[发明专利]基于网络节点脆弱性和攻击信息的网络安全风险分析方法

摘要

本发明公开了一种基于网络节点脆弱性和攻击信息的网络安全风险分析方法，包括以下步骤：步骤一，确定计算网络系统威胁度所需的指标；步骤二，获取网络拓扑结构、网络资产属性和网络资产脆弱性信息；步骤三，构建基于Petri网的脆弱性关联关系模块；步骤四，获取IDS安全设备检测到的攻击信息，利用该攻击信息完善关联关系模型；步骤五，计算网络系统中各节点的威胁度；步骤六，根据各节点的威胁度值分析网络安全风险。本发明利用实时检测到的攻击信息实时更新静态分析中建立的Petri网脆弱性关联关系模型，精确计算各节点的威胁度，完善网络风险分析结果，提高了网络风险的分析能力，有效保障了网络的安全性。

主权项

1.一种基于网络节点脆弱性和攻击信息的网络安全风险分析方法，其特征是，包括以下步骤：步骤一，确定计算网络系统威胁度所需的指标；步骤二，获取网络拓扑结构、网络资产属性和网络资产脆弱性信息；步骤三，构建基于Petri网的脆弱性关联关系模块；步骤四，获取IDS安全设备检测到的攻击信息，利用该攻击信息完善关联关系模型；步骤五，计算网络系统中各节点的威胁度；步骤六，根据各节点的威胁度值分析网络安全风险；在所述步骤一中，计算威胁度所需的指标包括攻击复杂度、机密性、完整性可用性、节点关联度、节点性质、主体关键度和主体业务重要度八个指标；在所述步骤二中，获取网络拓扑结构和网络资产属性采用自动拓扑发现方式，获取网络资产脆弱性信息采用漏洞扫描方式；在所述步骤三中，构件脆弱性关联关系模型的过程为：S301)为网络系统中的每个节点创建节点对象，节点对象包含网络资源属性和网络节点之间的访问关系；节点对象用Oi表示，i表示第i个节点对象；具体定义如下：O＝其中A是描述节点对象的属性集，R表示节点对象之间的关联关系；S302)建立合法访问关联关系模型：遍历节点对象，查找节点对象与其他节点的联通信息，将联通信息按照Petri网格式转化为变迁，存储变迁信息，获得合法访问关联关系模型；S303)建立非法攻击关联关系模型：遍历节点对象，根据建立的合法访问关联关系模型，推导出所有可能的攻击关系，创建非法变迁，存储非法变迁信息，获得非法攻击关联关系模型；在S301)中，A属性集包括节点静态属性和动态属性，静态属性包括节点名称描述、节点类型、节点网络地址、节点上存放的数据等级、节点上运行的应用程序、节点上运行业务系统的重要级别、节点上存在的系统或服务漏洞；动态属性是节点所处的脆弱状态，包括access、user、root、dos、info‑leak和controlled状态；R包括访问关系、信任关系以及关联关系的源和目的、访问前提和访问所导致的脆弱性结果；在步骤S303)中推到攻击关系过程为，在节点联通的基础上根据节点对象的属性和节点对象之间的关联关系，挖掘任意节点之间的攻击关系，新派生的节点脆弱性状态作为新的攻击变迁源节点加入到对象的动态属性集中，不断生成新的节点对象脆弱状态，不断生成新的攻击关系，直到没有新的节点脆弱状态及新的攻击关系生成，结束攻击关系的推导；在所述步骤四中，完善关联关系模型的具体过程为：S401)接收IDS安全设备检测到的攻击信息；S402)将攻击信息转化为包含攻击源节点、攻击目的节点、攻击复杂度和攻击导致的攻击目的节点的脆弱状态的变迁信息；S403)在非法攻击关联关系模型中寻找上一步骤转换得到的变迁信息，若模型中已存在该条变迁，则忽略该条变迁，若不存在，则将该变迁加入到非法攻击关联关系模型中；S404)重复步骤S402和S403，逐条解析完所有攻击信息，获得完善后的关联关系模型。