CN103618691A - 一种网络安全效能评估方法 - Google Patents

Abstract

本发明属于信息安全技术领域，公开了一种网络安全效能评估方法。首先确定网络安全效能评估的要素，以及衡量每个评估要素变化情况的因子；然后，利用网络探针、perfmon性能计数器等获取遭受攻击前、后评估要素各个因子的值，并对采集的原始数据进行预处理；最后，通过分别计算各评估要素的评价值，计算网络安全效能评价值。本发明从攻击造成的效果、***具备的防护能力出发，衡量网络安全的效能，提出了攻防关系矩阵描述攻击与防御之间的相互作用、彼此抵消的关系，克服了仅将网络攻击的效果等同于网络安全效能的局限性；针对网络攻击效果和***防护能力，提出了具有可度量性的衡量因子，保证了评估结果的准确性。

Description

一种网络安全效能评估方法

技术领域

本发明属于信息安全技术领域，涉及一种网络安全效能评估方法。

背景技术

随着网络技术的飞速发展，网络的重要性日益显现，但网络的安全状况却不容乐观，人们在享用网络带来的便利的同时，也更加关注如何保护网络***免遭攻击，以及将攻击对***的影响程度将到最低。

网络安全效能评估是在复杂的网络对抗环境下，通过分析***的防御能力，***遭受攻击后性能、可用性、安全性的变化程度，以及攻击和防御彼此抵消的结果等，评定网络安全的效能值。

目前开展的对网络安全性评定的研究主要有两类，一是从网络存在的安全脆弱性角度评定网络的安全性，二是侧重于从攻击对网络安全性造成影响的角度，度量网络安全性的变化情况。上述两种方法均通过从目标网络采集一定的性能指标参数，采用特定的计算方法对其进行处理，得到评估结论。但目前的研究还存在以下不足：

一是侧重衡量攻击的效果，忽略了防御的作用，网络安全的最终效能可以归结为攻击和防御相互作用结果，既包括攻击行为，也包括防御行为；

二是评估的衡量指标有脱离实际抽象存在的倾向，不能真实反映网络的安全效能。

发明内容

针对现有技术中存在的上述问题，本发明提出一种网络安全效能评估方法，综合考虑***防御能力，以及网络遭受攻击后对***的性能、资产的性能和防护能力、***提供的业务等造成的影响，通过定性和定量相结合的方法，对网络安全的效能进行综合评定。

为了实现上述目的，本发明采用以下方案。

一种网络安全效能评估方法，包括以下步骤：

步骤1：确定网络安全效能评估的要素，以及衡量每个评估要素变化情况的因子。利用网络探针、perfmon性能计数器等获取遭受攻击前、后评估要素各个因子的值，并对采集的原始数据进行预处理，消除冗余等。

本发明将网络安全效能评估要素分为：{网络毁伤效果，资产毁伤效果，业务毁伤效果，攻击强度，***防护能力}，其中：

网络毁伤效果评估是对网络在遭受攻击后的性能变化程度的评估。衡量网络毁伤效果的因子为：{吞吐量，丢包率，网络总响应时间}，其中衡量网络总响应时间的因子为：{用户响应时间，服务器响应时间，网络时延，网络拥塞时间}。

资产毁伤效果评估包括两类：一是评估遭受攻击后资产性能变化程度；二是评估资产的防护能力的变化。衡量资产性能变化的因子为：{CPU性能变化，内存性能变化，磁盘性能变化}。其中衡量CPU性能变化的因子为：{处理器执行非闲置线程时间百分比}；衡量内存性能变化的因子为：{内存占用率，从内存读取或写入内存的速度}；衡量磁盘性能变化的因子为：{磁盘读取/写入速度}。

业务毁伤效果评估是对遭受攻击后***提供的业务的功能损伤程度的评估。衡量业务毁伤效果的因子为：{业务中断，业务出错，业务响应延迟，业务正常}。

攻击强度评估是对***所遭受攻击的强度的评估。衡量攻击强度的因子为：{攻击成功的次数，攻击成功所花费的时间，遭受攻击的资产的价值}。

***防护能力评估是对***安全防护措施的防护能力的评估。衡量***防护能力的因子为：{入侵防御能力，病毒查杀能力，身份鉴别能力，访问控制能力，安全审计能力，加密能力}。

步骤2：计算攻击对网络性能影响的评价值。

步骤2.1：计算攻击对网络吞吐量的影响值。

步骤2.2：计算攻击对网络丢包率的影响值。

步骤2.3：计算攻击对网络总响应时间的影响值。

步骤2.4：计算攻击对网络性能总影响的评价值，为了保证测试结果的准确性，进行多次测试，对测试结果取平均值。

步骤3：计算攻击对资产性能影响的评价值。

步骤3.1：计算攻击对CPU性能的影响值。

步骤3.2：计算攻击对内存性能的影响值。

步骤3.3：计算攻击对磁盘性能的影响值。

步骤3.4：计算攻击对资产性能总影响的评价值。

步骤4：计算***遭受到的攻击的强度。

步骤5：计算***的防护能力。

步骤5.1：计算入侵防御能力评价值。

步骤5.2：计算病毒查杀能力评价值。

步骤5.3：计算身份鉴别能力评价值。

步骤5.4：计算访问控制能力评价值。

步骤5.5：计算安全审计能力评价值。

步骤5.6：计算加密能力评价值。

步骤6：计算资产的防御评价值。

步骤6.1：确定攻防关系矩阵。

步骤6.2：计算资产的防御评价值。

步骤7：计算***业务影响评价值。

步骤8：计算网络安全效能评价值。

与现有技术相比，本发明具有以下优点：

本发明从攻击造成的效果、***具备的防护能力两个角度出发，衡量网络安全的效能，提出了攻防关系矩阵描述攻击与防御之间的相互作用、彼此抵消的关系，克服了仅将网络攻击的效果等同于网络安全效能的局限性，保证了评估结果的全面性；针对网络攻击效果和***防护能力，提出了具有可度量性的衡量因子，保证了评估结果的准确性。

附图说明

图1为本发明所述方法流程图；

图2为攻防关系矩阵示意图。

具体实施方式

下面结合附图和具体实施例对本发明做进一步说明。

本发明所述的网络安全效能评估方法的流程图如图1所示，包括以下步骤：

步骤1：确定网络安全效能评估的要素，以及衡量每个评估要素变化情况的因子。利用网络探针、perfmon性能计数器等获取遭受攻击前、后评估要素各个因子的值，并对采集的原始数据进行预处理，消除冗余等。

网络安全效能评估要素记为：{网络毁伤效果，资产毁伤效果，业务毁伤效果，攻击强度，***防护能力}，其中：

网络毁伤效果评估是评估网络在遭受攻击后的性能变化程度。

资产毁伤效果评估包括2类，一是评估遭受攻击后资产性能变化程度，二是评估资产的防护能力的变化。

业务毁伤效果评估是评估遭受攻击后***提供的业务的功能损伤程度。

衡量网络毁伤效果的因子为：{吞吐量，丢包率，网络总响应时间}，其中衡量网络总响应时间的因子为：{用户响应时间，服务器响应时间，网络时延，网络拥塞时间}。

衡量资产性能变化的因子为：{CPU性能变化，内存性能变化，磁盘性能变化}。其中衡量CPU性能变化的因子为：{处理器执行非闲置线程时间百分比}；衡量内存性能变化的因子为：{内存占用率，从内存读取或写入内存的速度}；衡量磁盘性能变化的因子为：{磁盘读取/写入速度}。

衡量业务毁伤效果的因子为：{业务中断，业务出错，业务响应延迟，业务正常}。

衡量攻击强度的因子为：{攻击成功的次数，攻击成功所花费的时间，遭受攻击的资产的价值}。

衡量***防护能力的因子为：{入侵防御能力，病毒查杀能力，身份鉴别能力，访问控制能力，安全审计能力，加密能力}。

步骤2：计算攻击对网络性能影响的评价值。

网络性能影响因子记为NETWORK={吞吐量T，丢包率D，网络总响应时间Z}，其中，网络总响应时间的影响因子记为TIME={用户响应时间U，服务器响应时间S，网络时延ND，网络拥塞时间N}。

步骤2.1：计算攻击对网络吞吐量的影响值，公式如下：

$\mathrm{\&Delta;T}=\left\{\begin{array}{cc}1& T_1<T_2\\ -{\log }_2\left(\frac{T_2}{T_1}\right)& T_1>T_2\\ 0& T_1=T_2\end{array}\right.$

式中，T₁、T₂分别为网络遭受攻击前、后的吞吐量，ΔT为网络遭受攻击后，吞吐量的下降值，ΔT越大，表示吞吐量下降越多。

步骤2.2：计算攻击对网络丢包率的影响值，公式如下：

$\mathrm{\&Delta;D}=\left\{\begin{array}{cc}1& D_2<D_1\\ {-\log }_2\left(\frac{D_1/D_t}{D_2/D_t}\right)& D_2>D_1\\ 0& D_2=D_1\end{array}\right.$

式中，D₁、D₂为网络遭受攻击前、后的接收包的数目，D_t为发送包的总数，ΔD为网络遭受攻击后，丢包率的增加值，ΔD越大，表示丢包率越高。

步骤2.3：计算攻击对网络总响应时间的影响值，方法如下：

首先，求攻击发生前某一时刻的网络总响应时间Z₁和遭受攻击后某一时刻的网络总响应时间Z₂：

Z₁＝U₁+S₁+N₁+ND₁

Z₂＝U₂+S₂+N₂+ND₂

式中，U₁为用户响应时间，S₁为服务器响应时间，N₁为网络拥塞时间，ND₁为网络时延；U₂为用户响应时间，S₂为服务器响应时间，N₂为网络拥塞时间，ND₂为网络时延。

然后，对Z₁、Z₂进行归一化处理：

${Z_1}^{\&prime;}=1-e^{{-\mathrm{\&mu;}\left(Z_1\right)}^2}$

${Z_2}^{\&prime;}=1-e^{{-\mathrm{\&mu;}\left(Z_2\right)}^2}$

式中，Z₁′、Z₂′分别为Z₁、Z₂的归一化值；μ为一大于0的常数，设定若Z₁′、Z₂′大于10秒，则认为响应时间过长，以此确定μ=0.02。

最后，求网络遭受攻击后，网络总响应时间的增加值ΔZ：

$\mathrm{\&Delta;Z}=\left\{\begin{array}{cc}1& {Z_2}^{\&prime;}<{Z_1}^{\&prime;}\\ {-\log }_2\left(\frac{{Z_1}^{\&prime;}}{{Z_2}^{\&prime;}}\right)& {Z_2}^{\&prime;}>{Z_1}^{\&prime;}\\ 0& {Z_2}^{\&prime;}={Z_1}^{\&prime;}\end{array}\right.$

ΔZ越大，表示网络总响应时间越长。

步骤2.4：计算攻击对网络性能总影响的评价值。

根据步骤2.1～2.3的计算结果，利用加权几何平均法计算攻击对网络性能造成的影响，即性能影响评价值：

$\mathrm{NET}=\left\{\begin{array}{cc}{\mathrm{\&Delta;T}}^{w_1}\&times;{\mathrm{\&Delta;D}}^{w_2}\&times;{\mathrm{\&Delta;Z}}^{w_3}& \mathrm{\&Delta;T}\&NotEqual;0,\mathrm{\&Delta;D}\&NotEqual;0,\mathrm{\&Delta;Z}\&NotEqual;0\\ {\mathrm{\&Delta;D}}^{w_1}\&times;{\mathrm{\&Delta;Z}}^{w_2}& \mathrm{\&Delta;T}=0,\mathrm{\&Delta;D}\&NotEqual;0,\mathrm{\&Delta;Z}\&NotEqual;0\\ {\mathrm{\&Delta;T}}^{w_1}\&times;{\mathrm{\&Delta;Z}}^{w_2}& \mathrm{\&Delta;T}\&NotEqual;0,\mathrm{\&Delta;D}=0,\mathrm{\&Delta;Z}\&NotEqual;0\\ {\mathrm{\&Delta;D}}^{w_1}\&times;{\mathrm{\&Delta;Z}}^{w_2}& \mathrm{\&Delta;T}\&NotEqual;0,\mathrm{\&Delta;D}\&NotEqual;0,\mathrm{\&Delta;Z}=0\end{array}\right.$

式中，w_i为权重，i=1,2,3，满足NET为网络遭受攻击后，整体性能的下降值，NET越大，表示网络性能损失程度越大。

为保证测试结果的准确性，用多次测试结果的平均值作为攻击对网络性能的总影响评价值：

$\stackrel{\&OverBar;}{\mathrm{NET}}=\frac{1}{n}\underset{j=1}{\overset{n}{\mathrm{\&Sigma;}}}{\mathrm{NET}}_j$

式中，

为NET的平均值，NET_j为第j次测量的NET，n为测量次数。

步骤3：计算攻击对资产性能影响的评价值。

资产性能影响因素记为集合{CPU性能变化，内存性能变化，磁盘性能变化}。

设定全网共有Z个资产，其中有m个资产遭受到网络攻击，以第k（k≤m）个遭受攻击的资产即资产k为例进行计算。

步骤3.1：计算攻击对资产k的CPU性能的影响值：

${\mathrm{CPU}}_k=\left\{\begin{array}{cc}1& {\mathrm{Pr}}_{k1}>{\mathrm{Pr}}_{k2}\\ {-\log }_2\left(\frac{{\mathrm{Pr}}_{k1}}{{\mathrm{Pr}}_{k2}}\right)& {\mathrm{Pr}}_{k1}<{\mathrm{Pr}}_{k2}\\ 0& {\mathrm{Pr}}_{k1}={\mathrm{Pr}}_{k2}\end{array}\right.$

式中，CPU_k为攻击对发生后资产k的CPU性能的下降值，CPU_k越大，表示CPU性能下降越多。Pr_k1、Pr_k2分别为攻击发生前、后测得资产k的CPU执行非闲置线程的时间。

步骤3.2：计算攻击对资产k内存性能的影响值。

内存性能变化因子记为集合MEMORY={内存占用率MA，从内存读取或写入内存的速度MP}。

资产k内存占用率的变化为：

$\mathrm{Memory}\_{\mathrm{MA}}_k=\left\{\begin{array}{cc}1& {\mathrm{MA}}_{k1}>{\mathrm{MA}}_{k2}\\ {-\log }_2\left(\frac{{\mathrm{MA}}_{k1}}{{\mathrm{MA}}_{k2}}\right)& {\mathrm{MA}}_{k1}<{\mathrm{MA}}_{k2}\\ 0& {\mathrm{MA}}_{k1}={\mathrm{MA}}_{k2}\end{array}\right.$

式中，Memory_MA_k为攻击发生后，资产k的内存占用率的变化程度，MA_k1、MA_k2分别为攻击发生前、后测得资产k的内存占用率。

资产k内存读写速度的变化为：

$\mathrm{Memory}\_{\mathrm{MP}}_k=\left\{\begin{array}{cc}1& {\mathrm{MP}}_{k2}>{\mathrm{MP}}_{k1}\\ {-\log }_2\left(\frac{{\mathrm{MP}}_{k2}}{{\mathrm{MP}}_{k1}}\right)& {\mathrm{MP}}_{k2}<{\mathrm{MP}}_{k1}\\ 0& {\mathrm{MP}}_{k2}={\mathrm{MP}}_{k1}\end{array}\right.$

式中，Memory_MP_k为攻击对资产k的内存读取速度造成的影响，Memory_MP_k越大，表示内存读写速度下降越多。MP_k1、MP_k2分别为攻击发生前、后测得资产k的内存读写或写入速度。

资产k的内存性能的变化为：

${\mathrm{Memory}}_k=\left\{\begin{array}{cc}\sqrt[2]{\mathrm{Memory}\_{\mathrm{MA}}_k\&times;\mathrm{Memory}\_{\mathrm{MP}}_k}& \mathrm{Memory}\_{\mathrm{MA}}_k\&NotEqual;0,\mathrm{Memory}\_{\mathrm{MP}}_k\&NotEqual;0\\ \mathrm{Memory}\_{\mathrm{MA}}_k& \mathrm{Memory}\_{\mathrm{MA}}_k\&NotEqual;0,\mathrm{Memory}\_{\mathrm{MP}}_k=0\\ \mathrm{Memory}\_{\mathrm{MP}}_k& \mathrm{Memory}\_{\mathrm{MA}}_k=0,\mathrm{Memory}\_{\mathrm{MP}}_k\&NotEqual;0\end{array}\right.$

式中，Memory_k为攻击发生后，资产k的内存性变化，Memory_k越大，表示资产k内存性能下降越多。

步骤3.3：计算攻击对资产k磁盘性能的影响值。

磁盘性能变化因素记为：{磁盘读取/写入的速度}。

攻击对资产k的磁盘性能造成的影响值为：

${\mathrm{PhysicakDisk}}_k=\left\{\begin{array}{cc}1& {\mathrm{Phy}}_2>{\mathrm{Phy}}_1\\ {-\log }_2\left(\frac{{\mathrm{Phy}}_2}{{\mathrm{Phy}}_1}\right)& {\mathrm{Phy}}_2<{\mathrm{Phy}}_1\\ 0& {\mathrm{Phy}}_2={\mathrm{Phy}}_1\end{array}\right.$

式中，PhysicakDisk_k为攻击对资产k的磁盘性能造成的影响值，Phy₁、Phy₂分别为攻击发生前、后测得资产k的磁盘读取/写入速度。

步骤3.4：利用几何平均值法计算攻击对资产k性能总影响的评价值。

根据步骤3.1～3.4的计算结果，利用几何平均值法计算攻击对资产k的影响值：

$P\_{\mathrm{ASSET}}_k=\left\{\begin{array}{cc}\sqrt[3]{{\mathrm{CPU}}_k\&times;{\mathrm{Memory}}_k\&times;{\mathrm{PhysicalDisk}}_k}& {\mathrm{PhysicalDisk}}_k\&NotEqual;0\\ \sqrt[2]{{\mathrm{CPU}}_k\&times;{\mathrm{Memory}}_k}& {\mathrm{PhysicalDisk}}_k=0\end{array}\right.$

式中，P_ASSET_k为攻击对资产k的性能影响值。

为保证测试结果的准确性，用多次测试结果的平均值作为攻击对资产性能总影响的评价值：

$\stackrel{\&OverBar;}{P\_\mathrm{ASSET}}=\frac{1}{n}\underset{k=1}{\overset{m}{\mathrm{\&Sigma;}}}\left(\frac{{\mathrm{VAULE}}_k}{\underset{r=1}{\overset{m}{\mathrm{\&Sigma;}}}{\mathrm{VALUE}}_r}\right)\&times;P\_{\mathrm{ASSET}}_k$

式中，n为测试次数，

为m个遭受攻击的资产的性能影响评价值，

为资产k的价值占全网资产价值的比重。

步骤4：计算遭受的各种攻击的强度。

全网遭受的攻击记为集合AT＝{AT₁,AT₂,......,AT_b}，b为全网遭受的攻击的数目。

攻击强度因素记为：{攻击成功次数，攻击成功所花费时间，遭受攻击资产的价值}。

AT_s(1≤s≤b)攻击的强度

为：

${\tilde{A}}_S=\frac{\mathrm{AS}}{A}\&times;\frac{\mathrm{At}}{\mathrm{Tb}}\&times;\frac{{\mathrm{VAULE}}_k}{\underset{r=1}{\overset{m}{\mathrm{\&Sigma;}}}{\mathrm{VALUE}}_r}$

式中，AS为攻击成功的次数，A为攻击次数，At为攻击成功所花费的时间，Tb为设定的攻击基准时间，AS≤A，At≤Tb，VAULE为遭受AT_s攻击的资产的价值，

为全网Z个资产的价值。

步骤5：计算***的防护能力。

***防护能力衡量因素记为：D＝{D₁,D₂,......,D_p}={入侵防御能力，病毒查杀能力，身份鉴别能力，访问控制能力，安全审计能力，加密能力}。

通过主机安全检测***、问卷调查***获取***防御能力衡量因素的值，分别计算各项防护措施的能力值。

步骤5.1：计算入侵防御能力。

入侵防御能力的衡量因素为：{误报率I₁，漏报率I₂}，I₁,I₂∈(0,1)。

入侵防御能力评价值

为：

${\tilde{D}}_1=\sqrt[2]{(1-I_1)\&times;(1-I_2)}$

步骤5.2：计算病毒查杀能力。

病毒查杀能力的衡量因素为：{常规恶意代码查杀率V₁，加壳恶意代码查杀率V₂，压缩恶意代码查杀率V₃}，V₁,V₂,V₃∈(0,1)。

病毒查杀能力评价值

为：

${\tilde{D}}_2=\sqrt[3]{V_1\&times;V_2\&times;V_3}$

步骤5.3：计算身份鉴别能力。

身份鉴别能力的衡量因素为：{服务器身份鉴别，计算机身份鉴别，帐号唯一性，口令强度}。

{服务器身份鉴别，计算机身份鉴别}因素的评价集={有，无}={1，0}；

{帐号唯一性}因素的评价集={是，否}={1，0}；

{口令强度}因素的评价集={强，中，弱，极弱}={1，0.7，0.4，0.1}。

身份鉴别能力评价值

为：

${\tilde{D}}_3=\underset{j=1}{\overset{4}{\mathrm{\&Sigma;}}}{w}_j\&times;{\mathrm{Id}}_j$

Id_j为第j个衡量因素的取值，w_j为第j个衡量因素的权重，j＝1,2,3,4。

步骤5.4：计算安全审计能力。

安全审计能力的衡量因素为：{审计功能，审计日志完备性}。

{审计功能S₁}因素的评价集={有，无}={1，0}。

{审计日志完备性S₂}因素的评价集={好，较好，一般，差}={1，0.8，0.4，0.1}

如果S₁=0，安全审计能力评价值

如果S₁=1，根据S₂的评价值确定

的值，即

步骤5.5：计算加密能力。

加密能力={加密协议，加密设备，加密传输}。

衡量因素的评价集={是，否}={1，0}

加密能力评价值

为：

${\tilde{D}}_5=\underset{j=1}{\overset{3}{\mathrm{\&Sigma;}}}{w}_j\&times;C_j$

步骤5.6：计算***整体防御能力评价值。

***整体防御能力评价值

为：

$\tilde{D}=\underset{i=1}{\overset{5}{\mathrm{\&Sigma;}}}{V}_i\&times;{\tilde{D}}_i$

式中，V_i为各防御能力衡量因素的权重，满足ΣV_i＝1。

步骤6：计算资产的防御评价值。

设定全网共有Z个资产，其中有m个资产遭受攻击，记为集合ASSET＝{ASSET₁,ASSET₂,......,ASSET_m}。

步骤6.1：确定攻防关系矩阵。

全网采取的安全防护措施记为集合D＝{D₁,D₂,......,D_p}，p为全网采取安全防护措施的数目。

全网遭受的攻击记为集合AT＝{AT₁,AT₂,......,AT_b}，b为全网遭受的攻击的数目。

全网遭受攻击的m个资产形成攻防关系矩阵D_A为：

攻防关系矩阵中的元素表示攻击手段和防护措施的关系，“1”表示针对某一攻击手段有相应的防护措施进行防御，“0”表示针对某一攻击无相应的防护措施。

遭受攻击的资产ASSET_k（1≤k≤m）具备的防护措施记为集合D_k＝{D₁,D₂,......,D_u}，u为资产ASSET_k所具备的安全防护措施的数目，

资产ASSET_k遭受的攻击记为集合AT_k＝{AT₁,AT₂,......,AT_b}，

在攻防关系矩阵中，每个资产对应一个子矩阵，遭受攻击的资产ASSET_k的攻防关系矩阵为：

$D\_A_k={\left[{\mathrm{da}}_{\mathrm{ij}}\right]}_{u\&times;p},D\_A_k\&Subset;D\_A$

步骤6.2：计算资产防御评价值。

假设攻防关系矩阵如图2所示，图中的虚线矩形框表示资产ASSET₁的攻防关系矩阵。

根据每个资产攻防关系矩阵中攻击与防护措施的关系，计算每个遭受攻击的资产的防御评价值。以ASSET₁为例，计算其防御评价值DP₁：

${\mathrm{DP}}_1=f({\tilde{D}}_i,{\tilde{A}}_j)=f(({\tilde{D}}_1,{\tilde{D}}_2),({\tilde{A}}_1,{\tilde{A}}_2))$

式中，

为资产ASSET₁的防护措施的防护能力评价值，由步骤5计算得出。

为攻击的强度评价值，由步骤4计算得出。f（x，y）为防御评价值计算函数，可以采用线性函数等计算攻击和防护的相互作用及彼此抵消的结果。可采用下面的线性函数进行计算：

${\mathrm{DP}}_1=({\tilde{D}}_1-{\tilde{A}}_1)+({\tilde{D}}_2-{\tilde{A}}_1)+({\tilde{\text{D}}}_2-{\tilde{A}}_2)$

按照上述方法计算m个遭受攻击的资产的防御评价值，确定资产的防御评价值DP：

DP＝Medians(DP₁,DP₂......DP_m)

其中，Medians为中间值函数。

步骤7：计算***业务影响评价值。

设定m个遭受攻击的资产中有r（r≤m）个资产对外提供业务，共有S_total个业务，遭受攻击后，业务状态分为4个状态：{业务中断，业务出错，业务响应延迟，业务正常}。

攻击对业务影响的评价值Service为：

$\mathrm{Service}={\mathrm{\&rho;}}_1\frac{S_d}{S_{\mathrm{total}}}+{\mathrm{\&rho;}}_2\frac{S_c}{S_{\mathrm{total}}}+{\mathrm{\&rho;}}_3\frac{S_y}{S_{\mathrm{total}}}+{\mathrm{\&rho;}}_4\frac{S_z}{S_{\mathrm{total}}}$

式中，S_d为业务中断的数量，S_c为业务出错的数量，S_y为业务响应延迟的数量，S_z为业务正常数量，S_total为***提供的业务总数，S_d,S_c,S_y,S_z≤S_total；ρ为根据业务状态对***的不同影响确定的权重，ρ₁+ρ₂+ρ₃+ρ₄＝1。

步骤8：计算网络安全效能评价值。

根据前面计算得到的DP和Service，采用加权法计算网络安全效能评价值：

$\mathrm{EFFECT}={\mathrm{\&beta;}}_1\&times;\stackrel{\&OverBar;}{\mathrm{NET}}+{\mathrm{\&beta;}}_2\&times;\stackrel{\&OverBar;}{P\_\mathrm{ASSET}}+{\mathrm{\&beta;}}_3\&times;\mathrm{DP}+{\mathrm{\&beta;}}_4\&times;\mathrm{Service}$

式中，EFFECT为网络安全效能评价值，β_i为根据各衡量因素的重要程度确定的权重，i＝1,2,3,4， $\underset{i=1}{\overset{4}{\mathrm{\&Sigma;}}}{\mathrm{\&beta;}}_i=1.$

Claims (8)

1.一种网络安全效能评估方法，其特征在于综合考虑***防御能力，以及网络遭受攻击后对***的性能、资产的性能和防护能力、***提供的业务造成的影响，对网络安全的效能进行综合评定；所述评估方法如下：

首先，确定网络安全效能评估的要素，以及衡量每个评估要素变化情况的因子；然后，利用网络探针、perfmon性能计数器获取遭受攻击前、后评估要素各个因子的值，并对采集的原始数据进行预处理，消除冗余；最后，通过分别计算各评估要素的评价值，计算网络安全效能评价值；

网络安全效能评估要素分为：{网络毁伤效果，资产毁伤效果，业务毁伤效果，攻击强度，***防护能力}，其中：

网络毁伤效果评估是对网络在遭受攻击后的性能变化程度的评估；衡量网络毁伤效果的因子为：{吞吐量，丢包率，网络总响应时间}，其中衡量网络总响应时间的因子为：{用户响应时间，服务器响应时间，网络时延，网络拥塞时间}；

资产毁伤效果评估包括两类：一是评估遭受攻击后资产性能变化程度；二是评估资产的防护能力的变化；衡量资产性能变化的因子为：{CPU性能变化，内存性能变化，磁盘性能变化}；其中衡量CPU性能变化的因子为：{处理器执行非闲置线程时间百分比}；衡量内存性能变化的因子为：{内存占用率，从内存读取或写入内存的速度}；衡量磁盘性能变化的因子为：{磁盘读取/写入速度}；

业务毁伤效果评估是对遭受攻击后***提供的业务的功能损伤程度的评估；衡量业务毁伤效果的因子为：{业务中断，业务出错，业务响应延迟，业务正常}；

攻击强度评估是对***所遭受攻击的强度的评估；衡量攻击强度的因子为：{攻击成功的次数，攻击成功所花费的时间，遭受攻击的资产的价值}；

***防护能力评估是对***安全防护措施的防护能力的评估；衡量***防护能力的因子为：{入侵防御能力，病毒查杀能力，身份鉴别能力，访问控制能力，安全审计能力，加密能力}。

2.根据权利要求1所述的一种网络安全效能评估方法，其特征在于，攻击对网络性能影响的评价值的计算方法如下：

网络性能影响因子记为NETWORK={吞吐量T，丢包率D，网络总响应时间Z}，其中，网络总响应时间的影响因子记为TIME={用户响应时间U，服务器响应时间S，网络时延ND，网络拥塞时间N}；

（1）计算攻击对网络吞吐量的影响值：

$\mathrm{\&Delta;T}=\left\{\begin{array}{cc}1& T_1<T_2\\ -{\log }_2\left(\frac{T_2}{T_1}\right)& T_1>T_2\\ 0& T_1=T_2\end{array}\right.$

式中，T₁、T₂分别为网络遭受攻击前、后的吞吐量，ΔT为网络遭受攻击后，吞吐量的下降值，ΔT越大，表示吞吐量下降越多；

（2）计算攻击对网络丢包率的影响值：

$\mathrm{\&Delta;D}=\left\{\begin{array}{cc}1& D_2<D_1\\ {-\log }_2\left(\frac{D_1/D_t}{D_2/D_t}\right)& D_2>D_1\\ 0& D_2=D_1\end{array}\right.$

式中，D₁、D₂为网络遭受攻击前、后的接收包的数目，D_t为发送包的总数，ΔD为网络遭受攻击后，丢包率的增加值，ΔD越大，表示丢包率越高；

（3）计算攻击对网络总响应时间的影响值，方法如下：

首先，求攻击发生前某一时刻的网络总响应时间Z₁和遭受攻击后某一时刻的网络总响应时间Z₂：

Z₁＝U₁+S₁+N₁+ND₁

Z₂＝U₂+S₂+N₂+ND₂

式中，U₁为用户响应时间，S₁为服务器响应时间，N₁为网络拥塞时间，ND₁为网络时延；U₂为用户响应时间，S₂为服务器响应时间，N₂为网络拥塞时间，ND₂为网络时延；

然后，对Z₁、Z₂进行归一化处理：

${Z_1}^{\&prime;}=1-e^{{-\mathrm{\&mu;}\left(Z_1\right)}^2}$

${Z_2}^{\&prime;}=1-e^{{-\mathrm{\&mu;}\left(Z_2\right)}^2}$

式中，Z₁′、Z₂′分别为Z₁、Z₂的归一化值；μ为一大于0的常数，设定若Z₁′、Z₂′大于10秒，则认为响应时间过长，以此确定μ=0.02；

最后，求网络遭受攻击后，网络总响应时间的增加值ΔZ：

$\mathrm{\&Delta;Z}=\left\{\begin{array}{cc}1& {Z_2}^{\&prime;}<{Z_1}^{\&prime;}\\ {-\log }_2\left(\frac{{Z_1}^{\&prime;}}{{Z_2}^{\&prime;}}\right)& {Z_2}^{\&prime;}>{Z_1}^{\&prime;}\\ 0& {Z_2}^{\&prime;}={Z_1}^{\&prime;}\end{array}\right.$

ΔZ越大，网络总响应时间越长；

（4）计算攻击对网络性能总影响的评价值；

根据（1）～（3）的计算结果，利用加权几何平均法计算攻击对网络性能造成的影响，即性能影响评价值：

$\mathrm{NET}=\left\{\begin{array}{cc}{\mathrm{\&Delta;T}}^{w_1}\&times;{\mathrm{\&Delta;D}}^{w_2}\&times;{\mathrm{\&Delta;Z}}^{w_3}& \mathrm{\&Delta;T}\&NotEqual;0,\mathrm{\&Delta;D}\&NotEqual;0,\mathrm{\&Delta;Z}\&NotEqual;0\\ {\mathrm{\&Delta;D}}^{w_1}\&times;{\mathrm{\&Delta;Z}}^{w_2}& \mathrm{\&Delta;T}=0,\mathrm{\&Delta;D}\&NotEqual;0,\mathrm{\&Delta;Z}\&NotEqual;0\\ {\mathrm{\&Delta;T}}^{w_1}\&times;{\mathrm{\&Delta;Z}}^{w_2}& \mathrm{\&Delta;T}\&NotEqual;0,\mathrm{\&Delta;D}=0,\mathrm{\&Delta;Z}\&NotEqual;0\\ {\mathrm{\&Delta;D}}^{w_1}\&times;{\mathrm{\&Delta;Z}}^{w_2}& \mathrm{\&Delta;T}\&NotEqual;0,\mathrm{\&Delta;D}\&NotEqual;0,\mathrm{\&Delta;Z}=0\end{array}\right.$

式中，w_i为权重，i=1,2,3，满足

NET为网络遭受攻击后，整体性能的下降值，NET越大，表示网络性能损失程度越大；

为保证测试结果的准确性，用多次测试结果的平均值作为攻击对网络性能的总影响评价值：

$\stackrel{\&OverBar;}{\mathrm{NET}}=\frac{1}{n}\underset{j=1}{\overset{n}{\mathrm{\&Sigma;}}}{\mathrm{NET}}_j$

式中，

为NET的平均值，NET_j为第j次测量的NET，n为测量次数。

3.根据权利要求1所述的一种网络安全效能评估方法，其特征在于，攻击对资产性能影响的评价值的计算方法如下：

资产性能影响因素记为集合{CPU性能变化，内存性能变化，磁盘性能变化}；

设定全网共有Z个资产，其中有m个资产遭受到网络攻击，以第k个遭受攻击的资产即资产k为例进行计算，k≤m；

（1）计算攻击对资产k的CPU性能的影响值：

${\mathrm{CPU}}_k=\left\{\begin{array}{cc}1& {\mathrm{Pr}}_{k1}>{\mathrm{Pr}}_{k2}\\ {-\log }_2\left(\frac{{\mathrm{Pr}}_{k1}}{{\mathrm{Pr}}_{k2}}\right)& {\mathrm{Pr}}_{k1}<{\mathrm{Pr}}_{k2}\\ 0& {\mathrm{Pr}}_{k1}={\mathrm{Pr}}_{k2}\end{array}\right.$

式中，CPU_k为攻击对发生后资产k的CPU性能的下降值，CPU_k越大，表示CPU性能下降越多；Pr_k1、Pr_k2分别为攻击发生前、后测得资产k的CPU执行非闲置线程的时间；

（2）计算攻击对资产k内存性能的影响值；

内存性能变化因子记为集合MEMORY={内存占用率MA，从内存读取或写入内存的速度MP}；

资产k内存占用率的变化为：

$\mathrm{Memory}\_{\mathrm{MA}}_k=\left\{\begin{array}{cc}1& {\mathrm{MA}}_{k1}>{\mathrm{MA}}_{k2}\\ {-\log }_2\left(\frac{{\mathrm{MA}}_{k1}}{{\mathrm{MA}}_{k2}}\right)& {\mathrm{MA}}_{k1}<{\mathrm{MA}}_{k2}\\ 0& {\mathrm{MA}}_{k1}={\mathrm{MA}}_{k2}\end{array}\right.$

式中，Memory_MA_k为攻击发生后，资产k的内存占用率的变化程度，MA_k1、MA_k2分别为攻击发生前、后测得资产k的内存占用率；

资产k内存读写速度的变化为：

$\mathrm{Memory}\_{\mathrm{MP}}_k=\left\{\begin{array}{cc}1& {\mathrm{MP}}_{k2}>{\mathrm{MP}}_{k1}\\ {-\log }_2\left(\frac{{\mathrm{MP}}_{k2}}{{\mathrm{MP}}_{k1}}\right)& {\mathrm{MP}}_{k2}<{\mathrm{MP}}_{k1}\\ 0& {\mathrm{MP}}_{k2}={\mathrm{MP}}_{k1}\end{array}\right.$

式中，Memory_MP_k为攻击对资产k的内存读取速度造成的影响，Memory_MP_k越大，表示内存读写速度下降越多；MP_k1、MP_k2分别为攻击发生前、后测得资产k的内存读写或写入速度；

资产k的内存性能的变化为：

${\mathrm{Memory}}_k=\left\{\begin{array}{cc}\sqrt[2]{\mathrm{Memory}\_{\mathrm{MA}}_k\&times;\mathrm{Memory}\_{\mathrm{MP}}_k}& \mathrm{Memory}\_{\mathrm{MA}}_k\&NotEqual;0,\mathrm{Memory}\_{\mathrm{MP}}_k\&NotEqual;0\\ \mathrm{Memory}\_{\mathrm{MA}}_k& \mathrm{Memory}\_{\mathrm{MA}}_k\&NotEqual;0,\mathrm{Memory}\_{\mathrm{MP}}_k=0\\ \mathrm{Memory}\_{\mathrm{MP}}_k& \mathrm{Memory}\_{\mathrm{MA}}_k=0,\mathrm{Memory}\_{\mathrm{MP}}_k\&NotEqual;0\end{array}\right.$

式中，Memory_k为攻击发生后，资产k的内存性变化，Memory_k越大，表示资产k内存性能下降越多；

（3）计算攻击对资产k磁盘性能的影响值；

磁盘性能变化因素记为：{磁盘读取/写入的速度}；

攻击对资产k的磁盘性能造成的影响值为：

${\mathrm{PhysicakDisk}}_k=\left\{\begin{array}{cc}1& {\mathrm{Phy}}_2>{\mathrm{Phy}}_1\\ {-\log }_2\left(\frac{{\mathrm{Phy}}_2}{{\mathrm{Phy}}_1}\right)& {\mathrm{Phy}}_2<{\mathrm{Phy}}_1\\ 0& {\mathrm{Phy}}_2={\mathrm{Phy}}_1\end{array}\right.$

式中，PhysicakDisk_k为攻击对资产k的磁盘性能造成的影响值，Phy₁、Phy₂分别为攻击发生前、后测得资产k的磁盘读取/写入速度；

（4）利用几何平均值法计算攻击对资产k性能总影响的评价值；

根据（1）～（3）的计算结果，利用几何平均值法计算攻击对资产k的影响值：

$P\_{\mathrm{ASSET}}_k=\left\{\begin{array}{cc}\sqrt[3]{{\mathrm{CPU}}_k\&times;{\mathrm{Memory}}_k\&times;{\mathrm{PhysicalDisk}}_k}& {\mathrm{PhysicalDisk}}_k\&NotEqual;0\\ \sqrt[2]{{\mathrm{CPU}}_k\&times;{\mathrm{Memory}}_k}& {\mathrm{PhysicalDisk}}_k=0\end{array}\right.$

式中，P_ASSET_k为攻击对资产k的性能影响值；

为保证测试结果的准确性，用多次测试结果的平均值作为攻击对资产性能总影响的评价值：

$\stackrel{\&OverBar;}{P\_\mathrm{ASSET}}=\frac{1}{n}\underset{k=1}{\overset{m}{\mathrm{\&Sigma;}}}\left(\frac{{\mathrm{VAULE}}_k}{\underset{r=1}{\overset{m}{\mathrm{\&Sigma;}}}{\mathrm{VALUE}}_r}\right)\&times;P\_{\mathrm{ASSET}}_k$

式中，n为测试次数，

为m个遭受攻击的资产的性能影响评价值，

为资产k的价值占全网资产价值的比重。

4.根据权利要求1所述的一种网络安全效能评估方法，其特征在于，遭受的各种攻击的强度的计算方法为如下：

全网遭受的攻击记为集合AT＝{AT₁,AT₂,......,AT_b}，b为全网遭受的攻击的数目；

攻击强度因素记为：{攻击成功次数，攻击成功所花费时间，遭受攻击资产的价值}；

AT_s(1≤s≤b)攻击的强度

为：

${\tilde{A}}_S=\frac{\mathrm{AS}}{A}\&times;\frac{\mathrm{At}}{\mathrm{Tb}}\&times;\frac{{\mathrm{VAULE}}_k}{\underset{r=1}{\overset{m}{\mathrm{\&Sigma;}}}{\mathrm{VALUE}}_r}$

式中，AS为攻击成功的次数，A为攻击次数，At为攻击成功所花费的时间，Tb为设定的攻击基准时间，AS≤A，At≤Tb，VAULE为遭受AT_s攻击的资产的价值，

为全网Z个资产的价值。

5.根据权利要求1所述的一种网络安全效能评估方法，其特征在于，所述***的防护能力的计算方法如下：

***防护能力衡量因素记为：D＝{D₁,D₂,......,D_p}={入侵防御能力，病毒查杀能力，身份鉴别能力，访问控制能力，安全审计能力，加密能力}；

通过主机安全检测***、问卷调查***获取***防御能力衡量因素的值，分别计算各项防护措施的能力值；

（1）计算入侵防御能力；

入侵防御能力的衡量因素为：{误报率I₁，漏报率I₂}，I₁,I₂∈(0,1)；

入侵防御能力评价值

为：

${\tilde{D}}_1=\sqrt[2]{(1-I_1)\&times;(1-I_2)}$

（2）计算病毒查杀能力；

病毒查杀能力的衡量因素为：{常规恶意代码查杀率V₁，加壳恶意代码查杀率V₂，压缩恶意代码查杀率V₃}，V₁,V₂,V₃∈(0,1)；

病毒查杀能力评价值

为：

${\tilde{D}}_2=\sqrt[3]{V_1\&times;V_2\&times;V_3}$

（3）计算身份鉴别能力；

身份鉴别能力的衡量因素为：{服务器身份鉴别，计算机身份鉴别，帐号唯一性，口令强度}；

{服务器身份鉴别，计算机身份鉴别}因素的评价集={有，无}={1，0}；

{帐号唯一性}因素的评价集={是，否}={1，0}；

{口令强度}因素的评价集={强，中，弱，极弱}={1，0.7，0.4，0.1}；

身份鉴别能力评价值

为：

${\tilde{D}}_3=\underset{j=1}{\overset{4}{\mathrm{\&Sigma;}}}{w}_j\&times;{\mathrm{Id}}_j$

Id_j为第j个衡量因素的取值，w_j为第j个衡量因素的权重，j＝1,2,3,4；

（4）计算安全审计能力；

安全审计能力的衡量因素为：{审计功能，审计日志完备性}；

{审计功能S₁}因素的评价集={有，无}={1，0}；

{审计日志完备性S₂}因素的评价集={好，较好，一般，差}={1，0.8，0.4，0.1}

如果S₁=0，安全审计能力评价值

如果S₁=1，根据S₂的评价值确定

的值，即

（5）计算加密能力；

加密能力={加密协议，加密设备，加密传输}；

衡量因素的评价集={是，否}={1，0}

加密能力评价值

为：

${\tilde{D}}_5=\underset{j=1}{\overset{3}{\mathrm{\&Sigma;}}}{w}_j\&times;C_j$

（6）计算***整体防御能力评价值；

***整体防御能力评价值

为：

$\tilde{D}=\underset{i=1}{\overset{5}{\mathrm{\&Sigma;}}}{V}_i\&times;{\tilde{D}}_i$

式中，V_i为各防御能力衡量因素的权重，满足ΣV_i＝1。

6.根据权利要求1所述的一种网络安全效能评估方法，其特征在于，所述资产的防御评价值的计算方法如下：

设定全网共有Z个资产，其中有m个资产遭受攻击，记为集合ASSET＝{ASSET₁,ASSET₂,......,ASSET_m}；

（1）确定攻防关系矩阵；

全网采取的安全防护措施记为集合D＝{D₁,D₂,......,D_p}，p为全网采取安全防护措施的数目；

全网遭受的攻击记为集合AT＝{AT₁,AT₂,......,AT_b}，b为全网遭受的攻击的数目；

全网遭受攻击的m个资产形成攻防关系矩阵D_A为：

攻防关系矩阵中的元素表示攻击手段和防护措施的关系，“1”表示针对某一攻击手段有相应的防护措施进行防御，“0”表示针对某一攻击无相应的防护措施；

遭受攻击的资产ASSET_k具备的防护措施记为集合D_k＝{D₁,D₂,......,D_u}，1≤k≤m，u为资产ASSET_k所具备的安全防护措施的数目，

资产ASSET_k遭受的攻击记为集合AT_k＝{AT₁,AT₂,......,AT_b}，

在攻防关系矩阵中，每个资产对应一个子矩阵，遭受攻击的资产ASSET_k的攻防关系矩阵为：

$D\_A_k={\left[{\mathrm{da}}_{\mathrm{ij}}\right]}_{u\&times;p},D\_A_k\&Subset;D\_A$

（2）计算资产防御评价值；

根据每个资产攻防关系矩阵中攻击与防护措施的关系，计算每个遭受攻击的资产的防御评价值；以ASSET₁为例，计算其防御评价值DP₁：

${\mathrm{DP}}_1=f({\tilde{D}}_i,{\tilde{A}}_j)=f(({\tilde{D}}_1,{\tilde{D}}_2),({\tilde{A}}_1,{\tilde{A}}_2))$

式中，

为资产ASSET₁的防护措施的防护能力评价值，由前述防护能力计算得出；为攻击的强度评价值，由前述攻击强度的计算得出；f（x，y）为防御评价值计算函数，采用下面的线性函数进行计算：

${\mathrm{DP}}_1=({\tilde{D}}_1-{\tilde{A}}_1)+({\tilde{D}}_2-{\tilde{A}}_1)+({\tilde{\text{D}}}_2-{\tilde{A}}_2)$

按照上述方法计算m个遭受攻击的资产的防御评价值，确定资产的防御评价值DP：

DP＝Medians(DP₁,DP₂......DP_m)

其中，Medians为中间值函数。

7.根据权利要求1所述的一种网络安全效能评估方法，其特征在于，所述***业务影响评价值的计算方法如下：

设定m个遭受攻击的资产中有r个资产对外提供业务，r≤m，共有S_total个业务，遭受攻击后，业务状态分为4个状态：{业务中断，业务出错，业务响应延迟，业务正常}；

攻击对业务影响的评价值Service为：

$\mathrm{Service}={\mathrm{\&rho;}}_1\frac{S_d}{S_{\mathrm{total}}}+{\mathrm{\&rho;}}_2\frac{S_c}{S_{\mathrm{total}}}+{\mathrm{\&rho;}}_3\frac{S_y}{S_{\mathrm{total}}}+{\mathrm{\&rho;}}_4\frac{S_z}{S_{\mathrm{total}}}$

式中，S_d为业务中断的数量，S_c为业务出错的数量，S_y为业务响应延迟的数量，S_z为业务正常数量，S_total为***提供的业务总数，S_d,S_c,S_y,S_z≤S_total；ρ为根据业务状态对***的不同影响确定的权重，满足ρ₁+ρ₂+ρ₃+ρ₄＝1。

8.根据权利要求1～7任意一项所述的一种网络安全效能评估方法，其特征在于，网络安全效能评价值的计算方法如下：

根据前面计算得到的

DP和Service，采用加权法计算网络安全效能评价值：

$\mathrm{EFFECT}={\mathrm{\&beta;}}_1\&times;\stackrel{\&OverBar;}{\mathrm{NET}}+{\mathrm{\&beta;}}_2\&times;\stackrel{\&OverBar;}{P\_\mathrm{ASSET}}+{\mathrm{\&beta;}}_3\&times;\mathrm{DP}+{\mathrm{\&beta;}}_4\&times;\mathrm{Service}$

式中，EFFECT为网络安全效能评价值，β_i为根据各衡量因素的重要程度确定的权重，i＝1,2,3,4， $\underset{i=1}{\overset{4}{\mathrm{\&Sigma;}}}{\mathrm{\&beta;}}_i=1.$

Images