CN111447246A - 一种基于异构信息网络的节点脆弱性估计方法和系统 - Google Patents

Abstract

本发明公开了一种基于异构信息网络的节点脆弱性估计方法，包括：步骤一、构建异构信息网络；步骤二、设置已知脆弱性值的虚拟主机；步骤三、得到网络主机和虚拟主机在每条元路径下的邻接矩阵；步骤四、计算各条元路径下每个网络主机和虚拟主机之间的相似值；步骤五、将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和；步骤六、从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理；步骤七、对各个网络主机进行节点脆弱性迭代处理。本发明还公开了一种存储介质、系统和计算设备。本发明保证了节点脆弱性估计结果的准确性。

Description

一种基于异构信息网络的节点脆弱性估计方法和系统

技术领域

本发明属于计算机网络安全技术领域，具体涉及一种基于异构信息网络的节点脆弱性估计方法和系统。

背景技术

计算机的普及和通信技术的迅速发展，使计算机网络已经渗透到人们的日常生活中。各类软硬件产品和网络信息系统在规划、设计、开发、维护、配置、管理等各环节中普遍存在脆弱性。网络脆弱性评估通过综合分析计算机网络中漏洞、拓扑等要素，对网络安全状况给出量化评估结果，为网络安全的优化提供依据。对网络脆弱性的评估成为安全领域的研究热点之一，且已产生了许多有价值的研究成果。

在节点脆弱性评估方法中，常见的方法有基于复杂网络度量的方法和攻击图的方法等。基于复杂网络的方法主要是基于度中心性、介数中心性、聚集度中心性和特征向量中心性，从网络中节点的重要程度、节点对网络的影响和中心性等指标反映出节点的脆弱性，但是这些度量仅仅考虑了节点在网络中的结构特征，而没有考虑到节点自身属性对节点脆弱性的影响。攻击图的方法可以直观简洁的描述攻击行为和攻击目标之间的关系，综合考虑各个脆弱点之间的关联关系，分析出整个网络的安全状况；同时可以结合相关工具如贝叶斯网络进行推理分析。但是对于动态的网络分析比较困难且对大规模网络生成的攻击图，节点数量太多不利于分析。结合贝叶斯网络，结合攻击图进行精确推理，可以准确的计算出每个节点被攻击成功的概率，但是精确推理每个节点是一个NP难问题且贝叶斯网络的应用需要一些前提假设（独立性假设，先验概率等）。且攻击图只考虑了基于漏洞的攻击行为建模，并没有考虑到其他因素对于节点脆弱性的影响，这导致攻击图对于攻击行为的表示能力有限，对于其他要素的扩展性不强，不够灵活。所以不能够很好的分析新形式的网络攻击，如APT攻击。

发明内容

本发明的目的之一，在于提供一种基于异构信息网络的节点脆弱性估计方法，该方法实现了影响节点的静态脆弱性要素和动态脆弱性要素的有机结合，保证了节点脆弱性估计结果的准确性。

本发明的目的之二，在于提供一种存储介质。

本发明的目的之三，在于提供一种基于异构信息网络的节点脆弱性估计系统。

本发明的目的之四，在于提供一种计算设备。

为了达到上述目的之一，本发明采用如下技术方案实现：

一种基于异构信息网络的节点脆弱性估计方法，所述节点脆弱性估计方法包括如下步骤：

步骤一、从计算机网络中提取各个网络主机与对应的各个脆弱性要素之间、各个脆弱性要素之间的相互影响关系后构建异构信息网络；

步骤二、设置已知脆弱性值的虚拟主机；

步骤三、根据异构信息网络以及虚拟主机，得到网络主机和虚拟主机在每条元路径下的邻接矩阵；

步骤四、根据网络主机和虚拟主机在每条元路径下的邻接矩阵，采用PathSim方法，计算各条元路径下每个网络主机和虚拟主机之间的相似值；

步骤五、将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和，得到对应网络主机的节点静态脆弱性值；

步骤六、从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理；

步骤七、根据归一化处理后的网络主机之间访问关系矩阵和各个网络主机的节点静态脆弱性值，对各个网络主机进行节点脆弱性迭代处理，得到各个网络主机的节点脆弱性最终值。

进一步的，所述脆弱性要素包括主机、操作系统、端口、服务、漏洞和攻击类型。

进一步的，所述元路径包括第一元路径DOD、第二元路径DPD、第三元路径DPSPD、第四元路径DVD和第五元路径DVAVD；

所述第一元路径DOD为网络主机和虚拟主机之间安装有相同的操作系统；

所述第二元路径DPD为网络主机和虚拟主机之间开放有相同的端口；

所述第三元路径DPSPD为网络主机和虚拟主机之间开放有相同的服务；

所述第四元路径DVD为网络主机和虚拟主机之间存在相同的漏洞；

所述第五元路径DVAVD为网络主机和虚拟主机之间能够受到相同的攻击类型。

进一步的，步骤二中，所述虚拟主机的脆弱性值为1，即所述虚拟主机包含有计算机网络中所有的漏洞、端口、服务和操作系统。

进一步的，步骤七的具体实现过程为：

步骤71、设定各个网络主机的节点脆弱性初始值；

步骤72、按照如下公式，计算各个网络主机的节点脆弱性估计值；

其中，score(h _i )为第i个网络主机h _i 的节点脆弱性估计值；score ⁽⁰⁾ (h _j )为第j个网络主 机h _j 的节点脆弱性初始值，h _j ∈I(h _i )，I(h _i )为可以访问到第i个网络主机h _i 的主机集合；

为归一化处理后的网络主机之间访问关系矩阵中第i行第j列元素的值；α为权重值；vuln(h _i )为第i个网络主机h _i 的节点静态脆弱性值；其中，i=1,2,…,N， j=1,2…N，i≠j，N为 网络主机数；

步骤73、判断score(h _i )和score ⁽⁰⁾ (h _i )的差的绝对值是否小于阈值，如是，则将score (h _i )作为为第i个网络主机h _i 的节点脆弱性最终值，结束；如否，则将score(h _i )赋给对应网络主机的节点脆弱性初始值，返回步骤72。

为了达到上述目的之二，本发明采用如下技术方案实现：

一种存储介质，所述存储介质存储有程序指令；所述程序指令被执行时，实现上述所述的节点脆弱性估计方法。

为了达到上述目的之三，本发明采用如下技术方案实现：

一种基于异构信息网络的节点脆弱性估计系统，所述节点脆弱性估计系统包括上述所述的存储介质；

或者，

一种基于异构信息网络的节点脆弱性估计系统，所述节点脆弱性估计系统包括：

提取模块，用于从计算机网络中提取各个网络主机与对应的各个脆弱性要素之间、各个脆弱性要素之间的相互影响关系后构建异构信息网络；

设置模块，用于设置已知脆弱性值的虚拟主机；

邻接矩阵模块，用于根据异构信息网络以及虚拟主机，得到网络主机和虚拟主机在每条元路径下的邻接矩阵；

相似模块，用于根据网络主机和虚拟主机在每条元路径下的邻接矩阵，采用PathSim方法，计算各条元路径下每个网络主机和虚拟主机之间的相似值；

加权求和模块，用于将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和，得到对应网络主机的节点静态脆弱性值；

归一化处理模块，用于从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理；

迭代处理模块，用于根据归一化处理后的网络主机之间访问关系矩阵和各个网络主机的节点静态脆弱性值，对各个网络主机进行节点脆弱性迭代处理，得到各个网络主机的节点脆弱性最终值。

进一步的，所述迭代处理模块包括：

设定子模块，用于设定各个网络主机的节点脆弱性初始值；

计算子模块，用于按照如下公式，计算各个网络主机的节点脆弱性估计值；

其中，score(h _i )为第i个网络主机h _i 的节点脆弱性估计值；score ⁽⁰⁾ (h _j )为第j个网络主 机h _j 的节点脆弱性初始值，h _j ∈I(h _i )，I(h _i )为可以访问到第i个网络主机h _i 的主机集合；

为归一化处理后的网络主机之间访问关系矩阵中第i行第j列元素的值；α为权重值；vuln(h _i )为第i个网络主机h _i 的节点静态脆弱性值；其中，i=1,2,…,N， j=1,2…N，i≠j，N为 网络主机数；

判断子模块，用于判断score(h _i )和score ⁽⁰⁾ (h _i )的差的绝对值是否小于阈值，如是，则将score(h _i )作为为第i个网络主机h _i 的节点脆弱性最终值，结束；如否，则将score(h _i )赋给对应网络主机的节点脆弱性初始值后传输给所述计算子模块。

为了达到上述目的之四，本发明采用如下技术方案实现：

一种计算设备，所述计算设备包括处理器、存储器和总线；

所述存储器用于存储执行指令，所述处理器与所述存储器通过所述总线连接，当所述计算设备运行时，所述处理器执行所述存储器存储的所述执行指令，以使所述计算设备执行上述所述的节点脆弱性估计方法。

本发明的有益效果：

1、本发明通过异构信息网络，将影响网络主机脆弱性的各个脆弱性要素以及各个脆弱性要素之间相互影响的关系反映出来；利用网络主机和虚拟主机在每条元路径下的邻接矩阵，采用PathSim方法，计算网络主机和预先假设的虚拟主机在每条元路径下的相似值，将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和，得到对应网络主机的节点静态脆弱性值，该节点静态脆弱性值是从节点自身属性对节点脆弱性的影响进行考虑的；基于不同的元路径，既可以单独从某条元路径出发进行某一个角度的脆弱性的评估，又可以将多条元路径结合起来，从多个不同的角度进行脆弱性评估得到量化评估分值，具有高度的灵活性；本发明中的节点静态脆弱性值是从节点自身属性对节点脆弱性的影响进行考虑的；同时，在节点静态脆弱性值基础上，通过网络主机之间访问关系矩阵和节点脆弱性迭代处理，实现了影响节点的静态脆弱性要素和动态脆弱性要素的有机结合，保证了节点脆弱性估计结果的准确性。

2、本发明的异构信息网络具有较强的节点脆弱性表示建模能力和可扩展性。可以构建更加丰富和详细的基于知识本体的攻击行为描述网络模式图来进行攻击行为的建模，同时可以随时改变网络模式图来适应不同评估场景的需求，对于需要的网络要素可以随时加入，对于不需要的网络要素可以进行删除，这保证了模型的可扩展性。

3、本发明可以结合图数据库的存储能力和基于图的迭代排名的计算效率来进行大规模的网络节点脆弱性评估。

附图说明

图1为本发明的基于异构信息网络的节点脆弱性估计方法流程示意图；

图2为本发明中的异构信息网络示意图；

图3为计算机网络中各个网络主机之间相互访问关系示意图。

具体实施方式

以下结合附图对本发明的具体实施方式作出详细说明。

本实施例给出了一种基于异构信息网络的节点脆弱性估计方法，参考图1，该节点脆弱性估计方法包括如下步骤：

步骤一、从计算机网络中提取各个网络主机与对应的各个脆弱性要素之间、各个脆弱性要素之间的相互影响关系并构建异构信息网络。

本实施例中的脆弱性要素包括主机H、操作系统O、端口P、服务S、漏洞V、攻击类型A。本实施例以主机H、操作系统O、端口P、服务S、漏洞V、攻击类型A（漏洞导致的攻击）为节点类型，通过各个脆弱性要素之间的11种不同的相互影响关系（包括设备装有操作系统，设备开放端口，设备存在漏洞，设备访问设备，端口支持的服务，漏洞可以导致的攻击，以及各个脆弱性要素之间的逆关系），构建异构信息网络，如图2所示。

步骤二、设置已知脆弱性值的虚拟主机。

为了计算网络主机的节点脆弱性，本实施例假设在当前网络中存在一台虚拟主机，该虚拟主机拥有当前网络中的所有漏洞、开放所有端口、服务和操作系统，即该虚拟主机的脆弱性值优选为1。

步骤三、根据异构信息网络以及虚拟主机，得到网络主机和虚拟主机在每条元路径下的邻接矩阵。

本实施例中，元路径包括第一元路径DOD、第二元路径DPD、第三元路径DPSPD、第四元路径DVD和第五元路径DVAVD。其中，第一元路径DOD为网络主机和虚拟主机之间安装有相同的操作系统；第二元路径DPD为网络主机和虚拟主机之间开放有相同的端口；第三元路径DPSPD为网络主机和虚拟主机之间开放有相同的服务；第四元路径DVD为网络主机和虚拟主机之间存在相同的漏洞；第五元路径DVAVD为网络主机和虚拟主机之间能够受到相同的攻击类型，如表1所示：

表1元路径和对应的语义

编号	元路径	描述
			<i>P</i><sub>1</sub>	DOD	主机之间安装了相同的操作系统
<i>P</i><sub>2</sub>	DPD	主机之间开放了相同的端口
			<i>P</i><sub>3</sub>	DPSPD	主机开放了相同的服务
<i>P</i><sub>4</sub>	DVD	主机存在相同的漏洞
			<i>P</i><sub>5</sub>	DVAVD	主机可以受到相同的攻击类型

本实施例中，网络主机和虚拟主机在每条元路径下的邻接矩阵包括如表2所示的邻接矩阵：

表2 不同类型的邻接矩阵

假设漏洞关系为：网络主机1拥有漏洞1和漏洞2；网络主机2拥有漏洞1；网络主机3拥有漏洞2和漏洞3；网络主机4拥有漏洞3；网络主机5拥有漏洞4；虚拟主机具有漏洞1、漏洞2、漏洞3和漏洞4，则网络主机和虚拟主机与漏洞的关系如表3所示：

表3网络主机和虚拟主机与漏洞的关系表

	漏洞1	漏洞2	漏洞3	漏洞4
					网络主机1	1	1	0	0
网络主机2	1	0	0	0
					网络主机3	0	1	1	0
网络主机4	0	0	1	0
					网络主机5	0	0	0	1
虚拟主机6	1	1	1	1

根据表3，则网络主机和虚拟主机在第四条元路径DVD下的邻接矩阵W_DV及其转置矩阵W_VD分别为：

W_DV=（1，1，0，0，

1，0，0，0，

0，1，1，0，

0，0，1，0，

0，0，0，1，

1，1，1，1）

W_VD=（1，1，0，0，0，1，

1，0，1，0，0，1，

0，0，1，1，0，1，

0，0，0，0，1，1，）

步骤四、根据网络主机和虚拟主机在每条元路径下的邻接矩阵，采用PathSim方法，计算各条元路径下每个网络主机和虚拟主机之间的相似值。

本实施例采用如下公式，计算每条元路径下各个网络主机和虚拟主机之间的相似值：

；

；

其中，S _P (i,j)为第P条元路径下网络主机i和虚拟主机j之间的相似值，P分别为第一元路径DOD、第二元路径DPD、第三元路径DPSPD、第四元路径DVD和第五元路径DVAVD；M _P 为第P条元路径下的交换矩阵；M _P(i,i) 、M _P(j,j) 和M _P(i,j) 分别为第P条元路径下的的交换矩阵M _P 中的第i行第i列、第j行第j列和第i行第j列的元素值；W _Ai,Ai+1为对应元路径下第i和i+1个节点类型的邻接矩阵；W _{Al+2-j,Al+1-j} 为对应元路径下第l+2-j和l+1-j个节点类型的邻接矩阵；i=1,2,...,l-1，j=2,3,...,l，l为第P条元路径下的节点类型数量。

如：M_DVD=W_DV*W_VD；

M_DVD=（2，1，1，0，0，2，

1，1，0，0，0，1，

1，0，2，1，0，2，

0，0，1，1，0，1，

0，0，0，0，1，1，

2，1，2，1，1，4，）

可得到在元路径DVD下，主机1~5和虚拟主机6之间的相似值分别为2/3、2/5、2/3、2/5和2/5。按照上述公式，可得到在其他元路径下，主机1~5和虚拟主机6之间的相似值。

步骤五、将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和，得到对应网络主机的节点静态脆弱性值。

本实施例将不同元路径下的对应的相似值进行加权求和，得到对应网络主机的节点静态脆弱性值。

步骤六、从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理。

如图3所示的计算机网络中各个网络主机之间相互访问关系，解析后可采用表4表示：

表4

访问关系	1	2	3	4	5
						1	0	0	0	0	0
2	1	0	0	0	0
						3	0	1	0	0	0
4	0	1	1	0	1
						5	1	0	0	0	0

网络主机之间访问关系矩阵为：

W_DD=（0，0，0，0，0，

1，0，0，0，0，

0，1，0，0，0，

0，1，1，0，1，

1，0，0，0，0，）

归一化处理后的网络主机之间访问关系矩阵为：

（0，0，0，0，0，

1/2，0，0，0，0，

0，1/2，0，0，0，

0，1/2，1，0，1，

1/2，0，0，0，0，）

步骤七、根据归一化处理后的网络主机之间访问关系矩阵和各个网络主机的节点静态脆弱性值，对各个网络主机进行节点脆弱性迭代处理，得到各个网络主机的节点脆弱性最终值。

在得到静态节点脆弱性分值后，本实施例提出使用如下权威排名准则：一台主机的脆弱性分值越高，则这台主机可访问的其他主机的脆弱性越高；一台主机可以被越多脆弱性分值高的主机访问，则这台主机的脆弱性分值越高。本步骤的具体实现过程为：

步骤71、设定各个网络主机的节点脆弱性初始值；

步骤72、按照如下公式，计算各个网络主机的节点脆弱性估计值；

；

其中，score(h _i )为第i个网络主机h _i 的节点脆弱性估计值；score ⁽⁰⁾ (h _j )为第j个网络主 机h _j 的节点脆弱性初始值，h _j ∈I(h _i )，I(h _i )为可以访问到第i个网络主机h _i 的主机集合；

为归一化处理后的网络主机之间访问关系矩阵中第i行第j列元素的值；α为权重值；vuln(h _i )为第i个网络主机h _i 的节点静态脆弱性值；其中，i=1,2,…,N， j=1,2…N，i≠j，N为 网络主机数；

步骤73、判断score(h _i )和score ⁽⁰⁾ (h _i )的差的绝对值是否小于阈值，如是，则将score (h _i )作为为第i个网络主机h _i 的节点脆弱性最终值，结束；如否，则将score(h _i )赋给对应网络主机的节点脆弱性初始值，返回步骤72，其中，阈值一般优选为10^-7。

本实施例通过异构信息网络，将影响网络主机脆弱性的各个脆弱性要素以及各个脆弱性要素之间相互影响的关系反映出来；利用网络主机和虚拟主机在每条元路径下的邻接矩阵，采用PathSim方法，计算网络主机和预先假设的虚拟主机在每条元路径下的相似值，将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和，得到对应网络主机的节点静态脆弱性值，该节点静态脆弱性值是从节点自身属性对节点脆弱性的影响进行考虑的；基于不同的元路径，既可以单独从某条元路径出发进行某一个角度的脆弱性的评估，又可以将多条元路径结合起来，从多个不同的角度进行脆弱性评估得到量化评估分值，具有高度的灵活性；本实施例中的节点静态脆弱性值是从节点自身属性对节点脆弱性的影响进行考虑的；同时，在节点静态脆弱性值基础上，通过网络主机之间访问关系矩阵和节点脆弱性迭代处理，实现了影响节点的静态脆弱性要素和动态脆弱性要素的有机结合，保证了节点脆弱性估计结果的准确性；本实施例的异构信息网络具有较强的节点脆弱性表示建模能力和可扩展性。可以构建更加丰富和详细的基于知识本体的攻击行为描述网络模式图来进行攻击行为的建模，同时可以随时改变网络模式图来适应不同评估场景的需求，对于需要的网络要素可以随时加入，对于不需要的网络要素可以进行删除，这保证了模型的可扩展性；本实施例可以结合图数据库的存储能力和基于图的迭代排名的计算效率来进行大规模的网络节点脆弱性评估。

另一实施例给出了一种存储介质，该存储介质存储有程序指令；所述程序指令被执行时，实现上述实施例给出的节点脆弱性估计方法。

又一实施例给出了一种基于异构信息网络的节点脆弱性估计系统，该节点脆弱性估计系统包括上述实施例给出的存储介质。

再一实施例给出了一种基于异构信息网络的节点脆弱性估计系统，该节点脆弱性估计系统包括：

提取模块，用于从计算机网络中提取各个网络主机与对应的各个脆弱性要素之间、各个脆弱性要素之间的相互影响关系后构建异构信息网络；

设置模块，用于设置已知脆弱性值的虚拟主机；

邻接矩阵模块，用于根据异构信息网络以及虚拟主机，得到网络主机和虚拟主机在每条元路径下的邻接矩阵；

相似模块，用于根据网络主机和虚拟主机在每条元路径下的邻接矩阵，采用PathSim方法，计算各条元路径下每个网络主机和虚拟主机之间的相似值；

加权求和模块，用于将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和，得到对应网络主机的节点静态脆弱性值；

归一化处理模块，用于从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理；

迭代处理模块，用于根据归一化处理后的网络主机之间访问关系矩阵和各个网络主机的节点静态脆弱性值，对各个网络主机进行节点脆弱性迭代处理，得到各个网络主机的节点脆弱性最终值。本实施例的迭代处理模块模块包括：

设定子模块，用于设定各个网络主机的节点脆弱性初始值；

计算子模块，用于按照如下公式，计算各个网络主机的节点脆弱性估计值；

其中，score(h _i )为第i个网络主机h _i 的节点脆弱性估计值；score ⁽⁰⁾ (h _j )为第j个网络主 机h _j 的节点脆弱性初始值，h _j ∈I(h _i )，I(h _i )为可以访问到第i个网络主机h _i 的主机集合；

为归一化处理后的网络主机之间访问关系矩阵中第i行第j列元素的值；α为权重值；vuln(h _i )为第i个网络主机h _i 的节点静态脆弱性值；其中，i=1,2,…,N， j=1,2…N，i≠j，N为 网络主机数；

判断子模块，用于判断score(h _i )和score ⁽⁰⁾ (h _i )的差的绝对值是否小于阈值，如是，则将score(h _i )作为为第i个网络主机h _i 的节点脆弱性最终值，结束；如否，则将score(h _i )赋给对应网络主机的节点脆弱性初始值后传输给所述计算子模块，其中，阈值一般优选为10^-7。

再一实施例给出了一种计算设备，所述计算设备包括处理器、存储器和总线；

所述存储器用于存储执行指令，所述处理器与所述存储器通过所述总线连接，当所述计算设备运行时，所述处理器执行所述存储器存储的所述执行指令，以使所述计算设备执行上述实施例给出的节点脆弱性估计方法。

以上实施方式仅用以说明本发明实施例的技术方案而非限制，尽管参照以上较佳实施方式对本发明实施例进行了详细说明，本领域的普通技术人员应当理解，可以对本发明实施例的技术方案进行修改或等同替换都不应脱离本发明实施例的技术方案的精神和范围。

Claims (10)

1.一种基于异构信息网络的节点脆弱性估计方法，其特征在于，所述节点脆弱性估计方法包括如下步骤：

步骤一、从计算机网络中提取各个网络主机与对应的各个脆弱性要素之间、各个脆弱性要素之间的相互影响关系后构建异构信息网络；

步骤二、设置已知脆弱性值的虚拟主机；

步骤三、根据异构信息网络以及虚拟主机，得到网络主机和虚拟主机在每条元路径下的邻接矩阵；

步骤四、根据网络主机和虚拟主机在每条元路径下的邻接矩阵，采用PathSim方法，计算各条元路径下每个网络主机和虚拟主机之间的相似值；

步骤五、将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和，得到对应网络主机的节点静态脆弱性值；

步骤六、从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理；

步骤七、根据归一化处理后的网络主机之间访问关系矩阵和各个网络主机的节点静态脆弱性值，对各个网络主机进行节点脆弱性迭代处理，得到各个网络主机的节点脆弱性最终值。

2.根据权利要求1所述的节点脆弱性估计方法，其特征在于，所述脆弱性要素包括主机、操作系统、端口、服务、漏洞和攻击类型。

3.根据权利要求2所述的节点脆弱性估计方法，其特征在于，所述元路径包括第一元路径DOD、第二元路径DPD、第三元路径DPSPD、第四元路径DVD和第五元路径DVAVD；

所述第一元路径DOD为网络主机和虚拟主机之间安装有相同的操作系统；

所述第二元路径DPD为网络主机和虚拟主机之间开放有相同的端口；

所述第三元路径DPSPD为网络主机和虚拟主机之间开放有相同的服务；

所述第四元路径DVD为网络主机和虚拟主机之间存在相同的漏洞；

所述第五元路径DVAVD为网络主机和虚拟主机之间能够受到相同的攻击类型。

4.根据权利要求1~3中任意一项所述的节点脆弱性估计方法，其特征在于，步骤二中，所述虚拟主机的脆弱性值为1，即所述虚拟主机包含有计算机网络中所有的漏洞、端口、服务和操作系统。

5.根据权利要求1~3中任意一项所述的节点脆弱性估计方法，其特征在于，步骤七的具体实现过程为：

步骤71、设定各个网络主机的节点脆弱性初始值；

步骤72、按照如下公式，计算各个网络主机的节点脆弱性估计值；

其中，score(h _i )为第i个网络主机h _i 的节点脆弱性估计值；score ⁽⁰⁾ (h _j )为第j个网络主 机h _j 的节点脆弱性初始值，h _j ∈I(h _i )，I(h _i )为可以访问到第i个网络主机h _i 的主机集合；

为归一化处理后的网络主机之间访问关系矩阵中第i行第j列元素的值；α为权重值；vuln(h _i )为第i个网络主机h _i 的节点静态脆弱性值；其中，i=1,2,…,N， j=1,2…N，i≠j，N为 网络主机数；

步骤73、判断score(h _i )和score ⁽⁰⁾ (h _i )的差的绝对值是否小于阈值，如是，则将score (h _i )作为为第i个网络主机h _i 的节点脆弱性最终值，结束；如否，则将score(h _i )赋给对应网络主机的节点脆弱性初始值，返回步骤72。

6.一种存储介质，其特征在于，所述存储介质存储有程序指令；所述程序指令被执行时，实现权利要求1~5中任意一项所述的节点脆弱性估计方法。

7.一种基于异构信息网络的节点脆弱性估计系统，其特征在于，所述节点脆弱性估计系统包括权利要求6所述的存储介质。

8.一种基于异构信息网络的节点脆弱性估计系统，其特征在于，所述节点脆弱性估计系统包括：

提取模块，用于从计算机网络中提取各个网络主机与对应的各个脆弱性要素之间、各个脆弱性要素之间的相互影响关系后构建异构信息网络；

设置模块，用于设置已知脆弱性值的虚拟主机；

邻接矩阵模块，用于根据异构信息网络以及虚拟主机，得到网络主机和虚拟主机在每条元路径下的邻接矩阵；

相似模块，用于根据网络主机和虚拟主机在每条元路径下的邻接矩阵，采用PathSim方法，计算各条元路径下每个网络主机和虚拟主机之间的相似值；

加权求和模块，用于将各条元路径下的对应网络主机和虚拟主机之间的相似值进行加权求和，得到对应网络主机的节点静态脆弱性值；

归一化处理模块，用于从计算机网络中提取各个网络主机之间相互访问关系后构建网络主机之间访问关系矩阵并进行归一化处理；

迭代处理模块，用于根据归一化处理后的网络主机之间访问关系矩阵和各个网络主机的节点静态脆弱性值，对各个网络主机进行节点脆弱性迭代处理，得到各个网络主机的节点脆弱性最终值。

9.根据权利要求8所述的节点脆弱性估计系统，其特征在于，所述迭代处理模块模块包括：

设定子模块，用于设定各个网络主机的节点脆弱性初始值；

计算子模块，用于按照如下公式，计算各个网络主机的节点脆弱性估计值；

其中，score(h _i )为第i个网络主机h _i 的节点脆弱性估计值；score ⁽⁰⁾ (h _j )为第j个网络主 机h _j 的节点脆弱性初始值，h _j ∈I(h _i )，I(h _i )为可以访问到第i个网络主机h _i 的主机集合；

为归一化处理后的网络主机之间访问关系矩阵中第i行第j列元素的值；α为权重值；vuln(h _i )为第i个网络主机h _i 的节点静态脆弱性值；其中，i=1,2,…,N， j=1,2…N，i≠j，N为 网络主机数；

判断子模块，用于判断score(h _i )和score ⁽⁰⁾ (h _i )的差的绝对值是否小于阈值，如是，则将score(h _i )作为为第i个网络主机h _i 的节点脆弱性最终值，结束；如否，则将score(h _i )赋给对应网络主机的节点脆弱性初始值后传输给所述计算子模块。

10.一种计算设备，其特征在于，所述计算设备包括处理器、存储器和总线；

所述存储器用于存储执行指令，所述处理器与所述存储器通过所述总线连接，当所述计算设备运行时，所述处理器执行所述存储器存储的所述执行指令，以使所述计算设备执行权利要求1~5中任意一项所述的节点脆弱性估计方法。

Images