【技术实现步骤摘要】
异常节点发现方法及装置
[0001]本专利技术实施例涉及网络安全
,尤其涉及一种异常节点发现方法及装置。
技术介绍
[0002]随着网络技术的迅速发展和广泛应用,网络攻击的发生频率越来越高,攻击的手段日趋复杂。在变电站现场,通过网络中脆弱性之间的关联关系进行网络攻击是常见的手段之一,为了有效防范攻击者的攻击行为,维护变电站现场的网络安全,需要从整体上对网络进行把控,找到网络中的关键异常节点并采取防御措施。同时,变电站现场的网络规模也日益扩大,在对大规模变电站网络进行分析时,提高分析的效率也是必须考虑的问题。
[0003]现有的一种基于层次攻击图的攻击路径分析方法,首先通过社区划分算法将网络划分为多个子网络,然后从顶层的逻辑网络和底层的物理节点两个方面构建层次攻击图,通过层次攻击图进行攻击路径的搜索,选取攻击概率最高的10条攻击路径,结合节点安全态势公式分析出网络中易受攻击的节点。该方法采用层次化攻击图生成攻击路径集的时空效率优于搜索网络全局攻击图,但是最后生成的攻击路径并不完全,同全局攻击图比起来还有一定的差距,因此该方法找到的易受攻击节点不够全面。
技术实现思路
[0004]鉴于此,为解决上述技术问题或部分技术问题,本专利技术实施例提供一种异常节点发现方法及装置。
[0005]第一方面,本专利技术实施例提供一种异常节点发现方法,包括:
[0006]将当前网络划分为多个子网络社区;
[0007]获取每个子网络社区的内部信息,确定每个子网络社区的节点与其对应的邻居节...
【技术保护点】
【技术特征摘要】
1.一种异常节点发现方法,其特征在于,包括:将当前网络划分为多个子网络社区;获取每个子网络社区的内部信息,确定每个子网络社区的节点与其对应的邻居节点的攻击关系,其中,所述内部信息至少包括主机漏洞信息、主机间的网络连接关系和主机运行服务信息;基于所述攻击关系构建贝叶斯子攻击图;搜索所述贝叶斯子攻击图中的内部攻击路径,并基于内部攻击路径计算出完整的攻击路径的攻击概率;基于所述攻击概率确定攻击概率阈值,并基于攻击路径中节点出现的次数确定节点出现频次阈值;基于所述攻击概率阈值和节点出现频次阈值确定异常节点。2.根据权利要求1所述的方法,其特征在于,所述基于所述攻击关系构建贝叶斯子攻击图的构建过程中,所述方法还包括:基于漏洞评分系统量化节点的漏洞利用成功率以及父节点被攻击后节点被攻击的条件概率;基于所述漏洞利用成功率和条件概率确定节点的无条件概率,构建贝叶斯子攻击图。3.根据权利要求1所述的方法,其特征在于,所述基于所述攻击关系构建贝叶斯子攻击图之后,所述方法还包括:使用in数组和out数组分别记录每个贝叶斯子攻击图中节点的内部入度和内部出度;其中,节点的内部入度为贝叶斯子攻击图中以该节点作为终点的有向边的条数,内部出度为贝叶斯子攻击图中以该节点作为起点的有向边的条数,有向边仅包括贝叶斯子攻击图内部的有向边,不包括贝叶斯子攻击图间的有向边。4.根据权利要求1所述的方法,其特征在于,所述搜索所述贝叶斯子攻击图中的内部攻击路径,包括:针对每个贝叶斯子攻击图i,使用BFS算法搜寻其内部攻击路径并存入SubPath数组,以及使用数组Belong记录起始节点所属内部攻击路径;从目标节点所在贝叶斯子攻击图G
d
根据子攻击图的内部攻击路径反向搜寻完整的攻击路径,同时计算每条攻击路径的攻击概率并记录每条攻击路径上的节点。5.根据权利要求4所述的方法,其特征在于,所述基于所述攻击概率确定攻击概率阈值,包括:通过第一公式计算攻击概率阈值,所述第一公式为:其中,n为攻击路径的总数,P
path
(i)为第i条攻击路径的攻击概率。6.根据权利要求4所述的方法,其特征在于,所述基于所述每个攻击路径中节点出现的次数确定节点出现频次阈值,包括:通过第二公式计算节点出现频次阈值,所述第二公式为:K2=其中,count(i)是节点i的出现频次,m为节点的总数。
7.根据权利要求1所述的方法,其特征在于,所述基于所述攻击概率阈值和节点出现频次阈值确定异常节点,包括:选取攻击概率高于攻击概率阈值K1的目标攻击路径;统计所述目标攻击路径中节点出现频次高于节点出现频次阈值K2的节点作为目标异常节点,并将所述目标异常节点的节点信息输出显示。8.一种异常节点发现装置,其特征在于,包括:划分模块,用于将当前网络划分为多个子网络社区;确定模块,用于获取每个子网络社区...
【专利技术属性】
技术研发人员:李尼格,陈牧,李端超,陈璐,戴造建,张涛,李勇,丁津津,王璨,沈新村,
申请(专利权)人:国网安徽省电力有限公司国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。