[发明专利]基于关联分析的系统安全评估方法和装置

说明书

技术领域

本发明属于网络安全评估领域，，特别涉及一种基于关联分析的系统安全评估方法和装置。 

背景技术

在近年来不断发生的安全事件都是由已知网络漏洞引起，黑客多利用已有漏洞的特性，研发对应的黑客工具进行逐步的渗透。黑客利用漏洞扫描工具探测目标网络中存在漏洞的目标主机，对目标主机漏洞发起攻击，成功后获取主机上的部分权限，在权限和条件允许的情况下，从攻陷主机出发通过网络向其他主机发起攻击，成功后再提升权限，多次重复此攻击过程，从而进入网络内部，直达网络内部服务器、数据库等目标资源。由于大部分的网络安全问题都是由系统本身的安全漏洞引发的，如果能及时发现和有效的修复安全漏洞，就可以降低系统安全风险，遏制网络攻击事件的频发。攻击图技术正是从网络漏洞渗透关系出发，找出网络中最薄弱、最边缘的潜在渗透点，帮助安全人员找到网络的风险源头。 

攻击图技术是上世纪九十年代基于图论的漏洞分析技术演变而来的一种综合网络安全评估技术。传统的漏洞评估工具只是孤立的分析漏洞本身，对网络安全的评估也是简单将多个漏洞风险叠加，这些方法忽略了真正的网络风险源，使网络安全的成本一再升高。攻击图从入侵者角度出发，利用主机开启服务、网络拓扑关系及路由规则等因素，结合现有的攻击模式，将孤立的漏洞进行关联分析，找出各个漏洞之间的渗透依赖关系，绘制出潜在的黑客入侵路径。网络安全分析人员利用攻击图可以清晰的发现网络中可能被利用的薄弱环节，然后采取有针对性的防御措施。 

传统的网络安全技术已经不能满足现在的复杂网络结构，漏洞关联评估在传统的漏洞检测基础上发展而来，对漏洞进行关联评估可以更准确的反应网络安全状况。本文在此基础上提出了网络安全关联评估方法，利用攻击图等相关技术进行漏洞关联评估，对网络进行安全度量。 

发明内容

1、本发明的目的。 

由于现有技术中，主机的资源损失，往往和主机及其网络的漏洞有关，单一的主机漏洞不能对网络造成大的威胁，但是漏洞之间的相互关联和利用关系可以对网络安全造成严重影响，本发明为了解决上述问题而提出的一种基于关联分析的系统安全评估方法和装置。 

2、本发明所采用的技术方案。 

基于关联分析的系统安全评估方法，按照以下步骤进行： 

a．基于OVAL的漏洞检测收集网络主机配置信息及其拓扑信息；

b．对收集网络信息进行整理分析，获取网络安全要素，安全要素构成网络初始状态，将初始状态放入安全状态队列；

c．对网络漏洞信息进行收集，通过漏洞信息库，分析并建立转换规则，将漏洞信息转换成攻击状态队列；

d．通过前向后向搜索的攻击图生成算法遍历攻击状态节点队列，经过前向搜索会生成完整的网络攻击图，经过后向搜索，排除攻击图中不可达目标状态节点的攻击序列和冗余序列将发生转换的新状态加入队列，直至所有状态转换结束；

e．根据状态节点的转换关系和渗透依赖关系构建网络攻击图，用PageRank计算模型对攻击图中不同状态节点的重要性进行权值计算，判断攻击图的关键节点及关键路径，设定安全权值，所述的步骤e中的状态节点的权值与安全权值比较，如果小于安全权值则为安全。

基于关联分析的系统安全评估装置，包括以下部分： 

信息采集单元，用于基于OVAL的漏洞检测收集网络主机配置信息及其拓扑信息；

网络安全初始化单元，用于对收集网络信息进行整理分析，获取网络安全要素，安全要素构成网络初始状态，将初始状态放入安全状态队列；

漏洞信息采集单元，用于对网络漏洞信息进行收集，通过漏洞信息库，分析并建立转换规则，将漏洞信息转换成攻击状态队列；

网络扫描单元，用于通过前向后向搜索的攻击图生成算法遍历攻击状态节点队列，经过前向搜索会生成完整的网络攻击图，经过后向搜索，排除攻击图中不可达目标状态节点的攻击序列和冗余序列将发生转换的新状态加入队列，直至所有状态转换结束；

系统安全判断单元，用于根据状态节点的转换关系和渗透依赖关系构建网络攻击图，用PageRank计算模型对攻击图中不同状态节点的重要性进行权值计算，判断攻击图的关键节点及关键路径，设定安全权值，所述的步骤e中的状态节点的权值与安全权值比较，如果小于安全权值则为安全。

3、本发明的有益效果。 

1)      通过对主机等的系统采集，并对其进行关联分析找出漏洞依赖关系，可以准确、高效地进行网络安全评估；