[发明专利]一种基于微分流形的网络安全风险评估的方法

说明书

本发明公开了一种基于微分流形的网络安全风险评估的方法。使用本发明能够客观、全面地对网络安全风险进行评估。本发明首先根据各设备自身的指标对其安全性进行度量，较为客观，且指标选取涉及网络的可靠性、可用性和连通性，覆盖范围全面，指标的值可由采集工具自动采集并量化，数据采集方便、并避免了指标量化困难的问题。然后，利用网络系统的拓扑不变性和指标之间的特征关系将网络拓扑图映射为高维的微分流形，以微分流形的光滑映射函数作为相邻节点的距离，对网络系统风险特征的刻画更为细致，且能够对网络系统的动态变化进行刻画，从而实时地动态地监控网络系统的安全性。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于微分流形的网络安全风险评估的方法。

背景技术

在网络安全风险评估的研究方法中，有很多方法可以用来对网络系统安全进行构建、度量、评估，其中使用最广泛和最有实际意义的有基于层次的网络安全评估方法和划分维度、粒度、层次的网络安全评估方法，以及基于图的安全评估方法。

基于层次的评估方法，如：刘东等提出的专利“层次式网络的安全态势聚合方法”，公开号：CN201110377711；蔡志强等提出的专利“一种基于层次分析法的信息安全贝叶斯网络评估方法”，公开号CN201410267853，其的优点是将网络安全按照语义划分不同的层次，相同层次之间形成一个对网络系统的完整性描述，而层与层之间存在交叉映射的关系，最后构建成一个多层的树结构评估模型。树的根节点就是网络系统安全风险评估目标，而树的叶节点就是评估安全的各种指标，层次分析可以表达网络系统内部的逻辑关系，并且计算比较简单，是一种广泛使用的风险评估方法。但是，层次分析也存在着缺点：其内部层次的划分需要依靠专家的先验知识，并且每个指标自身的选取和权重的确立也需要专家意见，主观性太强。

基于网络维度、粒度、层次的网络空间构建方法，如张小松等提出的专利“一种基于攻击图邻接矩阵的网络安全评估装置”，公开号CN201310329096，其优点是将网络采集的指标通过不同的维度、粒度和层次进行划分，对网络系统进行全面的评估。其将网络系统划分成小的部分，将网络安全落实到细微的指标点处。但是，基于维度、粒度、层次划分的评估方法也存在缺点：因为考虑的维度、粒度、层次等问题，指标采集更细微，从而导致计算更复杂。此外，对于维度、粒度和层次的划分没有一个相同的划分标准，选取的维度、层次、粒度存在不能合适地评估安全的现象。

基于图的网络安全评估方法的优点是考虑网络中设备和设备之间的拓扑关系，并通过图的方式展示出来，通过选取的节点不同，可以构建状态图、网络攻击图、属性图，以及贝叶斯属性攻击图等。通过图中节点和边之间的关系，评估整个系统的安全。但是，基于图的网络安全评估方法也存在缺陷：如在攻击图中，会存在路径爆炸的问题，从而导致计算量过大的问题，而基于概率图，贝叶斯属性图等存在主观性强、计算量大的问题。

综上，现有的网络安全评估的方法存在三个问题，一是主观性比较强，包括层次的划分、维度的确定、粒度的选择，以及指标和权重的确定，都缺乏客观性；二是覆盖问题不够全面，不能从整体上对于整个网络系统进行评估；三是，指标量化困难，指标项较多，无法有效并明确地评估网络安全。网络安全评估的全面性和客观性非常重要，如果网络风险评估缺乏全面性，将导致只评估了网络系统的部分，从而导致评估结果不正确。而缺乏客观性将导致评估的重复性差，得到的结果不客观，不能和其他的评估方法进行比较来验证方法的正确性。由此，上述的三个问题导致现有评估方法并不能对网络安全进行有效的评估，计算结果不准确，可比较性和重复性较差。

发明内容

有鉴于此，本发明提供了一种基于微分流形的网络安全风险评估的方法，能够客观、全面地对网络安全风险进行评估。

本发明的基于微分流形的网络安全风险评估的方法，包括如下步骤：