基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方法

基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方法
【專利摘要】本發(fā)明公開了一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方法，包括以下步驟：步驟一，確定計算網(wǎng)絡(luò)系統(tǒng)威脅度所需的指標；步驟二，獲取網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)資產(chǎn)屬性和網(wǎng)絡(luò)資產(chǎn)脆弱性信息；步驟三，構(gòu)建基于Petri網(wǎng)的脆弱性關(guān)聯(lián)關(guān)系模塊；步驟四，獲取IDS安全設(shè)備檢測到的攻擊信息，利用該攻擊信息完善關(guān)聯(lián)關(guān)系模型；步驟五，計算網(wǎng)絡(luò)系統(tǒng)中各節(jié)點的威脅度；步驟六，根據(jù)各節(jié)點的威脅度值分析網(wǎng)絡(luò)安全風(fēng)險。本發(fā)明利用實時檢測到的攻擊信息實時更新靜態(tài)分析中建立的Petri網(wǎng)脆弱性關(guān)聯(lián)關(guān)系模型，精確計算各節(jié)點的威脅度，完善網(wǎng)絡(luò)風(fēng)險分析結(jié)果，提高了網(wǎng)絡(luò)風(fēng)險的分析能力，有效保障了網(wǎng)絡(luò)的安全性。
【專利說明】
基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明設(shè)及一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息構(gòu)建模型并利用該模型進行網(wǎng) 絡(luò)安全風(fēng)險分析的方法，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。
【背景技術(shù)】
[0002] 近年來，隨著技術(shù)的發(fā)展計算機被不斷普及，互聯(lián)網(wǎng)行業(yè)進入高速發(fā)展階段，互聯(lián) 網(wǎng)已成為了人們生活中不可缺少的重要組成部分。然而互聯(lián)網(wǎng)技術(shù)的高速發(fā)展也帶來了日 益突出的網(wǎng)絡(luò)安全問題，傳統(tǒng)型的被動安全防御已經(jīng)漸漸不能滿足需求，研究學(xué)者們紛紛 致力于提出安全分析方法，安全風(fēng)險分析是最大限度地保障網(wǎng)絡(luò)正常運行和對信息安全提 供科學(xué)依據(jù)的關(guān)鍵技術(shù)，是從風(fēng)險管理的角度出發(fā)，運用科學(xué)的方法和手段系統(tǒng)分析網(wǎng)絡(luò) 與信息系統(tǒng)所面臨的風(fēng)險，對網(wǎng)絡(luò)安全風(fēng)險進行分析W找出系統(tǒng)安全的薄弱點，改進安全 防護措施，進行更全面的安全部署。
[0003] 目前，在網(wǎng)絡(luò)的脆弱性建模方面已經(jīng)有很多相關(guān)研究，例如運用攻擊圖、滲透圖、 脆弱性狀態(tài)圖W及風(fēng)險網(wǎng)絡(luò)等建模方法來研究網(wǎng)絡(luò)的脆弱性。經(jīng)研究發(fā)現(xiàn)上述建模方法皆 具有局限性，它們都依賴于對網(wǎng)絡(luò)拓撲和網(wǎng)絡(luò)資產(chǎn)信息的調(diào)研，但是由于種種原因，調(diào)研獲 得的信息并不一定完整，此類情況下安全風(fēng)險分析結(jié)果跟實際情況存在偏差。例如系統(tǒng)中 可能存在未被漏桐掃描器掃描出的漏桐信息，運些漏桐信息沒有被獲取，導(dǎo)致脆弱性信息 的不完整，從而導(dǎo)致網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險分析結(jié)果不準確。
[0004] 綜上所述，已有的網(wǎng)絡(luò)風(fēng)險分析方法都是W捜集到的網(wǎng)絡(luò)資產(chǎn)拓撲、網(wǎng)絡(luò)資產(chǎn)屬 性和網(wǎng)絡(luò)資產(chǎn)脆弱性等信息為輸入對網(wǎng)絡(luò)風(fēng)險狀態(tài)進行分析，但是靜態(tài)捜集到的信息并不 一定是完整信息，例如網(wǎng)絡(luò)資產(chǎn)中可能存在未公開的漏桐信息等，進而導(dǎo)致網(wǎng)絡(luò)系統(tǒng)的安 全風(fēng)險分析結(jié)果不準確。

【發(fā)明內(nèi)容】

[0005] 本發(fā)明的目的在于克服現(xiàn)有技術(shù)中的不足，提供了一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻 擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方法，解決了現(xiàn)有技術(shù)中靜態(tài)信息獲取不完整導(dǎo)致安全風(fēng)險分 析結(jié)果不準確的技術(shù)問題。
[0006] 為解決上述技術(shù)問題，本發(fā)明提供了一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò) 安全風(fēng)險分析方法，其特征是，包括W下步驟：
[0007] 步驟一，確定計算網(wǎng)絡(luò)系統(tǒng)威脅度所需的指標；
[000引步驟二，獲取網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)資產(chǎn)屬性和網(wǎng)絡(luò)資產(chǎn)脆弱性信息；
[0009] 步驟Ξ，構(gòu)建基于化tri網(wǎng)的脆弱性關(guān)聯(lián)關(guān)系模塊；
[0010] 步驟四，獲取IDS安全設(shè)備檢測到的攻擊信息，利用該攻擊信息完善關(guān)聯(lián)關(guān)系模 型；
[0011] 步驟五，計算網(wǎng)絡(luò)系統(tǒng)中各節(jié)點的威脅度；
[0012] 步驟六，根據(jù)各節(jié)點的威脅度值分析網(wǎng)絡(luò)安全風(fēng)險。
[0013] 本發(fā)明利用實時檢測到的攻擊信息實時更新靜態(tài)分析中建立的化tri網(wǎng)脆弱性關(guān) 聯(lián)關(guān)系模型，精確計算各節(jié)點的威脅度，完善網(wǎng)絡(luò)風(fēng)險分析結(jié)果。
[0014] 進一步的，在所述步驟一中，計算威脅度所需的指標包括攻擊復(fù)雜度(C)、機密性 (C)、完整性（I)、可用性(A)、節(jié)點關(guān)聯(lián)度(NC)、節(jié)點性質(zhì)(Pr)、主體關(guān)鍵度(Cr)和主體業(yè)務(wù) 重要度(Sr)八個指標。
[0015] 進一步的，在所述步驟二中，獲取網(wǎng)絡(luò)拓撲結(jié)構(gòu)和網(wǎng)絡(luò)資產(chǎn)屬性采用自動拓撲發(fā) 現(xiàn)方式，獲取網(wǎng)絡(luò)資產(chǎn)脆弱性信息采用漏桐掃描方式。
[0016] 進一步的，在所述步驟Ξ中，構(gòu)件脆弱性關(guān)聯(lián)關(guān)系模型的過程為：
[0017] S301)為網(wǎng)絡(luò)系統(tǒng)中的每個節(jié)點創(chuàng)建節(jié)點對象，節(jié)點對象包含網(wǎng)絡(luò)資源屬性和網(wǎng) 絡(luò)節(jié)點之間的訪問關(guān)系；
[0018] 節(jié)點對象用化表示，i表示第i個節(jié)點對象。具體定義如下：
[0019] 〇=<A,R>
[0020] 其中A是描述節(jié)點對象的屬性集，R是節(jié)點對象之間的關(guān)聯(lián)關(guān)系；
[0021] S302)建立合法訪問關(guān)聯(lián)關(guān)系模型:遍歷節(jié)點對象，查找節(jié)點對象與其他節(jié)點的聯(lián) 通信息，將聯(lián)通信息按照化tri網(wǎng)模型格式轉(zhuǎn)化為變遷，存儲變遷信息，獲得合法訪問關(guān)聯(lián) 關(guān)系模型；
[0022] S303)建立非法攻擊關(guān)聯(lián)關(guān)系模型:遍歷節(jié)點對象，根據(jù)建立的合法訪問關(guān)聯(lián)關(guān)系 模型，推導(dǎo)出所有可能的攻擊關(guān)系，W攻擊源脆弱狀態(tài)作為變遷起點、攻擊目標脆弱狀態(tài)作 為變遷終點、攻擊復(fù)雜度作為變遷的值創(chuàng)建非法變遷，存儲非法變遷信息，獲得非法攻擊關(guān) 聯(lián)關(guān)系模型。
[0023] 進一步的，在S301)中，A屬性集包括節(jié)點靜態(tài)屬性和動態(tài)屬性，靜態(tài)屬性包括節(jié)點 名稱描述、節(jié)點類型、節(jié)點網(wǎng)絡(luò)地址、節(jié)點上存放的數(shù)據(jù)等級、節(jié)點上運行的應(yīng)用程序、節(jié)點 上運行業(yè)務(wù)系統(tǒng)的重要級別、節(jié)點上存在的系統(tǒng)或服務(wù)漏桐;動態(tài)屬性是節(jié)點所處的脆弱 狀態(tài)，包括access、user、root、dos、inf o-leak和control led狀態(tài)，其中access、user、root 狀態(tài)表示某節(jié)點對象上的該權(quán)限可W被獲得，dos狀態(tài)表示該節(jié)點對象處于拒絕服務(wù)狀態(tài)， info-leak狀態(tài)表示對象上的數(shù)據(jù)被非授權(quán)訪問或者讀寫而導(dǎo)致信息泄露或被篡改， control led狀態(tài)表示主機處于可控狀態(tài)，允許執(zhí)行遠程代碼或任意命令;R包括訪問關(guān)系、 信任關(guān)系W及關(guān)聯(lián)關(guān)系的源和目的、訪問前提和訪問所導(dǎo)致的脆弱性結(jié)果。
[0024] 進一步的，在步驟S303)中推到攻擊關(guān)系過程為，在節(jié)點聯(lián)通的基礎(chǔ)上根據(jù)節(jié)點對 象的屬性和節(jié)點對象之間的關(guān)聯(lián)關(guān)系，挖掘任意節(jié)點之間的攻擊關(guān)系，新派生的節(jié)點脆弱 性狀態(tài)作為新一輪的推導(dǎo)條件(作為新一輪的攻擊變遷源節(jié)點）加入到對象的動態(tài)屬性集 中，不斷生成新的節(jié)點對象脆弱狀態(tài)，不斷生成新的攻擊關(guān)系，直到?jīng)]有新的節(jié)點脆弱狀態(tài) 及新的攻擊關(guān)系生成，結(jié)束攻擊關(guān)系的推導(dǎo)。
[0025] 進一步的，在所述步驟四中，完善關(guān)聯(lián)關(guān)系模型的具體過程為：
[00%] S401)接收IDS安全設(shè)備檢測到的攻擊信息；
[0027] S402)將攻擊信息轉(zhuǎn)化為包含攻擊源節(jié)點、攻擊目的節(jié)點、攻擊方法(攻擊復(fù)雜度） 和攻擊結(jié)果(攻擊導(dǎo)致的攻擊目的節(jié)點的脆弱狀態(tài))的變遷信息；
[0028] S403)在非法攻擊關(guān)聯(lián)關(guān)系模型中尋找上一步驟轉(zhuǎn)換得到的變遷信息，若模型中 已存在該條變遷，則忽略該條變遷，若不存在，則將該變遷加入到非法攻擊關(guān)聯(lián)關(guān)系模型 中；
[0029] S404)重復(fù)步驟S402和S403,逐條解析完所有攻擊信息，獲得完善后的關(guān)聯(lián)關(guān)系模 型。
[0030] 進一步的，在所述步驟五中，節(jié)點的威脅度轉(zhuǎn)化為節(jié)點從初始脆弱狀態(tài)尋找到達 各脆弱狀態(tài)(庫所)最優(yōu)路徑；
[0031] 節(jié)點威脅度計算具體過程如下：
[0032] S501)W外部網(wǎng)絡(luò)節(jié)點0作為攻擊源點，計算網(wǎng)絡(luò)系統(tǒng)中每一個節(jié)點脆弱狀態(tài)(庫 所)的威脅度(運里計算的是節(jié)點0到該庫所的威脅度，不直接可達則為0)并記錄攻擊路徑 (節(jié)點0到該庫所），將運些庫所加入到未計算庫所集合中；其中節(jié)點各脆弱狀態(tài)(庫所)威脅 度計算方法為：
[0033] A(pi) =a*(l-Q)+0*(ai*(Pc*C+Pi*I+Pa*A)+a2*NC+a3*(bi*Pr+b2*Cr+b3*S;r))
[0034] 其中Pi為節(jié)點的脆弱狀態(tài)(庫所），Ca為攻擊復(fù)雜度，C、I、A分別為機密性、完整性和 可用性值，NC為節(jié)點關(guān)聯(lián)度，Pr和Cr分別為節(jié)點性質(zhì)和節(jié)點主體關(guān)鍵度，α和β是和為1的指 標權(quán)重，ai、a2、a3是和為1的指標權(quán)重，Pc、Pi、Pa是和為1的指標權(quán)重，bi、b2和b3是和為1的指 標權(quán)重；
[0035] S502)從未計算庫所集合中選取威脅度值最大的庫所P，作為變遷源點，將其移動 到已計算庫所集合中，計算P到所有可達庫所k的威脅度，威脅度的計算方法為:源點到P的 復(fù)雜度因子*P攻擊k的威脅度;若新計算的威脅度a大于庫所k原有的威脅度b，則將k的威脅 度記為a并更新k的攻擊路徑(節(jié)點0到P的路徑加上P到k的路徑）；若新計算的威脅度a等于 庫所k原有的威脅度b，則保留原有到達k的路徑并增加一條到達k的新的路徑(節(jié)點0到P的 路徑加上P至化的路徑）；其中復(fù)雜度影響因子的定義為:其它庫所傳遞而來的威脅度由于傳 遞的路徑長度和前期路徑的攻擊復(fù)雜度的影響存在衰減，將該衰減因子稱為復(fù)雜度影響因 子，設(shè)置該因子為：
[0036]
[0037] 其中k表示到達節(jié)點各脆弱狀態(tài)(庫所)節(jié)點所經(jīng)過的變遷數(shù)，表示前期令牌到 達節(jié)點庫所的復(fù)雜度；
[0038] S503)重復(fù)步驟502)，直到所有未計算庫所集合中庫所的威脅度最大值為0;
[0039] S504)將網(wǎng)絡(luò)中各節(jié)點的脆弱狀態(tài)(庫所)的威脅度值相加，獲得節(jié)點的威脅度值。
[0040] 進一步的，在所述步驟六中，具體分析過程為，分析各節(jié)點的威脅度值，節(jié)點的威 脅度越高則該節(jié)點的安全風(fēng)險越高。
[0041] 與現(xiàn)有技術(shù)相比，本發(fā)明所達到的有益效果是:本發(fā)明利用實時檢測到的攻擊信 息實時更新靜態(tài)分析中建立的Petri網(wǎng)脆弱性關(guān)聯(lián)關(guān)系模型，將靜態(tài)信息與動態(tài)信息相結(jié) 合，精確計算各節(jié)點的威脅度，完善網(wǎng)絡(luò)風(fēng)險分析結(jié)果，提高了網(wǎng)絡(luò)風(fēng)險的分析能力，有效 保障了網(wǎng)絡(luò)的安全性。
【附圖說明】
[0042] 圖1是本發(fā)明方法的流程示意圖；
[0043] 圖2是本發(fā)明中網(wǎng)絡(luò)安全風(fēng)險分析指標分解示意圖。
【具體實施方式】
[0044] 下面結(jié)合附圖對本發(fā)明作進一步描述。W下實施例僅用于更加清楚地說明本發(fā)明 的技術(shù)方案，而不能W此來限制本發(fā)明的保護范圍。
[0045] 本發(fā)明中相關(guān)概念的理論基礎(chǔ)是如下所示：
[0046] 信息系統(tǒng)：由計算機及其相關(guān)和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成，是按照一定的應(yīng) 用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)；
[0047] 威脅:可能導(dǎo)致對系統(tǒng)或組織產(chǎn)生危害的不希望事故的潛在起因；
[0048] 脆弱性:可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)；
[0049] 關(guān)聯(lián)關(guān)系，包括物理關(guān)聯(lián)關(guān)系和邏輯關(guān)聯(lián)關(guān)系，其中，物理關(guān)聯(lián)關(guān)系包括拓撲連 接，設(shè)備開放端口等物理關(guān)聯(lián)關(guān)系，邏輯關(guān)聯(lián)關(guān)系包括威脅-脆弱性、權(quán)限-脆弱性、脆弱性- 脆弱性等邏輯關(guān)聯(lián)關(guān)系。
[0050] 如圖1和圖2所示，本發(fā)明的一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險 分析方法，其特征是，包括W下步驟：
[0051] 步驟一，確定計算網(wǎng)絡(luò)系統(tǒng)威脅度所需求的指標；
[0052] 在網(wǎng)絡(luò)安全框架模型的不同層面、不同側(cè)面的各個安全締度，有其相應(yīng)的安全目 標要求，而運些安全目標要求可W通過一個或多個指標來評估，W減少信息丟失和網(wǎng)絡(luò)安 全事故的發(fā)生，進而提高工作效率，降低風(fēng)險。本發(fā)明W計算得到的網(wǎng)絡(luò)系統(tǒng)中各個節(jié)點被 攻擊后產(chǎn)生的威脅度為基準分析網(wǎng)絡(luò)安全風(fēng)險，即指標為威脅度計算所需的指標，具體指 標分解過程如圖2所示，計算網(wǎng)絡(luò)安全風(fēng)險分析所需要的網(wǎng)絡(luò)的威脅度計算指標分為攻擊 復(fù)雜度(C)和攻擊危害度化)兩個方面指標，其中攻擊危害度化)分為安全屬性影響(SF)、節(jié) 點關(guān)聯(lián)度(NC)和節(jié)點重要度(NI)，其中安全屬性影響（SF)分為機密性(C)、完整性(I)和可 用性(A);節(jié)點重要度(NI)分為節(jié)點性質(zhì)(Pr)、主體關(guān)鍵度(Cr)、主體業(yè)務(wù)重要度(Sr)。也可 W根據(jù)不同的應(yīng)用場景增加不同的節(jié)點重要度指標。綜上所述，可知，計算所需求的指標最 終確定為八個指標，分別為攻擊復(fù)雜度(C)、機密性(C)、完整性(I)、可用性(A)、節(jié)點關(guān)聯(lián)度 (NC)、節(jié)點性質(zhì)(Pr)、主體關(guān)鍵度(化)和主體業(yè)務(wù)重要度(Sr)。具體指標的描述如下：
[0053] 1)攻擊復(fù)雜度(C)
[0054] 根據(jù)對攻擊復(fù)雜度的分級標準，將攻擊復(fù)雜度按照分為7個等級E1-E7,范圍為0~ 1。一種攻擊方式的復(fù)雜度越低，越容易被廣泛利用，對網(wǎng)絡(luò)安全來說影響度越大。具體的分 級標準如下表1所示：
[0055] 表1:攻擊復(fù)雜度分級標準
[0化6]
[005引 2)攻擊危害度化）
[0059] 攻擊危害度Η由安全屬性影響(SF)、節(jié)點關(guān)聯(lián)度(NC)和節(jié)點重要度(NI)共同決定， 其中安全屬性影響SF需結(jié)合節(jié)點對象的脆弱性狀態(tài)來綜合考慮，因此在脆弱性集合(VS)上 引入機密性(C)、完整性（I)和可用性(Α)Ξ維指標，將安全屬性與脆弱性狀態(tài)結(jié)合，進行多 維度的量化，量化結(jié)果如表2所示，其中VS表示脆弱性狀態(tài)，access、use;r、;root狀態(tài)表示某 節(jié)點對象上的該權(quán)限可W被獲得，dos狀態(tài)表示主機遭受拒絕服務(wù)攻擊處于擁痕狀態(tài)， info-leak狀態(tài)表示對象上的數(shù)據(jù)被非授權(quán)訪問或者讀寫而導(dǎo)致信息泄露或被篡改， control led狀態(tài)表示主機處于可控狀態(tài)，允許執(zhí)行遠程代碼或任意命令：
[0060] 表2:安全屬性影響的量化表
[0061]
[0062] 節(jié)點關(guān)聯(lián)度(NC)反映對象節(jié)點在網(wǎng)絡(luò)中的連通性，一個節(jié)點對象的關(guān)聯(lián)度越高， 連通性越強，越容易被攻擊或者被攻擊者利用，因此影響度越大，節(jié)點關(guān)聯(lián)度可根據(jù)節(jié)點對 象的關(guān)聯(lián)關(guān)系計算，計算公式如下所示：
[0063]
[0064] 其中化表示第i個節(jié)點對象，numTR/AR(〇i)表示在各節(jié)點對象的關(guān)聯(lián)關(guān)系描述中，與 對象Οι有關(guān)的記錄數(shù)。即節(jié)點的關(guān)聯(lián)度由其關(guān)聯(lián)關(guān)系數(shù)與網(wǎng)絡(luò)總關(guān)聯(lián)關(guān)系數(shù)的比值來計 算。
[0065] 節(jié)點重要度(ΝΙ)由節(jié)點性質(zhì)(Pr)、主體關(guān)鍵度(吐）、主體業(yè)務(wù)重要度(Sr)決定，節(jié) 點性質(zhì)指標的量化如表3所示，其中化St指主站、Server指服務(wù)器、Firewall指防火墻、 Router指路由器、Switch指交換機、IDS指入侵檢測系統(tǒng)；主體關(guān)鍵度指標的量化如表4所 示;主體業(yè)務(wù)重要度指標的量化如表5所示：
[0066] 表3:節(jié)點性質(zhì)重要性表 Γ00671
[0072] 步驟二，獲取網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)資產(chǎn)屬性和網(wǎng)絡(luò)資產(chǎn)脆弱性信息；
[0073] 依據(jù)自動拓撲發(fā)現(xiàn)獲取網(wǎng)絡(luò)系統(tǒng)拓撲圖，整理網(wǎng)絡(luò)拓撲信息及網(wǎng)絡(luò)資產(chǎn)屬性信 息，其中網(wǎng)絡(luò)拓撲結(jié)構(gòu)包括網(wǎng)絡(luò)節(jié)點之間的連接關(guān)系，網(wǎng)絡(luò)資產(chǎn)屬性信息包括網(wǎng)絡(luò)節(jié)點存 儲信息的重要程度和網(wǎng)絡(luò)節(jié)點部署業(yè)務(wù)的重要程度;使用漏掃工具(例如綠盟的nsfocus漏 桐掃描儀)對待測網(wǎng)絡(luò)系統(tǒng)進行漏桐掃描，獲取網(wǎng)絡(luò)資產(chǎn)的脆弱性信息。并將W上Ξ類信息 分節(jié)點按照固定格式整理為信息表，信息表為excel格式，每條信息包括節(jié)點ID、節(jié)點IP、節(jié) 點漏桐(漏桐名稱及漏桐導(dǎo)致的脆弱性）、節(jié)點與其他節(jié)點的聯(lián)通關(guān)系(包括被訪問節(jié)點ID、 訪問關(guān)系或者信任關(guān)系、訪問導(dǎo)致的脆弱性）。
[0074] 步驟Ξ，構(gòu)建基于化tri網(wǎng)的脆弱性關(guān)聯(lián)關(guān)系模型；
[00巧]隨機化化i網(wǎng)即SPN(Stochastic Petri化t)模型理論，并在該SPN模型理論的基 礎(chǔ)上建立了圖形化模型方法、模型狀態(tài)空間化簡方法、穩(wěn)態(tài)參數(shù)計算方法、近似求解方法等 方法。
[0076]基于W上步驟得到的網(wǎng)絡(luò)拓撲結(jié)構(gòu)中記錄的網(wǎng)絡(luò)節(jié)點之間的連接關(guān)系、資產(chǎn)屬性 信息和脆弱性信息，應(yīng)用隨機Pe化i網(wǎng)模型理論和威脅脆弱性關(guān)聯(lián)模型，建立基于化化i網(wǎng) 的脆弱性關(guān)聯(lián)關(guān)系模型，具體包括W下步驟：
[0077] S301)根據(jù)信息表，為網(wǎng)絡(luò)系統(tǒng)中的每個節(jié)點創(chuàng)建節(jié)點對象，節(jié)點對象包含威脅度 計算所需要的各項指標和網(wǎng)絡(luò)節(jié)點之間的訪問關(guān)系；
[0078] 節(jié)點對象用化表示，i表示第i個節(jié)點對象。具體定義如下：
[0079] 〇=<A,R>
[0080] 其中A是描述節(jié)點對象的屬性集，屬性集A包括節(jié)點靜態(tài)屬性和動態(tài)屬性，靜態(tài)屬 性包括節(jié)點名稱描述、節(jié)點類型、節(jié)點網(wǎng)絡(luò)地址、節(jié)點上存放的數(shù)據(jù)等級、節(jié)點上運行的應(yīng) 用程序、節(jié)點上運行業(yè)務(wù)系統(tǒng)的重要級別、節(jié)點上存在的系統(tǒng)或服務(wù)漏桐;動態(tài)屬性是節(jié)點 所處的脆弱狀態(tài)，脆弱狀態(tài)包括access、use;r、root、dos、info-leak和control led狀態(tài)，其 中曰(3[日33、113日1'、1'001：狀態(tài)表示某節(jié)點對象上的該權(quán)限可^被獲得，(103狀態(tài)表示該節(jié)點對 象處于拒絕服務(wù)狀態(tài)，info-leak狀態(tài)表示對象上的數(shù)據(jù)被非授權(quán)訪問或者讀寫而導(dǎo)致信 息泄露或被篡改，control led狀態(tài)表示主機處于可控狀態(tài)，允許執(zhí)行遠程代碼或任意命令。
[0081] 其中屬性R表示節(jié)點對象之間的關(guān)聯(lián)關(guān)系，包括訪問關(guān)系和信任關(guān)系(訪問關(guān)系由 ACCESS表示，信任關(guān)系由TRUST表示），W及關(guān)聯(lián)關(guān)系的源和目的、訪問前提和訪問所導(dǎo)致的 脆弱性結(jié)果。
[0082] S302)建立合法訪問關(guān)聯(lián)關(guān)系模型:遍歷節(jié)點對象，查找節(jié)點對象與其他節(jié)點的聯(lián) 通信息，將聯(lián)通信息按照化tri網(wǎng)模型的格式轉(zhuǎn)化為變遷(變遷信息包括聯(lián)通的源節(jié)點、聯(lián) 通的目的節(jié)點、聯(lián)通的前提條件即聯(lián)通源狀態(tài)和聯(lián)通導(dǎo)致的目的節(jié)點的脆弱狀態(tài)），存儲變 遷信息，獲得合法訪問關(guān)聯(lián)關(guān)系模型；
[0083] S303)建立非法攻擊關(guān)聯(lián)關(guān)系模型:遍歷節(jié)點對象，在不確定攻擊目標的情況下推 導(dǎo)出所有可能發(fā)生的攻擊行為，即在節(jié)點聯(lián)通的基礎(chǔ)上根據(jù)節(jié)點對象的屬性和節(jié)點對象之 間的關(guān)聯(lián)關(guān)系，挖掘任意節(jié)點之間的攻擊關(guān)系，新派生的節(jié)點脆弱性狀態(tài)作為新一輪的推 導(dǎo)條件(作為新一輪的攻擊變遷源節(jié)點)加入到對象的動態(tài)屬性集中，不斷生成新的節(jié)點對 象脆弱狀態(tài)，不斷生成新的攻擊關(guān)系，直到?jīng)]有新的節(jié)點脆弱狀態(tài)及新的攻擊關(guān)系生成，結(jié) 束攻擊關(guān)系的推導(dǎo)，攻擊關(guān)系W變遷的方式存儲，即W攻擊源脆弱狀態(tài)作為變遷起點，攻擊 目標脆弱狀態(tài)作為變遷終點，攻擊復(fù)雜度作為變遷的值，建立非法攻擊關(guān)聯(lián)關(guān)系模型。
[0084] 步驟四，獲取IDS安全設(shè)備檢測到的攻擊信息，利用該攻擊信息完善關(guān)聯(lián)關(guān)系模 型；
[0085] 具體包括W下過程：
[0086] S401)接收IDS安全設(shè)備檢測到的攻擊信息；
[0087] S402)將攻擊信息轉(zhuǎn)化為包含攻擊源節(jié)點、攻擊目的節(jié)點、攻擊方法(攻擊復(fù)雜度） 和攻擊結(jié)果(攻擊導(dǎo)致的攻擊目的節(jié)點的脆弱狀態(tài))的變遷信息；
[0088] S403)在非法攻擊關(guān)聯(lián)關(guān)系模型中尋找上一步驟轉(zhuǎn)換得到的變遷信息，若模型中 已存在該條變遷，則忽略該條變遷，若不存在，則將該變遷加入到非法攻擊關(guān)聯(lián)關(guān)系模型 中；
[0089] S404)重復(fù)步驟4.2和4.3，逐條解析完所有攻擊信息，獲得完善后的關(guān)聯(lián)關(guān)系模 型。
[0090] 步驟五，計算網(wǎng)絡(luò)系統(tǒng)中各節(jié)點的威脅度；
[0091] 網(wǎng)絡(luò)系統(tǒng)中節(jié)點威脅度為節(jié)點各脆弱狀態(tài)(庫所)威脅度之和，定義某一脆弱狀態(tài) 的威脅度為各條到達該脆弱狀態(tài)的路徑傳播而來的威脅度的最大值，在不考慮其它因素的 情況下認為攻擊者攻擊時選取威脅度最大的路徑，由于攻擊路徑長度與威脅度成反比，因 此求解威脅度問題轉(zhuǎn)化為求從初始脆弱狀態(tài)尋找到達各庫所最優(yōu)路徑的問題。
[0092] 節(jié)點的威脅度計算具體過程如下：
[0093] S501)認為攻擊源點位于網(wǎng)絡(luò)系統(tǒng)的外部，將所有外部網(wǎng)絡(luò)的攻擊點虛擬化為一 個攻擊點，W此作為攻擊源，即W外部網(wǎng)絡(luò)節(jié)點0作為攻擊源點，計算網(wǎng)絡(luò)系統(tǒng)中節(jié)點每一 個脆弱狀態(tài)的威脅度(運里計算的是節(jié)點0到該庫所的威脅度，不直接可達則威脅度記為 0)，并記錄攻擊路徑(節(jié)點0到該庫所），將運些庫所加入到未計算庫所集合中；節(jié)點各脆弱 狀態(tài)威脅度計算方法為：
[0094] A(pi) =a*(l-Q)+0*(ai*(Pc*C+Pi*I+Pa*A)+a2*NC+a3*(bi*Pr+b2*Cr+b3*S;r))
[0095] 其中Pi為節(jié)點的脆弱狀態(tài)(庫所），Ca為攻擊復(fù)雜度，C、I、A分別為機密性、完整性和 可用性值，NC為節(jié)點關(guān)聯(lián)度，Pr和Cr分別為節(jié)點性質(zhì)和節(jié)點主體關(guān)鍵度，α和β是和為1的指 標權(quán)重，ai、a2、a3是和為1的指標權(quán)重，Pc、Pi、Pa是和為1的指標權(quán)重，bi、b2和b3是和為1的指 標權(quán)重，根據(jù)實際情況可調(diào)整各指標的權(quán)重值。
[0096] S502)從未計算庫所集合中選取威脅度值最大的庫所P，作為變遷源點，將其移動 到已計算庫所集合中，計算P到所有可達庫所k的威脅度，威脅度的計算方法為:源點到P的 復(fù)雜度影響因子*P攻擊k的威脅度;若新計算的威脅度a大于庫所k原有的威脅度b，則將k的 威脅度記為a并更新k的攻擊路徑(節(jié)點0到P的路徑加上P到k的路徑）；若新計算的威脅度a 等于庫所k原有的威脅度b，則保留原有到達k的路徑并增加一條到達k的新的路徑(節(jié)點0到 P的路徑加上P至化的路徑）；其中復(fù)雜度影響因子的定義為:與由攻擊者庫所直接攻擊庫所 導(dǎo)致的威脅度相比，由其它庫所傳遞而來的威脅度由于傳遞的路徑長度和前期路徑的攻擊 復(fù)雜度的影響存在衰減，將該衰減因子稱為復(fù)雜度影響因子，設(shè)置該因子為：
[0097]
[0098] 其中k表示到達節(jié)點各脆弱狀態(tài)(庫所)節(jié)點所經(jīng)過的變遷數(shù)，表示前期令牌到 達節(jié)點庫所的復(fù)雜度；
[0099] S503)重復(fù)步驟502)，直到所有未計算庫所集合中庫所的威脅度最大值為0;
[0100] S504)將網(wǎng)絡(luò)中各節(jié)點的脆弱狀態(tài)(庫所)的威脅度值相加，獲得節(jié)點的威脅度值。
[0101] 步驟六，根據(jù)計算結(jié)果分析網(wǎng)絡(luò)安全風(fēng)險；
[0102] 分析W上計算出各節(jié)點的威脅度，威脅度高的節(jié)點被攻擊后造成的影響大于威脅 度低的節(jié)點，找出威脅度高的網(wǎng)絡(luò)節(jié)點，查看與其相聯(lián)通的節(jié)點，分析威脅度高的原因（漏 桐多或者聯(lián)通節(jié)點多等），增加運些節(jié)點的防護能力，降低運些節(jié)點被攻擊成功的可能性。
[0103] 本發(fā)明在靜態(tài)分析網(wǎng)絡(luò)安全風(fēng)險的基礎(chǔ)上增加了使用動態(tài)信息實時更新分析計 算結(jié)果的過程，將靜態(tài)信息與動態(tài)信息相結(jié)合，提高了網(wǎng)絡(luò)風(fēng)險的分析能力，有效保障了網(wǎng) 絡(luò)的安全性。
[0104] W上所述僅是本發(fā)明的優(yōu)選實施方式，應(yīng)當(dāng)指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人 員來說，在不脫離本發(fā)明技術(shù)原理的前提下，還可W做出若干改進和變型，運些改進和變型 也應(yīng)視為本發(fā)明的保護范圍。
【主權(quán)項】
1. 一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方法，其特征是，包括以 下步驟： 步驟一，確定計算網(wǎng)絡(luò)系統(tǒng)威脅度所需的指標； 步驟二，獲取網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)資產(chǎn)屬性和網(wǎng)絡(luò)資產(chǎn)脆弱性信息； 步驟二，構(gòu)建基于Pe tr i網(wǎng)的脆弱性關(guān)聯(lián)關(guān)系_旲塊； 步驟四，獲取IDS安全設(shè)備檢測到的攻擊信息，利用該攻擊信息完善關(guān)聯(lián)關(guān)系模型； 步驟五，計算網(wǎng)絡(luò)系統(tǒng)中各節(jié)點的威脅度； 步驟六，根據(jù)各節(jié)點的威脅度值分析網(wǎng)絡(luò)安全風(fēng)險。2. 根據(jù)權(quán)利要求1所述的一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方 法，其特征是，在所述步驟一中，計算威脅度所需的指標包括攻擊復(fù)雜度、機密性、完整性可 用性、節(jié)點關(guān)聯(lián)度、節(jié)點性質(zhì)、主體關(guān)鍵度和主體業(yè)務(wù)重要度八個指標。3. 根據(jù)權(quán)利要求2所述的一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方 法，其特征是，在所述步驟二中，獲取網(wǎng)絡(luò)拓撲結(jié)構(gòu)和網(wǎng)絡(luò)資產(chǎn)屬性采用自動拓撲發(fā)現(xiàn)方 式，獲取網(wǎng)絡(luò)資產(chǎn)脆弱性信息采用漏洞掃描方式。4. 根據(jù)權(quán)利要求3所述的一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方 法，其特征是，在所述步驟三中，構(gòu)件脆弱性關(guān)聯(lián)關(guān)系模型的過程為： 5301) 為網(wǎng)絡(luò)系統(tǒng)中的每個節(jié)點創(chuàng)建節(jié)點對象，節(jié)點對象包含網(wǎng)絡(luò)資源屬性和網(wǎng)絡(luò)節(jié) 點之間的訪問關(guān)系； 節(jié)點對象用〇i表示，i表示第i個節(jié)點對象。具體定義如下： 0=<A，R> 其中A是描述節(jié)點對象的屬性集，R表示節(jié)點對象之間的關(guān)聯(lián)關(guān)系； 5302) 建立合法訪問關(guān)聯(lián)關(guān)系模型:遍歷節(jié)點對象，查找節(jié)點對象與其他節(jié)點的聯(lián)通信 息，將聯(lián)通信息按照Petri網(wǎng)格式轉(zhuǎn)化為變迀，存儲變迀信息，獲得合法訪問關(guān)聯(lián)關(guān)系模型； 5303) 建立非法攻擊關(guān)聯(lián)關(guān)系模型：遍歷節(jié)點對象，根據(jù)建立的合法訪問關(guān)聯(lián)關(guān)系模 型，推導(dǎo)出所有可能的攻擊關(guān)系，創(chuàng)建非法變迀，存儲非法變迀信息，獲得非法攻擊關(guān)聯(lián)關(guān) 系豐吳型。5. 根據(jù)權(quán)利要求4所述的一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方 法，其特征是，在S301)中，A屬性集包括節(jié)點靜態(tài)屬性和動態(tài)屬性，靜態(tài)屬性包括節(jié)點名稱 描述、節(jié)點類型、節(jié)點網(wǎng)絡(luò)地址、節(jié)點上存放的數(shù)據(jù)等級、節(jié)點上運行的應(yīng)用程序、節(jié)點上運 行業(yè)務(wù)系統(tǒng)的重要級別、節(jié)點上存在的系統(tǒng)或服務(wù)漏洞;動態(tài)屬性是節(jié)點所處的脆弱狀態(tài)， 包括access、user、root、dos、inf o-leak和control led狀態(tài);R包括訪問關(guān)系、信任關(guān)系以及 關(guān)聯(lián)關(guān)系的源和目的、訪問前提和訪問所導(dǎo)致的脆弱性結(jié)果。6. 根據(jù)權(quán)利要求5所述的一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方 法，其特征是，在步驟S303)中推到攻擊關(guān)系過程為，在節(jié)點聯(lián)通的基礎(chǔ)上根據(jù)節(jié)點對象的 屬性和節(jié)點對象之間的關(guān)聯(lián)關(guān)系，挖掘任意節(jié)點之間的攻擊關(guān)系，新派生的節(jié)點脆弱性狀 態(tài)作為新的攻擊變迀源節(jié)點加入到對象的動態(tài)屬性集中，不斷生成新的節(jié)點對象脆弱狀 態(tài)，不斷生成新的攻擊關(guān)系，直到?jīng)]有新的節(jié)點脆弱狀態(tài)及新的攻擊關(guān)系生成，結(jié)束攻擊關(guān) 系的推導(dǎo)。7. 根據(jù)權(quán)利要求6所述的一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方 法，其特征是，在所述步驟四中，完善關(guān)聯(lián)關(guān)系模型的具體過程為： 5401) 接收IDS安全設(shè)備檢測到的攻擊信息； 5402) 將攻擊信息轉(zhuǎn)化為包含攻擊源節(jié)點、攻擊目的節(jié)點、攻擊復(fù)雜度和攻擊導(dǎo)致的攻 擊目的節(jié)點的脆弱狀態(tài)的變迀信息； 5403) 在非法攻擊關(guān)聯(lián)關(guān)系模型中尋找上一步驟轉(zhuǎn)換得到的變迀信息，若模型中已存 在該條變迀，則忽略該條變迀，若不存在，則將該變迀加入到非法攻擊關(guān)聯(lián)關(guān)系模型中； 5404) 重復(fù)步驟S402和S403,逐條解析完所有攻擊信息，獲得完善后的關(guān)聯(lián)關(guān)系模型。8. 根據(jù)權(quán)利要求7所述的一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方 法，其特征是，在所述步驟五中，節(jié)點威脅度計算具體過程如下： 5501) 以外部網(wǎng)絡(luò)節(jié)點0作為攻擊源點，計算網(wǎng)絡(luò)系統(tǒng)中節(jié)點每一個脆弱狀態(tài)的威脅 度，并記錄攻擊路徑，將這些庫所加入到未計算庫所集合中；其中節(jié)點各脆弱狀態(tài)威脅度計 算方法為： A (pi) = a* (l-Q) +β* (ai* (Pc*C+Pi* I+Pa*A) +a2*NC+a3* (bi*Pr+b2*Cr+b3*Sr)) 其中Pl為節(jié)點的脆弱狀態(tài)，(^為攻擊復(fù)雜度，C、I、A分別為機密性、完整性和可用性值， NC為節(jié)點關(guān)聯(lián)度，Pr和Cr分別為節(jié)點性質(zhì)和節(jié)點主體關(guān)鍵度，α和β是和為1的指標權(quán)重，ai、 a2、a3是和為1的指標權(quán)重，Pc、Pi、Pa是和為1的指標權(quán)重，和b 3是和為1的指標權(quán)重； 5502) 從未計算庫所集合中選取威脅度值最大的庫所p，作為變迀源點，將其移動到已 計算庫所集合中，計算p到所有可達庫所k的威脅度，威脅度的計算方法為:源點到p的復(fù)雜 度影響因子*P攻擊k的威脅度;若新計算的威脅度a大于庫所k原有的威脅度b，則將k的威脅 度記為a并更新k的攻擊路徑;若新計算的威脅度a等于庫所k原有的威脅度b，則保留原有到 達k的路徑并增加一條到達k的新的路徑;其中復(fù)雜度影響因子的定義為:其它庫所傳遞而 來的威脅度由于傳遞的路徑長度和前期路徑的攻擊復(fù)雜度的影響存在衰減，將該衰減因子 稱為復(fù)雜度影響因子，設(shè)置該因子為·其中k表示到達節(jié)點各庫所節(jié)點所經(jīng)過的變迀數(shù)表示前期令牌到達節(jié)點庫所的復(fù)雜 度； 5503) 重復(fù)步驟502)，直到所有未計算庫所集合中庫所的威脅度最大值為0; 5504) 將網(wǎng)絡(luò)中各節(jié)點的庫所威脅度值相加，獲得節(jié)點的威脅度值。9. 根據(jù)權(quán)利要求1所述的一種基于網(wǎng)絡(luò)節(jié)點脆弱性和攻擊信息的網(wǎng)絡(luò)安全風(fēng)險分析方 法，其特征是，在所述步驟六中，具體分析過程為，分析各節(jié)點的威脅度值，節(jié)點的威脅度越 高則該節(jié)點的安全風(fēng)險越高。
【文檔編號】H04L29/06GK105871882SQ201610304179
【公開日】2016年8月17日
【申請日】2016年5月10日
【發(fā)明人】王紅凱, 張旭東, 楊維永, 于曉文, 黃益彬, 郭子昕, 秦學(xué)嘉, 丁曉玉, 欒國強, 黃宇騰
【申請人】國家電網(wǎng)公司, 國網(wǎng)浙江省電力公司信息通信分公司, 國網(wǎng)冀北電力有限公司信息通信分公司, 國網(wǎng)甘肅省電力公司信息通信公司, 南京南瑞集團公司, 南京南瑞信息通信科技有限公司