前言
中国科学院研究生院学报
论文作者:贾炜
指导老师:冯登国
2012/06
摘要
提出一种基于网络中心性的计算机网络脆弱性评估方法.首先基于通用脆弱性评分系统,对攻击者利用脆弱性攻击所花费的代价进行量化评估,根据评估结果对脆弱性攻击图进行最小攻击代价路径分析.引入网络中心性理论,采用攻击图节点的介数和节点连通度相结合的方法,对攻击图的节点关键程度进行量化分析,判断对网络安全产生关键影响的脆弱性,为计算机网络的安全优化提供依据.
关键字
脆弱性;脆弱性攻击图;网络中心性;介数;攻击代价
主要内容
文章提出一种基于网络中心的计算机网络脆弱性评估方法。以网络中存在的脆弱性自身属性为出发点,基于CVSS评估指标提出一种针对攻击代价的量化评估方法,并以脆弱性攻击图为分析目标,采用Floyd算法对攻击图中的最小代价攻击路径进行分析,通过引入网络中心性节点分析方法,针对常见中心性节点分析方法的缺陷性,提出一种结合介数川与节点度的中心性评估方法,对脆弱性攻击图的中心节点进行分析,找到整个攻击图中对攻击效果影响最大的关键脆弱性节点,从而指导管理人员有针对性地进行脆弱性修复,为网络的安全性能优化提供依据.
基于网络中心性的脆弱性评估框架
整体的评估过程:首先,通过对网络信息以及网络中主机脆弱性的分析,利用文献Cs]中攻击图生成算法构造出脆弱性攻击图c,反映攻击者利用脆弱性所有可能发生的攻击路径;
其次,基于cuss评价系统,选取脆弱性评估指标,利用攻击代价算法求出每种脆弱性被攻击者利用发动攻击所需的代价量化值;
再次,将攻击代价量化值作为攻击图边的权重,利用有向带权图最短路径算法计算整个攻击图的最小攻击代价路径信息;
最后,利用最小攻击代价路径信息,通过中心性节点算法,计算攻击图中节点的修正介数,从而找出网络中起到中心节点作用的关键脆弱性,并针对它们提出网络安全优化的建议.攻击代价及最小代价攻击路径算法
攻击代价与脆弱性状态、攻击能力、攻击时间、网络安全措施等因素有关,还与攻击者自身的攻击经验和熟练程度密切相关.由于攻击者自身能力难以量化评估,本文假设攻击者具有相同的知识水平和攻击能力.基于CVSS评估指标对脆弱性的属性描述,对利用脆弱性所需花费攻击代价的评估选取脆弱性的利用方式、脆弱性的攻击复杂度、脆弱性可利用性和脆弱性分布4个参数,采用如下公式进行量化
使用G= (V,E)表示攻击图,V表示图中的节点集合,E为图中带权的有向边集合,每条有向边的权值表示攻击者利用脆弱性的攻击代价.采用Floyd算法对攻击图G进行最小攻击代价路径的求解,最终可以得到包含有两点之间最小攻击代价信息的最小攻击代价矩阵D和包含节点间最短路径信息的最小攻击代价路径矩阵A.这些信息将作为中心性节点算法的输入,进行攻击图脆弱性中心节点的分析.中心性节点算法
其中有部分定义(参考原文章):修正介数、最小代价入度、最小代价出度、节点的连通度。
实验验证
随着衰减因子人的取值不同,评估结果在节点度折线和介数折线之间发生变化.当人值越大,修正介数折线图越趋向于介数折线,当λ=1时,修正介数折线与介数折线完全重合,此时的修正介数对重复路径不作处理,完全转换为节点介数的评估.当人值减小,修正介数折线图逐渐趋向于节点度折线,当λ=0时,修正介数完全去除重复最小攻击代价路径产生的影响,其计算过程转化为节点连通度的计算,完全表现为节点度的特性.
总结
文章中提出了一种基于网络中心性的脆弱性评估方法.与现有评估方法相比,针对计算机网络庞大复杂的结构,将复杂网络理论引入脆弱性评估作为理论支持,对脆弱性的分析充分考虑了脆弱性自身属性的影响,评估结果更加客观准确.从攻击的角度出发,重点针对导致安全事件的脆弱性进行评估,评估结果更加简明直观,能够反映出对网络安全影响较大的关键脆弱性,可以在安全预算有限的前提下有的放矢地进行安全修复,获取最大的安全回报,为网络安全优化提供指导.