[发明专利]一种基于攻击图邻接矩阵的网络安全评估装置

权利要求书

1.一种基于攻击图邻接矩阵的网络安全评估装置，其特征在于包括：

信息收集装置：实时收集网络中的所有信息；

原子攻击图生成装置：生成对网络安全进行后续分析所需要的主机对间的初始原子攻击图；

矩阵计算装置：一是将生成的原子攻击图转化为对应的邻接矩阵，二是通过设置迭代次数来计算邻接矩阵对应的迭代矩阵；

网络安全分析装置：最终生成的迭代矩阵的基础上得到关键主机、关键路径信息。

2.根据权利要求1所述的一种基于攻击图邻接矩阵的网络安全评估装置，其特征在于：所述信息接收装置：收集目标网络中的网络布局、路由规则和防火墙信息,利用扫描工具或网管软件获取网络设备和主机配置信息，使用漏洞扫描策略扫描网络主机来获取主机系统的基本配置信息和存的漏洞信息。

3.根据权利要求2所述的一种基于攻击图邻接矩阵的网络安全评估装置，其特征在于：

所述漏洞扫描策略分为主动式和被动式两种，

主动式漏洞扫描策略：根据扫描手段的不同又分为基于主机的漏洞检测和基于网络的漏洞检测；

基于主机的漏洞检测：目标主机上安装代理或者服务，访问主机的文件系统、注册表、系统服务和审计信息，完整的扫描到所有漏洞；

基于网络的漏洞检测：主要是通过网络远程扫描计算机；

被动式漏洞扫描策略：基于特征匹配原理：被动地捕获目标主机的网络数据流并对其进行分析，然后与数据库中漏洞定义规则进行匹配来判断主机系统是否存漏洞。

4.根据权利要求3所述的一种基于攻击图邻接矩阵的网络安全评估装置，其特征在于：

原子攻击图生成装置:利用信息收集装置获得的网络拓扑信息、主机漏洞信息来生成初始的原子攻击图，确定攻击图状态节点权重，即确定实施攻击成功的概率。

5.根据权利要求4所述的一种基于攻击图邻接矩阵的网络安全评估装置，其特征在于：

将生成的主机对间的原子攻击图转化为对应的邻接矩阵：两个主机间<Hi,Hj>可以生成攻击图则对应的攻击图邻接矩阵元素aij=Weight;其中Hi,Hj表示主机i和主机j,i、j=1,2,…,n,n是网络中所有主机数量之和，Weight则是权重表示Hi对Hj攻击成功的最大概率；

使用L(h,v)来表示节点损失，L(h,v)=C(h)*S(v)，其中C(h)表示主机的重要程度，根据主机提供服务和网络功能的不同分为不同的等级对对其进行量化，使其取值范围落入区间[0,1]内；S(v)表示脆弱性造成危害的严重程度，利用CVSS评分机制进行量化，使其取值范围落入区间[0,10]内；

矩阵计算装置：

邻接矩阵A＝(a_ij)_m×l,B＝(b_ij)_m×l，将对角线元素都为0，C是一个m×n矩阵，且C中的元素同时对角线元素都为0，记作其中a_ij、b_ij分别表示邻接矩阵A和B中的元素，m、l表示矩阵的行、列。如果A=B，m=l，则C为A的2步迭代矩阵，那么就叫做A的n步迭代矩阵。

6.根据权利要求5所述的一种基于攻击图邻接矩阵的网络安全评估装置，其特征在于：

网络安全分析装置：

通过查看计算出来的各次损失迭代矩阵中大于给定阈值的元素值，找处关键路径；

将最后生成的迭代矩阵中各行元素分别求和并按照从大到小排序，找出大于给定阈值行号，进而求出第一类关键主机，

将最后生成的迭代矩阵中各列元素求出来并按照由大到小排序，找出大于给定阈值的列号，进而求出第二类关键主机；

同时使用加权平均聚合的方法来对主机脆弱性进行聚合求得网络脆弱性指数评估值来判断目标网络的安全级别。

7.根据权利要求6所述的一种基于攻击图邻接矩阵的网络安全评估装置，其特征在于：

还包括结果呈现装置：将找出来的关键主机和关键路径以及计算出来的当前网络脆弱性指标网络拓扑图中动态的形式化地显示出来；

生成一张网络脆弱性指标随时间动态变化的趋势图，并生成对应的日志信息。

8.根据权利要求3所述的一种基于攻击图邻接矩阵的网络安全评估装置，其特征在于，攻击图状态节点权重的确定使用PageRank计算模型R(H)＝(1-d)/N+d*(R(H₁)/C(H₁)+...+R(H_n)/C(H_n))，其中n表示攻击图中状态节点的数量，R(H)表示攻击图状态节点H的权值，d是阻尼系数一般取值是0.85，R(H_i)表示指向状态节点H的H_i节点的权值，C(H_i):状态节点H_i出度弧线的数量。