| 主权项 |
一种基于攻击图邻接矩阵的网络安全评估装置,其特征在于包括:信息收集装置:实时收集网络中的所有信息;收集目标网络中的网络布局、路由规则和防火墙信息,利用扫描工具或网管软件获取网络设备和主机配置信息,使用漏洞扫描策略扫描网络主机来获取主机系统的基本配置信息和存的漏洞信息;原子攻击图生成装置:生成对网络安全进行后续分析所需要的主机对间的初始原子攻击图;利用信息收集装置获得的网络拓扑信息、主机漏洞信息来生成初始的原子攻击图,确定攻击图状态节点权重,即确定实施攻击成功的概率;矩阵计算装置:一是将生成的原子攻击图转化为对应的邻接矩阵,二是通过设置迭代次数来计算邻接矩阵对应的迭代矩阵;网络安全分析装置:最终生成的迭代矩阵的基础上得到关键主机、关键路径信息;所述漏洞扫描策略分为主动式和被动式两种,主动式漏洞扫描策略:根据扫描手段的不同又分为基于主机的漏洞检测和基于网络的漏洞检测;基于主机的漏洞检测:目标主机上安装代理或者服务,访问主机的文件系统、注册表、系统服务和审计信息,完整的扫描到所有漏洞;基于网络的漏洞检测:主要是通过网络远程扫描计算机;被动式漏洞扫描策略:基于特征匹配原理:被动地捕获目标主机的网络数据流并对其进行分析,然后与数据库中漏洞定义规则进行匹配来判断主机系统是否存漏洞;将生成的主机对间的原子攻击图转化为对应的邻接矩阵:两个主机间<Hi,Hj>可以生成攻击图则对应的攻击图邻接矩阵元素aij=Weight;其中Hi,Hj表示主机i和主机j,i、j=1,2,…,n,n是网络中所有主机数量之和,Weight则是权重表示Hi对Hj攻击成功的最大概率;使用L(h,v)来表示节点损失,L(h,v)=C(h)*S(v),其中C(h)表示主机的重要程度,根据主机提供服务和网络功能的不同分为不同的等级对对其进行量化,使其取值范围落入区间[0,1]内;S(v)表示脆弱性造成危害的严重程度,利用CVSS评分机制进行量化,使其取值范围落入区间[0,10]内;矩阵计算装置:邻接矩阵A=(a<sub>ij</sub>)<sub>m×l</sub>,B=(b<sub>ij</sub>)<sub>m×l</sub>,对角线元素都为0,C是一个m×n矩阵,且C中的元素<img file="FDA0000621060190000011.GIF" wi="322" he="94" />同时对角线元素都为0,记作<img file="FDA0000621060190000012.GIF" wi="236" he="60" />其中a<sub>ij</sub>、b<sub>ij</sub>分别表示邻接矩阵A和B中的元素,m、l表示矩阵的行、列,如果A=B,m=l,则C为A的2步迭代矩阵,那么<img file="FDA0000621060190000021.GIF" wi="380" he="110" />就叫做A的n步迭代矩阵;通过查看计算出来的各次损失迭代矩阵中大于给定阈值的元素值,找出关键路径;将最后生成的迭代矩阵中各行元素分别求和并按照从大到小排序,找出大于给定阈值行号,进而求出第一类关键主机,将最后生成的迭代矩阵中各列元素求出来并按照由大到小排序,找出大于给定阈值的列号,进而求出第二类关键主机;同时使用加权平均聚合的方法来对主机脆弱性进行聚合求得网络脆弱性指数评估值来判断目标网络的安全级别;还包括结果呈现装置:将找出来的关键主机和关键路径在拓扑结构图中动态地显示出来,关键路径是一台主机经过几台主机作为跳板进行多次攻击才渗透到目标主机所形成的路径则需要在拓扑结构图中先将此路径找出来再用加粗的线动态展示出来;第一类和第二类关键主机就拓扑结构图中分别用红和黄来表示;而当前网络的脆弱性则在拓扑结构图的右上角用矩形块来表示,不同的颜色代表网络处于不同的状态,红色表示网络此时处于严重危险状态,黄色表示处于危险状态,同时生成一张网络脆弱性指标随时间动态变化的趋势图,并生成对应的日志信息;攻击图状态节点权重的确定采用以下方式进行确定:使用PageRank计算模型R(H)=(1‑d)/N+d*(R(H<sub>1</sub>)/C(H<sub>1</sub>)+...+R(H<sub>n</sub>)/C(H<sub>n</sub>)),其中n表示攻击图中状态节点的数量,R(H)表示攻击图状态节点H的权值,d是阻尼系数一般取值是0.85,R(H<sub>i</sub>)表示指向状态节点H的H<sub>i</sub>节点的权值,C(H<sub>i</sub>):状态节点H<sub>i</sub>出度弧线的数量;使用NVD数据库中的AccessComplexity字段属性值E量化用来表示权重,E为高则权重为0.35,E为中则权重为0.61,E为低则权重为0.71,E为不定的话权重取值为0.71。 |
