CN115134258A - 一种基于网络攻击面的网络安全效能度量方法 - Google Patents
一种基于网络攻击面的网络安全效能度量方法 Download PDFInfo
- Publication number
- CN115134258A CN115134258A CN202210759368.0A CN202210759368A CN115134258A CN 115134258 A CN115134258 A CN 115134258A CN 202210759368 A CN202210759368 A CN 202210759368A CN 115134258 A CN115134258 A CN 115134258A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- network security
- security
- security performance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000691 measurement method Methods 0.000 title claims abstract description 14
- 238000005259 measurement Methods 0.000 claims abstract description 66
- 238000011156 evaluation Methods 0.000 claims abstract description 28
- 230000000694 effects Effects 0.000 claims abstract description 14
- 230000007123 defense Effects 0.000 claims description 42
- 238000000034 method Methods 0.000 claims description 41
- 238000004364 calculation method Methods 0.000 claims description 23
- 238000013139 quantization Methods 0.000 claims description 15
- 230000006399 behavior Effects 0.000 claims description 13
- 238000007726 management method Methods 0.000 claims description 10
- 238000011160 research Methods 0.000 claims description 10
- 238000004458 analytical method Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 9
- 238000011002 quantification Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 claims description 6
- 238000012423 maintenance Methods 0.000 claims description 6
- 230000008520 organization Effects 0.000 claims description 6
- 239000000523 sample Substances 0.000 claims description 6
- 241000700605 Viruses Species 0.000 claims description 3
- 238000012550 audit Methods 0.000 claims description 3
- 230000008859 change Effects 0.000 claims description 3
- 238000005336 cracking Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 claims description 3
- 238000011161 development Methods 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 230000008602 contraction Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于网络攻击面的网络安全效能度量方法,属于信息安全技术领域。本发明基于网络攻击面识别,从系统存在的安全风险、攻击造成的威胁、系统具备的防护能力三个维度出发,利用提出的网络安全效能要素组成和网络安全效能演化,确定网络安全效能度量任务以及度量指标体系,克服了仅将网络攻击的效果等同于网络安全效能的局限性。同时本发明针对网络安全效能提出了具有可度量性、能够真实反映网络安全效能的衡量因子,避免了衡量因子脱离实际抽象存在,提升了评估结果的准确性。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种基于网络攻击面的网络安全效能度量方法。
背景技术
网络安全效能度量是在复杂对抗的网络环境下,通过分析信息系统的防御能力,信息系统遭受攻击后在可用性、安全性、性能等方面的变化程度,以及攻击和防御彼此抵消的结果等,评定网络安全的效能值。目前开展的对网络安全性评定的研究主要有两类,一是侧重于从网络或系统自身脆弱性角度评定网络的安全性,二是侧重于从攻击对网络安全性造成影响的角度,度量网络安全性的变化情况。但目前的研究还存在以下不足:一是按照标准对信息系统安全防御措施的达标情况进行对比;二是侧重衡量攻击的效果,忽略了防御的作用,评估结果具有局限性、片面性;三是评估的衡量指标有脱离实际客观存在的倾向,评估结果有失准确性。
现有的网络安全效能都是从一个侧面去衡量网络安全效能,或是将网络攻击效果等同于网络安全效能,或是将网络已采取的安全防护措施等同于网络安全效能,网络安全效能是网络攻击和防御此消彼长、相互抵消博弈后的结果,只从一个侧面考虑缺乏准确性、可信度,需要从网络安全整体角度出发,从多个维度进行综合分析,才能保证评价结果更加准确、科学。如果将现有技术使用的攻击效能评估结果和防护能力分析结果统一考虑,又缺乏有效的分析方法和统一的衡量指标,则无法根据现有的结果推演出网络安全效能。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何针对信息系统缺乏网络安全能力程度、安全防御效果的定量计算问题,设计一种可量化计算的网络安全效能度量方法。
(二)技术方案
为了解决上述技术问题,本发明提供了一种基于网络攻击面的网络安全效能度量方法,包括以下步骤:
网络攻击面建模:网络攻击面表示攻击者能够进入信息系统并造成破坏的方法集合,网络攻击面分解为外部攻击面、内部攻击面和供应链攻击面,网络攻击面建模是站在攻击者视角,去全面分析网络系统存在的风险,包括信息系统漏洞、场景环境、业务流程、配置管理、人员行为、环境要素;
网络安全效能要素分解:将网络安全效能要素分解为安全风险、攻击威胁和防御能力,其中,所述安全风险是信息系统的网络安全风险,是依据网络攻击面建模来全面分析网络存在的安全风险,衡量网络安全风险的因子包括信息资产脆弱性、网络毁伤效果、资产毁伤效果、业务毁伤效果、业务响应延迟、网络时延、网络拥塞时间,不同特性的网络有着不同的网络安全风险因子;所述攻击威胁是信息系统遭受的网络攻击,衡量网络攻击威胁的因子包括攻击组织能力画像、IP上下文属性、域名上下文属性、样本属性、攻击技战术、攻击成功的次数、攻击花费的时间、网络欺骗、网络监听、口令破解、拒绝服务供给、缓冲区溢出攻击、web攻击、恶意代码攻击、木马攻击、蠕虫攻击和流量劫持;所述防御能力是信息系统安全防护措施的能力,衡量网络防御能力的因子包括网络韧性能力、网络流量过滤能力、入侵检测能力、病毒查杀能力、身份鉴别能力、访问控制能力、安全审计能力、通信加密能力;
网络安全效能演化:从网络安全技术、网络安全管理、网络安全策略、网络安全运维、网络安全分析这些角度来分析网络安全效能演化的因素,将网络安全效能演化分解为场景业务演化、人员行为演化和威胁情报演化三大部分,来分析网络安全效能发展动向;其中,所述场景业务演化是将信息系统网络安全效能随着业务应用、网络拓扑、使用场景的变化进行动态调整;所述人员行为演化是信息系统使用人员、管理人员、使用行为、安全策略和管理制度的变化进行动态调整;所述威胁情报演化是指从攻击源头的攻击组织,使用工具软件、技战法、资源掌握能力的变化进行动态调整;
网络安全效能度量任务生成:根据实际特定的信息系统场景,选择网络区域、关键节点、业务数据、网络流量进行采集器或探针的部署,并部署相应的网络攻击工具,生成网络安全效能度量任务,包括计算、存储、网络、通信、应用、数据、管理多个维度的度量任务;
网络安全效能度量指标体系生成:根据网络安全效能度量任务生成,推导出网络安全效能度量指标体系,具体包括指标定义、指标区分度和指标基线;基于网络安全效能度量任务,按照最小化、最细粒度的模式,优先选择具有代表性、核心关键业务、网络流量进出频繁的原则去选择的特定网络区域、特定网络节点、特定主机的相关特征进行指标选择,包括:网络入口流量、网络出口流量、网络带宽、网络时延、网络吞吐、主机进程数量、主机资源占用率、服务器上下行流量、网络端口号;并结合网络安全效能度量指标体系对指标优化,根据历史数据记录,给出具体的参考度量指标基线值或指标基线区间;
网络安全效能量化函数生成:根据参考度量指标基线值或指标基线区间,对特定网络区域、特定网络节点、特定主机进行相关的度量数据采集,通过网络安全效能量化函数来实现对各种采集到的度量数据进行量化、组合、测量从而完成安全效能计算,其中,结合安全风险、攻击威胁与防御能力这三种网络安全效能要素的协同演化计算,形成网络安全效能评估结果;其中,网络安全效能量化函数的变量包括网络入口流量、网络出口流量、网络带宽、网络时延、网络吞吐、主机进程数量、主机资源占用率、服务器上下行流量、网络端口号的采集结果;常量包括两部分,一部分是根据网络攻防技术研究和实战经验,给出的参考值,另一部分是不同变量的比重因子。
优选地,所述网络攻击面建模的结果是能够对安全风险进行全面客观的分析。
优选地,所述网络安全风险因子的权重根据风险的危害性、发生概率进行设置。
优选地,所述网络安全效能量化函数的两部分常量均根据实际网络特点进行调整。
优选地,所述网络安全效能量化函数F=防御能力D-安全风险R-攻击威胁A。
本发明还提供了一种利用所述网络安全效能度量方法实现收缩网络攻击面的方法。
本发明还提供了一种利用所述网络安全效能度量方法实现定位网络安全防御的最佳效能点的方法。
本发明还提供了一种利用所述网络安全效能度量方法实现的网络安全防御方法。
本发明还提供了一种上述方法在信息安全中的应用。
本发明又提供了一种利用所述的方法实现的网络安全效能度量系统。
(三)有益效果
本发明基于网络攻击面识别,从系统存在的安全风险、攻击造成的威胁、系统具备的防护能力三个维度出发,利用提出的网络安全效能要素组成和网络安全效能演化,确定网络安全效能度量任务以及度量指标体系,克服了仅将网络攻击的效果等同于网络安全效能的局限性。同时本发明针对网络安全效能提出了具有可度量性、能够真实反映网络安全效能的衡量因子,避免了衡量因子脱离实际抽象存在,提升了评估结果的准确性。此外,本发明克服了网络安全评估过程的主观性,把安全评估从粗略比较阶段推向精准计算阶段。一是从网络攻击面视角提出安全度量函数,建立完备的安全度量指标体系框架;二是提出安全度量指标量化、组合及效用评估的客观量化框架,构建网络安全度量技术体系。本发明还克服了仅将网络攻击或网络防护等同于网络安全效能的局限性,保证了评估结果的全面性;同时提出来具有可度量性的网络安全效能评估衡量因子,保证了评估结果的准确性。该方法能够在实际项目研究、工程建设中应用。
附图说明
图1为基于网络攻击面的网络安全效能度量结构图。
具体实施方式
为使本发明的目的、内容和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
精准的网络安全效能度量是对信息系统进行网络安全测试评估的核心所在。针对信息系统缺乏网络安全能力程度、安全防御效果的定量计算问题,有必要设计一种可量化计算的网络安全效能度量方法。
本发明提供了一种基于网络攻击面的安全效能度量方法,将网络攻击面的概念引入到网络安全效能的度量计算中,围绕信息系统实现对其网络安全能力程度、安全防御效果的评估。该方法具体是从网络攻击面建模、网络攻击面识别入手,从系统存在的安全风险、攻击造成的威胁、系统具备的防护能力三个维度出发,开展网络安全效能要素及其关联、制约关系分析,结合网络安全效能的演化,推导网络安全度量任务,建立网络安全度量指标体系,通过网络安全效能函数进行精确计算,克服了仅将网络攻击的效果等同于网络安全效能的局限性,推动网络安全测试评估能力从“粗略比较”向“精准计算”演进。
本发明提供的一种基于网络攻击面的网络安全效能度量方法,包括网络攻击面建模、网络安全效能要素构成、网络安全效能演化、网络安全效能度量任务生成、网络安全效能度量指标体系和网络安全效能量化函数这几部分主要内容,如图1所示。从网络攻击面着手对军事信息系统开展安全度量模型研究,建立一条从网络攻击面建模、网络安全效能要素构成、网络安全效能演化机理、网络安全效能度量任务生成、网络安全效能度量指标体系、网络安全度量量化函数,再到网络攻击面建模的闭环链条,能够较全面计算、刻画和评估系统的网络安全效能。评估结果既可作为安全防御体系的效能评估数据依据,又可作为安全防御提升方向的参考。根据网络安全效能评估结果,可以研究收缩网络攻击面,操纵网络攻击面和移动网络攻击面等模式,以及定位网络安全防御的最佳效能点。
以下将结合附图对所述的一种基于网络攻击面的网络安全效能度量方法进行具体阐述。如图1所示,本发明的方法形成了一个从识别攻击面、效能演化、推导度量任务、选取指标、计算评估、收缩攻击面,再到识别攻击面的闭环。该方法共包含6个步骤先后依次运行,分别为:网络攻击面建模、网络安全效能要素分解、网络安全效能演化、网络安全效能度量任务生成、网络安全效能度量指标体系生成、网络安全效能量化函数生成。
网络攻击面建模:网络攻击面表示攻击者能够进入信息系统并造成破坏的方法集合,本方法具体将网络攻击面分解为外部攻击面、内部攻击面和供应链攻击面。网络攻击面建模是指站在攻击者视角,去全面分析网络系统存在的风险,包括信息系统漏洞、场景环境、业务流程、配置管理、人员行为、环境要素等。网络攻击面建模的成果就是能够对安全风险进行全面客观的分析。
网络安全效能要素分解:从网络攻防视角来看,衡量一个网络的安全程度,主要是看网络还存在哪些安全风险,面临哪些外部的攻击威胁以及网络的防御能力。因此,可以大致将网络安全效能要素分解为安全风险、攻击威胁和防御能力。其中,安全风险是系统的网络安全风险,是依据网络攻击面建模来全面分析网络存在的安全风险,衡量网络安全风险的因子至少包括信息资产脆弱性、网络毁伤效果、资产毁伤效果、业务毁伤效果、业务响应延迟、网络时延、网络拥塞时间等,不同特性的网络有着不同的网络安全风险因子,因子的权重可以根据风险的危害性、发生概率等进行设置;攻击威胁是系统遭受的网络攻击,衡量网络攻击威胁的因子至少包括攻击组织能力画像、IP上下文属性、域名上下文属性、样本属性、攻击技战术、攻击成功的次数、攻击花费的时间、网络欺骗、网络监听、口令破解、拒绝服务供给、缓冲区溢出攻击、web攻击、恶意代码攻击、木马攻击、蠕虫攻击和流量劫持等;防御能力是系统安全防护措施的能力,衡量网络防御能力的因子至少包括网络韧性能力、网络流量过滤能力、入侵检测能力、病毒查杀能力、身份鉴别能力、访问控制能力、安全审计能力、通信加密能力等。
网络安全效能演化:网络安全防御能力会随着场景业务、人员行为、攻击对手能力等内外部环境不断演化调整,例如在新业务上线后,往往由于新业务带来新的安全风险;资深的安全运维人员离职后,由刚入职的安全运维人员负责时,网络安全防御能力会显著降低;在对手的网络攻击武器大幅提升后,网络的防御能力也会降低。该方法主要是从网络安全技术、网络安全管理、网络安全策略、网络安全运维、网络安全分析等多个角度来分析网络安全效能演化的因素,主要将网络安全效能演化分解为场景业务演化、人员行为演化和威胁情报演化三大部分因素,来分析网络安全效能发展动向。其中,场景业务演化主要是信息系统网络安全效能会随着业务应用、网络拓扑、使用场景的变化进行动态调整;人员行为演化主要是信息系统使用人员、管理人员、使用行为、安全策略和管理制度等的变化进行动态调整;威胁情报演化主要是指从攻击源头的攻击组织,使用工具软件、技战法、资源掌握能力等的变化进行动态调整。
网络安全效能度量任务生成:根据实际特定的信息系统场景,选择网络区域、关键节点、业务数据、网络流量进行采集器或探针的部署,并部署相应的网络攻击工具,生成网络安全效能度量任务,包括计算、存储、网络、通信、应用、数据、管理多个维度的度量任务。
网络安全效能度量指标体系生成:根据网络安全效能度量任务生成,推导出网络安全效能度量指标体系,具体包括指标定义、指标区分度和指标基线。基于网络安全效能度量任务,按照最小化、最细粒度的模式,优先选择具有代表性、核心关键业务、网络流量进出频繁的原则去选择的特定网络区域、特定网络节点、特定主机的相关特征进行指标选择,可包括:网络入口流量、网络出口流量、网络带宽、网络时延、网络吞吐、主机进程数量、主机资源占用率、服务器上下行流量、网络端口号等等;并结合网络安全效能度量指标体系对指标优化,根据历史数据记录,给出具体的参考度量指标基线值或指标基线区间等。
网络安全效能量化函数生成:根据前一步骤的度量指标,对特定网络区域、特定网络节点、特定主机去开展相关的度量数据采集,通过网络安全效能量化函数来实现对各种采集到的数据进行量化、组合、测量完成安全效能计算。其中,网络安全效能量化函数的变量主要是网络入口流量、网络出口流量、网络带宽、网络时延、网络吞吐、主机进程数量、主机资源占用率、服务器上下行流量、网络端口号的采集结果;常量包括两部分,一部分是根据网络攻防技术研究和实战经验,给出的参考值,另一部分是不同变量的比重因子,两部分常量均可根据实际网络特点进行调整。再通过网络安全效能量化函数完成计算,结合安全风险、攻击威胁与防御能力这三种网络安全效能要素的协同演化计算,形成网络安全效能评估结果。
利用生成的网络安全效能量化函数根据网络安全效能度量指标体系进行计算评估,分解为度量数据采集、安全效能计算和安全效能评估。网络安全效能量化函数F=防御能力D-安全风险R-攻击威胁A。基于网络安全效能度量指标的量化、组合、测量与验证方法,通过网络安全效能量化函数完成计算,结合安全风险、攻击威胁与防御能力这三种网络安全效能要素的协同演化计算,形成网络安全效能评估结果。
最后,由网络安全效能量化函数得出的计算评估结果可以研究收缩网络攻击面,通过操纵网络攻击面和移动网络攻击面等多种模式,定位网络安全防御的最佳效能点,既可作为网络安全防御体系的效能评估数据依据,又可作为网络安全防御提升方向的参考。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种基于网络攻击面的网络安全效能度量方法,其特征在于,包括以下步骤:
网络攻击面建模:网络攻击面表示攻击者能够进入信息系统并造成破坏的方法集合,网络攻击面分解为外部攻击面、内部攻击面和供应链攻击面,网络攻击面建模是站在攻击者视角,去全面分析网络系统存在的风险,包括信息系统漏洞、场景环境、业务流程、配置管理、人员行为、环境要素;
网络安全效能要素分解:将网络安全效能要素分解为安全风险、攻击威胁和防御能力,其中,所述安全风险是信息系统的网络安全风险,是依据网络攻击面建模来全面分析网络存在的安全风险,衡量网络安全风险的因子包括信息资产脆弱性、网络毁伤效果、资产毁伤效果、业务毁伤效果、业务响应延迟、网络时延、网络拥塞时间,不同特性的网络有着不同的网络安全风险因子;所述攻击威胁是信息系统遭受的网络攻击,衡量网络攻击威胁的因子包括攻击组织能力画像、IP上下文属性、域名上下文属性、样本属性、攻击技战术、攻击成功的次数、攻击花费的时间、网络欺骗、网络监听、口令破解、拒绝服务供给、缓冲区溢出攻击、web攻击、恶意代码攻击、木马攻击、蠕虫攻击和流量劫持;所述防御能力是信息系统安全防护措施的能力,衡量网络防御能力的因子包括网络韧性能力、网络流量过滤能力、入侵检测能力、病毒查杀能力、身份鉴别能力、访问控制能力、安全审计能力、通信加密能力;
网络安全效能演化:从网络安全技术、网络安全管理、网络安全策略、网络安全运维、网络安全分析这些角度来分析网络安全效能演化的因素,将网络安全效能演化分解为场景业务演化、人员行为演化和威胁情报演化三大部分,来分析网络安全效能发展动向;其中,所述场景业务演化是将信息系统网络安全效能随着业务应用、网络拓扑、使用场景的变化进行动态调整;所述人员行为演化是信息系统使用人员、管理人员、使用行为、安全策略和管理制度的变化进行动态调整;所述威胁情报演化是指从攻击源头的攻击组织,使用工具软件、技战法、资源掌握能力的变化进行动态调整;
网络安全效能度量任务生成:根据实际特定的信息系统场景,选择网络区域、关键节点、业务数据、网络流量进行采集器或探针的部署,并部署相应的网络攻击工具,生成网络安全效能度量任务,包括计算、存储、网络、通信、应用、数据、管理多个维度的度量任务;
网络安全效能度量指标体系生成:根据网络安全效能度量任务生成,推导出网络安全效能度量指标体系,具体包括指标定义、指标区分度和指标基线;基于网络安全效能度量任务,按照最小化、最细粒度的模式,优先选择具有代表性、核心关键业务、网络流量进出频繁的原则去选择的特定网络区域、特定网络节点、特定主机的相关特征进行指标选择,包括:网络入口流量、网络出口流量、网络带宽、网络时延、网络吞吐、主机进程数量、主机资源占用率、服务器上下行流量、网络端口号;并结合网络安全效能度量指标体系对指标优化,根据历史数据记录,给出具体的参考度量指标基线值或指标基线区间;
网络安全效能量化函数生成:根据参考度量指标基线值或指标基线区间,对特定网络区域、特定网络节点、特定主机进行相关的度量数据采集,通过网络安全效能量化函数来实现对各种采集到的度量数据进行量化、组合、测量从而完成安全效能计算,其中,结合安全风险、攻击威胁与防御能力这三种网络安全效能要素的协同演化计算,形成网络安全效能评估结果;其中,网络安全效能量化函数的变量包括网络入口流量、网络出口流量、网络带宽、网络时延、网络吞吐、主机进程数量、主机资源占用率、服务器上下行流量、网络端口号的采集结果;常量包括两部分,一部分是根据网络攻防技术研究和实战经验,给出的参考值,另一部分是不同变量的比重因子。
2.如权利要求1所述的方法,其特征在于,所述网络攻击面建模的结果是能够对安全风险进行全面客观的分析。
3.如权利要求1所述的方法,其特征在于,所述网络安全风险因子的权重根据风险的危害性、发生概率进行设置。
4.如权利要求1所述的方法,其特征在于,所述网络安全效能量化函数的两部分常量均根据实际网络特点进行调整。
5.如权利要求1所述的方法,其特征在于,所述网络安全效能量化函数F=防御能力D-安全风险R-攻击威胁A。
6.一种利用权利要求1至5中任一项所述的方法实现收缩网络攻击面的方法。
7.一种利用权利要求1至5中任一项所述的方法实现定位网络安全防御的最佳效能点的方法。
8.一种利用权利要求1至5中任一项所述的方法实现的网络安全防御方法。
9.一种如权利要求1至8中任一项所述方法在信息安全中的应用。
10.一种利用权利要求1至5中任一项所述的方法实现的网络安全效能度量系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210759368.0A CN115134258B (zh) | 2022-06-29 | 2022-06-29 | 一种基于网络攻击面的网络安全效能度量方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210759368.0A CN115134258B (zh) | 2022-06-29 | 2022-06-29 | 一种基于网络攻击面的网络安全效能度量方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115134258A true CN115134258A (zh) | 2022-09-30 |
CN115134258B CN115134258B (zh) | 2024-01-30 |
Family
ID=83382309
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210759368.0A Active CN115134258B (zh) | 2022-06-29 | 2022-06-29 | 一种基于网络攻击面的网络安全效能度量方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115134258B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117455228A (zh) * | 2023-09-28 | 2024-01-26 | 永信至诚科技集团股份有限公司 | 一种网络风险识别能力的测评方法及装置 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103067200A (zh) * | 2012-12-18 | 2013-04-24 | 王钰 | 一种网络对抗效果仿真方法及系统 |
CN103618691A (zh) * | 2013-10-24 | 2014-03-05 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全效能评估方法 |
US20140096256A1 (en) * | 2011-11-01 | 2014-04-03 | University Of Washington Through Its Center For Commercialization | Joint performance-vulnerability metric framework for designing ad hoc routing protocols |
US20140259095A1 (en) * | 2013-03-06 | 2014-09-11 | James Alvin Bryant | Method of providing cyber security as a service |
US20140351940A1 (en) * | 2013-05-21 | 2014-11-27 | Rapid7, Llc | Systems and methods for assessing security for a network of assets and providing recommendations |
CN106341414A (zh) * | 2016-09-30 | 2017-01-18 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
CN107483487A (zh) * | 2017-09-15 | 2017-12-15 | 北京理工大学 | 一种基于topsis的多维网络安全度量方法 |
CN108512837A (zh) * | 2018-03-16 | 2018-09-07 | 西安电子科技大学 | 一种基于攻防演化博弈的网络安全态势评估的方法及系统 |
CN109167794A (zh) * | 2018-09-25 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种面向网络系统安全度量的攻击检测方法 |
CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
CN111818102A (zh) * | 2020-09-09 | 2020-10-23 | 信联科技(南京)有限公司 | 一种应用于网络靶场的防御效能评估方法 |
US10868825B1 (en) * | 2018-08-14 | 2020-12-15 | Architecture Technology Corporation | Cybersecurity and threat assessment platform for computing environments |
CN112217838A (zh) * | 2020-11-02 | 2021-01-12 | 福州大学 | 一种基于云模型理论的网络攻击面评估方法 |
-
2022
- 2022-06-29 CN CN202210759368.0A patent/CN115134258B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140096256A1 (en) * | 2011-11-01 | 2014-04-03 | University Of Washington Through Its Center For Commercialization | Joint performance-vulnerability metric framework for designing ad hoc routing protocols |
CN103067200A (zh) * | 2012-12-18 | 2013-04-24 | 王钰 | 一种网络对抗效果仿真方法及系统 |
US20140259095A1 (en) * | 2013-03-06 | 2014-09-11 | James Alvin Bryant | Method of providing cyber security as a service |
US20140351940A1 (en) * | 2013-05-21 | 2014-11-27 | Rapid7, Llc | Systems and methods for assessing security for a network of assets and providing recommendations |
CN103618691A (zh) * | 2013-10-24 | 2014-03-05 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全效能评估方法 |
CN106341414A (zh) * | 2016-09-30 | 2017-01-18 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
CN107483487A (zh) * | 2017-09-15 | 2017-12-15 | 北京理工大学 | 一种基于topsis的多维网络安全度量方法 |
CN108512837A (zh) * | 2018-03-16 | 2018-09-07 | 西安电子科技大学 | 一种基于攻防演化博弈的网络安全态势评估的方法及系统 |
US10868825B1 (en) * | 2018-08-14 | 2020-12-15 | Architecture Technology Corporation | Cybersecurity and threat assessment platform for computing environments |
CN109167794A (zh) * | 2018-09-25 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种面向网络系统安全度量的攻击检测方法 |
CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
CN111818102A (zh) * | 2020-09-09 | 2020-10-23 | 信联科技(南京)有限公司 | 一种应用于网络靶场的防御效能评估方法 |
CN112217838A (zh) * | 2020-11-02 | 2021-01-12 | 福州大学 | 一种基于云模型理论的网络攻击面评估方法 |
Non-Patent Citations (3)
Title |
---|
DONG SEONG KIM; MINJUNE KIM; JIN-HEE CHO; HYUK LIM; TERRENCE J. MOORE; FREDERICA F. NELSON: "Design and Performance Analysis of Software Defined Networking Based Web Services Adopting Moving Target Defense", 2020 50TH ANNUAL IEEE-IFIP INTERNATIONAL CONFERENCE ON DEPENDABLE SYSTEMS AND NETWORKS-SUPPLEMENTAL VOLUME (DSN-S) * |
廉新科;闫卿: "基于攻击面的安全评估体系研究", 通信技术 * |
张卓;陈毓端;唐伽佳;陈新宇;: "基于威胁的网络安全动态防御研究", 保密科学技术, no. 06 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117455228A (zh) * | 2023-09-28 | 2024-01-26 | 永信至诚科技集团股份有限公司 | 一种网络风险识别能力的测评方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN115134258B (zh) | 2024-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108494810B (zh) | 面向攻击的网络安全态势预测方法、装置及系统 | |
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
Lee et al. | Toward cost-sensitive modeling for intrusion detection and response | |
US7818797B1 (en) | Methods for cost-sensitive modeling for intrusion detection and response | |
CN108881110B (zh) | 一种安全态势评估与防御策略联合决策方法及系统 | |
Mukkamala et al. | Detecting denial of service attacks using support vector machines | |
Bhushan et al. | Hypothesis test for low-rate DDoS attack detection in cloud computing environment | |
KR20090037538A (ko) | 정보자산 모델링을 이용한 위험 평가 방법 | |
US11424993B1 (en) | Artificial intelligence system for network traffic flow based detection of service usage policy violations | |
CN115987615A (zh) | 一种网络行为安全预警方法及系统 | |
CN109167794A (zh) | 一种面向网络系统安全度量的攻击检测方法 | |
Neri | Comparing local search with respect to genetic evolution to detect intrusions in computer networks | |
CN115134258A (zh) | 一种基于网络攻击面的网络安全效能度量方法 | |
Ahmed et al. | Objective risk evaluation for automated security management | |
Nebbione et al. | A Methodological Framework for AI-Assisted Security Assessments of Active Directory Environments | |
Simmons et al. | ADAPT: a game inspired attack-defense and performance metric taxonomy | |
Neri | Mining TCP/IP traffic for network intrusion detection by using a distributed genetic algorithm | |
Enoch et al. | Multi-objective security hardening optimisation for dynamic networks | |
Lee et al. | Toward cost-sensitive modeling for intrusion detection | |
Zhao et al. | Construction and Security Measurement of Cybersecurity Metrics Framework Based on Network Behavior | |
Priest et al. | Agent-based simulation in support of moving target cyber defense technology development and evaluation | |
Ibrahim et al. | Securing E-Governance Services Based on Two Level Classification Algorithms. | |
Gaur et al. | Prevention of Security Attacks in Cloud Computing | |
Daffu et al. | Energy Aware Supervised Pattern Attack Recognition Technique for Mitigation of EDoS Attacks in Cloud Platform | |
Bhattacharya et al. | Cyber threat screening using a queuing-based game-theoretic approach |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |