本發(fā)明公開了一種基于權(quán)限依賴圖的網(wǎng)絡(luò)運(yùn)維脆弱性分析方法，權(quán)限依賴圖，四元組來表示，即：PDG＝(N′,E′,π′,σ′)，N′是節(jié)點(diǎn)的集合，E′是邊的集合，函數(shù)σ′:N′×{0,1}是對(duì)節(jié)點(diǎn)的賦值函數(shù)。本發(fā)明基于權(quán)限依賴圖，對(duì)運(yùn)維配置脆弱性分析方法進(jìn)行了改進(jìn)，通過分析權(quán)限之間的依賴關(guān)系，計(jì)算網(wǎng)絡(luò)運(yùn)維脆弱性度量指標(biāo)；通過基于權(quán)限權(quán)重矩陣的運(yùn)維脆弱性度量指標(biāo)，能夠有效地降低算法復(fù)雜度，縮短算法執(zhí)行時(shí)間。

技術(shù)領(lǐng)域

本發(fā)明涉及用戶實(shí)際權(quán)限之間的依賴關(guān)系分析技術(shù),具體涉及一種基于權(quán)限依賴圖的網(wǎng)絡(luò)運(yùn)維脆弱性分析方法。

背景技術(shù)

在進(jìn)行網(wǎng)絡(luò)運(yùn)維脆弱性分析時(shí)，需要根據(jù)初始權(quán)限矩陣，然后利用權(quán)限變化規(guī)則得到最終的實(shí)際權(quán)限矩陣，專利201810991421.3提出一種網(wǎng)絡(luò)運(yùn)維脆弱性分析方法，該方法以網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)和多域配置作為基本分析對(duì)象，以用戶實(shí)際權(quán)限與應(yīng)得權(quán)限之間的差值作為度量指標(biāo)，建立相應(yīng)的分析算法，有效發(fā)現(xiàn)因網(wǎng)絡(luò)運(yùn)行維護(hù)管理不當(dāng)對(duì)網(wǎng)絡(luò)安全性的影響，該方法思路相對(duì)簡(jiǎn)單，但是由于在計(jì)算過程中，對(duì)于每一條權(quán)限變化規(guī)則，均通過迭代的方法計(jì)算最終可能獲得的權(quán)限，在利用整個(gè)規(guī)則集迭代計(jì)算用戶實(shí)際權(quán)限的過程中，如果由某個(gè)規(guī)則變更了用戶權(quán)限，即將進(jìn)行一輪新的權(quán)限迭代計(jì)算，導(dǎo)致相應(yīng)的權(quán)限計(jì)算復(fù)雜度較高，難以用于大規(guī)模的實(shí)際網(wǎng)絡(luò)，為了降低算法復(fù)雜性，本發(fā)明提出了一種基于權(quán)限依賴圖的用戶實(shí)際權(quán)限計(jì)算方法，該方法更加關(guān)注于網(wǎng)絡(luò)運(yùn)維配置脆弱性的本質(zhì)，即當(dāng)前配置下的用戶權(quán)限依賴關(guān)系。

發(fā)明內(nèi)容

1、本發(fā)明的目的

本發(fā)明為了解決現(xiàn)有技術(shù)中多域信息表示圖的運(yùn)維配置脆弱性分析方法算法復(fù)雜度高，難以適應(yīng)大規(guī)模實(shí)際網(wǎng)絡(luò)，網(wǎng)絡(luò)運(yùn)維脆弱性度量難以反映權(quán)限重要程度的弱點(diǎn)，提出了權(quán)限依賴圖的概念，對(duì)其進(jìn)行了形式化的定義，并基于權(quán)限依賴圖，對(duì)運(yùn)維配置脆弱性分析方法進(jìn)行了改進(jìn)，實(shí)現(xiàn)用戶實(shí)際權(quán)限的快速計(jì)算，并提出了兩種基于權(quán)限權(quán)重向量的網(wǎng)絡(luò)運(yùn)維脆弱性度量指標(biāo)，能夠有效地反映目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)運(yùn)維脆弱性。

2、本發(fā)明所采用的技術(shù)方案

權(quán)限依賴圖表示更為核心的安全狀態(tài)，即網(wǎng)絡(luò)空間內(nèi)用戶權(quán)限的依賴關(guān)系。這種用戶權(quán)限依賴關(guān)系，是網(wǎng)絡(luò)空間內(nèi)所有配置綜合作用的結(jié)果，也是網(wǎng)絡(luò)空間配置能夠影響網(wǎng)絡(luò)安全狀態(tài)的核心原因。由此本發(fā)明公開了一種基于權(quán)限依賴圖的網(wǎng)絡(luò)運(yùn)維脆弱性分析方法，四元組來表示，即：PDG＝(N′,E′,π′,σ′)，其中:

N′是節(jié)點(diǎn)的集合，在權(quán)限依賴圖中，共有3類節(jié)點(diǎn)，分別是用戶節(jié)點(diǎn)NPS、權(quán)限節(jié)點(diǎn)NPRI和AND節(jié)點(diǎn)NAND；用戶節(jié)點(diǎn)表示某個(gè)用戶，權(quán)限節(jié)點(diǎn)表示某個(gè)權(quán)限，而AND節(jié)點(diǎn)表示權(quán)限之間的“與”關(guān)系，視為一種用于輔助分析的權(quán)限；

函數(shù)π′:N′×L′為節(jié)點(diǎn)到節(jié)點(diǎn)類型的映射函數(shù)，其中L′＝{NPS,NPRI,NAND}是節(jié)點(diǎn)類型的集合；

E′是邊的集合，所有的邊均為有向邊，表示權(quán)限之間的依賴關(guān)系；對(duì)于一條從節(jié)點(diǎn)n_a到節(jié)點(diǎn)n_b的邊，如果節(jié)點(diǎn)n_a是用戶節(jié)點(diǎn)，而節(jié)點(diǎn)n_b是權(quán)限節(jié)點(diǎn)，則表示用戶n_a能夠獲得權(quán)限n_b；如果節(jié)點(diǎn)n_a為權(quán)限節(jié)點(diǎn)或AND節(jié)點(diǎn)，n_b為權(quán)限節(jié)點(diǎn)，則表示任何已獲得權(quán)限n_a的用戶將能夠獲得權(quán)限n_b；對(duì)于指向同一節(jié)點(diǎn)n_b的多條邊，如果節(jié)點(diǎn)n_b的類型是權(quán)限節(jié)點(diǎn)，則多條邊之間的關(guān)系是“或”的關(guān)系，即滿足任意一條邊的條件，則用戶就能獲得權(quán)限n_b；如果節(jié)點(diǎn)n_b的類型是AND節(jié)點(diǎn)，則多條邊之間的關(guān)系是“與”的關(guān)系，即同時(shí)滿足所有邊的條件，用戶才能夠獲得權(quán)限n_b；