服務化信息系統攻擊效能綜合評估方法屬于網絡空間安全技術領域，尤其涉及一種服務化信息系統攻擊效能綜合評估方法。本發明提供一種四維度賦權的服務化信息系統攻擊效能綜合評估方法。本發明包括以下步驟：1）建立服務化信息系統攻擊效能多級評估指標因素集；2）建立基于四維度賦權公式的權重集；3）建立終端評估指標因素的多尺度隸屬函數；4）建立服務化信息系統攻擊效能綜合評估模型。

技術領域

本發明屬于網絡空間安全技術領域，尤其涉及一種服務化信息系統攻擊效能綜合評估方法。

背景技術

信息系統(Information system)是由計算機硬件、網絡和通信設備、計算機軟件、信息資源、信息用戶和規章制度組成的以處理信息流為目的的人機一體化系統。信息系統具有一般意義的層次模型：物理層、操作系統層、工具層、數據層、功能層、業務層和用戶層。信息系統的結構模式有集中式的結構模式、客戶機/服務器(C/S)結構模式和瀏覽器/服務器(B/S)結構模式三種。

服務化信息系統通常是指采用了面向服務架構(SOA，service-orientedarchitecture)的信息系統。服務化信息系統具有可重用、松耦合、明確定義的接口、無狀態的服務設計和基于開放標準等基本特性。SOA是一個組件模型，它將應用程序的不同功能單元(稱為服務)通過這些服務之間定義良好的接口和契約聯系起來。接口是采用中立的方式進行定義的，它應該獨立于實現服務的硬件平臺、操作系統和編程語言。這使得構建在各種這樣的系統中的服務可以以一種統一和通用的方式進行交互。SOA包括三種角色：服務請求者，服務提供者和服務注冊中心。服務請求者是一個應用程序、一個軟件模塊或需要一個服務的另一個服務。服務請求者發起對注冊中心中的服務的查詢，通過傳輸綁定服務，并且執行服務功能。服務請求者根據接口契約來執行服務。服務提供者是一個可通過網絡尋址的實體，它接受和執行來自請求者的請求。服務提供者將自己的服務和接口契約發布到服務注冊中心，以便服務請求者可以發現和訪問該服務。服務注冊中心是服務發現的支持者，它包含一個可用服務的存儲庫，并允許感興趣的服務請求者查找服務提供者接口。Web服務是典型的SOA技術規范實現。Web服務采用Web服務描述語言(WSDL，Web ServicesDescription Language)，統一描述、定義和集成(UDDI，Universal DescriptionDefinition and Integration)規范和簡單對象訪問協議(SOAP，Simple Object AccessProtocol)三要素組成。WSDL用來描述服務，UDDI用來注冊和查找服務，而SOAP 用來在服務需求者和服務提供者之間傳送消息。

服務化信息系統以服務和共享為核心，基于開放的標準和協議，具有松散耦合、支持應用系統高效整合和業務流程隨需應變等特點。然而，系統在服務共享和開放的同時引入了更多的不安全因素，增加了被攻擊的風險。例如：由于系統采用通用的運行時環境、跨平臺異構系統間的數據共享和服務調用規范，因此存在訪問數組越界、不信任應用程序提升權限、內存分配、程序集加載、異常處理、資源管理等安全風險。攻擊方針對系統服務訂閱、查詢、發布等過程，通過截取、監聽、接入、重置、轉義、仿冒、重放、拒止、接管等攻擊方法，有可能造成服務化信息系統的服務資源毀傷和信息欺騙。

對服務化信息系統的攻擊效能進行綜合評估,在網絡攻防對抗中具有重要意義。通過對服務化信息系統攻擊的效能給出定性和定量的評價，一方面有助于攻擊方檢驗攻擊行為的有效性,促使其不斷開發新的攻擊技術和手段；另一方面也有助于防御方采取更為有效的安全策略和方法，促進其安全性能的提升。