[发明专利]基于漏洞一致率的网络空间拟态防御安全性建模量化方法

说明书

本发明提供一种基于漏洞一致率的网络空间拟态防御安全性建模量化方法。该方法包括：步骤1：确定影响DHR系统安全性的防御参数信息；步骤2：确定影响攻击者能力的攻击参数信息；步骤3：建立关于所述防御参数信息和所述攻击参数信息的DHR系统模型；步骤4：推导关于所述防御参数信息和所述攻击参数信息的DHR系统安全性度量指标，所述度量指标包括：一次攻击的系统攻击成功率和攻击任务的系统攻击成功率；步骤5：根据所述DHR系统模型、一次攻击的系统攻击成功率和攻击任务的系统攻击成功率，计算DHR系统针对特定漏洞的系统攻击成功率和DHR系统针对漏洞组合的系统攻击成功率。针对DHR系统建立了数学模型，以输出一致率、系统攻击成功率等指标表征系统的安全性，通过对模型的求解分析了DHR系统的安全性和抗攻击能力。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于漏洞一致率的网络空间拟态防御的安全性建模量化方法。

背景技术

漏洞和后门问题是网络攻击中最严重的问题之一。漏洞通常是指，在硬件、软件或协议等的具体实现或系统安全策略上存在的缺陷，从而使攻击者有可能在未经授权下访问或破坏系统。软硬件后门通常是指留在软硬件系统中的恶意代码，旨在为特殊使用者通过特殊方式绕过安全控制环节而获得系统访问权提供方法与途径。由于利用漏洞和后门进行的网络攻击，其攻击门槛很低，网络防御成本却很高，因而严重威胁着网络空间的安全。网络空间现有的防御体制和机制，对未知漏洞和后门可能带来的未知风险更是缺乏有效的主动防御手段，因而难以应对基于无法彻底避免的未知漏洞以及难以完全杜绝的后门实施的网络攻击。

拟态防御思想旨在为解决网络空间不同领域相关应用层次上的基于未知漏洞、后门或病毒木马等不确定性威胁，提供具有普适性的创新防御理论和方法。概括来说，拟态防御的基本内涵为凡是利用动态异构冗余构造、输入输出代理和策略调度、分片化、碎片化、随机化动态化、多维动态重构、迭代与叠加等拟态防御机增强系统的动态性、随机性和多样性，隐匿或伪装目标对象功能(包括漏洞和后门之类的暗功能)与其实现结构(载体)映射关系，屏蔽或掩饰外部注入(侦察或攻击)以及内部错误导致的运行异常，破坏攻击链的稳定性或有效利用度，实现在“有毒带菌”异构体上搭建安全可控信息系统的方法和技术，都称其具有“拟态防御”的基本内涵。

为测试搭建的拟态防御系统的安全性，需要一种安全性分析方法对搭建的拟态防御系统的安全性进行量化，以便对搭建的拟态防御系统的后续改进提供参考。“动态异构冗余系统的安全性分析[J].计算机工程，2018，44(10):42-45,50”提供了一种安全性分析方法，在该分析方法中，只对一次攻击成功的概率进行了分析，而没有对攻击任务的攻击成功率进行分析求解，即一个攻击任务可能需要在多个动态变换周期中才能完成，此时的系统攻击成功率如何没有分析。

发明内容

为测试搭建的拟态防御系统的安全性，本发明提供一种基于漏洞一致率的网络空间拟态防御安全性建模量化方法，针对DHR系统建立了数学模型，以漏洞输出一致率、系统攻击成功率等指标表征系统的安全性，通过对模型的求解分析了DHR系统的安全性和抗攻击能力。

本发明提供一种基于漏洞一致率的网络空间拟态防御安全性建模量化方法，该方法包括：

步骤1：确定影响DHR系统安全性的防御参数信息；

步骤2：确定影响攻击者能力的攻击参数信息；

步骤3：建立关于所述防御参数信息和所述攻击参数信息的DHR系统模型；

步骤4：推导关于所述防御参数信息和所述攻击参数信息的DHR系统安全性度量指标，所述度量指标包括：一次攻击的系统攻击成功率和攻击任务的系统攻击成功率；

步骤5：根据所述DHR系统模型、一次攻击的系统攻击成功率和攻击任务的系统攻击成功率，计算DHR系统针对特定漏洞的系统攻击成功率和DHR系统针对漏洞组合的系统攻击成功率。