[发明专利]一种网络安全态势评估方法

摘要

一种网络安全态势评估方法，包括：对原始数据进行预处理，计算各资产在子网中的权重和各子网在整个网络中的权重；对各资产进行外部威胁态势评估；对各资产进行内部威胁态势评估；采用权重分析法，进行各子网外部威胁态势评估和内部威胁态势评估；进行网络外部威胁态势评估和内部威胁态势评估；对防火墙日志信息、入侵信息和漏洞信息进行交叉关联，消除无效告警；综合评估各资产的安全态势；进行各子网安全态势评估；采用权重分析法，进行网络安全态势评估；本发明改变了现有技术中数据源单一的：问题，使网络安全态势评估结果更加全面、精确；真实反映网络安全整体状况；评估结果直观实用，可以直接用于指导网络安全管理指挥、决策。

主权项

一种网络安全态势评估方法，包括：安全事件信息、网络拓扑信息、资产基本信息和资产状态信息；其特征在于：包括以下步骤：步骤1：对原始数据进行预处理，消除重复信息和错误信息，生成格式化的安全事件信息、网络拓扑信息、资产基本信息和资产状态信息；用于网络安全态势评估的数据来源包括防火墙、入侵检测系统、防病毒软件、漏洞扫描系统、拓扑发现工具、性能采集工具；经过去冗余、消除错误信息，再进行格式化，形成安全事件信息、网络拓扑信息、资产基本信息和资产状态信息；步骤2：基于网络拓扑信息、资产基本信息，计算各资产在子网中的权重和各子网在整个网络中的权重；设定网络中有n个网络设备类资产ASSET1，ASSET2，...，ASSETn，每个网络设备类资产与其连接的终端类资产构成一个子网，根据网络拓扑信息，设定有m个终端类资产与网络设备类资产ASSETk(1≤k≤n)相连接：ASSETk1，ASSETk2，...，ASSETkm；计算网络设备类资产ASSETk的子网总资产值；在计算权重时，设定权值为资产值的平方；计算终端类资产ASSETkf在网络设备类资产ASSETk的子网中的权重；计算网络设备类资产ASSETk在其子网中的权重；计算网络设备类资产ASSETk的子网在整个网络中的权重；步骤3：基于入侵信息，对各资产进行外部威胁态势评估；基于病毒信息、漏洞信息，对各资产进行内部威胁态势评估；在时间段[t0，t1]内，无论入侵是否成功，对入侵信息进行统计，设定针对资 产ASSETw的所有入侵信息为IDS1，IDS2，...，IDSp；计算资产ASSETw的外部威胁态势值；计算资产ASSETw的内部威胁态势值；步骤4：基于各资产在子网中的权重，采用权重分析法，进行各子网外部威胁态势评估和内部威胁态势评估；网络设备类资产的子网外部威胁态势值就是该子网内所有资产的外部威胁态势值的加权和；网络设备类资产的子网内部威胁态势值就是该子网内所有资产的内部威胁态势值的加权和；步骤5：基于各子网在整个网络中的权重，采用权重分析法，进行网络外部威胁态势评估和内部威胁态势评估；网络外部威胁态势值就是所有子网的外部威胁态势值的加权和；网络内部威胁态势值就是所有子网的内部威胁态势值的加权和；步骤6：对防火墙日志信息、入侵信息和漏洞信息进行交叉关联，消除无效告警；针对资产ASSETw的入侵信息，若资产ASSETw上不存在入侵针对的漏洞，则该入侵无效，不会对网络安全产生危害，最终筛选得到针对资产ASSETw的所有有效入侵信息IDS1，IDS2，...，IDSs；步骤7：基于交叉关联后的各类信息，综合评估各资产的安全态势；在时间段[t0，t1]内，对资产状态信息进行统计，设定资产ASSETw的所有状态信息为STATEt0，STATE1，STATE2，...，STATEt，STATEt1；计算资产ASSETw的单位时间流量；资产的单位时间流量就是某时间段内总流量的平均值；处理器平均使用率就是某时间段内所有采集的处理器使用率的算术平均值；内存平均占用率就是某时间段内所有采集的内存占用率的算术平均值；基于资产ASSETw的有效入侵信息、病毒信息、状态信息，计算资产ASSETw的安全态势值；资产的安全态势值通过对流量、处理器平均使用率、内存平均占用率、有效入侵的严重等级、病毒严重等级的数学计算得到；步骤8：基于各资产在子网中的权重，采用权重分析法，进行各子网安全态势评估；采用权重分析法，计算网络设备类资产ASSETk的子网综合安全态势值；网络设备类资产的子网综合安全态势值就是该子网内所有资产的安全态势值的加权和；步骤9：基于各子网在整个网络中的权重，采用权重分析法，进行网络安全态势评估；采用权重分析法，计算综合网络安全态势值；综合网络安全态势值就是所有子网的综合安全态势值的加权和。