CN116346480A - 一种网络安全运营工作台分析方法 - Google Patents
一种网络安全运营工作台分析方法 Download PDFInfo
- Publication number
- CN116346480A CN116346480A CN202310344705.4A CN202310344705A CN116346480A CN 116346480 A CN116346480 A CN 116346480A CN 202310344705 A CN202310344705 A CN 202310344705A CN 116346480 A CN116346480 A CN 116346480A
- Authority
- CN
- China
- Prior art keywords
- host
- intrusion
- attack
- probability
- hosts
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title abstract description 15
- 230000000977 initiatory effect Effects 0.000 claims abstract description 34
- 230000001364 causal effect Effects 0.000 claims abstract description 32
- 230000009545 invasion Effects 0.000 claims abstract description 31
- 238000004891 communication Methods 0.000 claims abstract description 17
- 238000012937 correction Methods 0.000 claims description 44
- 238000000034 method Methods 0.000 claims description 23
- 230000006399 behavior Effects 0.000 claims description 17
- 238000012216 screening Methods 0.000 claims description 10
- 230000015572 biosynthetic process Effects 0.000 claims description 3
- 238000003786 synthesis reaction Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络安全运营工作台分析方法,涉及网络安全技术领域,包括,获取所有主机的漏洞信息和通信规则,并建立主机攻击图;根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集,根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径,根据入侵路径确定每条入侵路径的初始入侵概率;根据入侵路径确定攻击顺序对应两两主机间的因果联系,根据两两主机间的因果联系得到线路的非线性依赖度,基于线路的非线性依赖度对初始入侵概率进行第一次修正;根据主机攻击图得到主机整体威胁程度,基于主机整体威胁程度修正一修入侵概率,并据此分配网络防护资源。提高了网络安全分析的准确性,保证了网络信息的有效管理和使用。
Description
技术领域
本申请涉及网络安全技术领域,更具体地,涉及一种网络安全运营工作台分析方法。
背景技术
网络主机是网络拓扑的重要组成部分,日益复杂的攻击手段和方式对网络主机造成的威胁日益增加,主机面临的安全问题日趋突出。评估各主机面临的安全情况是掌握网络整体安全性的基础,深入挖掘和分析主机潜在风险能够为网络安全防御提供有效指导,对于保护网络重要主机、保障网络安全平稳运行具有重要意义。
现有技术中,通过攻击图来对网络主机等进行分析和评估,但是未考虑主机资产和攻击途经等影响,导致分析精度较低,不利于后续安全防护工作进行。
因此,如何提高网络安全分析精度,是目前有待解决的技术问题。
发明内容
本发明提供一种网络安全运营工作台分析方法,用以解决现有技术中网络安全分析准确性差的技术问题。所述方法包括:
获取所有主机的漏洞信息和通信规则,并根据漏洞信息和通信规则建立主机攻击图;
获取所有主机的资产信息,根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集,根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径,根据入侵路径确定每条入侵路径的初始入侵概率;
根据入侵路径确定攻击顺序对应两两主机间的因果联系,根据两两主机间的因果联系得到线路的非线性依赖度,基于线路的非线性依赖度对初始入侵概率进行第一次修正,得到一修入侵概率;
根据主机攻击图得到主机整体威胁程度,基于主机整体威胁程度修正一修入侵概率,得到二修入侵概率并据此分配网络防护资源。
本申请一些实施例中,根据漏洞信息和通信规则建立主机攻击图,包括:
根据主机的漏洞信息确定原子攻击概率,并将原子攻击概率添加到主机攻击图中。
本申请一些实施例中,根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集,包括:
根据主机攻击图确定模糊入侵起始主机集和模糊目标主机集,基于主机资产信息确定主机资产分数;
基于入侵难易程度、主机资产分数和第一预设权重对模糊入侵起始主机集进行筛选,得到入侵起始主机集;
基于入侵难易程度、主机资产分数和第二预设权重对模糊目标主机集进行筛选,得到目标主机集。
本申请一些实施例中,根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径,包括:
在主机攻击图中以入侵起始主机集中的主机为起始点,并以目标主机集中的主机为终点,两者进行排列组合得到所有的入侵路径。
本申请一些实施例中,根据入侵路径确定每条入侵路径的初始入侵概率,包括:
计算每条入侵路径的攻击耗费和总主机资产分数,基于攻击耗费和总主机资产分数确定每条入侵路径的初始入侵概率。
本申请一些实施例中,基于攻击耗费和总主机资产分数确定每条入侵路径的初始入侵概率,包括:
基于攻击耗费、总主机资产分数和第三预设权重确定支出量和收入量;
基于支出量和收入量确定攻击收支平衡量,基于攻击收支平衡量确定初始入侵概率。
本申请一些实施例中,根据入侵路径确定攻击顺序对应两两主机间的因果联系,根据两两主机间的因果联系得到线路的非线性依赖度,包括:
根据每条入侵路径中前一个主机受到的攻击行为与后一个主机受到的攻击行为得到两者主机间的因果联系,根据两者主机间的因果联系得到对应的非线性依赖度,基于入侵路径中所有的非线性依赖度得到线路的非线性依赖度。
本申请一些实施例中,根据主机攻击图得到主机整体威胁程度,包括:
根据主机攻击图得到所有路径中的边数,且计算边中可能会被入侵的主机数量,基于边数和主机数量得到主机整体威胁程度。
本申请一些实施例中,在基于主机整体威胁程度修正一修入侵概率之后,所述方法还包括:
根据主机攻击图得到多项证据,根据多项证据确定对应的基本概率分配;
按照预设合成规则将基本概率分配进行融合,确定攻击类型,并根据攻击类型修正二修入侵概率。
本申请一些实施例中,所述方法还包括:
若多项证据间的冲突程度超过预设阈值,则根据冲突程度修正基本概率分配。
通过应用以上技术方案,获取所有主机的漏洞信息和通信规则,并根据漏洞信息和通信规则建立主机攻击图;获取所有主机的资产信息,根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集,根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径,根据入侵路径确定每条入侵路径的初始入侵概率;根据入侵路径确定攻击顺序对应两两主机间的因果联系,根据两两主机间的因果联系得到线路的非线性依赖度,基于线路的非线性依赖度对初始入侵概率进行第一次修正,得到一修入侵概率;根据主机攻击图得到主机整体威胁程度,基于主机整体威胁程度修正一修入侵概率,得到二修入侵概率并据此分配网络防护资源。本申请通过攻击图和主机资产预测起始主机和目标主机,从而确定入侵路径,再得到每条入侵路径的入侵概率,根据攻击路径中两两主机的因果联系和整体威胁度修正入侵概率,基于修正后的入侵概率合理分配网络防护资源。提高了网络安全分析的准确性,保证了网络信息的有效管理和使用,为了后续网络安全防护提供基础。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例提出的一种网络安全运营工作台分析方法的流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种网络安全运营工作台分析方法,如图1所示,该方法包括以下步骤:
步骤S101,获取所有主机的漏洞信息和通信规则,并根据漏洞信息和通信规则建立主机攻击图。
本实施例中,首先分析和探测目标网络拓扑,依据主机中存在的漏洞和防火墙设定的各主机间通信规则生成主机攻击图。然后根据获取到的漏洞信息量化原子攻击概率。
为了提高攻击图的准确性,本申请一些实施例中,根据漏洞信息和通信规则建立主机攻击图,包括:根据主机的漏洞信息确定原子攻击概率,并将原子攻击概率添加到主机攻击图中。
本实施例中,主机攻击图中包括边信息、主机漏洞信息、主机间的通信连接关系和原子攻击概率。
步骤S102,获取所有主机的资产信息,根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集,根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径,根据入侵路径确定每条入侵路径的初始入侵概率。
本实施例中,主机的资产信息由主机的机密性、完整性和可用性组成,每个性质设置有多个级别,从而确定主机资产。根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集,得到所有可能的入侵路径,并计算对应每条路径的入侵概率。
为了提高入侵路径的准确性,本申请一些实施例中,根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集,包括:根据主机攻击图确定模糊入侵起始主机集和模糊目标主机集,基于主机资产信息确定主机资产分数;基于入侵难易程度、主机资产分数和第一预设权重对模糊入侵起始主机集进行筛选,得到入侵起始主机集;基于入侵难易程度、主机资产分数和第二预设权重对模糊目标主机集进行筛选,得到目标主机集。
本实施例中,在主机攻击图中根据有效路径确定模糊入侵起始主机集和模糊目标主机集,两个模糊集仅仅是初次筛选,精度较低,需要进行第二次的筛选,根据入侵难易程度、主机资产分数对模糊集进行筛选。一般来说,被选中入侵起始主机相对来说,入侵难度较低,资产也比较低。目标主机则入侵难度较高,且资产价值较多。据此筛选出入侵起始主机集和目标主机集。第一预设权重和第二预设权重均对应入侵难易程度、主机资产分数,以此控制筛选条件。
本申请一些实施例中,根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径,包括:在主机攻击图中以入侵起始主机集中的主机为起始点,并以目标主机集中的主机为终点,两者进行排列组合得到所有的入侵路径。
本实施例中,入侵起始主机集和目标主机集均存在多个主机,进来两者的排列组合,从而得到所有可能的入侵路径。入侵路径必须是有效路径,即前提是入侵起始主机和标主机间必须存在通信关系或具有通信连接,否则攻击者不能形成有效的入侵路径。
为了进一步提高入侵路径的准确性,本申请一些实施例中,根据入侵路径确定每条入侵路径的初始入侵概率,包括:计算每条入侵路径的攻击耗费和总主机资产分数,基于攻击耗费和总主机资产分数确定每条入侵路径的初始入侵概率。
本申请一些实施例中,基于攻击耗费和总主机资产分数确定每条入侵路径的初始入侵概率,包括:基于攻击耗费、总主机资产分数和第三预设权重确定支出量和收入量;基于支出量和收入量确定攻击收支平衡量,基于攻击收支平衡量确定初始入侵概率。
本实施例中,攻击者在考虑入侵路径时,一般要考虑攻击的耗费情况和收益情况,即主机资产价值。据此确定入侵概率。根据路径上主机的防火墙防护情况、漏洞情况等计算攻击耗费,根据路径上涉及到的主机计算总主机资产分数。第三预设权重分别对应攻击耗费、总主机资产分数,从而得到支出量和收入量,并根据支出量和收入量确定攻击收支平衡量。此处,攻击收支平衡量越大说明攻击耗费越低,主机损失的价值越大(攻击收益越大)。
基于攻击收支平衡量确定初始入侵概率,具体为:
设定攻击收支平衡量为A,预设攻击收支平衡量数组A0(A1,A2,A3,A4),其中,A1,A2,A3,A4均为预设值,且A1<A2<A3<A4;
设定初始入侵概率为P,预设初始入侵概率数数组P0(P1,P2,P3,P4),其中,P1,P2,P3,P4均为预设值,且0<P1<P2<P3<P4<1;
根据攻击收支平衡量与各个预设攻击收支平衡量之间的关系,确定初始入侵概率;
若A<A1,确定第一预设初始入侵概率P1作为初始入侵概率;
若A1≤A<A2,确定第二预设初始入侵概率P2作为初始入侵概率;
若A2≤A<A3,确定第三预设初始入侵概率P3作为初始入侵概率;
若A3≤A<A4,确定第四预设初始入侵概率P4作为初始入侵概率。
步骤S103,根据入侵路径确定攻击顺序对应两两主机间的因果联系,根据两两主机间的因果联系得到线路的非线性依赖度,基于线路的非线性依赖度对初始入侵概率进行第一次修正,得到一修入侵概率。
本实施例中,入侵路径中每次从一个主机到另一个主机,前后的攻击步骤具有一定的逻辑性,因此需要考虑因果关联,来修正初始入侵概率。
为了提高入侵概率的准确性,本申请一些实施例中,根据入侵路径确定攻击顺序对应两两主机间的因果联系,根据两两主机间的因果联系得到线路的非线性依赖度,包括:根据每条入侵路径中前一个主机受到的攻击行为与后一个主机受到的攻击行为得到两者主机间的因果联系,根据两者主机间的因果联系得到对应的非线性依赖度,基于入侵路径中所有的非线性依赖度得到线路的非线性依赖度。
本实施例中,将每个攻击行为或攻击步骤进行量化处理,将前一个攻击行为转换为因状态空间,将后一个对应的攻击行为转换为果状态空间。
将所有的前攻击行为与后攻击行为进行状态空间的建立,。设定因状态空间为X,果状态空间为Y,计算Xn与k个近邻点的欧式距离平均值,公式如下:
对于X中的样本点xn,xrn,1,xrn,2,…xrn,k,表示xn在X中的k个近邻点。
对于Y中的样本点yn,ysn,1,ysn,2…ysn,k,表示yn在Y中的k个近邻点,将其映射到X空间中,计算xn与k个近邻点xsn,1,xsn,2,…xsn,k的欧式距离平均值,公式如下:
根据状态空间的映射关系判断两者的因果关系,非线性依赖度公式如下:
0<≤1,/>趋近于0(小于预设第一阈值),状态空间X和Y相互独立,即前攻击行为与后攻击行为相互独立,两者不存在因果关系。/>明显大于0,存在X到Y的因果关系,即前攻击行为与后攻击行为具有因果关系。/>越大因果性越强。一般来说,两者基本具有因果关系。
根据入侵路径中多个线性依赖度得到总的线路的非线性依赖度。
基于线路的非线性依赖度对初始入侵概率进行第一次修正,得到一修入侵概率,具体为:
设定线路的非线性依赖度为B,预设线路的非线性依赖度数组B0(B1,B2,B3,B4),其中,B1,B2,B3,B4均为预设值,且B1<B2<B3<B4;
预设修正系数数组H0(H1,H2,H3,H4),其中,H1,H2,H3,H4均为预设值,且0.7<H1<H2<H3<H4<1.3;
根据线路的非线性依赖度与各个预设线路的非线性依赖度之间的关系,确定修正系数,得到一修入侵概率;
若B<B1,确定第一预设修正系数H1作为修正系数,一修入侵概率为P*H1;
若B1≤B<B2,确定第二预设修正系数H2作为修正系数,一修入侵概率为P*H2;
若B2≤B<B3,确定第三预设修正系数H3作为修正系数,一修入侵概率为P*H3;
若B3≤B<B4,确定第四预设修正系数H4作为修正系数,一修入侵概率为P*H4。
步骤S104,根据主机攻击图得到主机整体威胁程度,基于主机整体威胁程度修正一修入侵概率,得到二修入侵概率并据此分配网络防护资源。
本实施例中,主机整体威胁程度在一定程度上影响入侵概率,需要修正,并根据修正后的概率分配防护资源。
为了提高入侵概率的准确性,本申请一些实施例中,根据主机攻击图得到主机整体威胁程度,包括:根据主机攻击图得到所有路径中的边数,且计算边中可能会被入侵的主机数量,基于边数和主机数量得到主机整体威胁程度。
本实施例中,统计所有路径中的边数,并且将该数值记录为n,统计并计算上述边中可能会被入侵的主机数量,并且将该数值记录为m,n和m比值的大小,即为整个系统网络的威胁程度。
基于主机整体威胁程度修正一修入侵概率,具体为:
设定主机整体威胁程度为C,预设主机整体威胁程度数组C0(C1,C2,C3,C4),其中,C1,C2,C3,C4均为预设值,且C1<C2<C3<C4;
预设修正系数数组G0(G1,G2,G3,G4),其中,G1,G2,G3,G4均为预设值,且0.7<G1<G2<G3<G4<1.3;
根据主机整体威胁程度与各个预设主机整体威胁程度之间的关系,确定修正系数,得到二修入侵概率;
若C<C1,确定第一预设修正系数G1作为修正系数,二修入侵概率为P*H0*G1;
若C1≤C<C2,确定第二预设修正系数G2作为修正系数,二修入侵概率为P*H0*G2;
若C2≤C<C3,确定第三预设修正系数G3作为修正系数,二修入侵概率为P*H0*G3;
若C3≤C<C4,确定第四预设修正系数G4作为修正系数,二修入侵概率为P*H0*G4。
本申请一些实施例中,在基于主机整体威胁程度修正一修入侵概率之后,所述方法还包括:根据主机攻击图得到多项证据,根据多项证据确定对应的基本概率分配;按照预设合成规则将基本概率分配进行融合,确定攻击类型,并根据攻击类型修正二修入侵概率。
本申请一些实施例中,所述方法还包括:若多项证据间的冲突程度超过预设阈值,则根据冲突程度修正基本概率分配。
本实施例中,不同的网络攻击类型,导致入侵概率会有所不同。这里采用D-S证据论判断攻击类型,D-S证据理论简单来说是依据事件发生的结果来判断事件发生的原因。首先需要对事件发生的原因做一系列的假设组成辨识框架,并使每一个假设的原因(攻击类型)具有独立的基本概率分配,再对这些概率分配由融合规则进行融合,得出融合后结果作概率分析,从而得出概率最高的即为事件发生的主要原因。多项证据包括漏洞信息、能表征攻击类型等信息。具体计算过程在此不再赘述,属于本领域常规技术。
D-S证据理论,在证据冲突程度低时,准确性较好,但是若多个证据间互相冲突,准确性较差,因此,需要根据证据间的冲突程度修正基本概率分配函数。
设定证据间的冲突程度为D,预设证据间的冲突程度数组D0(D1,D2,D3,D4),其中,D1,D2,D3,D4均为预设值,且D1<D2<D3<D4;
预设修正系数数组J0(J1,J2,J3,J4),其中,J1,J2,J3,J4均为预设值,且0.7<J1<J2<J3<J4<1.3;
根据证据间的冲突程度与各个预设证据间的冲突程度之间的关系,确定修正系数修正二修入侵概率;
若D<D1,确定第一预设修正系数J1作为修正系数,修正后的入侵概率为P*H0*G0*J1;
若D1≤D<D2,确定第二预设修正系数J2作为修正系数,修正后的入侵概率为P*H0*G0*J2;
若D2≤D<D3,确定第三预设修正系数J3作为修正系数,修正后的入侵概率为P*H0*G0*J3;
若D3≤D<D4,确定第三预设修正系数J4作为修正系数,修正后的入侵概率为P*H0*G0*J4。
通过应用以上技术方案,获取所有主机的漏洞信息和通信规则,并根据漏洞信息和通信规则建立主机攻击图;获取所有主机的资产信息,根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集,根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径,根据入侵路径确定每条入侵路径的初始入侵概率;根据入侵路径确定攻击顺序对应两两主机间的因果联系,根据两两主机间的因果联系得到线路的非线性依赖度,基于线路的非线性依赖度对初始入侵概率进行第一次修正,得到一修入侵概率;根据主机攻击图得到主机整体威胁程度,基于主机整体威胁程度修正一修入侵概率,得到二修入侵概率并据此分配网络防护资源。本申请通过攻击图和主机资产预测起始主机和目标主机,从而确定入侵路径,再得到每条入侵路径的入侵概率,根据攻击路径中两两主机的因果联系和整体威胁度修正入侵概率,基于修正后的入侵概率合理分配网络防护资源。提高了网络安全分析的准确性,保证了网络信息的有效管理和使用,为了后续网络安全防护提供基础。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种网络安全运营工作台分析方法,其特征在于,所述方法包括:
获取所有主机的漏洞信息和通信规则,并根据漏洞信息和通信规则建立主机攻击图;
获取所有主机的资产信息,根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集,根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径,根据入侵路径确定每条入侵路径的初始入侵概率;
根据入侵路径确定攻击顺序对应两两主机间的因果联系,根据两两主机间的因果联系得到线路的非线性依赖度,基于线路的非线性依赖度对初始入侵概率进行第一次修正,得到一修入侵概率;
根据主机攻击图得到主机整体威胁程度,基于主机整体威胁程度修正一修入侵概率,得到二修入侵概率并据此分配网络防护资源。
2.如权利要求1所述的方法,其特征在于,根据漏洞信息和通信规则建立主机攻击图,包括:
根据主机的漏洞信息确定原子攻击概率,并将原子攻击概率添加到主机攻击图中。
3.如权利要求2所述的方法,其特征在于,根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集,包括:
根据主机攻击图确定模糊入侵起始主机集和模糊目标主机集,基于主机资产信息确定主机资产分数;
基于入侵难易程度、主机资产分数和第一预设权重对模糊入侵起始主机集进行筛选,得到入侵起始主机集;
基于入侵难易程度、主机资产分数和第二预设权重对模糊目标主机集进行筛选,得到目标主机集。
4.如权利要求1所述的方法,其特征在于,根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径,包括:
在主机攻击图中以入侵起始主机集中的主机为起始点,并以目标主机集中的主机为终点,两者进行排列组合得到所有的入侵路径。
5.如权利要求1所述的方法,其特征在于,根据入侵路径确定每条入侵路径的初始入侵概率,包括:
计算每条入侵路径的攻击耗费和总主机资产分数,基于攻击耗费和总主机资产分数确定每条入侵路径的初始入侵概率。
6.如权利要求5所述的方法,其特征在于,基于攻击耗费和总主机资产分数确定每条入侵路径的初始入侵概率,包括:
基于攻击耗费、总主机资产分数和第三预设权重确定支出量和收入量;
基于支出量和收入量确定攻击收支平衡量,基于攻击收支平衡量确定初始入侵概率。
7.如权利要求1所述的方法,其特征在于,根据入侵路径确定攻击顺序对应两两主机间的因果联系,根据两两主机间的因果联系得到线路的非线性依赖度,包括:
根据每条入侵路径中前一个主机受到的攻击行为与后一个主机受到的攻击行为得到两者主机间的因果联系,根据两者主机间的因果联系得到对应的非线性依赖度,基于入侵路径中所有的非线性依赖度得到线路的非线性依赖度。
8.如权利要求1所述的方法,其特征在于,根据主机攻击图得到主机整体威胁程度,包括:
根据主机攻击图得到所有路径中的边数,且计算边中可能会被入侵的主机数量,基于边数和主机数量得到主机整体威胁程度。
9.如权利要求1所述的方法,其特征在于,在基于主机整体威胁程度修正一修入侵概率之后,所述方法还包括:
根据主机攻击图得到多项证据,根据多项证据确定对应的基本概率分配;
按照预设合成规则将基本概率分配进行融合,确定攻击类型,并根据攻击类型修正二修入侵概率。
10.如权利要求9所述的方法,其特征在于,所述方法还包括:
若多项证据间的冲突程度超过预设阈值,则根据冲突程度修正基本概率分配。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310344705.4A CN116346480B (zh) | 2023-03-31 | 2023-03-31 | 一种网络安全运营工作台分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310344705.4A CN116346480B (zh) | 2023-03-31 | 2023-03-31 | 一种网络安全运营工作台分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116346480A true CN116346480A (zh) | 2023-06-27 |
CN116346480B CN116346480B (zh) | 2024-05-28 |
Family
ID=86887659
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310344705.4A Active CN116346480B (zh) | 2023-03-31 | 2023-03-31 | 一种网络安全运营工作台分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116346480B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8881288B1 (en) * | 2008-10-28 | 2014-11-04 | Intelligent Automation, Inc. | Graphical models for cyber security analysis in enterprise networks |
US20160205122A1 (en) * | 2013-04-10 | 2016-07-14 | Gabriel Bassett | System and Method for Cyber Security Analysis and Human Behavior Prediction |
CN106341414A (zh) * | 2016-09-30 | 2017-01-18 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
CN108769051A (zh) * | 2018-06-11 | 2018-11-06 | 中国人民解放军战略支援部队信息工程大学 | 一种基于告警融合的网络入侵态势意图评估方法 |
KR20210074891A (ko) * | 2019-12-12 | 2021-06-22 | 국방과학연구소 | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 |
CN114844701A (zh) * | 2022-05-03 | 2022-08-02 | 哈尔滨理工大学 | 一种基于贝叶斯攻击图的网络入侵意图分析方法 |
-
2023
- 2023-03-31 CN CN202310344705.4A patent/CN116346480B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8881288B1 (en) * | 2008-10-28 | 2014-11-04 | Intelligent Automation, Inc. | Graphical models for cyber security analysis in enterprise networks |
US20160205122A1 (en) * | 2013-04-10 | 2016-07-14 | Gabriel Bassett | System and Method for Cyber Security Analysis and Human Behavior Prediction |
CN106341414A (zh) * | 2016-09-30 | 2017-01-18 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
CN108769051A (zh) * | 2018-06-11 | 2018-11-06 | 中国人民解放军战略支援部队信息工程大学 | 一种基于告警融合的网络入侵态势意图评估方法 |
KR20210074891A (ko) * | 2019-12-12 | 2021-06-22 | 국방과학연구소 | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 |
CN114844701A (zh) * | 2022-05-03 | 2022-08-02 | 哈尔滨理工大学 | 一种基于贝叶斯攻击图的网络入侵意图分析方法 |
Non-Patent Citations (1)
Title |
---|
彭武;黄琦;孟小娟;陈君华;: "基于多元信息融合的网络威胁动态评估", 中国电子科学研究院学报, no. 03, 20 June 2016 (2016-06-20) * |
Also Published As
Publication number | Publication date |
---|---|
CN116346480B (zh) | 2024-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10749891B2 (en) | Valuing cyber risks for insurance pricing and underwriting using network monitored sensors and methods of use | |
US11379773B2 (en) | Method and system for risk measurement and modeling | |
US9363279B2 (en) | Assessing threat to at least one computer network | |
Jerman-Blažič et al. | Managing the investment in information security technology by use of a quantitative modeling | |
US20120232679A1 (en) | Cyberspace security system | |
US20090281864A1 (en) | System and method for implementing and monitoring a cyberspace security econometrics system and other complex systems | |
Yarovenko et al. | DEA-Analysis Of The Effectiveness Of The Country’s Information Security System | |
MUSMAN et al. | A game oriented approach to minimizing cybersecurity risk | |
KR20180068268A (ko) | 보안 위험 평가 기반 보안 투자 방법 및 장치 | |
Dreyling et al. | Cyber security risk analysis for a virtual assistant G2C digital service using FAIR model | |
CN116346480B (zh) | 一种网络安全运营工作台分析方法 | |
Shim | An analysis of information security management strategies in the presence of interdependent security risk | |
Trusova et al. | Cybersecurity of the Banking Sector in the Context of Digitalization of the World’s Economy | |
CN113225326B (zh) | 一种基于具体耗费的网络攻击策略生成器、终端和存储介质 | |
CN115758387A (zh) | 一种信息安全风险评估方法 | |
US20220150271A1 (en) | Deep cyber vulnerability mitigation system | |
CN113935039A (zh) | 基于模糊矩阵和纳什均衡的安全评估方法、设备及介质 | |
Dutta et al. | “what”,“where”, and “why” cybersecurity controls to enforce for optimal risk mitigation | |
Rjaibi et al. | Maximizing Security Management Performance and Decisions with the MFC Cyber Security Model: e-learning case study | |
CN116010962B (zh) | 一种视频会议系统的主机安全管理方法 | |
Yang et al. | Assessing Markov property in multistate transition models with applications to credit risk modeling | |
US12008657B2 (en) | System and method for computing an organization's insurance underwriting score for cyber insurance using AI | |
Miaoui et al. | Insurance versus investigation driven approach for the computation of optimal security investment | |
Espinoza-Zelaya et al. | Framework for enhancing the operational resilience of cyber-manufacturing systems against cyber-attacks | |
US11606382B1 (en) | System and method for evaluating an organization's cyber insurance risk for exposure to cyber attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |