專利名稱:基于多層次多角度分析的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全領(lǐng)域,涉及一種基于多層次多角度分析的網(wǎng)絡(luò)安全 態(tài)勢感知方法�����。
背景技術(shù):
網(wǎng)絡(luò)安全態(tài)勢感知(NSSA: Network Security Situation Awareness)起源與 態(tài)勢感知(SA: Situation Awareness),態(tài)勢感知這一概念源于航天飛行的人因 (HumanFactors)研究�����,此后在軍事戰(zhàn)場、核反應(yīng)控制�����、空中交通監(jiān)管以及 醫(yī)療應(yīng)急調(diào)度等領(lǐng)域被廣泛地研究�。在1995年,Endsley把態(tài)勢感知定義為感 知(perception)在一定的時間和空間環(huán)境中的元素��,包括它們現(xiàn)在的狀況和 它們未來的發(fā)展趨勢[l]���。在1999年�����,TimBass首次提出了網(wǎng)絡(luò)態(tài)勢感知這個 概念����,并對網(wǎng)絡(luò)態(tài)勢感知與空中交通管制(ATC: Air Traffic Control)態(tài)勢感 知進行了類比��,把ATC態(tài)勢感知的成熟理論和技術(shù)借鑒到網(wǎng)絡(luò)態(tài)勢感知中去���, 并提出了網(wǎng)絡(luò)安全態(tài)勢感知概念模型[2]���,隨即在文獻[3]中提出了基于多傳感 器數(shù)據(jù)融合的入侵檢測框架���,并把該框架用于下一代入侵檢測系統(tǒng)和NSAS。 采用該框架能夠?qū)崿F(xiàn)入侵行為檢測��、入侵率計算����、入侵者身份和入侵者行為 識別、態(tài)勢評估以及威脅評估等功能����。但是該模型在網(wǎng)絡(luò)系統(tǒng)很復(fù)雜的時候, 威脅和傳感器的數(shù)量以及數(shù)據(jù)流將會變的非常巨大而不可控制����。王慧強等人 在文獻[4]中,總結(jié)了前人的研究�,給網(wǎng)絡(luò)態(tài)勢做了一個較為全面的定義,所 謂網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運行狀況����、網(wǎng)絡(luò)行為以及用戶行為等因素所
5構(gòu)成的整個網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢��。網(wǎng)絡(luò)態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境 中,對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取�����、理解����、顯示以及預(yù) 測未來的發(fā)展趨勢。
陳秀真等人在文獻[5]中提出了層次化網(wǎng)絡(luò)安全態(tài)勢評估方法���,該方法基 于IDS報警信息和網(wǎng)絡(luò)性能指標(biāo)進行網(wǎng)絡(luò)安全的定量威脅評估��,根據(jù)網(wǎng)絡(luò)系統(tǒng) 的組織結(jié)構(gòu)���,基于服務(wù)主機本身的重要性,提出一種層次化網(wǎng)絡(luò)安全威脅態(tài) 勢評估模型及相應(yīng)的量化計算方法�����,該模型從服務(wù)��、主機和網(wǎng)絡(luò)系統(tǒng)三個層 次評估安全威脅態(tài)勢��。該方法把管理員從海量的日志分析中解放出來�,提供 一種直觀的安全威脅態(tài)勢圖��,使管理員對系統(tǒng)的安全威脅狀況有宏觀的了解����。 層次化網(wǎng)絡(luò)安全威脅態(tài)勢定量評估模型能夠直觀地給出整個網(wǎng)絡(luò)系統(tǒng)�����、主機 和服務(wù)三個層次的安全威脅態(tài)勢����,使網(wǎng)絡(luò)管理員能夠及時了解系統(tǒng)安全動態(tài), 查找安全變化的原因����,調(diào)整安全策略,保證系統(tǒng)安全最大化��。而且����,從長時 期的安全威脅態(tài)勢曲線中可以發(fā)現(xiàn)安全威脅演化規(guī)律。并且�,該系統(tǒng)在實際 中得到應(yīng)用,能夠合理評估常見網(wǎng)絡(luò)攻擊對系統(tǒng)安全的威脅,將管理員從繁 重的報警數(shù)據(jù)分析任務(wù)中解脫出來��。但是該方法的數(shù)據(jù)來源單一�,僅對IDS的 檢測結(jié)果或者網(wǎng)絡(luò)威脅數(shù)據(jù)分析����,沒有能綜合考慮資產(chǎn)、威脅���、脆弱性的依 賴關(guān)系����。并且����,該方法態(tài)勢評估的結(jié)果單一,只是對網(wǎng)絡(luò)安全態(tài)勢的一個方 面進行描述�����。
美國勞倫斯伯克利國家實驗室的Stephen Lau于2003年開發(fā)了 "The Spinning Cube of Potential Doom"系統(tǒng)�,該系統(tǒng)在三維空間中用點來表示網(wǎng)絡(luò) 流量信息,在笛卡兒坐標(biāo)系中�����,即x軸代表網(wǎng)絡(luò)地址,y軸代表所有可能的源IP�,z軸代表端口號,該方法極大地提高了網(wǎng)絡(luò)態(tài)勢感知能力[6]���?���?▋?nèi)基梅隆大學(xué) SEI (Software Engineering Institute)所領(lǐng)導(dǎo)的CERT/NetSA (The CERT Network Situational Awareness Group)開發(fā)出SILK (the System for Internet-Level Knowledge",該系統(tǒng)采用集成化思想����,即把現(xiàn)有的Netflow工具集成在一起, 提供整個網(wǎng)絡(luò)的態(tài)勢感知���,便于大規(guī)模網(wǎng)絡(luò)的安全分析����。但是�����,這些方法是 對網(wǎng)絡(luò)流量進行可視化分析描述�����,輸出的結(jié)果只是網(wǎng)絡(luò)安全態(tài)勢感知很小的 一部分。
美國國家高級安全系統(tǒng)研究中心(National Center for Advanced Secure Systems Research, NCASSR)進行的SIFT (Security Incident Fusion Tool) [8]項 目����,通過開發(fā)一個安全事件融合工具的集成框架���,為Internet提供安全可視化��。 但是�����,該方法是基于安全事件的描述�,輸出的結(jié)果也只是網(wǎng)絡(luò)安全態(tài)勢感知 的一部分����。
此外,基于GB/T20984-2007的風(fēng)險評估方法可以借鑒到網(wǎng)絡(luò)安全態(tài)勢感 知中去���,但是傳統(tǒng)的風(fēng)險評估方法程自動化程度不高����,需要較多手工參與, 造成資源消耗大并且實時性不高�,常常是問題出現(xiàn)了以后才發(fā)現(xiàn)。
綜上所述����,現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)存在以下不足
1) 數(shù)據(jù)來源單一,僅對入侵檢測系統(tǒng)(IDS)的檢測結(jié)果或者網(wǎng)絡(luò)威脅數(shù) 據(jù)分析����,沒有綜合考慮資產(chǎn)、威脅��、脆弱性的依賴關(guān)系���;
2) 輸出結(jié)果單一��,有的只有定性描述而缺乏定量分析��,有的是僅對網(wǎng)絡(luò) 安全態(tài)勢的某一方面的分析��;
3) 感知過程自動化程度不高����,需要較多手工參與�,造成感知系統(tǒng)資源消耗大并且實時性不高�����,常常是問題出現(xiàn)了以后很長時間才發(fā)現(xiàn)���。 參考文獻. Endsley M R, "Design and evaluation for situation awareness enhancement", Human Factors Society, 32nd Annual Meeting, Santa Monica, CA, 1988.. Bass T etc., "A glimpse into the fliture of id", http:〃www.usenix.org/publications/login/1999-9/features/f uture.html.. Bass T, "Intrusion Detection Systems and Multi-sensor Data Fusion: Creating Cyberspace Situation awareness", Communications of the ACM����, 2000, 43(4): pp.99-105,.王慧強�����、賴積保等�����,"網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)綜述"����,計算機科學(xué),2006 Vol.33 No. 10.陳秀真�、鄭慶華等,"層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法"����, Journal of Software, 2006, 17(4): pp.885-897.. Stephen Lau��, "The spinning cube of potential doom", Communications ofthe ACM, 2004, 47(6):25 26. Carnegie Mellon's SEI, "System for Internet Level Knowledge (SILK)", http:〃silktools.sourceforge.net, 2005. William Yurcik�����, "Visualizing NetFlows for Security at Line Speed: The SIFT Tool Suite", 19th Large Installation System Administration Conference (LISA'05), San Diego ���,CAUSA, Dec, 2005.
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于多層次多角度分析的網(wǎng)絡(luò)安全態(tài)勢感知系 統(tǒng)及方法,克服現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)數(shù)據(jù)來源單一�、輸出結(jié)果單一、 感知過程自動化程度不高的問題�����,從而使得網(wǎng)絡(luò)安全態(tài)勢感知更為準(zhǔn)確����、全 面。為實現(xiàn)上述目的�,本發(fā)明的基于多層次多角度分析的網(wǎng)絡(luò)安全態(tài)勢感知 系統(tǒng)包括
數(shù)據(jù)采集模塊,通過多傳感器捕獲網(wǎng)絡(luò)系統(tǒng)的資產(chǎn)�、威脅、脆弱性方面 的數(shù)據(jù)�����;
網(wǎng)絡(luò)安全態(tài)勢理解模塊,首先在數(shù)據(jù)庫中建立與資產(chǎn)��、威脅和脆弱性相 關(guān)的數(shù)據(jù)字典����,然后對數(shù)據(jù)采集模塊采集到的原始數(shù)據(jù)進行統(tǒng)計分析,去除 重復(fù)�����、錯誤項��,修改不一致項��,接著將統(tǒng)計分析后的數(shù)據(jù)與數(shù)據(jù)字典進行關(guān) 聯(lián)分析��,得到規(guī)范化格式的資產(chǎn)���、威脅和脆弱性數(shù)據(jù);
網(wǎng)絡(luò)安全態(tài)勢評估模塊��,根據(jù)網(wǎng)絡(luò)安全態(tài)勢理解模塊提供的數(shù)據(jù)��,首先 從資產(chǎn)、威脅和脆弱性三方面對網(wǎng)絡(luò)安全態(tài)勢進行專題評估��,輸出評估結(jié)果�; 接著根據(jù)專題評估的結(jié)果和態(tài)勢理解提供的規(guī)范化數(shù)據(jù),從網(wǎng)絡(luò)安全的機密 性��、完整性和可用性三方面對網(wǎng)絡(luò)安全態(tài)勢進行要素評估��,輸出評估結(jié)果�����; 然后根據(jù)網(wǎng)絡(luò)機密性安全態(tài)勢值����、完整性安全態(tài)勢值、可用性安全態(tài)勢值對 網(wǎng)絡(luò)安全態(tài)勢進行整體評估�,輸出評估結(jié)果;
網(wǎng)絡(luò)安全態(tài)勢預(yù)測模塊����,根據(jù)態(tài)勢評估模塊提供的網(wǎng)絡(luò)安全態(tài)勢評估值, 采用時間序列分析方法�����,分析網(wǎng)絡(luò)安全態(tài)勢變化規(guī)律,給出態(tài)勢變化曲線圖����, 預(yù)測將來某一時刻網(wǎng)絡(luò)安全態(tài)勢值,并給出預(yù)測誤差�。
其中,該網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)進一步包括
安全加固方案模塊��,根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢和變化規(guī)律����,提供不同的 加固方案,滿足不同需求的用戶提高網(wǎng)絡(luò)系統(tǒng)的安全性�����。
實現(xiàn)本發(fā)明所述的基于多層次多角度分析的網(wǎng)絡(luò)安全態(tài)勢感知的方法���,包括以下步驟
A. 對傳感器采集到的網(wǎng)絡(luò)系統(tǒng)的資產(chǎn)、威脅�����、脆弱性方面的數(shù)據(jù)進行統(tǒng) 計數(shù)據(jù)融合和關(guān)聯(lián)分析����,得到規(guī)范化數(shù)據(jù)���,接著執(zhí)行B;
B. 對步驟A融合后的規(guī)范化數(shù)據(jù)進行分析,進行網(wǎng)絡(luò)安全態(tài)勢專題評估�����, 生成評估結(jié)果�,接著執(zhí)行C;
C. 對步驟A融合后的規(guī)范化數(shù)據(jù)和步驟B的專題評估結(jié)果進行分析,進行
網(wǎng)絡(luò)安全態(tài)勢要素評估����,生成評估結(jié)果,接著執(zhí)行D;
D. 對步驟C的要素評估結(jié)果進行分析���,進行網(wǎng)絡(luò)安全態(tài)勢整體評估�����,并輸
出評估結(jié)果�����,接著執(zhí)行E;
E. 對步驟D的整體評估結(jié)果進行分析�����,進行網(wǎng)絡(luò)安全態(tài)勢預(yù)測�����,并輸出預(yù)
測結(jié)果�����。
其中����,步驟A中對檢測數(shù)據(jù)的統(tǒng)計數(shù)據(jù)融合和關(guān)聯(lián)分析進一步包括數(shù)據(jù) 庫中數(shù)據(jù)字典的建立、更新和刪除����;對各種檢測子系統(tǒng)的檢測結(jié)果進行統(tǒng)計 分析,去除錯誤��、重復(fù)項���,修正不一致項;將得到的融合結(jié)果與數(shù)據(jù)字典進 行關(guān)聯(lián)分析,得到規(guī)范化格式的資產(chǎn)��、威脅和脆弱性數(shù)據(jù)�����。
其中��,步驟B中的網(wǎng)絡(luò)安全態(tài)勢專題評估進一步包括網(wǎng)絡(luò)安全資產(chǎn)評估�����、 網(wǎng)絡(luò)安全威脅評估��、網(wǎng)絡(luò)安全脆弱性評估�����。
其中�,步驟C中的網(wǎng)絡(luò)安全態(tài)勢要素評估進一步包括網(wǎng)絡(luò)安全機密性評 估、網(wǎng)絡(luò)安全完整性評估�����、網(wǎng)絡(luò)安全可用性評估��。
其中,步驟D中的網(wǎng)絡(luò)安全態(tài)勢整體評估進一步包括面向不同應(yīng)用領(lǐng)域 加的加權(quán)系數(shù)分析和整體評估計算���。其中�,步驟E中的網(wǎng)絡(luò)安全態(tài)勢預(yù)測進一步包括基于時間序列分析的網(wǎng) 絡(luò)安全態(tài)勢預(yù)測�。
該網(wǎng)絡(luò)安全態(tài)勢感知方法還進一步包括步驟F:對步驟B、 C�、 D、 E的評
估預(yù)測結(jié)果進行分析��,生成網(wǎng)絡(luò)安全態(tài)勢加固方案�。
本發(fā)明與現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)相比,具有以下優(yōu)點
1�����、 本發(fā)明采用多種檢測方法�,在全面獲取數(shù)據(jù)的基礎(chǔ)上,綜合考慮資產(chǎn)���、 威脅和脆弱性對網(wǎng)絡(luò)安全態(tài)勢的影響����,更準(zhǔn)確��、全面地進行網(wǎng)絡(luò)安全態(tài)勢感 知。
2�、 本發(fā)明針對不同行業(yè)����、職位等用戶對網(wǎng)絡(luò)安全態(tài)勢的關(guān)注點和側(cè)重點
的不同,從多個層次�、多個角度對網(wǎng)絡(luò)的安全態(tài)勢進行分析,采用定量分析 和定性描述相結(jié)合的方法�����,保證評估結(jié)果系統(tǒng)而全面����。
3、 本發(fā)明在安全態(tài)勢評估的基礎(chǔ)上�,采用時間序列分析方法,預(yù)測網(wǎng)絡(luò)
系統(tǒng)安全態(tài)勢變化趨勢���,并能在此基礎(chǔ)上針對不同的需求給出解決網(wǎng)絡(luò)系統(tǒng)
安全問題����、提高網(wǎng)絡(luò)系統(tǒng)安全性的加固方案����。
圖1為本發(fā)明網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)示意圖2為本發(fā)明基于多層次多角度分析方法的網(wǎng)絡(luò)安全態(tài)勢感知方法的工 作流程圖�����。
具體實施例方式
下面結(jié)合附圖和具體實施方式
對本發(fā)明作進一步詳細的說明�。 本發(fā)明的基于多層次多角度分析的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)�,如圖1所示,包括以下模塊數(shù)據(jù)采集模塊����、網(wǎng)絡(luò)安全態(tài)勢理解模塊、網(wǎng)絡(luò)安全態(tài)勢評估 模塊��、網(wǎng)絡(luò)安全態(tài)勢預(yù)測模塊���、安全加固方案模塊��。
其中�,數(shù)據(jù)采集模塊�����,通過多傳感器檢測所感知網(wǎng)絡(luò)系統(tǒng)的運行狀況���, 捕獲網(wǎng)絡(luò)系統(tǒng)的資產(chǎn)���、威脅��、脆弱性方面的數(shù)據(jù)。所述傳感器檢測子模塊包 括資產(chǎn)識別����、在線測試、惡意代碼檢測���、脆弱性檢測����,滲透測試��、IDS和安全 事件驗證���,用于檢測資產(chǎn)數(shù)據(jù)�、各種惡意代碼和網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)���、各種漏洞和 管理配置脆弱性數(shù)據(jù)����、各種已發(fā)生和可能發(fā)生的安全事件數(shù)據(jù)。傳感器檢測
子模塊得到的數(shù)據(jù)內(nèi)容見步驟101���、 102�����、 103���、 104所述。
網(wǎng)絡(luò)安全態(tài)勢理解模塊���,由于數(shù)據(jù)采集模塊使用的多種不同類別的檢測 傳感器���,收集到的原始數(shù)據(jù)數(shù)量很大,并且存在重復(fù)�、錯誤以及不一致的數(shù) 據(jù)項,不能被態(tài)勢評估模塊直接使用�,需要進行預(yù)處理。該模塊首先在數(shù)據(jù) 庫中建立資產(chǎn)字典���、威脅字典和脆弱性字典等數(shù)據(jù)字典����;然后對各種檢測子 模塊的檢測結(jié)果進行統(tǒng)計分析,去除錯誤���、重復(fù)項��,修正不一致項���;接著將 統(tǒng)計分析后的數(shù)據(jù)與數(shù)據(jù)字典進行關(guān)聯(lián)分析��,得到規(guī)范化格式的資產(chǎn)��、威脅 和脆弱性數(shù)據(jù)�����;最后將規(guī)范化的數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)安全態(tài)勢評估模塊�。所述數(shù) 據(jù)字典的字段內(nèi)容見步驟201、 202�、 203所示,所述規(guī)范化格式的資產(chǎn)��、威脅 和脆弱性數(shù)據(jù)的字段內(nèi)容見步驟301�、 302所示�����。
網(wǎng)絡(luò)安全態(tài)勢評估模塊��,采用多層次多角度分析方法�����,分析態(tài)勢理解模 塊提供的數(shù)據(jù)����,從上到下分為三個層次進行態(tài)勢評估網(wǎng)絡(luò)安全態(tài)勢專題評 估�、網(wǎng)絡(luò)安全態(tài)勢要素評估、網(wǎng)絡(luò)安全態(tài)勢整體評估�����,每一個評估層次中又 分別從不同的角度進行評估����,具體如下所述。網(wǎng)絡(luò)安全態(tài)勢專題評估進一步從三個角度進行評估網(wǎng)絡(luò)安全資產(chǎn)評估�、 網(wǎng)絡(luò)安全威脅評估、網(wǎng)絡(luò)安全脆弱性評估。
1) 資產(chǎn)評估資產(chǎn)評估是對資產(chǎn)在機密性��、完整性和可用性上的達成程 度進行分析��,并在此基礎(chǔ)上得出一個綜合結(jié)果���。
2) 威脅評估主要評估威脅的當(dāng)前形勢和發(fā)展趨勢����,包括威脅的數(shù)量��、 范圍���、影響�����、技術(shù)類別及其發(fā)展趨勢。威脅評估分為三個層次網(wǎng)絡(luò)系統(tǒng)中 所有威脅的評估����,網(wǎng)絡(luò)系統(tǒng)中某一類惡意代碼或者某一類網(wǎng)絡(luò)攻擊的評估, 以及具體某個威脅的評估�����。
3) 脆弱性評估主要評估脆弱性當(dāng)前形勢,包括脆弱性的數(shù)量�����、范圍�、 被利用概率及其對資產(chǎn)安全性的影響。脆弱性評估分為三個層次網(wǎng)絡(luò)系統(tǒng) 中總體脆弱性的評估�,網(wǎng)絡(luò)系統(tǒng)中某一類漏洞或者某一類管理配置脆弱性的 評估;以及具體某個脆弱性的評估�����。
所述網(wǎng)絡(luò)安全態(tài)勢專題評估的評估方法見步驟501����、 502、 601���、 602所示��。
網(wǎng)絡(luò)安全態(tài)勢要素評估進一步從三個角度進行評估網(wǎng)絡(luò)安全機密性評
估��、網(wǎng)絡(luò)安全完整性評估���、網(wǎng)絡(luò)安全可用性評估�。
1) 機密性評估整個網(wǎng)絡(luò)機密性達成程度的分析����,保證機密信息不被竊 聽,或竊聽者不能了解信息的真實含義的能力���;
2) 完整性評估整個網(wǎng)絡(luò)完整性達成程度的分析���,保證數(shù)據(jù)的一致性, 防止數(shù)據(jù)被非法用戶篡改的能力�;
3) 可用性評估整個網(wǎng)絡(luò)可用性達成程度的分析,保證合法用戶對信息 和資源的使用不會被不正當(dāng)?shù)鼐芙^的能力��。的評估方法見步驟701����、 702所示����。 網(wǎng)絡(luò)安全態(tài)勢整體評估對整個網(wǎng)絡(luò)系統(tǒng)的安全性進行定量分析和定性描 述,由于不同應(yīng)用背景對安全性各個方面需求的緊要程度不同�,需要區(qū)別對 待,本發(fā)明采用面向不同應(yīng)用領(lǐng)域的加權(quán)系數(shù)分析來進行網(wǎng)絡(luò)安全態(tài)勢整體 評估。
所述網(wǎng)絡(luò)安全態(tài)勢整體評估的評估方法見步驟801����、 802所示。
網(wǎng)絡(luò)安全態(tài)勢預(yù)測模塊���,根據(jù)態(tài)勢評估模塊提供的評估結(jié)果�����,采用時間 序列分析方法��,分析網(wǎng)絡(luò)安全態(tài)勢變化規(guī)律����,給出態(tài)勢變化曲線圖�,預(yù)測將 來某一時刻網(wǎng)絡(luò)安全態(tài)勢值,并給出預(yù)測誤差���。網(wǎng)絡(luò)系統(tǒng)不同時刻的安全態(tài) 勢彼此相關(guān)��,有一定的內(nèi)部規(guī)律,這種規(guī)律可以預(yù)測系統(tǒng)將來時刻的態(tài)勢值, 有預(yù)見性的指導(dǎo)系統(tǒng)安全策略的配置�����,實現(xiàn)網(wǎng)絡(luò)安全的動態(tài)管理。本發(fā)明中 采用的預(yù)測算法是基于時間序列的分析方法,該方法立足概率論和統(tǒng)計學(xué)��, 有很好的理論基礎(chǔ)�,適合刻畫與時間相關(guān)序列的前后依賴性���。本發(fā)明采用的 網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法及預(yù)測報告的內(nèi)容見步驟901�、 902所示�。
安全加固方案模塊�����,根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢和用戶的需求���,提供不同 的加固方案����,滿足用戶對網(wǎng)絡(luò)系統(tǒng)安全性的需要。該模塊首先將網(wǎng)絡(luò)安全態(tài) 勢專題評估結(jié)果與預(yù)先設(shè)定的閾值比較,網(wǎng)絡(luò)全態(tài)勢要素評估結(jié)果與預(yù)先設(shè) 定的閾值比較����,網(wǎng)絡(luò)當(dāng)前安全態(tài)勢值與預(yù)先設(shè)定的安全態(tài)勢閾值比較,然后 根據(jù)比較結(jié)果�,對安全態(tài)勢值大于閾值的部分�����,生成相應(yīng)的加固方案���。
圖2是本發(fā)明基于多層次多角度分析方法的網(wǎng)絡(luò)安全態(tài)勢感知方法的工 作流程圖��。態(tài)勢感知從步驟OOO開始步驟IOI����、 102、 103、 104:
步驟IOI、 102����、 103�����、 104代表數(shù)據(jù)采集過程��,通過多傳感器檢測所感知 網(wǎng)絡(luò)系統(tǒng)的運行狀況�,捕獲數(shù)據(jù)����,本發(fā)明中使用的檢測子模塊有資產(chǎn)識別�、 在線測試�、惡意代碼檢測、脆弱性檢測��,滲透測試�、IDS和安全事件驗證。根 據(jù)子模塊接口規(guī)范����,各個檢測模塊得到的數(shù)據(jù)內(nèi)容如下
*惡意代碼檢測子模塊惡意代碼所在資產(chǎn)的ID和IP地址(當(dāng)IP地址存在 時),惡意代碼的類型和名稱��,惡意代碼所在文件的類型和名稱���,惡意代碼 的行為模式和安全威脅級別�����,惡意代碼對應(yīng)威脅的ID����,時間����。
*脆弱性檢測子模塊脆弱性所在資產(chǎn)的ID和IP地址(當(dāng)IP地址存在時)���, 漏洞的名稱,漏洞類型����,漏洞描述,漏洞的MS和CVE編號�,漏洞對應(yīng)的端口, 漏洞對于脆弱性的ID����,脆弱性數(shù)值�����,時間���。
參在線測試子模塊領(lǐng)B式用柳D���,檢測脆弱性的ID,脆弱性的值���,時間��。
*滲透測試子模塊滲透測試對應(yīng)資產(chǎn)的ID和IP地址(當(dāng)IP地址存在時)�����, 測試得到脆弱性ID和數(shù)值����,測試得到的威脅ID和數(shù)值,滲透測試使用工具的 名稱和類型��,滲透測試獲得的權(quán)限����,對威脅利用脆弱性權(quán)重系數(shù)的調(diào)整,時 間����。
*安全事件驗證子模塊安全事件對應(yīng)資產(chǎn)的ID和IP地址(當(dāng)IP地址存在 時),安全事件攻擊和漏洞的描述����,安全事件對應(yīng)脆弱性ID和數(shù)值,安全事 件對應(yīng)威脅ID和數(shù)值����,對威脅利用脆弱性權(quán)重系數(shù)的調(diào)整�,時間��。
*資產(chǎn)識別子模塊資產(chǎn)ID��,資產(chǎn)名稱���、類型和描述�����,資產(chǎn)位置(主機IP�、
子網(wǎng)ID)�,資產(chǎn)的CIA賦值和整體賦值,時間�����。*入侵檢測系統(tǒng)入侵對應(yīng)資產(chǎn)的ID和IP地址(當(dāng)IP地址存在時)�����,入侵 對應(yīng)威脅的ID�����,檢測時間�����,入侵次數(shù)�,入侵的狀態(tài)。
步驟201��、 202�����、 203:
步驟201�����、 202�、 203代表數(shù)據(jù)庫中預(yù)先建立的一些字典,根據(jù)相關(guān)資料調(diào) 查��,在數(shù)據(jù)庫中建立威脅字典���、脆弱性字典����、組合脆弱性字典(圖3中略)、 修補方案字典(圖3中略)����、組合修補方案字典(圖3中略)、多角度權(quán)值表�����, 字段內(nèi)容如下
參威脅字典威脅ID�,威脅名稱,威脅描述�����,威脅類型�,威脅可影響的 資產(chǎn)類型,威脅值��,威脅的(組合)加固方案���,威脅利用的(組合)脆弱性 值;
參脆弱性字典脆弱粗D��,脆弱性名稱,脆弱性描述�����,脆弱性類型��,脆 弱性CVE編號�����,脆弱性MS編號����,脆弱性對機密性的影響,脆弱性對完整性的 影響����,脆弱性對可用性的影響,脆弱性值�,脆弱性的(組合)加固方案; 參組合脆弱性字典組合脆弱性ID�����,脆弱性ID,組合脆弱性名稱�����; 參修補方案字典修補方案ID��,修補方案名稱�,修補方案描述; 參組合修補方案字典組合修補方案ID���,修補方案ID����,組合修補方案名
稱��;
*多角度權(quán)值表權(quán)值ID�����,機密性加權(quán)系數(shù)����、完整性加權(quán)系數(shù)、可用性 加權(quán)系數(shù)�����。
步驟301���、 302:
步驟301�、 302的數(shù)據(jù)關(guān)聯(lián)代表兩部分內(nèi)容��,首先將IOI�����、 102����、 103檢測子系統(tǒng)得到的數(shù)據(jù)進行統(tǒng)計分析匯總,分別掃描各個檢測子系統(tǒng)的輸出數(shù)據(jù)���,
按照資產(chǎn)ID�、威脅ID和脆弱性ID進行整理����,去除錯誤、重復(fù)項���,修正不一致 項�,得到(圖3中略)信息系統(tǒng)描述表、子網(wǎng)信息描述表����、系統(tǒng)資產(chǎn)表、系
統(tǒng)威脅表����、系統(tǒng)脆弱性表,字段內(nèi)容如下
參信息系統(tǒng)描述信息系統(tǒng)ID�,項目ID,信息系統(tǒng)描述�����; 參子網(wǎng)信息描述子網(wǎng)標(biāo)識ID�,子網(wǎng)名稱、IP范圍��、描述�; 參系統(tǒng)資產(chǎn)表資產(chǎn)ID,資產(chǎn)名稱��、類型和描述�,資產(chǎn)位置(主機IP���、
子網(wǎng)ID),資產(chǎn)的CIA值����,資產(chǎn)值����,時間;
*系統(tǒng)威脅表威脅ID����、威脅所在的資產(chǎn)ID、威脅的狀態(tài)�、威脅發(fā)生時
間,威脅利用脆弱性權(quán)重系數(shù)的調(diào)整�����;
參系統(tǒng)脆弱性表脆弱性ID����,脆弱性所在資產(chǎn)的ID,脆弱性檢測時間��,
威脅利用脆弱性權(quán)重系數(shù)的調(diào)整。
接著將上述得到的融合結(jié)果表與數(shù)據(jù)字典201�����、 202相關(guān)聯(lián)��,根據(jù)威脅ID 和脆弱性ID到相應(yīng)的字典中査找相關(guān)項��,得到規(guī)范化格式的內(nèi)容系統(tǒng)威脅 評估表和系統(tǒng)脆弱性評估表����,字段內(nèi)容如下
參系統(tǒng)威脅匯總表(步驟401):威脅ID,威脅所在的資產(chǎn)ID����,威脅名稱、 描述����、類型,威脅值����,威脅影響的資產(chǎn)類型,威脅利用的(組合)脆弱性ID��, 威脅對應(yīng)的(組合)修補方案ID,威脅發(fā)生時間�����,威脅利用脆弱性權(quán)重系數(shù) 的調(diào)整�����;
參系統(tǒng)脆弱性匯總表(步驟402):脆弱性ID��,脆弱性所在的資產(chǎn)ID��,脆 弱性名稱�、描述��、類型��,脆弱性CVE和MS編號�,脆弱性對資產(chǎn)CIA的影響,脆弱性值�����,脆弱性相關(guān)(組合)修補方案ID����,脆弱性檢測時間���,威脅利用脆 弱性權(quán)重系數(shù)的調(diào)整。
步驟501�����、 502��、 601��、 602:
步驟501��、 502����、 601、 602代表安全態(tài)勢專題評估���,包括威脅評估(步驟 501����、 502)和脆弱性評估(步驟601��、 602),評估結(jié)果是威脅評估報告和脆 弱性評估報告���。此外安全態(tài)勢專題評估還包括資產(chǎn)評估(圖3中略)���,并生成 相應(yīng)的資產(chǎn)評估報告,資產(chǎn)評估報告由資產(chǎn)識別104得到�����,內(nèi)容如前所述的系 統(tǒng)資產(chǎn)表�。威脅評估和脆弱性評估類似,下面就以威脅評估為例說明評估步 驟501的細節(jié)���。
烕脅評估501按照評估粒度不同分三種評估類型某個具體威脅的評估、 某類威脅的評估�����、整個系統(tǒng)所有威脅的評估�����。得到威脅評估報告502��,具體內(nèi) 容是項目ID,任務(wù)ID���,威脅的數(shù)量����,威脅分布范圍(威脅所影響的資產(chǎn)的 數(shù)量)����,威脅態(tài)勢,威脅態(tài)勢描述�����,威脅加固方案����,評估時間。
其中���,威脅的數(shù)量和威脅分布范圍可用采用統(tǒng)計方法獲得�����,依次掃描系 統(tǒng)威脅匯總表401����,對同一個(同一類)威脅的數(shù)量和影響的資產(chǎn)進行統(tǒng)計。 威脅態(tài)勢包括威脅數(shù)量�����、范圍的變化趨勢和威脅對整個網(wǎng)絡(luò)的影響��,威脅的 數(shù)量和范圍的發(fā)展趨勢可以根據(jù)歷史記錄�,采用時間序列分析方法,預(yù)測將 來時刻的威脅數(shù)量和范圍����,得到其變化趨勢。威脅對整個網(wǎng)絡(luò)的影響根據(jù)威 脅引起的安全事件(包括已經(jīng)發(fā)生或者可能發(fā)生)的影響來確定��。
安全事件的影響^安全事件發(fā)生的可能性X安全事件造成的損失X安全
事件所影響資產(chǎn)的資產(chǎn)值�,其中�����,安全事件發(fā)生的可能性是其相關(guān)威脅發(fā)生的可能性(即系統(tǒng)威脅匯總表401中威脅值)�,安全事件的損失是其相關(guān)脆弱 性的損失(即系統(tǒng)脆弱性匯總表402中脆弱性值),安全事件所影響資產(chǎn)的資 產(chǎn)值可在系統(tǒng)資產(chǎn)表中査詢。
同理�,脆弱性評估601按照評估粒度不同分三種評估類型某個具體脆弱 性的評估、某類脆弱性的評估�����、整個系統(tǒng)所有脆弱性的評估���。得到脆弱性評 估報告602����,具體內(nèi)容是項目ID��,任務(wù)ID�,脆弱性的數(shù)量,脆弱性分布范圍 (脆弱性所影響的資產(chǎn)的數(shù)量)�,脆弱性態(tài)勢,脆弱性態(tài)勢描述�,脆弱性加 固方案,評估時間�����。 步驟70K 702:
步驟70K 702代表安全態(tài)勢要素評估����,包括機密性評估�����,完整性評估�����, 可用性評估����,得到安全態(tài)勢要素評估報告�,具體內(nèi)容是項目ID,任務(wù)ID���, 機密性(完整性�����、可用性)態(tài)勢值��,機密性(完整性、可用性)態(tài)勢描述����, 機密性(完整性��、可用性)加固方案����,評估時間��。
機密性���、完整性和可用性態(tài)勢值的計算過程類似����,下面僅以機密性態(tài)勢 值計算為例說明�����。首先��,由系統(tǒng)威脅匯總表401和系統(tǒng)脆弱性匯總表402得到 系統(tǒng)安全事件(包括已經(jīng)發(fā)生或者可能發(fā)生)匯總表安全事件所在的資產(chǎn)ID���, 安全事件相關(guān)聯(lián)威脅ID��,威脅名稱����,安全事件發(fā)生的可能性(相關(guān)威脅值), 安全事件相關(guān)聯(lián)的(組合)脆弱粗D���,脆弱性名稱�,安全事件對資產(chǎn)的影響 (相關(guān)脆弱性對資產(chǎn)C�����、 I�����、 A的影響)��,安全事件相關(guān)聯(lián)的(組合)修補方案 ID����,時間,權(quán)重系數(shù)的調(diào)整�����;接著計算單個資產(chǎn)的機密性安全態(tài)勢值����,計算
方法為先計算單個安全事件對該資產(chǎn)機密性的影響,再將該資產(chǎn)上所有安全事件的影響相加��;然后���,根據(jù)資產(chǎn)的重要性�,將所有資產(chǎn)機密性態(tài)勢值加 權(quán)求和��,計算出整個網(wǎng)絡(luò)的機密性安全態(tài)勢值�。
其中,單個安全事件對該資產(chǎn)機密性的影響=安全事件發(fā)生可能性X安 全事件對機密性的影響X該資產(chǎn)機密性值���。安全事件發(fā)生可能性�、安全事件 對機密性的影響可從上述系統(tǒng)安全事件匯總表中獲取���,該資產(chǎn)機密性值可從 系統(tǒng)資產(chǎn)表中獲^(��。
步驟801��、 802:
步驟801�����、 802代表安全態(tài)勢整體評估�����,801采用多角度加權(quán)評估方法����。不 同的網(wǎng)絡(luò)信息系統(tǒng)對安全性的需求不同,根據(jù)不同需求�����,選擇多角度權(quán)值表 203中的相應(yīng)的權(quán)值��,分別對整個網(wǎng)絡(luò)機密性安全態(tài)勢值�����、完整性安全態(tài)勢值���、 可用性安全態(tài)勢值加權(quán)�,得到整個網(wǎng)絡(luò)的安全態(tài)勢值����。得到安全態(tài)勢整體評 估報告802���,具體內(nèi)容是項目ID,信息系統(tǒng)ID�����,安全態(tài)勢值��,安全態(tài)勢描述�����, 安全加固方案�����,評估時間�����。 步驟901��、 902:
步驟901����、 902代表安全態(tài)勢預(yù)測,網(wǎng)絡(luò)不同時刻的安全態(tài)勢彼此相關(guān)�, 有一定的內(nèi)部規(guī)律,這種規(guī)律可以預(yù)測系統(tǒng)將來時刻的態(tài)勢值�,有預(yù)見性的 指導(dǎo)系統(tǒng)安全策略的配置,實現(xiàn)網(wǎng)絡(luò)安全的動態(tài)管理�。步驟901態(tài)勢預(yù)測采用 的方法是基于時間序列分析的方法。由于態(tài)勢評估模塊輸出的不同時刻的安 全態(tài)勢值彼此相關(guān)��,并且隨時間的不同變化����,可以看成一個非平穩(wěn)的時間序 列,可以采用ARIMA模型擬合����。首先,計算序列的自相關(guān)函數(shù)和偏相關(guān)函數(shù)����, 進行模型識別;接著�,采用采用最小二乘估計和最大似然估計的方法,進行參數(shù)估計�;最后,根據(jù)確定的時間序列模型進行不同提前期的預(yù)測和誤差估 計,畫出態(tài)勢變化曲線��,預(yù)測態(tài)勢變化規(guī)律����。
得到態(tài)勢預(yù)測報告902,具體內(nèi)容是項目ID���,信息系統(tǒng)ID���,安全態(tài)勢預(yù) 測值�,將來時刻安全態(tài)勢描述,預(yù)測時間(提前期)��,預(yù)測誤差����。 步驟lll:
步驟lll代表整個評估流程結(jié)束,輸出相關(guān)的評估報告�。 本發(fā)明基于多層次多角度分析的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)及方法能夠通過 上述系統(tǒng)和方法實現(xiàn),但不僅限于此��。其中�����,數(shù)據(jù)采集的目的是采集資產(chǎn)、 威脅���、脆弱性方面的數(shù)據(jù)��,可以根據(jù)實際情況��,采用其它能滿足需要的傳感 器����;網(wǎng)絡(luò)安全態(tài)勢評估時�����,針對每一個層次����,每一個角度,都有一系列可以
選擇的成熟算法��,如果替換為類似的算法���,能達到同樣的發(fā)明效果����;安全態(tài) 勢預(yù)測除本發(fā)明采用的基于時間序列分析的方法外,也可采用其它的預(yù)測方 法���。
權(quán)利要求
1. 一種基于多層次多角度分析的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)����,包括數(shù)據(jù)采集模塊���、網(wǎng)絡(luò)安全態(tài)勢理解模塊���、網(wǎng)絡(luò)安全態(tài)勢評估模塊和網(wǎng)絡(luò)安全態(tài)勢預(yù)測模塊,其特征在于數(shù)據(jù)采集模塊��,通過多傳感器捕獲網(wǎng)絡(luò)系統(tǒng)的資產(chǎn)���、威脅、脆弱性方面的數(shù)據(jù)����;網(wǎng)絡(luò)安全態(tài)勢理解模塊,首先在數(shù)據(jù)庫中建立與資產(chǎn)�����、威脅和脆弱性相關(guān)的數(shù)據(jù)字典,然后對數(shù)據(jù)采集模塊采集到的原始數(shù)據(jù)進行統(tǒng)計分析�����,去除重復(fù)��、錯誤項��,修改不一致項����,接著將統(tǒng)計分析后的數(shù)據(jù)與數(shù)據(jù)字典進行關(guān)聯(lián)分析,得到規(guī)范化格式的資產(chǎn)�、威脅和脆弱性數(shù)據(jù);網(wǎng)絡(luò)安全態(tài)勢評估模塊�����,根據(jù)網(wǎng)絡(luò)安全態(tài)勢理解模塊提供的數(shù)據(jù)�����,首先從資產(chǎn)���、威脅和脆弱性三方面對網(wǎng)絡(luò)安全態(tài)勢進行專題評估�,輸出評估結(jié)果;接著根據(jù)專題評估的結(jié)果和態(tài)勢理解提供的規(guī)范化數(shù)據(jù)����,從網(wǎng)絡(luò)安全的機密性、完整性和可用性三方面對網(wǎng)絡(luò)安全態(tài)勢進行要素評估����,輸出評估結(jié)果;然后根據(jù)網(wǎng)絡(luò)機密性安全態(tài)勢值���、完整性安全態(tài)勢值�����、可用性安全態(tài)勢值對網(wǎng)絡(luò)安全態(tài)勢進行整體評估����,輸出評估結(jié)果��;網(wǎng)絡(luò)安全態(tài)勢預(yù)測模塊�����,根據(jù)態(tài)勢評估模塊整體評估子模塊提供的網(wǎng)絡(luò)安全態(tài)勢評估值����,采用時間序列分析方法,分析網(wǎng)絡(luò)安全態(tài)勢變化規(guī)律����,給出態(tài)勢變化曲線圖,預(yù)測將來某一時刻網(wǎng)絡(luò)安全態(tài)勢值�����,并給出預(yù)測誤差���。
2. 按照權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)�����,其特征在于�����,該網(wǎng)絡(luò)安 全態(tài)勢感知系統(tǒng)進一步包括安全加固方案模塊����,根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢 和變化規(guī)律,提供不同的加固方案����,滿足不同需求的用戶提高網(wǎng)絡(luò)系統(tǒng)的安全性。
3. 實現(xiàn)權(quán)利要求l所述的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的方法�,包括以下步驟:A. 對傳感器采集到的網(wǎng)絡(luò)系統(tǒng)的資產(chǎn)、威脅����、脆弱性方面的數(shù)據(jù)進行統(tǒng) 計數(shù)據(jù)融合和關(guān)聯(lián)分析,得到規(guī)范化數(shù)據(jù)��,接著執(zhí)行B;B. 對步驟A融合后的規(guī)范化數(shù)據(jù)進行分析���,進行網(wǎng)絡(luò)安全態(tài)勢專題評估�,生成評估結(jié)果�����,接著執(zhí)行C;C. 對步驟A融合后的規(guī)范化數(shù)據(jù)和步驟B的專題評估結(jié)果進行分析����,進行網(wǎng)絡(luò)安全態(tài)勢要素評估�����,生成評估結(jié)果,接著執(zhí)行D;D. 對步驟C的要素評估結(jié)果進行分析�,進行網(wǎng)絡(luò)安全態(tài)勢整體評估,并輸出評估結(jié)果�,接著執(zhí)行E;E. 對步驟D的整體評估結(jié)果進行分析,進行網(wǎng)絡(luò)安全態(tài)勢預(yù)測�,并輸出預(yù)測結(jié)果。
4. 按照權(quán)利要求3所述的方法�,其中,步驟A中對傳感器采集到的數(shù)據(jù)的統(tǒng)計數(shù)據(jù)融合和關(guān)聯(lián)分析進一步包括首先在數(shù)據(jù)庫中建立與資產(chǎn)����、威脅和脆弱性相關(guān)的數(shù)據(jù)字典,然后對數(shù)據(jù)采集模塊采集到的原始數(shù)據(jù)進行統(tǒng)計分 析�����,去除重復(fù)��、錯誤項�,修改不一致項,接著將統(tǒng)計分析后的數(shù)據(jù)與數(shù)據(jù)字 典進行關(guān)聯(lián)分析��,得到規(guī)范化格式的資產(chǎn)��、威脅和脆弱性數(shù)據(jù)。
5. 按照權(quán)利要求3所述的方法�,其中,步驟B中的網(wǎng)絡(luò)安全態(tài)勢專題評估進一步包括網(wǎng)絡(luò)安全資產(chǎn)評估����、網(wǎng)絡(luò)安全威脅評估、網(wǎng)絡(luò)安全脆弱性評估����。
6. 按照權(quán)利要求3所述的方法,其中�����,步驟C中的網(wǎng)絡(luò)安全態(tài)勢要素評估進一步包括網(wǎng)絡(luò)安全機密性評估���、網(wǎng)絡(luò)安全完整性評估�、網(wǎng)絡(luò)安全可用性評估�。
7. 按照權(quán)利要求3所述的方法,其中���,步驟D中的網(wǎng)絡(luò)安全態(tài)勢整體評估進一步包括對步驟C輸出的整個網(wǎng)絡(luò)機密性安全態(tài)勢值����、完整性安全態(tài)勢值、 可用性安全態(tài)勢值加權(quán)分析��,得到整個網(wǎng)絡(luò)的安全態(tài)勢值���。
8. 按照權(quán)利要求3所述的方法,其中�����,步驟E中的網(wǎng)絡(luò)安全態(tài)勢預(yù)測進一步包括基于時間序列分析的網(wǎng)絡(luò)安全態(tài)勢預(yù)測���。
9. 按照權(quán)利要求3所述的方法�����,其特征在于��,該方法還進一步包括步驟F: 對步驟B���、 C、 D���、 E的評估預(yù)測結(jié)果進行分析��,生成網(wǎng)絡(luò)安全態(tài)勢加固方案��。
全文摘要
本發(fā)明公開了一種基于多層次多角度分析的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)及方法�。該系統(tǒng)包括數(shù)據(jù)采集模塊、網(wǎng)絡(luò)安全態(tài)勢理解模塊���、網(wǎng)絡(luò)安全態(tài)勢評估模塊和網(wǎng)絡(luò)安全態(tài)勢預(yù)測模塊�;實現(xiàn)該網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的方法包括以下步驟A.對傳感器采集到的網(wǎng)絡(luò)系統(tǒng)的資產(chǎn)�、威脅、脆弱性方面的數(shù)據(jù)進行統(tǒng)計數(shù)據(jù)融合和關(guān)聯(lián)分析�����,得到規(guī)范化數(shù)據(jù)��;B.對步驟A融合后的規(guī)范化數(shù)據(jù)進行分析���,進行網(wǎng)絡(luò)安全態(tài)勢專題評估��;C.根據(jù)步驟A得到的規(guī)范化數(shù)據(jù)和步驟B的評估結(jié)果進行網(wǎng)絡(luò)安全態(tài)勢要素評估���;D.根據(jù)步驟C的評估結(jié)果進行網(wǎng)絡(luò)安全態(tài)勢整體評估;E.根據(jù)步驟D的評估結(jié)果進行網(wǎng)絡(luò)安全態(tài)勢預(yù)測���。本發(fā)明從多層次��、多角度對網(wǎng)絡(luò)的安全態(tài)勢進行分析�,保證感知結(jié)果系統(tǒng)更為準(zhǔn)確����、全面�����。
文檔編號H04L12/24GK101459537SQ20081018901
公開日2009年6月17日 申請日期2008年12月20日 優(yōu)先權(quán)日2008年12月20日
發(fā)明者奚宏生, 崔孝林, 帥建梅, 勇 張, 譚小彬 申請人:中國科學(xué)技術(shù)大學(xué)