一种用于拟态网络的分区定位风险评估方法

1.本发明涉及一种用于拟态网络的分区定位风险评估方法，属于信息安全技术领域。


背景技术：

2.随着互联网在社会经济各领域的应用日益广泛，网络空间面临的棘手挑战日益增多，安全威胁呈现多元化、复杂化、频发化、高发化趋势。传统防御技术，如防火墙和入侵检测技术等，通常是根据已知的攻击特征来识别目标行为，无法先发制人，在网络攻防战中占据有利地位。
3.网络空间拟态防御(cyber mimic defense,cmd)作为一种新型的主动防御方式，基于动态异构冗余架构进行设计，其防御效果源于结构特性，不依赖于目标攻击的特征，可以有效防御各种攻击和未知威胁，同时还可以解决“单点失效”等问题。目前，对内生安全的研究被频繁提及，并在软件定义网络、云计算、分布式系统等领域表现出较强的防御性能。
4.目前网络拟态防御技术发展的难题之一在于缺乏通用的指标来直接衡量不同防御策略的有效性。如果我们无法测算防御策略的安全性，那么则难以对其进行改善，对于网络拟态防御技术同样如此。实际网络的庞大规模和网络拓扑的复杂性，以及网络攻防的显著非对称性，导致安全增益区域难以精细获知，拟态网络评估难度较大。因此，迫切需要针对网络拟态防御系统提出通用的定量评估指标。


技术实现要素：

5.技术问题：本发明致力于解决复杂拟态网络中定量风险评估问题。
6.技术方案：为解决上述问题，本发明公开了一种拟态防御评估的新方法，提出一种用于拟态网络的分区定位风险评估方法，包括以下步骤：
7.s1，网络拓扑获取：通过扫描工具(如nmap)进行网络扫描，以发现网络中的主机和服务，进而推断出网络拓扑结构；
8.s2，漏洞信息扫描：使用漏洞扫描工具(如nessus、openvas等)来检测网络中的漏洞，并获取漏洞的详细信息；
9.s3，社区结构划分：利用基于louvain算法的社区划分方法对大规模复杂网络进行区域分割，以实现更精确的定位测量和风险评估；
10.s4，节点风险评估：考虑拟态防御理论中动态异构冗余结构，对节点漏洞进行动态测量并进行实时风险评估；
11.s5，关联情况测量：考虑漏洞共模情况和概率转移情况，结合拟态网络实际应用场景进行定量测量；
12.s6，综合风险评估：融合动态漏洞、共模指数、转移概率等已测量条件，进行综合风险评估。
13.作为本发明的一种改进，所述步骤s3进一步包括：
14.s31，基于无标度网络特性，利用基于louvain算法的社区划分方法，依据模块度q和模块度增益δq对复杂网络进行区域分割；
15.s32，将划分所得区域映射至目标空间进行指标定义及风险评估，简化问题的复杂度并提高指标的可解释性。
16.作为本发明的一种改进，所述步骤s4进一步包括：
17.s41，基于漏洞扫描所获信息和本地已知先验知识构建漏洞集：
18.vul＝vul1∪vul2∪
…
∪vuln19.vuli＝{vulj∣vulj是vi上的某个漏洞}
20.s42，构建节点—漏洞矩阵nv，重要性向量im和漏洞评分向量cvss，对拟态网络环境中节点安全风险系数进行定量评估：
21.ri＝im
t
×
nv
×
cvss。
22.作为本发明的一种改进，所述步骤s5进一步包括：
23.s51，基于拟态网络安全特性，测算节点间漏洞共模指数：
[0024][0025][0026]
s52，考虑横向扩散情况，测算攻击概率转移情况：
[0027]
tp＝ε0adj+(p)+(p)2+(p)3+
…
[0028]
＝ε0adj+(i-p)-1-i
[0029]
作为本发明的一种改进，所述步骤s6进一步包括：
[0030]
s61，收集s4和s5中测算值，依据拟态防御技术鲁棒性机理，构建下述二次型对拟态网络综合安全风险系数进行定量评估：
[0031]
rc＝ri
t
×
(cm
⊙
tp)
×
ri。
[0032]
有益效果：与现有技术相比，本发明提出一种用于拟态网络的分区定位风险评估方法，能够有效捕获和度量大规模网络中具体区域防御性能，填补现有拟态防御技术部署于复杂网络中进行安全风险评估方法的空白。整体设计上摒弃全局视角，通过区域感知体系，采用社区划分方法对复杂网络进行区域分割，从而精细化度量网络安全状态；考虑漏洞共模情况和概率转移情况，对风险系数进行多角度测算，与拟态网络实际状况吻合适配度高，在复杂动态网络场景下有良好的应用。
附图说明
[0033]
图1为本发明的方法框架图。
具体实施方式
[0034]
下面结合附图与具体实施方式，进一步阐明本发明，应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
[0035]
实施例1：如图1所示，一种用于拟态网络的分区定位风险评估方法，包括如下步
骤：
[0036]
s1，网络拓扑获取：通过扫描工具(如nmap等)进行网络扫描，以发现网络中的主机和服务，进而推断出网络拓扑结构；
[0037]
s2，漏洞信息扫描：使用漏洞扫描工具(如nessus、openvas等)来检测网络中的漏洞，并获取漏洞的详细信息；
[0038]
s3，社区结构划分：基于无标度网络特性，利用基于louvain算法的社区划分方法对大规模复杂网络进行区域分割，以实现更精确的定位测量和风险评估，其具体步骤如下：
[0039]
s31，根据s1中获取的网络拓扑结构信息，计算模块度q和模块度增益δq：
[0040][0041]
其中，m表示图中边的总数，∑
in
表示社区c内互连的边的权重之和，∑
tot
表示连接到社区的节点的边的权重之和，包括社区内和社区外的边。
[0042][0043]
其中，ki表示连接到节点i的边的权重之和，而k
i，in
表示节点i与社区c中节点相连的边的权重之和。
[0044]
s32，依据louvain算法，最大化较小社区的局部模块度，只有当这种聚集导致模块度增加时才将节点加入社区，完成对复杂网络的区域分割；
[0045]
s33，对分割后社区中相关数据信息进行标准化处理，映射至目标空间，后续在目标空间中进行指标定义及风险评估。
[0046]
s4，节点风险评估：考虑拟态防御理论中动态异构冗余结构，对节点漏洞进行动态测量并进行实时风险评估，其具体步骤如下：
[0047]
s41，基于漏洞扫描所获信息和本地已知先验知识构建漏洞集：
[0048]
vul＝vul1∪vul2∪
…
∪vuln[0049]
vuli＝{vulj∣vulj是vi上的某个漏洞}
[0050]
s42，基于漏洞集和漏洞评分信息，构造漏洞评分向量cvss和节点漏洞矩阵nv：
[0051]
cvss＝(cvss1,cvss2,
…
,cvssm)
t
[0052]
其中，其中cvssi(i＝1，2，
…
，m)表示相应漏洞的cvss(通用漏洞评分系统)分数的十分之一(用于标准化)。
[0053]
nv
n*m
＝(v1,v2,
…
,vn)
t
[0054]vi
＝(v1,v2,
…
,vm)
t
，m＝|vul|，
[0055][0056]
s43，结合节点中心性和拥有资源的价值，构建重要性向量im:
[0057]
im＝(im1,im2,
…
,imn)
t
,
[0058]
imk＝w1×
centrality+w2×
value，k＝1,2,
…
,n.
[0059]
其中，wi(i＝1，2)表示相应因子的权重，∑wi＝1。可根据实际情况适当调整权重和影响因素。
[0060]
s44，结合上述测量值，依据下述公式对节点安全风险系数进行定量评估：
[0061]
ri＝im
t
×
nv
×
cvss
[0062]
s5，关联情况测量：考虑漏洞共模情况和概率转移情况，结合拟态网络实际应用场景进行定量测量；
[0063]
s51，漏洞共模测量：基于拟态安全特性，测算节点间漏洞共模指数；
[0064]
s511，节点ns和节点n
t
(ns，n
t
∈n)之间的共模指数定义为：
[0065][0066]
其中，表示漏洞vulk的cvss分数，用于描述漏洞的危害程度；vuls和vul
t
分别代表节点s和节点t的漏洞集。
[0067]
s512，由于拟态系统的结构特性，漏洞集处于动态变化状态，将部署拟态防御技术的节点n
cmd
与普通节点n
x
之间的共模指数的定义为：
[0068][0069]
其中表示周期ti中部署拟态的节点n
cmd
(漏洞集处于动态更新状态)与普通节点n
x
之间的共模指数；而t期望为一个尽可能长的周期，以显示执行器集的可能状态。
[0070]
s513，将节点间的共模指标整合成矩阵形式：
[0071]
cm＝(c
ij
)n×n,
[0072][0073]
s52，概率转移测量：考虑横向扩散情况，测算攻击概率转移情况；
[0074]
s521，漏洞转移矩阵t定义为：
[0075]
t＝(t
ij
)
n*n
,
[0076][0077]
s522，攻击者单步从节点i转移到节点j的概率为：
[0078][0079]
其中，di表示第i个节点的度，a
ij
是邻接矩阵a中的一个元素(如果a
ij
＝1，则表示节
点i和j之间有边，a
ij
＝0表示节点i和j之间没有边)。
[0080]
s523，构造攻击概率转移矩阵p：
[0081][0082]
其中，n为社区中节点的数量，而p
ij
表示攻击者在一步中从节点i转移到节点j的概率。
[0083]
s524，考虑基本转移因子ε0和多步转移情况，测算概率转移概率情况，以矩阵tp表示：
[0084]
tp＝ε0adj+(p)+(p)2+(p)3+
…
[0085]
＝ε0adj+(i-p)-1-i
[0086]
其中，adj代表邻接矩阵，p代表概率转移矩阵，i表示单位矩阵。
[0087]
s6，综合风险评估：融合动态漏洞、共模指数、转移概率等已测量条件，依据下述公式构建二次型进行综合风险评估：
[0088]
rc＝ri
t
×
(cm
⊙
tp)
×
ri
[0089]
其中，ri代表节点安全风险系数向量，cm代表共模指数矩阵，tp代表概率转移矩阵；
⊙
表示hadamard乘积，即矩阵相应元素相乘运算。
[0090]
本发明方案所公开的技术手段不仅限于上述实施方案所公开的技术手段，还包括由以上技术特征任意组合所组成的技术方案。

技术特征：
1.一种用于拟态网络的分区定位风险评估方法，其特征在于，所述方法包括以下步骤：s1，网络拓扑获取：通过扫描工具进行网络扫描，以发现网络中的主机和服务，进而推断出网络拓扑结构；s2，漏洞信息扫描：使用漏洞扫描工具来检测网络中的漏洞，并获取漏洞的详细信息；s3，社区结构划分：利用基于louvain算法的社区划分方法对大规模复杂网络进行区域分割，以实现更精确的定位测量和风险评估；s4，节点风险评估：考虑拟态防御理论中动态异构冗余结构，对节点漏洞进行动态测量并进行实时风险评估；s5，关联情况测量：考虑漏洞共模情况和概率转移情况，结合拟态网络实际应用场景进行定量测量；s6，综合风险评估：融合动态漏洞、共模指数、转移概率等已测量条件，进行综合风险评估。2.如权利要求1所述的一种用于拟态网络的分区定位风险评估方法，其特征在于：所述步骤s3具体如下：s3，社区结构划分：基于无标度网络特性，利用基于louvain算法的社区划分方法对大规模复杂网络进行区域分割，以实现更精确的定位测量和风险评估，其具体步骤如下：s31，根据s1中获取的网络拓扑结构信息，计算模块度q和模块度增益δq：其中，m表示图中边的总数，∑
in
表示社区c内互连的边的权重之和，∑
tot
表示连接到社区c的节点的边的权重之和，包括社区内和社区外的边；其中，k
i
表示连接到节点i的边的权重之和，而k
i，in
表示节点i与社区c中节点相连的边的权重之和；s32，依据louvain算法，最大化较小社区的局部模块度，只有当这种聚集导致模块度增加时才将节点加入社区，完成对复杂网络的区域分割；s33，对分割后社区中相关数据信息进行标准化处理，映射至目标空间，后续在目标空间中进行指标定义及风险评估。3.如权利要求1所述的一种用于拟态网络的分区定位风险评估方法，其特征在于：所述步骤s4具体如下：s41，基于漏洞扫描所获信息和本地已知先验知识构建漏洞集：vul＝vul1∪vul2∪
…
∪vul
n
vul
i
＝{vul
j
|vul
j
是v
i
上的某个漏洞}
s42，构建节点-漏洞矩阵nv，重要性向量im和漏洞评分向量cvss，依据下述公式对节点安全风险系数进行定量评估：ri＝im
t
×
nv
×
cvss。4.如权利要求1所述的一种用于拟态网络的分区定位风险评估方法，其特征在于：所述步骤s5具体如下：s51，基于拟态网络安全特性，测算节点间漏洞共模指数：s52，考虑横向扩散情况，测算攻击概率转移情况。5.如权利要求4所述的一种用于拟态网络的分区定位风险评估方法，其特征在于：所述步骤s51，漏洞共模测量：基于拟态安全特性，测算节点间漏洞共模指数，具体如下：s511，节点n
s
和节点n
t
(n
s
，n
t
∈n)之间的共模指数定义为：其中，表示漏洞vul
k
的cvss分数，用于描述漏洞的危害程度；vul
s
和vul
t
分别代表节点s和节点t的漏洞集；s512，由于拟态系统的结构特性，漏洞集处于动态变化状态，将部署拟态防御技术的节点n
cmd
与普通节点n
x
之间的共模指数的定义为：其中表示周期t
i
中部署拟态防御技术的节点n
cmd
(漏洞集处于动态更新状态)与普通节点n
x
之间的共模指数；而t期望为一个尽可能长的周期，以显示执行器集的可能状态；s513，将节点间的共模指标整合成矩阵形式：cm＝(c
ij
)
n
×
n
，6.如权利要求4所述的一种用于拟态网络的分区定位风险评估方法，其特征在于：所述步骤s52，概率转移测量：考虑横向扩散情况，测算攻击概率转移情况，具体如下：s521，漏洞转移矩阵t定义为：t＝(t
ij
)
n*n
，s522，攻击者单步从节点i转移到节点j的概率为：
其中，d
i
表示第i个节点的度，a
ij
是邻接矩阵adj中的一个元素(如果a
ij
＝1，则表示节点i和j之间有边，a
ij
＝0表示节点i和j之间没有边)；s523，构造攻击概率转移矩阵p：其中，n为社区中节点的数量，而p
ij
表示攻击者在一步中从节点i转移到节点j的概率，s524，考虑基本转移因子ε0和多步转移情况，测算概率转移概率情况，以矩阵tp表示：tp＝ε0adj+(p)+(p)2+(p)3+
…
＝ε0adj+(i-p)-1-i，其中，adj代表邻接矩阵，p代表概率转移矩阵，i表示单位矩阵。7.如权利要求1所述的一种用于拟态网络的分区定位风险评估方法，其特征在于：所述步骤s6具体如下：s61，收集s4和s5中测算值，并依据下述公式构建二次型对拟态网络综合安全风险系数进行定量评估：rc＝ri
t
×
(cm
⊙
tp)
×
ri，其中，ri代表节点安全风险系数向量，代表共模指数矩阵，tp代表概率转移矩阵；表示hadamard乘积，即矩阵相应元素相乘运算。

技术总结
本发明提出了一种拟态网络风险评估方法，应用于网络空间中拟态防御策略部署的有效性测量，方法主要包括以下步骤：网络拓扑获取；漏洞信息扫描；社区结构划分；节点风险评估；漏洞共模测量；概率转移测量；综合风险评估。上述方法能够有效捕获拟态网络安全特性，贴合拟态防御系统实际应用情况，构建出一种用于拟态网络的分区定位风险评估方法。的分区定位风险评估方法。的分区定位风险评估方法。


技术研发人员：黄哲 袁亚丽 程光
受保护的技术使用者：东南大学
技术研发日：2023.06.05
技术公布日：2023/9/12