一种网络安全最佳防护策略的选择方法

摘要

本发明公开了一种网络安全最佳防护策略的选择方法，属于网络安全技术领域。本方法为：1)解析用户配置信息，并采集攻防过程中的主机信息、链路信息、服务信息、防护系统信息，以及经济成本信息和资产重要性信息；2)对采集的信息进行统计分析和关联分析，输出分析结果；3)根据分析结果计算防护策略绩效和攻击策略绩效；4)根据用户配置信息和3)中的计算结果，建立攻防双方的静态贝叶斯博弈模型；5)根据所建立的静态贝叶斯博弈模型计算贝叶斯纳什均衡，将贝叶斯纳什均衡时的防护策略确定网络安全防护策略。相对于现有技术，本发明综合各种因素为网络安全管理员提供最佳的防护策略。

说明书

技术领域

本发明属于网络安全技术领域，尤其涉及一种网络安全最佳防护策略的选择方法。

背景技术

互联网上的各种攻击，如蠕虫攻击、DDoS攻击，对网络的正常使用造成了巨大的破坏。针对上述攻击研究人员提出了众多的防护机制和策略，各种防护策略具有不同的特点和防护效果，因而需要一种统一的绩效评估方法来实时的量化评估各种防护策略，进而指导防护策略的选择。此外，攻防双方在攻击过程中会不断调整其策略以获得最有利于己方的效果，如何在对抗的情形下对攻防策略的效果进行比较并得出最佳的防护策略就显得十分的迫切且必要。

目前根据攻防策略绩效确定网络安全防护策略的方法主要为三类：一是使用测试床，模拟各种攻击和防护策略并对其效果进行评估进而确定最佳防护策略，但是测试床费用比较高，且不能模拟攻防双方的对抗情形，即攻防双方在攻击过程中不断调整各自策略进行对抗以求获得最有利于自己的效果的情形；二是采用典型的实际数据集为驱动，分析攻防策略在该数据集下的效能表现，进而根据效能表现确定最佳网络安全防护策略，但是数据集一般都缺乏全面性且与实时攻防场景的符合性不强；三是采用网络仿真工具如NS2、SSFNET等，设定网络攻防的条件并采集仿真的结果数据用来对攻防策略的效果进行评估，进而根据评估结果确定最佳防护策略，这种方法对操作人员要求比较高，且仿真结果欠缺精确度。此外，上述方法都只是从防护策略的性能表现入手进行评估，没有考虑其实施成本方面的因素，而现实中防护策略的选择和确定要综合考虑策略实施成本与策略实施收益两方面因素。

发明内容

本发明的目的是提供一种网络安全最佳防护策略的选择方法。该方法一方面在实时的攻防过程中对攻防策略的绩效进行评估，从而保证了评估结果的精确有效；另一方面从成本和收益两方面对防护策略进行评估，更为符合实际的防护策略选择和确定情况，然后，利用博弈天生的对抗特性对攻防双方可能采取的策略集进行分析，指出了防护方的最佳防护策略，为安全管理员选择防护策略提供了理论依据和可预测的实施效果。

本发明技术内容的具体步骤如下：

1)配置信息解析模块解析用户配置信息；

2)数据采集模块采集攻防过程中的主机信息、链路信息、服务信息、防护系统信息、经济成本信息和资产重要性信息，并以统一格式存储；

3)数据分析模块对步骤2)中得出的信息进行统计分析和关联分析，输出分析结果；

4)策略评估模块以步骤3)中信息为输入，计算攻击策略收益、防护策略成本和防护策略收益，进而根据防护策略成本和防护策略收益得出防护策略绩效，根据攻击策略收益得出攻击策略绩效；

5)博弈分析攻防双方的策略集，给出安全管理员选择防护策略的建议。

进一步步骤2中信息的采集由散布在主机、交换机/路由器、服务器等上的代理通过扫描、监听、钩子函数截获或/和日志读取的方式获取；

进一步主机信息包括资源利用信息、监听端口号、连接数、半连接数、主机脆弱性信息；

进一步链路信息包括链路带宽、链路可用带宽；

进一步服务信息为关键网络服务；

进一步防护系统信息包括报警信息、报警攻击类型、时间间隔、源和目的地址；

进一步经济成本信息包括购置费用、维护费用和人员培训费用，所有成本都采用一年的费用；

进一步资产重要性信息为主机、服务器、交换机/路由器、网络服务等各种资产的重要性程度，可由风险评估结果得出；

进一步主机信息中的资源利用信息包括CPU利用率和内存利用率；

进一步步骤3中，把步骤2)中收集的信息以XML结构化方式组织并存储；

进一步步骤3中统计分析方法的具体步骤为：首先利用主机重要性信息过滤采集的主机信息和链路信息：如果主机的重要性小于某个阈值则丢弃采集自该主机的主机信息，如果某一链路所关联主机的重要性均小于某一阈值则过滤该链路的信息；其次针对每种网络服务，获取监听该服务端口的主机、连接该类主机和网络服务服务器的链路，统计该时段内的主机CPU利用率、内存利用率、连接数、半连接数和链路带宽利用率；最后以网络服务的重要性为权重加权统计得出整体主机CPU利用率、内存利用率、连接数、半连接数和链路带宽利用率；

进一步步骤3中的关联分析方法具体步骤为：首先对网络防护系统的报警信息根据相似度进行关联分析，相似度计算采用的属性为攻击类型、源地址、目的地址、时间间隔；其次关联分析报警信息、攻击可利用的脆弱性及网络服务信息，得出攻击破坏范围即攻击可能影响的主机、链路及服务；最后针对受影响的主机、链路及服务，根据报警信息的时间得出攻击持续时间，再结合主机重要性和服务重要性得出攻击破坏程度；

进一步步骤4中，防护策略成本既包括策略实施的经济代价，又包括策略实施所带来的性能代价，由步骤3)中得出的经济成本、CPU利用率、内存利用率、连接数、半连接数和链路带宽利用率组成；

进一步步骤4中，由于攻击破坏程度和攻击破坏范围是在攻防双方策略的共同作用下产生的，所以攻防策略收益均包括攻击破坏程度和攻击破坏范围；

进一步步骤4中由于防护策略的选择既要考虑防护策略的实施成本，又要考虑防护策略的实施收益，所以防护策略绩效由防护策略成本和防护策略收益综合得出；

进一步步骤4中计算防护策略绩效的具体方法为：首先采用步骤3)中得出的信息，把CPU利用率和内存利用率加权作为主机资源利用率、把连接数和半连接数加权作为服务连通率；其次把经济成本、主机利用率、服务连通率、链路带宽利用率、攻击破坏程度和攻击破坏范围作为防护策略评估属性；然后确定理想策略即成本最小、收益最大的策略；最后运用灰色多属性关联分析方法，计算防护策略与理想策略的关联度，用此关联度作为防护策略的绩效；

进一步步骤4中攻击策略的绩效由攻击破坏范围和攻击破坏程度加权得出；

进一步步骤5中博弈分析采用静态贝叶斯博弈分析。

本发明解析用户配置信息，为策略绩效评估提供基础；然后采集攻防过程中各种信息并以xml的方式组织存储，统计分析和关联分析上述信息得出相应的评估属性的值；进而从防护策略成本和收益两方面得出防护策略绩效，根据攻击策略破坏范围和破坏程度得出攻击策略的绩效；最后对攻防策略集进行博弈分析，分析的结果用来指导安全管理员选择防护策略。

本发明的技术效果在于：

利用实时的网络整体状态数据评估了攻防策略的绩效，可以得出准确有效的策略绩效；针对防护策略选择的实际考虑因素，从成本和收益两方面对其进行了评估；利用攻防双方对抗特性和博弈的天生契合性，博弈分析了攻防策略集，为安全管理员的调整防护策略提供了理论依据。

附图说明

附图1为本发明一种网络安全最佳防护策略的选择方法示意图。

具体实施方式

首先解析用户配置信息，以此作为绩效评估的指导；其次采集攻防过程中的主机信息、链路信息、服务信息、防护系统信息、经济成本信息和资产重要性信息；然后对格式归一化后的信息进行统计分析和关联分析，进而利用分析后的信息计算攻防策略的绩效；最后博弈分析攻防策略集并给出防护策略的选择建议。

参考附图，下面给出详细过程。

第一步：利用配置信息解析模块解析用户配置信息

所述的用户配置信息是指用户输入或制定的绩效评估配置信息，可配置信息包括攻防双方策略集、攻击策略先验概率、统计分析中的阈值。

可配置的攻防策略集分为攻击策略集，用“A”开头的字符构成，各策略之间用符号“*”隔开；防护策略集，用“D”开头的字符构成，各策略之间用符号“*”隔开。例如配置信息“A1*A2*D1*D2*D3”表示攻击策略集有两个攻击策略，为A1、A2；防护策略集有三个防护策略，为D1、D2、D3。

可配置的攻击策略先验概率，由“Pa”开头的字符构成，策略与其先验概率之间用“：”隔开，各策略之间用字符“#”隔开，且所有攻击策略的先验概率之和为1。例如配置信息“P_a1：0.4# P_a2：0.6”表示攻击策略A1的先验概率为0.4，策略A2的先验概率为0.6。

可配置阈值，用字符“T”开头，范围在0到1之间。

第二步：数据采集模块收集攻防过程中的信息并组织信息，信息分为主机、链路、服务、防护系统、经济成本和资产重要性

信息的采集方式分为实时采集和离线获取两类，实时采集每隔一定时间间隔采集一次，具体时间间隔的大小由评估人员设定，离线获取的信息获取一次可以供整个评估周期使用。

1)主机类(Host)搜集评估网络中各台主机的信息，包括：

IP地址(作为主机的标识信息)

CPU(主机的cpu利用率)

Memory(主机的内存利用率)

Serv(主机正在运行的服务)

Port(主机开放的端口)

ConnNum(已经建立的连接数)

SemiConnNum(主机的半连接数)

Vul(主机的存在脆弱性信息)

HostImp(主机重要性程度)

上述信息中，IP地址、Serv、Port和Vul可通过已知扫描器如Nessus获取，CPU、Memory、ConnNum、SemiConnNum可由主机上的代理程序调用相关API函数获取，HostImp可离线获取风险评估结果得出。

2)链路类(Link)收集系统运行过程中主要链路上的流量信息，包括

Host-Host(由链路两端的主机ip地址组成，作为链路的唯一标识)

MaxBW(链路的最大带宽)

CurBW(链路已用带宽)

3)服务类(Service)收集关键网络服务信息，包括

IP-Port(由服务器ip地址和监听端口组成，作为服务的唯一标识)

Serv_Port(该服务监听的网络端口)

ServImp(服务重要性程度)

其中服务重要性程度由风险评估结果得出，其他信息由运行在服务器上的代理程序获取。

4)防护系统类(P&A)收集防护系统的相关信息，防护系统的信息可以用来分析攻击情况，包括

P&AID(作为防护系统的唯一标识)

Alert(防护系统的报警信息)

AType(报警信息的攻击类型)

ATime(报警信息的发生时间)

SIP(报警信息的源地址，如果有的话)

DIP(报警信息的目的地址，如果有的话)

此类信息可以读取防护系统的日志的形式获取。

5)经济成本类(Cost)收集攻击策略的经济成本，包括

Purc(购买成本)

Main(维护成本)

Train(使用人员培训成本)

此类信息可以由相关系统文档，如财务报告等得出。

6)资产重要性信息包括主机重要性、服务重要性等信息，由风险评估结果得出，分别存储在相应的主机和服务信息中

针对上述信息的存储，本发明采用的方法是为前五类信息的每个信息建立一个xml文档，因为xml格式存储强大而灵活，易于更新和扩展，并易于转化为各种接口形式。

第三步：数据分析模块统计分析和关联分析上述xml格式信息，输出分析后的信息

1)统计分析相关信息

由于第二步中收集的信息数量大且零散，统计分析负责提取其中有效的信息，并根据零散的信息得出反应系统整体状况的信息。具体步骤如下：

a)根据主机重要性信息HostImp过滤主机类信息和链路类信息，过滤规则为：如果主机类信息的主机重要性程度HostImp小于第一步解析得出的阈值则丢弃该主机类的所有信息；如果某一链路类中所关联的主机为Host1和Host2，且主机类Host1、Host2的主机重要性程度HostImp均小于第一步中解析得出的阈值则过滤该链路类的所有信息；

b)针对每个服务类Servicei，统计监听该服务的主机类列表L-Host和相应的链路类列表L-Link，统计方法为：如果某主机类的Port与该服务类的Serv_Port相同，则把该主机类加入主机类列表L-Host；如果链路类两端所关联的主机，一个在主机类列表L-Host中，一个为提供该服务的服务器类，或者所关联的主机均在主机类列表L-Host中，则把该链路类加入链路类列表L-Link；

c)统计该服务类Servicei的信息，即主机类列表L-Host中所有主机类的平均CPU利用率、内存利用率、连接数、半连接数和链路类列表L-Link中所有链路的平均链路带宽利用率；

d)以网络服务的重要性为权重统计得出整体CPU利用率T-CPU、内存利用率T-Memory、连接数T-ConnNum、半连接数T-SemiConnNum和链路带宽利用率T-BW。

2)关联分析相关信息

关联分析用以建立信息间的联系，发掘深层次的信息。关联分析的具体步骤如下：

a)根据防护系统类的属性：攻击类型AType、源地址SIP、目的地址DIP、时间间隔ATimeI(由两条报警信息的时间差得出)，对网络防护系统的报警信息进行相似度关联分析，即如果报警信息Alert1和Alert2的属性AType、SIP、DIP相同，且ATimeI在规定的时间间隔范围内，则合并两条报警信息；

b)重复步骤a，得出最终的报警信息集S-Alert；

c)关联分析报警信息集S-Alert、攻击可利用的脆弱性信息及网络服务类信息，得出攻击可能影响的主机集S-Host、链路集S-Link及服务集S-Service，具体方法为：如果报警信息集S-Alert中的某条报警信息中的攻击利用的脆弱性与主机类中的脆弱性信息Vul相同，则把该主机类加入主机集S-Host；如果某链路类所关联的主机均在上述主机集S-Host中，则把该链路类加入链路集S-Link；如果某网络服务类所在的主机在上述主机集S-Host中，则把该网络服务类加入服务集S-Service；

d)由步骤c中主机集S-Host、链路集S-Link及服务集S-Service与所有主机、所有链路和所有网络服务的比，得出攻击破坏范围；

e)计算攻击持续时间A-D-Time，如果报警信息的AType相同，得出时间间隔最大且不超出规定时间间隔范围的时间间隔D-Time，攻击持续时间A-D-Time为D-Time与规定时间间隔范围的比；

f)利用步骤c中主机集S-Host，结合攻击持续时间、主机重要性得出主机攻击破坏程度，具体方法为：对于主机集中某主机Host_i，如果该主机共受到n中攻击，其中第j中攻击的持续时间为A-D-Time_j，且该主机重要性为HostImp_i，则主机Host_i的攻击破坏程度为主机破坏程度为主机集中所有主机攻击破坏程度的和；

g)同理可以得出链路攻击破坏程度和服务攻击破坏程度；

h)由主机攻击破坏程度、链路攻击破坏程度和服务攻击破坏程度综合得出攻击破坏程度。

第四步：策略评估模块评估攻防策略绩效

1)防护策略的绩效评估

本发明从防护策略实施成本和实施收益两方面评估防护策略的绩效：

首先确定评估防护策略的成本类属性，包括由第三步中得出的购置成本、维护成本和人员培训成本三者相加得出的经济成本；由第三步中得出的CPU利用率和内存利用率加权得出的主机资源利用率、连接数和半连接数加权得出的服务连通率、和链路带宽利用率；其次确定评估防护策略的收益类属性，包括第三步中得出的攻击破坏程度和攻击破坏范围；最后把经济成本、主机资源利用率、服务连通率、链路带宽利用率、攻击破坏程度和攻击破坏范围作为防护策略评估属性计算防护策略的绩效，具体步骤如下：

a)用矩阵X表示防护策略各评估属性的值，该矩阵的m行对应m种防护策略，n列对应n项评估属性，此处防护策略有6项评估属性-经济成本、主机资源利用率、服务连通率、链路带宽利用率、攻击破坏程度和攻击破坏范围，k行j列的值表示第k种防护策略在第j项评估属性下的值，用x_kj表示；

b)确定理想策略，即成本最小、收益最大的策略，并把该理想策略的评估属性值作为矩阵X的第0行；

c)利用灰色多属性理论只需要保证不同防护策略在同一评估属性下的值单位一致，不需要不同属性之间的评估值保持一致，且可以处理精确值和估计值、定性值和定量值混杂存在的情况的优势，使用灰色多属性关联分析方法，计算各防护策略与理想策略的关联度，此关联度即为防护策略的绩效。

2)攻击策略的绩效评估

攻击策略的绩效由攻击破坏范围和攻击破坏程度加权得出。

第五步：博弈攻防策略集并给出防护策略选择建议

建立攻防双方策略集的静态贝叶斯博弈，静态贝叶斯博弈是不完全信息同时行动的博弈，本发明采用攻击策略的绩效值作为攻击策略的效用，防护策略的绩效值作为防护策略的效用；把攻击策略作为攻击方的类型信息且防护方不存在类型信息；第一步中解析得出的攻击策略先验概率作为攻击方类型的先验信念。

利用博弈论的方法计算建立的静态贝叶斯博弈的纯策略贝叶斯纳什均衡，计算得出的纳什均衡结果表示：在该均衡状态下，攻防双方任何一方改变其策略所获得的效用都不会大于均衡状态下的效用，即纳什均衡时的防护策略效用最大，此防护策略的防护绩效最好，安全管理员应该优先选择该防护策略，因而纳什均衡结果可为防护策略的选择提供理论依据。此外，纳什均衡时的防护方收益即为防护方采取该防护策略时预计的实施效果。

尽管为说明目的公开了本发明的具体实施例和附图，其目的在于帮助理解本发明的内容并据以实施，但是本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。因此，本发明不应局限于最佳实施例和附图所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。