CN102130906A - 基于随机Petri网的网络安全风险分析方法 - Google Patents

Abstract

本发明公开了一种基于随机Petri网的网络安全风险分析方法，通过获取网络拓扑结构和资产的相关属性、获取并保存资产的威胁信息和脆弱性信息、构建风险分析模型、对风险分析模型进行模型化简、获取用户需要计算的指标信息、进行指标量化分析计算等步骤，提供一般信息系统环境下系统风险的关联分析，解决了现有的安全性分析工具难以发现系统中未知的攻击模式或安全漏洞、不能对系统进行全局的安全分析等难题，大大提高了网络风险综合分析能力，有效保证了网络信息系统的安全性。

Description

基于随机Petri网的网络安全风险分析方法

技术领域

本发明涉及一种网络安全风险分析方法，尤其是涉及一种基于随机Petri网的网络安全风险分析方法。

背景技术

伴随着国民经济和社会信息化进程的全面加快，国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大，但是，网络技术性能越先进，安全保密问题越复杂；网络开发性程度越高，信息危害现象就越普遍。网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁，使信息系统的运行客观上存在着潜在风险，特别是随着网络攻击和破坏行为的日益普遍和攻击工具的逐渐多样化，网络威胁几乎处处可见。

信息安全风险分析是最大限度地保障网络正常运行和对信息安全提供科学依据的关键技术，是从风险管理的角度出发，运用科学的方法和手段系统分析网络与信息系统所面临的风险，对于当前已经普遍存在的各种风险分析方法，从它们的自动化程度来看，可以分为两种类型，即：

人工分析，该分析方法大多采用问卷式的调查访谈、依靠专家的经验给出安全风险方面的策略建议，尽管分析比较全面，但易引入主观因素而且无法真正进行量化分析，同时，由于分析过程的过度复杂，通常会使被分析系统的用户面对庞大的开销。

自动分析，该分析方法通常是采用自动识别脆弱性和威胁的方法对目标网络系统进行分析，由于这种分析方法的高效性、易操作性和自动性，所以深受广大使用者的青睐。目前，针对自动分析技术开展的相关研究工作较多，寻找一种切实有效的风险分析方法，这几乎是在所有有关网络风险分析的技术文献和研究论文中均有论述：譬如，《中国科学E辑：技术科学信息科学》，2005年第35卷第8期，第798-816页，公开了一种基于免疫的网络安全风险检测模型，在此基础上建立了基于抗体浓度的网络安全风险检测的定量计算模型，但主要是侧重于当网络系统面临攻击时的实时风险分析；《计算机学报》，2009年第4期，第793-804页，也公开了一种基于拓扑结构脆弱性的安全分析工具TVA，它不仅可以自动检测网络系统的脆弱性信息，并能够以网络攻击图的形式最终来分析整个网络系统的安全风险。上述所做的各种研究工作主要从网络攻击的角度出发来分析网络的安全性，而且大多数属于定性分析，是将自动弱点扫描工具获得的弱点实施量化后进行风险的累加，也往往忽略了风险的关联关系这一事实。

申请号为CN200910307680.0的发明专利申请就公开了一种基于权限提升的网络脆弱性分析系统，用于从全局整体的角度分析网络系统的安全隐患，包括：漏洞检测模块、攻击信息知识库、网络攻击图生成模块和攻击图可视化模块，其中：漏洞检测模块与网络攻击图生成模块连接并传输漏洞信息、网络连通信息和主机信息，攻击信息知识库与网络攻击图生成模块连接并传输漏洞利用信息，网络攻击图生成模块与攻击图可视化模块连接并输出整个信息系统的网络攻击图。具备上述结构的基于权限提升的网络脆弱性分析系统，只能孤立地分析目标网络中存在的脆弱性，不能综合分析这些脆弱性相互作用所产生的潜在威胁，忽略了风险的关联关系这一事实，不能保证网络的安全性，尤其无法应用于大规模的网络。

发明内容

本发明的目的就是克服现有技术中的不足，提供一种能提高网络风险分析能力的基于随机Petri网的网络安全风险分析方法。

为解决现有技术中的问题，本发明基于随机Petri网的网络安全风险分析方法，包括以下步骤：

1)获取网络拓扑结构和资产的相关属性：预先获取整个网络的网络拓扑结构以及资产的相关属性，在网络拓扑结构内记载有网络节点之间的连接关系；

2)获取并保存资产的威胁信息和脆弱性信息：获取资产的威胁信息和脆弱性信息，并将获取到的威胁信息和脆弱性信息分别保存到资产威胁信息表和资产脆弱性信息表中；

3)构建风险分析模型：根据步骤1)中得到的网络拓扑结构中记录的网络节点之间的连接关系和步骤2)中得到资产的威胁信息和脆弱性信息，应用随机Petri网模型理论和威胁脆弱性关联模型，采用风险分析模型构建算法，对威胁网络安全的主要问题建立网络攻击模型，实现图形化的风险分析模型；

4)对步骤3)得到的风险分析模型进行模型化简；

5)获取用户需要计算的指标信息；

6)进行指标量化分析计算：依据步骤5)中得到的指标信息，将指标信息中的不同指标分别转入其相应的指标量化分析算法，得到不同指标的量化评价结果；

7)保存步骤6)中得到的量化评价结果，并返回给用户；

8)判断是否重新分析指标信息，若是，则重复步骤1)至步骤7)，否则结束。

上述方法中，步骤3)中所述风险分析模型构建算法包括以下分步骤：

3.1)把每个设备生成的位置用名称表示，并用不同的向量表示不同设备的属性；

3.2)根据设备间的连接关系更新所有设备的属性；

3.3)根据设备间的连接关系更新所有设备间的连接标示；

3.4)设置起始位置P_I，设置起始瞬时变迁t_wi反映系统工作站W_i的工作频率，建立P_I到t_wi和t_wi到W_i的弧；

3.5)设置终止位置P_F，设置终止瞬时变迁t_Si反映服务器S_i的工作频率，建立t_Si到P_F和S_i到t_Si的弧；

3.6)设置速率变迁T_arr表示整个系统可能的服务请求的速率，建立T_arr到P_I和P_F到T_arr的弧；

3.7)在终止位置P_F中设置若干个标志表示系统同时处理的任务数。

上述方法中，所述步骤6)包括以下分步骤：

6.1)建立性能指标量化分析算法和安全指标量化分析算法；

6.2)将步骤5)中得到的指标信息中的不同指标分别转入其相应的指标量化分析算法；

6.3)判断是否还有未计算的指标，若是，则重复分步骤6.2)，否则执行分步骤6.4)；

6.4)进行结果分析并输出量化评价结果。

上述方法中，步骤1)中所述获取网络拓扑结构和资产的相关属性是通过自动拓扑发现程序和文件导入的方式。

上述方法中，步骤2)中所述获取资产的威胁信息和脆弱性信息是采用漏洞扫描、日志分析以及手工编辑的方式。

上述方法中，步骤5)中所述指标信息包括性能指标和安全指标。

本发明基于随机Petri网的网络安全风险分析方法，提供一般信息系统环境下系统风险的关联分析，解决了现有的安全性分析工具难以发现系统中未知的攻击模式或安全漏洞、不能对系统进行全局的安全分析等难题，大大提高了网络风险综合分析能力，有效保证了网络信息系统的安全性。

附图说明

图1为本发明基于随机Petri网的网络安全风险分析方法的总体流程图。

图2为本发明基于随机Petri网的网络安全风险分析方法的风险分析模型构建算法的流程图。

图3为图1中进行指标量化分析计算的流程图。

具体实施方式

首先，在对具体实施方式进行详尽描述之前，对本发明涉及的相关技术加以介绍。

本发明的理论基础是随机Petri网即SPN(Stochastic Petri Net)模型理论，并在该SPN模型理论的基础上建立了图形化模型方法、模型状态空间化简方法、稳态参数计算方法、近似求解方法等方法，随机Petri网自从1981年提出以来，它的理论和分析技术已经得到很大发展。SPN作为分析离散事件动态系统的有力工具被广泛应用于计算机网络、资源共享系统以及并行和并发计算等研究领域。

信息系统：由计算机及其相关和配套的设备、设施(含网络)构成，是按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

威胁：可能导致对系统或组织产生危害的不希望事故的潜在起因。

脆弱性：可能被威胁所利用的资产或若干资产的薄弱环节。

风险分析主要是对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要分析资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。本发明实施提供一般信息系统环境下系统风险的关联分析。

本发明网络系统中的关联关系，包括：

1)物理关联关系：包括拓扑连接，设备开放端口等物理关联关系，具体见下表一：

表一：各类型设备间的连接方式表

2)逻辑关联关系：包括威胁-脆弱性、权限-脆弱性、脆弱性-脆弱性等逻辑关联关系。

下面结合附图对本发明作进一步详细的说明。

图1为本发明基于随机Petri网的网络安全风险分析方法的总体流程图。

下面通过图1将本发明基于随机Petri网的网络安全风险分析方法进行详尽的描述。

步骤S101，获取网络拓扑结构和资产的相关属性。

为了获取系统的网络拓扑图，本发明采用了利用文件导入和自动拓扑发现相结合的方式进行拓扑数据的采集，从而获取整个网络的网络拓扑结构以及资产的相关属性。网络拓扑结构内记载有网络节点之间的连接关系；对于文件导入采取的是Excel文件格式；资产的相关属性包括资产IP、资产名称、设备类型等。

步骤S102，获取并保存资产的威胁信息和脆弱性信息。

采用漏洞扫描、日志分析以及手工编辑的方式采集资产的威胁信息和脆弱性信息，同时维护一张资产威胁信息表和一张资产脆弱性信息表，将采集到的威胁信息和脆弱性信息分别保存到资产威胁信息表和资产脆弱性信息表中。

采集到的威胁信息和脆弱性信息将以参数的形式参与具体的量化分析，不同设备分别对应不同的的安全指标分析输入参数和性能指标分析输入参数。

1)安全指标分析参数：

不同设备分别对应的安全指标分析输入参数见下表二：

表二：各类型设备的安全指标分析参数表

威胁源表见下表三：

表三：威胁源表

2)性能指标分析输入参数：

性能指标分析输入参数列表见下表四：

表四：性能指标分析输入参数列表

步骤S103，构建风险分析模型。

根据步骤S101中得到的网络拓扑结构中记录的网络节点之间的连接关系和步骤S102中得到资产的威胁信息和脆弱性信息，应用随机Petri网模型理论和威胁脆弱性关联模型，对威胁网络安全的主要问题建立网络攻击模型，实现图形化的风险分析模型。

具体的风险分析模型建立过程如下：

首先，进行预处理，把工作站主机及实现他们之间的交换设备简化为一个工作站表示；

然后，采用风险分析模型构建算法进行建模。

图2为风险分析模型构建算法的流程图，主要包括以下步骤：

分步骤S1031，把每个设备生成的位置用名称表示，并用不同的向量表示不同设备的属性。

A1：交换设备用二维向量(a₁，a₂)表示；计算设备，譬如服务器、存储阵列等用(1，0)表示；工作站用(0，1)表示；若有外部Internet，外部Internet也用(0，1)表示；安全防护设备用(b₁，b₂)表示，其中，a₁，a₂，b₁和b₂初始值均为0；若交换设备直接相连，或交换设备与防护设备间直接相连，在原拓扑图中两设备间设置为双向连接。

A2：若设备原始设备标号为(a₁，a₂)，与(0，1)相连的连接标示为已用，则相连设备的属性标记为(a₁，1)；与(1，0)设备相连的连接标示为已用，则相连设备的属性标为(1，a₂)；

A3：在剩余的未标示已用的连接中，如存在标号为(0，1)的设备，只与唯一的设备互联，则标示连接为已用，互联设备属性改为(a₁，1)，如存在标号为(1，0)的设备，只与唯一的设备互联，则标示连接为已用，互联设备的属性改为(1，a₂)；反复执行分步骤A3，直到无满足条件的设备存在。

分步骤S1032，根据设备间的连接关系更新所有设备的属性。

B1：若设备r属性为(0，1)，且在剩余的未标示已用的连接中存在连接r-＞f，设f的属性为(a_f1，a_f2)，若a_f2＝0，或a_f1＝1，设置变迁T_f反映设备f的性能，建立设备r到T_f和T_f到设备f的弧，f的属性变为(*，1)，标示r-＞f连接已用，遍历所有的f，并更新设备的属性。

B2：若设备r属性为(1，0)，且在剩余的未标示已用的连接中存在连接f-＞r，设f的属性为(a_f1，a_f2)，若a_f2＝1，或a_f1＝0，设置变迁T_r反映设备r的性能，建立T_r到设备r和设备f到T_r的弧，标示f-＞r连接已用，f的属性变为(1，*)，遍历所有的f，并更新设备的属性。

B3：重复执行分步骤B1和B2直到拓扑图中的所有满足分步骤B1和B2中条件的连接都标示为已用。

分步骤S1033，根据设备间的连接关系更新所有设备间的连接标示。

C1：若设备r属性为(1，1)，若在剩余的未标示已用的连接中存在连接r-＞f，设f的属性为(a_f1，a_f2)，若a_f2＝0，或a_f1＝1，设置变迁T_f反映设备f的性能，建立设备r到T_f和T_f到f的弧，f的属性不变，标示r-＞f连接已用；若在剩余的未标示已用的连接中存在连接f-＞r，设f的属性为(a_f1，a_f2)，若a_f2＝1，或a_f1＝0，设置变迁T_r反映设备r的性能，建立T_r到设备r和设备f到T_r的弧，f的属性不变，标示f-＞r连接已用；若在剩余的未标示已用的连接中存在连接r-＞f，设f的属性为(0，1)，则标示r-＞f连接已用；若在剩余的未标示已用的连接中存在连接f-＞r，不存在连接r-＞f，且f的属性为(1，0)，则标示f-＞r连接为已用；若在剩余的未标示已用的连接中存在连接r-＞f，不存在连接f-＞r，且f的属性为(0，1)，则标示r-＞f连接为已用；遍历所有的f与r，更新所有的连接标示。

C2：若设备r属性为(0，1)，且在剩余的未标示已用的连接中存在连接，寻找与r相连接的设备f，设f的属性为(0，1)，则标示r-＞f为已用，遍历所有的r，更新所有的连接标示。

分步骤S1034，设置起始位置P_I，设置起始瞬时变迁t_wi反映系统工作站W_i的工作频率，建立P_I到t_wi和t_wi到W_i的弧。

分步骤S1035，设置终止位置P_F，设置终止瞬时变迁t_Si反映服务器S_i的工作频率，建立t_Si到P_F和S_i到t_Si的弧。

分步骤S1036，设置速率变迁T_arr表示整个系统可能的服务请求的速率，建立T_arr到P_I和P_F到T_arr的弧。

分步骤S1037：在终止位置P_F中设置m个token表示系统同时处理的任务数，其中m≥1。

步骤S104，对风险分析模型进行模型化简。

对风险分析模型进行模型化简主要采用的方法是：通过使用抽象映射将无限状态化为等价的有限状态，使用无限状态空间中的有限检测策略和使用状态的省略投影，只关注某些变量而忽略其他变量；使用偏序化、符号化、参数化等各种状态空间简化分析技术。此外，还可采用有序布尔决策图OBDD(Ordered Binary Design Diagram)和在线检测技术进一步来简化模型的状态空间。

步骤S105，获取用户需要计算的指标信息。其中指标信息包括性能指标和安全指标。

性能指标：性能瓶颈、负载过重设备、总体性能评价、系统可用性、系统可维护性、平均响应时间等。

安全指标：脆弱性节点、系统总体瓶颈、系统风险等。

步骤S106，进行指标量化分析计算。

依据步骤S105中得到的指标信息，将指标信息中的不同指标分别转入其相应的指标量化分析算法，得到不同指标的量化评价结果，主要包括以下分步骤：

S1061，建立性能指标量化分析算法和安全指标量化分析算法。

性能指标量化分析算法：若以设备F为输出位置的变迁个数为K个，其变迁速率为其处理能力的1/k，则可以由拓扑图直接生成用于评价性能的petri网，其中其评价指标为：设备F对应的变迁的输入位置的期望token数做和，记为ET_F。

各性能指标及其评价指标如下：

性能瓶颈：ET_F越大说明F越忙，找出最大者即为网络性能瓶颈；

负载过重设备：设备F的预警线为3C_F/4，若ET_F＞3C_F/4，则报警，该设备负载重；

系统的总体性能评价：无设备报警为系统性能良好，若有超过1/3设备报警，系统处于临界状态，需控制任务请求即T_arr的速率，超过1/3设备报警需对系统进行改造。

系统可用性：若设备的平均失效速率为λ_i，那么系统的平均可工作时间为：

系统的可维护性：若设备的平均修复率为μ_i，那么系统的平均修复时间为： $\underset{i}{\mathrm{\Σ}}\frac{1}{{\mathrm{\μ}}_i}-\underset{i\≠j}{\mathrm{\Σ}}(\frac{1}{{\mathrm{\μ}}_i}+\frac{1}{{\mathrm{\μ}}_j})+\underset{j\≠k}{\underset{i\≠j,i\≠k}{\mathrm{\Σ}}}(\frac{1}{{\mathrm{\μ}}_i}+\frac{1}{{\mathrm{\μ}}_j}+\frac{1}{{\mathrm{\μ}}_k})-\mathrm{\Λ}.$

平均响应时间：结束位置的期望token数为E_pfinal，起始位置的期望token数为E_pinital，T_arr的速率为ω，则平均响应时间为：

安全指标量化分析算法：

首先，按照生成用于评价性能的Petri网的方法，生成用于安全分析的Petri网；

然后，计算任意设备的安全等价速率r_E：

$\frac{1}{r_E}=-\frac{n}{r_1+r_2+K+r_n}+\underset{j=1}{\overset{n}{\mathrm{\Σ}}}\frac{1}{R_j},$ 其中R_j＝(r₁+r₂+K+r_n)-r_j

其中，v_i为某设备具有的脆弱性，r_i为其对应的速率，i＝1，2，...，n。

对于每一种威胁，设备所被利用的脆弱性可能不太一样，在这里我们设计为可以分别求出高、中、低威胁下的系统安全风险的算法：

Step1根据威胁，确定各设备可能被利用的脆弱性，根据预备处理知识，分别确定其安全等价速率；

Step2根据输入确定其设备资产的赋值，对于设备k，其资产赋值为A_k；

Step3考虑性能评价生成的Petri网，用等价速率替换其对应变迁的速率；对于Internet对应的客户端其对应的速率为变量，可以设置为高、中、低三种情况；

Step4设置变迁T_arr的速率足够大，默认为1000。

分步骤S1062，根据分步骤S1061建立的指标量化分析算法，将步骤S105中得到的指标信息中的不同指标分别转入其相应的指标量化分析算法进行计算。

分步骤S1063，判断是否还有未计算的指标，若是，则重复分步骤S1062，否则执行分步骤S1064。

分步骤S1064，进行结果分析并输出量化评价结果。

脆弱性结点分析：计算设备k对应的变迁的输入位置的期望tokens数，把k对应的变迁输入位置的期望tokens做和，记为ET_k，计算所有设备的ET值，按大小排序，越大说明该设备越耐攻击，最小的为系统的脆弱性结点。

威胁对应的最佳路径分析：从终止位置P_F出发，寻找期望tokens数最少的路径到客户端结点或Internet客户端结点，该路径为最具威胁的路径。

系统的总体状况评价分析：计算出终止位置P_F的期望tokens数，记为ET_PF，ET_PF越大说明其系统的风险越高，设定阈值评价系统的总体状况。

计算风险值：单一设备的风险值

其中，S为一固定常数，常数取为m(初始设置的token数)，整体风险值为R_sys＝A·ET_PF。

步骤S107，保存步骤S106中得到的量化评价结果，并返回给用户。

步骤S108，判断是否重新分析指标信息，若是，则重复步骤S101至步骤S107，否则结束。

总之，本发明的实施例公布的是其较佳的实施方式，但并不限于此。本领域的普通技术人员极易根据上述实施例，领会本发明的精神，并做出不同的引申和变化，但只要不脱离本发明的精神，都在本发明的保护范围之内。

Claims (6)

1.一种基于随机Petri网的网络安全风险分析方法，其特征在于，包括以下步骤：

1)获取网络拓扑结构和资产的相关属性：预先获取整个网络的网络拓扑结构以及资产的相关属性，在网络拓扑结构内记载有网络节点之间的连接关系；

2)获取并保存资产的威胁信息和脆弱性信息：获取资产的威胁信息和脆弱性信息，并将获取到的威胁信息和脆弱性信息分别保存到资产威胁信息表和资产脆弱性信息表中；

3)构建风险分析模型：根据步骤1)中得到的网络拓扑结构中记录的网络节点之间的连接关系和步骤2)中得到资产的威胁信息和脆弱性信息，应用随机Petri网模型理论和威胁脆弱性关联模型，采用风险分析模型构建算法，对威胁网络安全的主要问题建立网络攻击模型，实现图形化的风险分析模型；

4)对步骤3)得到的风险分析模型进行模型化简；

5)获取用户需要计算的指标信息；

6)进行指标量化分析计算：依据步骤5)中得到的指标信息，将指标信息中的不同指标分别转入其相应的指标量化分析算法，得到不同指标的量化评价结果；

7)保存步骤6)中得到的量化评价结果，并返回给用户；

8)判断是否重新分析指标信息，若是，则重复步骤1)至步骤7)，否则结束。

2.根据权利要求1所述的基于随机Petri网的网络安全风险分析方法，其特征在于，步骤3)中所述风险分析模型构建算法包括以下分步骤：

3.1)把每个设备生成的位置用名称表示，并用不同的向量表示不同设备的属性；

3.2)根据设备间的连接关系更新所有设备的属性；

3.3)根据设备间的连接关系更新所有设备间的连接标示；

3.4)设置起始位置P_I，设置起始瞬时变迁t_wi反映系统工作站W_i的工作频率，建立P_I到t_wi和t_wi到W_i的弧；

3.5)设置终止位置P_F，设置终止瞬时变迁t_Si反映服务器S_i的工作频率，建立t_Si到P_F和S_i到t_Si的弧；

3.6)设置速率变迁T_arr表示整个系统可能的服务请求的速率，建立T_arr到P_I和P_F到T_arr的弧；

3.7)在终止位置P_F中设置若干个标志表示系统同时处理的任务数。

3.根据权利要求1所述的基于随机Petri网的网络安全风险分析方法，其特征在于，所述步骤6)包括以下分步骤：

6.1)建立性能指标量化分析算法和安全指标量化分析算法；

6.2)将步骤5)中得到的指标信息中的不同指标分别转入其相应的指标量化分析算法；

6.3)判断是否还有未计算的指标，若是，则重复分步骤6.2)，否则执行分步骤6.4)；

6.4)进行结果分析并输出量化评价结果。

4.根据权利要求1所述的基于随机Petri网的网络安全风险分析方法，其特征在于，步骤1)中所述获取网络拓扑结构和资产的相关属性是通过自动拓扑发现程序和文件导入的方式。

5.根据权利要求1所述的基于随机Petri网的网络安全风险分析方法，其特征在于，步骤2)中所述获取资产的威胁信息和脆弱性信息是采用漏洞扫描、日志分析以及手工编辑的方式。

6.根据权利要求1所述的基于随机Petri网的网络安全风险分析方法，其特征在于，步骤5)中所述指标信息包括性能指标和安全指标。

Images