CN112217838A - 一种基于云模型理论的网络攻击面评估方法 - Google Patents
一种基于云模型理论的网络攻击面评估方法 Download PDFInfo
- Publication number
- CN112217838A CN112217838A CN202011200596.1A CN202011200596A CN112217838A CN 112217838 A CN112217838 A CN 112217838A CN 202011200596 A CN202011200596 A CN 202011200596A CN 112217838 A CN112217838 A CN 112217838A
- Authority
- CN
- China
- Prior art keywords
- cloud
- attack surface
- follows
- network
- dimensional
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于云模型理论的网络攻击面评估方法。该方法:首先,借鉴系统攻击面的三元组体系,根据影响网络攻击面的因素构建了层次型评估指标体系,结合攻击扫描数据定义了基础指标量化方式;其次,通过AHP的判断矩阵和专家经验法,计算各指标权重值,建立各指标和网络攻击面的关联性;最终,通过云模型相关法算法和设定的评语集对各指标及网络攻击面进行量化分析,得到量化值和评估结果。本发明有助于防御者直观了解网络攻击面及其组成元素的危害性大小,能直观判断面向网络攻击的动态防御机制的有效性。
Description
技术领域
本发明涉及网络安全技术领域,特别是一种基于云模型理论的网络攻击面评估方法。
背景技术
网络攻击相比以往呈现出了高频率、速度快、多样化、规模大等特点,面对愈演愈烈的网络攻防情况,传统防御系统如入侵检测、防火墙、漏洞扫描等容易被攻击绕过,显得十分被动。网络攻击可根据攻击目标分为面向数据、面向软件、面向平台、面向网络的攻击,其中面向网络的攻击事件发生频率最高,破坏规模大。在主动防御技术的多个研究方向中,动态防御技术能从机制上彻底改变传统系统防护的脆弱性,提升系统防御性能。
防御能力评估用于判断验证动态防御机制的有效性,评估结果为具体动态防御机制的设计和防御策略选择提供参考与指导,是动态防御技术的一项重要基础支撑技术。通过分析网络攻击面的变化能直观判断面向网络攻击的动态防御机制的有效性。然而,目前关于攻击面的评估研究以定性分析为主,少有的量化研究只对基础指标进行量化,缺乏基础指标和攻击面的关联,未对攻击面量化,而且网络攻击面评估体系的研究少。
综上,本发明本文借鉴系统攻击面的三元组分析法,构建一个层次型的网络攻击面评估体系,提出了基于云模型和层次分析法的网络攻击面评估模型,通过分析网络攻击面的变化能直观判断面向网络攻击的动态防御机制的有效性。
发明内容
本发明的目的在于提供一种基于云模型理论的网络攻击面评估方法,通过分析网络攻击面的变化能直观判断面向网络攻击的动态防御机制的有效性。
为实现上述目的,本发明的技术方案是:一种基于云模型理论的网络攻击面评估方法,包括如下步骤:
步骤S1、确定网络攻击面评估指标体系;
步骤S2、根据扫描数据对基础指标量化,得到待评估基础指标的一维云数字特征;
步骤S3、结合待评估的一维云数字特征和设定好的一维云评语集数字特征,通过相似度计算得到一维云的评估结果;
步骤S4、通过AHP计算评估体系中各层次各指标的权重值;
步骤S5、结合各层次各指标权重值和一维云数字特征,得到待评估的网络攻击面和漏洞、端口、方法攻击面的多维云重心加权偏离度;
步骤S6、结合待评估多维云的加权偏离度和设定好的多维云评语集数字特征,通过隶属度计算得到多维云的评估结果。
在本发明一实施例中,步骤S1中,网络攻击面评估指标体系是根据影响网络攻击面的因素构建的,影响网络攻击面的因素分为三大类:
漏洞攻击面:影响漏洞攻击面的指标有漏洞数量、漏洞评分、高危漏洞,这些指标的变化会影响漏洞攻击面的变化,进而影响网络攻击面的变化;
端口攻击面:影响端口攻击面的指标有服务数量、开放端口,这些指标的变化会影响端口攻击面的变化,进而影响网络攻击面的变化;
方法攻击面:影响方法攻击面的指标有真实IP、访问成功,这些指标的变化会影响方法攻击面的变化,进而影响网络攻击面的变化。
在本发明一实施例中,所述步骤S2具体实现如下:
步骤S21、通过扫描工具获取扫描数据,并根据扫描数据对基础指标量化;
步骤S22、基于步骤S21得到待评估基础指标的一维云数字特征C(Ex,En,He),Ex表示量化数据的期望值,En表示扫描时间范围内的Ex不确定性度量,即在该时间范围内,En值是有轻微波动的,He是En的不确定性度量,即En和He都是刻画一时间段内Ex值的波动情况,En和He的值越小,则时间段越靠近一具体时刻;因为各指标均是在同一时间段测量的,所以各自的En和He值应设定为同一数值。
在本发明一实施例中,步骤S21中,对基础指标量化如下:
漏洞数量:攻击者通过漏洞扫描工具获取网络拓扑中各主机漏洞数量之和;vul是网络拓扑中扫描到的漏洞数量,Svul是网络拓扑中存在的漏洞总数,Pvul是vul在Svul中所占的比例,计算公式如下:
漏洞评分:查询所得的漏洞在CVE漏洞库中有记录;每个漏洞根据CVSS评分标准有各自的评分,评分范围0~10,根据漏洞代码查询其分值,vs是网络拓扑中扫描到漏洞的评分之和,Svs是网络拓扑中存在的漏洞评分之和,Pvs是vs在Svs中所占的比例,计算公式如下:
高危漏洞:根据CVSS评分标准,漏洞危险性分为高、中、低三个级别;hrv是网络拓扑中扫描到的高危险性漏洞数量,vul是网络拓扑中扫描到的漏洞数量,Phrv是hrv在vul中所占的比例,计算公式如下:
服务数量:攻击者通过端口扫描工具获取网络拓扑中各主机使用服务数量之和;ns是网络拓扑中扫描到的各主机服务数量之和,Sns是网络拓扑中各主机服务数量之和,Pns是ns在Sns中所占的比例,计算公式如下:
开放端口:攻击者通过端口扫描工具获取网络拓扑中各主机开放端口数量之和;op是网络拓扑中扫描到的各主机开放端口数量之和,Sop是网络拓扑中各主机开放端口数量之和,Pop是op在Sop中所占的比例,计算公式如下:
真实IP:攻击面通过扫描工具获取网络拓扑中主机真实IP个数;rIP为网络拓扑中扫描所得的真实IP个数,n为网络拓扑中主机个数,也是网络拓扑中真实IP个数,PrIP是rIP在n中所占的比例,计算公式如下:
访问成功:攻击者尝试与网络中的主机通信时成功访问的主机个数;sa表示访问成功主机个数,n为网络拓扑中主机个数,Psa是sa在n中所占的比例,计算公式如下:
在本发明一实施例中,所述步骤S3具体实现如下:
步骤S31、采用统一的一维评语集{E,D,C,B,A},评语从E到A,指标威胁程度上升;
步骤S32、用相似度算法计算各基础指标云和各评语云的相似度,具体如下:
步骤S321、通过正向云发生器,云C和n个比较云Ci各生成N个云滴drop,dropi,i∈[1,n];云滴生成公式如下:
Eni'=norm(En,He2);xi=norm(Ex,Eni'2)
步骤S322、对drop和dropi进行筛选,只取在各自[Ex-3En,Ex+3En]范围内的云滴,并对筛选后云滴进行升序排序,取drop和dropi个数的最小值为循环次数,依次进行计算两云滴的归一化距离,公式如下:
结束循环后,再计算云C和比较云Ci的相似度值Si,计算公式为:
步骤S323、比较云C和各个比较云的Ci的相似度值,得到最相似的云;
步骤S33、根据相似度值得到评估结果。
在本发明一实施例中,所述步骤S4具体实现如下:
步骤S41、依据被分析的复杂问题本质,建立层次化结构模型,从上而下依次是目标层、准则层、方案层;其中目标层在最顶层,最底层的是方案层,中间是准则层,准则层可以有多层;网络攻击面评估指标体系中,网络攻击面是目标层,漏洞、端口、方法是准则层,基础指标是方案层;
步骤S42、根据网络攻击面评估体系和专家经验法构造各层次判断矩阵;
步骤S43、根据各层次判断矩阵计算各层次的权重值,并对3阶矩阵进行一致性检验,一致性检验均通过,得到各层次权重值;
步骤S44、通过相邻上下层次间的权重相乘,能得到各基础指标在目标层中所占的权重。
在本发明一实施例中,步骤S42中,判断矩阵如下:
其中用aij表示i对j相比的重要程度,依据Satty的1~9标度法构造判断矩阵,在相邻的层次间,将有关联的下层指标进行两两比较,aij=1表示i与j重要性相同,aij=3表示i比j稍显重要,aij=5表示i比j明显重要,aij=7表示i比j非常重要,aij=9表示i比j绝对重要,aij=2k(k=1,2,3,4)表示i与j比较,重要性在以上两个相邻标度之间。
在本发明一实施例中,所述步骤S43具体实现如下:
步骤S432、对3阶矩阵进行一致性检验,一致性检验是指对A确定不一致的允许范围,因为λmax≥n,当且仅当λmax=n时,A为一致性矩阵,n为特征向量所对应的特征值,因此λmax越大,则A的一致性越低,造成的判断误差越大,用λmax-n大小来衡量A的不一致性程度,定义一致性指标公式如下:
为了衡量CI的大小,引入随机一致性指标RI,将CI和RI进行比较,得到检验系数CR,检验公式如下,若CR≤0.1,则通过一致性检验,否则重新构造检验失败的判断矩阵直到通过一致性检验;
RI与矩阵的阶数有关,只有对3阶及3阶以上的判断矩阵进行一致性检验时采用检验系数评判。
在本发明一实施例中,所述步骤S5具体实现如下:
步骤S51、计算多维云的云重心向量;云重心的定义为T=Ex×w,T表示云重心,Ex表示组成该多维云的所有一维云的Ex,w表示各一维云在组成该多维云时所占的权重;当权重不变时,所有一维云的Ex取最大值时是正理想状态云重心,所有一维云的Ex取最小值时是负理想状态云重心;n维云的云重心用n维向量Ti=Exi×wi表示;设负理想状态下云重心向量为正理想状态下云重心向量为将Ti进行归一化处理,得到归一化后云重心向量归一化公式如下:
步骤S52、通过加权偏离度算法将归一化后的云重心向量处理成一个数值θ,θ值的大小表示和被比较的理想状态偏离程度,其计算公式如下:
在本发明一实施例中,所述步骤S6具体实现如下:
通过X条件云发生器,计算多维云和评语集中各评语云的隶属度;通过加权偏离度计算得到的θ值即为隶属度算法中X条件云发生器的输入x;隶属度计算公式如下:
得到x和各个比较云的隶属度,进行升序排序,计算最大隶属度和次大隶属度的差值,如果差值大于阈值δ选取隶属度最大的云,否则随机选择最大隶属度云和次大隶属度云;得到评估结果。
相较于现有技术,本发明具有以下有益效果:本发明提出了一种基于层次分析法和云模型的网络攻击面的评估方法,该评估体系具有良好的通用性和扩展性,评估结果为防御者直观展示了各指标的威胁程度,并可用于验证防御机制的有效性和计算不同博弈情况下的防御策略有效性。
附图说明
图1为本发明实施例的网络攻击面评估指标体系。
图2为本发明实施例的网络攻击面评估流程图。
具体实施方式
下面结合附图,对本发明的技术方案进行具体说明。
本发明提供了一种基于云模型理论的网络攻击面评估方法,所述方法基于层次分析法和云模型理论,实现了网络攻击面的量化评估。首先,借鉴系统攻击面的三元组体系,根据影响网络攻击面的因素构建了层次型评估指标体系,结合攻击扫描数据定义了基础指标量化方式。其次,通过AHP的判断矩阵和专家经验法,计算各指标权重值,建立各指标和网络攻击面的关联性。最终,通过云模型相关法算法和设定的评语集对各指标及网络攻击面进行量化分析,得到量化值和评估结果。该评估过程具体包括以下步骤:
步骤S1、确定网络攻击面评估指标体系;
步骤S2、根据扫描数据对基础指标量化,得到待评估基础指标的一维云数字特征;
步骤S3、结合待评估的一维云数字特征和设定好的一维云评语集数字特征,通过相似度计算得到一维云的评估结果;
步骤S4、通过AHP计算评估体系中各层次各指标的权重值;
步骤S5、结合各层次各指标权重值和一维云数字特征,得到待评估的网络攻击面和漏洞、端口、方法攻击面的多维云重心加权偏离度;
步骤S6、结合待评估多维云的加权偏离度和设定好的多维云评语集数字特征,通过隶属度计算得到多维云的评估结果。
进一步地,步骤S1中,网络攻击面评估指标体系是根据影响网络攻击面的因素构建的,影响网络攻击面的因素分为三大类:
漏洞攻击面:影响漏洞攻击面的指标有漏洞数量、漏洞评分、高危漏洞,这些指标的变化会影响漏洞攻击面的变化,进而影响网络攻击面的变化;
端口攻击面:影响端口攻击面的指标有服务数量、开放端口,这些指标的变化会影响端口攻击面的变化,进而影响网络攻击面的变化;
方法攻击面:影响方法攻击面的指标有真实IP、访问成功,这些指标的变化会影响方法攻击面的变化,进而影响网络攻击面的变化。
进一步地,步骤S2具体实现如下:
步骤S21、通过扫描工具如nessus、nmap获取扫描数据,并根据扫描数据对基础指标量化;
步骤S22、基于步骤S21得到待评估基础指标的一维云数字特征C(Ex,En,He),Ex表示量化数据的期望值,En表示扫描时间范围内的Ex不确定性度量,即在该时间范围内,En值是有轻微波动的,He是En的不确定性度量,即En和He都是刻画一时间段内Ex值的波动情况,En和He的值越小,则时间段越靠近一具体时刻;因为各指标均是在同一时间段测量的,所以各自的En和He值应设定为同一数值。
进一步地,步骤S21中,对基础指标量化如下:
漏洞数量:攻击者通过漏洞扫描工具获取网络拓扑中各主机漏洞数量之和;vul是网络拓扑中扫描到的漏洞数量,Svul是网络拓扑中存在的漏洞总数,Pvul是vul在Svul中所占的比例,计算公式如下:
漏洞评分:查询所得的漏洞在CVE漏洞库中有记录;每个漏洞根据CVSS评分标准有各自的评分,评分范围0~10,在美国国家漏洞数据库(NVD)中可根据漏洞代码查询其分值,vs是网络拓扑中扫描到漏洞的评分之和,Svs是网络拓扑中存在的漏洞评分之和,Pvs是vs在Svs中所占的比例,计算公式如下:
高危漏洞:根据CVSS评分标准,漏洞危险性分为高、中、低三个级别;hrv是网络拓扑中扫描到的高危险性漏洞数量,vul是网络拓扑中扫描到的漏洞数量,Phrv是hrv在vul中所占的比例,计算公式如下:
服务数量:攻击者通过端口扫描工具获取网络拓扑中各主机使用服务数量之和;ns是网络拓扑中扫描到的各主机服务数量之和,Sns是网络拓扑中各主机服务数量之和,Pns是ns在Sns中所占的比例,计算公式如下:
开放端口:攻击者通过端口扫描工具获取网络拓扑中各主机开放端口数量之和;op是网络拓扑中扫描到的各主机开放端口数量之和,Sop是网络拓扑中各主机开放端口数量之和,Pop是op在Sop中所占的比例,计算公式如下:
真实IP:攻击面通过扫描工具获取网络拓扑中主机真实IP个数;rIP为网络拓扑中扫描所得的真实IP个数,n为网络拓扑中主机个数,也是网络拓扑中真实IP个数,PrIP是rIP在n中所占的比例,计算公式如下:
访问成功:攻击者尝试与网络中的主机通信时成功访问的主机个数;sa表示访问成功主机个数,n为网络拓扑中主机个数,Psa是sa在n中所占的比例,计算公式如下:
进一步地,步骤S3具体实现如下:
步骤S31、采用统一的一维评语集{E,D,C,B,A},评语从E到A,指标威胁程度上升;
步骤S32、用相似度算法计算各基础指标云和各评语云的相似度,具体如下:
步骤S321、通过正向云发生器,云C和n个比较云Ci各生成N个云滴drop,dropi,i∈[1,n];云滴生成公式如下:
Eni'=norm(En,He2);xi=norm(Ex,Eni'2)
步骤S322、对drop和dropi进行筛选,只取在各自[Ex-3En,Ex+3En]范围内的云滴,并对筛选后云滴进行升序排序,取drop和dropi个数的最小值为循环次数,依次进行计算两云滴的归一化距离,公式如下:
结束循环后,再计算云C和比较云Ci的相似度值Si,计算公式为:
步骤S323、比较云C和各个比较云的Ci的相似度值,得到最相似的云;
步骤S33、根据相似度值得到评估结果。
进一步地,步骤S4具体实现如下:
步骤S41、依据被分析的复杂问题本质,建立层次化结构模型,从上而下依次是目标层、准则层、方案层;其中目标层在最顶层,最底层的是方案层,中间是准则层,准则层可以有多层;网络攻击面评估指标体系中,网络攻击面是目标层,漏洞、端口、方法是准则层,基础指标是方案层;
步骤S42、根据网络攻击面评估体系和专家经验法构造各层次判断矩阵;
步骤S43、根据各层次判断矩阵计算各层次的权重值,并对3阶矩阵进行一致性检验,一致性检验均通过,得到各层次权重值;
步骤S44、通过相邻上下层次间的权重相乘,能得到各基础指标在目标层中所占的权重。
进一步地,步骤S42中,判断矩阵如下:
其中用aij表示i对j相比的重要程度,依据Satty的1~9标度法构造判断矩阵,在相邻的层次间,将有关联的下层指标进行两两比较,aij=1表示i与j重要性相同,aij=3表示i比j稍显重要,aij=5表示i比j明显重要,aij=7表示i比j非常重要,aij=9表示i比j绝对重要,aij=2k(k=1,2,3,4)表示i与j比较,重要性在以上两个相邻标度之间。
进一步地,步骤S43具体实现如下:
步骤S432、对3阶矩阵进行一致性检验,一致性检验是指对A确定不一致的允许范围,因为λmax≥n,当且仅当λmax=n时,A为一致性矩阵,n为特征向量所对应的特征值,因此λmax越大,则A的一致性越低,造成的判断误差越大,用λmax-n大小来衡量A的不一致性程度,定义一致性指标公式如下:
为了衡量CI的大小,引入随机一致性指标RI,将CI和RI进行比较,得到检验系数CR,检验公式如下,若CR≤0.1,则通过一致性检验,否则重新构造检验失败的判断矩阵直到通过一致性检验;
RI与矩阵的阶数有关,只有对3阶及3阶以上的判断矩阵进行一致性检验时采用检验系数评判。
进一步地,步骤S5具体实现如下:
步骤S51、计算多维云的云重心向量;云重心的定义为T=Ex×w,T表示云重心,Ex表示组成该多维云的所有一维云的Ex,w表示各一维云在组成该多维云时所占的权重;当权重不变时,所有一维云的Ex取最大值时是正理想状态云重心,所有一维云的Ex取最小值时是负理想状态云重心;n维云的云重心用n维向量Ti=Exi×wi表示;设负理想状态下云重心向量为正理想状态下云重心向量为将Ti进行归一化处理,得到归一化后云重心向量归一化公式如下:
步骤S52、通过加权偏离度算法将归一化后的云重心向量处理成一个数值θ,θ值的大小表示和被比较的理想状态偏离程度,其计算公式如下:
进一步地,步骤S6具体实现如下:
通过X条件云发生器,计算多维云和评语集中各评语云的隶属度;通过加权偏离度计算得到的θ值即为隶属度算法中X条件云发生器的输入x;隶属度计算公式如下:
得到x和各个比较云的隶属度,进行升序排序,计算最大隶属度和次大隶属度的差值,如果差值大于阈值δ选取隶属度最大的云,否则随机选择最大隶属度云和次大隶属度云;得到评估结果。
以上是本发明的较佳实施例,凡依本发明技术方案所作的改变,所产生的功能作用未超出本发明技术方案的范围时,均属于本发明的保护范围。
Claims (10)
1.一种基于云模型理论的网络攻击面评估方法,其特征在于,包括如下步骤:
步骤S1、确定网络攻击面评估指标体系;
步骤S2、根据扫描数据对基础指标量化,得到待评估基础指标的一维云数字特征;
步骤S3、结合待评估的一维云数字特征和设定好的一维云评语集数字特征,通过相似度计算得到一维云的评估结果;
步骤S4、通过AHP计算评估体系中各层次各指标的权重值;
步骤S5、结合各层次各指标权重值和一维云数字特征,得到待评估的网络攻击面和漏洞、端口、方法攻击面的多维云重心加权偏离度;
步骤S6、结合待评估多维云的加权偏离度和设定好的多维云评语集数字特征,通过隶属度计算得到多维云的评估结果。
2.根据权利要求1所述的一种基于云模型理论的网络攻击面评估方法,其特征在于,步骤S1中,网络攻击面评估指标体系是根据影响网络攻击面的因素构建的,影响网络攻击面的因素分为三大类:
漏洞攻击面:影响漏洞攻击面的指标有漏洞数量、漏洞评分、高危漏洞,这些指标的变化会影响漏洞攻击面的变化,进而影响网络攻击面的变化;
端口攻击面:影响端口攻击面的指标有服务数量、开放端口,这些指标的变化会影响端口攻击面的变化,进而影响网络攻击面的变化;
方法攻击面:影响方法攻击面的指标有真实IP、访问成功,这些指标的变化会影响方法攻击面的变化,进而影响网络攻击面的变化。
3.根据权利要求1所述的一种基于云模型理论的网络攻击面评估方法,其特征在于,所述步骤S2具体实现如下:
步骤S21、通过扫描工具获取扫描数据,并根据扫描数据对基础指标量化;
步骤S22、基于步骤S21得到待评估基础指标的一维云数字特征C(Ex,En,He),Ex表示量化数据的期望值,En表示扫描时间范围内的Ex不确定性度量,即在该时间范围内,En值是有轻微波动的,He是En的不确定性度量,即En和He都是刻画一时间段内Ex值的波动情况,En和He的值越小,则时间段越靠近一具体时刻;因为各指标均是在同一时间段测量的,所以各自的En和He值应设定为同一数值。
4.根据权利要求2所述的一种基于云模型理论的网络攻击面评估方法,其特征在于,步骤S21中,对基础指标量化如下:
漏洞数量:攻击者通过漏洞扫描工具获取网络拓扑中各主机漏洞数量之和;vul是网络拓扑中扫描到的漏洞数量,Svul是网络拓扑中存在的漏洞总数,Pvul是vul在Svul中所占的比例,计算公式如下:
漏洞评分:查询所得的漏洞在CVE漏洞库中有记录;每个漏洞根据CVSS评分标准有各自的评分,评分范围0~10,根据漏洞代码查询其分值,vs是网络拓扑中扫描到漏洞的评分之和,Svs是网络拓扑中存在的漏洞评分之和,Pvs是vs在Svs中所占的比例,计算公式如下:
高危漏洞:根据CVSS评分标准,漏洞危险性分为高、中、低三个级别;hrv是网络拓扑中扫描到的高危险性漏洞数量,vul是网络拓扑中扫描到的漏洞数量,Phrv是hrv在vul中所占的比例,计算公式如下:
服务数量:攻击者通过端口扫描工具获取网络拓扑中各主机使用服务数量之和;ns是网络拓扑中扫描到的各主机服务数量之和,Sns是网络拓扑中各主机服务数量之和,Pns是ns在Sns中所占的比例,计算公式如下:
开放端口:攻击者通过端口扫描工具获取网络拓扑中各主机开放端口数量之和;op是网络拓扑中扫描到的各主机开放端口数量之和,Sop是网络拓扑中各主机开放端口数量之和,Pop是op在Sop中所占的比例,计算公式如下:
真实IP:攻击面通过扫描工具获取网络拓扑中主机真实IP个数;rIP为网络拓扑中扫描所得的真实IP个数,n为网络拓扑中主机个数,也是网络拓扑中真实IP个数,PrIP是rIP在n中所占的比例,计算公式如下:
访问成功:攻击者尝试与网络中的主机通信时成功访问的主机个数;sa表示访问成功主机个数,n为网络拓扑中主机个数,Psa是sa在n中所占的比例,计算公式如下:
5.根据权利要求1所述的一种基于云模型理论的网络攻击面评估方法,其特征在于,所述步骤S3具体实现如下:
步骤S31、采用统一的一维评语集{E,D,C,B,A},评语从E到A,指标威胁程度上升;
步骤S32、用相似度算法计算各基础指标云和各评语云的相似度,具体如下:
步骤S321、通过正向云发生器,云C和n个比较云Ci各生成N个云滴drop,dropi,i∈[1,n];云滴生成公式如下:
Eni'=norm(En,He2);xi=norm(Ex,En′i 2)
步骤S322、对drop和dropi进行筛选,只取在各自[Ex-3En,Ex+3En]范围内的云滴,并对筛选后云滴进行升序排序,取drop和dropi个数的最小值为循环次数,依次进行计算两云滴的归一化距离,公式如下:
结束循环后,再计算云C和比较云Ci的相似度值Si,计算公式为:
步骤S323、比较云C和各个比较云的Ci的相似度值,得到最相似的云;
步骤S33、根据相似度值得到评估结果。
6.根据权利要求1所述的一种基于云模型理论的网络攻击面评估方法,其特征在于,所述步骤S4具体实现如下:
步骤S41、依据被分析的复杂问题本质,建立层次化结构模型,从上而下依次是目标层、准则层、方案层;其中目标层在最顶层,最底层的是方案层,中间是准则层,准则层可以有多层;网络攻击面评估指标体系中,网络攻击面是目标层,漏洞、端口、方法是准则层,基础指标是方案层;
步骤S42、根据网络攻击面评估体系和专家经验法构造各层次判断矩阵;
步骤S43、根据各层次判断矩阵计算各层次的权重值,并对3阶矩阵进行一致性检验,一致性检验均通过,得到各层次权重值;
步骤S44、通过相邻上下层次间的权重相乘,能得到各基础指标在目标层中所占的权重。
8.根据权利要求6所述的一种基于云模型理论的网络攻击面评估方法,其特征在于,所述步骤S43具体实现如下:
步骤S432、对3阶矩阵进行一致性检验,一致性检验是指对A确定不一致的允许范围,因为λmax≥n,当且仅当λmax=n时,A为一致性矩阵,n为特征向量所对应的特征值,因此λmax越大,则A的一致性越低,造成的判断误差越大,用λmax-n大小来衡量A的不一致性程度,定义一致性指标公式如下:
为了衡量CI的大小,引入随机一致性指标RI,将CI和RI进行比较,得到检验系数CR,检验公式如下,若CR≤0.1,则通过一致性检验,否则重新构造检验失败的判断矩阵直到通过一致性检验;
RI与矩阵的阶数有关,只有对3阶及3阶以上的判断矩阵进行一致性检验时采用检验系数评判。
9.根据权利要求1所述的一种基于云模型理论的网络攻击面评估方法,其特征在于,所述步骤S5具体实现如下:
步骤S51、计算多维云的云重心向量;云重心的定义为T=Ex×w,T表示云重心,Ex表示组成该多维云的所有一维云的Ex,w表示各一维云在组成该多维云时所占的权重;当权重不变时,所有一维云的Ex取最大值时是正理想状态云重心,所有一维云的Ex取最小值时是负理想状态云重心;n维云的云重心用n维向量Ti=Exi×wi表示;设负理想状态下云重心向量为正理想状态下云重心向量为将Ti进行归一化处理,得到归一化后云重心向量归一化公式如下:
步骤S52、通过加权偏离度算法将归一化后的云重心向量处理成一个数值θ,θ值的大小表示和被比较的理想状态偏离程度,其计算公式如下:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011200596.1A CN112217838B (zh) | 2020-11-02 | 2020-11-02 | 一种基于云模型理论的网络攻击面评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011200596.1A CN112217838B (zh) | 2020-11-02 | 2020-11-02 | 一种基于云模型理论的网络攻击面评估方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112217838A true CN112217838A (zh) | 2021-01-12 |
CN112217838B CN112217838B (zh) | 2021-08-31 |
Family
ID=74057904
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011200596.1A Active CN112217838B (zh) | 2020-11-02 | 2020-11-02 | 一种基于云模型理论的网络攻击面评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112217838B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115134258A (zh) * | 2022-06-29 | 2022-09-30 | 北京计算机技术及应用研究所 | 一种基于网络攻击面的网络安全效能度量方法 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102222279A (zh) * | 2011-06-14 | 2011-10-19 | 华南理工大学 | 基于模糊综合评判法的制革行业技术的评估方法 |
CN106063183A (zh) * | 2014-03-27 | 2016-10-26 | 英特尔公司 | 用于云辅助密码学的方法和装置 |
US20180359272A1 (en) * | 2017-06-12 | 2018-12-13 | ARIM Technologies Pte Ltd. | Next-generation enhanced comprehensive cybersecurity platform with endpoint protection and centralized management |
US20190056722A1 (en) * | 2017-08-21 | 2019-02-21 | General Electric Company | Data-driven model construction for industrial asset decision boundary classification |
CN109558729A (zh) * | 2018-11-28 | 2019-04-02 | 河北省科学院应用数学研究所 | 一种网络攻击的智能防御系统 |
CN109922069A (zh) * | 2019-03-13 | 2019-06-21 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及系统 |
CN110298077A (zh) * | 2019-05-27 | 2019-10-01 | 中国汽车技术研究中心有限公司 | 汽车信息安全tara分析方法与数字化建模系统 |
CN110704848A (zh) * | 2019-09-27 | 2020-01-17 | 百度在线网络技术(北京)有限公司 | 脆弱点量化评估方法及装置 |
CN110889324A (zh) * | 2019-10-12 | 2020-03-17 | 南京航空航天大学 | 一种基于yolo v3面向末端制导的热红外图像目标识别方法 |
CN111126832A (zh) * | 2019-12-20 | 2020-05-08 | 中国汽车技术研究中心有限公司 | 一种汽车信息安全测试评价方法 |
CN111338942A (zh) * | 2020-02-21 | 2020-06-26 | 郑州昂视信息科技有限公司 | 一种软件多样性的评估方法及系统 |
-
2020
- 2020-11-02 CN CN202011200596.1A patent/CN112217838B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102222279A (zh) * | 2011-06-14 | 2011-10-19 | 华南理工大学 | 基于模糊综合评判法的制革行业技术的评估方法 |
CN106063183A (zh) * | 2014-03-27 | 2016-10-26 | 英特尔公司 | 用于云辅助密码学的方法和装置 |
US20180359272A1 (en) * | 2017-06-12 | 2018-12-13 | ARIM Technologies Pte Ltd. | Next-generation enhanced comprehensive cybersecurity platform with endpoint protection and centralized management |
US20190056722A1 (en) * | 2017-08-21 | 2019-02-21 | General Electric Company | Data-driven model construction for industrial asset decision boundary classification |
CN109558729A (zh) * | 2018-11-28 | 2019-04-02 | 河北省科学院应用数学研究所 | 一种网络攻击的智能防御系统 |
CN109922069A (zh) * | 2019-03-13 | 2019-06-21 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及系统 |
CN110298077A (zh) * | 2019-05-27 | 2019-10-01 | 中国汽车技术研究中心有限公司 | 汽车信息安全tara分析方法与数字化建模系统 |
CN110704848A (zh) * | 2019-09-27 | 2020-01-17 | 百度在线网络技术(北京)有限公司 | 脆弱点量化评估方法及装置 |
CN110889324A (zh) * | 2019-10-12 | 2020-03-17 | 南京航空航天大学 | 一种基于yolo v3面向末端制导的热红外图像目标识别方法 |
CN111126832A (zh) * | 2019-12-20 | 2020-05-08 | 中国汽车技术研究中心有限公司 | 一种汽车信息安全测试评价方法 |
CN111338942A (zh) * | 2020-02-21 | 2020-06-26 | 郑州昂视信息科技有限公司 | 一种软件多样性的评估方法及系统 |
Non-Patent Citations (2)
Title |
---|
刘延华等: "基于云模型和AHP的网络信息系统可生存性评估", 《通信学报》 * |
李鹏伟: "弹性移动云计算的研究进展与安全性分析", 《计算机研究与发展》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115134258A (zh) * | 2022-06-29 | 2022-09-30 | 北京计算机技术及应用研究所 | 一种基于网络攻击面的网络安全效能度量方法 |
CN115134258B (zh) * | 2022-06-29 | 2024-01-30 | 北京计算机技术及应用研究所 | 一种基于网络攻击面的网络安全效能度量方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112217838B (zh) | 2021-08-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112165485B (zh) | 一种大规模网络安全态势智能预测方法 | |
Lian et al. | An intrusion detection method based on decision tree‐recursive feature elimination in ensemble learning | |
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
CN107493277B (zh) | 基于最大信息系数的大数据平台在线异常检测方法 | |
CN107220549B (zh) | 基于cvss的漏洞风险基础评估方法 | |
CN110011976B (zh) | 一种网络攻击破坏能力量化评估方法及系统 | |
Suthaharan et al. | Relevance feature selection with data cleaning for intrusion detection system | |
CN115412354B (zh) | 一种基于大数据分析的网络安全漏洞检测方法及系统 | |
CN108063776A (zh) | 基于跨域行为分析的内部威胁检测方法 | |
Yin et al. | Towards accurate intrusion detection based on improved clonal selection algorithm | |
Bajtoš et al. | Network intrusion detection with threat agent profiling | |
Maslan et al. | Feature selection for DDoS detection using classification machine learning techniques | |
CN112217838B (zh) | 一种基于云模型理论的网络攻击面评估方法 | |
CN116996286A (zh) | 一种基于大数据分析的网络攻击和安全漏洞治理框架平台 | |
CN115225384A (zh) | 一种网络威胁度评估方法、装置、电子设备及存储介质 | |
Elmasri et al. | Evaluation of CICIDS2017 with qualitative comparison of Machine Learning algorithm | |
Xue | Research on network security intrusion detection with an extreme learning machine algorithm | |
CN116405306A (zh) | 一种基于异常流量识别的信息拦截方法及系统 | |
CN115225359A (zh) | 蜜罐数据溯源方法、装置、计算机设备和存储介质 | |
Sanmorino et al. | DDoS attacks detection method using feature importance and support vector machine | |
Setiadi et al. | Detection of dos attacks using naive bayes method based on internet of things (iot) | |
Li et al. | A router abnormal traffic detection strategy based on active defense | |
Basthikodi et al. | Performance Analysis of Network Attack Detection Framework using Machine Learning | |
Yu et al. | A novel adaptive intrusion detection system based on data mining | |
Sadioura et al. | Selection of sub-optimal feature set of network data to implement Machine Learning models to develop an efficient NIDS |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |