[发明专利]基于攻击图的网络安全态势的量化评估方法

摘要

本发明涉及一种基于攻击图的网络安全态势的量化评估方法，属于信息安全技术领域。具体为：步骤一、生成攻击图。步骤二、评估攻击图G中节点的重要度。步骤三、在步骤一操作的基础上，计算攻击图G中节点被渗透成功的最大概率。步骤四、得到网络安全态势评估值。本发明提出的方法与已有技术相比较，具有以下优点：①基于攻击图的评估方法能够反映出攻击者利用网络中的漏洞进行多步攻击的意图。②评估方法中使用的数据易于采集，具有可操作性。③评估过程中可以得到网络中各节点的防护情况，反映网络中各节点的防护情况。④评估方法综合考虑了网络的拓扑信息、漏洞关联信息和攻击者的攻击意图，评估结果精度高。

主权项

1.一种基于攻击图的网络安全态势的量化评估方法，其特征在于：具体操作为：步骤一、生成攻击图；具体为：步骤1.1：通过扫描工具获取网络中的漏洞CVE名称，在CVE兼容的数据库中查找漏洞信息，形成漏洞信息列表，用符号VulExploitList表示；然后，针对漏洞信息列表VulExploitList中的每一个漏洞，在CVE兼容的数据库中寻找攻击者能够采用的攻击动作，形成漏洞攻击动作列表，用符号VulExploitDB表示；所述漏洞信息列表VulExploitList包括：漏洞名称、漏洞分类、通用漏洞评分系统CVSS分值、攻击复杂度值、受影响的平台与产品以及受影响的程序版本；步骤1.2：定义攻击图为G，G＝(C₀∪C_d,T,E)，其中，C₀表示初始节点集合，C_d表示中间节点集合，T表示目标节点集合，E表示连接节点之间的有向弧集合；C₀初始化为攻击者可直接利用的漏洞主机节点，步骤1.3：依次对漏洞攻击动作列表VulExploitDB中的每一条数据，查找网络中存在的漏洞以及与该漏洞对应的攻击动作，将所述攻击动作涉及的节点添加到中间节点集合C_d和目标节点集合T中，将节点间的有向弧添加到有相弧集合E中，完成攻击图G；步骤二、评估攻击图G中节点的重要度；在步骤一操作的基础上，通过节点的网页等级PageRank评分以及中介中心性评分评估节点的重要度；具体为：步骤2.1：用符号N表示攻击图G中的节点个数；用符号T表示迭代次数，T为人为设定值，T≥50；用变量t表示当前的迭代次数，t∈[1,T]；用符号PR(p_i,t)表示第t次迭代中第i个节点p_i的PageRank评分，i∈[1,N]；当t＝1时，令步骤2.2：按照公式(1)进行迭代，当公式(2)满足条件时，停止迭代，得到各个节点的PageRank评分；其中，PR(p_i,t+1)表示第t+1次迭代中第i个节点p_i的PageRank评分；d表示阻尼系数，d＝0.85；p_j表示第j个节点，j∈[1,N]；M(p_i)表示指向节点p_i的节点的个数，L(p_i)表示节点p_i指向其他节点的个数；PR(p_j,t)表示第t次迭代中第j个节点p_j的PageRank评分；|PR(p_i，t+1)‑PR(p_i，t)|<ε                                       (2)其中，ε表示收敛值，ε为人为设定值，ε≤0.1；步骤2.3：通过公式(3)对PageRank评分进行标准化处理；其中，PR(p_i)表示第i个节点p_i的PageRank评分；min(PR)表示所有节点中PageRank评分的最小值，max(PR)表示所有节点中PageRank评分的最大值；步骤2.4：用符号g(i)来表示节点i的中介中心性，根据公式(4)来计算所有节点的中介中心性；其中，s,t,i∈[1,N]；σ_st代表所有从节点s到节点t的最短路径的条数，而σ_st(i)代表所有经过节点i的从节点s到节点t的最短路径的条数；步骤2.5：通过公式(5)对中介中心性进行标准化处理；其中，符号min(g)表示所有节点中介中心性评分的最小值，符号max(g)表示所有节点中介中心性评分的最大值；步骤2.6：综合考虑节点的PageRank评分和中介中心性评分，对其两项评分值取平均加权得到节点的重要度评估值；步骤三、在步骤一操作的基础上，计算攻击图G中节点被渗透成功的最大概率；攻击者在攻击到中间节点时，选择最容易渗透的路径时节点被渗透成功的概率最大，那么中间节点被渗透成功的最大概率用公式(6)计算；当攻击者攻击目标节点时，其父节点之间存在“与”的关系，所有父节点的条件必须同时满足，因此目标节点被渗透成功的最大概率用公式(7)计算；p(t)＝d(t)*Max{p(e)|e∈Pre(t)}                                     (6)其中，t、e是攻击图G中的节点；p(t)表示攻击图G中节点t被渗透成功的最大概率；d(t)表示攻击图G中节点t自身被渗透成功的概率；p(e)表示攻击图G中节点e被渗透成功的最大概率；Pre(t)表示攻击图G中节点t的父节点的集合；步骤3.1：给临时变量flag(i)、p(i)和n(i)赋初值为0；其中，flag(i)为节点i的计算完成标识；p(i)为节点i的被渗透成功的最大概率；n(i)为节点i的父节点计算完成的数量；步骤3.2：给变量d(i)赋初值；d(i)为节点i自身被渗透成功的概率；如果节点i不涉及对漏洞的渗透而是代表攻击者的网络操作行为，将节点i被渗透成功的概率d(i)赋初值为1；否则，将节点i被渗透成功的概率d(i)赋初值为漏洞信息列表VulExploitList中的攻击复杂度值对应的数值；步骤3.3：对攻击图G＝(C₀∪C_d,T,E)中的节点t，若flag(t)＝0成立，则获取父节点集合Pre(t)和子节点集合，用符号Post(t)表示，计算父节点集合Pre(t)中节点的数量，用符号Count(t)表示；遍历节点t的子节点集合Post(t)；用符号m表示节点t的子节点，即m∈Post(t)；用符号n(m)表示节点m的父节点计算完成的数量；用符号Count(m)表示父节点集合Pre(m)中节点的数量；用符号Pre(m)表示攻击图G中节点m的父节点的集合；flag(m)表示节点m的计算完成标识；情况1：如果节点m是中间节点，即m∈C_d，首先使变量n(m)的值自增1；如果p(m)<p(t)，则按照公式(8)更新节点m的被渗透成功的最大概率；p(m)＝p(t)                                                    (8)其中，p(m)表示节点m的被渗透成功的最大概率；p(t)表示节点t的被渗透成功的最大概率；如果n(m)＝Count(m)，表示节点m的父节点已经全部计算完成，则按照公式(9)更新节点m的被渗透成功的最大概率p(m)；此时，节点m的被渗透成功的最大概率p(m)计算完毕，将计算完成标识flag(m)的值更新为1；p(m)＝p(m)*d(m)                                              (9)其中，d(m)表示节点m自身被渗透成功的概率；如果0<n(m)<Count(m)，表示节点m的父节点中存在被渗透成功的最大概率未计算完毕的节点，则跳转到步骤3.4，执行步骤3.4的操作；情况2：如果节点m是目标节点，即m∈T，首先使变量n(m)的值自增1；然后，通过公式(10)更新节点m的被渗透成功的最大概率；p(m)＝p(m)*p(t)                                             (10)如果n(m)＝Count(m)，表示节点m的父节点已经全部计算完成，按照公式(11)更新节点m的被渗透成功的最大概率p(m)；此时，节点m的被渗透成功的最大概率p(m)计算完毕，将计算完成标识flag(m)的值更新为1；p(m)＝p(m)*d(m)                                             (11)如果0<n(m)<Count(m)，表示节点m的父节点中存在被渗透成功的最大概率未计算完毕的节点，则跳转到步骤3.4，执行步骤3.4的操作；步骤3.4：用符号a表示节点m的父节点，即a∈Pre(m)；flag(a)表示节点a的计算完成标识；p(a)表示节点a的被渗透成功的最大概率；情况1：如果节点m是中间节点即m∈C_d，考虑到有多条攻击序列的情况，因此需要遍历节点m的父节点，将其父节点的最大被渗透概率全部计算完毕；若flag(a)＝0成立，则对节点a执行步骤3.4；当节点m的父节点全部计算完成时，用公式(12)更新m节点的被渗透成功的最大概率，然后将节点m的计算完成标识置为1；p(m)＝d(m)*Max(p(a))                                        (12)情况2：如果节点m是目标节点，即m∈T，需要遍历节点m的父节点，将父节点的被渗透成功的最大概率全部计算完毕；若flag(a)＝0成立，则对节点a执行步骤3.4；当节点m的父节点全部计算完成时，用公式(13)更新m节点的被渗透成功的最大概率，然后将节点m的计算完成标识置为1；步骤3.5：当所有节点的计算完成表示都等于1，则结束操作，得出所有节点的被渗透成功的最大概率；步骤四、得到网络安全态势评估值；根据步骤二得到的攻击图G中各节点的重要度评估值以及步骤三得到的攻击图G中各节点的被渗透成功的最大概率，通过公式(14)计算得出攻击图G的网络安全态势评估值，用符号V表示；其中N表示攻击图G中节点的个数；m_i、p_i分别表示第i个节点的重要度评估值和被渗透成功的最大概率。