漏洞利用成功概率计算方法及网络安全风险管理方法技术

本发明专利技术涉及漏洞利用成功概率计算方法及网络安全风险管理方法。所涉及的漏洞利用成功概率计算方法中漏洞利用成功概率来源于漏洞可利用性概率大小，网络漏洞利用成功概率计算方法考虑了漏洞可利用性概率大小随着时间动态变化的，建立静态和动态的漏洞可利用性评估指标，可以准确量化漏洞的可利用性，并提高漏洞可利用性评估结果的多样性。本发明专利技术的网络安全风险管理方法构建防护成本和攻击收益的经济学指标及指标量化方法，采用粒子群的优化算法可有效地求解最优防护策略，最终保证攻击目标节点的安全，在限定成本预算条件下有效降低了整体网络的安全风险。

【技术实现步骤摘要】

本专利技术属于计算机网络安全
，具体涉及一种漏洞利用成功概率计算方法及网络安全风险管理方法。
技术介绍
计算机网络系统面临复杂的攻击事件，从本质上来说，是由于计算机及网络系统在设计、开发、运行、维护、配置过程中存在漏洞。网络攻击是一种复杂的多步骤过程，外部攻击者分析内部网络存在漏洞的相互关联关系，进而发动多步攻击，使攻击者占有更多的资源，最终对攻击目标造成破坏。多步攻击具有多阶段性、目的性、隐蔽性的特点。而传统安全防御方法，例如防火墙、入侵检测系统，只是尽可能识别攻击行为，是一种被动式防御方法，对未知的、多阶段的、隐蔽的攻击行为无法及时响应，这给传统的安全防御方法提出了新的挑战。基于攻击图的网络安全风险评估方法能分析漏洞的相互关联关系和由此产生的潜在威胁。而基于攻击图的风险评估依赖于每一个漏洞的可利用性大小。因此，对单个漏洞可利用性的量化评估就显得极为重要。当前多数研究工作仅仅依靠通过CVSS评分来获取漏洞的可利用性大小，而CVSS方法只考虑漏洞本身静态被攻击者利用的特征，没有考虑随着时间的变化，漏洞利用代码可利用性和补丁可利用性都会随之动态改变。且影响漏洞可利用性的因素很多，如何正确分配这些因素的影响权重值是漏洞可利用性量化评估的主要问题。当前网络安全挑战和突破口是研究主动防护新模型、新技术和新方法，通过风险评估手段对当前安全态势进行判断，并依据判断结果实施主动安全防御机制。从理论上讲，识别网络中所有主机的漏洞并打上补丁才可以真正解除安全隐患。然而，在实践中给漏洞打补丁通常会导致不同的成本，在实际应用当中给所有识别的漏洞打补丁是不可行的。为了评估和加强整体网络的安全性，通过攻击图模型模拟多步攻击步骤，建立漏洞和利用的因果关系。在攻击图的应用中，评估当前网络或信息系统的风险，计算最优防护策略进行适度地控制风险和攻击损失。安全管理员采取的安全防护措施一般包括修改防火墙配置、更新软件、关闭系统服务和打补丁等。在网络安全风险管理中，每种安全防护措施都有一定的防护成本，收益和成本如何权衡是一个复杂的问题。因此，在有限的防护成本条件下，如何选取最优的防护策略已成为当前研究热点问题。目前基于攻击图的网络安全主动防御技术在计算网络安全风险时，很少考虑网络攻击中存在的不确定性因素。并且以往的优化算法没有有效地求解最优防护策略，比如贪心算法。
技术实现思路
针对现有技术的缺陷或不足，本专利技术的目的之一是提供一种漏洞利用成功概率计算方法。本专利技术所提供的漏洞利用成功概率计算方法包括：步骤1，获取原始攻击图，所述原始攻击图中包括若干个节点和若干条有向边；所述若干个节点中包括I个属性状态节点S，其中，I取正整数，Si∈S,i＝1,2,3,...,I；所述若干条有向边E包括若干条漏洞利用边；Ev∈(Spre,Spost)为任意一条漏洞利用边，Spre、Spost分别为边Ev∈(Spre,Spost)的前后节点，Spre、Spost∈S，Spost为任意一个存在漏洞vpost的节点；步骤2，计算所有漏洞利用边的漏洞利用成功概率，其中漏洞利用边Ev∈(Spre,Spost)的漏洞利用成功概率P(vpost)为：P(vpost)＝AV×w1+AC×w2+Au×w3+RL×w4+Pexploit×w5(1)AV为漏洞vpost的CVSS(通用漏洞评分系统)中base属性组的访问向量，AC为漏洞vpost的CVSS中base属性组的访问复杂度，Au为漏洞vpost的CVSS中base属性组的认证，RL为漏洞vpost的CVSS中temporal属性组的补丁修复等级，AV、AC、Au、RL的取值依据CVSS中的相关指标定义；Pexploit为漏洞vpost的代码可利用性的概率值，t为当前日期到漏洞vpost公开日期的总天数，t取正整数；w1＝0.073、w2＝0.118、w3＝0.191、w4＝0.2361、w5＝0.3819。本专利技术的目的之二是提供一种贝叶斯攻击图构建方法。本专利技术提供的贝叶斯攻击图构建方法包括：步骤1，获取网络原始攻击图，所述网络原始攻击图中包括若干个节点和若干条有向边；所述若干个节点中包括I个属性状态节点S和N个原子攻击节点A，其中，I取正整数，Si∈S,i＝1,2,3,...,I,S1为原始攻击图的外部属性状态节点，i≥2时，属性状态节点Si或为存在漏洞的节点或为攻击收益节点，并且i≥2时，属性状态节点Si的父亲节点集合Pa[Si]和祖先节点集合均不为空；N取正整数，An∈A,n＝1,2,3,...,N；所述若干条有向边E包括若干条漏洞利用边和若干条攻击成功边；Ev∈(Spre,Spost)为任意一条漏洞利用边，Spre、Spost分别为边Ev∈(Spre,Spost)的前后节点，Spre、Spost∈S，Spost为任意一个存在漏洞vpost的节点，Spost的父亲节点集合Pa[Spost]不为空，Spre∈Pa[Spost]；Ea∈(Astart,Send)为任意一条攻击成功边，Astart、Send分别为边Ea∈(Astart,Send)的前后节点，Astart∈A，Send∈S,Send为任意一个攻击收益节点，Send的父节点集合Pa[Send]不为空，Astart∈Pa[Send]；步骤2，构建原始攻击图的贝叶斯攻击图,包括以下步骤：步骤2.1，计算所有漏洞利用边的漏洞利用成功概率，其中漏洞利用边Ev∈(Spre,Spost)的漏洞利用成功概率P(vpost)为：P(vpost)＝AV×w1+AC×w2+Au×w3+RL×w4+Pexploit×w5(2)式2中：AV为漏洞vpost的CVSS(通用漏洞评分系统)中base属性组的访问向量，AC为漏洞vpost的CVSS中base属性组的访问复杂度，Au为漏洞vpost的CVSS中base属性组的认证，RL为漏洞vpost的CVSS中temporal属性组的补丁修复等级，AV、AC、Au、RL的取值依据CVSS中的相关指标定义；Pexploit为漏洞vpost的代码可利用性的概率值，t为当前日期到漏洞vpost公开日期的总天数，t取正整数；w1＝0.073、w2＝0.118、w3＝0.191、w4＝0.2361、w5＝0.3819；步骤2.2，计算所有攻击成功边的攻击成功概率，其中任意攻击成功边Ea∈(Astart,Send)的攻击成功概率P(Astart)为：节点Astart具有漏洞信息发布、攻击工具和攻击方法时，P(Astart)为0.8；本文档来自技高网...

【技术保护点】
一种漏洞利用成功概率计算方法，其特征在于，方法包括：步骤1，获取原始攻击图，所述原始攻击图中包括若干个节点和若干条有向边；所述若干个节点中包括I个属性状态节点S，其中，I取正整数，Si∈S,i＝1,2,3,...,I；所述若干条有向边E包括若干条漏洞利用边；Ev∈(Spre,Spost)为任意一条漏洞利用边，Spre、Spost分别为边Ev∈(Spre,Spost)的前后节点，Spre、Spost∈S，Spost为任意一个存在漏洞vpost的节点；步骤2，计算所有漏洞利用边的漏洞利用成功概率，其中漏洞利用边Ev∈(Spre,Spost)的漏洞利用成功概率P(vpost)为：P(vpost)＝AV×w1+AC×w2+Au×w3+RL×w4+Pexploit×w5   (1)式1中：AV为漏洞vpost的CVSS中base属性组的访问向量，AC为漏洞vpost的CVSS中base属性组的访问复杂度，Au为漏洞vpost的CVSS中base属性组的认证，RL为漏洞vpost的CVSS中temporal属性组的补丁修复等级，AV、AC、Au、RL的取值依据CVSS中的相关指标定义；Pexploit为漏洞vpost的代码可利用性的概率值，t为当前日期到漏洞vpost公开日期的总天数，t取正整数；w1＝0.073、w2＝0.118、w3＝0.191、w4＝0.2361、w5＝0.3819。...

【技术特征摘要】
1.一种漏洞利用成功概率计算方法，其特征在于，方法包括：
步骤1，获取原始攻击图，所述原始攻击图中包括若干个节点和若干条有向边；
所述若干个节点中包括I个属性状态节点S，其中，I取正整数，Si∈S,i＝1,2,3,...,I；
所述若干条有向边E包括若干条漏洞利用边；
Ev∈(Spre,Spost)为任意一条漏洞利用边，Spre、Spost分别为边Ev∈(Spre,Spost)的前后节
点，Spre、Spost∈S，Spost为任意一个存在漏洞vpost的节点；
步骤2，计算所有漏洞利用边的漏洞利用成功概率，其中漏洞利用边Ev∈(Spre,Spost)的
漏洞利用成功概率P(vpost)为：
P(vpost)＝AV×w1+AC×w2+Au×w3+RL×w4+Pexploit×w5(1)
式1中：
AV为漏洞vpost的CVSS中base属性组的访问向量，
AC为漏洞vpost的CVSS中base属性组的访问复杂度，
Au为漏洞vpost的CVSS中base属性组的认证，
RL为漏洞vpost的CVSS中temporal属性组的补丁修复等级，
AV、AC、Au、RL的取值依据CVSS中的相关指标定义；
Pexploit为漏洞vpost的代码可利用性的概率值，t为
当前日期到漏洞vpost公开日期的总天数，t取正整数；
w1＝0.073、w2＝0.118、w3＝0.191、w4＝0.2361、w5＝0.3819。
2.一种贝叶斯攻击图构建方法，其特征在于，方法包括：
步骤1，获取原始攻击图，所述原始攻击图中包括若干个节点和若干条有向边；
所述若干个节点中包括I个属性状态节点S和N个原子攻击节点A，其中，Si∈S,i＝1,2,
3,...,I,I取正整数，S1为原始攻击图的外部属性状态节点，i≥2时，属性状态节点Si或为存
在漏洞的节点或为攻击收益节点，并且i≥2时，属性状态节点Si的父亲节点集合Pa[Si]和祖
先节点集合Ancestor[Si]均不为空，N取
正整数，An∈A,n＝1,2,3,...,N；
所述若干条有向边E包括若干条漏洞利用边和若干条攻击成功边；
Ev∈(Spre,Spost)为任意一条漏洞利用边，Spre、Spost分别为边Ev∈(Spre,Spost)的前后节
点，Spre、Spost∈S，Spost为任意一个存在漏洞vpost的节点，Spost的父亲节点集合Pa[Spost]不为
空，Spre∈Pa[Spost]；
Ea∈(Astart,Send)为任意一条攻击成功边，Astart、Send分别为边Ea∈(Astart,Send)的前后节
点，Astart∈A，Send∈S,Send为任意一个攻击收益节点，Send的父节点集合Pa[Send]不为空，
Astart∈Pa[Send]；
步骤2，构建原始攻击图的贝叶斯攻击图,包括以下步骤...

【专利技术属性】
技术研发人员：高岭，高妮，王帆，王海，雷艳婷，申元，
申请(专利权)人：西北大学，
类型：发明
国别省市：陕西;61