CN106941502A - 一种内部网络的安全度量方法和装置 - Google Patents
一种内部网络的安全度量方法和装置 Download PDFInfo
- Publication number
- CN106941502A CN106941502A CN201710301082.7A CN201710301082A CN106941502A CN 106941502 A CN106941502 A CN 106941502A CN 201710301082 A CN201710301082 A CN 201710301082A CN 106941502 A CN106941502 A CN 106941502A
- Authority
- CN
- China
- Prior art keywords
- attack
- probability
- node
- internal network
- graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种内部网络的安全度量方法和装置。所述方法包括:对于目标内部网络,生成从初始节点到目标节点的原始攻击图;根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图;对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;在所述概率攻击图中计算目标节点的累积可达概率值,并将该概率值作为目标内部网络的安全度量参数输出。本发明的技术方案能够对内部网络进行定量的安全度量评估。
Description
技术领域
本发明涉及网络安全度量领域,特别涉及一种内部网络的安全度量方法和装置。
背景技术
近年来,随着攻击技术的提升,攻击事件越来越复杂,其对***的损害程度也随之增加。安全度量作为一种主动防御技术,可以在攻击未完成之前根据监测报警***,主动分析和评估攻击事件的危害程度和***当前的安全风险系数,从而使***管理员可以根据评估结果及时采取相应的防御措施。为了保护网络信息***中的机密数据,需要对当前网络信息***的安全性进行度量。
攻击图模型是应用最为广泛的网络安全度量模型之一。当前国内外专家对于攻击图模型的研究主要集中于如何有效地自动生成攻击图以及如何控制攻击图的规模,而针对如何有效利用攻击图进行内部网络信息***的安全度量的研究较少。本发明提供了一种内部网络的安全度量方法和装置。
发明内容
鉴于现有技术主要集中于如何有效地自动生成攻击图以及如何控制攻击图的规模,本发明提供了一种内部网络的安全度量方法和装置。
为了实现上述目的,依据本发明的一个方面,提供了一种内部网络的安全度量方法,其特征在于,所述方法包括:
对于目标内部网络,生成从初始节点到目标节点的原始攻击图;
根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图;
对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;
在所述概率攻击图中计算目标节点的累积可达概率值,并将该概率值作为目标内部网络的安全度量参数输出。
进一步地,所述对于目标内部网络,生成从初始节点到目标节点的原始攻击图包括:
对目标内部网络进行漏洞扫描,得到目标内部网络中所有主机的漏洞信息以及目标内部网络的拓扑结构信息,将监测到的目标内部网络中的第一个攻击证据节点作为初始节点,将目标网络中的核心资源节点作为目标节点,利用攻击图生成算法生成从初始节点到目标节点的原始攻击图。
进一步地,所述根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图包括:
对于原始攻击图中的每一条攻击路径,得到其攻击动作触发的攻击证据时序差分关系,并与根据监测目标内部网络获得的攻击证据的时序差分关系进行对比,如果匹配则保留该路径,否则删除该路径。
进一步地,所述对简化后的攻击图进行键值对划分包括:在简化后的攻击图中,对于每条攻击路径从初始节点开始进行键值对划分,直到目标节点;其中,每个键值对包括:第一资源状态节点、攻击动作节点和第二资源状态节点;
所述对键值对进行概率计算包括:计算攻击动作的发生概率以及计算攻击动作的成功概率。
进一步地,在所述概率攻击图中计算目标节点的累积可达概率包括:
在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;
如此依次计算,得到目标节点的累积可达概率。
依据本发明的另一方面,提供了一种内部网络的安全度量装置,其特征在于,所述装置包括:
原始攻击图生成单元,用于对于目标内部网络,生成从初始节点到目标节点的原始攻击图;
攻击图简化单元,用于根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图;
概率攻击图生成单元,对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;
安全度量参数计算单元,用于在所述概率攻击图中计算目标节点的累积可达概率,并作为目标内部网络的安全度量参数输出。
进一步地,所述原始攻击图生成单元,用于对目标内部网络进行漏洞扫描,得到目标内部网络中所有主机的漏洞信息以及目标内部网络的拓扑结构信息,将监测到的目标内部网络中的第一个攻击证据节点作为初始节点,将目标网络中的核心资源节点作为目标节点,利用攻击图生成算法生成从初始节点到目标节点的原始攻击图。
进一步地,攻击图简化单元,用于对于原始攻击图中的每一条攻击路径,得到其攻击动作触发的攻击证据时序差分关系,并与根据监测目标内部网络获得的攻击证据的时序差分关系进行对比,如果匹配则保留该路径,否则删除该路径。
进一步地,所述概率攻击图生成单元,用于在简化后的攻击图中,对于每条攻击路径从初始节点开始进行键值对划分,直到目标节点;其中,每个键值对包括:第一资源状态节点、攻击动作节点和第二资源状态节点;以及用户计算每个键值对的概率,具体计算攻击动作的发生概率以及计算攻击动作的成功概率。
进一步地,所述安全度量参数计算单元,用于在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;如此依次计算,得到目标节点的累积可达概率。
本发明的有益效果是:根据本发明提供的内部网络安全度量方法和装置,可以对于目标内部网络,生成从初始节点到目标节点的原始攻击图;根据监测目标内部网络获得的攻击证据的时序差分关系,对所述生成单元生成的原始攻击图进行剪枝处理,获得简化后的攻击图;再对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;键值对的划分可以综合考虑节点之间安全度量的关联关系,在具体的概率计算上综合CVSS评分***对脆弱点度量指标的评估,也使得概率计算公式有相应的理论支撑。最后在所述概率攻击图中计算目标节点的累积可达概率值,并将该概率值作为目标内部网络的安全度量参数输出,从而对内部网络进行定量的安全度量评估。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
图1为本发明实施例提供的一种内部网络的安全度量方法的流程图。
图2为本发明实施例提供的一种内部网络的安全度量方法中生成的原始攻击图的示意图。
图3-a为本发明实施例提供的一种内部网络的安全度量方法中剪枝处理原始攻击图的示意图。
图3-b为本发明实施例中对图3-a剪枝处理后的简化的攻击图示意图。
图4为本发明实施例提供的一种内部网络的安全度量方法中计算键值对概率后的概率攻击图示意图。
图5为本发明实施例提供的一种内部网络的安全度量方法中计算累积可达概率的示意图。
图6为本发明实施例提供的一种内部网络的安全度量装置的结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
图1为本发明实施例提供的一种内部网络的安全度量方法的流程图。参见图1,该方法包括:
步骤S110,对于目标内部网络,生成从初始节点到目标节点的原始攻击图。
在本步骤中,利用如漏洞自动扫描工具对目标内部网络进行漏洞扫描,得到目标内部网络中所有主机的漏洞信息以及目标内部网络的拓扑结构信息;并且确定初始节点和目标节点,如将监测到的目标内部网络中的第一个攻击证据节点作为初始节点,将目标网络中的核心资源节点作为目标节点;利用攻击图生成算法生成从初始节点到目标节点的原始攻击图
步骤S120,根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图。
在此实施例中,对于原始攻击图中的每一条攻击路径,得到其攻击动作触发的攻击证据时序差分关系,并与根据监测目标内部网络获得的攻击证据的时序差分关系进行对比,如果匹配则保留该路径,否则删除该路径。
步骤S130,对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图。
其中,对简化后的攻击图进行键值对划分包括:在简化后的攻击图中,对于每条攻击路径从初始节点开始进行键值对划分,直到目标节点;其中,每个键值对包括:第一资源状态节点、攻击动作节点和第二资源状态节点;
对键值对进行概率计算包括:计算攻击动作的发生概率以及计算攻击动作的成功概率。
步骤S140,在所述概率攻击图中计算目标节点的累积可达概率值,并将该概率值作为目标内部网络的安全度量参数输出。
具体地,在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;如此依次计算,得到目标节点的累积可达概率。
图2为本发明实施例提供的一种内部网络的安全度量方法中生成的原始攻击图的示意图。
在此实施例中,我们提供了一个生成的原始攻击图。其中,S表示资源状态节点,A表示攻击动作节点。各个节点之间用有向边来表示它们之间的关联关系。
在图2中,S0表示初始节点,Se表示目标节点。在初始状态节点S0,攻击者拥有一定的资源权限,要想成功获取目标节点Se的资源权限有两条路径可以选择,如A7到Se或A8到Se。
在此实施例中,首先说明第一条路径中各类节点之间的关系。攻击者通过发起攻击动作A1并成功后获取了资源状态节点S1的资源权限,在此基础上通过发起攻击动作A4并成功后获取下一个资源状态节点S5的资源权限。在成功获取资源状态节点S5的资源权限后,要想发起攻击动作A7,需要同时取得两个资源状态节点S4、S5的资源权限,即指向同一攻击动作节点A7的资源状态节点S4和S5是“与”关系。如果攻击动作A7发起并成功即可获取目标节点Se的资源权限。
在第二条攻击路径中,要发起攻击动作A5,需要获取S2、S3中任一资源状态节点,即向同一动作A5的两个资源状态节点S2和S3是“或”关系。要成功获取下一状态资源节点S6的资源权限,需要同时发动攻击动作A5、A6,即指向同一资源状态节点S6的攻击动作A5和A6是“与”关系。在成功获取S6资源状态节点资源权限后,发起攻击动作A8并成功,即可成功攻击目标节点,即对于指向目标节点Se的两条攻击动作A7和A8是“或”关系,即发起任一攻击动作并成功后都可以获取目标节点的资源权限。
参见图3-a,为本发明实施例提供的一种内部网络的安全度量方法中剪枝处理方法的示意图。
在此实施例中,我们提供了一个对原始攻击图进行剪枝处理的示意图。其中,S表示资源状态节点,A表示攻击动作节点,O表示监测事件节点。各个节点之间用有向边来表示它们之间的关联关系。
在图3中,S0表示初始节点,Se表示目标节点。在初始状态节点S0,攻击者拥有一定的资源权限,要想成功获取目标节点Se的资源权限有两条路径可以选择,如A5到Se或A6到Se。
在此实施例中,首先我们可以分析出从初始状态节点S0到最终目标节点Se有两条攻击路径:
第一条路径:S0→A1→S1→A3→S3→A5→Se
第二条路径:S0→A2→S2→A4→S4→A6→Se
在所有路径中涉及6个具体的基本攻击动作,可以将其分成三种类型,如令其中A1、A4为同一类型,A2、A3为同一类型、A5和A6为同一类型,同一类型的攻击动作会被同一监测事件检测到,即攻击动作A1和A4任一动作都将触发监测事件O1。当我们发现监测事件O1、O2、O3报警时,此时我们可以判断***中可能存在攻击行为。
如果我们不对监测事件进行时序差分关系考虑,通过初步的分析我们可以得到两条攻击路径,攻击在两条路径都有可能存在;如果我们此时考虑监测事件的时序差分关系,我们可以根据报警日志对O1,O2,O3进行时间顺序定位,得到O1和O2、O3的时间先后顺序。
例如我们提取报警日志中的时间节点,发现攻击证据的时序差分关系为O1→O2→O3,那么我们此时就可以排除第二条攻击路径,因为在第二条路径中第一次的攻击动作A2将触发监测事件O2,那么不符合***提供的监测事件节点的时序差分关系,所以我们可以排除第二条攻击路径。
如果发现攻击证据的时序差分关系为O2→O1→O3,同理我们也可以排除第一条路径,如图3-b所示。图3-b为本发明实施例中对图3-a剪枝处理后的简化的攻击图示意图,是按照攻击证据的时序差分关系为O2→O1→O3,对图3-a进行剪枝后的简化图。在内部网络信息***中,大部分的攻击路径都包含许多相同类型的基本攻击动作,而这些同类型的攻击动作将触发同一监测事件,如果我们对这些监测事件发生的时间点进行分析,我们便可以排除不可能路径。这样简化了攻击图结构,同时也避免了后期基于所述概率攻击图安全度量模型的大量计算,提高了模型度量的效率。
图4为本发明实施例提供的一种内部网络的安全度量方法中键值对概率计算后的概率攻击图示意图。
参见图4,在此实施例中,我们提供了一个按照攻击证据的时序差分关系为O2→O1→O3,对图3-a进行剪枝后的简化攻击图,即同图3-b。其中,S表示资源状态节点,A表示攻击动作节点。各个节点之间用有向边来表示它们之间的关联关系。
首先,我们将简化的攻击图的节点划分为键值对。攻击图的路径由资源状态节点和攻击动作节点构成,可以将从初始节点到目标节点的攻击过程划分为一个个子目标节点攻击路径的组合。而每一个子路径均是由一个资源状态节点、攻击动作节点、下一资源状态节点组合而成,即每条子路径都是由攻击者利用当前资源状态发起攻击并成功,以获得更多资源状态的过程。因此,此实施例将攻击图节点划分为由第一状态节点、攻击动作节点和第二资源状态节点三者组成的键值对。在此实施例中,如图4,初始节点S0→攻击动作节点A2→资源状态节点S2为一个键值对。S2→A4→S4与S4→A6→Se为另外的两个键值对。
对于键值对的概率计算,本发明从两方面来考虑:一方面第一资源状态节点到攻击动作节点的概率,即攻击动作发生概率;另一方面是攻击动作节点到第二资源状态节点的概率,即攻击动作成功概率;
攻击者通过网络***中的节点(利用***中的脆弱点发起攻击)发起攻击动作,所以攻击动作的发生概率实际为对该脆弱点的的度量。同时,依据脆弱点存在的主机位置不同,其被攻击的概率也不同。在此实施例中从两方面考虑:一是节点自身的脆弱性度量,二是脆弱点所在主机的位置权重,即攻击动作发生概率P(A)=Vs+Hi,其中Vs=AV+AC+AU,这三个值依据CVSS评分***对节点脆弱性进行评估,Hi是对节点所在主机重要程度的评估值。CVSS评分***给出了节点复杂度AC划分了高、中、低三个评分程度,对攻击路径AV给出了三个程度的区分,包括本地、临近、远程,对攻击身份认证给出了三个层次的评估,包括0次,1次,多次。在相加计算后,本文对每个加权和进行了归一化处理,原有加权和为{4~11},进行归一化处理后在{0.33~0.92}。
在此实施例中,复杂度越高相应分值越低,代表该漏洞越难被利用:
攻击路径范围越小,代表该漏洞越难被利用:
身份认证次数越多,代表该漏洞越难被利用
主机权重,主机在核心区域,表明该漏洞越难被利用
对攻击动作成功概率的计算,本发明主要考虑三个方面的影响,首先考虑节点中的脆弱点是否为已知的,其次考虑该脆弱点是否有对应的攻击路径,最后考虑是否有可用的攻击工具,即攻击动作成功概率P(AS)=K+M+N,其中K表示节点中脆弱点的发布情况,M表示攻击方法的公布情况,N表示攻击工具的发布情况。此实施例中,主要依照下表进行赋值:
其中,K的取值范围为[0,0.1],当没有发布的弱点信息时取值为0,已发布的弱点信息时取值为0.1;M的取值范围为[0,0.4],当没有公布的攻击方法时取0,有公布的粗略攻击方法时取值为0.2,有公布的详细攻击方法时取值为0.4;N的取值范围为[0,0.4],当攻击某一脆弱点需要借助攻击工具但未有相关发布信息时取值为0,当有可用攻击工具时取值为0.2,不需要攻击工具时取值为0.4。
在此实施例中,按照上述方法对键值对(S0,A2,S2)、(S2,A4,S4)、(S4,A6,Se)进行了概率计算,键值对的攻击概率分别为(0.33,0.9),(0.5,0.7),(0.75,0.1)。图4为一种内部网络的安全度量方法中计算键值对概率后的概率攻击图示意图。
图5为本发明实施例提供的一种内部网络的安全度量方法中计算累积可达概率的示意图。
在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;如果依次计算,得到目标节点的累积可达概率。
在此实施例中,如图5所示,S0表示初始节点,Se表示目标节点。在初始状态节点S0,攻击者拥有一定的资源权限,要想成功获取目标节点Se的资源权限有两条路径可以选择,如A7到Se或A8到Se。
首先我们可以分析出从初始状态节点S0到最终目标节点Se有两条攻击路径:
S0→A1→S1→A4→S4&S5→A7→Se
S0→(A2→S2)/(A3→S3)→A5&A6→S6→A8→Se
其中,“/”、“&”分别表示有向边的“或”、“与”关系;P表示攻击动作发生概率,P’表示攻击动作成功概率。对于路径一:S0→A1→S1→A 4→S4&S5→A7→Se,如图5的概率攻击图中所示,S4和S5为“与”关系,因此路径一的累积可达概率为:
P1×P'1×P4×P'4×P8×P7×P'7=0.055。
对于路径二:S0→(A2→S2)/(A3→S3)→A5&A6→S6→A8→Se,如图5的概率攻击图中所示,S2和S3为“或”关系,A5和A6为“与”关系,因此需要先判断S0→A2→S2→A5与S0→A3→S3→A5中累积可达概率最大的路径,计算可知为累积可达概率最大的路径为:S0→A2→S2→A5;因此,路径二的累积可达概率为:
P3×P'3×P6×P'5×P'6×P'8×P9=0.011。
由于最后可达目标节点的路径为“或”关系,所以选择累积可达概率最大的路径。在此实施例中即为路径一,该目标网络的累积可达概率为0.055,作为目标内部网络的安全度量参数输出。
参见图6,为本发明实施例提供的一种内部网络的安全度量装置500的结构图。所述装置500包括:
原始攻击图生成单元510,用于对于目标内部网络,生成从初始节点到目标节点的原始攻击图;
攻击图简化单元520,用于根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图;
概率攻击图生成单元530,对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;
安全度量参数计算单元540,用于在所述概率攻击图中计算目标节点的累积可达概率,并作为目标内部网络的安全度量参数输出。
在本发明的一个实施例中,所述原始攻击图生成单元510,用于对目标内部网络进行漏洞扫描,得到目标内部网络中所有主机的漏洞信息以及目标内部网络的拓扑结构信息,将监测到的目标内部网络中的第一个攻击证据节点作为初始节点,将目标网络中的核心资源节点作为目标节点,利用攻击图生成算法生成从初始节点到目标节点的原始攻击图。
在本发明的一个实施例中,攻击图简化单元520,用于对于原始攻击图中的每一条攻击路径,得到其攻击动作触发的攻击证据时序差分关系,并与根据监测目标内部网络获得的攻击证据的时序差分关系进行对比,如果匹配则保留该路径,否则删除该路径。
在本发明的一个实施例中,所述概率攻击图生成单元530,用于在简化后的攻击图中,对于每条攻击路径从初始节点开始进行键值对划分,直到目标节点;其中,每个键值对包括:第一资源状态节点、攻击动作节点和第二资源状态节点;以及用户计算每个键值对的概率,具体计算攻击动作的发生概率以及计算攻击动作的成功概率。
在本发明的一个实施例中,所述安全度量参数计算单元540,用于在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;如果依次计算,得到目标节点的累积可达概率。
攻击图简化单元520对原始攻击图生成单元510生成的原始攻击图的路径进行了剪枝处理,从而简化了攻击图结构,避免了路径***对后期安全度量造成的大规模计算工作任务,并且这样的处理方式可以保证所得的剩余攻击路径都是符合当前的***监测证据。概率攻击图生成单元530将攻击图节点划分为键值对,对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图,计算方法包括但不限于本发明提供的实施例中的方法。安全度量参数计算单元540,用于在所述概率攻击图中计算目标节点的累积可达概率,并作为目标内部网络的安全度量参数输出。其计算方法包括但不限于本发明提供的实施例中的方法。
以上所述,仅为本发明的部分具体实施方式而已,并非用于限定本发明的保护范围。在本发明的上述教导下,本领域技术人员可以在上述实施例的基础上进行其他的改进或变形。本领域技术人员应该明白,上述的具体描述只是更好地解释本发明的目的,本发明的保护范围应以权利要求的保护范围为准。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种内部网络的安全度量方法,其特征在于,所述方法包括:
对于目标内部网络,生成从初始节点到目标节点的原始攻击图;
根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图;
对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;
在所述概率攻击图中计算目标节点的累积可达概率值,并将该概率值作为目标内部网络的安全度量参数输出。
2.如权利要求1所述的方法,其特征在于,所述对于目标内部网络,生成从初始节点到目标节点的原始攻击图包括:
对目标内部网络进行漏洞扫描,得到目标内部网络中所有主机的漏洞信息以及目标内部网络的拓扑结构信息,将监测到的目标内部网络中的第一个攻击证据节点作为初始节点,将目标网络中的核心资源节点作为目标节点,利用攻击图生成算法生成从初始节点到目标节点的原始攻击图。
3.如权利要求1所述的方法,其特征在于,所述根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图,包括:
对于原始攻击图中的每一条攻击路径,得到其攻击动作触发的攻击证据时序差分关系,并与根据监测目标内部网络获得的攻击证据的时序差分关系进行对比,如果匹配则保留该路径,否则删除该路径。
4.如权利要求1所述的方法,其特征在于,
所述对简化后的攻击图进行键值对划分包括:在简化后的攻击图中,对于每条攻击路径从初始节点开始进行键值对划分,直到目标节点;其中,每个键值对包括:第一资源状态节点、攻击动作节点和第二资源状态节点;
所述对键值对进行概率计算包括:计算攻击动作的发生概率以及计算攻击动作的成功概率。
5.如权利要求1所述的方法,其特征在于,在所述概率攻击图中计算目标节点的累积可达概率,包括:
在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;
如此依次计算,得到目标节点的累积可达概率。
6.一种内部网络的安全度量装置,其特征在于,所述装置包括:
原始攻击图生成单元,用于对于目标内部网络,生成从初始节点到目标节点的原始攻击图;
攻击图简化单元,用于根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图;
概率攻击图生成单元,对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;
安全度量参数计算单元,用于在所述概率攻击图中计算目标节点的累积可达概率值,并将该概率值作为目标内部网络的安全度量参数输出。
7.如权利要求6所述的装置,其特征在于,
所述原始攻击图生成单元,用于对目标内部网络进行漏洞扫描,得到目标内部网络中所有主机的漏洞信息以及目标内部网络的拓扑结构信息,将监测到的目标内部网络中的第一个攻击证据节点作为初始节点,将目标网络中的核心资源节点作为目标节点,利用攻击图生成算法生成从初始节点到目标节点的原始攻击图。
8.如权利要求6所述的装置,其特征在于,
攻击图简化单元,用于对于原始攻击图中的每一条攻击路径,得到其攻击动作触发的攻击证据时序差分关系,并与根据监测目标内部网络获得的攻击证据的时序差分关系进行对比,如果匹配则保留该路径,否则删除该路径。
9.如权利要求6所述的装置,其特征在于,
所述概率攻击图生成单元,用于在简化后的攻击图中,对于每条攻击路径从初始节点开始进行键值对划分,直到目标节点;其中,每个键值对包括:第一资源状态节点、攻击动作节点和第二资源状态节点;以及用户计算每个键值对的概率,具体计算攻击动作的发生概率以及计算攻击动作的成功概率。
10.如权利要求6所述的装置,其特征在于,
所述安全度量参数计算单元,用于在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;如此依次计算,得到目标节点的累积可达概率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710301082.7A CN106941502B (zh) | 2017-05-02 | 2017-05-02 | 一种内部网络的安全度量方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710301082.7A CN106941502B (zh) | 2017-05-02 | 2017-05-02 | 一种内部网络的安全度量方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106941502A true CN106941502A (zh) | 2017-07-11 |
| CN106941502B CN106941502B (zh) | 2020-10-20 |
Family
ID=59463399
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710301082.7A Active CN106941502B (zh) | 2017-05-02 | 2017-05-02 | 一种内部网络的安全度量方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106941502B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109167794A (zh) * | 2018-09-25 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种面向网络***安全度量的攻击检测方法 |
| CN110868384A (zh) * | 2018-12-24 | 2020-03-06 | 北京安天网络安全技术有限公司 | 确定网络环境中易受攻击的资产的方法、装置及电子设备 |
| CN111786947A (zh) * | 2020-05-18 | 2020-10-16 | 北京邮电大学 | 攻击图的生成方法、装置、电子设备及存储介质 |
| CN112819336A (zh) * | 2021-02-03 | 2021-05-18 | 国家电网有限公司 | 一种基于电力监控***网络威胁的量化方法及*** |
| CN114244632A (zh) * | 2022-02-24 | 2022-03-25 | 上海观安信息技术股份有限公司 | 检测icmp网络扫描网络攻击行为的方法、装置、电子设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110016525A1 (en) * | 2009-07-14 | 2011-01-20 | Chi Yoon Jeong | Apparatus and method for detecting network attack based on visual data analysis |
| CN102724210B (zh) * | 2012-06-29 | 2015-02-11 | 上海海事大学 | 一种求解k最大概率攻击图的网络安全分析方法 |
| CN104394177A (zh) * | 2014-12-16 | 2015-03-04 | 云南电力调度控制中心 | 一种基于全局攻击图的攻击目标可达性的计算方法 |
| CN106549950A (zh) * | 2016-11-01 | 2017-03-29 | 南京理工大学 | 一种基于状态攻防图的矩阵可视化方法 |
-
2017
- 2017-05-02 CN CN201710301082.7A patent/CN106941502B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110016525A1 (en) * | 2009-07-14 | 2011-01-20 | Chi Yoon Jeong | Apparatus and method for detecting network attack based on visual data analysis |
| CN102724210B (zh) * | 2012-06-29 | 2015-02-11 | 上海海事大学 | 一种求解k最大概率攻击图的网络安全分析方法 |
| CN104394177A (zh) * | 2014-12-16 | 2015-03-04 | 云南电力调度控制中心 | 一种基于全局攻击图的攻击目标可达性的计算方法 |
| CN106549950A (zh) * | 2016-11-01 | 2017-03-29 | 南京理工大学 | 一种基于状态攻防图的矩阵可视化方法 |
Non-Patent Citations (1)
| Title |
|---|
| 叶云等: "基于攻击图的网络安全概率计算方法", 《计算机学报》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109167794A (zh) * | 2018-09-25 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种面向网络***安全度量的攻击检测方法 |
| CN109167794B (zh) * | 2018-09-25 | 2021-05-14 | 北京计算机技术及应用研究所 | 一种面向网络***安全度量的攻击检测方法 |
| CN110868384A (zh) * | 2018-12-24 | 2020-03-06 | 北京安天网络安全技术有限公司 | 确定网络环境中易受攻击的资产的方法、装置及电子设备 |
| CN110868384B (zh) * | 2018-12-24 | 2022-03-29 | 北京安天网络安全技术有限公司 | 确定网络环境中易受攻击的资产的方法、装置及电子设备 |
| CN111786947A (zh) * | 2020-05-18 | 2020-10-16 | 北京邮电大学 | 攻击图的生成方法、装置、电子设备及存储介质 |
| CN112819336A (zh) * | 2021-02-03 | 2021-05-18 | 国家电网有限公司 | 一种基于电力监控***网络威胁的量化方法及*** |
| CN112819336B (zh) * | 2021-02-03 | 2023-12-15 | 国家电网有限公司 | 一种基于电力监控***网络威胁的量化方法及*** |
| CN114244632A (zh) * | 2022-02-24 | 2022-03-25 | 上海观安信息技术股份有限公司 | 检测icmp网络扫描网络攻击行为的方法、装置、电子设备及介质 |
| CN114244632B (zh) * | 2022-02-24 | 2022-05-03 | 上海观安信息技术股份有限公司 | 检测icmp网络扫描网络攻击行为的方法、装置、电子设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106941502B (zh) | 2020-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106941502A (zh) | 一种内部网络的安全度量方法和装置 | |
| US8516596B2 (en) | Cyber attack analysis | |
| JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
| CN106453217B (zh) | 一种基于路径收益计算的网络攻击路径行为的预测方法 | |
| CN104899513B (zh) | 一种工业控制***恶意数据攻击的数据图检测方法 | |
| CN110474878B (zh) | 基于动态阈值的DDoS攻击态势预警方法和服务器 | |
| JP2016046654A (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
| JP2016152594A (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
| CN105119919A (zh) | 基于流量异常及特征分析的攻击行为检测方法 | |
| CN106549980A (zh) | 一种恶意c&c服务器确定方法及装置 | |
| CN105681274B (zh) | 一种原始告警信息处理的方法及装置 | |
| CN109145601A (zh) | 恶意软件检测***攻击防止 | |
| Ramadhan et al. | Comparative analysis of K-nearest neighbor and decision tree in detecting distributed denial of service | |
| CN109347863B (zh) | 一种改进的免疫的网络异常行为检测方法 | |
| CN109040113A (zh) | 基于多核学习的分布式拒绝服务攻击检测方法及装置 | |
| CN110168557A (zh) | 分布式自适应网络中的节点标识 | |
| CN108200095A (zh) | 互联网边界安全策略脆弱性确定方法及装置 | |
| Yuan et al. | Mining software component interactions to detect security threats at the architectural level | |
| CN113965469A (zh) | 网络数据分析模型的构建方法 | |
| CN103593610B (zh) | 基于计算机免疫的间谍软件自适应诱导与检测方法 | |
| Hlaing | Feature selection and fuzzy decision tree for network intrusion detection | |
| CN110086829A (zh) | 一种基于机器学习技术进行物联网异常行为检测的方法 | |
| CN114978617A (zh) | 一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法 | |
| CN114143035A (zh) | 知识图谱推荐***的对抗攻击方法、***、设备及介质 | |
| Sandoval et al. | Measurement, identification and calculation of cyber defense metrics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |