CN117370987A - 基于知识图谱的云服务平台安全审计漏洞评测方法及系统 - Google Patents
基于知识图谱的云服务平台安全审计漏洞评测方法及系统 Download PDFInfo
- Publication number
- CN117370987A CN117370987A CN202311327755.8A CN202311327755A CN117370987A CN 117370987 A CN117370987 A CN 117370987A CN 202311327755 A CN202311327755 A CN 202311327755A CN 117370987 A CN117370987 A CN 117370987A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- cloud service
- service platform
- security
- matrix
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012550 audit Methods 0.000 title claims abstract description 92
- 238000011156 evaluation Methods 0.000 title claims abstract description 64
- 238000000034 method Methods 0.000 claims abstract description 31
- 238000004458 analytical method Methods 0.000 claims abstract description 29
- 238000010276 construction Methods 0.000 claims abstract description 20
- 239000011159 matrix material Substances 0.000 claims description 82
- 238000004364 calculation method Methods 0.000 claims description 15
- 238000001514 detection method Methods 0.000 claims description 14
- 238000012163 sequencing technique Methods 0.000 claims description 6
- 230000000694 effects Effects 0.000 claims description 4
- 230000004927 fusion Effects 0.000 claims description 3
- 238000005259 measurement Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 abstract description 4
- 238000012502 risk assessment Methods 0.000 abstract description 4
- 230000008520 organization Effects 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000004451 qualitative analysis Methods 0.000 description 2
- 238000012038 vulnerability analysis Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Databases & Information Systems (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了基于知识图谱的云服务平台安全审计漏洞评测方法及系统,首先采集云服务安全漏洞数据,再根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层,接着将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建;本发明实现了具有对云服务平台的安全漏洞进行风险分析并对风险分析结果的基础上使用多准则决策分析来评测云服务平台信息安全威胁的功能,且评测结果能为信息安全审计提供参考依据,还能不断的健全安全管理体系,便于云服务平台的持续管理和连续性审计,提升了对信息资产的保护能力和风险意识,适合被广泛推广和使用。
Description
技术领域
本发明涉及信息系统审计技术领域,具体涉及基于知识图谱的云服务平台安全审计漏洞评测方法及系统。
背景技术
云服务平台安全是指保护云服务平台及其上托管的数据和应用免受未经授权的访问、数据泄露、服务中断、恶意攻击等安全威胁的能力。云服务平台安全审计是指对云服务平台的安全控制措施、操作过程和安全事件进行独立的评估和审查,以确保云服务平台的安全性和合规性。安全审计可以帮助组织和用户了解云服务平台的安全状况,发现潜在漏洞威胁,并提供改进建议和控制措施。
知识图谱是一种用于表示和组织知识的图形化结构。它通过实体、属性和关系的方式来描述事物和概念,并提供了丰富的推理和查询能力。知识图谱可以用于存储和管理威胁的相关信息,从而为安全审计提供更全面的信息支持。
目前,通常云服务平台漏洞威胁分析都是针对实时攻击和异常行为,并且传统信息安全审计主要包括安全策略和控制评估、安全事件和日志审计、物理安全审计等方面,并未结合所在云服务平台的信息资产进行安全风险定性分析;尽管目前漏洞收集的方法比较多,但漏洞分析并未结合所在云服务的信息资产拓扑进行风险评估,这种分析结果不能有效地准确识别和分析安全风险和漏洞影响,进而不能有效地采取相应措施来改进和加强安全控制以提高云服务的安全性和可信度;因此,需要设计基于知识图谱的云服务平台安全审计漏洞评测方法及系统。
发明内容
本发明的目的是克服现有技术的不足,为更好的解决现有云服务平台漏洞威胁分析都是针对实时攻击和异常行为,并且传统信息安全审计主要包括安全策略和控制评估、安全事件和日志审计、物理安全审计等方面,并未结合所在云服务平台的信息资产进行安全风险定性分析的问题,提供了基于知识图谱的云服务平台安全审计漏洞评测方法及系统,其实现了具有对云服务平台的安全漏洞进行风险分析并对风险分析结果的基础上使用多准则决策分析来评测云服务平台信息安全威胁的功能,且评测结果能为信息安全审计提供参考依据,还能不断的健全安全管理体系,便于云服务平台的持续管理和连续性审计,提升了对信息资产的保护能力和风险意识。
为了达到上述目的,本发明所采用的技术方案是:
基于知识图谱的云服务平台安全审计漏洞评测方法及系统,包括以下步骤,
步骤(A),采集云服务安全漏洞数据;
步骤(B),根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层;
步骤(C),将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建;
步骤(D),根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产;
步骤(E),将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配,得到对云服务平台有安全威胁的漏洞集;
步骤(F),构建多准则决策分析模式,并对有安全威胁的漏洞集进行安全风险评测,输出评测结果。
前述的基于知识图谱的云服务平台安全审计漏洞评测方法,步骤(A),采集云服务安全漏洞数据,其中云服务安全漏洞数据包含漏洞基本信息和漏洞风险信息,且所述云服务安全漏洞数据通过自动化爬虫引擎获取。
前述的基于知识图谱的云服务平台安全审计漏洞评测方法,步骤(B),根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层,其中云服务平台安全审计知识图谱模式层包含四类节点和三类关系,所述四类节点分别是漏洞节点、漏洞风险节点、漏洞产品节点和漏洞厂商节点,所述三类关系分别是漏洞节点与漏洞风险节点的关系、漏洞节点与漏洞产品节点的关系及漏洞产品节点与漏洞厂商节点的关系,所述漏洞节点包含漏洞编号、漏洞名称和漏洞类型,所述漏洞风险节点包含机密性影响、完整性影响、可用性影响、攻击复杂度和漏洞评分,所述的漏洞产品节点包含漏洞所影响的产品名称和漏洞所影响的产品版本,所述的漏洞厂商节点表示漏洞所影响的产品提供厂商。
前述的基于知识图谱的云服务平台安全审计漏洞评测方法,步骤(C),将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建,其中导入的云服务安全漏洞数据会存入云服务平台安全审计知识图谱的图数据库。
前述的基于知识图谱的云服务平台安全审计漏洞评测方法,步骤(D),根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产,其中云服务平台信息资产包含软件、硬件和应用。
前述的基于知识图谱的云服务平台安全审计漏洞评测方法,步骤(E),将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配,得到对云服务平台有安全威胁的漏洞集,具体步骤如下;
步骤(E1),将云服务平台信息资产具体与云服务平台安全审计知识图谱中的漏洞产品节点和漏洞厂商节点相匹配,得到匹配结果;
步骤(E2),根据匹配结果进行图谱查询,得到与漏洞产品节点和漏洞厂商节点相关联的漏洞节点,再得到与漏洞节点相关联的漏洞风险节点;
步骤(E3),由漏洞节点和漏洞风险节点组成对云服务平台有安全威胁的漏洞集。
前述的基于知识图谱的云服务平台安全审计漏洞评测方法,步骤(F),构建多准则决策分析模式,并对有安全威胁的漏洞集进行安全风险评测,输出评测结果;
步骤(F1),构建多准则决策分析模式,其中多准则决策分析模式包含五个漏洞评测准则,且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则;
步骤(F2),利用多准则决策分析模式对有安全威胁的漏洞集进行安全风险评测,具体步骤如下,
步骤(F21),根据有安全威胁的漏洞集中漏洞节点和漏洞风险节点确定评测决策矩阵A,且评测决策矩阵为mx5阶,其中aij是评测决策矩阵A的矩阵元素,并表示第i个漏洞的第j个评测准则得分,m表示漏洞的个数;
步骤(F22),将评测决策矩阵进行归一化处理得到mx5阶的标准化矩阵X,其中xij是标准化矩阵X的矩阵元素,并表示第i个漏洞的第j个评测准则的归一化得分;
步骤(F23),确定五个漏洞评测准则的影响权重bj表示第j个准测的权重,且分别是b1、b2、b3、b4和b5,并将影响权重代入标准化矩阵X,得到加权决策矩阵C,其中cij是加权决策矩阵C的矩阵元素,并表示第i个漏洞的第j个评测准则的加权得分,cij的计算公式如公式(1)所示,
cij=xijbj (1);
步骤(F24),将漏洞排序,且序号分别为1、2、m,再将每一对漏洞h和漏洞g的评测准则集J={1,2,3,4,5}划分成2个不相交的子集,并分别为第一子集和第二子集,所述第一子集由漏洞h中加权得分不低于漏洞g的准则组成,称为漏洞h对漏洞g的和谐集Dhg,所述第二子集由漏洞h中加权得分低于漏洞g的准则组成,称为漏洞h对漏洞g的不和谐集Ehg,基于和谐集Dhg和不和谐集Ehg分别构建和谐性矩阵H和不和谐矩阵K的具体步骤如下,
步骤(F241),基于和谐集Dhg构造m×m阶的和谐性矩阵H,所述和谐性矩阵H用于判断不同漏洞间准则权重的相对优劣,其中khg为和谐性矩阵H的元素,并表示漏洞h对漏洞g的和谐指数,且khg的计算公式如公式(2)所示,
步骤(F242),基于不和谐集Ehg构造m×m阶的不和谐性矩阵K,所述不和谐性矩阵K用于判断不同漏洞间不同准则的得分相对优劣,其中khg为不和谐性矩阵K的元素,并表示漏洞h对漏洞g的不和谐指数,且khg为矩阵的元素,并表示漏洞h对漏洞g的不和谐指数,且khg的计算公式如公式(3)所示,
步骤(F25),根据和谐性矩阵H和不和谐矩阵K确定m×m阶的综合性支配矩阵E,所述综合性支配矩阵E用于表示不同漏洞在多漏洞评测准则融合下的综合效果情况,其中ehg为综合性支配矩阵E的元素,并表示漏洞h对漏洞g的支配关系指数,且ehg的计算公式如公式(4)所示,
ehg=hhg-khg (4);
步骤(F26),基于综合性支配矩阵E计算每个漏洞的威胁指数其中威胁指数/>的计算公式如公式(5)所示,
步骤(F27),将威胁指数从大到小进行排序,再根据排序结果给出安全风险评测结果并输出。
基于知识图谱的云服务平台安全审计漏洞评测系统,包括采集模块、图谱模式层构建模块、图谱数据层构建模块、漏洞检测模块、漏洞集获得模块和漏洞集评测模块,所述采集模块用于采集云服务安全漏洞数据;所述图谱模式层构建模块用于根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层;所述图谱数据层构建模块用于将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建;所述漏洞检测模块用于根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产;所述漏洞集获得模块用于将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配,得到对云服务平台有安全威胁的漏洞集;所述漏洞集评测模块用于构建多准则决策分析模式,并对有安全威胁的漏洞集进行安全风险评测,输出评测结果。
前述的基于知识图谱的云服务平台安全审计漏洞评测系统,所述对云服务平台有安全威胁的漏洞集由漏洞节点和漏洞风险节点组成。
前述的基于知识图谱的云服务平台安全审计漏洞评测系统,所述多准则决策分析模式包含五个漏洞评测准则,且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则。
本发明的有益效果是:
(1)、本发明首先根据已知的云服务安全漏洞构建云服务平台安全审计知识图谱,再根据现有云服务平台的信息资产情况和已知的漏洞威胁数据,接着通过知识图谱并利用知识图谱查询推理技术得到云服务平台有安全威胁的漏洞集,再对漏洞集利用多准则决策分析方法确定综合性支配矩阵,随后得到反映不同漏洞对云服务平台的安全威胁情况,有效地实现了本发明具有对云服务平台的安全漏洞进行风险分析并对风险分析结果的基础上使用多准则决策分析来评测云服务平台信息安全威胁的功能,且评测结果能为信息安全审计提供参考依据,还能不断的健全安全管理体系。
(2)、本发明所构建的云服务安全审计知识图谱能够有效地实现对云服务平台安全风险的综合评估,便于云服务平台的持续管理和连续性审计,提升了对信息资产的保护能力和风险意识。
(3)、本发明能根据所掌握的信息数据,分析评测结果中的风险可以评估云服务平台的安全、可靠与有效,以判断云服务平台是否能够保证信息资产的安全、数据的完整以及有效率利用组织的资源并有效果地实施组织目标。
附图说明
图1是本发明的基于知识图谱的云服务平台安全审计漏洞评测方法的流程图。
具体实施方式
下面将结合说明书附图,对本发明作进一步的说明。
如图1所示,本发明的基于知识图谱的云服务平台安全审计漏洞评测方法及系统,包括以下步骤,
步骤(A),采集云服务安全漏洞数据,其中云服务安全漏洞数据包含漏洞基本信息和漏洞风险信息,且所述云服务安全漏洞数据通过自动化爬虫引擎获取。
步骤(B),根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层,其中云服务平台安全审计知识图谱模式层包含四类节点和三类关系,所述四类节点分别是漏洞节点、漏洞风险节点、漏洞产品节点和漏洞厂商节点,所述三类关系分别是漏洞节点与漏洞风险节点的关系、漏洞节点与漏洞产品节点的关系及漏洞产品节点与漏洞厂商节点的关系,所述漏洞节点包含漏洞编号、漏洞名称和漏洞类型,所述漏洞风险节点包含机密性影响、完整性影响、可用性影响、攻击复杂度和漏洞评分,所述的漏洞产品节点包含漏洞所影响的产品名称和漏洞所影响的产品版本,所述的漏洞厂商节点表示漏洞所影响的产品提供厂商。
步骤(C),将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建,其中导入的云服务安全漏洞数据会存入云服务平台安全审计知识图谱的图数据库。
步骤(D),根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产,其中云服务平台信息资产包含软件、硬件和应用。
步骤(E),将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配,得到对云服务平台有安全威胁的漏洞集,具体步骤如下;
步骤(E1),将云服务平台信息资产具体与云服务平台安全审计知识图谱中的漏洞产品节点和漏洞厂商节点相匹配,得到匹配结果;
步骤(E2),根据匹配结果进行图谱查询,得到与漏洞产品节点和漏洞厂商节点相关联的漏洞节点,再得到与漏洞节点相关联的漏洞风险节点;
步骤(E3),由漏洞节点和漏洞风险节点组成对云服务平台有安全威胁的漏洞集。
步骤(F),构建多准则决策分析模式,并对有安全威胁的漏洞集进行安全风险评测,输出评测结果;
步骤(F1),构建多准则决策分析模式,其中多准则决策分析模式包含五个漏洞评测准则,且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则;
步骤(F2),利用多准则决策分析模式对有安全威胁的漏洞集进行安全风险评测,具体步骤如下,
步骤(F21),根据有安全威胁的漏洞集中漏洞节点和漏洞风险节点确定评测决策矩阵A,且评测决策矩阵为mx5阶,其中aij是评测决策矩阵A的矩阵元素,并表示第i个漏洞的第j个评测准则得分,m表示漏洞的个数;
步骤(F22),将评测决策矩阵进行归一化处理得到mx5阶的标准化矩阵X,其中xij是标准化矩阵X的矩阵元素,并表示第i个漏洞的第j个评测准则的归一化得分;
步骤(F23),确定五个漏洞评测准则的影响权重bj表示第j个准测的权重,且分别是b1、b2、b3、b4和b5,并将影响权重代入标准化矩阵X,得到加权决策矩阵C,其中cij是加权决策矩阵C的矩阵元素,并表示第i个漏洞的第j个评测准则的加权得分,cij的计算公式如公式(1)所示,
cij=xijbj (1);
步骤(F24),将漏洞排序,且序号分别为1、2、m,再将每一对漏洞h和漏洞g的评测准则集J={1,2,3,4,5}划分成2个不相交的子集,并分别为第一子集和第二子集,所述第一子集由漏洞h中加权得分不低于漏洞g的准则组成,称为漏洞h对漏洞g的和谐集Dhg,所述第二子集由漏洞h中加权得分低于漏洞g的准则组成,称为漏洞h对漏洞g的不和谐集Ehg,基于和谐集Dhg和不和谐集Ehg分别构建和谐性矩阵H和不和谐矩阵K的具体步骤如下,
步骤(F241),基于和谐集Dhg构造m×m阶的和谐性矩阵H,所述和谐性矩阵H用于判断不同漏洞间准则权重的相对优劣,其中khg为和谐性矩阵H的元素,并表示漏洞h对漏洞g的和谐指数,且khg的计算公式如公式(2)所示,
步骤(F242),基于不和谐集Ehg构造m×m阶的不和谐性矩阵K,所述不和谐性矩阵K用于判断不同漏洞间不同准则的得分相对优劣,其中khg为不和谐性矩阵K的元素,并表示漏洞h对漏洞g的不和谐指数,且khg为矩阵的元素,并表示漏洞h对漏洞g的不和谐指数,且khg的计算公式如公式(3)所示,
步骤(F25),根据和谐性矩阵H和不和谐矩阵K确定m×m阶的综合性支配矩阵E,所述综合性支配矩阵E用于表示不同漏洞在多漏洞评测准则融合下的综合效果情况,其中ehg为综合性支配矩阵E的元素,并表示漏洞h对漏洞g的支配关系指数,且ehg的计算公式如公式(4)所示,
ehg=hhg-khg (4);
步骤(F26),基于综合性支配矩阵E计算每个漏洞的威胁指数其中威胁指数/>的计算公式如公式(5)所示,
步骤(F27),将威胁指数从大到小进行排序,再根据排序结果给出安全风险评测结果并输出。
基于知识图谱的云服务平台安全审计漏洞评测系统,采集模块、图谱模式层构建模块、图谱数据层构建模块、漏洞检测模块、漏洞集获得模块和漏洞集评测模块,所述采集模块用于采集云服务安全漏洞数据;所述图谱模式层构建模块用于根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层;所述图谱数据层构建模块用于将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建;所述漏洞检测模块用于根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产;所述漏洞集获得模块用于将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配,得到对云服务平台有安全威胁的漏洞集;所述漏洞集评测模块用于构建多准则决策分析模式,并对有安全威胁的漏洞集进行安全风险评测,输出评测结果。
具体地,所述对云服务平台有安全威胁的漏洞集由漏洞节点和漏洞风险节点组成。
具体地,所述多准则决策分析模式包含五个漏洞评测准则,且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则。
为了更好的描述本发明的使用效果,下面介绍本发明的一个具体实施例。
(1),本实施例中漏洞节点包含漏洞编号CVE_ID、漏洞名称CVE_value和漏洞类型part,漏洞风险节点包含机密性影响V3_confidentialityImpact、完整性影响V3_integrityImpact、可用性影响V3_availabilityImpact、攻击复杂度V3_attackComplexity和漏洞评分V3_baseScore。
(2),本实施例漏洞编号CVE_ID为CVE-2021-21973,漏洞描述CVE_value为“ThevSphere Client(HTML5)contains an SSRF(Server Side Request Forgery)vulnerability due to improper validation of URLs in a vCenter Serverplugin.Amalicious actor with network access to port 443may exploit this issueby sending aPOST request to vCenter Server plugin leading to informationdisclosure.This affects:VMware vCenter Server(7.x before 7.0U1c,6.7before6.7U3l and 6.5before 6.5U3n)and VMware Cloud Foundation(4.x before 4.2and 3.xbefore 3.10.1.2)”,漏洞类型part为a(application应用级),可用性影响V3_availabilityImpact为NONE,完整性影响V3_integrityImpact为NONE、机密性影响V3_confidentialityImpact为LOW、攻击复杂度V3_attackComplexity为LOW和漏洞评分V3_baseScore为5.3。该漏洞CVE-2021-21973会作用在vmware供应商的vcenter_server产品中。
(3),本实施例所构建的模式层有四类节点,分别为漏洞节点CVE、漏洞风险节点CVE_Impact、产品节点Product和厂商节点Vendor,且每个实体的属性定义分别如表1-4所示。
表1、实体CVE的属性定义
表2、实体CVE_Impact的属性定义
属性名称 | 属性含义 | 取值类型 |
V3_availabilityImpact | 可用性影响 | String |
V3_integrityImpact | 完整性影响 | String |
V3_confidentialityImpact | 机密性影响 | String |
V3_attackComplexity | 攻击复杂度 | String |
V3_baseScore | 漏洞评分 | String |
表3、实体Product的属性定义
表4、实体Vendor的属性定义
属性名称 | 属性含义 | 取值类型 |
Vendor_name | 厂商名称 | String |
(4),本实施例所构建的模式层有三类关系,分别是漏洞节点CVE与漏洞风险节点CVE_Impact的关系IMPACT,漏洞节点CVE与漏洞产品节点Product的关系HAPPEN,以及漏洞厂商节点Vendor与漏洞产品节点Product的关系HAS,每个关系的定义如表5-7所示,
表5、关系IMPACT的定义
关系名称 | 实体1 | 实体2 |
IMPACT | CVE | CVE_Impact |
表6、关系HAPPEN的定义
关系名称 | 实体1 | 实体2 |
HAPPEN | CVE | Product |
表7、关系HAS属性定义
关系名称 | 实体1 | 实体2 |
HAS | Vendor | Product |
(5),本实施例根据云服务平台明确需要进行安全漏洞分析的云服务平台信息资产集合{V_Product_name,V_Product_version,V_Vendor_name},其中v_Product_name\inV_Product_name,v_Product_version\in V_Product_version和v_Vendor_name\in V_Vendor_name分别表示一个信息资产对应的一个产品名称、产品版本和厂商;其中云平台设计使用了vmware厂商vcenter_server产品,产品版本为6.7,其信息资产包括{vcenter_server,6.7,vmware}。
(6),本实施例将信息资产{V_Product_name,V_Product_version,V_Vendor_name}具体组件匹配到云服务平台安全审计知识图谱,找出与信息资产相关的所有漏洞节点CVE和所有漏洞风险节点CVE_Impact,得到对云服务平台有安全威胁的漏洞集{V_CVE,V_CVE_Impact},v_CVE\in V_CVE和v_CVE_Impact\in V_CVE_Impact分别表示一个威胁漏洞对应的漏洞节点和漏洞风险节点。
(7),本实施例构建多准则决策分析模式,并对有安全威胁的漏洞集进行安全风险评测,输出评测结果。
综上所述,本发明的基于知识图谱的云服务平台安全审计漏洞评测方法及系统,首先根据已知的云服务安全漏洞构建云服务平台安全审计知识图谱,再根据现有云服务平台的信息资产情况和已知的漏洞威胁数据,接着通过知识图谱并利用知识图谱查询推理技术得到云服务平台有安全威胁的漏洞集,再对漏洞集利用多准则决策分析方法确定综合性支配矩阵,随后得到反映不同漏洞对云服务平台的安全威胁情况,有效地实现了本发明具有对云服务平台的安全漏洞进行风险分析并对风险分析结果的基础上使用多准则决策分析来评测云服务平台信息安全威胁的功能,且评测结果能为信息安全审计提供参考依据,还能不断的健全安全管理体系,同时所构建的云服务安全审计知识图谱能够有效地实现对云服务平台安全风险的综合评估,便于云服务平台的持续管理和连续性审计,提升了对信息资产的保护能力和风险意识;这对于所有的云服务平台的实际工作过程中都能根据所能掌握的信息数据,分析结果中的风险可以评估云服务平台的安全、可靠与有效,以判断云服务平台是否能够保证信息资产的安全、数据的完整以及有效率利用组织的资源并有效果地实施组织目标。
以上显示和描述了本发明的基本原理、主要特征及优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (10)
1.基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:包括以下步骤,
步骤(A),采集云服务安全漏洞数据;
步骤(B),根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层;
步骤(C),将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建;
步骤(D),根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产;
步骤(E),将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配,得到对云服务平台有安全威胁的漏洞集;
步骤(F),构建多准则决策分析模式,并对有安全威胁的漏洞集进行安全风险评测,输出评测结果。
2.根据权利要求1所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(A),采集云服务安全漏洞数据,其中云服务安全漏洞数据包含漏洞基本信息和漏洞风险信息,且所述云服务安全漏洞数据通过自动化爬虫引擎获取。
3.根据权利要求2所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(B),根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层,其中云服务平台安全审计知识图谱模式层包含四类节点和三类关系,所述四类节点分别是漏洞节点、漏洞风险节点、漏洞产品节点和漏洞厂商节点,所述三类关系分别是漏洞节点与漏洞风险节点的关系、漏洞节点与漏洞产品节点的关系及漏洞产品节点与漏洞厂商节点的关系,所述漏洞节点包含漏洞编号、漏洞名称和漏洞类型,所述漏洞风险节点包含机密性影响、完整性影响、可用性影响、攻击复杂度和漏洞评分,所述的漏洞产品节点包含漏洞所影响的产品名称和漏洞所影响的产品版本,所述的漏洞厂商节点表示漏洞所影响的产品提供厂商。
4.根据权利要求3所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(C),将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建,其中导入的云服务安全漏洞数据会存入云服务平台安全审计知识图谱的图数据库。
5.根据权利要求4所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(D),根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产,其中云服务平台信息资产包含软件、硬件和应用。
6.根据权利要求5所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(E),将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配,得到对云服务平台有安全威胁的漏洞集,具体步骤如下;
步骤(E1),将云服务平台信息资产具体与云服务平台安全审计知识图谱中的漏洞产品节点和漏洞厂商节点相匹配,得到匹配结果;
步骤(E2),根据匹配结果进行图谱查询,得到与漏洞产品节点和漏洞厂商节点相关联的漏洞节点,再得到与漏洞节点相关联的漏洞风险节点;
步骤(E3),由漏洞节点和漏洞风险节点组成对云服务平台有安全威胁的漏洞集。
7.根据权利要求6所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(F),构建多准则决策分析模式,并对有安全威胁的漏洞集进行安全风险评测,输出评测结果;
步骤(F1),构建多准则决策分析模式,其中多准则决策分析模式包含五个漏洞评测准则,且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则;
步骤(F2),利用多准则决策分析模式对有安全威胁的漏洞集进行安全风险评测,具体步骤如下,
步骤(F21),根据有安全威胁的漏洞集中漏洞节点和漏洞风险节点确定评测决策矩阵A,且评测决策矩阵为mx5阶,其中aij是评测决策矩阵A的矩阵元素,并表示第i个漏洞的第j个评测准则得分,m表示漏洞的个数;
步骤(F22),将评测决策矩阵进行归一化处理得到mx5阶的标准化矩阵X,其中xij是标准化矩阵X的矩阵元素,并表示第i个漏洞的第j个评测准则的归一化得分;
步骤(F23),确定五个漏洞评测准则的影响权重bj表示第j个准测的权重,且分别是b1、b2、b3、b4和b5,并将影响权重代入标准化矩阵X,得到加权决策矩阵C,其中cij是加权决策矩阵C的矩阵元素,并表示第i个漏洞的第j个评测准则的加权得分,cij的计算公式如公式(1)所示,
cij=xijbj (1);
步骤(F24),将漏洞排序,且序号分别为1、2、m,再将每一对漏洞h和漏洞g的评测准则集J={1,2,3,4,5}划分成2个不相交的子集,并分别为第一子集和第二子集,所述第一子集由漏洞h中加权得分不低于漏洞g的准则组成,称为漏洞h对漏洞g的和谐集Dhg,所述第二子集由漏洞h中加权得分低于漏洞g的准则组成,称为漏洞h对漏洞g的不和谐集Ehg,基于和谐集Dhg和不和谐集Ehg分别构建和谐性矩阵H和不和谐矩阵K的具体步骤如下,
步骤(F241),基于和谐集Dhg构造m×m阶的和谐性矩阵H,所述和谐性矩阵H用于判断不同漏洞间准则权重的相对优劣,其中khg为和谐性矩阵H的元素,并表示漏洞h对漏洞g的和谐指数,且khg的计算公式如公式(2)所示,
步骤(F242),基于不和谐集Ehg构造m×m阶的不和谐性矩阵K,所述不和谐性矩阵K用于判断不同漏洞间不同准则的得分相对优劣,其中khg为不和谐性矩阵K的元素,并表示漏洞h对漏洞g的不和谐指数,且khg为矩阵的元素,并表示漏洞h对漏洞g的不和谐指数,且khg的计算公式如公式(3)所示,
步骤(F25),根据和谐性矩阵H和不和谐矩阵K确定m×m阶的综合性支配矩阵E,所述综合性支配矩阵E用于表示不同漏洞在多漏洞评测准则融合下的综合效果情况,其中ehg为综合性支配矩阵E的元素,并表示漏洞h对漏洞g的支配关系指数,且ehg的计算公式如公式(4)所示,
ehg=hhg-khg (4);
步骤(F26),基于综合性支配矩阵E计算每个漏洞的威胁指数其中威胁指数/>的计算公式如公式(5)所示,
步骤(F27),将威胁指数从大到小进行排序,再根据排序结果给出安全风险评测结果并输出。
8.基于知识图谱的云服务平台安全审计漏洞评测系统,所述系统的运行过程采用基于权利要求1-7任一项所述的方法,其特征在于:包括采集模块、图谱模式层构建模块、图谱数据层构建模块、漏洞检测模块、漏洞集获得模块和漏洞集评测模块,所述采集模块用于采集云服务安全漏洞数据;
所述图谱模式层构建模块用于根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层;
所述图谱数据层构建模块用于将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建;
所述漏洞检测模块用于根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产;
所述漏洞集获得模块用于将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配,得到对云服务平台有安全威胁的漏洞集;
所述漏洞集评测模块用于构建多准则决策分析模式,并对有安全威胁的漏洞集进行安全风险评测,输出评测结果。
9.根据权利要求8所述的基于知识图谱的云服务平台安全审计漏洞评测系统,其特征在于:所述对云服务平台有安全威胁的漏洞集由漏洞节点和漏洞风险节点组成。
10.根据权利要求8所述的基于知识图谱的云服务平台安全审计漏洞评测系统,其特征在于:所述多准则决策分析模式包含五个漏洞评测准则,且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311327755.8A CN117370987B (zh) | 2023-10-13 | 2023-10-13 | 基于知识图谱的云服务平台安全审计漏洞评测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311327755.8A CN117370987B (zh) | 2023-10-13 | 2023-10-13 | 基于知识图谱的云服务平台安全审计漏洞评测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117370987A true CN117370987A (zh) | 2024-01-09 |
CN117370987B CN117370987B (zh) | 2024-03-12 |
Family
ID=89407126
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311327755.8A Active CN117370987B (zh) | 2023-10-13 | 2023-10-13 | 基于知识图谱的云服务平台安全审计漏洞评测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117370987B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103095712A (zh) * | 2013-01-24 | 2013-05-08 | 无锡南理工科技发展有限公司 | 一种基于CORAS-Petri的安全策略层次联合建模方法 |
WO2017156399A1 (en) * | 2016-03-11 | 2017-09-14 | Cameron Nathan R | Systems, methods, and user interfaces for evaluating quality, health, safety, and environment data |
CN112613038A (zh) * | 2020-11-27 | 2021-04-06 | 中山大学 | 一种基于知识图谱的安全漏洞分析方法 |
CN112699382A (zh) * | 2021-03-25 | 2021-04-23 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 物联网网络安全风险的评估方法、装置及计算机存储介质 |
US20220051111A1 (en) * | 2020-08-17 | 2022-02-17 | Accenture Global Solutions Limited | Knowledge graph enhancement by prioritizing cardinal nodes |
CN115134122A (zh) * | 2022-05-30 | 2022-09-30 | 上海安锐信科技有限公司 | 一种基于工业系统网络实体的威胁图谱的构建方法 |
CN115567237A (zh) * | 2022-08-12 | 2023-01-03 | 深圳供电局有限公司 | 基于知识图谱的网络安全评估方法 |
CN115987570A (zh) * | 2022-12-02 | 2023-04-18 | 国网思极网安科技(北京)有限公司 | 一种供应链管理系统的安全检测方法及装置 |
CN116204658A (zh) * | 2023-03-15 | 2023-06-02 | 北京国御科技有限公司 | 一种基于知识图谱的网络空间资产管理方法 |
CN116681131A (zh) * | 2023-05-23 | 2023-09-01 | 浙江工业大学 | 一种基于知识图谱的容器镜像仓库风险预测方法 |
-
2023
- 2023-10-13 CN CN202311327755.8A patent/CN117370987B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103095712A (zh) * | 2013-01-24 | 2013-05-08 | 无锡南理工科技发展有限公司 | 一种基于CORAS-Petri的安全策略层次联合建模方法 |
WO2017156399A1 (en) * | 2016-03-11 | 2017-09-14 | Cameron Nathan R | Systems, methods, and user interfaces for evaluating quality, health, safety, and environment data |
US20220051111A1 (en) * | 2020-08-17 | 2022-02-17 | Accenture Global Solutions Limited | Knowledge graph enhancement by prioritizing cardinal nodes |
CN112613038A (zh) * | 2020-11-27 | 2021-04-06 | 中山大学 | 一种基于知识图谱的安全漏洞分析方法 |
CN112699382A (zh) * | 2021-03-25 | 2021-04-23 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 物联网网络安全风险的评估方法、装置及计算机存储介质 |
CN115134122A (zh) * | 2022-05-30 | 2022-09-30 | 上海安锐信科技有限公司 | 一种基于工业系统网络实体的威胁图谱的构建方法 |
CN115567237A (zh) * | 2022-08-12 | 2023-01-03 | 深圳供电局有限公司 | 基于知识图谱的网络安全评估方法 |
CN115987570A (zh) * | 2022-12-02 | 2023-04-18 | 国网思极网安科技(北京)有限公司 | 一种供应链管理系统的安全检测方法及装置 |
CN116204658A (zh) * | 2023-03-15 | 2023-06-02 | 北京国御科技有限公司 | 一种基于知识图谱的网络空间资产管理方法 |
CN116681131A (zh) * | 2023-05-23 | 2023-09-01 | 浙江工业大学 | 一种基于知识图谱的容器镜像仓库风险预测方法 |
Non-Patent Citations (3)
Title |
---|
QIGUI YAO, QI WANG, JIAXUAN FEI: "Construction of knowledge graph for security threat tracing in Power Distribution Internet of Things", 《2022 9TH INTERNATIONAL FORUM ON ELECTRICAL ENGINEERING AND AUTOMATION IFEEA》, 10 February 2023 (2023-02-10), pages 610 - 613 * |
王婉玲: "工控网络安全知识图谱的构建及应用研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》, no. 05, 15 May 2022 (2022-05-15), pages 138 - 1183 * |
黄思蓓,张磊: "工业互联网安全知识图谱设计研究", 《自动化仪表》, vol. 42, no. 12, 20 December 2021 (2021-12-20), pages 90 - 92 * |
Also Published As
Publication number | Publication date |
---|---|
CN117370987B (zh) | 2024-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
CN109639670B (zh) | 一种基于知识图谱的工控网络安全态势量化评估方法 | |
CN107623697B (zh) | 一种基于攻防随机博弈模型的网络安全态势评估方法 | |
Narayanan et al. | Link prediction by de-anonymization: How we won the kaggle social network challenge | |
CN107220549B (zh) | 基于cvss的漏洞风险基础评估方法 | |
Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
CN111565184A (zh) | 一种网络安全评估装置、方法、设备及介质 | |
CN105718805A (zh) | 基于评价可信度的云计算信任管理方法 | |
Mellado et al. | A comparison of software design security metrics | |
Lakhno et al. | Design of adaptive system of detection of cyber-attacks, based on the model of logical procedures and the coverage matrices of features | |
CN110011976B (zh) | 一种网络攻击破坏能力量化评估方法及系统 | |
CN115987544A (zh) | 一种基于威胁情报的网络安全威胁预测方法及系统 | |
CN113051575A (zh) | 基于图数据库生成红蓝对抗攻击演习方案的方法及系统 | |
Huang et al. | Socialwatch: detection of online service abuse via large-scale social graphs | |
Shin et al. | ART: automated reclassification for threat actors based on ATT&CK matrix similarity | |
CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
Mathew et al. | Situation awareness of multistage cyber attacks by semantic event fusion | |
Nebbione et al. | A Methodological Framework for AI-Assisted Security Assessments of Active Directory Environments | |
CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及系统 | |
CN117370987B (zh) | 基于知识图谱的云服务平台安全审计漏洞评测方法及系统 | |
Zhang et al. | A multi-criteria detection scheme of collusive fraud organization for reputation aggregation in social networks | |
CN115599345A (zh) | 一种基于知识图谱的应用安全需求分析推荐方法 | |
CN115333806A (zh) | 渗透测试攻击路径规划方法、装置、电子设备及存储介质 | |
WO2023087554A1 (zh) | 一种资产风险处置方法、装置、设备及存储介质 | |
Holm et al. | A metamodel for web application injection attacks and countermeasures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |