一种基于主机重要度的网络主机节点安全风险评估方法
阅读说明:本技术 一种基于主机重要度的网络主机节点安全风险评估方法 (Network host node security risk assessment method based on host importance ) 是由 杨宏宇 袁海航 谢丽霞 于 2021-09-16 设计创作,主要内容包括:一种基于主机重要度的网络主机节点安全风险评估方法。其包括搜集网络信息建立主机攻击图;计算漏洞的原子攻击概率;计算主机节点的最大路径攻击概率;计算主机节点的改进加权介数中心性值;计算主机节点资产价值;计算主机节点重要度和风险值等步骤。本发明根据漏洞特征从漏洞的可利用性、代码可利用性和节点防御强度三个方面综合计算原子攻击概率,进而依据攻击路径计算到达各主机节点的最大路径攻击概率,并计算出主机节点改进加权介数中心性值和资产价值。最后,计算各主机节点的主机重要度和风险值。实验结果表明,与其它方法相比,本发明方法能够从更全面的角度评估网络环境中的主机节点风险并且得到的风险值结果更加合理。(A network host node security risk assessment method based on host importance is provided. The method comprises the steps of collecting network information and establishing a host attack graph; calculating the atomic attack probability of the vulnerability; calculating the maximum path attack probability of the host node; calculating an improved weighted betweenness centrality value of the host node; calculating the asset value of the host node; and calculating the importance and risk value of the host node. According to the vulnerability characteristics, the atomic attack probability is comprehensively calculated from three aspects of vulnerability availability, code availability and node defense strength, the maximum path attack probability reaching each host node is further calculated according to the attack path, and the improved weighted betweenness centrality value and the asset value of the host node are calculated. And finally, calculating the host importance and the risk value of each host node. The experimental result shows that compared with other methods, the method provided by the invention can evaluate the host node risk in the network environment from a more comprehensive angle and the obtained risk value result is more reasonable.)
技术领域
本发明属于网络信息安全技术领域,特别涉及一种基于主机重要度的网络主机节点安全风险评估方法。
背景技术
随着网络信息技术的发展,网络环境中主机节点面临的风险日益增加,对网络中主机节点的攻击方式趋于多元化,因此造成的危害也日趋严重。传统防火墙和入侵检测等被动防御手段已无法满足网络环境中主机节点安全的防护需求。网络主机节点安全风险评估作为一种主动防御方法,能够在攻击事件发生前对网络中的主机节点进行整体评估,帮助安全管理者分析加固网络环境中主机节点的薄弱环节并提高网络整体安全性。
目前的网络安全风险评估方法基本分为两类:基于数学模型的方法和基于图模型的方法。基于数学模型的风险评估方法通过构建网络风险指标体系并利用数学函数映射指标与网络风险间的关系计算网络风险值。但基于数学模型的风险评估方法普遍缺乏直观的图形表述,评估方法复杂且不易于理解。基于图模型的方法利用攻击图、攻击树等图模型对网络建模,采用图论和概率论相关知识计算并分析网络整体风险。其中基于攻击图的评估方法能够从攻击角度分析攻击者可能利用的攻击路径,应用最为广泛。现有依据攻击图评估主机节点的方法对主机节点的漏洞原子攻击概率量化指标较为单一且对主机节点资产价值指标权重没有区分,因此无法全面合理计算各主机节点风险。
发明内容
为了解决上述问题,本发明的目的在于提供一种基于主机重要度的网络主机节点安全风险评估方法。
为了达到上述目的,本发明提供的基于风险传播的信息系统风险评估方法包括按顺序进行的下列步骤:
1)搜集网络信息建立主机攻击图的S1阶段:首先根据网络拓扑获取主机节点、主机节点的漏洞及主机节点访问关系在内的网络信息,然后将所有主机节点构成主机节点集合、各主机节点的漏洞构成漏洞集合、主机节点访问关系构成主机节点访问关系列表,最后遍历主机节点集合和漏洞集合,如果从主机节点访问关系列表中可以查到两个主机节点之间能够访问且主机节点的漏洞满足漏洞利用关系,则将这两个主机节点添加到边集合中,以此类推,得到主机攻击图;
2)计算漏洞的原子攻击概率的S2阶段:计算上述主机节点的漏洞的可利用性值及漏洞的代码可利用性值,然后将漏洞所在主机节点的防御强度划分等级并取值,之后利用漏洞的可利用性值、漏洞的代码可利用性值和主机节点的防御强度等级值计算漏洞的原子攻击概率;
3)计算主机节点的最大路径攻击概率的S3阶段:根据步骤1)中得到的主机攻击图获得到达各主机节点的所有攻击路径,然后根据步骤2)中得到的漏洞的原子攻击概率和攻击路径上的漏洞数量计算得到各主机节点的最大路径攻击概率;
4)计算主机节点的改进加权介数中心性值的S4阶段:利用步骤2)中得到的漏洞的原子攻击概率的倒数对步骤1)中得到的主机攻击图进行加权,得到加权主机攻击图,然后根据加权主机攻击图计算各主机节点的加权介数中心性值,之后根据步骤1)中得到的主机攻击图计算各主机节点的局部重要度,最后根据主机节点的加权介数中心性和局部重要度计算得到各主机节点的改进加权介数中心性值;
5)计算主机节点资产价值的S5阶段:根据步骤1)中获得的主机节点集合,依据主机节点对保密性、可用性和完整性指标的不同要求,采用CRITIC法计算主机节点资产价值指标权重,并依据专家评分结果计算各主机节点资产价值;
6)计算主机节点重要度和风险值的S6阶段:在此阶段,根据步骤4)中计算得到的各主机节点的改进加权介数中心性值、步骤5)中计算得到的各主机节点资产价值计算各主机节点的主机重要度,然后根据主机重要度和步骤3)中得到的最大路径攻击概率计算各主机节点的风险值。
在步骤2)中,所述计算漏洞的原子攻击概率的具体方法如下:
I)根据通用漏洞评分系统的通用公式计算漏洞的可利用性值:
Ei=2×AVi×ACi×AUi (1)
其中,Ei表示第i个漏洞的可利用性值,AVi、ACi、AUi分别表示攻击路径、攻击复杂度和身份认证;
然后依据漏洞披露时间,由下式得到各漏洞的代码可利用性值:
CAi(xi)=1-(k/xi)a (2)
其中,CAi表示第i个漏洞的代码可利用性值,k和a表示帕累托分布中的参数,分别取0.26和0.00161;xi表示第i个漏洞从漏洞披露时开始到当前评估日期的天数;
将漏洞所在主机节点的防御强度划分成较高、高、一般、低和很低五个等级,各等级对应的取值分别为0.1,0.3,0.5,0.7,0.9;
II)根据漏洞的可利用性值、漏洞的代码可利用性值和主机节点的防御强度等级值,计算出各漏洞的原子攻击概率:
AAPi=Ei×CAi×DIi (3)
其中,AAPi表示第i个漏洞的原子攻击概率,Ei表示第i个漏洞的可利用性值,CAi表示第i个漏洞的代码可利用性值,DIi表示第i个漏洞所在主机节点的防御强度等级值。
在步骤3)中,所述计算主机节点的最大路径攻击概率的具体方法如下:
I)依据主机攻击图获取从初始攻击节点到达各主机节点的全部攻击路径;
II)计算上述所有攻击路径上主机节点的攻击概率:
其中,Pj表示第j条攻击路径上主机节点的攻击概率,AAPi表示该攻击路径上所有主机节点中第i个漏洞的原子攻击概率,n表示该条攻击路径上的漏洞数量;
从上述所有攻击路径上主机节点的攻击概率中选择最大值max(Pj)作为该主机节点的最大路径攻击概率。
在步骤4)中,所述计算主机节点的改进加权介数中心性值的具体方法如下:
I)根据步骤2)中得到的漏洞的原子攻击概率,取倒数后作为主机攻击图中对应边的权值,得到加权主机攻击图;
II)基于加权主机攻击图,计算各主机节点的加权介数中心性值:
其中,μsk表示所有从主机节点s到主机节点k的最短攻击路径数量,hi表示加权主机攻击图中的主机节点,μsk(hi)表示从主机节点s到主机节点k的最短攻击路径中,经过主机节点hi的攻击路径数量;
III)根据步骤1)中得到的主机攻击图计算各主机节点的局部重要度:
其中,ri表示主机攻击图中主机节点hi的出入度之和,rj表示和主机节点hj相连的邻居主机节点的出入度,m表示和主机节点hi相连的邻居主机节点的个数,n表示所有主机节点的个数;
IV)根据主机节点的加权介数中心性和局部重要度计算得到各主机节点的改进加权介数中心性值:
其中PI(hi)表示第i个主机节点的改进加权介数中心性值,G(hi)表示第i个主机节点的加权介数中心性值,N(hi)表示第i个主机节点的局部重要度。
在步骤5)中,所述计算主机节点资产价值的具体方法如下:
I)根据不同主机节点对保密性C、可用性A和完整性I指标的不同要求,将主机节点的保密性C、可用性A和完整性I指标的评分值由低至高划分为1至5共5个等级,然后依据专家评分值获得资产价值指标得分矩阵D:
其中,元素dij表示第i个专家对第j个指标的评分值,m表示专家个数,n表示指标个数;
II)利用下式对资产价值指标得分矩阵D进行归一化处理,得到归一化后资产价值指标得分矩阵D’:
xij=dij-min(di)/max(di)-min(di) (8)
其中,xij表示归一化后资产价值指标得分矩阵D’中各指标的评分值,min(di)=min{d1j,d2j,…,dmj},max(di)=max{d1j,d2j,…,dmj};
III)根据归一化后资产价值指标得分矩阵D’,计算保密性C、可用性A和完整性I指标的平均值:
其中,表示归一化后资产价值指标得分矩阵D’中第j列所有指标的平均值,xij表示归一化后资产价值指标得分矩阵D’中的各元素,m表示对应矩阵的行数;
IV)根据上述保密性C、可用性A和完整性I指标的平均值,计算保密性C、可用性A和完整性I指标的标准差:
其中,σj表示第j列所有指标的标准差;
V)根据保密性C、可用性A和完整性I指标的标准差,分别计算各指标的冲突性系数:
其中,uij表示指标的评分值i和指标的评分值j间的皮尔逊相关系数;
VI)根据上述各指标的冲突性系数,计算客观权重值:
其中,n表示指标个数;
VII)根据归一化后资产价值指标得分矩阵D’,将归一化后资产价值指标得分矩阵D’的每一列取平均值后的结果作为各主机节点在保密性C、可用性A和完整性I指标上的评分值,然后根据上述保密性C、可用性A和完整性I指标的客观权重值计算出主机节点资产价值:
其中,AS(hi)表示第i个主机节点资产价值,Ci,Ii,Ai分别表示对应第i个主机节点资产价值的保密性C、可用性A和完整性I指标的评分值,wi1、wi2、wi3分别表示求解得到的第i个主机节点的保密性C、可用性A和完整性I指标C的客观权重值。
在步骤6)中,所述计算主机节点重要度和风险值的具体方法如下:
I)计算主机节点hi的主机重要度HI(hi):
HI(hi)=PI(hi)+AS(hi) (14)
其中,PI(hi)表示每个主机节点的改进加权介数中心性值,AS(hi)表示每个主机节点资产价值指标值;
II)根据上述主机节点资产价值指标值计算主机节点hi风险值R(hi):
R(hi)=HI(hi)×max(Pj) (15)
其中,max(Pj)表示主机节点的最大路径攻击概率。
与现有技术相比,本发明提供的基于主机重要度的网络主机节点安全风险评估方法在搜集网络信息建立主机攻击图的基础上,根据漏洞特征从漏洞的可利用性、代码可利用性和节点防御强度三个方面综合计算原子攻击概率,进而依据攻击路径计算到达各主机节点的最大路径攻击概率,并计算出主机节点改进加权介数中心性值和资产价值。最后,计算各主机节点的主机重要度和风险值。实验结果表明,与其它方法相比,本发明方法能够从更全面的角度评估网络环境中的主机节点风险并且得到的风险值结果更加合理。
附图说明
图1为本发明提供的基于主机重要度的网络主机节点安全风险评估方法流程图。
图2为本发明与其他方法计算得到的原子攻击概率值对比图。
图3为本发明与其他方法计算得到的主机节点风险值对比图。
具体实施方式
下面结合附图及具体实施例对本发明做进一步的说明,但下述实施例绝非对本发明有任何限制。
如图1所示,本发明提供的基于主机重要度的网络主机节点安全风险评估方法包括按顺序进行的下列步骤:
1)搜集网络信息建立主机攻击图的S1阶段:首先根据网络拓扑获取主机节点、主机节点的漏洞及主机节点访问关系在内的网络信息,然后将所有主机节点构成主机节点集合、各主机节点的漏洞构成漏洞集合、主机节点访问关系构成主机节点访问关系列表,最后遍历主机节点集合和漏洞集合,如果从主机节点访问关系列表中可以查到两个主机节点之间能够访问且主机节点的漏洞满足漏洞利用关系,则将这两个主机节点添加到边集合中,以此类推,得到主机攻击图;
2)计算漏洞的原子攻击概率的S2阶段:计算上述主机节点的漏洞的可利用性值及漏洞的代码可利用性值,然后将漏洞所在主机节点的防御强度划分等级并取值,之后利用漏洞的可利用性值、漏洞的代码可利用性值和主机节点的防御强度等级值计算漏洞的原子攻击概率;
具体方法如下:
I)根据通用漏洞评分系统的通用公式计算漏洞的可利用性值:
Ei=2×AVi×ACi×AUi (1)
其中,Ei表示第i个漏洞的可利用性值,AVi、ACi、AUi分别表示攻击路径、攻击复杂度和身份认证;
然后依据漏洞披露时间,由下式得到各漏洞的代码可利用性值:
CAi(xi)=1-(k/xi)a (2)
其中,CAi表示第i个漏洞的代码可利用性值,k和a表示帕累托分布中的参数,分别取0.26和0.00161;xi表示第i个漏洞从漏洞披露时开始到当前评估日期的天数;
将漏洞所在主机节点的防御强度划分成较高、高、一般、低和很低五个等级,各等级对应的取值分别为0.1,0.3,0.5,0.7,0.9;
II)根据漏洞的可利用性值、漏洞的代码可利用性值和主机节点的防御强度等级值,计算出各漏洞的原子攻击概率:
AAPi=Ei×CAi×DIi (3)
其中AAPi表示第i个漏洞的原子攻击概率,Ei表示第i个漏洞的可利用性值,CAi表示第i个漏洞的代码可利用性值,DIi表示第i个漏洞所在主机节点的防御强度等级值。
3)计算主机节点的最大路径攻击概率的S3阶段:根据步骤1)中得到的主机攻击图获得到达各主机节点的所有攻击路径,然后根据步骤2)中得到的漏洞的原子攻击概率和攻击路径上的漏洞数量计算得到各主机节点的最大路径攻击概率;
具体方法如下:
I)依据主机攻击图获取从初始攻击节点到达各主机节点的全部攻击路径;
II)计算上述所有攻击路径上主机节点的攻击概率:
其中,Pj表示第j条攻击路径上主机节点的攻击概率,AAPi表示该攻击路径上所有主机节点中第i个漏洞的原子攻击概率,n表示该条攻击路径上的漏洞数量;
从上述所有攻击路径上主机节点的攻击概率中选择最大值max(Pj)作为该主机节点的最大路径攻击概率。
4)计算主机节点的改进加权介数中心性值的S4阶段:利用步骤2)中得到的漏洞的原子攻击概率的倒数对步骤1)中得到的主机攻击图进行加权,得到加权主机攻击图,然后根据加权主机攻击图计算各主机节点的加权介数中心性值,之后根据步骤1)中得到的主机攻击图计算各主机节点的局部重要度,最后根据主机节点的加权介数中心性和局部重要度计算得到各主机节点的改进加权介数中心性值;
具体方法如下:
I)根据步骤2)中得到的漏洞的原子攻击概率,取倒数后作为主机攻击图中对应边的权值,得到加权主机攻击图;
II)基于加权主机攻击图,计算各主机节点的加权介数中心性值:
其中,μsk表示所有从主机节点s到主机节点k的最短攻击路径数量,hi表示加权主机攻击图中的主机节点,μsk(hi)表示从主机节点s到主机节点k的最短攻击路径中,经过主机节点hi的攻击路径数量;
III)根据步骤1)中得到的主机攻击图计算各主机节点的局部重要度:
其中,ri表示主机攻击图中主机节点hi的出入度之和,rj表示和主机节点hj相连的邻居主机节点的出入度,m表示和主机节点hi相连的邻居主机节点的个数,n表示所有主机节点的个数;
IV)根据主机节点的加权介数中心性和局部重要度计算得到各主机节点的改进加权介数中心性值:
其中PI(hi)表示第i个主机节点的改进加权介数中心性值,G(hi)表示第i个主机节点的加权介数中心性值,N(hi)表示第i个主机节点的局部重要度。
5)计算主机节点资产价值的S5阶段:根据步骤1)中获得的主机节点集合,依据主机节点对保密性、可用性和完整性指标的不同要求,采用CRITIC法计算主机节点资产价值指标权重,并依据专家评分结果计算各主机节点资产价值;
具体方法如下:
I)根据不同主机节点对保密性C、可用性A和完整性I指标的不同要求,将主机节点的保密性C、可用性A和完整性I指标的评分值由低至高划分为1至5共5个等级,然后依据专家评分值获得资产价值指标得分矩阵D:
其中,元素dij表示第i个专家对第j个指标的评分值,m表示专家个数,n表示指标个数;
II)利用下式对资产价值指标得分矩阵D进行归一化处理,得到归一化后资产价值指标得分矩阵D’:
xij=dij-min(di)/max(di)-min(di) (8)
其中,xij表示归一化后资产价值指标得分矩阵D’中各指标的评分值,min(di)=min{d1j,d2j,…,dmj},max(di)=max{d1j,d2j,…,dmj};
III)根据归一化后资产价值指标得分矩阵D’,计算保密性C、可用性A和完整性I指标的平均值:
其中,表示归一化后资产价值指标得分矩阵D’中第j列所有指标的平均值,xij表示归一化后资产价值指标得分矩阵D’中的各元素,m表示对应矩阵的行数;
IV)根据上述保密性C、可用性A和完整性I指标的平均值,计算保密性C、可用性A和完整性I指标的标准差:
其中,σj表示第j列所有指标的标准差;
V)根据保密性C、可用性A和完整性I指标的标准差,分别计算各指标的冲突性系数:
其中,uij表示指标的评分值i和指标的评分值j间的皮尔逊相关系数;
VI)根据上述各指标的冲突性系数,计算客观权重值:
其中,n表示指标个数;
VII)根据归一化后资产价值指标得分矩阵D’,将归一化后资产价值指标得分矩阵D’的每一列取平均值后的结果作为各主机节点在保密性C、可用性A和完整性I指标上的评分值,然后根据上述保密性C、可用性A和完整性I指标的客观权重值计算出主机节点资产价值:
其中,AS(hi)表示第i个主机节点资产价值,Ci,Ii,Ai分别表示对应第i个主机节点资产价值的保密性C、可用性A和完整性I指标的评分值,wi1、wi2、wi3分别表示求解得到的第i个主机节点的保密性C、可用性A和完整性I指标C的客观权重值。
6)计算主机节点重要度和风险值的S6阶段:在此阶段,根据步骤4)中计算得到的各主机节点的改进加权介数中心性值、步骤5)中计算得到的各主机节点资产价值计算各主机节点的主机重要度,然后根据主机重要度和步骤3)中得到的最大路径攻击概率计算各主机节点的风险值。
具体方法如下:
I)计算主机节点hi的主机重要度HI(hi):
HI(hi)=PI(hi)+AS(hi) (14)
其中,PI(hi)表示每个主机节点的改进加权介数中心性值,AS(hi)表示每个主机节点资产价值指标值;
II)根据上述主机节点资产价值指标值计算主机节点hi风险值R(hi):
R(hi)=HI(hi)×max(Pj) (15)
其中,max(Pj)表示主机节点的最大路径攻击概率。
图2为本发明方法与传统CVSS方法和专家打分法计算得到的漏洞的原子攻击概率值对比图。由图2可知,与其他两种方法相比,本发明方法综合考虑时间和环境因素对原子攻击概率的影响,计算得到的结果更加符合实际。
图3为本发明方法与资产关联图方法、马尔可夫攻击图方法和贝叶斯攻击图方法计算得到的主机节点风险值对比图。由图3可知,相比于其他三种方法,本发明方法所得的各主机节点的风险值差异性更大,能够明显表征不同主机节点间的风险差异性。马尔可夫攻击图方法仅从状态转移概率的角度计算各主机节点的风险值,导致不同主机节点的风险值结果相近。资产关联图方法和贝叶斯攻击图方法虽然综合考虑了主机节点资产价值和路径攻击概率,但是忽略了主机节点在攻击图中的位置信息,没有考虑到主机攻击图中主机节点间的关联性对各主机节点风险值的影响。本发明方法利用改进的加权介数中心性从主机攻击图拓扑结构角度衡量主机节点的重要程度,同时依据主机节点资产价值评估各个主机节点面临的风险,所以得到的各主机节点风险值差异性更大且更加准确、合理。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:一种智能设备剪切板数据加密系统及方法