立评估任务；

(2)***按照评估任务的策略分别采集相应数据，分别进行资产价值、脆弱性赋值和威胁赋值的计算，再分析其中的风险因素和提取风险事件，然后根据风险事件评估和计算网络安全态势，同时对威胁分析的结果进行再分析，挖掘网络威胁之间内在的关联关系；

(3)***对评估任务处理后得到的评估结果以不同形式进行展示，***记录相关各项操作。

7、根据权利要求6所述的评估网络安全态势的方法，其特征在于：所述步骤(1)进一步包括下列操作：

(11)***提供用户登录接口和用户输入用户名与密码后，用户管理模块对其进行鉴权并返回结果；

(12)***提供用户输入接口，由用户输入包括评估对象网络、评估对象的资产参数、数据分析参数的评估任务的具体信息；

(13)根据用户输入的评估任务信息，策略管理模块将该评估任务分解为***能够识别的各个扫描任务，并通过通信管理模块提供的内部通信机制将相关信息转发到***的采集层和分析层。

8、根据权利要求6所述的评估网络安全态势的方法，其特征在于：所述步骤(2)进一步包括下列操作：

(21)采集层的传感器管理模块接收到评估任务的相关信息，按照策略匹配对其进行分解，由各种传感器分别采集资产、脆弱性和威胁的相关信息，并对这些传感器进行线程监控；

(22)采集层的各种传感器采集得到的原始数据通过传感器管理器进行格式转换后，传送至分析层；

(23)分析层得到各种传感器送来的相应数据后，由资产价值计算模块、脆弱性评估模块和威胁评估模块分别进行资产价值、脆弱性赋值和威胁赋值的计算处理后；再将得到的结果提供给风险因素管理模块和安全态势评估模块，由后者对其进行风险事件的分析和提取，并利用计算模型进行网络安全态势的实时评估；

(24)威胁关联分析模块对威胁事件的关联进行离线分析，并将分析结果存储到数据库中；该步骤为可选择操作。

9、根据权利要求8所述的评估网络安全态势的方法，其特征在于：所述步骤(23)中，安全态势评估模块实时评估网络安全态势的操作进一步包括下列内容：

(231)根据资产风险的计算模型：R_a＝A×∑{T_x×V_y}，式中，A为资产a的价值，T_x为根据资产a遭受的某个威胁来源和影响程度赋予的威胁值，V_v为资产a所具有的某个脆弱性值，a、x、y分别是资产、威胁和脆弱性的序号；分别计算各个资产风险；

(232)根据业务风险的计算模型：R_s＝∑{A_z×∑T_x×V_y}，式中，A_z为该业务包含的某个资产价值；T_x为该资产A_z遭受某个威胁来源和影响程度赋予的威胁值；V_y为该资产A_z所具有的某个脆弱性的值，z、x、y分别是支撑该业务的某个资产、威胁和脆弱性的序号，分别计算各个业务风险；

(233)根据整个网络的安全风险为其中各个业务的风险与每个业务的重要性的加权之和的计算模型，计算整个***的网络风险值：R_total＝∑{C_i×R_i}，式中，R_i为其中某个业务i的业务风险值，C_i是某个业务i的重要性级别赋值，i是网络中运行的各个业务的序号。

10、根据权利要求9所述的评估网络安全态势的方法，其特征在于：所述资产风险是指网络中存在的某个资产，当该资产具有脆弱性和网络威胁的目标为该资产时，针对该资产的脆弱性所产生在该资产上的风险事件的加权数值；

所述业务风险是指业务在运行过程中，针对该业务的运行和承载该业务的网络设备发生风险事件的可能性以及可能造成的影响；业务风险是下述两个变量：意外事件发生的可能性和意外事件发生后可能产生的影响的函数，前者是威胁源利用一个潜在脆弱性的可能性，后者是意外事件对网络安全产生的影响；风险值是所面临的所有威胁下的风险数值；

所述网络风险是指整个网络中，针对网络的资产，网络中运行的业务发生的风险事件的可能性以及可能造成的影响。

Images