一種網絡安全態勢評估方法

一種網絡安全態勢評估方法
【專利摘要】本發明提供一種網絡安全態勢評估方法，包括：根據采集的脆弱性信息、網絡攻擊信息、攻擊證據生成脆弱性列表、原子攻擊列表、攻擊證據列表；建立貝葉斯網絡；獲取原子攻擊后驗概率；檢測貝葉斯網絡中原子攻擊與攻擊證據之間的因果關系是否真實；建立網絡攻擊系統架構，生成貝葉斯攻擊圖；獲取原子攻擊節點攻擊概率；獲取脆弱性威脅度，并將其分為Root權限級、User權限級、None權限級三個層次；根據脆弱性威脅度的三個層次及與該三個層次對應的預警值，顯示網絡安全態勢整體評估結果，當脆弱性威脅度超過三個級別對應的預警值時報警。本發明具有模型簡單、評估結果準確、應用范圍較廣等特點，可廣泛應用于網絡安全領域。
【專利說明】一種網絡安全態勢評估方法

【技術領域】
[0001] 本發明涉及評估技術，特別是涉及一種網絡安全態勢評估方法。

【背景技術】
[0002] 隨著科技發展，網絡安全問題早已成為人們關注的焦點。近年來，網絡攻擊事件數 量持續增長，各科研單位研究各種安全技術措施，評估網絡安全態勢，并防范甚至解決網絡 攻擊問題。在網絡安全態勢評估技術中，脆弱性利用威脅評估技術一直是安全態勢評估領 域的一個關鍵技術。
[0003] 脆弱性利用威脅評估方法包括脆弱性嚴重程度評估法、全局安全態勢評估法兩 類。脆弱性嚴重程度評估法主要根據脆弱性易被利用的特性評估各脆弱性嚴重程度，其評 價結果的準確性較低。全局安全態勢評估法首先基于攻擊圖或貝葉斯網絡建立脆弱性評估 模型，然后根據系統中所有脆弱性的狀態來評估系統整體安全狀態，并基于經驗或者脆弱 性評估系統（CVSS，Common Vulnerability Scoring System)獲取各脆弱性被成功利用的 概率；但現有的全局安全態勢評估方法的脆弱性評估模型比較復雜，且評估結果的準確性 較低。
[0004] 由此可見，在現有技術中，網絡安全態勢評估方法存在評估結果準確性較低等問 題。


【發明內容】

[0005] 有鑒于此，本發明的主要目的在于提供一種關于全局的模型比較簡單、評估結果 準確性較高、應用范圍較廣的網絡安全態勢評估方法。
[0006] 為了達到上述目的，本發明提出的技術方案為：
[0007] -種網絡安全態勢評估方法，包括如下步驟：
[0008] 步驟1、對脆弱性掃描工具或入侵檢測系統采集的相對應的脆弱性信息、網絡攻擊 信息、攻擊證據進行統一編號后，分別生成脆弱性列表、原子攻擊列表、攻擊證據列表。
[0009] 步驟2、將相對應的原子攻擊、攻擊證據作為節點，以相對應的原子攻擊與攻擊證 據之間的因果關系為有向弧，建立貝葉斯網絡。
[0010] 步驟3、根據相對應的原子攻擊與攻擊證據中的基本操作數獲取原子攻擊后驗概 率

【權利要求】
1. 一種網絡安全態勢評估方法，其特征在于，所述評估方法包括如下步驟： 步驟1、對脆弱性掃描工具或入侵檢測系統采集的相對應的脆弱性信息、網絡攻擊信 息、攻擊證據進行統一編號后，分別生成脆弱性列表、原子攻擊列表、攻擊證據列表； 步驟2、將相對應的原子攻擊、攻擊證據作為節點，以相對應的原子攻擊與攻擊證據之 間的因果關系為有向弧，建立貝葉斯網絡； 步驟3、根據相對應的原子攻擊與攻擊證據中的基本操作數獲取原子攻擊后驗概率
;其中，aj為第j個原子攻擊，O1為與原子攻擊a』對應的攻擊證 據，ks為原子攻擊的基本操作數，Ii1為攻擊證據O1的基本操作數，j、Uk s^n1為自然數； 步驟4、根據原子攻擊后驗概率，檢測貝葉斯網絡中原子攻擊與攻擊證據之間的因果關 系是否真實：與攻擊證據可能存在因果關系的各原子攻擊中，原子攻擊后驗概率最大的原 子攻擊對應的因果關系為真實的； 步驟5、根據步驟4的檢測結果、脆弱性列表、原子攻擊列表、攻擊證據列表，將原子攻 擊對應的脆弱點作為節點加入貝葉斯網絡中，建立網絡攻擊系統架構； 步驟6、根據網絡攻擊系統架構，生成貝葉斯攻擊圖BAG = (T，W，TI，E，C);其中，T為 確定的貝葉斯網絡中原子攻擊、攻擊證據、脆弱點三類節點的集合，W為原子攻擊權集合，Π 為概率集合，E為依賴關系集合，C為約束條件集合； 步驟7、根據貝葉斯攻擊圖，獲取原子攻擊節點攻擊概率：
其中，原子攻擊節點.為原子攻擊節點的父節點；p(afp為父節點.攻擊概率； S(ap為原子攻擊節點自身概率;S(Vi)為脆弱性節點自身概率； 步驟8、獲取脆弱性威脅度
并根據目的主機各級權限攻 擊比率，將脆弱性威脅度對應分為Root權限級、User權限級、None權限級三個層次； 步驟9、根據脆弱性威脅度的三個層次及與該三個層次對應的預警值，顯示網絡安全態 勢整體評估結果為：網絡安全態勢屬于Root權限級威脅、網絡安全態勢屬于User權限級威 脅或者網絡安全態勢屬于None權限級威脅，以及網絡安全態勢分別在三個層次中所處的 嚴重程度；當脆弱性威脅度超過三個級別對應的預警值時報警。
2. 根據權利要求1所述的網絡安全態勢評估方法，其特征在于，所述步驟2具體包括： 步驟21、設置I = 1 ; 步驟22、從攻擊證據列表中選取攻擊證據〇1，并分析攻擊證據〇1所包含的所有基本操 作； 步驟23、遍歷原子攻擊列表，分析各原子攻擊的所有基本操作；如果原子攻擊％的部 分或全部基本操作與攻擊證據O1所包含的部分或全部基本操作相同，則原子攻擊％與攻擊 證據O1相對應，將攻擊證據O1及其對應的原子攻擊作為節點加入貝葉斯網絡，并以原子 攻擊h與攻擊證據O 1之間的因果關系為有向弧； 步驟24、設置1 = 1+1 ;判斷I > U是否成立：若成立，則貝葉斯網絡建立完成；若不成 立，則返回步驟22 ;其中，u為攻擊證據總數。
3. 根據權利要求1所述的網絡安全態勢評估方法，其特征在于，所述步驟4具體包括： 步驟41、設置I = 1 ; 步驟42、獲取所有與攻擊證據〇1存在因果關系的原子攻擊aj的后驗概率
步驟43、設置j = j+Ι ;判斷j > m是否成立：若成立，則執行步驟44 ;若不成立，則返 回步驟42 ; 步驟44、取Xlx = HiaxI^11, λ12，…，λχ』，…，Xlj,…，λ1ηι}，將最大后驗概率λ 1χ 對應的原子攻擊ax與攻擊證據〇1之間的因果關系作為真實的因果關系，并刪除其他（m-1) 個后驗概率對應的原子攻擊與攻擊證據O 1之間的因果關系；其中，m為與攻擊證據O1存在 因果關系的原子攻擊總數。
4. 根據權利要求1所述的網絡安全態勢評估方法，其特征在于，所述原子攻擊節點自 身概率s (ap取值如下：
所述脆弱性節點自身概率S(Vi) = 1。
5. 根據權利要求1所述的網絡安全態勢評估方法，其特征在于，步驟8中，所述根據目 的主機各級權限攻擊比率，將脆弱性威脅度對應分為Root權限級、User權限級、None權限 級三個層次，具體包括如下步驟： 步驟81、獲取目的主機Root權限攻擊比率qK = (T (Root) +T (User) +T (None)) /N、目 的主機User權限攻擊比率qu = (T(User) +T(None))/N、目的主機None權限攻擊比率qN =T(None)/N;其中，T(Root)表示攻擊者為獲取目的主機Root權限而實施的原子攻擊 次數，T(User)表示攻擊者為獲取目的主機User權限而實施的原子攻擊次數，T(None) 表示攻擊者為獲取目的主機None權限而實施的原子攻擊次數；N為原子攻擊總數，且 N^T (Root) +T (User) +T (None)； 步驟82、當qN彡pmax < qu時，脆弱性威脅度pmax屬于None權限級；當qu彡pmax < qK時， 脆弱性威脅度Pmax屬于User權限級；當qK < pmax < 1時，脆弱性威脅度pmax屬于Root權限 級。
6. 根據權利要求1所述的網絡安全態勢評估方法，其特征在于，所述步驟9具體包括如 下步驟： 步驟91、設定None權限級預警值為J^User權限級預警值為J2、Root權限級級預警值 為 J3,而且，％ € Ji € Qu、Qu € J2 $ Qr、Qr $ J3 $ 1 ; 步驟92、當脆弱性威脅度qN彡pmax < qu且pmax > J1時，表示網絡安全態勢為攻擊即將 突破None權限級而到達User權限級；當脆弱性威脅度qu < pmax < qK且pmax彡J2時，表示 網絡安全態勢為攻擊即將突破User權限級而到達Root權限級；當脆弱性威脅度qK < pmax < 1且口_ > J3時，表示網絡安全態勢為即將完全崩潰； 步驟93、當Pniax彡1、ρ_彡J2或p_彡J3，進行報警。
7.根據權利要求1所述的網絡安全態勢評估方法，其特征在于，所述步驟1中，所述脆 弱性信息包括源主機IP、目的主機IP、源主機端口、源主機開放端口、目的主機端口、目的 主機開放端口、協議、源主機服務訪問權限、目的主機訪問權限或系統存在的脆弱性； 所述網絡攻擊信息包括源主機IP、目的主機IP、目的主機端口、目的主機開放端口、協 議、目的主機訪問權限、網絡攻擊類型或網絡攻擊針對的系統脆弱性； 所述攻擊證據包括網絡攻擊的類型、網絡攻擊的時間或網絡攻擊獲得的訪問權限。
【文檔編號】H04L12/24GK104394015SQ201410668554
【公開日】2015年3月4日 申請日期:2014年11月13日 優先權日:2014年11月13日
【發明者】王輝, 蘆碧波, 申自浩, 雒芬, 王云峰, 張長森 申請人:河南理工大學