一种漏洞风险评估方法及装置与流程

本申请涉及数据处理领域，特别涉及一种漏洞风险评估方法及装置。

背景技术：

1、近年来，由于网络安全事件频繁发生，网络安全受到越来越多人的关注。网络攻击事件发生的根本原因是信息系统脆弱点(或称漏洞)的存在。漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

2、近年来发展趋于成熟的漏洞扫描工具(如nessus、x-can等)虽然能够发现系统中存在的漏洞，但都是孤立地分析漏洞的脆弱性，未考虑漏洞之间的关联性且未考虑攻防双方的相互制约关系，无法提供准确的漏洞风险评估策略。

技术实现思路

1、有鉴于此，本申请的目的在于提供一种漏洞风险评估方法及装置，对漏洞的累计概率和风险参数进行定量分析，提高漏洞风险评估的准确性。其具体方案如下：

2、第一方面，本申请提供了一种漏洞风险评估方法，包括：

3、基于系统漏洞的攻击路径构建漏洞攻击图；

4、针对所述漏洞攻击图中的目标漏洞，基于模糊漏洞博弈模型确定纳什均衡局势下的攻击收益度，作为所述目标漏洞的漏洞重要度；

5、结合所述目标漏洞的漏洞重要度、漏洞传播损失和漏洞累计概率，确定所述目标漏洞的风险参数，所述漏洞累计概率为从所述漏洞攻击图中的初始漏洞出发，通过所有能够达到所述目标漏洞的路径，成功渗透所述目标漏洞的概率；

6、所述针对所述漏洞攻击图中的目标漏洞，基于模糊漏洞博弈模型确定纳什均衡局势下的攻击收益度，作为所述目标漏洞的漏洞重要度，包括：

7、针对所述漏洞攻击图中的目标漏洞，通过三角模糊数表示初始收益度；

8、对所述初始收益度进行去模糊化得到清晰收益度；

9、根据所述清晰收益度求解模糊漏洞博弈模型的纳什均衡，得到纳什均衡局势下的攻击收益度，作为所述目标漏洞的漏洞重要度。

10、可选的，所述三角模糊数通过下界、主值和上界表示，分别用于指示系统资产在机密性、完整性和可用性方面的价值。

11、可选的，所述对所述初始收益度进行去模糊化得到清晰收益度，包括：

12、根据所述三角模糊数的概率向量确定三角模糊数的期望，作为对所述初始收益度进行去模糊化得到的清晰收益度。

13、可选的，所述结合所述目标漏洞的漏洞重要度、漏洞传播损失和漏洞累计概率，确定所述目标漏洞的风险参数，包括：

14、根据所述目标漏洞的漏洞重要度和所述目标漏洞的漏洞传播损失，计算所述目标漏洞的漏洞综合损失；

15、根据所述漏洞综合损失和所述目标漏洞的漏洞累计概率，确定所述目标漏洞的风险参数。

16、可选的，所述方法还包括：

17、根据所述目标漏洞的父节点的漏洞累计概率，以及所述父节点之间的逻辑关系，计算得到目标漏洞的漏洞累计概率；和/或，

18、根据所述目标漏洞的子节点的漏洞自身损失和固有概率计算得到所述目标漏洞的漏洞传播损失。

19、第二方面，本申请实施例还提供了一种漏洞风险评估装置，包括：

20、攻击图构建单元，用于基于系统漏洞的攻击路径构建漏洞攻击图；

21、重要度确定单元，用于针对所述漏洞攻击图中的目标漏洞，基于模糊漏洞博弈模型确定纳什均衡局势下的攻击收益度，作为所述目标漏洞的漏洞重要度；

22、风险评估单元，用于结合所述目标漏洞的漏洞重要度、漏洞传播损失和漏洞累计概率，确定所述目标漏洞的风险参数，所述漏洞累计概率为从所述漏洞攻击图中的初始漏洞出发，通过所有能够达到所述目标漏洞的路径，成功渗透所述目标漏洞的概率；

23、可选的，所述重要度确定单元，包括：

24、初始收益度表示单元，用于针对所述漏洞攻击图中的目标漏洞，通过三角模糊数表示初始收益度；

25、去模糊化单元，用于对所述初始收益度进行去模糊化得到清晰收益度；

26、求解单元，用于根据所述清晰收益度求解模糊漏洞博弈模型的纳什均衡，得到纳什均衡局势下的攻击收益度，作为所述目标漏洞的漏洞重要度。

27、可选的，所述三角模糊数通过下界、主值和上界表示，分别用于指示系统资产在机密性、完整性和可用性方面的价值。

28、可选的，所述去模糊化单元包括：

29、去模糊化子单元，用于根据所述三角模糊数的概率向量确定三角模糊数的期望，作为对所述初始收益度进行去模糊化得到的清晰收益度。

30、可选的，所述风险评估单元，包括：

31、综合损失确定单元，用于根据所述目标漏洞的漏洞重要度和所述目标漏洞的漏洞传播损失，计算所述目标漏洞的漏洞综合损失；

32、风险评估子单元，用于根据所述漏洞综合损失和所述目标漏洞的漏洞累计概率，确定所述目标漏洞的风险参数。

33、可选的，所述装置还包括：

34、累计概率计算单元，用于根据所述目标漏洞的父节点的漏洞累计概率，以及所述父节点之间的逻辑关系，计算得到目标漏洞的漏洞累计概率；和/或，

35、传播损失计算单元，用于根据所述目标漏洞的子节点的漏洞自身损失和固有概率计算得到所述目标漏洞的漏洞传播损失。

36、本申请实施例提供了一种漏洞风险评估方法及装置，基于系统漏洞的攻击路径构建漏洞攻击图，针对漏洞攻击图中的目标漏洞，基于模糊漏洞博弈模型确定纳什均衡局势下的攻击收益度，作为目标漏洞的漏洞重要度，结合目标漏洞的漏洞重要度、漏洞传播损失和漏洞累计概率，确定目标漏洞的风险参数，漏洞累计概率为从漏洞攻击图中的初始漏洞出发，通过所有能够到达目标漏洞的路线，成功渗透目标漏洞的概率，攻击图能够将网络中的漏洞关联起来综合分析，博弈论能够考虑攻防双方的制约关系，在确定目标漏洞的漏洞重要度的过程中，可以通过三角模糊数表示初始收益度，对初始收益度进行去模糊化并求解纳什均衡得到纳什均衡局势下的攻击收益度，因此可以在分析漏洞逻辑关系的基础上，基于攻防制约关系，且通过对模糊数进行去模糊化解决了信息系统的不确定性和模糊性导致的攻防收益度难以求解漏洞重要度的问题，从而对漏洞的累计概率和风险参数进行定量分析，提高漏洞风险评估的准确性。

技术特征：

1.一种漏洞风险评估方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述三角模糊数通过下界、主值和上界表示，分别用于指示系统资产在机密性、完整性和可用性方面的价值。

3.根据权利要求2所述的方法，其特征在于，所述对所述初始收益度进行去模糊化得到清晰收益度，包括：

4.根据权利要求1-3任一项所述的方法，其特征在于，所述结合所述目标漏洞的漏洞重要度、漏洞传播损失和漏洞累计概率，确定所述目标漏洞的风险参数，包括：

5.根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

6.一种漏洞风险评估装置，其特征在于，包括：

7.根据权利要求6所述的方法，其特征在于，所述三角模糊数通过下界、主值和上界表示，分别用于指示系统资产在机密性、完整性和可用性方面的价值。

8.根据权利要求7所述的装置，其特征在于，所述去模糊化单元，包括：

9.根据权利要求6-8任一项所述的装置，其特征在于，所述风险评估单元，包括：

10.根据权利要求6-8任一项所述的装置，其特征在于，所述装置还包括：

技术总结本申请提供一种漏洞风险评估方法及装置，基于系统漏洞的攻击路径构建漏洞攻击图，针对漏洞攻击图中的目标漏洞，基于模糊漏洞博弈模型确定纳什均衡局势下的攻击收益度，作为目标漏洞的漏洞重要度，通过三角模糊数表示收益度，去模糊化后求解纳什均衡，结合目标漏洞的漏洞重要度、漏洞传播损失和漏洞累计概率，确定目标漏洞的风险参数，攻击图能够将网络中的漏洞关联起来综合分析，博弈论能够考虑攻防双方的制约关系，因此可以在分析漏洞逻辑关系的基础上，基于攻防制约关系，通过对模糊数进行去模糊化解决了信息系统的不确定性和模糊性导致的攻防收益度难以定量的问题，从而对漏洞的累计概率和风险参数进行定量分析，提高漏洞风险评估的准确性。技术研发人员：彭辉,王博,潘梦宇受保护的技术使用者：中国农业银行股份有限公司技术研发日：技术公布日：2024/7/25