CN108881272A - 一种适用于冗余信息系统的攻击面建模方法及装置 - Google Patents

Abstract

本申请公开了一种适用于冗余信息系统的攻击面建模方法及装置，应用于冗余信息系统，冗余信息系统由多个功能等价的子系统组成；方法包括：识别冗余信息系统内部各个子系统的攻击面资源，对各个子系统进行攻击面建模，依据每项攻击面资源的安全威胁程度及被利用的难度，确定各项攻击面资源的攻击效费比，针对冗余信息系统结构特性，分析出冗余信息系统内部各个子系统间攻击面的行为操作，执行冗余信息系统内部的攻击面行为操作后，确定冗余信息系统整体的攻击面，根据各项攻击面资源的攻击效费比及冗余信息系统整体攻击面，给出相应的度量结果。本申请能够对复杂结构的冗余信息系统的安全性进行度量，提高或改善了信息系统的安全性。

Description

一种适用于冗余信息系统的攻击面建模方法及装置

技术领域

本申请涉及网络安全技术领域，尤其涉及一种适用于冗余信息系统的攻击面建模方法及装置。

背景技术

随着社会信息化程度的提高，网络空间安全问题对经济、政治和民生的影响愈发严重。尤其是，近几年因信息泄露造成的网络空间安全重大事件频频发生，致使如何保证信息系统安全成为网络空间亟需解决的热点问题。而对信息系统安全性的有效评估是度量、提升或改进信息系统安全性的直接途径。由此，信息系统安全性的评估工作对于改善网络空间的生态环境具有重要意义。

攻击面作为衡量系统安全的重要指标，常用于提升或改进系统安全。攻击面的概念最早由Microsoft公司的Howard非正式提出的，Howard基于相对攻击面的概念提出了攻击面相关参数(Relative Attack Surface Quotient,RASQ)测量方法，Howard方法通过识别Windows的攻击矢量、为攻击矢量分配权重、将攻击矢量加权计数相加，对整个攻击面进行评估。随后，Manadhata和Wing将Howard度量方法应用于Linux的4个版本(3个RedHat和1个Debian)，以了解该方法面临的挑战，定义并改进了RASQ度量方法，得出Debian相比其他三种操作系统要安全的结论，与公认的结果一致。而当前较新的攻击面理论是都是建立在由Manadhata和Wing提出的攻击面模型，其模型引入了入口点和出口点框架，在该框架下定义系统s的攻击面，将状态机模型确定为I/O自动机模型：E_s＝＜U,D,T＞表示系统环境；将攻击面重新定义为：其中，是系统入口点与出口点集合，是系统通道集合，是系统不可信数据项集合。

但当前的攻击面模型仅适用于单余度信息系统的安全性度量，无法对多余度复杂结构系统的安全性进行有效度量。尽管Manadhata曾针对移动目标防御技术提出了攻击面转移的概念，但是仍无法全面有效的适应多余度复杂结构系统。

因此，如何有效的对复杂结构的冗余信息系统的安全性进行度量，提高或改善信息系统的安全性是一项亟待解决的问题。

发明内容

有鉴于此，本申请提供了一种适用于冗余信息系统的攻击面建模方法，能够对复杂结构的冗余信息系统的安全性进行度量，提高或改善了信息系统的安全性。

本申请提供了一种适用于冗余信息系统的攻击面建模方法，应用于冗余信息系统，所述冗余信息系统由多个功能等价的子系统组成，且子系统间彼此独立运行，互不通信；所述方法包括：

识别所述冗余信息系统内部各个子系统的攻击面资源，对各个子系统进行攻击面建模；

依据每项攻击面资源的安全威胁程度及被利用的难度，确定各项攻击面资源的攻击效费比；

针对所述冗余信息系统结构特性，分析出所述冗余信息系统内部各个子系统间攻击面的行为操作；

执行所述冗余信息系统内部的攻击面行为操作后，确定所述冗余信息系统整体的攻击面；

根据各项攻击面资源的攻击效费比及所述冗余信息系统整体攻击面，给出相应的度量结果。

优选地，所述识别所述冗余信息系统内部各个子系统的攻击面资源包括：

对漏洞平台所曝安全问题中提及的系统资源进行统计，得出攻击面资源。

优选地，所述识别所述冗余信息系统内部各个子系统的攻击面资源包括：

通过对攻击实例进行分析，得出攻击过程的攻击面资源。

优选地，所述依据每项攻击面资源的安全威胁程度及被利用的难度，确定各项攻击面资源的攻击效费比包括：

通过数据统计方法，依据某项攻击面资源在众多攻击手段中被使用的次数，间接评估出该项攻击面资源的攻击效费比。

一种适用于冗余信息系统的攻击面建模装置，应用于冗余信息系统，所述冗余信息系统由多个功能等价的子系统组成，且子系统间彼此独立运行，互不通信；所述装置包括：

识别模块，用于识别所述冗余信息系统内部各个子系统的攻击面资源，对各个子系统进行攻击面建模；

第一确定模块，用于依据每项攻击面资源的安全威胁程度及被利用的难度，确定各项攻击面资源的攻击效费比；

分析模块，用于针对所述冗余信息系统结构特性，分析出所述冗余信息系统内部各个子系统间攻击面的行为操作；

第二确定模块，用于执行所述冗余信息系统内部的攻击面行为操作后，确定所述冗余信息系统整体的攻击面；

处理模块，用于根据各项攻击面资源的攻击效费比及所述冗余信息系统整体攻击面，给出相应的度量结果。

优选地，所述识别模块具体用于：

对漏洞平台所曝安全问题中提及的系统资源进行统计，得出攻击面资源。

优选地，所述识别模块具体还用于：

通过对攻击实例进行分析，得出攻击过程的攻击面资源。

优选地，所述第一确定模块具体用于：

通过数据统计方法，依据某项攻击面资源在众多攻击手段中被使用的次数，间接评估出该项攻击面资源的攻击效费比。

综上所述，本申请公开了一种适用于冗余信息系统的攻击面建模方法，当需要完成冗余信息系统的攻击面建模时，首先识别所述冗余信息系统内部各个子系统的攻击面资源，对各个子系统进行攻击面建模，然后依据每项攻击面资源的安全威胁程度及被利用的难度，确定各项攻击面资源的攻击效费比，针对冗余信息系统结构特性，分析出冗余信息系统内部各个子系统间攻击面的行为操作，执行冗余信息系统内部的攻击面行为操作后，确定冗余信息系统整体的攻击面，根据各项攻击面资源的攻击效费比及冗余信息系统整体攻击面，给出相应的度量结果。通过上述步骤建立的冗余信息系统攻击面模型，不仅能够准确度量冗余信息系统的攻击面大小，评估出冗余信息系统的安全性，还能够挖掘出系统内部的可被攻击者利用的不安全因素，进而可为提升信息系统安全性提供有效途径。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请公开的一种适用于冗余信息系统的攻击面建模方法实施例1的流程图；

图2为本申请公开的一种适用于冗余信息系统的攻击面建模装置实施例1的结构示意图；

图3为本申请公开的冗余信息系统的结构示意图；

图4为本申请公开的一种攻击过程示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例应用于对使用非相似余度技术的Web应用信息系统进行攻击面建模，该Web应用提供上传文件功能，上传文件的名称会被加密存储在数据库中，同时，在程序上Web应用存在PHP文件上传漏洞和SQL注入漏洞。在本申请实施例中，首先会对目标冗余信息系统进行攻击面建模，并给出其攻击面的度量结果，然后会通过对攻击面资源异构化处理，进一步改善并提升目标系统安全。

如图1所示，为申请提供的一种适用于冗余信息系统的攻击面建模方法实施例1的流程图，如图3所示，冗余信息系统由多个功能等价的子系统组成，且子系统间彼此独立运行，互不通信；冗余信息系统S为目标冗余信息系统，Web应用分别部署在各个子系统上。可将冗余信息系统S形式化表示为：S＝{s₁,s₂,s₃}，s₁、s₂、s₃分别为功能等价的冗余子系统。其软件栈配置如表1所示。

表1子系统软件栈配置

系统编号	操作系统	数据库	软件服务器	应用脚本
					s1	CentOS 7.2	MySQL 5.6.2	Nginx 1.14.0	PHP 5.6.36
s2	Ubuntu 1404	MySQL 5.6.2	Nginx 1.14.0	PHP 5.6.36
					s3	SUSE 11	MySQL 5.6.2	Nginx 1.14.0	PHP 5.6.36

如图4所示，攻击者若想持续窃取目标冗余信息系统的价值信息，需要经过已下4个阶段：

(1)木马上传：构造PHP木马，并上传至目标冗余信息系统；

(2)SQL注入：通过SQL注入获取PHP木马文件的加密名称；

(3)木马执行：通过URL触发并执行PHP木马；

(4)远程控制：通过PHP木马与远程控制端建立连接。

所述方法可以包括以下步骤：

S101、识别冗余信息系统内部各个子系统的攻击面资源，对各个子系统进行攻击面建模；

定义1：冗余信息系统S，S＝{s₁,s₂,…,s_i,…,s_n|n∈N^*}，其中，s_i是冗余信息系统S的某一个子系统。

定义2：子系统s_i的攻击面资源集合 其中，r_i是子系统s_i的某一项攻击面资源。

攻击面资源是系统资源的子集，之所以某项系统资源被称之为攻击面资源，是因为该项系统资源可被攻击者直接或间接地利用，成为攻击者攻击系统的途径或媒介。

具体的，识别攻击面资源的方法有多种，可由相关安全领域的权威专家进行人工识别，依据权威专家积累的经验、知识，识别出的攻击面资源会较为权威；亦可对漏洞平台所曝安全问题中提及的系统资源进行统计，总结出的攻击面资源会较为全面；或者，通过对攻击实例进行分析，得出攻击过程应用到的系统攻击面资源，分析出攻击面资源更为直接；需要说明的是，识别方法不局限于上述方法。

攻击过程应用到的各个子系统的攻击面资源如表2所示。

表2各个子系统的攻击面资源

S102、依据每项攻击面资源的安全威胁程度及被利用的难度，确定各项攻击面资源的攻击效费比；

定义3：攻击面资源r_i的攻击效费比 指攻击面资源r_i对冗余信息系统造成安全威胁程度与被攻击者利用难度的比。

具体的，每项攻击面资源的攻击效费比的评估方法也有多种，可由相关安全领域的权威专家，依据长期积累的经验、知识，客观评估出某项攻击面资源可对冗余信息系统造成的安全威胁程度及该项攻击面资源可被攻击者利用的难度，得出的该项攻击面资源的攻击效费比较为权威；可通过数据统计方法，依据某项攻击面资源在众多攻击手段中被使用的次数，间接评估出该项攻击面资源的攻击效费比。

各个子系统的攻击面资源的攻击效费比如表3所示。

表3攻击面资源的攻击效费比

攻击面资源	Form表单	SQL语句	PHP语句	系统命令
					攻击效费比	3	5	7	10

S103、针对冗余信息系统结构特性，分析出冗余信息系统内部各个子系统间攻击面的行为操作；

冗余信息系统结构特性决定着各个子系统间攻击面的基本行为，如：移动目标防御系统会随着时间变化切换服务子系统，导致冗余信息系统在一段时间内呈现出不同的攻击面；非相似余度信息系统会将各个子系统的响应输出进行裁决比较，依据响应裁决算法，择优输出某个子系统的响应，导致系统对外呈现的攻击面是各个子系统攻击面的交集；拟态防御系统结合了上述系统的优势，既可以随时间切换子系统、又对子系统的响应输出进行裁决，导致系统攻击面更加复杂。

定义4：存在一个五元组M，用于形式化表示冗余信息系统的基本结构，五元组M表示为：

M＝<S,R,R_on,∑,f>，

其中，

S是定义1中的冗余信息系统S，代表目标冗余信息系统；

R是系统S的所有冗余子系统的攻击面的集合，形式化表示为：

R_on是冗余信息系统S在执行攻击面操作之前的所有线上运行的冗余子系统的攻击面的集合，故

∑是子系统攻击面的行为集合；

f是子系统间攻击面行为操作的执行函数，其返回值将代表系统S在执行完攻击面行为操作后的攻击面，形式化表示为：f(R_on,R_moving,e)，R_moving表示切换上线与被切换下线的子系统的集合，e表示攻击面行为，e∈∑。

S104、执行冗余信息系统内部的攻击面行为操作后，确定冗余信息系统整体的攻击面；

依据步骤3分析出的结果，执行冗余信息系统内部的攻击面行为操作，即执行函数f。为准确表示冗余信息系统整体的攻击面，基于每种攻击面行为操作，有如下定义。

定义5：存在一个冗余信息系统S，S＝{s₁,s₂,…,s_i,…,s_n||n≥i≥1,n∈N*}，s_i是冗余信息系统S的某一个子系统，使用五元组M形式化表示冗余信息系统S的基本结构，M＝<S,R,R_on,∑,f>：

若冗余信息系统S采用了移动目标防御技术，子系统s_i被切换为子系统s_j，是子系统s_i的攻击面，是子系统s_j的攻击面，则 冗余信息系统S的攻击面行为集合表示为：∑＝{e_s}，e_s表示攻击面转移，且执行函数f(R_on,R_moving,e_s)，

若冗余信息系统S采用了非相似余度技术，冗余信息系统S的攻击面行为集合表示为：∑＝{e_r}，e_r表示攻击面裁决，且执行函数f(R_on,R_moving,e_r)，R_moving＝φ，f(R_on,R_moving,e_r)＝{Form表单,SQL语句,PHP语句,系统命令}；

若冗余信息系统S采用了拟态防御技术，子系统s_i被切换为子系统s_j，是子系统s_i的攻击面，是子系统s_j的攻击面，则 同时，随着结构复杂度的增加，存在复合操作：e_s&e_r，则冗余信息系统S的攻击面行为集合表示为：∑＝{e_s&e_r}，表示攻击面在转移后再裁决，且执行函数f(R_on,R_moving,e_s&e_r)，

无论冗余信息系统采用哪种安全防御措施或是系统结构设计，步骤S104得出的冗余信息系统S的攻击面f(R_on,R_moving,e)将包含冗余信息系统S对外的真实攻击面资源，可表示为：

f(R_on,R_moving,e)＝{r₁,r₂,…,r_i,…,r_n|n≥i≥1,n∈N^*}。

S105、根据各项攻击面资源的攻击效费比及冗余信息系统整体攻击面，给出相应的度量结果。

根据步骤S102中所述的攻击效费比与步骤S104中所述的冗余信息系统整体攻击面资源，可以给出如下定义。

定义6：存在一个冗余信息系统S，S＝{s₁,s₂,…,s_i,…,s_n||n≥i≥1,n∈N*}，s_i是冗余信息系统S的某一个子系统，使用五元组M形式化表示冗余信息系统S的基本结构，M＝<S,R,R_on,∑,f>，且冗余信息系统S在执行完系统内部的攻击面行为操作后，其攻击面为：f(R_on,R_moving,e)＝{r₁,r₂,…,r_i,…,r_n|n≥i≥1,n∈N^*}，则冗余信息系统S的攻击面大小表示为：

依据步骤4得出的结果与表3，得出目标冗余信息系统的攻击面度量结果为：

为提高目标冗余信息系统的安全性，针对步骤S101中识别出的各个子系统的攻击面资源进行异构化处理，如表4所示。

表4异构化处理后的各个子系统的攻击面资源

异构化处理的作用是使某项攻击面资源即使能够在某个子系统上被攻击者利用，但在其它子系统上同等功能的攻击面资源却不能够被其利用。

再次使用目标系统的攻击面模型进行分析与度量，可以得出：

目标信息系统的攻击面为：f(R_on,R_moving,e_r)＝{Form表单}；

目标信息系统的攻击面度量结果为：

综上所述，本申请能够对复杂结构的冗余信息系统的安全性进行度量，提高或改善了信息系统的安全性。

如图2所示，为申请提供的一种适用于冗余信息系统的攻击面建模装置实施例1的结构示意图，如图3所示，冗余信息系统由多个功能等价的子系统组成，且子系统间彼此独立运行，互不通信；冗余信息系统S为目标冗余信息系统，Web应用分别部署在各个子系统上。可将冗余信息系统S形式化表示为：S＝{s₁,s₂,s₃}，s₁、s₂、s₃分别为功能等价的冗余子系统。其软件栈配置如表1所示。

表1子系统软件栈配置

系统编号	操作系统	数据库	软件服务器	应用脚本
					s1	CentOS 7.2	MySQL 5.6.2	Nginx 1.14.0	PHP 5.6.36
s2	Ubuntu 1404	MySQL 5.6.2	Nginx 1.14.0	PHP 5.6.36
					s3	SUSE 11	MySQL 5.6.2	Nginx 1.14.0	PHP 5.6.36

如图4所示，攻击者若想持续窃取目标冗余信息系统的价值信息，需要经过已下4个阶段：

(1)木马上传：构造PHP木马，并上传至目标冗余信息系统；

(2)SQL注入：通过SQL注入获取PHP木马文件的加密名称；

(3)木马执行：通过URL触发并执行PHP木马；

(4)远程控制：通过PHP木马与远程控制端建立连接。

所述装置可以包括：

识别模块201，用于识别冗余信息系统内部各个子系统的攻击面资源，对各个子系统进行攻击面建模；

定义1：冗余信息系统S，S＝{s₁,s₂,…,s_i,…,s_n|n∈N^*}，其中，s_i是冗余信息系统S的某一个子系统。

定义2：子系统s_i的攻击面资源集合 其中，r_i是子系统s_i的某一项攻击面资源。

攻击面资源是系统资源的子集，之所以某项系统资源被称之为攻击面资源，是因为该项系统资源可被攻击者直接或间接地利用，成为攻击者攻击系统的途径或媒介。

具体的，识别攻击面资源的方法有多种，可由相关安全领域的权威专家进行人工识别，依据权威专家积累的经验、知识，识别出的攻击面资源会较为权威；亦可对漏洞平台所曝安全问题中提及的系统资源进行统计，总结出的攻击面资源会较为全面；或者，通过对攻击实例进行分析，得出攻击过程应用到的系统攻击面资源，分析出攻击面资源更为直接；需要说明的是，识别方法不局限于上述方法。

攻击过程应用到的各个子系统的攻击面资源如表2所示。

表2各个子系统的攻击面资源

第一确定模块202，用于依据每项攻击面资源的安全威胁程度及被利用的难度，确定各项攻击面资源的攻击效费比；

定义3：攻击面资源r_i的攻击效费比 指攻击面资源r_i对冗余信息系统造成安全威胁程度与被攻击者利用难度的比。

具体的，每项攻击面资源的攻击效费比的评估方法也有多种，可由相关安全领域的权威专家，依据长期积累的经验、知识，客观评估出某项攻击面资源可对冗余信息系统造成的安全威胁程度及该项攻击面资源可被攻击者利用的难度，得出的该项攻击面资源的攻击效费比较为权威；可通过数据统计方法，依据某项攻击面资源在众多攻击手段中被使用的次数，间接评估出该项攻击面资源的攻击效费比。

各个子系统的攻击面资源的攻击效费比如表3所示。

表3攻击面资源的攻击效费比

攻击面资源	Form表单	SQL语句	PHP语句	系统命令
					攻击效费比	3	5	7	10

分析模块203，用于针对所述冗余信息系统结构特性，分析出冗余信息系统内部各个子系统间攻击面的行为操作；

冗余信息系统结构特性决定着各个子系统间攻击面的基本行为，如：移动目标防御系统会随着时间变化切换服务子系统，导致冗余信息系统在一段时间内呈现出不同的攻击面；非相似余度信息系统会将各个子系统的响应输出进行裁决比较，依据响应裁决算法，择优输出某个子系统的响应，导致系统对外呈现的攻击面是各个子系统攻击面的交集；拟态防御系统结合了上述系统的优势，既可以随时间切换子系统、又对子系统的响应输出进行裁决，导致系统攻击面更加复杂。

定义4：存在一个五元组M，用于形式化表示冗余信息系统的基本结构，五元组M表示为：

M＝<S,R,R_on,∑,f>，

其中，

S是定义1中的冗余信息系统S，代表目标冗余信息系统；

R是系统S的所有冗余子系统的攻击面的集合，形式化表示为：

R_on是冗余信息系统S在执行攻击面操作之前的所有线上运行的冗余子系统的攻击面的集合，故

∑是子系统攻击面的行为集合；

f是子系统间攻击面行为操作的执行函数，其返回值将代表系统S在执行完攻击面行为操作后的攻击面，形式化表示为：f(R_on,R_moving,e)，R_moving表示切换上线与被切换下线的子系统的集合，e表示攻击面行为，e∈∑。

第二确定模块204，用于执行冗余信息系统内部的攻击面行为操作后，确定冗余信息系统整体的攻击面；

依据步骤3分析出的结果，执行冗余信息系统内部的攻击面行为操作，即执行函数f。为准确表示冗余信息系统整体的攻击面，基于每种攻击面行为操作，有如下定义。

定义5：存在一个冗余信息系统S，S＝{s₁,s₂,…,s_i,…,s_n||n≥i≥1,n∈N*}，s_i是冗余信息系统S的某一个子系统，使用五元组M形式化表示冗余信息系统S的基本结构，M＝<S,R,R_on,∑,f>：

若冗余信息系统S采用了移动目标防御技术，子系统s_i被切换为子系统s_j，是子系统s_i的攻击面，是子系统s_j的攻击面，则 冗余信息系统S的攻击面行为集合表示为：∑＝{e_s}，e_s表示攻击面转移，且执行函数f(R_on,R_moving,e_s)，

若冗余信息系统S采用了非相似余度技术，冗余信息系统S的攻击面行为集合表示为：∑＝{e_r}，e_r表示攻击面裁决，且执行函数f(R_on,R_moving,e_r)，R_moving＝φ，f(R_on,R_moving,e_r)＝{Form表单,SQL语句,PHP语句,系统命令}；

若冗余信息系统S采用了拟态防御技术，子系统s_i被切换为子系统s_j，是子系统s_i的攻击面，是子系统s_j的攻击面，则 同时，随着结构复杂度的增加，存在复合操作：e_s&e_r，则冗余信息系统S的攻击面行为集合表示为：∑＝{e_s&e_r}，表示攻击面在转移后再裁决，且执行函数f(R_on,R_moving,e_s&e_r)，

无论冗余信息系统采用哪种安全防御措施或是系统结构设计，上述得出的冗余信息系统S的攻击面f(R_on,R_moving,e)将包含冗余信息系统S对外的真实攻击面资源，可表示为：

f(R_on,R_moving,e)＝{r₁,r₂,…,r_i,|,r_n|n≥i≥1,n∈N^*}。

处理模块205，用于根据各项攻击面资源的攻击效费比及冗余信息系统整体攻击面，给出相应的度量结果。

根据所述的攻击效费比与所述的冗余信息系统整体攻击面资源，可以给出如下定义。

定义6：存在一个冗余信息系统S，S＝{s₁,s₂,…,s_i,…,s_n||n≥i≥1,n∈N*}，s_i是冗余信息系统S的某一个子系统，使用五元组M形式化表示冗余信息系统S的基本结构，M＝<S,R,R_on,∑,f>，且冗余信息系统S在执行完系统内部的攻击面行为操作后，其攻击面为：f(R_on,R_moving,e)＝{r₁,r₂,…,r_i,…,r_n|n≥i≥1,n∈N^*}，则冗余信息系统S的攻击面大小表示为：

依据第二确定模块得出的结果与表3，得出目标冗余信息系统的攻击面度量结果为：

为提高目标冗余信息系统的安全性，针对识别出的各个子系统的攻击面资源进行异构化处理，如表4所示。

表4异构化处理后的各个子系统的攻击面资源

异构化处理的作用是使某项攻击面资源即使能够在某个子系统上被攻击者利用，但在其它子系统上同等功能的攻击面资源却不能够被其利用。

再次使用目标系统的攻击面模型进行分析与度量，可以得出：

目标信息系统的攻击面为：f(R_on,R_moving,e_r)＝{Form表单}；

目标信息系统的攻击面度量结果为：

综上所述，本申请能够对复杂结构的冗余信息系统的安全性进行度量，提高或改善了信息系统的安全性。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (8)

1.一种适用于冗余信息系统的攻击面建模方法，其特征在于，应用于冗余信息系统，所述冗余信息系统由多个功能等价的子系统组成，且子系统间彼此独立运行，互不通信；所述方法包括：

识别所述冗余信息系统内部各个子系统的攻击面资源，对各个子系统进行攻击面建模；

依据每项攻击面资源的安全威胁程度及被利用的难度，确定各项攻击面资源的攻击效费比；

针对所述冗余信息系统结构特性，分析出所述冗余信息系统内部各个子系统间攻击面的行为操作；

执行所述冗余信息系统内部的攻击面行为操作后，确定所述冗余信息系统整体的攻击面；

根据各项攻击面资源的攻击效费比及所述冗余信息系统整体攻击面，给出相应的度量结果。

2.根据权利要求1所述的方法，其特征在于，所述识别所述冗余信息系统内部各个子系统的攻击面资源包括：

对漏洞平台所曝安全问题中提及的系统资源进行统计，得出攻击面资源。

3.根据权利要求1所述的方法，其特征在于，所述识别所述冗余信息系统内部各个子系统的攻击面资源包括：

通过对攻击实例进行分析，得出攻击过程的攻击面资源。

4.根据权利要求1所述的方法，其特征在于，所述依据每项攻击面资源的安全威胁程度及被利用的难度，确定各项攻击面资源的攻击效费比包括：

通过数据统计方法，依据某项攻击面资源在众多攻击手段中被使用的次数，间接评估出该项攻击面资源的攻击效费比。

5.一种适用于冗余信息系统的攻击面建模装置，其特征在于，应用于冗余信息系统，所述冗余信息系统由多个功能等价的子系统组成，且子系统间彼此独立运行，互不通信；所述装置包括：

识别模块，用于识别所述冗余信息系统内部各个子系统的攻击面资源，对各个子系统进行攻击面建模；

第一确定模块，用于依据每项攻击面资源的安全威胁程度及被利用的难度，确定各项攻击面资源的攻击效费比；

分析模块，用于针对所述冗余信息系统结构特性，分析出所述冗余信息系统内部各个子系统间攻击面的行为操作；

第二确定模块，用于执行所述冗余信息系统内部的攻击面行为操作后，确定所述冗余信息系统整体的攻击面；

处理模块，用于根据各项攻击面资源的攻击效费比及所述冗余信息系统整体攻击面，给出相应的度量结果。

6.根据权利要求5所述的装置，其特征在于，所述识别模块具体用于：

对漏洞平台所曝安全问题中提及的系统资源进行统计，得出攻击面资源。

7.根据权利要求5所述的装置，其特征在于，所述识别模块具体还用于：

通过对攻击实例进行分析，得出攻击过程的攻击面资源。

8.根据权利要求5所述的装置，其特征在于，所述第一确定模块具体用于：

通过数据统计方法，依据某项攻击面资源在众多攻击手段中被使用的次数，间接评估出该项攻击面资源的攻击效费比。