CN113852607A - 评估网络安全性能的方法及装置 - Google Patents

评估网络安全性能的方法及装置 Download PDF

Info

Publication number
CN113852607A
CN113852607A CN202111021902.XA CN202111021902A CN113852607A CN 113852607 A CN113852607 A CN 113852607A CN 202111021902 A CN202111021902 A CN 202111021902A CN 113852607 A CN113852607 A CN 113852607A
Authority
CN
China
Prior art keywords
network
terminal
infected
illegal
probability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111021902.XA
Other languages
English (en)
Other versions
CN113852607B (zh
Inventor
朱广劼
杨轶杰
姚洪磊
司群
李琪
周泽岩
付晓丹
卫婧
张德栋
崔伟健
王张超
王文婷
王彤
冯凯亮
尹虹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Academy of Railway Sciences Corp Ltd CARS
Institute of Computing Technologies of CARS
Original Assignee
China Academy of Railway Sciences Corp Ltd CARS
Institute of Computing Technologies of CARS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Academy of Railway Sciences Corp Ltd CARS, Institute of Computing Technologies of CARS filed Critical China Academy of Railway Sciences Corp Ltd CARS
Priority to CN202111021902.XA priority Critical patent/CN113852607B/zh
Publication of CN113852607A publication Critical patent/CN113852607A/zh
Application granted granted Critical
Publication of CN113852607B publication Critical patent/CN113852607B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种评估网络安全性能的方法及装置。所述方法包括:根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量;在终端接入网络的次数满足预设接入次数条件的情况下,根据终端每次接入网络后被感染的网络设备数量,确定网络攻击指数;其中,终端包括合法终端和非法终端;被感染的网络设备为与非法终端建立链接并感染的网络设备;网络攻击指数用于评估网络安全性能。本发明提供的评估网络安全性能的方法及装置,以网络设备为对象,针对网络设备的整体性能开展研究,解决了网络安全防护中整体性能评估的问题,实时掌控网络被攻击的情况,避免了采集流量、分析协议、语意判断等带来的复杂计算且在一定程度上不能实现的困境。

Description

评估网络安全性能的方法及装置
技术领域
本发明涉及网络安全技术领域,具体涉及一种评估网络安全性能的方法及装置。
背景技术
在网络安全防护技术路线上,现有的技术不能适应当前网络安全的形势需要,随着网络攻击手段的升级,传统的防火墙技术、网闸技术尽管能检测并阻断部分攻击,但是病毒特征更新速度加快后,已有的病毒库不能及时更新的话可能导致病毒检测出现漏检的情况,影响到网络安全防护效果。目前的检测策略中,网络安全检测设备主要部署在网络边界,然而,部分攻击者通过伪装等手段通过边界检测后会针对内网区域发起攻击,不能有效保证网络安全;机器学习等策略在一定程度上保证了历史数据的综合利用,但是在实现过程中需要进行大量计算和循环迭代工作,降低了工作效率,且机器学习、深度推理等策略实行的是“黑盒子”的方式,即输入数据后通过内部迭代、优化等计算过程后形成结果,其计算过程不够明确,缺少直观性。
在网络安全防护目标上,当前研究比较偏向于网络的局部安全局部要素,以网络安全整体安全防护、宏观安全把控为研究目标的较少。
发明内容
本发明提供一种评估网络安全性能的方法及装置,用以解决如何对网络安全防护中整体性能进行评估的技术问题。
第一方面,本发明提供一种评估网络安全性能的方法,包括:
根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量;
在终端接入网络的次数满足预设接入次数条件的情况下,根据所述终端每次接入网络后被感染的网络设备数量,确定网络攻击指数;
其中,所述终端包括合法终端和非法终端;
所述被感染的网络设备为与所述非法终端建立链接并感染的网络设备;
所述网络攻击指数用于评估网络安全性能。
在一个实施例中,所述根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量之前,包括:
对终端每次接入网络的合法性进行检测,根据检测结果确定终端每次接入网络的访问权限。
在一个实施例中,所述对终端每次接入网络的合法性进行检测,根据检测结果确定终端每次接入网络的访问权限,包括:
若检测结果是合法终端,所述合法终端接入网络后能够访问第一数量网络设备;
若检测结果是非法终端,所述非法终端接入网络后能够访问第二数量网络设备;
若检测结果是疑似非法终端,所述疑似非法终端接入网络后能够访问第三数量网络设备;
其中,所述第一数量小于或等于实际网络设备数量,
所述第一数量大于所述第三数量,
且所述第三数量大于所述第二数量。
在一个实施例中,所述终端每次接入网络后被感染的网络设备数量通过如下方式获取:
根据非法终端被判定为合法终端时感染的网络设备数量、非法终端被判定为非法终端时感染的网络设备数量以及非法终端被判定为疑似非法终端时感染的网络设备数量确定所述终端每次接入网络后被感染的网络设备数量。
在一个实施例中,所述非法终端被判定为合法终端时感染的网络设备数量通过如下方式获取:
根据所述第一数量和每个网络设备被感染的概率确定所述非法终端被判定为合法终端时感染的网络设备数量;
所述非法终端被判定为非法终端时感染的网络设备数量通过如下方式获取:
根据所述第二数量和每个网络设备被感染的概率确定所述非法终端被判定为合法终端时感染的网络设备数量;
所述非法终端被判定为疑似非法终端时感染的网络设备数量通过如下方式获取:
根据所述第三数量和每个网络设备被感染的概率确定所述非法终端被判定为疑似非法终端时感染的网络设备数量。
在一个实施例中,所述每个网络设备被感染的概率通过如下方式获取:
根据非法终端的数量与每个非法终端出现的概率、每个非法终端与每个网络设备建立链接的概率、每个非法终端不发生自身消亡的概率以及每个非法终端能够感染网络设备的概率确定所述每个网络设备被感染的概率;
其中,所述每个非法终端出现的概率、所述每个非法终端与每个网络设备建立链接的概率、所述每个非法终端不发生自身消亡的概率以及所述每个非法终端能够感染网络设备的概率相互独立。
在一个实施例中,所述每个非法终端与每个网络设备建立链接的概率通过如下方式获取:
根据实际网络设备数量和所述终端每次接入网络后被感染的网络设备数量确定所述每个非法终端与每个网络设备建立链接的概率。
第二方面,本发明提供一种评估网络安全性能的装置,包括:
第一确定模块,用于根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量;
第二确定模块,用于在终端接入网络的次数满足预设接入次数条件的情况下,根据所述终端每次接入网络后被感染的网络设备数量,确定网络攻击指数;
其中,所述终端包括合法终端和非法终端;
所述被感染的网络设备为与所述非法终端建立链接并感染的网络设备;
所述网络攻击指数用于评估网络安全性能。
第三方面,本发明提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现第一方面所述评估网络安全性能的方法的步骤。
第四方面,本发明提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述评估网络安全性能的方法的步骤。
本发明提供的评估网络安全性能的方法、装置、电子设备及存储介质,通过确定终端每次接入网络后被感染的网络设备数量,确定网络攻击指数,以网络设备为对象,针对网络设备的整体性能开展研究,实时掌控网络被攻击的情况,解决了网络安全防护中整体性能评估的问题,避免了采集流量、分析协议、语意判断等带来的复杂计算且在一定程度上不能实现的困境。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的评估网络安全性能的方法的流程示意图;
图2是本发明提供的评估网络安全性能的装置的结构示意图;
图3是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请实施例涉及的终端,可以是指向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备等。在不同的系统中,终端设备的名称可能也不相同,例如在5G系统中,终端设备可以称为用户设备(UserEquipment,UE)。
图1是本发明提供的评估网络安全性能的方法的流程示意图。
参照图1,本发明提供的评估网络安全性能的方法可以包括:
S110、根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量;
S120、在终端接入网络的次数满足预设接入次数条件的情况下,根据终端每次接入网络后被感染的网络设备数量,确定网络攻击指数;
其中,终端包括合法终端和非法终端;
被感染的网络设备为与非法终端建立链接并感染的网络设备;
网络攻击指数用于评估网络安全性能。
需要说明的是,本发明提供的评估网络安全性能的方法的执行主体可以是电子设备、电子设备中的部件、集成电路、或芯片。该电子设备可以是移动电子设备,也可以为非移动电子设备。示例性的,移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、可穿戴设备、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本或者个人数字助理(personal digital assistant,PDA)等,非移动电子设备可以为服务器、网络附属存储器(Network Attached Storage,NAS)、个人计算机(personalcomputer,PC)、电视机(television,TV)、柜员机或者自助机等,本发明不作具体限定。
具体地,在步骤S110中,根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量。
针对给定的网络中,存在可以参与数据连接与分配的网络设备,例如服务器。对于给定的网络中,也存在需要开展连接的合法终端和存在恶意攻击网络的非法终端,与非法终端建立链接并感染的网络设备即为被感染的网络设备。每次接入网络的终端数量可以是多个,根据合法终端、非法终端的存在情况,对每次接入网络的终端的访问权限进行判断,统计终端每次接入网络后被感染的网络设备数量。
具体地,在步骤S120中,在终端接入网络的次数满足预设接入次数条件的情况下,根据终端每次接入网络后被感染的网络设备数量,确定网络攻击指数。
在终端每次接入网络后,由于非法终端可能会恶意攻击网络,因此对于每次终端接入网络后,都会确定一次被感染的设备数量,根据终端每次接入网络后被感染的网络设备数量确定网络攻击指数,网络攻击指数用于评估网络安全性能。
可根据需要设定预设接入次数M,即可以确定前M次终端接入网络被感染的设备数量,确定网络攻击指数,可实时掌控网络被攻击的情况。
攻击指数的定义为:
Figure BDA0003241786570000071
其中,D0表示初始阶段网络中非法用户的攻击数量,D1表示第M轮中网络中非法用户的攻击数量,M0表示初始阶段的设备数量,M1表示第M轮网络可用设备数量。
在一个实施例中,网络攻击指数可以为:
Figure BDA0003241786570000072
其中,Nu表示实际网络设备的数量,Ci表示终端第i次接入网络后被感染的网络设备数量。
网络攻击指数越大,则网络安全性能越差。
本发明提供的评估网络安全性能的方法,通过确定终端每次接入网络后被感染的网络设备数量,确定网络攻击指数,以网络设备为对象,针对网络设备的整体性能开展研究,实时掌控网络被攻击的情况,解决了网络安全防护中整体性能评估的问题,避免了采集流量、分析协议、语意判断等带来的复杂计算且在一定程度上不能实现的困境。
在一个实施例中,根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量之前,包括:
对终端每次接入网络的合法性进行检测,根据检测结果确定终端每次接入网络的访问权限。
具体地,由于接入网络的终端包括合法终端和非法终端,非法终端会有攻击网络的可能,根据合法终端、非法终端的存在情况,对终端每次接入网络的合法性进行检测,确定每个终端的访问权限,
例如,对于一个访问网络的用户,在接入网络时,会经过网闸、防火墙等安全防护系统的鉴别,其本身会有3种判决结果,分别是合法用户、非法用户和疑似非法用户,根据判决结果,授权给不同用户的访问权限也不相同,合法用户的访问权限大于疑似非法用户的访问权限,疑似非法用户的访问权限大于非法用户的访问权限。
本发明提供的评估网络安全性能的方法,通过在对接入网络终端属性鉴别的基础上,根据鉴别结果分别进行限制式授权访问的策略,可以保证非法终端的入侵范围受到限制,降低网络被破坏的程度。
在一个实施例中,对终端每次接入网络的合法性进行检测,根据检测结果确定终端每次接入网络的访问权限,包括:
若检测结果是合法终端,合法终端接入网络后能够访问第一数量网络设备;
若检测结果是非法终端,非法终端接入网络后能够访问第二数量网络设备;
若检测结果是疑似非法终端,疑似非法终端接入网络后能够访问第三数量网络设备;
其中,第一数量小于或等于实际网络设备数量,
第一数量大于第三数量,
且第三数量大于第二数量。
具体地,对于任意一个访问网络的终端,在接入网络时,会经过网闸、防火墙等安全防护系统的鉴别,其本身会有3种判决结果,分别是合法终端、非法终端和疑似非法终端,被判决为合法终端的概率为P0,被判决为非法终端的概率为P1,被判决为疑似非法终端的概率为P2
例如,表1是终端身份判决概率定义表。对于合法终端和非法终端而言,由于有以上3种判决结果,因此基于自身的身份属性和判决结果,相应的判决概率可参照表1,其中横向表示判决结果,纵向表示终端本身属性:
表1终端身份判决概率定义表
Figure BDA0003241786570000091
当检测结果是合法终端时,无论该终端实际是不是合法终端,其连接网络后能够访问的设备数量为n,其中n≤Nu;
当检测结果是非法终端时,无论该终端实际是不是合法终端,对其连接网络后能够访问的设备数量加以限制,加入限制因子α1,实际可以访问的网络设备数量为α1·Nu,其中α1·Nu<n;
当检测结果是疑似非法终端时,无论该终端实际是不是合法终端,对其连接网络后能够访问的设备数量加以限制,加入限制因子α2,实际可以访问的网络设备数量为α2·Nu,其中,α1·Nu<α2·Nu<n。
本发明提供的评估网络安全性能的方法,根据网络中安全防御系统的鉴别结果,在终端接入后访问网络设备的过程中,需要对访问的设备规模加以限制,本发明提出加入限制因子的方式来保障网络中设备安全的同时,又能避免由于错判导致影响终端的数据交互。
在一个实施例中,终端每次接入网络后被感染的网络设备数量通过如下方式获取:
根据非法终端被判定为合法终端时感染的网络设备数量、非法终端被判定为非法终端时感染的网络设备数量以及非法终端被判定为疑似非法终端时感染的网络设备数量确定终端每次接入网络后被感染的网络设备数量。
具体地,对于一个非法终端,经过网闸、防火墙等安全防护系统的鉴别后,会有3种判决结果,分别是合法终端、非法终端和疑似非法终端。由于非法终端都有可能感染网络设备,因此,对于一个非法终端不论检测结果是哪一种,其都有可能感染网络设备。即终端每次接入网络后被感染的网络设备数量可以是:非法终端被判定为合法终端时感染的网络设备数量、非法终端被判定为非法终端时感染的网络设备数量以及非法终端被判定为疑似非法终端时感染的网络设备数量之和。
本发明提供的评估网络安全性能的方法,根据网络中安全防御系统的鉴别结果,在终端接入后访问网络设备的过程中,需要对访问的设备规模加以限制,在保障网络中设备安全的同时,又能避免由于错判导致影响终端的数据交互。
在一个实施例中,非法终端被判定为合法终端时感染的网络设备数量通过如下方式获取:
根据第一数量和每个网络设备被感染的概率确定非法终端被判定为合法终端时感染的网络设备数量;
非法终端被判定为非法终端时感染的网络设备数量通过如下方式获取:
根据第二数量和每个网络设备被感染的概率确定非法终端被判定为合法终端时感染的网络设备数量;
非法终端被判定为疑似非法终端时感染的网络设备数量通过如下方式获取:
根据第三数量和每个网络设备被感染的概率确定非法终端被判定为疑似非法终端时感染的网络设备数量。
具体地,对于Nv个非法终端而言,每个网络设备被感染的概率为PU(Nv)。当非法终端被判定为合法终端时,连接网络后能够访问的设备数量为n,即非法终端被判定为合法终端时感染的网络设备数量为n·PU(Nv)。同理,非法终端被判定为非法终端时感染的网络设备数量为α1·NU·PU(Nv),非法终端被判定为疑似非法终端时感染的网络设备数量为α2·NU·PU(Nv)
本发明提供的评估网络安全性能的方法,根据网络中安全防御系统的鉴别结果,在终端接入后访问网络设备的过程中,需要对访问的设备规模加以限制,本发明提出加入限制因子的方式来保障网络中设备安全的同时,又能避免由于错判导致影响终端的数据交互。
在一个实施例中,每个网络设备被感染的概率通过如下方式获取:
根据非法终端的数量与每个非法终端出现的概率、每个非法终端与每个网络设备建立链接的概率、每个非法终端不发生自身消亡的概率以及每个非法终端能够感染网络设备的概率确定每个网络设备被感染的概率;
其中,每个非法终端出现的概率、每个非法终端与每个网络设备建立链接的概率、每个非法终端不发生自身消亡的概率以及每个非法终端能够感染网络设备的概率相互独立。
具体地,对于一个由网络设备、非法终端以及合法终端构成的网络,网络中存在的网络设备数量为Nu,非法终端数量为Nv,合法终端数量为N0。对于一个非法终端,其本身会对网络发起攻击,导致网络瘫痪、降低网络性能等结果。对于多个非法终端出现的情况,每个非法终端出现的概率相互独立,且为ρ0。对于非法终端,除了经过网络安全设备的鉴别以外,还有非法终端自身消亡的现象,设定每个非法终端自身消亡的概率为δ,且每个非法终端能够感染网络设备的概率为β。对于非法终端而言,经过安全防御系统鉴别后,还要经历不发生消亡且以概率β完成网络设备的感染。
此外,本发明考虑通用网络环境,即网络中网络设备的分布式立体随机的,具体可以描述为:在给定的网络环境下,针对不同地点、不同用途以及不同感染风险等因素,所有设备都会均匀地分布。根据网络设备的分布情况,可以容易得知,在上一次感染的网络设备中,其分布也符合均匀分布,故对于Nu个网络设备,在接下来的接入过程中,如果发生非法终端入侵,在随机感染网络设备过程中,可能会感染到上一次中已经被感染的网络设备,但是无法再次进行数据交换建立链接。因此,在结束第一次接入网络的过程后,从第二次接入开始,每次可以建立链接的网络设备数量为前几次连接中没有被感染的网络设备数量,还需考虑每个非法终端与每个网络设备建立链接的概率。
在第M次接入网络时,每个非法终端与每个网络设备建立链接的概率为ρM,对于Nv个非法终端而言,每个终端被感染的概率为:
Figure BDA0003241786570000121
本发明提供的评估网络安全性能的方法,通过充分考虑非法终端自身消亡的现象,且每个非法终端能够感染网络设备的概率,每个非法终端与每个网络设备建立链接的概率,来确定每个终端被感染的概率,可以最大限度地避免由于错判导致影响终端的数据交互。
在一个实施例中,每个非法终端与每个网络设备建立链接的概率通过如下方式获取:
根据实际网络设备数量和每个终端每次接入网络后被感染的网络设备数量确定每个非法终端与每个网络设备建立链接的概率。
具体地,本发明考虑通用网络环境,即网络中网络设备的分布式立体随机的,具体可以描述为:在给定的网络环境下,针对不同地点、不同用途以及不同感染风险等因素,所有设备都会均匀地分布。根据网络设备的分布情况,可以容易得知,在上一次感染的网络设备中,其分布也符合均匀分布,故对于Nu个网络设备,在接下来的接入过程中,如果发生非法终端入侵,在随机感染网络设备过程中,可能会感染到上一次中已经被感染的网络设备,但是无法再次进行数据交换建立链接。因此,在结束第一次接入网络的过程后,从第二次接入开始,每次可以建立链接的网络设备数量为前几次连接中没有被感染的网络设备数量。
在第M次终端接入网络中,每个非法终端与每个网络设备建立链接的概率
Figure BDA0003241786570000131
可以理解的是,在第一次接入网络中,
Figure BDA0003241786570000132
例如,在终端接入网络时,对于合法终端,由于经过安全防御系统后有3种鉴别结果,结合前文提出的不同判决结果有不同的连接数量限制,可以得出,当终端接入网络时,由于网络中的设备没有被非法终端感染过,根据不同判决结果合法终端可以连接的设备数目如下:
(1)检测结果为合法终端:N21=N0·P11·n;
(2)检测结果为非法终端:N22=N0·P12·α1·Nu
(3)检测结果为疑似非法终端:N23=N0·P13·α2·Nu
对于非法终端,根据鉴别结果以及自身的消亡、感染等过程后,在不同状况下可以建立连接的数量如下:
(1)检测结果为合法终端下的连接数量:
Figure BDA0003241786570000133
(2)检测结果为非法终端下的连接数量:
Figure BDA0003241786570000141
(3)检测结果为疑似非法终端下的连接数量:
Figure BDA0003241786570000142
经过上一次的接入,非法终端与合法终端在接入网络后,经过处理策略后的链接数目为N11+N12+N13+N21+N22+N23,其中,网络设备在与非法终端建立链接后,其受到感染,不能参与到下一次的终端设备的连接中,这些设备的数量即在这一次连接中被感染设备的数目为:
C1=N11+N12+N13=ρ1·N0
Figure BDA0003241786570000143
在结束第一次接入网络的过程后,从第二次接入网络开始,每次可以连接的设备数目为前几次连接中没有被感染的设备数目。
在第二次接入过程中,被感染的数目为:
Figure BDA0003241786570000144
前两次总计被感染的设备数目为:
Figure BDA0003241786570000145
显然,每次连接中,由于被感染设备的随机分布,非法终端连接后感染的设备不再是N0′。以此类推,第三次感染的设备数目为:
Figure BDA0003241786570000151
前三次被感染的设备数目为:
Figure BDA0003241786570000152
第四次被感染的设备为:
Figure BDA0003241786570000153
前四次被感染的设备数目为:
Figure BDA0003241786570000154
第M次被感染的设备为:
Figure BDA0003241786570000155
则前M次中共计感染的设备为:
Figure BDA0003241786570000156
根据以上计算结果,本发明专利推导经过M次接入后的网络攻击指数:
Figure BDA0003241786570000161
本发明提供的评估网络安全性能的方法,通过确定终端每次接入网络后被感染的网络设备数量,确定网络攻击指数,以网络设备为对象,针对网络设备的整体性能开展研究,实时掌控网络被攻击的情况,解决了网络安全防护中整体性能评估的问题,避免了采集流量、分析协议、语意判断等带来的复杂计算且在一定程度上不能实现的困境。
下面对本发明提供的评估网络安全性能的装置进行描述,下文描述的评估网络安全性能的装置与上文描述的评估网络安全性能的方法可相互对应参照。
图2为本发明提供的评估网络安全性能的装置的结构示意图,如图2所示,该装置可以包括:
第一确定模块210,用于根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量;
第二确定模块220,用于在终端接入网络的次数满足预设接入次数条件的情况下,根据终端每次接入网络后被感染的网络设备数量,确定网络攻击指数;
其中,终端包括合法终端和非法终端;
被感染的网络设备为与所述非法终端建立链接并感染的网络设备;
网络攻击指数用于评估网络安全性能。
本发明提供的评估网络安全性能的装置,通过确定终端每次接入网络后被感染的网络设备数量,确定网络攻击指数,以网络设备为对象,针对网络设备的整体性能开展研究,解决了网络安全防护中整体性能评估的问题,实时掌控网络被攻击的情况,避免了采集流量、分析协议、语意判断等带来的复杂计算且在一定程度上不能实现的困境。
在一个实施例中,本发明提供的评估网络安全性能的装置还可以包括:
检测模块,用于对终端每次接入网络的合法性进行检测,根据检测结果确定终端每次接入网络的访问权限。
在一个实施例中,对终端每次接入网络的合法性进行检测,根据检测结果确定终端每次接入网络的访问权限,包括:
若检测结果是合法终端,合法终端接入网络后能够访问第一数量网络设备;
若检测结果是非法终端,非法终端接入网络后能够访问第二数量网络设备;
若检测结果是疑似非法终端,疑似非法终端接入网络后能够访问第三数量网络设备;
其中,第一数量小于或等于实际网络设备数量,
第一数量大于第三数量,
且第三数量大于第二数量。
在一个实施例中,终端每次接入网络后被感染的网络设备数量通过如下方式获取:
根据非法终端被判定为合法终端时感染的网络设备数量、非法终端被判定为非法终端时感染的网络设备数量以及非法终端被判定为疑似非法终端时感染的网络设备数量确定终端每次接入网络后被感染的网络设备数量。
在一个实施例中,非法终端被判定为合法终端时感染的网络设备数量通过如下方式获取:
根据第一数量和每个网络设备被感染的概率确定非法终端被判定为合法终端时感染的网络设备数量;
非法终端被判定为非法终端时感染的网络设备数量通过如下方式获取:
根据第二数量和每个网络设备被感染的概率确定非法终端被判定为合法终端时感染的网络设备数量;
非法终端被判定为疑似非法终端时感染的网络设备数量通过如下方式获取:
根据第三数量和每个网络设备被感染的概率确定非法终端被判定为疑似非法终端时感染的网络设备数量。
在一个实施例中,每个网络设备被感染的概率通过如下方式获取:
根据非法终端的数量与每个非法终端出现的概率、每个非法终端与每个网络设备建立链接的概率、每个非法终端不发生自身消亡的概率以及每个非法终端能够感染网络设备的概率确定每个网络设备被感染的概率;
其中,每个非法终端出现的概率、每个非法终端与每个网络设备建立链接的概率、每个非法终端不发生自身消亡的概率以及每个非法终端能够感染网络设备的概率相互独立。
在一个实施例中,每个非法终端与每个网络设备建立链接的概率通过如下方式获取:
根据实际网络设备数量和终端每次接入网络后被感染的网络设备数量确定每个非法终端与每个网络设备建立链接的概率。
本发明还提供一种电子设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述评估网络安全性能的方法的步骤。
图3示例了一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器(processor)310、通信接口(Communication Interface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的计算机程序,以执行评估网络安全性能的方法的步骤,例如包括:
根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量;
在终端接入网络的次数满足预设接入次数条件的情况下,根据终端每次接入网络后被感染的网络设备数量,确定网络攻击指数;
其中,终端包括合法终端和非法终端;
被感染的网络设备为与非法终端建立链接并感染的网络设备;
网络攻击指数用于评估网络安全性能。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令被计算机执行时,计算机能够执行上述各方法所提供的评估网络安全性能的的方法的步骤,例如包括:
根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量;
在终端接入网络的次数满足预设接入次数条件的情况下,根据终端每次接入网络后被感染的网络设备数量,确定网络攻击指数;
其中,终端包括合法终端和非法终端;
被感染的网络设备为与非法终端建立链接并感染的网络设备;
网络攻击指数用于评估网络安全性能。
另一方面,本申请实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,计算机程序用于使处理器执行上述各实施例提供的评估网络安全性能的方法的步骤,例如包括:
根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量;
在终端接入网络的次数满足预设接入次数条件的情况下,根据终端每次接入网络后被感染的网络设备数量,确定网络攻击指数;
其中,终端包括合法终端和非法终端;
被感染的网络设备为与非法终端建立链接并感染的网络设备;
网络攻击指数用于评估网络安全性能。
所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD))等。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种评估网络安全性能的方法,其特征在于,包括:
根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量;
在终端接入网络的次数满足预设接入次数条件的情况下,根据所述终端每次接入网络后被感染的网络设备数量,确定网络攻击指数;
其中,所述终端包括合法终端和非法终端;
所述被感染的网络设备为与所述非法终端建立链接并感染的网络设备;
所述网络攻击指数用于评估网络安全性能。
2.根据权利要求1所述的评估网络安全性能的方法,其特征在于,所述根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量之前,包括:
对终端每次接入网络的合法性进行检测,根据检测结果确定终端每次接入网络的访问权限。
3.根据权利要求2所述的评估网络安全性能的方法,其特征在于,所述对终端每次接入网络的合法性进行检测,根据检测结果确定终端每次接入网络的访问权限,包括:
若检测结果是合法终端,所述合法终端接入网络后能够访问第一数量网络设备;
若检测结果是非法终端,所述非法终端接入网络后能够访问第二数量网络设备;
若检测结果是疑似非法终端,所述疑似非法终端接入网络后能够访问第三数量网络设备;
其中,所述第一数量小于或等于实际网络设备数量,
所述第一数量大于所述第三数量,
且所述第三数量大于所述第二数量。
4.根据权利要求3所述的评估网络安全性能的方法,其特征在于,所述终端每次接入网络后被感染的网络设备数量通过如下方式获取:
根据非法终端被判定为合法终端时感染的网络设备数量、非法终端被判定为非法终端时感染的网络设备数量以及非法终端被判定为疑似非法终端时感染的网络设备数量确定所述终端每次接入网络后被感染的网络设备数量。
5.根据权利要求4所述的评估网络安全性能的方法,其特征在于,
所述非法终端被判定为合法终端时感染的网络设备数量通过如下方式获取:
根据所述第一数量和每个网络设备被感染的概率确定所述非法终端被判定为合法终端时感染的网络设备数量;
所述非法终端被判定为非法终端时感染的网络设备数量通过如下方式获取:
根据所述第二数量和每个网络设备被感染的概率确定所述非法终端被判定为合法终端时感染的网络设备数量;
所述非法终端被判定为疑似非法终端时感染的网络设备数量通过如下方式获取:
根据所述第三数量和每个网络设备被感染的概率确定所述非法终端被判定为疑似非法终端时感染的网络设备数量。
6.根据权利要求5所述的评估网络安全性能的方法,其特征在于,所述每个网络设备被感染的概率通过如下方式获取:
根据非法终端的数量与每个非法终端出现的概率、每个非法终端与每个网络设备建立链接的概率、每个非法终端不发生自身消亡的概率以及每个非法终端能够感染网络设备的概率确定所述每个网络设备被感染的概率;
其中,所述每个非法终端出现的概率、所述每个非法终端与每个网络设备建立链接的概率、所述每个非法终端不发生自身消亡的概率以及所述每个非法终端能够感染网络设备的概率相互独立。
7.根据权利要求6所述的评估网络安全性能的方法,其特征在于,所述每个非法终端与每个网络设备建立链接的概率通过如下方式获取:
根据实际网络设备数量和所述终端每次接入网络后被感染的网络设备数量确定所述每个非法终端与每个网络设备建立链接的概率。
8.一种评估网络安全性能的装置,其特征在于,包括:
第一确定模块,用于根据终端的访问权限,确定终端每次接入网络后被感染的网络设备数量;
第二确定模块,用于在终端接入网络的次数满足预设接入次数条件的情况下,根据所述终端每次接入网络后被感染的网络设备数量,确定网络攻击指数;
其中,所述终端包括合法终端和非法终端;
所述被感染的网络设备为与所述非法终端建立链接并感染的网络设备;
所述网络攻击指数用于评估网络安全性能。
9.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述评估网络安全性能的方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述评估网络安全性能的方法的步骤。
CN202111021902.XA 2021-09-01 2021-09-01 评估网络安全性能的方法及装置 Active CN113852607B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111021902.XA CN113852607B (zh) 2021-09-01 2021-09-01 评估网络安全性能的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111021902.XA CN113852607B (zh) 2021-09-01 2021-09-01 评估网络安全性能的方法及装置

Publications (2)

Publication Number Publication Date
CN113852607A true CN113852607A (zh) 2021-12-28
CN113852607B CN113852607B (zh) 2023-06-13

Family

ID=78976721

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111021902.XA Active CN113852607B (zh) 2021-09-01 2021-09-01 评估网络安全性能的方法及装置

Country Status (1)

Country Link
CN (1) CN113852607B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101345646A (zh) * 2007-07-11 2009-01-14 华为技术有限公司 评估网络侧安全状态的方法和安全认证系统
CN102711107A (zh) * 2012-05-17 2012-10-03 北京工业大学 基于关键节点的无线传感器网络入侵检测方法
CN107395598A (zh) * 2017-07-25 2017-11-24 重庆邮电大学 一种抑制病毒传播的自适应防御方法
CN107426241A (zh) * 2017-08-25 2017-12-01 北京神州绿盟信息安全科技股份有限公司 一种网络安全防护的方法及装置
RU2700548C1 (ru) * 2018-12-25 2019-09-17 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ моделирования сетей связи
CN111262858A (zh) * 2020-01-16 2020-06-09 郑州轻工业大学 基于sa_soa_bp神经网络的网络安全态势预测方法
WO2021045846A1 (en) * 2019-07-30 2021-03-11 Saudi Arabian Oil Company Cybersecurity vulnerability classification and remediation based on installation base

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101345646A (zh) * 2007-07-11 2009-01-14 华为技术有限公司 评估网络侧安全状态的方法和安全认证系统
CN102711107A (zh) * 2012-05-17 2012-10-03 北京工业大学 基于关键节点的无线传感器网络入侵检测方法
CN107395598A (zh) * 2017-07-25 2017-11-24 重庆邮电大学 一种抑制病毒传播的自适应防御方法
CN107426241A (zh) * 2017-08-25 2017-12-01 北京神州绿盟信息安全科技股份有限公司 一种网络安全防护的方法及装置
RU2700548C1 (ru) * 2018-12-25 2019-09-17 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ моделирования сетей связи
WO2021045846A1 (en) * 2019-07-30 2021-03-11 Saudi Arabian Oil Company Cybersecurity vulnerability classification and remediation based on installation base
CN111262858A (zh) * 2020-01-16 2020-06-09 郑州轻工业大学 基于sa_soa_bp神经网络的网络安全态势预测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
刘衍珩;孙鑫;王健;李伟平;朱建启;: "基于用户行为和网络拓扑的Email蠕虫传播", 吉林大学学报(工学版) *
张劭帅;袁津生;: "基于集对分析的WSN安全态势感知模型的研究", 计算机工程与科学 *

Also Published As

Publication number Publication date
CN113852607B (zh) 2023-06-13

Similar Documents

Publication Publication Date Title
CN109753806B (zh) 服务器防护方法及装置
US9848016B2 (en) Identifying malicious devices within a computer network
US9680849B2 (en) Rootkit detection by using hardware resources to detect inconsistencies in network traffic
EP3029593B1 (en) System and method of limiting the operation of trusted applications in the presence of suspicious programs
EP2788912B1 (en) Predictive heap overflow protection
RU2680736C1 (ru) Сервер и способ для определения вредоносных файлов в сетевом трафике
US20160234230A1 (en) System and method for preventing dos attacks utilizing invalid transaction statistics
CN108337219B (zh) 一种物联网防入侵的方法和存储介质
US20180247055A1 (en) Methods for protecting a host device from untrusted applications by sandboxing
CN112491803A (zh) 拟态waf中执行体的裁决方法
CN113556343B (zh) 基于浏览器指纹识别的DDoS攻击防御方法及设备
CN114944961B (zh) 网络安全防护方法、装置、系统和电子设备
US11019494B2 (en) System and method for determining dangerousness of devices for a banking service
CN114756866A (zh) 动态安全防护的方法、装置、存储介质及电子设备
CN110177113B (zh) 互联网防护系统及访问请求处理方法
CN113852607A (zh) 评估网络安全性能的方法及装置
CN114726579B (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
CN117254918A (zh) 零信任动态授权方法、装置、电子设备及可读存储介质
CN109743303B (zh) 应用保护方法、装置、系统和存储介质
EP3441930A1 (en) System and method of identifying potentially dangerous devices during the interaction of a user with banking services
CN113824699B (zh) 一种网络安全检测方法及装置
KR101701310B1 (ko) DDoS 공격 탐지 장치 및 방법
CN111241543B (zh) 一种应用层智能抵御DDoS攻击的方法及系统
US11005859B1 (en) Methods and apparatus for protecting against suspicious computer operations using multi-channel protocol
CN117650922A (zh) 安全防护方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant