技术领域
[0001] 本
发明属于
计算机网络安全技术领域,具体涉及基于博弈论的网络中资产的安全风险评估方法。
背景技术
[0002] 信息技术的快速发展给社会带来了便利和发展动
力,其中网络是信息技术得到普遍应用的重要
基础设施,扮演着非常重要的
角色。特别是移动互联网的普及,使网络成为了人们生活中必不可少的组成部分。与此同时,各种安全威胁对网络产生的风险也是不容忽视的。除了采用
生物特征识别、
防火墙、入侵检测等技术应对特定的安全问题外,信息安全从业者也会采用信息安全风险评估技术,对整个信息系统进行全面的
安全分析,实现对安全态势的直观
感知。信息安全风险评估关注的是资产、漏洞、风险和防护的关系。在整个信息安全风险评估中,是将信息系统看作由多个资产所有构成的,每个资产都包含了漏洞,而风险产生于威胁对这些漏洞的利用。网络、资产、漏洞、威胁以及风险这几个元素之间的关系如图1所示。网络作为常见的信息系统,它的风险也正是来源于这些漏洞。目前国内外有许多知名的漏洞库收录了这些对网络产生风险的漏洞,如美国标准化局的NVD(National Vulnerability Database)、我国的CNNVD(国家信息安全漏洞库)等,这些漏洞库都对收录的漏洞进行了严重程度的评分,这为网络系统的风险评估提供了分析依据。网络的风险是所有资产的风险的总和,这是很多信息安全风险评估研究共同的观点,因此对资产进行风险评估是对网络进行信息安全风险评估中要解决的一个问题。
[0003] 网络的风险是资产风险的总和。比如Mahmoud和Pirovano的网络整体风险评估方法中,将资产称为
节点(Node),每个节点的风险来源于两部分,一部分是它们自身的产生的,另一部分是由其他节点带来的,最后网络的总体风险是每个节点风险的总和。类似的观点如Yan等认为网络系统的整体风险是由它支持的服务带来的,因此网络的风险程度是每个服务的风险与该服务的权重乘积的总和,而在最底层可以发现这些服务最终构成的实体还是相应的资产。因此要实现对整个网络的风险分析,对资产的风险分析是关键的环节。
[0004] 另外,安全风险的大小是由两个因素决定,一个是漏洞被利用的可能性,其次是漏洞被利用产生的影响。这个关系可以用公式(1)表示。
[0005] Risk=Likelihood×Impact (1)
[0006] 这种将风险表达为漏洞被攻击的可能性和影响的乘积的形式是许多信息安全风险评估中所常用的。在网络的风险评估中,网络、资产、漏洞的层级结构如图2所示。可以看到,正如网络的风险是资产风险的总和,资产的风险也是每个漏洞产生风险的总和。借助各种漏洞库的权威性数据,可以获得漏洞的严重程度,并将此作为影响程度。要进一步评估资产的风险,需要确定的另一个参数是漏洞被攻击或利用的可能性。
发明内容
[0007] 为克服上述
现有技术的不足,本发明的目的是提供基于博弈论的网络中资产的安全风险评估方法,通过博弈论的方式来分析漏洞被攻击的可能性或概率,解决如何在具有多漏洞的资产上分析相应的风险状况的技术问题,能有效的分析独立资产的安全风险,也能支持对整体网络系统的信息安全风险评估。
[0008] 为实现上述目的,本发明采用的技术方案是:基于博弈论的网络中资产的安全风险评估方法,包括以下步骤:
[0009] 步骤1,构建资产风险分析的博弈模型,具体做法是:
[0010] 将对漏洞进行防御和攻击看做是一个博弈,那么博弈的双方是系统管理员和攻击者;对于每个漏洞,系统管理员的选择是忽略和关注,而攻击者选择的是攻击或者不攻击;然后考虑双方行动的收益,最终找到该博弈的均衡点,实现对该漏洞被攻击的可能性进行分析,然后将该资产上所有的漏洞被利用可能带来的风险进行综合考虑,计算该资产上的总体风险;
[0011] 步骤2,利用步骤1构建的博弈模型计算攻击者的收益,具体做法是:
[0012] 通过系统管理员对漏洞vi的关注情况计算攻击者的收益,当攻击者选择攻击该漏洞时的收益为pfe-i可用公式(2)表示,
[0013] pfe-i=pi·(-catk-i)+(1-pi)·(prti-catk-i) (2)
[0014] 式中:
[0015] pfe-i——攻击者利用漏洞vi获得的收益,
[0016] pi——系统管理员关注漏洞vi的概率,
[0017] catk-i——攻击者攻击漏洞vi投入的成本,
[0018] prti——攻击者利用漏洞vi成功获得的利益,
[0019] 而任何情况下攻击者都选择不攻击漏洞vi的收益pfne-i显然是0,当系统管理员和攻击者的博弈达到均衡时,意味着采取混合策略的攻击者选择对漏洞vi或不利用都可获得相同的收益,即得到公式(3),
[0020] pi·(-catk-i)+(1-pi)·(prti-catk-i)=0 (3)
[0021] 式中:pi——系统管理员关注漏洞vi的概率;catk-i——攻击者攻击漏洞vi投入的成本;prti——攻击者利用漏洞vi成功获得的利益;
[0022] 由此可得到系统管理员对漏洞vi关注的概率pi,其计算方法由公式(4)表示,[0023]
[0024] 步骤3,通过攻击者对漏洞vi进行攻击的情况来计算系统管理员的收益,当系统管理员选择关注该漏洞时,其收益pfa-i可由公式(5)表示,
[0025] pfa-i=qi·(-cadm-i)+(1-qi)·(-cadm-i) (5)
[0026] 式中:
[0027] pfa-i——系统管理员关注漏洞vi获得的收益,
[0028] qi——攻击者利用漏洞vi的概率,
[0029] cadm-i——系统管理员关注漏洞vi投入的成本,
[0030] 当系统管理员选择忽略漏洞vi时,其收益pfna-i可用公式(6)来表示,[0031] pfna-i=qi·(-li)+(1-qi)·0 (6)
[0032] 式中:
[0033] pfna-i——系统管理员忽略漏洞vi获得的收益,
[0034] qi——攻击者利用漏洞vi的概率,
[0035] li——系统管理员由于漏洞vi被攻击者成功利用遭受的损失,
[0036] 参照攻击者的行为模式来分析系统管理员的行为,可得到,若博弈达到平衡时,系统管理员无论采取何种行动所取得的收益是相等的,即pfa-i和pfna-i是相等,所以可以得到攻击者攻击漏洞vi的概率qi的计算公式(7),
[0037]
[0038] 式中:
[0039] li——系统管理员由于漏洞vi被攻击者成功利用遭受的损失,
[0040] qi——攻击者利用漏洞vi的概率,
[0041] cadm-i——系统管理员关注漏洞vi投入的成本,
[0042] 漏洞vi被攻击而发生安全事件是由于于系统管理员忽略该漏洞,同时攻击者对该漏洞进行了攻击,设这个为事件为Ei,可以得到资产a上针对漏洞vi的概率P(Ei)如公式(8),
[0043]
[0044] 式中:
[0045] Ei-—漏洞vi被攻击者成功利用的事件,
[0046] catk-i——攻击者攻击漏洞vi投入的成本,
[0047] cadm-i——系统管理员关注漏洞vi投入的成本,
[0048] li——系统管理员由于漏洞vi被攻击者成功利用遭受的损失,
[0049] prti——攻击者利用漏洞vi成功获得的利益,
[0050] 如果资产A上的每个漏洞vi被攻击者发现的机会是等同的,因此利用每个漏洞vi被发现的概率为1/n,若发现漏洞vi的事件为Di,利用漏洞发生安全事件的事件为Ei,则发现漏洞vi并利用该漏洞vi成功的概率P(DiEi)可由贝叶斯公式(9)计算,
[0051] P(DiEi)=P(Ei|Di)·P(Di) (9)
[0052] 式中:
[0053] Di——攻击者发现漏洞vi的事件,
[0054] Ei——漏洞vi被攻击者成功利用的事件,
[0055] 若将攻击者发现漏洞vi和漏洞vi被攻击者成功攻击看作是相互独立的事件,则有公式(10),
[0056] P(DiEi)=P(Ei)·P(Di) (10)
[0057] 式中:
[0058] Di——攻击者发现漏洞vi的事件,
[0059] Ei——漏洞vi被攻击者成功利用的事件,
[0060] 结合公式(9)和(10),得到漏洞vi被发现,并被攻击成功产生风险的概率的计算公式(11),
[0061]
[0062] 式中:
[0063] Di——攻击者发现漏洞vi的事件,
[0064] Ei——漏洞vi被攻击者成功利用的事件,
[0065] catk-i——攻击者攻击漏洞vi投入的成本,
[0066] cadm-i——系统管理员关注漏洞vi投入的成本,
[0067] li——系统管理员由于漏洞vi被攻击者成功利用遭受的损失,
[0068] prti——攻击者利用漏洞vi成功获得的利益,
[0069] n——被评估资产上的漏洞数,
[0070] 结合所有漏洞被攻击产生影响,可以得到资产A的风险计算公式(12),[0071]
[0072] 式中:
[0073] catk-i——攻击者攻击漏洞vi投入的成本,
[0074] cadm-i——系统管理员关注漏洞vi投入的成本,
[0075] li——系统管理员由于漏洞vi被攻击者成功利用遭受的损失,
[0076] prti——攻击者利用漏洞vi成功获得的利益,
[0077] n——被评估资产A上的漏洞数,
[0078] impi——漏洞i的影响程度,
[0079] rA——被评估资产A的风险程度,
[0080] 步骤4若impi的取值范围为[0,Riskmax],则针对计算得到的资产A的风险值rA,按照下表进行对资产A的风险程度的判断:
[0081]
[0082] 本发明的有益效果是:
[0083] 与现有技术相比,本发明目的是,采用博弈论的方法,对网络中包含多个漏洞的资产进行分析,实现对资产的风险评估,为进一步的整体网络系统的信息安全风险评估提供支持。
[0084] 对一些通用型的漏洞可以结合很多知名的漏洞库如NVD等进行应用评估,这样能更体现评估过程的客观性,特别是这些漏洞库对于漏洞的攻击难度、攻击范围和攻击影响都有详细的描述,这有助于在评估中获得可靠的数据。另外,借助漏洞库广泛采用CVSS漏洞计算系统(Common Vulnerability Scoring System)[10]可以得到漏洞的影响度,计算最终的资产风险程度。
[0085] 本发明采用博弈论的方式,分析了资产上每个漏洞被系统管理者防御的和被攻击者攻击的概率,由此得到了该漏洞发生安全事件的可能性,然后结合所有漏洞的信息得到了被分析资产的风险程度,本发明的方法具有方法简单、易行的特点。
附图说明
[0086] 图1为网络、资产、漏洞、威胁及风险的关系图。
[0087] 图2为网络、资产和漏洞的层级结构图。
[0088] 图3为资产风险分析的博弈模型图。
[0089] 图4为系统管理员和攻击者对漏洞vi进行博弈的收益图。
[0090] 图5为本发明
实施例的主机上的漏洞情况示意图。
[0091] 图6为本发明实施例的各漏洞被发现并被攻击成功的概率图。
具体实施方式
[0092] 下面结合附图和实施例对本发明作进一步详细说明。
[0093] 基于博弈论的网络中资产的安全风险评估方法,包括以下步骤:
[0094] 步骤1,构建资产风险分析的博弈模型,具体做法是:
[0095] 将对漏洞进行防御和攻击看做是一个博弈,那么博弈的双方是系统管理员和攻击者;对于每个漏洞,系统管理员的选择是忽略和关注,而攻击者选择的是攻击或者不攻击;然后考虑双方行动的收益,最终找到该博弈的均衡点,实现对该漏洞被攻击的可能性进行分析,然后将该资产上所有的漏洞被利用可能带来的风险进行综合考虑,计算该资产上的总体风险;
[0096] 步骤2,利用步骤1构建的博弈模型计算攻击者的收益,具体做法是:
[0097] 通过系统管理员对漏洞vi的关注情况计算攻击者的收益,当攻击者选择攻击该漏洞时的收益为pfe-i可用公式(2)表示,
[0098] pfe-i=pi·(-catk-i)+(1-pi)·(prti-catk-i) (2)
[0099] 式中:
[0100] pfe-i——攻击者利用漏洞vi获得的收益,
[0101] pi——系统管理员关注漏洞vi的概率,
[0102] catk-i——攻击者攻击漏洞vi投入的成本,
[0103] prti——攻击者利用漏洞vi成功获得的利益,
[0104] 而任何情况下攻击者都选择不攻击漏洞vi的收益pfne-i显然是0,当系统管理员和攻击者的博弈达到均衡时,意味着采取混合策略的攻击者选择对漏洞vi或不利用都可获得相同的收益,即得到公式(3),
[0105] pi·(-catk-i)+(1-pi)·(prti-catk-i)=0 (3)
[0106] 式中:pi——系统管理员关注漏洞vi的概率,catk-i——攻击者攻击漏洞vi投入的成本,prti——攻击者利用漏洞vi成功获得的利益;
[0107] 由此可得到系统管理员对漏洞vi关注的概率pi,其计算方法由公式(4)表示,[0108]
[0109] 式中:
[0110] pi——系统管理员关注漏洞vi的概率,
[0111] catk-i——攻击者攻击漏洞vi投入的成本,
[0112] prti——攻击者利用漏洞vi成功获得的利益;
[0113] 步骤3,通过攻击者对漏洞vi进行攻击的情况来计算系统管理员的收益,当系统管理员选择关注该漏洞时,其收益pfa-i可由公式(5)表示,
[0114] pfa-i=qi·(-cadm-i)+(1-qi)·(-cadm-i) (5)
[0115] 式中:
[0116] pfa-i——系统管理员关注漏洞vi获得的收益,
[0117] qi——攻击者利用漏洞vi的概率,
[0118] cadm-i——系统管理员关注漏洞vi投入的成本,
[0119] 当系统管理员选择忽略漏洞vi时,其收益pfna-i可用公式(6)来表示,[0120] pfna-i=qi·(-li)+(1-qi)·0 (6)
[0121] 式中:
[0122] pfna-i——系统管理员忽略漏洞vi获得的收益,
[0123] qi——攻击者利用漏洞vi的概率,
[0124] li——系统管理员由于漏洞vi被攻击者成功利用遭受的损失,
[0125] 参照攻击者的行为模式来分析系统管理员的行为,可得到,若博弈达到平衡时,系统管理员无论采取何种行动所取得的收益是相等的,即pfa-i和pfna-i是相等,所以可以得到攻击者攻击漏洞vi的概率qi的计算公式(7),
[0126]
[0127] 式中:
[0128] li——系统管理员由于漏洞vi被攻击者成功利用遭受的损失,
[0129] qi——攻击者利用漏洞vi的概率,
[0130] cadm-i——系统管理员关注漏洞vi投入的成本,
[0131] 漏洞vi被攻击而发生安全事件是由于于系统管理员忽略该漏洞,同时攻击者对该漏洞进行了攻击,设这个为事件为Ei,可以得到资产a上针对漏洞vi的概率P(Ei)如公式(8),
[0132]
[0133] 式中:
[0134] Ei——漏洞vi被攻击者成功利用的事件,
[0135] catk-i——攻击者攻击漏洞vi投入的成本,
[0136] cadm-i——系统管理员关注漏洞vi投入的成本,
[0137] li——系统管理员由于漏洞vi被攻击者成功利用遭受的损失,
[0138] prti——攻击者利用漏洞vi成功获得的利益,
[0139] 如果资产A上的每个漏洞vi被攻击者发现的机会是等同的,因此利用每个漏洞vi被发现的概率为1/n,若发现漏洞vi的事件为Di,利用漏洞发生安全事件的事件为Ei,则发现漏洞vi并利用该漏洞vi成功的概率P(DiEi)可由贝叶斯公式(9)计算,
[0140] P(DiEi)=P(Ei|di)·P(Di) (9)
[0141] 式中:
[0142] Di——攻击者发现漏洞vi的事件,
[0143] Ei——漏洞vi被攻击者成功利用的事件,
[0144] 若将攻击者发现漏洞vi和漏洞vi被攻击者成功攻击看作是相互独立的事件,则有公式(10),
[0145] P(DiEi)=P(Ei)·P(Di) (10)
[0146] 式中:
[0147] Di——攻击者发现漏洞vi的事件,
[0148] Ei——漏洞vi被攻击者成功利用的事件,
[0149] 结合公式(9)和(10),得到漏洞vi被发现,并被攻击成功产生风险的概率的计算公式(11),
[0150]
[0151] 式中:
[0152] Di——攻击者发现漏洞vi的事件,
[0153] Ei——漏洞vi被攻击者成功利用的事件,
[0154] catk-i——攻击者攻击漏洞vi投入的成本,
[0155] cadm-i——系统管理员关注漏洞vi投入的成本,
[0156] li——系统管理员由于漏洞vi被攻击者成功利用遭受的损失,
[0157] prti——攻击者利用漏洞vi成功获得的利益,
[0158] n——被评估资产上的漏洞数,
[0159] 结合所有漏洞被攻击产生影响,可以得到资产A的风险计算公式(12),[0160]
[0161] 式中:
[0162] catk-i——攻击者攻击漏洞vi投入的成本,
[0163] cadm-i——系统管理员关注漏洞vi投入的成本,
[0164] li——系统管理员由于漏洞vi被攻击者成功利用遭受的损失,
[0165] prti——攻击者利用漏洞vi成功获得的利益,
[0166] n——被评估资产A上的漏洞数,
[0167] impi——漏洞i的影响程度,
[0168] rA——被评估资产A的风险程度;
[0169] 对应公式(12)中的参数,评估者可采用漏洞扫描器,如Nessus、OpenVas等获得,如impi、catk-i、li,cadm-i、prti由系统管理员根据企业的实际情况设定,n为被扫描资产是发现的漏洞数量;
[0170] 步骤4若impi的取值范围为[0,Riskmax],则针对计算得到的资产A的风险值rA,按照下表进行对资产A的风险程度的判断:
[0171]
[0172] 参见图3,本发明是将对漏洞进行防御和攻击看做是一个博弈,那么博弈的双方是系统管理员和攻击者;对于每个漏洞,系统管理员的选择是忽略和关注,而攻击者选择的是攻击或者不攻击;然后考虑双方行动的收益,最终找到该博弈的均衡点,实现对该漏洞被攻击的可能性进行分析,然后将该资产上所有的漏洞被利用可能带来的风险进行综合考虑,计算该资产上的总体风险。该模型的处理方法如图3所示。以下将对该模型进行进一步的分析。
[0173] 假设网络中某资产A通过漏洞扫描器扫描到了相应的n个漏洞构成的结合{v1,v2,...,vn},与漏洞库的特征进行匹配后得到了相应的严重程度值,可将这些严重程度作为漏洞的影响的集合{imp1,imp2,...,impn};假设第i个漏洞vi的影响为impi,网络管理员针对该漏洞vi的进行博弈的收益如图4所示,图中括号内逗号前面是系统管理员的收益,逗号后是攻击者的收益。
[0174] 双方博弈的结果有以下四种策略集合:
[0175] 1)当系统管理员关注漏洞vi,而攻击者对漏洞vi进行攻击时,由于系统管理员的关注而导致攻击者的攻击失败,系统管理员的收益为-cadm-i(-cadm-i>0),这代表系统系统管理员在防御该漏洞防御时,必须至少消耗成本-cadm-i。攻击者的收益为-catk-i(-cadm-i>0),这代表攻击者没有攻击成功,并且而消耗了成本-catk-i;
[0176] 2)当系统管理员关注漏洞vi,而攻击者没有对该漏洞进行攻击时,系统管理员的收益为-cadm-i,攻击者则避免了消耗成本;
[0177] 3)当系统管理员忽略了漏洞vi,而攻击者对该漏洞进行攻时,由于系统管理员的忽略而导致攻击者利用该漏洞成功攻击了系统,系统管理员的收益为-li,li应该大于cadm-i,这样才能体现出cadm-i合理性,攻击者的收益为prti-catk-i,其中prti是攻击者攻击成功获得的利益,prti应大于catk-i,否则攻击者不会选择该漏洞进行攻击;
[0178] 4)当系统管理员忽略了漏洞vi,并且攻击者也不选择攻击该漏洞时,由于双方都没有投入,所以他们的收益均为0;
[0179] 接下来分析双方的策略,首先分析系统管理员的策略,在攻击者选择攻击漏洞vi时,系统管理员的最佳策略是选择关注该漏洞,因为关注该漏洞的收益为-cadm-i,大于不关注该漏洞的收益-li;而在攻击者选择不攻击漏洞vi时,系统管理员的最佳策略是忽略该漏洞,因为忽略该漏洞的收益为0,大于关注该漏洞的收益-cadm-i,由此得到的结论是对于系统管理员来说不存在一个纯策略保证是最佳策略;
[0180] 同样再分析攻击者测的策略vi,在系统管理员选择关注该漏洞时,攻击者的最佳策略是选择不利用该漏洞,因为选择不利用该漏洞的收益为0,大于此时攻击漏洞的受益catk-i,在系统管理员选择忽略该漏洞时,攻击者的最佳策略是选择攻击该漏洞,因为利用该漏洞的收益为prti-catk-i,大于此时攻击者选择忽略该漏洞的收益(收益为0),所以可以得到,对于攻击者来说也不存在一个纯策略保证是最佳策略,
[0181] 从以上分析发现,系统管理员和攻击者都没有纯策略保证是最佳策略,因此他们都必须采用混合策略来达到最大的收益,即对于系统管理员来说必须以一定的概率pi选择关注漏洞vi,以概率1-pi选择忽略漏洞vi,同时对于攻击者来说,必须以一定的概率qi利用漏洞vi,以概率1-qi选择不利用漏洞vi。
[0182] 为更好的理解本发明,需要对以下基本概念进行说明。
[0183] 博弈论是观察决策者互动过程的一个分析工具。博弈论的基本思想是博弈中的决策者都是分析对手可能的行为,并结合自己现有的知识来实现自己的目标。博弈论的是对现实生活的一种高度抽象,并能用来研究很多社会现象。
[0184] 参与者:参与者是参与博弈的实体,任何人、机构、动物等都可以是参与者,这些在博弈中进行交互的实体就是参与者。
[0185] 收益:博弈中的每个参与者采取了一个行动之后,每个参与者获得的返回结果,这个结果可能是好的也可能是坏的,这个结果即参与者的收益。
[0186] 策略:策略是参与者研究了其他参与者可能的行为之后做出的一个行动,这个策略可以是纯策略也可能是混合策略,纯策略指参与者只采取一个行动,混合策略则是参与者可能采取某几个行动的的组合形式。
[0187] 静态博弈(策略博弈):静态博弈又叫策略博弈是所有的参与者同时进行博弈。
[0188] 均衡:在博弈中,所有参与者选择的策略构成了一个策略组合,而均衡是指一个策略组合中的策略对当前参与者是最好的,即所有参与者采用这个均衡的策略组合中的策略能得到的收益值是最大的。
[0189] 实施例
[0190] 本实施例通过一个实施例对本发明的方法进行说明。
[0191] 在本实施例中,针对有一台主机,装有必要以及常用的
软件,包括
操作系统、文字处理软件、Web浏览器以及
即时通信软件,通过人工和漏洞扫描工具发现10个漏洞,情况如如图5。
[0192] 操作系统上发现漏洞3个,文字处理软件上发现漏洞3个,Web浏览器上发现漏洞2个,即时通信软件上发现漏洞2个,漏洞的信息如表1所示,攻击漏洞的成本和关注漏洞的成本为区间(0,1)之间的实数,成功攻击的损失为区间(1,2)之间的实数与关注漏洞的成本的乘积,成功攻击的获利为区间(1,2)之间的实数与攻击漏洞的成本的乘积,影响度为漏洞库对漏洞影响程度的表示,是区间(0,10)之间的实数。
[0193] 表1漏洞信息情况
[0194]
[0195] 公式(4)计算漏洞被关注的概率pi,运用公式(7)计算漏洞被利用的概率qi,运用公式(8)计算利用该漏洞发生安全事件的概率P(Ei),运用公式(11)计算发现该漏洞并发生安全事件的概率,表2是漏洞被利用、关注及相关事件发生概率的的结果。
[0196] 表2漏洞被利用、关注及相关事件发生概率
[0197]
[0198]
[0199] 各漏洞的被发现并被攻击成功的概率分布情况如图6所示。
[0200] 资产的风险程度为漏洞被发现并被利用成功的概率与影响程度的乘积的总和,由此得到该主机的风险程度为1.84。该结果说明一般漏洞库对漏洞风险的表示范围为1-10,因此该主机资产的风险程度较低。
