CN116346480A - 一种网络安全运营工作台分析方法 - Google Patents

Abstract

本发明公开了一种网络安全运营工作台分析方法，涉及网络安全技术领域，包括，获取所有主机的漏洞信息和通信规则，并建立主机攻击图；根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集，根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径，根据入侵路径确定每条入侵路径的初始入侵概率；根据入侵路径确定攻击顺序对应两两主机间的因果联系，根据两两主机间的因果联系得到线路的非线性依赖度，基于线路的非线性依赖度对初始入侵概率进行第一次修正；根据主机攻击图得到主机整体威胁程度，基于主机整体威胁程度修正一修入侵概率，并据此分配网络防护资源。提高了网络安全分析的准确性，保证了网络信息的有效管理和使用。

Description

一种网络安全运营工作台分析方法

技术领域

本申请涉及网络安全技术领域，更具体地，涉及一种网络安全运营工作台分析方法。

背景技术

网络主机是网络拓扑的重要组成部分，日益复杂的攻击手段和方式对网络主机造成的威胁日益增加，主机面临的安全问题日趋突出。评估各主机面临的安全情况是掌握网络整体安全性的基础，深入挖掘和分析主机潜在风险能够为网络安全防御提供有效指导，对于保护网络重要主机、保障网络安全平稳运行具有重要意义。

现有技术中，通过攻击图来对网络主机等进行分析和评估，但是未考虑主机资产和攻击途经等影响，导致分析精度较低，不利于后续安全防护工作进行。

因此，如何提高网络安全分析精度，是目前有待解决的技术问题。

发明内容

本发明提供一种网络安全运营工作台分析方法，用以解决现有技术中网络安全分析准确性差的技术问题。所述方法包括：

获取所有主机的漏洞信息和通信规则，并根据漏洞信息和通信规则建立主机攻击图；

获取所有主机的资产信息，根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集，根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径，根据入侵路径确定每条入侵路径的初始入侵概率；

根据入侵路径确定攻击顺序对应两两主机间的因果联系，根据两两主机间的因果联系得到线路的非线性依赖度，基于线路的非线性依赖度对初始入侵概率进行第一次修正，得到一修入侵概率；

根据主机攻击图得到主机整体威胁程度，基于主机整体威胁程度修正一修入侵概率，得到二修入侵概率并据此分配网络防护资源。

本申请一些实施例中，根据漏洞信息和通信规则建立主机攻击图，包括：

根据主机的漏洞信息确定原子攻击概率，并将原子攻击概率添加到主机攻击图中。

本申请一些实施例中，根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集，包括：

根据主机攻击图确定模糊入侵起始主机集和模糊目标主机集，基于主机资产信息确定主机资产分数；

基于入侵难易程度、主机资产分数和第一预设权重对模糊入侵起始主机集进行筛选，得到入侵起始主机集；

基于入侵难易程度、主机资产分数和第二预设权重对模糊目标主机集进行筛选，得到目标主机集。

本申请一些实施例中，根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径，包括：

在主机攻击图中以入侵起始主机集中的主机为起始点，并以目标主机集中的主机为终点，两者进行排列组合得到所有的入侵路径。

本申请一些实施例中，根据入侵路径确定每条入侵路径的初始入侵概率，包括：

计算每条入侵路径的攻击耗费和总主机资产分数，基于攻击耗费和总主机资产分数确定每条入侵路径的初始入侵概率。

本申请一些实施例中，基于攻击耗费和总主机资产分数确定每条入侵路径的初始入侵概率，包括：

基于攻击耗费、总主机资产分数和第三预设权重确定支出量和收入量；

基于支出量和收入量确定攻击收支平衡量，基于攻击收支平衡量确定初始入侵概率。

本申请一些实施例中，根据入侵路径确定攻击顺序对应两两主机间的因果联系，根据两两主机间的因果联系得到线路的非线性依赖度，包括：

根据每条入侵路径中前一个主机受到的攻击行为与后一个主机受到的攻击行为得到两者主机间的因果联系，根据两者主机间的因果联系得到对应的非线性依赖度，基于入侵路径中所有的非线性依赖度得到线路的非线性依赖度。

本申请一些实施例中，根据主机攻击图得到主机整体威胁程度，包括：

根据主机攻击图得到所有路径中的边数，且计算边中可能会被入侵的主机数量，基于边数和主机数量得到主机整体威胁程度。

本申请一些实施例中，在基于主机整体威胁程度修正一修入侵概率之后，所述方法还包括：

根据主机攻击图得到多项证据，根据多项证据确定对应的基本概率分配；

按照预设合成规则将基本概率分配进行融合，确定攻击类型，并根据攻击类型修正二修入侵概率。

本申请一些实施例中，所述方法还包括：

若多项证据间的冲突程度超过预设阈值，则根据冲突程度修正基本概率分配。

通过应用以上技术方案，获取所有主机的漏洞信息和通信规则，并根据漏洞信息和通信规则建立主机攻击图；获取所有主机的资产信息，根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集，根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径，根据入侵路径确定每条入侵路径的初始入侵概率；根据入侵路径确定攻击顺序对应两两主机间的因果联系，根据两两主机间的因果联系得到线路的非线性依赖度，基于线路的非线性依赖度对初始入侵概率进行第一次修正，得到一修入侵概率；根据主机攻击图得到主机整体威胁程度，基于主机整体威胁程度修正一修入侵概率，得到二修入侵概率并据此分配网络防护资源。本申请通过攻击图和主机资产预测起始主机和目标主机，从而确定入侵路径，再得到每条入侵路径的入侵概率，根据攻击路径中两两主机的因果联系和整体威胁度修正入侵概率，基于修正后的入侵概率合理分配网络防护资源。提高了网络安全分析的准确性，保证了网络信息的有效管理和使用，为了后续网络安全防护提供基础。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明实施例提出的一种网络安全运营工作台分析方法的流程示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例提供一种网络安全运营工作台分析方法，如图1所示，该方法包括以下步骤：

步骤S101，获取所有主机的漏洞信息和通信规则，并根据漏洞信息和通信规则建立主机攻击图。

本实施例中，首先分析和探测目标网络拓扑，依据主机中存在的漏洞和防火墙设定的各主机间通信规则生成主机攻击图。然后根据获取到的漏洞信息量化原子攻击概率。

为了提高攻击图的准确性，本申请一些实施例中，根据漏洞信息和通信规则建立主机攻击图，包括：根据主机的漏洞信息确定原子攻击概率，并将原子攻击概率添加到主机攻击图中。

本实施例中，主机攻击图中包括边信息、主机漏洞信息、主机间的通信连接关系和原子攻击概率。

步骤S102，获取所有主机的资产信息，根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集，根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径，根据入侵路径确定每条入侵路径的初始入侵概率。

本实施例中，主机的资产信息由主机的机密性、完整性和可用性组成，每个性质设置有多个级别，从而确定主机资产。根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集，得到所有可能的入侵路径，并计算对应每条路径的入侵概率。

为了提高入侵路径的准确性，本申请一些实施例中，根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集，包括：根据主机攻击图确定模糊入侵起始主机集和模糊目标主机集，基于主机资产信息确定主机资产分数；基于入侵难易程度、主机资产分数和第一预设权重对模糊入侵起始主机集进行筛选，得到入侵起始主机集；基于入侵难易程度、主机资产分数和第二预设权重对模糊目标主机集进行筛选，得到目标主机集。

本实施例中，在主机攻击图中根据有效路径确定模糊入侵起始主机集和模糊目标主机集，两个模糊集仅仅是初次筛选，精度较低，需要进行第二次的筛选，根据入侵难易程度、主机资产分数对模糊集进行筛选。一般来说，被选中入侵起始主机相对来说，入侵难度较低，资产也比较低。目标主机则入侵难度较高，且资产价值较多。据此筛选出入侵起始主机集和目标主机集。第一预设权重和第二预设权重均对应入侵难易程度、主机资产分数，以此控制筛选条件。

本申请一些实施例中，根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径，包括：在主机攻击图中以入侵起始主机集中的主机为起始点，并以目标主机集中的主机为终点，两者进行排列组合得到所有的入侵路径。

本实施例中，入侵起始主机集和目标主机集均存在多个主机，进来两者的排列组合，从而得到所有可能的入侵路径。入侵路径必须是有效路径，即前提是入侵起始主机和标主机间必须存在通信关系或具有通信连接，否则攻击者不能形成有效的入侵路径。

为了进一步提高入侵路径的准确性，本申请一些实施例中，根据入侵路径确定每条入侵路径的初始入侵概率，包括：计算每条入侵路径的攻击耗费和总主机资产分数，基于攻击耗费和总主机资产分数确定每条入侵路径的初始入侵概率。

本申请一些实施例中，基于攻击耗费和总主机资产分数确定每条入侵路径的初始入侵概率，包括：基于攻击耗费、总主机资产分数和第三预设权重确定支出量和收入量；基于支出量和收入量确定攻击收支平衡量，基于攻击收支平衡量确定初始入侵概率。

本实施例中，攻击者在考虑入侵路径时，一般要考虑攻击的耗费情况和收益情况，即主机资产价值。据此确定入侵概率。根据路径上主机的防火墙防护情况、漏洞情况等计算攻击耗费，根据路径上涉及到的主机计算总主机资产分数。第三预设权重分别对应攻击耗费、总主机资产分数，从而得到支出量和收入量，并根据支出量和收入量确定攻击收支平衡量。此处，攻击收支平衡量越大说明攻击耗费越低，主机损失的价值越大（攻击收益越大）。

基于攻击收支平衡量确定初始入侵概率，具体为：

设定攻击收支平衡量为A，预设攻击收支平衡量数组A0（A1，A2，A3，A4），其中，A1，A2，A3，A4均为预设值，且A1＜A2＜A3＜A4；

设定初始入侵概率为P，预设初始入侵概率数数组P0（P1，P2，P3，P4），其中，P1，P2，P3，P4均为预设值，且0＜P1＜P2＜P3＜P4＜1；

根据攻击收支平衡量与各个预设攻击收支平衡量之间的关系，确定初始入侵概率；

若A＜A1，确定第一预设初始入侵概率P1作为初始入侵概率；

若A1≤A＜A2，确定第二预设初始入侵概率P2作为初始入侵概率；

若A2≤A＜A3，确定第三预设初始入侵概率P3作为初始入侵概率；

若A3≤A＜A4，确定第四预设初始入侵概率P4作为初始入侵概率。

步骤S103，根据入侵路径确定攻击顺序对应两两主机间的因果联系，根据两两主机间的因果联系得到线路的非线性依赖度，基于线路的非线性依赖度对初始入侵概率进行第一次修正，得到一修入侵概率。

本实施例中，入侵路径中每次从一个主机到另一个主机，前后的攻击步骤具有一定的逻辑性，因此需要考虑因果关联，来修正初始入侵概率。

为了提高入侵概率的准确性，本申请一些实施例中，根据入侵路径确定攻击顺序对应两两主机间的因果联系，根据两两主机间的因果联系得到线路的非线性依赖度，包括：根据每条入侵路径中前一个主机受到的攻击行为与后一个主机受到的攻击行为得到两者主机间的因果联系，根据两者主机间的因果联系得到对应的非线性依赖度，基于入侵路径中所有的非线性依赖度得到线路的非线性依赖度。

本实施例中，将每个攻击行为或攻击步骤进行量化处理，将前一个攻击行为转换为因状态空间，将后一个对应的攻击行为转换为果状态空间。

将所有的前攻击行为与后攻击行为进行状态空间的建立，。设定因状态空间为X，果状态空间为Y，计算Xn与k个近邻点的欧式距离平均值，公式如下：

对于X中的样本点xn，xrn，1，xrn，2，…xrn，k，表示xn在X中的k个近邻点。

对于Y中的样本点yn，ysn，1，ysn，2…ysn，k，表示yn在Y中的k个近邻点，将其映射到X空间中，计算xn与k个近邻点xsn，1，xsn，2，…xsn，k的欧式距离平均值，公式如下：

根据状态空间的映射关系判断两者的因果关系，非线性依赖度公式如下：

0＜

≤1，/>

趋近于0（小于预设第一阈值），状态空间X和Y相互独立，即前攻击行为与后攻击行为相互独立，两者不存在因果关系。/>

明显大于0，存在X到Y的因果关系，即前攻击行为与后攻击行为具有因果关系。/>

越大因果性越强。一般来说，两者基本具有因果关系。

根据入侵路径中多个线性依赖度得到总的线路的非线性依赖度。

基于线路的非线性依赖度对初始入侵概率进行第一次修正，得到一修入侵概率，具体为：

设定线路的非线性依赖度为B，预设线路的非线性依赖度数组B0（B1，B2，B3，B4），其中，B1，B2，B3，B4均为预设值，且B1＜B2＜B3＜B4；

预设修正系数数组H0（H1，H2，H3，H4），其中，H1，H2，H3，H4均为预设值，且0.7＜H1＜H2＜H3＜H4＜1.3；

根据线路的非线性依赖度与各个预设线路的非线性依赖度之间的关系，确定修正系数，得到一修入侵概率；

若B＜B1，确定第一预设修正系数H1作为修正系数，一修入侵概率为P*H1；

若B1≤B＜B2，确定第二预设修正系数H2作为修正系数，一修入侵概率为P*H2；

若B2≤B＜B3，确定第三预设修正系数H3作为修正系数，一修入侵概率为P*H3；

若B3≤B＜B4，确定第四预设修正系数H4作为修正系数，一修入侵概率为P*H4。

步骤S104，根据主机攻击图得到主机整体威胁程度，基于主机整体威胁程度修正一修入侵概率，得到二修入侵概率并据此分配网络防护资源。

本实施例中，主机整体威胁程度在一定程度上影响入侵概率，需要修正，并根据修正后的概率分配防护资源。

为了提高入侵概率的准确性，本申请一些实施例中，根据主机攻击图得到主机整体威胁程度，包括：根据主机攻击图得到所有路径中的边数，且计算边中可能会被入侵的主机数量，基于边数和主机数量得到主机整体威胁程度。

本实施例中，统计所有路径中的边数，并且将该数值记录为n，统计并计算上述边中可能会被入侵的主机数量，并且将该数值记录为m，n和m比值的大小，即为整个系统网络的威胁程度。

基于主机整体威胁程度修正一修入侵概率，具体为：

设定主机整体威胁程度为C，预设主机整体威胁程度数组C0（C1，C2，C3，C4），其中，C1，C2，C3，C4均为预设值，且C1＜C2＜C3＜C4；

预设修正系数数组G0（G1，G2，G3，G4），其中，G1，G2，G3，G4均为预设值，且0.7＜G1＜G2＜G3＜G4＜1.3；

根据主机整体威胁程度与各个预设主机整体威胁程度之间的关系，确定修正系数，得到二修入侵概率；

若C＜C1，确定第一预设修正系数G1作为修正系数，二修入侵概率为P*H0*G1；

若C1≤C＜C2，确定第二预设修正系数G2作为修正系数，二修入侵概率为P*H0*G2；

若C2≤C＜C3，确定第三预设修正系数G3作为修正系数，二修入侵概率为P*H0*G3；

若C3≤C＜C4，确定第四预设修正系数G4作为修正系数，二修入侵概率为P*H0*G4。

本申请一些实施例中，在基于主机整体威胁程度修正一修入侵概率之后，所述方法还包括：根据主机攻击图得到多项证据，根据多项证据确定对应的基本概率分配；按照预设合成规则将基本概率分配进行融合，确定攻击类型，并根据攻击类型修正二修入侵概率。

本申请一些实施例中，所述方法还包括：若多项证据间的冲突程度超过预设阈值，则根据冲突程度修正基本概率分配。

本实施例中，不同的网络攻击类型，导致入侵概率会有所不同。这里采用D-S证据论判断攻击类型，D-S证据理论简单来说是依据事件发生的结果来判断事件发生的原因。首先需要对事件发生的原因做一系列的假设组成辨识框架，并使每一个假设的原因（攻击类型）具有独立的基本概率分配，再对这些概率分配由融合规则进行融合，得出融合后结果作概率分析，从而得出概率最高的即为事件发生的主要原因。多项证据包括漏洞信息、能表征攻击类型等信息。具体计算过程在此不再赘述，属于本领域常规技术。

D-S证据理论，在证据冲突程度低时，准确性较好，但是若多个证据间互相冲突，准确性较差，因此，需要根据证据间的冲突程度修正基本概率分配函数。

设定证据间的冲突程度为D，预设证据间的冲突程度数组D0（D1，D2，D3，D4），其中，D1，D2，D3，D4均为预设值，且D1＜D2＜D3＜D4；

预设修正系数数组J0（J1，J2，J3，J4），其中，J1，J2，J3，J4均为预设值，且0.7＜J1＜J2＜J3＜J4＜1.3；

根据证据间的冲突程度与各个预设证据间的冲突程度之间的关系，确定修正系数修正二修入侵概率；

若D＜D1，确定第一预设修正系数J1作为修正系数，修正后的入侵概率为P*H0*G0*J1；

若D1≤D＜D2，确定第二预设修正系数J2作为修正系数，修正后的入侵概率为P*H0*G0*J2；

若D2≤D＜D3，确定第三预设修正系数J3作为修正系数，修正后的入侵概率为P*H0*G0*J3；

若D3≤D＜D4，确定第三预设修正系数J4作为修正系数，修正后的入侵概率为P*H0*G0*J4。

通过应用以上技术方案，获取所有主机的漏洞信息和通信规则，并根据漏洞信息和通信规则建立主机攻击图；获取所有主机的资产信息，根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集，根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径，根据入侵路径确定每条入侵路径的初始入侵概率；根据入侵路径确定攻击顺序对应两两主机间的因果联系，根据两两主机间的因果联系得到线路的非线性依赖度，基于线路的非线性依赖度对初始入侵概率进行第一次修正，得到一修入侵概率；根据主机攻击图得到主机整体威胁程度，基于主机整体威胁程度修正一修入侵概率，得到二修入侵概率并据此分配网络防护资源。本申请通过攻击图和主机资产预测起始主机和目标主机，从而确定入侵路径，再得到每条入侵路径的入侵概率，根据攻击路径中两两主机的因果联系和整体威胁度修正入侵概率，基于修正后的入侵概率合理分配网络防护资源。提高了网络安全分析的准确性，保证了网络信息的有效管理和使用，为了后续网络安全防护提供基础。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是CD-ROM，U盘，移动硬盘等）中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施场景所述的方法。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种网络安全运营工作台分析方法，其特征在于，所述方法包括：

获取所有主机的漏洞信息和通信规则，并根据漏洞信息和通信规则建立主机攻击图；

获取所有主机的资产信息，根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集，根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径，根据入侵路径确定每条入侵路径的初始入侵概率；

根据入侵路径确定攻击顺序对应两两主机间的因果联系，根据两两主机间的因果联系得到线路的非线性依赖度，基于线路的非线性依赖度对初始入侵概率进行第一次修正，得到一修入侵概率；

根据主机攻击图得到主机整体威胁程度，基于主机整体威胁程度修正一修入侵概率，得到二修入侵概率并据此分配网络防护资源。

2.如权利要求1所述的方法，其特征在于，根据漏洞信息和通信规则建立主机攻击图，包括：

根据主机的漏洞信息确定原子攻击概率，并将原子攻击概率添加到主机攻击图中。

3.如权利要求2所述的方法，其特征在于，根据主机攻击图和主机的资产信息预测入侵起始主机集和目标主机集，包括：

根据主机攻击图确定模糊入侵起始主机集和模糊目标主机集，基于主机资产信息确定主机资产分数；

基于入侵难易程度、主机资产分数和第一预设权重对模糊入侵起始主机集进行筛选，得到入侵起始主机集；

基于入侵难易程度、主机资产分数和第二预设权重对模糊目标主机集进行筛选，得到目标主机集。

4.如权利要求1所述的方法，其特征在于，根据主机攻击图、入侵起始主机集和目标主机集得到所有的入侵路径，包括：

在主机攻击图中以入侵起始主机集中的主机为起始点，并以目标主机集中的主机为终点，两者进行排列组合得到所有的入侵路径。

5.如权利要求1所述的方法，其特征在于，根据入侵路径确定每条入侵路径的初始入侵概率，包括：

计算每条入侵路径的攻击耗费和总主机资产分数，基于攻击耗费和总主机资产分数确定每条入侵路径的初始入侵概率。

6.如权利要求5所述的方法，其特征在于，基于攻击耗费和总主机资产分数确定每条入侵路径的初始入侵概率，包括：

基于攻击耗费、总主机资产分数和第三预设权重确定支出量和收入量；

基于支出量和收入量确定攻击收支平衡量，基于攻击收支平衡量确定初始入侵概率。

7.如权利要求1所述的方法，其特征在于，根据入侵路径确定攻击顺序对应两两主机间的因果联系，根据两两主机间的因果联系得到线路的非线性依赖度，包括：

根据每条入侵路径中前一个主机受到的攻击行为与后一个主机受到的攻击行为得到两者主机间的因果联系，根据两者主机间的因果联系得到对应的非线性依赖度，基于入侵路径中所有的非线性依赖度得到线路的非线性依赖度。

8.如权利要求1所述的方法，其特征在于，根据主机攻击图得到主机整体威胁程度，包括：

根据主机攻击图得到所有路径中的边数，且计算边中可能会被入侵的主机数量，基于边数和主机数量得到主机整体威胁程度。

9.如权利要求1所述的方法，其特征在于，在基于主机整体威胁程度修正一修入侵概率之后，所述方法还包括：

根据主机攻击图得到多项证据，根据多项证据确定对应的基本概率分配；

按照预设合成规则将基本概率分配进行融合，确定攻击类型，并根据攻击类型修正二修入侵概率。

10.如权利要求9所述的方法，其特征在于，所述方法还包括：

若多项证据间的冲突程度超过预设阈值，则根据冲突程度修正基本概率分配。

Images