CN109660561B - 一种网络安全防御体系量化评估方法、网络安全评估平台 - Google Patents

一种网络安全防御体系量化评估方法、网络安全评估平台 Download PDF

Info

Publication number
CN109660561B
CN109660561B CN201910066409.6A CN201910066409A CN109660561B CN 109660561 B CN109660561 B CN 109660561B CN 201910066409 A CN201910066409 A CN 201910066409A CN 109660561 B CN109660561 B CN 109660561B
Authority
CN
China
Prior art keywords
security
defense
threat
weight
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910066409.6A
Other languages
English (en)
Other versions
CN109660561A (zh
Inventor
朱辉
徐博
尹钰
钱东旭
李晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201910066409.6A priority Critical patent/CN109660561B/zh
Publication of CN109660561A publication Critical patent/CN109660561A/zh
Application granted granted Critical
Publication of CN109660561B publication Critical patent/CN109660561B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明属于信息安全技术领域,公开了一种网络安全防御体系量化评估方法、网络安全评估平台,确定系统面临的所有安全威胁及权重;确定系统中的安全设备防御向量及防御动作权重;对系统划分安全域并确定安全域权重;对设计阶段的系统进行安全防御能力评估;对实际运行阶段的系统进行安全防御能力评估。本发明将对安全防御体系的防护能力评估分为两个方面,一是对设计阶段的安全防御体系进行评估;二是对实际运行阶段的安全防御体系进行评估。通过安全设备的防御能力与威胁之间的攻防关系量化评估网络安全防护体系双维度的安全防护能力。

Description

一种网络安全防御体系量化评估方法、网络安全评估平台
技术领域
本发明属于信息安全技术领域,尤其涉及一种网络安全防御体系量化评估方法、网络安全评估平台。
背景技术
目前,业内常用的现有技术是这样的:随着网络信息技术的快速发展,信息化技术被应用到各个领域,给生活和生产带来了极大的便利。同时,网络安全问题变得越来越多,网络攻击也变得越来越频繁,造成用户隐私数据泄露,互联网服务瘫痪,对社会利益带来了巨大的损失。一般情况下,一个系统在网络设计阶段没有考虑其网络安全防御体系的建设,反而在遭受网络攻击后,技术人员才开始在系统中部署各种安全设备,试图防御网络攻击,这种方式虽然在一定程度上提高了系统的安全性,但缺乏对系统整体面临威胁的分析,并且安全设备很难实际发挥理论上的功效,导致技术人员不能完全掌握系统安全防护能力上的不足,不能有效建设系统的安全防御体系,使系统在网络安全事件发生时处于被动的状态。因此,为了确保技术人员能对系统的网络安全状况有全面的掌握,需要一种合理有效的网络安全评估方法。
针对网络安全评估问题,人们已经提出了一些解决方案,比如:现有技术一(申请号CN 201611086924.3申请公布号CN 106789955A)公开了一种网络安全态势评估方法,分别对系统中的各个设备单独评估,最后综合得到整个网络的安全态势值,但是该技术是从系统已存在的漏洞和已遭受的攻击为要素进行评估,可能遗漏新威胁,评估结果产生延后性。现有技术二(申请号CN201710364501.1申请公布号CN107204876A)公开了一种网络安全风险评估方法,以漏洞和安全告警为要素,在多个时间点进行多次风险评估,该技术侧重于评估结果的实时性,但漏洞是威胁可被具体利用的表现,系统除漏洞外还面临其它未发现漏洞的威胁,并且安全设备对攻击的检测也会存在漏报和误报的情况,造成实际评估结果的偏差。
综上所述,现有技术存在的问题是:
(1)缺少对系统在网络设计阶段的安全能力评估。由于系统在网络设计阶段缺乏安全防护能力的量化评估,防御者无法掌握系统所面临的威胁类型以及目前系统的安全防护能力水平,导致后续的安全防御体系建设工作难以进行。同时系统在设计阶段考虑其安全防御体系的建设,那么在网络中增加安全设备后系统的安全性如何,也需要对设计阶段进行安全量化评估。
(2)对实际系统环境进行评估,没有结合安全设备防御威胁的实际效果。系统的安全防御能力是由系统中所部署的安全设备所决定的,虽然安全设备具备特定的防御功能,但不能保证防御功能达到理论效果,这就导致理论上的安全性和实际上的安全性之间的偏差。
(3)影响网络安全的要素不够全面。网络安全评估要素不够全面,最终评估结果就会存在偏差,不能真实反映系统的安全防护能力,影响防御者在安全防御体系建设上的决策。
解决上述技术问题的难度:
在保证评估结果有效的前提下,对设计阶段和实际运行阶段要求评估要素的全面性;设计阶段的安全评估要着重考虑各评估要素的理论效果;实际运行阶段的安全评估既要结合评估要素的理论效果,又要考虑可反映实际效果的评估要素。
解决上述技术问题的意义:
随着信息技术的发展,未来社会各个领域将会引入信息化系统,网络安全面临巨大挑战,设计合理有效的网络安全防御体系量化评估方法对于掌握、完善信息化系统的安全防护能力具有重要意义。
发明内容
针对现有技术存在的问题,本发明提供了一种网络安全防御体系量化评估方法、网络安全评估平台。
本发明是这样实现的,一种网络安全防御体系量化评估方法,所述网络安全防御体系量化评估方法包括:
第一步,确定系统面临的所有安全威胁及权重;
第二步,确定系统中的安全设备防御向量及防御动作权重;
第三步,对系统划分安全域,确定安全域权重;
第四步,对设计阶段的系统进行安全防御能力评估,包括以下步骤:
(1)对于安全域Zonel,预部署有安全设备d1,d2,…,dj。相应的,安全设备dj的威胁防御向量为Aj=(aj1,aj2,…,ajn),那么安全域Zonel对威胁的防御向量为A'=A1OR A2OR…OR Aj=(a1,a2,…,an),其中OR为或运算;
(2)安全域Zonel的安全防护能力
Figure BDA0001955838980000031
综合l个安全域的安全防护能力,得到整体系统设计阶段的安全防护能力
Figure BDA0001955838980000032
第五步,对实际运行阶段的系统进行安全防御能力评估,包括以下步骤:
(1)针对n种安全威胁设计生成n种攻击测试,通过每种攻击测试得到安全设备dj对安全威胁的实际防御结果Aj=(aj1,aj2,…,ajn)和防御威胁ti的动作结果
Figure BDA0001955838980000033
1)在安全域Zonel中,有安全设备d1,d2,…,dj,对于安全威胁ti,每台安全设备的具体防御动作结果为Bi1,Bi2,…,Bij,得到综合防御动作结果Bi=Bi1OR Bi2OR…OR Bij,综合防御结果A'=A1OR A2OR…OR Aj
2)安全域Zonel的安全防护能力
Figure BDA0001955838980000034
(2)综合l个安全域的安全防护能力,得到整体系统实际运行阶段的安全防护能力
Figure BDA0001955838980000035
进一步,所述第一步的确定系统面临的所有安全威胁及权重的过程包括以下步骤:
(1)系统面临n种安全威胁,Threat={t1,t2,…,tn},每种安全威胁ti对应的威胁权重为twi,TW=(tw1,tw2,…,twn)表示安全威胁集合对应的权重向量:
其中,
Figure BDA0001955838980000041
(2)攻击者将安全威胁转化为攻击,达到其攻击目的,n种安全威胁共可以达到m种攻击目的Objective={o1,o2,…,om};
(3)应用层次分析法确定安全威胁的权重TW,步骤如下;
1)风险严重性作为目标层,攻击目的Objective作为准则层,安全威胁Threat作为方案层;
2)构造判断矩阵,并计算方案层对于准则层的权重向量作为安全威胁权重TW。
进一步,所述第二步的确定系统中的安全设备防御向量及防御动作权重具体包括:
(1)根据安全设备类型及功能设计,得到安全设备dj对威胁的防御向量为Aj=(aj1,aj2,…,ajn);
(2)安全设备对安全威胁能够做出的防御动作为Response={r1,r2,…,rk},防御动作权重为RW=(rw1,rw2,…,rwk);
(3)应用层次分析法确定防御动作的权重RW,步骤如下:
1)防御动作重要性作为目标层,安全威胁Threat作为准则层,防御动作Response作为方案层;
2)构造判断矩阵,直接引用安全威胁权重TW作为准则层权重系数,并计算方案层对于准则层的权重向量作为防御动作权重RW。
进一步,所述第三步对系统划分安全域,确定安全域权重的过程具体包括以下步骤:
(1)将系统划分为l个安全域Zone,Value={v1,v2,…,vl}为安全域中需要保护的资产价值;
(2)确定安全域权重ZW={zw1,zw2,…,zwl},其中zw1:zw2:…:zwl=v1:v2:…:vl
本发明的另一目的在于提供一种应用所述网络安全防御体系量化评估方法的网络安全评估平台。
综上所述,本发明的优点及积极效果为:本发明从网络安全攻防的角度出发,将安全设备与安全威胁作为评估要素,评估系统的安全防护能力。系统中的资产存在若干安全威胁,这些威胁是网路攻击的来源,防御者需要在系统中部署安全设备,借助安全设备对特定威胁的防御能力,减小或消除威胁,提高系统的安全性。本发明通过分析系统中安全设备防御能力与存在的威胁之间的对应关系,如防火墙具备防御网络扫描、拒绝服务攻击的能力,网络入侵检测系统具备注入攻击、暴力破解、上传webshell等的能力,发现系统安全防御体系的缺失,并结合安全威胁之间的权重关系得到系统的安全防护能力评估结果。
本发明实现了对系统设计阶段和实际运行阶段的全面评估,对系统防御体系的建设具有指导意义。对系统设计阶段进行量化评估,能够帮助防御者掌握防御体系在设计时的防御范围、防御短板以及整体安全防护能力,帮助防御者完善系统防御体系的防御面;对系统实际运行阶段进行量化评估,通过各项安全威胁对应的攻击测试,能够帮助防御者了解防御体系在实际运行时安全设备实际的防御效果,便于对防御体系进行查漏补缺,并给出实际运行阶段的安全防护能力量化结果,发现与设计阶段的差距。
与现有方案相比,本发明能够通过对比系统可防御的安全威胁集合与系统可能面临的威胁集合,发现防御体系无法防御的威胁类型,帮助防御者发现安全防御短板;本发明结合安全威胁对应的测试用例,在实际环境下对安全设备进行防御能力测试,并通过对比安全设备在理想情况下和在实际测试下对威胁的防御情况,可以得出由于设备配置、功能实现程度导致的无法实际防御的威胁类型,给防御者改善防御体系提供指导意见。
附图说明
图1是本发明实施例提供的网络安全防御体系量化评估方法流程图。
图2是本发明实施例提供的网络安全防御体系量化评估方法实现流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明对于一个系统的安全防御体系的量化评估,设计合理有效的安全评估方案,全面考虑被评估系统面临的威胁,分别评估系统设计阶段和实际运行阶段的安全防护能力,对于该系统安全防御体系的建设和完善具有重要意义。
下面结合附图对本发明的应用原理作详细的描述。
如图1所示,本发明实施例提供的网络安全防御体系量化评估方法包括以下步骤:
S101:确定系统面临的所有安全威胁及权重;
S102:确定系统中的安全设备防御向量及防御动作权重;
S103:对系统划分安全域,确定安全域权重;
S104:对设计阶段的系统进行安全防御能力评估;
S105:对实际运行阶段的系统进行安全防御能力评估。
下面结合附图对本发明的应用原理作进一步的描述。
如图2所示,本发明实施例提供的网络安全防御体系量化评估方法具体包括以下步骤:
步骤一,确定系统面临的所有安全威胁及权重;
1.1)通过梳理分析系统中的业务功能点,确定系统可能面临的n种安全威胁,Threat={t1,t2,…,tn},威胁集合覆盖范围越全面,评估效果就越好。每种安全威胁ti对应的威胁权重为twi,TW=(tw1,tw2,…,twn)表示安全威胁集合对应的权重向量,其中
Figure BDA0001955838980000071
1.2)攻击者将安全威胁转化为具体攻击,通过攻击行为达到其目的,比如获取权限、获取数据、信息收集等。n种安全威胁最终可以达到的攻击目的有m种,攻击目的集合为Objective={o1,o2,…,om};
1.3)应用层次分析法确定安全威胁的权重向量TW,步骤如下:
其中,本实施例中的层次分析法,简称AHP,是指将与决策总是有关的元素分解成目标、准则、方案等层次,在此基础之上进行定量分析的决策方法。
1.3.1)将风险严重性作为目标层,步骤1.2中所述攻击目的Objective作为准则层,步骤1.1中所述安全威胁Threat作为方案层,建立层次结构模型;
1.3.2)根据所述层次结构构造判断矩阵,并计算准则层权重向量以及方案层对于准则层的权重向量,将方案层对于准则层的权重向量作为安全威胁权重向量TW。所述判断矩阵构建公式为:
Figure BDA0001955838980000072
上述公式中,A为n×n的矩阵,且满足
Figure BDA0001955838980000073
aij为因素i与因素j相对重要性比值,由决策者根据表1进行判断。
Figure BDA0001955838980000074
Figure BDA0001955838980000081
表1
步骤二,确定系统中的安全设备防御向量及防御动作权重;
2.1)根据安全设备类型及功能设计,得到安全设备dj对威胁的防御向量为Aj=(aj1,aj2,…,ajn);不同类型的安全设备可能具备不同的防御能力,甚至同种类型的安全设备在功能设计上也可能有差异,其防御能力也会有所不同;
2.2)安全设备对系统遭受的攻击进行防御,根据安全设备的功能设计,能够做出的防御动作集合为Response={r1,r2,…,rk},比如拦截、检测、详细事件日志等,作为评估安全设备实际防御能力的评估要素,这些防御动作权重为RW=(rw1,rw2,…,rwk);
2.3)应用层次分析法确定步骤2.2中所述防御动作的权重RW,步骤如下:
2.3.1)防御动作重要性作为目标层,步骤1.1中所述安全威胁Threat作为准则层,步骤2.2中所述防御动作Response作为方案层,构建层次结构模型;
2.3.2)根据步骤1.3.2中所述方法构建判断矩阵,并将步骤1.3.2中所述安全威胁权重TW作为准则层权重系数,并计算方案层对于准则层的权重向量作为防御动作权重RW。
步骤三,对系统划分安全域,确定安全域权重;
3.1)将系统划分为l个安全域Zone,Value={v1,v2,…,vl}为l安全域中需要保护的资产价值集合,vl表示安全域Zonel中资产价值之和,用资产代表的实际经济价值作为资产价值。假设安全域Zonel中,提供业务功能的资产有h1,h2,h3,资产的经济价值为e1,e2,e3,该安全域的资产价值vl=e1+e2+e3
其中上述安全域是指,同一安全域中的设备具有相同的安全需求,相同的访问控制策略,相同的网络边界,域中设备之间相互信任,安全性互相影响。不同安全域之间存在由防火墙、网闸、NAT等设备设置的ACL作为网络边界,这些设备两端一般连接两个不同的子网,作为安全域划分的方式;
3.2)确定安全域权重向量ZW=(zw1,zw2,…,zwl),其中zw1:zw2:…:zwl=v1:v2:…:vl
Figure BDA0001955838980000091
l为划分安全域的个数。
步骤四,对设计阶段的系统进行安全防御能力评估;
4.1)分别对单个安全域进行评估,步骤如下:
根据步骤3.1中所述安全域的概念,每个安全域有相同的安全需求,即每个安全域有单独的安全策略,所以需要对每个安全域的安全防御能力分别评估;
4.1.1)对于安全域Zonel,在防御体系设计时预部署有安全设备d1,d2,…,dj,相应的,根据步骤2.1所述安全设备dj的威胁防御向量为Aj=(aj1,aj2,…,ajn),其中
Figure BDA0001955838980000092
表示安全设备dj对威胁ti的防御情况;
那么安全域Zonel对威胁的防御向量为A'=A1OR A2OR…OR Aj=(a1,a2,…,an),其中OR为或运算,ai与ti一一对应,比如A1OR A2=(a11OR a21,a12OR a22,…a1nOR a2n)。在安全域Zonel中,有一台安全设备能够防御威胁ti,就说明该安全域就具备对威胁ti的安全防护能力。通过上述安全域Zonel对威胁的防御向量,防御者可以发现该安全域无法防御的安全威胁,对防御体系的设计进行查漏补缺。如果多台安全设备的威胁防御向量相同,说明这些安全设备的防御面重叠,对安全防护能力的提升没有作用;
4.1.2)安全域Zonel的安全防护能力
Figure BDA0001955838980000093
特别地,如果该安全域可以防御所有安全威胁,则A'为1×n的全1矩阵,根据上述公式计算得到的安全防护能力值为1,安全防护能力达到最高;如果该安全域不能防御任何安全威胁,则A'为1×n的全0矩阵,根据上述公式计算得到的安全防护能力值为0,安全防护能力达到最低;如果该安全域已有可以防御安全威胁ti…tj,1≤i≤j≤n的安全设备,及时增加或减少相同防御能力的安全设备,A'不会变化,最终计算得到的安全防护能力值也不变;
4.2)根据步骤4.1.2计算l个安全域的安全防护能力,最终得到整体系统设计阶段的安全防护能力评估值
Figure BDA0001955838980000101
步骤五,对实际运行阶段的系统进行安全防御能力评估;
5.1)对单个安全域进行评估,步骤如下:
5.1.1)针对n种安全威胁设计生成n种攻击测试,对安全域Zonel中的资产进行测试,通过每种攻击测试后安全设备的防御结果进行记录,得到安全设备dj对安全威胁的实际防御结果Aj=(aj1,aj2,…,ajn)和防御威胁ti的动作结果
Figure BDA0001955838980000102
其中
Figure BDA0001955838980000103
表示安全设备dj对威胁ti的防御情况,
Figure BDA0001955838980000104
表示安全设备dj对威胁ti进行防御时具体的防御动作情况。根据安全设备类型、产品型号的不同,其在功能上的具体实现也不同,安全设备的配置也会影响实际防御能力,所以要结合模拟攻击来对测试安全设备的实际防御效果,帮助防御者发现安全设备配置或功能上的不足之处,便于完善安全防御体系的建设;
5.1.2)在安全域Zonel中,有安全设备d1,d2,…,dj,对于安全威胁ti,根据步骤5.1.1中所述每台安全设备的具体防御动作结果为Bi1,Bi2,…,Bij,得到综合防御动作结果Bi=Bi1OR Bi2OR…OR Bij,综合防御结果A'=A1OR A2OR…OR Aj。Bi为安全域Zonel中所有安全设备对威胁ti进行防御时防御动作的综合,比如安全设备d1对威胁ti做出防御动作向量为
Figure BDA0001955838980000105
安全设备d2对威胁ti做出防御动作向量为
Figure BDA0001955838980000106
Figure BDA0001955838980000107
该结果可以帮助防御者发现针对特定威胁防御的响应盲点,便于进一步完善防御体系建设;A'为安全域Zonel对威胁的防御向量,与步骤4.1.1所述相同;
5.1.3)安全域Zonel的安全防护能力
Figure BDA0001955838980000108
在实际运行阶段,安全域Zonel的防御体系在防御威胁ti,必须对该威胁响应所有防御动作,才说明安全域Zonel具备对威胁ti的安全防护能力,所以即使在该安全域中部署有多台相同防御面的安全设备,只要对威胁响应的防御动作不同,也不会造成资源浪费;
5.2)根据步骤5.1.2计算l个安全域的安全防护能力,最终得到整体系统实际运行阶段的安全防护能力评估值
Figure BDA0001955838980000111
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种网络安全防御体系量化评估方法,其特征在于,所述网络安全防御体系量化评估方法包括:
第一步,确定系统面临的所有安全威胁及权重;
第二步,确定系统中的安全设备防御向量及防御动作权重rw;
第三步,对系统划分安全域,确定安全域权重;
第四步,对设计阶段的系统进行安全防御能力评估,包括以下步骤:
(1)对于安全域Zonel,预部署有安全设备d1,d2,…,dj;相应的,安全设备dj的威胁防御向量为Aj=(aj1,aj2,…,ajn),那么安全域Zonel对威胁的防御向量为A'=A1ORA2OR…ORAj=(a1,a2,…,an),其中OR为或运算;
(2)安全域Zonel的安全防护能力
Figure FDA0003025577780000011
综合l个安全域的安全防护能力,得到整体系统设计阶段的安全防护能力
Figure FDA0003025577780000012
安全威胁ti;安全威胁的权重TW;
第五步,对实际运行阶段的系统进行安全防御能力评估,包括以下步骤:
(1)针对n种安全威胁设计生成n种攻击测试,通过每种攻击测试得到安全设备dj对安全威胁的实际防御结果Aj=(aj1,aj2,…,ajn)和安全威胁ti的动作结果
Figure FDA0003025577780000013
1)在安全域Zonel中,有安全设备d1,d2,…,dj,对于安全威胁ti,每台安全设备的具体防御动作结果为Bi1,Bi2,…,Bij,得到综合防御动作结果Bi=Bi1ORBi2OR…ORBij,综合防御结果A'=A1ORA2OR…ORAj
2)安全域Zonel的安全防护能力
Figure FDA0003025577780000014
(2)综合l个安全域的安全防护能力,得到整体系统实际运行阶段的安全防护能力
Figure FDA0003025577780000021
安全域权重zwi
2.如权利要求1所述的网络安全防御体系量化评估方法,其特征在于,所述第一步的确定系统面临的所有安全威胁及权重的过程包括以下步骤:
(1)系统面临n种安全威胁,Threat={t1,t2,…,tn},每种安全威胁ti对应的威胁权重为twi,TW=(tw1,tw2,…,twn)表示安全威胁集合对应的权重向量:
其中,
Figure FDA0003025577780000022
(2)攻击者将安全威胁转化为攻击,达到其攻击目的,n种安全威胁共可以达到m种攻击目的Objective={o1,o2,…,om};
(3)应用层次分析法确定安全威胁的权重TW,步骤如下;
1)风险严重性作为目标层,攻击目的Objective作为准则层,安全威胁Threat作为方案层;
2)构造判断矩阵,并计算方案层对于准则层的权重向量作为安全威胁权重TW。
3.如权利要求1所述的网络安全防御体系量化评估方法,其特征在于,所述第二步的确定系统中的安全设备防御向量及防御动作权重具体包括:
(1)根据安全设备类型及功能设计,得到安全设备dj对威胁的防御向量为Aj=(aj1,aj2,…,ajn);
(2)安全设备对安全威胁能够做出的防御动作为Response={r1,r2,…,rk},防御动作权重为RW=(rw1,rw2,…,rwk);
(3)应用层次分析法确定防御动作的权重RW,步骤如下:
1)防御动作重要性作为目标层,安全威胁Threat作为准则层,防御动作Response作为方案层;
2)构造判断矩阵,直接引用安全威胁权重TW作为准则层权重系数,并计算方案层对于准则层的权重向量作为防御动作权重RW。
4.如权利要求1所述的网络安全防御体系量化评估方法,其特征在于,所述第三步对系统划分安全域,确定安全域权重的过程具体包括以下步骤:
(1)将系统划分为l个安全域Zone,Value={v1,v2,…,vl}为安全域中需要保护的资产价值;
(2)确定安全域权重ZW={zw1,zw2,…,zwl},其中zw1:zw2:…:zwl=v1:v2:…:vl
5.一种应用权利要求1~4任意一项所述网络安全防御体系量化评估方法的网络安全评估系统。
CN201910066409.6A 2019-01-24 2019-01-24 一种网络安全防御体系量化评估方法、网络安全评估平台 Active CN109660561B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910066409.6A CN109660561B (zh) 2019-01-24 2019-01-24 一种网络安全防御体系量化评估方法、网络安全评估平台

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910066409.6A CN109660561B (zh) 2019-01-24 2019-01-24 一种网络安全防御体系量化评估方法、网络安全评估平台

Publications (2)

Publication Number Publication Date
CN109660561A CN109660561A (zh) 2019-04-19
CN109660561B true CN109660561B (zh) 2021-06-11

Family

ID=66121037

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910066409.6A Active CN109660561B (zh) 2019-01-24 2019-01-24 一种网络安全防御体系量化评估方法、网络安全评估平台

Country Status (1)

Country Link
CN (1) CN109660561B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112560061B (zh) * 2020-12-18 2024-05-03 国家工业信息安全发展研究中心 工业互联网数据安全防护能力评估方法及设备部署方法
CN113343243A (zh) * 2021-04-29 2021-09-03 浙江乾冠信息安全研究院有限公司 机构风险评估方法、装置、电子设备及介质
CN113642005B (zh) * 2021-08-17 2023-07-21 安天科技集团股份有限公司 安全防护产品的防御性评估方法、装置、设备及介质
CN113395297B (zh) * 2021-08-18 2021-12-10 北京华云安信息技术有限公司 漏洞处理方法、装置、设备和计算机可读存储介质
CN113992386A (zh) * 2021-10-25 2022-01-28 北京天融信网络安全技术有限公司 一种防御能力的评估方法、装置、存储介质及电子设备
CN114386751B (zh) * 2021-12-03 2023-04-07 中国电子科技集团公司第三十研究所 一种基于迭代防御推演的最优系统安全策略智能生成方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160301693A1 (en) * 2015-04-10 2016-10-13 Maxim Nikulin System and method for identifying and protecting sensitive data using client file digital fingerprint
CN107623697B (zh) * 2017-10-11 2020-07-14 北京邮电大学 一种基于攻防随机博弈模型的网络安全态势评估方法
CN108931700A (zh) * 2018-05-22 2018-12-04 深圳众厉电力科技有限公司 一种基于WSNs的电网安全风险预警系统
CN108449218B (zh) * 2018-05-29 2019-03-08 广西电网有限责任公司 下一代关键信息基础设施的网络安全态势感知系统
CN108494810B (zh) * 2018-06-11 2021-01-26 中国人民解放军战略支援部队信息工程大学 面向攻击的网络安全态势预测方法、装置及系统

Also Published As

Publication number Publication date
CN109660561A (zh) 2019-04-19

Similar Documents

Publication Publication Date Title
CN109660561B (zh) 一种网络安全防御体系量化评估方法、网络安全评估平台
Ahmad et al. How integration of cyber security management and incident response enables organizational learning
Bryant et al. A novel kill-chain framework for remote security log analysis with SIEM software
US20190251260A1 (en) Cyber security using one or more models trained on a normal behavior
EP3021546B1 (en) Selection of countermeasures against cyber attacks
Pham et al. Are we compromised? Modelling security assessment games
Le et al. Security threat probability computation using markov chain and common vulnerability scoring system
Li et al. SOOA: exploring special on-off attacks on challenge-based collaborative intrusion detection networks
Safitra et al. Security Vulnerability Analysis using Penetration Testing Execution Standard (PTES): Case Study of Government's Website
Wagner et al. Agent-based simulation for assessing network security risk due to unauthorized hardware
Jiang et al. BFLS: Blockchain and Federated Learning for sharing threat detection models as Cyber Threat Intelligence
Alagappan et al. Cybersecurity Risks Mitigation in the Internet of Things
Khan Meta-Analysis of Cyber Dominance in Modern Warfare: Attacks and Mitigation Strategies
Karabacak et al. Zero Trust and Advanced Persistent Threats: Who Will Win the War?
Aljurayban et al. Framework for cloud intrusion detection system service
Shi et al. Quantitative security analysis of a dynamic network system under lateral movement-based attacks
Jouini et al. A Scalable Threats Classification Model in Information Systems
Oakley Improving offensive cyber security assessments using varied and novel initialization perspectives
Guan et al. Stride–based risk assessment for web application
SWAPNA DONEPUDI et al. SECURITY MODEL FOR CLOUD SERVICES BASED ON A QUANTITATIVE GOVERNANCE MODELLING APPROACH
Thomas-Reynolds et al. Factors Affecting the Performance of Web Application Firewall
Schulze The State of Cyber Arms Control. An International Vulnerabilities Equities Process as the Way to go Forward?
Costa A Practical Approach to Adopting the IEC 62443 Standards
Amin et al. Red team analysis of information security measures and response
Sadrazamis MITRE ATT&CK-based analysis of cyber-attacks in intelligent transportation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant