一种基于描述逻辑的计算机网络安全评估分析方法及系统

摘要

本发明公开了一种基于描述逻辑的计算机网络安全评估分析方法及系统，本发明以描述逻辑中的“概念”、“个体”和“关系”及描述逻辑推导规则，来描述一个局域网或其它安全系统的结构关系，并以此为基础，推导并量化分析该安全系统的安全水平。本发明根据逻辑结构关系，形成复杂的、更符合实际情况的安全评估公式，从而使评估值更为准确、合理。

说明书

技术领域

本发明涉及计算机网络安全领域，具体涉及一种基于描述逻辑的计算机网 络安全评估分析方法及系统。

背景技术

传统的安全评估方法，是对每一个安全因素进行单独评价(如整个网络的 杀毒水平、入侵检测水平、)，再将各个安全因素的评估值进行加权求和，算出 整个计算机网络系统的综合安全水平。

发明内容

为了克服现有技术存在的缺点与不足，本发明提供一种基于描述逻辑的计 算机网络安全评估分析方法及系统。

本发明采用如下技术方案：

一种基于描述逻辑的计算机网络安全评估分析方法，包括如下步骤：

S1基于图形界面，定义安全评估的概念模型，具体为：

S1.1采用图形化方法，定义安全相关的概念，所述安全相关的概念包括安 全主体、安全防护模块、安全威胁及其它概念；

S1.2采用图形化方法，定义安全相关的关系，所述安全相关的关系包括拥 有关系，位于/保护关系及包含关系；

S1.3采用图形化方法，制定安全评估准则；

S2将S1中定义安全评估的概念模型转换成安全评估的描述逻辑框架，具 体是将S1中的安全相关的概念及安全相关的关系转换描述逻辑中的概念与子概 念及概念间相互定义；

S3采集安全结构和属性，具体是采集计算机网络拓扑及网络拓扑中各节点 的内部结构及其属性；

S4将采集到安全结构和属性，转换为描述逻辑模型定义；

S5采集每个安全防护模块的安全防护能力，所述安全防护能力包括属性及 运行情况；

S6通过基于描述逻辑的推理分析系统，根据采集的网络拓扑和安全配置， 动态形成安全评估公式，实现对安全状态评价的推理和计算；

S7获得安全评估结果，形成安全分析报告与评估得分。

步骤S6还包括当情况变化时，再次动态生成评估算法。

所述安全主体包括子网、主机、接入鉴别设备、网络设备、应用系统、数 据及代码概念；所述安全防护模块包括杀毒模块、入侵检测模块、加密模块及 身份鉴别模块；所述安全威胁包括恶意代码、蠕虫、数据泄漏、入侵及内部人 员误操作；其它概念包括防护能力概念。

S2将S1中定义安全评估的概念模型转换成安全评估的描述逻辑框架，具 体是将S1中的安全相关的概念及安全相关的关系转换描述逻辑中的概念与子概 念及概念间相互定义；

具体转换方法如下：

S2.1在描述逻辑框架模型中，转换获得以下逻辑概念，下述中U是集合并 运算：

“安全主体”概念＝子网∪主机∪接入鉴别设备∪网络设备∪应用系统 ∪数据∪代码；

“安全威胁”概念＝恶意代码∪蠕虫∪数据泄露∪入侵∪内部人员误操 作；

“防护能力”概念＝恶意代码防护能力∪蠕虫防护能力∪数据泄露防护 能力∪外部网络入侵防护能力∪内部人员误操作防护能力；

S2.2描述逻辑框架模型中，转换获得以下“描述逻辑关系”

包含关系：定义为为概念A和概念B上的具有include(A,B)关系，其中A＝ “安全主体”、B＝“安全主体”，即“包含关系”是定义在“安全主体”上的关 系，一个安全主体可以包含另外一个安全主体；

位于关系：定义为概念A和概念B上的具有at(A,B)关系，其中A＝“安全 模块”、B＝“安全主体”，即“位于关系”是定义在“安全模块”和“安全主体” 上的关系；

防护关系：定义为概念A和概念B上的具有defend(A,B)关系，其中A＝“安 全模块”、B＝“安全威胁”，即“防护关系”是定义在“安全模块”和“安全威 胁”上的关系；

S2.3将安全相关的“位于”、“拥有”关系，转换为描述逻辑动作；

安全模块位于安全主体，则安全主体拥有安全模块的防护能力，定义描述 逻辑“动作”如下：

规则：若有个体a属于“安全主体”概念，且个体b属于“安全模块”概 念，且个体c属于“防护能力”概念，则有关系：拥有(a,c)存在。

含义：若安全主体a上有安全模块b，且安全模块b拥有防护能力c,则

“安全主体”拥有“防护能力”，“防护能力”抵御“安全威胁”，定义描述 逻辑“动作”如下：

规则：若有个体a属于“安全主体”概念，且个体b属于“防护能力”概 念，且个体c属于“安全威胁”概念，则有关系：抵御(a,c)存在。

含义是：若主体A拥有防护能力B，且防护能力B可抵御安全威胁C，则主 体A可抵御威胁C。

所述S4中将采集到的安全结构和属性，转换为描述逻辑模型定义，具体为：

4.1在采集到的网络拓扑和主机信息中，按以下规则，转换为以下描述逻辑 “概念”：

将采集到的主机、接入鉴别设备、网络设备、应用系统、可标识的数据、 可识别的代码，分别转换成相应的概念个体；

防护能力：0-100的一个量化数值；

安全威胁：恶意代码、蠕虫、数据泄露、入侵、内部人员误操作；

4.2在采集到的安全数据，在描述逻辑模型中，转换为以下“描述逻辑关系 值”：

“安全模块”拥有“防护能力”：

“防护能力”抵御“安全威胁”；

位于关系/保护关系：

一个安全模块，位于一个安全主体上；

若安全模块A位于安全主体B上，且安全模块A可以防护安全威胁C，则该 安全模块A对该安全主体B有保护关系，使得A也具有了防范抵御C的能力；

因此，“安全主体”也拥有“防护能力”：

包含关系：一个安全主体，可以包含另一个安全主体；

4.3对采集到的各类网络安全设备，转换为一个“主机”概念中的主体。

S6通过基于描述逻辑的动作，根据采集的网络拓扑和安全配置，动态形成 安全评估公式，实现对安全状态评价的推理和计算；

S6.1对每一个安全模块m_n，它对所防范的安全威胁的安全防范值Vm_n，按 照以下方法获得：

参照一个描述表，针对该安全模块的名称、厂家、版本、生产日期和运行 情况，获得一个安全评估值Vm_n

即Vm_n＝f₀；

S6.2对一个安全主体A，若拥有N个安全模块m_n，经采集并依据步骤“1.3” 里定义的安全模块的防护能力判断，每个安全模块对某种安全威胁B的安全评 估值Vm_n，则该安全主体对该安全威胁的防范值计算公式如下：

V_AB＝f₁(Vm₁,…,Vm_n)；

S6.3该安全主体具有对K个安全威胁的防御值分别为V_AK，则其综合安全评 估值的计算公式如下：

VA＝f₂(V_A1,…,V_AK)；

S6.4对一个安全主体B，若包含了N个子安全主体(H₁、H₂、…、H_N)， 且每个子安全主体的安全评估值是V_Hn,则安全主体B的安全评估分计算公式如 下：

V_B＝f₃(V_H1,…,V_Hn)。

一种计算机网络安全评估分析方法的系统，包括

人机交互部件，用于用户基于描述逻辑的语法和图形化，定义网络安全评 估的描述逻辑系统；

数据存储部件，用于存储定义的网络安全评估的描述逻辑系统，进行评估；

网络拓扑自动执行部件，具体为网络拓扑查找器，查找局域网的网络拓扑 结构和其中的各个主机、网络设备及简单其信息；

单主机自动执行部件，具体为一个或多个单主机安全信息采集器，部署在 主机上，采集主机上的进程信息、杀毒信息、安全配置信息内容；

安全信息数据存储部件，存储网络拓扑查找器和单主机安全信息采集器所 采集的安全信息；

安全评估公式生成器，用于根据安全评估规则和安全采集获得的网络结构， 生成相应的安全评估公式

安全评估执行系统：基于安全评估规则，对采集的安全信息进行处理，并 推导和执行安全评估工作，调用相应的安全评估计算公式，获得安全评估结果。

所述安全信息数据存储部件包括概念存储器、个体存储器、量化存储器及 安全模块-防护能力评判准则记录器。

本发明的有益效果：

(1)可以从计算机网络的逻辑结构，及安全模块与安全主体的部署关系， 去评估判断网络系统的安全水平；

(2)可以根据逻辑结构关系，形成复杂的、更符合实际情况的安全评估公 式，从而使评估值更为准确、合理；

(3)量化评估公式能反映安全系统的内部结构关系，使得量化评估公式不 再是传统安全评估中的加权求和算法。

附图说明

图1是本发明的工作流程图。

图2是本发明的系统结构示意图。

具体实施方式

下面结合实施例及附图，对本发明作进一步地详细说明，但本发明的实施 方式不限于此。

实施例

如图1及图2所示，一种基于描述逻辑的计算机网络安全评估分析方法， 包括如下步骤：

S1基于图形界面，定义安全评估的概念模型，具体方法如下：

S1.1采用图形化方法，定义安全相关的概念：

定义安全主体：包括子网、主机、接入鉴别设备、网络设备、应用系统、 数据及代码概念；

定义安全防护模块：包括杀毒模块、入侵检测模块、加密模块及身份鉴别 模块；

所述安全威胁：包括恶意代码、蠕虫、数据泄漏、入侵及内部人员误操作； 其它概念包括防护能力概念。

所述其它概念：具体是指防护能力概念，所述防护能力概念对应一类安全 威胁，例如对“恶意代码防护”等。所有“XX防护”概念组成“防护能力”。

S1.2采用图形化方法，定义安全相关的关系，所述安全相关的关系包括拥 有关系，位于/保护关系及包含关系；

所述拥有关系，例如某些安全模块拥有防护能力，例如杀毒软件等“安全 主体”，拥有一个或多个“XX防护能力”，“防护能力”抵御“安全威胁”；

所述位于/保护关系：安全模块与安全主体有“位于”关系，例如某“杀毒 软件”位于某“主机”。

所述包含关系：多个主机组成“子网”，他们之间有“包含”关系；多个子 网组成更大的“网络”，它们之间有“包含”关系。

S1.3采用图形化方法，制定安全评估准则；

定义某个安全模块对某个安全威胁的安全评估能力，例如，杀毒软件对病 毒的防护能力、对蠕虫的防护能力；某入侵检测系统对网络攻击的防护能力、 对内部人员非授权使用的防护能力等，安全评估准则在一次性定制后，可多次 使用，必要时再进行修改。

S2将S1中定义安全评估的概念模型转换成安全评估的描述逻辑框架，具体 是将S1中的安全相关的概念及安全相关的关系转换描述逻辑中的概念与子概念 及概念间相互定义；

具体如下：

S2.1将安全相关的概念转换获得以下描述逻辑“概念”，下述中U是集 合并运算：

“安全主体”概念＝子网∪主机∪接入鉴别设备∪网络设备∪应用系统 ∪数据∪代码；

“安全威胁”概念＝恶意代码∪蠕虫∪数据泄露∪入侵∪内部人员误操 作；

“防护能力”概念＝恶意代码防护能力∪蠕虫防护能力∪数据泄露防护 能力∪外部网络入侵防护能力∪内部人员误操作防护能力；

S2.2将安全相关的概念，转换获得以下“描述逻辑关系”

包含关系：定义为概念A和概念B上的具有include(A,B)关系，其中A＝“安 全主体”、B＝“安全主体”，即“包含关系”是定义在“安全主体”上的关系， 一个安全主体可以包含另外一个安全主体。“包含关系”主要用于描述主机与子 网、子网与其所属更大的局域网之间的关系。

位于关系：定义为概念A和概念B上的具有at(A,B)关系，其中A＝“安全 模块”、B＝“安全主体”，即“位于关系”是定义在“安全模块”和“安全主体” 上的关系，一个安全模块可以位于某一个安全主体。一个安全模块的个体只能 位于某一个安全主体上。

防护关系：定义为概念A和概念B上的具有defend(A,B)关系，其中A＝“安 全模块”、B＝“安全威胁”，即“防护关系”是定义在“安全模块”和“安全威 胁”上的关系，一个安全模块可以防范某一个安全威胁。一个安全模块的个体 可以防范某一个或多个安全威胁。

S2.3将安全相关的“位于”、“拥有”关系，描述为逻辑推导规则，转换为 描述逻辑动作；

每一类关系，对应一种推导规则

安全模块位于安全主体，则安全主体拥有安全模块的防护能力，定义描述 逻辑“动作”如下：

规则：若有个体a属于“安全主体”概念，且个体b属于“安全模块”概 念，且个体c属于“防护能力”概念，则有关系：拥有(a,c)存在。

含义：若安全主体a上有安全模块b，且安全模块b拥有防护能力c；

“安全主体”拥有“防护能力”，“防护能力”抵御“安全威胁”，定义描述 逻辑“动作”如下：

规则：若有个体a属于“安全主体”概念，且个体b属于“防护能力”概 念，且个体c属于“安全威胁”概念，则有关系：抵御(a,c)存在。

含义是：若主体A拥有防护能力B，且防护能力B可抵御安全威胁C，则主 体A可抵御威胁C。

S3采集计算机网络拓扑及网络拓扑中各个节点的内部结构及其属性，具体 采集方法为：

3.1对网络拓扑结构关系，基于SNMP网络拓扑采集与扫描；

3.2对主机安全配置和内容，基于主机上部署的采集器进行进程扫描、文件 扫描、安全配置扫描等。

S4将采集到安全结构和属性，转换为描述模型定义；

具体转换原则：

4.1在采集到的网络拓扑和主机信息中，按以下规则，转换为以下描述逻辑 “概念”：

将采集到的主机、接入鉴别设备、网络设备、应用系统、可标识的数据、 可识别的代码，分别转换成相应的概念个体；

防护能力：0-100的一个量化数值。

安全威胁：恶意代码、蠕虫、数据泄露、入侵、内部人员误操作

4.2在采集到的安全数据，在描述逻辑模型中，转换为以下“描述逻辑关系 值”：

“安全模块”拥有“防护能力”：

“防护能力”抵御“安全威胁”。

位于关系/保护关系：

一个安全模块，可以位于一个安全主体上

若安全模块A位于安全主体B上，且安全模块A可以防护安全威胁C，则该 安全模块A对该安全主体B有保护关系，使得A也具有了防范抵御C的能力；

因此，“安全主体”也拥有“防护能力”：

包含关系：一个安全主体，可以包含另一个安全主体；

4.3对采集到的各类网络安全设备，自动转换为一个“主机”概念中的主体

S5采集每个安全防护模块的安全防护能力，所述安全防护能力包括属性及 运行情况；所述属性包括什么品牌和版本的安全防护模块。

S6通过基于描述逻辑的推理分析系统，根据采集的网络拓扑和安全配置， 动态形成安全评估公式，实现对安全状态评价的推理和计算；

基于描述逻辑的基本推理机制(即描述逻辑中的“动作”定义)，完成推理：

S6.1对每一个安全模块m_n，它对所防范的安全威胁的安全防范值V_mn，按照 以下方法获得：

参照一个描述表，针对该安全模块的名称、厂家、版本、生产日期和运行 情况，获得一个安全评估值Vm_n

即V_mn＝f₀；

S6.2对一个安全主体A，若拥有N个安全模块m_n，经采集并依据步骤“1.3” 里定义的安全模块的防护能力判断，每个安全模块对某种安全威胁B的安全评 估值Vmn，则该安全主体对该安全威胁的防范值计算公式如下：

V_AB＝f₁(Vm₁,…,Vm_n)；

S6.3该安全主体具有对K个安全威胁的防御值分别为V_AK，则其综合安全评 估值的计算公式如下：

V_A＝f₂(V_A1,…,V_AK)；

S6.4对一个安全主体B，若包含了N个子安全主体(H₁、H₂、…、H_N)， 且每个子安全主体的安全评估值是V_Hn,则安全主体B的安全评估分计算公式如 下：

V_B＝f₃(V_H1,…,V_Hn)。

根据上述上述计算方法，算出各级安全主体的专项安全防护能力和综合安 全评估值，再进一步计算各级安全主体(例如子网)乃至整个局域网的安全评 估结果。

当情况变化时，可再次动态生成评估算法。

根据上述采集的安全信息，动态构造上述描述逻辑模型，并动态生成评估 算法；若采集的安全状况和信息发生改变，则根据采集结果动态调整描述逻辑 模型，并动态更新评估算法，从而使评估方法和结果能实时反映安全状况。

S7获得安全评估结果，形成安全分析报告与评估得分。

对每一个保护主体(主机、应用、数据)，获得其安全评估值；

对每一个安全评估值低于一定标准的，判断为不安全，则分析其导致不安 全的推理过程，判断其不安全是哪些前提因素造成；

将上述安全评估结果及安全评估过程，作为方法的最终输出。

一种计算机网络安全评估分析系统，包括：

人机交互部件，用于用户基于描述逻辑的语法和图形化，定义网络安全评 估的描述逻辑系统；

数据存储部件，用于存储定义的网络安全评估的描述逻辑系统，进行评估；

网络拓扑自动执行部件，具体为网络拓扑查找器，查找局域网的网络拓扑 结构和其中的各个主机、网络设备及简单其信息；

单主机自动执行部件，具体为一个或多个单主机安全信息采集器，部署在 主机上，采集主机上的进程信息、杀毒信息、安全配置信息内容；

安全信息数据存储部件，存储网络拓扑查找器和单主机安全信息采集器所 采集的安全信息；

安全评估公式生成器，用于根据安全评估规则和安全采集获得的网络结构， 生成相应的安全评估公式；

安全评估执行系统：基于安全评估规则，对采集的安全信息进行处理，并 推导和执行安全评估工作，调用相应的安全评估计算公式，获得安全评估结果。

所述安全信息数据存储部件包括概念存储器、个体存储器、量化存储器及 安全模块-防护能力评判准则记录器。

本实施例具体为：

F0:例如用一个表来记录各厂商、各版本等及其评估分(本表1仅是示例)

表1

安全设备厂家 安全设备名称 安全设备型号和版本 安全设备安全评分 赛门铁克/Symantec Norton防病毒软件 6.0 90 赛门铁克/Symantec Norton防病毒软件 7.0 92 金山 金山毒霸 5.0 89 深信服 网络防火墙 NGAF-1120 90 … … … …

说明：

(1)安全设备厂商、设备、版本及评分，按照市场现状和安全专业意见来 人工制定，并定义为一个固定数据。

(2)安全设备包括安全软件/安全硬件/操作系统等安全相关的、在安全评 估中需要涉及的系统和模块。

F1:

F₁(Vm₁,…,Vm_n)＝min(Vm₁,…,Vm_n)；

F2:

$V_A=f_2(V_{A1},...,V_{AK})=\sqrt{V_{A1}^2+V_{A2}^2+\mathrm{...}+V_{AK}^2}$

F3

V_B＝f₃(V_H1,…,V_HK)

这里，在这个实施例中，我们选择f₃的具体形式为:

$f_3=\sqrt{MAX(V_{H1}+V_{H2}+\mathrm{...}+V_{HK})\times MIN(V_{H1}+V_{H2}+\mathrm{...}+V_{HK})\times \left(\frac{V_{H1}+V_{H2}+\mathrm{...}+V_{HK}}{K}\right)}$

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受所述实 施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、 替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。