基于关联分析的系统安全评估方法和装置制造方法
【专利摘要】本发明公开了一种基于关联分析的系统安全评估方法和装置,利用攻击图模型对网络安全状况进行关联分析,采用了一种基于广度优先搜索的攻击图生成算法,引入PageRank计算模型对攻击图状态节点权重进行量化,利用权重的不同判断出攻击图关键攻击节点,再利用深度优先搜索算法找出攻击图中的关键攻击路径,最后提出釆用基于攻击图的网络安全度量,量化攻击图关键攻击路径的风险值,对整网安全进行度量。
【专利说明】基于关联分析的系统安全评估方法和装置
【技术领域】
[0001] 本发明属于网络安全评估领域,,特别涉及一种基于关联分析的系统安全评估方 法和装置。
【背景技术】
[0002] 在近年来不断发生的安全事件都是由已知网络漏洞引起,黑客多利用已有漏洞的 特性,研发对应的黑客工具进行逐步的渗透。黑客利用漏洞扫描工具探测目标网络中存在 漏洞的目标主机,对目标主机漏洞发起攻击,成功后获取主机上的部分权限,在权限和条件 允许的情况下,从攻陷主机出发通过网络向其他主机发起攻击,成功后再提升权限,多次重 复此攻击过程,从而进入网络内部,直达网络内部服务器、数据库等目标资源。由于大部分 的网络安全问题都是由系统本身的安全漏洞引发的,如果能及时发现和有效的修复安全漏 洞,就可以降低系统安全风险,遏制网络攻击事件的频发。攻击图技术正是从网络漏洞渗透 关系出发,找出网络中最薄弱、最边缘的潜在渗透点,帮助安全人员找到网络的风险源头。
[0003] 攻击图技术是上世纪九十年代基于图论的漏洞分析技术演变而来的一种综合网 络安全评估技术。传统的漏洞评估工具只是孤立的分析漏洞本身,对网络安全的评估也是 简单将多个漏洞风险叠加,这些方法忽略了真正的网络风险源,使网络安全的成本一再升 高。攻击图从入侵者角度出发,利用主机开启服务、网络拓扑关系及路由规则等因素,结合 现有的攻击模式,将孤立的漏洞进行关联分析,找出各个漏洞之间的渗透依赖关系,绘制出 潜在的黑客入侵路径。网络安全分析人员利用攻击图可以清晰的发现网络中可能被利用的 薄弱环节,然后采取有针对性的防御措施。
[0004] 传统的网络安全技术已经不能满足现在的复杂网络结构,漏洞关联评估在传统的 漏洞检测基础上发展而来,对漏洞进行关联评估可以更准确的反应网络安全状况。本文在 此基础上提出了网络安全关联评估方法,利用攻击图等相关技术进行漏洞关联评估,对网 络进行安全度量。
【发明内容】
[0005] 1、本发明的目的。
[0006] 由于现有技术中,主机的资源损失,往往和主机及其网络的漏洞有关,单一的主机 漏洞不能对网络造成大的威胁,但是漏洞之间的相互关联和利用关系可以对网络安全造成 严重影响,本发明为了解决上述问题而提出的一种基于关联分析的系统安全评估方法和装 置。
[0007] 2、本发明所采用的技术方案。
[0008] 基于关联分析的系统安全评估方法,按照以下步骤进行: a. 基于OVAL的漏洞检测收集网络主机配置信息及其拓扑信息; b. 对收集网络信息进行整理分析,获取网络安全要素,安全要素构成网络初始状态,将 初始状态放入安全状态队列; C.对网络漏洞信息进行收集,通过漏洞信息库,分析并建立转换规则,将漏洞信息转换 成攻击状态队列; d. 通过前向后向搜索的攻击图生成算法遍历攻击状态节点队列,经过前向搜索会生成 完整的网络攻击图,经过后向搜索,排除攻击图中不可达目标状态节点的攻击序列和冗余 序列将发生转换的新状态加入队列,直至所有状态转换结束; e. 根据状态节点的转换关系和渗透依赖关系构建网络攻击图,用PageRank计算模型 对攻击图中不同状态节点的重要性进行权值计算,判断攻击图的关键节点及关键路径,设 定安全权值,所述的步骤e中的状态节点的权值与安全权值比较,如果小于安全权值则为 安全。
[0009] 基于关联分析的系统安全评估装置,包括以下部分: 信息采集单元,用于基于OVAL的漏洞检测收集网络主机配置信息及其拓扑信息; 网络安全初始化单元,用于对收集网络信息进行整理分析,获取网络安全要素,安全要 素构成网络初始状态,将初始状态放入安全状态队列; 漏洞信息采集单元,用于对网络漏洞信息进行收集,通过漏洞信息库,分析并建立转换 规则,将漏洞信息转换成攻击状态队列; 网络扫描单元,用于通过前向后向搜索的攻击图生成算法遍历攻击状态节点队列,经 过前向搜索会生成完整的网络攻击图,经过后向搜索,排除攻击图中不可达目标状态节点 的攻击序列和冗余序列将发生转换的新状态加入队列,直至所有状态转换结束; 系统安全判断单元,用于根据状态节点的转换关系和渗透依赖关系构建网络攻击图, 用PageRank计算模型对攻击图中不同状态节点的重要性进行权值计算,判断攻击图的关 键节点及关键路径,设定安全权值,所述的步骤e中的状态节点的权值与安全权值比较,如 果小于安全权值则为安全。
[0010] 3、本发明的有益效果。
[0011] 1)通过对主机等的系统采集,并对其进行关联分析找出漏洞依赖关系,可以准确、 高效地进行网络安全评估; 2) 攻击图对所有潜在的攻击序列进行了直观的呈现,便于管理人员进行网络安全防 护; 3) 充分考虑了攻击的成本消耗和可以利用资源数量问题,有利于在实际环境中的运 用; 4) 根据状态节点权值不同判断出攻击图关键节点,安全管理人员可以集中精力对这些 关键点进行安全防护; 5) 利用网络攻击图对网络安全状况进行分析,有效的提高了安全防护的工作效率。
【专利附图】
【附图说明】
[0012] 图1是攻击图生成过程图。
[0013] 图2是攻击图生成算法流程图。
[0014] 图3是关键攻击路径求取算法流程图【具体实施方式】。
【具体实施方式】
[0015]实施例1 基于关联分析的系统安全评估方法,其特征在于按照以下步骤进行: a. 基于OVAL的漏洞检测收集网络主机配置信息及其拓扑信息; b. 对收集网络信息进行整理分析,获取网络安全要素,安全要素构成网络初始状态,将 初始状态放入安全状态队列; c. 对网络漏洞信息进行收集,通过漏洞信息库,分析并建立转换规则,将漏洞信息转换 成攻击状态队列; d. 通过前向后向搜索的攻击图生成算法遍历攻击状态节点队列,经过前向搜索会生成 完整的网络攻击图,经过后向搜索,排除攻击图中不可达目标状态节点的攻击序列和冗余 序列将发生转换的新状态加入队列,直至所有状态转换结束; e. 根据状态节点的转换关系和渗透依赖关系构建网络攻击图,用PageRank计算模型 对攻击图中不同状态节点的重要性进行权值计算,判断攻击图的关键节点及关键路径,设 定安全权值,所述的步骤e中的状态节点的权值与安全权值比较,如果小于安全权值则为 安全,网络攻击图不存在回路,即攻击者不会经过一系列的攻击状态的转移又回到之前经 历过的攻击状态。
[0016]更进一步,在所述的步骤a中收集目标网络中的网络布局、路由规则和防火墙信 息等网络拓扑信息,利用扫描工具或网管软件获取网络设备和主机配置信息。
[0017] 实施例2 在实施例1的基础上,步骤c中的漏洞信息库建立的转换规则有两种建立方法: (1 )、通过分析已知的攻击方式,根据先验知识建立漏洞规则; (2)、利用权限提升方式,对漏洞权限提升能力进行分析建立漏洞利用规则。
[0018] 实施例3 在实施例1的基础上,所述的步骤d中前向后向搜索的攻击图生成算法设置最大跳数, 利用前向搜索从初始状态节点开始进行广度优先搜索遍历,如果前向搜索延伸路径超过最 大跳数,则认为目标不可达而放弃该攻击序列;再利用后向搜索算法,设定关注的目标状态 节点集合,依次对进行后向搜索,排除攻击图中不可达目标状态节点的攻击序列和冗余序 列,简化网络攻击图为指定目标攻击图。
[0019] 实施例4 基于关联分析的系统安全评估装置,其特征在于包括以下部分: 信息采集单元,用于基于OVAL的漏洞检测收集网络主机配置信息及其拓扑信息; 网络安全初始化单元,用于对收集网络信息进行整理分析,获取网络安全要素,安全要 素构成网络初始状态,将初始状态放入安全状态队列; 漏洞信息采集单元,用于对网络漏洞信息进行收集,通过漏洞信息库,分析并建立转换 规则,将漏洞信息转换成攻击状态队列; 网络扫描单元,用于通过前向后向搜索的攻击图生成算法遍历攻击状态节点队列,经 过前向搜索会生成完整的网络攻击图,经过后向搜索,排除攻击图中不可达目标状态节点 的攻击序列和冗余序列将发生转换的新状态加入队列,直至所有状态转换结束; 系统安全判断单元,用于根据状态节点的转换关系和渗透依赖关系构建网络攻击图, 用PageRank计算模型对攻击图中不同状态节点的重要性进行权值计算,判断攻击图的关 键节点及关键路径,设定安全权值,所述的步骤e中的状态节点的权值与安全权值比较,如 果小于安全权值则为安全。
[0020] 实施例5 基于关联分析的系统安全评估方法,该方法利用攻击图模型对网络安全状况进行关联 分析,釆用了一种基于广度优先搜索的攻击图生成算法,引入PageRank计算模型对攻击图 状态节点权重进行量化,利用权重的不同判断出攻击图关键攻击节点,再利用深度优先搜 索算法找出攻击图中的关键攻击路径。最后釆用基于攻击图的网络安全度量,量化攻击图 关键攻击路径的风险值,对整网安全进行度量。
[0021] 攻击图采用数学上的图论为基本分析模型,利用图论的一些特性对攻击场景中的 攻击状态进行量化和关联分析,对网络漏洞之间的渗透关系进行概率性的预测。利用图论 图形化攻击序列,实现攻击序列中主机信息转换成图的边和点,即转换后的图包含了攻击 行为的转移信息,利用图的特性可以直观的分析网络攻击行为。
[0022] 攻击图的遍历选用广度优先搜索遍历算法。充分利用基于广度优先前向搜索算法 和基于广度优先后向搜索算法的优点,提出一种基于两种算法的攻击图生成算法--基于 前向后向搜索的攻击图生成算法,并设定搜索最大跳数MAX-HOP。
[0023] 将PageRank计算模型引入网络攻击图状态节点权重计算当中,提高节点权值准 确性。利用PageRank计算模型对攻击图中不同状态节点进行权值计算,这些权值反映各个 状态节点的重要性,根据状态节点权值不同判断出攻击图关键节点。
[0024] 网络攻击图生成后,釆用深度优先搜索算法寻找关键路径,直达目标节点。
[0025] 采用基于攻击图的网络安全度量方法,以攻击图模型分析出的漏洞关联关系为度 量基础,利用攻击图中的关键攻击路径的安全状况来反应整网的安全状况,简化网络安全 的度量过程。
[0026] 将PageRank计算模型引入网络攻击图状态节点权重计算当中,提高节点权值准 确性。利用PageRank计算模型对攻击图中不同状态节点进行权值计算,这些权值反映各个 状态节点的重要性,根据状态节点权值不同判断出攻击图关键节点。网络攻击图生成后,釆 用深度优先搜索算法寻找关键路径,直达目标节点。采用基于攻击图的网络安全度量方法, 以攻击图模型分析出的漏洞关联关系为度量基础,利用攻击图中的关键攻击路径的安全状 况来反应整网的安全状况,简化网络安全的度量过程。
[0027] 如图1所示,攻击图的基本生成过程,大致分为三步:信息收集、建立模型和关联 分析。信息收集:收集目标网络中的网络布局、路由规则和防火墙信息等网络拓扑信息,利 用扫描工具或网管软件获取网络设备和主机配置信息。采用基于OVAL的漏洞检测扫描网 络主机,获取主机系统的基本配置信息和存在的漏洞信息。建立模型:通过对网络各方面信 息的收集,获取大量的看似无关的孤立信息。本阶段对收集的网络信息进行分类预处理,采 用现有模型或数学公式进行统一化表示,分离出影响网络安全的关键因素及其相互关系。 关联分析:单一的主机漏洞不能对网络造成大的威胁,但是漏洞之间的相互关联和利用关 系可以对网络安全造成严重影响。
[0028] 攻击图的生成主要描述攻击场景中的一系列攻击状态转化。攻击者利用主机漏洞 不断迁移攻击位置,各个主机成为攻击路径上的不同节点,节点状态包含了主机状态信息, 节点之间的有向边反映了攻击者对漏洞的利用关系和攻击状态的转化关系。通过攻击图生 成算法可以从攻击者角度将各个状态节点进行关联,模拟实现这一攻击序列。
[0029] 状态攻击图中每个节点代表网络系统遭受攻击所处的不同状态,攻击状态由不同 的系统安全要素构成,这些要素主要包含主机信息、漏洞利用权限、主机存在漏洞信息、主 机提供服务等,不同的攻击状态对应着不同的安全要素构成一个个攻击图节点。不同的节 点之间用有向弧连接,表明不同节点可以通过利用漏洞进行渗透,从一个状态转换成另一 个状态。整个攻击图作为一个状态转换图,任一条转换路径都是一个攻击渗透的序列。攻 击渗透序列是对攻击者从系统初始状态向目标状态转换过程的描述。攻击图对所有潜在的 攻击序列进行了直观的呈现。
[0030] 攻击图釆用数学上的图论为基本分析模型,利用图论的一些特性对攻击场景中的 攻击状态进行量化和关联分析,对网络漏洞之间的渗透关系进行概率性的预测。利用图论 图形化攻击序列,实现攻击序列中主机信息转换成图的边和点,即转换后的图包含了攻击 行为的转移信息,利用图的特性可以直观的分析网络攻击行为。
[0031] 假定攻击图为G,其中顶点集合为V(G),边集合为ECG),且G为有向图,即有:
【权利要求】
1. 一种基于关联分析的系统安全评估方法,其特征在于按照w下步骤进行: a. 基于OVAL的漏洞检测收集网络主机配置信息及其拓扑信息; b. 对收集网络信息进行整理分析,获取网络安全要素,安全要素构成网络初始状态,将 初始状态放入安全状态队列; C.对网络漏洞信息进行收集,通过漏洞信息库,分析并建立转换规则,将漏洞信息转换 成攻击状态队列; d. 通过前向后向搜索的攻击图生成算法遍历攻击状态节点队列,经过前向搜索会生成 完整的网络攻击图,经过后向搜索,排除攻击图中不可达目标状态节点的攻击序列和兀余 序列将发生转换的新状态加入队列,直至所有状态转换结束; e. 根据状态节点的转换关系和渗透依赖关系构建网络攻击图,用化geRank计算模型 对攻击图中不同状态节点的重要性进行权值计算,判断攻击图的关键节点及关键路径,设 定安全权值,所述的步骤e中的状态节点的权值与安全权值比较,如果小于安全权值则为 安全。
2. 根据权利要求1所述的基于关联分析的系统安全评估方法,其特征在于:所述的步 骤e中的网络攻击图不存在回路,即攻击者不会经过一系列的攻击状态的转移又回到之前 经历过的攻击状态。
3. 根据权利要求1所述的基于关联分析的系统安全评估方法,其特征在于:所述的步 骤a中收集目标网络中的网络布局、路由规则和防火墙信息等网络拓扑信息,利用扫描工 具或网管软件获取网络设备和主机配置信息。
4. 根据权利要求1所述的基于关联分析的系统安全评估方法,其特征在于:所述的步 骤C中的漏洞信息库建立的转换规则有两种建立方法: (1) 、通过分析已知的攻击方式,根据先验知识建立漏洞规则; (2) 、利用权限提升方式,对漏洞权限提升能力进行分析建立漏洞利用规则。
5. 根据权利要求1所述的基于关联分析的系统安全评估方法,其特征在于:所述的步 骤d中前向后向搜索的攻击图生成算法设置最大跳数,利用前向搜索从初始状态节点开始 进行广度优先搜索遍历,如果前向搜索延伸路径超过最大跳数,则认为目标不可达而放弃 该攻击序列;再利用后向搜索算法,设定关注的目标状态节点集合,依次对进行后向搜索, 排除攻击图中不可达目标状态节点的攻击序列和兀余序列,简化网络攻击图为指定目标攻 击图。
6. -种基于关联分析的系统安全评估装置,其特征在于包括W下部分: 信息采集单元,用于基于OVAL的漏洞检测收集网络主机配置信息及其拓扑信息; 网络安全初始化单元,用于对收集网络信息进行整理分析,获取网络安全要素,安全要 素构成网络初始状态,将初始状态放入安全状态队列; 漏洞信息采集单元,用于对网络漏洞信息进行收集,通过漏洞信息库,分析并建立转换 规则,将漏洞信息转换成攻击状态队列; 网络扫描单元,用于通过前向后向搜索的攻击图生成算法遍历攻击状态节点队列,经 过前向搜索会生成完整的网络攻击图,经过后向搜索,排除攻击图中不可达目标状态节点 的攻击序列和兀余序列将发生转换的新状态加入队列,直至所有状态转换结束; 系统安全判断单元,用于根据状态节点的转换关系和渗透依赖关系构建网络攻击图, 用PageRank计算模型对攻击图中不同状态节点的重要性进行权值计算,判断攻击图的关 键节点及关键路径,设定安全权值,所述的步骤e中的状态节点的权值与安全权值比较,女口 果小于安全权值则为安全。
7. 根据权利要求6所述的基于关联分析的系统安全评估装置,其特征在于:所述的漏 洞信息采集装置的漏洞信息库建立的转换规则有两种建立方法: (1 )、通过分析已知的攻击方式,根据先验知识建立漏洞规则; (2)、利用权限提升方式,对漏洞权限提升能力进行分析建立漏洞利用规则。
8. 根据权利要求6所述的基于关联分析的系统安全评估装置,其特征在于:网络扫描 单元中前向后向搜索的攻击图生成算法设置最大跳数,利用前向搜索从初始状态节点开始 进行广度优先搜索遍历,如果前向搜索延伸路径超过最大跳数,则认为目标不可达而放弃 该攻击序列;再利用后向搜索算法,设定关注的目标状态节点集合,依次对进行后向搜索, 排除攻击图中不可达目标状态节点的攻击序列和兀余序列,简化网络攻击图为指定目标攻 击图。
9. 根据权利要求6所述的基于关联分析的系统安全评估装置,其特征在于:所述的系 统安全判断单元中的网络攻击图不存在回路,即攻击者不会经过一系列的攻击状态的转移 又回到之前经历过的攻击状态。
10. 根据权利要求6所述的基于关联分析的系统安全评估装置,其特征在于:所述的信 息采集单元中收集目标网络中的网络布局、路由规则和防火墙信息等网络拓扑信息,利用 扫描工具或网管软件获取网络设备和主机配置信息。
【文档编号】H04L12/24GK104348652SQ201310337886
【公开日】2015年2月11日 申请日期:2013年8月6日 优先权日:2013年8月6日
【发明者】戚湧, 李千目, 汪欢, 侍球干, 刘振, 侯君, 丁玲玲, 陈俊, 高双双, 李文娟, 刘敏 申请人:南京理工大学常熟研究院有限公司