本发明专利技术实施例提供一种网络系统漏洞风险评估方法及装置,包括:对每个漏洞的评估指标进行评估量化,得到每个漏洞的攻击收益值;根据网络漏洞依赖图,得到每个漏洞的全局被利用概率值;根据所述攻击收益值和所述全局被利用概率值,获取攻击者利用每个漏洞的最终收益值;根据所述最终收益值,获取每种排列组合路径下每个漏洞的沙普利值,以得到漏洞风险评估指标。本发明专利技术实施例通过获取不同排列组合下漏洞节点的收益,将得到的每个漏洞节点的沙普利值作为最后的风险评价指标,充分考虑网络系统环境中的漏洞之间的关联关系,以根据评估结果得到整个网络中高威胁程度和低威胁程度的漏洞,为网络系统的安全性能优化提供依据,保证网络系统的安全。
A Method and Device for Vulnerability Risk Assessment of Network System
【技术实现步骤摘要】
一种网络系统漏洞风险评估方法及装置
本专利技术涉及网络安全
,尤其涉及一种网络系统漏洞风险评估方法及装置。
技术介绍
网络环境中操作系统、应用软件等存在漏洞是影响网络系统安全的关键因素之一。网络系统中的漏洞存在于软硬件产品的设计、实现与运行管理等各个环节,任何一家公司生成发行的网络系统产品中都包含或多或少的漏洞,完全消除网络系统产品的所有漏洞是不现实的。对于网络系统产品使用者来说,由于缺乏专业的知识、发行商不能及时发布漏洞补丁或者打补丁成本过高等原因导致漏洞无法被及时修复,因此这些存在漏洞的网络系统产品可能会被潜在的攻击者利用,造成巨大的影响。即使用户在技术上有能力修复这些漏洞,但其修复也受到经济、人力预算等资源约束。这就需要企业用户对自己的网络系统环境进行风险评估,确定网络系统修复的优先顺序,最大化修复收益。现有对漏洞进行风险评估的主要方式之一是通用漏洞评估系统(CommonVulnerabilityScoringSystem,简称CVSS),该系统会根据提前确定的标准针对漏洞本身的特点对漏洞的风险进行评估,给出一个评估值,但是忽略了网络系统漏洞所处的网络环境对漏洞风险的影响。因此,现在亟需一种网络系统漏洞风险评估方法及装置来解决上述问题。
技术实现思路
针对现有技术存在的问题,本专利技术实施例提供一种网络系统漏洞风险评估方法及装置。第一方面,本专利技术实施例提供一种网络系统漏洞风险评估方法,包括:对每个漏洞的评估指标进行评估量化,得到每个漏洞的攻击收益值;根据网络漏洞依赖图,得到每个漏洞的全局被利用概率值;根据所述攻击收益值和所述全局被利用概率值,获取攻击者利用每个漏洞的最终收益值;根据所述最终收益值,获取每种排列组合路径下每个漏洞的沙普利值,以得到漏洞风险评估指标。进一步地,在所述对每个漏洞进行评估量化,得到每个漏洞的攻击收益值之前,所述方法还包括:根据漏洞节点集和有向边集,构建网络漏洞依赖图。具体地,所述评估指标包括:利用方式、攻击复杂度和可利用性。进一步地,所述对每个漏洞的评估指标进行评估量化,得到每个漏洞的攻击收益值,包括:对每个漏洞的评估指标进行评估量化,得到攻击者利用每个漏洞的利用代价;根据所述利用代价,得到攻击者利用每个漏洞的攻击收益值。进一步地,所述根据网络漏洞依赖图,得到每个漏洞的全局被利用概率值,包括:获取每个漏洞被攻击者单独利用的概率值;根据网络漏洞依赖图上每个漏洞之间的依赖关系和所述概率值,获取每个漏洞的全局被利用概率值。进一步地,所述根据所述最终收益值,获取每种排列组合路径下每个漏洞的沙普利值,以得到漏洞风险评估指标,包括:对所有漏洞进行排列组合,得到每种排列组合路径的特征函数值;根据所述特征函数值,计算每种排列组合路径下每个漏洞的沙普利值,以得到漏洞风险评估指标。第二方面,本专利技术实施例提供一种网络系统漏洞风险评估装置,包括:评估指标量化模块,用于对每个漏洞的评估指标进行评估量化,得到每个漏洞的攻击收益值;漏洞被利用率计算模块,用于根据网络漏洞依赖图,得到每个漏洞的全局被利用概率值;攻击者收益值计算模块,用于根据所述攻击收益值和所述全局被利用概率值,获取攻击者利用每个漏洞的最终收益值;评估模块,用于根据所述最终收益值,获取每种排列组合路径下每个漏洞的沙普利值,以得到漏洞风险评估指标。进一步地,所述装置还包括:漏洞依赖图构建模块,用于根据漏洞节点集和有向边集,构建网络漏洞依赖图。第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所提供的方法的步骤。第四方面,本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。本专利技术实施例提供的一种网络系统漏洞风险评估方法及装置,通过获取不同排列组合下漏洞节点的收益,将得到的每个漏洞节点的沙普利值作为最后的风险评价指标,充分考虑网络系统环境中的漏洞之间的关联关系,以根据评估结果得到整个网络中高威胁程度和低威胁程度的漏洞,为网络系统的安全性能优化提供依据,保证网络系统的安全。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的网络系统漏洞风险评估方法的流程示意图;图2为本专利技术实施例提供的网络环境配置图;图3为本专利技术实施例提供的网络漏洞依赖图;图4为本专利技术实施例提供的漏洞节点后继关系示意图;图5为本专利技术实施例提供的漏洞节点直接关系的示意图;图6为本专利技术实施例提供的漏洞节点或关系的示意图;图7为本专利技术实施例提供的漏洞节点与关系的示意图;图8为本专利技术又一实施例提供的网络漏洞依赖图;图9为本专利技术实施例提供的网络系统漏洞风险评估装置的结构示意图;图10为本专利技术实施例提供的电子设备结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。针对现有技术只针对漏洞本身的特点进行漏洞风险评估,而导致的结果比较片面的问题,本专利技术实施例根据合作博弈中沙普利值的计算方法,考虑不同漏洞个体之间的相互联系关系,从而更加准确地确定漏洞的风险。在合作博弈中,通常是根据各个代理个体做出的贡献,来公平地分配合作收益,每个代理的沙普利值是该个体对于合作项目所期望贡献量的平均值。在本专利技术实施例中,通过计算每个漏洞的沙普利值,可以在攻击者选择要利用的漏洞时,考虑不同漏洞组合下的平均期望收益,通过这种方式,可以综合网络环境中漏洞之间的依赖关系和不同的组合方式,根据全局的角度对漏洞的风险进行评估,以使得网络安全相关的安防人员对风险较高的漏洞采取相应的修复措施,达到保护网络系统安全的目的。图1为本专利技术实施例提供的网络系统漏洞风险评估方法的流程示意图,如图1所示,本专利技术实施例提供了一种网络系统漏洞风险评估方法,包括:步骤101,对每个漏洞的评估指标进行评估量化,得到每个漏洞的攻击收益值。在本专利技术实施例中,对网络漏洞依赖图上每个漏洞的评估指标进行评估量化,优选地,在本专利技术实施例中,选择CVSS中部分常用的评价标准作为每个漏洞的评估指标,从而确定攻击者在利用该漏洞时的攻击代价,即利用代价,由于沙普利值是基于合作时的收益计算得到的,因此需要对利用代价进行转化,并将转化之后的值作为攻击者成功利用该漏洞的攻击收益值。步骤102,根据网络漏洞依赖图,得到每个漏洞的全局被利用概率值。在本专利技术实施例中,首先将网络漏洞依赖图上的每个漏洞设置一个被攻击者利用的概率值,然后,根据网络漏洞依赖图上各个漏洞之间的依赖关系,获取攻击者将会发起攻击的多条攻击路径,并根据每个漏洞与其前后漏洞之间的逻辑关系,获取得到每个漏洞在整个网络中被利用的概率,即全局被利用本文档来自技高网...
【技术保护点】
1.一种网络系统漏洞风险评估方法,其特征在于,包括:对每个漏洞的评估指标进行评估量化,得到每个漏洞的攻击收益值;根据网络漏洞依赖图,得到每个漏洞的全局被利用概率值;根据所述攻击收益值和所述全局被利用概率值,获取攻击者利用每个漏洞的最终收益值;根据所述最终收益值,获取每种排列组合路径下每个漏洞的沙普利值,以得到漏洞风险评估指标。
【技术特征摘要】
1.一种网络系统漏洞风险评估方法,其特征在于,包括:对每个漏洞的评估指标进行评估量化,得到每个漏洞的攻击收益值;根据网络漏洞依赖图,得到每个漏洞的全局被利用概率值;根据所述攻击收益值和所述全局被利用概率值,获取攻击者利用每个漏洞的最终收益值;根据所述最终收益值,获取每种排列组合路径下每个漏洞的沙普利值,以得到漏洞风险评估指标。2.根据权利要求1所述的网络系统漏洞风险评估方法,其特征在于,在所述对每个漏洞进行评估量化,得到每个漏洞的攻击收益值之前,所述方法还包括:根据漏洞节点集和有向边集,构建网络漏洞依赖图。3.根据权利要求1所述的网络系统漏洞风险评估方法,其特征在于,所述评估指标包括:利用方式、攻击复杂度和可利用性。4.根据权利要求1所述的网络系统漏洞风险评估方法,其特征在于,所述对每个漏洞的评估指标进行评估量化,得到每个漏洞的攻击收益值,包括:对每个漏洞的评估指标进行评估量化,得到攻击者利用每个漏洞的利用代价;根据所述利用代价,得到攻击者利用每个漏洞的攻击收益值。5.根据权利要求1所述的网络系统漏洞风险评估方法,其特征在于,所述根据网络漏洞依赖图,得到每个漏洞的全局被利用概率值,包括:获取每个漏洞被攻击者单独利用的概率值;根据网络漏洞依赖图上每个漏洞之间的依赖关系和所述概率值,获取每个漏洞的全局被利用概率值。6.根据权利要求1所述的网络系统漏洞风...
【专利技术属性】
技术研发人员:王震,李凤华,段晨健,郭云川,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。