本发明涉及网络安全技术领域,尤其涉及一种基于攻击链因子的网络态势量化评估方法。
背景技术:
目前,随着网络信息系统的日益扩大,日趋动态化与复杂化,来自网络的安全威胁也在呈指数级增长。黑客们利用各种漏洞对网络进行多阶段攻击,使得网络安全风险评估越来越为人们所重视。为了减少网络系统的风险,网络风险评估领域出现了许多网络安全扫描工具,如ids、nessus、iss等,它们的单机检查功能比较强,通过对网络的扫描,网络管理员可以了解网络中单机的安全配置和运行的应用服务,及时发现安全漏洞,但是整体分析功能比较弱,不能对发现的各种配置脆弱性、软件漏洞、安全事件及其之间的关系进行关联分析,导致评估结果的不精确和缺乏整体性。
技术实现要素:
针对上述问题中的至少之一,本发明提供了一种基于攻击链因子的网络态势量化评估方法,通过将攻击链因子的概念引入本方法中,从黑客的角度出发,利用各种扫描器对网络扫描的大量漏洞信息、安全事件、攻击次数进行采集,结合攻击链因子,计算每个网络攻击阶段的风险值,最终得出整个网络的风险值,能够更加准确、全面地量化网络受到的攻击威胁情况,从而快速找到安全弱点,采取针对性的对抗措施,为提升已知威胁和未知威胁的主动防御能力提供强有力的支撑。
为实现上述目的,本发明提供了一种基于攻击链因子的网络态势量化评估方法,包括:识别网络攻击各阶段的评估指标,并构建态势评估指标体系;在所述态势评估指标体系的基础上,以从下向上、先局部后整体的方式建立评估模型;定义所述评估模型的态势因素层中各评估指标的权重或得分,以建立评分准则;采集预设周期内的安全日志和流量数据,根据所述评分准则获取所述评估模型中所有的二级指标得分数据;根据所述二级指标得分数据计算得到一级指标得分数据;根据所述一级指标得分数据计算得到网络总体态势值。
在上述技术方案中,优选地,所述识别网络攻击各阶段的评估指标并构建态势评估指标体系具体包括:将网络攻击行为划分为探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段,针对每个阶段建立对网络造成不同伤害的安全事件的评估指标。
在上述技术方案中,优选地,所述在所述态势评估指标体系的基础上以从下向上、先局部后整体的方式建立评估模型具体包括:以影响网络安全态势的网络攻击信息、资产价值、攻击频率、事件严重程度及系统可用性作为态势因素层,以网络中的各个节点作为评估对象层,以网络总体态势、探测性态势、攻击性态势、侵入性态势、预警性态势、危害性态势及可用性态势的安全态势值作为评估目标层;将所述态势因素层、所述评估对象层和所述评估目标层由下向上建立所述评估模型。
在上述技术方案中,优选地,所述采集预设周期内的安全日志和流量数据,根据所述评分准则获取所述评估模型中所有的二级指标得分数据具体包括:通过网络安全设备采集预设指定周期内各节点对应态势因素层的指标数据;将采集到的指标数据根据所述评分准则计算得到所有评估指标的二级指标得分数据。
在上述技术方案中,优选地,所述根据所述二级指标得分数据计算得到一级指标得分数据具体包括:根据下列计算公式(1),计算得到所述一级指标得分数据中探测性态势tc、攻击性态势gj、侵入性态势qr、预警性态势yj和危害性态势wh的得分:
其中,η为系数,网络攻击行为的5个阶段的取值依次分别为1、2、3、4、5,ev为网络攻击行为各阶段发生的安全事件,fp为对应阶段的安全事件攻击频率,at为对应阶段的攻击链因子,pv为对应阶段的资产价值;
根据下列计算公式(2),计算得到所述一级指标得分数据中可用性态势ky的得分:
其中,p为节点个数,cpu、mem、dsk为各个节点的得分。
在上述技术方案中,优选地,所述根据所述一级指标得分数据计算得到网络总体态势值具体包括:根据公式t=sum(tc、gj、qr、yj、wh、ky)计算得到网络总体态势值t。
在上述技术方案中,优选地,所述态势因素层中的评估指标包括攻击链因子,所述攻击链因子的计算步骤为:在获取网络攻击的每一个严重等级事件后,得到所述严重等级事件对应的源地址、目的地址及对应的攻击阶段;根据所述源地址和所述目的地址查询获得指定周期的相关安全事件;将回溯得到的相关安全事件进行攻击阶段映射;将获取的所述严重等级事件及回溯得到的相关安全事件综合作为该严重等级事件的攻击链因子,其中,一个所述严重等级事件的攻击链因子至少覆盖该网络攻击行为的1个攻击阶段,最多覆盖5个攻击阶段。
与现有技术相比,本发明的有益效果为:通过将攻击链因子的概念引入本方法中,从黑客的角度出发,利用各种扫描器对网络扫描的大量漏洞信息、安全事件、攻击次数进行采集,结合攻击链因子,计算每个网络攻击阶段的风险值,最终得出整个网络的风险值,能够更加准确、全面地量化网络受到的攻击威胁情况,从而快速找到安全弱点,采取针对性的对抗措施,为提升已知威胁和未知威胁的主动防御能力提供强有力的支撑。
附图说明
图1为本发明一种实施例公开的基于攻击链因子的网络态势量化评估方法的流程示意图;
图2为本发明一种实施例公开的评估模型的架构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明做进一步的详细描述:
如图1所示,根据本发明提供的一种基于攻击链因子的网络态势量化评估方法,包括:识别网络攻击各阶段的评估指标,并构建态势评估指标体系;在态势评估指标体系的基础上,以从下向上、先局部后整体的方式建立评估模型;定义评估模型的态势因素层中各评估指标的权重或得分,以建立评分准则;采集预设周期内的安全日志和流量数据,根据评分准则获取评估模型中所有的二级指标得分数据;根据二级指标得分数据计算得到一级指标得分数据;根据一级指标得分数据计算得到网络总体态势值。
在该实施例中,具体地,通过将攻击链因子的概念引入本方法中,从黑客的角度出发,利用各种扫描器对网络扫描的大量漏洞信息、安全事件、攻击次数进行采集,结合攻击链因子,计算每个网络攻击阶段的风险值,最终得出整个网络的风险值,能够更加准确、全面地量化网络受到的攻击威胁情况,从而快速找到安全弱点,采取针对性的对抗措施,为提升已知威胁和未知威胁的主动防御能力提供强有力的支撑。
在上述实施例中,优选地,识别网络攻击各阶段的评估指标并构建态势评估指标体系具体包括:将网络攻击行为划分为探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段,针对每个阶段建立对网络造成不同伤害的安全事件的评估指标。
具体地,黑客利用各种漏洞对网络进行持续性攻击,一般都是由若干个活动组成的,而不同的活动可以按攻击时间归纳为若干个阶段,这些阶段串起来就形成了攻击链。目前,新的攻击行为和攻击手法将现有规则分为了5个攻击阶段:探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段。每个阶段发生的安全事件不同,对网络造成的危害不同,以此建立的评估指标会更加合理,说明该特征更能反映出网络安全状态特征。在该种新常态下的网络安全态势估指标研究中,本发明引入了攻击链因子这一新的概念,通过攻击链因子参数能够更加准确、全面地量化网络受到的攻击威胁情况。
在上述实施例中,优选地,态势因素层中的评估指标包括攻击链因子,攻击链因子能够基于攻击阶段的覆盖度,计算该事件对网络造成的危害程度。具体地,攻击链因子的计算步骤为:
a.在获取网络攻击的每一个严重等级事件后,得到严重等级事件对应的源地址、目的地址及对应的攻击阶段;
b.根据源地址和目的地址查询获得指定周期的相关安全事件;
c.将回溯得到的相关安全事件进行攻击阶段映射;
d.将步骤a中获取的严重等级事件及步骤c中回溯得到的相关安全事件综合作为该严重等级事件的攻击链因子;
e.一个严重等级事件的攻击链因子至少覆盖该网络攻击行为的1个攻击阶段,最多覆盖5个攻击阶段。
在该实施例中,构建的态势评估指标体系表具体如下:
如图2所示,在上述实施例中,优选地,在态势评估指标体系的基础上以从下向上、先局部后整体的方式建立评估模型具体包括:以影响网络安全态势的网络攻击信息、资产价值、攻击频率、事件严重程度及系统可用性作为态势因素层,以网络中的各个节点作为评估对象层,以网络总体态势、探测性态势、攻击性态势、侵入性态势、预警性态势、危害性态势及可用性态势的安全态势值作为评估目标层;将态势因素层、评估对象层和评估目标层由下向上建立评估模型。
在上述实施例中,在建立的评估模型的基础上,对态势因素层中评估指标的权重或得分进行具体定义表如下:
其中,攻击链因子的计算公式伪代码如下:
at=0
回溯关联后,if有探测扫描阶段的ev发生then
at=at fp*1;end
回溯关联后,if有渗透攻击阶段的ev发生then
at=at fp*2;end
回溯关联后,if有攻陷入侵阶段的ev发生then
at=at fp*3;end
回溯关联后,if有安装工具阶段的ev发生then
at=at fp*4;end
其中,fp为回溯关联后对应攻击阶段的严重等级的安全事件总数。
在上述实施例中,优选地,采集预设周期内的安全日志和流量数据,根据评分准则获取评估模型中所有的二级指标得分数据具体包括:通过网络安全设备采集预设指定周期内各节点对应态势因素层的指标数据;将采集到的指标数据根据评分准则计算得到所有评估指标的二级指标得分数据。
具体地,数据准备及二级指标获取的具体过程中:
(1)通过部署在网内的各类安全设备采集安全日志及流量数据,并进行长周期存储于分布式大数据系统中;
(2)获取最近指定周期(如最近1小时)严重等级的安全事件、攻击次数、资产价值及及cpu、内存、磁盘使用率;
(3)对每一个严重等级事件进行长周期回溯关联,基于该安全事件相关源地址、目的地址查询获得指定长周期(如一个月)的相关安全事件;对该事件以及回溯到的相关事件进行攻击阶段映射;基于攻击阶段的覆盖度计算该事件的攻击链因子;
(4)最后可以得到网络上各节点态势因素层的指标数据。
在上述实施例中,优选地,根据二级指标得分数据计算得到一级指标得分数据具体包括:根据下列计算公式(1),计算得到一级指标得分数据中探测性态势tc、攻击性态势gj、侵入性态势qr、预警性态势yj和危害性态势wh的得分:
其中,η为系数,网络攻击行为的5个阶段的取值依次分别为1、2、3、4、5,ev为网络攻击行为各阶段发生的安全事件,fp为对应阶段的安全事件攻击频率,at为对应阶段的攻击链因子,pv为对应阶段的资产价值;
根据下列计算公式(2),计算得到一级指标得分数据中可用性态势ky的得分:
其中,p为节点个数,cpu、mem、dsk为各个节点的得分。
在上述实施例中,优选地,根据一级指标得分数据计算得到网络总体态势值具体包括:根据公式t=sum(tc、gj、qr、yj、wh、ky)计算得到网络总体态势值t。网络总体态势值t的值越大说明系统受到的攻击越强,同时也可以得到每个阶段态势值的占比,让网络管理员快速找到安全弱点,最终能够采取对抗措施,提升已知威胁和未知威胁的主动防御能力提供强有力的支撑。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
1.一种基于攻击链因子的网络态势量化评估方法,其特征在于,包括:
识别网络攻击各阶段的评估指标,并构建态势评估指标体系;
在所述态势评估指标体系的基础上,以从下向上、先局部后整体的方式建立评估模型;
定义所述评估模型的态势因素层中各评估指标的权重或得分,以建立评分准则;
采集预设周期内的安全日志和流量数据,根据所述评分准则获取所述评估模型中所有的二级指标得分数据;
根据所述二级指标得分数据计算得到一级指标得分数据;
根据所述一级指标得分数据计算得到网络总体态势值。
2.根据权利要求1所述的基于攻击链因子的网络态势量化评估方法,其特征在于,所述识别网络攻击各阶段的评估指标并构建态势评估指标体系具体包括:
将网络攻击行为划分为探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段,针对每个阶段建立对网络造成不同伤害的安全事件的评估指标。
3.根据权利要求1所述的基于攻击链因子的网络态势量化评估方法,其特征在于,所述在所述态势评估指标体系的基础上以从下向上、先局部后整体的方式建立评估模型具体包括:
以影响网络安全态势的网络攻击信息、资产价值、攻击频率、事件严重程度及系统可用性作为态势因素层,以网络中的各个节点作为评估对象层,以网络总体态势、探测性态势、攻击性态势、侵入性态势、预警性态势、危害性态势及可用性态势的安全态势值作为评估目标层;
将所述态势因素层、所述评估对象层和所述评估目标层由下向上建立所述评估模型。
4.根据权利要求1所述的基于攻击链因子的网络态势量化评估方法,其特征在于,所述采集预设周期内的安全日志和流量数据,根据所述评分准则获取所述评估模型中所有的二级指标得分数据具体包括:
通过网络安全设备采集预设指定周期内各节点对应态势因素层的指标数据;
将采集到的指标数据根据所述评分准则计算得到所有评估指标的二级指标得分数据。
5.根据权利要求2所述的基于攻击链因子的网络态势量化评估方法,其特征在于,所述根据所述二级指标得分数据计算得到一级指标得分数据具体包括:
根据下列计算公式(1),计算得到所述一级指标得分数据中探测性态势tc、攻击性态势gj、侵入性态势qr、预警性态势yj和危害性态势wh的得分:
其中,η为系数,网络攻击行为的5个阶段的取值依次分别为1、2、3、4、5,ev为网络攻击行为各阶段发生的安全事件,fp为对应阶段的安全事件攻击频率,at为对应阶段的攻击链因子,pv为对应阶段的资产价值;
根据下列计算公式(2),计算得到所述一级指标得分数据中可用性态势ky的得分:
其中,p为节点个数,cpu、mem、dsk为各个节点的得分。
6.根据权利要求1所述的基于攻击链因子的网络态势量化评估方法,其特征在于,所述根据所述一级指标得分数据计算得到网络总体态势值具体包括:
根据公式t=sum(tc、gj、qr、yj、wh、ky)计算得到网络总体态势值t。
7.根据权利要求1所述的基于攻击链因子的网络态势量化评估方法,其特征在于,所述态势因素层中的评估指标包括攻击链因子,所述攻击链因子的计算步骤为:
在获取网络攻击的每一个严重等级事件后,得到所述严重等级事件对应的源地址、目的地址及对应的攻击阶段;
根据所述源地址和所述目的地址查询获得指定周期的相关安全事件;
将回溯得到的相关安全事件进行攻击阶段映射;
将获取的所述严重等级事件及回溯得到的相关安全事件综合作为该严重等级事件的攻击链因子,
其中,一个所述严重等级事件的攻击链因子至少覆盖该网络攻击行为的1个攻击阶段,最多覆盖5个攻击阶段。
技术总结