基于权限获取概率推理的网络安全风险评估方法和系统

1.本发明涉及一种基于权限获取概率推理的网络安全风险评估方法和系统，属于通信网络安全技术领域。


背景技术：

2.网络安全风险评估，是指对网络系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。网络安全风险评估是一种常用的主动网络防御技术，它能够通过识别网络中的资产、脆弱性和威胁等信息，计算各类网络安全事件发生的可能性和对应损失，从而定性或定量地度量网络安全防护水平。其中，资产指对组织具有价值的信息或资源，脆弱性指可能被威胁所利用的资产或若干资产的薄弱环节；威胁指可能导致对系统或组织危害的不希望事故潜在起因。
3.在传统网络安全风险评估方法中，存在着评估主观性强、自动化程度低、算法复杂度高等问题。


技术实现要素：

4.本发明的目的在于克服现有技术中的不足，提供一种基于权限获取概率推理的网络安全风险评估方法和系统，以解决现有技术中网络安全风险评估主观性强、自动化程度低等问题。
5.为解决上述技术问题，本发明是采用下述方案实现的：
6.本发明提供了一种基于权限获取概率推理的网络安全风险评估方法，包括：
7.形式化定义输入的网络拓扑信息、漏洞补丁信息、设备软硬件信息及其他基本信息；
8.提取网络用户权限信息和权限依赖信息并结合形式化定义后的网络拓扑信息、漏洞补丁信息、设备软硬件信息及其他基本信息，生成用户权限转化图；
9.根据用户权限转化图推理攻击者从初始权限出发、经过若干步攻击后得到的用户权限获取概率；
10.根据预先建立的安全风险度量指标，计算网络安全风险并评估。
11.本发明还提供了一种基于权限获取概率推理的网络安全风险评估系统，包括：
12.网络安全信息定义模块，用于形式化定义输入的网络拓扑信息、漏洞补丁信息、设备软硬件信息及其他基本信息；
13.用户权限转化图生成模块，用于提取网络用户权限信息和权限依赖信息并结合形式化定义后的网络拓扑信息、漏洞补丁信息、设备软硬件信息及其他基本信息，生成用户权限转化图；
14.用户权限获取概率推理模块，用于根据用户权限转化图推理攻击者从初始权限出发、经过若干步攻击后得到的用户权限获取概率；
15.网络安全风险评估模块，用于根据预先建立的安全风险度量指标，计算网络安全
风险并评估。
16.与现有技术相比，本发明所达到的有益效果：本发明首先通过形式化的方式，对输入的网络拓扑信息、软硬件部署信息、漏洞信息及其他基本信息进行精确描述，然后，提取网络用户权限信息和权限依赖信息，结合用户权限重要性和漏洞利用难度，构建用户权限转化图，接着，不断利用用户现有权限，对用户下一步可能获得的权限进行推理，最后，计算出攻击者获得各种用户权限的概率，进而定量评估网络风险。本发明能够根据网络基本信息，合理评估当前网络安全风险，网络安全指标能够有效反应网络安全防护状态的变化。
附图说明
17.图1是本发明实施例提供的一种基于权限获取概率推理的网络安全风险评估方法的流程示意图；
18.图2是本发明实施例提供的一种用户权限转化图示例；
19.图3是本发明实施例提供的一种实际权限获取概率向量的推理流程示意图；
20.图4是本发明实施例提供的一种实验拓扑环境的网络框架示意图；
具体实施方式
21.下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。
22.实施例一：
23.本实施例提供了一种基于权限获取概率推理的网络安全风险评估方法，如图1所示，其基本流程分为安全信息建模、用户权限获取概率推理和网络安全风险度量三个阶段。
24.在安全信息建模阶段，其主要任务是将网络拓扑信息、漏洞补丁信息、设备软硬件信息及其他基本信息进行统一建模，形成对应的用户权限转化图，实现对网络攻击路径关键权限之间关系的准确表示。
25.在用户权限获取概率推理阶段，其主要任务是根据建立的用户权限转化图，获取从特定的用户初始权限出发，经过特定的步数，能够获得到各种用户权限的概率。
26.在网络安全风险度量阶段，其主要任务是依托发现的用户权限获取概率，根据建立的安全风险度量指标，计算出目标网络安全风险并评估。
27.一)形式化定义网络安全信息
28.用户权限转化图生成的输入，主要包括网络拓扑信息、漏洞补丁信息、设备软硬件信息及其他基本信息。
29.网络拓扑信息主要包括网络设备、网络设备接口、网络拓扑和网络安全策略等信息。网络设备用集合p＝{pi}(1≤i≤pn)表示，其中pi为第i个网络设备，pn为网络设备的数量；网络设备接口用集合表示，其中为网络设备pi的第j个接口，nj为网络设备pi的接口数量；网络拓扑采用无向图gt＝(t,et)表示，图中的节点为网络设备接口t，图中的链路表示节点之间的数据流动关系，表示数据能够在设备pu上的第m个接口和设备pv上的第n个接口之间的链路上进行双向流动，设备pu和设备pv可以是同一设备，也可以是物理上相邻的设备；网络安全策略采用集合s＝
{(e,re)}(e∈et)表示，其中e为安全策略作用的目标链路，为对应目标链路的访问控制列表集合，其中和分别为设备pu上的第m个接口和设备pv上的第n个接口，hi表示第i个软硬件，表示允许接口访问部署在接口上，由软硬件hi提供的网络服务。
30.漏洞补丁信息主要包括漏洞库、补丁库、攻击库、补丁漏洞修复等基础信息。漏洞库采用集合v＝{vi}(1≤i≤vn)表示，其中vi表示第i个漏洞，vn为漏洞的数量；补丁库采用集合c＝{ci}(1≤i≤cn)表示，其中ci表示第i个补丁，cn为补丁的数量；攻击库采用集合va＝{(v,k,m)}(v∈v)表示，其中v表示攻击所使用的漏洞，k表示攻击后果，k∈{user,root}表示利用该攻击进行攻击后，将获取网络设备上的普通用户权限或管理员权限，m表示攻击的方式，m∈{local,remote}表示攻击为本地发起或远程发起；补丁漏洞修复采用集合cv＝{(c,v)}(c∈c；v∈v)表示，其中(c,v)表示安装补丁c能够修复漏洞v。
31.设备软硬件信息包括硬件库、软硬件漏洞、设备软硬件、设备补丁，软硬件库采用集合h＝{hi}(1≤i≤hn)表示，其中hi表示第i个软硬件，hn为软硬件数量；软硬件漏洞采用集合表示，其中vmin表示最小版本号，vmax表示最大版本号，表示自然数，(v,h,vmax,vmin)表示当软硬件h的版本号大于或等于vmin且小于或等于vmax时，软硬件h拥有漏洞v；设备软硬件采用集合表示，其中(t,h,vs)表示在网络设备接口t上部署了软硬件h，其版本号为vs；设备补丁用集合pc＝{(p,c)}(p∈p；c∈c)表示，其中(p,c)表示网络设备p上安装了补丁c。
32.其他基本信息包括用户权限重要性信息和漏洞利用难度信息，用户权限重要性信息用函数表示，它表示用户权限的重要性；漏洞利用难度信息用函数表示，它表示漏洞的利用难度；表示正实数。
33.二)生成用户权限转化图
34.用户权限转化图可以被形式化表示为gp＝(np,ep,γ,λ,ξ)，它是一张有向图，其中np是节点集合，表示网络权限；ep＝{(npi,npj)}是边的结合，边(npi,npj)表示用户获取了权限npi之后，将有一定的概率获取到权限npj；γ:np
→
{user,root}为节点类型函数,user代表该节点对应的类型为普通用户权限，root代表该节点类型为管理员权限；为输入的用户权限重要性度量函数；为依赖关系映射函数,ξ(ep)，ep∈ep表示权限依赖关系强度。
35.图2给出了一个用户权限转化图的示例，在该例子中，共有p1、p2、p3、
……
、p8等8个网络权限，其中4个权限为普通用户权限(用椭圆表示)，其余4个权限为管理员权限(用方框表示)。每个节点内的数字表示该节点对应权限的重要性，而每条边上的数字表示该边的权限依赖关系强度，数字越大，代表获取到起点节点对应的权限后，获取到终点节点对应的权限的可能性越大。例如：边(p6,p7)对应的权限依赖关系强度为30，而边(p4,p7)对应的权限依赖关系强度为5，那么相较于获取到p4后再获取p7，获取到p6后再获p7更加容易。
36.用户权限转化图生成的主要步骤分为节点添加、设备访问关系处理和边添加三个阶段。在节点添加阶段，主要是对网络中的每一个设备，分别添加其用户权限和管理员权限所对应的节点；在设备访问关系处理阶段，主要是根据网络拓扑关系和网络安全策略，得到
相应的网络访问关系；在边添加阶段，主要是根据漏洞类型，区分本地权限提升漏洞和远程权限提升漏洞，结合设备补丁安装情况，判断权限之间的依赖关系，并在对应节点上添加边，继而根据漏洞危害程度，对边的权重进行调整，实现对网络安全基础信息的整体表达。
37.具体地：输入：网络设备集合p，网络设备接口集合t，网络拓扑gt，网络安全策略集合s，漏洞集合v，补丁集合c，软硬件集合h，软硬件漏洞映射集合vh，设备软硬件映射集合th，设备补丁映射集合tc，用户权限重要性度量函数漏洞利用难度度量函数和权限依赖关系强度ξ(ep)；输出：用户权限转化图gp。
38.步骤如下：
39.步骤1：构建用户权限转化图gp＝(np,ep,γ,λ,ξ)，设置
40.步骤2：对于每一个网络设备p∈p，在gp中增加两个节点puser和proot，分别对应设备p的用户权限和管理员权限，即np＝np∪puser∪proot，之后设置γ(puser)＝user、γ(proot)＝root以及λ(puser)＝0、λ(proot)＝0；
41.步骤3：转到步骤2，处理下一个网络设备，直至所有的网络设备处理完成，转到步骤4；
42.步骤4：根据网络拓扑gt和网络安全策略s，得到设备之间的访问关系，并存储为集合plink＝{(pm,pn,hi)}，表示通过网络设备pm能够访问到网络设备pn上部署的软硬件hi所提供的服务；
43.步骤5：对于每一个网络设备p∈p，在集合th查找其所部署的软硬件和对应的版本号，记为ph，然后对ph中每一个元素(h',vs)，根据条件h＝h'、vs≤vmax和vmin≤vs，在集合vh中查找对应的漏洞，最后对每一个出现的漏洞v，统计其对应的资产集合h*，形成漏洞资产对应集合pv＝{(p,v,h*)}；
44.步骤6：在集合pc中查找网络设备p所安装的补丁，记为fc，然后对fc中每一个补丁c'，在集合cv中根据条件c＝c'，查找其能够修复的漏洞v，所有查找到的漏洞形成集合fv；
45.步骤7：对于pv中的每一个元素(p,v,h*)，如果v在集合fv中存在，则将其从pv中删除，重复该过程，直至pv中的所有元素处理完毕；
46.步骤8：对于pv中的每一个元素(p,v,h*)，在va中查找漏洞v对应的攻击类型k和攻击方式m，构成五元组(p,v,k,m,h*)；
47.步骤9：对于每一个五元组(p,v,k,m,h*)，当k＝root且m＝local时，在gp中查找设备p的user权限和root权限所对应的节点，分别记为ns和nt。如果则增加一条从节点ns指向节点nt的边且设置ξ((ns,nt))＝γ(v)，否则ξ((ns,nt))＝ξ((ns,nt)) γ(v)；
48.步骤10：对于每一个五元组(p,v,k,m,h*)，当k＝user且m＝remote时，对于集合plink中每一个元素(pm,pn,hk)，如果pn＝p且hk∈h*，则在gp中查找设备pm的root权限和网络设备p的user权限所对应的节点，分别记为ns和nt。如果则增加一条从节点ns指向节点nt的边且设置ξ((ns,nt))＝γ(v)，否则ξ((ns,nt))＝ξ((ns,nt)) γ(v)；反复此过程，直至plink中所有元素处理完毕；
49.步骤11：对于每一个五元组(p,v,k,m,h*)，当k＝root且m＝remote时，对于集合plink中每一个元素(pm,pn,hk)，如果pn＝p且hk∈h*，则在gp中查找设备pm的root权限和网
络设备p的root权限所对应的节点，分别记为ns和nt。如果则增加一条从节点ns指向节点nt的边且设置ξ((ns,nt))＝γ(v)，否则ξ((ns,nt))＝ξ((ns,nt)) γ(v)；反复此过程，直至plink中所有元素处理完毕；
50.步骤12：转到步骤8，处理pv中的下一个元素，直至所有元素处理完毕。
51.需要注意的是，上述步骤9至11中ns和nt仅用作临时定义或标记。
52.三)用户权限获取概率推理
53.在网络攻击路径发现阶段，引入攻击者初始权限和攻击者最终权限两个概念。攻击者初始权限，是指在初始情况下攻击者拥有各种权限的概率。它可以用初始权限获取概率向量i＝(i1,i2,
…
,ii,
…
,i
2*pn
)表示，其中ii为攻击者在初始情况下获取到第i个权限的概率，由于每一个网络设备均涉及到用户和管理员两个权限，所以向量的维度为2*pn，pn为网络设备的数量。攻击者最终权限，是指攻击者在经过若干步攻击后所拥有的各种权限的概率，它可以用实际权限获取概率向量a＝(a1,a2,
…
,ai,
…
,a
2*pn
)表示，其中ai为此时攻击者获取到第i个权限的概率。
54.计算网络安全风险的关键，在于通过某个初始权限获取概率向量i，对实际权限获取概率向量a进行推理。这个过程主要可以分为三个步骤，如图3所示。
55.实际权限获取概率向量推理过程，主要分为三个阶段：用户权限转化图初始化、用户权限转化图推理和实际权限获取概率向量生成。其基本思想是按照初始权限概率向量的非零分量数量，生成多个用户权限转化图。初始时，每个用户权限转化图仅按照一个非零分量进行初始化，设置其对应节点的权限获取概率，然后通过各个可能边的权限依赖强度来选择拟获得的下一权限。每进行一次攻击，则将原权限获取概率按照一定比例进行折扣，直至达到最大迭代次数。当迭代完成后，将所有用户权限转化图上对应节点的权限获取概率进行累加，对实际权限获取概率向量对应分量进行设置，从而完成实际权限获取概率向量的计算。
56.在用户权限转化图初始化阶段，主要是通过初始权限获取概率向量，创建多个用户权限转化图，为后期推理奠定基础。具体地，首先根据初始权限获取概率向量i中非0元素的个数，生成对应数量的用户权限转化图；接着在每一张图上，仅对一个i中一个非0分量所对应的节点，对应设置其权限获取概率，而对于该用户权限转化图上的其它节点，均将节点对应的权限获取概率设置为0。如在图3中，由于初始权限获取概率向量i中有4个非0分量，则生成4张不同的用户权限转化图。在第1张图上，仅将节点p1对应的权限获取概率设置为0.4，而将其它节点对应的权限获取概率均设置为0，其它用户权限转化图依次设置。
57.在用户权限转化图推理阶段，主要是在每一张对应数量生成的用户权限转化图上，通过预定义的攻击阈值和最大迭代次数，不断自主选择下一步攻击权限，实时调整节点权限获取概率。具体地，在每一张对应数量生成的用户权限转化图上，查找所有由权限获取概率大于0的节点指向权限获取概率等于0的节点的边，形成集合cedge，然后计算cedge中所有边的权限依赖强度之和，记为intension；接着，在区间[0,threshold]中随机选择整数r，如果r小于intension，则在cedge内所有边中，根据每条边的权限依赖强度，按概率选择一条边；当边(sk,tk)被选择后，更新节点tk的节点权限获取概率为φk(sk)*γ和的较小值，前者模拟一步攻击的执行过程，后者则保证所有用户权限转化图上同一节点的
节点权限获取概率累加不超过1；如果r不小于intension，则本次迭代不执行攻击。当所有用户权限转化图均执行了一步迭代后，将折扣系数γ更新为γ2，循环迭代步骤并循环更新γ为γ2直至最大迭代次数maxiter；其中，threshold为攻击阈值，(sk,tk)表示第k张对应数量生成的用户权限转化图中的边，φk(sk)和φk(tk)分别表示第k张对应数量生成的用户权限转化图中的节点sk和tk的权限获取概率且φk(sk)＞0，φk(tk)＝0，γ(0＜γ＜1)为折扣系数，1≤k≤2*pn，pn为网络设备的数量。
[0058]
在实际权限获取概率向量生成阶段，是对迭代完成后的多张对应数量生成的用户权限转化图进行合并，生成最终的实际权限获取概率向量。具体地，即将所有对应数量生成的用户权限转化图中同一节点的权限获取概率累加，形成实际权限获取概率向量a中对应的分量。
[0059]
具体地，输入：当前用户权限转化图集合gp＝{gpi}(1≤i≤n)，在这其中，gpi＝(npi,epi,γi,λi,ξi)，n为当前用户权限转化图数量；当前网络权限获取概率映射函数集合φ＝{φi}，其中函数表示图gpi中各个节点的当前权限获取概率；攻击阈值threshold；最大迭代次数maxiter；折扣系数γ；输出：实际权限概率向量a＝(a1,a2,
…
,ai,
…
,a
2*pn
)。
[0060]
四)网络安全风险评估
[0061]
网络安全风险度量指标：结合用户权限转化图和攻击者权限的相关定义可以发现，资产价值可以用权限的敏感程度来进行表示，资产的价值越高，其对应权限就越敏感，因为获取了该权限后能够发动攻击的危害性越高；威胁频度可以用攻击者初始权限的分布来表示，威胁的频度越低，攻击者在初始时拥有对应权限的概率就越小，而网络的安全风险，则可以通过在不同初始状态下攻击者获取敏感权限的加权平均概率来进行度量，即：
[0062][0063]
其中，pi表示初始权限获取概率向量集合，集合中的每一个初始权限获取概率向量i表示不同的初始状态；，|pi|为集合pi的大小；ni是用户权限转化图中的第i个节点，λ(ni)表示节点的敏感性；a为初始权限获取概率向量i对应的实际权限获取概率向量，ai是a的第i个分量，表示攻击者经过若干步攻击后，拥有节点ni所对应权限的概率，pn为网络设备的数量；
[0064]
根据公式(1)，计算得出当前网络的安全风险并评估。
[0065]
实施例二：
[0066]
本实施例提供了一种基于权限获取概率推理的网络安全风险评估系统，包括：
[0067]
网络安全信息定义模块，用于形式化定义输入的网络拓扑信息、漏洞补丁信息、设备软硬件信息及其他基本信息；
[0068]
用户权限转化图生成模块，用于提取网络用户权限信息和权限依赖信息并结合形式化定义后的网络拓扑信息、漏洞补丁信息、设备软硬件信息及其他基本信息，生成用户权限转化图；
[0069]
用户权限获取概率推理模块，用于根据用户权限转化图推理攻击者从初始权限出发、经过若干步攻击后得到的用户权限获取概率；
[0070]
网络安全风险评估模块，用于根据预先建立的安全风险度量指标，计算网络安全风险并评估。
[0071]
需要说明是，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，模块、装置或单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0072]
为了验证本发明的有效性，以某公司实际网络为基础，提取对应的网络软硬件信息和拓扑信息，实验环境基本拓扑如图4所示，在该实验环境中，存在着外网、内网和停火区三个部分，其中外网设备包括外网交换机、外网服务器1和外网服务器2三个设备；内网设备包括用户终端1、用户终端2、用户终端3、用户交换机、用户路由器和防火墙等设备；停火区包括停火区交换机、数据库服务器、web服务器、ftp服务器等设备。
[0073]
不同的设备，安装了不同的软硬件系统，其基本信息如表1所示。
[0074]
表1网络设备软硬件系统
[0075]
[0076][0077]
依托图4的模拟网络进行实验，在实验中，主要比较不同的网络安全策略对网络安全风险指标的变化情况，分别创建三个模拟环境：环境一中防火墙、路由器上不添加任何的安全防护策略；环境二中仅在防火墙上增加对应的安全防护策略，保证所有的服务都被正确防护；环境三中，不仅仅在防火墙上增加对应的安全防护策略，而且在路由器上也增加相应的访问控制列表，实现对用户和服务器的相互隔离。此时，各个环境的网络安全风险指标如表2所示。
[0078]
表2不同安全防护策略下网络安全风险指标
[0079]
序号环境安全风险指标1环境10.4222环境20.8273环境30.910
[0080]
通过对模拟环境进行实验可以发现，基于权限获取概率推理的网络安全风险评估方法能够有效地评估当前网络的安全风险，安全风险度量指标能够有效地表示当前网络安全风险值得大小。通过表1中的数据可以发现，网络安全风险评估指标对网络安全配置十分敏感。环境1中的安全风险指标要远远大于环境2和环境3，而环境3又略微高于环境2，这与理论分析结果相吻合：当在网络中不设置任何安全策略时，其安全风险会显著增高，而合理地设置网络安全策略，将会有效地降低网络安全风险。
[0081]
综上所述，本发明提出了一种基于权限获取概率推理的网络安全风险评估方法和系统，对网络的脆弱性和风险进行建模和量化，并为网络安全管理人员提供了网络的维护方向和加固决策，该方法以知识推理得出的数据为依据，以生成的网络权限转化图作为计算安全风险的载体，使用基于随机选取攻击目标的方式统计模拟出攻击路线，从而计算出了网络安全风险评估值,并且通过比较同一网络中不同配置下的风险值大小，验证了方法的有效性。
[0082]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0083]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0084]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0085]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0086]
以上结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。