CN107204876A - 一种网络安全风险评估方法 - Google Patents

Abstract

本发明公开了一种网络安全风险评估方法，在静态风险评估基础上结合入侵检测***、漏洞检测以及第三方获取到的实时攻击事件，动态评估目标网络的安全性。在风险评估中，静态评估时资产价值通常是由专家或管理人员进行定义的，而且一段时间内不会有大的变化；威胁和脆弱性的信息的动态变化，可以借助相应的工具来进行；入侵检测***和防火墙作为监视***，可以随时对异常事件进行告警，而这些告警信息即为***可能遭受的威胁，同时也是评价一个***风险状况的重要依据。本发明可有效提高网络风险评估的准确度与实时性，进而根据风险评估结果实施安全防御措施，及时、有效地控制风险。

Description

一种网络安全风险评估方法

技术领域

本发明属于网络安全技术领域，特别是一种网络安全风险评估方法。

背景技术

网络安全风险评估的方法主要有两类：静态评估和动态评估。静态评估通过静态评判目标网络的价值、安全漏洞、安全事件的发生频率等因素来综合评价网络的风险等级。目前人们采用的信息安全风险评估方法基本局限于静态评估的方法。有关动态网络安全风险评估的研究，国内外尚处于探索阶段，且主要从基于漏洞和威胁两个方面进行的风险评估。

基于漏洞的风险评估方法采用己有的漏洞扫描工具辅助找出可能被威胁利用的漏洞，并对这些漏洞的严重性程度进行评估。邢栩嘉等指出攻击者利用漏洞这些特性对计算机***上的未授权资源进行访问，或对计算机***造成破坏性的影响。张永铮等提出对计算机漏洞使用风险传播模型进行安全风险量化评估。孙德恒提出了指标融合的网络安全态势评估模型，建立基于通用漏洞评分***的漏洞危害性量化机制，利用实时性能数据修正整体网络安全态势值。马驰等提出利用层次分析法构建漏洞危害等级评估体系，进而利用模糊理论对漏洞危害等级进行定量、定性的风险评估。

基于威胁的风险评估方法利用入侵检测***实时监听网络安全事件及采集流量信息，根据各种安全事件的危害度来评估它们对网络的影响程度。陈秀真等通过获取入侵信息，建立了基于服务、主机和网络***3个层次的细粒度威胁态势评估模型。但该模型没有分析主机漏洞之间的关联关系。许春等提出一种新型的网络安全风险评估方法，该方法以危险信号理论为基础，对抗原危险信号的量化，进而检测出网络攻击事件，最终实现对整体网络的风险评估。彭凌西等提出了基于危险理论的风险评估模型，该模型能有效、实时地从主机和网络两个粒度分别评估每类攻击事件和总体网络的风险值。韦勇等提出利用D-S证据理论将多源IDS数据进行融合，进而计算出网络安全态势并对预测网络安全趋势。姜伟等提出了是一种矩阵型攻防博弈模型，将攻击者在网络实体上的特权状态作为攻防随机博弈模型的元素，建模网络攻防状态的动态变化，并预测攻击行为和决策最优防御策略。

基于静态的网络安全风险评估分析的方法能够粗略地就网络长期所处的风险状态进行评估，但对***正在遭受的攻击缺乏实时的网络安全风险检测，缺乏自适应能力。采用基于动态的风险评估方法中，基于漏洞的网络安全风险评估分析的方法虽能够有效发现网络***的脆弱点，但它仅孤立地评估脆弱点，忽略了脆弱点之间的相互关系及由此产生的潜在安全风险。基于威胁的风险评估方法无法有效还原攻击场景和预测攻击行为。

目前网络安全风险评估的研究还处于持续探索的阶段，不管采用的是基于漏洞、基于威胁的风险评估方法对网络安全风险进行分析，都尚未找到一种很好的解决方法。

发明内容

本发明所要解决的技术问题是提供一种网络安全风险评估方法，可有效提高网络风险评估的准确度与实时性，进而根据风险评估结果实施安全防御措施,及时、有效地控制风险。

为解决上述技术问题，本发明采用的技术方案是：

一种网络安全风险评估方法，包括以下步骤：

步骤1：对目标网络进行静态风险评估，给出静态评估结果；

步骤2：对网络资产进行识别，对资产价值赋值，并将资产与脆弱性进行关联分析；

步骤3：采用CVSS(通用弱点评价体系)评估指标对漏洞采用成功概率进行赋值；采用公式计算节点资产重要程度L；其中，L_c、L_I、L_a分别为节点对应的机密性、完整性、可用性属性的量化值，round函数表示四舍五入到3个小数位；

步骤4：采用漏洞扫描器对网络节点进行漏洞识别，检测出当前结点的漏洞，并根据CVSS评估指标，采用公式计算处每个漏洞威胁程度T；其中，Base为CVSS评分，K为漏洞攻击的成功概率，K是一个0～1范围的数字；

步骤5：接收入侵检测***、防火墙以及第三方的提供的当前结点实时攻击事件告警，并根据不同的漏洞将告警信息分类；

步骤6：对入侵检测、防火墙以及第三方数据样本进行分析；

基于公式计算影响节点弱性风险指数的告警数量参数Num；其中，ni为某种告警阈值，num为某种告警的数量；

基于公式计算影响节点弱性风险指数的告警来源类型Cate；其中，cn总的告警来源种类，ci为某种告警的来源种类；

基于公式计算影响节点弱性风险指数的告警级别参数Lev；其中，N₁、N₂、N₃分别对应高、中、低三个级别告警事件数量，W₁、W₂、W₃为对应级别权值；

步骤7：采用公式P＝Num×Cate×Lev计算节点脆弱性风险指数P，再采用公式R_i＝L_i×T_i×P_i计算节点安全风险，对***进行动态风险评估；其中，R_i是节点i的动态风险值，L_i是节点i的资产重要程度，T_i是节点i的漏洞威胁程度，P_i是节点i的脆弱性风险指数；

步骤8：重复步骤5至步骤7，基于威胁对目标网络动态评估，进而完成对目标网络的安全评估。

进一步的，还包括步骤9：一段时间后，再重复步骤4至步骤8，基于漏洞和威胁对目标网络进行安全评估。

与现有技术相比，本发明的有益效果是：1)静态和动态相结合的风险评估方法，有效提高网络风险评估的实时性；2)利用基于漏洞和基于威胁方法来综合评估网络的潜在风险，可有效提高网络风险评估的准确度。

附图说明

图1是本发明一种网络安全风险评估方法构架示意图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。本发明方法在静态风险评估基础上结合入侵检测***、漏洞检测以及第三方获取到的实时攻击事件，动态评估目标网络的安全性。资产、威胁和脆弱性是风险评估的3个基本要素。

在风险评估中，静态评估时资产价值通常是由专家或管理人员进行定义的，而且一段时间内不会有大的变化。而威胁和脆弱性的信息获取，可以借助相应的工具来进行。静态风险评估后***风险降低到可接受范围内。随着时间推移，在内部和外部因素作用下，而威胁和脆弱性发生变化，***风险会提升，超出可接受范围。而威胁和脆弱性的信息的动态变化，可以借助相应的工具来进行。

入侵检测***和防火墙作为监视***，可以随时对异常事件进行告警，而这些告警信息即为***可能遭受的威胁，同时也是评价一个***风险状况的重要依据。另一方面，利用脆弱性检测工具，可以将收集的脆弱性信息与入侵检测工具收集的告警信息进行匹配，从而判断威胁事件成功或失败的可能性，进而对***的风险状况进行评价。

基于静态和动态相结合的风险评估方法的总体框架如图1所示。资产、威胁和脆弱性是风险评估的3个基本要素。为了动态地评价网络***的安全风险，网络节点的动态风险评估采取如下的风险评估计算公式：

R_i＝L_i×T_i×P_i (1)

式(1)中，R_i是节点i的动态风险值，L_i是节点i的资产重要程度，T_i是节点i的漏洞威胁程度，P_i是节点i的脆弱性风险指数。

假设节点对应的机密性、完整性、可用性属性(简称CIA)量化值为L_c、L_I、L_a，且按照不同等级其量化值从低到高对应(0.1，0.3，0.5，0.7，0.9)，具体分级量化标准在此省略，则资产重要程度L的计算式为

其中round函数表示四舍五入到3个小数位。

漏洞威胁程度T与该漏洞被利用的难易程度相关。采用美国标准与技术研究院提供的通用CVSS来评估漏洞威胁程度。一个CVSS评分是一个0～10范围的数字。每个漏洞由3属性构成，分别是：Base、Temporal和Environmental。其中，Base属性跟漏洞威胁程度。它的取值范围为0～10，因此，漏洞威胁程度T的计算公式为

其中Base为CVSS评分，K为漏洞攻击的成功概率，是一个0～1范围的数字，根据专家知识库对漏洞攻击的成功概率进行了设置，对容易攻击类型取值为0.8，一般攻击类型取值为0.6，难以攻击类型取值为0.2。

P是脆弱性风险指数。在对入侵检测，防火墙以及第三方数据样本进行分析和研究之后，从数据中归纳出了影响***资产风险状况的因子。通过对这些因子进行分析处理，从而利用公式(1)得到***资产的风险值。影响P的因子有3个：告警数量参数(Number，用Num表示)、告警来源类型(Category，用Cate表示)、告警级别(Level，用Lev表示)。脆弱性风险指数P的计算公式为

P＝Num×Cate×Lev (4)

在一个时间段内，如果某个主机上检测到的告警数量过多，超过一个预定的阀值，这时可以认为该主机遭受攻击的可能性较大，存在一定的风险。因此，一个时间段内的告警数量参数可以反映出资产当前的风险状况，它可以作为风险因子之一。告警数量相对较多，那么该资产遭受攻击的可能性较大，风险较高。因此，告警数量参数和脆弱性风险指数P有一定的线性关系存在。Num的计算公式为

其中，ni为某种告警阈值，需要专家或管理员根据历史数据或经验进行设定，num为某种告警的数量。

通常告警信息来源于不同的***，如入侵检测，防火墙以及第三方设备。因此如果当数据显示当前某个节点有来源不同的告警信息发生，那么该节点很有可能正在遭受攻击，存在一定的风险。因此，告警来源类型也应作为风险评价的因子之一。告警来源类型Cate的计算公式为

其中cn总的告警来源种类，ci为某种告警的来源种类。

现在常见的入侵检测***或工具，在对潜在的安全事件进行报警时，都会对报警事件赋予一个等级，来告诉用户该事件对主机可能造成的威胁的大小。如果一台主机在某一时间段内，被检测出来的告警事件都具有比较高的等级，说明该主机遭受严重攻击的可能性非常大，风险指数非常高。显而易见，告警级别也是反映脆弱性风险指数P的重要组成之一。告警级别Lev的计算公式为

不同的***报警事件赋予等级不同，本方法将报警事件分为3个级别高，中，低。如果告警事件赋予等级不同，在第一次使用时需要专家或管理员将其归为这三种级别。公式(7)中N₁、N₂、N₃分别对应高，中，低三个级别告警事件数量，W₁、W₂、W₃为对应级别权值。其中3个权值W₁、W₂、W₃需要专家或管理员设定，需表现出相对重要性。

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。静态风险评估技术已经比较成熟，本方法不再详述，下面就本方法基于静态评估结果所需要的准备工作简单介绍。基于静态和动态相结合的风险评估方法包含2个阶段：

阶段一：静态风险评估

1)给出静态评估结果。

2)对网络资产进行识别，对资产价值赋值，并将资产与脆弱性进行关联分析。

3)利用CVSS评估指标对漏洞利用成功概率进行赋值。

4)利用公式(2)计算节点资产重要程度L。

阶段二：动态风险评估

1)利用漏洞扫描器对网络节点进行漏洞识别，检测出当前结点的漏洞，并根据CVSS评估指标，利用公式(3)计算处每个漏洞威胁程度。

2)接收入侵检测***、防火墙以及第三方的提供的当前结点实时攻击事件告警，并根据不同的漏洞将告警信息分类。

3)在对入侵检测，防火墙以及第三方数据样本进行分析和研究，基于公式(5)计算影响节点弱性风险指数的告警数量参数Num。

4)在对入侵检测，防火墙以及第三方数据样本进行分析和研究，基于公式(6)计算影响节点脆弱性风险指数的告警来源类型Cate。

5)在对入侵检测，防火墙以及第三方数据样本进行分析和研究，基于公式(7)计算影响节点脆弱性风险指数的告警级别参数Lev。

6)利用公式(4)计算节点脆弱性风险指数P，然后利用公式(1)计算节点安全风险，对***进行动态风险评估。

7)重复2)到6)，基于威胁对目标网络动态评估。

8)根据安全策略，一段时间后(如一周或一个月或网络发生变化如增加或减少设备)重复1)到6)，基于漏洞和威胁对目标网络动态评估。

Claims (2)

1.一种网络安全风险评估方法，其特征在于，包括以下步骤：

步骤1：对目标网络进行静态风险评估，给出静态评估结果；

步骤2：对网络资产进行识别，对资产价值赋值，并将资产与脆弱性进行关联分析；

步骤3：采用CVSS评估指标对漏洞采用成功概率进行赋值；采用公式计算节点资产重要程度L；其中，L_c、L_I、L_a分别为节点对应的机密性、完整性、可用性属性的量化值，round函数表示四舍五入到3个小数位；

步骤4：采用漏洞扫描器对网络节点进行漏洞识别，检测出当前结点的漏洞，并根据CVSS评估指标，采用公式计算处每个漏洞威胁程度T；其中，Base为CVSS评分，K为漏洞攻击的成功概率，K是一个0～1范围的数字；

步骤5：接收入侵检测***、防火墙以及第三方的提供的当前结点实时攻击事件告警，并根据不同的漏洞将告警信息分类；

步骤6：对入侵检测、防火墙以及第三方数据样本进行分析；

基于公式计算影响节点弱性风险指数的告警数量参数Num；其中，ni为某种告警阈值，num为某种告警的数量；

基于公式计算影响节点弱性风险指数的告警来源类型Cate；其中，cn总的告警来源种类，ci为某种告警的来源种类；

基于公式计算影响节点弱性风险指数的告警级别参数Lev；其中，N₁、N₂、N₃分别对应高、中、低三个级别告警事件数量，W₁、W₂、W₃为对应级别权值；

步骤7：采用公式P＝Num×Cate×Lev计算节点脆弱性风险指数P，再采用公式R_i＝L_i×T_i×P_i计算节点安全风险，对***进行动态风险评估；其中，R_i是节点i的动态风险值，L_i是节点i的资产重要程度，T_i是节点i的漏洞威胁程度，P_i是节点i的脆弱性风险指数；

步骤8：重复步骤5至步骤7，基于威胁对目标网络动态评估，进而完成对目标网络的安全评估。

2.如权利要求1所述的一种网络安全风险评估方法，其特征在于，还包括步骤9：一段时间后，再重复步骤4至步骤8，基于漏洞和威胁对目标网络进行安全评估。