一種網(wǎng)絡(luò)安全態(tài)勢評估方法
【專利摘要】本發(fā)明提供一種網(wǎng)絡(luò)安全態(tài)勢評估方法，包括：根據(jù)采集的脆弱性信息、網(wǎng)絡(luò)攻擊信息、攻擊證據(jù)生成脆弱性列表、原子攻擊列表、攻擊證據(jù)列表；建立貝葉斯網(wǎng)絡(luò)；獲取原子攻擊后驗概率；檢測貝葉斯網(wǎng)絡(luò)中原子攻擊與攻擊證據(jù)之間的因果關(guān)系是否真實；建立網(wǎng)絡(luò)攻擊系統(tǒng)架構(gòu)，生成貝葉斯攻擊圖；獲取原子攻擊節(jié)點攻擊概率；獲取脆弱性威脅度，并將其分為Root權(quán)限級、User權(quán)限級、None權(quán)限級三個層次；根據(jù)脆弱性威脅度的三個層次及與該三個層次對應(yīng)的預(yù)警值，顯示網(wǎng)絡(luò)安全態(tài)勢整體評估結(jié)果，當(dāng)脆弱性威脅度超過三個級別對應(yīng)的預(yù)警值時報警。本發(fā)明具有模型簡單、評估結(jié)果準確、應(yīng)用范圍較廣等特點，可廣泛應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域。
【專利說明】一種網(wǎng)絡(luò)安全態(tài)勢評估方法

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及評估技術(shù)，特別是涉及一種網(wǎng)絡(luò)安全態(tài)勢評估方法。

【背景技術(shù)】
[0002] 隨著科技發(fā)展，網(wǎng)絡(luò)安全問題早已成為人們關(guān)注的焦點。近年來，網(wǎng)絡(luò)攻擊事件數(shù) 量持續(xù)增長，各科研單位研究各種安全技術(shù)措施，評估網(wǎng)絡(luò)安全態(tài)勢，并防范甚至解決網(wǎng)絡(luò) 攻擊問題。在網(wǎng)絡(luò)安全態(tài)勢評估技術(shù)中，脆弱性利用威脅評估技術(shù)一直是安全態(tài)勢評估領(lǐng) 域的一個關(guān)鍵技術(shù)。
[0003] 脆弱性利用威脅評估方法包括脆弱性嚴重程度評估法、全局安全態(tài)勢評估法兩 類。脆弱性嚴重程度評估法主要根據(jù)脆弱性易被利用的特性評估各脆弱性嚴重程度，其評 價結(jié)果的準確性較低。全局安全態(tài)勢評估法首先基于攻擊圖或貝葉斯網(wǎng)絡(luò)建立脆弱性評估 模型，然后根據(jù)系統(tǒng)中所有脆弱性的狀態(tài)來評估系統(tǒng)整體安全狀態(tài)，并基于經(jīng)驗或者脆弱 性評估系統(tǒng)（CVSS，Common Vulnerability Scoring System)獲取各脆弱性被成功利用的 概率；但現(xiàn)有的全局安全態(tài)勢評估方法的脆弱性評估模型比較復(fù)雜，且評估結(jié)果的準確性 較低。
[0004] 由此可見，在現(xiàn)有技術(shù)中，網(wǎng)絡(luò)安全態(tài)勢評估方法存在評估結(jié)果準確性較低等問 題。


【發(fā)明內(nèi)容】

[0005] 有鑒于此，本發(fā)明的主要目的在于提供一種關(guān)于全局的模型比較簡單、評估結(jié)果 準確性較高、應(yīng)用范圍較廣的網(wǎng)絡(luò)安全態(tài)勢評估方法。
[0006] 為了達到上述目的，本發(fā)明提出的技術(shù)方案為：
[0007] -種網(wǎng)絡(luò)安全態(tài)勢評估方法，包括如下步驟：
[0008] 步驟1、對脆弱性掃描工具或入侵檢測系統(tǒng)采集的相對應(yīng)的脆弱性信息、網(wǎng)絡(luò)攻擊 信息、攻擊證據(jù)進行統(tǒng)一編號后，分別生成脆弱性列表、原子攻擊列表、攻擊證據(jù)列表。
[0009] 步驟2、將相對應(yīng)的原子攻擊、攻擊證據(jù)作為節(jié)點，以相對應(yīng)的原子攻擊與攻擊證 據(jù)之間的因果關(guān)系為有向弧，建立貝葉斯網(wǎng)絡(luò)。
[0010] 步驟3、根據(jù)相對應(yīng)的原子攻擊與攻擊證據(jù)中的基本操作數(shù)獲取原子攻擊后驗概 率

【權(quán)利要求】
1. 一種網(wǎng)絡(luò)安全態(tài)勢評估方法，其特征在于，所述評估方法包括如下步驟： 步驟1、對脆弱性掃描工具或入侵檢測系統(tǒng)采集的相對應(yīng)的脆弱性信息、網(wǎng)絡(luò)攻擊信 息、攻擊證據(jù)進行統(tǒng)一編號后，分別生成脆弱性列表、原子攻擊列表、攻擊證據(jù)列表； 步驟2、將相對應(yīng)的原子攻擊、攻擊證據(jù)作為節(jié)點，以相對應(yīng)的原子攻擊與攻擊證據(jù)之 間的因果關(guān)系為有向弧，建立貝葉斯網(wǎng)絡(luò)； 步驟3、根據(jù)相對應(yīng)的原子攻擊與攻擊證據(jù)中的基本操作數(shù)獲取原子攻擊后驗概率
;其中，aj為第j個原子攻擊，O1為與原子攻擊a』對應(yīng)的攻擊證 據(jù)，ks為原子攻擊的基本操作數(shù)，Ii1為攻擊證據(jù)O1的基本操作數(shù)，j、Uk s^n1為自然數(shù)； 步驟4、根據(jù)原子攻擊后驗概率，檢測貝葉斯網(wǎng)絡(luò)中原子攻擊與攻擊證據(jù)之間的因果關(guān) 系是否真實：與攻擊證據(jù)可能存在因果關(guān)系的各原子攻擊中，原子攻擊后驗概率最大的原 子攻擊對應(yīng)的因果關(guān)系為真實的； 步驟5、根據(jù)步驟4的檢測結(jié)果、脆弱性列表、原子攻擊列表、攻擊證據(jù)列表，將原子攻 擊對應(yīng)的脆弱點作為節(jié)點加入貝葉斯網(wǎng)絡(luò)中，建立網(wǎng)絡(luò)攻擊系統(tǒng)架構(gòu)； 步驟6、根據(jù)網(wǎng)絡(luò)攻擊系統(tǒng)架構(gòu)，生成貝葉斯攻擊圖BAG = (T，W，TI，E，C);其中，T為 確定的貝葉斯網(wǎng)絡(luò)中原子攻擊、攻擊證據(jù)、脆弱點三類節(jié)點的集合，W為原子攻擊權(quán)集合，Π 為概率集合，E為依賴關(guān)系集合，C為約束條件集合； 步驟7、根據(jù)貝葉斯攻擊圖，獲取原子攻擊節(jié)點攻擊概率：
其中，原子攻擊節(jié)點.為原子攻擊節(jié)點的父節(jié)點；p(afp為父節(jié)點.攻擊概率； S(ap為原子攻擊節(jié)點自身概率;S(Vi)為脆弱性節(jié)點自身概率； 步驟8、獲取脆弱性威脅度
并根據(jù)目的主機各級權(quán)限攻 擊比率，將脆弱性威脅度對應(yīng)分為Root權(quán)限級、User權(quán)限級、None權(quán)限級三個層次； 步驟9、根據(jù)脆弱性威脅度的三個層次及與該三個層次對應(yīng)的預(yù)警值，顯示網(wǎng)絡(luò)安全態(tài) 勢整體評估結(jié)果為：網(wǎng)絡(luò)安全態(tài)勢屬于Root權(quán)限級威脅、網(wǎng)絡(luò)安全態(tài)勢屬于User權(quán)限級威 脅或者網(wǎng)絡(luò)安全態(tài)勢屬于None權(quán)限級威脅，以及網(wǎng)絡(luò)安全態(tài)勢分別在三個層次中所處的 嚴重程度；當(dāng)脆弱性威脅度超過三個級別對應(yīng)的預(yù)警值時報警。
2. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢評估方法，其特征在于，所述步驟2具體包括： 步驟21、設(shè)置I = 1 ; 步驟22、從攻擊證據(jù)列表中選取攻擊證據(jù)〇1，并分析攻擊證據(jù)〇1所包含的所有基本操 作； 步驟23、遍歷原子攻擊列表，分析各原子攻擊的所有基本操作；如果原子攻擊％的部 分或全部基本操作與攻擊證據(jù)O1所包含的部分或全部基本操作相同，則原子攻擊％與攻擊 證據(jù)O1相對應(yīng)，將攻擊證據(jù)O1及其對應(yīng)的原子攻擊作為節(jié)點加入貝葉斯網(wǎng)絡(luò)，并以原子 攻擊h與攻擊證據(jù)O 1之間的因果關(guān)系為有向??； 步驟24、設(shè)置1 = 1+1 ;判斷I > U是否成立：若成立，則貝葉斯網(wǎng)絡(luò)建立完成；若不成 立，則返回步驟22 ;其中，u為攻擊證據(jù)總數(shù)。
3. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢評估方法，其特征在于，所述步驟4具體包括： 步驟41、設(shè)置I = 1 ; 步驟42、獲取所有與攻擊證據(jù)〇1存在因果關(guān)系的原子攻擊aj的后驗概率
步驟43、設(shè)置j = j+Ι ;判斷j > m是否成立：若成立，則執(zhí)行步驟44 ;若不成立，則返 回步驟42 ; 步驟44、取Xlx = HiaxI^11, λ12，…，λχ』，…，Xlj,…，λ1ηι}，將最大后驗概率λ 1χ 對應(yīng)的原子攻擊ax與攻擊證據(jù)〇1之間的因果關(guān)系作為真實的因果關(guān)系，并刪除其他（m-1) 個后驗概率對應(yīng)的原子攻擊與攻擊證據(jù)O 1之間的因果關(guān)系；其中，m為與攻擊證據(jù)O1存在 因果關(guān)系的原子攻擊總數(shù)。
4. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢評估方法，其特征在于，所述原子攻擊節(jié)點自 身概率s (ap取值如下：
所述脆弱性節(jié)點自身概率S(Vi) = 1。
5. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢評估方法，其特征在于，步驟8中，所述根據(jù)目 的主機各級權(quán)限攻擊比率，將脆弱性威脅度對應(yīng)分為Root權(quán)限級、User權(quán)限級、None權(quán)限 級三個層次，具體包括如下步驟： 步驟81、獲取目的主機Root權(quán)限攻擊比率qK = (T (Root) +T (User) +T (None)) /N、目 的主機User權(quán)限攻擊比率qu = (T(User) +T(None))/N、目的主機None權(quán)限攻擊比率qN =T(None)/N;其中，T(Root)表示攻擊者為獲取目的主機Root權(quán)限而實施的原子攻擊 次數(shù)，T(User)表示攻擊者為獲取目的主機User權(quán)限而實施的原子攻擊次數(shù)，T(None) 表示攻擊者為獲取目的主機None權(quán)限而實施的原子攻擊次數(shù)；N為原子攻擊總數(shù)，且 N^T (Root) +T (User) +T (None)； 步驟82、當(dāng)qN彡pmax < qu時，脆弱性威脅度pmax屬于None權(quán)限級；當(dāng)qu彡pmax < qK時， 脆弱性威脅度Pmax屬于User權(quán)限級；當(dāng)qK < pmax < 1時，脆弱性威脅度pmax屬于Root權(quán)限 級。
6. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢評估方法，其特征在于，所述步驟9具體包括如 下步驟： 步驟91、設(shè)定None權(quán)限級預(yù)警值為J^User權(quán)限級預(yù)警值為J2、Root權(quán)限級級預(yù)警值 為 J3,而且，％ € Ji € Qu、Qu € J2 $ Qr、Qr $ J3 $ 1 ; 步驟92、當(dāng)脆弱性威脅度qN彡pmax < qu且pmax > J1時，表示網(wǎng)絡(luò)安全態(tài)勢為攻擊即將 突破None權(quán)限級而到達User權(quán)限級；當(dāng)脆弱性威脅度qu < pmax < qK且pmax彡J2時，表示 網(wǎng)絡(luò)安全態(tài)勢為攻擊即將突破User權(quán)限級而到達Root權(quán)限級；當(dāng)脆弱性威脅度qK < pmax < 1且口_ > J3時，表示網(wǎng)絡(luò)安全態(tài)勢為即將完全崩潰； 步驟93、當(dāng)Pniax彡1、ρ_彡J2或p_彡J3，進行報警。
7.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全態(tài)勢評估方法，其特征在于，所述步驟1中，所述脆 弱性信息包括源主機IP、目的主機IP、源主機端口、源主機開放端口、目的主機端口、目的 主機開放端口、協(xié)議、源主機服務(wù)訪問權(quán)限、目的主機訪問權(quán)限或系統(tǒng)存在的脆弱性； 所述網(wǎng)絡(luò)攻擊信息包括源主機IP、目的主機IP、目的主機端口、目的主機開放端口、協(xié) 議、目的主機訪問權(quán)限、網(wǎng)絡(luò)攻擊類型或網(wǎng)絡(luò)攻擊針對的系統(tǒng)脆弱性； 所述攻擊證據(jù)包括網(wǎng)絡(luò)攻擊的類型、網(wǎng)絡(luò)攻擊的時間或網(wǎng)絡(luò)攻擊獲得的訪問權(quán)限。
【文檔編號】H04L12/24GK104394015SQ201410668554
【公開日】2015年3月4日 申請日期:2014年11月13日 優(yōu)先權(quán)日:2014年11月13日
【發(fā)明者】王輝, 蘆碧波, 申自浩, 雒芬, 王云峰, 張長森 申請人:河南理工大學(xué)