CN111212069A - 一种5g功能开放设备接口的脆弱性评估方法 - Google Patents
一种5g功能开放设备接口的脆弱性评估方法 Download PDFInfo
- Publication number
- CN111212069A CN111212069A CN201911423517.0A CN201911423517A CN111212069A CN 111212069 A CN111212069 A CN 111212069A CN 201911423517 A CN201911423517 A CN 201911423517A CN 111212069 A CN111212069 A CN 111212069A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- interface
- network
- function module
- risk value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种5G功能开放设备接口的脆弱性评估方法,属于5G网络安全技术领域,包括:计算漏洞对5G网络功能模块接口的损害度,计算各个网络功能模块接口的可利用性,得到接口连接5G网络功能模块的脆弱性风险值,计算连接到的5G网络功能模块接口的权重,计算连接到APIinvoker的接口整体脆弱性风险值,定义漏洞得分区间,判断脆弱性严重等级,进而确定报警顺序。本发明能够合理地将定性与定量的决策结合起来。通过判断连接到APIinvoker的接口脆弱性风险值R,判断脆弱性严重程度,是一种有效的评估方法。
Description
技术领域
本发明属于5G网络安全技术领域,涉及一种5G功能开放设备接口的脆弱性评估方法。
背景技术
5G不仅满足了人们超高流量密度、超高连接数密度和超高移动性需求,还将渗透到物联网领域,与工业设施、交通物流等深度结合,全面实现“万物互联”。4G阶段语音、流量加速等已成为特色业务,能力逐步开放,5G阶段是网络使能到业务使能(全接入使能中心、全业务使能中心)的转变,调用程度更广更深,能力开放的种类和范围更多。随之而来也带来了许多安全漏洞问题,网络安全问题层出不穷。
发明内容
有鉴于此,本发明的目的在于提供一种5G功能开放设备接口的脆弱性评估方法,有效的监测各5G功能开放模块接口的脆弱性严重程度,并及时触发报警。
为达到上述目的,本发明提供如下技术方案:
一种5G功能开放设备接口的脆弱性评估方法,包括以下步骤:
S1:网络N内设有多个接口,分别连接API invoker(API调用者)、NEF-GW(NEF网关)、5G网络功能模块;每个接口作为一个参考点point,网络中接口集合为IN,网络中每个设备对应一个接口,pointi为第i个接口,总接口数为n;ri为第i个接口对应的脆弱性风险值,风险值集合为Risk={r1,r2…,rn};wi为每个接口的业务权重,总的接口IN的权重集合为W={w1,w2…,wn};
S2:计算漏洞对5G网络功能模块接口的损害度D;
S3:计算各个网络功能模块接口的可利用性E;
S4:由损害度D、可利用性E得到第i个接口pointi连接的5G网络功能模块的脆弱性风险值:
ri=D×E
S5:采用层次分析法AHP计算出连接到的5G网络功能模块接口的权重wi;
S6:计算连接到API invoker的接口整体脆弱性风险值R:
S7:根据CVSS漏洞评分系统,定义漏洞得分区间,将脆弱性风险值R与CVSS评估分数相比较,判断脆弱性严重等级,进而确定报警顺序。
进一步,步骤S2中所述损害度D计算公式如下:
D=10.41×(1-(1-C)×(1-I)×(1-A))
其中,根据CVSS漏洞评分系统,C代表机密性、I代表完整性、A代表可用性,划分为高、低、无影响三个等级。
进一步,步骤S2中,所述三个等级对应的分值分别为高:0.56;低:0.22;无影响:0。
进一步,步骤S3中所述各个网络功能模块接口的可利用性E计算公式如下:
E=2MAC×MPR×MAV
其中,根据CVSS漏洞评分系统,MAC为攻击复杂度量值;MPR为访问权限要求量化值;MAV为攻击向量量化值;
进一步,步骤S3中,所述攻击复杂度分为高、低两种,量化值MAC分别为0.44,0.77;访问权限要求分为高、低、无,对应的量化值MPR分别为0.27,0.62和0.85;攻击途径有远程网络、局域网、本地三种可能情况,对应的量化值MAV分别为0.85,0.62和0.55。
进一步,步骤S5中,AHP方法将定性与定量的分析相结合,将决策的目标、考虑的因素(决策准则)和决策对象按它们之间的相互关系分为三个层次,分别为应用层、开放层和能力层;
设能力层有n'个脆弱点,构造各脆弱点的判断矩阵可表示为
其中ki’j’(i',j'=1,…,n')表示第i'个脆弱点相对于第j'个脆弱点的重要程度,分值由ri=D×E计算出值,设第i个接口脆弱性风险值ri的值为x,第j个接口脆弱性风险值rj的值为y,则有
求出判断矩阵K的特征向量W={w1,w2…,wn},其中wi为连接第i个5G网络功能模块接口的权重值。
进一步,步骤S7中,所述漏洞得分区间取值范围为0~10,其中,0为无漏洞,0.1~3.9为低级漏洞,4.0~6.9为中级漏洞,7.0~8.9为高级漏洞,9.0~10为严重漏洞。
进一步,步骤S7中,通过颜色预警表示报警顺序,由低到高分别为绿色、蓝色、黄色、橙色、红色。
本发明的有益效果在于:目前没有专门针对5G功能开放设备接口的脆弱性评估方法,而5G网络支持多样化的接入,也较容易被黑客入侵。采用AHP方法计算每个5G网络功能模块的权重值,该方法能够合理地将定性与定量的决策结合起来。通过判断连接到APIinvoker的接口脆弱性风险值R,判断脆弱性严重程度,是一种有效的评估方法。
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作优选的详细描述,其中:
图1为本发明实施例所述的5G功能开放设备接口的脆弱性评估方法流程图;
图2为本发明实施例所述的5G功能开放设备接口的三层架构示意图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
其中,附图仅用于示例性说明,表示的仅是示意图,而非实物图,不能理解为对本发明的限制;为了更好地说明本发明的实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;对本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
本发明实施例的附图中相同或相似的标号对应相同或相似的部件;在本发明的描述中,需要理解的是,若有术语“上”、“下”、“左”、“右”、“前”、“后”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此附图中描述位置关系的用语仅用于示例性说明,不能理解为对本发明的限制,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
5G网络能力开放是通过服务化的架构,直接或者通过能力开放平台向外部应用提供网络服务,包括及时准确的用户状态信息、定制化的网络功能参数和个性化切片和流量路径管理等,从而更加精细化和智能化的满足外部对网络服务的要求。
API invoker向NEF-GW发出请求,通过不同的接口调用不同的5G网络功能模块,容易被黑客攻击,本发明提出的5G功能开放设备接口的脆弱性评估方法,有效的监测5G网络中的脆弱点,及时发出颜色报警。
本发明提供的5G功能开放设备接口的脆弱性评估方法包括下列步骤:
步骤1:参见图1,网络N内设有多个接口,分别连接API invoker(API调用者)、NEF-GW(NEF网关)、5G网络功能模块;每个接口作为一个参考点point,网络中接口集合为IN,网络中每个设备对应一个接口,pointi为第i个接口,总接口数为n;ri为第i个接口对应的脆弱性风险值,风险值集合为Risk={r1,r2…,rn};wi为每个接口的业务权重,总的接口IN的权重集合为W={w1,w2…,wn};
步骤2:漏洞对5G网络功能模块接口的损害度
D=10.41×(1-(1-C)×(1-I)×(1-A))
如表1所示,根据CVSS漏洞评分系统,C代表机密性、I代表完整性、A代表可用性,划分为高、低、无影响三个等级,各等级对应的分值分别为0.56、0.22和0。
表1CVSS度量值
步骤3:各个网络功能模块接口的可利用性
E=2MAC×MPR×MAV
根据CVSS漏洞评分系统,MAC为攻击复杂度量值;MPR为访问权限要求量化值;MAV为攻击向量量化值。攻击复杂度分为高、低两种,量化值分别为0.44,0.77;访问权限要求分为高、低、无,对应的量化值分别为0.27,0.62和0.85;攻击途径有远程网络、局域网、本地3种可能情况,对应的量化值分别为0.85,0.62和0.55。
步骤4:损害度D、可利用性E得到第i个接口pointi连接的5G网络功能模块的脆弱性风险值:
ri=D×E
步骤5:采用AHP(层次分析法)方法计算出连接到的5G网络功能模块接口的权重wi,AHP方法将定性与定量的分析相结合,将决策的目标、考虑的因素(决策准则)和决策对象按它们之间的相互关系分为3个层次,分别为应用层、开放层和能力层,绘出层次结构图如图2。
设能力层有n个脆弱点,构造各脆弱点的判断矩阵可表示为
其中ki’j’(i',j'=1,…,n')表示第i'个脆弱点相对于第j'个脆弱点的重要程度,分值由ri=D×E计算出值,设第i个接口脆弱性风险值ri的值为x,第j个接口脆弱性风险值rj的值为y,则有
求出判断矩阵K的特征向量W={w1,w2…,wn},其中wi为连接第i个5G网络功能模块接口的权重值。
步骤6:连接到API invoker的接口整体脆弱性风险值R可由下式求出:
步骤7:根据CVSS漏洞评分系统,取值范围为0~10,定义得分区间0为无漏洞,0.1~3.9为低级漏洞,4.0~6.9为中级漏洞,7.0~8.9为高级漏洞,9.0~10为严重漏洞。脆弱性风险值R与CVSS评估分数相比较,判断脆弱性严重等级,进而确定报警顺序,按照颜色预警由低到高,分为绿色、蓝色、黄色、橙色、红色。
表2脆弱性严重等级评定表
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (8)
1.一种5G功能开放设备接口的脆弱性评估方法,其特征在于:包括以下步骤:
S1:网络N内设有多个接口,分别连接API invoker、NEF-GW、5G网络功能模块;每个接口作为一个参考点point,网络中接口集合为IN,网络中每个设备对应一个接口,pointi为第i个接口,总接口数为n;ri为第i个接口对应的脆弱性风险值,风险值集合为Risk={r1,r2…,rn};wi为每个接口的业务权重,总的接口IN的权重集合为W={w1,w2…,wn};
S2:计算漏洞对5G网络功能模块接口的损害度D;
S3:计算各个网络功能模块接口的可利用性E;
S4:由损害度D、可利用性E得到第i个接口pointi连接的5G网络功能模块的脆弱性风险值:
ri=D×E
S5:采用层次分析法AHP计算出连接到的5G网络功能模块接口的权重wi;
S6:计算连接到API invoker的接口整体脆弱性风险值R:
S7:根据CVSS漏洞评分系统,定义漏洞得分区间,将脆弱性风险值R与CVSS评估分数相比较,判断脆弱性严重等级,进而确定报警顺序。
2.根据权利要求1所述的5G功能开放设备接口的脆弱性评估方法,其特征在于:步骤S2中所述损害度D计算公式如下:
D=10.41×(1-(1-C)×(1-I)×(1-A))
其中,根据CVSS漏洞评分系统,C代表机密性、I代表完整性、A代表可用性,划分为高、低、无影响三个等级。
3.根据权利要求1所述的5G功能开放设备接口的脆弱性评估方法,其特征在于:步骤S2中,所述三个等级对应的分值分别为高:0.56;低:0.22;无影响:0。
4.根据权利要求1所述的5G功能开放设备接口的脆弱性评估方法,其特征在于:步骤S3中所述各个网络功能模块接口的可利用性E计算公式如下:
E=2MAC×MPR×MAV
其中,根据CVSS漏洞评分系统,MAC为攻击复杂度量值;MPR为访问权限要求量化值;MAV为攻击向量量化值。
5.根据权利要求1所述的5G功能开放设备接口的脆弱性评估方法,其特征在于:步骤S3中,所述攻击复杂度分为高、低两种,量化值MAC分别为0.44,0.77;访问权限要求分为高、低、无,对应的量化值MPR分别为0.27,0.62和0.85;攻击途径有远程网络、局域网、本地三种可能情况,对应的量化值MAV分别为0.85,0.62和0.55。
7.根据权利要求1所述的5G功能开放设备接口的脆弱性评估方法,其特征在于:步骤S7中,所述漏洞得分区间取值范围为0~10,其中,0为无漏洞,0.1~3.9为低级漏洞,4.0~6.9为中级漏洞,7.0~8.9为高级漏洞,9.0~10为严重漏洞。
8.根据权利要求1所述的5G功能开放设备接口的脆弱性评估方法,其特征在于:步骤S7中,通过颜色预警表示报警顺序,由低到高分别为绿色、蓝色、黄色、橙色、红色。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911423517.0A CN111212069B (zh) | 2019-12-31 | 2019-12-31 | 一种5g功能开放设备接口的脆弱性评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911423517.0A CN111212069B (zh) | 2019-12-31 | 2019-12-31 | 一种5g功能开放设备接口的脆弱性评估方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111212069A true CN111212069A (zh) | 2020-05-29 |
CN111212069B CN111212069B (zh) | 2022-02-25 |
Family
ID=70787891
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911423517.0A Active CN111212069B (zh) | 2019-12-31 | 2019-12-31 | 一种5g功能开放设备接口的脆弱性评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111212069B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114158080A (zh) * | 2020-08-17 | 2022-03-08 | 中国电信股份有限公司 | 监测方法、装置及计算机可读存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008102038A2 (es) * | 2007-02-23 | 2008-08-28 | Progenika Biopharma, S.A. | Método y producto para genotipado “in vitro” con aplicación en medicina anti-envejecimiento |
CN101374051A (zh) * | 2008-08-22 | 2009-02-25 | 中国航天科工集团第二研究院七○六所 | 一种基于多要素融合的信息系统风险评估方法 |
CN105427172A (zh) * | 2015-12-04 | 2016-03-23 | 北京华热科技发展有限公司 | 一种风险评估方法及系统 |
CN105763562A (zh) * | 2016-04-15 | 2016-07-13 | 全球能源互联网研究院 | 一种面向电力cps风险评估的电力信息网络脆弱性威胁评估模型建立方法及基于该模型的评估系统 |
CN106790294A (zh) * | 2017-03-10 | 2017-05-31 | 北京科技大学 | 一种5g网络安全风险评估方法 |
-
2019
- 2019-12-31 CN CN201911423517.0A patent/CN111212069B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008102038A2 (es) * | 2007-02-23 | 2008-08-28 | Progenika Biopharma, S.A. | Método y producto para genotipado “in vitro” con aplicación en medicina anti-envejecimiento |
CN101374051A (zh) * | 2008-08-22 | 2009-02-25 | 中国航天科工集团第二研究院七○六所 | 一种基于多要素融合的信息系统风险评估方法 |
CN105427172A (zh) * | 2015-12-04 | 2016-03-23 | 北京华热科技发展有限公司 | 一种风险评估方法及系统 |
CN105763562A (zh) * | 2016-04-15 | 2016-07-13 | 全球能源互联网研究院 | 一种面向电力cps风险评估的电力信息网络脆弱性威胁评估模型建立方法及基于该模型的评估系统 |
CN106790294A (zh) * | 2017-03-10 | 2017-05-31 | 北京科技大学 | 一种5g网络安全风险评估方法 |
Non-Patent Citations (3)
Title |
---|
JUN WU; JIANHUA LI; LONGHUA GUO; BEI PEI: "Toward Vulnerability Assessment for 5G Mobile Communication Networks", 《2015 IEEE INTERNATIONAL CONFERENCE ON SMART CITY/SOCIALCOM/SUSTAINCOM (SMARTCITY)》 * |
单东伟,张治中,程方,邓炳光: "基于频率评估系统的ETL优化与小区性能评估研究", 《电视技术》 * |
魏晴等: "网络安全风险动态分析方法", 《华中科技大学学报(自然科学版)》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114158080A (zh) * | 2020-08-17 | 2022-03-08 | 中国电信股份有限公司 | 监测方法、装置及计算机可读存储介质 |
CN114158080B (zh) * | 2020-08-17 | 2024-03-01 | 中国电信股份有限公司 | 监测方法、装置及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111212069B (zh) | 2022-02-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7172118B2 (en) | System and method for overcoming decision making and communications errors to produce expedited and accurate group choices | |
Grassi et al. | Betweenness to assess leaders in criminal networks: New evidence using the dual projection approach | |
Mohler et al. | A penalized likelihood method for balancing accuracy and fairness in predictive policing | |
CN102821007A (zh) | 一种基于自律计算的网络安全态势感知系统及其处理方法 | |
CN102387163A (zh) | 一种基于风险均衡的网络服务器防御方法 | |
CN107734512A (zh) | 一种基于灰度关联层次分析的网络选择方法 | |
Bensaber et al. | Design and modeling an Adaptive Neuro-Fuzzy Inference System (ANFIS) for the prediction of a security index in VANET | |
CN108764267A (zh) | 一种基于对抗式决策树集成的拒绝服务攻击检测方法 | |
Aibinu et al. | Development of hybrid artificial intelligent based handover decision algorithm | |
CN111212069B (zh) | 一种5g功能开放设备接口的脆弱性评估方法 | |
CN109768894B (zh) | 空中交通相依网络脆弱性识别与控制方法及系统 | |
CN117649130A (zh) | 智能消防安全监控系统 | |
CN108156114A (zh) | 电力信息物理系统网络攻击图的关键节点确定方法及装置 | |
CN109035078A (zh) | 一种基于多维度信息相似计算的房源聚合方法 | |
CN112039704A (zh) | 一种基于风险传播的信息系统风险评估方法 | |
Yates et al. | Role of spatial data in the protection of critical infrastructure and homeland defense | |
Prashanth et al. | Evaluation of the performance and ranking of suppliers of a heavy industry by TOPSIS method | |
Shaikh | Fuzzy risk-based decision method for vehicular Ad Hoc networks | |
Zineddine | A novel trust model for fog computing using fuzzy neural networks and weighted weakest link | |
CN110569041A (zh) | 一种跨云应用部署和迁移时的云平台安全性评估方法 | |
CN113766506B (zh) | 一种物联网分层访问控制方法 | |
CN111553826B (zh) | 智慧城市数据处理方法 | |
CN104202748B (zh) | 信道中心系统及利用信道中心策略实现信道分配的方法 | |
CN112115513A (zh) | 一种社交网络中用户节点隐私信息保护方法 | |
Shaikh et al. | Graph structural mining in terrorist networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |