CN110011976B - 一种网络攻击破坏能力量化评估方法及系统 - Google Patents

一种网络攻击破坏能力量化评估方法及系统 Download PDF

Info

Publication number
CN110011976B
CN110011976B CN201910172199.9A CN201910172199A CN110011976B CN 110011976 B CN110011976 B CN 110011976B CN 201910172199 A CN201910172199 A CN 201910172199A CN 110011976 B CN110011976 B CN 110011976B
Authority
CN
China
Prior art keywords
index
attack
attribute
network
judgment matrix
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910172199.9A
Other languages
English (en)
Other versions
CN110011976A (zh
Inventor
贾紫艺
张玉清
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Chinese Academy of Sciences
Original Assignee
University of Chinese Academy of Sciences
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Chinese Academy of Sciences filed Critical University of Chinese Academy of Sciences
Priority to CN201910172199.9A priority Critical patent/CN110011976B/zh
Publication of CN110011976A publication Critical patent/CN110011976A/zh
Application granted granted Critical
Publication of CN110011976B publication Critical patent/CN110011976B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种网络攻击破坏能力量化评估方法及系统,本方法为:1)对于一待评估的目标网络攻击,根据该攻击涉及的属性和设定的网络评估指标体系确定该攻击的属性类别;网络评估指标体系包括攻击层、属性层、原子操作层和指标层;攻击层包括多个设定的网络攻击;属性层包括多个属性类别,每一属性类别对应若干网络攻击,同一属性类别的网络攻击具有相同的网络攻击属性;原子操作层包括多组原子操作,每一属性类别的网络攻击对应一组原子操作;指标层包括多个指标,每一指标对应一原子操作;2)根据该攻击的属性类别和该网络评估指标体系,确定该攻击的指标,采集对应的指标数据;3)根据该攻击的指标数据对该攻击进行评估。

Description

一种网络攻击破坏能力量化评估方法及系统
技术领域
本发明属于计算机网络安全技术领域,更进一步涉及一种基于“攻击层-属性层-原子操作层-指标层”四层体系结构的网络攻击破坏能力评估方法及系统。本发明主要用来实现常见网络攻击破坏能力评估,揭示破坏网络稳定性的威胁因素,为网络环境的测评和度量指标体系奠定基础。本发明可适用于常见攻击的破坏能力评估,也对攻防态势感知及系统安全的预测有积极的意义。
背景技术
当今世界,互联网已经非常普及,然而网络危机时有发生。网络瘫痪、计算机病毒入侵、恶意软件来袭等危机,严重影响了人们的隐私安全和信息安全,也引起了社会各界的高度重视。研究网络攻击破坏能力评估模型,对网络安全的防护具有很大的现实意义。因此网络攻击评估模型及方法成为焦点。
在复杂多变的网络环境中,安全问题时有发生,黑客会利用网络漏洞实施各种攻击,如DDos、信息收集等。因此有必要对网络攻击的破坏能力进行综合评估,进而更清晰的了解网络攻击对我们造成的危害程度,从而为后续的防御措施做好充足的准备。知己知彼,百战不殆,网络攻击评估是维护网络安全很重要的一个方面。
网络攻击效果评估流程涉及很多步骤,只有每一步评估合理,才能使整个流程具备一定的信服力。具体安全指标的选取和度量,网络攻击效果评估模型及方法的总结、细化和创新,网络健康度等级的划分,网络攻击效果评估打分等,都在不断地创新和发展之中。
通过对目前网络攻击破坏能力评估方法研究现状的分析,可以得出现在的安全事件分析方法存在以下三点不足:
(1)对网络安全属性的定义较为宽泛;
(2)网络攻击评估模型不够体系化;
(3)存在指标太多造成冗余的现象,导致模型与实际相差太大;或者指标又不够全面,不能满足现有网络攻击的需求。
发明内容
本发明提出了一种针对常见网络攻击评估指标体系和量化评估方法及系统。本发明的目的在于提供一种针对常见网络攻击的网络攻击破坏能力量化评估方法,能够解决衡量网络攻击破坏程度的问题。
本发明的技术方案为:
一种网络攻击破坏能力量化评估方法,其步骤包括:
1)对于一待评估的目标网络攻击,根据该目标网络攻击涉及的属性和设定的网络评估指标体系确定该目标网络攻击的属性类别;其中,所述网络评估指标体系包括攻击层、属性层、原子操作层和指标层;攻击层包括多个设定的网络攻击;属性层包括多个属性类别,每一属性类别对应若干网络攻击,同一属性类别的网络攻击具有相同的网络攻击属性;原子操作层包括多组原子操作,每一属性类别的网络攻击对应一组原子操作;指标层包括多个指标,每一指标对应一原子操作;
2)根据该目标攻击的属性类别和该网络评估指标体系,确定该目标攻击的指标,采集该目标网络攻击对应的指标数据;
3)根据该目标攻击的指标数据对该目标攻击进行评估。
进一步的,确定该目标网络攻击的属性类别的方法为:
11)根据各专家对该目标攻击的打分数据,生成各专家对应的判断矩阵;其中,根据第j个专家的打分数据得到的判断矩阵为Mj;Mj中的元素amn为第j个专家对第m个属性的重要性与第n个属性的重要性打分之比;
12)对各判断矩阵进行求解,得到每一专家打分计算出的属性权重值;
13)对各判断矩阵进行一致性校验;
14)如果校验通过,则进行步骤15),否则更新所述打分数据重复步骤11)~13);
16)根据每个专家打分计算出的属性权重值,对属性进行从大到小排序,选取出排序情况最多的排序;
17)将选出的排序中权重最大的属性作为该目标攻击的属性类别。
进一步的,对目标攻击的指标数据进行归一化得到实例数据,然后根据指标层的对应指标权重对该实例数据进行加权计算,得到该目标攻击的评估结果。
进一步的,指标层的指标权重确定方法为:
21)根据各专家对该目标攻击对应的指标打分数据,计算得到对应专家的判断矩阵;根据第k个专家的指标打分数据得到的判断矩阵为M’k,M’k中的元素aij为第k个专家对第i个指标的重要性与第j个指标的重要性打分之比;
22)对步骤21)得到的各判断矩阵进行一致性检验,若符合一致性检验则进行步骤23),否则重新获取指标打分数据并生成对的判断矩阵;
23)对各判断矩阵进行求解,得到每一专家指标打分数据计算出的主观指标权重值,并对指标权重大小进行排序;
24)应用粗糙集理论的知识,求解客观指标权重;
25)根据改进的AHP标度构造改进的判断矩阵;其中改进的判断矩阵中每一个元素为两因素属性重要性打分之比,设专家对第x个属性和第y个属性进行打分时,wx和wy分别是第x和第y个属性的客观属性权重,则改进的判断矩阵中元素定义为:当wx>wy时,
Figure BDA0001988303080000031
当wx<wy时,
Figure BDA0001988303080000032
26)对改进的判断矩阵进行一致性检验,如果校验通过,则进行步骤27);否则重新生成改进的判断矩阵;
27)求解改进的判断矩阵,得到该目标攻击的指标的客观指标权重;然后根据该目标攻击的指标的客观指标权重和主观指标权重值,确定该目标攻击的指标层的指标权重。
进一步的,应用粗糙集理论的知识,求解客观指标权重的方法为:设目标攻击为X,指标集为{a,b,c},决策D表示遭受攻击的程度;根据粗糙集理论,先求出该目标攻击的各种指标组合情况的分类质量;再计算每一指标的分类质量;然后根据得到的分类质量求解得到各指标的客观指标权重。
一种网络攻击破坏能力量化评估系统,其特征在于,包括属性类别判断模块,数据采集模块和量化评估模块;其中,
属性类别判断模块,用于根据目标网络攻击涉及的属性和设定的网络评估指标体系确定该目标网络攻击的属性类别;其中,所述网络评估指标体系包括攻击层、属性层、原子操作层和指标层;攻击层包括多个设定的网络攻击;属性层包括多个属性类别,每一属性类别对应若干网络攻击,同一属性类别的网络攻击具有相同的网络攻击属性;原子操作层包括多组原子操作,每一属性类别的网络攻击对应一组原子操作;指标层包括多个指标,每一指标对应一原子操作;
数据采集模块,用于根据该目标攻击的属性类别和该网络评估指标体系,确定该目标攻击的指标,采集该目标网络攻击对应的指标数据;
量化评估模块,用于根据该目标攻击的指标数据对该目标攻击进行评估。
进一步的,所述属性类别包括信息收集、拒绝服务、服务利用、篡改欺骗和非法操作。
进一步的,所述信息收集对应的原子操作包括端口扫描、IP地址扫描、收集文件信息;所述拒绝服务对应的原子操作包括中央处理器探测、内存信息探测、进程探测、主机连接探测、文件系统探测、响应时间探测、丢包率探测、延迟探测、网络节点数据包探测;所述服务利用对应的原子操作包括服务探测、系统运行情况探测、服务类型探测;所述篡改欺骗对应的原子操作包括篡改信息类型探测、欺骗探测、篡改信息数量探测、时长探测;所述非法操作对应的原子操作包括权限探测、非法执行操作、非法利用资源、非法开启后门、时长探测。
进一步的,所述设定的网络攻击包括水坑攻击、网络监听、口令攻击、拒绝服务攻击、缓冲区溢出攻击、Web攻击、恶意代码、社会工程与网络钓鱼、提权和流量劫持。
针对常见网络攻击的网络攻击破坏能力量化评估指标体系见说明书附图中图1所示。本发明的指标体系如下:
1)攻击层—属性层归类
本指标体系将网络攻击分类成十种常见网络攻击,分别是水坑攻击、网络监听、口令攻击、拒绝服务攻击、缓冲区溢出攻击、Web攻击、恶意代码、社会工程与网络钓鱼、提权、流量劫持。根据网络攻击的属性对网络攻击进行分类,得到五种类别的网络攻击,分别是信息收集、拒绝服务、服务利用、篡改欺骗、非法操作。为了简化评估过程,将十种攻击归纳成五种属性。选择的是每种攻击具有的最明显的属性,进行归类:将网络监听、社会工程与网络钓鱼、水坑攻击归类至信息收集;将拒绝服务攻击归类至拒绝服务;将缓冲区溢出攻击归类至服务利用;将Web攻击归类至篡改欺骗;将恶意代码、流量劫持、口令攻击、提权攻击归类至非法操作。至此,攻击层至属性层归类完成。
2)属性层—原子操作层归类
通过对原子操作和指标的筛选,选出了对属性层影响力相对较大的原子操作和对应的指标,当目标网络攻击发生时采集该目标网络攻击对应各指标的指标值。通过筛选,在指标体系中,信息收集对应的原子操作为端口扫描、IP地址扫描、收集文件信息;拒绝服务对应的原子操作为中央处理器探测、内存信息探测、进程探测、主机连接探测、文件系统探测、响应时间探测、丢包率探测、延迟探测、网络节点数据包探测;服务利用对应的原子操作为服务探测、系统运行情况探测、服务类型探测;篡改欺骗对应的原子操作为篡改信息类型探测、欺骗探测、篡改信息数量探测、时长探测;非法操作对应的原子操作为权限探测、非法执行操作、非法利用资源、非法开启后门、时长探测。
针对上述指标体系为解决上述问题,本发明提供一种针对常见网络攻击的网络攻击破坏能力量化评估方法。本发明包括如下内容:
1)应用AHP法对攻击进行分类。A为属性的集合,A={a1,a2,a3,a4,a5},其中五种属性{a1,a2,...,a5}表示{信息收集,拒绝服务,服务利用,篡改欺骗,非法操作},五种属性权重集合为{w1,w2,w3,w4,w5}。专家集合为P={x1,x2,x3,...,xj},j≥1,j为正整数,表示专家数量。
(1a)建立指标体系层次结构图,输入一种未知攻击,专家针对此攻击进行(2a)步骤的打分。
(2a)判断矩阵的计算。成对比较法可得到判断矩阵。根据九级分制进行专家打分,可构造判断矩阵。九级分制表如表1。
表1为九级分制表
专家打分值 前一属性与后一属性重要度相比
1 同等重要
3 略微重要
5 重要
7 很重要
9 极其重要
2,4,6,8 上述中间值
第j个专家打分得到判断矩阵为:
Figure BDA0001988303080000051
元素为amn(m,n=1,2,...,5),m和n分别代表五种属性。元素为amn(m,n=1,2,...,5)是第j个专家对第m个属性的重要性与第n个属性的重要性打分之比。
对判断矩阵进行求解,得到全部专家打分计算出的五种属性权重值,其中,第j个专家打分计算出的五种属性权重值为:Wj=[wj1 wj2 wj3 wj4 wj5],j≥1且j为正整数。
(3a)对判断矩阵进行一致性检验:
(3a1)计算
Figure BDA0001988303080000052
(3a2)计算一致性指数(Consistency Index,CI)
Figure BDA0001988303080000053
(3a3)查表2找到合适的随机指数(random index,RI),在本例中n代表属性的个数,即为5。查表得n=5,RI=1.12。
表2为阶数n与随机一致性指标RI对应表
阶数 1 2 3 4 5 6 7 8 ...
RI 0 0 0.52 0.89 1.12 1.26 1.36 1.41 ...
(3a4)计算CI/RI,若其值小于0.1,则符合一致性检验;否则就要对判断矩阵进行调整,即重新返回步骤(2a)进行专家打分。
(3a5)对各个专家的判断矩阵按照(3a1)~(3a5)的步骤进行一致性检验。(4a)进行属性权重计算。
(4a1)对每个专家打分得到的权重集合{w1,w2,w3,w4,w5}中的元素进行从大到小排序,得到序列S={s1,s2,...,sj}。排序情况最多的是sx,sx中权重最大的属性即可认为是初始输入的待评估的攻击的属性。例如第一个专家打分得到的权重集合为w2>w1>w5>w4>w3,第二个专家打分得到的权重集合为w2>w1>w5>w4>w3,第三个专家打分得到的权重集合为w2>w1>w5>w4>w3,第四个专家打分得到的权重集合为w1>w2>w3>w4>w5,则排序情况最多的是sx:w2>w1>w5>w4>w3
(4a2)删掉明显不相符的专家打分。对于(4a1)中,排序情况明显和其他专家的不相符的,例子中第四个专家打分得到的权重集合为w1>w2>w3>w4>w5,和其他专家的不相符,可以删掉,以免影响结果准确性。
(4a3)对删除明显不相符的专家打分后剩余的专家打分的权重集合{w1,w2,w3,w4,w5}中的每一个属性的权重分别进行几何平均,得到最终权重{w'1,w'2,w'3,w'4,w'5}。比如排序最多的是sx:w2>w1>w5>w4>w3,有三位专家打分的结果都是该排序,然后对三个专家打出来的三个w2进行几何平均,得到w2’,同理得到w1’、w5’、w4’、w3’。属性权重越大、则重要性越高;属性权重越小、重要性越低。
2)获取第1)步得到的权值最大的属性对应的网络指标数据。通过搜集国内外知名攻击数据库,提取对网络性能影响较大的指标进行数据收集;或者通过攻击实验获取网络指标数据。
3)对指标层进行评估。对待评估的攻击运用1)中AHP法进行分类,得到属性权值最大的属性,假设攻击对应的属性权值最大的是w1'。w1'对应的指标有三个,分别为a,b,c。下面是指标层评估过程。
(3a)运用归一化的方法对原始数据进行离散化和指标约减,得到处理之后的数据表。数据表包含指标a,b,c的数据。
(3b)应用层次分析法,根据该目标攻击对应的指标得到该攻击的判断矩阵为
Figure BDA0001988303080000071
根据第k个专家的指标打分数据得到的判断矩阵为M’k,M’k中的元素aij为第k个专家对第i个指标的重要性与第j个指标的重要性打分之比。
(3c)进行一致性检验,同理见(3a)的过程。若符合一致性检验则进行下一步,否则专家需重新打分。
(3d)计算主观指标权重。由判断矩阵得到指标a,b,c对应的主观指标权重集合为(w'1,w'2,w'3),对指标权重大小进行排序。
(3e)应用粗糙集理论的知识,求解客观指标权重。攻击实例为X,指标集为{a,b,c},决策D表示遭受攻击的程度。
根据粗糙集理论,先求出a,b,c,(a,b),(a,c),(b,c),(a,bc,)的分类质量X|ND(a),X|ND(b),X|ND(c),X|ND(a,b),X|ND(a,c),X|ND(b,c),X|ND(a,b,c)。再计算指标a,b,c的分类质量RC(D)=card(POSC(D))/card(X),RC\a(D)=card(POSC\a(D))/card(X),RC\b(D)=card(POSC\b(D))/card(X),RC\c(D)=card(POSC\c(D))/card(X)。求解得到指标权重v1=RC(D)-RC\a(D),v2=RC(D)-RC\b(D),v3=RC(D)-RC\c(D)。即指标a,b,c对应的客观指标权重为(v1,v2,v3)。
(3f)构造改进AHP标度,专家打分为s,其中s=1,2,...,9,则s对应的权重差值为
Figure BDA0001988303080000072
其中△=max(|v1-v2|,|v1-v3|,|v2-v3|)。改进的AHP标度见表3。
表3为改进的AHP标度表
Figure BDA0001988303080000073
Figure BDA0001988303080000081
其中△=max(|v1-v2|,|v1-v3|,|v2-v3|)。
(3g)构造改进的判断矩阵。新判断矩阵每一个元素为两因素属性重要性打分之比。假设专家对第x和第y个属性进行打分时,wx和wy分别是第x和第y个属性的客观属性权重。新判断矩阵中元素定义为,当wx>wy时,
Figure BDA0001988303080000082
当wx<wy时,
Figure BDA0001988303080000083
由此可以得到新的判断矩阵。
(3h)对改进的判断矩阵进行一致性检验,同理见(3a)的过程。
(3i)求得改进方法的指标权重。根据AHP算法的步骤求得指标a,b,c对应的指标权重为(v'1,v'2,v'3)。
综上,使用层次分析法得到的主观指标权重为(w'1,w'2,w'3),使用基于粗糙集理论和层次分析法的改进算法得到的指标权重为(v'1,v'2,v'3)。由此可以看出,应用改进算法可以同时考虑主观因素和客观因素,是一种融合的方法,更具可信度。
5)计算攻击能力评估得分。由1)中得到属性权重为(w'1,w'2,w'3,w'4,w'5),假设属性权重最大的为w'1,由4)中采用改进算法得到的指标层权重为(v'1,v'2,v'3)。对步骤4)中目标攻击的实例数据进行归一化可得实例数据为(U1,U2,U3)。应用加权算术平均法,指标层权重与属性权重w'1分别相乘得到(v'1w'1,v'2w'1,v'3w'1)。再将其与实例数据分别相乘再相加可得评估结果为Score=v'1w'1U1+v'2w'1U2+v'3w'1U3。若将攻击分为10分,则最终评估得分为Score'=10Score。
本发明与现有技术相比有以下优点:
(1)本发明结合了现有的“机制—准则—指标”三层结构以及现有的网络攻击效果评估模型AHP和粗糙集理论,不同的评估方法应用到评估模型的不同层次中,使网络攻击的分类更加系统化、体系化;
(2)对网络攻击的指标做出了更加细致的刻画与处理;
(3)采用主观因素与客观因素相结合的方法。避免了全部采用主观因素导致模型计算结果与实际不相符;避免了全部采用客观方法,使以往的经验也被考虑在内。
综上,本发明的研究方法,具有网络攻击评估的创新性、普适性等突出特点。
附图说明
图1是本发明一种针对常见网络攻击破坏能力量化评估方法的体系结构图。
图2是针对常见网络攻击破坏能力量化评估方法的步骤流程图。
具体实施方式
下面结合附图对本发明的较佳实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
请参阅图2,本发明实施例包括:
一种针对常见网络攻击破坏能力量化评估方法,包括如下步骤:
1)用AHP法求得攻击对应的属性权重。Ai为属性的集合,Ai={a1,a2,...,ai},i=5,其中五种属性{a1,a2,...,a5}表示{信息收集,拒绝服务,服务利用,篡改欺骗,非法操作},五种属性权重集合为{w1,w2,w3,w4,w5}。专家集合为P={x1,x2,x3,...,xj},j≥1,j为正整数,表示专家数量。
(1a)建立指标体系层次结构图,输入一种未知的攻击,专家针对此攻击进行步骤(2a)的打分。
(2a)判断矩阵的计算。成对比较法可得到判断矩阵。根据九级分制进行专家打分,可构造判断矩阵。九级分制表如表1。
表1为九级分制表
Figure BDA0001988303080000091
Figure BDA0001988303080000101
第j个专家打分得到判断矩阵为:
Figure BDA0001988303080000102
元素为amn(m,n=1,2,...,5),m和n分别代表五种属性。元素为amn(m,n=1,2,...,5)是第j个专家对第m个属性的重要性与第n个属性的重要性打分之比。
(3a)对判断矩阵进行求解,得到第j个专家打分计算出的五种属性权重值为:Wj=[wj1 wj2 wj3 wj4 wj5],j≥1且j为正整数。
(4a)进行一致性检验:
(4a1)计算
Figure BDA0001988303080000103
(4a2)计算一致性指数(Consistency Index,CI)
Figure BDA0001988303080000104
(4a3)查表2找到合适的随机指数(random index,RI),在本例中n代表属性的个数,即为5。查表得n=5,RI=1.12。
表2为阶数n与随机一致性指标RI对应表
阶数 1 2 3 4 5 6 7 8 ...
RI 0 0 0.52 0.89 1.12 1.26 1.36 1.41 ...
(4a4)计算CI/RI,若其值小于0.1,则符合一致性检验;否则就要对判断矩阵进行调整,即重新返回步骤(2a)进行专家打分。对各个专家进行一致性检验值。(5a)进行属性权重计算。
(5a)进行属性权重的计算。
(5a1)对每个专家打分得到的权重集合{w1,w2,w3,w4,w5}中的元素进行从大到小排序,得到序列S={s1,s2,...,sj}。排序情况最多的是sx,sx中权重最大的属性即可认为是初始输入的待评估的攻击的属性。例如第一个专家打分得到的权重集合为w2>w1>w5>w4>w3,第二个专家打分得到的权重集合为w2>w1>w5>w4>w3,第三个专家打分得到的权重集合为w2>w1>w5>w4>w3,第四个专家打分得到的权重集合为w1>w2>w3>w4>w5,则排序情况最多的是sx:w2>w1>w5>w4>w3
(5a2)删掉明显不相符的专家打分。对于(4a1)中,排序情况明显和其他专家的不相符的,例子中第四个专家打分得到的权重集合为w1>w2>w3>w4>w5,和其他专家的不相符,可以删掉,以免影响结果准确性。
(5a3)对删除明显不相符的专家打分后剩余的专家打分的权重集合{w1,w2,w3,w4,w5}中的每一个属性的权重分别进行几何平均,得到最终权重{w'1,w'2,w'3,w'4,w'5}。
属性权重越大、则重要性越高;属性权重越小、重要性越低。
2)获取第1)步得到的权值最大的属性对应的网络指标数据。通过搜集国内外知名攻击数据库。
3)运用归一化的方法对原始数据进行离散化和指标约减,得到处理之后的数据表。数据表包含指标a,b,c的数据。
4)假设1)中攻击对应的属性权值最大的是w'1,假设属性对应的指标有三个,分别为a,b,c。应用层次分析法,得到的判断矩阵为
Figure BDA0001988303080000111
5)对4)中的判断矩阵进行一致性检验,步骤同(4a)的过程。若符合一致性检验则进行下一步,否则跳转至(2a)重新执行步骤。
6)计算主观指标权重。由判断矩阵得到指标a,b,c对应的主观指标权重集合为(w'1,w'2,w'3),对指标权重大小进行排序。
7)应用粗糙集理论的知识计算分类质量,求解客观指标权重。攻击实例为X,指标集为{a,b,c},决策D表示遭受攻击的程度。
(7a)根据粗糙集理论:
先求出a,b,c,(a,b),(a,c),(b,c),(a,bc,)的分类质量X|ND(a),X|ND(b),X|ND(c),X|ND(a,b),X|ND(a,c),X|ND(b,c),X|ND(a,b,c)。再计算属性a,b,c的分类质量RC(D)=card(POSC(D))/card(X),RC\a(D)=card(POSC\a(D))/card(X),RC\b(D)=card(POSC\b(D))/card(X),RC\c(D)=card(POSC\c(D))/card(X)。求解得到指标权重v1=RC(D)-RC\a(D),v2=RC(D)-RC\b(D),v3=RC(D)-RC\c(D)。即指标a,b,c对应的客观指标权重为(v1,v2,v3)。
8)计算运用改进算法的基于粗糙集理论的AHP权重。
(8a)构造改进AHP标度,专家打分为s,其中s=1,2,...,9,则s对应的权重差值为
Figure BDA0001988303080000121
其中△=max(|v1-v2|,|v1-v3|,|v2-v3|)。改进的AHP标度见表3。
表3为改进的AHP标度表
Figure BDA0001988303080000122
其中△=max(|v1-v2|,|v1-v3|,|v2-v3|)。
(8b)构造改进的判断矩阵。新判断矩阵每一个元素为两因素属性重要性打分之比。假设专家对第x和第y个属性进行打分时,wx和wy分别是第x和第y个属性的客观属性权重。新判断矩阵中元素定义为,当wx>wy时,
Figure BDA0001988303080000123
当wx<wy时,
Figure BDA0001988303080000131
由此可以得到新的判断矩阵。
(8c)对改进的判断矩阵进行一致性检验,步骤同(4a)的过程。
(8d)求得改进方法的指标权重。根据3.2.1节AHP算法的步骤求得指标a,b,c对应的指标权重为(v'1,v'2,v'3)。
9)计算攻击能力评估得分。由1)中得到属性权重为(w'1,w'2,w'3,w'4,w'5),假设属性权重最大的为w'1,由4)中采用改进算法得到的指标层权重为(v'1,v'2,v'3)。对实例数据进行归一化可得步骤3)中目标攻击的实例数据为(U1,U2,U3)。应用加权算术平均法,指标层权重与属性权重w'1分别相乘得到(v'1w'1,v'2w'1,v'3w'1)。再将其与实例数据分别相乘再相加可得评估结果为Score=v'1w'1U1+v'2w'1U2+v'3w'1U3。若将攻击分为10分,则最终评估得分为Score'=10Score。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种网络攻击破坏能力量化评估方法,其步骤包括:
1)对于一待评估的目标网络攻击,根据该目标网络攻击涉及的属性和设定的网络评估指标体系确定该目标网络攻击的属性类别;其中,所述网络评估指标体系包括攻击层、属性层、原子操作层和指标层;攻击层包括多个设定的网络攻击;属性层包括多个属性类别,每一属性类别对应若干网络攻击,同一属性类别的网络攻击具有相同的网络攻击属性;原子操作层包括多组原子操作,每一属性类别的网络攻击对应一组原子操作;指标层包括多个指标,每一指标对应一原子操作;
2)根据该目标攻击的属性类别和该网络评估指标体系,确定该目标攻击的指标,采集该目标网络攻击对应的指标数据;
3)根据该目标攻击的指标数据对该目标攻击进行评估;其中对该目标攻击的指标数据先进行归一化得到实例数据,然后根据指标层的对应指标权重对该实例数据进行加权计算,得到该目标攻击的评估结果;指标层的指标权重确定方法为:21)根据各专家对该目标攻击对应的指标打分数据,计算得到对应专家的判断矩阵;根据第k个专家的指标打分数据得到的判断矩阵为M’k,M’k中的元素aij为第k个专家对第i个指标的重要性与第j个指标的重要性打分之比;22)对步骤21)得到的各判断矩阵进行一致性检验,若符合一致性检验则进行步骤23),否则重新获取指标打分数据并生成对应的判断矩阵;23)对各判断矩阵进行求解,得到每一专家指标打分数据计算出的主观指标权重值,并对指标权重大小进行排序;24)应用粗糙集理论的知识,求解客观指标权重;25)根据改进的AHP标度构造改进的判断矩阵;其中改进的判断矩阵中每一个元素为两因素属性重要性打分之比,设专家对第x个属性和第y个属性进行打分时,wx和wy分别是第x和第y个属性的客观属性权重,则改进的判断矩阵中元素定义为:当wx>wy时,
Figure FDA0003263983740000011
当wx<wy时,
Figure FDA0003263983740000012
26)对改进的判断矩阵进行一致性检验,如果校验通过,则进行步骤27);否则重新生成改进的判断矩阵;27)求解改进的判断矩阵,得到该目标攻击的指标的客观指标权重;然后根据该目标攻击的指标的客观指标权重和主观指标权重值,确定该目标攻击的指标层的指标权重;其中Δ=max(|v1-v2|,|v1-v3|,|v2-v3|),目标攻击对应的属性权值最大属性为w’1,w’1对应的指标为a、b、c;指标为a、b、c对应的客观指标权重为v1、v2、v3
2.如权利要求1所述的方法,其特征在于,确定该目标网络攻击的属性类别的方法为:
11)根据各专家对该目标攻击的打分数据,生成各专家对应的判断矩阵;其中,根据第j个专家的打分数据得到的判断矩阵为Mj;Mj中的元素amn为第j个专家对第m个属性的重要性与第n个属性的重要性打分之比;
12)对各判断矩阵进行求解,得到每一专家打分计算出的属性权重值;
13)对各判断矩阵进行一致性校验;
14)如果校验通过,则进行步骤15),否则更新所述打分数据重复步骤11)~13);
16)根据每个专家打分计算出的属性权重值,对属性进行从大到小排序,选取出排序情况最多的排序;
17)将选出的排序中权重最大的属性作为该目标攻击的属性类别。
3.如权利要求1所述的方法,其特征在于,应用粗糙集理论的知识,求解客观指标权重的方法为:设目标攻击为X,指标集为{a,b,c},决策D表示遭受攻击的程度;根据粗糙集理论,先求出该目标攻击的各种指标组合情况的分类质量;再计算每一指标的分类质量;然后根据得到的分类质量求解得到各指标的客观指标权重。
4.一种网络攻击破坏能力量化评估系统,其特征在于,包括属性类别判断模块,数据采集模块和量化评估模块;其中,
属性类别判断模块,用于根据目标网络攻击涉及的属性和设定的网络评估指标体系确定该目标网络攻击的属性类别;其中,所述网络评估指标体系包括攻击层、属性层、原子操作层和指标层;攻击层包括多个设定的网络攻击;属性层包括多个属性类别,每一属性类别对应若干网络攻击,同一属性类别的网络攻击具有相同的网络攻击属性;原子操作层包括多组原子操作,每一属性类别的网络攻击对应一组原子操作;指标层包括多个指标,每一指标对应一原子操作;
数据采集模块,用于根据该目标攻击的属性类别和该网络评估指标体系,确定该目标攻击的指标,采集该目标网络攻击对应的指标数据;
量化评估模块,用于根据该目标攻击的指标数据对该目标攻击进行评估;其中对该目标攻击的指标数据先进行归一化得到实例数据,然后根据指标层的对应指标权重对该实例数据进行加权计算,得到该目标攻击的评估结果;指标层的指标权重确定方法为:21)根据各专家对该目标攻击对应的指标打分数据,计算得到对应专家的判断矩阵;根据第k个专家的指标打分数据得到的判断矩阵为M’k,M’k中的元素aij为第k个专家对第i个指标的重要性与第j个指标的重要性打分之比;22)对步骤21)得到的各判断矩阵进行一致性检验,若符合一致性检验则进行步骤23),否则重新获取指标打分数据并生成对应的判断矩阵;23)对各判断矩阵进行求解,得到每一专家指标打分数据计算出的主观指标权重值,并对指标权重大小进行排序;24)应用粗糙集理论的知识,求解客观指标权重;25)根据改进的AHP标度构造改进的判断矩阵;其中改进的判断矩阵中每一个元素为两因素属性重要性打分之比,设专家对第x个属性和第y个属性进行打分时,wx和wy分别是第x和第y个属性的客观属性权重,则改进的判断矩阵中元素定义为:当wx>wy时,
Figure FDA0003263983740000031
当wx<wy时,
Figure FDA0003263983740000032
26)对改进的判断矩阵进行一致性检验,如果校验通过,则进行步骤27);否则重新生成改进的判断矩阵;27)求解改进的判断矩阵,得到该目标攻击的指标的客观指标权重;然后根据该目标攻击的指标的客观指标权重和主观指标权重值,确定该目标攻击的指标层的指标权重;其中Δ=max(|v1-v2|,|v1-v3|,|v2-v3|),目标攻击对应的属性权值最大属性为w’1,w’1对应的指标为a、b、c;指标为a、b、c对应的客观指标权重为v1、v2、v3
5.如权利要求4所述的系统,其特征在于,所述属性类别包括信息收集、拒绝服务、服务利用、篡改欺骗和非法操作。
6.如权利要求5所述的系统,其特征在于,所述信息收集对应的原子操作包括端口扫描、IP地址扫描、收集文件信息;所述拒绝服务对应的原子操作包括中央处理器探测、内存信息探测、进程探测、主机连接探测、文件系统探测、响应时间探测、丢包率探测、延迟探测、网络节点数据包探测;所述服务利用对应的原子操作包括服务探测、系统运行情况探测、服务类型探测;所述篡改欺骗对应的原子操作包括篡改信息类型探测、欺骗探测、篡改信息数量探测、时长探测;所述非法操作对应的原子操作包括权限探测、非法执行操作、非法利用资源、非法开启后门、时长探测。
7.如权利要求4或5或6所述的系统,其特征在于,所述设定的网络攻击包括水坑攻击、网络监听、口令攻击、拒绝服务攻击、缓冲区溢出攻击、Web攻击、恶意代码、社会工程与网络钓鱼、提权和流量劫持。
CN201910172199.9A 2019-03-07 2019-03-07 一种网络攻击破坏能力量化评估方法及系统 Active CN110011976B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910172199.9A CN110011976B (zh) 2019-03-07 2019-03-07 一种网络攻击破坏能力量化评估方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910172199.9A CN110011976B (zh) 2019-03-07 2019-03-07 一种网络攻击破坏能力量化评估方法及系统

Publications (2)

Publication Number Publication Date
CN110011976A CN110011976A (zh) 2019-07-12
CN110011976B true CN110011976B (zh) 2021-12-10

Family

ID=67166828

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910172199.9A Active CN110011976B (zh) 2019-03-07 2019-03-07 一种网络攻击破坏能力量化评估方法及系统

Country Status (1)

Country Link
CN (1) CN110011976B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111431910A (zh) * 2020-03-27 2020-07-17 博智安全科技股份有限公司 网络攻击评分计算系统及方法
CN111784994B (zh) * 2020-07-14 2021-11-30 中国民航大学 一种火灾检测方法及装置
CN112819336B (zh) * 2021-02-03 2023-12-15 国家电网有限公司 一种基于电力监控系统网络威胁的量化方法及系统
CN113360898B (zh) * 2021-06-03 2024-05-24 中国电子信息产业集团有限公司第六研究所 指标的权重确定方法、网络攻击评估方法及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104376413A (zh) * 2014-11-11 2015-02-25 国家电网公司 基于层次分析法和数据包络法的电网规划方案评估系统
CN106066964A (zh) * 2016-05-30 2016-11-02 中国电子科技集团公司电子科学研究院 一种基于多级评价指标的网络攻击方案的评价方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104376413A (zh) * 2014-11-11 2015-02-25 国家电网公司 基于层次分析法和数据包络法的电网规划方案评估系统
CN106066964A (zh) * 2016-05-30 2016-11-02 中国电子科技集团公司电子科学研究院 一种基于多级评价指标的网络攻击方案的评价方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
周正虎.网络攻击效果评估方法应用研究.《中国优秀硕士学位论文全文数据库 信息科技辑》.2013, *
基于组合赋权的网络可生存性模糊综合评估;伍文 等;《系统工程与电子技术》;20130430;第35卷(第4期);第2章 *
网络攻击效果评估方法应用研究;周正虎;《中国优秀硕士学位论文全文数据库 信息科技辑》;20130415;第2.2节、第三至四章 *

Also Published As

Publication number Publication date
CN110011976A (zh) 2019-07-12

Similar Documents

Publication Publication Date Title
CN110011976B (zh) 一种网络攻击破坏能力量化评估方法及系统
CN107220549B (zh) 基于cvss的漏洞风险基础评估方法
CN111428231B (zh) 基于用户行为的安全处理方法、装置及设备
Ektefa et al. Intrusion detection using data mining techniques
CN107104978B (zh) 一种基于深度学习的网络风险预警方法
CN108881110B (zh) 一种安全态势评估与防御策略联合决策方法及系统
CN112866023B (zh) 网络检测、模型训练方法、装置、设备及存储介质
CN109218304B (zh) 一种基于攻击图和协同进化的网络风险阻断方法
CN115412354B (zh) 一种基于大数据分析的网络安全漏洞检测方法及系统
CN105072214A (zh) 基于域名特征的c&amp;c域名识别方法
CN111047173B (zh) 基于改进d-s证据理论的社团可信度评估方法
CN115987615A (zh) 一种网络行为安全预警方法及系统
CN115643035A (zh) 基于多源日志的网络安全态势评估方法
Aydin et al. Using attribute-based feature selection approaches and machine learning algorithms for detecting fraudulent website URLs
CN112765660A (zh) 一种基于MapReduce并行聚类技术的终端安全性分析方法和系统
CN114444910A (zh) 一种面向电力物联网的边缘网络系统健康度评估方法
CN115329338A (zh) 基于云计算服务的信息安全风险分析方法及分析系统
CN116996286A (zh) 一种基于大数据分析的网络攻击和安全漏洞治理框架平台
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN107832621B (zh) 基于ahp的行为信任证据的权重计算方法
CN115277159B (zh) 一种基于改进随机森林的工业互联网安全态势评估方法
CN113722230B (zh) 针对模糊测试工具漏洞挖掘能力的集成化评估方法及装置
CN112287345B (zh) 基于智能风险检测的可信边缘计算系统
CN110708296B (zh) 一种基于长时间行为分析的vpn账号失陷智能检测模型
CN112217838A (zh) 一种基于云模型理论的网络攻击面评估方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant