CN105871882B - 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 - Google Patents
基于网络节点脆弱性和攻击信息的网络安全风险分析方法 Download PDFInfo
- Publication number
- CN105871882B CN105871882B CN201610304179.9A CN201610304179A CN105871882B CN 105871882 B CN105871882 B CN 105871882B CN 201610304179 A CN201610304179 A CN 201610304179A CN 105871882 B CN105871882 B CN 105871882B
- Authority
- CN
- China
- Prior art keywords
- node
- attack
- network
- threat
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000012502 risk assessment Methods 0.000 title claims abstract description 18
- 238000004458 analytical method Methods 0.000 claims abstract description 15
- 230000003068 static effect Effects 0.000 claims abstract description 14
- 230000007704 transition Effects 0.000 claims description 35
- 230000008569 process Effects 0.000 claims description 13
- 238000004364 calculation method Methods 0.000 claims description 8
- 230000000694 effects Effects 0.000 claims description 7
- 238000009795 derivation Methods 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 230000008859 change Effects 0.000 claims description 2
- 239000012141 concentrate Substances 0.000 claims 1
- 238000011897 real-time detection Methods 0.000 abstract description 3
- 238000013139 quantization Methods 0.000 description 5
- 230000006378 damage Effects 0.000 description 4
- 208000015181 infectious disease Diseases 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 241000406668 Loxodonta cyclotis Species 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013456 study Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000003447 ipsilateral effect Effects 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于网络节点脆弱性和攻击信息的网络安全风险分析方法,包括以下步骤:步骤一,确定计算网络系统威胁度所需的指标;步骤二,获取网络拓扑结构、网络资产属性和网络资产脆弱性信息;步骤三,构建基于Petri网的脆弱性关联关系模块;步骤四,获取IDS安全设备检测到的攻击信息,利用该攻击信息完善关联关系模型;步骤五,计算网络系统中各节点的威胁度;步骤六,根据各节点的威胁度值分析网络安全风险。本发明利用实时检测到的攻击信息实时更新静态分析中建立的Petri网脆弱性关联关系模型,精确计算各节点的威胁度,完善网络风险分析结果,提高了网络风险的分析能力,有效保障了网络的安全性。
Description
技术领域
本发明涉及一种基于网络节点脆弱性和攻击信息构建模型并利用该模型进行网络安全风险分析的方法,属于网络安全技术领域。
背景技术
近年来,随着技术的发展计算机被不断普及,互联网行业进入高速发展阶段,互联网已成为了人们生活中不可缺少的重要组成部分。然而互联网技术的高速发展也带来了日益突出的网络安全问题,传统型的被动安全防御已经渐渐不能满足需求,研究学者们纷纷致力于提出安全分析方法,安全风险分析是最大限度地保障网络正常运行和对信息安全提供科学依据的关键技术,是从风险管理的角度出发,运用科学的方法和手段系统分析网络与信息系统所面临的风险,对网络安全风险进行分析以找出系统安全的薄弱点,改进安全防护措施,进行更全面的安全部署。
目前,在网络的脆弱性建模方面已经有很多相关研究,例如运用攻击图、渗透图、脆弱性状态图以及风险网络等建模方法来研究网络的脆弱性。经研究发现上述建模方法皆具有局限性,它们都依赖于对网络拓扑和网络资产信息的调研,但是由于种种原因,调研获得的信息并不一定完整,此类情况下安全风险分析结果跟实际情况存在偏差。例如系统中可能存在未被漏洞扫描器扫描出的漏洞信息,这些漏洞信息没有被获取,导致脆弱性信息的不完整,从而导致网络系统的安全风险分析结果不准确。
综上所述,已有的网络风险分析方法都是以搜集到的网络资产拓扑、网络资产属性和网络资产脆弱性等信息为输入对网络风险状态进行分析,但是静态搜集到的信息并不一定是完整信息,例如网络资产中可能存在未公开的漏洞信息等,进而导致网络系统的安全风险分析结果不准确。
发明内容
本发明的目的在于克服现有技术中的不足,提供了一种基于网络节点脆弱性和攻击信息的网络安全风险分析方法,解决了现有技术中静态信息获取不完整导致安全风险分析结果不准确的技术问题。
为解决上述技术问题,本发明提供了一种基于网络节点脆弱性和攻击信息的网络安全风险分析方法,其特征是,包括以下步骤:
步骤一,确定计算网络系统威胁度所需的指标;
步骤二,获取网络拓扑结构、网络资产属性和网络资产脆弱性信息;
步骤三,构建基于Petri网的脆弱性关联关系模块;
步骤四,获取IDS安全设备检测到的攻击信息,利用该攻击信息完善关联关系模型;
步骤五,计算网络系统中各节点的威胁度;
步骤六,根据各节点的威胁度值分析网络安全风险。
本发明利用实时检测到的攻击信息实时更新静态分析中建立的Petri网脆弱性关联关系模型,精确计算各节点的威胁度,完善网络风险分析结果。
进一步的,在所述步骤一中,计算威胁度所需的指标包括攻击复杂度(C)、机密性(C)、完整性(I)、可用性(A)、节点关联度(NC)、节点性质(Pr)、主体关键度(Cr)和主体业务重要度(Sr)八个指标。
进一步的,在所述步骤二中,获取网络拓扑结构和网络资产属性采用自动拓扑发现方式,获取网络资产脆弱性信息采用漏洞扫描方式。
进一步的,在所述步骤三中,构件脆弱性关联关系模型的过程为:
S301)为网络系统中的每个节点创建节点对象,节点对象包含网络资源属性和网络节点之间的访问关系;
节点对象用Oi表示,i表示第i个节点对象。具体定义如下:
O=<A,R>
其中A是描述节点对象的属性集,R是节点对象之间的关联关系;
S302)建立合法访问关联关系模型:遍历节点对象,查找节点对象与其他节点的联通信息,将联通信息按照Petri网模型格式转化为变迁,存储变迁信息,获得合法访问关联关系模型;
S303)建立非法攻击关联关系模型:遍历节点对象,根据建立的合法访问关联关系模型,推导出所有可能的攻击关系,以攻击源脆弱状态作为变迁起点、攻击目标脆弱状态作为变迁终点、攻击复杂度作为变迁的值创建非法变迁,存储非法变迁信息,获得非法攻击关联关系模型。
进一步的,在S301)中,A属性集包括节点静态属性和动态属性,静态属性包括节点名称描述、节点类型、节点网络地址、节点上存放的数据等级、节点上运行的应用程序、节点上运行业务系统的重要级别、节点上存在的系统或服务漏洞;动态属性是节点所处的脆弱状态,包括access、user、root、dos、info-leak和controlled状态,其中access、user、root状态表示某节点对象上的该权限可以被获得,dos状态表示该节点对象处于拒绝服务状态,info-leak状态表示对象上的数据被非授权访问或者读写而导致信息泄露或被篡改,controlled状态表示主机处于可控状态,允许执行远程代码或任意命令;R包括访问关系、信任关系以及关联关系的源和目的、访问前提和访问所导致的脆弱性结果。
进一步的,在步骤S303)中推到攻击关系过程为,在节点联通的基础上根据节点对象的属性和节点对象之间的关联关系,挖掘任意节点之间的攻击关系,新派生的节点脆弱性状态作为新一轮的推导条件(作为新一轮的攻击变迁源节点)加入到对象的动态属性集中,不断生成新的节点对象脆弱状态,不断生成新的攻击关系,直到没有新的节点脆弱状态及新的攻击关系生成,结束攻击关系的推导。
进一步的,在所述步骤四中,完善关联关系模型的具体过程为:
S401)接收IDS安全设备检测到的攻击信息;
S402)将攻击信息转化为包含攻击源节点、攻击目的节点、攻击方法(攻击复杂度)和攻击结果(攻击导致的攻击目的节点的脆弱状态)的变迁信息;
S403)在非法攻击关联关系模型中寻找上一步骤转换得到的变迁信息,若模型中已存在该条变迁,则忽略该条变迁,若不存在,则将该变迁加入到非法攻击关联关系模型中;
S404)重复步骤S402和S403,逐条解析完所有攻击信息,获得完善后的关联关系模型。
进一步的,在所述步骤五中,节点的威胁度转化为节点从初始脆弱状态寻找到达各脆弱状态(库所)最优路径;
节点威胁度计算具体过程如下:
S501)以外部网络节点0作为攻击源点,计算网络系统中每一个节点脆弱状态(库所)的威胁度(这里计算的是节点0到该库所的威胁度,不直接可达则为0)并记录攻击路径(节点0到该库所),将这些库所加入到未计算库所集合中;其中节点各脆弱状态(库所)威胁度计算方法为:
A(pi)=α*(1-Cλ)+β*(a1*(Pc*C+Pi*I+Pa*A)+a2*NC+a3*(b1*Pr+b2*Cr+b3*Sr))
其中pi为节点的脆弱状态(库所),Cλ为攻击复杂度,C、I、A分别为机密性、完整性和可用性值,NC为节点关联度,Pr和Cr分别为节点性质和节点主体关键度,α和β是和为1的指标权重,a1、a2、a3是和为1的指标权重,Pc、Pi、Pa是和为1的指标权重,b1、b2和b3是和为1的指标权重;
S502)从未计算库所集合中选取威胁度值最大的库所p,作为变迁源点,将其移动到已计算库所集合中,计算p到所有可达库所k的威胁度,威胁度的计算方法为:源点到p的复杂度因子*p攻击k的威胁度;若新计算的威胁度a大于库所k原有的威胁度b,则将k的威胁度记为a并更新k的攻击路径(节点0到p的路径加上p到k的路径);若新计算的威胁度a等于库所k原有的威胁度b,则保留原有到达k的路径并增加一条到达k的新的路径(节点0到p的路径加上p到k的路径);其中复杂度影响因子的定义为:其它库所传递而来的威胁度由于传递的路径长度和前期路径的攻击复杂度的影响存在衰减,将该衰减因子称为复杂度影响因子,设置该因子为:
其中k表示到达节点各脆弱状态(库所)节点所经过的变迁数,λj表示前期令牌到达节点库所的复杂度;
S503)重复步骤502),直到所有未计算库所集合中库所的威胁度最大值为0;
S504)将网络中各节点的脆弱状态(库所)的威胁度值相加,获得节点的威胁度值。
进一步的,在所述步骤六中,具体分析过程为,分析各节点的威胁度值,节点的威胁度越高则该节点的安全风险越高。
与现有技术相比,本发明所达到的有益效果是:本发明利用实时检测到的攻击信息实时更新静态分析中建立的Petri网脆弱性关联关系模型,将静态信息与动态信息相结合,精确计算各节点的威胁度,完善网络风险分析结果,提高了网络风险的分析能力,有效保障了网络的安全性。
附图说明
图1是本发明方法的流程示意图;
图2是本发明中网络安全风险分析指标分解示意图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本发明中相关概念的理论基础是如下所示:
信息系统:由计算机及其相关和配套的设备、设施(含网络)构成,是按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统;
威胁:可能导致对系统或组织产生危害的不希望事故的潜在起因;
脆弱性:可能被威胁所利用的资产或若干资产的薄弱环节;
关联关系,包括物理关联关系和逻辑关联关系,其中,物理关联关系包括拓扑连接,设备开放端口等物理关联关系,逻辑关联关系包括威胁-脆弱性、权限-脆弱性、脆弱性-脆弱性等逻辑关联关系。
如图1和图2所示,本发明的一种基于网络节点脆弱性和攻击信息的网络安全风险分析方法,其特征是,包括以下步骤:
步骤一,确定计算网络系统威胁度所需求的指标;
在网络安全框架模型的不同层面、不同侧面的各个安全纬度,有其相应的安全目标要求,而这些安全目标要求可以通过一个或多个指标来评估,以减少信息丢失和网络安全事故的发生,进而提高工作效率,降低风险。本发明以计算得到的网络系统中各个节点被攻击后产生的威胁度为基准分析网络安全风险,即指标为威胁度计算所需的指标,具体指标分解过程如图2所示,计算网络安全风险分析所需要的网络的威胁度计算指标分为攻击复杂度(C)和攻击危害度(H)两个方面指标,其中攻击危害度(H)分为安全属性影响(SF)、节点关联度(NC)和节点重要度(NI),其中安全属性影响(SF)分为机密性(C)、完整性(I)和可用性(A);节点重要度(NI)分为节点性质(Pr)、主体关键度(Cr)、主体业务重要度(Sr)。也可以根据不同的应用场景增加不同的节点重要度指标。综上所述,可知,计算所需求的指标最终确定为八个指标,分别为攻击复杂度(C)、机密性(C)、完整性(I)、可用性(A)、节点关联度(NC)、节点性质(Pr)、主体关键度(Cr)和主体业务重要度(Sr)。具体指标的描述如下:
1)攻击复杂度(C)
根据对攻击复杂度的分级标准,将攻击复杂度按照分为7个等级E1-E7,范围为0~1。一种攻击方式的复杂度越低,越容易被广泛利用,对网络安全来说影响度越大。具体的分级标准如下表1所示:
表1:攻击复杂度分级标准
2)攻击危害度(H)
攻击危害度H由安全属性影响(SF)、节点关联度(NC)和节点重要度(NI)共同决定,其中安全属性影响SF需结合节点对象的脆弱性状态来综合考虑,因此在脆弱性集合(VS)上引入机密性(C)、完整性(I)和可用性(A)三维指标,将安全属性与脆弱性状态结合,进行多维度的量化,量化结果如表2所示,其中VS表示脆弱性状态,access、user、root状态表示某节点对象上的该权限可以被获得,dos状态表示主机遭受拒绝服务攻击处于瘫痪状态,info-leak状态表示对象上的数据被非授权访问或者读写而导致信息泄露或被篡改,controlled状态表示主机处于可控状态,允许执行远程代码或任意命令:
表2:安全属性影响的量化表
节点关联度(NC)反映对象节点在网络中的连通性,一个节点对象的关联度越高,连通性越强,越容易被攻击或者被攻击者利用,因此影响度越大,节点关联度可根据节点对象的关联关系计算,计算公式如下所示:
其中Oi表示第i个节点对象,numTR/AR(Oi)表示在各节点对象的关联关系描述中,与对象Oi有关的记录数。即节点的关联度由其关联关系数与网络总关联关系数的比值来计算。
节点重要度(NI)由节点性质(Pr)、主体关键度(Cr)、主体业务重要度(Sr)决定,节点性质指标的量化如表3所示,其中Host指主站、Server指服务器、Firewall指防火墙、Router指路由器、Switch指交换机、IDS指入侵检测系统;主体关键度指标的量化如表4所示;主体业务重要度指标的量化如表5所示:
表3:节点性质重要性表
| Host | Server | Firewall | Router | Switch | IDS |
| 0.3 | 0.8 | 0.5 | 0.7 | 0.8 | 0.2 |
表4:主体关键性分级表
表5:主体业务重要度分级表
| 分级 | 重要度 | 承担业务 |
| 0.1 | 普通 | 承担一般性业务,主机损坏不影响业务系统。 |
| 0.5 | 重要 | 承担普通业务,主机损坏对业务系统有一定影响。 |
| 0.8 | 非常重要 | 业务系统中枢,主机损坏对业务系统影响非常大 |
步骤二,获取网络拓扑结构、网络资产属性和网络资产脆弱性信息;
依据自动拓扑发现获取网络系统拓扑图,整理网络拓扑信息及网络资产属性信息,其中网络拓扑结构包括网络节点之间的连接关系,网络资产属性信息包括网络节点存储信息的重要程度和网络节点部署业务的重要程度;使用漏扫工具(例如绿盟的nsfocus漏洞扫描仪)对待测网络系统进行漏洞扫描,获取网络资产的脆弱性信息。并将以上三类信息分节点按照固定格式整理为信息表,信息表为excel格式,每条信息包括节点ID、节点IP、节点漏洞(漏洞名称及漏洞导致的脆弱性)、节点与其他节点的联通关系(包括被访问节点ID、访问关系或者信任关系、访问导致的脆弱性)。
步骤三,构建基于Petri网的脆弱性关联关系模型;
随机Petri网即SPN(Stochastic Petri Net)模型理论,并在该SPN模型理论的基础上建立了图形化模型方法、模型状态空间化简方法、稳态参数计算方法、近似求解方法等方法。
基于以上步骤得到的网络拓扑结构中记录的网络节点之间的连接关系、资产属性信息和脆弱性信息,应用随机Petri网模型理论和威胁脆弱性关联模型,建立基于Petri网的脆弱性关联关系模型,具体包括以下步骤:
S301)根据信息表,为网络系统中的每个节点创建节点对象,节点对象包含威胁度计算所需要的各项指标和网络节点之间的访问关系;
节点对象用Oi表示,i表示第i个节点对象。具体定义如下:
O=<A,R>
其中A是描述节点对象的属性集,属性集A包括节点静态属性和动态属性,静态属性包括节点名称描述、节点类型、节点网络地址、节点上存放的数据等级、节点上运行的应用程序、节点上运行业务系统的重要级别、节点上存在的系统或服务漏洞;动态属性是节点所处的脆弱状态,脆弱状态包括access、user、root、dos、info-leak和controlled状态,其中access、user、root状态表示某节点对象上的该权限可以被获得,dos状态表示该节点对象处于拒绝服务状态,info-leak状态表示对象上的数据被非授权访问或者读写而导致信息泄露或被篡改,controlled状态表示主机处于可控状态,允许执行远程代码或任意命令。
其中属性R表示节点对象之间的关联关系,包括访问关系和信任关系(访问关系由ACCESS表示,信任关系由TRUST表示),以及关联关系的源和目的、访问前提和访问所导致的脆弱性结果。
S302)建立合法访问关联关系模型:遍历节点对象,查找节点对象与其他节点的联通信息,将联通信息按照Petri网模型的格式转化为变迁(变迁信息包括联通的源节点、联通的目的节点、联通的前提条件即联通源状态和联通导致的目的节点的脆弱状态),存储变迁信息,获得合法访问关联关系模型;
S303)建立非法攻击关联关系模型:遍历节点对象,在不确定攻击目标的情况下推导出所有可能发生的攻击行为,即在节点联通的基础上根据节点对象的属性和节点对象之间的关联关系,挖掘任意节点之间的攻击关系,新派生的节点脆弱性状态作为新一轮的推导条件(作为新一轮的攻击变迁源节点)加入到对象的动态属性集中,不断生成新的节点对象脆弱状态,不断生成新的攻击关系,直到没有新的节点脆弱状态及新的攻击关系生成,结束攻击关系的推导,攻击关系以变迁的方式存储,即以攻击源脆弱状态作为变迁起点,攻击目标脆弱状态作为变迁终点,攻击复杂度作为变迁的值,建立非法攻击关联关系模型。
步骤四,获取IDS安全设备检测到的攻击信息,利用该攻击信息完善关联关系模型;
具体包括以下过程:
S401)接收IDS安全设备检测到的攻击信息;
S402)将攻击信息转化为包含攻击源节点、攻击目的节点、攻击方法(攻击复杂度)和攻击结果(攻击导致的攻击目的节点的脆弱状态)的变迁信息;
S403)在非法攻击关联关系模型中寻找上一步骤转换得到的变迁信息,若模型中已存在该条变迁,则忽略该条变迁,若不存在,则将该变迁加入到非法攻击关联关系模型中;
S404)重复步骤4.2和4.3,逐条解析完所有攻击信息,获得完善后的关联关系模型。
步骤五,计算网络系统中各节点的威胁度;
网络系统中节点威胁度为节点各脆弱状态(库所)威胁度之和,定义某一脆弱状态的威胁度为各条到达该脆弱状态的路径传播而来的威胁度的最大值,在不考虑其它因素的情况下认为攻击者攻击时选取威胁度最大的路径,由于攻击路径长度与威胁度成反比,因此求解威胁度问题转化为求从初始脆弱状态寻找到达各库所最优路径的问题。
节点的威胁度计算具体过程如下:
S501)认为攻击源点位于网络系统的外部,将所有外部网络的攻击点虚拟化为一个攻击点,以此作为攻击源,即以外部网络节点0作为攻击源点,计算网络系统中节点每一个脆弱状态的威胁度(这里计算的是节点0到该库所的威胁度,不直接可达则威胁度记为0),并记录攻击路径(节点0到该库所),将这些库所加入到未计算库所集合中;节点各脆弱状态威胁度计算方法为:
A(pi)=α*(1-Cλ)+β*(a1*(Pc*C+Pi*I+Pa*A)+a2*NC+a3*(b1*Pr+b2*Cr+b3*Sr))
其中pi为节点的脆弱状态(库所),Cλ为攻击复杂度,C、I、A分别为机密性、完整性和可用性值,NC为节点关联度,Pr和Cr分别为节点性质和节点主体关键度,α和β是和为1的指标权重,a1、a2、a3是和为1的指标权重,Pc、Pi、Pa是和为1的指标权重,b1、b2和b3是和为1的指标权重,根据实际情况可调整各指标的权重值。
S502)从未计算库所集合中选取威胁度值最大的库所p,作为变迁源点,将其移动到已计算库所集合中,计算p到所有可达库所k的威胁度,威胁度的计算方法为:源点到p的复杂度影响因子*p攻击k的威胁度;若新计算的威胁度a大于库所k原有的威胁度b,则将k的威胁度记为a并更新k的攻击路径(节点0到p的路径加上p到k的路径);若新计算的威胁度a等于库所k原有的威胁度b,则保留原有到达k的路径并增加一条到达k的新的路径(节点0到p的路径加上p到k的路径);其中复杂度影响因子的定义为:与由攻击者库所直接攻击库所导致的威胁度相比,由其它库所传递而来的威胁度由于传递的路径长度和前期路径的攻击复杂度的影响存在衰减,将该衰减因子称为复杂度影响因子,设置该因子为:
其中k表示到达节点各脆弱状态(库所)节点所经过的变迁数,λj表示前期令牌到达节点库所的复杂度;
S503)重复步骤502),直到所有未计算库所集合中库所的威胁度最大值为0;
S504)将网络中各节点的脆弱状态(库所)的威胁度值相加,获得节点的威胁度值。
步骤六,根据计算结果分析网络安全风险;
分析以上计算出各节点的威胁度,威胁度高的节点被攻击后造成的影响大于威胁度低的节点,找出威胁度高的网络节点,查看与其相联通的节点,分析威胁度高的原因(漏洞多或者联通节点多等),增加这些节点的防护能力,降低这些节点被攻击成功的可能性。
本发明在静态分析网络安全风险的基础上增加了使用动态信息实时更新分析计算结果的过程,将静态信息与动态信息相结合,提高了网络风险的分析能力,有效保障了网络的安全性。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变型,这些改进和变型也应视为本发明的保护范围。
Claims (3)
1.一种基于网络节点脆弱性和攻击信息的网络安全风险分析方法,其特征是,包括以下步骤:
步骤一,确定计算网络系统威胁度所需的指标;
步骤二,获取网络拓扑结构、网络资产属性和网络资产脆弱性信息;
步骤三,构建基于Petri网的脆弱性关联关系模块;
步骤四,获取IDS安全设备检测到的攻击信息,利用该攻击信息完善关联关系模型;
步骤五,计算网络系统中各节点的威胁度;
步骤六,根据各节点的威胁度值分析网络安全风险;
在所述步骤一中,计算威胁度所需的指标包括攻击复杂度、机密性、完整性可用性、节点关联度、节点性质、主体关键度和主体业务重要度八个指标;
在所述步骤二中,获取网络拓扑结构和网络资产属性采用自动拓扑发现方式,获取网络资产脆弱性信息采用漏洞扫描方式;
在所述步骤三中,构件脆弱性关联关系模型的过程为:
S301)为网络系统中的每个节点创建节点对象,节点对象包含网络资源属性和网络节点之间的访问关系;
节点对象用Oi表示,i表示第i个节点对象;具体定义如下:
O=<A,R>
其中A是描述节点对象的属性集,R表示节点对象之间的关联关系;
S302)建立合法访问关联关系模型:遍历节点对象,查找节点对象与其他节点的联通信息,将联通信息按照Petri网格式转化为变迁,存储变迁信息,获得合法访问关联关系模型;
S303)建立非法攻击关联关系模型:遍历节点对象,根据建立的合法访问关联关系模型,推导出所有可能的攻击关系,创建非法变迁,存储非法变迁信息,获得非法攻击关联关系模型;
在S301)中,A属性集包括节点静态属性和动态属性,静态属性包括节点名称描述、节点类型、节点网络地址、节点上存放的数据等级、节点上运行的应用程序、节点上运行业务系统的重要级别、节点上存在的系统或服务漏洞;动态属性是节点所处的脆弱状态,包括access、user、root、dos、info-leak和controlled状态;R包括访问关系、信任关系以及关联关系的源和目的、访问前提和访问所导致的脆弱性结果;
在步骤S303)中推到攻击关系过程为,在节点联通的基础上根据节点对象的属性和节点对象之间的关联关系,挖掘任意节点之间的攻击关系,新派生的节点脆弱性状态作为新的攻击变迁源节点加入到对象的动态属性集中,不断生成新的节点对象脆弱状态,不断生成新的攻击关系,直到没有新的节点脆弱状态及新的攻击关系生成,结束攻击关系的推导;
在所述步骤四中,完善关联关系模型的具体过程为:
S401)接收IDS安全设备检测到的攻击信息;
S402)将攻击信息转化为包含攻击源节点、攻击目的节点、攻击复杂度和攻击导致的攻击目的节点的脆弱状态的变迁信息;
S403)在非法攻击关联关系模型中寻找上一步骤转换得到的变迁信息,若模型中已存在该条变迁,则忽略该条变迁,若不存在,则将该变迁加入到非法攻击关联关系模型中;
S404)重复步骤S402和S403,逐条解析完所有攻击信息,获得完善后的关联关系模型。
2.根据权利要求1所述的一种基于网络节点脆弱性和攻击信息的网络安全风险分析方法,其特征是,在所述步骤五中,节点威胁度计算具体过程如下:
S501)以外部网络节点0作为攻击源点,计算网络系统中节点每一个脆弱状态的威胁度,并记录攻击路径,将这些库所加入到未计算库所集合中;其中节点各脆弱状态威胁度计算方法为:
A(pi)=α*(1-Cλ)+β*(a1*(Pc*C+Pi*I+Pa*A)+a2*NC+a3*(b1*Pr+b2*Cr+b3*Sr))
其中pi为节点的脆弱状态,Cλ为攻击复杂度,C、I、A分别为机密性、完整性和可用性值,NC为节点关联度,Pr和Cr分别为节点性质和节点主体关键度,α和β是和为1的指标权重,a1、a2、a3是和为1的指标权重,Pc、Pi、Pa是和为1的指标权重,b1、b2和b3是和为1的指标权重;
S502)从未计算库所集合中选取威胁度值最大的库所p,作为变迁源点,将其移动到已计算库所集合中,计算p到所有可达库所k的威胁度,威胁度的计算方法为:源点到p的复杂度影响因子*p攻击k的威胁度;若新计算的威胁度a大于库所k原有的威胁度b,则将k的威胁度记为a并更新k的攻击路径;若新计算的威胁度a等于库所k原有的威胁度b,则保留原有到达k的路径并增加一条到达k的新的路径;其中复杂度影响因子的定义为:其它库所传递而来的威胁度由于传递的路径长度和前期路径的攻击复杂度的影响存在衰减,将该衰减因子称为复杂度影响因子,设置该因子为:
其中k表示到达节点各库所节点所经过的变迁数,λj表示前期令牌到达节点库所的复杂度;
S503)重复步骤502),直到所有未计算库所集合中库所的威胁度最大值为0;
S504)将网络中各节点的库所威胁度值相加,获得节点的威胁度值。
3.根据权利要求1所述的一种基于网络节点脆弱性和攻击信息的网络安全风险分析方法,其特征是,在所述步骤六中,具体分析过程为,分析各节点的威胁度值,节点的威胁度越高则该节点的安全风险越高。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610304179.9A CN105871882B (zh) | 2016-05-10 | 2016-05-10 | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610304179.9A CN105871882B (zh) | 2016-05-10 | 2016-05-10 | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105871882A CN105871882A (zh) | 2016-08-17 |
| CN105871882B true CN105871882B (zh) | 2019-02-19 |
Family
ID=56631480
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610304179.9A Active CN105871882B (zh) | 2016-05-10 | 2016-05-10 | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105871882B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11799897B2 (en) | 2021-01-21 | 2023-10-24 | T-Mobile Usa, Inc. | Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network |
| US11863990B2 (en) | 2021-01-21 | 2024-01-02 | T-Mobile Usa, Inc. | Cybersecurity system for edge protection of a wireless telecommunications network |
Families Citing this family (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657150B (zh) * | 2017-01-26 | 2020-01-14 | 北京航空航天大学 | 网络攻击结构的获取方法与装置 |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
| CN107562929A (zh) * | 2017-09-15 | 2018-01-09 | 北京安点科技有限责任公司 | 基于大数据分析的威胁资产的排名方法和装置 |
| CN107579986B (zh) * | 2017-09-21 | 2020-11-06 | 北京工业大学 | 一种复杂网络中网络安全检测的方法 |
| CN107888588B (zh) * | 2017-11-09 | 2020-07-24 | 上海海事大学 | 一种指定目标结点集合的k最大概率攻击路径求解方法 |
| CN107733917B (zh) * | 2017-11-09 | 2020-07-24 | 上海海事大学 | 一种指定目标结点集合的k最大概率攻击路径的渐进式求解方法 |
| CN108039987B (zh) * | 2017-12-19 | 2020-09-22 | 北京航空航天大学 | 基于多层耦合关系网络的关键基础设施脆弱性测评方法 |
| CN108011893A (zh) * | 2017-12-26 | 2018-05-08 | 广东电网有限责任公司信息中心 | 一种基于网络资产信息采集的资产管理系统 |
| CN107888432A (zh) * | 2017-12-27 | 2018-04-06 | 国网福建省电力有限公司 | 基于风险传递机制的电力移动终端网络安全模型及建模方法 |
| CN108388975B (zh) * | 2018-01-15 | 2019-09-10 | 南京邮电大学 | 一种基于传染病模型的信息安全风险传播控制方法及装置 |
| CN109003088B (zh) * | 2018-06-21 | 2021-09-21 | 创新先进技术有限公司 | 一种业务风险分析方法、装置及设备 |
| CN109218304B (zh) * | 2018-09-12 | 2020-09-25 | 北京理工大学 | 一种基于攻击图和协同进化的网络风险阻断方法 |
| CN109302315A (zh) * | 2018-09-30 | 2019-02-01 | 南京南瑞继保电气有限公司 | 一种基于业务关联模型的变电站网络安全风险评估方法 |
| EP3869370B1 (en) * | 2018-10-17 | 2022-11-30 | Panasonic Intellectual Property Corporation of America | Threat analysis apparatus, threat analysis method, and program |
| CN109636224A (zh) * | 2018-12-19 | 2019-04-16 | 广东工业大学 | 一种智能变电站继电保护脆弱性评估方法 |
| CN109886005B (zh) * | 2019-01-29 | 2022-11-08 | 南京邮电大学 | 一种针对Web协同的授权用户风险评估方法及系统 |
| CN110276200A (zh) * | 2019-06-27 | 2019-09-24 | 南京邮电大学 | 一种电力信息系统状态转移概率的确定方法 |
| CN110380896B (zh) * | 2019-07-04 | 2022-04-01 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知系统和方法 |
| CN110472419B (zh) * | 2019-07-18 | 2021-04-16 | 北京理工大学 | 一种基于损失效应的网络安全风险评估方法 |
| CN110493035A (zh) * | 2019-07-25 | 2019-11-22 | 广州大学 | 一种网络安全指数计算的数据输入方法及装置 |
| CN110311924A (zh) * | 2019-07-26 | 2019-10-08 | 杭州迪普科技股份有限公司 | 网络安全风险数据显示方法、装置、电子设备 |
| CN110969349B (zh) * | 2019-11-27 | 2020-12-25 | 北京国舜科技股份有限公司 | 网络安全的风险概率确定方法、装置及电子设备 |
| CN110855715B (zh) * | 2019-11-29 | 2022-02-18 | 国家电网有限公司客户服务中心 | 基于随机Petri网的DOS攻防模拟方法 |
| CN111324941B (zh) * | 2019-12-13 | 2023-06-16 | 南京理工大学 | 一种复杂系统危害程度评估方法 |
| CN111262878B (zh) * | 2020-02-12 | 2021-06-01 | 华北电力大学 | 一种核电厂安全级数字化仪控系统脆弱性分析方法 |
| US11503047B2 (en) | 2020-03-13 | 2022-11-15 | International Business Machines Corporation | Relationship-based conversion of cyber threat data into a narrative-like format |
| CN112202764B (zh) * | 2020-09-28 | 2023-05-19 | 中远海运科技股份有限公司 | 网络攻击链路可视化系统、方法和服务器 |
| CN112114579B (zh) * | 2020-09-28 | 2023-07-25 | 哈尔滨工业大学(威海) | 一种基于攻击图的工业控制系统安全度量方法 |
| CN114584469A (zh) * | 2020-11-17 | 2022-06-03 | 中国移动通信集团山东有限公司 | 网络安全确定方法、电子设备和存储介质 |
| CN112306776B (zh) * | 2020-11-20 | 2022-05-10 | 浙江大学 | 一种终端设备超限脆弱性安全分析方法 |
| CN112491911B (zh) * | 2020-12-01 | 2022-11-15 | 平安科技(深圳)有限公司 | Dns分布式拒绝服务防御方法、装置、设备及存储介质 |
| CN113055407A (zh) * | 2021-04-21 | 2021-06-29 | 深信服科技股份有限公司 | 一种资产的风险信息确定方法、装置、设备及存储介质 |
| CN113282828B (zh) * | 2021-06-02 | 2024-03-26 | 万达信息股份有限公司 | 一种用户常在地的确定方法、系统和电子设备 |
| CN113347191A (zh) * | 2021-06-10 | 2021-09-03 | 东南大学 | 一种能源互联网网络安全风险评估方法及模型 |
| CN113452699B (zh) * | 2021-06-24 | 2022-10-04 | 西安电子科技大学 | 基于配置文件的跳板攻击路径分析方法 |
| CN113660227B (zh) * | 2021-07-30 | 2022-11-29 | 北京天融信网络安全技术有限公司 | 网络安全脆弱性评估定量计算方法及设备 |
| CN114139374B (zh) * | 2021-11-30 | 2023-07-25 | 哈尔滨工业大学 | 一种基于Petri网的工业机器人系统攻击链建模方法 |
| CN114205816B (zh) * | 2021-12-14 | 2023-08-08 | 中国电力科学研究院有限公司 | 一种电力移动物联网信息安全架构及其使用方法 |
| CN114615066A (zh) * | 2022-03-17 | 2022-06-10 | 浙江网商银行股份有限公司 | 目标路径确定方法以及装置 |
| CN114915476B (zh) * | 2022-05-19 | 2023-09-26 | 南京南瑞信息通信科技有限公司 | 一种基于网络安全测评过程的攻击推演图生成方法及系统 |
| CN115174278B (zh) * | 2022-09-08 | 2022-12-13 | 中电太极(集团)有限公司 | 一种网络威胁等级评估方法及装置 |
| CN116668106B (zh) * | 2023-05-22 | 2024-01-09 | 山东鼎夏智能科技有限公司 | 一种威胁情报处理系统以及方法 |
| CN116578995B (zh) * | 2023-07-13 | 2023-09-15 | 汉兴同衡科技集团有限公司 | 一种抗攻击的信息安全漏洞分析方法、系统、终端及介质 |
| CN116915500B (zh) * | 2023-09-05 | 2023-11-17 | 武汉万数科技有限公司 | 一种接入设备的安全检测方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098306A (zh) * | 2011-01-27 | 2011-06-15 | 北京信安天元科技有限公司 | 基于关联矩阵的网络攻击路径分析方法 |
| CN102130906A (zh) * | 2011-01-27 | 2011-07-20 | 北京信安天元科技有限公司 | 基于随机Petri网的网络安全风险分析方法 |
| CN104394177A (zh) * | 2014-12-16 | 2015-03-04 | 云南电力调度控制中心 | 一种基于全局攻击图的攻击目标可达性的计算方法 |
-
2016
- 2016-05-10 CN CN201610304179.9A patent/CN105871882B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098306A (zh) * | 2011-01-27 | 2011-06-15 | 北京信安天元科技有限公司 | 基于关联矩阵的网络攻击路径分析方法 |
| CN102130906A (zh) * | 2011-01-27 | 2011-07-20 | 北京信安天元科技有限公司 | 基于随机Petri网的网络安全风险分析方法 |
| CN104394177A (zh) * | 2014-12-16 | 2015-03-04 | 云南电力调度控制中心 | 一种基于全局攻击图的攻击目标可达性的计算方法 |
Non-Patent Citations (1)
| Title |
|---|
| 复杂网络攻击建模与安全评估方法研究;王纯子;《中国博士学位论文全文数据库信息科技辑》;20130915;第56-95页 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11799897B2 (en) | 2021-01-21 | 2023-10-24 | T-Mobile Usa, Inc. | Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network |
| US11863990B2 (en) | 2021-01-21 | 2024-01-02 | T-Mobile Usa, Inc. | Cybersecurity system for edge protection of a wireless telecommunications network |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105871882A (zh) | 2016-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105871882B (zh) | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 | |
| CN108933793B (zh) | 基于知识图谱的攻击图生成方法及其装置 | |
| CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
| CN103999089B (zh) | 用于在网络环境中扫描计算机漏洞的系统和方法 | |
| Kotenko et al. | A cyber attack modeling and impact assessment framework | |
| CN105991521B (zh) | 网络风险评估方法和装置 | |
| CN103368976B (zh) | 一种基于攻击图邻接矩阵的网络安全评估装置 | |
| CN115296924B (zh) | 一种基于知识图谱的网络攻击预测方法及装置 | |
| CN108809951A (zh) | 一种适用于工业控制系统的渗透测试框架 | |
| CN109302380A (zh) | 一种安全防护设备联动防御策略智能决策方法及系统 | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN109413109A (zh) | 基于有限状态机的面向天地一体化网络安全状态分析方法 | |
| CN111641634B (zh) | 一种基于蜜网的工业控制网络主动防御系统及其方法 | |
| Li et al. | Towards effective assessment for social engineering attacks | |
| CN117235600A (zh) | 一种用户异常行为检测方法及系统 | |
| Mondal et al. | Review Study on Different Attack Strategies of Worm in a Network. | |
| Chen et al. | Automatic generation of attack strategy for multiple vulnerabilities based on domain knowledge graph | |
| CN114257423A (zh) | 一种基于攻击树的渗透测试综合效果评估方法及系统 | |
| Nie et al. | A covert network attack detection method based on lstm | |
| Song et al. | Hidden target recognition method for high-speed network security threats based on attack graph theory | |
| CN110611636B (zh) | 一种基于大数据算法的失陷主机检测方法 | |
| Eid et al. | IIoT network intrusion detection using machine learning | |
| Azeroual et al. | A framework for implementing an ml or dl model to improve intrusion detection systems (ids) in the ntma context, with an example on the dataset (cse-cic-ids2018) | |
| Li et al. | Hidden Markov model based real time network security quantification method | |
| Hong et al. | Intrusion prevention system in the network of digital mine |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing Co-patentee after: INFORMATION & TELECOMMUNICATION BRANCH OF STATE GRID ZHEJIANG ELECTRONIC POWER Co. Patentee after: State Grid Corporation of China Co-patentee after: INFORMATION COMMUNICATION BRANCH, STATE GRID JIBEI ELECTRIC POWER Co. Co-patentee after: INFORMATION COMMUNICATION COMPANY OF STATE GRID GANSU ELECTRIC POWER Co. Co-patentee after: NARI Group Corp. Co-patentee after: NARI INFORMATION AND COMMUNICATION TECHNOLOGY Co. Address before: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing Co-patentee before: INFORMATION & TELECOMMUNICATION BRANCH OF STATE GRID ZHEJIANG ELECTRONIC POWER Co. Patentee before: State Grid Corporation of China Co-patentee before: INFORMATION COMMUNICATION BRANCH, STATE GRID JIBEI ELECTRIC POWER Co. Co-patentee before: INFORMATION COMMUNICATION COMPANY OF STATE GRID GANSU ELECTRIC POWER Co. Co-patentee before: NARI Group CORPORATION STATE GRID ELECTRIC POWER INSTITUTE Co-patentee before: NARI INFORMATION AND COMMUNICATION TECHNOLOGY Co. |