CN109302310A - 一种网络运维脆弱性分析方法 - Google Patents

Abstract

本发明公开了一种网络运维脆弱性分析方法。包括如下步骤1、收集网络基础信息；步骤2、建立网络运维基础信息表示模型；步骤3、建立用户应得权限矩阵；步骤4、建立权限变化规则集合；步骤5、建立用户实际权限矩阵；步骤6、计算网络运维脆弱性指标。本发明在网络运维管理活动中为网络额外引入的脆弱性，偏重于发现网络具体实现和网络规划设计之间的安全性差距；本发明在发现网络运维脆弱性时，不仅仅使用了传统网络域内的信息，而且使用了物理域、信息域内的大量语义信息，使得脆弱性分析结果更加具体和真实；本发明采用目标网络中各个用户实际的权限与其应得权限之间的差作为网络脆弱性的度量，关注当前网络运维活动对网络脆弱性的影响。

Description

一种网络运维脆弱性分析方法

技术领域

本发明涉及网络安全分析技术,具体涉及一种网络运维脆弱性的度量和分析方法。

背景技术

在计算机网络中，脆弱性相关研究可以划分为若干个问题域，包括脆弱性的定义、脆弱性的识别和脆弱性的分析评估。从脆弱性分析的对象看，现有的网络脆弱性分析方法主要分为两类，一种是针对网络的某一部分进行评估，如对网络通信协议进行脆弱性评估，对网络硬件设备或软件系统的脆弱性评估，分析其可能存在的潜在破坏性，不涉及网络的整体属性；另一种是针对网络的整体特性进行定性或定量的评估，如评估目标网络拓扑对特定损坏的容忍程度，评估目标网络漏洞被利用的可能性等等。

本发明分析的网络运维脆弱性，主要是指因网络运行维护管理不当而为网络引入的额外的脆弱性，它很难被之前的网络脆弱性度量指标，如目标网络拓扑对特定损坏的容忍程度、网络漏洞被渗透的可能性等指标所反映，目前尚未在学术界和工业界受到广泛重视和研究。相较于以往的网络脆弱性分析方法，本发明的创新点主要表现在三个方面：

一是脆弱性分析目标不同，与现有网络脆弱性分析主要集中在评估网络拓扑设计与网络布线受自然灾害以及人为破坏等故障的影响程度(如专利201310362922.2、201510890607.6、201310675396.5等)，或目标网络漏洞被利用的可能性(如专利201010103205.4、201010103205.4、201710909464.8等)不同，本专利主要目标是发现网络运维管理活动为网络额外引入的脆弱性，偏重于发现网络具体实现和网络规划设计之间的安全性差距。

二是脆弱性分析的对象不同。传统的网络脆弱性分析方法，主要使用网络域内的信息，如网络拓扑、设备连接关系、设备漏洞信息等，而本发明在发现网络运维脆弱性时，不仅仅使用了传统网络域内的信息，如网络拓扑关系、设备连接关系、服务部署信息等信息，而且综合使用了物理域、信息域内的大量语义信息，如人员进出空间信息、口令信息等信息，使得脆弱性分析结果更加具体和真实。

三是脆弱性的度量和分析方法不同。传统的网络脆弱性分析方法，一般是根据各网络组件自身脆弱性的利用成本或入侵概率向各脆弱性赋值，从而对整个网络的脆弱性进行定性定量的评估，脆弱性评估结果直接依赖于对组件漏洞发现的完整性和有效性，很难评估未知攻击方式和漏洞对网络的影响，而本发明主要采用目标网络中各个用户实际的权限与其应得权限之间的差作为网络脆弱性的度量，对多域实体关系采取逻辑推理的方法得到相应权限矩阵，在具体方法上不依赖于对网络组件漏洞发现的完整性，而更为关注当前网络运维活动对网络脆弱性的影响。

发明内容

1、发明目的。

本发明的目的是要提供一种网络运维脆弱性分析方法，该方法以网络规划设计和多域配置作为基本分析对象，以用户实际权限与应得权限之间的差值作为度量指标，建立相应的分析算法，有效发现因网络运行维护管理不当对网络安全性的影响。相较于之前的网络脆弱性分析方法，本方法在目标上能够有效度量网络的具体实现与规划设计之间的安全性差距，在对象上实现了物理域、网络域、信息域信息的联合分析，在方法上不依赖于对具体网络组建漏洞发现的有效性和完整性。

2、本发明所采用的技术方案。

本发明提出的一种网络运维脆弱性分析方法，包括如下步骤：

步骤1、收集网络基础信息：

从网络的多域配置中发现网络多域实体、实体关系、安全策略和用户初始权限；

步骤2、建立网络运维基础信息表示模型：

根据收集到的网络基础信息，建立相应的多域信息表示图；

步骤3、建立用户应得权限矩阵：

根据在步骤1中获取到的实体信息和权限信息，预设用户应得权限矩阵；

步骤4、建立权限变化规则集合：

建立权限变化规则集合，描述目标网络空间内用户的权限会如何变化,采用一阶逻辑谓词将目标网络空间和用户的权限互相影响建立逻辑推理的方式；

步骤5、建立用户实际权限矩阵：

基于步骤2中多层融合图表示模型，使用在步骤四中定义的权限变化规则集合，利用基于一阶逻辑谓词建立逻辑推理的方式，从步骤1中获取的用户初始权限开始，迭代分析用户实际的真实权限；

步骤6、计算网络运维脆弱性指标：

网络运维脆弱性的度量主要采取用户实际权限矩阵和应得权限矩阵之间的差值二范数的归一值来粗略估计该状态下的运维脆弱性。

为了建立完整的网络基础信息，所述的步骤1中收集网络基础信息中：所述的网络多域实体包括网络空间物理域、网络域、信息域和社会域内的实体；

所述的实体关系包括各种实体之间的关系，涉及到包含关系、连接关系、支配关系和依赖关系；

所述的安全防护策略信息主要包括所述的安全防护策略信息主要包括物理域安全防护策略、网络域安全防护策略、信息域安全防护策略；

所述的用户初始权限包括空间访问权、物体使用权、物体支配权、端口使用权、端口支配权、服务可达权、服务支配权、文件支配权和信息知晓权。

为了实现模型的结构，所述的步骤2中，网络运维基础信息表示模型可以用多域信息表示图G＝(N,E,P,A,Γ,Π)，其中各符号的含义分别为：

N代表节点，表示多域信息实体，共有7种，分别空间实体节点N_p，表示物理空间，如公司，楼宇，房间等；物理实体节点N_o，表示网络设备或其它物体；接口实体节点N_n，表示网络设备的接口；服务实体节点N_v，表示网络服务；文件实体节点N_f，表示数字文件；数字信息实体节点N_i，表示数字信息，如口令、私钥等；人员实体节点N_s，如网络的使用者、管理者和攻击者。对于节点集合N，有N＝N_p∪N_o∪N_n∪N_v∪N_f∪N_i∪N_s。

E代表边，代表多域信息实体之间的关系，共有13种，即：E＝E_pp∪E_op∪E_no∪E_vn∪E_fv∪E_iv∪E_ff∪E_if∪E_ii∪E_nn∪E_vv∪E_vi∪E_ov。其中边E_pp从某个空间实体N_p1指向另一个空间实体N_p2，表示在物理空间p2包含物理空间p1；边E_op从物理实体节点N_o指向空间实体节点N_p，表示物体o放置于空间p之内；边E_no从接口实体节点N_n指向物理实体节点N_o，表示接口n隶属于物体o；边E_vn从服务实体节点N_v指向接口实体节点N_n，表示服务v部署于接口n上；边E_fv从文件实体节点N_f指向服务实体节点N_v，表示通过访问服务v可以得到文件f；边E_iv从信息实体节点N_i指向服务实体节点N_v，表示通过访问服务v可以得到信息i；边E_ff从文件实体节点N_f1指向另一个文件实体节点N_f2，表示文件f1是文件f2的一部分；边E_if从信息实体节点N_i指向文件实体节点N_f，表示信息i存储在文件f之中；边E_ii从信息实体节点N_i1指向另一个信息实体节点N_i2，表示信息i1包含在信息i2之中；边E_nn从接口实体节点N_n1指向另一个接口实体节点N_n2，表示网络流量可以从接口n1流向n2；边E_vv从服务实体节点N_v1指向另一个服务实体节点N_v2，表示服务v1正常提供服务依赖于服务v2；边E_vi从服务实体节点N_v指向信息实体节点N_i，表示访问服务v需要知晓信息i；边E_ov从物理实体节点N_o指向服务实体节点N_v，表示服务v可以用来控制物体o。

P代表网络路径，表示流量如何从一个网络端口流向另一个网络端口。对于任意p∈P，有即表示网络流量通过的边的序列，这些序列中的边首尾相接，构成相应的网络路径。对于一个拥有|N_n|个网络接口的多域信息表示图，共有|N_n|²-|N_n|条路径。

A代表安全防护策略，表示网络空间如何控制人或信息的流动，共有5种，即：A＝A_b∪A_a∪A_c∪A_n∪A_e，其中A_b，A_a，A_c分别代表三种物理域安全防护策略；A_n代表网络域安全防护策略；A_e代表信息域安全防护策略。A_b表示通过生物特征对人员进行认证，对于任意a_b∈A_b，有a_b∈N_s，即只有人员a_b能够通过该安全防护策略。A_a表示通过附属物对人员进行认证，对于任意a_a∈A_a，有a_a∈N_o∪N_i，即只有可以支配a_a才能够通过该安全防护策略。A_c表示通过人员和附属物的相应关系来对人员进行认证，对于任意a_c∈A_c，有a_c＝(a_b,a_a)，其中a_b∈N_s，a_a∈N_o∪N_i，表示特定人员a_b，同时可以支配a_a才能够通过该安全防护策略。A_n表示网络安全防护策略，对于任意a_n∈A_n，有a_n＝(n_n1,n_n2,n_v)∈N_n×N_n×N_v，即源地址为n_n1，目的地址为n_n2，访问服务n_v的流量能够通过该安全防护策略。A_e表示信息安全防护策略，即对信息进行加密，对于任意a_e∈A_e，有a_e∈N_i，即拥有信息a_e才可以通过该安全防护策略(对信息进行解密)。

Γ代表边安全能力约束，为从边到集合{True,False}的映射,表示边e是否存在安全防护策略。对于每个e∈E，如果该边执行安全策略检查，则Γ(e)＝True，否则Γ(e)＝False。

Π代表边安全策略约束，为从边到安全策略集合的映射,即对于每个e∈E，均有表示边e上执行的安全策略。对于不同类型的边，其可以设置的安全策略也不同，如果e∈E_pp，则如果e∈E_nn，则如果e∈E_ii∪E_if∪E_ff，则

为了建立用户权限的初始矩阵，预设用户应得权限矩阵：

根据在步骤1中获取到的实体信息和权限信息，建立用户应得权限矩阵PD^(s)；用户应得权限矩阵PD^(s)的行数M，列数为N，其中M为当前网络配置中涉及到的人的数量，有M＝|N_s|；列数N为当前网络配置所有可能出现的权限，有N＝|N_p|+2×|N_o|+2×|N_n|+2×|N_v|+|N_f|+|N_s|；如果用户应得权限矩阵PD^(s)第i行代表的用户拥有第j列代表的权限，则置PD^(s)(i,j)＝1，否则置PD^(s)(i,j)＝0。

为了建立实际矩阵和应得矩阵之间的规则，所述的步骤4权限变化规则集合建立中，标准规则集包括：

a.“空间访问权”影响“空间访问权”，如果人员访问某个空间，则其能够访问此空间的上层空间；如果人员访问某个空间，且能够支配其与下层空间之间的空间安全策略，则其可以访问该空间的下层空间；

b.“空间访问权”影响“物体使用权”，如果人员访问某个空间，则其能够使用该空间内的所有设备；

c.“物体使用权”影响“端口使用权”，如果人员能够使用某设备，则可以使用该设备的所有端口；

d.“端口使用权”影响“服务可达权”，如果人员能够使用某端口，且能够支配其与目标服务之间所在端口之间的所有网络安全访问策略，则可达网络上的目标服务；

e.“服务可达权”影响“服务支配权”，如果人员能够可达某服务，且拥有访问该服务所需的信息(或访问该服务不需要任何欲知信息)，则可以支配该服务；

f.“服务支配权”影响“文件支配权”，如果人员能够支配某服务，且能够支配该服务和某文件之间的信息安全防护策略，则可以支配该文件；

g.“服务支配权”影响“信息知晓权”，如果人员能够可达某服务，且能够支配该服务与某信息之间的信息安全访问策略，则可以支配该信息；

h.“文件支配权”影响“信息知晓权”，如果人员能够支配某文件，且能够支配该文件与某信息之间的信息安全访问策略，则可以支配该信息；

i.“文件支配权”影响“文件支配权”，如果人员能够支配某文件，且能够支配该文件与其子文件之间的信息安全访问策略，则可以支配该子文件；

j.“信息知晓权”影响“信息知晓权”，如果人员能够支配某信息，且能够支配该信息与目标信息之间的信息安全访问策略，则可以支配该目标信息；

k.“服务支配权”影响“物体支配权”，如果人员能够支配某服务，该服务能够支配某物体，则可以支配该物体；

l.“物体支配权”影响“端口支配权”，如果人员能够支配某物体，则可以支配该物体的所有端口；

m.“物体支配权”影响“物体使用权”，如果人员能够支配某物体，则可以使用该物体；

n.“端口支配权”影响“端口使用权”，如果人员能够支配某端口，则可以使用该端口。

通过上述步骤，更进一步所述的步骤5用户实际权限矩阵建立：

如果用PF^(s)代表在当前网络状态s下用户实际权限矩阵，PI^(s)代表其初始权限矩阵，M和N分别代表权限矩阵的行数和列数，通过权限变化规则集合可以推导出用户实际权限矩阵。

为了得到网络运维的结果评估，所述的步骤6网络运维脆弱性指标计算：采取用户实际权限矩阵PF^(s)和应得权限矩阵PD^(s)之间的差值二范数的归一值来粗略估计该状态下的运维脆弱性：

其中s代表当前网络状态；M代表网络中的用户数，同时也是权限矩阵PF^(s)和PD^(s)的行数；N代表当前网络状态下实际权限数量，同时也是权限矩阵PF^(s)和PD^(s)的列数；根据步骤2和步骤5中的计算结果，代入上述公式，即可得到网络当前配置下的运维脆弱性。

3、本发明所产生的技术效果。

本发明分析的网络运维脆弱性，主要是分析因网络运行维护管理不当而为网络引入的额外的脆弱性：

一是脆弱性分析目标不同，本专利主要目标是发现网络运维管理活动为网络额外引入的脆弱性，偏重于发现网络具体实现和网络规划设计之间的安全性差距。

二是脆弱性分析的对象不同。本发明在发现网络运维脆弱性时，不仅仅使用了传统网络域内的信息，如网络拓扑关系、设备连接关系、服务部署信息等信息，而且综合使用了物理域、信息域内的大量语义信息，如人员进出空间信息、口令信息等信息，使得脆弱性分析结果更加具体和真实。

三是脆弱性的度量和分析方法不同。本发明主要采用目标网络中各个用户实际的权限与其应得权限之间的差作为网络脆弱性的度量，对多域实体关系采取逻辑推理的方法得到相应权限矩阵，在具体方法上不依赖于对网络组件漏洞发现的完整性，而更为关注当前网络运维活动对网络脆弱性的影响。

附图说明

图1为网络运维脆弱性分析流程。

图2为网络运维基础信息表示模型。

图3为试验环境物理分布和网络连接示意图。

具体实施方式

实施例1

本发明提出了一种网络运维脆弱性分析方法，该方法以网络规划设计和多域配置作为基本分析对象，以用户实际权限与应得权限之间的差值作为指标，构建相应的脆弱性分析方法，有效发现因网络运行维护管理不当对网络安全性的影响。

本发明提出的网络运维脆弱性分析方法，其主要步骤如图1所示，主要包含收集网络基础信息、建立网络运维基础信息表示模型、建立用户应得权限矩阵、建立权限变化规则集合、建立用户实际权限矩阵、计算网络运维脆弱性指标等步骤：

(一)收集网络基础信息

网络基础信息收集的主要目的是从网络的多域配置中发现网络多域实体、实体关系、安全策略和用户初始权限。

需要获取的网络实体信息包括网络空间物理域、网络域、信息域和社会域内的实体，主要包括空间实体、物理实体、接口实体、服务实体、文件实体、数字信息实体和人员实体等7种类型，如表1所示。

表1实体类型表

需要获取到的实体关系主要是各种实体之间的关系，涉及到包含关系、连接关系、支配关系和依赖关系等4大类13种关系，如表2所示。

表2实体关系表

需要获取到的安全防护策略信息主要表示在目标网络空间内可能存在的防护策略类型，主要包括3大类5种安全防护策略，如表3所示：

表3安全防护策略类型表

需要获取到的用户权限主要表示用户对各种网络实体的权限，主要包含9种权限，分别为空间访问权、物体使用权、物体支配权、端口使用权、端口支配权、服务访问权、服务支配权、文件支配权和信息知晓权，如表4所示：

表4权限类型表

序号	权限名称	权限描述
			1	空间访问权	进入某空间的权限
2	物体使用权	按照现有配置使用某个物体、设备的权限
			3	物体支配权	对物体进行改变，如移动某个物体或更改某个配置的权限
4	端口使用权	使用某个设备端口进行网络访问的权限
			5	端口支配权	更改某个设备端口的状态或配置的权限
6	服务可达权	访问数据可以到达某个网络服务
			7	服务支配权	用户可以使用某个网络服务
8	文件支配权	用户可以使用某个文件
			9	信息知晓权	用户知晓某个数字信息

(二)网络运维基础信息表示模型建立

根据收集到的网络基础信息，建立相应的网络运维基础信息表示模型，该模型以多域信息表示图的方式，对各种需要的信息进行了集中表示，如图2所示。

多域信息表示图G＝(N,E,P,A,Γ,Π)，其中各符号的含义分别为：

N代表节点，表示多域信息实体，共有7种，分别空间实体节点N_p，表示物理空间，如公司，楼宇，房间等；物理实体节点N_o，表示网络设备或其它物体；接口实体节点N_n，表示网络设备的接口；服务实体节点N_v，表示网络服务；文件实体节点N_f，表示数字文件；数字信息实体节点N_i，表示数字信息，如口令、私钥等；人员实体节点N_s，如网络的使用者、管理者和攻击者。对于节点集合N，有N＝N_p∪N_o∪N_n∪N_v∪N_f∪N_i∪N_s。

E代表边，代表多域信息实体之间的关系，共有13种，即：E＝E_pp∪E_op∪E_no∪E_vn∪E_fv∪E_iv∪E_ff∪E_if∪E_ii∪E_nn∪E_vv∪E_vi∪E_ov。其中边E_pp从某个空间实体N_p1指向另一个空间实体N_p2，表示在物理空间p2包含物理空间p1；边E_op从物理实体节点N_o指向空间实体节点N_p，表示物体o放置于空间p之内；边E_no从接口实体节点N_n指向物理实体节点N_o，表示接口n隶属于物体o；边E_vn从服务实体节点N_v指向接口实体节点N_n，表示服务v部署于接口n上；边E_fv从文件实体节点N_f指向服务实体节点N_v，表示通过访问服务v可以得到文件f；边E_iv从信息实体节点N_i指向服务实体节点N_v，表示通过访问服务v可以得到信息i；边E_ff从文件实体节点N_f1指向另一个文件实体节点N_f2，表示文件f1是文件f2的一部分；边E_if从信息实体节点N_i指向文件实体节点N_f，表示信息i存储在文件f之中；边E_ii从信息实体节点N_i1指向另一个信息实体节点N_i2，表示信息i1包含在信息i2之中；边E_nn从接口实体节点N_n1指向另一个接口实体节点N_n2，表示网络流量可以从接口n1流向n2；边E_vv从服务实体节点N_v1指向另一个服务实体节点N_v2，表示服务v1正常提供服务依赖于服务v2；边E_vi从服务实体节点N_v指向信息实体节点N_i，表示访问服务v需要知晓信息i；边E_ov从物理实体节点N_o指向服务实体节点N_v，表示服务v可以用来控制物体o。

P代表网络路径，表示流量如何从一个网络端口流向另一个网络端口。对于任意p∈P，有即表示网络流量通过的边的序列，这些序列中的边首尾相接，构成相应的网络路径。对于一个拥有|N_n|个网络接口的多域信息表示图，共有|N_n|²-|N_n|条路径。

A代表安全防护策略，表示网络空间如何控制人或信息的流动，共有5种，即：A＝A_b∪A_a∪A_c∪A_n∪A_e，其中A_b，A_a，A_c分别代表三种物理域安全防护策略；A_n代表网络域安全防护策略；A_e代表信息域安全防护策略。A_b表示通过生物特征对人员进行认证，对于任意a_b∈A_b，有a_b∈N_s，即只有人员a_b能够通过该安全防护策略。A_a表示通过附属物对人员进行认证，对于任意a_a∈A_a，有a_a∈N_o∪N_i，即只有可以支配a_a才能够通过该安全防护策略。A_c表示通过人员和附属物的相应关系来对人员进行认证，对于任意a_c∈A_c，有a_c＝(a_b,a_a)，其中a_b∈N_s，a_a∈N_o∪N_i，表示特定人员a_b，同时可以支配a_a才能够通过该安全防护策略。A_n表示网络安全防护策略，对于任意a_n∈A_n，有a_n＝(n_n1,n_n2,n_v)∈N_n×N_n×N_v，即源地址为n_n1，目的地址为n_n2，访问服务n_v的流量能够通过该安全防护策略。A_e表示信息安全防护策略，即对信息进行加密，对于任意a_e∈A_e，有a_e∈N_i，即拥有信息a_e才可以通过该安全防护策略(对信息进行解密)。

Γ代表边安全能力约束，为从边到集合{True,False}的映射,表示边e是否存在安全防护策略。对于每个e∈E，如果该边执行安全策略检查，则Γ(e)＝True，否则Γ(e)＝False。

Π代表边安全策略约束，为从边到安全策略集合的映射,即对于每个e∈E，均有表示边e上执行的安全策略。对于不同类型的边，其可以设置的安全策略也不同，如果e∈E_pp，则如果e∈E_nn，则如果e∈E_ii∪E_if∪E_ff，则

(三)用户应得权限矩阵建立

通过对网络规划设计文件进行分析，或者与网络管理员进行交流，根据在步骤1中获取到的实体信息和权限信息，建立用户应得权限矩阵PD^(s)；用户应得权限矩阵PD^(s)的行数M，列数为N，其中M为当前网络配置中涉及到的人的数量，有M＝|N_s|；列数N为当前网络配置所有可能出现的权限，有N＝|N_p|+2×|N_o|+2×|N_n|+2×|N_v|+|N_f|+|N_s|；如果用户应得权限矩阵PD^(s)第i行代表的用户拥有第j列代表的权限，则置PD^(s)(i,j)＝1，否则置PD^(s)(i,j)＝0。

(四)权限变化规则集合建立

建立权限变化规则集合，描述目标网络空间内用户的权限会如何变化。权限变化规则可以采取一阶逻辑谓词“且∨、或∧、条件→、否定，”进行定义。标准规则集包含以下14条规则，但由于目标网络空间的独特性，很难定义普适的规则集满足所有的网络空间，在实际进行运维脆弱性分析时，可以对这个规则集进行合适的增删和修改。标准规则集包括：

a.“空间访问权”影响“空间访问权”，如果人员访问某个空间，则其能够访问此空间的上层空间；如果人员访问某个空间，且能够支配其与下层空间之间的空间安全策略，则其可以访问该空间的下层空间。可形式化表示为：

(n_p1,n_p3)∈E_pp∧SpaceEnter(n_s,n_p1)→SpaceEnter(n_s,n_p2)

(n_p1,n_p2)∈E_pp∧SpaceEnter(n_s,n_p1)∧PASS(n_s,(np₁,np₂))→SpaceEnter(n_s,np₁)

其中SpaceEnter(n_s,n_p)表示用户n_s具有空间n_p的空间访问权，PASS(n_s,(n₁,n₃))表示用户n_s能够通过边(n₁,n₂)上的安全策略。

b.“空间访问权”影响“物体使用权”，如果人员访问某个空间，则其能够使用该空间内的所有设备。可形式化表示为：

(n_o,n_p)∈E_op∧SpaceEnter(n_s,n_p)→ObjectUse(n_s,n_o)

其中ObjectUse(n_s,n_o)表示用户n_s对物体n_o具有物体使用权。

c.“物体使用权”影响“端口使用权”，如果人员能够使用某设备，则可以使用该设备的所有端口。可形式化表示为：

(n_n,n_o)∈E_no∧ObjectUse(n_s,n_o)→PortUse(n_s,n_n)

其中PortUse(n_s,n_n)表示用户n_s具有端口n_o的端口使用权。

d.“端口使用权”影响“服务可达权”，如果人员能够使用某端口，且能够支配其与目标服务之间所在端口之间的所有网络安全访问策略，则可达网络上的目标服务。可形式化表示为：

(n_v,n_n)∈E_vn∧PortUse(n_s,n_n)→ServiceReach(n_s,n_v)

PortUse(n_s,n_n1)∧Pass((n_n1,n_n3,n_v),P(n_n1,n_n3))→ServiceReach(n_s,n_v)

其中ServiceReach(n_s,n_v)表示用户n_s具有服务n_v的服务可达权。Pass((n_n1,n_n2,n_v),P(n_n5,n_n2))表示三元组(n_n5,n_n2,n_v)能够通过路径P(n_n1,n_n2)上所有边的安全策略。

e.“服务可达权”影响“服务支配权”，如果人员能够可达某服务，且拥有访问该服务所需的信息(或访问该服务不需要任何欲知信息)，则可以支配该服务。可形式化表示为：

(n_v,n_i)∈E_vi∧ServiceReach(n_s,n_v)∧InfoKnown(n_s,n_i)→ServiceDominate(n_s,n_v)

ServiceReach(n_s,n_v)∧NoEVIFromNode(n_v)→ServiceDominate(n_s,n_v)

其中ServiceDominate(n_s,n_v)表示用户n_s具有服务n_v的服务支配权。NoEVIFromNode(n_v)表示图中不存在以节点n_v为起点的边e_vi∈E_vi。

f.“服务支配权”影响“文件支配权”，如果人员能够支配某服务，且能够支配该服务和某文件之间的信息安全防护策略，则可以支配该文件。可形式化表示为：

(n_f,n_v)∈E_fv∧ServiceDominate(n_s,n_v)∧PASS(n_s,(n_f,n_v))→FileDominate(n_s,n_f)

其中FileDominate(n_s,n_f)表示用户n_s具有文件n_f的文件支配权。

g.“服务支配权”影响“信息知晓权”，如果人员能够可达某服务，且能够支配该服务与某信息之间的信息安全访问策略，则可以支配该信息。可形式化表示为：

(n_i,n_v)∈E_iv∧ServiceDominate(n_s,n_v)∧PASS(n_s,(n_i,n_v))→Infoknown(n_s,n_i)

其中Infoknown(n_s,n_i)表示用户n_s具有信息n_i的信息知晓权。

h.“文件支配权”影响“信息知晓权”，如果人员能够支配某文件，且能够支配该文件与某信息之间的信息安全访问策略，则可以支配该信息。可形式化表示为：

(n_i,n_f)∈E_if∧FileDominate(n_s,n_f)∧PASS(n_s,(n_i,n_f))→Infoknown(n_s,n_i)

i.“文件支配权”影响“文件支配权”，如果人员能够支配某文件，且能够支配该文件与其子文件之间的信息安全访问策略，则可以支配该子文件。可形式化表示为：

(n_f1,n_f2)∈E_ff∧FileDominate(n_s,n_f2)∧PASS(n_s,(n_f1,n_f2))→FileDominate(n_s,n_f1)

j.“信息知晓权”影响“信息知晓权”，如果人员能够支配某信息，且能够支配该信息与目标信息之间的信息安全访问策略，则可以支配该目标信息。可形式化表示为：

(n_i1,n_i2)∈E_ii∧Infoknown(n_s,n_i2)∧PASS(n_s,(n_1i,n_i2))→Infoknown(n_s,n_i1)

k.“服务支配权”影响“物体支配权”，如果人员能够支配某服务，该服务能够支配某物体，则可以支配该物体。可形式化表示为：

(n_d,n_v)∈E_dv∧ServiceDominate(n_s,n_v)→ObjectDominate(n_s,n_d)

其中ObjectDominate(n_s,n_o)表示用户n_s对物体n_o具有物体支配权。

l.“物体支配权”影响“端口支配权”，如果人员能够支配某物体，则可以支配该物体的所有端口。可形式化表示为：

(n_n,n_d)∈E_nd∧ObjectDominate(n_s,n_d)→PortDominate(n_s,n_n)

其中PortDominate(n_s,n_n)表示用户n_s具有端口n_o的端口支配权。

m.“物体支配权”影响“物体使用权”，如果人员能够支配某物体，则可以使用该物体。可形式化表示为：

ObjectDominate(n_s,n_d)→objectUse(n_s,n_d)

n.“端口支配权”影响“端口使用权”，如果人员能够支配某端口，则可以使用该端口。可形式化表示为：

PortDominate(n_s,n_n)→PortUse(n_s,n_d)

在上述规则的形式化定义中，引入安全策略通过判断函数PASS(n_s,e)和PASS((n_src,n_dst,v_dst),p)，用于判断某个用户或某三元组是否能够通过相应的安全策略

函数PASS(n_s,e)主要用于通过物理安全策略和信息安全策略的判断上。如果存在a∈Γ(e)，且用户n_s能够通过策略a，则PASS(n_s,e)＝True，否则PASS(n_s,e)＝False。根据边e的类型，有 对于不同的安全策略，使用不同的规则进行判断：如果a∈A_b，且n_s＝a，则用户n_s能够通过策略a，反之不通过；如果a∈A_a，且n_s拥有a的物理支配权，则用户n_s能够通过策略a，反之不通过；如果a＝(a_b,a_a)∈A_c，且满足n_s＝a_b，n_s拥有a_a的物理支配权，则用户n_s能够通过策略a，反之不通过。

函数PASS((n_src,n_dst,v_dst),p)主要用于通过网络安全策略的判断上，如果三元组(n_src,n_dst,v_dst)能够通过路径p中每一条边e上的安全策略集合，则PASS((n_src,n_dst,v_dst),p)＝True，否则PASS((n_src,n_dst,v_dst),p)＝False。对于特定的边e，如果有(n_src,n_dst,v_dst)∈Γ(e)，则认为三元组(n_src,n_dst,v_dst)能够通过该边上的网络安全策略，否则为不通过。

(五)用户实际权限矩阵建立

网络运维基础信息表示模型的基本作用是对某个网络空间状态进行定义。在此基础上，可以使用在步骤四中定义的权限变化规则集，利用基于逻辑推理的方式，从步骤1中获取的用户初始权限开始，迭代分析用户实际的真实权限。如果用PF^(s)代表在当前网络状态s下用户实际权限矩阵，PD^(s)代表其初始权限矩阵，M和N分别代表权限矩阵的行数和列数，那么PF^(s)可以由算法1计算：

在上述算法中存在三个子函数：getRowByNum、setRowByNum和changePrivilgeByRule.函数getRowByNum主要是从权限矩阵中拷贝其中的一行，其输入是一个M×N的矩阵，输出是一个1×N的向量。函数setRowByNum主要是将一个1×N的向量写入一个M×N的矩阵的某一行。函数changePrivilgeByRule主要是利用某一条规则对用户权限进行更改，主要首先选择出规则左侧涉及到的权限，然后根据规则更改右侧涉及到的权限，循环往复，直至所有权限不再改变。

(六)网络运维脆弱性指标计算

网络运维脆弱性的度量主要采取用户实际权限矩阵PF^(s)和应得权限矩阵PD^(s)之间的差值二范数的归一值来粗略估计该状态下的运维脆弱性：

其中s代表当前网络状态；M代表网络中的用户数，同时也是权限矩阵PF^(s)和PD^(s)的行数；N代表当前网络状态下实际权限数量，同时也是权限矩阵PF^(s)和PD^(s)的列数；根据步骤2和步骤5中的计算结果，代入上述公式，即可得到网络当前配置下的运维脆弱性。

该环境是对某校网络空间的一个简化，其中包含路由器、交换机、服务器、门禁系统和终端，图3展示的是各个设备的空间分布和物理连接关系。所有的设备分布在3个楼宇，8个房间内，T1、T2和T3放置在楼宇1的房间1-1中，交换机1放置在房间1-2中,门禁机1放置在楼宇1的大堂(房间1-3)中；T4和T5放置在楼宇2的房间2-1中，交换机2放置在房间2-2中，门禁机2放置在楼宇2的大堂(房间2-3)中；路由器、防火墙、入侵防御系统和所有服务器均放置在楼宇3的3-1房间中，门禁机3放置在楼宇3的大堂(房间3-2)中。

网络中共有27个服务，web服务器和内部web服务器分别在80口上提供web服务；OA服务器在80端口上提供OA服务，不同的用户使用不同的用户名和密码进行登陆(不同用户的服务在建模时，被视为不同的服务)；FTP服务器在端口21上提供FTP服务，用于所有的网络管理员共享相应的信息；数据库服务器在1433端口上提供相应的数据库服务，为web服务和OA服务提供底层支持；门禁服务器在端口8080上提供相应的认证服务，用于所有门禁机认证用户。除了这些服务，每个设备均提供相应的管理服务，所有终端和服务器均开启远程桌面(端口3389)，所有服务器和路由器提供ssh服务，防火墙和IPS提供基于web的管理服务。

网络空间内有6个文件实体和42个信息实体。6个文件实体表示ftp服务器上的文件，门禁服务器上的文件，数据库文件、内部web服务器上的文件，以及web服务器和OA服务器上的配置文件。42个信息实体izhuyao包括不同服务的用户密码，门禁机上的用户认证信息，存储在OA服务器里的机密信息，存储在数据库中的加密信息，以及相应的加密密钥。

在网络中包含5个用户，分别为Alice,Bob,Charles,David和Eric，Alice,Bob,Charles是普通用户，分别使用终端T1，T2和T3来访问web Server、OA Server和Inner webServer，但同时Charles负责Inner web Server的管理工作。David和Eric是网络管理员，他们分别使用终端T4和T5管理各种设备，David主要负责网络设备的管理，Eric主要负责安全设备和服务器设备的管理。依照这个原则，管理员预先在防火墙上设置了相应的安全策略，因篇幅所限，更多细节不再赘述。

在此基础上，可以提取出1548个实体,393个实体关系，以及部署在12条边上的41个安全防护策略(10个物理安全防护策略，26个网络安全防护策略,5个信息安全防护策略)。在建立的多域信息表示图中，存在158个节点,393条边,1722条路径和12个约束关系。然后，建立相应的应得权限矩阵PD^(s)和初始权限矩阵PI^(s),最终计算相应的实际权限矩阵PF^(s)。在这个过程中，5个用户可以从33个初始权限中得到554个最终权限(见表5)。最后，之后计算网络运维脆弱性指标，得到当前网络状态下网络运维脆弱性的值为0.233。

表5权限数量表

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (7)

1.一种网络运维脆弱性分析方法，其特征在于包括如下步骤：

步骤1、收集网络基础信息：

从网络的多域配置中发现网络多域实体、实体关系、安全防护策略和用户初始权限；

步骤2、建立网络运维基础信息表示模型：

根据收集到的网络基础信息，建立相应的多域信息表示图；

步骤3、建立用户应得权限矩阵：

根据在步骤1中获取到的实体信息和权限信息，预设用户应得权限矩阵；

步骤4、建立权限变化规则集合：

建立权限变化规则集合，描述目标网络空间内用户的权限会如何变化,采用一阶逻辑谓词将目标网络空间和用户的权限互相影响建立逻辑推理的方式；

步骤5、建立用户实际权限矩阵：

基于步骤2中多层融合图表示模型，使用在步骤四中定义的权限变化规则集合，利用基于一阶逻辑谓词建立逻辑推理的方式，从步骤1中获取的用户初始权限开始，迭代分析用户实际的真实权限；

步骤6、计算网络运维脆弱性指标：

网络运维脆弱性的度量主要采取用户实际权限矩阵和应得权限矩阵之间的差值二范数的归一值来粗略估计该状态下的运维脆弱性。

2.根据权利要求1所述的网络运维脆弱性分析方法，其特征在于所述的步骤1中收集网络基础信息中：

所述的网络多域实体包括网络空间物理域、网络域、信息域和社会域内的实体；

所述的实体关系包括各种实体之间的关系，涉及到包含关系、连接关系、支配关系和依赖关系；

所述的安全防护策略信息主要包括物理域安全防护策略、网络域安全防护策略、信息域安全防护策略；

所述的用户初始权限包括空间访问权、物体使用权、物体支配权、端口使用权、端口支配权、服务可访问权、服务支配权、文件支配权和信息知晓权。

3.根据权利要求1所述的网络运维脆弱性分析方法，其特征在于：所述的步骤2中，网络运维基础信息可以用多域信息表示图G＝(N,E,P,A,Γ,Π)进行统一表示；其中各符号的含义分别为：

N代表节点，表示多域信息实体，共有7种，分别空间实体节点N_p，表示物理空间；物理实体节点N_o，表示网络设备或其它物体；接口实体节点N_n，表示网络设备的接口；服务实体节点N_v，表示网络服务；文件实体节点N_f，表示数字文件；数字信息实体节点N_i，表示数字信息，如口令、私钥等；人员实体节点N_s，如网络的使用者、管理者和攻击者；对于节点集合N，有N＝N_p∪N_o∪N_n∪N_v∪N_f∪N_i∪N_s；

E代表边，代表多域信息实体之间的关系，共有13种，即：E＝E_pp∪E_op∪E_no∪E_vn∪E_fv∪E_iv∪E_ff∪E_if∪E_ii∪E_nn∪E_vv∪E_vi∪E_ov；其中边E_pp从某个空间实体N_p1指向另一个空间实体N_p2，表示在物理空间p2包含物理空间p1；边E_op从物理实体节点N_o指向空间实体节点N_p，表示物体o放置于空间p之内；边E_no从接口实体节点N_n指向物理实体节点N_o，表示接口n隶属于物体o；边E_vn从服务实体节点N_v指向接口实体节点N_n，表示服务v部署于接口n上；边E_fv从文件实体节点N_f指向服务实体节点N_v，表示通过访问服务v可以得到文件f；边E_iv从信息实体节点N_i指向服务实体节点N_v，表示通过访问服务v可以得到信息i；边E_ff从文件实体节点N_f1指向另一个文件实体节点N_f2，表示文件f1是文件f2的一部分；边E_if从信息实体节点N_i指向文件实体节点N_f，表示信息i存储在文件f之中；边E_ii从信息实体节点N_i1指向另一个信息实体节点N_i2，表示信息i1包含在信息i2之中；边E_nn从接口实体节点N_n1指向另一个接口实体节点N_n2，表示网络流量可以从接口n1流向n2；边E_vv从服务实体节点N_v1指向另一个服务实体节点N_v2，表示服务v1正常提供服务依赖于服务v2；边E_vi从服务实体节点N_v指向信息实体节点N_i，表示访问服务v需要知晓信息i；边E_ov从物理实体节点N_o指向服务实体节点N_v，表示服务v可以用来控制物体o

P代表网络路径，表示流量如何从一个网络端口流向另一个网络端口；对于任意p∈P，有即表示网络流量通过的边的序列，这些序列中的边首尾相接，构成相应的网络路径；对于一个拥有|N_n|个网络接口的多域信息表示图，共有|N_n|²-|N_n|条路径；

A代表安全防护策略，表示网络空间如何控制人或信息的流动，共有5种，即：A＝A_b∪A_a∪A_c∪A_n∪A_e，其中A_b，A_a，A_c分别代表三种物理域安全防护策略；A_n代表网络域安全防护策略；A_e代表信息域安全防护策略。A_b表示通过生物特征对人员进行认证，对于任意a_b∈A_b，有a_b∈N_s，即只有人员a_b能够通过该安全防护策略；A_a表示通过附属物对人员进行认证，对于任意a_a∈A_a，有a_a∈N_o∪N_i，即只有可以支配a_a才能够通过该安全防护策略；A_c表示通过人员和附属物的相应关系来对人员进行认证，对于任意a_c∈A_c，有a_c＝(a_b，a_a)，其中a_b∈N_s，a_a∈N_o∪N_i，表示特定人员a_b，同时可以只支配a_a才能够通过该安全防护策略；A_n表示网络安全防护策略，对于任意a_n∈A_n，有a_n＝(n_n1，n_n2，n_v)∈N_n×N_n×N_v，即源地址为n_n1，目的地址为n_n2，访问服务n_v的流量能够通过该安全防护策略；A_e表示信息安全防护策略，即对信息进行加密，对于任意a_e∈A_e，有a_e∈N_i，即拥有信息a_e才可以通过该安全防护策略；

Γ代表边安全能力约束，为从边到集合{True，False}的映射，表示边e是否存在安全防护策略。对于每个e∈E，如果该边执行安全策略检查，则Γ(e)＝True，否则Γ(e)＝False。

Π代表边安全策略约束，为从动到安全策略集合的映射，即对于每个e∈E，均有表示边e上执行的安全策略。对于不同类型的边，其可以设置的安全策略也不同，如果e∈E_pp，则如果e∈E_nn，则如果e∈E_ii∪E_if∪E_ff，则

4.根据权利要求1所述的网络运维脆弱性分析方法，其特征在于所述的步骤3、预设用户应得权限矩阵：

根据在步骤1中获取到的实体信息和权限信息，建立用户应得权限矩阵PD^(s)；用户应得权限矩阵PD^(s)的行数M，列数为N，其中M为当前网络配置中涉及到的人的数量，有M＝|N_s|；列数N为当前网络配置所有可能出现的权限，有N＝|N_p|+2×|N_o|+2×|N_n|+2×|N_v|+|N_f|+|N_s|；如果用户应得权限矩阵PD^(s)第i行代表的用户拥有第j列代表的权限，则置PD^(s)(i，j)＝1，否则置PD^(s)(i，j)＝0。

5.根据权利要求1所述的网络运维脆弱性分析方法，其特征在于所述的步骤4权限变化规则集合建立中，标准规则集包括：

a.“空间访问权”影响“空间访问权”，如果人员访问某个空间，则其能够访问此空间的上层空间；如果人员访问某个空间，且能够支配其与下层空间之间的空间安全策略，则其可以访问该空间的下层空间；

b.“空间访问权”影响“物体使用权”，如果人员访问某个空间，则其能够使用该空间内的所有设备；

c.“物体使用权”影响“端口使用权”，如果人员能够使用某设备，则可以使用该设备的所有端口；

d.“端口使用权”影响“服务可达权”，如果人员能够使用某端口，且能够支配其与目标服务之间所在端口之间的所有网络安全访问策略，则可达网络上的目标服务；

e.“服务可达权”影响“服务支配权”，如果人员能够可达某服务，且拥有访问该服务所需的信息(或访问该服务不需要任何欲知信息)，则可以支配该服务；

f.“服务支配权”影响“文件支配权”，如果人员能够支配某服务，且能够支配该服务和某文件之间的信息安全防护策略，则可以支配该文件；

g.“服务支配权”影响“信息知晓权”，如果人员能够可达某服务，且能够支配该服务与某信息之间的信息安全访问策略，则可以支配该信息；

h.“文件支配权”影响“信息知晓权”，如果人员能够支配某文件，且能够支配该文件与某信息之间的信息安全访问策略，则可以支配该信息；

i.“文件支配权”影响“文件支配权”，如果人员能够支配某文件，且能够支配该文件与其子文件之间的信息安全访问策略，则可以支配该子文件；

j.“信息知晓权”影响“信息知晓权”，如果人员能够支配某信息，且能够支配该信息与目标信息之间的信息安全访问策略，则可以支配该目标信息；

k.“服务支配权”影响“物体支配权”，如果人员能够支配某服务，该服务能够支配某物体，则可以支配该物体；

l.“物体支配权”影响“端口支配权”，如果人员能够支配某物体，则可以支配该物体的所有端口；

m.“物体支配权”影响“物体使用权”，如果人员能够支配某物体，则可以使用该物体；

n.“端口支配权”影响“端口使用权”，如果人员能够支配某端口，则可以使用该端口。

6.根据权利要求1所述的网络运维脆弱性分析方法，其特征在于所述的步骤5用户实际权限矩阵建立：

如果用PF^(s)代表在当前网络状态s下用户实际权限矩阵，PI^(s)代表其初始权限矩阵，M和N分别代表权限矩阵的行数和列数，通过权限变化规则集合可以推导出用户实际权限矩阵。

7.根据权利要求1所述的网络运维脆弱性分析方法，其特征在于所述的步骤6网络运维脆弱性指标计算：采取用户实际权限矩阵PF^(s)和应得权限矩阵PD^(s)之间的差值二范数的归一值来粗略估计该状态下的运维脆弱性：

其中s代表当前网络状态；M代表网络中的用户数，同时也是权限矩阵PF^(s)和PD^(s)的行数；N代表当前网络状态下实际权限数量，同时也是权限矩阵PF^(s)和PD^(s)的列数；根据步骤2和步骤5中的计算结果，代入上述公式，即可得到网络当前配置下的运维脆弱性。