CN108809976A - 网络目标防御效能评估方法、电子设备、存储介质及系统 - Google Patents
网络目标防御效能评估方法、电子设备、存储介质及系统 Download PDFInfo
- Publication number
- CN108809976A CN108809976A CN201810588918.0A CN201810588918A CN108809976A CN 108809976 A CN108809976 A CN 108809976A CN 201810588918 A CN201810588918 A CN 201810588918A CN 108809976 A CN108809976 A CN 108809976A
- Authority
- CN
- China
- Prior art keywords
- hierarchical
- internet resources
- network resource
- resource
- defence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明提供的网络目标防御效能评估方法,包括将网络资源图进行分层处理得到分层网络资源图;获取初始时刻的初始分层网络资源图及当前的当前分层网络资源图;检测初始节点层与当前节点层的相似度;计算初始分层网络资源图和当前分层网络资源图中资源层的资源依赖关系和资源关联度;根据资源关联度以及资源依赖关系计算当前分层网络资源图的防御成功率以及防御成本;根据防御成功率以及防御成本评估防御效益。本发明的网络目标防御效能评估方法通过检测分层后的网络资源图中传输过程中前后时刻分层网络资源图中的节点层的相似度以及资源层的资源依赖关系和资源关联度从而评估防御效益,可以清晰明确的评估出网络目标的防御结果的好坏。
Description
技术领域
本发明涉及目标防御领域,尤其涉及网络目标防御效能评估方法、电子设备、存储介质及系统。
背景技术
当前的网络系统具有确定性、静态性和同质性的特点,攻击者一旦掌握了特定的漏洞信息,就能在脆弱性时间窗内构造攻击、入侵系统,并能够低成本地复制攻击到更大范围的类似网络系统。日益复杂的攻击手段和层出不穷的零日漏洞,使传统的静态防御方法愈加被动。为了改变这种攻防不对称的局面,移动目标防御(MTD,moving target defense)应运而生,它的核心思想是“创建、评估和部署多样性的、不断转变的和随时间变化的机制与策略,以增加攻击者攻击的复杂性和成本,限制漏洞被暴露和被攻击的机会,并增加系统的弹性”。通过对目标系统的攻击面进行多层次、持续和动态的转变,以增加攻击者的攻击成本和代价,降低入侵成功率直至迫使攻击者放弃攻击,从而提高防御目标的安全性。网络移动目标防御(NMTD,network moving target defense)通过动态、随机化网络属性配置,能够大大提高攻击者探测网络目标的难度,从而有效抵御多种网络攻击。目前,研究者已经提出多种网络移动目标防御技术和实现方法,目前如何有效评估网络移动目标防御的安全效果很难评估以及并没有一套完整的评估方法。
发明内容
为了克服现有技术的不足,本发明的目的之一在于提供网络目标防御效能评估方法,其能解决目前如何有效评估网络移动目标防御的安全效果很难评估以及并没有一套完整的评估方法的问题。
本发明的目的之二在于提供一种电子设备,其能解决目前如何有效评估网络移动目标防御的安全效果很难评估以及并没有一套完整的评估方法的问题。
本发明的目的之三在于提供一种存储介质,其能解决目前如何有效评估网络移动目标防御的安全效果很难评估以及并没有一套完整的评估方法的问题。
本发明的目的之四在于提供网络目标防御效能评估系统,其能解决目前如何有效评估网络移动目标防御的安全效果很难评估以及并没有一套完整的评估方法的问题。
本发明的目的之一采用以下技术方案实现:
网络目标防御效能评估方法,其特征在于包括:
网络资源图获取,获取含有网络移动目标的网络资源图;
分层网络资源图构建,将所述网络资源图进行分层处理得到为含有节点层和资源层的分层网络资源图;
分层网络资源传输,将所述分层网络资源图进行网络传输,并获取初始时刻的初始分层网络资源图及当前的当前分层网络资源图;
节点层检测,根据最小生成树算法对所述初始分层网络资源图和所述当前分层网络资源图进行遍历,检测所述初始分层网络资源图中的初始节点层与所述当前分层网络资源图中的当前节点层的相似度;
标准化度量,计算所述初始分层网络资源图和所述当前分层网络资源图中资源层的资源依赖关系和资源关联度;
效能评估,根据所述资源关联度以及所述资源依赖关系计算所述当前分层网络资源图的防御成功率以及防御成本;根据所述防御成功率以及防御成本评估防御效益。
进一步地,所述资源层描述了恶意敌手在所述分层网络资源图中的一个节点内利用脆弱性入侵的所有可能偏序关系;所述节点层描述了由于恶意敌手入侵所述分层网络资源图或者所述分层网络资源图跳变导致的所述分层网络资源图中的节点状态转移。
进一步地,所述分层网络资源图包括顶点集合和有向边集合,所述顶点集合由所述分层网络资源图中的网络节点的安全状态属性和脆弱性组成,所述有向边集合由所述脆弱性被改变的判定条件组成。
进一步地,所述判定条件包括前置条件和后置条件。
本发明的目的之二采用以下技术方案实现:
一种电子设备,包括:处理器;
存储器;以及程序,其中所述程序被存储在所述存储器中,并且被配置成由处理器执行,所述程序包括用于执行本发明的网络目标防御效能评估方法。
本发明的目的之三采用以下技术方案实现:
一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行本发明的网络目标防御效能评估方法。
本发明的目的之四采用以下技术方案实现:
网络目标防御效能评估系统,包括:
网络资源图获取模块,所述网络资源图获取模块用于获取含有网络移动目标的网络资源图;
分层网络资源图构建模块,所述分层网络资源图构建模块用于将所述网络资源图进行分层处理得到为含有节点层和资源层的分层网络资源图;
分层网络资源传输模块,所述分层网络资源传输模块用于将所述分层网络资源图进行网络传输,并获取初始时刻的初始分层网络资源图及当前的当前分层网络资源图;
节点层检测模块,所述节点层检测模块用于根据最小生成树算法对所述初始分层网络资源图和所述当前分层网络资源图进行遍历,检测所述初始分层网络资源图中的初始节点层与所述当前分层网络资源图中的当前节点层的相似度;
标准化度量模块,所述标准化度量模块用于计算所述初始分层网络资源图和所述当前分层网络资源图中资源层的资源依赖关系和资源关联度;
效能评估模块,所述效能评估模块用于根据所述资源关联度以及所述资源依赖关系计算所述当前分层网络资源图的防御成功率以及防御成本;根据所述防御成功率以及防御成本评估防御效益。
进一步地,所述节点层检测模块包括遍历单元和检测单元,所述遍历单元用于根据最小生成树算法对所述初始分层网络资源图和所述当前分层网络资源图进行遍历,所述检测单元用于检测所述初始分层网络资源图中的初始节点层与所述当前分层网络资源图中的当前节点层的相似度。
进一步地,所述效能评估模块包括计算单元和评估单元,所述计算单元用于根据所述资源关联度以及所述资源依赖关系计算所述当前分层网络资源图的防御成功率以及防御成本,所述计算单元用于根据所述防御成功率以及防御成本进行评估防御效益。
进一步地,所述分层网络资源图包括顶点集合和有向边集合,所述顶点集合由所述分层网络资源图中的网络节点的安全状态属性和脆弱性组成,所述有向边集合由所述脆弱性被改变判定条件组成。
相比现有技术,本发明的有益效果在于:本发明的网络目标防御效能评估方法,获取含有网络移动目标的网络资源图;将网络资源图进行分层处理得到为含有节点层和资源层的分层网络资源图;将分层网络资源图进行网络传输,并获取初始时刻的初始分层网络资源图及当前的当前分层网络资源图;根据最小生成树算法对初始分层网络资源图和当前分层网络资源图进行遍历,检测初始分层网络资源图中的初始节点层与当前分层网络资源图中的当前节点层的相似度;计算初始分层网络资源图和当前分层网络资源图中资源层的资源依赖关系和资源关联度;根据资源关联度以及资源依赖关系计算当前分层网络资源图的防御成功率以及防御成本;根据防御成功率以及防御成本评估防御效益;通过将网络资源图进行分层,以及检测分层后的网络资源图中传输过程中前后时刻分层网络资源图中的节点层的相似度以及资源层的资源依赖关系和资源关联度从而评估防御效益,可以清晰明确的评估出网络目标的防御结果的好坏,形成了完整的评估方法。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,并可依照说明书的内容予以实施,以下以本发明的较佳实施例并配合附图详细说明如后。本发明的具体实施方式由以下实施例及其附图详细给出。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明的网络目标防御效能评估方法的流程图;
图2为本发明的网络目标防御效能评估系统的模块框图。
具体实施方式
下面,结合附图以及具体实施方式,对本发明做进一步描述,需要说明的是,在不相冲突的前提下,以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。
本发明的网络目标防御效能评估方法,如图1所示,具体包括以下步骤:
网络资源图获取,获取含有网络移动目标的网络资源图;
分层网络资源图构建,将网络资源图进行分层处理得到为含有节点层和资源层的分层网络资源图;资源层描述了恶意敌手在分层网络资源图中的一个节点内利用脆弱性入侵的所有可能偏序关系;在本实施例中节点层描述了由于恶意敌手入侵分层网络资源图或者分层网络资源图跳变导致的分层网络资源图中的节点状态转移。分层网络资源图包括顶点集合和有向边集合,顶点集合由分层网络资源图中的网络节点的安全状态属性和脆弱性组成,有向边集合由脆弱性被改变的判定条件组成;判定条件包括前置条件和后置条件。
分层网络资源传输,将分层网络资源图进行网络传输,并获取初始时刻的初始分层网络资源图及当前的当前分层网络资源图;
节点层检测,根据最小生成树算法对初始分层网络资源图和当前分层网络资源图进行遍历,检测初始分层网络资源图中的初始节点层与当前分层网络资源图中的当前节点层的相似度;
标准化度量,计算初始分层网络资源图和当前分层网络资源图中资源层的资源依赖关系和资源关联度;
效能评估,根据资源关联度以及资源依赖关系计算当前分层网络资源图的防御成功率以及防御成本;根据防御成功率以及防御成本评估防御效益,当防御成功率比较高且防御成本比较低时,则判定防御的效益最佳。
本发明提供一种电子设备,包括:处理器;
存储器;以及程序,其中程序被存储在存储器中,并且被配置成由处理器执行,程序包括用于执行本发明的网络目标防御效能评估方法。
本发明还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行本发明的网络目标防御效能评估方法。
如图2所示,本发明还提供网络目标防御效能评估系统,包括:
网络目标防御效能评估系统,包括:网络资源图获取模块,网络资源图获取模块用于获取含有网络移动目标的网络资源图;分层网络资源图构建模块,分层网络资源图构建模块用于将网络资源图进行分层处理得到为含有节点层和资源层的分层网络资源图;分层网络资源传输模块,分层网络资源传输模块用于将分层网络资源图进行网络传输,并获取初始时刻的初始分层网络资源图及当前的当前分层网络资源图;节点层检测模块,节点层检测模块用于根据最小生成树算法对初始分层网络资源图和当前分层网络资源图进行遍历,检测初始分层网络资源图中的初始节点层与当前分层网络资源图中的当前节点层的相似度;标准化度量模块,标准化度量模块用于计算初始分层网络资源图和当前分层网络资源图中资源层的资源依赖关系和资源关联度;效能评估模块,效能评估模块用于根据资源关联度以及资源依赖关系计算当前分层网络资源图的防御成功率以及防御成本;根据防御成功率以及防御成本评估防御效益。节点层检测模块包括遍历单元和检测单元,遍历单元用于根据最小生成树算法对初始分层网络资源图和当前分层网络资源图进行遍历,检测单元用于检测初始分层网络资源图中的初始节点层与当前分层网络资源图中的当前节点层的相似度。效能评估模块包括计算单元和评估单元,计算单元用于根据资源关联度以及资源依赖关系计算当前分层网络资源图的防御成功率以及防御成本,计算单元用于根据防御成功率以及防御成本进行评估防御效益。分层网络资源图包括顶点集合和有向边集合,顶点集合由分层网络资源图中的网络节点的安全状态属性和脆弱性组成,有向边集合由脆弱性被改变判定条件组成。
本发明的网络目标防御效能评估方法,获取含有网络移动目标的网络资源图;将网络资源图进行分层处理得到为含有节点层和资源层的分层网络资源图;将分层网络资源图进行网络传输,并获取初始时刻的初始分层网络资源图及当前的当前分层网络资源图;根据最小生成树算法对初始分层网络资源图和当前分层网络资源图进行遍历,检测初始分层网络资源图中的初始节点层与当前分层网络资源图中的当前节点层的相似度;计算初始分层网络资源图和当前分层网络资源图中资源层的资源依赖关系和资源关联度;根据资源关联度以及资源依赖关系计算当前分层网络资源图的防御成功率以及防御成本;根据防御成功率以及防御成本评估防御效益;通过将网络资源图进行分层,以及检测分层后的网络资源图中传输过程中前后时刻分层网络资源图中的节点层的相似度以及资源层的资源依赖关系和资源关联度从而评估防御效益,可以清晰明确的评估出网络目标的防御结果的好坏,形成了完整的评估方法。
以上,仅为本发明的较佳实施例而已,并非对本发明作任何形式上的限制;凡本行业的普通技术人员均可按说明书附图所示和以上而顺畅地实施本发明;但是,凡熟悉本专业的技术人员在不脱离本发明技术方案范围内,利用以上所揭示的技术内容而做出的些许更动、修饰与演变的等同变化,均为本发明的等效实施例;同时,凡依据本发明的实质技术对以上实施例所作的任何等同变化的更动、修饰与演变等,均仍属于本发明的技术方案的保护范围之内。
Claims (10)
1.网络目标防御效能评估方法,其特征在于包括:
网络资源图获取,获取含有网络移动目标的网络资源图;
分层网络资源图构建,将所述网络资源图进行分层处理得到为含有节点层和资源层的分层网络资源图;
分层网络资源传输,将所述分层网络资源图进行网络传输,并获取初始时刻的初始分层网络资源图及当前的当前分层网络资源图;
节点层检测,根据最小生成树算法对所述初始分层网络资源图和所述当前分层网络资源图进行遍历,检测所述初始分层网络资源图中的初始节点层与所述当前分层网络资源图中的当前节点层的相似度;
标准化度量,计算所述初始分层网络资源图和所述当前分层网络资源图中资源层的资源依赖关系和资源关联度;
效能评估,根据所述资源关联度以及所述资源依赖关系计算所述当前分层网络资源图的防御成功率以及防御成本;根据所述防御成功率以及防御成本评估防御效益。
2.如权利要求1所述的网络目标防御效能评估方法,其特征在于:所述资源层描述了恶意敌手在所述分层网络资源图中的一个节点内利用脆弱性入侵的所有可能偏序关系;所述节点层描述了由于恶意敌手入侵所述分层网络资源图或者所述分层网络资源图跳变导致的所述分层网络资源图中的节点状态转移。
3.如权利要求1所述的网络目标防御效能评估方法,其特征在于:所述分层网络资源图包括顶点集合和有向边集合,所述顶点集合由所述分层网络资源图中的网络节点的安全状态属性和脆弱性组成,所述有向边集合由所述脆弱性被改变的判定条件组成。
4.如权利要求3所述的网络目标防御效能评估方法,其特征在于:所述判定条件包括前置条件和后置条件。
5.一种电子设备,其特征在于包括:处理器;
存储器;以及程序,其中所述程序被存储在所述存储器中,并且被配置成由处理器执行,所述程序包括用于执行权利要求1-4任意一项所述的方法。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行如权利要求1-4任意一项所述的方法。
7.网络目标防御效能评估系统,其特征在于包括:
网络资源图获取模块,所述网络资源图获取模块用于获取含有网络移动目标的网络资源图;
分层网络资源图构建模块,所述分层网络资源图构建模块用于将所述网络资源图进行分层处理得到为含有节点层和资源层的分层网络资源图;
分层网络资源传输模块,所述分层网络资源传输模块用于将所述分层网络资源图进行网络传输,并获取初始时刻的初始分层网络资源图及当前的当前分层网络资源图;
节点层检测模块,所述节点层检测模块用于根据最小生成树算法对所述初始分层网络资源图和所述当前分层网络资源图进行遍历,检测所述初始分层网络资源图中的初始节点层与所述当前分层网络资源图中的当前节点层的相似度;
标准化度量模块,所述标准化度量模块用于计算所述初始分层网络资源图和所述当前分层网络资源图中资源层的资源依赖关系和资源关联度;
效能评估模块,所述效能评估模块用于根据所述资源关联度以及所述资源依赖关系计算所述当前分层网络资源图的防御成功率以及防御成本;根据所述防御成功率以及防御成本评估防御效益。
8.如权利要求7所示的网络目标防御效能评估系统,其特征在于:所述节点层检测模块包括遍历单元和检测单元,所述遍历单元用于根据最小生成树算法对所述初始分层网络资源图和所述当前分层网络资源图进行遍历,所述检测单元用于检测所述初始分层网络资源图中的初始节点层与所述当前分层网络资源图中的当前节点层的相似度。
9.如权利要求7所示的网络目标防御效能评估系统,其特征在于:所述效能评估模块包括计算单元和评估单元,所述计算单元用于根据所述资源关联度以及所述资源依赖关系计算所述当前分层网络资源图的防御成功率以及防御成本,所述计算单元用于根据所述防御成功率以及防御成本进行评估防御效益。
10.如权利要求7所示的网络目标防御效能评估系统,其特征在于:所述分层网络资源图包括顶点集合和有向边集合,所述顶点集合由所述分层网络资源图中的网络节点的安全状态属性和脆弱性组成,所述有向边集合由所述脆弱性被改变判定条件组成。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810588918.0A CN108809976A (zh) | 2018-06-08 | 2018-06-08 | 网络目标防御效能评估方法、电子设备、存储介质及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810588918.0A CN108809976A (zh) | 2018-06-08 | 2018-06-08 | 网络目标防御效能评估方法、电子设备、存储介质及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108809976A true CN108809976A (zh) | 2018-11-13 |
Family
ID=64088941
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810588918.0A Pending CN108809976A (zh) | 2018-06-08 | 2018-06-08 | 网络目标防御效能评估方法、电子设备、存储介质及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108809976A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117439824A (zh) * | 2023-12-21 | 2024-01-23 | 山东科技大学 | 基于ai的智慧城市评价方法、系统、设备及存储介质 |
-
2018
- 2018-06-08 CN CN201810588918.0A patent/CN108809976A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117439824A (zh) * | 2023-12-21 | 2024-01-23 | 山东科技大学 | 基于ai的智慧城市评价方法、系统、设备及存储介质 |
CN117439824B (zh) * | 2023-12-21 | 2024-03-12 | 山东科技大学 | 基于ai的智慧城市评价方法、系统、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wang et al. | Improving robustness to model inversion attacks via mutual information regularization | |
CN110035066B (zh) | 一种基于博弈论的攻防行为量化评估方法及系统 | |
CN111047006B (zh) | 一种基于对偶式生成网络的对抗攻击防御模型及应用 | |
Zhang et al. | Tiki-taka: Attacking and defending deep learning-based intrusion detection systems | |
CN103152345A (zh) | 一种攻防博弈的网络安全最优攻防决策方法 | |
CN107819790A (zh) | 攻击报文的识别方法及装置 | |
CN114491541B (zh) | 基于知识图谱路径分析的安全运营剧本自动化编排方法 | |
Abdalzaher et al. | Using Stackelberg game to enhance node protection in WSNs | |
CN110417733A (zh) | 基于qbd攻防随机演化博弈模型的攻击预测方法、装置及系统 | |
CN106941502A (zh) | 一种内部网络的安全度量方法和装置 | |
Chandre et al. | Intrusion prevention framework for WSN using deep CNN | |
CN108809976A (zh) | 网络目标防御效能评估方法、电子设备、存储介质及系统 | |
Wiyono et al. | Performance analysis of decision tree c4. 5 as a classification technique to conduct network forensics for botnet activities in internet of things | |
Hidano et al. | TransMIA: membership inference attacks using transfer shadow training | |
CN108494772A (zh) | 模型优化、网络入侵检测方法及装置和计算机存储介质 | |
CN110298170B (zh) | 一种考虑盲目攻击因子的电力scada系统安全性评估方法 | |
Jiang et al. | Backdoor attacks on time series: A generative approach | |
CN106850583A (zh) | 一种基于效用的分布式协作频谱感知攻击防御方法 | |
Zheng et al. | One4All: Manipulate one agent to poison the cooperative multi-agent reinforcement learning | |
CN103853894B (zh) | 基于rbf算法的诱饵弹延时投放时间精度计算方法 | |
Şeker | Use of Artificial Intelligence Techniques/Applications in Cyber Defense | |
CN104091123B (zh) | 一种社区网络的层次病毒免疫方法 | |
CN103312723B (zh) | 一种基于访问向量的内部威胁特征构建方法 | |
CN108712436A (zh) | 一种基于微分流形的网络空间安全度量方法 | |
CN113378985A (zh) | 一种基于逐层相关性传播的对抗样本检测方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181113 |
|
WD01 | Invention patent application deemed withdrawn after publication |