多评估时间段的网络安全态势感知方法.docVIP

多评估时间段的网络安全态势感知方法 　　摘要：分析比较了已有的安全态势评估方法，提出了一种基于时间维的网络安全态势评估方法，重点论述网络安全态势短期评估与长期评估使用不同方法的必要性其中短期评估以防火墙、入侵检测等安全设备产生的告警信息作为数据基础，依据告警确定目的主机的状态得分进而得到整体短期安全态势；长期评估指标体系将短期评估结果纳入其中，综合静态指标数据，以熵值法确定指标权重此评估方法将网络安全态势短中长期评估细分，弥补了态势评估在时间段划分方面的缺失 　　关键词：网络安全态势； 主机评估； 动态修正； 日志审计； 熵值法 　　中图分类号： TP393.08 文献标志码：A 　　0引言 　　近年来各种网络安全事件频发，使得人们越来越关注网络安全体系建设，对网络安全防护工作的重视程度进一步加大，坚强的安防体系已经成为众多企业构建信息内网的重要目标 　　网络安全态势评估模型及关键技术是目前信息安全领域的研究热点国内外的研究人员已经获得一些研究成果，无论是在评估方法还是指标体系的建立上都有比较成熟的理论提出网络安全态势评估的研究按照数据源分为基于系统配置信息和基于系统运行信息两大类前者是指系统设计、配置状况，包括服务设置、系统中存在的漏洞等；后者是指系统所受攻击的状况，主要来自于安全设备日志库[1] 　　基于系统配置信息的安全评估是目前网络安全态势评估的重要部分Ortalo采用权限图理论建模系统漏洞，使用马尔可夫模型计算攻击者击败系统安全目标可能付出的平均代价，给出了系统安全的演化[2]肖道举等[3]基于服务在系统中所占的比重和漏洞威胁度给出一个综合评估模型，评估系统提供服务的风险，定量分析目标系统的安全状况 　　基于系统运行信息的安全态势评估工作也正在逐步引起更广泛的关注Bass提出应用多传感器数据处理建立网络空间态势意识的框架，通过推理识别攻击者身份、威胁性和攻击目标，进而评估网络空间的安全意识[4]Porras等[5]提出基于系统任务影响的报警优先级评估方法，结合报警造成的严重后果、系统相关性和攻击目标的关键性等因素，评估报警流中每个报警的威胁程度陈秀真等[1]提出的层次化网络安全威胁态势量化评估方法，结合服务、主机本身的重要性及网络系统的组织结构，采用自上而下的层次化安全威胁态势量化评估模型能够提供服务、主机和网络系统三个层次的安全威胁态势这些方法为网络安全态势评估工作提供了可行的解决思路，为模型的构建奠定了良好的理论基础，但是其中不可避免地存在着一些不足之处： 　　1）安全态势评估在时间维度上没有进行约束，短期的网络安全态势评估和长期评估笼统地使用同一种方法； 　　2）建立的指标体系中静态评估指标比重过大，难以实现对网络状态的实时动态掌控； 　　3）并未对安全态势的发展进行可持续的评估等 　　这些问题的存在削弱了网络安全态势评估的准确性，导致模型并不能对网络安全态势进行完整准确的描述[6]本文提出了一种基于时间维的层次化网络安全态势评估框架，框架将评估按时间段进行了短期长期的划分，着重强调短期评估应具有波动性强、实时性好的特点，并据此能够动态地表征系统状态的转换；长期评估则更侧重常态的描述及对网络运行可靠性、稳定性的评估等，强调评估的连续性及以时间为增量的系统状态的调整当然短期长期的评估方法不应完全割裂开来，长期评估必然是以短期评估为支撑的 　　本文构建的评估方法力图实现对网络安全态势评估的动静态综合、短长期细化，为信息安全指挥调度管理提供数据及决策支持 　　1网络安全态势评估框架 　　网络安全态势评估是对网络运行状况的宏观反映，动态表征一个网络过去和当前的安全变化情况[7]构建“大而全”的指标体系能够做到对网络安全态势的完整描述，但这种方式不灵活，重点不突出，对系统状态的转换不能够很好地表述本文强调对评估时间层次的划分，将动态指标从指标体系中剥离，也就是说短期评估只关注系统的动态运行情况，长期评估是短期评估构成的动态评分与系统静态评分的结合，这是基于时间维的网络安全态势评估框架的构建基础 　　图1为本文构建的框架，主要分为两部分，约定时评估、日评估为短期评估，周评估、月评估及年评估为长期评估依据时间粒度的粗细自底向上依次进行评估，粗粒度的评估依据细粒度的评估结果，同时加入静态指标对长期评估进行深化 　　评估网络中部署了各种不同功能的安全防护设备，例如防火墙、入侵检测系统（Intrusion Detection Systems， IDS）、入侵防御系统（Intrusion Prevention System， IPS）等，这些设备型号不同、功能不同，从不同的侧面对网络的整体运行情况进行了描述，产生的运行信息等能够基本囊括网络中出现的各种攻击事件，但是由于数据格式的不一致，阻碍