基于网络中心性的计算机网络脆弱性评估方法
前言
中國科學(xué)院研究生院學(xué)報(bào)
論文作者:賈煒
指導(dǎo)老師:馮登國
2012/06
摘要
提出一種基于網(wǎng)絡(luò)中心性的計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評估方法.首先基于通用脆弱性評分系統(tǒng),對攻擊者利用脆弱性攻擊所花費(fèi)的代價進(jìn)行量化評估,根據(jù)評估結(jié)果對脆弱性攻擊圖進(jìn)行最小攻擊代價路徑分析.引入網(wǎng)絡(luò)中心性理論,采用攻擊圖節(jié)點(diǎn)的介數(shù)和節(jié)點(diǎn)連通度相結(jié)合的方法,對攻擊圖的節(jié)點(diǎn)關(guān)鍵程度進(jìn)行量化分析,判斷對網(wǎng)絡(luò)安全產(chǎn)生關(guān)鍵影響的脆弱性,為計(jì)算機(jī)網(wǎng)絡(luò)的安全優(yōu)化提供依據(jù).
關(guān)鍵字
脆弱性;脆弱性攻擊圖;網(wǎng)絡(luò)中心性;介數(shù);攻擊代價
主要內(nèi)容
文章提出一種基于網(wǎng)絡(luò)中心的計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評估方法。以網(wǎng)絡(luò)中存在的脆弱性自身屬性為出發(fā)點(diǎn),基于CVSS評估指標(biāo)提出一種針對攻擊代價的量化評估方法,并以脆弱性攻擊圖為分析目標(biāo),采用Floyd算法對攻擊圖中的最小代價攻擊路徑進(jìn)行分析,通過引入網(wǎng)絡(luò)中心性節(jié)點(diǎn)分析方法,針對常見中心性節(jié)點(diǎn)分析方法的缺陷性,提出一種結(jié)合介數(shù)川與節(jié)點(diǎn)度的中心性評估方法,對脆弱性攻擊圖的中心節(jié)點(diǎn)進(jìn)行分析,找到整個攻擊圖中對攻擊效果影響最大的關(guān)鍵脆弱性節(jié)點(diǎn),從而指導(dǎo)管理人員有針對性地進(jìn)行脆弱性修復(fù),為網(wǎng)絡(luò)的安全性能優(yōu)化提供依據(jù).
基于網(wǎng)絡(luò)中心性的脆弱性評估框架
整體的評估過程:
首先,通過對網(wǎng)絡(luò)信息以及網(wǎng)絡(luò)中主機(jī)脆弱性的分析,利用文獻(xiàn)Cs]中攻擊圖生成算法構(gòu)造出脆弱性攻擊圖c,反映攻擊者利用脆弱性所有可能發(fā)生的攻擊路徑;
其次,基于cuss評價系統(tǒng),選取脆弱性評估指標(biāo),利用攻擊代價算法求出每種脆弱性被攻擊者利用發(fā)動攻擊所需的代價量化值;
再次,將攻擊代價量化值作為攻擊圖邊的權(quán)重,利用有向帶權(quán)圖最短路徑算法計(jì)算整個攻擊圖的最小攻擊代價路徑信息;
最后,利用最小攻擊代價路徑信息,通過中心性節(jié)點(diǎn)算法,計(jì)算攻擊圖中節(jié)點(diǎn)的修正介數(shù),從而找出網(wǎng)絡(luò)中起到中心節(jié)點(diǎn)作用的關(guān)鍵脆弱性,并針對它們提出網(wǎng)絡(luò)安全優(yōu)化的建議.
攻擊代價及最小代價攻擊路徑算法
攻擊代價與脆弱性狀態(tài)、攻擊能力、攻擊時間、網(wǎng)絡(luò)安全措施等因素有關(guān),還與攻擊者自身的攻擊經(jīng)驗(yàn)和熟練程度密切相關(guān).由于攻擊者自身能力難以量化評估,本文假設(shè)攻擊者具有相同的知識水平和攻擊能力.基于CVSS評估指標(biāo)對脆弱性的屬性描述,對利用脆弱性所需花費(fèi)攻擊代價的評估選取脆弱性的利用方式、脆弱性的攻擊復(fù)雜度、脆弱性可利用性和脆弱性分布4個參數(shù),采用如下公式進(jìn)行量化
使用G= (V,E)表示攻擊圖,V表示圖中的節(jié)點(diǎn)集合,E為圖中帶權(quán)的有向邊集合,每條有向邊的權(quán)值表示攻擊者利用脆弱性的攻擊代價.采用Floyd算法對攻擊圖G進(jìn)行最小攻擊代價路徑的求解,最終可以得到包含有兩點(diǎn)之間最小攻擊代價信息的最小攻擊代價矩陣D和包含節(jié)點(diǎn)間最短路徑信息的最小攻擊代價路徑矩陣A.這些信息將作為中心性節(jié)點(diǎn)算法的輸入,進(jìn)行攻擊圖脆弱性中心節(jié)點(diǎn)的分析.
中心性節(jié)點(diǎn)算法
其中有部分定義(參考原文章):修正介數(shù)、最小代價入度、最小代價出度、節(jié)點(diǎn)的連通度。
實(shí)驗(yàn)驗(yàn)證
隨著衰減因子人的取值不同,評估結(jié)果在節(jié)點(diǎn)度折線和介數(shù)折線之間發(fā)生變化.當(dāng)人值越大,修正介數(shù)折線圖越趨向于介數(shù)折線,當(dāng)λ=1時,修正介數(shù)折線與介數(shù)折線完全重合,此時的修正介數(shù)對重復(fù)路徑不作處理,完全轉(zhuǎn)換為節(jié)點(diǎn)介數(shù)的評估.當(dāng)人值減小,修正介數(shù)折線圖逐漸趨向于節(jié)點(diǎn)度折線,當(dāng)λ=0時,修正介數(shù)完全去除重復(fù)最小攻擊代價路徑產(chǎn)生的影響,其計(jì)算過程轉(zhuǎn)化為節(jié)點(diǎn)連通度的計(jì)算,完全表現(xiàn)為節(jié)點(diǎn)度的特性.
總結(jié)
文章中提出了一種基于網(wǎng)絡(luò)中心性的脆弱性評估方法.與現(xiàn)有評估方法相比,針對計(jì)算機(jī)網(wǎng)絡(luò)龐大復(fù)雜的結(jié)構(gòu),將復(fù)雜網(wǎng)絡(luò)理論引入脆弱性評估作為理論支持,對脆弱性的分析充分考慮了脆弱性自身屬性的影響,評估結(jié)果更加客觀準(zhǔn)確.從攻擊的角度出發(fā),重點(diǎn)針對導(dǎo)致安全事件的脆弱性進(jìn)行評估,評估結(jié)果更加簡明直觀,能夠反映出對網(wǎng)絡(luò)安全影響較大的關(guān)鍵脆弱性,可以在安全預(yù)算有限的前提下有的放矢地進(jìn)行安全修復(fù),獲取最大的安全回報(bào),為網(wǎng)絡(luò)安全優(yōu)化提供指導(dǎo).
總結(jié)
以上是生活随笔為你收集整理的基于网络中心性的计算机网络脆弱性评估方法的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 2020黑马旅游网项目素材及源码(无废话
- 下一篇: leetcode 876.链表的中间结点