一種利用專家系統進行網絡安全風險評估的方法及系統的制作方法
【專利摘要】本發明公開了一種網絡安全風險評估方法。本方法將網絡安全風險分為兩個層次:整體安全性與局部安全性。局部安全性包括設備安全性、結構安全性、流程安全性、實時安全性。基于這些部分,由專家針對性地進行評估,再采用回歸森林(Regression Forest)算法,對專家的評估結果進行匯總處理,建立一套分層式網絡安全風險評估專家系統,從而提高了評估的準確性、靈活性、全面性、以及評估效率。
【專利說明】
一種利用專家系統進行網絡安全風險評估的方法及系統
技術領域
[0001]本發明涉及網絡安全領域,具體涉及一種利用專家系統進行網絡安全風險評估的方法及系統。
【背景技術】
[0002]在準備部署一定的網絡安全防護措施之前,為了了解現存的網絡安全風險,以便進行針對性的部署,需要首先進行網絡安全風險評估。當部署了網絡安全防護措施之后,為了了解安全防護效果,也需要定時進行網絡安全風險評估。
[0003]傳統的安全風險評估方法是,邀請若干網絡安全方面的專家,到現場進行考察、評估,然后綜合專家的意見,形成一個綜合評估結論,這種方法受專家個人因素影響很大,存在以下缺點:
[0004]一,不夠全面。每個專家都有其專業視野上的缺陷,不可能具備足夠的知識對全部風險都作出評估。即使邀請多個專家參與評估,限于人力財力,一般企業也無法邀請足夠多專家,在評估時仍然不足以覆蓋全部評估范圍。
[0005]二,不夠一致。專家在進行評估時,受其個人狀態影響,評估結果常常會有變動。這會造成評估結果的一致性較差。
[0006]三,效率較低。每次評估都要邀請專家趕到現場,需要較多的組織工作。評估工作的時間成本、人力成本都很高,總體效率很低。
[0007]因此,隨著網絡安全事件的增多,需要一種可靠、穩定、快速的網絡安全風險的評估方法。
【發明內容】
[0008]為了克服傳統的安全風險評估方法的上述不足與缺陷,本發明的目的是提供一種可靠、穩定、快速的網絡安風險評估方法,本發明的這一目的通過以下技術方案實現:
[0009]一種利用專家系統進行網絡安全風險評估的方法,包含以下步驟:
[0010]I)建立分層式網絡風險模型;
[0011]2)基于步驟I)所述的分層式網絡風險模型建立風險評估知識庫;
[0012]3)有關專家基于上述知識庫進行網絡安全風險評估;
[0013]4)利用回歸森林算法,迭代處理大量的專家評估結果,建立網絡安全風險評估模型;
[0014]5)利用上述評估模型生成評估結果。
[0015]進一步地,步驟I)中的分層式網絡風險模型包括兩個層次:局部安全性與整體安全性;
[0016]所述局部安全性由四個部分組成:設備安全性、結構安全性、流程安全性、實時安全性;
[0017]設備安全性是指從設備角度考察的網絡安全風險,包括設備軟件版本、設備漏洞、協議漏洞、設備補丁,等等。
[0018]所述整體安全性是綜合以上因素所得出的一個整體結論,包含系統當前風險情況、可能存在的漏洞與攻擊路徑、建議進行的優化方案。
[0019]進一步地,所述風險評估知識庫涵蓋網絡風險方面的所有領域,并允許動態添加最新的知識點。
[0020]進一步地,步驟4)中所述的回歸森林算法由一系列的回歸樹算法組成。
[0021]進一步地,步驟4)中所述的評估模型的建立包含以下步驟:
[0022](al)收集專家的評估結果,并計算其特征值,基于步驟I)所述的分層式網絡風險模型,收集和記錄在某個評估項上多個專家、多個網絡評估對象所做的評估結果,對于每個網絡評估對象,將評估項相關的數據概括總結為一系列可以量化的屬性;
[0023](a2)網絡安全風險評估機器學習,將不同的網絡安全風險評估機器學習算法作為插件以建立評估模型。
[0024]更進一步地,所述網絡安全風險評估模型為決策森林,每個決策森林由若干個決策樹組成,每個決策樹的構建基于所有訓練數據的子集,因而每個樹都不相同,每個決策樹會生成新的評估結果,最終的預測結果由所有的決策樹投票決定,投票的分布定義了預測的置信區間。
[0025]更進一步地,所述決策森林的構建過程為:
[0026]i)首先利用自舉采樣的技術對訓練數據采樣,以每次的采樣作為訓練數據,構建一個決策樹,構建過程中,可以對特征值采樣;
[0027]ii)重復i)構建多個決策樹;
[0028]iii)由所有的決策樹構成決策森林。
[0029]進一步地,步驟5)中生成評估結果的步驟為:
[0030](a4)收集新的網絡評估對象的相關數據,并計算其特征值,基于步驟I)中的分層式模型,系統收集和記錄在所有評估項上與該網絡評估對象相關的數據,并利用特征值計算算法將其概括總結為一系列可以量化的屬性;
[0031](a4)使用網絡安全風險評估模型,將所述特征值代入所述網絡安全風險評估模型中,預生成評估結果。
[0032]根據本發明的另一方面,還提供了一種網絡安全風險評估系統,該系統由以下技術方案實現:
[0033]—種網絡安全風險評估系統,包含:
[0034]分層式網絡風險模型;
[0035]基于所述的分層式網絡風險模型建立的風險評估知識庫;
[0036]利用回歸森林算法,迭代處理大量的專家評估結果建立的網絡安全風險評估模型。
[0037]進一步地,所述分層式網絡風險模型包括兩個層次:局部安全性與整體安全性;
[0038]所述局部安全性由四個部分組成:設備安全性、結構安全性、流程安全性、實時安全性;
[0039]所述整體安全性是綜合以上因素所得出的一個整體結論,包含系統當前風險情況、可能存在的漏洞與攻擊路徑、建議進行的優化方案。
[0040]進一步地,所述風險評估知識庫涵蓋網絡風險方面的所有領域,并允許動態添加最新的知識點。
[0041 ] 進一步地,所述的回歸森林算法由一系列的回歸樹算法組成。
[0042]進一步地,所述網絡安全風險評估模型為決策森林,每個決策森林由若干個決策樹組成,每個決策樹的構建基于所有訓練數據的子集,因而每個樹都不相同,每個決策樹會生成新的評估結果,最終的預測結果由所有的決策樹投票決定,投票的分布定義了預測的置信區間。
[0043]本發明的有益效果在于:
[0044]知識庫有效地覆蓋了網絡安全風險的全部領域。
[0045]本發明所使用的專家系統用知識庫代替了專家個人,通過綜合多個專家的知識,覆蓋網絡安全風險的全部領域,具備比單個或若干專家更加全面、細致的評估知識。
[0046]專家系統的評估結果客觀中立、一致性好、效率更高。
[0047]專家系統基于固定的知識庫、固定的算法進行評估,不會如同專家個人一樣,受到情緒、心理、記憶等常有的個人狀態波動的影響,因此其結果客觀、中立,前后一致。同時,由于專家系統只需要一般工作人員到評估現場即可進行,不需要專家個人趕到評估現場,大大節省了人力和時間,效率大為提高。
[0048]基于分層式網絡風險模型的知識庫管理方便,利于擴展。
[0049]本發明所提出的分層式網絡風險模型由網絡安全實踐案例提煉而來,合理反映了網絡風險的組成與結構,提供了一個合乎邏輯的知識庫組織方式。
【附圖說明】
[0050]圖1是根據本發明的分層式網絡風險模型的示意圖。
【具體實施方式】
[0051]為了使本發明的目的、技術方案及優點更加清楚明白,下面結合附圖及實施例,對本發明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅用以解釋本發明,并不用于限定本發明。
[0052]如圖1所示的分層式網絡風險模型,該模型分為兩層:整體安全性與局部安全性。
[0053]局部安全性由四個部分組成:設備安全性、結構安全性、流程安全性、實時安全性。
[0054]設備安全性是指從設備角度考察的網絡安全風險,其包含:
[0055].設備軟件版本:設備所運行的所有軟件的版本。設備軟件版本越低,網絡安全風險越大。
[0056].設備漏洞:設備所運行的軟件所帶有的漏洞,例如某些基于Windows操作系統的設備,會帶有Windows系統的漏洞,某些運行瀏覽器的設備,會帶有瀏覽器的漏洞。設備漏洞越多,網絡安全風險越大。
[0057].協議漏洞:設備所運行的協議所帶有的漏洞,例如OPC協議的設計中具有一些安全漏洞,會被諸如Havex之類的病毒利用。協議漏洞越多,網絡安全風險越大。
[0058].設備補丁:設備針對已知漏洞所打的程序補丁。設備補丁越少,網絡安全風險越大。
[0059]結構安全性是指從網絡連接角度考察的網絡安全風險,其包含:
[0060].網絡拓撲設計:網絡結構安全性分析可以分析出當前網絡拓撲設計中的安全風險。結構安全性分析得分越低,網絡安全風險越大。
[0061]?攻擊路徑數量:攻擊路徑分析可以分析出當前網絡拓撲中存在的攻擊路徑。攻擊路徑越多,網絡安全風險越大。
[0062].設備連通性:設備與設備之間的連接會成為網絡攻擊的媒介。網絡攻擊通常不是直接攻擊最終目標,而是首先攻擊防護薄弱的其他設備,再通過其他設備攻擊最終目標。設備連通性越多,網絡安全風險越大。
[0063].防火墻與安全網關的部署:防火墻與安全網關可以檢測與防止基于互聯網的網絡攻擊,保護網絡內的其他設備,阻斷網絡攻擊的路徑。防火墻與安全網關部署的數量越少,位置越不合理,則網絡安全風險越大。
[0064].連接到公網的設備的部署:連接到公網的設備常常會成為網絡攻擊的入口。連接到公網的設備越多,網絡安全風險越大。
[0065]流程安全性是從網絡使用角度考察的網絡安全風險,其包含:
[0066]?人員的安全培訓:網絡的工作人員應當接受安全知識培訓,具有一定水平的安全知識與意識。工作人員所接受的安全培訓越少,網絡安全風險越大。
[0067]?密碼的強度與更新:網絡中使用的各種密碼應當采用高強度的密碼,不能采用規律性的、基于字典的、變化少的字符組合,同時密碼還必須定時更新,以避免無意中密碼泄露造成的危害。密碼的強度越低,更新越慢,網絡安全風險越大。
[0068].USB盤接口的使用:USB盤的使用是網絡攻擊的一個重要入口,例如著名的“震網”病毒,即是通過USB盤感染到伊朗核工廠的設備,從而入侵并最終控制了伊朗核武器的生產。USB盤接口的使用越多,網絡安全風險越大。
[0069]?有無專業網絡管理人員:專業網絡管理人員能夠幫助工作人員合理地使用設備,建立合理的網絡結構,填補可能存在的網絡漏洞,及時監控并發現網絡攻擊。專業網絡管理人員越少乃至沒有,網絡安全風險越大。
[0070].有無軟件版本及時更新:隨著各種軟件漏洞不停地被發現,軟件廠商也會相應地及時更新軟件版本,以便填補軟件漏洞。網絡中所用到的軟件應當保持關注其廠商發布的最新版本和最新補丁,及時升級最新版本,打上最新補丁,避免軟件漏洞被網絡攻擊所利用。軟件版本更新越慢乃至沒有,網絡安全風險越大。
[0071]實時安全性是從網絡運行角度考察的網絡安全風險,其包含:
[0072]?暴露在公網的端口:當網絡中存在一些提供給互聯網的服務時,常常會有一些暴露在公網的端口。這些端口很容易被網絡攻擊者所掃描到,并且利用服務軟件可能存在的漏洞進行攻擊。暴露在公網中的端口越多,網絡安全風險越大。
[0073]?系統遭受的攻擊次數:如果系統遭受過網絡攻擊,說明系統已經收到網絡攻擊者的注意,系統中很可能存在著可資利用的漏洞,并且很可能已經被攻擊者秘密入侵。系統遭受的攻擊次數越多,網絡安全風險越大。
[0074]在以上四個局部安全性分析的基礎上,通過合理的算法,得出整體安全性。
[0075]基于上述包括局部安全性與整體安全性的分層式網絡風險模型建立網絡風險知識庫,并且允許向該網絡知識庫中動態添加最新的知識點。
[0076]有關專家基于上述知識庫進行網絡安全風險評估,采用本發明所提出的由一系列的回歸樹(Regress1n Trees)算法組成的回歸森林(Regress1n Forest)算法,迭代地處理大量的專家評估結果,從而得出一個最優的評估模型。
[0077]建立所述評估模型包括兩個步驟:
[0078](al)收集專家的評估結果,并計算其特征值。基于分層式模型,收集和記錄在某個評估項上多個專家、多個網絡評估對象所做的評估結果。對于每個網絡評估對象,將評估項相關的數據概括總結為一系列可以量化的屬性;
[0079](a2)網絡安全風險評估機器學習,將不同的網絡安全風險評估機器學習算法作為插件以建立網絡安全風險評估模型。
[0080]上述生成的網絡安全風險模型存儲在系統中,等待被調用。
[0081]利用上述網絡安全風險評估模型進行網絡安全風險評估的步驟如下:
[0082](a3)收集新的網絡評估對象的相關數據,并計算其特征值。基于分層式模型,系統收集和記錄在所有評估項上與該網絡評估對象相關的數據,并利用特征值計算算法將其概括總結為一系列可以量化的屬性;
[0083](a4)使用網絡安全風險模型。將所述特征值代入所生成的網絡安全風險模型中,預生成評估結果。
[0084]其中,步驟(a3)中,新的網絡評估對象相關數據的可量化屬性同訓練網絡安全風險模型使用的屬性類型一致。
[0085]上述網絡安全風險評估模型為決策森林,每個決策森林由若干個決策樹組成,每個決策樹的構建基于所有訓練數據的子集,因而每個樹都不相同,最終的分類模型由所有的樹共同定義。
[0086]所述決策森林的構建過程為:
[0087]i)首先利用自舉采樣的技術對訓練數據采樣,以每次的采樣作為訓練數據,構建一個決策樹,構建過程中,可以對特征值采樣;
[0088]ii)重復i)構建多個決策樹;
[0089]iii)由所有的決策樹構成決策森林。
[0090]每個決策樹會生成新的評估結果,最終的預測結果由所有的決策樹投票決定,投票的分布定義了預測的置信區間。
[0091]以上詳細說明了本發明的優選實施例,但本發明并不限于這些實施例,在本發明的申請范圍內可以進行各種改變。盡管上文只是詳細闡述了本發明的優選實施例,但是,所屬技術領域的技術人員很清楚在實質上不脫離本發明的新穎性和優點的范圍內,可以對示例性實施例進行各種修改。
【主權項】
1.一種利用專家系統進行網絡安全風險評估的方法,其特征在于,包含以下步驟: 1)建立分層式網絡風險模型; 2)基于步驟I)所述的分層式網絡風險模型建立風險評估知識庫; 3)有關專家基于上述知識庫進行網絡安全風險評估; 4)利用回歸森林算法,迭代處理大量的專家評估結果,建立網絡安全風險評估模型; 5)利用上述評估模型生成評估結果。2.根據權利要求1所述的方法,其特征在于,步驟I)中的分層式網絡風險模型包括兩個層次:局部安全性與整體安全性; 所述局部安全性由四個部分組成:設備安全性、結構安全性、流程安全性、實時安全性; 所述整體安全性是綜合以上因素所得出的一個整體結論,包含系統當前風險情況、可能存在的漏洞與攻擊路徑、建議進行的優化方案。3.根據權利要求1所述的方法,其特征在于,所述風險評估知識庫涵蓋網絡風險方面的所有領域,并允許動態添加最新的知識點。4.根據權利要求1所述的方法,其特征在于,步驟4)中所述的回歸森林算法由一系列的回歸樹算法組成。5.根據權利要求1所述的方法,其特征在于,步驟4)中所述的評估模型的建立包含以下步驟: (al)收集專家的評估結果,并計算其特征值,基于步驟I)所述的分層式網絡風險模型,收集和記錄在某個評估項上多個專家、多個網絡評估對象所做的評估結果,對于每個網絡評估對象,將評估項相關的數據概括總結為一系列可以量化的屬性; (a2)網絡安全風險評估機器學習,將不同的網絡安全風險評估機器學習算法作為插件以建立評估模型。6.根據權利要求5所述的方法,其特征在于,所述網絡安全風險評估模型為決策森林,每個決策森林由若干個決策樹組成,每個決策樹的構建基于所有訓練數據的子集,因而每個樹都不相同,每個決策樹會生成新的評估結果,最終的預測結果由所有的決策樹投票決定,投票的分布定義了預測的置信區間。7.根據權利要求6所述的方法,其特征在于,所述決策森林的構建過程為: i)首先利用自舉采樣的技術對訓練數據采樣,以每次的采樣作為訓練數據,構建一個決策樹,構建過程中,可以對特征值采樣;?)重復i)構建多個決策樹;iii)由所有的決策樹構成決策森林。8.根據權利要求1所述的方法,其特征在于,步驟5)中生成評估結果的步驟為: (a4)收集新的網絡評估對象的相關數據,并計算其特征值,基于步驟I)中的分層式模型,系統收集和記錄在所有評估項上與該網絡評估對象相關的數據,并利用特征值計算算法將其概括總結為一系列可以量化的屬性; (a4)使用網絡安全風險評估模型,將所述特征值代入所述網絡安全風險評估模型中,預生成評估結果。9.一種利用專家系統進行網絡安全風險評估的系統,其特征在于,包含: 分層式網絡風險模型; 基于所述的分層式網絡風險模型建立的風險評估知識庫; 利用回歸森林算法,迭代處理大量的專家評估結果建立的網絡安全風險評估模型。10.根據權利要求9所述的系統,其特征在于,所述分層式網絡風險模型包括兩個層次:局部安全性與整體安全性; 所述局部安全性由四個部分組成:設備安全性、結構安全性、流程安全性、實時安全性; 所述整體安全性是綜合以上因素所得出的一個整體結論,包含系統當前風險情況、可能存在的漏洞與攻擊路徑、建議進行的優化方案。11.根據權利要求9所述的系統,其特征在于,所述風險評估知識庫涵蓋網絡風險方面的所有領域,并允許動態添加最新的知識點。12.根據權利要求9所述的系統,其特征在于,所述的回歸森林算法由一系列的回歸樹算法組成。13.根據權利要求9所述的方法,其特征在于,所述網絡安全風險評估模型為決策森林,每個決策森林由若干個決策樹組成,每個決策樹的構建基于所有訓練數據的子集,因而每個樹都不相同,每個決策樹會生成新的評估結果,最終的預測結果由所有的決策樹投票決定,投票的分布定義了預測的置信區間。
【文檔編號】H04L12/24GK105939200SQ201510398181
【公開日】2016年9月14日
【申請日】2015年7月8日
【發明人】孫桉, 孫一桉, 徐林
【申請人】北京匡恩網絡科技有限責任公司