[发明专利]一种基于损失效应的网络安全风险评估方法

摘要

本发明公开了一种基于损失效应的网络安全风险评估方法，该方法对信息系统进行资产识别，计算每个资产节点的服务价值；获得资产节点之间的关联性度量，包括由于资产之间的信任关系产生的关联度和由于资产自身的脆弱性引起的关联度；对效用函数取得反函数得到损失函数，利用损失函数和节点发生损失的概率构建损失不满意度计算公式；基于重要资产生成资产关联图，该资产关联图的路径代价与资产关联度、资产损失价值和损失不满意度有关；在资产关联图中找到从攻击者到重要资产节点的最小代价风险路径；将最小代价风险路径的损失不满意度之和作为网络安全风险评估结果。本发明降低了图模型的空间复杂度，从而降低了评估计算量。

主权项

1.一种基于损失效应的网络安全风险评估方法，其特征在于，包括：/n步骤一、对信息系统进行资产识别，同一设备上承载的每个服务作为一个资产节点，计算每个资产节点的服务价值v_i及信息系统的总服务价值Val；/n步骤二、获得资产节点之间的关联性度量，包括由于资产之间的信任关系产生的关联度W_ij和由于资产i自身的脆弱性引起的关联度L_i；所述关联度W_ij是指两个具有调用关系的资产节点之间，调用者i对被调用资源节点j访问的权限等级对应的考量值；所述关联度L_i是指资源节点i自身漏洞对应的风险值，即节点发生损失的概率；/n步骤三、对效用函数取得反函数得到损失函数其中，x_i为资产节点i的服务价值v_i占总服务价值Val的比例，m为设定的常数值；计算资产节点i的损失不满意度U_i＝μ(x_i)L_i；/n步骤四、基于重要资产生成资产关联图：从信息系统的资产节点中筛选出重要资产节点，绘制包含信息系统所有资产节点的资产关联图；其中，重要资产节点之间以及重要资产节点和非重要资产节点之间的边，根据资产之间的信任关系绘制成实线；对于与重要资产节点无信任关系的孤立节点，将该孤立节点与和重要资产节点有信任关系的非重要资产节点以虚线相连，表示可能采用渗透的方式攻击重要资产节点；/n步骤五、在资产关联图中找到从攻击者到重要资产节点的最小代价风险路径；其中，路径的代价是指路径所有边的代价之和；资产节点i、j之间的代价即为资产节点i、j之间的路径长度：对于实线边，其代价与资产节点i、j之间的关联度W_ij、资产节点i的资产损失价值μ(x_j)以及资产节点j的损失不满意度U_j相关；对于虚线边，其代价仅与资产节点j的损失不满意度U_j相关；/n步骤六、将最小代价风险路径的损失不满意度之和作为网络安全风险评估结果。/n