【技术实现步骤摘要】
本专利技术属于网络安全,具体涉及一种基于攻击图模型的网络安全态势评估方法。
技术介绍
1、网络攻击事件对政府、企业、个人造成了极其严重的经济损失,因此,如何在复杂多变的网络环境中实时掌握当前网络的安全态势,针对安全态势提前进行预警和防护,减少网络攻击对网络的伤害,是网络安全工作的首要任务。为了实时掌握网络的安全态势,初期的研究围绕告警信息本身进行网络态势评估:陈秀珍等人通过对服务、主机、系统进行层次化分解后,提出层次化网络安全态势量化评估方法;韦勇等人针对多源告警信息的特点,提出融合漏洞、服务信息等态势要素的网络安全态势评估方法。随着攻击手段的多样化和“迂回”特征的出现,研究者开始关注攻击路径安全态势分析的方法:dai等人采用模糊综合评估法量化攻击路径数量和长度,结合攻击路径来挖掘对网络有威胁的路径,采用攻击图分析网络系统中具有最大风险的攻击路径,以此来预测潜在攻击对网络安全带来的危险程度;abraham等人通过分析漏洞生命周期随着发布事件的变化规律,分析攻击路径与漏洞生命周期的相关关系,以此来判断网络安全态势值;刘强等人通过构建网络攻击图,利用漏洞的信息刻画攻击者选取最有可能的路径;zhu等人针对告警数据的多源行,采用聚类分析的方法关联告警信息,并利用神经网络技术映射攻击场景;bopche等人结合历史攻击路径,分析动态网络环境中攻击结果随时间变化的规律;杨豪璞等人提出面向多步攻击的网络态势方法,通过关联攻击场景,识别攻击阶段,对当前网络态势进行评估;liu等人引入隐马尔可夫模型,结合告警信息,采用维特比方法推导最大可能的转移序
2、公布号为cn 106341414a的专利技术专利公开一种基于贝叶斯网络的多步攻击安全态势评估方法,方法包括:首先通过关联分析挖掘多步攻击发生模式构建攻击图;然后根据多步攻击图建立贝叶斯网络,将攻击意愿、攻击成功概率、事件监测正确率定义为贝叶斯网络概率属性;结合事件监测,通过贝叶斯网络后验推理和累积概率计算多步攻击风险;该专利采用层次化量化评估方法对主机及整个网络的安全态势进行量化评估,对于攻击路径预测准确率和网络安全态势评估的精度不准确。
技术实现思路
1、本专利技术的目的在于针对现有技术中存在的问题提供一种基于攻击图模型的网络安全态势评估方法,该方法较传统的网络态势评估方法在很大层度上提升攻击路径预测准确率和网络安全态势评估的精度,能为网络安全管理人员提前做好防护提供理论支撑和科学依据。
2、本专利技术的技术方案是:
3、基于攻击图模型的网络安全态势评估方法,包括如下步骤:
4、s1、结合网络安全攻击事件的时空特征融合多源告警数据构建网络攻击行为特征;
5、s2、基于告警信息映射网络攻击行为的攻击节点,获取多步攻击路径;
6、s3、构建攻击图,结合攻击转移概率推断攻击者的最大可能的攻击路径;
7、s4、对最大可能的攻击路径的各个攻击节点进行安全态势评估,然后基于各个攻击节点的安全态势评估整个网络的安全态势。
8、具体的,所述步骤s1具体包括如下步骤:
9、s11、采用滑动窗口法对网络攻击行为的多源告警数据进行重构;s12、采用卷积神经网络对重构的多源告警数据进行时空特征的提取和池化最终形成特征图,实现告警信息特征层面的融合,即得网络攻击行为特征。
10、具体的,所述s2具体包括以下实施步骤:
11、s21、将网络攻击行为特征输入到三层bp神经网络中,并得到攻击每一个网络节点的攻击概率,将最大的攻击概率作为确认的网络攻击节点,所述网络攻击节点包括攻击行为节点ai、资源节点ri;
12、s22、攻击行为节点ai受到网络攻击操作后,攻击者到达资源节点ri,将攻击行为节点ai和资源节点ri的拓扑顺序进行连接,得到每一次攻击行为的多步攻击路径,攻击路径表示为:
13、path={<ai,ri>,<ri,aj>}。
14、具体的,所述s3具体包括以下实施步骤:
15、s31、基于历史攻击行为,统计攻击行为的节点转移序列,获取攻击行为从当前攻击节点转移到下一个攻击节点的攻击概率,形成攻击概率转移表;
16、s32、基于攻击行为转移概率,定义基于转移概率的网络攻击图,量化攻击行为从当前攻击节点转移到下一个攻击节点的可能性;
17、s33、通过对每一条可能的攻击路径进行转移概率的累积,以最大的概率作为攻击者的最大可能的攻击路径。
18、具体的,所述s4具体包括以下实施步骤:
19、s41、计算最大可能的攻击路径的各个攻击节点的安全态势评估值:
20、si=(vi,ti,wi)*(wiv,wit,wiw);
21、其中:vi表示节点i的脆弱性态势值,ti表示节点i的威胁性态势值,wi表示节点i的运行状态态势值,wiv表示节点i的脆弱性权重,wit表示节点i的威胁性权重,wiw表示节点i的运行状态权重;
22、s42、对最大可能的攻击路径的各个攻击节点的安全态势评估值进行累加,得到整个网络的安全态势评估值:
23、
24、具体的,所述的三层bp神经网络包括一个输入层、一个隐含层和一个输出层,各层之间由可修正的权值w互连。
25、具体的,所述的脆弱性态势值的取值范围为1-4,其中1表示低风险;2表示中等风险;3表示中上风险;4表示高风险;威胁性态势值的取值范围为1-4,其中:1表示安全;2表示轻度威胁;3表示中度威胁;4表示高度威胁;运行状态态势值的取值范围为1-4,其中:1表示运行正常;2表示轻度威胁;3表示威胁;4表示高度威胁。
26、本专利技术的有益效果是:与现有技术相比,本专利技术结合滑动窗口法重构告警数据,并对告警数据进行时空特征提取;基于三层bp神经网络映射攻击节点并获取多步攻击路径;在网络攻击图的基础上,结合转移概率推断攻击者意图,采用累计概率的方法形成多步攻击驱动下的网络安全的动态演变机制,动态反映网络安全态势的变化情况;本专利技术的方法较传统的网络态势评估方法在很大层度上提升攻击路径预测准确率和网络安全态势评估的精度,能为网络安全管理人员提前做好防护提供理论支撑和科学依据。
本文档来自技高网...【技术保护点】
1.基于攻击图模型的网络安全态势评估方法,其特征在于,包括如下步骤:
2.根据权利要求1所述基于攻击图模型的网络安全态势评估方法,其特征在于,所述步骤S1具体包括如下步骤:
3.根据权利要求1所述基于攻击图模型的网络安全态势评估方法,其特征在于,所述S2具体包括以下实施步骤:
4.根据权利要求1所述基于攻击图模型的网络安全态势评估方法,其特征在于,所述S3具体包括以下实施步骤:
5.根据权利要求1所述基于攻击图模型的网络安全态势评估方法,其特征在于,所述S4具体包括以下实施步骤:
6.根据权利要求3所述基于攻击图模型的网络安全态势评估方法,其特征在于,所述的三层BP神经网络包括一个输入层、一个隐含层和一个输出层,各层之间由可修正的权值w互连。
7.根据权利要求5所述的基于攻击图模型的网络安全态势评估方法,其特征在于,所述的脆弱性态势值的取值范围为1-4,其中1表示低风险;2表示中等风险;3表示中上风险;4表示高风险;威胁性态势值的取值范围为1-4,其中:1表示安全;2表示轻度威胁;3表示中度威胁;4表示高度威
...【技术特征摘要】
1.基于攻击图模型的网络安全态势评估方法,其特征在于,包括如下步骤:
2.根据权利要求1所述基于攻击图模型的网络安全态势评估方法,其特征在于,所述步骤s1具体包括如下步骤:
3.根据权利要求1所述基于攻击图模型的网络安全态势评估方法,其特征在于,所述s2具体包括以下实施步骤:
4.根据权利要求1所述基于攻击图模型的网络安全态势评估方法,其特征在于,所述s3具体包括以下实施步骤:
5.根据权利要求1所述基于攻击图模型的网络安全态势评估方法,其特征在于,所述s4具体包括以下实施步骤:
6....
【专利技术属性】
技术研发人员:宋普亚,周安顺,于洋,潘创新,王海疆,郭磊,郭东劼,兰芳,
申请(专利权)人:联通海南产业互联网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。