CN113779591B - 一种基于主机重要度的网络主机节点安全风险评估方法 - Google Patents
一种基于主机重要度的网络主机节点安全风险评估方法 Download PDFInfo
- Publication number
- CN113779591B CN113779591B CN202111086807.8A CN202111086807A CN113779591B CN 113779591 B CN113779591 B CN 113779591B CN 202111086807 A CN202111086807 A CN 202111086807A CN 113779591 B CN113779591 B CN 113779591B
- Authority
- CN
- China
- Prior art keywords
- host
- host node
- value
- attack
- calculating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000012502 risk assessment Methods 0.000 title claims abstract description 20
- 230000007123 defense Effects 0.000 claims abstract description 19
- 239000011159 matrix material Substances 0.000 claims description 27
- 238000011156 evaluation Methods 0.000 claims description 4
- 238000010606 normalization Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- 238000013178 mathematical model Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000007620 mathematical function Methods 0.000 description 1
- 238000013077 scoring method Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/18—Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Computational Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Physics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Evolutionary Biology (AREA)
- Computing Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Operations Research (AREA)
- Probability & Statistics with Applications (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Algebra (AREA)
- Bioinformatics & Computational Biology (AREA)
- Databases & Information Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于主机重要度的网络主机节点安全风险评估方法。其包括搜集网络信息建立主机攻击图;计算漏洞的原子攻击概率;计算主机节点的最大路径攻击概率;计算主机节点的改进加权介数中心性值;计算主机节点资产价值;计算主机节点重要度和风险值等步骤。本发明根据漏洞特征从漏洞的可利用性、代码可利用性和节点防御强度三个方面综合计算原子攻击概率,进而依据攻击路径计算到达各主机节点的最大路径攻击概率,并计算出主机节点改进加权介数中心性值和资产价值。最后,计算各主机节点的主机重要度和风险值。实验结果表明,与其它方法相比,本发明方法能够从更全面的角度评估网络环境中的主机节点风险并且得到的风险值结果更加合理。
Description
技术领域
本发明属于网络信息安全技术领域,特别涉及一种基于主机重要度的网络主机节点安全风险评估方法。
背景技术
随着网络信息技术的发展,网络环境中主机节点面临的风险日益增加,对网络中主机节点的攻击方式趋于多元化,因此造成的危害也日趋严重。传统防火墙和入侵检测等被动防御手段已无法满足网络环境中主机节点安全的防护需求。网络主机节点安全风险评估作为一种主动防御方法,能够在攻击事件发生前对网络中的主机节点进行整体评估,帮助安全管理者分析加固网络环境中主机节点的薄弱环节并提高网络整体安全性。
目前的网络安全风险评估方法基本分为两类:基于数学模型的方法和基于图模型的方法。基于数学模型的风险评估方法通过构建网络风险指标体系并利用数学函数映射指标与网络风险间的关系计算网络风险值。但基于数学模型的风险评估方法普遍缺乏直观的图形表述,评估方法复杂且不易于理解。基于图模型的方法利用攻击图、攻击树等图模型对网络建模,采用图论和概率论相关知识计算并分析网络整体风险。其中基于攻击图的评估方法能够从攻击角度分析攻击者可能利用的攻击路径,应用最为广泛。现有依据攻击图评估主机节点的方法对主机节点的漏洞原子攻击概率量化指标较为单一且对主机节点资产价值指标权重没有区分,因此无法全面合理计算各主机节点风险。
发明内容
为了解决上述问题,本发明的目的在于提供一种基于主机重要度的网络主机节点安全风险评估方法。
为了达到上述目的,本发明提供的基于风险传播的信息系统风险评估方法包括按顺序进行的下列步骤:
1)搜集网络信息建立主机攻击图的S1阶段:首先根据网络拓扑获取主机节点、主机节点的漏洞及主机节点访问关系在内的网络信息,然后将所有主机节点构成主机节点集合、各主机节点的漏洞构成漏洞集合、主机节点访问关系构成主机节点访问关系列表,最后遍历主机节点集合和漏洞集合,如果从主机节点访问关系列表中可以查到两个主机节点之间能够访问且主机节点的漏洞满足漏洞利用关系,则将这两个主机节点添加到边集合中,以此类推,得到主机攻击图;
2)计算漏洞的原子攻击概率的S2阶段:计算上述主机节点的漏洞的可利用性值及漏洞的代码可利用性值,然后将漏洞所在主机节点的防御强度划分等级并取值,之后利用漏洞的可利用性值、漏洞的代码可利用性值和主机节点的防御强度等级值计算漏洞的原子攻击概率;
3)计算主机节点的最大路径攻击概率的S3阶段:根据步骤1)中得到的主机攻击图获得到达各主机节点的所有攻击路径,然后根据步骤2)中得到的漏洞的原子攻击概率和攻击路径上的漏洞数量计算得到各主机节点的最大路径攻击概率;
4)计算主机节点的改进加权介数中心性值的S4阶段:利用步骤2)中得到的漏洞的原子攻击概率的倒数对步骤1)中得到的主机攻击图进行加权,得到加权主机攻击图,然后根据加权主机攻击图计算各主机节点的加权介数中心性值,之后根据步骤1)中得到的主机攻击图计算各主机节点的局部重要度,最后根据主机节点的加权介数中心性和局部重要度计算得到各主机节点的改进加权介数中心性值;
5)计算主机节点资产价值的S5阶段:根据步骤1)中获得的主机节点集合,依据主机节点对保密性、可用性和完整性指标的不同要求,采用CRITIC法计算主机节点资产价值指标权重,并依据专家评分结果计算各主机节点资产价值;
6)计算主机节点重要度和风险值的S6阶段:在此阶段,根据步骤4)中计算得到的各主机节点的改进加权介数中心性值、步骤5)中计算得到的各主机节点资产价值计算各主机节点的主机重要度,然后根据主机重要度和步骤3)中得到的最大路径攻击概率计算各主机节点的风险值。
在步骤2)中,所述计算漏洞的原子攻击概率的具体方法如下:
I)根据通用漏洞评分系统的通用公式计算漏洞的可利用性值:
Ei=2×AVi×ACi×AUi (1)
其中,Ei表示第i个漏洞的可利用性值,AVi、ACi、AUi分别表示攻击路径、攻击复杂度和身份认证;
然后依据漏洞披露时间,由下式得到各漏洞的代码可利用性值:
CAi(xi)=1-(k/xi)a (2)
其中,CAi表示第i个漏洞的代码可利用性值,k和a表示帕累托分布中的参数,分别取0.26和0.00161;xi表示第i个漏洞从漏洞披露时开始到当前评估日期的天数;
将漏洞所在主机节点的防御强度划分成较高、高、一般、低和很低五个等级,各等级对应的取值分别为0.1,0.3,0.5,0.7,0.9;
II)根据漏洞的可利用性值、漏洞的代码可利用性值和主机节点的防御强度等级值,计算出各漏洞的原子攻击概率:
AAPi=Ei×CAi×DIi (3)
其中,AAPi表示第i个漏洞的原子攻击概率,Ei表示第i个漏洞的可利用性值,CAi表示第i个漏洞的代码可利用性值,DIi表示第i个漏洞所在主机节点的防御强度等级值。
在步骤3)中,所述计算主机节点的最大路径攻击概率的具体方法如下:
I)依据主机攻击图获取从初始攻击节点到达各主机节点的全部攻击路径;
II)计算上述所有攻击路径上主机节点的攻击概率:
其中,Pj表示第j条攻击路径上主机节点的攻击概率,AAPi表示该攻击路径上所有主机节点中第i个漏洞的原子攻击概率,n表示该条攻击路径上的漏洞数量;
从上述所有攻击路径上主机节点的攻击概率中选择最大值max(Pj)作为该主机节点的最大路径攻击概率。
在步骤4)中,所述计算主机节点的改进加权介数中心性值的具体方法如下:
I)根据步骤2)中得到的漏洞的原子攻击概率,取倒数后作为主机攻击图中对应边的权值,得到加权主机攻击图;
II)基于加权主机攻击图,计算各主机节点的加权介数中心性值:
其中,μsk表示所有从主机节点s到主机节点k的最短攻击路径数量,hi表示加权主机攻击图中的主机节点,μsk(hi)表示从主机节点s到主机节点k的最短攻击路径中,经过主机节点hi的攻击路径数量;
III)根据步骤1)中得到的主机攻击图计算各主机节点的局部重要度:
其中,ri表示主机攻击图中主机节点hi的出入度之和,rj表示和主机节点hj相连的邻居主机节点的出入度,m表示和主机节点hi相连的邻居主机节点的个数,n表示所有主机节点的个数;
IV)根据主机节点的加权介数中心性和局部重要度计算得到各主机节点的改进加权介数中心性值:
其中PI(hi)表示第i个主机节点的改进加权介数中心性值,G(hi)表示第i个主机节点的加权介数中心性值,N(hi)表示第i个主机节点的局部重要度。
在步骤5)中,所述计算主机节点资产价值的具体方法如下:
I)根据不同主机节点对保密性C、可用性A和完整性I指标的不同要求,将主机节点的保密性C、可用性A和完整性I指标的评分值由低至高划分为1至5共5个等级,然后依据专家评分值获得资产价值指标得分矩阵D:
其中,元素dij表示第i个专家对第j个指标的评分值,m表示专家个数,n表示指标个数;
II)利用下式对资产价值指标得分矩阵D进行归一化处理,得到归一化后资产价值指标得分矩阵D’:
xij=dij-min(di)/max(di)-min(di) (8)
其中,xij表示归一化后资产价值指标得分矩阵D’中各指标的评分值,min(di)=min{d1j,d2j,…,dmj},max(di)=max{d1j,d2j,…,dmj};
III)根据归一化后资产价值指标得分矩阵D’,计算保密性C、可用性A和完整性I指标的平均值:
其中,表示归一化后资产价值指标得分矩阵D’中第j列所有指标的平均值,xij表示归一化后资产价值指标得分矩阵D’中的各元素,m表示对应矩阵的行数;
IV)根据上述保密性C、可用性A和完整性I指标的平均值,计算保密性C、可用性A和完整性I指标的标准差:
其中,σj表示第j列所有指标的标准差;
V)根据保密性C、可用性A和完整性I指标的标准差,分别计算各指标的冲突性系数:
其中,uij表示指标的评分值i和指标的评分值j间的皮尔逊相关系数;
VI)根据上述各指标的冲突性系数,计算客观权重值:
其中,n表示指标个数;
VII)根据归一化后资产价值指标得分矩阵D’,将归一化后资产价值指标得分矩阵D’的每一列取平均值后的结果作为各主机节点在保密性C、可用性A和完整性I指标上的评分值,然后根据上述保密性C、可用性A和完整性I指标的客观权重值计算出主机节点资产价值:
其中,AS(hi)表示第i个主机节点资产价值,Ci,Ii,Ai分别表示对应第i个主机节点资产价值的保密性C、可用性A和完整性I指标的评分值,wi1、wi2、wi3分别表示求解得到的第i个主机节点的保密性C、可用性A和完整性I指标C的客观权重值。
在步骤6)中,所述计算主机节点重要度和风险值的具体方法如下:
I)计算主机节点hi的主机重要度HI(hi):
HI(hi)=PI(hi)+AS(hi) (14)
其中,PI(hi)表示每个主机节点的改进加权介数中心性值,AS(hi)表示每个主机节点资产价值指标值;
II)根据上述主机节点资产价值指标值计算主机节点hi风险值R(hi):
R(hi)=HI(hi)×max(Pj) (15)
其中,max(Pj)表示主机节点的最大路径攻击概率。
与现有技术相比,本发明提供的基于主机重要度的网络主机节点安全风险评估方法在搜集网络信息建立主机攻击图的基础上,根据漏洞特征从漏洞的可利用性、代码可利用性和节点防御强度三个方面综合计算原子攻击概率,进而依据攻击路径计算到达各主机节点的最大路径攻击概率,并计算出主机节点改进加权介数中心性值和资产价值。最后,计算各主机节点的主机重要度和风险值。实验结果表明,与其它方法相比,本发明方法能够从更全面的角度评估网络环境中的主机节点风险并且得到的风险值结果更加合理。
附图说明
图1为本发明提供的基于主机重要度的网络主机节点安全风险评估方法流程图。
图2为本发明与其他方法计算得到的原子攻击概率值对比图。
图3为本发明与其他方法计算得到的主机节点风险值对比图。
具体实施方式
下面结合附图及具体实施例对本发明做进一步的说明,但下述实施例绝非对本发明有任何限制。
如图1所示,本发明提供的基于主机重要度的网络主机节点安全风险评估方法包括按顺序进行的下列步骤:
1)搜集网络信息建立主机攻击图的S1阶段:首先根据网络拓扑获取主机节点、主机节点的漏洞及主机节点访问关系在内的网络信息,然后将所有主机节点构成主机节点集合、各主机节点的漏洞构成漏洞集合、主机节点访问关系构成主机节点访问关系列表,最后遍历主机节点集合和漏洞集合,如果从主机节点访问关系列表中可以查到两个主机节点之间能够访问且主机节点的漏洞满足漏洞利用关系,则将这两个主机节点添加到边集合中,以此类推,得到主机攻击图;
2)计算漏洞的原子攻击概率的S2阶段:计算上述主机节点的漏洞的可利用性值及漏洞的代码可利用性值,然后将漏洞所在主机节点的防御强度划分等级并取值,之后利用漏洞的可利用性值、漏洞的代码可利用性值和主机节点的防御强度等级值计算漏洞的原子攻击概率;
具体方法如下:
I)根据通用漏洞评分系统的通用公式计算漏洞的可利用性值:
Ei=2×AVi×ACi×AUi (1)
其中,Ei表示第i个漏洞的可利用性值,AVi、ACi、AUi分别表示攻击路径、攻击复杂度和身份认证;
然后依据漏洞披露时间,由下式得到各漏洞的代码可利用性值:
CAi(xi)=1-(k/xi)a (2)
其中,CAi表示第i个漏洞的代码可利用性值,k和a表示帕累托分布中的参数,分别取0.26和0.00161;xi表示第i个漏洞从漏洞披露时开始到当前评估日期的天数;
将漏洞所在主机节点的防御强度划分成较高、高、一般、低和很低五个等级,各等级对应的取值分别为0.1,0.3,0.5,0.7,0.9;
II)根据漏洞的可利用性值、漏洞的代码可利用性值和主机节点的防御强度等级值,计算出各漏洞的原子攻击概率:
AAPi=Ei×CAi×DIi (3)
其中AAPi表示第i个漏洞的原子攻击概率,Ei表示第i个漏洞的可利用性值,CAi表示第i个漏洞的代码可利用性值,DIi表示第i个漏洞所在主机节点的防御强度等级值。
3)计算主机节点的最大路径攻击概率的S3阶段:根据步骤1)中得到的主机攻击图获得到达各主机节点的所有攻击路径,然后根据步骤2)中得到的漏洞的原子攻击概率和攻击路径上的漏洞数量计算得到各主机节点的最大路径攻击概率;
具体方法如下:
I)依据主机攻击图获取从初始攻击节点到达各主机节点的全部攻击路径;
II)计算上述所有攻击路径上主机节点的攻击概率:
其中,Pj表示第j条攻击路径上主机节点的攻击概率,AAPi表示该攻击路径上所有主机节点中第i个漏洞的原子攻击概率,n表示该条攻击路径上的漏洞数量;
从上述所有攻击路径上主机节点的攻击概率中选择最大值max(Pj)作为该主机节点的最大路径攻击概率。
4)计算主机节点的改进加权介数中心性值的S4阶段:利用步骤2)中得到的漏洞的原子攻击概率的倒数对步骤1)中得到的主机攻击图进行加权,得到加权主机攻击图,然后根据加权主机攻击图计算各主机节点的加权介数中心性值,之后根据步骤1)中得到的主机攻击图计算各主机节点的局部重要度,最后根据主机节点的加权介数中心性和局部重要度计算得到各主机节点的改进加权介数中心性值;
具体方法如下:
I)根据步骤2)中得到的漏洞的原子攻击概率,取倒数后作为主机攻击图中对应边的权值,得到加权主机攻击图;
II)基于加权主机攻击图,计算各主机节点的加权介数中心性值:
其中,μsk表示所有从主机节点s到主机节点k的最短攻击路径数量,hi表示加权主机攻击图中的主机节点,μsk(hi)表示从主机节点s到主机节点k的最短攻击路径中,经过主机节点hi的攻击路径数量;
III)根据步骤1)中得到的主机攻击图计算各主机节点的局部重要度:
其中,ri表示主机攻击图中主机节点hi的出入度之和,rj表示和主机节点hj相连的邻居主机节点的出入度,m表示和主机节点hi相连的邻居主机节点的个数,n表示所有主机节点的个数;
IV)根据主机节点的加权介数中心性和局部重要度计算得到各主机节点的改进加权介数中心性值:
其中PI(hi)表示第i个主机节点的改进加权介数中心性值,G(hi)表示第i个主机节点的加权介数中心性值,N(hi)表示第i个主机节点的局部重要度。
5)计算主机节点资产价值的S5阶段:根据步骤1)中获得的主机节点集合,依据主机节点对保密性、可用性和完整性指标的不同要求,采用CRITIC法计算主机节点资产价值指标权重,并依据专家评分结果计算各主机节点资产价值;
具体方法如下:
I)根据不同主机节点对保密性C、可用性A和完整性I指标的不同要求,将主机节点的保密性C、可用性A和完整性I指标的评分值由低至高划分为1至5共5个等级,然后依据专家评分值获得资产价值指标得分矩阵D:
其中,元素dij表示第i个专家对第j个指标的评分值,m表示专家个数,n表示指标个数;
II)利用下式对资产价值指标得分矩阵D进行归一化处理,得到归一化后资产价值指标得分矩阵D’:
xij=dij-min(di)/max(di)-min(di) (8)
其中,xij表示归一化后资产价值指标得分矩阵D’中各指标的评分值,min(di)=min{d1j,d2j,…,dmj},max(di)=max{d1j,d2j,…,dmj};
III)根据归一化后资产价值指标得分矩阵D’,计算保密性C、可用性A和完整性I指标的平均值:
其中,表示归一化后资产价值指标得分矩阵D’中第j列所有指标的平均值,xij表示归一化后资产价值指标得分矩阵D’中的各元素,m表示对应矩阵的行数;
IV)根据上述保密性C、可用性A和完整性I指标的平均值,计算保密性C、可用性A和完整性I指标的标准差:
其中,σj表示第j列所有指标的标准差;
V)根据保密性C、可用性A和完整性I指标的标准差,分别计算各指标的冲突性系数:
其中,uij表示指标的评分值i和指标的评分值j间的皮尔逊相关系数;
VI)根据上述各指标的冲突性系数,计算客观权重值:
其中,n表示指标个数;
VII)根据归一化后资产价值指标得分矩阵D’,将归一化后资产价值指标得分矩阵D’的每一列取平均值后的结果作为各主机节点在保密性C、可用性A和完整性I指标上的评分值,然后根据上述保密性C、可用性A和完整性I指标的客观权重值计算出主机节点资产价值:
其中,AS(hi)表示第i个主机节点资产价值,Ci,Ii,Ai分别表示对应第i个主机节点资产价值的保密性C、可用性A和完整性I指标的评分值,wi1、wi2、wi3分别表示求解得到的第i个主机节点的保密性C、可用性A和完整性I指标C的客观权重值。
6)计算主机节点重要度和风险值的S6阶段:在此阶段,根据步骤4)中计算得到的各主机节点的改进加权介数中心性值、步骤5)中计算得到的各主机节点资产价值计算各主机节点的主机重要度,然后根据主机重要度和步骤3)中得到的最大路径攻击概率计算各主机节点的风险值。
具体方法如下:
I)计算主机节点hi的主机重要度HI(hi):
HI(hi)=PI(hi)+AS(hi) (14)
其中,PI(hi)表示每个主机节点的改进加权介数中心性值,AS(hi)表示每个主机节点资产价值指标值;
II)根据上述主机节点资产价值指标值计算主机节点hi风险值R(hi):
R(hi)=HI(hi)×max(Pj) (15)
其中,max(Pj)表示主机节点的最大路径攻击概率。
图2为本发明方法与传统CVSS方法和专家打分法计算得到的漏洞的原子攻击概率值对比图。由图2可知,与其他两种方法相比,本发明方法综合考虑时间和环境因素对原子攻击概率的影响,计算得到的结果更加符合实际。
图3为本发明方法与资产关联图方法、马尔可夫攻击图方法和贝叶斯攻击图方法计算得到的主机节点风险值对比图。由图3可知,相比于其他三种方法,本发明方法所得的各主机节点的风险值差异性更大,能够明显表征不同主机节点间的风险差异性。马尔可夫攻击图方法仅从状态转移概率的角度计算各主机节点的风险值,导致不同主机节点的风险值结果相近。资产关联图方法和贝叶斯攻击图方法虽然综合考虑了主机节点资产价值和路径攻击概率,但是忽略了主机节点在攻击图中的位置信息,没有考虑到主机攻击图中主机节点间的关联性对各主机节点风险值的影响。本发明方法利用改进的加权介数中心性从主机攻击图拓扑结构角度衡量主机节点的重要程度,同时依据主机节点资产价值评估各个主机节点面临的风险,所以得到的各主机节点风险值差异性更大且更加准确、合理。
Claims (6)
1.一种基于主机重要度的网络主机节点安全风险评估方法,其特征在于:所述基于主机重要度的网络主机节点安全风险评估方法包括按顺序进行的下列步骤:
1)搜集网络信息建立主机攻击图的S1阶段:首先根据网络拓扑获取主机节点、主机节点的漏洞及主机节点访问关系在内的网络信息,然后将所有主机节点构成主机节点集合、各主机节点的漏洞构成漏洞集合、主机节点访问关系构成主机节点访问关系列表,最后遍历主机节点集合和漏洞集合,如果从主机节点访问关系列表中可以查到两个主机节点之间能够访问且主机节点的漏洞满足漏洞利用关系,则将这两个主机节点添加到边集合中,以此类推,得到主机攻击图;
2)计算漏洞的原子攻击概率的S2阶段:计算上述主机节点的漏洞的可利用性值及漏洞的代码可利用性值,然后将漏洞所在主机节点的防御强度划分等级并取值,之后利用漏洞的可利用性值、漏洞的代码可利用性值和主机节点的防御强度等级值计算漏洞的原子攻击概率;
3)计算主机节点的最大路径攻击概率的S3阶段:根据步骤1)中得到的主机攻击图获得到达各主机节点的所有攻击路径,然后根据步骤2)中得到的漏洞的原子攻击概率和攻击路径上的漏洞数量计算得到各主机节点的最大路径攻击概率;
4)计算主机节点的改进加权介数中心性值的S4阶段:利用步骤2)中得到的漏洞的原子攻击概率的倒数对步骤1)中得到的主机攻击图进行加权,得到加权主机攻击图,然后根据加权主机攻击图计算各主机节点的加权介数中心性值,之后根据步骤1)中得到的主机攻击图计算各主机节点的局部重要度,最后根据主机节点的加权介数中心性和局部重要度计算得到各主机节点的改进加权介数中心性值;
5)计算主机节点资产价值的S5阶段:根据步骤1)中获得的主机节点集合,依据主机节点对保密性、可用性和完整性指标的不同要求,采用CRITIC法计算主机节点资产价值指标权重,并依据专家评分结果计算各主机节点资产价值;
6)计算主机节点重要度和风险值的S6阶段:在此阶段,根据步骤4)中计算得到的各主机节点的改进加权介数中心性值、步骤5)中计算得到的各主机节点资产价值计算各主机节点的主机重要度,然后根据主机重要度和步骤3)中得到的最大路径攻击概率计算各主机节点的风险值。
2.根据权利要求1所述的基于主机重要度的网络主机节点安全风险评估方法,其特征在于:在步骤2)中,所述计算漏洞的原子攻击概率的具体方法如下:
I)根据通用漏洞评分系统的通用公式计算漏洞的可利用性值:
Ei=2×AVi×ACi×AUi (1)
其中,Ei表示第i个漏洞的可利用性值,AVi、ACi、AUi分别表示攻击路径、攻击复杂度和身份认证;
然后依据漏洞披露时间,由下式得到各漏洞的代码可利用性值:
CAi(xi)=1-(k/xi)a (2)
其中,CAi表示第i个漏洞的代码可利用性值,k和a表示帕累托分布中的参数,分别取0.26和0.00161;xi表示第i个漏洞从漏洞披露时开始到当前评估日期的天数;
将漏洞所在主机节点的防御强度划分成较高、高、一般、低和很低五个等级,各等级对应的取值分别为0.1,0.3,0.5,0.7,0.9;
II)根据漏洞的可利用性值、漏洞的代码可利用性值和主机节点的防御强度等级值,计算出各漏洞的原子攻击概率:
AAPi=Ei×CAi×DIi (3)
其中,AAPi表示第i个漏洞的原子攻击概率,Ei表示第i个漏洞的可利用性值,CAi表示第i个漏洞的代码可利用性值,DIi表示第i个漏洞所在主机节点的防御强度等级值。
3.根据权利要求1所述的基于主机重要度的网络主机节点安全风险评估方法,其特征在于:在步骤3)中,所述计算主机节点的最大路径攻击概率的具体方法如下:
I)依据主机攻击图获取从初始攻击节点到达各主机节点的全部攻击路径;
II)计算上述所有攻击路径上主机节点的攻击概率:
其中,Pj表示第j条攻击路径上主机节点的攻击概率,AAPi表示该攻击路径上所有主机节点中第i个漏洞的原子攻击概率,n表示该条攻击路径上的漏洞数量;
从上述所有攻击路径上主机节点的攻击概率中选择最大值max(Pj)作为该主机节点的最大路径攻击概率。
4.根据权利要求1所述的基于主机重要度的网络主机节点安全风险评估方法,其特征在于:在步骤4)中,所述计算主机节点的改进加权介数中心性值的具体方法如下:
I)根据步骤2)中得到的漏洞的原子攻击概率,取倒数后作为主机攻击图中对应边的权值,得到加权主机攻击图;
II)基于加权主机攻击图,计算各主机节点的加权介数中心性值:
其中,μsk表示所有从主机节点s到主机节点k的最短攻击路径数量,hi表示加权主机攻击图中的主机节点,μsk(hi)表示从主机节点s到主机节点k的最短攻击路径中,经过主机节点hi的攻击路径数量;
III)根据步骤1)中得到的主机攻击图计算各主机节点的局部重要度:
其中,ri表示主机攻击图中主机节点hi的出入度之和,rj表示和主机节点hj相连的邻居主机节点的出入度,m表示和主机节点hi相连的邻居主机节点的个数,n表示所有主机节点的个数;
IV)根据主机节点的加权介数中心性和局部重要度计算得到各主机节点的改进加权介数中心性值:
其中PI(hi)表示第i个主机节点的改进加权介数中心性值,G(hi)表示第i个主机节点的加权介数中心性值,N(hi)表示第i个主机节点的局部重要度。
5.根据权利要求1所述的基于主机重要度的网络主机节点安全风险评估方法,其特征在于:在步骤5)中,所述计算主机节点资产价值的具体方法如下:
I)根据不同主机节点对保密性C、可用性A和完整性I指标的不同要求,将主机节点的保密性C、可用性A和完整性I指标的评分值由低至高划分为1至5共5个等级,然后依据专家评分值获得资产价值指标得分矩阵D:
其中,元素dij表示第i个专家对第j个指标的评分值,m表示专家个数,n表示指标个数;
II)利用下式对资产价值指标得分矩阵D进行归一化处理,得到归一化后资产价值指标得分矩阵D’:
xij=dij-min(di)/max(di)-min(di) (8)
其中,xij表示归一化后资产价值指标得分矩阵D’中各指标的评分值,min(di)=min{d1j,d2j,…,dmj},max(di)=max{d1j,d2j,…,dmj};
III)根据归一化后资产价值指标得分矩阵D’,计算保密性C、可用性A和完整性I指标的平均值:
其中,表示归一化后资产价值指标得分矩阵D’中第j列所有指标的平均值,xij表示归一化后资产价值指标得分矩阵D’中的各元素,m表示对应矩阵的行数;
IV)根据上述保密性C、可用性A和完整性I指标的平均值,计算保密性C、可用性A和完整性I指标的标准差:
其中,σj表示第j列所有指标的标准差;
V)根据保密性C、可用性A和完整性I指标的标准差,分别计算各指标的冲突性系数:
其中,uij表示指标的评分值i和指标的评分值j间的皮尔逊相关系数;
VI)根据上述各指标的冲突性系数,计算客观权重值:
其中,n表示指标个数;
VII)根据归一化后资产价值指标得分矩阵D’,将归一化后资产价值指标得分矩阵D’的每一列取平均值后的结果作为各主机节点在保密性C、可用性A和完整性I指标上的评分值,然后根据上述保密性C、可用性A和完整性I指标的客观权重值计算出主机节点资产价值:
其中,AS(hi)表示第i个主机节点资产价值,Ci,Ii,Ai分别表示对应第i个主机节点资产价值的保密性C、可用性A和完整性I指标的评分值,wi1、wi2、wi3分别表示求解得到的第i个主机节点的保密性C、可用性A和完整性I指标C的客观权重值。
6.根据权利要求1所述的基于主机重要度的网络主机节点安全风险评估方法,其特征在于:在步骤6)中,所述计算主机节点重要度和风险值的具体方法如下:
I)计算主机节点hi的主机重要度HI(hi):
HI(hi)=PI(hi)+AS(hi) (14)
其中,PI(hi)表示每个主机节点的改进加权介数中心性值,AS(hi)表示每个主机节点资产价值指标值;
II)根据上述主机节点资产价值指标值计算主机节点hi风险值R(hi):
R(hi)=HI(hi)×max(Pj) (15)
其中,max(Pj)表示主机节点的最大路径攻击概率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111086807.8A CN113779591B (zh) | 2021-09-16 | 2021-09-16 | 一种基于主机重要度的网络主机节点安全风险评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111086807.8A CN113779591B (zh) | 2021-09-16 | 2021-09-16 | 一种基于主机重要度的网络主机节点安全风险评估方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113779591A CN113779591A (zh) | 2021-12-10 |
CN113779591B true CN113779591B (zh) | 2023-11-03 |
Family
ID=78851549
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111086807.8A Active CN113779591B (zh) | 2021-09-16 | 2021-09-16 | 一种基于主机重要度的网络主机节点安全风险评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113779591B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116010962B (zh) * | 2022-12-15 | 2024-03-01 | 华能信息技术有限公司 | 一种视频会议系统的主机安全管理方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368976A (zh) * | 2013-07-31 | 2013-10-23 | 电子科技大学 | 一种基于攻击图邻接矩阵的网络安全评估装置 |
CN105827450A (zh) * | 2016-04-11 | 2016-08-03 | 全球能源互联网研究院 | 一种脆弱性修复策略生成方法 |
CN106549950A (zh) * | 2016-11-01 | 2017-03-29 | 南京理工大学 | 一种基于状态攻防图的矩阵可视化方法 |
CN109218304A (zh) * | 2018-09-12 | 2019-01-15 | 北京理工大学 | 一种基于攻击图和协同进化的网络风险阻断方法 |
US10659488B1 (en) * | 2017-02-28 | 2020-05-19 | University Of South Florida | Statistical predictive model for expected path length |
-
2021
- 2021-09-16 CN CN202111086807.8A patent/CN113779591B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368976A (zh) * | 2013-07-31 | 2013-10-23 | 电子科技大学 | 一种基于攻击图邻接矩阵的网络安全评估装置 |
CN105827450A (zh) * | 2016-04-11 | 2016-08-03 | 全球能源互联网研究院 | 一种脆弱性修复策略生成方法 |
CN106549950A (zh) * | 2016-11-01 | 2017-03-29 | 南京理工大学 | 一种基于状态攻防图的矩阵可视化方法 |
US10659488B1 (en) * | 2017-02-28 | 2020-05-19 | University Of South Florida | Statistical predictive model for expected path length |
CN109218304A (zh) * | 2018-09-12 | 2019-01-15 | 北京理工大学 | 一种基于攻击图和协同进化的网络风险阻断方法 |
Non-Patent Citations (1)
Title |
---|
基于攻击图的网络风险计算方法;黄洋;陈文;;计算机安全(第07期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113779591A (zh) | 2021-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kim et al. | Long short term memory recurrent neural network classifier for intrusion detection | |
CN109922069B (zh) | 高级持续性威胁的多维关联分析方法及系统 | |
CN102098180B (zh) | 一种网络安全态势感知方法 | |
Abdullah et al. | Enhanced intrusion detection system using feature selection method and ensemble learning algorithms | |
CN108881250B (zh) | 电力通信网络安全态势预测方法、装置、设备及存储介质 | |
CN111680863A (zh) | 基于层次分析法的网络环境安全状况评估方法 | |
CN109672674A (zh) | 一种网络威胁情报可信度识别方法 | |
CN106230773A (zh) | 基于模糊矩阵层次分析法的风险评估系统 | |
CN108595655A (zh) | 一种基于会话特征相似性模糊聚类的异常用户检测方法 | |
CN112039704B (zh) | 一种基于风险传播的信息系统风险评估方法 | |
CN110162958B (zh) | 用于计算设备的综合信用分的方法、装置和记录介质 | |
Masarat et al. | A novel framework, based on fuzzy ensemble of classifiers for intrusion detection systems | |
CN108494787A (zh) | 一种基于资产关联图的网络风险评估方法 | |
Wen et al. | Gravity-based community vulnerability evaluation model in social networks: GBCVE | |
CN113779591B (zh) | 一种基于主机重要度的网络主机节点安全风险评估方法 | |
Stefanova et al. | Off-policy q-learning technique for intrusion response in network security | |
Zeng et al. | Licality—likelihood and criticality: Vulnerability risk prioritization through logical reasoning and deep learning | |
Abushark et al. | Cyber security analysis and evaluation for intrusion detection systems | |
CN115987544A (zh) | 一种基于威胁情报的网络安全威胁预测方法及系统 | |
CN113360898B (zh) | 指标的权重确定方法、网络攻击评估方法及电子设备 | |
Velliangiri et al. | Detection of dos attacks in smart city networks with feature distance maps: A statistical approach | |
CN110290101B (zh) | 智能电网环境中基于深度信任网络的关联攻击行为识别方法 | |
Kezih et al. | Evaluation effectiveness of intrusion detection system with reduced dimension using data mining classification tools | |
CN116545679A (zh) | 一种工业情境安全基础框架及网络攻击行为特征分析方法 | |
CN114118680A (zh) | 一种网络安全态势评估方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |