CN103748999B - 一种网络安全态势综合评估*** - Google Patents

Abstract

一种内部网络安全态势综合评估***，包括：漏洞信息采集模块、 端口状态采集模块、安全事件采集模块、虚警过滤模块、主机威胁态 势评估模块、主机流量统计模块、主机丢包率统计模块、主机CPU 使用率统计模块、主机内存占用率统计模块、主机并发连接数统计模 块、主机可用资源态势评估模块、主机安全态势综合模块、网络安全 态势综合模块、漏洞信息库、漏洞信息更新表、资产价值表、安全事 件库。该***按照“多层、多维”的评估思路，首先评估被评估网络 中每台主机的可用资源态势和主机威胁态势，进而获取被评估网络中 每台主机的安全态势，最后得到整个被评估网络的综合安全态势。采 用本发明***，可以提高网络安全态势评估的准确性和效率。

Description

一种网络安全态势综合评估***

技术领域

本发明涉及一种网络安全态势综合评估***，属于网络信息安全技术领域，用于对企事业单位内部网络进行安全态势综合评估。

背景技术

随着计算机技术的迅速发展和应用需求的不断增加，各行业、企事业单位内部网络的规模日益庞大，应用***日益复杂。随之，各种网络安全事件层出不穷，网络的安全形势瞬息万变。如何使安全管理人员能够精确、快速的把握网络安全状态，及时、准确的做出响应，成为目前信息安全领域最为迫切解决的问题，网络安全态势评估技术也随之成为研究的重点和热点。

近年来，国内外相继推出一系列网络安全态势评估技术和***。国外已有的典型***如，用以实时反映网络连接状态和网络流量的两种可视化工具NVisionIP(Lakkaraju K，Yurcik W，Lee A J.NVisionIP：Netflow visualizations ofsystem state for security situational awareness.Proceedings of the2004ACMWorkshop on Visualization and Data Mining for Computer Security.Washington DC，2004：65-72)和VisFlow-Connect(Yin X，Yurcik W，Treaster M.VisFlowConnect：Netflow visualizations of link relationships for security situational awareness.Proceedings of the2004ACM Workshop on Visualization and Data Mining forComputer Security.Washington DC，2004：26-34)；用于广域网的计算机攻击检测、态势评估和响应评估的SSARE***(D，Ambrosio B.Security situationassessment and response evaluation(SSARE).Proceedings of the DARPAInformation Survivability Conference&Exposition II.Anaheim，2001：387-394)等。国家发明专利“一种网络安全态势评估方法及其***”(闫丹凤等，申请号200810240733.7)和“基于多层次多角度分析的网络安全态势感知***及方法”(谭小彬等，申请号200810189014.7)也分别从不同角度提出了具有一定新颖性的评估方法。

以上***从不同角度对网络安全态势评估提出了可行的解决方案，但其存在以下不足：“主机可用资源状态”是影响网络安全态势的一个重要因素，而以上***均未对“主机可用资源状态”作出评估，因此评估结果无法准确的反映出网络安全的状态和趋势。

基于以上问题，韦勇等人在文献《一种基于日志审计与性能修正算法的网络安全态势评估模型》(韦勇，连一峰.基于日志审计与性能修正算法的网络安全态势评估模型.计算机学报，2009，04，32(4).)中针对网络安全性的各种关键因素建立模型，该模型利用日志审计评估节点理论安全威胁，并通过性能修正算法计算节点安全态势，再利用节点服务信息计算网络安全态势，实现了网络安全态势的量化分析。

但是该***存在以下问题：

①该***以性能变化量调整节点的安全态势评估值是错误的。

该文献中节点为网络中的服务器节点和网络设备。节点性能则为网络中某一节点在某时刻的可用资源，用多元组p＝(id_p,time_p,γ，μ，κ，ρ，δ，id_h)表示。其中，id_p是性能信息的唯一标识符，time_p是性能信息产生的时间，γ是节点处理器(CPU)使用率，μ是节点内存使用率，κ是连接数，ρ是流量，δ是丢包率，id_h是该性能信息所属节点标示符。其修正思路为：

设在t₀～t₁时段，已计算出某节点理论安全威胁值VOT，且t₀时刻计算出的该节点性能值为p₀，t₁时刻计算出的该节点性能值为p₁，则该节点的性能变化量Δp＝p₀-p₁，安全态势值SA_h＝(1-η)×VOT+η×Δp。

用以下实例可以证明该方法的错误所在：

设在t₀～t₁时段，某web服务器的性能值分别为p₀＝0.03，p₁＝0.02，即其可用资源在两个时刻点分别为3％和2％，性能变化量Δp＝0.01。此时，该服务器资源已基本耗尽，处于崩溃边缘，安全状态已非常严峻；

设在t₂～t₃时段，上述web服务器的性能值分别为p₂＝0.83，p₁＝0.82，即其可用资源在两个时刻点分别为83％和82％，性能变化量依然是Δp＝0.01，但此时，该服务器资源空闲很多，负载压力极小。

显然，这两个时段性能变化量相同，但是服务器的安全状态却处于截然相反的两个状态下。

该实例说明，以性能变化量的大小作为衡量安全状态严重性的指标是不正确的，应以某时段节点的平均性能状态作为指标。

②单纯以服务信息确定节点权重是不准确的。网络中某节点的重要性是由其提供的服务、存储的信息、所在安全域等多个因素决定的，不能单纯以服务信息进行衡量。

发明内容

本发明的目的是克服已有***存在的不足，提出一种内部网络安全态势综合评估***。本发明按照“多层、多维”的评估思路，首先评估被评估网络中每台主机的可用资源态势和主机威胁态势，进而获取被评估网络中每台主机的安全态势，最后得到整个被评估网络的综合安全态势。

一种网络安全态势综合评估***，包括：漏洞信息采集模块、端口状态采集模块、安全事件采集模块、虚警过滤模块、主机威胁态势评估模块、主机流量统计模块、主机丢包率统计模块、主机CPU使用率统计模块、主机内存占用率统计模块、主机并发连接数统计模块、主机可用资源态势评估模块、主机安全态势综合模块、网络安全态势综合模块、漏洞信息库、漏洞信息更新表、资产价值表、安全事件库。

所述主机具体为被评估网络中的服务器、交换机、防火墙等设备。

所述漏洞信息库中存储被评估网络中全部主机的漏洞信息；该漏洞信息以预先设定的周期T定期更新。

所述漏洞信息更新表中记录最近一次对漏洞信息库进行更新以后，安全管理员修补的全部漏洞。

所述资产价值表中记录对被评估网络中所有主机的资产价值属性；资产价值属性包括但不限于：主机提供的服务种类；主机上存在的数据类型；主机在被评估网络中所处安全域；主机的权重值。

所述安全事件库中存储对被评估网络中检测出的所有与安全相关的事件；其中，安全事件的来源包括但不限于：防火墙日志；入侵检测***日志；杀毒软件日志、操作***日志。

其连接关系为：

漏洞信息采集模块从漏洞信息库和漏洞信息更新表中获取数据；安全事件采集模块从安全事件库中获取数据；漏洞信息采集模块的输出端分别与端口状态采集模块、虚警过滤模块、主机威胁态势评估模块的输入端连接；端口状态采集模块和安全事件采集模块的输出端与虚警过滤模块的输入端连接；虚警过滤模块的输出端与主机威胁态势评估模块的输入端连接；主机流量统计模块、主机丢包率统计模块、主机CPU使用率统计模块、主机内存占用率统计模块、主机并发连接数统计模块的输出端分别与主机可用资源态势评估模块的输入端连接；主机可用资源态势评估模块、主机威胁态势评估模块分别从资产价值表获取数据，其输出端分别与主机安全态势综合模块的输入端连接；主机安全态势综合模块输出端与网络安全态势综合模块的输入端连接。

各模块的功能如下：

1.漏洞信息采集模块：获取主机当前的漏洞信息。

2.端口状态采集模块：依据主机当前存在的漏洞信息，利用端口扫描工具获取主机当前与漏洞相关的端口的开放状态。

3.安全事件采集模块：从安全事件库中读取某评估时间段内发生的安全事件。所述安全事件的属性包括但不限于：名称；次数；类型；源IP；源端口；目的IP；目的端口；严重度；对应的漏洞。

4.虚警过滤模块：针对采集的安全事件，结合漏洞信息和端口的开放状态，将虚警剔除。

5.主机威胁态势评估模块：利用针对某主机发生的安全事件的次数、严重度属性值、主机权重等参数进行运算，评估出某评估时间段内主机威胁态势。

6.主机流量统计模块：统计某评估时间段内主机的平均网络流量。

7.主机丢包率统计模块：统计某评估时间段内主机的平均丢包率。

8.主机CPU使用率统计模块：统计某评估时间段内主机的CPU平均使用率。

9.主机内存占用率统计模块：统计某评估时间段内主机的内存平均占用率。

10.主机并发连接数统计模块：统计某评估时间段内主机的平均并发连接数量。

11.主机可用资源态势评估模块：根据统计的某评估时间段内，对某主机的主机流量、主机丢包率、主机CPU使用率、主机内存占用率、主机连接数进行综合处理后，获得该主机的可用资源态势。

12.主机安全态势综合模块：对主机威胁态势和主机可用资源态势进行处理后得到某评估时间段内该主机的安全态势。

13.网络安全态势综合模块：综合被评估网络中各主机的安全态势，获得被评估网络的综合安全态势。

其工作流程如下：

步骤一、在资产价值表中预先设定被评估网络中所有主机的资产价值属性值并设定评估时段；资产价值属性包括但不限于：主机提供的服务种类；主机上存在的数据类型；主机在被评估网络中所处安全域；主机的权重值。

设定H＝{h₁，h₂，…，h_n}表示被评估网络中的所有主机，其中n为正整数，表示主机数量，

表示被评估网络中所有主机的资产价值属性中各主机的权重值，且有

评估时段用Δt表示。

步骤二、评估每台主机h_i的威胁态势其中0＜i＜n。

第1步：安全事件采集模块分别从安全事件库中采集每台主机h_i的安全事件信息并进行标准化处理。

设定

表示第i台主机在时段Δt内发生的安全事件，事件的标准化表达格式为{E_n，E_t，E_c，E_ip1，E_p1，E_ip2，E_p2，E_l，E_v}，其中，E_n表示安全事件名称；E_t表示安全事件发生的次数；E_c表示安全事件的类型；E_ip1表示安全事件的源IP；E_p1表示安全事件的源端口；E_ip2表示安全事件的目的IP；E_p2表示安全事件的目的端口；E_l表示安全事件的严重度；E_v表示安全事件对应的漏洞。

标准化处理时，如果安全事件不具有某属性，则为该属性赋值为ε。

第2步：此步骤与第1步可同时进行：漏洞信息采集模块结合漏洞信息库和漏洞信息更新表中的信息，得到每台主机h_i上现有的漏洞信息。

设定表示第i台主机当前具有的所有漏洞，o为正整数，表示第i台主机当前具有的漏洞的数量。每个漏洞的格式为{V_n，V_t，V_ip，V_c，V_l，V_p}，其中，V_n表示漏洞名称；V_t表示漏洞发现的时间；V_ip表示漏洞所在主机IP；V_c表示漏洞的类型；V_l表示漏洞的严重度；V_p表示漏洞对应的端口。

第3步：在第1步和第2步的操作基础上，端口状态采集模块获取每台主机当前相关端口的开放状态。

设定

表示第i台主机上当前存在所有漏洞对应的端口，q为正整数，表示第i台主机上当前存在所有漏洞对应的端口的数量。每个端口的格式为{P_n，P_v，P_open}，其中，P_n表示端口号；P_v表示该端口对应的漏洞；P_open表示端口开放状态，P_open＝0表示端口关闭，P_open＝1表示端口已打开。

第4步：在第3步基础上，虚警过滤模块进行虚警过滤。

针对集合

中的每一个安全事件，逐一进行如下判断：

如果该事件的E_v≠ε，并且

则该事件为虚警，将其从集合

中剔除；

否则，如果该事件的E_v≠ε，

并且与E_v对应的端口号状态P_open＝0，则该事件为虚警，将其从集合

中剔除。

第5步：在第4步的基础上，主机威胁态势评估模块对每台主机h_i进行主机威胁态势评估

设定

表示第i台主机在时段Δt内实际发生的安全事件，则

其中，

为每个安全事件的威胁程度，j为正整数，且有：

$T\left(e_j^{\′}\right)=\left\{\begin{array}{cc}{E}_t\×E_l\×{\widetilde{\mathrm{\ω}}}_i& E_v=\mathrm{\ϵ}\\ E_t\×E_l\×V_l\×{\widetilde{\mathrm{\ω}}}_i& E_v\≠\mathrm{\ϵ}\end{array}\right.$

步骤三、此步骤可与步骤二同时进行：主机可用资源态势评估模块评估每台主机h_i的可用资源态势

具体为：

第1步：主机流量统计模块获取每台主机h_i的流量统计信息并计算时间段Δt为的平均流量；

设定ρ₀表示时间段Δt的起始时间t₀时刻的流量，ρ₁表示时间段Δt的终止时间t₁时刻的流量，

表示时间段Δt内的平均流量，则

第2步：主机CPU使用率统计模块获取每台主机h_i的CPU使用率并计算时间段Δt内的平均CPU使用率；

设定γ₀表示t₀时刻的CPU使用率，γ₁表示t₁时刻的CPU使用率，

表示时间段Δt内的平均CPU使用率，则

第3步：主机内存占用率统计模块获取每台主机h_i的内存使用率并计算时间段Δt内的平均内存使用率；

设定μ₀表示t₀时刻的内存使用率，μ₁表示t₁时刻的内存使用率，

表示时间段Δt内的平均内存使用率，则

第4步：主机并发连接数统计模块获取每台主机h_i的开发连接数开计算时间段Δt内的平均并发连接数；

设定κ₀表示t₀时刻的并发连接数，κ₁表示t₁时刻的并发连接数，

表示时间段Δt内的平均并发连接数，则

第5步：主机丢包率统计模块获取丢包率并计算时间段Δt内的平均丢包率；

设定δ₀表示t₀时刻的丢包率，δ₁表示t₁时刻的丢包率，表示时间段Δt内的平均丢包率，则

第6步：主机可用资源态势评估模块获取每台主机h_i的可用资源态势

设定K表示主机h_i能够承受的最大并发连接数，P表示主机h_i能够承受的最大流量，则 $R_{h_i}=5\×{((1-\stackrel{\‾}{\mathrm{\γ}})+(1-\stackrel{\‾}{\mathrm{\μ}})+(1-\stackrel{\‾}{\mathrm{\δ}})+(1-\stackrel{\‾}{\mathrm{\κ}}/K)+(1-\stackrel{\‾}{\mathrm{\ρ}}/P))}^{-1}\×{\widetilde{\mathrm{\ω}}}_i.$

步骤四、在步骤三的基础上，主机安全态势综合模块评估每台主机h_i的安全态势 $S_{h_i}:S_{h_i}=g(T_{h_i},R_{h_i})={\mathrm{\ω}}_1\·T_{h_i}+{\mathrm{\ω}}_2\·R_{h_i};$

其中，ω₁、ω₂分别为主机威胁态势和主机可用资源态势的权重，且有ω₁+ω₂＝1。

步骤五、在步骤四的基础上，网络安全态势综合模块评估内部网络的综合态势 $S:S=h(S_{h_i},S_{h_2},\·\·\·,S_{h_n})=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{S}_{h_i}.$

有益效果

采用本发明***，可以提高网络安全态势评估的准确性和效率，具有更好的实用性。

附图说明

图1为本发明关于网络安全态势综合评估***的一种具体实施例的功能模块图；

图2为本发明关于网络安全态势综合评估***的一种具体实施例的综合态势曲线图。

具体实施方式

下面结合附图和具体实施例对本发明做详细论述。

针对某高校的校园网进行评估，被评估网络环境如下：整个网络以防火墙为边界，与外网相连。校园网为被评估网络，划分为DMZ和核心区两个安全域。在DMZ中部署邮件服务器、WWW服务器和FTP服务器，同时对内外部用户提供相应服务。核心区部署FTP服务器、数据库服务器，仅对内部用户提供相应服务。另外还有入侵检测、漏洞扫描等安全***和交换机、路由器等网络组件。

实验按照如下机制进行：安排若干学生模拟黑客攻击，这些学生事先不了解网络中存在的脆弱点，仅通过成功的入侵来获取相关信息。

本实施例中的网络安全态势综合评估***，包括：漏洞信息采集模块、端口状态采集模块、安全事件采集模块、虚警过滤模块、主机威胁态势评估模块、主机流量统计模块、主机丢包率统计模块、主机CPU使用率统计模块、主机内存占用率统计模块、主机并发连接数统计模块、主机可用资源态势评估模块、主机安全态势综合模块、网络安全态势综合模块、漏洞信息库、漏洞信息更新表、资产价值表、安全事件库。

本实施例仅针对被评估网络中的服务器进行评估。

其工作流程如下：

步骤一、在资产价值表中预先设定被评估网络中所有主机的资产价值属性值并设定评估时段Δt＝1min，实验数据收集时间段为：2010年6月2日的上午9:00至10:00。资产价值属性包括但不限于：主机提供的服务种类；主机上存在的数据类型；主机在被评估网络中所处安全域；主机的权重值。

步骤二、评估每台主机h_i的威胁态势其中0＜i＜n。

第1步：安全事件采集模块分别从安全事件库中采集每台主机h_i的安全事件信息并进行标准化处理。

标准化处理时，如果安全事件不具有某属性，则为该属性赋值为ε。

第2步：此步骤与第1步可同时进行：漏洞信息采集模块结合漏洞信息库和漏洞信息更新表中的信息，得到每台主机h_i上现有的漏洞信息。

第3步：在第1步和第2步的操作基础上，端口状态采集模块获取每台主机当前相关端口的开放状态。

第4步：在第3步基础上，虚警过滤模块进行虚警过滤。

针对集合

中的每一个安全事件，逐一进行如下判断：

如果该事件的E_v≠ε，并且

则该事件为虚警，将其从集合

中剔除；

否则，如果该事件的E_v≠ε，并且与E_v对应的端口号状态P_open＝0，则该事件为虚警，将其从集合

中剔除。

第5步：在第4步的基础上，主机威胁态势评估模块对每台主机h_i进行主机威胁态势评估

设定表示第i台主机在时段Δt内实际发生的安全事件，则

其中，

为每个安全事件的威胁程度，j为正整数，且有：

$T\left(e_j^{\′}\right)=\left\{\begin{array}{cc}{E}_t\×E_l\×{\widetilde{\mathrm{\ω}}}_i& E_v=\mathrm{\ϵ}\\ E_t\×E_l\×V_l\×{\widetilde{\mathrm{\ω}}}_i& E_v\≠\mathrm{\ϵ}\end{array}\right.$

步骤三、此步骤可与步骤二同时进行：主机可用资源态势评估模块评估每台主机h_i的可用资源态势

具体为：

第1步：主机流量统计模块获取每台主机h_i的流量统计信息并计算时间段Δt内的平均流量；

设定ρ₀表示时间段Δt的起始时间t₀时刻的流量，ρ₁表示时间段Δt的终止时间t₁时刻的流量，

表示时间段Δt内的平均流量，则

第2步：主机CPU使用率统计模块获取每台主机h_i的CPU使用率并计算时间段Δt内的平均CPU使用率；

设定γ₀表示t₀时刻的CPU使用率，γ₁表示t₁时刻的CPU使用率，

表示时间段Δt内的平均CPU使用率，则

第3步：主机内存占用率统计模块获取每台主机h_i的内存使用率并计算时间段Δt内的平均内存使用率；

设定μ₀表示t₀时刻的内存使用率，μ₁表示t₁时刻的内存使用率，

表示时间段Δt内的平均内存使用率，则

第4步：主机并发连接数统计模块获取每台主机h_i的并发连接数并计算时间段Δt内的平均并发连接数；

设定κ₀表示t₀时刻的并发连接数，κ₁表示t₁时刻的并发连接数，

表示时间段Δt内的平均并发连接数，则

第5步：主机丢包率统计模块获取丢包率并计算时间段Δt内的平均丢包率；

设定δ₀表示t₀时刻的丢包率，δ₁表示t₁时刻的丢包率，表示时间段Δt内的平均丢包率，则

第6步：主机可用资源态势评估模块获取每台主机h_i的可用资源态势

设定K表示主机h_i能够承受的最大并发连接数，P表示主机h_i能够承受的最大流量，则 $R_{h_i}=5\×{((1-\stackrel{\‾}{\mathrm{\γ}})+(1-\stackrel{\‾}{\mathrm{\μ}})+(1-\stackrel{\‾}{\mathrm{\δ}})+(1-\stackrel{\‾}{\mathrm{\κ}}/K)+(1-\stackrel{\‾}{\mathrm{\ρ}}/P))}^{-1}\×{\widetilde{\mathrm{\ω}}}_i.$

步骤四、在步骤三的基础上，主机安全态势综合模块评估每台主机h_i的安全态势 $S_{h_i}:S_{h_i}=g(T_{h_i},R_{h_i})={\mathrm{\ω}}_1\·T_{h_i}+{\mathrm{\ω}}_2\·R_{h_i};$

其中，ω₁、ω₂分别为主机威胁态势和主机可用资源态势的权重，且有ω₁+ω₂＝1。

步骤五、在步骤四的基础上，网络安全态势综合模块评估内部网络的综合态势 $S:S=h(S_{h_i},S_{h_2},\·\·\·,S_{h_n})=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{S}_{h_i}.$

经过上述流程，评估得到的被评估网络的综合安全态势曲线如图2所示。由评估结果可用看出，在9:10-9:20之间和9:25-9:35之间出现两个峰值，通过分析得知，这是由于在此期间学生发起了大量的DDOS攻击造成的。

Claims (2)

1. 一种网络安全态势综合评估***，其特征在于：包括：漏洞信息采集模块、端口状态采集模块、安全事件采集模块、虚警过滤模块、主机威胁态势评估模块、主机流量统计模块、主机丢包率统计模块、主机CPU使用率统计模块、主机内存占用率统计模块、主机并发连接数统计模块、主机可用资源态势评估模块、主机安全态势综合模块、网络安全态势综合模块、漏洞信息库、漏洞信息更新表、资产价值表、安全事件库；

所述漏洞信息库中存储被评估网络中全部主机的漏洞信息；该漏洞信息以预先设定的周期T定期更新；

所述漏洞信息更新表中记录最近一次对漏洞信息库进行更新以后，安全管理员修补的全部漏洞；

所述资产价值表中记录对被评估网络中所有主机的资产价值属性；资产价值属性包括但不限于：主机提供的服务种类；主机上存在的数据类型；主机在被评估网络中所处安全域；主机的权重值；

所述安全事件库中存储对被评估网络中检测出的所有与安全相关的事件；其中，安全事件的来源包括但不限于：防火墙日志；入侵检测***日志；杀毒软件日志、操作***日志；

其连接关系为：

漏洞信息采集模块从漏洞信息库和漏洞信息更新表中获取数据；安全事件采集模块从安全事件库中获取数据；漏洞信息采集模块的输出端分别与端口状态采集模块、虚警过滤模块、主机威胁态势评估模块的输入端连接；端口状态采集模块和安全事件采集模块的输出端与虚警过滤模块的输入端连接；虚警过滤模块的输出端与主机威胁态势评估模块的输入端连接；主机流量统计模块、主机丢包率统计模块、主机CPU使用率统计模块、主机内存占用率统计模块、 主机并发连接数统计模块的输出端分别与主机可用资源态势评估模块的输入端连接；主机可用资源态势评估模块、主机威胁态势评估模块分别从资产价值表获取数据，其输出端分别与主机安全态势综合模块的输入端连接；主机安全态势综合模块输出端与网络安全态势综合模块的输入端连接；

各模块的功能如下：

(1)漏洞信息采集模块：获取主机当前的漏洞信息；

(2)端口状态采集模块：依据主机当前存在的漏洞信息，利用端口扫描工具获取主机当前与漏洞相关的端口的开放状态；

(3)安全事件采集模块：从安全事件库中读取某评估时间段内发生的安全事件；所述安全事件的属性包括但不限于：名称；次数；类型；源IP；源端口；目的IP；目的端口；严重度；对应的漏洞；

(4)虚警过滤模块：针对采集的安全事件，结合漏洞信息和端口的开放状态，将虚警剔除；

(5)主机威胁态势评估模块：利用针对其中一个主机发生的安全事件的次数、严重度属性值、主机权重等参数进行运算，评估出某评估时间段内主机威胁态势；

(6)主机流量统计模块：统计其中一段评估时间内主机的平均网络流量；

(7)主机丢包率统计模块：统计其中一段评估时间内主机的平均丢包率；

(8)主机CPU使用率统计模块：统计其中一段评估时间内主机的CPU平均使用率；

(9)主机内存占用率统计模块：统计其中一段评估时间内主机的内存平均占用率；

(10)主机并发连接数统计模块：统计其中一段评估时间内主机的平均并 发连接数量；

(11)主机可用资源态势评估模块：根据统计的其中一段评估时间内，对其中一个主机的主机流量、主机丢包率、主机CPU使用率、主机内存占用率、主机连接数进行综合处理后，获得该主机的可用资源态势；

(12)主机安全态势综合模块：对主机威胁态势和主机可用资源态势进行处理后得到其中一段评估时间内该主机的安全态势；

(13)网络安全态势综合模块：综合被评估网络中各主机的安全态势，获得被评估网络的综合安全态势；

其工作流程如下：

步骤一、在资产价值表中预先设定被评估网络中所有主机的资产价值属性值并设定评估时段；

设定H＝{h₁，h₂，…，h_n}表示被评估网络中的所有主机，其中n为正整数，表示主机数量，表示被评估网络中所有主机的资产价值属性中各主机的权重值，且有评估时段用Δt表示；

步骤二、评估每台主机h_i的威胁态势

其中0＜i＜n；

第1步：安全事件采集模块分别从安全事件库中采集每台主机h_i的安全事件信息并进行标准化处理；

设定

表示第i台主机在时段Δt内发生的安全事件，事件的标准化表达格式为{E_n，E_t，E_c，E_ip1，E_p1，E_ip2，E_p2，E_l，E_v}，其中，E_n表示安全事件名称；E_t表示安全事件发生的次数；E_c表示安全事件的类型；E_ip1表示安全事件的源IP；E_p1表示安全事件的源端口；E_ip2表示安全事件的目的IP；E_p2表示安全事件的目的端口；E_l表示安全事件的严重度；E_v表示安全事件对应的漏洞；

标准化处理时，如果安全事件不具有预先设定的属性，则为该属性赋值为ε；

第2步：此步骤与第1步可同时进行：漏洞信息采集模块结合漏洞信息库和漏洞信息更新表中的信息，得到每台主机h_i上现有的漏洞信息；

设定

表示第i台主机当前具有的所有漏洞，o为正整数，表示第i台主机当前具有的漏洞的数量；每个漏洞的格式为{V_n，V_t，V_ip，V_c，V_l，V_p}，其中，V_n表示漏洞名称；V_t表示漏洞发现的时间；V_ip表示漏洞所在主机IP；V_c表示漏洞的类型；V_l表示漏洞的严重度；V_p表示漏洞对应的端口；

第3步：在第1步和第2步的操作基础上，端口状态采集模块获取每台主机当前相关端口的开放状态；

设定

表示第i台主机上当前存在所有漏洞对应的端口，q为正整数，表示第i台主机上当前存在所有漏洞对应的端口的数量；每个端口的格式为{P_n，P_v，P_open}，其中，P_n表示端口号；P_v表示该端口对应的漏洞；P_open表示端口开放状态，P_open＝0表示端口关闭，P_open＝1表示端口已打开；

第4步：在第3步基础上，虚警过滤模块进行虚警过滤；

针对集合

中的每一个安全事件，逐一进行如下判断：

如果该事件的E_v≠ε，并且则该事件为虚警，将其从集合中剔除；

否则，如果该事件的E_v≠ε，

并且与E_v对应的端口号状态P_open＝0，则该事件为虚警，将其从集合

中剔除；

第5步：在第4步的基础上，主机威胁态势评估模块对每台主机h_i进行主机威胁态势评估

设定

表示第i台主机在时段Δt内实际发生的安全事件，则

其中，T(e_j′)为每个安全事件的威胁程度，j为正整数，且有：

步骤三、此步骤可与步骤二同时进行：主机可用资源态势评估模块评估每台主机h_i的可用资源态势

具体为：

第1步：主机流量统计模块获取每台主机h_t的流量统计信息并计算时间段Δt内的平均流量

第2步：主机CPU使用率统计模块获取每台主机h_i的CPU使用率并计算时间段Δt内的平均CPU使用率

第3步：主机内存占用率统计模块获取每台主机h_i的内存使用率并计算时间段Δt内的平均内存使用率

第4步：主机并发连接数统计模块获取每台主机h_i的并发连接数并计算时间段Δt内的平均并发连接数

第5步：主机丢包率统计模块获取丢包率并计算时间段Δt内的平均丢包率

第6步：主机可用资源态势评估模块获取每台主机h_i的可用资源态势

设定K表示主机h_i能够承受的最大并发连接数，P表示主机h_i能够承受的最大流量，则

步骤四、在步骤三的基础上，主机安全态势综合模块评估每台主机h_i的安全态势

其中，ω₁、ω₂分别为主机威胁态势和主机可用资源态势的权重，且有ω₁+ω₂＝1；

步骤五、在步骤四的基础上，网络安全态势综合模块评估内部网络的综合态势S。

2.如权利要求1所述的一种网络安全态势综合评估***，其特征在于：所述主机包括但不限于：被评估网络中的服务器、交换机、防火墙等设备。

Images