[发明专利]一种网络安全态势评估方法

权利要求书

1.一种网络安全态势评估方法，其特征在于，包括如下步骤：

步骤1：通过主机日志、网络IDS告警、主机探针数据以及网络探针数据，收集网络态势要素信息；

步骤2：威胁评估指标量化；

根据收集到的网络态势要素信息分别计算威胁影响度I(t)、威胁发生率W(t)和节点损失价值V(t|t₀)三个量化指标；

步骤3：计算节点安全态势，得到网络节点态势值NC(t)；

步骤4：计算链路安全态势，得到网络链路态势值；具体为：对于网络链路的安全态势，首先需要利用Dijkstra算法计算每两个节点的最短距离，其中边上的权值用到的是在指标约简之后的指标，包括时延、可用带宽、时延抖动和丢包率，然后根据每个各节点之间的最短路径记为l_ij，全部节点间最短路径距离总和记为L，则l_ij出现的概率为p(ij)＝l_ij/L，获得节点间的联系熵为E_ij＝-p(ij)log p(ij)；

定义网络在某一动态演化时刻t的时效熵为：

其中m为节点的个数，因为总共存在m(m+1)/2条路径，所以除以此数进行归一化；

在计算某一时刻的网络链路态势时，根据此时刻的网络时效熵与稳态时的网络时效熵对比，得到此时刻的网络链路态势值NE(t)；

NE(t)＝E(t)-E(t₀)；

步骤5：将计算得到的网络节点态势值与网络链路态势值融合，得到全网安全态势量化值：

NTSA＝α·NC(t)+β·NE(t)

其中，α为网络节点态势值的权值，反应最后网络节点态势值在全网安全态势占的比重，β为网络链路态势值的权值，反应最后网络链路态势值在全网安全态势占的比重。

2.根据权利要求1所述的一种网络安全态势评估方法，其特征在于，步骤2中，t时刻的威胁影响度I(t)定义如下：

t时刻的威胁影响度I(t)表示根据从IDS、事件日志以及其他检测设备中的信息反映攻击事件造成破坏的有效性和严重程度，参考Snort用户手册中攻击的分类方法及其等级设定分数，然后根据IDS、事件日志以及其他检测设备中的信息，判定攻击的影响程度，分为很高、高、中、低和无5个等级，设定量化值为0.4、0.3、0.2、0.1、0。

3.根据权利要求1所述的一种网络安全态势评估方法，其特征在于，步骤2中，t时刻的威胁发生率W(t)定义如下：

其中，R表示相关度函数，w表示各网络环境属性信息的相关度函数所占的权重，i表示网络环境属性信息的数量，在计算过程中用来表示各属性信息。

4.根据权利要求2所述的一种网络安全态势评估方法，其特征在于，相关度函数公式定义如下：

其中，Alert.Info为警报信息，State.Info为网络环境属性信息；如果警报信息与网络环境属性信息无关，则R＝0；如果无法确定警报与网络环境属性信息是否匹配，则R＝0.5；如果警报信息与网络环境属性信息相关，则R＝1。

5.根据权利要求1所述的一种网络安全态势评估方法，其特征在于，步骤2中，节点损失价值V(t|t₀)的计算公式：

其中，μ₁，μ₂，μ₃分别表示节点损失价值的机密性指标权重、完整性指标权重、可用性指标权重；P₁，P₂，P₃分别表示节点本身的机密性等级数值、完整性等级数值、可用性等级数值；节点损失价值V(t|t₀)表示的是在某一时刻t相对于t₀时刻的节点的损失价值，Round2表示四舍五入取两位小数。

6.根据权利要求1所述的一种网络安全态势评估方法，其特征在于，步骤3中，网络节点态势取决于威胁影响度、威胁发生成功率和节点损失价值3个网络节点态势评估指标，将这三个指标相结合得到网络节点态势值N(t):

N(t)＝I(t)·W(t)·V(t)

然后评判节点的重要性，在网络中担任服务器的节点重要性设置为0.8，在网络中起连接作用的节点重要性设置为0.7，在网络中作为单独节点重要性设置为0.6，从而得到网络中各节点的权值W_i(t)，利用权值与网络节点的态势值计算整个网络节点态势值NC(t):

其中m为节点的个数，n为被攻击的节点个数。