本技術(shù)涉及計(jì)算機(jī),尤其涉及一種基于攻擊用例分類分級(jí)的攻擊模擬網(wǎng)絡(luò)有效性量化評(píng)估方法�����、裝置及系統(tǒng)。
背景技術(shù):
1�����、隨著網(wǎng)絡(luò)威脅的不斷增加和復(fù)雜化�,企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力面臨著越來越大的挑戰(zhàn)。通過用例對(duì)信息系統(tǒng)中配置的防護(hù)資源的防御能力進(jìn)行攻擊測(cè)試����,來對(duì)信息系統(tǒng)的網(wǎng)絡(luò)安全進(jìn)行評(píng)估,已成為網(wǎng)絡(luò)安全維護(hù)過程中必要的手段��。然而�����,上述網(wǎng)絡(luò)安全評(píng)估方式是僅依賴于用例攻擊測(cè)試結(jié)果��,并沒有考慮系統(tǒng)不同用例之間差異和攻擊網(wǎng)絡(luò)區(qū)域之間差異的影響�,從而導(dǎo)致對(duì)網(wǎng)絡(luò)安全評(píng)估結(jié)果不精準(zhǔn)。
技術(shù)實(shí)現(xiàn)思路
1�、本發(fā)明提供一種基于攻擊用例分類分級(jí)的攻擊模擬網(wǎng)絡(luò)有效性量化評(píng)估方法、裝置及系統(tǒng)����,以至少解決相關(guān)技術(shù)中因僅依賴于用例攻擊測(cè)試結(jié)果�����,并沒有考慮系統(tǒng)不同用例之間差異和攻擊網(wǎng)絡(luò)區(qū)域之間差異的影響����,從而導(dǎo)致對(duì)網(wǎng)絡(luò)安全評(píng)估結(jié)果不精準(zhǔn)的問題���。本發(fā)明的技術(shù)方案如下:
2��、根據(jù)本發(fā)明實(shí)施例的第一方面�����,提供了一種基于攻擊用例分類分級(jí)的攻擊模擬網(wǎng)絡(luò)有效性量化評(píng)估方法�,應(yīng)用于信息系統(tǒng)�,該信息系統(tǒng)所包括的網(wǎng)絡(luò)被劃分為多個(gè)測(cè)試網(wǎng)段;各個(gè)測(cè)試網(wǎng)段分別包括不同的防護(hù)資源�����,測(cè)試網(wǎng)段與用例關(guān)聯(lián)對(duì)應(yīng)設(shè)置��,用例用于攻擊對(duì)應(yīng)的測(cè)試網(wǎng)段��;防護(hù)資源用于對(duì)防護(hù)資源所屬測(cè)試網(wǎng)段的攻擊進(jìn)行防御���;該方法包括:確定各個(gè)測(cè)試網(wǎng)段的各個(gè)網(wǎng)段權(quán)重����,以及�,確定各個(gè)測(cè)試網(wǎng)段中各個(gè)用例的各個(gè)用例權(quán)重,以及��,確定各個(gè)測(cè)試網(wǎng)段的防護(hù)資源對(duì)對(duì)應(yīng)的各個(gè)用例的各個(gè)防御結(jié)果�;防御結(jié)果為用例攻擊對(duì)應(yīng)的測(cè)試網(wǎng)段時(shí),對(duì)應(yīng)的測(cè)試網(wǎng)段中的防護(hù)資源產(chǎn)生的防御結(jié)果��;根據(jù)各個(gè)測(cè)試網(wǎng)段對(duì)應(yīng)的各個(gè)用例的各個(gè)用例權(quán)重和對(duì)應(yīng)的各個(gè)防御結(jié)果�,確定各個(gè)測(cè)試網(wǎng)段的防護(hù)資源對(duì)應(yīng)的各個(gè)評(píng)價(jià)結(jié)果;基于各個(gè)測(cè)試網(wǎng)段對(duì)應(yīng)的網(wǎng)段權(quán)重�����,對(duì)各個(gè)評(píng)價(jià)結(jié)果作加權(quán)��,得到信息系統(tǒng)的網(wǎng)絡(luò)安全評(píng)估結(jié)果��。
3、作為一種實(shí)現(xiàn)方式����,各個(gè)測(cè)試網(wǎng)段的各個(gè)網(wǎng)段權(quán)重,包括:在各個(gè)測(cè)試網(wǎng)段對(duì)應(yīng)的防護(hù)資源防護(hù)分別失效的情況下����,分別獲取信息系統(tǒng)待運(yùn)行時(shí)所產(chǎn)生的各個(gè)系統(tǒng)指標(biāo)參數(shù);根據(jù)各個(gè)測(cè)試網(wǎng)段對(duì)應(yīng)的各個(gè)系統(tǒng)指標(biāo)參數(shù)�,確定各個(gè)測(cè)試網(wǎng)段的各個(gè)網(wǎng)段權(quán)重;系統(tǒng)指標(biāo)參數(shù)包括以下一項(xiàng)或多項(xiàng):數(shù)據(jù)泄露率����、輸入數(shù)據(jù)可用率、指令可控率�、隱私保護(hù)率、數(shù)據(jù)準(zhǔn)確率��、吞吐率����、請(qǐng)求率、源ip訪問率��、系統(tǒng)文件完整率����、系統(tǒng)文件可用率����、數(shù)據(jù)丟失率和漏洞利用率���。
4、另一種實(shí)現(xiàn)方式����,在各個(gè)測(cè)試網(wǎng)段對(duì)應(yīng)的防護(hù)資源防護(hù)分別失效的情況下,分別獲取信息系統(tǒng)待運(yùn)行時(shí)所產(chǎn)生的各個(gè)系統(tǒng)指標(biāo)參數(shù)�����,包括:按序依次關(guān)閉各個(gè)測(cè)試網(wǎng)段對(duì)應(yīng)的防護(hù)資源����,以及,在各個(gè)測(cè)試網(wǎng)段關(guān)閉對(duì)應(yīng)的防護(hù)資源的同時(shí)���,基于各個(gè)測(cè)試網(wǎng)段對(duì)應(yīng)的各個(gè)用例��,運(yùn)行信息系統(tǒng)的測(cè)試環(huán)境����,得到各個(gè)測(cè)試網(wǎng)段防護(hù)失效情況下的各個(gè)系統(tǒng)指標(biāo)參數(shù)。
5�����、另一種實(shí)現(xiàn)方式���,根據(jù)各個(gè)測(cè)試網(wǎng)段對(duì)應(yīng)的各個(gè)系統(tǒng)指標(biāo)參數(shù)�����,確定各個(gè)測(cè)試網(wǎng)段的各個(gè)網(wǎng)段權(quán)重��,包括:將各個(gè)系統(tǒng)指標(biāo)參數(shù)的總和���,確定為總指標(biāo)參數(shù);針對(duì)任一測(cè)試網(wǎng)段��,將任一測(cè)試網(wǎng)段以外其他測(cè)試網(wǎng)段的系統(tǒng)指標(biāo)參數(shù)的累加和����,與總指標(biāo)參數(shù)的比值,確定為任一測(cè)試網(wǎng)段的網(wǎng)段權(quán)重����。
6����、另一種實(shí)現(xiàn)方式��,每個(gè)測(cè)試網(wǎng)段的防御結(jié)果包括對(duì)應(yīng)的防護(hù)資源對(duì)對(duì)應(yīng)各個(gè)用例的各個(gè)攔截率�����;確定各個(gè)測(cè)試網(wǎng)段的防護(hù)資源對(duì)對(duì)應(yīng)的各個(gè)用例的各個(gè)防御結(jié)果���,包括:針對(duì)每個(gè)測(cè)試網(wǎng)段的任一用例,根據(jù)任一用例攻擊對(duì)應(yīng)的測(cè)試網(wǎng)段的攻擊次數(shù)和對(duì)應(yīng)的測(cè)試網(wǎng)段的防護(hù)資源攔截任一用例攻擊的攔截成功次數(shù)����,確定每個(gè)測(cè)試網(wǎng)段的防護(hù)資源對(duì)任一用例的攔截率。
7��、另一種實(shí)現(xiàn)方式�����,確定各個(gè)測(cè)試網(wǎng)段中各個(gè)用例的各個(gè)用例權(quán)重包括:針對(duì)任一測(cè)試網(wǎng)段����,按照多維度用例影響因子���,對(duì)任一測(cè)試網(wǎng)段對(duì)應(yīng)的多個(gè)用例進(jìn)行分類,以確定多個(gè)用例中各個(gè)用例��,在各個(gè)維度用例影響因子下所屬的影響等級(jí)�����;根據(jù)各個(gè)用例在各個(gè)維度用例影響因子下所屬的影響等級(jí)���,確定各個(gè)用例的權(quán)重��;
8��、其中����,多維度用例影響因子包括:用例對(duì)對(duì)應(yīng)測(cè)試網(wǎng)段中系統(tǒng)設(shè)備性能的危害程度���、用例利用難度�、用例實(shí)際發(fā)生的發(fā)生概率、用例的影響范圍����。
9、另一種實(shí)現(xiàn)方式����,多個(gè)測(cè)試網(wǎng)段為第一測(cè)試網(wǎng)段、第二測(cè)試網(wǎng)段�、第三測(cè)試網(wǎng)段和第四測(cè)試網(wǎng)段;第一測(cè)試網(wǎng)段表征從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)邊界的網(wǎng)絡(luò)路徑形成的網(wǎng)絡(luò)段��、第二測(cè)試網(wǎng)段表征進(jìn)入內(nèi)部網(wǎng)絡(luò)的主機(jī)設(shè)備的網(wǎng)絡(luò)路徑形成的網(wǎng)絡(luò)段�����、第三測(cè)試網(wǎng)段表征從內(nèi)部網(wǎng)絡(luò)的主機(jī)設(shè)備進(jìn)入內(nèi)部網(wǎng)絡(luò)的其他主機(jī)設(shè)備的網(wǎng)絡(luò)路徑形成的網(wǎng)絡(luò)段����、以及����,第四測(cè)試網(wǎng)段表征從內(nèi)部網(wǎng)絡(luò)邊界進(jìn)入外部網(wǎng)絡(luò)的網(wǎng)絡(luò)路徑形成的網(wǎng)絡(luò)段;第一測(cè)試網(wǎng)段����、第二測(cè)試網(wǎng)段�����、第三測(cè)試網(wǎng)段和第四測(cè)試網(wǎng)段對(duì)應(yīng)不同的權(quán)重����;第一測(cè)試網(wǎng)段���、第二測(cè)試網(wǎng)段���、第三測(cè)試網(wǎng)段和第四測(cè)試網(wǎng)段四個(gè)測(cè)試網(wǎng)段分別對(duì)應(yīng)的四個(gè)權(quán)重的權(quán)重和為1。
10�����、另一種實(shí)現(xiàn)方式��,確定各個(gè)測(cè)試網(wǎng)段的各個(gè)網(wǎng)段權(quán)重����,包括:在測(cè)試網(wǎng)段為第一測(cè)試網(wǎng)段時(shí),將第一測(cè)試網(wǎng)段的第一權(quán)重確定為測(cè)試網(wǎng)段的網(wǎng)段權(quán)重��;在測(cè)試網(wǎng)段為第二測(cè)試網(wǎng)段時(shí),將第二測(cè)試網(wǎng)段的第二權(quán)重確定為測(cè)試網(wǎng)段的網(wǎng)段權(quán)重����;在測(cè)試網(wǎng)段為第三測(cè)試網(wǎng)段時(shí),將第三測(cè)試網(wǎng)段的第三權(quán)重確定為測(cè)試網(wǎng)段的網(wǎng)段權(quán)重��;在測(cè)試網(wǎng)段為第四測(cè)試網(wǎng)段時(shí)���,將第四測(cè)試網(wǎng)段的第四權(quán)重確定為測(cè)試網(wǎng)段的網(wǎng)段權(quán)重�����。
11���、根據(jù)本發(fā)明實(shí)施例的第二方面,提供了一種基于攻擊用例分類分級(jí)的攻擊模擬網(wǎng)絡(luò)有效性量化評(píng)估裝置����,應(yīng)用于信息系統(tǒng)���,所述信息系統(tǒng)所包括的網(wǎng)絡(luò)被劃分為多個(gè)測(cè)試網(wǎng)段�;各個(gè)測(cè)試網(wǎng)段分別包括不同的防護(hù)資源��,測(cè)試網(wǎng)段與用例關(guān)聯(lián)對(duì)應(yīng)設(shè)置,用例用于攻擊對(duì)應(yīng)的測(cè)試網(wǎng)段���;所述防護(hù)資源用于對(duì)所述防護(hù)資源所屬測(cè)試網(wǎng)段的攻擊進(jìn)行防御�����;所述裝置包括:確定單元�����,用于確定各個(gè)測(cè)試網(wǎng)段的各個(gè)網(wǎng)段權(quán)重�,以及���,確定所述各個(gè)測(cè)試網(wǎng)段中各個(gè)用例的各個(gè)用例權(quán)重����,以及�����,確定所述各個(gè)測(cè)試網(wǎng)段的防護(hù)資源對(duì)對(duì)應(yīng)的各個(gè)用例的各個(gè)防御結(jié)果��;所述防御結(jié)果為用例攻擊所述對(duì)應(yīng)的測(cè)試網(wǎng)段時(shí)���,所述對(duì)應(yīng)的測(cè)試網(wǎng)段中的防護(hù)資源產(chǎn)生的防御結(jié)果��;第一評(píng)價(jià)單元����,用于根據(jù)所述各個(gè)測(cè)試網(wǎng)段對(duì)應(yīng)的各個(gè)用例的所述各個(gè)用例權(quán)重和對(duì)應(yīng)的所述各個(gè)防御結(jié)果,確定各個(gè)測(cè)試網(wǎng)段的防護(hù)資源對(duì)應(yīng)的各個(gè)評(píng)價(jià)結(jié)果�;第二評(píng)價(jià)單元,用于基于所述各個(gè)測(cè)試網(wǎng)段對(duì)應(yīng)的所述網(wǎng)段權(quán)重�����,對(duì)所述各個(gè)評(píng)價(jià)結(jié)果作加權(quán)���,得到所述信息系統(tǒng)的網(wǎng)絡(luò)安全評(píng)估結(jié)果����。
12�、根據(jù)本發(fā)明實(shí)施例的第三方面,提供了一種信息系統(tǒng)���,該信息系統(tǒng)被配置為執(zhí)行如第一方面及其任一種可能的實(shí)現(xiàn)方式的基于攻擊用例分類分級(jí)的攻擊模擬網(wǎng)絡(luò)有效性量化評(píng)估方法。
13�、根據(jù)本發(fā)明實(shí)施例的第四方面�,提供了一種計(jì)算機(jī)設(shè)備�����,包括:處理器和用于存儲(chǔ)處理器可執(zhí)行指令的存儲(chǔ)器��;其中�����,處理器被配置為執(zhí)行可執(zhí)行指令���,以實(shí)現(xiàn)如第一方面及其任一種可能的實(shí)現(xiàn)方式的基于攻擊用例分類分級(jí)的攻擊模擬網(wǎng)絡(luò)有效性量化評(píng)估方法�����。
14��、根據(jù)本發(fā)明實(shí)施例的第五方面��,提供了一種電子設(shè)備��,以實(shí)現(xiàn)如第一方面及其任一種可能的實(shí)現(xiàn)方式的基于攻擊用例分類分級(jí)的攻擊模擬網(wǎng)絡(luò)有效性量化評(píng)估方法���。
15����、根據(jù)本發(fā)明實(shí)施例的第六方面��,提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)��,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有指令���,當(dāng)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中的指令由計(jì)算機(jī)設(shè)備的處理器執(zhí)行時(shí)���,使得計(jì)算機(jī)設(shè)備能夠執(zhí)行如第一方面及其任一種可能的實(shí)現(xiàn)方式的基于攻擊用例分類分級(jí)的攻擊模擬網(wǎng)絡(luò)有效性量化評(píng)估方法。
16��、根據(jù)本技術(shù)實(shí)施例的第七方面��,提供一種計(jì)算機(jī)程序產(chǎn)品���,計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)指令���,當(dāng)計(jì)算機(jī)指令在計(jì)算機(jī)設(shè)備上運(yùn)行時(shí),使得計(jì)算機(jī)設(shè)備執(zhí)行上述第一方面及其任一種可能的實(shí)現(xiàn)方式的基于攻擊用例分類分級(jí)的攻擊模擬網(wǎng)絡(luò)有效性量化評(píng)估方法���。
17����、本發(fā)明的實(shí)施例提供的技術(shù)方案至少帶來以下有益效果:將信息系統(tǒng)劃分為多個(gè)測(cè)試網(wǎng)段��,以通過不同測(cè)試網(wǎng)段的不同網(wǎng)段權(quán)重�,來量化表征不同網(wǎng)絡(luò)區(qū)域?qū)ο到y(tǒng)網(wǎng)絡(luò)安全的差異化影響,同時(shí)��,通過不同用例的不同用例權(quán)重��,來量化表征不同用例對(duì)系統(tǒng)網(wǎng)絡(luò)安全的差異化影響��?�;诖?,按照測(cè)試網(wǎng)段對(duì)各個(gè)測(cè)試網(wǎng)段的防護(hù)資源的網(wǎng)絡(luò)防御能力進(jìn)行評(píng)價(jià),從而根據(jù)各個(gè)測(cè)試網(wǎng)段的防護(hù)資源對(duì)應(yīng)的各個(gè)評(píng)價(jià)結(jié)果����,確定整個(gè)信息系統(tǒng)的網(wǎng)絡(luò)安全評(píng)估結(jié)果,并且�,本技術(shù)在考慮了不同用例之間差異和攻擊網(wǎng)絡(luò)區(qū)域之間差異兩者之間的差異化影響的基礎(chǔ)上,對(duì)信息系統(tǒng)的網(wǎng)絡(luò)安全狀態(tài)進(jìn)行評(píng)估�����,提高了網(wǎng)絡(luò)安全評(píng)估結(jié)果的精準(zhǔn)度。
18���、應(yīng)當(dāng)理解的是��,以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的��,并不能限制本技術(shù)��。