专利名称:网络抗攻击性能评估指标体系构建方法及装置的制作方法
技术领域:
本发明涉及信息安全技术领域,特别是涉及一种网络抗攻击性能评估指标体系构建方法及装置。
背景技术:
抗攻击性能是指信息系统抵御网络攻击的能力。抗攻击性能测评技术,是信息安全测评领域一个年轻而有挑战的分支,它通过模拟黑客的攻击手段对信息系统进行安全测试,并对信息系统抗攻击性能进行定性和定量评价,最后给出提高网络安全防御能力的建议和方法。目前,在抗攻击性能测评技术的研究中,从测试依据可分成两种基于攻击手段的 抗攻击测评和基于标准对照的抗攻击测评。基于攻击手段的抗攻击测评主要利用各类典型攻击工具,发现系统中的漏洞并进行攻击。基于标准对照的抗攻击测评,主要参照安全评估标准,按照评估对象和评估目标的不同功能要求进行测评。抗攻击性能评估是抗攻击性能测评技术的重要组成部分,主要研究在网络攻击环境下,如何对信息系统抗攻击性能给出定性和定量的评价。在现有技术中,还没有提出一套科学完整的抗攻击性能评估指标体系和评估模型,用来满足各类典型网络攻击测试的评价需求。抗攻击性能评估指标体系主要研究如何将抗攻击性能逐步细化成容易评价的要素,从而建立一套完整而科学的指标体系对计算机网络抗攻击性能进行评价。有的研究从安全标准入手,构建了一些评测某类信息系统的指标体系,如基于CC的操作系统抗攻击测试指标体系,但是针对的信息系统类别有限,还没有针对通用信息系统的抗攻击测试指标体系。还有的研究从攻击效果和攻击代价角度,提出了分层的抗攻击测试指标体系,但是提出的指标不够全面,各层次划分标准不一致,指标内涵交叉、操作性不高等缺点,难以满足对现有典型网络攻击抗攻击性能评价的需要。抗攻击性能评估模型主要研究抗攻击性能的评估准则和评估方法。目前,现有研究主要集中在基于抗攻击性能指标体系的评估模型,如层次分析法、模糊综合评判、遗传投影寻踪评估模型等,但是这些模型没有分析各类攻击包含的具体抗攻击性能,没有将具体数据与指标计算结合起来。此外,可生存性评估(Survivability Assessment)中也有对抗攻击性(Resistance)评价的研究,例如,社会网络分析法(Social Network Analysis,简称为SNA)等,但是主要从信息系统的抗攻击性、可识别性和可恢复性等几个方面综合评价可生存性,难以给出抗攻击性能的具体评价。
发明内容
本发明提供一种网络抗攻击性能评估指标体系构建方法及装置,以解决现有技术中抗攻击性能指标体系构建依据缺乏很强的科学性、存在指标不够全面、粗细粒度不一致、内涵交叉、操作性不高的问题。
本发明提供一种网络抗攻击性能评估指标体系构建方法,包括从美国国家漏洞数据库NVD获取漏洞数据源,对漏洞数据源的字段和数据进行过滤变换,获取与抗攻击性能有关的数据;对获取的与抗攻击性能有关的数据中的效果动词进行提取,并进一步提取出原子对抗的信息,其中,原子对抗是指网络抗攻击性能中原子的、较独立的且有明确含义的抗攻击能力;从目标系统的攻击效果和模拟攻击方的攻击代价两个角度分析各原子对抗的评价指标,根据评价指标构建基于原子对抗的网络抗攻击性能评估指标体系。优选地,对漏洞数据源的字段和数据进行过滤变换,获取与抗攻击性能有关的数据具体包括获取漏洞数据源中与抗攻击性能有关的字段和不完整的数据,其中,与抗攻击性能有关的字段包括名称字段、CVSS得分字段、严重性字段、描述字段、损失类型字段、 CVSS评价矢量字段;将损失类型字段和CVSS评价矢量字段进行解析,获取每个漏洞攻击对机密性、完整性、可用性和/或权限的影响信息;从描述字段中提取与攻击效果有关的效果描述;将效果描述分解为单个效果描述;将单个效果描述分解为效果动词、效果名词和效果细节。优选地,对获取的与抗攻击性能有关的数据中的效果动词进行提取,并进一步提取出原子对抗的信息具体包括对效果动词进行提取,提取出具有通用性、典型性和发展性的效果动词;进一步提取具有通用性、典型性、发展性、独立性和明确性的原子对抗。优选地,对效果动词进行提取,提取出具有通用性、典型性和发展性的效果动词具体包括统计效果动词的出现频率,筛选出出现频率最高的效果动词;采用多因素方差分析方法对筛选出的效果动词进行分析,根据分析结果和效果动词的语义,将效果动词进行分类,提取出具有通用性、典型性和发展性的效果动词。优选地,提取具有通用性、典型性、发展性、独立性和明确性的原子对抗具体包括对效果名词和效果细节的出现频率进行统计分析,选择出现频率大于预定阈值的效果名词或效果细节,构成原子攻击效果;分析原子攻击效果之间的关联,获取独立原子攻击效果;将独立原子攻击效果转换为原子对抗。优选地,原子对抗的类型包括抗信息泄漏、抗拒绝服务、抗数据篡改、抗网络欺骗、抗入侵控制、以及抗安全破坏。本发明还提供了一种网络抗攻击性能评估指标体系构建装置,包括获取模块,用于从美国国家漏洞数据库NVD获取漏洞数据源,对漏洞数据源的字段和数据进行过滤变换,获取与抗攻击性能有关的数据;提取模块,用于对获取的与抗攻击性能有关的数据中的效果动词进行提取,并进一步提取出原子对抗的信息,其中,原子对抗是指网络抗攻击性能中原子的、较独立的且有明确含义的抗攻击能力;构建模块,用于从目标系统的攻击效果和模拟攻击方的攻击代价两个角度分析各原子对抗的评价指标,根据评价指标构建基于原子对抗的网络抗攻击性能评估指标体系。优选地,获取模块具体用于获取漏洞数据源中与抗攻击性能有关的字段和不完整的数据,其中,与抗攻击性能有关的字段包括名称字段、CVSS得分字段、严重性字段、描述字段、损失类型字段、CVSS评价矢量字段;将损失类型字段和CVSS评价矢量字段进行解析,获取每个漏洞攻击对机密性、完整性、可用性和/或权限的影响信息;从描述字段中提取与攻击效果有关的效果描述;将效果描述分解为单个效果描述;将单个效果描述分解为效果动词、效果名词和效果细节;提取模块具体包括第一提取子模块,用于对效果动词进行提取,提取出具有通用性、典型性和发展性的效果动词;第二提取子模块,用于进一步提取具有通用性、典型性、发展性、独立性和明确性的原子对抗。优选地,第一提取子模块具体用于统计效果动词的出现频率,筛选出出现频率最高的效果动词;采用多因素方差分析方法对筛选出的效果动词进行分析,根据分析结果和效果动词的语义,将效果动词进行分类,提取出具有通用性、典型性和发展性的效果动词;第二提取子模块具体用于对效果名词和效果细节的出现频率进行统计分析,选择出现频率大于预定阈值的效果名词或效果细节,构成原子攻击效果;分析原子攻击效果之间的关联,获取独立原子攻击效果;将独立原子攻击效果转换为原子对抗。
优选地,原子对抗的类型包括抗信息泄漏、抗拒绝服务、抗数据篡改、抗网络欺骗、抗入侵控制、以及抗安全破坏。本发明有益效果如下通过利用NVD漏洞库,采用数据挖掘技术提取具有通用性、典型性、扩展性、独立性和明确性的原子对抗,构建基于原子对抗的抗攻击性能指标体系,解决了现有技术中抗攻击性能指标体系构建依据缺乏很强的科学性、存在指标不够全面、粗细粒度不一致、内涵交叉、操作性不高的问题,本发明实施例的技术方案中,原子对抗分类明确,各类别较独立;此外,原子对抗的通用性、典型性和发展性,能够满足对大部分典型网络攻击测试的评价需求。并且,原子功能的独立性和明确性,便于将网络攻击测试场景转化成原子对抗的组合;在本发明实施例中,评估指标的提取,尽量直接体现原子对抗的特点,并考虑了评估的可操作性。
图I是本发明实施例的网络抗攻击性能评估指标体系构建方法的流程图;图2是本发明实施例的网络抗攻击性能评估指标体系构建方法的详细处理的流程图;图3是本发明实施例的基于原子对抗构建网络抗攻击性能评估指标体系的示意图;图4是本发明实施例的网络抗攻击性能评估指标体系构建装置的结构示意图。
具体实施例方式为了解决现有技术中抗攻击性能指标体系构建依据缺乏很强的科学性、存在指标不够全面、粗细粒度不一致、内涵交叉、操作性不高的问题,本发明提供了一种网络抗攻击性能评估指标体系构建方法及装置,针对现有抗攻击性能指标体系多采用层次分析、专家打分等方法构建,构建依据缺乏很强的科学性的问题,本发明实施例采用主流漏洞库美国国家漏洞数据库(National Vulnerability Database,简称为NVD)作为构建指标体系的数据源,该数据库具有漏洞数据全、更新及时、漏洞攻击信息描述详细、兼容通用弱点评价体系(Common Vulnerability Scoring System,简称为CVSS)评分等特点。针对现有抗攻击性能指标体系存在指标不够全面,粗细粒度不一致,内涵交叉、操作性不高等缺点,从而导致难以满足对各类典型网络攻击测试的评价需求的问题,本发明实施例提出“原子对抗”概念,用来代表网络抗攻击性能的基本元素。利用NVD漏洞库,采用数据挖掘技术提取具有通用性、典型性、扩展性、独立性和明确性的原子对抗,构建基于原子对抗的抗攻击性能指标体系。本发明实施例的技术方案可从主流漏洞库NVD中提取原子对抗,从而构建基于原子对抗的抗攻击性能评估指标体系。具体地,本发明实施例提出原子对抗概念,其次,本发明实施例利用NVD漏洞数据库,采用数据挖掘技术提取具有通用性、典型性、发展性、独立性和明确性的原子对抗,然后基于原子对抗构建抗攻击性能评估指标体系,构建方法具有 科学性。以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。方法实施例根据本发明的实施例,提供了一种网络抗攻击性能评估指标体系构建方法,图I是本发明实施例的网络抗攻击性能评估指标体系构建方法的流程图,如图I所示,根据本发明实施例的网络抗攻击性能评估指标体系构建方法包括如下处理步骤101,从美国国家漏洞数据库NVD获取漏洞数据源,对漏洞数据源的字段和数据进行过滤变换,获取与抗攻击性能有关的数据;在步骤101中,对漏洞数据源的字段和数据进行过滤变换,获取与抗攻击性能有关的数据具体包括如下处理I、获取漏洞数据源中与抗攻击性能有关的字段和不完整的数据,其中,与抗攻击性能有关的字段包括名称字段、通用弱点评价体系CVSS得分字段、严重性字段、描述字段、损失类型字段、CVSS评价矢量字段;2、将损失类型字段和CVSS评价矢量字段进行解析,获取每个漏洞攻击对机密性、完整性、可用性和/或权限的影响信息;3、从描述字段中提取与攻击效果有关的效果描述;4、将效果描述分解为单个效果描述;5、将单个效果描述分解为效果动词、效果名词和效果细节。步骤102,对获取的与抗攻击性能有关的数据中的效果动词进行提取,并进一步提取出原子对抗的信息,其中,原子对抗是指网络抗攻击性能中原子的、较独立的且有明确含义的抗攻击能力;具体地,步骤102包括如下处理步骤I、对效果动词进行提取,提取出具有通用性、典型性和发展性的效果动词;步骤I具体包括如下处理1、统计效果动词的出现频率,筛选出出现频率最高的效果动词;2、采用多因素方差分析方法对筛选出的效果动词进行分析,根据分析结果和效果动词的语义,将效果动词进行分类,提取出具有通用性、典型性和发展性的效果动词。步骤2、进一步提取具有通用性、典型性、发展性、独立性和明确性的原子对抗。步骤2具体包括如下处理1、对效果名词和效果细节的出现频率进行统计分析,选择出现频率大于预定阈值的效果名词或效果细节,构成原子攻击效果;2、分析原子攻击效果之间的关联,获取独立原子攻击效果;3、将独立原子攻击效果转换为原子对抗。步骤103,从目标系统的攻击效果和模拟攻击方的攻击代价两个角度分析各原子对抗的评价指标,根据评价指标构建基于原子对抗的网络抗攻击性能评估指标体系。其中,原子对抗的类型包括抗信息泄漏、抗拒绝服务、抗数据篡改、抗网络欺骗、抗入侵控制、以及抗安全破坏。以下结合附图,对本发明实施例的上述技术方案进行详细说明。在本发明实施例中,定义“原子对抗”为网络抗攻击性能中原子的、较独立且有明确含义的抗攻击能力。根据网络抗攻击性能评估的需求,应提取具有以下特点的原子对抗。I、通用性能够反映大多数网络攻击;2、典型性代表典型的网络攻击; 3、发展性反映网络攻击的发展趋势;4、独立性含义相互独立;5、明确性内涵明确、不模糊。本发明实施例利用NVD漏洞库挖掘具有上述特点的原子对抗,构建基于原子对抗的抗攻击性能评估指标体系,图2是本发明实施例的网络抗攻击性能评估指标体系构建方法的详细处理的流程图,如图2所示,包含以下步骤第一步准备数据源。步骤201 :将近几年的NVD漏洞数据作为数据源,准备好漏洞数据导入数据库。第二步数据预处理对NVD漏洞库的字段和数据进行过滤变换,得到与抗攻击性能有关的数据,包括五个子步骤字段数据过滤、字段变换处理、效果描述提取、效果描述分解和单个效果分解。具体地步骤202 :字段数据过滤,即去掉NVD漏洞库中与抗攻击性能不相关的字段和不完整的数据。在NVD漏洞库中,与抗攻击性能有关的字段,主要包括=Name (名称)、Score (CVSS得分)、Severity (严重性)、Description (描述)、loss_types (损失类型)、cvss_vector(CVSS评价矢量)。步骤203 :字段变换处理,将loss_types和cvss_vector字段变换,得到每个漏洞攻击对机密性、完整性、可用性和权限的影响。首先,将loss_types字段分解,展开成Lconf (机密性损失)、Lint (完整性损失)、Lavail (可用性损失)、admin (获得管理员权限)、user (获得普通用户权限)和other (获得其他权限)多个字段。其次,从cvss_vector字段中提取Conf、Integrity、Avail的取值,得到漏洞攻击对机密性、完整性和可用性的影响程度。步骤204 :效果描述提取,从NVD的description字段中,抽取与攻击效果有关的描述。NVD的description字段含有比较详细的漏洞描述,分析后发现其描述的格式通常是 “allow (s)... attackers/users to... via/by/using…“to” 之后通常是该漏洞被利用的攻击效果,“via/byAising”之后通常表示所用的攻击方法。因此,对description字段里“allows…to”和“via/by/using”之间的内容进行抽取,可得到漏洞攻击对应的攻击效果描述。
步骤205 :效果描述分解,对步骤204提取的效果描述进一步分解出单个效果的描述。步骤206 :单个效果分解,将单个效果描述分解成效果动词、效果名词和效果细节,并在分解中过滤一些常见的形容词,如arbitrary、sensitive、some等。效果动词是效果描述中的动词部分,可表示采取什么方式获得效果,例如execute、modify、obtain、cause等;效果名词是效果描述中的主要名词或短语,可表示效果针对什么目标对象;效果细节是从效果描述中抽取的效果具体细节,可表示具体的效果症状,有可能为空。第三步效果动词处理。在第二步数据预处理的基础上,对效果动词进行处理,提取出具有通用性、典型性和发展性的效果动词。主要包括三个子步骤统计分析、方差分析 和动词分类。步骤207 :效果动词统计分析,统计各年效果动词的出现频率,提取在五年中出现频率较高,且在近三年也有一定出现概率的动词,满足效果动词的通用性、典型性和发展性。通过统计效果动词的出现频率,筛选出出现频率最高的效果动词,如execute、cause、gain、inject、bypass 等。步骤208 :效果动词方差分析,采用多因素方差分析的方法,来分析不同的效果动词,对LavaiI、Lconf、Lint、admin、user、other这些试验指标是否有显著影响,以此来判断哪些动词可以归为一类。步骤209 :效果动词分类,根据方差分析的结果和效果动词的语义,将效果动词分类。效果动词可分成以下几类读取类、修改类、破坏类、欺骗类、入侵类和绕过类等。第四步原子对抗提取。在第三步效果动词处理的基础上,进一步提取具有通用性、典型性、发展性、独立性和明确性的原子对抗。主要包括3个子步骤效果名词和细节统计分析、关联规则挖掘、原子对抗转换。步骤210 :效果名词和效果细节统计分析,分别对各类效果动词,统计分析所有效果名词和效果细节的出现频率,选择总体出现频率较高的效果名词或细节,构成原子攻击效果。步骤211 :关联规则挖掘,发现原子攻击效果之间的关联,提出独立的原子攻击效
果O步骤212 :原子对抗转换。由于原子对抗可理解为对抗原子攻击效果的能力,因此可在211步骤获得的原子攻击效果基础上,将原子攻击效果转换成最终的原子对抗。本发明实施例针对网络抗攻击性能评估的需求,利用NVD漏洞库挖掘得到的原子对抗可分为6类抗信息泄漏、抗拒绝服务、抗数据篡改、抗网络欺骗、抗入侵控制、抗安全破坏。其中,抗信息泄露,是指防止攻击非法获得目标的信息,保护信息系统的机密性;抗拒绝服务,是指防止攻击非法阻塞目标数据或资源,保护信息系统的可用性;抗数据篡改,是指防止攻击非法篡改目标资源和数据,保护信息系统的完整性;抗网络欺骗,是指防止网络系统或用户被非法欺骗,保护信息系统的真实性;抗安全破坏,是指防止安全防御措施被非法破坏或规避,以及防止攻击提升自身隐蔽性、传播性、健壮性等手段。各类包含的原子对抗主要有I、抗信息泄露抗文件/目录非法读取、抗内存数据非法读取、抗注册表非法读取、抗进程非法读取、抗内核模块非法读取、抗存活IP非法探测、抗软件版本非法探测、抗漏洞非法探测、抗操作系统账户探测、抗操作系统指纹非法探测、防键盘监控、抗明文探测、抗路由非法探测、抗DNS信息非法探测等24个原子对抗。2、抗拒绝服务防应用或进程出错、防CPU非法消耗、防内存非法消耗、防系统或设备出错、防服务质量下降、防进程资源非法消耗、防网络带宽资源非法消耗、抗合法连接被拒绝、防文件系统破坏、防磁盘空间非法消耗、防通信重定向等19个原子对抗。3、抗数据篡改防文件和路径非法篡改、防内存非法篡改、防操作系统账户非法篡改、防注册表非法篡改、防路由表非法篡改、防数据库非法篡改等20个原子对抗。4、抗网络欺骗防电子邮件伪造、防DNS高速缓存污染、防网站内容伪造等6个原子对抗。 5、抗入侵控制防程序非法执行、防操作系统权限非法提升、防数据库权限非法提升、防资源非法利用、防后门非法开启、防Shell非法获得、防Web应用权限非法提升、防非法登录或管理等24个原子对抗。6、抗安全破坏防网络传播、防本地感染、反绕过病毒检测、反穿透防火墙、反躲避IDS/IPS、反文件隐藏、反运行隐藏、反通信隐藏等11个原子对抗。第五步,评估指标分析,从目标系统的攻击效果和模拟攻击方的攻击代价两个角度分析各原子对抗的评价指标,选择具有代表性、敏感性、可测性等特点的评估指标构成基于原子对抗的网络抗攻击性能评估指标体系,图3是本发明实施例的基于原子对抗构建网络抗攻击性能评估指标体系的示意图,如图3所示,例如,抗信息泄露类原子对抗,可用泄露信息量、攻击方资源代价和攻击方时间代价来衡量。综上所述,借助于本发明实施例的技术方案,通过利用NVD漏洞库,采用数据挖掘技术提取具有通用性、典型性、扩展性、独立性和明确性的原子对抗,构建基于原子对抗的抗攻击性能指标体系,解决了现有技术中抗攻击性能指标体系构建依据缺乏很强的科学性、存在指标不够全面、粗细粒度不一致、内涵交叉、操作性不高的问题,本发明实施例的技术方案中,原子对抗分类明确,各类别较独立;此外,原子对抗的通用性、典型性和发展性,能够满足对大部分典型网络攻击测试的评价需求。并且,原子功能的独立性和明确性,便于将网络攻击测试场景转化成原子对抗的组合;在本发明实施例中,评估指标的提取,尽量直接体现原子对抗的特点,并考虑了评估的可操作性。装置实施例根据本发明的实施例,提供了一种网络抗攻击性能评估指标体系构建装置,图4是本发明实施例的网络抗攻击性能评估指标体系构建装置的结构示意图,如图4所示,根据本发明实施例的网络抗攻击性能评估指标体系构建装置包括获取模块40、提取模块42、以及构建模块44,以下对本发明实施例的各个模块进行详细的说明。获取模块40,用于从美国国家漏洞数据库NVD获取漏洞数据源,对漏洞数据源的字段和数据进行过滤变换,获取与抗攻击性能有关的数据;获取模块40具体用于获取漏洞数据源中与抗攻击性能有关的字段和不完整的数据,其中,与抗攻击性能有关的字段包括名称字段、通用弱点评价体系CVSS得分字段、严重性字段、描述字段、损失类型字段、CVSS评价矢量字段;将损失类型字段和CVSS评价矢量字段进行解析,获取每个漏洞攻击对机密性、完整性、可用性和/或权限的影响信息;从描述字段中提取与攻击效果有关的效果描述;将效果描述分解为单个效果描述;将单个效果描述分解为效果动词、效果名词和效果细节。提取模块42,用于对获取的与抗攻击性能有关的数据中的效果动词进行提取,并进一步提取出原子对抗的信息,其中,原子对抗是指网络抗攻击性能中原子的、较独立的且有明确含义的抗攻击能力;提取模块42具体包括
第一提取子模块,用于对效果动词进行提取,提取出具有通用性、典型性和发展性的效果动词;第一提取子模块具体用于统计效果动词的出现频率,筛选出出现频率最高的效果动词;采用多因素方差分析方法对筛选出的效果动词进行分析,根据分析结果和效果动词的语义,将效果动词进行分类,提取出具有通用性、典型性和发展性的效果动词;第二提取子模块,用于进一步提取具有通用性、典型性、发展性、独立性和明确性的原子对抗。第二提取子模块具体用于对效果名词和效果细节的出现频率进行统计分析,选择出现频率大于预定阈值的效果名词或效果细节,构成原子攻击效果;分析原子攻击效果之间的关联,获取独立原子攻击效果;将独立原子攻击效果转换为原子对抗。构建模块44,用于从目标系统的攻击效果和模拟攻击方的攻击代价两个角度分析各原子对抗的评价指标,根据评价指标构建基于原子对抗的网络抗攻击性能评估指标体系。原子对抗的类型包括抗信息泄漏、抗拒绝服务、抗数据篡改、抗网络欺骗、抗入侵控制、以及抗安全破坏。以下结合附图,对本发明实施例的上述技术方案进行详细说明。在本发明实施例中,定义“原子对抗”为网络抗攻击性能中原子的、较独立且有明确含义的抗攻击能力。根据网络抗攻击性能评估的需求,应提取具有以下特点的原子对抗。I、通用性能够反映大多数网络攻击;2、典型性代表典型的网络攻击;3、发展性反映网络攻击的发展趋势;4、独立性含义相互独立;5、明确性内涵明确、不模糊。本发明实施例利用NVD漏洞库挖掘具有上述特点的原子对抗,构建基于原子对抗的抗攻击性能评估指标体系,图2是本发明实施例的网络抗攻击性能评估指标体系构建方法的详细处理的流程图,如图2所示,包含以下步骤第一步准备数据源。步骤201 :将近几年的NVD漏洞数据作为数据源,准备好漏洞数据导入数据库。第二步数据预处理对NVD漏洞库的字段和数据进行过滤变换,得到与抗攻击性能有关的数据,包括五个子步骤字段数据过滤、字段变换处理、效果描述提取、效果描述分解和单个效果分解。具体地
步骤202 :字段数据过滤,即去掉NVD漏洞库中与抗攻击性能不相关的字段和不完整的数据。在NVD漏洞库中,与抗攻击性能有关的字段,主要包括=Name (名称)、Score (CVSS得分)、Severity (严重性)、Description (描述)、loss_types (损失类型)、cvss_vector(CVSS评价矢量)。步骤203 :字段变换处理,将loss_types和cvss_vector字段变换,得到每个漏洞攻击对机密性、完整性、可用性和权限的影响。首先,将loss_types字段分解,展开成Lconf (机密性损失)、Lint (完整性损失)、Lavail (可用性损失)、admin (获得管理员权限)、user (获得普通用户权限)和other (获得其他权限)多个字段。其次,从cvss_vector字段中提取Conf、Integrity、Avail的取值,得到漏洞攻击对机密性、完整性和可用性的影响程度。 步骤204 :效果描述提取,从NVD的description字段中,抽取与攻击效果有关的描述。NVD的description字段含有比较详细的漏洞描述,分析后发现其描述的格式通常是 “allow (s)... attackers/users to... via/by/using…“to” 之后通常是该漏洞被利用的攻击效果,“via/byAising”之后通常表示所用的攻击方法。因此,对description字段里“allows…to”和“via/by/using”之间的内容进行抽取,可得到漏洞攻击对应的攻击效果描述。步骤205 :效果描述分解,对步骤204提取的效果描述进一步分解出单个效果的描述。步骤206 :单个效果分解,将单个效果描述分解成效果动词、效果名词和效果细节,并在分解中过滤一些常见的形容词,如arbitrary、sensitive、some等。效果动词是效果描述中的动词部分,可表示采取什么方式获得效果,例如execute、modify、obtain、cause等;效果名词是效果描述中的主要名词或短语,可表示效果针对什么目标对象;效果细节是从效果描述中抽取的效果具体细节,可表示具体的效果症状,有可能为空。第三步效果动词处理。在第二步数据预处理的基础上,对效果动词进行处理,提取出具有通用性、典型性和发展性的效果动词。主要包括三个子步骤统计分析、方差分析和动词分类。步骤207 :效果动词统计分析,统计各年效果动词的出现频率,提取在五年中出现频率较高,且在近三年也有一定出现概率的动词,满足效果动词的通用性、典型性和发展性。通过统计效果动词的出现频率,筛选出出现频率最高的效果动词,如execute、cause、gain、inject、bypass 等。步骤208 :效果动词方差分析,采用多因素方差分析的方法,来分析不同的效果动词,对LavaiI、Lconf、Lint、admin、user、other这些试验指标是否有显著影响,以此来判断哪些动词可以归为一类。步骤209 :效果动词分类,根据方差分析的结果和效果动词的语义,将效果动词分类。
效果动词可分成以下几类读取类、修改类、破坏类、欺骗类、入侵类和绕过类等。第四步原子对抗提取。在第三步效果动词处理的基础上,进一步提取具有通用性、典型性、发展性、独立性和明确性的原子对抗。主要包括3个子步骤效果名词和细节统计分析、关联规则挖掘、原子对抗转换。步骤210 :效果名词和效果细节统计分析,分别对各类效果动词,统计分析所有效果名词和效果细节的出现频率,选择总体出现频率较高的效果名词或细节,构成原子攻击效果。步骤211 :关联规则挖掘,发现原子攻击效果之间的关联,提出独立的原子攻击效
果O步骤212 :原子对抗转换。由于原子对抗可理解为对抗原子攻击效果的能力,因此可在211步骤获得的原子攻击效果基础上,将原子攻击效果转换成最终的原子对抗。 本发明实施例针对网络抗攻击性能评估的需求,利用NVD漏洞库挖掘得到的原子对抗可分为6类抗信息泄漏、抗拒绝服务、抗数据篡改、抗网络欺骗、抗入侵控制、抗安全破坏。其中,抗信息泄露,是指防止攻击非法获得目标的信息,保护信息系统的机密性;抗拒绝服务,是指防止攻击非法阻塞目标数据或资源,保护信息系统的可用性;抗数据篡改,是指防止攻击非法篡改目标资源和数据,保护信息系统的完整性;抗网络欺骗,是指防止网络系统或用户被非法欺骗,保护信息系统的真实性;抗安全破坏,是指防止安全防御措施被非法破坏或规避,以及防止攻击提升自身隐蔽性、传播性、健壮性等手段。各类包含的原子对抗主要有I、抗信息泄露抗文件/目录非法读取、抗内存数据非法读取、抗注册表非法读取、抗进程非法读取、抗内核模块非法读取、抗存活IP非法探测、抗软件版本非法探测、抗漏洞非法探测、抗操作系统账户探测、抗操作系统指纹非法探测、防键盘监控、抗明文探测、抗路由非法探测、抗DNS信息非法探测等24个原子对抗。2、抗拒绝服务防应用或进程出错、防CPU非法消耗、防内存非法消耗、防系统或设备出错、防服务质量下降、防进程资源非法消耗、防网络带宽资源非法消耗、抗合法连接被拒绝、防文件系统破坏、防磁盘空间非法消耗、防通信重定向等19个原子对抗。3、抗数据篡改防文件和路径非法篡改、防内存非法篡改、防操作系统账户非法篡改、防注册表非法篡改、防路由表非法篡改、防数据库非法篡改等20个原子对抗。4、抗网络欺骗防电子邮件伪造、防DNS高速缓存污染、防网站内容伪造等6个原子对抗。5、抗入侵控制防程序非法执行、防操作系统权限非法提升、防数据库权限非法提升、防资源非法利用、防后门非法开启、防Shell非法获得、防Web应用权限非法提升、防非法登录或管理等24个原子对抗。6、抗安全破坏防网络传播、防本地感染、反绕过病毒检测、反穿透防火墙、反躲避IDS/IPS、反文件隐藏、反运行隐藏、反通信隐藏等11个原子对抗。第五步,评估指标分析,从目标系统的攻击效果和模拟攻击方的攻击代价两个角度分析各原子对抗的评价指标,选择具有代表性、敏感性、可测性等特点的评估指标构成基于原子对抗的网络抗攻击性能评估指标体系,图3是本发明实施例的基于原子对抗构建网络抗攻击性能评估指标体系的示意图,如图3所示,例如,抗信息泄露类原子对抗,可用泄露信息量、攻击方资源代价和攻击方时间代价来衡量。综上所述,借助于本发明实施例的技术方案,通过利用NVD漏洞库,采用数据挖掘技术提取具有通用性、典型性、扩展性、独立性和明确性的原子对抗,构建基于原子对抗的抗攻击性能指标体系,解决了现有技术中抗攻击性能指标体系构建依据缺乏很强的科学性、存在指标不够全面、粗细粒度不一致、内涵交叉、操作性不高的问题,本发明实 施例的技术方案中,原子对抗分类明确,各类别较独立;此外,原子对抗的通用性、典型性和发展性,能够满足对大部分典型网络攻击测试的评价需求。并且,原子功能的独立性和明确性,便于将网络攻击测试场景转化成原子对抗的组合;在本发明实施例中,评估指标的提取,尽量直接体现原子对抗的特点,并考虑了评估的可操作性。尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。
权利要求
1.一种网络抗攻击性能评估指标体系构建方法,其特征在于,包括 从美国国家漏洞数据库NVD获取漏洞数据源,对所述漏洞数据源的字段和数据进行过滤变换,获取与抗攻击性能有关的数据; 对获取的所述与抗攻击性能有关的数据中的效果动词进行提取,并进ー步提取出原子对抗的信息,其中,所述原子对抗是指网络抗攻击性能中原子的、较独立的且有明确含义的抗攻击能力; 从目标系统的攻击效果和模拟攻击方的攻击代价两个角度分析各原子对抗的评价指标,根据所述评价指标构建基于原子对抗的网络抗攻击性能评估指标体系。
2.如权利要求I所述的方法,其特征在干,对所述漏洞数据源的字段和数据进行过滤变换,获取与抗攻击性能有关的数据具体包括 获取所述漏洞数据源中与抗攻击性能有关的字段和不完整的数据,其中,所述与抗攻击性能有关的字段包括名称字段、通用弱点评价体系CVSS得分字段、严重性字段、描述字段、损失类型字段、CVSS评价矢量字段; 将所述损失类型字段和所述CVSS评价矢量字段进行解析,获取每个漏洞攻击对机密性、完整性、可用性和/或权限的影响信息; 从所述描述字段中提取与攻击效果有关的效果描述; 将所述效果描述分解为单个效果描述; 将所述单个效果描述分解为所述效果动词、效果名词和效果细节。
3.如权利要求2所述的方法,其特征在于,对获取的所述与抗攻击性能有关的数据中的效果动词进行提取,并进ー步提取出原子对抗的信息具体包括 对所述效果动词进行提取,提取出具有通用性、典型性和发展性的效果动词; 进ー步提取具有通用性、典型性、发展性、独立性和明确性的原子対抗。
4.如权利要求3所述的方法,其特征在于,对所述效果动词进行提取,提取出具有通用性、典型性和发展性的效果动词具体包括 统计效果动词的出现频率,筛选出出现频率最高的效果动词; 采用多因素方差分析方法对筛选出的所述效果动词进行分析,根据分析结果和效果动词的语义,将效果动词进行分类,提取出具有通用性、典型性和发展性的效果动词。
5.如权利要求3所述的方法,其特征在于,提取具有通用性、典型性、发展性、独立性和明确性的原子对抗具体包括 对所述效果名词和所述效果细节的出现频率进行统计分析,选择出现频率大于预定阈值的效果名词或效果细节,构成原子攻击效果; 分析所述原子攻击效果之间的关联,获取独立原子攻击效果; 将所述独立原子攻击效果转换为所述原子対抗。
6.如权利要求I至5中任一项所述的方法,其特征在于,所述原子对抗的类型包括抗信息泄漏、抗拒绝服务、抗数据篡改、抗网络欺骗、抗入侵控制、以及抗安全破坏。
7.—种网络抗攻击性能评估指标体系构建装置,其特征在干, 获取模块,用于从美国国家漏洞数据库NVD获取漏洞数据源,对所述漏洞数据源的字段和数据进行过滤变换,获取与抗攻击性能有关的数据; 提取模块,用于对获取的所述与抗攻击性能有关的数据中的效果动词进行提取,并进一步提取出原子对抗的信息,其中,所述原子对抗是指网络抗攻击性能中原子的、较独立的且有明确含义的抗攻击能力; 构建模块,用于从目标系统的攻击效果和模拟攻击方的攻击代价两个角度分析各原子对抗的评价指标,根据所述评价指标构建基于原子对抗的网络抗攻击性能评估指标体系。
8.如权利要求7所述的装置,其特征在干, 所述获取模块具体用于获取所述漏洞数据源中与抗攻击性能有关的字段和不完整的数据,其中,所述与抗攻击性能有关的字段包括名称字段、通用弱点评价体系CVSS得分字段、严重性字段、描述字段、损失类型字段、CVSS评价矢量字段;将所述损失类型字段和所述CVSS评价矢量字段进行解析,获取每个漏洞攻击对机密性、完整性、可用性和/或权限的影响信息;从所述描述字段中提取与攻击效果有关的效果描述;将所述效果描述分解为单个效果描述;将所述单个效果描述分解为所述效果动词、效果名词和效果细节; 所述提取模块具体包括第一提取子模块,用于对所述效果动词进行提取,提取出具有 通用性、典型性和发展性的效果动词;第二提取子模块,用于进ー步提取具有通用性、典型性、发展性、独立性和明确性的原子対抗。
9.如权利要求8所述的装置,其特征在干, 所述第一提取子模块具体用干统计效果动词的出现频率,筛选出出现频率最高的效果动词;采用多因素方差分析方法对筛选出的所述效果动词进行分析,根据分析结果和效果动词的语义,将效果动词进行分类,提取出具有通用性、典型性和发展性的效果动词; 所述第二提取子模块具体用干对所述效果名词和所述效果细节的出现频率进行统计分析,选择出现频率大于预定阈值的效果名词或效果细节,构成原子攻击效果;分析所述原子攻击效果之间的关联,获取独立原子攻击效果;将所述独立原子攻击效果转换为所述原子对抗。
10.如权利要求7至9中任一项所述的装置,其特征在于,所述原子对抗的类型包括抗信息泄漏、抗拒绝服务、抗数据篡改、抗网络欺骗、抗入侵控制、以及抗安全破坏。
全文摘要
本发明公开了一种网络抗攻击性能评估指标体系构建方法及装置。该方法包括从美国国家漏洞数据库NVD获取漏洞数据源,对漏洞数据源的字段和数据进行过滤变换,获取与抗攻击性能有关的数据;对获取的与抗攻击性能有关的数据中的效果动词进行提取,并进一步提取出原子对抗的信息,其中,原子对抗是指网络抗攻击性能中原子的、较独立的且有明确含义的抗攻击能力;从目标系统的攻击效果和模拟攻击方的攻击代价两个角度分析各原子对抗的评价指标,根据评价指标构建基于原子对抗的网络抗攻击性能评估指标体系。
文档编号G06F17/30GK102739652SQ201210185520
公开日2012年10月17日 申请日期2012年6月7日 优先权日2012年6月7日
发明者祝世雄, 胡影, 蒲石, 赵青, 郑康锋, 饶志宏, 黄福鑫 申请人:中国电子科技集团公司第三十研究所