【技术实现步骤摘要】
本专利技术属于计算机网络安全
,具体涉及一种漏洞利用成功概率计算方法及网络安全风险管理方法。
技术介绍
计算机网络系统面临复杂的攻击事件,从本质上来说,是由于计算机及网络系统在设计、开发、运行、维护、配置过程中存在漏洞。网络攻击是一种复杂的多步骤过程,外部攻击者分析内部网络存在漏洞的相互关联关系,进而发动多步攻击,使攻击者占有更多的资源,最终对攻击目标造成破坏。多步攻击具有多阶段性、目的性、隐蔽性的特点。而传统安全防御方法,例如防火墙、入侵检测系统,只是尽可能识别攻击行为,是一种被动式防御方法,对未知的、多阶段的、隐蔽的攻击行为无法及时响应,这给传统的安全防御方法提出了新的挑战。基于攻击图的网络安全风险评估方法能分析漏洞的相互关联关系和由此产生的潜在威胁。而基于攻击图的风险评估依赖于每一个漏洞的可利用性大小。因此,对单个漏洞可利用性的量化评估就显得极为重要。当前多数研究工作仅仅依靠通过CVSS评分来获取漏洞的可利用性大小,而CVSS方法只考虑漏洞本身静态被攻击者利用的特征,没有考虑随着时间的变化,漏洞利用代码可利用性和补丁可利用性都会随之动态改变。且影响漏洞可利用性的因素很多,如何正确分配这些因素的影响权重值是漏洞可利用性量化评估的主要问题。当前网络安全挑战和突破口是研究主动防护新模型、新技术和新方法,通过风险评估手段对当前安全态势进行判断,并依据判断结果实施主动安全防御机制。从理论上讲,识 ...
【技术保护点】
一种漏洞利用成功概率计算方法,其特征在于,方法包括:步骤1,获取原始攻击图,所述原始攻击图中包括若干个节点和若干条有向边;所述若干个节点中包括I个属性状态节点S,其中,I取正整数,Si∈S,i=1,2,3,...,I;所述若干条有向边E包括若干条漏洞利用边;Ev∈(Spre,Spost)为任意一条漏洞利用边,Spre、Spost分别为边Ev∈(Spre,Spost)的前后节点,Spre、Spost∈S,Spost为任意一个存在漏洞vpost的节点;步骤2,计算所有漏洞利用边的漏洞利用成功概率,其中漏洞利用边Ev∈(Spre,Spost)的漏洞利用成功概率P(vpost)为:P(vpost)=AV×w1+AC×w2+Au×w3+RL×w4+Pexploit×w5 (1)式1中:AV为漏洞vpost的CVSS中base属性组的访问向量,AC为漏洞vpost的CVSS中base属性组的访问复杂度,Au为漏洞vpost的CVSS中base属性组的认证,RL为漏洞vpost的CVSS中temporal属性组的补丁修复等级,AV、AC、Au、RL的取值依据CVSS中的相关指标定义;Pexplo ...
【技术特征摘要】
1.一种漏洞利用成功概率计算方法,其特征在于,方法包括:
步骤1,获取原始攻击图,所述原始攻击图中包括若干个节点和若干条有向边;
所述若干个节点中包括I个属性状态节点S,其中,I取正整数,Si∈S,i=1,2,3,...,I;
所述若干条有向边E包括若干条漏洞利用边;
Ev∈(Spre,Spost)为任意一条漏洞利用边,Spre、Spost分别为边Ev∈(Spre,Spost)的前后节
点,Spre、Spost∈S,Spost为任意一个存在漏洞vpost的节点;
步骤2,计算所有漏洞利用边的漏洞利用成功概率,其中漏洞利用边Ev∈(Spre,Spost)的
漏洞利用成功概率P(vpost)为:
P(vpost)=AV×w1+AC×w2+Au×w3+RL×w4+Pexploit×w5(1)
式1中:
AV为漏洞vpost的CVSS中base属性组的访问向量,
AC为漏洞vpost的CVSS中base属性组的访问复杂度,
Au为漏洞vpost的CVSS中base属性组的认证,
RL为漏洞vpost的CVSS中temporal属性组的补丁修复等级,
AV、AC、Au、RL的取值依据CVSS中的相关指标定义;
Pexploit为漏洞vpost的代码可利用性的概率值,t为
当前日期到漏洞vpost公开日期的总天数,t取正整数;
w1=0.073、w2=0.118、w3=0.191、w4=0.2361、w5=0.3819。
2.一种贝叶斯攻击图构建方法,其特征在于,方法包括:
步骤1,获取原始攻击图,所述原始攻击图中包括若干个节点和若干条有向边;
所述若干个节点中包括I个属性状态节点S和N个原子攻击节点A,其中,Si∈S,i=1,2,
3,...,I,I取正整数,S1为原始攻击图的外部属性状态节点,i≥2时,属性状态节点Si或为存
在漏洞的节点或为攻击收益节点,并且i≥2时,属性状态节点Si的父亲节点集合Pa[Si]和祖
先节点集合Ancestor[Si]均不为空,N取
正整数,An∈A,n=1,2,3,...,N;
所述若干条有向边E包括若干条漏洞利用边和若干条攻击成功边;
Ev∈(Spre,Spost)为任意一条漏洞利用边,Spre、Spost分别为边Ev∈(Spre,Spost)的前后节
点,Spre、Spost∈S,Spost为任意一个存在漏洞vpost的节点,Spost的父亲节点集合Pa[Spost]不为
空,Spre∈Pa[Spost];
Ea∈(Astart,Send)为任意一条攻击成功边,Astart、Send分别为边Ea∈(Astart,Send)的前后节
点,Astart∈A,Send∈S,Send为任意一个攻击收益节点,Send的父节点集合Pa[Send]不为空,
Astart∈Pa[Send];
步骤2,构建原始攻击图的贝叶斯攻击图,包括以下步骤...
【专利技术属性】
技术研发人员:高岭,高妮,王帆,王海,雷艳婷,申元,
申请(专利权)人:西北大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。