CN111447246A - 一种基于异构信息网络的节点脆弱性估计方法和系统 - Google Patents

一种基于异构信息网络的节点脆弱性估计方法和系统 Download PDF

Info

Publication number
CN111447246A
CN111447246A CN202010551253.3A CN202010551253A CN111447246A CN 111447246 A CN111447246 A CN 111447246A CN 202010551253 A CN202010551253 A CN 202010551253A CN 111447246 A CN111447246 A CN 111447246A
Authority
CN
China
Prior art keywords
network
vulnerability
host
node
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010551253.3A
Other languages
English (en)
Other versions
CN111447246B (zh
Inventor
张旻
王文瑞
郑敬华
薛鹏飞
施凡
郑超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National University of Defense Technology
Original Assignee
National University of Defense Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National University of Defense Technology filed Critical National University of Defense Technology
Priority to CN202010551253.3A priority Critical patent/CN111447246B/zh
Publication of CN111447246A publication Critical patent/CN111447246A/zh
Application granted granted Critical
Publication of CN111447246B publication Critical patent/CN111447246B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于异构信息网络的节点脆弱性估计方法,包括:步骤一、构建异构信息网络;步骤二、设置已知脆弱性值的虚拟主机;步骤三、得到网络主机和虚拟主机在每条元路径下的邻接矩阵;步骤四、计算各条元路径下每个网络主机和虚拟主机之间的相似值;步骤五、将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和;步骤六、从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理;步骤七、对各个网络主机进行节点脆弱性迭代处理。本发明还公开了一种存储介质、系统和计算设备。本发明保证了节点脆弱性估计结果的准确性。

Description

一种基于异构信息网络的节点脆弱性估计方法和系统
技术领域
本发明属于计算机网络安全技术领域,具体涉及一种基于异构信息网络的节点脆弱性估计方法和系统。
背景技术
计算机的普及和通信技术的迅速发展,使计算机网络已经渗透到人们的日常生活中。各类软硬件产品和网络信息系统在规划、设计、开发、维护、配置、管理等各环节中普遍存在脆弱性。网络脆弱性评估通过综合分析计算机网络中漏洞、拓扑等要素,对网络安全状况给出量化评估结果,为网络安全的优化提供依据。对网络脆弱性的评估成为安全领域的研究热点之一,且已产生了许多有价值的研究成果。
在节点脆弱性评估方法中,常见的方法有基于复杂网络度量的方法和攻击图的方法等。基于复杂网络的方法主要是基于度中心性、介数中心性、聚集度中心性和特征向量中心性,从网络中节点的重要程度、节点对网络的影响和中心性等指标反映出节点的脆弱性,但是这些度量仅仅考虑了节点在网络中的结构特征,而没有考虑到节点自身属性对节点脆弱性的影响。攻击图的方法可以直观简洁的描述攻击行为和攻击目标之间的关系,综合考虑各个脆弱点之间的关联关系,分析出整个网络的安全状况;同时可以结合相关工具如贝叶斯网络进行推理分析。但是对于动态的网络分析比较困难且对大规模网络生成的攻击图,节点数量太多不利于分析。结合贝叶斯网络,结合攻击图进行精确推理,可以准确的计算出每个节点被攻击成功的概率,但是精确推理每个节点是一个NP难问题且贝叶斯网络的应用需要一些前提假设(独立性假设,先验概率等)。且攻击图只考虑了基于漏洞的攻击行为建模,并没有考虑到其他因素对于节点脆弱性的影响,这导致攻击图对于攻击行为的表示能力有限,对于其他要素的扩展性不强,不够灵活。所以不能够很好的分析新形式的网络攻击,如APT攻击。
发明内容
本发明的目的之一,在于提供一种基于异构信息网络的节点脆弱性估计方法,该方法实现了影响节点的静态脆弱性要素和动态脆弱性要素的有机结合,保证了节点脆弱性估计结果的准确性。
本发明的目的之二,在于提供一种存储介质。
本发明的目的之三,在于提供一种基于异构信息网络的节点脆弱性估计系统。
本发明的目的之四,在于提供一种计算设备。
为了达到上述目的之一,本发明采用如下技术方案实现:
一种基于异构信息网络的节点脆弱性估计方法,所述节点脆弱性估计方法包括如下步骤:
步骤一、从计算机网络中提取各个网络主机与对应的各个脆弱性要素之间、各个脆弱性要素之间的相互影响关系后构建异构信息网络;
步骤二、设置已知脆弱性值的虚拟主机;
步骤三、根据异构信息网络以及虚拟主机,得到网络主机和虚拟主机在每条元路径下的邻接矩阵;
步骤四、根据网络主机和虚拟主机在每条元路径下的邻接矩阵,采用PathSim方法,计算各条元路径下每个网络主机和虚拟主机之间的相似值;
步骤五、将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和,得到对应网络主机的节点静态脆弱性值;
步骤六、从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理;
步骤七、根据归一化处理后的网络主机之间访问关系矩阵和各个网络主机的节点静态脆弱性值,对各个网络主机进行节点脆弱性迭代处理,得到各个网络主机的节点脆弱性最终值。
进一步的,所述脆弱性要素包括主机、操作系统、端口、服务、漏洞和攻击类型。
进一步的,所述元路径包括第一元路径DOD、第二元路径DPD、第三元路径DPSPD、第四元路径DVD和第五元路径DVAVD;
所述第一元路径DOD为网络主机和虚拟主机之间安装有相同的操作系统;
所述第二元路径DPD为网络主机和虚拟主机之间开放有相同的端口;
所述第三元路径DPSPD为网络主机和虚拟主机之间开放有相同的服务;
所述第四元路径DVD为网络主机和虚拟主机之间存在相同的漏洞;
所述第五元路径DVAVD为网络主机和虚拟主机之间能够受到相同的攻击类型。
进一步的,步骤二中,所述虚拟主机的脆弱性值为1,即所述虚拟主机包含有计算机网络中所有的漏洞、端口、服务和操作系统。
进一步的,步骤七的具体实现过程为:
步骤71、设定各个网络主机的节点脆弱性初始值;
步骤72、按照如下公式,计算各个网络主机的节点脆弱性估计值;
Figure 270916DEST_PATH_IMAGE001
其中,score(h i )为第i个网络主机h i 的节点脆弱性估计值;score (0) (h j )为第j个网络主 机h j 的节点脆弱性初始值,h j I(h i )I(h i )为可以访问到第i个网络主机h i 的主机集合;
Figure 984794DEST_PATH_IMAGE002
为归一化处理后的网络主机之间访问关系矩阵中第i行第j列元素的值;α为权重值;vuln(h i )为第i个网络主机h i 的节点静态脆弱性值;其中,i=1,2,…,N, j=1,2…N,i≠j,N为 网络主机数;
步骤73、判断score(h i )和score (0) (h i )的差的绝对值是否小于阈值,如是,则将score (h i )作为为第i个网络主机h i 的节点脆弱性最终值,结束;如否,则将score(h i )赋给对应网络主机的节点脆弱性初始值,返回步骤72。
为了达到上述目的之二,本发明采用如下技术方案实现:
一种存储介质,所述存储介质存储有程序指令;所述程序指令被执行时,实现上述所述的节点脆弱性估计方法。
为了达到上述目的之三,本发明采用如下技术方案实现:
一种基于异构信息网络的节点脆弱性估计系统,所述节点脆弱性估计系统包括上述所述的存储介质;
或者,
一种基于异构信息网络的节点脆弱性估计系统,所述节点脆弱性估计系统包括:
提取模块,用于从计算机网络中提取各个网络主机与对应的各个脆弱性要素之间、各个脆弱性要素之间的相互影响关系后构建异构信息网络;
设置模块,用于设置已知脆弱性值的虚拟主机;
邻接矩阵模块,用于根据异构信息网络以及虚拟主机,得到网络主机和虚拟主机在每条元路径下的邻接矩阵;
相似模块,用于根据网络主机和虚拟主机在每条元路径下的邻接矩阵,采用PathSim方法,计算各条元路径下每个网络主机和虚拟主机之间的相似值;
加权求和模块,用于将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和,得到对应网络主机的节点静态脆弱性值;
归一化处理模块,用于从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理;
迭代处理模块,用于根据归一化处理后的网络主机之间访问关系矩阵和各个网络主机的节点静态脆弱性值,对各个网络主机进行节点脆弱性迭代处理,得到各个网络主机的节点脆弱性最终值。
进一步的,所述迭代处理模块包括:
设定子模块,用于设定各个网络主机的节点脆弱性初始值;
计算子模块,用于按照如下公式,计算各个网络主机的节点脆弱性估计值;
Figure 436635DEST_PATH_IMAGE001
其中,score(h i )为第i个网络主机h i 的节点脆弱性估计值;score (0) (h j )为第j个网络主 机h j 的节点脆弱性初始值,h j I(h i )I(h i )为可以访问到第i个网络主机h i 的主机集合;
Figure 251751DEST_PATH_IMAGE002
为归一化处理后的网络主机之间访问关系矩阵中第i行第j列元素的值;α为权重值;vuln(h i )为第i个网络主机h i 的节点静态脆弱性值;其中,i=1,2,…,N, j=1,2…N,i≠j,N为 网络主机数;
判断子模块,用于判断score(h i )和score (0) (h i )的差的绝对值是否小于阈值,如是,则将score(h i )作为为第i个网络主机h i 的节点脆弱性最终值,结束;如否,则将score(h i )赋给对应网络主机的节点脆弱性初始值后传输给所述计算子模块。
为了达到上述目的之四,本发明采用如下技术方案实现:
一种计算设备,所述计算设备包括处理器、存储器和总线;
所述存储器用于存储执行指令,所述处理器与所述存储器通过所述总线连接,当所述计算设备运行时,所述处理器执行所述存储器存储的所述执行指令,以使所述计算设备执行上述所述的节点脆弱性估计方法。
本发明的有益效果:
1、本发明通过异构信息网络,将影响网络主机脆弱性的各个脆弱性要素以及各个脆弱性要素之间相互影响的关系反映出来;利用网络主机和虚拟主机在每条元路径下的邻接矩阵,采用PathSim方法,计算网络主机和预先假设的虚拟主机在每条元路径下的相似值,将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和,得到对应网络主机的节点静态脆弱性值,该节点静态脆弱性值是从节点自身属性对节点脆弱性的影响进行考虑的;基于不同的元路径,既可以单独从某条元路径出发进行某一个角度的脆弱性的评估,又可以将多条元路径结合起来,从多个不同的角度进行脆弱性评估得到量化评估分值,具有高度的灵活性;本发明中的节点静态脆弱性值是从节点自身属性对节点脆弱性的影响进行考虑的;同时,在节点静态脆弱性值基础上,通过网络主机之间访问关系矩阵和节点脆弱性迭代处理,实现了影响节点的静态脆弱性要素和动态脆弱性要素的有机结合,保证了节点脆弱性估计结果的准确性。
2、本发明的异构信息网络具有较强的节点脆弱性表示建模能力和可扩展性。可以构建更加丰富和详细的基于知识本体的攻击行为描述网络模式图来进行攻击行为的建模,同时可以随时改变网络模式图来适应不同评估场景的需求,对于需要的网络要素可以随时加入,对于不需要的网络要素可以进行删除,这保证了模型的可扩展性。
3、本发明可以结合图数据库的存储能力和基于图的迭代排名的计算效率来进行大规模的网络节点脆弱性评估。
附图说明
图1为本发明的基于异构信息网络的节点脆弱性估计方法流程示意图;
图2为本发明中的异构信息网络示意图;
图3为计算机网络中各个网络主机之间相互访问关系示意图。
具体实施方式
以下结合附图对本发明的具体实施方式作出详细说明。
本实施例给出了一种基于异构信息网络的节点脆弱性估计方法,参考图1,该节点脆弱性估计方法包括如下步骤:
步骤一、从计算机网络中提取各个网络主机与对应的各个脆弱性要素之间、各个脆弱性要素之间的相互影响关系并构建异构信息网络。
本实施例中的脆弱性要素包括主机H、操作系统O、端口P、服务S、漏洞V、攻击类型A。本实施例以主机H、操作系统O、端口P、服务S、漏洞V、攻击类型A(漏洞导致的攻击)为节点类型,通过各个脆弱性要素之间的11种不同的相互影响关系(包括设备装有操作系统,设备开放端口,设备存在漏洞,设备访问设备,端口支持的服务,漏洞可以导致的攻击,以及各个脆弱性要素之间的逆关系),构建异构信息网络,如图2所示。
步骤二、设置已知脆弱性值的虚拟主机。
为了计算网络主机的节点脆弱性,本实施例假设在当前网络中存在一台虚拟主机,该虚拟主机拥有当前网络中的所有漏洞、开放所有端口、服务和操作系统,即该虚拟主机的脆弱性值优选为1。
步骤三、根据异构信息网络以及虚拟主机,得到网络主机和虚拟主机在每条元路径下的邻接矩阵。
本实施例中,元路径包括第一元路径DOD、第二元路径DPD、第三元路径DPSPD、第四元路径DVD和第五元路径DVAVD。其中,第一元路径DOD为网络主机和虚拟主机之间安装有相同的操作系统;第二元路径DPD为网络主机和虚拟主机之间开放有相同的端口;第三元路径DPSPD为网络主机和虚拟主机之间开放有相同的服务;第四元路径DVD为网络主机和虚拟主机之间存在相同的漏洞;第五元路径DVAVD为网络主机和虚拟主机之间能够受到相同的攻击类型,如表1所示:
表1元路径和对应的语义
编号 元路径 描述
<i>P</i><sub>1</sub> DOD 主机之间安装了相同的操作系统
<i>P</i><sub>2</sub> DPD 主机之间开放了相同的端口
<i>P</i><sub>3</sub> DPSPD 主机开放了相同的服务
<i>P</i><sub>4</sub> DVD 主机存在相同的漏洞
<i>P</i><sub>5</sub> DVAVD 主机可以受到相同的攻击类型
本实施例中,网络主机和虚拟主机在每条元路径下的邻接矩阵包括如表2所示的邻接矩阵:
表2 不同类型的邻接矩阵
Figure 738227DEST_PATH_IMAGE003
假设漏洞关系为:网络主机1拥有漏洞1和漏洞2;网络主机2拥有漏洞1;网络主机3拥有漏洞2和漏洞3;网络主机4拥有漏洞3;网络主机5拥有漏洞4;虚拟主机具有漏洞1、漏洞2、漏洞3和漏洞4,则网络主机和虚拟主机与漏洞的关系如表3所示:
表3网络主机和虚拟主机与漏洞的关系表
漏洞1 漏洞2 漏洞3 漏洞4
网络主机1 1 1 0 0
网络主机2 1 0 0 0
网络主机3 0 1 1 0
网络主机4 0 0 1 0
网络主机5 0 0 0 1
虚拟主机6 1 1 1 1
根据表3,则网络主机和虚拟主机在第四条元路径DVD下的邻接矩阵WDV及其转置矩阵WVD分别为:
WDV=(1,1,0,0,
1,0,0,0,
0,1,1,0,
0,0,1,0,
0,0,0,1,
1,1,1,1)
WVD=(1,1,0,0,0,1,
1,0,1,0,0,1,
0,0,1,1,0,1,
0,0,0,0,1,1,)
步骤四、根据网络主机和虚拟主机在每条元路径下的邻接矩阵,采用PathSim方法,计算各条元路径下每个网络主机和虚拟主机之间的相似值。
本实施例采用如下公式,计算每条元路径下各个网络主机和虚拟主机之间的相似值:
Figure 91848DEST_PATH_IMAGE004
Figure 280253DEST_PATH_IMAGE005
其中,S P (i,j)为第P条元路径下网络主机i和虚拟主机j之间的相似值,P分别为第一元路径DOD、第二元路径DPD、第三元路径DPSPD、第四元路径DVD和第五元路径DVAVD;M P 为第P条元路径下的交换矩阵;M P(i,i) M P(j,j) M P(i,j) 分别为第P条元路径下的的交换矩阵M P 中的第i行第i列、第j行第j列和第i行第j列的元素值;W Ai,Ai+1为对应元路径下第ii+1个节点类型的邻接矩阵;W Al+2-j,Al+1-j 为对应元路径下第l+2-jl+1-j个节点类型的邻接矩阵;i=1,2,...,l-1j=2,3,...,ll为第P条元路径下的节点类型数量。
如:MDVD=WDV*WVD
MDVD=(2,1,1,0,0,2,
1,1,0,0,0,1,
1,0,2,1,0,2,
0,0,1,1,0,1,
0,0,0,0,1,1,
2,1,2,1,1,4,)
可得到在元路径DVD下,主机1~5和虚拟主机6之间的相似值分别为2/3、2/5、2/3、2/5和2/5。按照上述公式,可得到在其他元路径下,主机1~5和虚拟主机6之间的相似值。
步骤五、将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和,得到对应网络主机的节点静态脆弱性值。
本实施例将不同元路径下的对应的相似值进行加权求和,得到对应网络主机的节点静态脆弱性值。
步骤六、从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理。
如图3所示的计算机网络中各个网络主机之间相互访问关系,解析后可采用表4表示:
表4
访问关系 1 2 3 4 5
1 0 0 0 0 0
2 1 0 0 0 0
3 0 1 0 0 0
4 0 1 1 0 1
5 1 0 0 0 0
网络主机之间访问关系矩阵为:
WDD=(0,0,0,0,0,
1,0,0,0,0,
0,1,0,0,0,
0,1,1,0,1,
1,0,0,0,0,)
归一化处理后的网络主机之间访问关系矩阵为:
(0,0,0,0,0,
1/2,0,0,0,0,
0,1/2,0,0,0,
0,1/2,1,0,1,
1/2,0,0,0,0,)
步骤七、根据归一化处理后的网络主机之间访问关系矩阵和各个网络主机的节点静态脆弱性值,对各个网络主机进行节点脆弱性迭代处理,得到各个网络主机的节点脆弱性最终值。
在得到静态节点脆弱性分值后,本实施例提出使用如下权威排名准则:一台主机的脆弱性分值越高,则这台主机可访问的其他主机的脆弱性越高;一台主机可以被越多脆弱性分值高的主机访问,则这台主机的脆弱性分值越高。本步骤的具体实现过程为:
步骤71、设定各个网络主机的节点脆弱性初始值;
步骤72、按照如下公式,计算各个网络主机的节点脆弱性估计值;
Figure 151257DEST_PATH_IMAGE006
其中,score(h i )为第i个网络主机h i 的节点脆弱性估计值;score (0) (h j )为第j个网络主 机h j 的节点脆弱性初始值,h j I(h i )I(h i )为可以访问到第i个网络主机h i 的主机集合;
Figure 616873DEST_PATH_IMAGE002
为归一化处理后的网络主机之间访问关系矩阵中第i行第j列元素的值;α为权重值;vuln(h i )为第i个网络主机h i 的节点静态脆弱性值;其中,i=1,2,…,N, j=1,2…N,i≠j,N为 网络主机数;
步骤73、判断score(h i )和score (0) (h i )的差的绝对值是否小于阈值,如是,则将score (h i )作为为第i个网络主机h i 的节点脆弱性最终值,结束;如否,则将score(h i )赋给对应网络主机的节点脆弱性初始值,返回步骤72,其中,阈值一般优选为10-7
本实施例通过异构信息网络,将影响网络主机脆弱性的各个脆弱性要素以及各个脆弱性要素之间相互影响的关系反映出来;利用网络主机和虚拟主机在每条元路径下的邻接矩阵,采用PathSim方法,计算网络主机和预先假设的虚拟主机在每条元路径下的相似值,将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和,得到对应网络主机的节点静态脆弱性值,该节点静态脆弱性值是从节点自身属性对节点脆弱性的影响进行考虑的;基于不同的元路径,既可以单独从某条元路径出发进行某一个角度的脆弱性的评估,又可以将多条元路径结合起来,从多个不同的角度进行脆弱性评估得到量化评估分值,具有高度的灵活性;本实施例中的节点静态脆弱性值是从节点自身属性对节点脆弱性的影响进行考虑的;同时,在节点静态脆弱性值基础上,通过网络主机之间访问关系矩阵和节点脆弱性迭代处理,实现了影响节点的静态脆弱性要素和动态脆弱性要素的有机结合,保证了节点脆弱性估计结果的准确性;本实施例的异构信息网络具有较强的节点脆弱性表示建模能力和可扩展性。可以构建更加丰富和详细的基于知识本体的攻击行为描述网络模式图来进行攻击行为的建模,同时可以随时改变网络模式图来适应不同评估场景的需求,对于需要的网络要素可以随时加入,对于不需要的网络要素可以进行删除,这保证了模型的可扩展性;本实施例可以结合图数据库的存储能力和基于图的迭代排名的计算效率来进行大规模的网络节点脆弱性评估。
另一实施例给出了一种存储介质,该存储介质存储有程序指令;所述程序指令被执行时,实现上述实施例给出的节点脆弱性估计方法。
又一实施例给出了一种基于异构信息网络的节点脆弱性估计系统,该节点脆弱性估计系统包括上述实施例给出的存储介质。
再一实施例给出了一种基于异构信息网络的节点脆弱性估计系统,该节点脆弱性估计系统包括:
提取模块,用于从计算机网络中提取各个网络主机与对应的各个脆弱性要素之间、各个脆弱性要素之间的相互影响关系后构建异构信息网络;
设置模块,用于设置已知脆弱性值的虚拟主机;
邻接矩阵模块,用于根据异构信息网络以及虚拟主机,得到网络主机和虚拟主机在每条元路径下的邻接矩阵;
相似模块,用于根据网络主机和虚拟主机在每条元路径下的邻接矩阵,采用PathSim方法,计算各条元路径下每个网络主机和虚拟主机之间的相似值;
加权求和模块,用于将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和,得到对应网络主机的节点静态脆弱性值;
归一化处理模块,用于从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理;
迭代处理模块,用于根据归一化处理后的网络主机之间访问关系矩阵和各个网络主机的节点静态脆弱性值,对各个网络主机进行节点脆弱性迭代处理,得到各个网络主机的节点脆弱性最终值。本实施例的迭代处理模块模块包括:
设定子模块,用于设定各个网络主机的节点脆弱性初始值;
计算子模块,用于按照如下公式,计算各个网络主机的节点脆弱性估计值;
Figure 33074DEST_PATH_IMAGE007
其中,score(h i )为第i个网络主机h i 的节点脆弱性估计值;score (0) (h j )为第j个网络主 机h j 的节点脆弱性初始值,h j I(h i )I(h i )为可以访问到第i个网络主机h i 的主机集合;
Figure 459507DEST_PATH_IMAGE002
为归一化处理后的网络主机之间访问关系矩阵中第i行第j列元素的值;α为权重值;vuln(h i )为第i个网络主机h i 的节点静态脆弱性值;其中,i=1,2,…,N, j=1,2…N,i≠j,N为 网络主机数;
判断子模块,用于判断score(h i )和score (0) (h i )的差的绝对值是否小于阈值,如是,则将score(h i )作为为第i个网络主机h i 的节点脆弱性最终值,结束;如否,则将score(h i )赋给对应网络主机的节点脆弱性初始值后传输给所述计算子模块,其中,阈值一般优选为10-7
再一实施例给出了一种计算设备,所述计算设备包括处理器、存储器和总线;
所述存储器用于存储执行指令,所述处理器与所述存储器通过所述总线连接,当所述计算设备运行时,所述处理器执行所述存储器存储的所述执行指令,以使所述计算设备执行上述实施例给出的节点脆弱性估计方法。
以上实施方式仅用以说明本发明实施例的技术方案而非限制,尽管参照以上较佳实施方式对本发明实施例进行了详细说明,本领域的普通技术人员应当理解,可以对本发明实施例的技术方案进行修改或等同替换都不应脱离本发明实施例的技术方案的精神和范围。

Claims (10)

1.一种基于异构信息网络的节点脆弱性估计方法,其特征在于,所述节点脆弱性估计方法包括如下步骤:
步骤一、从计算机网络中提取各个网络主机与对应的各个脆弱性要素之间、各个脆弱性要素之间的相互影响关系后构建异构信息网络;
步骤二、设置已知脆弱性值的虚拟主机;
步骤三、根据异构信息网络以及虚拟主机,得到网络主机和虚拟主机在每条元路径下的邻接矩阵;
步骤四、根据网络主机和虚拟主机在每条元路径下的邻接矩阵,采用PathSim方法,计算各条元路径下每个网络主机和虚拟主机之间的相似值;
步骤五、将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和,得到对应网络主机的节点静态脆弱性值;
步骤六、从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理;
步骤七、根据归一化处理后的网络主机之间访问关系矩阵和各个网络主机的节点静态脆弱性值,对各个网络主机进行节点脆弱性迭代处理,得到各个网络主机的节点脆弱性最终值。
2.根据权利要求1所述的节点脆弱性估计方法,其特征在于,所述脆弱性要素包括主机、操作系统、端口、服务、漏洞和攻击类型。
3.根据权利要求2所述的节点脆弱性估计方法,其特征在于,所述元路径包括第一元路径DOD、第二元路径DPD、第三元路径DPSPD、第四元路径DVD和第五元路径DVAVD;
所述第一元路径DOD为网络主机和虚拟主机之间安装有相同的操作系统;
所述第二元路径DPD为网络主机和虚拟主机之间开放有相同的端口;
所述第三元路径DPSPD为网络主机和虚拟主机之间开放有相同的服务;
所述第四元路径DVD为网络主机和虚拟主机之间存在相同的漏洞;
所述第五元路径DVAVD为网络主机和虚拟主机之间能够受到相同的攻击类型。
4.根据权利要求1~3中任意一项所述的节点脆弱性估计方法,其特征在于,步骤二中,所述虚拟主机的脆弱性值为1,即所述虚拟主机包含有计算机网络中所有的漏洞、端口、服务和操作系统。
5.根据权利要求1~3中任意一项所述的节点脆弱性估计方法,其特征在于,步骤七的具体实现过程为:
步骤71、设定各个网络主机的节点脆弱性初始值;
步骤72、按照如下公式,计算各个网络主机的节点脆弱性估计值;
Figure 3953DEST_PATH_IMAGE001
其中,score(h i )为第i个网络主机h i 的节点脆弱性估计值;score (0) (h j )为第j个网络主 机h j 的节点脆弱性初始值,h j I(h i )I(h i )为可以访问到第i个网络主机h i 的主机集合;
Figure 996180DEST_PATH_IMAGE002
为归一化处理后的网络主机之间访问关系矩阵中第i行第j列元素的值;α为权重值;vuln(h i )为第i个网络主机h i 的节点静态脆弱性值;其中,i=1,2,…,N, j=1,2…N,i≠j,N为 网络主机数;
步骤73、判断score(h i )和score (0) (h i )的差的绝对值是否小于阈值,如是,则将score (h i )作为为第i个网络主机h i 的节点脆弱性最终值,结束;如否,则将score(h i )赋给对应网络主机的节点脆弱性初始值,返回步骤72。
6.一种存储介质,其特征在于,所述存储介质存储有程序指令;所述程序指令被执行时,实现权利要求1~5中任意一项所述的节点脆弱性估计方法。
7.一种基于异构信息网络的节点脆弱性估计系统,其特征在于,所述节点脆弱性估计系统包括权利要求6所述的存储介质。
8.一种基于异构信息网络的节点脆弱性估计系统,其特征在于,所述节点脆弱性估计系统包括:
提取模块,用于从计算机网络中提取各个网络主机与对应的各个脆弱性要素之间、各个脆弱性要素之间的相互影响关系后构建异构信息网络;
设置模块,用于设置已知脆弱性值的虚拟主机;
邻接矩阵模块,用于根据异构信息网络以及虚拟主机,得到网络主机和虚拟主机在每条元路径下的邻接矩阵;
相似模块,用于根据网络主机和虚拟主机在每条元路径下的邻接矩阵,采用PathSim方法,计算各条元路径下每个网络主机和虚拟主机之间的相似值;
加权求和模块,用于将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和,得到对应网络主机的节点静态脆弱性值;
归一化处理模块,用于从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理;
迭代处理模块,用于根据归一化处理后的网络主机之间访问关系矩阵和各个网络主机的节点静态脆弱性值,对各个网络主机进行节点脆弱性迭代处理,得到各个网络主机的节点脆弱性最终值。
9.根据权利要求8所述的节点脆弱性估计系统,其特征在于,所述迭代处理模块模块包括:
设定子模块,用于设定各个网络主机的节点脆弱性初始值;
计算子模块,用于按照如下公式,计算各个网络主机的节点脆弱性估计值;
Figure 347395DEST_PATH_IMAGE003
其中,score(h i )为第i个网络主机h i 的节点脆弱性估计值;score (0) (h j )为第j个网络主 机h j 的节点脆弱性初始值,h j I(h i )I(h i )为可以访问到第i个网络主机h i 的主机集合;
Figure 946611DEST_PATH_IMAGE002
为归一化处理后的网络主机之间访问关系矩阵中第i行第j列元素的值;α为权重值;vuln(h i )为第i个网络主机h i 的节点静态脆弱性值;其中,i=1,2,…,N, j=1,2…N,i≠j,N为 网络主机数;
判断子模块,用于判断score(h i )和score (0) (h i )的差的绝对值是否小于阈值,如是,则将score(h i )作为为第i个网络主机h i 的节点脆弱性最终值,结束;如否,则将score(h i )赋给对应网络主机的节点脆弱性初始值后传输给所述计算子模块。
10.一种计算设备,其特征在于,所述计算设备包括处理器、存储器和总线;
所述存储器用于存储执行指令,所述处理器与所述存储器通过所述总线连接,当所述计算设备运行时,所述处理器执行所述存储器存储的所述执行指令,以使所述计算设备执行权利要求1~5中任意一项所述的节点脆弱性估计方法。
CN202010551253.3A 2020-06-17 2020-06-17 一种基于异构信息网络的节点脆弱性估计方法和系统 Active CN111447246B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010551253.3A CN111447246B (zh) 2020-06-17 2020-06-17 一种基于异构信息网络的节点脆弱性估计方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010551253.3A CN111447246B (zh) 2020-06-17 2020-06-17 一种基于异构信息网络的节点脆弱性估计方法和系统

Publications (2)

Publication Number Publication Date
CN111447246A true CN111447246A (zh) 2020-07-24
CN111447246B CN111447246B (zh) 2020-09-11

Family

ID=71653747

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010551253.3A Active CN111447246B (zh) 2020-06-17 2020-06-17 一种基于异构信息网络的节点脆弱性估计方法和系统

Country Status (1)

Country Link
CN (1) CN111447246B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113259399A (zh) * 2021-07-08 2021-08-13 中国人民解放军国防科技大学 基于异构信息网络的域名服务器安全威胁分析方法及装置
CN113794698A (zh) * 2021-08-30 2021-12-14 厦门理工学院 基于sdn的控制系统安全测试
CN114676438A (zh) * 2022-04-15 2022-06-28 电子科技大学 面向硬件系统多维脆弱性的快速探测方法

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130191919A1 (en) * 2012-01-19 2013-07-25 Mcafee, Inc. Calculating quantitative asset risk
CN105893740A (zh) * 2016-03-29 2016-08-24 中国人民解放军国防科学技术大学 一种用于挖掘电力网络中脆弱节点和线路的方法
US20170339180A1 (en) * 2016-05-19 2017-11-23 Infinite Group, Inc. Network assessment systems and methods thereof
CN107679716A (zh) * 2017-09-19 2018-02-09 西南交通大学 考虑通信脆弱度的互联电网连锁故障风险评估与告警方法
CN108632081A (zh) * 2018-03-26 2018-10-09 中国科学院计算机网络信息中心 网络态势评估方法、装置及存储介质
EP3416345A1 (en) * 2017-06-16 2018-12-19 Nokia Technologies Oy Process for estimating a mean time for an attacker to compromise a vulnerability (mtacv) of a computer system
CN109636224A (zh) * 2018-12-19 2019-04-16 广东工业大学 一种智能变电站继电保护脆弱性评估方法
US20190238584A1 (en) * 2018-01-30 2019-08-01 Asimily, Inc System and method for vulnerability management for connected devices
US20190297055A1 (en) * 2018-03-26 2019-09-26 Fortinet, Inc. Automated learning of externally defined network assets by a network security device
CN110868383A (zh) * 2018-12-24 2020-03-06 北京安天网络安全技术有限公司 一种网站风险评估方法、装置、电子设备及存储介质
CN111082981A (zh) * 2019-12-11 2020-04-28 中国电子科技集团公司第二十研究所 基于迫零算法和拓扑结构的相似脆弱性节点选择方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130191919A1 (en) * 2012-01-19 2013-07-25 Mcafee, Inc. Calculating quantitative asset risk
CN105893740A (zh) * 2016-03-29 2016-08-24 中国人民解放军国防科学技术大学 一种用于挖掘电力网络中脆弱节点和线路的方法
US20170339180A1 (en) * 2016-05-19 2017-11-23 Infinite Group, Inc. Network assessment systems and methods thereof
EP3416345A1 (en) * 2017-06-16 2018-12-19 Nokia Technologies Oy Process for estimating a mean time for an attacker to compromise a vulnerability (mtacv) of a computer system
CN107679716A (zh) * 2017-09-19 2018-02-09 西南交通大学 考虑通信脆弱度的互联电网连锁故障风险评估与告警方法
US20190238584A1 (en) * 2018-01-30 2019-08-01 Asimily, Inc System and method for vulnerability management for connected devices
CN108632081A (zh) * 2018-03-26 2018-10-09 中国科学院计算机网络信息中心 网络态势评估方法、装置及存储介质
US20190297055A1 (en) * 2018-03-26 2019-09-26 Fortinet, Inc. Automated learning of externally defined network assets by a network security device
CN109636224A (zh) * 2018-12-19 2019-04-16 广东工业大学 一种智能变电站继电保护脆弱性评估方法
CN110868383A (zh) * 2018-12-24 2020-03-06 北京安天网络安全技术有限公司 一种网站风险评估方法、装置、电子设备及存储介质
CN111082981A (zh) * 2019-12-11 2020-04-28 中国电子科技集团公司第二十研究所 基于迫零算法和拓扑结构的相似脆弱性节点选择方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113259399A (zh) * 2021-07-08 2021-08-13 中国人民解放军国防科技大学 基于异构信息网络的域名服务器安全威胁分析方法及装置
CN113259399B (zh) * 2021-07-08 2021-10-15 中国人民解放军国防科技大学 基于异构信息网络的域名服务器安全威胁分析方法及装置
CN113794698A (zh) * 2021-08-30 2021-12-14 厦门理工学院 基于sdn的控制系统安全测试
CN113794698B (zh) * 2021-08-30 2023-11-14 厦门理工学院 基于sdn的安全测试方法和装置,安全测试系统
CN114676438A (zh) * 2022-04-15 2022-06-28 电子科技大学 面向硬件系统多维脆弱性的快速探测方法

Also Published As

Publication number Publication date
CN111447246B (zh) 2020-09-11

Similar Documents

Publication Publication Date Title
CN111447246B (zh) 一种基于异构信息网络的节点脆弱性估计方法和系统
Nazir et al. A novel combinatorial optimization based feature selection method for network intrusion detection
Kannan et al. Genetic algorithm based feature selection algorithm for effective intrusion detection in cloud networks
CN111709022B (zh) 基于ap聚类与因果关系的混合报警关联方法
CN111475838B (zh) 基于深度神经网络的图数据匿名方法、装置、存储介质
CN112182567B (zh) 一种多步攻击溯源方法、系统、终端及可读存储介质
Madbouly et al. Relevant feature selection model using data mining for intrusion detection system
CN113259399B (zh) 基于异构信息网络的域名服务器安全威胁分析方法及装置
KR102086936B1 (ko) 사용자 데이터 공유 방법 및 디바이스
Sommer et al. Athena: Probabilistic verification of machine unlearning
Shamsi et al. Chartalist: Labeled graph datasets for utxo and account-based blockchains
CN112565283A (zh) 一种apt攻击检测方法、终端设备及存储介质
Shaham et al. Machine learning aided anonymization of spatiotemporal trajectory datasets
Luo et al. A systematic literature review of intrusion detection systems in the cloud‐based IoT environments
CN117240632B (zh) 一种基于知识图谱的攻击检测方法和系统
US10530805B1 (en) Systems and methods for detecting security incidents
CN112215300A (zh) 一种基于网络结构增强的图卷积模型防御方法、装置和系统
Hsiao et al. Malware family characterization with recurrent neural network and ghsom using system calls
Wang et al. RoPE: Defending against backdoor attacks in federated learning systems
Gui et al. Privacy preserving rare itemset mining
Suen et al. Detecting anomalous web browsing via diffusion wavelets
Parlar et al. Feature selection methods for intrusion detection using machine learning methods
CN110689074A (zh) 一种基于模糊集特征熵值计算的特征选择方法
Manikandan et al. Design of Transactional Prediction using Plan Mine and Genetic Algorithms
Shukla et al. On the evaluation of user privacy in deep neural networks using timing side channel

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant