本发明专利技术公开了一种多维多粒度的网络空间安全度量方法,按照逻辑分层将网络系统划分为3个层次,分别是可靠性安全、环境安全、漏洞安全;根据这三个层次,对网络系统中的指标进行抽取和选择,采用体系工程原理以及层次分析法AHP建立网络空间安全指标体系;在构建好的网络空间安全指标体系的基础上对每一层次进行维度划分;可靠性安全用弱连通维度和强连通维度进行度量,环境安全从网络资产及服务维和资产指标变化维两个维度进行度量,漏洞安全从漏洞维和攻击图维度进行度量;在层次和维度的基础上将加入粒度,在粒度指定的范围内,获得各层次、各维度的度量值,其和即为网络空间安全度量结果。使用本发明专利技术,度量结果更为准确和全面。
【技术实现步骤摘要】
一种多维多粒度的网络空间安全度量方法
本专利技术涉及网络空间安全
,尤其涉及一种多维多粒度的网络空间安全度量方法。
技术介绍
网络发展越来越快,但是网络空间安全的发展却跟不上步伐。因此,我们必须尽快提高我国网络的安全性。没有评估就没有改进,可见网络度量与评估对于网络空间安全的改进是十分必要的。对于网络空间安全度量与评估方法,目前已经存在一些比较常见的方法和模型。层次分析法(AHP)是目前比较主流的分析方法,但是层次分析法存在层次划分不清晰、度量由于专家权重不够客观的问题。为了解决这些问题,一些新的方法不断加入AHP模型,比如基于TOPSIS的AHP模型等。基于TOPSIS的AHP模型,首先利用AHP对网路安全进行分层,对每一层选取不同的元指标,对这些元指标进行度量。然后,对每一层的元指标度量后,叠加计算该层的度量值,得出每一层的度量值。最后,利用TOPSIS分析方法对这些层次的度量结果进行优劣计算,不断对度量结果进行拟合,最终得出网络空间安全度量的结果。基于模糊AHP的网络空间安全评估,首先利用AHP对网络系统进行分层,再利用模糊数学构建模糊判断矩阵,再对矩阵进行相关度量。模糊层次分析法比传统的AHP能更加客观对指标之间的重要程度进行排序。虽然这些模型在一定程度上解决了AHP的不足,但是并没有从根本上解决问题,只是对专家权重进行参数化的调整,依然不能进行精确的度量。除了AHP外,基于攻击图的网络空间安全度量也是一种目前比较常见的度量方法。根据网络系统中漏洞以及漏洞之间的关联关系,利用攻击图生成系统生成网络系统中的所有可能的攻击路径,根据攻击路径对网络空间安全进行度量。在这种方法中,攻击图从网络可能存在的攻击、漏洞、漏洞之间的关联关系入手,对整个网络系统中的所有可能攻击进行度量。虽然,攻击图可以很好的模拟网络中所有的潜在的攻击路径,对网络中所有的攻击、漏洞进行度量,但是攻击图忽略了攻击路径失败的情况,即在攻击过程中由于网路防御这条攻击不能产生。而且由于攻击图生成过程中是生成所有可能的攻击路径,没有指定攻击的起点和攻击的终点,存在模拟的攻击路径过多的问题。如果网络规模过大,即使采用分布式计算,计算量依旧非常大。因此,无论是AHP还是攻击图的方法都存在一定的不足,需要进行改进。
技术实现思路
有鉴于此,本专利技术提供了一种多维多粒度的网络空间安全度量方法,旨在改进传统的基于层次分析法的网络空间安全度量与评估,在层次分析法的基础上增加维度和粒度的概念,提出一种新的多层多维多粒度的网络空间安全度量与评估模型,以期于更准确和更全面地度量和评估网络空间安全。为了解决上述技术问题,本专利技术是这样实现的:一种多维多粒度的网络空间安全度量方法,包括:步骤一、按照逻辑分层将网络系统划分为3个层次,分别是可靠性安全、环境安全、漏洞安全;根据这三个层次,对网络系统中的指标进行抽取,采用体系工程原理以及层次分析法AHP建立网络空间安全指标体系;步骤二、在构建好的网络空间安全指标体系基础上对每一层次进行维度划分:可靠性安全考虑网络连接关系,不考虑网络中节点拥有的服务和资产,进而用弱连通维度和强连通维度进行度量;环境安全考虑网络中节点拥有的资产和服务,不考虑节点之间的连接关系,进而从网络资产及服务维和资产指标变化维两个维度进行度量;漏洞安全一方面考虑网络中存在漏洞的种类、数量和重要性,另一方面考虑网络中威胁如何利用这些脆弱点进行攻击,进而从漏洞维和攻击图维度进行度量;步骤三、在层次和维度的基础上加入粒度,粒度是指有度量需求的网络范围;每个层次的每个维度均可设置自身对应的粒度;步骤四、在粒度指定的范围内,获得各层次、各维度的度量值,其和即为网络空间安全度量结果。优选地,该方法进一步包括:步骤五、通过比较网络空间安全度量结果以及网络空间安全基线,对网络系统进行评估。优选地,所述粒度包括:全网络粒度、子网粒度和节点粒度。优选地,所述弱连通维度的度量值Mw1和强连通维度的度量值Mw2分别表示为:其中v、d1、d2分别网络中的节点个数、弱连通分量个数和强连通分量个数。优选地,所述网络资产及服务维的度量值Me考虑网络资产和其上服务的重要性:Me=∑(ResourceImportance×ServiceImportance)其中,ResourceImportance代表网络资产重要性,ServiceImportance代表资产上服务的重要性;所述资产指标变化维的度量值的获取方式为:首先根据调研给出每种资产指标的默认值defaultValue,然后利用一段时间的观测值value,根据绘制这段时间内的变化图,根据变化图面积计算出这段时间内的攻防效用,即为资产指标变化维的度量值。优选地,所述漏洞维的度量值的获取方式为:结合通用安全漏洞评分系统CVSS评分求解出每一种网络资产上漏洞的评分,进而给出度量值=∑(RescorceImportance×VulnerabilityImportance),其中∑RescorceImportance是网络资产重要性,VulnerabilityImportance是漏洞重要性;所述攻击图维度的度量值的获取方式为:需要结合攻击图,求解出不同网络资产上漏洞的关联评分。有益效果:本专利技术提出一种准确性更高全面性更好的网络度量和评估的方法,首先针对AHP缺点,本专利技术提出按照网络环境安全、可靠性安全、漏洞安全进行逻辑三层的划分。这三个层次分别从不同的侧面覆盖网络整体,能够对网络空间安全进行全面度量。其次针对攻击图的弱点,本专利技术将攻击图看作其中的一层,攻防两个方面都被考虑,是完整的度量体系,另外在攻击层加入CVSS漏洞评分系统,使得漏洞维度量更加真实和客观。最后,在此基础上利用粒度的概念降低攻击图的复杂度,提高整体度量的准确性。同时由于攻击图是准确度量的,可以弥补层次分析法不够客观的缺点。附图说明图1为网络整体结构图。图2为系统整体流程。图3为网络指标体系。具体实施方式下面结合附图并举实施例,对本专利技术进行详细描述。本专利技术为获得网络空间安全更加准确和全面的度量和评估,首先按照逻辑分层将网络系统划分为3个层次,分别是可靠性安全、环境安全、漏洞安全,即Network={(可靠性安全、环境安全、漏洞安全)|粒度}(图1)。这三个层次分别从网络赖以生存的硬件环境、软件资源和漏洞三个方面进行考虑。可靠性安全从网络连接关系入手,只考虑网络拓扑结构,不考虑每个节点拥有的服务和资产。因此,该层对所有节点的连通性和连通效率进行考量,即对弱连通维度和强连通维度进行度量。环境安全从网络的资产入手,考虑网络中节点拥有的资产和服务,不考虑节点之间的连接关系。因此该层从服务维和指标维两个维度进行度量。漏洞安全从网络中存在的漏洞进行度量,漏洞安全一方面要考虑网络中存在漏洞的种类、数量和重要性,另一方面要考虑网络中威胁如何利用这些脆弱点进行攻击。因此,该层分为漏洞维和攻击图维度。漏洞维结合CVSS漏洞评分对漏洞进行度量,攻击图维度利用攻击图对网络中漏洞之间的关联关系进行度量。最后在层次和维度的基础上将粒度加进去,粒度指的是有度量需求的用户可以根据自身关注的某个或某些网络中的节点进行针对性的度量。目前程序提供的粒度主要有三个:全网络粒度、子网粒度和节点粒度。本发本文档来自技高网...
【技术保护点】
1.一种多维多粒度的网络空间安全度量方法,其特征在于,包括:步骤一、按照逻辑分层将网络系统划分为3个层次,分别是可靠性安全、环境安全、漏洞安全;根据这三个层次,对网络系统中的指标进行抽取,采用体系工程原理以及层次分析法AHP建立网络空间安全指标体系;步骤二、在构建好的网络空间安全指标体系基础上对每一层次进行维度划分:可靠性安全考虑网络连接关系,不考虑网络中节点拥有的服务和资产,进而用弱连通维度和强连通维度进行度量;环境安全考虑网络中节点拥有的资产和服务,不考虑节点之间的连接关系,进而从网络资产及服务维和资产指标变化维两个维度进行度量;漏洞安全一方面考虑网络中存在漏洞的种类、数量和重要性,另一方面考虑网络中威胁如何利用这些脆弱点进行攻击,进而从漏洞维和攻击图维度进行度量;步骤三、在层次和维度的基础上加入粒度,粒度是指有度量需求的网络范围;每个层次的每个维度均可设置自身对应的粒度;步骤四、在粒度指定的范围内,获得各层次、各维度的度量值,其和即为网络空间安全度量结果。
【技术特征摘要】
1.一种多维多粒度的网络空间安全度量方法,其特征在于,包括:步骤一、按照逻辑分层将网络系统划分为3个层次,分别是可靠性安全、环境安全、漏洞安全;根据这三个层次,对网络系统中的指标进行抽取,采用体系工程原理以及层次分析法AHP建立网络空间安全指标体系;步骤二、在构建好的网络空间安全指标体系基础上对每一层次进行维度划分:可靠性安全考虑网络连接关系,不考虑网络中节点拥有的服务和资产,进而用弱连通维度和强连通维度进行度量;环境安全考虑网络中节点拥有的资产和服务,不考虑节点之间的连接关系,进而从网络资产及服务维和资产指标变化维两个维度进行度量;漏洞安全一方面考虑网络中存在漏洞的种类、数量和重要性,另一方面考虑网络中威胁如何利用这些脆弱点进行攻击,进而从漏洞维和攻击图维度进行度量;步骤三、在层次和维度的基础上加入粒度,粒度是指有度量需求的网络范围;每个层次的每个维度均可设置自身对应的粒度;步骤四、在粒度指定的范围内,获得各层次、各维度的度量值,其和即为网络空间安全度量结果。2.如权利要求1所述的方法,其特征在于,该方法进一步包括:步骤五、通过比较网络空间安全度量结果以及网络空间安全基线,对网络系统进行评估。3.如权利要求1所述的方法,其特征在于,所述粒度包括:全网络粒度、子网粒度和节点粒度。4.如权利要求1所述的方法,其特征在于,所...
【专利技术属性】
技术研发人员:赵小林,张漪墁,单纯,陈全保,徐浩,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。