一种应用于网络靶场的防御效能评估方法转让专利
申请号 : CN202010937894.2
文献号 : CN111818102B
文献日 : 2020-12-11
发明人 : 王森淼 , 涂腾飞 , 李超
申请人 : 信联科技(南京)有限公司
摘要 :
本发明涉及一种应用于网络靶场的防御效能评估方法,从潜在威胁风险的严重性、以及具有防御功能的设备在进行攻击防御时的响应两个动作两个维度入手,针对防御系统的设计缺陷、以及设备实际运行时存在的问题实现评估,将防御效果进行量化,实现防御效能的客观评价,应用中,能够满足不同应用场景与安全风险定义标准下的防御方案效能评估,无需针对每一个特定场景进行单独建模分析,并且能够以量化的形式对系统的防御策略进行效能评估,与安全人员进行渗透测试模拟网络攻击行为的方法相比,本发明更加全面可控,有助于明确网络安全设备和被保护资产之间的关系、安全威胁和防御之间的关系、以及安全设备和整体防御系统之间的关系。
权利要求 :
1.一种应用于网络靶场的防御效能评估方法,其特征在于:包括网络靶场防御效能的检测方法,包括如下步骤:步骤A.定义网络靶场自初始状态时刻起的预设时长范围为检测时间段,分别针对网络靶场中的各个镜像设备,统计镜像设备在检测时间段内依次经过各潜在威胁、由初始状态到最后状态的完整威胁路径如下:Pn={sn1、en1、sn2、…、enm-1、snm、…enM-1、snM}
式中,n∈{1、…、N},N表示网络靶场中镜像设备的总数,sn1表示网络靶场中第n个镜像设备的初始状态,m∈{1、…、M},M表示镜像设备在检测时间段内的状态总数;enm-1表示第n个镜像设备所经过的第m-1次潜在威胁,snm表示第n个镜像设备经过第m-1次潜在威胁后的状态,snM表示第n个镜像设备经过第M-1次潜在威胁后的状态,即镜像设备在检测时间段内的最后状态,Pn表示第n个镜像设备在检测时间段内依次经过各潜在威胁、由初始状态到最后状态的完整威胁路径,然后进入步骤B;
步骤B.分别针对网络靶场中的各个镜像设备,根据镜像设备的完整威胁路径,按如下公式:
获得各个镜像设备被成功攻击的概率,式中,1<j≤k<i≤M,ank表示第n个镜像设备在检测时间段内成功由第k个状态转移到下一个状态的概率,bnk表示第n个镜像设备在检测时间段内未成功由第k个状态转移到下一个状态的概率,Pnt表示第n个镜像设备的被成功攻击的概率,然后进入步骤C;
步骤C.根据各个镜像设备分别所对应被成功攻击的概率,获得各镜像设备完整威胁路径中所涉及各个不同类型潜在威胁的风险等级,然后进入步骤D;
步骤D.分别针对网络靶场中的各个镜像设备,获取镜像设备完整威胁路径中所经过的各个不同类型的潜在威胁,并根据镜像设备的完整威胁路径,获得该镜像设备在其被成功攻击概率下、分别针对该各个不同类型潜在威胁的防御结果;然后进入步骤E;
步骤E.按如下公式:
获得网络靶场的防御效能结果S,其中,wn表示网络靶场中第n个镜像设备的权重,ln∈{1、…、Ln},Ln表示第n个镜像设备完整威胁路径中不同类型潜在威胁的数量,ln表示第n个镜像设备完整威胁路径中第l个类型的潜在威胁, 表示第n个镜像设备在其被成功攻击概率Pnt下、针对其完整威胁路径中第l个类型潜在威胁的防御结果, 表示第n个镜像设备完整威胁路径中第l个类型潜在威胁的风险等级。
2.根据权利要求1所述一种应用于网络靶场的防御效能评估方法,其特征在于,所述步骤C包括如下步骤:步骤C1.针对网络靶场中的各个镜像设备,按各镜像设备被成功攻击概率由小至大的顺序进行排序,构成镜像设备排序,然后进入步骤C2;
步骤C2.针对网络靶场中各镜像设备的被成功攻击概率进行归一化操作,获得各个归一化结果,然后将各个归一化结果按从大至小的顺序、依次作为镜像设备排序中各镜像设备的系数,并进入步骤C3;
步骤C3.分别针对全部镜像设备完整威胁路径中所涉及的各个不同类型潜在威胁,由潜在威胁针对网络靶场中的各镜像设备分别进行攻击,获得其中成功攻击的各镜像设备的系数之和,作为该潜在威胁所对应的风险结果值;进而获得各潜在威胁分别所对应的风险结果值,然后进入步骤C4;
步骤C4.针对各潜在威胁,按潜在威胁所对应风险结果值由小至大的顺序进行排序,以各潜在威胁由1起的排序序号,构成各潜在威胁的风险等级。
3.根据权利要求1所述一种应用于网络靶场的防御效能评估方法,其特征在于:所述步骤D中,按成功攻击,则标记防御结果为1,不成功攻击,则标记防御结果为0,根据镜像设备的完整威胁路径,获得镜像设备在其被成功攻击概率下、分别针对该各个不同类型潜在威胁的防御结果。
4.根据权利要求1所述一种应用于网络靶场的防御效能评估方法,其特征在于:所述步骤E中,针对网络靶场中各个镜像设备的预设经济价值进行归一化操作,所获各个结果即为各个镜像设备的权重。
5.根据权利要求1所述一种应用于网络靶场的防御效能评估方法,其特征在于:还包括镜像设备重要性检测方法,用于实现目标镜像设备重要性值的检测,包括如下步骤:步骤i.确定目标镜像设备所对应防御范围内的各个镜像设备,构成目标镜像设备所对应的防御镜像设备集合,然后进入步骤ii;
步骤ii.将目标镜像设备所对应防御镜像设备集合作为网络靶场,执行步骤A至步骤E的方法,获得该网络靶场的防御效能结果,即作为目标镜像设备的重要性值。
6.根据权利要求1或5所述一种应用于网络靶场的防御效能评估方法,其特征在于:还包括镜像设备部署重要性检测方法,用于获得网络靶场中镜像设备部署重要性量化检测,镜像设备部署重要性检测方法基于步骤A至步骤C的执行,还包括如下步骤I至步骤IV;
步骤I.分别针对网络靶场中的各个镜像设备,基于镜像设备的完整威胁路径,获得该镜像设备对其完整威胁路径中各个不同类型潜在威胁的响应结果量化值,然后进入步骤II;
步骤II.分别针对网络靶场中的各个镜像设备,针对镜像设备对其完整威胁路径中各个不同类型潜在威胁的响应结果量化值,执行归一化操作,获得各个归一化结果,构成该各响应结果量化值分别所对应的影响权重;然后进入步骤III;
步骤III.分别针对网络靶场中的各个镜像设备,按如下公式:
获得网络靶场中各镜像设备分别对应的防御效果;式中, 表示第n个镜像设备对其完整威胁路径中第l个类型潜在威胁的响应结果量化值, 表示第n个镜像设备对其完整威胁路径中第l个类型潜在威胁的响应结果量化值的影响权重, 表示网络靶场中第n个镜像设备所对应的防御效果;然后进入步骤IV;
步骤IV.根据如下公式:
获得网络靶场中镜像设备部署重要性的量化检测结果Idq。
说明书 :
一种应用于网络靶场的防御效能评估方法
技术领域
[0001] 本发明涉及一种应用于网络靶场的防御效能评估方法,属于网络靶场效能评估技术领域。
背景技术
[0002] 互联网的不断发展,在给人们带来方便的同时,使得人们面临的安全威胁也越来越多。互联网的普及与开放让网络黑客有机可乘,他们利用各种非法手段令网络遭受木马、病毒等安全威胁,使网络无法运行。随着技术水平的不断提高,各种网络攻击的种类不断增多,攻击也愈发复杂,尤其是高级持续性威胁正在以极快的速度融合多重攻击技术。网络中的各种漏洞的隐匿给网络安全带来极大的隐患,网络攻击者往往以网络漏洞为突破口,采用多种方式对网络进行攻击,这些攻击会影响整个网络的多种安全指标,扰乱网络秩序。
[0003] 然而,安全设备的威胁防御功能设计与预期与实现效果存在差距、安全工作人员的技术水平参差不齐、网络安全管理制度和流程不完善、网络攻击技术的不断进步等因素导致了安全设备在信息系统中的部署方式无法达到最优,不能完全解决信息系统存在的网络安全问题,因此,对防御系统进行测评仍面临着严峻的挑战。同时,信息系统作为承载功能业务和数据信息的基础设施,已经成为多数企事业机构运行和发展过程中的关键因素。信息系统虽然由物理设备和网络设备组成,但由于不同信息系统中的物理设备、功能业务、数据信息和网络环境的不同,其存在的安全威胁也不同。
[0004] 目前工业界进行防御效果评估的主要方式是通过渗透测试模拟网络攻击行为,尽可能地去发现目标防御系统无法防御的弱点。然而,这种实际操作方法缺少对信息系统的建模,评估效果完全取决于渗透测试人员的技术水平和工作经验,信息系统间的差异导致过程容易出现遗漏,并且该方法无法对评估结果进行量化,具有很大程度上的不可控性和局限性。为了更加全面的对信息系统的安全性量化评估,基于建模的测评方案被广泛提出。在现有方案中,信息系统中的单设备节点和单安全要素的建模研究已经较为成熟,但对单一设备节点进行建模,缺少信息系统中各类设备节点的共性描述,且对单一安全要素进行建模,大多针对特定应用场景,无法满足信息系统间的差异性。同时,国内外尚没有对信息系统及其防御系统这一整体进行建模。因此,现阶段针对网络安全防御系统整体防御效果的效能量化评估的技术方面还有所欠缺,研究网络安全防御系统测评与优化涉及的关键技术,及时有效地发现防御系统中存在遗漏、缺陷或重复建设地安全设备,在当下具有极其重要的实践意义。
[0005] 现有技术中,专利CN20161 0330336.3 提出了一种防御系统,包括透明防火墙,定时巡检模块,流量统计模块,病毒隔离模块,病毒特征匹配模块,端口审计模块,流量统计模块,网络异常评估模块,防御决策生成模块,防御决策执行模块,应急通道模块,还原模块,数据隔离上传模块。实现了对网络流量的监测与审计,维护了网络的良好状态;通过对未知入侵行为的分析及记忆,提高网络免疫能力;在入侵后能有效控制危害范围,保证网络畅通和服务的正常提供,同时可以根据不同的网络攻击自动生成和执行不同的防御决策方案,提高了系统的自主修复还原能力,维护了网络的稳定运营。但该发明没有对防御体系进行量化,仅是防御策略的制定。
[0006] 专利CN20181 0588918.0 提出“网络目标防御效能评估方法、电子设备、存储介质及系统”,具体公开了网络目标防御效能评估方法,包括将网络资源图进行分层处理得到分层网络资源图;获取初始时刻的初始分层网络资源图、以及当前的当前分层网络资源图;检测初始节点层与当前节点层的相似度;计算初始分层网络资源图和当前分层网络资源图中资源层的资源依赖关系、以及资源关联度;根据资源关联度、以及资源依赖关系,计算当前分层网络资源图的防御成功率、以及防御成本;根据防御成功率以及防御成本评估防御效益。
[0007] 专利CN20181 0594501.5 提出“面向攻击的网络安全态势预测方法、装置及系统”,具体公开一种面向攻击的网络安全态势预测方法、装置及系统,该方法包含:检测并收集网络对抗环境下的报警数据和网络环境运维信息,获取网络安全态势预测所需的要素集,该要素集包含攻击方、防御方和网络环境三类信息;对攻击方能力和防御方水平进行评估,建立动态贝叶斯攻击图,计算攻击阶段数和攻击状态发生概率向量;结合漏洞评分标准和网络资产信息,从时空维度量化网络安全态势值。该发明主要着眼在网络安全态势地预测,从而给出防御建设地指导,但并没有涉及到网络防御体系地效能评估。
[0008] 专利CN20181 1358905.0 提出“基于攻防关联矩阵的网络安全效能评价方法”,并具体公开一种基于攻防关联矩阵的网络安全效能评价方法,属于信息安全技术领域。综合考虑系统防御能力,以及网络遭受攻击后对系统的性能、核心资产的性能和防护能力、系统提供的业务等造成的影响,通过攻防关联矩阵的计算,利用目标网络受攻击前后的变化值,综合多个离散点的权重累加,实现对网络安全效能的评价。该发明能够对单一设备节点的防御能力进行评估,对于整个网络体系地防御量化仍然有所欠缺。
[0009] 专利CN20191 1028421.4 提出“一种网络环境现状评估方法、装置、电子设备及存储介质”,其中具体公开一种网络环境现状评估方法、装置、电子设备及存储介质,用以解决现有技术中多采用渗透测试及搭建虚拟环境的方法进行网络安全现状评估,评估准确性低且费用高的问题。该方法包括:调研目标网络环境信息,按照所述信息进行资源配置,建立目标网络环境的仿真网络环境;利用模拟入侵方案入侵所述仿真网络环境,对入侵过程及防护情况进行描述,生成入侵结果,并对入侵过程、防护情况及入侵结果进行可视化展示;根据入侵过程、防护情况及入侵结果进行推演并生成电子报告;评估人员根据电子报告及可视化展示情况,对目标网络的防御情况给出评价,生成目标网络环境现状评估报告及目标网络环境优化建议报告。但该发明没有将防御效能评估进行量化。
发明内容
[0010] 本发明所要解决的技术问题是提供一种应用于网络靶场的防御效能评估方法,从潜在威胁风险的严重性、以及具有防御功能的设备在进行攻击防御时的响应两个动作两个维度入手,针对防御系统的设计缺陷、以及设备实际运行时存在的问题实现评估,将防御效果进行量化,实现防御效能的客观评价。
[0011] 本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种应用于网络靶场的防御效能评估方法,包括网络靶场防御效能的检测方法,包括如下步骤:
[0012] 步骤A.定义网络靶场自初始状态时刻起的预设时长范围为检测时间段,分别针对网络靶场中的各个镜像设备,统计镜像设备在检测时间段内依次经过各潜在威胁、由初始状态到最后状态的完整威胁路径如下:
[0013] Pn={sn1、en1、sn2、…、enm-1、snm、…enM-1、snM}
[0014] 式中,n∈{1、…、N},N表示网络靶场中镜像设备的总数,sn1表示网络靶场中第n个镜像设备的初始状态,m∈{1、…、M},M表示镜像设备在检测时间段内的状态总数;enm-1 表示第n个镜像设备所经过的第m-1次潜在威胁,snm表示第n个镜像设备经过第m-1次潜在威胁后的状态,snM表示第n个镜像设备经过第M-1次潜在威胁后的状态,即镜像设备在检测时间段内的最后状态,Pn表示第n个镜像设备在检测时间段内依次经过各潜在威胁、由初始状态到最后状态的完整威胁路径,然后进入步骤B;
[0015] 步骤B.分别针对网络靶场中的各个镜像设备,根据镜像设备的完整威胁路径,按如下公式:
[0016]
[0017] 获得各个镜像设备被成功攻击的概率,式中,1<j≤k<i≤M,ank表示第n个镜像设备在检测时间段内成功由第k个状态转移到下一个状态的概率,bnk表示第n个镜像设备在检测时间段内未成功由第k个状态转移到下一个状态的概率,Pnt表示第n个镜像设备的被成功攻击的概率,然后进入步骤C;
[0018] 步骤C.根据各个镜像设备分别所对应被成功攻击的概率,获得各镜像设备完整威胁路径中所涉及各个不同类型潜在威胁的风险等级,然后进入步骤D;
[0019] 步骤D.分别针对网络靶场中的各个镜像设备,获取镜像设备完整威胁路径中所经过的各个不同类型的潜在威胁,并根据镜像设备的完整威胁路径,获得该镜像设备在其被成功攻击概率下、分别针对该各个不同类型潜在威胁的防御结果;然后进入步骤E;
[0020] 步骤E.按如下公式:
[0021]
[0022] 获得网络靶场的防御效能结果S,其中,wn表示网络靶场中第n个镜像设备的权重, ln∈{1、…、Ln},Ln表示第n个镜像设备完整威胁路径中不同类型潜在威胁的数量,ln表示第n个镜像设备完整威胁路径中第l个类型的潜在威胁, 表示第n个镜像设备在其被成功攻击概率Pnt下、针对其完整威胁路径中第l个类型潜在威胁的防御结果, 表示第n个镜像设备完整威胁路径中第l个类型潜在威胁的风险等级。
[0023] 作为本发明的一种优选技术方案,所述步骤C包括如下步骤:
[0024] 步骤C1.针对网络靶场中的各个镜像设备,按各镜像设备被成功攻击概率由小至大的顺序进行排序,构成镜像设备排序,然后进入步骤C2;
[0025] 步骤C2.针对网络靶场中各镜像设备的被成功攻击概率进行归一化操作,获得各个归一化结果,然后将各个归一化结果按从大至小的顺序、依次作为镜像设备排序中各镜像设备的系数,并进入步骤C3;
[0026] 步骤C3.分别针对全部镜像设备完整威胁路径中所涉及的各个不同类型潜在威胁,由潜在威胁针对网络靶场中的各镜像设备分别进行攻击,获得其中成功攻击的各镜像设备的系数之和,作为该潜在威胁所对应的风险结果值;进而获得各潜在威胁分别所对应的风险结果值,然后进入步骤C4;
[0027] 步骤C4.针对各潜在威胁,按潜在威胁所对应风险结果值由小至大的顺序进行排序,以各潜在威胁由1起的排序序号,构成各潜在威胁的风险等级。
[0028] 作为本发明的一种优选技术方案:所述步骤D中,按成功攻击,则标记防御结果为1,不成功攻击,则标记防御结果为0,根据镜像设备的完整威胁路径,获得镜像设备在其被成功攻击概率下、分别针对该各个不同类型潜在威胁的防御结果。
[0029] 作为本发明的一种优选技术方案:所述步骤E中,针对网络靶场中各个镜像设备的预设经济价值进行归一化操作,所获各个结果即为各个镜像设备的权重。
[0030] 作为本发明的一种优选技术方案:还包括镜像设备重要性检测方法,用于实现目标镜像设备重要性值的检测,包括如下步骤:
[0031] 步骤i.确定目标镜像设备所对应防御范围内的各个镜像设备,构成目标镜像设备所对应的防御镜像设备集合,然后进入步骤ii;
[0032] 步骤ii.将目标镜像设备所对应防御镜像设备集合作为网络靶场,执行步骤A至步骤 E的方法,获得该网络靶场的防御效能结果,即作为目标镜像设备的重要性值。
[0033] 作为本发明的一种优选技术方案:还包括镜像设备部署重要性检测方法,用于获得网络靶场中镜像设备部署重要性量化检测,镜像设备部署重要性检测方法基于步骤A至步骤 C的执行,还包括如下步骤I至步骤IV;
[0034] 步骤I.分别针对网络靶场中的各个镜像设备,基于镜像设备的完整威胁路径,获得该镜像设备对其完整威胁路径中各个不同类型潜在威胁的响应结果量化值,然后进入步骤 II;
[0035] 步骤II.分别针对网络靶场中的各个镜像设备,针对镜像设备对其完整威胁路径中各个不同类型潜在威胁的响应结果量化值,执行归一化操作,获得各个归一化结果,构成该各响应结果量化值分别所对应的影响权重;然后进入步骤III;
[0036] 步骤III.分别针对网络靶场中的各个镜像设备,按如下公式:
[0037]
[0038] 获得网络靶场中各镜像设备分别对应的防御效果;式中, 表示第n个镜像设备对其完整威胁路径中第l个类型潜在威胁的响应结果量化值, 表示第n个镜像设备对其完整威胁路径中第l个类型潜在威胁的响应结果量化值的影响权重, 表示网络靶场中第n 个镜像设备所对应的防御效果;然后进入步骤IV;
[0039] 步骤IV.根据如下公式:
[0040]
[0041] 获得网络靶场中镜像设备部署重要性的量化检测结果Idq。
[0042] 本发明所述一种应用于网络靶场的防御效能评估方法,采用以上技术方案与现有技术相比,具有以下技术效果:
[0043] 本发明所设计应用于网络靶场的防御效能评估方法,从潜在威胁风险的严重性、以及具有防御功能的设备在进行攻击防御时的响应两个动作两个维度入手,针对防御系统的设计缺陷、以及设备实际运行时存在的问题实现评估,将防御效果进行量化,实现防御效能的客观评价,应用中,能够满足不同应用场景与安全风险定义标准下的防御方案效能评估,无需针对每一个特定场景进行单独建模分析,并且能够以量化的形式对系统的防御策略进行效能评估,与安全人员进行渗透测试模拟网络攻击行为的方法相比,本发明更加全面可控,有助于明确网络安全设备和被保护资产之间的关系、安全威胁和防御之间的关系、以及安全设备和整体防御系统之间的关系,实现防御效能的客观评价。
附图说明
[0044] 图1是网络靶场中镜像设备的结构与应用示意图;
[0045] 图2是本发明所设计一种应用于网络靶场的防御效能评估方法的示意图。
具体实施方式
[0046] 下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
[0047] 网络靶场由若干镜像设备互相连接组成,各镜像设备之间通过网络向其他的镜像设备提供功能服务,如图1所示,网络靶场中的镜像设备是一系列数据集合的载体,用户借助网络访问系统中设备的功能服务。
[0048] ·对于网络靶场中的每个镜像设备,用集合Data={data1,data2,...,datan}表示一个镜像设备上包含的所有的数据。
[0049] ·镜像设备通过Service提供的功能服务来提供其与外部交互的接口,一个镜像设备可能包含若干个功能服务。将其每个服务用S表示,将S在运行时使用到和影响到的数据的集合用DataS表示,且
[0050] ·将镜像设备提供的某一个服务与其影响到的数据定义为状态State={S,DataS}。
[0051] ·数据的操作权限可以分为读权限与写权限,使用矩阵per=[r,w]T表示某一数据的权限,r表示读权限,w表示写权限。对于状态State中的S,其数据DataS的权限矩阵per= [perd1,perd2,...,perdn]。对于权限矩阵per1和per2,假设矩阵维度相同,aij代表矩阵per1第i行第j列的元素,bij代表矩阵per2第i行第j列的元素,对于任意i和j,有aij≤bij,则per1≤per2,表示per1的权限不大于per2的权限。
[0052] ·对于状态State中的服务S,不同身份的用户User访问该服务S对应的权限为 per(User),一个服务S可能向多个用户角色提供服务。则S在状态State中运行的权限表示为perState,则per(User)≤perState。
[0053] 潜在威胁是镜像设备整个生命周期中存在的固有属性,是任何潜在会对网络系统造成安全问题的因素。网络攻击是任何尝试对目标网络和系统进行暴露、破坏、修改、宕机、非法访问或者使用目标数据的行为。潜在威胁可能发生或不发生。漏洞是镜像设备上已知的潜在威胁点,利用漏洞促使攻击成功,其本质是攻击者利用漏洞发起攻击使攻击者的权限发生改变。
[0054] ·各镜像设备存在的潜在威胁可以表示为ATT={att1,att2,...,attn}。
[0055] ·各镜像设备存在的安全漏洞可以表示为VUL={vul1,vul2,...,vuln}。
[0056] ·若攻击者对某一镜像设备发起攻击,则攻击流可表示为 (srcip,srcport,destip,destport,pro,att),其中att表示攻击对应的潜在威胁类型。
[0057] ·若某一镜像设备上提供的服务S存在漏洞vul,攻击者以用户身份User进行操作,则其权限为per(User)。攻击者成功利用漏洞后权限将由per(User)变为per′(User),即漏洞vul实现了per(User)到per′(User)的变换。一般来说per(User)≤per′(User),即攻击者通过利用漏洞获得了对镜像设备操作的更高权限。
[0058] 在网络系统中部署各种具有安全防御功能的镜像设备组成一个安全防御系统,可以对网络系统中镜像设备存在的威胁进行防御。
[0059] ·根据功能类型的不同,可以将系统防御分为检测、阻断、认证和加密安全四个方面。检测类可以发现对系统的攻击行为,但不能对攻击行为进行阻止;阻断类能够阻止攻击行为;加密安全可以对数据进行加密,是数据对未授权的用户具有不可读权限;认证用于对用户进行认证,是用户获得相应的权限。
[0060] ·不同的防御功能使用Fun表示。
[0061] ·对攻击流(srcip,srcport,destip,destport,pro,att),若att∈Fun,则表示该镜像设备能够防御潜在威胁att。
[0062] ·使用(detect,stop,warn,log)表示对攻击的响应,其中,detect表示检测、stop表示阻断、warm表示告警,log表示堆攻击的详细记录。
[0063] ·使用type表示部署了防御功能的设备在整个靶场系统中的接入方式,当type=1 时,表示串联接入,当type=0时,表示旁路接入。
[0064] ·对于攻击流(srcip,srcport,destip,destport,pro,att),只有部署了防御功能的设备能够防御该攻击
[0065] 基于上述对网络靶场的建模,本发明对此设计了一种应用于网络靶场的防御效能评估方法,包括网络靶场防御效能的检测方法,如图2所示,具体执行如下步骤A至步骤E。
[0066] 步骤A.定义网络靶场自初始状态时刻起的预设时长范围为检测时间段,分别针对网络靶场中的各个镜像设备,统计镜像设备在检测时间段内依次经过各潜在威胁、由初始状态到最后状态的完整威胁路径如下:
[0067] Pn={sn1、en1、sn2、…、enm-1、snm、…enM-1、snM}
[0068] 式中,n∈{1、…、N},N表示网络靶场中镜像设备的总数,sn1表示网络靶场中第n个镜像设备的初始状态,m∈{1、…、M},M表示镜像设备在检测时间段内的状态总数;enm-1表示第n个镜像设备所经过的第m-1次潜在威胁,snm表示第n个镜像设备经过第m-1次潜在威胁后的状态,snM表示第n个镜像设备经过第M-1次潜在威胁后的状态,即镜像设备在检测时间段内的最后状态,Pn表示第n个镜像设备在检测时间段内依次经过各潜在威胁、由初始状态到最后状态的完整威胁路径,然后进入步骤B。
[0069] 步骤B.分别针对网络靶场中的各个镜像设备,根据镜像设备的完整威胁路径,按如下公式:
[0070]
[0071] 获得各个镜像设备被成功攻击的概率,式中,1<j≤k<i≤M,ank表示第n个镜像设备在检测时间段内成功由第k个状态转移到下一个状态的概率,bnk表示第n个镜像设备在检测时间段内未成功由第k个状态转移到下一个状态的概率,Pnt表示第n个镜像设备的被成功攻击的概率,然后进入步骤C。
[0072] 步骤C.根据各个镜像设备分别所对应被成功攻击的概率,获得各镜像设备完整威胁路径中所涉及各个不同类型潜在威胁的风险等级,然后进入步骤D。
[0073] 实际应用当中,上述步骤C具体执行如下步骤C1至步骤C4。
[0074] 步骤C1.针对网络靶场中的各个镜像设备,按各镜像设备被成功攻击概率由小至大的顺序进行排序,构成镜像设备排序,然后进入步骤C2。
[0075] 步骤C2.针对网络靶场中各镜像设备的被成功攻击概率进行归一化操作,获得各个归一化结果,然后将各个归一化结果按从大至小的顺序、依次作为镜像设备排序中各镜像设备的系数,并进入步骤C3。
[0076] 步骤C3.分别针对全部镜像设备完整威胁路径中所涉及的各个不同类型潜在威胁,由潜在威胁针对网络靶场中的各镜像设备分别进行攻击,获得其中成功攻击的各镜像设备的系数之和,作为该潜在威胁所对应的风险结果值;进而获得各潜在威胁分别所对应的风险结果值,然后进入步骤C4。
[0077] 步骤C4.针对各潜在威胁,按潜在威胁所对应风险结果值由小至大的顺序进行排序,以各潜在威胁由1起的排序序号,构成各潜在威胁的风险等级。
[0078] 步骤D.分别针对网络靶场中的各个镜像设备,获取镜像设备完整威胁路径中所经过的各个不同类型的潜在威胁,并根据镜像设备的完整威胁路径,获得该镜像设备在其被成功攻击概率下、分别针对该各个不同类型潜在威胁的防御结果;然后进入步骤E。
[0079] 实际应用当中,对于防御结果的获得,按成功攻击,则标记防御结果为1,不成功攻击,则标记防御结果为0,根据镜像设备的完整威胁路径,获得镜像设备在其被成功攻击概率下、分别针对该各个不同类型潜在威胁的防御结果。
[0080] 步骤E.按如下公式:
[0081]
[0082] 获得网络靶场的防御效能结果S,其中,wn表示网络靶场中第n个镜像设备的权重, ln∈{1、…、Ln},Ln表示第n个镜像设备完整威胁路径中不同类型潜在威胁的数量,ln表示第n个镜像设备完整威胁路径中第l个类型的潜在威胁, 表示第n个镜像设备在其被成功攻击概率Pnt下、针对其完整威胁路径中第l个类型潜在威胁的防御结果, 表示第n个镜像设备完整威胁路径中第l个类型潜在威胁的风险等级。
[0083] 应用中,若 则说明防御系统在设计上缺少防御范围能够达到的标准,安全工作人员需要在网络体系中合适的位置进行具有防御功能的设备的部署,由此通过对网络靶场中每个设备的防御结果及逆行分析,可以得到整个网络安全防御系统的短板,能够帮助安全工作人员完善防御系统。
[0084] 关于上述步骤E中各个镜像设备的权重,实际应用当中,针对网络靶场中各个镜像设备的预设经济价值进行归一化操作,所获各个结果即为各个镜像设备的权重。
[0085] 基于上述所设计应用于网络靶场的防御效能评估方法,实际应用当中,本发明进一步设计还包括镜像设备重要性检测方法,用于实现目标镜像设备重要性值的检测,具体执行如下步骤i至步骤ii。
[0086] 步骤i.确定目标镜像设备所对应防御范围内的各个镜像设备,构成目标镜像设备所对应的防御镜像设备集合,然后进入步骤ii。
[0087] 步骤ii.将目标镜像设备所对应防御镜像设备集合作为网络靶场,执行步骤A至步骤 E的方法,获得该网络靶场的防御效能结果,即作为目标镜像设备的重要性值。
[0088] 此外,在实际应用中,本发明进一步设计了镜像设备部署重要性检测方法,用于获得网络靶场中镜像设备部署重要性量化检测,应用当中,镜像设备部署重要性检测方法基于步骤A至步骤C的执行,还包括执行如下步骤I至步骤IV。
[0089] 步骤I.分别针对网络靶场中的各个镜像设备,基于镜像设备的完整威胁路径,获得该镜像设备对其完整威胁路径中各个不同类型潜在威胁的响应结果量化值,然后进入步骤 II。
[0090] 步骤II.分别针对网络靶场中的各个镜像设备,针对镜像设备对其完整威胁路径中各个不同类型潜在威胁的响应结果量化值,执行归一化操作,获得各个归一化结果,构成该各响应结果量化值分别所对应的影响权重;然后进入步骤III。
[0091] 步骤III.分别针对网络靶场中的各个镜像设备,按如下公式:
[0092]
[0093] 获得网络靶场中各镜像设备分别对应的防御效果;式中, 表示第n个镜像设备对其完整威胁路径中第l个类型潜在威胁的响应结果量化值, 表示第n个镜像设备对其完整威胁路径中第l个类型潜在威胁的响应结果量化值的影响权重, 表示网络靶场中第n 个镜像设备所对应的防御效果;然后进入步骤IV。
[0094] 步骤IV.根据如下公式:
[0095]
[0096] 获得网络靶场中镜像设备部署重要性的量化检测结果Idq。
[0097] 应用中,在获得网络靶场中各镜像设备的重要性值、以及网络靶场中镜像设备部署重要性的量化检测结果Idq后,对于各镜像设备的值,值越大代表该镜像设备在防御体系中的重要程度越高。若两台镜像设备分别防御范围内各镜像设备的结合彼此相同,则需要防御的潜在威胁和对应的潜在威胁风险严重性也相同,当镜像设备的重要性值越大,则说明该镜像设备可以防御的威胁种类越多,若两台镜像设备均能防御其防御范围内各镜像设备面临的威胁,则对单个镜像设备的防御效果值均为1,当镜像设备的重要性值或Idq越大,说明对应安全设备防护的资产总经济价值越高。
[0098] 上述技术方案所设计应用于网络靶场的防御效能评估方法,从潜在威胁风险的严重性、以及具有防御功能的设备在进行攻击防御时的响应两个动作两个维度入手,针对防御系统的设计缺陷、以及设备实际运行时存在的问题实现评估,将防御效果进行量化,实现防御效能的客观评价,应用中,能够满足不同应用场景与安全风险定义标准下的防御方案效能评估,无需针对每一个特定场景进行单独建模分析,并且能够以量化的形式对系统的防御策略进行效能评估,与安全人员进行渗透测试模拟网络攻击行为的方法相比,本发明更加全面可控,有助于明确网络安全设备和被保护资产之间的关系、安全威胁和防御之间的关系、以及安全设备和整体防御系统之间的关系,实现防御效能的客观评价。
[0099] 上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。