本发明专利技术公开了一种基于微分流形的网络安全风险评估的方法。使用本发明专利技术能够客观、全面地对网络安全风险进行评估。本发明专利技术首先根据各设备自身的指标对其安全性进行度量,较为客观,且指标选取涉及网络的可靠性、可用性和连通性,覆盖范围全面,指标的值可由采集工具自动采集并量化,数据采集方便、并避免了指标量化困难的问题。然后,利用网络系统的拓扑不变性和指标之间的特征关系将网络拓扑图映射为高维的微分流形,以微分流形的光滑映射函数作为相邻节点的距离,对网络系统风险特征的刻画更为细致,且能够对网络系统的动态变化进行刻画,从而实时地动态地监控网络系统的安全性。
【技术实现步骤摘要】
一种基于微分流形的网络安全风险评估的方法
本专利技术涉及网络安全
,具体涉及一种基于微分流形的网络安全风险评估的方法。
技术介绍
在网络安全风险评估的研究方法中,有很多方法可以用来对网络系统安全进行构建、度量、评估,其中使用最广泛和最有实际意义的有基于层次的网络安全评估方法和划分维度、粒度、层次的网络安全评估方法,以及基于图的安全评估方法。基于层次的评估方法,如:刘东等提出的专利“层次式网络的安全态势聚合方法”,公开号:CN201110377711;蔡志强等提出的专利“一种基于层次分析法的信息安全贝叶斯网络评估方法”,公开号CN201410267853,其的优点是将网络安全按照语义划分不同的层次,相同层次之间形成一个对网络系统的完整性描述,而层与层之间存在交叉映射的关系,最后构建成一个多层的树结构评估模型。树的根节点就是网络系统安全风险评估目标,而树的叶节点就是评估安全的各种指标,层次分析可以表达网络系统内部的逻辑关系,并且计算比较简单,是一种广泛使用的风险评估方法。但是,层次分析也存在着缺点:其内部层次的划分需要依靠专家的先验知识,并且每个指标自身的选取和权重的确立也需要专家意见,主观性太强。基于网络维度、粒度、层次的网络空间构建方法,如张小松等提出的专利“一种基于攻击图邻接矩阵的网络安全评估装置”,公开号CN201310329096,其优点是将网络采集的指标通过不同的维度、粒度和层次进行划分,对网络系统进行全面的评估。其将网络系统划分成小的部分,将网络安全落实到细微的指标点处。但是,基于维度、粒度、层次划分的评估方法也存在缺点:因为考虑的维度、粒度、层次等问题,指标采集更细微,从而导致计算更复杂。此外,对于维度、粒度和层次的划分没有一个相同的划分标准,选取的维度、层次、粒度存在不能合适地评估安全的现象。基于图的网络安全评估方法的优点是考虑网络中设备和设备之间的拓扑关系,并通过图的方式展示出来,通过选取的节点不同,可以构建状态图、网络攻击图、属性图,以及贝叶斯属性攻击图等。通过图中节点和边之间的关系,评估整个系统的安全。但是,基于图的网络安全评估方法也存在缺陷:如在攻击图中,会存在路径爆炸的问题,从而导致计算量过大的问题,而基于概率图,贝叶斯属性图等存在主观性强、计算量大的问题。综上,现有的网络安全评估的方法存在三个问题,一是主观性比较强,包括层次的划分、维度的确定、粒度的选择,以及指标和权重的确定,都缺乏客观性;二是覆盖问题不够全面,不能从整体上对于整个网络系统进行评估;三是,指标量化困难,指标项较多,无法有效并明确地评估网络安全。网络安全评估的全面性和客观性非常重要,如果网络风险评估缺乏全面性,将导致只评估了网络系统的部分,从而导致评估结果不正确。而缺乏客观性将导致评估的重复性差,得到的结果不客观,不能和其他的评估方法进行比较来验证方法的正确性。由此,上述的三个问题导致现有评估方法并不能对网络安全进行有效的评估,计算结果不准确,可比较性和重复性较差。
技术实现思路
有鉴于此,本专利技术提供了一种基于微分流形的网络安全风险评估的方法,能够客观、全面地对网络安全风险进行评估。本专利技术的基于微分流形的网络安全风险评估的方法,包括如下步骤:步骤1,提取网络系统中各设备的度量指标,根据网络系统的服务调用关系,构建网络拓扑图;其中,度量指标包括网络系统的可用性指标、连通性指标和可靠性指标;计算网络拓扑图中各节点的安全风险值:节点的安全风险值为由该节点所对应设备的各指标数据组成的方阵的迹;步骤2,计算网络拓扑图中相邻两节点之间的距离:其中,wij为两个相邻的节点i,j之间的距离,tr(i)和tr(j)分别表示节点i,j的安全风险值;步骤3,根据步骤2得到的所有相邻节点之间的距离,得到网络拓扑图的邻接矩阵、度矩阵以及拉普拉斯矩阵;步骤4,所述拉普拉斯矩阵的迹即为网络系统的安全风险评估值。进一步的,采用Pajek绘制网络拓扑图。进一步的,所述可用性指标包括:CPU占用值、内存占用值、磁盘占用值和系统负载值;所述连通性指标包括:开放端口值、峰值流量值、宽带利用值、节点连通性值和平均流量值;所述可靠性指标包括:应用漏洞和系统漏洞。进一步的,采用perfmon,Nessus以及系统命令,对指标数据进行采集。进一步的,所述网络拓扑图由多个子图组成,则按照步骤2~3的分别计算各子图的相邻两节点的距离,获得各子图的拉普拉斯矩阵的迹;所有子图的拉普拉斯矩阵的迹中的最大值即为网络系统的安全风险评估值。有益效果:本专利技术的节点安全度量主要是对网络中的基础数据和基础设备进行度量,较为客观,且指标选取涉及网络的可靠性、可用性和连通性,覆盖范围全面,指标的值可由采集工具自动采集并量化,数据采集方便、并避免了指标量化困难的问题。同时,利用网络系统的拓扑不变性和指标之间的特征关系将网络拓扑图映射为微分流形的数学模型,不仅可以描述网络中设备的状态信息,并且可以描述设备和设备之间的连接关系;将网络拓扑图映射为高维的微分流形,以微分流形的光滑映射函数作为相邻节点的距离,对网络系统风险特征的刻画更为细致,且能够对网络系统的动态变化进行刻画,从而实时地动态地监控网络系统的安全性。本专利技术从细节,例如单个设备的观测指标到整体,例如网络的连通性,设备和设备之间的关系对网络的风险进行量化和度量,度量更为全面。附图说明图1为本专利技术网络系统风险评估步骤流程图。图2为单个节点安全风险评估流程图。图3网络系统中全部节点组合的评估流程图。具体实施方式下面结合附图并举实施例,对本专利技术进行详细描述。本专利技术提供了一种基于微分流形的网络安全风险评估的方法,基于微分流形网络安全风险评估的方法流程如图1所示。首先使用工具采集度量指标,获取网络系统中设备的服务和具体的指标参数;利用服务和设备之间的逻辑关系构建网络拓扑图。从而网络系统初步建立了拓扑空间,通过对于单个设备采集的指标进行比对,从而计算单个设备的安全风险值。再利用光滑函数映射将设备之间的连接关系和设备,映射到高维空间,并得到图的邻接矩阵。并通过数学模型运算,进一步得到图的度矩阵和拉普拉斯矩阵。最后计算拉普拉斯矩阵中的特征值和迹(特征值之和)来度量安全风险值。取各子图中的安全风险最大值作为网络风险安全的评估值,并进行安全风险等级划分,划分风险评级。本专利技术流程图如图1所示,具体包括如下步骤:步骤1,根据网络系统的服务调用关系,构建网络拓扑图;其中,网络系统中的各设备,包括主机、路由、交换机、服务器、终端等可以看成是网络拓扑图中的各节点,设备上的服务等信息可以看成是邻接点,而这些终端设备以及终端设备之间的连通关系构成了网络系统的边缘。其中,可以采用Pajek画出整个网络系统的网络拓扑图。节点安全评估的实现过程如图2所示,通过对于单个设备采集的指标特征进行两两比对,从而形成一个指标特征方阵,因为是同一个点上的指标,所以可以直接计算这个方阵的迹来表示单个设备的安全风险值。其中,指标包括可用性指标、连通性指标和可靠性指标;本实施例选取的指标如表1所示,在网络系统的可用性指标上,对于网络中的主机、服务器、终端等设备,选取CPU占用值、内存占用值、磁盘占用值和系统负载值做为可用性指标,对可用性进行度量;而对于网络中的路由器、交换机等设本文档来自技高网...
【技术保护点】
1.一种基于微分流形的网络安全风险评估的方法,其特征在于,包括如下步骤:步骤1,提取网络系统中各设备的度量指标,根据网络系统的服务调用关系,构建网络拓扑图;其中,度量指标包括网络系统的可用性指标、连通性指标和可靠性指标;计算网络拓扑图中各节点的安全风险值:节点的安全风险值为由该节点所对应设备的各指标数据组成的方阵的迹;步骤2,计算网络拓扑图中相邻两节点之间的距离:
【技术特征摘要】
1.一种基于微分流形的网络安全风险评估的方法,其特征在于,包括如下步骤:步骤1,提取网络系统中各设备的度量指标,根据网络系统的服务调用关系,构建网络拓扑图;其中,度量指标包括网络系统的可用性指标、连通性指标和可靠性指标;计算网络拓扑图中各节点的安全风险值:节点的安全风险值为由该节点所对应设备的各指标数据组成的方阵的迹;步骤2,计算网络拓扑图中相邻两节点之间的距离:其中,wij为两个相邻的节点i,j之间的距离,tr(i)和tr(j)分别表示节点i,j的安全风险值;步骤3,根据步骤2得到的所有相邻节点之间的距离,得到网络拓扑图的邻接矩阵、度矩阵以及拉普拉斯矩阵;步骤4,所述拉普拉斯矩阵的迹即为网络系统的安全风险评估值。2.如权利要求1所述的基于微分流形的网络安全风险评估的方法,其特征...
【专利技术属性】
技术研发人员:胡昌振,赵小林,陈全保,马锐,张继,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。