本發(fā)明公開了一種內(nèi)部網(wǎng)絡(luò)的安全度量方法和裝置。所述方法包括：對(duì)于目標(biāo)內(nèi)部網(wǎng)絡(luò)，生成從初始節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)的原始攻擊圖；根據(jù)監(jiān)測(cè)目標(biāo)內(nèi)部網(wǎng)絡(luò)獲得的攻擊證據(jù)的時(shí)序差分關(guān)系，對(duì)所述原始攻擊圖進(jìn)行剪枝處理，獲得簡(jiǎn)化后的攻擊圖；對(duì)簡(jiǎn)化后的攻擊圖進(jìn)行鍵值對(duì)劃分，對(duì)鍵值對(duì)進(jìn)行概率計(jì)算，得到概率攻擊圖；在所述概率攻擊圖中計(jì)算目標(biāo)節(jié)點(diǎn)的累積可達(dá)概率值，并將該概率值作為目標(biāo)內(nèi)部網(wǎng)絡(luò)的安全度量參數(shù)輸出。本發(fā)明的技術(shù)方案能夠?qū)?nèi)部網(wǎng)絡(luò)進(jìn)行定量的安全度量評(píng)估。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全度量領(lǐng)域，特別涉及一種內(nèi)部網(wǎng)絡(luò)的安全度量方法和裝置。

背景技術(shù)

近年來(lái)，隨著攻擊技術(shù)的提升，攻擊事件越來(lái)越復(fù)雜，其對(duì)系統(tǒng)的損害程度也隨之增加。安全度量作為一種主動(dòng)防御技術(shù)，可以在攻擊未完成之前根據(jù)監(jiān)測(cè)報(bào)警系統(tǒng)，主動(dòng)分析和評(píng)估攻擊事件的危害程度和系統(tǒng)當(dāng)前的安全風(fēng)險(xiǎn)系數(shù)，從而使系統(tǒng)管理員可以根據(jù)評(píng)估結(jié)果及時(shí)采取相應(yīng)的防御措施。為了保護(hù)網(wǎng)絡(luò)信息系統(tǒng)中的機(jī)密數(shù)據(jù)，需要對(duì)當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)的安全性進(jìn)行度量。

攻擊圖模型是應(yīng)用最為廣泛的網(wǎng)絡(luò)安全度量模型之一。當(dāng)前國(guó)內(nèi)外專家對(duì)于攻擊圖模型的研究主要集中于如何有效地自動(dòng)生成攻擊圖以及如何控制攻擊圖的規(guī)模，而針對(duì)如何有效利用攻擊圖進(jìn)行內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的安全度量的研究較少。本發(fā)明提供了一種內(nèi)部網(wǎng)絡(luò)的安全度量方法和裝置。

發(fā)明內(nèi)容

鑒于現(xiàn)有技術(shù)主要集中于如何有效地自動(dòng)生成攻擊圖以及如何控制攻擊圖的規(guī)模，本發(fā)明提供了一種內(nèi)部網(wǎng)絡(luò)的安全度量方法和裝置。

為了實(shí)現(xiàn)上述目的，依據(jù)本發(fā)明的一個(gè)方面，提供了一種內(nèi)部網(wǎng)絡(luò)的安全度量方法，其特征在于，所述方法包括：

對(duì)于目標(biāo)內(nèi)部網(wǎng)絡(luò)，生成從初始節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)的原始攻擊圖；

根據(jù)監(jiān)測(cè)目標(biāo)內(nèi)部網(wǎng)絡(luò)獲得的攻擊證據(jù)的時(shí)序差分關(guān)系，對(duì)所述原始攻擊圖進(jìn)行剪枝處理，獲得簡(jiǎn)化后的攻擊圖；

對(duì)簡(jiǎn)化后的攻擊圖進(jìn)行鍵值對(duì)劃分，對(duì)鍵值對(duì)進(jìn)行概率計(jì)算，得到概率攻擊圖；

在所述概率攻擊圖中計(jì)算目標(biāo)節(jié)點(diǎn)的累積可達(dá)概率值，并將該概率值作為目標(biāo)內(nèi)部網(wǎng)絡(luò)的安全度量參數(shù)輸出。

進(jìn)一步地，所述對(duì)于目標(biāo)內(nèi)部網(wǎng)絡(luò)，生成從初始節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)的原始攻擊圖包括：

對(duì)目標(biāo)內(nèi)部網(wǎng)絡(luò)進(jìn)行漏洞掃描，得到目標(biāo)內(nèi)部網(wǎng)絡(luò)中所有主機(jī)的漏洞信息以及目標(biāo)內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)信息，將監(jiān)測(cè)到的目標(biāo)內(nèi)部網(wǎng)絡(luò)中的第一個(gè)攻擊證據(jù)節(jié)點(diǎn)作為初始節(jié)點(diǎn)，將目標(biāo)網(wǎng)絡(luò)中的核心資源節(jié)點(diǎn)作為目標(biāo)節(jié)點(diǎn)，利用攻擊圖生成算法生成從初始節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)的原始攻擊圖。

進(jìn)一步地，所述根據(jù)監(jiān)測(cè)目標(biāo)內(nèi)部網(wǎng)絡(luò)獲得的攻擊證據(jù)的時(shí)序差分關(guān)系，對(duì)所述原始攻擊圖進(jìn)行剪枝處理，獲得簡(jiǎn)化后的攻擊圖包括：

對(duì)于原始攻擊圖中的每一條攻擊路徑，得到其攻擊動(dòng)作觸發(fā)的攻擊證據(jù)時(shí)序差分關(guān)系，并與根據(jù)監(jiān)測(cè)目標(biāo)內(nèi)部網(wǎng)絡(luò)獲得的攻擊證據(jù)的時(shí)序差分關(guān)系進(jìn)行對(duì)比，如果匹配則保留該路徑，否則刪除該路徑。

進(jìn)一步地，所述對(duì)簡(jiǎn)化后的攻擊圖進(jìn)行鍵值對(duì)劃分包括：在簡(jiǎn)化后的攻擊圖中，對(duì)于每條攻擊路徑從初始節(jié)點(diǎn)開始進(jìn)行鍵值對(duì)劃分，直到目標(biāo)節(jié)點(diǎn)；其中，每個(gè)鍵值對(duì)包括：第一資源狀態(tài)節(jié)點(diǎn)、攻擊動(dòng)作節(jié)點(diǎn)和第二資源狀態(tài)節(jié)點(diǎn)；

所述對(duì)鍵值對(duì)進(jìn)行概率計(jì)算包括：計(jì)算攻擊動(dòng)作的發(fā)生概率以及計(jì)算攻擊動(dòng)作的成功概率。

進(jìn)一步地，在所述概率攻擊圖中計(jì)算目標(biāo)節(jié)點(diǎn)的累積可達(dá)概率包括：

在概率攻擊圖中，對(duì)于指向同一節(jié)點(diǎn)的有向邊的關(guān)系進(jìn)行判斷，如果為“與”關(guān)系，則該節(jié)點(diǎn)的概率為前節(jié)點(diǎn)的概率乘積，如果為“或”關(guān)系，則該節(jié)點(diǎn)的概率為前節(jié)點(diǎn)概率中的最大概率；

如此依次計(jì)算，得到目標(biāo)節(jié)點(diǎn)的累積可達(dá)概率。