專利名稱:網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域����,特別是涉及一種網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法及裝置。
背景技術(shù):
抗攻擊性能是指信息系統(tǒng)抵御網(wǎng)絡(luò)攻擊的能力����。抗攻擊性能測評技術(shù)��,是信息安全測評領(lǐng)域一個年輕而有挑戰(zhàn)的分支����,它通過模擬黑客的攻擊手段對信息系統(tǒng)進行安全測試,并對信息系統(tǒng)抗攻擊性能進行定性和定量評價���,最后給出提高網(wǎng)絡(luò)安全防御能力的建議和方法�����。目前��,在抗攻擊性能測評技術(shù)的研究中�,從測試依據(jù)可分成兩種基于攻擊手段的 抗攻擊測評和基于標(biāo)準(zhǔn)對照的抗攻擊測評?��;诠羰侄蔚目构魷y評主要利用各類典型攻擊工具���,發(fā)現(xiàn)系統(tǒng)中的漏洞并進行攻擊?;跇?biāo)準(zhǔn)對照的抗攻擊測評,主要參照安全評估標(biāo)準(zhǔn)��,按照評估對象和評估目標(biāo)的不同功能要求進行測評���?�?构粜阅茉u估是抗攻擊性能測評技術(shù)的重要組成部分��,主要研究在網(wǎng)絡(luò)攻擊環(huán)境下���,如何對信息系統(tǒng)抗攻擊性能給出定性和定量的評價。在現(xiàn)有技術(shù)中,還沒有提出一套科學(xué)完整的抗攻擊性能評估指標(biāo)體系和評估模型�,用來滿足各類典型網(wǎng)絡(luò)攻擊測試的評價需求?���?构粜阅茉u估指標(biāo)體系主要研究如何將抗攻擊性能逐步細化成容易評價的要素,從而建立一套完整而科學(xué)的指標(biāo)體系對計算機網(wǎng)絡(luò)抗攻擊性能進行評價�����。有的研究從安全標(biāo)準(zhǔn)入手��,構(gòu)建了一些評測某類信息系統(tǒng)的指標(biāo)體系����,如基于CC的操作系統(tǒng)抗攻擊測試指標(biāo)體系�,但是針對的信息系統(tǒng)類別有限,還沒有針對通用信息系統(tǒng)的抗攻擊測試指標(biāo)體系����。還有的研究從攻擊效果和攻擊代價角度,提出了分層的抗攻擊測試指標(biāo)體系�����,但是提出的指標(biāo)不夠全面�,各層次劃分標(biāo)準(zhǔn)不一致�����,指標(biāo)內(nèi)涵交叉�、操作性不高等缺點�����,難以滿足對現(xiàn)有典型網(wǎng)絡(luò)攻擊抗攻擊性能評價的需要�����?����?构粜阅茉u估模型主要研究抗攻擊性能的評估準(zhǔn)則和評估方法���。目前��,現(xiàn)有研究主要集中在基于抗攻擊性能指標(biāo)體系的評估模型�,如層次分析法�����、模糊綜合評判、遺傳投影尋蹤評估模型等���,但是這些模型沒有分析各類攻擊包含的具體抗攻擊性能�����,沒有將具體數(shù)據(jù)與指標(biāo)計算結(jié)合起來�。此外��,可生存性評估(Survivability Assessment)中也有對抗攻擊性(Resistance)評價的研究,例如,社會網(wǎng)絡(luò)分析法(Social Network Analysis,簡稱為SNA)等���,但是主要從信息系統(tǒng)的抗攻擊性、可識別性和可恢復(fù)性等幾個方面綜合評價可生存性���,難以給出抗攻擊性能的具體評價����。
發(fā)明內(nèi)容
本發(fā)明提供一種網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法及裝置���,以解決現(xiàn)有技術(shù)中抗攻擊性能指標(biāo)體系構(gòu)建依據(jù)缺乏很強的科學(xué)性��、存在指標(biāo)不夠全面����、粗細粒度不一致、內(nèi)涵交叉��、操作性不高的問題�。
本發(fā)明提供一種網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法,包括從美國國家漏洞數(shù)據(jù)庫NVD獲取漏洞數(shù)據(jù)源�,對漏洞數(shù)據(jù)源的字段和數(shù)據(jù)進行過濾變換,獲取與抗攻擊性能有關(guān)的數(shù)據(jù)�����;對獲取的與抗攻擊性能有關(guān)的數(shù)據(jù)中的效果動詞進行提取�,并進一步提取出原子對抗的信息,其中��,原子對抗是指網(wǎng)絡(luò)抗攻擊性能中原子的����、較獨立的且有明確含義的抗攻擊能力;從目標(biāo)系統(tǒng)的攻擊效果和模擬攻擊方的攻擊代價兩個角度分析各原子對抗的評價指標(biāo)�����,根據(jù)評價指標(biāo)構(gòu)建基于原子對抗的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系。優(yōu)選地�,對漏洞數(shù)據(jù)源的字段和數(shù)據(jù)進行過濾變換,獲取與抗攻擊性能有關(guān)的數(shù)據(jù)具體包括獲取漏洞數(shù)據(jù)源中與抗攻擊性能有關(guān)的字段和不完整的數(shù)據(jù)�,其中,與抗攻擊性能有關(guān)的字段包括名稱字段�、CVSS得分字段、嚴重性字段�����、描述字段���、損失類型字段����、 CVSS評價矢量字段����;將損失類型字段和CVSS評價矢量字段進行解析�,獲取每個漏洞攻擊對機密性、完整性�、可用性和/或權(quán)限的影響信息;從描述字段中提取與攻擊效果有關(guān)的效果描述�;將效果描述分解為單個效果描述���;將單個效果描述分解為效果動詞、效果名詞和效果細節(jié)�����。優(yōu)選地�,對獲取的與抗攻擊性能有關(guān)的數(shù)據(jù)中的效果動詞進行提取,并進一步提取出原子對抗的信息具體包括對效果動詞進行提取��,提取出具有通用性�、典型性和發(fā)展性的效果動詞;進一步提取具有通用性��、典型性�����、發(fā)展性���、獨立性和明確性的原子對抗����。優(yōu)選地���,對效果動詞進行提取�����,提取出具有通用性��、典型性和發(fā)展性的效果動詞具體包括統(tǒng)計效果動詞的出現(xiàn)頻率�,篩選出出現(xiàn)頻率最高的效果動詞;采用多因素方差分析方法對篩選出的效果動詞進行分析���,根據(jù)分析結(jié)果和效果動詞的語義�,將效果動詞進行分類���,提取出具有通用性�����、典型性和發(fā)展性的效果動詞��。優(yōu)選地,提取具有通用性���、典型性�、發(fā)展性、獨立性和明確性的原子對抗具體包括對效果名詞和效果細節(jié)的出現(xiàn)頻率進行統(tǒng)計分析����,選擇出現(xiàn)頻率大于預(yù)定閾值的效果名詞或效果細節(jié),構(gòu)成原子攻擊效果�����;分析原子攻擊效果之間的關(guān)聯(lián)�����,獲取獨立原子攻擊效果��;將獨立原子攻擊效果轉(zhuǎn)換為原子對抗��。優(yōu)選地�����,原子對抗的類型包括抗信息泄漏���、抗拒絕服務(wù)�����、抗數(shù)據(jù)篡改��、抗網(wǎng)絡(luò)欺騙�����、抗入侵控制�、以及抗安全破壞。本發(fā)明還提供了一種網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建裝置��,包括獲取模塊��,用于從美國國家漏洞數(shù)據(jù)庫NVD獲取漏洞數(shù)據(jù)源�����,對漏洞數(shù)據(jù)源的字段和數(shù)據(jù)進行過濾變換��,獲取與抗攻擊性能有關(guān)的數(shù)據(jù)�����;提取模塊�,用于對獲取的與抗攻擊性能有關(guān)的數(shù)據(jù)中的效果動詞進行提取,并進一步提取出原子對抗的信息,其中��,原子對抗是指網(wǎng)絡(luò)抗攻擊性能中原子的����、較獨立的且有明確含義的抗攻擊能力����;構(gòu)建模塊,用于從目標(biāo)系統(tǒng)的攻擊效果和模擬攻擊方的攻擊代價兩個角度分析各原子對抗的評價指標(biāo)�����,根據(jù)評價指標(biāo)構(gòu)建基于原子對抗的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系�����。優(yōu)選地����,獲取模塊具體用于獲取漏洞數(shù)據(jù)源中與抗攻擊性能有關(guān)的字段和不完整的數(shù)據(jù),其中����,與抗攻擊性能有關(guān)的字段包括名稱字段、CVSS得分字段、嚴重性字段�����、描述字段����、損失類型字段、CVSS評價矢量字段����;將損失類型字段和CVSS評價矢量字段進行解析,獲取每個漏洞攻擊對機密性���、完整性�、可用性和/或權(quán)限的影響信息�;從描述字段中提取與攻擊效果有關(guān)的效果描述;將效果描述分解為單個效果描述����;將單個效果描述分解為效果動詞、效果名詞和效果細節(jié)�����;提取模塊具體包括第一提取子模塊,用于對效果動詞進行提取�����,提取出具有通用性��、典型性和發(fā)展性的效果動詞�����;第二提取子模塊����,用于進一步提取具有通用性���、典型性���、發(fā)展性、獨立性和明確性的原子對抗�����。優(yōu)選地�,第一提取子模塊具體用于統(tǒng)計效果動詞的出現(xiàn)頻率,篩選出出現(xiàn)頻率最高的效果動詞;采用多因素方差分析方法對篩選出的效果動詞進行分析���,根據(jù)分析結(jié)果和效果動詞的語義�����,將效果動詞進行分類���,提取出具有通用性、典型性和發(fā)展性的效果動詞��;第二提取子模塊具體用于對效果名詞和效果細節(jié)的出現(xiàn)頻率進行統(tǒng)計分析���,選擇出現(xiàn)頻率大于預(yù)定閾值的效果名詞或效果細節(jié)����,構(gòu)成原子攻擊效果��;分析原子攻擊效果之間的關(guān)聯(lián)�,獲取獨立原子攻擊效果;將獨立原子攻擊效果轉(zhuǎn)換為原子對抗�����。
優(yōu)選地,原子對抗的類型包括抗信息泄漏�����、抗拒絕服務(wù)�、抗數(shù)據(jù)篡改、抗網(wǎng)絡(luò)欺騙�����、抗入侵控制����、以及抗安全破壞����。本發(fā)明有益效果如下通過利用NVD漏洞庫,采用數(shù)據(jù)挖掘技術(shù)提取具有通用性���、典型性�、擴展性��、獨立性和明確性的原子對抗��,構(gòu)建基于原子對抗的抗攻擊性能指標(biāo)體系,解決了現(xiàn)有技術(shù)中抗攻擊性能指標(biāo)體系構(gòu)建依據(jù)缺乏很強的科學(xué)性�、存在指標(biāo)不夠全面、粗細粒度不一致��、內(nèi)涵交叉�����、操作性不高的問題�,本發(fā)明實施例的技術(shù)方案中,原子對抗分類明確���,各類別較獨立����;此外���,原子對抗的通用性���、典型性和發(fā)展性,能夠滿足對大部分典型網(wǎng)絡(luò)攻擊測試的評價需求����。并且�����,原子功能的獨立性和明確性��,便于將網(wǎng)絡(luò)攻擊測試場景轉(zhuǎn)化成原子對抗的組合�����;在本發(fā)明實施例中��,評估指標(biāo)的提取�����,盡量直接體現(xiàn)原子對抗的特點,并考慮了評估的可操作性��。
圖I是本發(fā)明實施例的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法的流程圖���;圖2是本發(fā)明實施例的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法的詳細處理的流程圖����;圖3是本發(fā)明實施例的基于原子對抗構(gòu)建網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系的示意圖�����;圖4是本發(fā)明實施例的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建裝置的結(jié)構(gòu)示意圖。
具體實施例方式為了解決現(xiàn)有技術(shù)中抗攻擊性能指標(biāo)體系構(gòu)建依據(jù)缺乏很強的科學(xué)性�����、存在指標(biāo)不夠全面�、粗細粒度不一致、內(nèi)涵交叉��、操作性不高的問題�����,本發(fā)明提供了一種網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法及裝置��,針對現(xiàn)有抗攻擊性能指標(biāo)體系多采用層次分析�����、專家打分等方法構(gòu)建����,構(gòu)建依據(jù)缺乏很強的科學(xué)性的問題,本發(fā)明實施例采用主流漏洞庫美國國家漏洞數(shù)據(jù)庫(National Vulnerability Database,簡稱為NVD)作為構(gòu)建指標(biāo)體系的數(shù)據(jù)源��,該數(shù)據(jù)庫具有漏洞數(shù)據(jù)全、更新及時�、漏洞攻擊信息描述詳細、兼容通用弱點評價體系(Common Vulnerability Scoring System,簡稱為CVSS)評分等特點�。針對現(xiàn)有抗攻擊性能指標(biāo)體系存在指標(biāo)不夠全面,粗細粒度不一致���,內(nèi)涵交叉��、操作性不高等缺點�����,從而導(dǎo)致難以滿足對各類典型網(wǎng)絡(luò)攻擊測試的評價需求的問題�����,本發(fā)明實施例提出“原子對抗”概念���,用來代表網(wǎng)絡(luò)抗攻擊性能的基本元素��。利用NVD漏洞庫�,采用數(shù)據(jù)挖掘技術(shù)提取具有通用性、典型性�、擴展性���、獨立性和明確性的原子對抗,構(gòu)建基于原子對抗的抗攻擊性能指標(biāo)體系����。本發(fā)明實施例的技術(shù)方案可從主流漏洞庫NVD中提取原子對抗,從而構(gòu)建基于原子對抗的抗攻擊性能評估指標(biāo)體系�����。具體地�����,本發(fā)明實施例提出原子對抗概念���,其次�,本發(fā)明實施例利用NVD漏洞數(shù)據(jù)庫��,采用數(shù)據(jù)挖掘技術(shù)提取具有通用性�、典型性、發(fā)展性�、獨立性和明確性的原子對抗,然后基于原子對抗構(gòu)建抗攻擊性能評估指標(biāo)體系,構(gòu)建方法具有 科學(xué)性����。以下結(jié)合附圖以及實施例,對本發(fā)明進行進一步詳細說明�����。應(yīng)當(dāng)理解����,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不限定本發(fā)明����。方法實施例根據(jù)本發(fā)明的實施例,提供了一種網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法��,圖I是本發(fā)明實施例的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法的流程圖�,如圖I所示,根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法包括如下處理步驟101���,從美國國家漏洞數(shù)據(jù)庫NVD獲取漏洞數(shù)據(jù)源�����,對漏洞數(shù)據(jù)源的字段和數(shù)據(jù)進行過濾變換��,獲取與抗攻擊性能有關(guān)的數(shù)據(jù)����;在步驟101中��,對漏洞數(shù)據(jù)源的字段和數(shù)據(jù)進行過濾變換�����,獲取與抗攻擊性能有關(guān)的數(shù)據(jù)具體包括如下處理I���、獲取漏洞數(shù)據(jù)源中與抗攻擊性能有關(guān)的字段和不完整的數(shù)據(jù)�����,其中�����,與抗攻擊性能有關(guān)的字段包括名稱字段�、通用弱點評價體系CVSS得分字段����、嚴重性字段��、描述字段��、損失類型字段�、CVSS評價矢量字段�����;2�、將損失類型字段和CVSS評價矢量字段進行解析,獲取每個漏洞攻擊對機密性�����、完整性�����、可用性和/或權(quán)限的影響信息�����;3�、從描述字段中提取與攻擊效果有關(guān)的效果描述�;4�����、將效果描述分解為單個效果描述��;5�����、將單個效果描述分解為效果動詞�、效果名詞和效果細節(jié)����。步驟102,對獲取的與抗攻擊性能有關(guān)的數(shù)據(jù)中的效果動詞進行提取��,并進一步提取出原子對抗的信息��,其中�����,原子對抗是指網(wǎng)絡(luò)抗攻擊性能中原子的����、較獨立的且有明確含義的抗攻擊能力�;具體地���,步驟102包括如下處理步驟I�、對效果動詞進行提取���,提取出具有通用性�����、典型性和發(fā)展性的效果動詞����;步驟I具體包括如下處理1����、統(tǒng)計效果動詞的出現(xiàn)頻率,篩選出出現(xiàn)頻率最高的效果動詞�;2、采用多因素方差分析方法對篩選出的效果動詞進行分析��,根據(jù)分析結(jié)果和效果動詞的語義����,將效果動詞進行分類���,提取出具有通用性、典型性和發(fā)展性的效果動詞��。步驟2���、進一步提取具有通用性、典型性��、發(fā)展性�����、獨立性和明確性的原子對抗�����。步驟2具體包括如下處理1�����、對效果名詞和效果細節(jié)的出現(xiàn)頻率進行統(tǒng)計分析���,選擇出現(xiàn)頻率大于預(yù)定閾值的效果名詞或效果細節(jié)����,構(gòu)成原子攻擊效果;2��、分析原子攻擊效果之間的關(guān)聯(lián)���,獲取獨立原子攻擊效果�����;3���、將獨立原子攻擊效果轉(zhuǎn)換為原子對抗。步驟103�����,從目標(biāo)系統(tǒng)的攻擊效果和模擬攻擊方的攻擊代價兩個角度分析各原子對抗的評價指標(biāo)���,根據(jù)評價指標(biāo)構(gòu)建基于原子對抗的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系���。其中����,原子對抗的類型包括抗信息泄漏��、抗拒絕服務(wù)���、抗數(shù)據(jù)篡改����、抗網(wǎng)絡(luò)欺騙����、抗入侵控制���、以及抗安全破壞����。以下結(jié)合附圖���,對本發(fā)明實施例的上述技術(shù)方案進行詳細說明����。在本發(fā)明實施例中,定義“原子對抗”為網(wǎng)絡(luò)抗攻擊性能中原子的���、較獨立且有明確含義的抗攻擊能力��。根據(jù)網(wǎng)絡(luò)抗攻擊性能評估的需求����,應(yīng)提取具有以下特點的原子對抗���。I����、通用性能夠反映大多數(shù)網(wǎng)絡(luò)攻擊�����;2�����、典型性代表典型的網(wǎng)絡(luò)攻擊����; 3����、發(fā)展性反映網(wǎng)絡(luò)攻擊的發(fā)展趨勢���;4���、獨立性含義相互獨立;5�、明確性內(nèi)涵明確、不模糊���。本發(fā)明實施例利用NVD漏洞庫挖掘具有上述特點的原子對抗�,構(gòu)建基于原子對抗的抗攻擊性能評估指標(biāo)體系�,圖2是本發(fā)明實施例的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法的詳細處理的流程圖�,如圖2所示,包含以下步驟第一步準(zhǔn)備數(shù)據(jù)源���。步驟201 :將近幾年的NVD漏洞數(shù)據(jù)作為數(shù)據(jù)源�,準(zhǔn)備好漏洞數(shù)據(jù)導(dǎo)入數(shù)據(jù)庫�����。第二步數(shù)據(jù)預(yù)處理對NVD漏洞庫的字段和數(shù)據(jù)進行過濾變換,得到與抗攻擊性能有關(guān)的數(shù)據(jù)����,包括五個子步驟字段數(shù)據(jù)過濾、字段變換處理��、效果描述提取���、效果描述分解和單個效果分解�����。具體地步驟202 :字段數(shù)據(jù)過濾�����,即去掉NVD漏洞庫中與抗攻擊性能不相關(guān)的字段和不完整的數(shù)據(jù)����。在NVD漏洞庫中�����,與抗攻擊性能有關(guān)的字段,主要包括=Name (名稱)����、Score (CVSS得分)、Severity (嚴重性)�、Description (描述)、loss_types (損失類型)���、cvss_vector(CVSS評價矢量)���。步驟203 :字段變換處理,將loss_types和cvss_vector字段變換,得到每個漏洞攻擊對機密性、完整性����、可用性和權(quán)限的影響。首先��,將loss_types字段分解,展開成Lconf (機密性損失)��、Lint (完整性損失)�����、Lavail (可用性損失)���、admin (獲得管理員權(quán)限)����、user (獲得普通用戶權(quán)限)和other (獲得其他權(quán)限)多個字段��。其次,從cvss_vector字段中提取Conf����、Integrity、Avail的取值����,得到漏洞攻擊對機密性、完整性和可用性的影響程度�。步驟204 :效果描述提取,從NVD的description字段中��,抽取與攻擊效果有關(guān)的描述�。NVD的description字段含有比較詳細的漏洞描述,分析后發(fā)現(xiàn)其描述的格式通常是 “allow (s)... attackers/users to... via/by/using…“to” 之后通常是該漏洞被利用的攻擊效果�����,“via/byAising”之后通常表示所用的攻擊方法��。因此,對description字段里“allows…to”和“via/by/using”之間的內(nèi)容進行抽取,可得到漏洞攻擊對應(yīng)的攻擊效果描述���。
步驟205 :效果描述分解����,對步驟204提取的效果描述進一步分解出單個效果的描述�����。步驟206 :單個效果分解�����,將單個效果描述分解成效果動詞���、效果名詞和效果細節(jié)���,并在分解中過濾一些常見的形容詞,如arbitrary�����、sensitive��、some等����。效果動詞是效果描述中的動詞部分,可表示采取什么方式獲得效果�,例如execute、modify��、obtain�����、cause等�����;效果名詞是效果描述中的主要名詞或短語,可表示效果針對什么目標(biāo)對象��;效果細節(jié)是從效果描述中抽取的效果具體細節(jié)�����,可表示具體的效果癥狀�,有可能為空。第三步效果動詞處理��。在第二步數(shù)據(jù)預(yù)處理的基礎(chǔ)上,對效果動詞進行處理��,提取出具有通用性�����、典型性和發(fā)展性的效果動詞�。主要包括三個子步驟統(tǒng)計分析、方差分析 和動詞分類�。步驟207 :效果動詞統(tǒng)計分析,統(tǒng)計各年效果動詞的出現(xiàn)頻率����,提取在五年中出現(xiàn)頻率較高,且在近三年也有一定出現(xiàn)概率的動詞��,滿足效果動詞的通用性�、典型性和發(fā)展性。通過統(tǒng)計效果動詞的出現(xiàn)頻率,篩選出出現(xiàn)頻率最高的效果動詞����,如execute、cause���、gain�、inject、bypass 等�。步驟208 :效果動詞方差分析,采用多因素方差分析的方法����,來分析不同的效果動詞����,對LavaiI、Lconf��、Lint����、admin、user�、other這些試驗指標(biāo)是否有顯著影響,以此來判斷哪些動詞可以歸為一類���。步驟209 :效果動詞分類�����,根據(jù)方差分析的結(jié)果和效果動詞的語義���,將效果動詞分類�����。效果動詞可分成以下幾類讀取類��、修改類����、破壞類���、欺騙類���、入侵類和繞過類等。第四步原子對抗提取���。在第三步效果動詞處理的基礎(chǔ)上����,進一步提取具有通用性����、典型性�、發(fā)展性�、獨立性和明確性的原子對抗。主要包括3個子步驟效果名詞和細節(jié)統(tǒng)計分析�����、關(guān)聯(lián)規(guī)則挖掘���、原子對抗轉(zhuǎn)換。步驟210 :效果名詞和效果細節(jié)統(tǒng)計分析����,分別對各類效果動詞,統(tǒng)計分析所有效果名詞和效果細節(jié)的出現(xiàn)頻率����,選擇總體出現(xiàn)頻率較高的效果名詞或細節(jié),構(gòu)成原子攻擊效果���。步驟211 :關(guān)聯(lián)規(guī)則挖掘���,發(fā)現(xiàn)原子攻擊效果之間的關(guān)聯(lián),提出獨立的原子攻擊效
果O步驟212 :原子對抗轉(zhuǎn)換。由于原子對抗可理解為對抗原子攻擊效果的能力�����,因此可在211步驟獲得的原子攻擊效果基礎(chǔ)上���,將原子攻擊效果轉(zhuǎn)換成最終的原子對抗�。本發(fā)明實施例針對網(wǎng)絡(luò)抗攻擊性能評估的需求���,利用NVD漏洞庫挖掘得到的原子對抗可分為6類抗信息泄漏��、抗拒絕服務(wù)��、抗數(shù)據(jù)篡改��、抗網(wǎng)絡(luò)欺騙���、抗入侵控制、抗安全破壞���。其中���,抗信息泄露����,是指防止攻擊非法獲得目標(biāo)的信息��,保護信息系統(tǒng)的機密性����;抗拒絕服務(wù),是指防止攻擊非法阻塞目標(biāo)數(shù)據(jù)或資源����,保護信息系統(tǒng)的可用性;抗數(shù)據(jù)篡改���,是指防止攻擊非法篡改目標(biāo)資源和數(shù)據(jù),保護信息系統(tǒng)的完整性�;抗網(wǎng)絡(luò)欺騙,是指防止網(wǎng)絡(luò)系統(tǒng)或用戶被非法欺騙����,保護信息系統(tǒng)的真實性;抗安全破壞�����,是指防止安全防御措施被非法破壞或規(guī)避,以及防止攻擊提升自身隱蔽性����、傳播性、健壯性等手段��。各類包含的原子對抗主要有I�����、抗信息泄露抗文件/目錄非法讀取�、抗內(nèi)存數(shù)據(jù)非法讀取、抗注冊表非法讀取�、抗進程非法讀取、抗內(nèi)核模塊非法讀取�、抗存活I(lǐng)P非法探測、抗軟件版本非法探測���、抗漏洞非法探測���、抗操作系統(tǒng)賬戶探測、抗操作系統(tǒng)指紋非法探測�����、防鍵盤監(jiān)控、抗明文探測�、抗路由非法探測、抗DNS信息非法探測等24個原子對抗����。2、抗拒絕服務(wù)防應(yīng)用或進程出錯�����、防CPU非法消耗����、防內(nèi)存非法消耗、防系統(tǒng)或設(shè)備出錯�、防服務(wù)質(zhì)量下降、防進程資源非法消耗���、防網(wǎng)絡(luò)帶寬資源非法消耗、抗合法連接被拒絕�����、防文件系統(tǒng)破壞�、防磁盤空間非法消耗����、防通信重定向等19個原子對抗�����。3�����、抗數(shù)據(jù)篡改防文件和路徑非法篡改���、防內(nèi)存非法篡改���、防操作系統(tǒng)賬戶非法篡改、防注冊表非法篡改�、防路由表非法篡改、防數(shù)據(jù)庫非法篡改等20個原子對抗����。4、抗網(wǎng)絡(luò)欺騙防電子郵件偽造���、防DNS高速緩存污染�����、防網(wǎng)站內(nèi)容偽造等6個原子對抗�。 5、抗入侵控制防程序非法執(zhí)行��、防操作系統(tǒng)權(quán)限非法提升���、防數(shù)據(jù)庫權(quán)限非法提升�����、防資源非法利用����、防后門非法開啟��、防Shell非法獲得��、防Web應(yīng)用權(quán)限非法提升��、防非法登錄或管理等24個原子對抗���。6����、抗安全破壞防網(wǎng)絡(luò)傳播���、防本地感染�����、反繞過病毒檢測�、反穿透防火墻��、反躲避IDS/IPS��、反文件隱藏��、反運行隱藏�、反通信隱藏等11個原子對抗。第五步�����,評估指標(biāo)分析����,從目標(biāo)系統(tǒng)的攻擊效果和模擬攻擊方的攻擊代價兩個角度分析各原子對抗的評價指標(biāo)�����,選擇具有代表性�����、敏感性�����、可測性等特點的評估指標(biāo)構(gòu)成基于原子對抗的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系��,圖3是本發(fā)明實施例的基于原子對抗構(gòu)建網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系的示意圖�����,如圖3所示���,例如,抗信息泄露類原子對抗�,可用泄露信息量、攻擊方資源代價和攻擊方時間代價來衡量��。綜上所述,借助于本發(fā)明實施例的技術(shù)方案�,通過利用NVD漏洞庫�����,采用數(shù)據(jù)挖掘技術(shù)提取具有通用性�、典型性、擴展性���、獨立性和明確性的原子對抗���,構(gòu)建基于原子對抗的抗攻擊性能指標(biāo)體系,解決了現(xiàn)有技術(shù)中抗攻擊性能指標(biāo)體系構(gòu)建依據(jù)缺乏很強的科學(xué)性�、存在指標(biāo)不夠全面、粗細粒度不一致��、內(nèi)涵交叉�����、操作性不高的問題�����,本發(fā)明實施例的技術(shù)方案中,原子對抗分類明確��,各類別較獨立����;此外,原子對抗的通用性��、典型性和發(fā)展性��,能夠滿足對大部分典型網(wǎng)絡(luò)攻擊測試的評價需求�。并且,原子功能的獨立性和明確性�����,便于將網(wǎng)絡(luò)攻擊測試場景轉(zhuǎn)化成原子對抗的組合�����;在本發(fā)明實施例中��,評估指標(biāo)的提取�,盡量直接體現(xiàn)原子對抗的特點,并考慮了評估的可操作性�����。裝置實施例根據(jù)本發(fā)明的實施例,提供了一種網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建裝置��,圖4是本發(fā)明實施例的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建裝置的結(jié)構(gòu)示意圖�����,如圖4所示���,根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建裝置包括獲取模塊40、提取模塊42�、以及構(gòu)建模塊44,以下對本發(fā)明實施例的各個模塊進行詳細的說明��。獲取模塊40�,用于從美國國家漏洞數(shù)據(jù)庫NVD獲取漏洞數(shù)據(jù)源,對漏洞數(shù)據(jù)源的字段和數(shù)據(jù)進行過濾變換��,獲取與抗攻擊性能有關(guān)的數(shù)據(jù)��;獲取模塊40具體用于獲取漏洞數(shù)據(jù)源中與抗攻擊性能有關(guān)的字段和不完整的數(shù)據(jù)�����,其中,與抗攻擊性能有關(guān)的字段包括名稱字段�����、通用弱點評價體系CVSS得分字段�、嚴重性字段、描述字段���、損失類型字段���、CVSS評價矢量字段;將損失類型字段和CVSS評價矢量字段進行解析�,獲取每個漏洞攻擊對機密性、完整性�����、可用性和/或權(quán)限的影響信息��;從描述字段中提取與攻擊效果有關(guān)的效果描述�;將效果描述分解為單個效果描述;將單個效果描述分解為效果動詞��、效果名詞和效果細節(jié)���。提取模塊42�,用于對獲取的與抗攻擊性能有關(guān)的數(shù)據(jù)中的效果動詞進行提取,并進一步提取出原子對抗的信息��,其中��,原子對抗是指網(wǎng)絡(luò)抗攻擊性能中原子的�、較獨立的且有明確含義的抗攻擊能力;提取模塊42具體包括
第一提取子模塊��,用于對效果動詞進行提取�����,提取出具有通用性�、典型性和發(fā)展性的效果動詞�����;第一提取子模塊具體用于統(tǒng)計效果動詞的出現(xiàn)頻率���,篩選出出現(xiàn)頻率最高的效果動詞���;采用多因素方差分析方法對篩選出的效果動詞進行分析��,根據(jù)分析結(jié)果和效果動詞的語義�,將效果動詞進行分類�,提取出具有通用性、典型性和發(fā)展性的效果動詞����;第二提取子模塊,用于進一步提取具有通用性�、典型性、發(fā)展性���、獨立性和明確性的原子對抗�。第二提取子模塊具體用于對效果名詞和效果細節(jié)的出現(xiàn)頻率進行統(tǒng)計分析����,選擇出現(xiàn)頻率大于預(yù)定閾值的效果名詞或效果細節(jié),構(gòu)成原子攻擊效果��;分析原子攻擊效果之間的關(guān)聯(lián)��,獲取獨立原子攻擊效果�;將獨立原子攻擊效果轉(zhuǎn)換為原子對抗。構(gòu)建模塊44��,用于從目標(biāo)系統(tǒng)的攻擊效果和模擬攻擊方的攻擊代價兩個角度分析各原子對抗的評價指標(biāo),根據(jù)評價指標(biāo)構(gòu)建基于原子對抗的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系����。原子對抗的類型包括抗信息泄漏、抗拒絕服務(wù)����、抗數(shù)據(jù)篡改、抗網(wǎng)絡(luò)欺騙����、抗入侵控制、以及抗安全破壞��。以下結(jié)合附圖�,對本發(fā)明實施例的上述技術(shù)方案進行詳細說明�����。在本發(fā)明實施例中�����,定義“原子對抗”為網(wǎng)絡(luò)抗攻擊性能中原子的��、較獨立且有明確含義的抗攻擊能力。根據(jù)網(wǎng)絡(luò)抗攻擊性能評估的需求��,應(yīng)提取具有以下特點的原子對抗���。I�、通用性能夠反映大多數(shù)網(wǎng)絡(luò)攻擊�;2、典型性代表典型的網(wǎng)絡(luò)攻擊���;3����、發(fā)展性反映網(wǎng)絡(luò)攻擊的發(fā)展趨勢����;4、獨立性含義相互獨立�����;5�����、明確性內(nèi)涵明確、不模糊��。本發(fā)明實施例利用NVD漏洞庫挖掘具有上述特點的原子對抗����,構(gòu)建基于原子對抗的抗攻擊性能評估指標(biāo)體系,圖2是本發(fā)明實施例的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法的詳細處理的流程圖�,如圖2所示,包含以下步驟第一步準(zhǔn)備數(shù)據(jù)源��。步驟201 :將近幾年的NVD漏洞數(shù)據(jù)作為數(shù)據(jù)源����,準(zhǔn)備好漏洞數(shù)據(jù)導(dǎo)入數(shù)據(jù)庫。第二步數(shù)據(jù)預(yù)處理對NVD漏洞庫的字段和數(shù)據(jù)進行過濾變換�����,得到與抗攻擊性能有關(guān)的數(shù)據(jù)����,包括五個子步驟字段數(shù)據(jù)過濾���、字段變換處理���、效果描述提取���、效果描述分解和單個效果分解。具體地
步驟202 :字段數(shù)據(jù)過濾��,即去掉NVD漏洞庫中與抗攻擊性能不相關(guān)的字段和不完整的數(shù)據(jù)�。在NVD漏洞庫中,與抗攻擊性能有關(guān)的字段���,主要包括=Name (名稱)��、Score (CVSS得分)�����、Severity (嚴重性)�、Description (描述)�����、loss_types (損失類型)����、cvss_vector(CVSS評價矢量)�����。步驟203 :字段變換處理,將loss_types和cvss_vector字段變換,得到每個漏洞攻擊對機密性����、完整性��、可用性和權(quán)限的影響����。首先,將loss_types字段分解,展開成Lconf (機密性損失)���、Lint (完整性損失)��、Lavail (可用性損失)��、admin (獲得管理員權(quán)限)�����、user (獲得普通用戶權(quán)限)和other (獲得其他權(quán)限)多個字段。其次,從cvss_vector字段中提取Conf、Integrity����、Avail的取值,得到漏洞攻擊對機密性����、完整性和可用性的影響程度。 步驟204 :效果描述提取����,從NVD的description字段中,抽取與攻擊效果有關(guān)的描述����。NVD的description字段含有比較詳細的漏洞描述,分析后發(fā)現(xiàn)其描述的格式通常是 “allow (s)... attackers/users to... via/by/using…“to” 之后通常是該漏洞被利用的攻擊效果�����,“via/byAising”之后通常表示所用的攻擊方法�����。因此,對description字段里“allows…to”和“via/by/using”之間的內(nèi)容進行抽取�,可得到漏洞攻擊對應(yīng)的攻擊效果描述����。步驟205 :效果描述分解���,對步驟204提取的效果描述進一步分解出單個效果的描述��。步驟206 :單個效果分解��,將單個效果描述分解成效果動詞�、效果名詞和效果細節(jié)���,并在分解中過濾一些常見的形容詞�,如arbitrary�、sensitive、some等�����。效果動詞是效果描述中的動詞部分�����,可表示采取什么方式獲得效果�,例如execute�����、modify、obtain�、cause等;效果名詞是效果描述中的主要名詞或短語,可表示效果針對什么目標(biāo)對象�;效果細節(jié)是從效果描述中抽取的效果具體細節(jié),可表示具體的效果癥狀����,有可能為空。第三步效果動詞處理�。在第二步數(shù)據(jù)預(yù)處理的基礎(chǔ)上,對效果動詞進行處理�,提取出具有通用性、典型性和發(fā)展性的效果動詞��。主要包括三個子步驟統(tǒng)計分析��、方差分析和動詞分類��。步驟207 :效果動詞統(tǒng)計分析�����,統(tǒng)計各年效果動詞的出現(xiàn)頻率,提取在五年中出現(xiàn)頻率較高�,且在近三年也有一定出現(xiàn)概率的動詞,滿足效果動詞的通用性����、典型性和發(fā)展性。通過統(tǒng)計效果動詞的出現(xiàn)頻率�,篩選出出現(xiàn)頻率最高的效果動詞,如execute����、cause、gain��、inject�、bypass 等。步驟208 :效果動詞方差分析����,采用多因素方差分析的方法,來分析不同的效果動詞���,對LavaiI����、Lconf、Lint��、admin��、user����、other這些試驗指標(biāo)是否有顯著影響����,以此來判斷哪些動詞可以歸為一類。步驟209 :效果動詞分類����,根據(jù)方差分析的結(jié)果和效果動詞的語義,將效果動詞分類���。
效果動詞可分成以下幾類讀取類��、修改類���、破壞類、欺騙類����、入侵類和繞過類等����。第四步原子對抗提取��。在第三步效果動詞處理的基礎(chǔ)上����,進一步提取具有通用性、典型性�、發(fā)展性、獨立性和明確性的原子對抗�����。主要包括3個子步驟效果名詞和細節(jié)統(tǒng)計分析���、關(guān)聯(lián)規(guī)則挖掘���、原子對抗轉(zhuǎn)換。步驟210 :效果名詞和效果細節(jié)統(tǒng)計分析����,分別對各類效果動詞�����,統(tǒng)計分析所有效果名詞和效果細節(jié)的出現(xiàn)頻率�,選擇總體出現(xiàn)頻率較高的效果名詞或細節(jié)���,構(gòu)成原子攻擊效果�。步驟211 :關(guān)聯(lián)規(guī)則挖掘�,發(fā)現(xiàn)原子攻擊效果之間的關(guān)聯(lián)��,提出獨立的原子攻擊效
果O步驟212 :原子對抗轉(zhuǎn)換����。由于原子對抗可理解為對抗原子攻擊效果的能力,因此可在211步驟獲得的原子攻擊效果基礎(chǔ)上����,將原子攻擊效果轉(zhuǎn)換成最終的原子對抗。 本發(fā)明實施例針對網(wǎng)絡(luò)抗攻擊性能評估的需求�,利用NVD漏洞庫挖掘得到的原子對抗可分為6類抗信息泄漏、抗拒絕服務(wù)����、抗數(shù)據(jù)篡改�、抗網(wǎng)絡(luò)欺騙�、抗入侵控制、抗安全破壞����。其中,抗信息泄露�,是指防止攻擊非法獲得目標(biāo)的信息,保護信息系統(tǒng)的機密性����;抗拒絕服務(wù),是指防止攻擊非法阻塞目標(biāo)數(shù)據(jù)或資源�,保護信息系統(tǒng)的可用性;抗數(shù)據(jù)篡改����,是指防止攻擊非法篡改目標(biāo)資源和數(shù)據(jù),保護信息系統(tǒng)的完整性����;抗網(wǎng)絡(luò)欺騙,是指防止網(wǎng)絡(luò)系統(tǒng)或用戶被非法欺騙�,保護信息系統(tǒng)的真實性���;抗安全破壞,是指防止安全防御措施被非法破壞或規(guī)避����,以及防止攻擊提升自身隱蔽性、傳播性���、健壯性等手段�����。各類包含的原子對抗主要有I����、抗信息泄露抗文件/目錄非法讀取����、抗內(nèi)存數(shù)據(jù)非法讀取�、抗注冊表非法讀取、抗進程非法讀取��、抗內(nèi)核模塊非法讀取��、抗存活I(lǐng)P非法探測、抗軟件版本非法探測�、抗漏洞非法探測、抗操作系統(tǒng)賬戶探測�����、抗操作系統(tǒng)指紋非法探測���、防鍵盤監(jiān)控����、抗明文探測�����、抗路由非法探測��、抗DNS信息非法探測等24個原子對抗�����。2���、抗拒絕服務(wù)防應(yīng)用或進程出錯����、防CPU非法消耗、防內(nèi)存非法消耗��、防系統(tǒng)或設(shè)備出錯����、防服務(wù)質(zhì)量下降、防進程資源非法消耗�����、防網(wǎng)絡(luò)帶寬資源非法消耗��、抗合法連接被拒絕���、防文件系統(tǒng)破壞����、防磁盤空間非法消耗��、防通信重定向等19個原子對抗�。3�、抗數(shù)據(jù)篡改防文件和路徑非法篡改����、防內(nèi)存非法篡改����、防操作系統(tǒng)賬戶非法篡改、防注冊表非法篡改��、防路由表非法篡改�、防數(shù)據(jù)庫非法篡改等20個原子對抗。4����、抗網(wǎng)絡(luò)欺騙防電子郵件偽造、防DNS高速緩存污染�、防網(wǎng)站內(nèi)容偽造等6個原子對抗。5�����、抗入侵控制防程序非法執(zhí)行�、防操作系統(tǒng)權(quán)限非法提升、防數(shù)據(jù)庫權(quán)限非法提升�����、防資源非法利用、防后門非法開啟����、防Shell非法獲得、防Web應(yīng)用權(quán)限非法提升����、防非法登錄或管理等24個原子對抗。6���、抗安全破壞防網(wǎng)絡(luò)傳播�、防本地感染����、反繞過病毒檢測、反穿透防火墻����、反躲避IDS/IPS、反文件隱藏��、反運行隱藏�����、反通信隱藏等11個原子對抗��。第五步��,評估指標(biāo)分析����,從目標(biāo)系統(tǒng)的攻擊效果和模擬攻擊方的攻擊代價兩個角度分析各原子對抗的評價指標(biāo),選擇具有代表性��、敏感性���、可測性等特點的評估指標(biāo)構(gòu)成基于原子對抗的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系��,圖3是本發(fā)明實施例的基于原子對抗構(gòu)建網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系的示意圖�����,如圖3所示�,例如��,抗信息泄露類原子對抗��,可用泄露信息量、攻擊方資源代價和攻擊方時間代價來衡量����。綜上所述,借助于本發(fā)明實施例的技術(shù)方案����,通過利用NVD漏洞庫,采用數(shù)據(jù)挖掘技術(shù)提取具有通用性�����、典型性���、擴展性�����、獨立性和明確性的原子對抗���,構(gòu)建基于原子對抗的抗攻擊性能指標(biāo)體系,解決了現(xiàn)有技術(shù)中抗攻擊性能指標(biāo)體系構(gòu)建依據(jù)缺乏很強的科學(xué)性��、存在指標(biāo)不夠全面�、粗細粒度不一致�、內(nèi)涵交叉�、操作性不高的問題,本發(fā)明實 施例的技術(shù)方案中����,原子對抗分類明確����,各類別較獨立;此外�,原子對抗的通用性、典型性和發(fā)展性���,能夠滿足對大部分典型網(wǎng)絡(luò)攻擊測試的評價需求���。并且,原子功能的獨立性和明確性���,便于將網(wǎng)絡(luò)攻擊測試場景轉(zhuǎn)化成原子對抗的組合���;在本發(fā)明實施例中,評估指標(biāo)的提取����,盡量直接體現(xiàn)原子對抗的特點����,并考慮了評估的可操作性�����。盡管為示例目的��,已經(jīng)公開了本發(fā)明的優(yōu)選實施例���,本領(lǐng)域的技術(shù)人員將意識到各種改進�����、增加和取代也是可能的�,因此�����,本發(fā)明的范圍應(yīng)當(dāng)不限于上述實施例��。
權(quán)利要求
1.一種網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法��,其特征在于,包括 從美國國家漏洞數(shù)據(jù)庫NVD獲取漏洞數(shù)據(jù)源����,對所述漏洞數(shù)據(jù)源的字段和數(shù)據(jù)進行過濾變換,獲取與抗攻擊性能有關(guān)的數(shù)據(jù)�; 對獲取的所述與抗攻擊性能有關(guān)的數(shù)據(jù)中的效果動詞進行提取,并進ー步提取出原子對抗的信息��,其中��,所述原子對抗是指網(wǎng)絡(luò)抗攻擊性能中原子的�����、較獨立的且有明確含義的抗攻擊能力�; 從目標(biāo)系統(tǒng)的攻擊效果和模擬攻擊方的攻擊代價兩個角度分析各原子對抗的評價指標(biāo)�����,根據(jù)所述評價指標(biāo)構(gòu)建基于原子對抗的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系���。
2.如權(quán)利要求I所述的方法����,其特征在干,對所述漏洞數(shù)據(jù)源的字段和數(shù)據(jù)進行過濾變換�,獲取與抗攻擊性能有關(guān)的數(shù)據(jù)具體包括 獲取所述漏洞數(shù)據(jù)源中與抗攻擊性能有關(guān)的字段和不完整的數(shù)據(jù),其中����,所述與抗攻擊性能有關(guān)的字段包括名稱字段、通用弱點評價體系CVSS得分字段��、嚴重性字段�、描述字段、損失類型字段�����、CVSS評價矢量字段��; 將所述損失類型字段和所述CVSS評價矢量字段進行解析��,獲取每個漏洞攻擊對機密性��、完整性��、可用性和/或權(quán)限的影響信息�����; 從所述描述字段中提取與攻擊效果有關(guān)的效果描述; 將所述效果描述分解為單個效果描述�����; 將所述單個效果描述分解為所述效果動詞�����、效果名詞和效果細節(jié)�。
3.如權(quán)利要求2所述的方法,其特征在于�,對獲取的所述與抗攻擊性能有關(guān)的數(shù)據(jù)中的效果動詞進行提取,并進ー步提取出原子對抗的信息具體包括 對所述效果動詞進行提取�,提取出具有通用性�����、典型性和發(fā)展性的效果動詞�; 進ー步提取具有通用性、典型性�、發(fā)展性、獨立性和明確性的原子対抗���。
4.如權(quán)利要求3所述的方法�����,其特征在于���,對所述效果動詞進行提取�����,提取出具有通用性�����、典型性和發(fā)展性的效果動詞具體包括 統(tǒng)計效果動詞的出現(xiàn)頻率����,篩選出出現(xiàn)頻率最高的效果動詞�����; 采用多因素方差分析方法對篩選出的所述效果動詞進行分析�,根據(jù)分析結(jié)果和效果動詞的語義,將效果動詞進行分類��,提取出具有通用性�����、典型性和發(fā)展性的效果動詞。
5.如權(quán)利要求3所述的方法���,其特征在于�����,提取具有通用性�、典型性����、發(fā)展性、獨立性和明確性的原子對抗具體包括 對所述效果名詞和所述效果細節(jié)的出現(xiàn)頻率進行統(tǒng)計分析���,選擇出現(xiàn)頻率大于預(yù)定閾值的效果名詞或效果細節(jié),構(gòu)成原子攻擊效果��; 分析所述原子攻擊效果之間的關(guān)聯(lián)�����,獲取獨立原子攻擊效果���; 將所述獨立原子攻擊效果轉(zhuǎn)換為所述原子対抗��。
6.如權(quán)利要求I至5中任一項所述的方法���,其特征在于�����,所述原子對抗的類型包括抗信息泄漏���、抗拒絕服務(wù)、抗數(shù)據(jù)篡改���、抗網(wǎng)絡(luò)欺騙�����、抗入侵控制����、以及抗安全破壞��。
7.—種網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建裝置,其特征在干���, 獲取模塊�����,用于從美國國家漏洞數(shù)據(jù)庫NVD獲取漏洞數(shù)據(jù)源����,對所述漏洞數(shù)據(jù)源的字段和數(shù)據(jù)進行過濾變換��,獲取與抗攻擊性能有關(guān)的數(shù)據(jù)���; 提取模塊���,用于對獲取的所述與抗攻擊性能有關(guān)的數(shù)據(jù)中的效果動詞進行提取,并進一步提取出原子對抗的信息��,其中����,所述原子對抗是指網(wǎng)絡(luò)抗攻擊性能中原子的����、較獨立的且有明確含義的抗攻擊能力��; 構(gòu)建模塊��,用于從目標(biāo)系統(tǒng)的攻擊效果和模擬攻擊方的攻擊代價兩個角度分析各原子對抗的評價指標(biāo)�,根據(jù)所述評價指標(biāo)構(gòu)建基于原子對抗的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系����。
8.如權(quán)利要求7所述的裝置,其特征在干��, 所述獲取模塊具體用于獲取所述漏洞數(shù)據(jù)源中與抗攻擊性能有關(guān)的字段和不完整的數(shù)據(jù)����,其中,所述與抗攻擊性能有關(guān)的字段包括名稱字段��、通用弱點評價體系CVSS得分字段����、嚴重性字段、描述字段����、損失類型字段�、CVSS評價矢量字段���;將所述損失類型字段和所述CVSS評價矢量字段進行解析�����,獲取每個漏洞攻擊對機密性�、完整性����、可用性和/或權(quán)限的影響信息;從所述描述字段中提取與攻擊效果有關(guān)的效果描述�����;將所述效果描述分解為單個效果描述���;將所述單個效果描述分解為所述效果動詞���、效果名詞和效果細節(jié); 所述提取模塊具體包括第一提取子模塊�����,用于對所述效果動詞進行提取,提取出具有 通用性��、典型性和發(fā)展性的效果動詞����;第二提取子模塊���,用于進ー步提取具有通用性�����、典型性��、發(fā)展性��、獨立性和明確性的原子対抗����。
9.如權(quán)利要求8所述的裝置���,其特征在干��, 所述第一提取子模塊具體用干統(tǒng)計效果動詞的出現(xiàn)頻率���,篩選出出現(xiàn)頻率最高的效果動詞�;采用多因素方差分析方法對篩選出的所述效果動詞進行分析���,根據(jù)分析結(jié)果和效果動詞的語義����,將效果動詞進行分類���,提取出具有通用性�����、典型性和發(fā)展性的效果動詞�; 所述第二提取子模塊具體用干對所述效果名詞和所述效果細節(jié)的出現(xiàn)頻率進行統(tǒng)計分析����,選擇出現(xiàn)頻率大于預(yù)定閾值的效果名詞或效果細節(jié),構(gòu)成原子攻擊效果�����;分析所述原子攻擊效果之間的關(guān)聯(lián)���,獲取獨立原子攻擊效果����;將所述獨立原子攻擊效果轉(zhuǎn)換為所述原子對抗。
10.如權(quán)利要求7至9中任一項所述的裝置�����,其特征在于����,所述原子對抗的類型包括抗信息泄漏��、抗拒絕服務(wù)����、抗數(shù)據(jù)篡改、抗網(wǎng)絡(luò)欺騙�����、抗入侵控制����、以及抗安全破壞����。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系構(gòu)建方法及裝置��。該方法包括從美國國家漏洞數(shù)據(jù)庫NVD獲取漏洞數(shù)據(jù)源����,對漏洞數(shù)據(jù)源的字段和數(shù)據(jù)進行過濾變換,獲取與抗攻擊性能有關(guān)的數(shù)據(jù)����;對獲取的與抗攻擊性能有關(guān)的數(shù)據(jù)中的效果動詞進行提取,并進一步提取出原子對抗的信息�,其中,原子對抗是指網(wǎng)絡(luò)抗攻擊性能中原子的���、較獨立的且有明確含義的抗攻擊能力���;從目標(biāo)系統(tǒng)的攻擊效果和模擬攻擊方的攻擊代價兩個角度分析各原子對抗的評價指標(biāo),根據(jù)評價指標(biāo)構(gòu)建基于原子對抗的網(wǎng)絡(luò)抗攻擊性能評估指標(biāo)體系����。
文檔編號G06F17/30GK102739652SQ201210185520
公開日2012年10月17日 申請日期2012年6月7日 優(yōu)先權(quán)日2012年6月7日
發(fā)明者祝世雄, 胡影, 蒲石, 趙青, 鄭康鋒, 饒志宏, 黃福鑫 申請人:中國電子科技集團公司第三十研究所