【技术实现步骤摘要】
本专利技术涉及人工智能,尤其涉及到一种基于攻击代价和栅格覆盖的网络安全评估方法及系统。
技术介绍
1、目前,针对网络安全性进行评估主要通过扫描探测、态势感知等手段,将获取的被测网络运行状态映射到网络资产管理,对其拓扑和设备进行安全分析并匹配漏洞特征,并根据对应的评估模型对网络安全性进行评估。但在实际操作中,由于基于系统脆弱性的安全风险分析常涉及到攻击路径,而攻击路径的多样及资产权重的差异使得评估人员难以从攻击者视角对被测网络进行全面评价,这导致当前缺乏完善的指标体系和对应的评估方法,对网络潜在的高危行为和攻击行为进行精确识别和科学评估。
2、同时,由于传统的网络安全评估多通过主动探测方式来检测网络中的终端、网络设备、安全设备的安全策略和安全漏洞(如资产扫描),并为每个漏洞设立一个简单的安全级别,但由于漏洞的威胁程度取决于所属资产的重要性,因此,这类评估方法仅能对网络安全进行粗略的定性分析,对网络在运行过程中的安全评估的可靠性较差。
技术实现思路
1、有鉴于此,本专利技术从攻击者视角,提供了一种基于攻击代价对目标系统的各个网络风险点进行评估,同时构建栅格覆盖的模型识别目标系统的风险点,对评估对象快速勾绘和分类,进而对整个目标系统进行动态安全性评估的网络安全评估方法,并提供与该方法对应的系统模块定义。
2、根据第一方面,本专利技术提供了一种基于攻击代价和栅格覆盖的网络安全评估方法,包括如下步骤:
3、获取目标系统的漏洞信息;
4、基于预先
5、根据攻击方式及其对应的权重因子度量值检索目标系统的可行攻击路径,并对全部可行攻击路径进行代价计算;
6、根据目标系统的攻击路径及网络连接拓扑,进行栅格覆盖建模;
7、根据预设评分参数对栅格覆盖模型进行覆盖度量、评分,得到模型内每个所述栅格的评分排序。
8、作为本专利技术的一种可选实现方式,基于预先构建的评估指标体系,对目标系统的漏洞的各种攻击方式的攻击代价进行计算,得到各种攻击方式的权重因子度量值的步骤,具体包括:
9、使用网络模型对评估指标体系中的各个评价指标进行描述,得到一个多维综合网络模型;
10、抽取目标系统在各个评价指标下的初始状态值,并根据初始状态时计算得到多维综合网络模型的初始加权网络重心向量;
11、计算各个攻击方式攻击后,多维综合网络模型的加权网络重心向量相对于初始加权网络重心向量的偏移量,得到各个攻击方式对应的权重因子度量值。
12、作为本专利技术的一种可选实现方式,评估指标体系中包括精确数值型指标和语言值型指标;
13、一个精确数值型指标由m个特征(exi,0,0)表示(i=1,2,…,m),其可使用一个网络模型表示:
14、ex=(ex1+ex2+…+exm)/m,
15、en=(max{ex1+ex2+…+exm}-min{ex1+ex2+…+exm}/6;
16、一个语言值型指标由m个特征(exj,enj,0)表示(j=1,2,…,m),其可使用一维综合网络模型表示:
17、ex=(ex1en1+ex2en2+…+exmenm)/(en1+en2+…+enm),
18、en=en1+en2+…+enm。
19、作为本专利技术的一种可选实现方式,基于预先构建的评估指标体系,对所述目标系统的漏洞的各种攻击方式的攻击代价进行计算,得到各种所述攻击方式的权重因子度量值的步骤之后,还可以包括:
20、根据各攻击方式及其对应的权重因子度量值构建目标系统的攻击图;
21、采用加权蚁群算法对攻击图进行攻击路径搜索,得到攻击图的权重因子度量值之和最小的关键攻击集。
22、作为本专利技术的一种可选实现方式,加权蚁群算法中的蚂蚁数量为攻击方式的数量。
23、作为本专利技术的一种可选实现方式,根据预设评分参数对栅格覆盖模型进行覆盖度量、评分,得到每个所述栅格的评分排序的步骤,具体包括:
24、对各个攻击路径进行权重排序,分析各个攻击路径中的包含关系,进行最小权重路径寻优;攻击路径的权重即为攻击路径中包含的攻击方式的权重因子度量值之和;
25、通过递归算法消除攻击路径集中的冗余路径;
26、根据消除了冗余路径后的攻击路径集对栅格图中的每个栅格进行覆盖评分,得到每个栅格的评分排序。
27、作为本专利技术的一种可选实现方式,对每个栅格进行覆盖评分的评分参数可以包括路径数量、线路指向数和预设关键节点数量。
28、根据第二方面,本专利技术实施例提供了一种基于攻击代价和栅格覆盖的网络安全评估系统,包括:
29、信息获取模块,用于获取目标系统的漏洞信息;
30、权重计算模块,用于基于预先构建的评估指标体系,对目标系统的漏洞的各种攻击方式的攻击代价进行计算,得到各种攻击方式的权重因子度量值;评估指标体系内包括资源消耗和操作代价两种属性的代价指标;
31、路径检索模块,用于根据攻击方式及其对应的权重因子度量值检索目标系统的可行攻击路径,并对全部可行攻击路径进行代价计算;
32、栅格构建模块,用于根据目标系统的攻击路径及网络连接拓扑,进行栅格覆盖建模;
33、栅格评分模块,用于根据预设评分参数对栅格覆盖模型进行覆盖度量、评分,得到每个栅格的评分排序。
34、本专利技术提供的技术方案,具有如下优点:
35、1、本专利技术提供的基于攻击代价和栅格覆盖的网络安全评估方法,通过获取目标系统的脆弱性信息及状态信息,从攻击者视角对攻击目标系统时的资源消耗和操作代价进行评估计算,可有效评价目标系统各节点的攻击难易程度;同时,通过使用栅格覆盖法对目标系统的网络拓扑进行多参数覆盖度量、评分,提高了该网络安全评估方法的全面性和效率。
36、2、本专利技术提供的基于攻击代价和栅格覆盖的网络安全评估方法,通过使用多维综合网络模型表征目标系统在评估指标体系下的指标状态,进而通过计算各个攻击方式下的目标系统加权网络重心向量的偏移量,实现了对目标系统中各节点在被攻击前后的状态变化的量化计算,进一步提高了该网络安全评估方法的评估结果的可靠性。
37、3、本专利技术提供的基于攻击代价和栅格覆盖的网络安全评估方法,创新性提出使用蚁群算法对攻击图内的最小权重路径集进行搜索,有效解决大、中型网络结构复杂、攻击路径繁多的问题,能够快速定位权重最小的关键攻击集,能够快速定位目标系统中风险较大攻击路径,进一步提高效率,降低目标系统风险。
本文档来自技高网...【技术保护点】
1.一种基于攻击代价和栅格覆盖的网络安全评估方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于攻击代价和栅格覆盖的网络安全评估方法,其特征在于,所述基于预先构建的评估指标体系,对所述目标系统的漏洞的各种所述攻击方式的攻击代价进行计算,得到各种攻击方式的权重因子度量值的步骤,具体包括:
3.根据权利要求2所述的基于攻击代价和栅格覆盖的网络安全评估方法,其特征在于,所述评估指标体系中包括精确数值型指标和语言值型指标;
4.根据权利要求1-3任一项所述的基于攻击代价和栅格覆盖的网络安全评估方法,其特征在于,所述基于预先构建的评估指标体系,对所述目标系统的漏洞的各种攻击方式的攻击代价进行计算,得到各种所述攻击方式的权重因子度量值的步骤之后,还可以包括:
5.根据权利要求4所述的基于攻击代价和栅格覆盖的网络安全评估方法,其特征在于,所述加权蚁群算法中的蚂蚁数量为所述攻击方式的数量。
6.根据权利要求1-5任一项所述的基于攻击代价和栅格覆盖的网络安全评估方法,其特征在于,所述根据预设评分参数对栅格覆盖模型进行覆盖度量、评
7.根据权利要求6所述的基于攻击代价和栅格覆盖的网络安全评估方法,其特征在于,对每个所述栅格进行覆盖评分的评分参数可以包括路径数量、线路指向数和预设关键节点数量等。
8.一种基于攻击代价和栅格覆盖的网络安全评估系统,其特征在于,包括:
...【技术特征摘要】
1.一种基于攻击代价和栅格覆盖的网络安全评估方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于攻击代价和栅格覆盖的网络安全评估方法,其特征在于,所述基于预先构建的评估指标体系,对所述目标系统的漏洞的各种所述攻击方式的攻击代价进行计算,得到各种攻击方式的权重因子度量值的步骤,具体包括:
3.根据权利要求2所述的基于攻击代价和栅格覆盖的网络安全评估方法,其特征在于,所述评估指标体系中包括精确数值型指标和语言值型指标;
4.根据权利要求1-3任一项所述的基于攻击代价和栅格覆盖的网络安全评估方法,其特征在于,所述基于预先构建的评估指标体系,对所述目标系统的漏洞的各种攻击方式的攻击代价进行计算,得到各种所述...
【专利技术属性】
技术研发人员:姜山,岳明桥,吴磊涛,张恒博,沈斌,刘继光,杨豪璞,周大庆,
申请(专利权)人:中国人民解放军九二四九三部队信息技术中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。