基于攻击图的网络安全态势的量化评估方法技术

本发明专利技术涉及一种基于攻击图的网络安全态势的量化评估方法，属于信息安全技术领域。具体为：步骤一、生成攻击图。步骤二、评估攻击图G中节点的重要度。步骤三、在步骤一操作的基础上，计算攻击图G中节点被渗透成功的最大概率。步骤四、得到网络安全态势评估值。本发明专利技术提出的方法与已有技术相比较，具有以下优点：①基于攻击图的评估方法能够反映出攻击者利用网络中的漏洞进行多步攻击的意图。②评估方法中使用的数据易于采集，具有可操作性。③评估过程中可以得到网络中各节点的防护情况，反映网络中各节点的防护情况。④评估方法综合考虑了网络的拓扑信息、漏洞关联信息和攻击者的攻击意图，评估结果精度高。

【技术实现步骤摘要】
基于攻击图的网络安全态势的量化评估方法
本专利技术涉及一种基于攻击图的网络安全态势的量化评估方法，属于信息安全

技术介绍
随着计算机网络的迅猛发展，网络信息系统中的安全漏洞和隐患也层出不穷，网络攻击的种类和数量成倍增长，基础网络和信息系统面临着严峻的安全威胁。在此背景下研究网络安全态势的量化评估具有重要的意义。近年来，在评估网络安全态势方面逐渐从单机、局部、定性分析逐向分布式、全局、客观分析方向发展。目前大多数的网络安全评估方法多是定性评估，其缺点在于由于研究者对网络安全的定义标准各有不同，给评估、应急响应等带来了不确定性，评估的结果也就带有主观性。已有的定量评估研究方案，主要问题是：操作性上的困难和不可扩展性。如LianYiFeng等人提出的应用贝叶斯网络定量评估网络的漏洞，该方法为量化评估计算方法，其缺点是无法克服贝叶斯网络在计算过程中大量先验概率的获取问题。本专利技术中使用到了CVE(CommonVulnerabilities&Exposures，公共漏洞和暴露)兼容的数据库。所谓CVE就是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据。这样就使得CVE成为了安全信息共享的“关键字”。使用漏洞的CVE名称，可以快速地在任何其它CVE兼容的数据库中找到相应的信息。
技术实现思路
本专利技术的目的是提出一种基于攻击图的网络安全态势的量化评估方法，通过分析网络中的主机信息、拓扑信息、漏洞信息以及攻击者信息等，得到网络中所有可能的攻击路径，生成攻击图；然后，对攻击图进行图论以及概率论等方面的分析，得出网络安全评估的结果，从而使得安全管理员更加有针对性的进行网络安全加固措施。本专利技术的目的是通过以下技术方案实现的。本专利技术的一种基于攻击图的网络安全态势的量化评估方法，具体操作为：步骤一、生成攻击图。具体为：步骤1.1：通过扫描工具获取网络中的漏洞CVE名称，在CVE兼容的数据库中查找漏洞信息，形成漏洞信息列表，用符号VulExploitList表示。然后，针对漏洞信息列表VulExploitList中的每一个漏洞，在CVE兼容的数据库中寻找攻击者能够采用的攻击动作，形成漏洞攻击动作列表，用符号VulExploitDB表示。所述漏洞信息列表VulExploitList包括：漏洞名称、漏洞分类、通用漏洞评分系统(CommonVulnerabilityScoringSystem,CVSS)分值、攻击复杂度值、受影响的平台与产品以及受影响的程序版本。步骤1.2：定义攻击图为G，G＝(C0∪Cd,T,E)，其中，C0表示初始节点集合，Cd表示中间节点集合，T表示目标节点集合，E表示连接节点之间的有相弧集合。C0初始化为攻击者可直接利用的漏洞主机节点，步骤1.3：依次对漏洞攻击动作列表VulExploitDB中的每一条数据，查找网络中存在的漏洞以及与该漏洞对应的攻击动作，将所述攻击动作涉及的节点添加到中间节点集合Cd和目标节点集合T中，将节点间的有向弧添加到有相弧集合E中，完成攻击图G如图所示。步骤二、评估攻击图G中节点的重要度。在步骤一操作的基础上，通过节点的网页等级(PageRank)评分以及中介中心性评分评估节点的重要度。具体为：步骤2.1：用符号N表示攻击图G中的节点个数；用符号T表示迭代次数，T为人为设定值，T≥50。用变量t表示当前的迭代次数，t∈[1,T]。用符号PR(pi,t)表示第t次迭代中第i个节点pi的PageRank评分，i∈[1,N]。当t＝1时，令步骤2.2：按照公式(1)进行迭代，当公式(2)满足条件时，停止迭代，得到各个节点的PageRank评分。其中，PR(pi,t+1)表示第t+1次迭代中第i个节点pi的PageRank评分；d表示阻尼系数，d＝0.85；pj表示第j个节点，j∈[1,N]；M(pi)表示指向节点pi的节点的个数，L(pi)表示节点pi指向其他节点的个数；PR(pj,t)表示第t次迭代中第j个节点pj的PageRank评分。|PR(pi，t+1)-PR(pi，t)|＜ε(2)其中，ε表示收敛值，ε为人为设定值，ε≤0.1。步骤2.3：通过公式(3)对PageRank评分进行标准化处理。其中，PR(pi)表示第i个节点pi的PageRank评分；min(PR)表示所有节点中PageRank评分的最小值，max(PR)表示所有节点中PageRank评分的最大值。步骤2.4：用符号g(i)来表示节点i的中介中心性，根据公式(4)来计算所有节点的中介中心性。其中，s,t,i∈[1,N]；σst代表所有从节点s到节点t的最短路径的条数，而σst(i)代表所有经过节点i的从节点s到节点t的最短路径的条数。步骤2.5：通过公式(5)对中介中心性进行标准化处理。其中，符号min(g)表示所有节点中介中心性评分的最小值，符号max(g)表示所有节点中介中心性评分的最大值。步骤2.6：综合考虑节点的PageRank评分和中介中心性评分，对其两项评分值取平均加权得到节点的重要度评估值。步骤三、在步骤一操作的基础上，计算攻击图G中节点被渗透成功的最大概率。网络安全问题遵循木桶原理，即木桶的容量是由最短的那块木板的长度决定的，网络的安全强度取决于它最薄弱环节的防护强度，因此可以用节点在所有攻击序列下被渗透成功的最大概率评估节点的安全程度。攻击者在攻击到中间节点时，选择最容易渗透的路径时节点被渗透成功的概率最大，那么中间节点被渗透成功的最大概率用公式(6)计算。当攻击者攻击目标节点时，其父节点之间存在“与”的关系，所有父节点的条件必须同时满足，因此目标节点被渗透成功的最大概率用公式(7)计算。p(t)＝d(t)*Max{p(e)|e∈Pre(t)}(6)其中，t、e是攻击图G中的节点；p(t)表示攻击图G中节点t被渗透成功的最大概率；d(t)表示攻击图G中节点t自身被渗透成功的概率；p(e)表示攻击图G中节点e被渗透成功的最大概率；Pre(t)表示攻击图G中节点t的父节点的集合。步骤3.1：给临时变量flag(i)、p(i)和n(i)赋初值为0。其中，flag(i)为节点i的计算完成标识；p(i)为节点i的被渗透成功的最大概率；n(i)为节点i的父节点计算完成的数量。步骤3.2：给变量d(i)赋初值。d(i)为节点i自身被渗透成功的概率。如果节点i不涉及对漏洞的渗透而是代表攻击者的网络操作行为，将节点i被渗透成功的概率d(i)赋初值为1；否则，将节点i被渗透成功的概率d(i)赋初值为漏洞信息列表VulExploitList中的攻击复杂度值对应的数值。步骤3.3：对攻击图G＝(C0∪Cd,T,E)中的节点t，若flag(t)＝0成立，则获取父节点集合Pre(t)和子节点集合，用符号Post(t)表示，计算父节点集合Pre(t)中节点的数量，用符号Count(t)表示。遍历节点t的子节点集合Post(t)。用符号m表示节点t的子节点，即m∈Post(t)；用符号n(m)表示节点m的父节点计算完成的数量；用符号Count(m)表示父节点集合Pre(m)中节点的数量；用符号Pre(m)表示攻击图G中本文档来自技高网...

【技术保护点】
一种基于攻击图的网络安全态势的量化评估方法，其特征在于：具体操作为：步骤一、生成攻击图；具体为：步骤1.1：通过扫描工具获取网络中的漏洞CVE名称，在CVE兼容的数据库中查找漏洞信息，形成漏洞信息列表，用符号VulExploitList表示；然后，针对漏洞信息列表VulExploitList中的每一个漏洞，在CVE兼容的数据库中寻找攻击者能够采用的攻击动作，形成漏洞攻击动作列表，用符号VulExploitDB表示；所述漏洞信息列表VulExploitList包括：漏洞名称、漏洞分类、通用漏洞评分系统CVSS分值、攻击复杂度值、受影响的平台与产品以及受影响的程序版本；步骤1.2：定义攻击图为G，G＝(C

【技术特征摘要】
1.一种基于攻击图的网络安全态势的量化评估方法，其特征在于：具体操作为：步骤一、生成攻击图；具体为：步骤1.1：通过扫描工具获取网络中的漏洞CVE名称，在CVE兼容的数据库中查找漏洞信息，形成漏洞信息列表，用符号VulExploitList表示；然后，针对漏洞信息列表VulExploitList中的每一个漏洞，在CVE兼容的数据库中寻找攻击者能够采用的攻击动作，形成漏洞攻击动作列表，用符号VulExploitDB表示；所述漏洞信息列表VulExploitList包括：漏洞名称、漏洞分类、通用漏洞评分系统CVSS分值、攻击复杂度值、受影响的平台与产品以及受影响的程序版本；步骤1.2：定义攻击图为G，G＝(C0∪Cd,T,E)，其中，C0表示初始节点集合，Cd表示中间节点集合，T表示目标节点集合，E表示连接节点之间的有相弧集合；C0初始化为攻击者可直接利用的漏洞主机节点，步骤1.3：依次对漏洞攻击动作列表VulExploitDB中的每一条数据，查找网络中存在的漏洞以及与该漏洞对应的攻击动作，将所述攻击动作涉及的节点添加到中间节点集合Cd和目标节点集合T中，将节点间的有向弧添加到有相弧集合E中，完成攻击图G如图所示；步骤二、评估攻击图G中节点的重要度；在步骤一操作的基础上，通过节点的网页等级PageRank评分以及中介中心性评分评估节点的重要度；具体为：步骤2.1：用符号N表示攻击图G中的节点个数；用符号T表示迭代次数，T为人为设定值，T≥50；用变量t表示当前的迭代次数，t∈[1,T]；用符号PR(pi,t)表示第t次迭代中第i个节点pi的PageRank评分，i∈[1,N]；当t＝1时，令步骤2.2：按照公式(1)进行迭代，当公式(2)满足条件时，停止迭代，得到各个节点的PageRank评分；其中，PR(pi,t+1)表示第t+1次迭代中第i个节点pi的PageRank评分；d表示阻尼系数，d＝0.85；pj表示第j个节点，j∈[1,N]；M(pi)表示指向节点pi的节点的个数，L(pi)表示节点pi指向其他节点的个数；PR(pj,t)表示第t次迭代中第j个节点pj的PageRank评分；|PR(pi，t+1)-PR(pi，t)|＜ε(2)其中，ε表示收敛值，ε为人为设定值，ε≤0.1；步骤2.3：通过公式(3)对PageRank评分进行标准化处理；其中，PR(pi)表示第i个节点pi的PageRank评分；min(PR)表示所有节点中PageRank评分的最小值，max(PR)表示所有节点中PageRank评分的最大值；步骤2.4：用符号g(i)来表示节点i的中介中心性，根据公式(4)来计算所有节点的中介中心性；其中，s,t,i∈[1,N]；σst代表所有从节点s到节点t的最短路径的条数，而σst(i)代表所有经过节点i的从节点s到节点t的最短路径的条数；步骤2.5：通过公式(5)对中介中心性进行标准化处理；其中，符号min(g)表示所有节点中介中心性评分的最小值，符号max(g)表示所有节点中介中心性评分的最大值；步骤2.6：综合考虑节点的PageRank评分和中介中心性评分，对其两项评分值取平均加权得到节点的重要度评估值；步骤三、在步骤一操作的基础上，计算攻击图G中节点被渗透成功的最大概率；网络安全问题遵循木桶原理，即木桶的容量是由最短的那块木板的长度决定的，网络的安全强度取决于它最薄弱环节的防护强度，因此可以用节点在所有攻击序列下被渗透成功的最大概率评估节点的安全程度；攻击者在攻击到中间节点时，选择最容易渗透的路径时节点被渗透成功的概率最大，那么中间节点被渗透成功的最大概率用公式(6)计算；当攻击者攻击目标节点时，其父节点之间存在“与”的关系，所有父节点的条件必须同时满足，因此目标节点被渗透成功的最大概率用公式(7)计算；p(t)＝d(t)*Max{p(e)|e∈Pre(t)}(6)其中，t、e是攻击图G中的节点；p(t)表示攻击图G中节点t被渗透成功的最大概率；d(t)表示攻击图G中节点t自身被渗透成功的概率；p(e)表示攻击图G中节点e被渗透成功的最大概率；Pre(t)...

【专利技术属性】
技术研发人员：胡昌振，郑宇坤，吕坤，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：北京,11