|
1)网络元素模型化表示模块 评估模型首先对各种网络元素以及攻击信息、进行模型化表示。网络环境复杂多样,为保证对网络安全进行全面评估的要求,需要在模型建立时尽量涵盖与网络脆弱性评估相关的各安全要素。根据3.2节所给出的方法,该模块对网络系统中的网络信启、(包括:主机信息、连通关系、信任关系等)、攻击信息、脆弱性信息等元素进行模型化表示,为脆弱性攻击图生成模块提供输入参数。这些元素或来自脆弱性扫描器的扫描结果,或来自网络安全策略和防火墙规则等安全机制,或与网络拓扑结构、主机特性等信息相关。网络元素的模型化表示是后续脆弱性攻击图生成模块以及脆弱性量化评估模块的输入,是整个评估模型的基础。 2)脆弱性攻击图生成模块 脆弱性攻击图生成模块以网络中存在的已知脆弱性为基础,结合网络环境配置和脆弱性利用过程,从模拟攻击的角度对脆弱性利用的前提条件和攻击后果之间的依赖关系进行匹配形成攻击路径,在此基础上对不同攻击路径中重复利用过的脆弱性进行合并,并基于单调性假设消除攻击路径生成过程中可能出现的脆弱性利用环路,生成整个目标网络的脆弱性攻击图,为后续的脆弱性量化评估提供分析平台。 3)脆弱性量化评估模块 脆弱性量化评估模块是根据生成的攻击图采用数学方法对网络的脆弱性进行量化评估。该模块分为两个部分:基于贝叶斯网络的评估模块和基于网络中心性分析的评估模块。 基于贝叶斯网络的评估模块c,是将脆弱性攻击图采用贝叶斯网络模型进行模型化表述,采用贝叶斯网络的分析工具来对攻击图进行脆弱性量化评估。可以采用贝叶斯网络的精确推理和近似推理两种分析方法分别对攻击图进行分析。针对精确推理分析复杂网络的局限性,本模块提出一种基于随机数迭代采样的贝叶斯网络近似推理算法,对攻击图进行近似推理采样,通过对采样样本的分析得到相应的量化评估结果,可与精确推理的结果进行对比,来验证近似推理算法的准确性和有效性。该模块所实现的功能可以从整体上评估网络中每条攻击路径的发生概率,反映整个网络的安全状况。 基于网络中心性分析的评估模块C2是实现通过对攻击图进行网络中心性分析,从而找出影响网络安全的关键脆弱性的功能。基于对脆弱性自身特性的分析,提出一种攻击代价的评估算法计算出利用脆弱性发动攻击的代价,并采用最小代价攻击路径算法,分析攻击图中的最小代价攻击路径。针对现有的网络中心性评估方法的局限性,提出一种基于修正介数的网络中心性评估算法,通过对脆弱性攻击图以及最小代价攻击路径的分析,寻找到对网络安全影响最大的关键脆弱性。该模块的分析结果可以作为网络安全加固的解决方案反馈回评估网络,从而有针对性的提升网络安全性能。
|