一种网络安全态势评估方法
【专利摘要】本发明提供一种网络安全态势评估方法,包括:根据采集的脆弱性信息、网络攻击信息、攻击证据生成脆弱性列表、原子攻击列表、攻击证据列表;建立贝叶斯网络;获取原子攻击后验概率;检测贝叶斯网络中原子攻击与攻击证据之间的因果关系是否真实;建立网络攻击系统架构,生成贝叶斯攻击图;获取原子攻击节点攻击概率;获取脆弱性威胁度,并将其分为Root权限级、User权限级、None权限级三个层次;根据脆弱性威胁度的三个层次及与该三个层次对应的预警值,显示网络安全态势整体评估结果,当脆弱性威胁度超过三个级别对应的预警值时报警。本发明具有模型简单、评估结果准确、应用范围较广等特点,可广泛应用于网络安全领域。
【专利说明】一种网络安全态势评估方法
【技术领域】
[0001] 本发明涉及评估技术,特别是涉及一种网络安全态势评估方法。
【背景技术】
[0002] 随着科技发展,网络安全问题早已成为人们关注的焦点。近年来,网络攻击事件数 量持续增长,各科研单位研究各种安全技术措施,评估网络安全态势,并防范甚至解决网络 攻击问题。在网络安全态势评估技术中,脆弱性利用威胁评估技术一直是安全态势评估领 域的一个关键技术。
[0003] 脆弱性利用威胁评估方法包括脆弱性严重程度评估法、全局安全态势评估法两 类。脆弱性严重程度评估法主要根据脆弱性易被利用的特性评估各脆弱性严重程度,其评 价结果的准确性较低。全局安全态势评估法首先基于攻击图或贝叶斯网络建立脆弱性评估 模型,然后根据系统中所有脆弱性的状态来评估系统整体安全状态,并基于经验或者脆弱 性评估系统(CVSS,Common Vulnerability Scoring System)获取各脆弱性被成功利用的 概率;但现有的全局安全态势评估方法的脆弱性评估模型比较复杂,且评估结果的准确性 较低。
[0004] 由此可见,在现有技术中,网络安全态势评估方法存在评估结果准确性较低等问 题。
【发明内容】
[0005] 有鉴于此,本发明的主要目的在于提供一种关于全局的模型比较简单、评估结果 准确性较高、应用范围较广的网络安全态势评估方法。
[0006] 为了达到上述目的,本发明提出的技术方案为:
[0007] -种网络安全态势评估方法,包括如下步骤:
[0008] 步骤1、对脆弱性扫描工具或入侵检测系统采集的相对应的脆弱性信息、网络攻击 信息、攻击证据进行统一编号后,分别生成脆弱性列表、原子攻击列表、攻击证据列表。
[0009] 步骤2、将相对应的原子攻击、攻击证据作为节点,以相对应的原子攻击与攻击证 据之间的因果关系为有向弧,建立贝叶斯网络。
[0010] 步骤3、根据相对应的原子攻击与攻击证据中的基本操作数获取原子攻击后验概 率
【权利要求】
1. 一种网络安全态势评估方法,其特征在于,所述评估方法包括如下步骤: 步骤1、对脆弱性扫描工具或入侵检测系统采集的相对应的脆弱性信息、网络攻击信 息、攻击证据进行统一编号后,分别生成脆弱性列表、原子攻击列表、攻击证据列表; 步骤2、将相对应的原子攻击、攻击证据作为节点,以相对应的原子攻击与攻击证据之 间的因果关系为有向弧,建立贝叶斯网络; 步骤3、根据相对应的原子攻击与攻击证据中的基本操作数获取原子攻击后验概率
;其中,aj为第j个原子攻击,O1为与原子攻击a』对应的攻击证 据,ks为原子攻击的基本操作数,Ii1为攻击证据O1的基本操作数,j、Uk s^n1为自然数; 步骤4、根据原子攻击后验概率,检测贝叶斯网络中原子攻击与攻击证据之间的因果关 系是否真实:与攻击证据可能存在因果关系的各原子攻击中,原子攻击后验概率最大的原 子攻击对应的因果关系为真实的; 步骤5、根据步骤4的检测结果、脆弱性列表、原子攻击列表、攻击证据列表,将原子攻 击对应的脆弱点作为节点加入贝叶斯网络中,建立网络攻击系统架构; 步骤6、根据网络攻击系统架构,生成贝叶斯攻击图BAG = (T,W,TI,E,C);其中,T为 确定的贝叶斯网络中原子攻击、攻击证据、脆弱点三类节点的集合,W为原子攻击权集合,Π 为概率集合,E为依赖关系集合,C为约束条件集合; 步骤7、根据贝叶斯攻击图,获取原子攻击节点攻击概率:
其中,原子攻击节点.为原子攻击节点的父节点;p(afp为父节点.攻击概率; S(ap为原子攻击节点自身概率;S(Vi)为脆弱性节点自身概率; 步骤8、获取脆弱性威胁度
并根据目的主机各级权限攻 击比率,将脆弱性威胁度对应分为Root权限级、User权限级、None权限级三个层次; 步骤9、根据脆弱性威胁度的三个层次及与该三个层次对应的预警值,显示网络安全态 势整体评估结果为:网络安全态势属于Root权限级威胁、网络安全态势属于User权限级威 胁或者网络安全态势属于None权限级威胁,以及网络安全态势分别在三个层次中所处的 严重程度;当脆弱性威胁度超过三个级别对应的预警值时报警。
2. 根据权利要求1所述的网络安全态势评估方法,其特征在于,所述步骤2具体包括: 步骤21、设置I = 1 ; 步骤22、从攻击证据列表中选取攻击证据〇1,并分析攻击证据〇1所包含的所有基本操 作; 步骤23、遍历原子攻击列表,分析各原子攻击的所有基本操作;如果原子攻击%的部 分或全部基本操作与攻击证据O1所包含的部分或全部基本操作相同,则原子攻击%与攻击 证据O1相对应,将攻击证据O1及其对应的原子攻击作为节点加入贝叶斯网络,并以原子 攻击h与攻击证据O 1之间的因果关系为有向弧; 步骤24、设置1 = 1+1 ;判断I > U是否成立:若成立,则贝叶斯网络建立完成;若不成 立,则返回步骤22 ;其中,u为攻击证据总数。
3. 根据权利要求1所述的网络安全态势评估方法,其特征在于,所述步骤4具体包括: 步骤41、设置I = 1 ; 步骤42、获取所有与攻击证据〇1存在因果关系的原子攻击aj的后验概率
步骤43、设置j = j+Ι ;判断j > m是否成立:若成立,则执行步骤44 ;若不成立,则返 回步骤42 ; 步骤44、取Xlx = HiaxI^11, λ12,…,λχ』,…,Xlj,…,λ1ηι},将最大后验概率λ 1χ 对应的原子攻击ax与攻击证据〇1之间的因果关系作为真实的因果关系,并删除其他(m-1) 个后验概率对应的原子攻击与攻击证据O 1之间的因果关系;其中,m为与攻击证据O1存在 因果关系的原子攻击总数。
4. 根据权利要求1所述的网络安全态势评估方法,其特征在于,所述原子攻击节点自 身概率s (ap取值如下:
所述脆弱性节点自身概率S(Vi) = 1。
5. 根据权利要求1所述的网络安全态势评估方法,其特征在于,步骤8中,所述根据目 的主机各级权限攻击比率,将脆弱性威胁度对应分为Root权限级、User权限级、None权限 级三个层次,具体包括如下步骤: 步骤81、获取目的主机Root权限攻击比率qK = (T (Root) +T (User) +T (None)) /N、目 的主机User权限攻击比率qu = (T(User) +T(None))/N、目的主机None权限攻击比率qN =T(None)/N;其中,T(Root)表示攻击者为获取目的主机Root权限而实施的原子攻击 次数,T(User)表示攻击者为获取目的主机User权限而实施的原子攻击次数,T(None) 表示攻击者为获取目的主机None权限而实施的原子攻击次数;N为原子攻击总数,且 N^T (Root) +T (User) +T (None); 步骤82、当qN彡pmax < qu时,脆弱性威胁度pmax属于None权限级;当qu彡pmax < qK时, 脆弱性威胁度Pmax属于User权限级;当qK < pmax < 1时,脆弱性威胁度pmax属于Root权限 级。
6. 根据权利要求1所述的网络安全态势评估方法,其特征在于,所述步骤9具体包括如 下步骤: 步骤91、设定None权限级预警值为J^User权限级预警值为J2、Root权限级级预警值 为 J3,而且,% € Ji € Qu、Qu € J2 $ Qr、Qr $ J3 $ 1 ; 步骤92、当脆弱性威胁度qN彡pmax < qu且pmax > J1时,表示网络安全态势为攻击即将 突破None权限级而到达User权限级;当脆弱性威胁度qu < pmax < qK且pmax彡J2时,表示 网络安全态势为攻击即将突破User权限级而到达Root权限级;当脆弱性威胁度qK < pmax < 1且口_ > J3时,表示网络安全态势为即将完全崩溃; 步骤93、当Pniax彡1、ρ_彡J2或p_彡J3,进行报警。
7.根据权利要求1所述的网络安全态势评估方法,其特征在于,所述步骤1中,所述脆 弱性信息包括源主机IP、目的主机IP、源主机端口、源主机开放端口、目的主机端口、目的 主机开放端口、协议、源主机服务访问权限、目的主机访问权限或系统存在的脆弱性; 所述网络攻击信息包括源主机IP、目的主机IP、目的主机端口、目的主机开放端口、协 议、目的主机访问权限、网络攻击类型或网络攻击针对的系统脆弱性; 所述攻击证据包括网络攻击的类型、网络攻击的时间或网络攻击获得的访问权限。
【文档编号】H04L12/24GK104394015SQ201410668554
【公开日】2015年3月4日 申请日期:2014年11月13日 优先权日:2014年11月13日
【发明者】王辉, 芦碧波, 申自浩, 雒芬, 王云峰, 张长森 申请人:河南理工大学