CN105939306A - 一种基于连通性的网络结构安全性分析方法 - Google Patents

一种基于连通性的网络结构安全性分析方法 Download PDF

Info

Publication number
CN105939306A
CN105939306A CN201510399170.6A CN201510399170A CN105939306A CN 105939306 A CN105939306 A CN 105939306A CN 201510399170 A CN201510399170 A CN 201510399170A CN 105939306 A CN105939306 A CN 105939306A
Authority
CN
China
Prior art keywords
node
network
attack
safety
network structure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510399170.6A
Other languages
English (en)
Inventor
孙桉
孙一桉
徐林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kuang En Network Technology Co Ltd
Original Assignee
Beijing Kuang En Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kuang En Network Technology Co Ltd filed Critical Beijing Kuang En Network Technology Co Ltd
Priority to CN201510399170.6A priority Critical patent/CN105939306A/zh
Publication of CN105939306A publication Critical patent/CN105939306A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于连通性的网络结构安全性分析方法,通过输入需要分析的网络拓扑图,给出所述网络中的网络节点的攻击难易度以及每个网络节点的重要程度,重复搜索从所述的一个网络节点到目标节点的所有路径,对目标节点计算其归一化后的安全系数。本发明的基于连通性的网络结构安全性分析方法对比现有专家评估网络结构安全性的方法,具有全面、客观、便于在大规模复杂网络中应用等优点。

Description

一种基于连通性的网络结构安全性分析方法
技术领域
本发明涉及网络安全,特别涉及一种对网络结构安全性进行分析的方法。
背景技术
随着网络在日常生产及生活中的大量应用,网络安全问题日益凸显并对网络用户造成很大的困扰。尤其是在例如工业控制领域这样的特殊应用领域中,随着工业控制自动化进程的深入,工业控制网络与外部互联网或企业办公网络的信息交互日趋频繁,使得工业控制网络不断面临着来自外部互联网的恶意攻击和内部人员的误操作等威胁。因为早期工控设备使用环境相对封闭,所以工业控制系统在开发时往往更重视功能的实现,而缺少对工控网络自身安全的关注,这也导致工业控制系统中存在不可避免的安全缺陷。
网络的设计是影响安全性的重要因素。如何设计相对安全的网络是急需解决的问题。传统凭借专家评审的方式主观性强,成本高,流程长,在大规模复杂网络部署中,不具备可比性。
发明内容
为解决上述现有技术中存在的问题,本发明提出了一种基于连通性的网络结构安全性分析方法。
本发明假定攻击者已经占领了攻击源的每一个节点,在每个节点上,我们认为攻击者在此节点上的攻破概率P(attack)=100%。由于攻击者对于网络拓扑图是未知的,因此,当攻击每进行一步,攻击者会扫描与当前占领节点i逻辑连通的每一个节点,除去攻击路径上之前经过的节点,共有ni个节点与上一节点直接相连,攻击者尝试进攻每一个节点。此时,前一个节点的P(attack)会被均匀分散到这ni个节点的攻击中。由于攻击方式具有不确定性,存在大量未公开的攻击方式,因此我们不考虑攻击的确凿证据及方法,我们只考虑每个节点被攻破的难易度d,这个量反映了攻击者在此节点上耗费的精力,时间等。d作为一个输入已知量,一般认为与节点的类型、系统、漏洞数量有关。攻击者不走重复节点,攻击每进行一步均作检查是否为路径上的点。如果为新的节点,则标记为攻破,并根据这个节点的d这个计算这个节点的P(attack)。进行深度优先搜索,直到发现节点为目标节点,则记录此路径上结果为P(attack)i。重复上述过程以遍历到目标结点的所有路径搜索,对于目标结点K,计算归一化之后的安全系数。
本发明所采用的技术方案如下:
一种基于连通性的网络结构安全性分析方法,包括以下步骤:
步骤一:输入需要分析的网络的网络拓扑图,给出所述网络中的网络节点的攻击难易度d以及每个网络节点的重要程度importance;
步骤二:根据输入的网络拓扑图确定与网络结构中的一个节点的逻辑连通的n个节点;
步骤三:根据与一个节点连通的n个节点中的任一节点的攻击难易度d,计算该节点的攻破概率P(attack);
步骤四:对所述网络进行深度优先搜索,直至发现目标节点k,则记录此路径上的结果为P(attack)i
步骤五:重复上述步骤一到四直至遍历从所述的一个节点到目标节点k的所有路径搜索,对于目标节点k,归一化后的安全系数为P(safety)i
进一步地,步骤五中所述目标节点k的安全系数P(safety)i通过下式计算: P ( s a f e t y ) i = ln ( Importance k × Σ i P ( a t t a c k ) i n i )
其中,importancek为目标节点k的重要程度,
ni为与所述的一个节点逻辑连通的节点数量。
进一步地,所述网络节点包括用户设备、保护设备以及连接设备。
本发明所产生的有益效果在于:
本发明基于网络拓扑和每个设备节点信息,通过用户定义或自动设定的攻击界面和评估目标,并参考网络拓扑中保护设备的配置进而分析发现设备节点之间的连通性,通过特定的算法评估从攻击界面到评估目标之间的结构安全性,包括潜在攻击的难易度、可能的攻击路径数量等等。同时考虑到攻击者的攻击方法和设备间的相互逻辑,以及模拟通信在防火墙的通信过程,利用客观的计算机算法,综合考虑所有的攻击通过路径,给出全面、客观的评估得分。对比现有专家评估评估网络结构安全性的方法,本发明具有全面、客观、便于在大规模复杂网络中应用等优点。
附图说明
图1为使用本发明的基于连通性的网络结构安全性分析方法进行分析的网络结构的连接拓扑图;
图2为使用本发明的基于连通性的网络结构安全性分析方法进行分析的网络结构的连通性图;
图3为使用本发明的基于连通性的网络结构安全性分析方法进行分析的网络结构的潜在攻击路径图。
具体实施方式
以下以工业控制网络为例对本发明进行详细阐述,应当注意的是,下列实施例仅用于对本发明进行说明而非作为对本发明的限制。本发明的基于连通性的网络结构安全性分析方法除了可以应用在工业控制网络中,还可以用于任何其他的分布式网络。
如图1、图2所示的网络连接拓扑图以及网络连通性图,办公电脑1通过路由器与第一工作站2连通,第二工作站3与可编程逻辑控制器(PLC)4通过路由器连通,两个路由器之间设置防火墙5。并且如图2可知,第一工作站2与第二工作站3之间也是连通的。
基于上述的网络拓扑图,我们可以看到网络设备可以分为以下类别:用户设备,包括办公电脑1、第一工作站2、第二工作站3、PLC4;保护设备,防火墙5;连接设备,路由器。每个节点设备的配置表如表1所示,其中包括被攻破的难易程度d,范围是(0,1),越大代表越容易攻入;还有重要程度importance。
表1用户设备配置表
其中防火墙5的配置的详细通过规则如表2所示:
表格1防火墙通过规则
如图3所示,假定需要计算从办公电脑1到攻击目标PLC4的结构安全性,根据当前网络的连通性,设定最长攻击路径为4步,如果考虑防火墙白名单设置的情况下,我们可以分析得到如表3所示的潜在的攻击路径。
表3潜在的攻击路径
由图3的潜在网络攻击路径图也可以看出,其攻击路径有两条,其中一条为实线箭头所示的路径A:办公电脑1-第二工作站3-PLC4;另外一条为虚线所示的路径B:办公电脑1-第一工作站2-第二工作站3-PLC4。
最终的攻击目标被攻击的可能性为其各个路径总和P(attack)=0.182,即从办公电脑1发起攻击,以给出的参数,攻击者可能攻击到PLC4的概率约为18.2%,结合PLC的重要程度9,最终计算出其安全系数Psafety=Ln(9×0.1836)=0.22。
以上所述实施例仅表达了本发明的实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (3)

1.一种基于连通性的网络结构安全性分析方法,其特征在于,包括以下步骤:
步骤一:输入需要分析的网络的网络拓扑图,给出所述网络中的网络节点的攻击难易度d以及每个网络节点的重要程度importance;
步骤二:根据输入的网络拓扑图确定与网络结构中的一个节点的逻辑连通的n个节点;
步骤三:根据与一个节点连通的n个节点中的任一节点的攻击难易度d,计算该节点的攻破概率P(attack);
步骤四:对所述网络进行深度优先搜索,直至发现目标节点k,则记录此路径上的结果为P(attack)i
步骤五:重复上述步骤一到四直至遍历从所述的一个节点到目标节点k的所有路径搜索,对于目标节点k,归一化后的安全系数为P(safety)i
2.如权利要求1所述的基于连通性的网络结构安全性分析方法,其特征在于,综合以上5个步骤,所述目标节点k的安全系数P(safety)i可总结为以下公式进行计算:
P ( s a f e t y ) i = ln ( Importance k × Σ i P ( a t t a c k ) i n i )
其中,importancek为目标节点k的重要程度,ln为自然对数,
ni为与所述的一个节点逻辑连通的节点数量。
3.如权利要求1所述的基于连通性的网络结构安全性分析方法,其特征在于,所述网络节点包括用户设备、保护设备以及连接设备。
CN201510399170.6A 2015-07-08 2015-07-08 一种基于连通性的网络结构安全性分析方法 Pending CN105939306A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510399170.6A CN105939306A (zh) 2015-07-08 2015-07-08 一种基于连通性的网络结构安全性分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510399170.6A CN105939306A (zh) 2015-07-08 2015-07-08 一种基于连通性的网络结构安全性分析方法

Publications (1)

Publication Number Publication Date
CN105939306A true CN105939306A (zh) 2016-09-14

Family

ID=57152822

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510399170.6A Pending CN105939306A (zh) 2015-07-08 2015-07-08 一种基于连通性的网络结构安全性分析方法

Country Status (1)

Country Link
CN (1) CN105939306A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106657150A (zh) * 2017-01-26 2017-05-10 北京航空航天大学 网络攻击结构的获取方法与装置
CN107040552A (zh) * 2017-06-13 2017-08-11 上海斗象信息科技有限公司 网络攻击路径预测方法
CN107871040A (zh) * 2017-11-06 2018-04-03 中煤航测遥感集团有限公司 管网连通性分析方法及装置
CN109067650A (zh) * 2018-08-13 2018-12-21 中国航空无线电电子研究所 基于srio交换网络的路由自动搜索及配置方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162993A (zh) * 2007-11-29 2008-04-16 哈尔滨工程大学 一种网络风险分析方法
CN101222317A (zh) * 2007-11-29 2008-07-16 哈尔滨工程大学 一种深度优先的攻击图生成方法
CN102413003A (zh) * 2010-09-20 2012-04-11 中国科学院计算技术研究所 检测网络安全性的方法及系统
CN103139220A (zh) * 2013-03-07 2013-06-05 南京理工大学常熟研究院有限公司 一种状态攻防图模型的网络安全攻击防御方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162993A (zh) * 2007-11-29 2008-04-16 哈尔滨工程大学 一种网络风险分析方法
CN101222317A (zh) * 2007-11-29 2008-07-16 哈尔滨工程大学 一种深度优先的攻击图生成方法
CN102413003A (zh) * 2010-09-20 2012-04-11 中国科学院计算技术研究所 检测网络安全性的方法及系统
CN103139220A (zh) * 2013-03-07 2013-06-05 南京理工大学常熟研究院有限公司 一种状态攻防图模型的网络安全攻击防御方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106657150A (zh) * 2017-01-26 2017-05-10 北京航空航天大学 网络攻击结构的获取方法与装置
CN106657150B (zh) * 2017-01-26 2020-01-14 北京航空航天大学 网络攻击结构的获取方法与装置
CN107040552A (zh) * 2017-06-13 2017-08-11 上海斗象信息科技有限公司 网络攻击路径预测方法
CN107871040A (zh) * 2017-11-06 2018-04-03 中煤航测遥感集团有限公司 管网连通性分析方法及装置
CN109067650A (zh) * 2018-08-13 2018-12-21 中国航空无线电电子研究所 基于srio交换网络的路由自动搜索及配置方法
CN109067650B (zh) * 2018-08-13 2020-12-15 中国航空无线电电子研究所 基于srio交换网络的路由自动搜索及配置方法

Similar Documents

Publication Publication Date Title
Myers et al. Anomaly detection for industrial control systems using process mining
Niu et al. Filtering for discrete fuzzy stochastic systems with sensor nonlinearities
Colabianchi et al. Discussing resilience in the context of cyber physical systems
Paudel et al. Detecting dos attack in smart home iot devices using a graph-based approach
Presekal et al. Attack graph model for cyber-physical power systems using hybrid deep learning
CN105939306A (zh) 一种基于连通性的网络结构安全性分析方法
Srivastav et al. Novel intrusion detection system integrating layered framework with neural network
CN105471623A (zh) 一种基于模糊场景的关键ip地址安全报警关联分析方法
Sakhnini et al. A generalizable deep neural network method for detecting attacks in industrial cyber-physical systems
Li et al. Research on Multi‐Target Network Security Assessment with Attack Graph Expert System Model
CN110365708A (zh) 一种基于向量自回归模型的交换机数据异常检测方法
Latif et al. Modeling of sewerage system using internet of things for smart city
CN105991639A (zh) 一种网络攻击路径的分析方法
Jadidi et al. Targeted vaccination for COVID-19 using mobile communication networks
CN103501302A (zh) 一种蠕虫特征自动提取的方法及系统
Ghazi et al. Intrusion detection in cyber-physical systems based on Petri net
Tian et al. A security model of SCADA system based on attack tree
Cheng A new mathematical framework and spatial decision support system for modeling cascade interdependency of critical infrastructure during geo-disasters
Badri et al. Critical infrastructure automated immuno-response system (CIAIRS)
Feng et al. Accident spread and risk propagation mechanism in complex industrial system network
Sharma et al. Security challenges for water distribution system using supervisory control and data acquisition (scada)
Liu et al. SEAG: A novel dynamic security risk assessment method for industrial control systems with consideration of social engineering
Cervone et al. Machine learning for the source detection of atmospheric emissions
Kagan et al. Unsupervised anomalous vertices detection utilizing link prediction algorithms
Liu et al. Research on dynamic model for network security based on artificial immunity

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20160914

RJ01 Rejection of invention patent application after publication