[发明专利]一种网络系统漏洞风险评估方法及装置

说明书

本发明实施例提供一种网络系统漏洞风险评估方法及装置，包括：对每个漏洞的评估指标进行评估量化，得到每个漏洞的攻击收益值；根据网络漏洞依赖图，得到每个漏洞的全局被利用概率值；根据所述攻击收益值和所述全局被利用概率值，获取攻击者利用每个漏洞的最终收益值；根据所述最终收益值，获取每种排列组合路径下每个漏洞的沙普利值，以得到漏洞风险评估指标。本发明实施例通过获取不同排列组合下漏洞节点的收益，将得到的每个漏洞节点的沙普利值作为最后的风险评价指标，充分考虑网络系统环境中的漏洞之间的关联关系，以根据评估结果得到整个网络中高威胁程度和低威胁程度的漏洞，为网络系统的安全性能优化提供依据，保证网络系统的安全。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络系统漏洞风险评估方法及装置。

背景技术

网络环境中操作系统、应用软件等存在漏洞是影响网络系统安全的关键因素之一。网络系统中的漏洞存在于软硬件产品的设计、实现与运行管理等各个环节，任何一家公司生成发行的网络系统产品中都包含或多或少的漏洞，完全消除网络系统产品的所有漏洞是不现实的。对于网络系统产品使用者来说，由于缺乏专业的知识、发行商不能及时发布漏洞补丁或者打补丁成本过高等原因导致漏洞无法被及时修复，因此这些存在漏洞的网络系统产品可能会被潜在的攻击者利用，造成巨大的影响。即使用户在技术上有能力修复这些漏洞，但其修复也受到经济、人力预算等资源约束。这就需要企业用户对自己的网络系统环境进行风险评估，确定网络系统修复的优先顺序，最大化修复收益。

现有对漏洞进行风险评估的主要方式之一是通用漏洞评估系统(CommonVulnerability Scoring System，简称CVSS)，该系统会根据提前确定的标准针对漏洞本身的特点对漏洞的风险进行评估，给出一个评估值，但是忽略了网络系统漏洞所处的网络环境对漏洞风险的影响。

因此，现在亟需一种网络系统漏洞风险评估方法及装置来解决上述问题。

发明内容

针对现有技术存在的问题，本发明实施例提供一种网络系统漏洞风险评估方法及装置。

第一方面，本发明实施例提供一种网络系统漏洞风险评估方法，包括：

对每个漏洞的评估指标进行评估量化，得到每个漏洞的攻击收益值；

根据网络漏洞依赖图，得到每个漏洞的全局被利用概率值；

根据所述攻击收益值和所述全局被利用概率值，获取攻击者利用每个漏洞的最终收益值；

根据所述最终收益值，获取每种排列组合路径下每个漏洞的沙普利值，以得到漏洞风险评估指标。

进一步地，在所述对每个漏洞进行评估量化，得到每个漏洞的攻击收益值之前，所述方法还包括：

根据漏洞节点集和有向边集，构建网络漏洞依赖图。

具体地，所述评估指标包括：利用方式、攻击复杂度和可利用性。

进一步地，所述对每个漏洞的评估指标进行评估量化，得到每个漏洞的攻击收益值，包括：

对每个漏洞的评估指标进行评估量化，得到攻击者利用每个漏洞的利用代价；

根据所述利用代价，得到攻击者利用每个漏洞的攻击收益值。

进一步地，所述根据网络漏洞依赖图，得到每个漏洞的全局被利用概率值，包括：

获取每个漏洞被攻击者单独利用的概率值；

根据网络漏洞依赖图上每个漏洞之间的依赖关系和所述概率值，获取每个漏洞的全局被利用概率值。

进一步地，所述根据所述最终收益值，获取每种排列组合路径下每个漏洞的沙普利值，以得到漏洞风险评估指标，包括：