CN112600800B

CN112600800B - 基于图谱的网络风险评估方法

Info

Publication number: CN112600800B
Application number: CN202011393971.9A
Authority: CN
Inventors: 王一凡; 孙治; 和达; 刘杰; 陈剑锋
Original assignee: China Electronic Technology Cyber Security Co Ltd
Current assignee: China Electronic Technology Cyber Security Co Ltd
Priority date: 2020-12-03
Filing date: 2020-12-03
Publication date: 2022-07-05
Anticipated expiration: 2040-12-03
Also published as: CN112600800A

Abstract

本发明公开了一种基于图谱的网络风险评估方法，包括步骤：S1，收集数据并进行预处理后，导入数据库构建知识图谱；S2，根据所构建的知识图谱的网络拓扑结构以及节点间的连接关系生成攻击图；S3，计算知识图谱的网络中单个节点的安全量化分数，利用计算得到的单个节点的安全量化分数计算得到整个网络的安全量化分数等；本发明用知识图谱组织管理网络节点，可以直观的看到网络组织情况与状态，提高传统网络风险评估方法结果的精准性和可比较性，给安全人员提供系统风险告警提示和建议。

Description

基于图谱的网络风险评估方法

技术领域

本发明涉及网络风险评估领域，更为具体的，涉及一种基于图谱的网络风险评估方法。

背景技术

随着网络安全问题日益严重，对网络系统进行准确的安全风险量化评估的需求与日俱增。但现有网络风险检测方法往往忽略了节点在网络整体中的位置，存在主观性强，无法定量分析等不足。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于图谱的网络风险评估方法，用知识图谱组织管理网络节点，可以直观的看到网络组织情况与状态，提高传统网络风险评估方法结果的精准性和可比较性，给安全人员提供系统风险告警提示和建议等。

本发明的目的是通过以下方案实现的：

基于图谱的网络风险评估方法，包括步骤：

S1，收集数据并进行预处理后，导入数据库构建知识图谱；

S2，根据所构建的知识图谱的网络拓扑结构以及节点间的连接关系生成攻击图；

S3，计算知识图谱的网络中单个节点的安全量化分数，利用计算得到的单个节点的安全量化分数计算得到整个网络的安全量化分数。

进一步地，步骤S2中，使用深度优先搜索算法DFS遍历知识图谱，构建攻击图；构建的攻击图AttG用公式表示如下：

AttG＝(N,S,P_α)

其中，N表示节点的集合，S表示状态的集合，P_α表示状态转移的概率，且：

式(1)中，f(C_i,S_i,D_i)为第i个节点的风险评分，C_i表示节点包含的漏洞数量，S_i表示所有漏洞的CVSS向量，D_i为该节点在知识图谱的中心度。

进一步地，网络中单个节点的风险度R采用如下公式计算：

R＝V×C×I×Cap

其中，V为节点中通过所有漏洞和缺陷的CVSS评分计算出的综合描述分值，C为节点的中心度，I表示节点的重要性，取值在(0,10)之间，Cap是一个主观指标，表示攻击者能力的大小，该值通过历史经验和攻击者留下的痕迹判断得到。

进一步地，利用输入S采用如下公式计算V：

将节点中的漏洞按照CVSS基本分数大小分为高H_i、中M_i、低L_i三档，加权求和得到输入S，即：

s＝∑H_i+0.8×∑M_i+0.2×∑L_i (3)

进一步地，节点的中心度C采用如下公式计算：

其中，d_vi为该节点到达其他节点的距离，N为网络内节点个数。

进一步地，通过结合攻击图计算出的状态转移概率P_α和单个节点的安全量化分数R，计算加权平均数S即为整个网络的安全量化分数：

其中，N为网络内节点个数。

进一步地，Cap为0.5。

进一步地，攻击图中单个节点的安全量化分数最小的即为该网络中风险最大的节点，据此提示网络管理员重点关注该节点的状态，及时修复漏洞。

本发明的有益效果是：

(1)本发明用知识图谱组织管理网络节点，可以直观的看到网络组织情况与状态，提高传统网络风险评估方法结果的精准性和可比较性，给安全人员提供系统风险告警提示和建议。

(2)本发明实现了从网络探测数据构建网络目标知识图谱，结合CVSS漏洞数据和网络目标知识图谱生成攻击图，通过攻击图计算单个节点和网络整体的安全风险数值，根据风险值给出对应的安全处置建议。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为网络安全风险评估流程示意图；

图2为知识图谱构建流程图；

图3为知识图谱节点示例；

图4为待测网络的拓扑连接示例图；

图5为攻击图模型示例；

图6为本发明方法步骤流程图。

具体实施方式

本说明书中所有实施例公开的所有特征(包括任何附加权利要求、摘要和附图)，或隐含公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合和/或扩展、替换。

如图1～6所示，基于图谱的网络风险评估方法，包括步骤：

S1，收集数据并进行预处理后，导入数据库构建知识图谱；

AttG＝(N,S,P_α)

进一步地，网络中单个节点的风险度R采用如下公式计算：

R＝V×C×I×Cap

进一步地，利用输入S采用如下公式计算V：

s＝∑H_i+0.8×∑M_i+0.2×∑L_i (3)

进一步地，节点的中心度C采用如下公式计算：

其中，N为网络内节点个数。

进一步地，Cap为0.5。

知识图谱通过存储大量知识实体以及实体间的关系，提供了一种融合、管理和分析多源异构数据的能力。知识图谱保存有专家经验和推理规则，通过实体、关系挖掘，实现对客观世界的认知，并且由已有的知识产生新的知识。

在本发明的实施例中，采取的安全评估模型可以在攻击图模型的基础上，利用知识图谱扩展性强，具有推理能力的特点，将节点信息、漏洞信息和脆弱性等数据处理之后构建成为知识图谱，根据每个节点的类型、存在的漏洞和脆弱性以及漏洞与脆弱性的CVSS评分等信息，对节点进行评估并给出安全分数。然后在单个节点评分的基础上，根据节点之间的拓扑连接(Linked)和网络连接(Connected)情况，从被保护节点出发，生成网络攻击图，并给出攻击者可能的攻击路径和各条路径评分并告警。

为了达到上述目的，本发明实施例，提供一种基于目标知识图谱的网络风险评估方法，在该实施例中，由于收集到的数据基本为结构化和半结构化数据，因此在知识图谱构建时选择使用自顶向下的方式进行。收集的数据可以分为两类：

a)通过探测得来的网络拓扑信息；

b)通过收集公开信息得来的漏洞、脆弱性和ATT&CK等信息。

本发明实施例中，可以基于开源的neo4j数据库构建知识图谱，该数据库可以接受规定格式的CSV文件作为输入，其中必须包含节点及其属性和节点之间的关系两种定义。因此，需要针对收集到的两类数据分别生成符合要求的CSV文件输入neo4j构建知识图谱，而网络中节点包含的漏洞信息和公开的漏洞信息是连接这两个图谱的纽带。

在生成攻击图模型上，攻击图用公式表示为AttG＝(N,S,P_α)，其中N表示节点的集合，S表示状态的集合，P_α表示状态转移的概率，其定义如式(1)所示：

式(1)中，f(C_i,S_i,D_i)为第i个节点的风险评分，C_i表示节点包含的漏洞数量，S_i表示所有漏洞的CVSS向量，D_i为该节点在知识图谱的中心度。可以通过SoftMax函数计算，节点的风险评分越高，则其转移为被攻陷节点的概率就越大。然后使用深度优先搜索算法(DFS)遍历知识图谱，构建攻击图。

在知识图谱中搜索需要用到的部分Cypher语句如下表所示：

网络中单个节点的风险度计算方法可以描述为R＝V×C×I×Cap，其中V可为节点中所有漏洞和缺陷的CVSS评分计算出的综合描述分值。

公式(2)给出了缺陷综合风险V的定义，其实质可以是一个调整了输入参数的sigmoid归一化函数，该函数的输入s的定义如公式(3)所示，将节点中的漏洞按照CVSS基本分数大小分为高中低三档，并加权求和。

s＝∑H_i+0.8×∑M_i+0.2×∑L_i (3)

通过归一化函数将值域为[0,+∞)的输入s转换为取值在(0,100)的缺陷综合风险值V。

从公式中可以看出：在攻击图中，某个节点拥有的漏洞越多则风险值越大；漏洞对应的CVSS分值越高则节点的风险值越大。

C为节点的中心度，如公式(4)所示，是使用紧密中心度算法(ClosenessCentrality)在攻击图中计算得出的该节点的出入度，表示该节点与其他节点的连通性关系，中心度越大，证明该节点在攻击图中的位置越靠近中心，在网络中有更多的节点与该节点连通，攻陷该节点造成的影响也越大。

I表示节点的重要性，代表节点本身的类型和节点运行的软件服务类型的重要程度，取值在(0,10)之间，具体取值如下表所示。

Cap是一个额外的主观指标，表示攻击者能力的大小，该值可以通过历史经验和攻击者留下的痕迹判断。一般取值为0.5。

整体网络风险评估计算方法，如公式(5)所示，通过结合攻击图计算出的状态转移概率P_α和单个节点的量化分数R，计算出的加权平均数S即为整个网络的安全量化分数。

其中，P_αi是攻击图中第i个节点的前一个节点到第i个节点的状态转移概率，如果是起始节点，则为1，R_i是第i个点的量化分数。

在本发明的其他实施例中，系统构架如图1所示，首先需要收集公开的CVSS漏洞评分信息和NVD与CVE等信息，并储存在知识图谱中，这一部分数据用来关联网络节点中的漏洞信息，将原始数据处理成为neo4j可以接受的输入形式。对于漏洞和脆弱性，本发明实施例采用4元组的形式<cveId,description,cvss,action>，其中cveId为该风险的CVE编号，description为风险的英文描述，cvss为风险对应的CVSS2.0评分向量，action为漏洞对应的CAPEC中的缓解措施；然后使用nmap扫描软件和管理人员手工参与的方式获取网络的拓扑连接信息，节点及其属性可以用一个8元组<type,ipAddr,macAddr,openPorts,OS,relatedCPEs,risk,networkSegment>来定义，其中type对应该设备的类型，ipAddr是设备在网络中的IP地址，macAddr是设备在的网卡MAC地址，openPorts是该设备开放的端口及可能运行的服务，OS是设备的操作系统类型，relatedCPEs是该设备上所有可能的CPE信息，risk表示该设备存在的漏洞和风险，networkSegment是该设备所在网段。以上对原始数据的处理是如图2的过程。

通过以上对原始数据的处理，可以得到几个能够导入neo4j的CSV文件，包含节点和关系两类。最终生成了一个以网络拓扑为核心的知识图谱，导入数据库后的节点组织形式如图3所示。

待测网络的拓扑连接关系如图4所示，根据网络拓扑结构以及节点间的连接关系，结合算法1攻击图生成算法，得到该网络的攻击图模型，如图5所示。

利用公式(1)-(4)可以计算出网络中单个节点的风险度R。最后利用公式(5)计算得到整个网络的风险度。

攻击图中单个节点评分最少的即为该网络中风险最大的节点，可以提示网络管理员重点关注该节点的状态，及时修复漏洞。

本发明功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，在一台计算机设备(可以是个人计算机，服务器，或者网络设备等)以及相应的软件中执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、或者光盘等各种可以存储程序代码的介质，进行测试或者实际的数据在程序实现中存在于只读存储器(Random Access Memory，RAM)、随机存取存储器(Random Access Memory，RAM)等。