(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111568625.4 (22)申请日 2021.12.14 (71)申请人 哈尔滨理工大 学 地址 150080 黑龙江省哈尔滨市南岗区学 府路52号 (72)发明人 宋伟伟　曹宇彤　罗智勇　 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) H04L 41/142(2022.01) H04L 41/147(2022.01) (54)发明名称 一种基于贝叶斯决策网络的网络态势感知 方法 (57)摘要 一种基于贝叶斯决策网络进行网络态势感 知的方法。 在进行网络风险管理的过程中， 使网 络安全级别始终保持在可以接受的范围内是一 个难以解决的问题。 为了解决这个问题， 我们使 用了基于贝叶斯决策网络的网络态势感知方法。 首先， 结合系统日志、 IDS监测数据以及一些设备 的基础信息， 获取影响网络安全状况的网络态势 指标， 构建贝叶斯决策网络模型。 使用固有、 时间 和环境因素计算漏洞利用概率和漏洞利用对网 络资产的影响。 在评估网络态势的过程中， 即使 在预算有限的情况下， 也可以使用改进的贝叶斯 方法进行成本效益分析， 并得到提高网络安全水 平的对策的最佳子集。 本发明能够通过精确的评 估和适当的风险缓解， 使网络安全 水平得到显著 提高。 权利要求书1页 说明书7页 附图2页 CN 114465758 A 2022.05.10 CN 114465758 A 1.一种基于贝叶斯决策网络的网络态 势感知方法， 所述方法具体步骤如下： (1)网络安全态 势指标的获取。 (2)利用网络安全态 势指标构建贝叶斯决策网络模型。 (3)利用CVS S指标对态 势指标分数进行评估并计算成功利用该指标的概 率。 (4)进行成本效益分析， 推荐最优 对策子集。 2.根据权利要求1所述的一种基于贝叶斯决策网络的网络态势感知方法， 其特征在于： 所述步骤(1)具体为： 使用网络漏洞扫描仪(如Nessus、 OpenVAS或Retina)或者搜索在线漏 洞存储库(如美国国家漏洞数据库(NVD)和MITRE的常见漏洞)来发现主机上存在的漏洞,网 络的主机连接和拓扑结构可以根据网络安全管理员的知识或是使用网络工具(如Namp等) 来确定,有了这些信息， 就可以获得网络安全态 势指标。 3.根据权利要求2所述的一种基于贝叶斯决策网络的网络态势感知方法， 其特征在于： 所述步骤(2)具体为： 根据获得的网络安全态势指标， 首先利用MulVal等工具自动生 成攻击 图模型,然后通过向攻击图模型中的每个节点添加条件概率表使其转化为贝叶斯攻击图, 最后向贝叶斯 攻击图中的添加决策节点和效用节点， 生成贝叶斯网络模型。 4.根据权利要求3所述的一种基于贝叶斯决策网络的网络态势感知方法， 其特征在于： 所述步骤(3)具体为： 根据CVSS所提供的一组度量， 即基准、 时间和环 境， 评估现有的网络安 全水平,关于各种属性， 都会产生一个0到10的数字分数， 从CVSS的基本组和时间组选择度 量来计算利用该漏洞的概 率。 5.根据权利要求4所述的一种基于贝叶斯决策网络的网络态势感知方法， 其特征在于： 所述步骤(4)具体为： 提供具体的安全对策， 并将安全对策实施在该态势指标上， 通过降低 受影响的漏洞可利用性进一步提高网络安全水平,同时， 计算各个不同的安全对策集的效 用值， 并进 行比较， 选择最优对策子集对网络安全 水平进行优化,也可给定固定的网络加固 成本， 从而确定效用值 最高且成本最低的网络优化方案 。权　利　要　求　书 1/1 页 2 CN 114465758 A 2一种基于贝叶斯决策网 络的网络态势感知方 法 技术领域 [0001]本发明涉及网络安全领域， 具体涉及了一种在网络态势感知过程中使  网络安全 级别始终保持在可以接受的范围内的方法。 背景技术 [0002]随着科学技术的进步， 计算机网络在人们的生活中发挥了不可缺少的  作用。 它在 改变人们的生产和生活方式的同时， 也面临着各种网络攻击。 其中，  大多数网络攻击具有 高度的传染性和破坏性， 对计算机的网络安全构成了 极大的 威胁， 极大地影响了社会和计 算机网络的发展， 甚至给信息安全带来了严重的破  坏。 [0003]大多数的网络态势感知过程中只关注单个漏洞， 而不考虑它们之间的  相互作用。 这个限制是很严重的， 在 破坏网络 资产的过程中， 攻击者通常通过一  系列相关的漏洞序列 进行多步骤攻击。 同时， 一般的攻击图不提供关于漏洞利用  概率的信息， 也不提供有关漏 洞严重程度的信息， 而这些信息是评估网络态 势的 基本因素。 [0004]因此本发明为了改变这种状况， 提出了一种基于贝叶斯决策网络的网  络态势感 知方法。 通过获取系统日志、 IDS监测数据以及一些设备的基础信息，  获取网络态势指标， 从而构建贝叶斯网络模型， 其中包含评估网络态势的基本因  素， 如漏洞的被利用概率。 然 后通过此模型进行网络态势感知， 评估网络态势，  并在降低网络风险的过程中进 行成本效 益分析， 从而 使得网络安全水平得到 显著 提高。 发明内容 [0005]为了解决背景技术中存在的问题， 本发明的目的在于提供了一种基于  贝叶斯决 策网络的网络态 势感知方法， 包括以下步骤： (1)网络安全态 势指标的获取。 (2)利用网络安全态 势指标构建贝叶斯决策网络模型。 (3)利用CVS S指标对态 势指标分数进行评估并计算成功利用该指标的概 率。 (4)进行成本效益分析， 推荐最优 对策子集。 [0006]所述步骤(1)具体为： (1.1)使用网络漏洞扫描仪Nessus来发现主机上存在的漏洞。 网络的主机连  接和 拓扑结构使用网络 工具Namp来确定， 有了这些信息， 就可以获取对应网络  的态势指标。 [0007]所述步骤(2)具体为： (2.1)获取到网络态 势指标后， 使用MulVal 生成对应的攻击图。 (2.2)攻击图可以用来对网络资产的潜在攻击建模， 但是无法衡量网络的安  全级 别。 为了使攻击图量化， 本发明将每个漏洞的概率添加到了对应节点， 使攻  击图转换为贝 叶斯攻击图。 (2.3)但是， 贝叶斯攻击图本身并不是一个完整的可以进行 网络态势感知与预  测 的模型， 因为它基本上不考虑可以提高网络安全级别的对策集及其属性， 因此  在本发明说　明　书 1/7 页 3 CN 114465758 A 3