一種網(wǎng)絡(luò)安全態(tài)勢評估方法
【專利摘要】本發(fā)明提供一種網(wǎng)絡(luò)安全態(tài)勢評估方法�����,包括:根據(jù)采集的脆弱性信息、網(wǎng)絡(luò)攻擊信息�、攻擊證據(jù)生成脆弱性列表、原子攻擊列表����、攻擊證據(jù)列表;建立貝葉斯網(wǎng)絡(luò)����;獲取原子攻擊后驗(yàn)概率;檢測貝葉斯網(wǎng)絡(luò)中原子攻擊與攻擊證據(jù)之間的因果關(guān)系是否真實(shí)�;建立網(wǎng)絡(luò)攻擊系統(tǒng)架構(gòu),生成貝葉斯攻擊圖���;獲取原子攻擊節(jié)點(diǎn)攻擊概率�;獲取脆弱性威脅度��,并將其分為Root權(quán)限級�、User權(quán)限級、None權(quán)限級三個(gè)層次�;根據(jù)脆弱性威脅度的三個(gè)層次及與該三個(gè)層次對應(yīng)的預(yù)警值,顯示網(wǎng)絡(luò)安全態(tài)勢整體評估結(jié)果����,當(dāng)脆弱性威脅度超過三個(gè)級別對應(yīng)的預(yù)警值時(shí)報(bào)警���。本發(fā)明具有模型簡單、評估結(jié)果準(zhǔn)確���、應(yīng)用范圍較廣等特點(diǎn)�����,可廣泛應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域。
【專利說明】一種網(wǎng)絡(luò)安全態(tài)勢評估方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及評估技術(shù)�,特別是涉及一種網(wǎng)絡(luò)安全態(tài)勢評估方法。
【背景技術(shù)】
[0002] 隨著科技發(fā)展�����,網(wǎng)絡(luò)安全問題早已成為人們關(guān)注的焦點(diǎn)���。近年來���,網(wǎng)絡(luò)攻擊事件數(shù) 量持續(xù)增長,各科研單位研究各種安全技術(shù)措施�,評估網(wǎng)絡(luò)安全態(tài)勢,并防范甚至解決網(wǎng)絡(luò) 攻擊問題��。在網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)中,脆弱性利用威脅評估技術(shù)一直是安全態(tài)勢評估領(lǐng) 域的一個(gè)關(guān)鍵技術(shù)�����。
[0003] 脆弱性利用威脅評估方法包括脆弱性嚴(yán)重程度評估法�����、全局安全態(tài)勢評估法兩 類���。脆弱性嚴(yán)重程度評估法主要根據(jù)脆弱性易被利用的特性評估各脆弱性嚴(yán)重程度����,其評 價(jià)結(jié)果的準(zhǔn)確性較低����。全局安全態(tài)勢評估法首先基于攻擊圖或貝葉斯網(wǎng)絡(luò)建立脆弱性評估 模型,然后根據(jù)系統(tǒng)中所有脆弱性的狀態(tài)來評估系統(tǒng)整體安全狀態(tài)�����,并基于經(jīng)驗(yàn)或者脆弱 性評估系統(tǒng)(CVSS��,Common Vulnerability Scoring System)獲取各脆弱性被成功利用的 概率����;但現(xiàn)有的全局安全態(tài)勢評估方法的脆弱性評估模型比較復(fù)雜��,且評估結(jié)果的準(zhǔn)確性 較低��。
[0004] 由此可見����,在現(xiàn)有技術(shù)中��,網(wǎng)絡(luò)安全態(tài)勢評估方法存在評估結(jié)果準(zhǔn)確性較低等問 題�����。
【發(fā)明內(nèi)容】
[0005] 有鑒于此�,本發(fā)明的主要目的在于提供一種關(guān)于全局的模型比較簡單��、評估結(jié)果 準(zhǔn)確性較高�、應(yīng)用范圍較廣的網(wǎng)絡(luò)安全態(tài)勢評估方法。
[0006] 為了達(dá)到上述目的�����,本發(fā)明提出的技術(shù)方案為:
[0007] -種網(wǎng)絡(luò)安全態(tài)勢評估方法�,包括如下步驟:
[0008] 步驟1���、對脆弱性掃描工具或入侵檢測系統(tǒng)采集的相對應(yīng)的脆弱性信息、網(wǎng)絡(luò)攻擊 信息�����、攻擊證據(jù)進(jìn)行統(tǒng)一編號后��,分別生成脆弱性列表�、原子攻擊列表、攻擊證據(jù)列表�����。
[0009] 步驟2��、將相對應(yīng)的原子攻擊�����、攻擊證據(jù)作為節(jié)點(diǎn)�����,以相對應(yīng)的原子攻擊與攻擊證 據(jù)之間的因果關(guān)系為有向弧���,建立貝葉斯網(wǎng)絡(luò)��。
[0010] 步驟3����、根據(jù)相對應(yīng)的原子攻擊與攻擊證據(jù)中的基本操作數(shù)獲取原子攻擊后驗(yàn)概 率
【權(quán)利要求】
1. 一種網(wǎng)絡(luò)安全態(tài)勢評估方法,其特征在于�,所述評估方法包括如下步驟: 步驟1、對脆弱性掃描工具或入侵檢測系統(tǒng)采集的相對應(yīng)的脆弱性信息�����、網(wǎng)絡(luò)攻擊信 息����、攻擊證據(jù)進(jìn)行統(tǒng)一編號后����,分別生成脆弱性列表、原子攻擊列表���、攻擊證據(jù)列表�; 步驟2�����、將相對應(yīng)的原子攻擊、攻擊證據(jù)作為節(jié)點(diǎn)��,以相對應(yīng)的原子攻擊與攻擊證據(jù)之 間的因果關(guān)系為有向弧�,建立貝葉斯網(wǎng)絡(luò); 步驟3��、根據(jù)相對應(yīng)的原子攻擊與攻擊證據(jù)中的基本操作數(shù)獲取原子攻擊后驗(yàn)概率
;其中���,aj為第j個(gè)原子攻擊�����,O1為與原子攻擊a』對應(yīng)的攻擊證 據(jù)�,ks為原子攻擊的基本操作數(shù)�,Ii1為攻擊證據(jù)O1的基本操作數(shù),j��、Uk s^n1為自然數(shù)�; 步驟4、根據(jù)原子攻擊后驗(yàn)概率�����,檢測貝葉斯網(wǎng)絡(luò)中原子攻擊與攻擊證據(jù)之間的因果關(guān) 系是否真實(shí):與攻擊證據(jù)可能存在因果關(guān)系的各原子攻擊中,原子攻擊后驗(yàn)概率最大的原 子攻擊對應(yīng)的因果關(guān)系為真實(shí)的��; 步驟5�����、根據(jù)步驟4的檢測結(jié)果����、脆弱性列表、原子攻擊列表�、攻擊證據(jù)列表,將原子攻 擊對應(yīng)的脆弱點(diǎn)作為節(jié)點(diǎn)加入貝葉斯網(wǎng)絡(luò)中�,建立網(wǎng)絡(luò)攻擊系統(tǒng)架構(gòu); 步驟6�、根據(jù)網(wǎng)絡(luò)攻擊系統(tǒng)架構(gòu),生成貝葉斯攻擊圖BAG = (T�����,W���,TI,E,C);其中����,T為 確定的貝葉斯網(wǎng)絡(luò)中原子攻擊、攻擊證據(jù)���、脆弱點(diǎn)三類節(jié)點(diǎn)的集合�����,W為原子攻擊權(quán)集合�,Π 為概率集合���,E為依賴關(guān)系集合���,C為約束條件集合; 步驟7��、根據(jù)貝葉斯攻擊圖����,獲取原子攻擊節(jié)點(diǎn)攻擊概率:
其中,原子攻擊節(jié)點(diǎn).為原子攻擊節(jié)點(diǎn)的父節(jié)點(diǎn)���;p(afp為父節(jié)點(diǎn).攻擊概率��; S(ap為原子攻擊節(jié)點(diǎn)自身概率;S(Vi)為脆弱性節(jié)點(diǎn)自身概率�����; 步驟8����、獲取脆弱性威脅度
并根據(jù)目的主機(jī)各級權(quán)限攻 擊比率,將脆弱性威脅度對應(yīng)分為Root權(quán)限級����、User權(quán)限級、None權(quán)限級三個(gè)層次���; 步驟9��、根據(jù)脆弱性威脅度的三個(gè)層次及與該三個(gè)層次對應(yīng)的預(yù)警值��,顯示網(wǎng)絡(luò)安全態(tài) 勢整體評估結(jié)果為:網(wǎng)絡(luò)安全態(tài)勢屬于Root權(quán)限級威脅�、網(wǎng)絡(luò)安全態(tài)勢屬于User權(quán)限級威 脅或者網(wǎng)絡(luò)安全態(tài)勢屬于None權(quán)限級威脅�����,以及網(wǎng)絡(luò)安全態(tài)勢分別在三個(gè)層次中所處的 嚴(yán)重程度���;當(dāng)脆弱性威脅度超過三個(gè)級別對應(yīng)的預(yù)警值時(shí)報(bào)警�。
2. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢評估方法�����,其特征在于��,所述步驟2具體包括: 步驟21����、設(shè)置I = 1 ; 步驟22、從攻擊證據(jù)列表中選取攻擊證據(jù)〇1����,并分析攻擊證據(jù)〇1所包含的所有基本操 作; 步驟23��、遍歷原子攻擊列表����,分析各原子攻擊的所有基本操作;如果原子攻擊%的部 分或全部基本操作與攻擊證據(jù)O1所包含的部分或全部基本操作相同�����,則原子攻擊%與攻擊 證據(jù)O1相對應(yīng),將攻擊證據(jù)O1及其對應(yīng)的原子攻擊作為節(jié)點(diǎn)加入貝葉斯網(wǎng)絡(luò)�����,并以原子 攻擊h與攻擊證據(jù)O 1之間的因果關(guān)系為有向?���。? 步驟24����、設(shè)置1 = 1+1 ;判斷I > U是否成立:若成立,則貝葉斯網(wǎng)絡(luò)建立完成�����;若不成 立���,則返回步驟22 ;其中�����,u為攻擊證據(jù)總數(shù)����。
3. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢評估方法�,其特征在于,所述步驟4具體包括: 步驟41�、設(shè)置I = 1 ; 步驟42、獲取所有與攻擊證據(jù)〇1存在因果關(guān)系的原子攻擊aj的后驗(yàn)概率
步驟43�����、設(shè)置j = j+Ι ;判斷j > m是否成立:若成立�����,則執(zhí)行步驟44 ;若不成立�,則返 回步驟42 ; 步驟44、取Xlx = HiaxI^11, λ12����,…,λχ』�����,…��,Xlj,…,λ1ηι}����,將最大后驗(yàn)概率λ 1χ 對應(yīng)的原子攻擊ax與攻擊證據(jù)〇1之間的因果關(guān)系作為真實(shí)的因果關(guān)系,并刪除其他(m-1) 個(gè)后驗(yàn)概率對應(yīng)的原子攻擊與攻擊證據(jù)O 1之間的因果關(guān)系��;其中�����,m為與攻擊證據(jù)O1存在 因果關(guān)系的原子攻擊總數(shù)����。
4. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢評估方法,其特征在于���,所述原子攻擊節(jié)點(diǎn)自 身概率s (ap取值如下:
所述脆弱性節(jié)點(diǎn)自身概率S(Vi) = 1���。
5. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢評估方法,其特征在于����,步驟8中,所述根據(jù)目 的主機(jī)各級權(quán)限攻擊比率,將脆弱性威脅度對應(yīng)分為Root權(quán)限級����、User權(quán)限級、None權(quán)限 級三個(gè)層次���,具體包括如下步驟: 步驟81����、獲取目的主機(jī)Root權(quán)限攻擊比率qK = (T (Root) +T (User) +T (None)) /N����、目 的主機(jī)User權(quán)限攻擊比率qu = (T(User) +T(None))/N�、目的主機(jī)None權(quán)限攻擊比率qN =T(None)/N;其中,T(Root)表示攻擊者為獲取目的主機(jī)Root權(quán)限而實(shí)施的原子攻擊 次數(shù)�,T(User)表示攻擊者為獲取目的主機(jī)User權(quán)限而實(shí)施的原子攻擊次數(shù),T(None) 表示攻擊者為獲取目的主機(jī)None權(quán)限而實(shí)施的原子攻擊次數(shù)����;N為原子攻擊總數(shù),且 N^T (Root) +T (User) +T (None)�����; 步驟82、當(dāng)qN彡pmax < qu時(shí)���,脆弱性威脅度pmax屬于None權(quán)限級���;當(dāng)qu彡pmax < qK時(shí), 脆弱性威脅度Pmax屬于User權(quán)限級����;當(dāng)qK < pmax < 1時(shí),脆弱性威脅度pmax屬于Root權(quán)限 級��。
6. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢評估方法��,其特征在于�,所述步驟9具體包括如 下步驟: 步驟91、設(shè)定None權(quán)限級預(yù)警值為J^User權(quán)限級預(yù)警值為J2����、Root權(quán)限級級預(yù)警值 為 J3,而且,% € Ji € Qu�、Qu € J2 $ Qr、Qr $ J3 $ 1 ; 步驟92�����、當(dāng)脆弱性威脅度qN彡pmax < qu且pmax > J1時(shí),表示網(wǎng)絡(luò)安全態(tài)勢為攻擊即將 突破None權(quán)限級而到達(dá)User權(quán)限級���;當(dāng)脆弱性威脅度qu < pmax < qK且pmax彡J2時(shí)�,表示 網(wǎng)絡(luò)安全態(tài)勢為攻擊即將突破User權(quán)限級而到達(dá)Root權(quán)限級��;當(dāng)脆弱性威脅度qK < pmax < 1且口_ > J3時(shí)�,表示網(wǎng)絡(luò)安全態(tài)勢為即將完全崩潰; 步驟93�����、當(dāng)Pniax彡1���、ρ_彡J2或p_彡J3,進(jìn)行報(bào)警�����。
7.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢評估方法��,其特征在于�,所述步驟1中,所述脆 弱性信息包括源主機(jī)IP�����、目的主機(jī)IP、源主機(jī)端口�����、源主機(jī)開放端口���、目的主機(jī)端口�、目的 主機(jī)開放端口����、協(xié)議、源主機(jī)服務(wù)訪問權(quán)限����、目的主機(jī)訪問權(quán)限或系統(tǒng)存在的脆弱性; 所述網(wǎng)絡(luò)攻擊信息包括源主機(jī)IP�、目的主機(jī)IP、目的主機(jī)端口����、目的主機(jī)開放端口、協(xié) 議��、目的主機(jī)訪問權(quán)限、網(wǎng)絡(luò)攻擊類型或網(wǎng)絡(luò)攻擊針對的系統(tǒng)脆弱性�����; 所述攻擊證據(jù)包括網(wǎng)絡(luò)攻擊的類型��、網(wǎng)絡(luò)攻擊的時(shí)間或網(wǎng)絡(luò)攻擊獲得的訪問權(quán)限����。
【文檔編號】H04L12/24GK104394015SQ201410668554
【公開日】2015年3月4日 申請日期:2014年11月13日 優(yōu)先權(quán)日:2014年11月13日
【發(fā)明者】王輝, 蘆碧波, 申自浩, 雒芬, 王云峰, 張長森 申請人:河南理工大學(xué)