本发明专利技术公开了一种基于零日攻击图的网络脆弱性评估方法,首先假设网络中主机上所有的服务都包含零日漏洞,通过给定模式的逻辑推理生成零日攻击图,然后基于漏洞扫描技术和CVSS漏洞评分系统量化利用零日漏洞进行攻击所需花费的攻击代价,最后以网络中心性理论分析获得网络中的关键脆弱性;在处理已知漏洞的同时充分考虑网络中所有可能存在未知漏洞,使得评估方法具备对未知漏洞的处理能力,并通过逻辑推理发现潜在的网络脆弱点,评估当前网络的安全性,为进一步网络安全防护提供了参考依据,提升网络的安全性、可靠性和可用性。
【技术实现步骤摘要】
一种基于零日攻击图的网络脆弱性评估方法
本专利技术属于网络安全
,具体涉及一种基于零日攻击图的网络脆弱性评估方法。
技术介绍
在利用漏洞评估网络脆弱性方法中大多数的研究人员只是分析已知的漏洞能对网络形成的损害去度量网络安全性,这样不考虑未知漏洞的分析方法,缺乏对未知漏洞的预防,一旦出现未知漏洞这些措施就失效了,因此在网络脆弱性评估当中需要引入未知漏洞。“零日漏洞”又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击利用目标缺少防范意识或缺少补丁,从而能够造成巨大破坏。零日漏洞常常被在某一产品或协议中找到安全漏洞的黑客所发现。一旦它们被发现,零日漏洞攻击就会迅速传播,一般通过Internet中继聊天或地下网站传播。LingyuWang等人提出的K零日安全性。他们的方案不是试图推测未知漏洞出现的可能性,而是统计侵占某个网络资产的需要多少个零日漏洞,较大的值意味着更多的安全性,因为在同一时间内有更多未知的漏洞可用,可应用和可利用的可能性将会显着降低。他们正式定义度量方法,分析计算度量的复杂性,为棘手案例设计启发式算法,最后通过案例研究证明将度量应用于现有网络安全实践可能会产生可操作的知识。现有网络脆弱性评估技术中存在许多不足之处。比如CVSS、CWSS等许多漏洞评分系统可以评估单个网络漏洞严重程度,但单一的漏洞分析不能体现网络攻击的复杂过程,也不能发现潜在的网络威胁。另外,基于贝叶斯网络的评估方法,必须根据专家经验事先制定先验概率表,马尔科夫转移模型中的概率也缺乏选取依据,评估有失客观性。并且大多数的脆弱性分析当中没有考虑零日漏洞问题,不能发现潜在威胁。
技术实现思路
有鉴于此,本专利技术的目的是提供一种基于零日攻击图的网络脆弱性评估方法,具有对未知漏洞的处理能力,可以理发现潜在的网络脆弱点。一种基于零日攻击图的网络脆弱性评估方法,包括如下步骤:步骤1、确定物理网络的信息,包括:各主机所包含的服务、各主机所包含的权限以及主机之间存在的网络连接关系;步骤2、生成零日攻击图,具体为:步骤21、根据步骤1获得的网络信息,将网路中攻击者拥有用户权限的主机存到集合1中;将网络中攻击者不拥有用户权限的主机存到集合2中;步骤22、在集合1中任意选择一个主机,定义为主机H0;集合2中任意选择一个主机,定义为主机H1;判断主机H0与主机H1之间是否有网络连接,如果没有,主机H0无法对主机H1进行攻击;如果有网络连接,则主机H0上的攻击者就有可能通过主机H1的每个服务上的漏洞实现对主机H1的攻击,则攻击者获得了主机H1的用户权限,则从主机H0经过主机H1的每个服务对主机H1的攻击均形成一条攻击路径;遍历主机H1上所有服务,确定主机H0对主机H1进行攻击的攻击路径;将主机H1从集合2中删除,将其添加到集合1中;步骤23、再从集合2中任选一个主机,定义为H2;按照步骤22的方法,确定与H2两主机之间的攻击路径;以此类推,按照步骤22的方法遍历集合2中所有主机,确定与H0之间的攻击路径;步骤24、继续从集合1中任意选取一个主机,依次按照步骤22和23的方法,确定攻击路径;以此类推,直到遍历集合1中所有的主机,则完成了网络中任意两个主机之间的攻击路径的确定,得到零日攻击图G;步骤3、将所述零日攻击图中各主机作为节点,计算各个节点的介数,根据介数值确定网络中的关键脆弱点。较佳的,所述步骤3中计算节点介数的具体方法为:第一步、在零日攻击图G中,针对每一个攻击路径,计算其中一个节点1利用服务的零日漏洞攻击另一个节点2所需的攻击代价,记为条攻击路径的攻击代价;第二步、确定两节点1和2之间攻击代价最小的路径的数量M;第三步、针对网络中除节点1和2的任意一个节点x,计算第一步中确定的最小攻击代价路径中包含该节点x的攻击路径的数量N,求得数量N与数量M的比值;按此方法获得节点x在所有网络中任意两节点之间的比值,得到所有比值的和值,即为该节点x的介数。较佳的,所述第一步中攻击代价的获得方法为:如果两个节点之间的某个服务存在已知的漏洞,则借鉴CVSS评分系统的指标计算攻击代价Cost()=CAv×WAv+CAc×WAc+CAva×WAva;其中,CAv表示漏洞利用方式的攻击代价评估值,CAc表示漏洞攻击复杂度的攻击代价评估值,CAva表示脆弱性可利用性的攻击代价评估值;WAv、WAc、WAva为各项评估值的权重。较佳的,第一步中借鉴CVSS评分系统的指标计算攻击代价时,当服务存在多个已知漏洞时,根据威胁程度最高漏洞的CAv、CAc和CAva计算攻击代价。较佳的,所述第一步中攻击代价的获得方法为:如果两个节点之间的服务不存在已知漏洞,则攻击代价Cost()=1-(CI×WCI+ρ×Wρ);其中,CI为该服务的常用指数,ρ为历史漏洞因子,WCI、Wρ分别为服务的常用指数、历史漏洞因子所占权值。较佳的,WAv、WAc、WAva取值分别为0.25、0.25和0.5。本专利技术具有如下有益效果:本专利技术的一种基于零日攻击图的网络脆弱性评估方法,是一种全面、可靠的网络脆弱性评估方法,首先假设网络中主机上所有的服务都包含零日漏洞,通过给定模式的逻辑推理生成零日攻击图,然后基于漏洞扫描技术和CVSS漏洞评分系统量化利用零日漏洞进行攻击所需花费的攻击代价,最后以网络中心性理论分析获得网络中的关键脆弱性;在处理已知漏洞的同时充分考虑网络中所有可能存在未知漏洞,使得评估方法具备对未知漏洞的处理能力,并通过逻辑推理发现潜在的网络脆弱点,评估当前网络的安全性,为进一步网络安全防护提供了参考依据,提升网络的安全性、可靠性和可用性。附图说明图1为本专利技术的方法流程图;图2为本专利技术中建立的零日攻击图的示意图;图3为主机之间连接及攻击关系图。具体实施方式下面结合附图并举实施例,对本专利技术进行详细描述。步骤一:获得物理网络的信息,具体为:我们从站在攻击者的角度来看,把网络中的路由器、交换机、网桥、电脑终端等统称为主机;主机的系统或安装的应用程序称为服务(或应用);主机的使用者拥有的操作称为权限;服务上被利用的缺陷或错误称为漏洞,分别用H、S、P、V表示。各集合间存在如下的映射关系:1.确定各主机所包含的服务,即从主机到服务集的映射,表示为:serv(.)={<s_http,h_h1>|s_http∈S,h_h1∈H};2.确定各主机包含哪些权限,即主机到权限的映射,表示为:priv(.)={<p_user,h_h1>|p_user∈P,h_h1∈H};3.确定主机之间存在的网络连接关系,即网络连接关系映射,表示为:conn(.)={<h_h1,h_h2>|h_h1∈H,h_h2∈H}。在网络脆弱性评估之前需要搜集各集合的信息,然后利用网络中搜集到各集合间的映射关系生成零日攻击图。步骤二:零日攻击图的生成,具体为:通常来说,网络的脆弱性主要由主机上的服务漏洞和用户权限漏洞引起。主机上的每个服务或权限都有可能被攻击者利用,我们不可能提前预知一个服务或权限被如何利用,为了全面的分析攻击者可能的攻击途径,因此假设所有的服务或权限都具有能被攻击本文档来自技高网...
【技术保护点】
1.一种基于零日攻击图的网络脆弱性评估方法,其特征在于,包括如下步骤:步骤1、确定物理网络的信息,包括:各主机所包含的服务、各主机所包含的权限以及主机之间存在的网络连接关系;步骤2、生成零日攻击图,具体为:步骤21、根据步骤1获得的网络信息,将网路中攻击者拥有用户权限的主机存到集合1中;将网络中攻击者不拥有用户权限的主机存到集合2中;步骤22、在集合1中任意选择一个主机,定义为主机H0;集合2中任意选择一个主机,定义为主机H1;判断主机H0与主机H1之间是否有网络连接,如果没有,主机H0无法对主机H1进行攻击;如果有网络连接,则主机H0上的攻击者就有可能通过主机H1的每个服务上的漏洞实现对主机H1的攻击,则攻击者获得了主机H1的用户权限,则从主机H0经过主机H1的每个服务对主机H1的攻击均形成一条攻击路径;遍历主机H1上所有服务,确定主机H0对主机H1进行攻击的攻击路径;将主机H1从集合2中删除,将其添加到集合1中;步骤23、再从集合2中任选一个主机,定义为H2;按照步骤22的方法,确定与H2两主机之间的攻击路径;以此类推,按照步骤22的方法遍历集合2中所有主机,确定与H0之间的攻击路径;步骤24、继续从集合1中任意选取一个主机,依次按照步骤22和23的方法,确定攻击路径;以此类推,直到遍历集合1中所有的主机,则完成了网络中任意两个主机之间的攻击路径的确定,得到零日攻击图G;步骤3、将所述零日攻击图中各主机作为节点,计算各个节点的介数,根据介数值确定网络中的关键脆弱点。...
【技术特征摘要】
1.一种基于零日攻击图的网络脆弱性评估方法,其特征在于,包括如下步骤:步骤1、确定物理网络的信息,包括:各主机所包含的服务、各主机所包含的权限以及主机之间存在的网络连接关系;步骤2、生成零日攻击图,具体为:步骤21、根据步骤1获得的网络信息,将网路中攻击者拥有用户权限的主机存到集合1中;将网络中攻击者不拥有用户权限的主机存到集合2中;步骤22、在集合1中任意选择一个主机,定义为主机H0;集合2中任意选择一个主机,定义为主机H1;判断主机H0与主机H1之间是否有网络连接,如果没有,主机H0无法对主机H1进行攻击;如果有网络连接,则主机H0上的攻击者就有可能通过主机H1的每个服务上的漏洞实现对主机H1的攻击,则攻击者获得了主机H1的用户权限,则从主机H0经过主机H1的每个服务对主机H1的攻击均形成一条攻击路径;遍历主机H1上所有服务,确定主机H0对主机H1进行攻击的攻击路径;将主机H1从集合2中删除,将其添加到集合1中;步骤23、再从集合2中任选一个主机,定义为H2;按照步骤22的方法,确定与H2两主机之间的攻击路径;以此类推,按照步骤22的方法遍历集合2中所有主机,确定与H0之间的攻击路径;步骤24、继续从集合1中任意选取一个主机,依次按照步骤22和23的方法,确定攻击路径;以此类推,直到遍历集合1中所有的主机,则完成了网络中任意两个主机之间的攻击路径的确定,得到零日攻击图G;步骤3、将所述零日攻击图中各主机作为节点,计算各个节点的介数,根据介数值确定网络中的关键脆弱点。2.如权利要求1所述的一种基于零日攻击图的网络脆弱性评估方法,其特征在于,所述步骤3中计算节点介数的具体方法为:第一步、在零日攻击图G中,针对每一个攻击路径,计算其中一...
【专利技术属性】
技术研发人员:胡昌振,单纯,蒋本富,郭守坤,赵小林,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。