CN102394886A

CN102394886A - 一种信度向量投影分解的移动节点漏洞判别方法

Info

Publication number: CN102394886A
Application number: CN2011103529278A
Authority: CN
Inventors: 李千目; 戚湧; 刘刚; 侯君
Original assignee: Wuxi Nanligong Technology Development Co Ltd
Priority date: 2011-11-09
Filing date: 2011-11-09
Publication date: 2012-03-28
Anticipated expiration: 2031-11-09
Also published as: CN102394886B

Abstract

一种信度向量投影分解的移动节点漏洞判别方法，第一步，根据多源漏洞信息确定信度向量空间；第二步，计算每种漏洞扫描工具扫描结果的信度值；第三步，计算各信度向量与信度向量空间中各坐标轴夹角的余弦值；第四步，计算各信度向量向信度向量空间中各坐标轴上的投影分解值；第五步，将每个坐标轴上获得的投影值累加求和，并归一化；第六步，确定每种漏洞的信任度，根据信任度大小，确定移动节点中存在的漏洞。本发明与现有技术相比，其显著优点：基于信度理论，能很好的避免漏洞检测过程中不确定性因素的影响；以多种检测工具作为信息源，提高了漏洞判别的准确度；采用信度向量投影分解的计算方法，分解后每个向量都转化为单原子集合，降低了计算复杂度。

Description

一种信度向量投影分解的移动节点漏洞判别方法

技术领域

本发明涉及移动节点漏洞判别技术，特别是一种信度向量投影分解的移动节点漏洞判别方法。

背景技术

目前，随着网络技术飞速发展和网络规模的不断增大，与网络有关的攻击、入侵等安全事件越来越多。其主要原因在于网络移动节点存在着多种漏洞。移动节点漏洞判别作为一种主动安全检测，通过检测网络系统中各节点的脆弱性和薄弱环节，最大程度的保证网络系统的安全。

目前移动节点漏洞判别方法主要集中在两方面：一是建立良好的安全模型；二是对节点脆弱性进行量化评估。

安全模型方面，Dacier等人最早借鉴图论的概念，用节点表示用户拥有的特权，边表示安全漏洞，利用特权图来描述入侵者权限提升过程(Dacier M.Towards QuantitativeEvaluation of Computer Security[D].Institute National Polytechnique de Toulouse.1994.)。Ritchey与Ammann提出模型检查方法进行网络脆弱性分析，使用模型检测器SMV构造网络攻击图，产生攻击反例进行安全性分析(R.Ritchey，P.Ammann.Using Model Checking toAnalyze Network Vulnerabilities[C].Proceedings of IEEE Symposium on Security and Privacy.Oakland California.2000：156-165.)。

脆弱性量化评估方面，冯萍慧提出了脆弱性利用成本估算模型，从利用成本的角度对攻击代价进行估算，并引入可靠性原理，对网络系统的脆弱性进行量化评估(冯萍慧，连一峰，戴英侠等.面向网络系统的脆弱性利用成本估算模型[J].计算机学报，2006，29(8)：1375-1382)。夏阳通过对主机漏洞存在可能性以及漏洞被利用的可能性进行量化，以评估主机总体安全度量值(夏阳，陆余良.计算机主机及网络脆弱性量化评估研究[J].计算机科学.2007，34(10)：74-79.)。

发明内容

本发明的目的是针对移动节点的漏洞判别提出一种信度向量投影分解的移动节点漏洞判别方法，从而实现对移动节点漏洞存在的可能性判定。

本发明的技术方案是：

一种信度向量投影分解的移动节点漏洞判别方法，它包括以下步骤：

第一步，根据多源漏洞信息确定信度向量空间：即利用t种漏洞扫描工具在同一时间内对同一移动节点进行扫描，将每种工具扫描的结果集合相并，作为信度向量空间，记为Ω＝{X₁，X₂，Λ，X_n}，其中，X为漏洞，n为扫描得到的漏洞总数；

第二步，计算每种漏洞扫描工具扫描结果的信度值：将每种扫描工具的准确率归一化后作为其信度值，记为m_i，i＝1，2，Λ，t，i表示第i种扫描工具；

第三步，计算各信度向量与信度向量空间中各坐标轴夹角的余弦值：将各种扫描工具的扫描结果分别看作一个信度向量，记作I_i＝{X_i1，X_i2，Λ，X_is}，i表示第i种扫描工具，其取值i＝1，2，Λt；s是对应于每种检测工具测得的漏洞数，不同的检测工具s的值可能不同，s≤n。设各信度向量I_i与信度向量空间中对应的s个坐标轴间的夹角相等，即

而和其余坐标轴(Ω-I_i)的夹角为90度，计算信度向量I_i与各坐标轴夹角X_j，j＝1，2，Λ，s的余弦值，记为

第四步，计算各信度向量I_i向Ω中的n个坐标轴上的投影分解值：设信度向量I_i的信度为m_i，则

为各信度向量I_i向n个坐标轴的投影分解值，其中

代表信度向量I_i和坐标轴X_k之间的夹角；

第五步，将每个坐标轴上获得的投影值累加求和

(k＝1，2，Λ，n)，并归一化，即

\frac{Σ_{i = 1}^{t} m_{i} \cdot \cos α_{I_{i} X_{K}}}{Σ_{k = 1}^{n} Σ_{i = 1}^{t} m_{i} \cdot {\cos α}_{I_{i} X_{k}}};

第六步，确定n种漏洞的信任度，根据信任度大小，确定移动节点中存在的漏洞。

本发明的第二步中，各漏洞扫描工具检测结果的信度值计算方法为：采用各漏洞扫描工具对已知漏洞数的移动节点进行检测，将各漏洞扫描工具扫描结果中检测正确的漏洞数与实际的漏洞数相除，得到各检测工具的准确率作为其信度值，记为m_i，i＝1，2，Λ，t，其中t为所采用的扫描工具的总数。

本发明的有益效果：

本发明与现有技术相比，其显著优点：(1)基于信度理论，能很好的避免漏洞检测过程中不确定性因素的影响，(2)以多种检测工具作为信息源，提高了漏洞判别的准确度。(3)采用信度向量投影分解的计算方法，分解后每个向量都转化为单原子集合，降低了计算复杂度。

附图说明

图1是信度向量投影分解的移动节点漏洞判别方法的流程图。

图2是移动节点判别过程示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的说明。

如图1所示，一种信度向量投影分解的移动节点漏洞判别方法：

(k＝1，2，Λn)为各信度向量I_i向n个坐标轴的投影分解值，其中代表信度向量I_i和坐标轴X_k之间的夹角；

第五步，将每个坐标轴上获得的投影值累加求和(k＝1，2，Λ，n)，并归一化，即

\frac{Σ_{i = 1}^{t} m_{i} \cdot \cos α_{I_{i} X_{K}}}{Σ_{k = 1}^{n} Σ_{i = 1}^{t} m_{i} \cdot {\cos α}_{I_{i} X_{k}}};

具体实施时：

第一步，如图2所示，根据多源漏洞扫描结果确定信度向量空间，即利用多种漏洞扫描工具对移动节点进行扫描，将每种工具扫描的结果集合相并，作为信度向量空间，记为Ω＝{X₁，X₂，Λ，X_n}。我们采用Nessus、Web Vulnerability Scanner 7、X-Scan三种扫描工具对某移动节点进行扫描，扫描结果如下表所示：

从以上结果可以看出，共有五种漏洞，分别为CVE-2001-0258、CVE-2001-1984、CVE-2001-1990、CVE-2001-2442、CVE-2001-2826。为方便起见，我们将其记作X₁，X₂，X₃，X₄，X₅。因此信度向量空间为Ω＝{X₁，X₂，X₃，X₄，X₅}

第二步，确定三种工具检测结果的信度，将每种检测工具的准确率归一化后作为其信度值，记为m_i。设三种检测工具的正确率分别为：0.95、0.90、0.92。则归一化后有

m₁(X₁，X₂，X₃)＝0.343 m₂(X₁，X₄)＝0.325 m₃(X₂，X₅)＝0.332

第三步，计算各信度向量与信度向量空间各坐标轴夹角的余弦值。将信度向量空间中的每个元素看作一个坐标轴，则Ω＝{X₁，X₂，X₃，X₄，X₅}为包含5个坐标轴的坐标系。将每种工具的检测结果看作一个信度向量，有I₁＝{X₁，X₂，X₃}、I₂＝{X₁，X₄}、I₃＝{X₂，X₅}三个信度向量。设信度向量I_i，i＝1，2，3与{X_k|X_k∈I_i}，k＝1，2，3，4，5各坐标轴间的夹角相等，而与{X_k|X_k∈Ω-I_i}坐标轴的夹角为90度。

对于信度向量I₁＝{X₁，X₂，X₃}，包含三个元素即s＝3，故I₁与坐标轴X₁，X₂，X₃的夹角相等，而与X₄，X₅的夹角均为90度，因此

\cos α_{I_{1} X_{1}} = \cos α_{I_{1} X_{2}} = \cos α_{I_{1} X_{3}} = \frac{\sqrt{s}}{s} = \frac{\sqrt{3}}{3} .

同理可得

\cos α_{I_{2} X_{1}} = \cos α_{I_{2} X_{4}} = \frac{\sqrt{2}}{2}

\cos α_{I_{3} X_{2}} = \cos α_{I_{3} X_{5}} = \frac{\sqrt{2}}{2}

第四步，把信度向量向各坐标轴上投影分解。设信度向量I_i的信度为m_i，则

为m_i向各坐标轴的投影，其中代表信度向量I_i和坐标轴X_k之间的夹角。

信度向量I₁向坐标轴X₁的投影为：

m (X_{1}, X_{2}, X_{3}) \cdot \cos α_{I_{1} X_{1}} = 0.343 \cdot \frac{\sqrt{3}}{3} = 0.198

信度向量I₁向坐标轴X₂的投影为：

m (X_{1}, X_{2}, X_{3}) \cdot \cos α_{I_{1} X_{2}} = 0.343 \cdot \frac{\sqrt{3}}{3} = 0.198

信度向量I₁向坐标轴X₃的投影为：

m (X_{1}, X_{2}, X_{3}) \cdot \cos α_{I_{1} X_{3}} = 0.343 \cdot \frac{\sqrt{3}}{3} = 0.198

信度向量I₁向坐标轴X₄的投影为：

信度向量I₁向坐标轴X₅的投影为：

信度向量I₂向坐标轴X₁的投影为：

m (X_{1}, X_{4}) \cdot \cos α_{I_{1} X_{1}} = 0.325 \cdot \frac{\sqrt{2}}{2} = 0.230

信度向量I₂向坐标轴X₂的投影为：

信度向量I₂向坐标轴X₃的投影为：

信度向量I₂向坐标轴X₄的投影为：

m (X_{1}, X_{4}) \cdot \cos α_{I_{1} X_{4}} = 0.325 \cdot \frac{\sqrt{2}}{2} = 0.230

信度向量I₂向坐标轴X₅的投影为：

信度向量I₃向坐标轴X₁的投影为：

信度向量I₃向坐标轴X₂的投影为：

m (X_{2}, X_{5}) \cdot \cos α_{I_{1} X_{2}} = 0.332 \cdot \frac{\sqrt{2}}{2} = 0.235

信度向量I₃向坐标轴X₃的投影为：

信度向量I₃向坐标轴X₄的投影为：

信度向量I₃向坐标轴X₅的投影为：

m (X_{2}, X_{5}) \cdot \cos α_{I_{1} X_{5}} = 0.332 \cdot \frac{\sqrt{2}}{2} = 0.235

第五步，将每个坐标轴上获得的投影值累加求和

i＝1，2，3得：

坐标轴X₁上的投影为：0.198+0.230+0＝0.428；

坐标轴X₂上的投影为：0.198+0+0.235＝0.433；

坐标轴X₃上的投影为：0.198+0+0＝0.198；

坐标轴X₄上的投影为：0+0.230+0＝0.230；

坐标轴X₅上的投影为：0+0+0.235＝0.235；

将上述结果归一化得：

m(X₁)＝0.281 m(X₂)＝0.284 m(X₃)＝0.130

m(X₄)＝0.151 m(X₅)＝0.154

第六步，根据信度大小，确定移动节点中存在的漏洞。

根据漏洞可能性从大到小依次是X₂，X₁，X₅，X₄，X₃

即CVE-2001-1984、CVE-2001-0258、CVE-2001-2826、CVE-2001-2442、CVE-2001-1990。

本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。

Claims

1.一种信度向量投影分解的移动节点漏洞判别方法，其特征是它包括以下步骤：

第三步，计算各信度向量与信度向量空间中各坐标轴夹角的余弦值：将各种扫描工具的扫描结果分别看作一个信度向量，记作I_i＝{X_i1，X_i2，Λ，X_is}，i表示第i种扫描工具，其取值i＝1，2，Λt；s是对应于每种检测工具测得的漏洞数，不同的检测工具s的值可能不同，s≤n。设各信度向量I_i与信度向量空间中对应的s个坐标轴间的夹角相等，即而和其余坐标轴(Ω-I_i)的夹角为90度，计算信度向量I_i与各坐标轴夹角X_j，j＝1，2，Λ，s的余弦值，记为

(k＝1，2，Λn)为各信度向量I_i向n个坐标轴的投影分解值，其中

代表信度向量I_i和坐标轴X_k之间的夹角；

第五步，将每个坐标轴上获得的投影值累加求和

(k＝1，2，Λ，n)，并归一化，即

\frac{Σ_{i = 1}^{t} m_{i} \cdot \cos α_{I_{i} X_{K}}}{Σ_{k = 1}^{n} Σ_{i = 1}^{t} m_{i} \cdot {\cos α}_{I_{i} X_{k}}};

2.根据权利要求1所述的信度向量投影分解的移动节点漏洞判别方法，其特征是所述的第二步中，各漏洞扫描工具检测结果的信度值计算方法为：采用各漏洞扫描工具对已知漏洞数的移动节点进行检测，将各漏洞扫描工具扫描结果中检测正确的漏洞数与实际的漏洞数相除，得到各检测工具的准确率作为其信度值，记为m_i，i＝1，2，Λ，t，其中t为所采用的扫描工具的总数。