一种网络安全态势评估方法及系统[发明专利]

*CN101951329A*

(10)申请公布号 CN 101951329 A(43)申请公布日 2011.01.19

(12)发明专利申请

(21)申请号 201010292870.2(22)申请日 2010.09.27

(71)申请人北京系统工程研究所

地址100101 北京市朝阳区安翔北里10号

院19号四室(72)发明人王东霞 赵刚 冯学伟 马国庆

李津 方兰 王春雷 李远玲刘杰 张鲁峰 赵金晶 李响苗青(74)专利代理机构北京集佳知识产权代理有限

公司 11227

代理人逯长明 王宝筠(51)Int.Cl.

H04L 12/24(2006.01)H04L 29/06(2006.01)

H04L 12/26(2006.01)

权利要求书 2 页 说明书 10 页 附图 3 页

(54)发明名称

一种网络安全态势评估方法及系统(57)摘要

本发明公开了一种网络安全态势评估方法和系统，以提高网络安全态势评估的适用范围和准确性。上述方法包括：将预置时间段内所有安全事件按照攻击类型分类，构成至少一个事件集；分别累加各事件集中所述安全事件的攻击风险等级，将累加值确定为各事件集的危害程度值；将各事件集的危害程度值作为自变量带入与各事件集相对应的经验函数fi()，获得各事件集使网络处于不安全状态的可信度值；将各事件集的可信度值作为证据分量，利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于不安全状态的可信度。可见，本技术方案实现了对整个网络系统安全态势的定量评估，提高了网络安全态势评估的适用范围和准确性。

CN 101951329 ACN 101951329 ACN 101951333 A

权 利 要 求 书

1/2页

1.一种网络安全态势评估方法，其特征在于，包括：

将预置时间段内所有安全事件按照攻击类型分类，构成至少一个事件集；分别累加各事件集中所述安全事件的攻击风险等级，将累加值确定为各事件集的危害程度值；

将各事件集的危害程度值作为自变量带入与各事件集相对应的经验函数fi()，获得各事件集使网络处于不安全状态的可信度值；其中，所述经验函数为：根据具体的网络应用环境并且满足证据理论的合成规则的应用条件设计出的用于将危害程度值映射到区间[0，1]的函数；

将各事件集的可信度值作为证据分量，利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于不安全状态的可信度。

2.根据权利要求1所述的方法，其特征在于，所述经验函数为可信度分配函数为：

其中，i表示攻击活动的类型标识，自变量x为事件集的危害程度值，ki和si为预置的标识为i的攻击活动的修正因子，

为标识为i的攻击活动的修正函数。

3.根据权利要求1所述的方法，其特征在于，所述利用证据理论的合成规则，综合各个证据分量，获得预置时间段网络处于不安全状态的可信度，包括：

将各个事件集的可信度作为证据分量带入以下公式，获得预置时间段网络处于不安全状态的可信度：

其中，m为获得事件集使网络处于不安全状态可信度的函数；mi(N)为标识为i的攻击活动使网络处于不安全状态的可信度，所述i＝1，2，3......n，mi(Y)为标识为i的攻击活动使网络处于安全状态的可信度，所述mi(Y)＝1-mi(N)，

为预置时间

段网络处于不安全状态的可信度。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括，利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于安全状态的可信度。

5.根据权利要求4所述的方法，其特征在于，所述利用证据理论的合成规则，综合各个证据分量，获得预置时间段网络处于安全状态的可信度，包括：

将各个事件集的可信度作为证据分量带入以下公式，获得预置时间段网络处于安全状态的可信度：

其中，为预置时间段网络处于安全状态的可信度。

6.一种网络安全态势评估系统，其特征在于，包括：攻击分类单元，用于将预置时间段内所有安全事件按照攻击类型分类，构成至少一个事件集；

2

CN 101951329 ACN 101951333 A

权 利 要 求 书

2/2页

风险累加单元，用于分别累加所述攻击分类单元构成的各事件集中所述安全事件的攻击风险等级，将累加值确定为各事件集的危害程度值；

证据分量获得单元，用于将所述风险累加单元获得的各事件集的危害程度值作为自变量带入与各事件集相对应的经验函数fi()，获得各事件集使网络处于不安全状态的可信度值；其中，所述经验函数为：根据具体的网络应用环境并且应用证据理论的合成规则的条件设计出的用于将危害程度值映射到区间[0，1]的函数；

第一可信度获得单元，用于将所述证据分量获得单元获得的各事件集的可信度值作为证据分量，利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于不安全状态的可信度。

7.根据权利要求6所述的系统，其特征在于，所述经验函数为可信度分配函数为：

其中，i表示攻击活动的类型标识，自变量x为事件集的危害程度值，ki和si为预置的标识为i的攻击活动的修正因子，

为标识为i的攻击活动的修正函数。

8.根据权利要求6所述的系统，其特征在于，所述第一可信度获得单元将各个事件集的可信度作为证据分量带入以下公式，获得预置时间段网络处于不安全状态的可信度：

其中，m为获得事件集使网络处于不安全状态可信度的函数；mi(N)为标识为i的攻击活动使网络处于不安全状态的可信度，所述i＝1，2，3，......n，mi(Y)为标识为i的攻击活动使网络处于安全状态的可信度，所述mi(Y)＝1-mi(N)，

为预置时

间段网络处于不安全状态的可信度。

9.根据权利要求8所述的系统，其特征在于，所述系统还包括：第二可信度获得单元；所述第二可信度获得单元，用于将所述证据分量获得单元获得的各事件集的可信度值作为证据分量，利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于安全状态的可信度。

10.根据权利要求9所述的系统，其特征在于，所述第二可信度获得单元，将各个事件集的可信度作为证据分量带入以下公式，获得预置时间段网络处于安全状态的可信度：

其中，为预置时间段网络处于安全状态的可信度。

3

CN 101951329 ACN 101951333 A

说 明 书

一种网络安全态势评估方法及系统

1/10页

技术领域

[0001]

本发明涉及网络安全领域，特别是涉及一种网络安全态势评估方法和系统。

背景技术

网络安全态势评估是信息安全领域的重要研究内容。所谓网络安全态势评估是指利用评估算法综合分析网络空间的各个安全元素，将元素之间的影响关系以及影响程度以宏观指数的方式呈现给管理员，让管理员从全局的角度感知、觉察网络系统的安全态势，进而促使管理员做出合理、准确的决策。网络安全态势评估是整个安全管理的基础。[0003] 目前基于静态加权的量化分级技术在网络安全态势评估中应用较为普遍，它的工作原理是：当网络空间中有攻击活动发生时，攻击活动会触发各个分布式部署的安全设备，如入侵检测系统、防火墙等，产生安全事件。安全事件以记录的形式给出了攻击的相关属性，如攻击类型、源地址、目标地址、攻击风险等级等。静态加权的量化分级技术通常会按照网络资源的粒度从系统级、主机级再到服务级结合事件的目的地址对事件进行分类，这样就产生了一个层次式的事件集，如图1所示。图1的树形结构中，每一个叶节点都是一个事件集合。当一个安全事件产生时，根据事件的目标主机和目标服务将该事件归类到某一个叶节点中，这样一个叶节点就代表针对某个目标主机上某个服务的所有安全事件。评估的时候首先对各个叶节点进行分别处理，将叶节点中各个事件的攻击风险等级累加得到主机i上服务j的态势指数Servicei，然后再通过式(1)计算出各个主机的态势指数Nodei，其j，中Weight(Servicei，得到各个主机的态势指数Nodei根据式j)表示主机i上服务j的权重，(2)计算出整个系统的态势指数System，完成整个评估过程。System从宏观角度反映了当全网络空间的安全状况。

[0002] [0004] [0005]

但由于静态加权的量化分级技术是遵循从系统级、主机级，再到服务级结合事件

的目标地址对事件进行归并分类的，这种方案至少存在以下缺点：首先，由于对事件的归类划分依赖于目标地址，使得在目标地址不存在或不唯一的情况下，该方法将不适用。例如利用ICMP报文进行洪泛攻击，其没有明确的目标地址，这时该方法将不适用，具有明显的局限性。另外，当网络中同时发生多种类型的攻击活动时，其处理特点仅仅停留在静态加权层面，使得该技术的融合过程不能体现出不同攻击活动行为特征之间的区别差异，使得评估最终结果的准确性下降。

[0006]

发明内容

[0007] 为解决上述技术问题，本发明实施例提供一种网络安全态势评估方法及系统，以提高网络安全态势评估的适用范围和准确性，技术方案如下：

4

CN 101951329 ACN 101951333 A[0008]

说 明 书

2/10页

一种网络安全态势评估方法，包括：

[0009] 将预置时间段内所有安全事件按照攻击类型分类，构成至少一个事件集；[0010] 分别累加各事件集中所述安全事件的攻击风险等级，将累加值确定为各事件集的危害程度值；

[0011] 将各事件集的危害程度值作为自变量带入与各事件集相对应的经验函数fi()，获得各事件集使网络处于不安全状态的可信度值；其中，所述经验函数为：根据具体的网络应用环境并且满足证据理论的合成规则的应用条件设计出的用于将危害程度值映射到区间[0，1]的函数；

[0012] 将各事件集的可信度值作为证据分量，利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于不安全状态的可信度。[0013] 优选地，所述经验函数为可信度分配函数为：

[0014] [0015]

其中，i表示攻击活动的类型标识，自变量x为事件集的危害程度值，ki和si为预

为标识为i的攻击活动的修正函数。

置的标识为i的攻击活动的修正因子，

[0016]

优选地，所述利用证据理论的合成规则，综合各个证据分量，获得预置时间段网络处于不安全状态的可信度，包括：

[0017] 将各个事件集的可信度作为证据分量带入以下公式，获得预置时间段网络处于不安全状态的可信度：

[0018] [0019]

[0020]

其中，m为获得事件集使网络处于不安全状态可信度的函数；mi(N)为标识为i的

攻击活动使网络处于不安全状态的可信度，所述i＝1，2，3......n，mi(Y)为标识为i的攻

为预置

击活动使网络处于安全状态的可信度，所述mi(Y)＝1-mi(N)，

时间段网络处于不安全状态的可信度。[0021] 优选地，所述方法还包括，利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于安全状态的可信度。[0022] 优选地，所述利用证据理论的合成规则，综合各个证据分量，获得预置时间段网络处于安全状态的可信度，包括：

[0023] 将各个事件集的可信度作为证据分量带入以下公式，获得预置时间段网络处于安全状态的可信度：

[0024] [0025]

[0026] [0027]

其中，为预置时间段网络处于安全状态的可信度。

一种网络安全态势评估系统，包括：

[0028] 攻击分类单元，用于将预置时间段内所有安全事件按照攻击类型分类，构成至少

5

CN 101951329 ACN 101951333 A

说 明 书

3/10页

一个事件集；

[0029] 风险累加单元，用于分别累加所述攻击分类单元构成的各事件集中所述安全事件的攻击风险等级，将累加值确定为各事件集的危害程度值；[0030] 证据分量获得单元，用于将所述风险累加单元获得的各事件集的危害程度值作为自变量带入与各事件集相对应的经验函数fi()，获得各事件集使网络处于不安全状态的可信度值；其中，所述经验函数为：根据具体的网络应用环境并且应用证据理论的合成规则的条件设计出的用于将危害程度值映射到区间[0，1]的函数；[0031] 第一可信度获得单元，用于将所述证据分量获得单元获得的各事件集的可信度值作为证据分量，利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于不安全状态的可信度。[0032] 优选地，所述经验函数为可信度分配函数为：

[0033] [0034]

其中，i表示攻击活动的类型标识，自变量x为事件集的危害程度值，ki和si为预

为标识为i的攻击活动的修正函数。

置的标识为i的攻击活动的修正因子，

[0035] [0036] [0037]

优选地，所述第一可信度获得单元将各个事件集的可信度作为证据分量带入以下公式，获得预置时间段网络处于不安全状态的可信度：

[0038]

其中，m为获得事件集使网络处于不安全状态可信度的函数；mi(N)为标识为i的攻击活动使网络处于不安全状态的可信度，所述i＝1，2，3，......n，mi(Y)为标识为i的

为预

攻击活动使网络处于安全状态的可信度，所述mi(Y)＝1-mi(N)，置时间段网络处于不安全状态的可信度。

[0039]

优选地，所述系统还包括：第二可信度获得单元；[0040] 所述第二可信度获得单元，用于将所述证据分量获得单元获得的各事件集的可信度值作为证据分量，利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于安全状态的可信度。[0041] 优选地，所述第二可信度获得单元，将各个事件集的可信度作为证据分量带入以下公式，获得预置时间段网络处于安全状态的可信度：

[0042] [0043]

[0044] [0045]

其中，为预置时间段网络处于安全状态的可信度。

上述方案实现了对整个网络系统安全态势的定量评估。与现有技术相比，在本发明实施例提供的技术方案中，安全事件的归类是基于攻击类型的，而非传统的基于目标地址，由此有效地解决了由于目标地址不存在或者不唯一而带来的评估方案不适用的局限性；并且本发明所提供的评估方案根据每一种类型攻击活动的行为特点设计了合适的经验

6

CN 101951329 ACN 101951333 A

说 明 书

4/10页

函数，将不同类型的攻击活动依据其自身特点区别对待，能够准确刻画出不同的攻击活动对网络资源的危害能力，有效地提高了评估结果的准确性。附图说明

[0046] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

[0047] 图1为静态加权的量化分级技术的层次事件集拓扑图；

[0048] 图2为本发明实施例所提供的网络安全态势评估方法的流程图；[0049] 图3为本发明实施例所提供的网络安全态势评估方法的另一流程图；[0050] 图4为本发明实施例所提供的网络安全态势评估系统的结构示意图；[0051] 图5为本发明实施例所提供的网络安全态势评估系统的另一结构示意图。具体实施方式

[0052] 为了引用和清楚，现将证据理论的合成规则介绍如下：

[0053] 证据理论是20世纪60年代美国哈佛大学数学家A·P·Dempster提出的，后经他的学生G·Shafer的发展，逐渐形成了一套基于“证据”和“组合”来处理不确定性推理问题的数学方法。证据理论被广泛的应于于专家系统、信息融合等领域，其合成规则如下所示：

[0054]

[0055] [0056]

其中K称为归一化常数：

[0057]

公式解释如下：证据理论中首先需要定义一个识别框架Θ，也称为假设空间，各个证据所要支持的结论Ai都是识别框架的子集，即命题。m称为识别框架Θ上的基本可信度，函数m：R→[0，1]须满足如下两个等式：

[0058]

[0059] [0060]

mi(A)表示证据i认为命题A成立的可信度。

表示多种证据

使得命题A成立的可信度。

[0061] 为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员所获得的所有其他实施例，都应当属于本发明保护的范围。

7

CN 101951329 ACN 101951333 A[0062]

说 明 书

5/10页

本发明提供一种网络安全态势评估方法，以提高网络安全态势评估的适用范围和

准确性。

本发明中，利用证据理论的合成规则，定义识别框架Θ＝{N，Y}，识别框架的两个子集{N}和{Y}分别代表网络的不安全状态和安全状态，两种状态构成了完备互斥的命题集。如图2所示，所述网络安全态势评估方法，包括以下步骤：[0064] 步骤S10：将预置时间段内所有安全事件按照攻击类型分类，构成至少一个事件集；

[0065] 不同的网络安全态势不同，所以不同网络的评估时间段根据具体网络环境而定；在某网络中，在预置时间段内整个网络受到了多种攻击活动，产生了大量的安全事件，所述安全事件可以是经过关联分析后得到的高层告警事件；所述安全事件都以标准的记录格式保存在数据库中，每一种所述安全事件都有攻击类型、攻击源地址、攻击目的地址、风险等级等安全属性；在对所述预置时间段内网络安全态势进行评估时，则按照所有安全事件的攻击类型进行分类，这样就构成了至少一个事件集，所述事件集为相同攻击类型安全事件的集合。

[0066] 步骤S20：分别累加各事件集中所述安全事件的攻击风险等级，将累加值确定为各事件集的危害程度值；

[0063]

每个安全事件都有相对应的攻击风险等级，不同的数值代表不同的攻击风险等

级；评估时，分别累加各事件集中的所有安全事件的攻击风险等级值，所述累加值为各事件集的危害程度值。[0068] 步骤S30：将各事件集的危害程度值作为自变量带入与各事件集相对应的经验函数fi()，获得各事件集使网络处于不安全状态的可信度值；其中，所述经验函数为：根据具体的网络应用环境并且满足证据理论的合成规则的应用条件设计出的用于将危害程度值映射到区间[0，1]的函数；

[0069] 针对于态势评估以及各种攻击活动的特点，预先设计了一个可修正的经验函数，用于将各事件集的危害程度值映射到区间[0，1]；并且所述经验函数满足证据理论的合成规则中的应用条件，即经验函数fi()：R→[0，1]须满足：

[0067] [0070]

[0071]

所述经验函数中包含修正因子，不同的修正因子对应不同的攻击活动；通过调整所述经验函数中的修正因子使得不同的攻击活动对应不同的经验函数，这样体现出不同攻击活动的不同特点；评估时，将各事件集的危害程度值作为自变量带入经验函数fi()，获得各事件集使网络处于不安全状态的可信度值。[0073] 步骤S40：将各事件集的可信度值作为证据分量，利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于不安全状态的可信度。

[0074] 各事件集由相对应的经验函数fi()获得使网络处于不安全状态的可信度，将各个可信度作为证据理论的合成规则的各证据分量，综合分析后即可得到所有安全事件使得网络处于不安全状态的可信度。

[0072]

8

CN 101951329 ACN 101951333 A[0075]

说 明 书

6/10页

通过应用上述的网络安全态势评估方法，可以实现对整个网络系统安全态势的定量评估。与现有技术相比，安全事件的归类是基于攻击类型的，而非传统的基于目标地址，由此有效地解决了由于目标地址不存在或者不唯一而带来的评估方案不适用的局限性；并且本发明所提供的评估方案根据每一种类型攻击活动的行为特点设计了合适的经验函数，将不同类型的攻击活动依据其自身特点区别对待，能够准确刻画出不同的攻击活动对网络资源的危害能力，有效地提高了评估结果的准确性。[0076] 其中，上述的经验函数可以是如下形式的可信度分配函数：

[0077] [0078]

其中，i表示攻击活动的类型标识，自变量x为事件集的危害程度值，ki和si为预

为标识为i的攻击活动的修正函数。

置的标识为i的攻击活动的修正因子，

[0079]

所述可信度分配函数fi()作为经验函数是根据具体的应用环境设计的，并且满足证据理论的合成规则的应用条件；利用反正切函数作为基数，然后根据每种攻击活动的特点为其定义一个修正函数

利用该修正函数来控制反正切函数的增长率和增长空

间，从而体现攻击特点，也就是标识不同的攻击活动的K和S值不相同，每一种攻击活都有其特定的修正函数。评估时，各事件集的危害程度值作为自变量x，被带入到所述可信度分配函数中，从而得到各事件集使网络处于不安全状态的可信度值。可见，由于每种攻击活动的对应的修正函数不同，使得能够体现出不同的攻击活动的不同特点。[0080] 当然，经验函数并不限于上述的可信度分配函数的固定格式，固定参数等，即不同的应用环境对应不同的可信度分配函数，并且实际中为了降低评价开销，简化函数的设计过程，也可以设计出一个修正函数来代表多种类别的不同的攻击活动，也就是，多种攻击活动对应相同的修正因子k和s。通过对不同经验函数进行设置，使得该技术方案可以应用于不同的网络环境，从而提高了用范围。[0081] 其中，利用证据理论的合成规则，综合各个证据分量，获得预置时间段网络处于不安全状态的可信度，具体可以采用以下方式实现：

[0082] 将各个事件集的可信度作为证据分量带入以下公式，获得预置时间段网络处于不安全状态的可信度：

[0083] [0084]

[0085]

其中，m为获得网络处于各种状态可信度的函数；mi(N)为标识为i的攻击活动使

网络处于不安全状态的可信度，所述i＝1，2，3，......n，mi(Y)为标识为i的攻击活动使

为预置时间段网

网络处于安全状态的可信度，所述mi(Y)＝1-mi(N)，

络处于不安全状态的可信度。

[0086] 各事件集中的所有安全事件属于相同的攻击活动，各个事件集使网络处于不安全状态的可信度为对应攻击活动使网络处于不安全状态的可信度，所以将各事件集的可信度值作为证据分量带入相应的mi(N)，并且由于各由事件集使网络处于不安全状态的可信度为mi(N)，可知各事件集使网络处于安全状态的可信度为mi(Y)＝1-mi(N)，由此可以获得预

9

CN 101951329 ACN 101951333 A

说 明 书

7/10页

置时间段网络处于不安全状态的可信度。

[0087] 在获得网络处于不安全状态的可信度之后，还可以进一步利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于安全状态的可信度。具体可以采用以下的方案：

[0088] 将各个事件集的可信度作为证据分量带入以下公式，获得预置时间段网络处于安全状态的可信度：

[0089] [0090]

其中，为预置时间段网络处于安全状态的可信度。由于本发

明中利用证据理论的合成规则，定义识别框架Θ＝{N，Y}，识别框架的两个子集{N}和{Y}分别代表网络的不安全状态和安全状态，两种状态构成了完备互斥的命题集，所以仍然可以根据各事件集使网络处于安全状态的可信度mi(Y)和不安全状态的可信度mi(N)获得预置时间段网络处于安全状态的可信度。通过获得预置时间段网络处于安全状态的可信度使得整个技术方案更加完整。[0092] 可以理解的是，上述方案只是一种具体的实现方式，并不构成对本发明方案的限定，在上述方案的基础上，本领域技术人员可以根据实际应用环境设计其他形式的经验函数，或者采用其他具体方式获得网络处于安全/不安全状态的可信度，这些也都应属于本发明的保护范围。

[0093] 为了使本技术领域的人员更好地理解本发明方案，下面以两种攻击活动为例对本发明作进一步的详细说明。[0094] 如表1所示，在预置时间段内当前网络发生了两种攻击活动：RPC缓冲区溢出攻击(RPC OverFlow Attack)和TCP端口扫描攻击(TCP PortScanAttack)，所述两种攻击活动触发安全设备产生了如表1的记录格式的安全事件。[0095] 表1：

[0091] [0096]

结合图3，评估当前网络预置时间段的网络的安全状态的过程如下：

[0098] 步骤S11：按照攻击活动类型将所有安全事件分为两类，构成两个事件集；[0099] 步骤S21：分别累加各事件集的中所有安全事件的攻击风险等级，得到两个事件

[0097]

10

CN 101951329 ACN 101951333 A

说 明 书

8/10页

集的危害程度值；[0100] 由表1可知，ID为196、197、198的三个安全事件的攻击类型为RPC缓冲区溢出攻击，将这三个安全事件的攻击风险等级的值累加得到RPC缓冲区溢出攻击对应的事件集的危害程度值为12；ID为199和200的安全事件的攻击类型为TCP端口扫描攻击，将这两个安全事件的攻击风险等级的值进行累加得到TCP端口扫描攻击对应的事件集的危害程度值为9；

[0101] 步骤S31：将各事件集的危害程度值作为自变量带入到预先设置的经验函数中，将事件集的危害程度值映射到区间[0，1]，从而得到各事件集使网络处于不安全状态的可信度值；

[0102] 假设预先为RPC缓冲区溢出攻击设计的经验函数为可信度分配函数：fRPC_OverFlow_

-1-x

·x1.5)/2+0.5，预先为TCP端口扫描攻击设计的经验函数为可Attack()＝(2*arctgx/π-e

信度分配函数：fTCP_PortScan_Attack()＝(2*arctgx/π-e-3.5-x·x4)/2+0.5，那么将各事件集对应的危害程度值作为自变量x带入到相应经验函数中，得到[0103] 表2所显示的可信度值；[0104] 表2：

[0105]

攻击类型 危害程度 Unsafety 0.9735 0.9525

Safety

1-0.9735＝0.0265 1-0.9525＝0.0475

RPC OverFlow Attack 12 TCPPortScanAttack

[0106]

9

RPC缓冲区溢出攻击对应的事件集使网络处于不安全状态的可信度值为0.9735，

而使网络处于安全状态的可信度值为0.0265；TCP端口扫描攻击对应的事件集使网络处于不安全状态的可信度值为0.9525，而使网络处于安全状态的可信度值为0.0475；[0107] 步骤S41：利用证据理论的合成规则，将两个事件集使得网络处于两种状态的可信度值带入以下公式：

[0108] [0109] [0110] [0111] [0112]

其中，RPC缓冲区溢出攻击的类型标识为1，TCP端口扫描攻击的类型标识为2，

m1(Unsafety)和m2(Unsafety)分别为RPC缓冲区溢出攻击和TCP端口扫描攻击使网络处于不安全状态的可信度，m1(Safety)和m2(Safety)分别为RPC缓冲区溢出攻击和TCP端口扫描攻击使网络处于安全状态的可信度，

和

分别为

预置时间段网络处于不安全状态和安全状态的可信度。

[0113] 将RPC缓冲区溢出攻击和TCP端口扫描攻击对应的事件集使网络处于两种状态的可信度值分别带入公式(3)和(4)中，得到如下公式及结果：

11

CN 101951329 ACN 101951333 A[0114] [0115]

说 明 书

9/10页

预置时间段内整个网络处于不安全状态的可信度约为0.99864，处于安全状态的可信度约为0.00136。

[0117] 以上实施例所提供的方案，将预置时间段网络发生的五个安全事件基于攻击类型进行分类，构成两个事件集，RPC缓冲区溢出攻击和TCP端口扫描攻击分别对应一个事件集，各事件集中的安全事件的攻击类型相同，这样有效解决了由于目标地址不存在或者不唯一而带来的评估方案不适用的局限性；并且这两个事件集分别有相应的可信度分配函数，可将这两种攻击活动依据其自身特点区别对待，准确刻画出这两种攻击活动对网络资源的危害程度，有效地提高了评估的准确性。[0118] 通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备

[0116]

(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

[0119] 相应于上面的方法实施例，本发明还提供一种网络安全态势评估系统，如图4所示，所述评估系统可以包括：[0120] 攻击分类单元01，用于将预置时间段内所有安全事件按照攻击类型分类，构成至少一个事件集；

[0121] 风险累加单元02，用于分别累加所述攻击分类单元01构成的各事件集中所述安全事件的攻击风险等级，将累加值确定为各事件集的危害程度值；[0122] 证据分量获得单元03，用于将所述风险累加单元02获得的各事件集的危害程度值作为自变量带入与各事件集相对应的经验函数fi()，获得各事件集使网络处于不安全状态的可信度值；其中，所述经验函数为：根据具体的网络应用环境并且应用证据理论的合成规则的条件设计出的用于将危害程度值映射到区间[0，1]的函数；[0123] 第一可信度获得单元04，用于将所述证据分量获得单元03获得的各事件集的可信度值作为证据分量，利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于不安全状态的可信度。其中，所述经验函数为可信度分配函数为：

[0124] [0125]

其中，i表示攻击活动的类型标识，自变量x为事件集的危害程度值，ki和si为预

为标识为i的攻击活动的修正函数。

置的标识为i的攻击活动的修正因子，

[0126] [0127] [0128]

第一可信度获得单元04具体可以通过将各个事件集的可信度作为证据分量带入以下公式，获得预置时间段网络处于不安全状态的可信度：

12

CN 101951329 ACN 101951333 A

说 明 书

10/10页

[0129]

其中，m为获得事件集使网络处于不安全状态可信度的函数；mi(N)为标识为i的攻击活动使网络处于不安全状态的可信度，所述i＝1，2，3......n，mi(Y)为标识为i的攻

为预置

击活动使网络处于安全状态的可信度，所述mi(Y)＝1-mi(N)，

时间段网络处于不安全状态的可信度。[0130] 如图5所示，更进一步的，所述系统还可以包括：第二可信度获得单元05；[0131] 所述第二可信度获得单元05，用于将所述证据分量获得单元03获得的各事件集的可信度值作为证据分量，利用证据理论的合成规则，综合各个所述证据分量，获得预置时间段网络处于安全状态的可信度。

[0132] 第二可信度获得单元05具体可以通过将各个事件集的可信度作为证据分量带入以下公式，获得预置时间段网络处于安全状态的可信度：

[0133] [0134]

[0135] [0136]

其中，为预置时间段网络处于安全状态的可信度。

为了描述的方便，描述以上系统时以功能分为各种单元分别描述。当然，在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。[0137] 本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

[0138] 以上所述仅是本发明的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

13

CN 101951329 ACN 101951333 A

说 明 书 附 图

1/3页

图1

图2

14

CN 101951329 ACN 101951333 A

说 明 书 附 图

2/3页

图3

图4

15

说 明 书 附 图

图5

16

3/3页

CN 101951329 ACN 101951333 A