基于网络节点脆弱性和攻击信息的网络安全风险分析方法

摘要

本发明公开了一种基于网络节点脆弱性和攻击信息的网络安全风险分析方法，包括以下步骤：步骤一，确定计算网络系统威胁度所需的指标；步骤二，获取网络拓扑结构、网络资产属性和网络资产脆弱性信息；步骤三，构建基于Petri网的脆弱性关联关系模块；步骤四，获取IDS安全设备检测到的攻击信息，利用该攻击信息完善关联关系模型；步骤五，计算网络系统中各节点的威胁度；步骤六，根据各节点的威胁度值分析网络安全风险。本发明利用实时检测到的攻击信息实时更新静态分析中建立的Petri网脆弱性关联关系模型，精确计算各节点的威胁度，完善网络风险分析结果，提高了网络风险的分析能力，有效保障了网络的安全性。

说明书

技术领域

本发明涉及一种基于网络节点脆弱性和攻击信息构建模型并利用该模型进行网络安全风险分析的方法，属于网络安全技术领域。

背景技术

近年来，随着技术的发展计算机被不断普及，互联网行业进入高速发展阶段，互联网已成为了人们生活中不可缺少的重要组成部分。然而互联网技术的高速发展也带来了日益突出的网络安全问题，传统型的被动安全防御已经渐渐不能满足需求，研究学者们纷纷致力于提出安全分析方法，安全风险分析是最大限度地保障网络正常运行和对信息安全提供科学依据的关键技术，是从风险管理的角度出发，运用科学的方法和手段系统分析网络与信息系统所面临的风险，对网络安全风险进行分析以找出系统安全的薄弱点，改进安全防护措施，进行更全面的安全部署。

目前，在网络的脆弱性建模方面已经有很多相关研究，例如运用攻击图、渗透图、脆弱性状态图以及风险网络等建模方法来研究网络的脆弱性。经研究发现上述建模方法皆具有局限性，它们都依赖于对网络拓扑和网络资产信息的调研，但是由于种种原因，调研获得的信息并不一定完整，此类情况下安全风险分析结果跟实际情况存在偏差。例如系统中可能存在未被漏洞扫描器扫描出的漏洞信息，这些漏洞信息没有被获取，导致脆弱性信息的不完整，从而导致网络系统的安全风险分析结果不准确。

综上所述，已有的网络风险分析方法都是以搜集到的网络资产拓扑、网络资产属性和网络资产脆弱性等信息为输入对网络风险状态进行分析，但是静态搜集到的信息并不一定是完整信息，例如网络资产中可能存在未公开的漏洞信息等，进而导致网络系统的安全风险分析结果不准确。

发明内容

本发明的目的在于克服现有技术中的不足，提供了一种基于网络节点脆弱性和攻击信息的网络安全风险分析方法，解决了现有技术中静态信息获取不完整导致安全风险分析结果不准确的技术问题。

为解决上述技术问题，本发明提供了一种基于网络节点脆弱性和攻击信息的网络安全风险分析方法，其特征是，包括以下步骤：

步骤一，确定计算网络系统威胁度所需的指标；

步骤二，获取网络拓扑结构、网络资产属性和网络资产脆弱性信息；

步骤三，构建基于Petri网的脆弱性关联关系模块；

步骤四，获取IDS安全设备检测到的攻击信息，利用该攻击信息完善关联关系模型；

步骤五，计算网络系统中各节点的威胁度；

步骤六，根据各节点的威胁度值分析网络安全风险。

本发明利用实时检测到的攻击信息实时更新静态分析中建立的Petri网脆弱性关联关系模型，精确计算各节点的威胁度，完善网络风险分析结果。

进一步的，在所述步骤一中，计算威胁度所需的指标包括攻击复杂度(C)、机密性(C)、完整性(I)、可用性(A)、节点关联度(NC)、节点性质(Pr)、主体关键度(Cr)和主体业务重要度(Sr)八个指标。

进一步的，在所述步骤二中，获取网络拓扑结构和网络资产属性采用自动拓扑发现方式，获取网络资产脆弱性信息采用漏洞扫描方式。

进一步的，在所述步骤三中，构件脆弱性关联关系模型的过程为：

S301)为网络系统中的每个节点创建节点对象，节点对象包含网络资源属性和网络节点之间的访问关系；

节点对象用O_i表示，i表示第i个节点对象。具体定义如下：

O＝＜A,R＞

其中A是描述节点对象的属性集，R是节点对象之间的关联关系；

S302)建立合法访问关联关系模型：遍历节点对象，查找节点对象与其他节点的联通信息，将联通信息按照Petri网模型格式转化为变迁，存储变迁信息，获得合法访问关联关系模型；

S303)建立非法攻击关联关系模型：遍历节点对象，根据建立的合法访问关联关系模型，推导出所有可能的攻击关系，以攻击源脆弱状态作为变迁起点、攻击目标脆弱状态作为变迁终点、攻击复杂度作为变迁的值创建非法变迁，存储非法变迁信息，获得非法攻击关联关系模型。

进一步的，在S301)中，A属性集包括节点静态属性和动态属性，静态属性包括节点名称描述、节点类型、节点网络地址、节点上存放的数据等级、节点上运行的应用程序、节点上运行业务系统的重要级别、节点上存在的系统或服务漏洞；动态属性是节点所处的脆弱状态，包括access、user、root、dos、info-leak和controlled状态，其中access、user、root状态表示某节点对象上的该权限可以被获得，dos状态表示该节点对象处于拒绝服务状态，info-leak状态表示对象上的数据被非授权访问或者读写而导致信息泄露或被篡改，controlled状态表示主机处于可控状态，允许执行远程代码或任意命令；R包括访问关系、信任关系以及关联关系的源和目的、访问前提和访问所导致的脆弱性结果。

进一步的，在步骤S303)中推到攻击关系过程为，在节点联通的基础上根据节点对象的属性和节点对象之间的关联关系，挖掘任意节点之间的攻击关系，新派生的节点脆弱性状态作为新一轮的推导条件(作为新一轮的攻击变迁源节点)加入到对象的动态属性集中，不断生成新的节点对象脆弱状态，不断生成新的攻击关系，直到没有新的节点脆弱状态及新的攻击关系生成，结束攻击关系的推导。

进一步的，在所述步骤四中，完善关联关系模型的具体过程为：

S401)接收IDS安全设备检测到的攻击信息；

S402)将攻击信息转化为包含攻击源节点、攻击目的节点、攻击方法(攻击复杂度)和攻击结果(攻击导致的攻击目的节点的脆弱状态)的变迁信息；

S403)在非法攻击关联关系模型中寻找上一步骤转换得到的变迁信息，若模型中已存在该条变迁，则忽略该条变迁，若不存在，则将该变迁加入到非法攻击关联关系模型中；

S404)重复步骤S402和S403，逐条解析完所有攻击信息，获得完善后的关联关系模型。

进一步的，在所述步骤五中，节点的威胁度转化为节点从初始脆弱状态寻找到达各脆弱状态(库所)最优路径；

节点威胁度计算具体过程如下：

S501)以外部网络节点0作为攻击源点，计算网络系统中每一个节点脆弱状态(库所)的威胁度(这里计算的是节点0到该库所的威胁度，不直接可达则为0)并记录攻击路径(节点0到该库所)，将这些库所加入到未计算库所集合中；其中节点各脆弱状态(库所)威胁度计算方法为：

A(p_i)＝α*(1-C_λ)+β*(a₁*(P_c*C+P_i*I+P_a*A)+a₂*NC+a₃*(b₁*Pr+b₂*Cr+b₃*Sr))

其中p_i为节点的脆弱状态(库所)，C_λ为攻击复杂度，C、I、A分别为机密性、完整性和可用性值，NC为节点关联度，Pr和Cr分别为节点性质和节点主体关键度，α和β是和为1的指标权重，a₁、a₂、a₃是和为1的指标权重，P_c、P_i、P_a是和为1的指标权重，b₁、b₂和b₃是和为1的指标权重；

S502)从未计算库所集合中选取威胁度值最大的库所p，作为变迁源点，将其移动到已计算库所集合中，计算p到所有可达库所k的威胁度，威胁度的计算方法为：源点到p的复杂度因子*p攻击k的威胁度；若新计算的威胁度a大于库所k原有的威胁度b，则将k的威胁度记为a并更新k的攻击路径(节点0到p的路径加上p到k的路径)；若新计算的威胁度a等于库所k原有的威胁度b，则保留原有到达k的路径并增加一条到达k的新的路径(节点0到p的路径加上p到k的路径)；其中复杂度影响因子的定义为：其它库所传递而来的威胁度由于传递的路径长度和前期路径的攻击复杂度的影响存在衰减，将该衰减因子称为复杂度影响因子，设置该因子为：

$>\exp (-\underset{j=1}{\overset{k-1}{\Sigma }}{\lambda }_j)$>

其中k表示到达节点各脆弱状态(库所)节点所经过的变迁数，λ_j表示前期令牌到达节点库所的复杂度；

S503)重复步骤502)，直到所有未计算库所集合中库所的威胁度最大值为0；

S504)将网络中各节点的脆弱状态(库所)的威胁度值相加，获得节点的威胁度值。

进一步的，在所述步骤六中，具体分析过程为，分析各节点的威胁度值，节点的威胁度越高则该节点的安全风险越高。

与现有技术相比，本发明所达到的有益效果是：本发明利用实时检测到的攻击信息实时更新静态分析中建立的Petri网脆弱性关联关系模型，将静态信息与动态信息相结合，精确计算各节点的威胁度，完善网络风险分析结果，提高了网络风险的分析能力，有效保障了网络的安全性。

附图说明

图1是本发明方法的流程示意图；

图2是本发明中网络安全风险分析指标分解示意图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

本发明中相关概念的理论基础是如下所示：

信息系统：由计算机及其相关和配套的设备、设施(含网络)构成，是按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统；

威胁：可能导致对系统或组织产生危害的不希望事故的潜在起因；

脆弱性：可能被威胁所利用的资产或若干资产的薄弱环节；

关联关系，包括物理关联关系和逻辑关联关系，其中，物理关联关系包括拓扑连接，设备开放端口等物理关联关系，逻辑关联关系包括威胁-脆弱性、权限-脆弱性、脆弱性-脆弱性等逻辑关联关系。

如图1和图2所示，本发明的一种基于网络节点脆弱性和攻击信息的网络安全风险分析方法，其特征是，包括以下步骤：

步骤一，确定计算网络系统威胁度所需求的指标；

在网络安全框架模型的不同层面、不同侧面的各个安全纬度，有其相应的安全目标要求，而这些安全目标要求可以通过一个或多个指标来评估，以减少信息丢失和网络安全事故的发生，进而提高工作效率，降低风险。本发明以计算得到的网络系统中各个节点被攻击后产生的威胁度为基准分析网络安全风险，即指标为威胁度计算所需的指标，具体指标分解过程如图2所示，计算网络安全风险分析所需要的网络的威胁度计算指标分为攻击复杂度(C)和攻击危害度(H)两个方面指标，其中攻击危害度(H)分为安全属性影响(SF)、节点关联度(NC)和节点重要度(NI)，其中安全属性影响(SF)分为机密性(C)、完整性(I)和可用性(A)；节点重要度(NI)分为节点性质(Pr)、主体关键度(Cr)、主体业务重要度(Sr)。也可以根据不同的应用场景增加不同的节点重要度指标。综上所述，可知，计算所需求的指标最终确定为八个指标，分别为攻击复杂度(C)、机密性(C)、完整性(I)、可用性(A)、节点关联度(NC)、节点性质(Pr)、主体关键度(Cr)和主体业务重要度(Sr)。具体指标的描述如下：

1)攻击复杂度(C)

根据对攻击复杂度的分级标准，将攻击复杂度按照分为7个等级E1-E7，范围为0～1。一种攻击方式的复杂度越低，越容易被广泛利用，对网络安全来说影响度越大。具体的分级标准如下表1所示：

表1：攻击复杂度分级标准

2)攻击危害度(H)

攻击危害度H由安全属性影响(SF)、节点关联度(NC)和节点重要度(NI)共同决定，其中安全属性影响SF需结合节点对象的脆弱性状态来综合考虑，因此在脆弱性集合(VS)上引入机密性(C)、完整性(I)和可用性(A)三维指标，将安全属性与脆弱性状态结合，进行多维度的量化，量化结果如表2所示，其中VS表示脆弱性状态，access、user、root状态表示某节点对象上的该权限可以被获得，dos状态表示主机遭受拒绝服务攻击处于瘫痪状态，info-leak状态表示对象上的数据被非授权访问或者读写而导致信息泄露或被篡改，controlled状态表示主机处于可控状态，允许执行远程代码或任意命令：

表2：安全属性影响的量化表

节点关联度(NC)反映对象节点在网络中的连通性，一个节点对象的关联度越高，连通性越强，越容易被攻击或者被攻击者利用，因此影响度越大，节点关联度可根据节点对象的关联关系计算，计算公式如下所示：

$>NC\left(O_i\right)=\frac{{\mathrm{num}}_{TR}\left(O_i\right)+{\mathrm{num}}_{AR}\left(O_i\right)}{\underset{O_j\in U}{\overset{N}{\Sigma }}{\mathrm{num}}_{TR}\left(O_j\right)+{\mathrm{num}}_{AR}\left(O_j\right)}$>

其中O_i表示第i个节点对象，num_TR/AR(O_i)表示在各节点对象的关联关系描述中，与对象O_i有关的记录数。即节点的关联度由其关联关系数与网络总关联关系数的比值来计算。

节点重要度(NI)由节点性质(Pr)、主体关键度(Cr)、主体业务重要度(Sr)决定，节点性质指标的量化如表3所示，其中Host指主站、Server指服务器、Firewall指防火墙、Router指路由器、Switch指交换机、IDS指入侵检测系统；主体关键度指标的量化如表4所示；主体业务重要度指标的量化如表5所示：

表3：节点性质重要性表

HostServerFirewallRouterSwitchIDS0.30.80.50.70.80.2

表4：主体关键性分级表

表5：主体业务重要度分级表

分级重要度承担业务0.1普通承担一般性业务，主机损坏不影响业务系统。0.5重要承担普通业务，主机损坏对业务系统有一定影响。0.8非常重要业务系统中枢，主机损坏对业务系统影响非常大

步骤二，获取网络拓扑结构、网络资产属性和网络资产脆弱性信息；

依据自动拓扑发现获取网络系统拓扑图，整理网络拓扑信息及网络资产属性信息，其中网络拓扑结构包括网络节点之间的连接关系，网络资产属性信息包括网络节点存储信息的重要程度和网络节点部署业务的重要程度；使用漏扫工具(例如绿盟的nsfocus漏洞扫描仪)对待测网络系统进行漏洞扫描，获取网络资产的脆弱性信息。并将以上三类信息分节点按照固定格式整理为信息表，信息表为excel格式，每条信息包括节点ID、节点IP、节点漏洞(漏洞名称及漏洞导致的脆弱性)、节点与其他节点的联通关系(包括被访问节点ID、访问关系或者信任关系、访问导致的脆弱性)。

步骤三，构建基于Petri网的脆弱性关联关系模型；

随机Petri网即SPN(Stochastic Petri Net)模型理论，并在该SPN模型理论的基础上建立了图形化模型方法、模型状态空间化简方法、稳态参数计算方法、近似求解方法等方法。

基于以上步骤得到的网络拓扑结构中记录的网络节点之间的连接关系、资产属性信息和脆弱性信息，应用随机Petri网模型理论和威胁脆弱性关联模型，建立基于Petri网的脆弱性关联关系模型，具体包括以下步骤：

S301)根据信息表，为网络系统中的每个节点创建节点对象，节点对象包含威胁度计算所需要的各项指标和网络节点之间的访问关系；

节点对象用O_i表示，i表示第i个节点对象。具体定义如下：

O＝＜A,R＞

其中A是描述节点对象的属性集，属性集A包括节点静态属性和动态属性，静态属性包括节点名称描述、节点类型、节点网络地址、节点上存放的数据等级、节点上运行的应用程序、节点上运行业务系统的重要级别、节点上存在的系统或服务漏洞；动态属性是节点所处的脆弱状态，脆弱状态包括access、user、root、dos、info-leak和controlled状态，其中access、user、root状态表示某节点对象上的该权限可以被获得，dos状态表示该节点对象处于拒绝服务状态，info-leak状态表示对象上的数据被非授权访问或者读写而导致信息泄露或被篡改，controlled状态表示主机处于可控状态，允许执行远程代码或任意命令。

其中属性R表示节点对象之间的关联关系，包括访问关系和信任关系(访问关系由ACCESS表示，信任关系由TRUST表示)，以及关联关系的源和目的、访问前提和访问所导致的脆弱性结果。

S302)建立合法访问关联关系模型：遍历节点对象，查找节点对象与其他节点的联通信息，将联通信息按照Petri网模型的格式转化为变迁(变迁信息包括联通的源节点、联通的目的节点、联通的前提条件即联通源状态和联通导致的目的节点的脆弱状态)，存储变迁信息，获得合法访问关联关系模型；

S303)建立非法攻击关联关系模型：遍历节点对象，在不确定攻击目标的情况下推导出所有可能发生的攻击行为，即在节点联通的基础上根据节点对象的属性和节点对象之间的关联关系，挖掘任意节点之间的攻击关系，新派生的节点脆弱性状态作为新一轮的推导条件(作为新一轮的攻击变迁源节点)加入到对象的动态属性集中，不断生成新的节点对象脆弱状态，不断生成新的攻击关系，直到没有新的节点脆弱状态及新的攻击关系生成，结束攻击关系的推导，攻击关系以变迁的方式存储，即以攻击源脆弱状态作为变迁起点，攻击目标脆弱状态作为变迁终点，攻击复杂度作为变迁的值，建立非法攻击关联关系模型。

步骤四，获取IDS安全设备检测到的攻击信息，利用该攻击信息完善关联关系模型；

具体包括以下过程：

S401)接收IDS安全设备检测到的攻击信息；

S402)将攻击信息转化为包含攻击源节点、攻击目的节点、攻击方法(攻击复杂度)和攻击结果(攻击导致的攻击目的节点的脆弱状态)的变迁信息；

S403)在非法攻击关联关系模型中寻找上一步骤转换得到的变迁信息，若模型中已存在该条变迁，则忽略该条变迁，若不存在，则将该变迁加入到非法攻击关联关系模型中；

S404)重复步骤4.2和4.3，逐条解析完所有攻击信息，获得完善后的关联关系模型。

步骤五，计算网络系统中各节点的威胁度；

网络系统中节点威胁度为节点各脆弱状态(库所)威胁度之和，定义某一脆弱状态的威胁度为各条到达该脆弱状态的路径传播而来的威胁度的最大值，在不考虑其它因素的情况下认为攻击者攻击时选取威胁度最大的路径，由于攻击路径长度与威胁度成反比，因此求解威胁度问题转化为求从初始脆弱状态寻找到达各库所最优路径的问题。

节点的威胁度计算具体过程如下：

S501)认为攻击源点位于网络系统的外部，将所有外部网络的攻击点虚拟化为一个攻击点，以此作为攻击源，即以外部网络节点0作为攻击源点，计算网络系统中节点每一个脆弱状态的威胁度(这里计算的是节点0到该库所的威胁度，不直接可达则威胁度记为0)，并记录攻击路径(节点0到该库所)，将这些库所加入到未计算库所集合中；节点各脆弱状态威胁度计算方法为：

A(p_i)＝α*(1-C_λ)+β*(a₁*(P_c*C+P_i*I+P_a*A)+a₂*NC+a₃*(b₁*Pr+b₂*Cr+b₃*Sr))

其中p_i为节点的脆弱状态(库所)，C_λ为攻击复杂度，C、I、A分别为机密性、完整性和可用性值，NC为节点关联度，Pr和Cr分别为节点性质和节点主体关键度，α和β是和为1的指标权重，a₁、a₂、a₃是和为1的指标权重，P_c、P_i、P_a是和为1的指标权重，b₁、b₂和b₃是和为1的指标权重，根据实际情况可调整各指标的权重值。

S502)从未计算库所集合中选取威胁度值最大的库所p，作为变迁源点，将其移动到已计算库所集合中，计算p到所有可达库所k的威胁度，威胁度的计算方法为：源点到p的复杂度影响因子*p攻击k的威胁度；若新计算的威胁度a大于库所k原有的威胁度b，则将k的威胁度记为a并更新k的攻击路径(节点0到p的路径加上p到k的路径)；若新计算的威胁度a等于库所k原有的威胁度b，则保留原有到达k的路径并增加一条到达k的新的路径(节点0到p的路径加上p到k的路径)；其中复杂度影响因子的定义为：与由攻击者库所直接攻击库所导致的威胁度相比，由其它库所传递而来的威胁度由于传递的路径长度和前期路径的攻击复杂度的影响存在衰减，将该衰减因子称为复杂度影响因子，设置该因子为：

$>\exp (-\underset{j=1}{\overset{k-1}{\Sigma }}{\lambda }_j)$>

其中k表示到达节点各脆弱状态(库所)节点所经过的变迁数，λ_j表示前期令牌到达节点库所的复杂度；

S503)重复步骤502)，直到所有未计算库所集合中库所的威胁度最大值为0；

S504)将网络中各节点的脆弱状态(库所)的威胁度值相加，获得节点的威胁度值。

步骤六，根据计算结果分析网络安全风险；

分析以上计算出各节点的威胁度，威胁度高的节点被攻击后造成的影响大于威胁度低的节点，找出威胁度高的网络节点，查看与其相联通的节点，分析威胁度高的原因(漏洞多或者联通节点多等)，增加这些节点的防护能力，降低这些节点被攻击成功的可能性。

本发明在静态分析网络安全风险的基础上增加了使用动态信息实时更新分析计算结果的过程，将静态信息与动态信息相结合，提高了网络风险的分析能力，有效保障了网络的安全性。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。