CN106790294A

CN106790294A - 一种5g网络安全风险评估方法

Info

Publication number: CN106790294A
Application number: CN201710149619.2A
Authority: CN
Inventors: 林福宏; 周贤伟; 孙玉霞; 姚琳; 安建伟; 许海涛; 林久智
Original assignee: University of Science and Technology Beijing USTB
Current assignee: University of Science and Technology Beijing USTB
Priority date: 2017-03-10
Filing date: 2017-03-10
Publication date: 2017-05-31
Anticipated expiration: 2037-03-10
Also published as: CN106790294B

Abstract

本发明提供一种5G网络安全风险评估方法，能够客观地反映5G网络的安全现状。所述方法包括：识别网络中的资产，评估资产在机密性、完整性、可用性、多方可信任性和可审计性方面的属性值，所述网络为5G网络；识别网络中的脆弱点，评估脆弱点对机密性、完整性、可用性、多方可信任性和可审计性方面的影响值；根据评估得到的属性值和影响值，计算网络遭攻击者攻击后的损失值；计算网络中脆弱点被攻击的概率；根据计算得到的网络遭攻击者攻击后的损失值和脆弱点被攻击的概率，计算网络的安全风险值。本发明适用于5G网络安全技术领域。

Description

一种5G网络安全风险评估方法

技术领域

本发明涉及5G网络安全技术领域，特别是指一种5G网络安全风险评估方法。

背景技术

5G网络肩负着满足未来通信的全新需求的重任，将是实现全面连接、全面移动信息化的重要基石，并且籍由诸多全新的应用方式，将改变我们的生活。显而易见，新的通信需求和应用环境下，5G网络在安全方面自然也会有显著不同的需求。

在传统的移动通信网络中人的主要通信目的是与其他终端进行语音、短信或视频的通信，人们通过智能手机享受快速上网服务，使用手机APP。对于5G时代，移动通信网络不仅仅服务于个人消费者，更重要的是将服务于垂直行业，衍生出丰富的业务。5G时代还会有全球化的移动物联网，这不仅仅是更快的移动网络，或更强大的智能手机，而是链接世界的新型业务。除了承载最传统的语音和数据业务，大量垂直行业应用，诸如物联网、车联网、远程数据服务、虚拟现实，现实增强应用，等也将通过5G网络得以实现和普及。

为提高系统的灵活性和效率，并降低成本，5G网络架构将引入新的IT技术，如虚拟化和软件定义网络(Software Defined Network，SDN)/网络功能虚拟化(NetworkFunction Virtualization，NFV)。新技术的引入，也为5G安全架构带来了新挑战。因此5G网络比以往几代在安全性配置方面，要求有更高的灵活性。传统网络中，系统中功能网元的保护很大程度上依赖于对物理设备的安全隔离。而5G网络中NFV技术的部署，使得部分功能网元以虚拟功能网元的形式部署在云化的基础设施上。因此，5G安全需要考虑5G基础设施的安全，从而保障5G业务在NFV环境下能够安全运行。

异构接入网络将是下一代接入网络的主要技术特征之一，异构不仅体现在接入技术的不同，如Wi-Fi和LTE，还体现在接入网络因为属于不同拥有者而造成的局部网络架构方面的差异，因此，5G网络需要构建一个通用的安全机制，能够在不同的接入技术，不安全的接入网之上建立一个安全的运营网络。

随着5G研究如火如荼的开展，业界对5G安全架构、安全机制也愈发重视。

大唐电信集团发布了题为《建设安全可信的网络空间》的5G网络安全白皮书，提出了实现网络安全所必须的三个核心要素：身份可信、网络可信和实体可信。在传统接入安全、传输安全的基础上，5G需要实现网络空间与现实空间的有效映射，提供满足不同应用场景的多级别安全保证，使网络实体自身具备安全免疫能力，构建安全可信的网络空间。

华为于2016年5月发表了《5G安全需求及原理》白皮书，书中全面阐述了5G网络的安全目标及5G时代的安全观点等。

随着移动互联网的迅速发展，很多垂直行业的业务，包括医疗健康，智能家具和智能交通等，将会转移到5G网络平台上，相关的隐私信息也将随着业务的转移，从封闭的平台转移到开放的平台上，泄露的风险也因此增加。运营商网络作为用户接入网络的主要通道，大量的个人隐私信息，包括身份，位置，健康等，包含在传输的数据和信令中。同时，为了满足不同业务对网络性能的不同需求，运营商需要通过感知用户的业务类型为用户定制网络切片服务。业务感知可能涉及用户的隐私。因此，为了保护用户隐私，5G网络需要提供比传统网络更加广泛严密的保护方案。

不同于传统的3G、4G移动网络，5G网络中引入了多接入等新技术，此外，强大的大数据、大流量的业务能力，使得5G网络具有不同于传统移动网络的特点，由此，传统移动网络的安全风险评估技术已不能反应5G网络的安全现状。

发明内容

本发明要解决的技术问题是提供一种5G网络安全风险评估方法，以解决现有技术所存在的传统移动网络的安全风险评估技术已不能反应5G网络的安全现状的问题。

为解决上述技术问题，本发明实施例提供一种5G网络安全风险评估方法，包括：

识别网络中的资产，评估资产在机密性、完整性、可用性、多方可信任性和可审计性方面的属性值，所述网络为5G网络；

识别网络中的脆弱点，评估脆弱点对机密性、完整性、可用性、多方可信任性和可审计性方面的影响值；

根据评估得到的属性值和影响值，计算网络遭攻击者攻击后的损失值；

计算网络中脆弱点被攻击的概率；

根据计算得到的网络遭攻击者攻击后的损失值和脆弱点被攻击的概率，计算网络的安全风险值。

进一步地，所述评估资产在机密性、完整性、可用性、多方可信任性和可审计性方面的属性值包括：

根据资产赋值标准，评估网络中资产在机密性、完整性和可用性方面的属性值；

利用Delphi专家打分法，评估网络中资产在多方可用性和可审计性方面的属性值。

进一步地，所述评估脆弱点对机密性、完整性、可用性、多方可信任性和可审计性方面的影响值包括：

根据CVSS脆弱点评价体系，评估脆弱点对机密性、完整性和可用性方面的影响值；

利用Delphi专家打分法，评估脆弱点对多方可信任性和可审计性方面的影响值。

进一步地，所述计算网络遭攻击者攻击后的损失值包括：

利用公式Damage＝L_C×V_C+L_I×V_I+L_A×V_A+L_T×V_T+L_Au×V_Au计算网络遭攻击者攻击后的损失值；

其中，Damage表示网络遭攻击者攻击后的损失值，V_C、V_I、V_A、V_T、V_AU分别表示资产在机密性、完整性、可用性、多方可信任性和可审计性方面的属性值，L_C、L_I、L_A、L_T、L_AU分别表示脆弱点对机密性、完整性、可用性、多方可信任性和可审计性方面的影响值。

进一步地，在计算网络中脆弱点被攻击的概率之前，所述方法还包括：

识别网络中的威胁，匹配所利用的脆弱点；

识别网络中已有的安全控制措施，结合网络中威胁所利用的脆弱点，评估实施安全控制措施过程中的资源消耗、脆弱点修复过程中的修复损耗。

进一步地，所述计算网络中脆弱点被攻击的概率包括：

利用公式计算网络中脆弱点被攻击的概率；

其中，D_CE、D_CR分别表示实施安全控制措施过程中的资源消耗、脆弱点修复过程中的修复损耗，p表示防御者对攻击者攻击的正确检测率，p_A表示网络中脆弱点被攻击的概率，Restore表示网络遭攻击者攻击后的恢复值。

进一步地，所述Restore＝R_C×V_C+R_I×V_I+R_A×V_A+R_T×V_T+R_Au×V_Au；

其中，R_C、R_I、R_A、R_T、R_Au分别表示脆弱点在机密性、完整性、可用性、多方可信任性、可审计性方面的恢复系数，V_C、V_I、V_A、V_T、V_AU分别表示资产在机密性、完整性、可用性、多方可信任性和可审计性方面的属性值。

进一步地，所述根据计算得到的网络遭攻击者攻击后的损失值和脆弱点被攻击的概率，计算网络的安全风险值包括：

利用公式R＝p_A×Damage计算每个脆弱点的安全风险值；

利用公式计算网络的安全风险值；

其中，R表示每个脆弱点的安全风险值，p_A表示网络中脆弱点被攻击的概率，Damage表示网络遭攻击者攻击后的损失值，R_all表示网络的安全风险值，m_i表示第i资产的脆弱点有m_i个，i＝1,2,3……n为资产标识，R_j标识第j个脆弱点的安全风险值。

进一步地，所述方法还包括：

在一次攻击者和防御者的博弈过程中，若攻击者和防御者形成的博弈状态为攻击者攻击、防御者防御，则：

攻击者的利益A_B＝(Damage-Restore)×p+Damage×(1-p)；

防御者的利益D_B＝(-Damage+Restore)×p+(-Damage)×(1-p)；

攻击者的成本A_C＝A_CE；

防御者的成本D_C＝(D_CE+D_CR)×p+D_CE×(1-p)＝D_CE+D_CR×(1-p)；

其中，Damage表示网络遭攻击者攻击后的损失值，Restore表示网络遭攻击者攻击后的恢复值，D_CE、D_CR分别表示实施安全控制措施过程中的资源消耗、脆弱点修复过程中的修复损耗，p表示防御者对攻击者攻击的正确检测率，A_CE表示攻击过程中的资源消耗。

进一步地，在一次攻击者和防御者的博弈过程中，若攻击者和防御者形成的博弈状态为攻击者不攻击、防御者防御，则：

攻击者的利益A_B＝0；

防御者的利益D_B＝0；

攻击者的成本A_C＝0；

防御者的成本D_C＝D_CE+D_CR×(1-p)。

本发明的上述技术方案的有益效果如下：

上述方案中，通过识别网络中的资产，评估资产在机密性、完整性、可用性、多方可信任性和可审计性方面的属性值，所述网络为5G网络；识别网络中的脆弱点，评估脆弱点对机密性、完整性、可用性、多方可信任性和可审计性方面的影响值；根据评估得到的属性值和影响值，计算网络遭攻击者攻击后的损失值；计算网络中脆弱点被攻击的概率；根据计算得到的网络遭攻击者攻击后的损失值和脆弱点被攻击的概率，计算网络的安全风险值，从而客观地反映5G网络的安全现状，能够为采取下一步安全管理措施打好基础，对于大力推进5G网络的建设具有重要意义。

附图说明

图1为本发明实施例提供的5G网络安全风险评估方法的流程示意图；

图2为本发明实施例提供的攻防双方所有可能的博弈状态示意图；

图3为本发明实施例提供的5G网络安全风险评估方法的详细流程示意图；

图4(a)为本发明实施例提供的攻击者的利益和成本示意图；

图4(b)为本发明实施例提供的防御者的利益和成本示意图；

图5为本发明实施例提供的防御者防御概率的仿真示意图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

本发明针对现有的传统移动网络的安全风险评估技术已不能反应5G网络的安全现状的问题，提供一种5G网络安全风险评估方法。

参看图1所示，本发明实施例提供的5G网络安全风险评估方法，包括：

S101，识别网络中的资产，评估资产在机密性、完整性、可用性、多方可信任性和可审计性方面的属性值，所述网络为5G网络；

S102，识别网络中的脆弱点，评估脆弱点对机密性、完整性、可用性、多方可信任性和可审计性方面的影响值；

S103，根据评估得到的属性值和影响值，计算网络遭攻击者攻击后的损失值；

S104，计算网络中脆弱点被攻击的概率；

S105，根据计算得到的网络遭攻击者攻击后的损失值和脆弱点被攻击的概率，计算网络的安全风险值。

本发明实施例所述的5G网络安全风险评估方法，通过识别网络中的资产，评估资产在机密性、完整性、可用性、多方可信任性和可审计性方面的属性值，所述网络为5G网络；识别网络中的脆弱点，评估脆弱点对机密性、完整性、可用性、多方可信任性和可审计性方面的影响值；根据评估得到的属性值和影响值，计算网络遭攻击者攻击后的损失值；计算网络中脆弱点被攻击的概率；根据计算得到的网络遭攻击者攻击后的损失值和脆弱点被攻击的概率，计算网络的安全风险值，从而客观地反映5G网络的安全现状，能够为采取下一步安全管理措施打好基础，对于大力推进5G网络的建设具有重要意义。

本实施例在总结传统网络与5G网络不同之处的基础上，提出两个具有5G网络特点的信息安全属性——多方可信任性和可审计性；针对5G网络环境所面临的威胁，结合传统网络安全风险评估方法，利用博弈论细致地分析了博弈双方的博弈过程，包括攻防过程以及恢复过程，构建了一种基于博弈论的5G网络安全风险评估模型；该风险评估模型由参与者、行动集以及效用函数三部分组成。

本实施例中，参与者包括5G网络的攻击者和防御者。在5G网络中，攻击者和防御者会根据对方采取的措施对自己采用的策略做出相应的调整，在一次攻击者和防御者的博弈过程中，攻击者可以选择攻击或不攻击，即S_A＝{Attack,No Attack}，相应的，防御者可以选择防御或不防御，即S_D＝{Defense,No Defense}，由此，攻击者和防御者会形成四种博弈状态，即攻击者攻击防御者防御(Attack,Defense)，攻击者不攻击防御者防御(No Attack,Defense)，攻击者攻击防御者不防御(Attack,No Defense)和攻击者不攻击防御者不防御(No Attack,No Defense)这四种博弈状态，如图2所示。

如图3所示，本发明实施例提供的5G网络安全风险评估方法主要包括三个阶段：

第一阶段：利用基于信息流的资产识别方法和Nessus、Snort等技术识别5G网络环境中的资产、威胁及脆弱点(脆弱点也可以称为：漏洞)，并就信息的机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、多方可信任性(multi-Trust)、可审计性(Auditability)五方面属性，评估资产在机密性、完整性、可用性、多方可信任性和可审计性方面的属性值及脆弱点影响值。

本实施例中，所述评估资产在机密性、完整性、可用性、多方可信任性和可审计性方面的属性值具体可以包括：

利用德尔菲法(Delphi)专家打分法，评估网络中资产在多方可用性和可审计性方面的属性值。

本实施例中，所述评估脆弱点影响值具体可以包括：

根据通用漏洞评分系统(Common Vulnerability Scoring System，CVSS)脆弱点评价体系，评估脆弱点对机密性、完整性和可用性方面的影响值；

第二阶段：利用博弈论，就某一脆弱点，分析网络防御者与攻击者的博弈过程，根据纳什均衡原理，计算最坏情况下攻击者的攻击概率及由此对5G网络环境造成的损失。

本实施例中，根据评估得到的属性值和影响值，计算网络遭攻击者攻击后，对5G网络环境造成的的损失值，具体为:定义5G网络的损害函数计算网络遭攻击者攻击后的损失值，所述损害函数为：

Damage＝L_C×V_C+L_I×V_I+L_A×V_A+L_T×V_T+L_Au×V_Au，

其中，V_C、V_I、V_A、V_T、V_Au分别为资产在机密性、完整性、可用性、多方可信任性和可审计性方面的属性值，L_C、L_I、L_A、L_T、L_Au则表示当5G网络受到攻击时，网络中的脆弱点对机密性、完整性、可用性、多方可信任性、可审计性方面的影响值(影响值也可以称为：损害系数)；不同的威胁，对机密性、完整性、可用性、多方可信任性和可审计性方面的影响值不相同。

本实施例中，在计算最坏情况下攻击者的攻击概率，还要识别网络中的威胁，匹配所利用的脆弱点；并识别网络中已有的安全控制措施，结合网络中威胁所利用的脆弱点，评估实施安全控制措施过程中的资源消耗、脆弱点修复过程中的修复损耗；具体的，可以定义攻击者、防御者的效用函数(Utility)分别为：A_U＝A_B-A_C、D_U＝D_B-D_C，其中，A_B为攻击者的利益；A_C为攻击者的成本，包括攻击过程中的资源消耗(A_CE)，如病毒资源等；D_B为防御者的利益；D_C为防御者的成本，包括实施安全控制措施过程中的资源损耗(D_CE)，如安全资源等，以及脆弱点修复过程中的修复损耗D_CR等，如图4(a)和图4(b)所示。

本实施例中，D_CE、D_CR的值可以通过Delphi专家打分法确定。

本实施例中，当防御者检测到5G网络遭到攻击时，系统会做出相应的反应，以尽力恢复系统的资产，恢复的系统资产定义为：

Restore＝R_C×V_C+R_I×V_I+R_A×V_A+R_T×V_T+R_Au×V_Au

其中，Restore表示网络遭攻击者攻击后的恢复值，R_C、R_I、R_A、R_T、R_Au分别表示脆弱点在机密性、完整性、可用性、多方可信任性、可审计性方面的恢复系数。

本实施例中，防御者对攻击者的攻击进行检测，检测结果分为：正确检测、误测以及失测，其中正确检测率为p，误测率和失测率为(1-p)。对攻击者的正确检测会导致攻击者的攻击失败，同时，会引起防御者的一系列响应，造成防御者的成本消耗。对攻击者的误测会导致防御者做出无用的响应，包括资源响应和恢复响应等；对攻击者的失测会导致攻击者攻击成功且防御者不会采取任何补救措施，也不会对攻击者做出惩罚，相当于(Attack,No Defense)的状态。

本实施例中，接着分析四种博弈状态：

1)(Attack,Defense)

当防御者正确检测到攻击时，其攻击者的利益为A_B1＝Damage-Restore，防御者的利益为D_B1＝-Damage+Restore，攻击者的成本A_C1＝A_CE，防御者的成本D_C1＝D_CE+D_CR，其中，D_CR是防御者对系统进行恢复时消耗的成本。

当防御者失测时，防御者没有检测到存在的攻击，这时，攻击者的利益其利益为A_B2＝Damage，防御者的利益D_B2＝-Damage，攻击者的成本A_C2＝A_CE，防御者的成本D_C2＝D_CE。

由于防御者正确检测到攻击的概率为p，相应的，不能正确检测到攻击的概率为(1-p)，因此，若在(Attack,Defense)博弈状态下，则：

攻击者的利益A_B＝(Damage-Restore)×p+Damage×(1-p)；

防御者的利益D_B＝(-Damage+Restore)×p+(-Damage)×(1-p)；

攻击者的成本A_C＝A_CE；

防御者的成本D_C＝(D_CE+D_CR)×p+D_CE×(1-p)＝D_CE+D_CR×(1-p)。

2)(Attack,No Defense)

若在(Attack,No Defense)博弈状态下，则：

攻击者的利益A_B＝Damage；

防御者的利益D_B＝-Damage；

攻击者的成本A_C＝A_CE；

防御者的成本D_C＝0。

3)(No Attack,Defense)

当防御者正确检测，即没有检测到攻击时，攻击者的利益A_B＝0，防御者的利益D_B＝0；攻击者的成本A_C＝0，防御者的成本D_C＝D_CE。当防御者出现了误测的情况，即，本不存在攻击，但防御者的检测结果为存在攻击，这时，防御者的检测结果会引起系统的一系列响应，包括对系统进行无用的恢复，造成资源的浪费，这种情况下，攻击者的利益A_B＝0，防御者的利益D_B＝0。相应的，攻击者的攻击成本A_C＝0，防御者的防御成本D_C＝D_CE+D_CR。防御者正确检测的概率为p，则误测的概率为1-p，若在(No Attack,Defense)博弈状态下，则：

攻击者的利益A_B＝0；

防御者的利益D_B＝0；

攻击者的成本A_C＝0；

防御者的成本D_C＝D_CE+D_CR×(1-p)。

4)(No Attack,No Defense)

在(No Attack,No Defense)博弈状态下，攻防双方都没有相应的动作，因此攻击者的利益A_B＝0，防御者的利益D_B＝0。相应的，攻击者的成本A_C＝0，防御者的成本D_C＝0。在一次攻击者和防御者的博弈过程中，若攻击者和防御者形成的状态为攻击者不攻击、防御者不防御(No Attack,No Defense)，则：

攻击者的利益A_B＝0；

防御者的利益D_B＝0；

攻击者的成本A_C＝0；

防御者的成本D_C＝0。

本实施例中，由纳什均衡求脆弱点被攻击的概率p_A：

第三阶段：首先计算单个脆弱点的安全风险值R＝p_A×Damage，假设某一资产上，有m个脆弱点，则该资产面临的安全风险值其中，R_i是第i个脆弱点的安全风险值，以此类推，计算整个5G网络的安全风险值。

本实施例中，根据纳什均衡原理，计算得出脆弱点被攻击的概率p_A，脆弱点被攻击的概率p_A的仿真示意图如图5所示，结合5G网络遭攻击者攻击后的损失值公式：Damage＝L_C×V_C+L_I×V_I+L_A×V_A+L_T×V_T+L_Au×V_Au，计算单个脆弱点的风险值R＝p_A×Damage，假设一处资产的脆弱点有m_i个，其中，i＝1,2,3……n为资产标识，则该5G网络的总安全风险值为：

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

1.一种5G网络安全风险评估方法，其特征在于，包括：

计算网络中脆弱点被攻击的概率；

2.根据权利要求1所述的5G网络安全风险评估方法，其特征在于，所述评估资产在机密性、完整性、可用性、多方可信任性和可审计性方面的属性值包括：

3.根据权利要求1所述的5G网络安全风险评估方法，其特征在于，所述评估脆弱点对机密性、完整性、可用性、多方可信任性和可审计性方面的影响值包括：

4.根据权利要求1所述的5G网络安全风险评估方法，其特征在于，所述计算网络遭攻击者攻击后的损失值包括：

5.根据权利要求1所述的5G网络安全风险评估方法，其特征在于，在计算网络中脆弱点被攻击的概率之前，所述方法还包括：

识别网络中的威胁，匹配所利用的脆弱点；

6.根据权利要求1所述的5G网络安全风险评估方法，其特征在于，所述计算网络中脆弱点被攻击的概率包括：

利用公式计算网络中脆弱点被攻击的概率；

7.根据权利要求6所述的5G网络安全风险评估方法，其特征在于，所述Restore＝R_C×V_C+R_I×V_I+R_A×V_A+R_T×V_T+R_Au×V_Au；

8.根据权利要求1所述的5G网络安全风险评估方法，其特征在于，所述根据计算得到的网络遭攻击者攻击后的损失值和脆弱点被攻击的概率，计算网络的安全风险值包括：

利用公式R＝p_A×Damage计算每个脆弱点的安全风险值；

利用公式计算网络的安全风险值；

9.根据权利要求1所述的5G网络安全风险评估方法，其特征在于，所述方法还包括：

攻击者的利益A_B＝(Damage-Restore)×p+Damage×(1-p)；

防御者的利益D_B＝(-Damage+Restore)×p+(-Damage)×(1-p)；

攻击者的成本A_C＝A_CE；

防御者的成本D_C＝(D_CE+D_CR)×p+D_CE×(1-p)＝D_CE+D_CR×(1-p)；

10.根据权利要求9所述的5G网络安全风险评估方法，其特征在于，在一次攻击者和防御者的博弈过程中，若攻击者和防御者形成的博弈状态为攻击者不攻击、防御者防御，则：

攻击者的利益A_B＝0；

防御者的利益D_B＝0；

攻击者的成本A_C＝0；

防御者的成本D_C＝D_CE+D_CR×(1-p)。