一種防御策略系統(tǒng)分析方法及裝置的制造方法
【專利摘要】本發(fā)明實施例提供了一種防御策略系統(tǒng)分析方法及裝置,包括:根據(jù)目標(biāo)防御策略系統(tǒng)的所有防御策略和所述防御策略所對應(yīng)的防御節(jié)點,創(chuàng)建攻擊樹?防御樹模型;獲取所述攻擊樹?防御樹模型中每一防御節(jié)點的目標(biāo)節(jié)點防御潛力屬性,基于所述目標(biāo)節(jié)點防御潛力屬性以及節(jié)點防御潛力屬性與節(jié)點防御潛力之間的對應(yīng)關(guān)系,確定每一防御節(jié)點的目標(biāo)節(jié)點防御潛力;基于所述目標(biāo)節(jié)點防御潛力以及所述目標(biāo)防御策略系統(tǒng)中防御節(jié)點之間的邏輯關(guān)系,確定所述目標(biāo)防御系統(tǒng)的目標(biāo)系統(tǒng)防御潛力;基于所述目標(biāo)系統(tǒng)防御潛力以及防御等級與系統(tǒng)防御潛力之間的對應(yīng)關(guān)系,確定所述目標(biāo)防御策略系統(tǒng)的目標(biāo)防御等級。通過本發(fā)明,可以評定防御策略系統(tǒng)等級。
【專利說明】
一種防御策略系統(tǒng)分析方法及裝置
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及空間信息網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別是涉及一種防御策略系統(tǒng)分析方法 及裝置。
【背景技術(shù)】
[0002] 近年來,隨著空間通信技術(shù)和應(yīng)用的不斷發(fā)展,空間信息網(wǎng)絡(luò)作為其中必不可少 的關(guān)鍵部件,已經(jīng)逐漸成為未來信息化戰(zhàn)爭的關(guān)鍵技術(shù)支撐??臻g信息網(wǎng)絡(luò)是由部署在不 同軌道、執(zhí)行不同任務(wù)的多種衛(wèi)星、臨近空間飛行器及相應(yīng)地面系統(tǒng)和終端連接起來,并與 傳統(tǒng)地面有線和無線網(wǎng)絡(luò)相融合,組成的一個空、天、地一體化的網(wǎng)絡(luò),能夠?qū)崿F(xiàn)快速智能 的信息獲取、傳輸、處理、分發(fā)和應(yīng)用。然而,由于空間網(wǎng)絡(luò)具有復(fù)雜性、異構(gòu)性、信道開放性 等特點,這些特點給空間信息網(wǎng)絡(luò)帶來了巨大的安全隱患。因此,需要防御策略,對針對空 間信息網(wǎng)絡(luò)的攻擊進行防御,以確??臻g信息網(wǎng)絡(luò)的安全性。其中,防御策略復(fù)雜多樣,同 時防御策略的防御能力良莠不齊,且存在多個用來實現(xiàn)防御策略的手段。因此,需要針對空 間信息網(wǎng)絡(luò)的防御策略進行分析評估,以選取最優(yōu)策略,提高空間信息網(wǎng)絡(luò)的安全性。
[0003] 通常,針對防御策略的分析復(fù)雜且困難?,F(xiàn)如今,防御策略分析方法為對單一策略 進行仿真,例如通過〇PNET,NS2,NS3等仿真軟件進行協(xié)議仿真。而實際上,保障空間信息網(wǎng) 絡(luò)的安全性通常需要防御策略系統(tǒng)而不是單一防御策略來完成,防御策略系統(tǒng)包含多個防 御策略。因此,需要能夠分析防御策略系統(tǒng)可靠性的方法。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明實施例的目的在于提供一種防御策略系統(tǒng)分析方法及裝置,以實現(xiàn)對防御 策略系統(tǒng)的分析,進而篩選較優(yōu)防御策略系統(tǒng),保護空間信息網(wǎng)略的安全。具體技術(shù)方案如 下:
[0005] 第一方面,本發(fā)明實施例提供了一種防御策略系統(tǒng)分析方法,包括:
[0006] 根據(jù)目標(biāo)防御策略系統(tǒng)的所有防御策略和所述防御策略所對應(yīng)的防御節(jié)點,創(chuàng)建 攻擊樹-防御樹模型;
[0007] 獲取所述攻擊樹-防御樹模型中每一防御節(jié)點的目標(biāo)節(jié)點防御潛力屬性,基于所 述目標(biāo)節(jié)點防御潛力屬性以及節(jié)點防御潛力屬性與節(jié)點防御潛力之間的對應(yīng)關(guān)系,確定每 一防御節(jié)點的目標(biāo)節(jié)點防御潛力;
[0008] 基于所述目標(biāo)節(jié)點防御潛力以及所述目標(biāo)防御策略系統(tǒng)中防御節(jié)點之間的邏輯 關(guān)系,確定所述目標(biāo)防御系統(tǒng)的目標(biāo)系統(tǒng)防御潛力;
[0009] 基于所述目標(biāo)系統(tǒng)防御潛力以及防御等級與系統(tǒng)防御潛力之間的對應(yīng)關(guān)系,確定 所述目標(biāo)防御策略系統(tǒng)的目標(biāo)防御等級。
[0010]較佳地,所述目標(biāo)系統(tǒng)防御潛力Pt〇tai為,
,其中,A表示防御策略,η為A對應(yīng)的防御節(jié)點中與其它 防御節(jié)點為"或"關(guān)系的第一類防御節(jié)點的數(shù)量,m為A對應(yīng)的防御節(jié)點中與其它防御節(jié)點為 "與"關(guān)系的第二類防御節(jié)點的數(shù)量,所述第一類防御節(jié)點中的第i個防御節(jié)點,C偽所 述第二類防御節(jié)點中第j個防御節(jié)點,P(Bi)、P(Cj)分別為Bi、Cj的節(jié)點防御潛力。
[0011] 較佳地,所述方法還包括:
[0012] 獲取所述攻擊樹-防御樹模型中每一防御節(jié)點的節(jié)點防御成本屬性和節(jié)點延時屬 性;
[0013] 基于所述節(jié)點防御成本屬性和成本屬性與成本之間的對應(yīng)關(guān)系,確定節(jié)點防御成 本;基于所述節(jié)點延時屬性以及延時屬性與延時之間的對應(yīng)關(guān)系,確定節(jié)點延時;
[0014] 基于所述節(jié)點防御成本確定系統(tǒng)防御成本區(qū)間;基于所述節(jié)點延時確定系統(tǒng)防御 延時區(qū)間;
[0015] 基于所述系統(tǒng)防御成本區(qū)間、所述系統(tǒng)防御延時區(qū)間、所述成本屬性與成本之間 對應(yīng)關(guān)系的數(shù)量以及所述延時屬性與延時之間對應(yīng)關(guān)系的數(shù)量,獲得系統(tǒng)防御成本等級和 系統(tǒng)防御延時等級;
[0016] 根據(jù)預(yù)設(shè)的用戶需求以及所述目標(biāo)防御等級、所述系統(tǒng)防御成本等級和系統(tǒng)防御 延時等級,調(diào)整所述攻擊樹-防御樹模型中的防御策略和防御節(jié)點。
[0017] 較佳地,所述基于所述節(jié)點防御成本確定系統(tǒng)防御成本區(qū)間,包括:
[0018] 基于所述節(jié)點防御成本,獲得最小系統(tǒng)防御成本、最大系統(tǒng)防御成本,將所述最小 系統(tǒng)防御成本、所述最大系統(tǒng)防御成本所限定區(qū)間確定為系統(tǒng)防御成本區(qū)間;其中,
[0019] 最小系統(tǒng)防御成本COmin為:
[0020] c〇min=min(co(Bi),…,co(Bi),…,co(Bn),co(Ci),…,co(Cj),…,co(Cm)),
[0021] 其中,CO (Bi)、CO (Cj)、分別為Bi、Cj的節(jié)點防御成本;
[0022]所述最大系統(tǒng)防御成本COmax為:
[0024] 較佳地,所述基于所述節(jié)點延時確定系統(tǒng)防御延時區(qū)間,包括:
[0025] 基于所述節(jié)點延時,獲得最小系統(tǒng)防御延時、最大系統(tǒng)防御延時,將所述最小系統(tǒng) 防御延時、所述最大系統(tǒng)防御延時所限定區(qū)間確定為系統(tǒng)防御延時區(qū)間;其中,
[0026] 所述最小系統(tǒng)防御延時timemin為,
[0027] timemin=max(
[0028] min(time(Bi),···,time(Bi),···,time(Bn),time(Ci),···,time(Cj),···,time(Cm)),
[0029] min(time(Di),···,time(DP),···,time(D y),time(Ei),···,time(Eq),···,time(Ew)),
[0030] 其中,y為F對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"或"關(guān)系的第三類防御節(jié)點的數(shù) 量,w為F對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"與"關(guān)系的第四類防御節(jié)點的數(shù)量,D P為所 述第三類防御節(jié)點中的第P個防御節(jié)點,Eq為所述第四類防御節(jié)點中第q個防御節(jié)點,F(xiàn)為所 述目標(biāo)防御策略系統(tǒng)中除A以外的任意防御策略,time (Bi)、time (Cj)、time(DP)、time(Eq)、 分別為Bi、Cj、DP、E q的節(jié)點延時;
[0031]所述最大系統(tǒng)防御延時timemax為,
[0033]第二方面,本發(fā)明實施例還提供一種防御策略系統(tǒng)分析裝置,包括:
[0034] 模型創(chuàng)建模塊,用于根據(jù)目標(biāo)防御策略系統(tǒng)的所有防御策略和所述防御策略所對 應(yīng)的防御節(jié)點,創(chuàng)建攻擊樹-防御樹模型;
[0035] 第一確定模塊,用于獲取所述攻擊樹-防御樹模型中每一防御節(jié)點的目標(biāo)節(jié)點防 御潛力屬性,基于所述目標(biāo)節(jié)點防御潛力屬性以及節(jié)點防御潛力屬性與節(jié)點防御潛力之間 的對應(yīng)關(guān)系,確定每一防御節(jié)點的目標(biāo)節(jié)點防御潛力;
[0036] 第二確定模塊,用于基于所述目標(biāo)節(jié)點防御潛力以及所述目標(biāo)防御策略系統(tǒng)中防 御節(jié)點之間的邏輯關(guān)系,確定所述目標(biāo)防御系統(tǒng)的目標(biāo)系統(tǒng)防御潛力;
[0037]第三確定模塊,用于基于所述目標(biāo)系統(tǒng)防御潛力以及防御等級與系統(tǒng)防御潛力之 間的對應(yīng)關(guān)系,確定所述目標(biāo)防御策略系統(tǒng)的目標(biāo)防御等級。
[0038] 較佳地,所述目標(biāo)系統(tǒng)防御潛力Ptcltal為,
,其中,A表示防御策略,η為A對應(yīng)的防御節(jié)點中與其它 防御節(jié)點為"或"關(guān)系的第一類防御節(jié)點的數(shù)量,m為A對應(yīng)的防御節(jié)點中與其它防御節(jié)點為 "與"關(guān)系的第二類防御節(jié)點的數(shù)量,所述第一類防御節(jié)點中的第i個防御節(jié)點,C偽所 述第二類防御節(jié)點中第j個防御節(jié)點,P(Bi)、P(Cj)分別為Bi、Cj的節(jié)點防御潛力。
[0039]較佳地,所述裝置還包括:
[0040]屬性獲取模塊,用于獲取所述攻擊樹-防御樹模型中每一防御節(jié)點的節(jié)點防御成 本屬性和節(jié)點延時屬性;
[0041 ]第四確定模塊,用于基于所述節(jié)點防御成本屬性和成本屬性與成本之間的對應(yīng)關(guān) 系,確定節(jié)點防御成本;基于所述節(jié)點延時屬性以及延時屬性與延時之間的對應(yīng)關(guān)系,確定 節(jié)點延時;
[0042] 第五確定模塊,用于基于所述節(jié)點防御成本確定系統(tǒng)防御成本區(qū)間;基于所述節(jié) 點延時確定系統(tǒng)防御延時區(qū)間;
[0043] 等級獲得模塊,用于基于所述系統(tǒng)防御成本區(qū)間、所述系統(tǒng)防御延時區(qū)間、所述成 本屬性與成本之間對應(yīng)關(guān)系的數(shù)量以及所述延時屬性與延時之間對應(yīng)關(guān)系的數(shù)量,獲得系 統(tǒng)防御成本等級和系統(tǒng)防御延時等級;
[0044] 模型調(diào)整模塊,用于根據(jù)預(yù)設(shè)的用戶需求以及所述目標(biāo)防御等級、所述系統(tǒng)防御 成本等級和系統(tǒng)防御延時等級,調(diào)整所述攻擊樹-防御樹模型中的防御策略和防御節(jié)點。
[0045] 較佳地,所述第五確定模塊具體用于:
[0046] 基于所述節(jié)點防御成本,獲得最小系統(tǒng)防御成本、最大系統(tǒng)防御成本,將所述最小 系統(tǒng)防御成本、所述最大系統(tǒng)防御成本所限定區(qū)間確定為系統(tǒng)防御成本區(qū)間;其中,
[0047]最小系統(tǒng)防御成本COmin為:
[0048] c〇min=min(co(Bi),…,co(Bi),…,co(Bn),co(Ci),…,co(Cj),…,co(Cm)),
[0049] 其中,CO (Bi)、CO (Cj)、分別為Bi、Cj的節(jié)點防御成本;
[0050] 所述最大系統(tǒng)防御成本c〇max為:
[0052]較佳地,所述第五確定模塊還用于:
[0053]基于所述節(jié)點延時,獲得最小系統(tǒng)防御延時、最大系統(tǒng)防御延時,將所述最小系統(tǒng) 防御延時、所述最大系統(tǒng)防御延時所限定區(qū)間確定為系統(tǒng)防御延時區(qū)間;其中,
[0054] 所述最小系統(tǒng)防御延時timemin為,
[0055] timemin=max(
[0056] min(time(Bi),···,time(Bi),···,time(Bn),time(Ci),···,time(Cj),···,time(Cm)),
[0057] min(time(Di),···,time(DP),···,time(Dy),time(Ei),···,time(E q),···,time(Ew)),
[0058] 其中,y為F對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"或"關(guān)系的第三類防御節(jié)點的數(shù) 量,w為F對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"與"關(guān)系的第四類防御節(jié)點的數(shù)量,D P為所 述第三類防御節(jié)點中的第P個防御節(jié)點,Eq為所述第四類防御節(jié)點中第q個防御節(jié)點,F(xiàn)為所 述目標(biāo)防御策略系統(tǒng)中除A以外的任意防御策略,time(Bi)、time(Cj)、time(D P)、time(Eq)、 分別為Bi、Cj、DP、Eq的節(jié)點延時;
[0059] 所述最大系統(tǒng)防御延時timemax為,
[0060] timemax=max(max(time(Bi),···,time(Bi),···,time(Bn)),
[0061] 本發(fā)明實施例提供的一種防御策略系統(tǒng)分析方法及裝置,獲取防御節(jié)點的防御潛 力,并通過防御節(jié)點的防御潛力以及防御節(jié)點之間的邏輯關(guān)系,確定防御系統(tǒng)等級,因而能 夠評估防御策略系統(tǒng)的安全級別,進而優(yōu)選出安全性能較高的系統(tǒng),確??臻g信息網(wǎng)絡(luò)的 安全。
【附圖說明】
[0062] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以 根據(jù)這些附圖獲得其他的附圖。
[0063] 圖1為本發(fā)明實施例所提供的一種防御策略系統(tǒng)分析方法的步驟流程框圖;
[0064] 圖2為本發(fā)明實施例所提供的一種攻擊樹-防御樹模型示意圖;
[0065] 圖3為本發(fā)明實施例還提供的一種防御策略系統(tǒng)分析方法的又一步驟流程圖;
[0066] 圖4為本發(fā)明實施例所提供的一種防御策略系統(tǒng)分析裝置的結(jié)構(gòu)示意框圖;
[0067] 圖5為本發(fā)明實施例所提供的一種防御策略系統(tǒng)分析裝置的又一結(jié)構(gòu)示意框圖。
【具體實施方式】
[0068] 下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完 整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;?本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他 實施例,都屬于本發(fā)明保護的范圍。
[0069] 本發(fā)明實施例提供了一種防御策略系統(tǒng)分析方法及裝置,以解決現(xiàn)有技術(shù)不能對 防御策略系統(tǒng)進行分析評估的問題。
[0070] 下面首先對本發(fā)明實施例所提供的一種防御策略系統(tǒng)分析方法進行介紹。
[0071] 需要說明的是,本發(fā)明所提供的一種防御策略系統(tǒng)分析方法用應(yīng)用于服務(wù)器。
[0072] 如圖1所示,本發(fā)明所提供的一種防御策略系統(tǒng)分析方法,包括如下步驟:
[0073] S101:根據(jù)目標(biāo)防御策略系統(tǒng)的所有防御策略和所述防御策略所對應(yīng)的防御節(jié) 點,創(chuàng)建攻擊樹-防御樹模型;
[0074] 具體的,一個防御節(jié)點可以實現(xiàn)多個防御策略,同時多個防御節(jié)點可以實現(xiàn)一個 防御策略。因此,上述一個防御策略可以對應(yīng)一個或多個防御節(jié)點,同時上述一個防御節(jié)點 可以對應(yīng)多個防御策略。例如,防御策略為:防止物理破壞,則防止物理破壞所對應(yīng)的防御 節(jié)點為硬件加固和硬件冗余;又如,若所述防御節(jié)點為:入侵檢測,則入侵檢測可以防止的 入侵類型可以包括非法控制飛行器、截獲信息網(wǎng)絡(luò)信號等,進而所對應(yīng)的防御策略為防止 非法控制飛行器、防止截獲信息網(wǎng)路信號等。
[0075] S102:獲取所述攻擊樹-防御樹模型中每一防御節(jié)點的目標(biāo)節(jié)點防御潛力屬性,基 于所述目標(biāo)節(jié)點防御潛力屬性以及節(jié)點防御潛力屬性與節(jié)點防御潛力之間的對應(yīng)關(guān)系,確 定每一防御節(jié)點的目標(biāo)節(jié)點防御潛力;
[0076]需要說明的是,所述節(jié)點防御屬性的具體意義為節(jié)點防御潛力的具體數(shù)值,所述 具體數(shù)值的獲得過程根據(jù)現(xiàn)有技術(shù)確定,在此不做限定。但是,需要強調(diào)的是,為了所述節(jié) 點防御潛力屬性與節(jié)點防御潛力之間的對應(yīng)關(guān)系的規(guī)范確定,本發(fā)明將數(shù)值做規(guī)范化處 理,具體處理方法可以表現(xiàn)為,將節(jié)點防御潛力屬性劃分為第一級別、第二級別、第三級別 等等。
[0077]節(jié)點防御潛力的具體意義具體表現(xiàn)為節(jié)點防御成功的概率,其最大值可以為1,最 小值可以為〇,其具體表現(xiàn)形式可以是百分數(shù)、分數(shù)、小數(shù)等。
[0078]其中,節(jié)點防御潛力屬性與節(jié)點防御潛力之間的對應(yīng)關(guān)系具體為節(jié)點防御潛力屬 性與節(jié)點防御潛力數(shù)值之間的對應(yīng)關(guān)系。具體實現(xiàn)方法可以為,將節(jié)點防御成功的概率,即 節(jié)點防御潛力的最大值、最小值所歸定的區(qū)間[0,1],根據(jù)節(jié)點防御潛力屬性所決定的等級 數(shù)量劃分為若干子區(qū)間。
[0079] 需要說明的是,上述劃分方法具體可以為等間距劃分、不等間距劃分、取中間值劃 分等。對應(yīng)節(jié)點防御潛力屬性與節(jié)點防御潛力之間的對應(yīng)方法可以遵循以下規(guī)則:節(jié)點防 御潛力屬性級別越低,所對應(yīng)的子區(qū)間的平均值越小;或者節(jié)點防御潛力屬性級別越低,所 對應(yīng)的子區(qū)間的最大值越小;或者節(jié)點防御潛力屬性級別越低,所對應(yīng)的子區(qū)間的最小值 越小。為了更清楚地說明此處劃分方法,以下舉一例子詳細說明。
[0080] 假設(shè),上述防御潛力屬性的級別為五個級別,則將區(qū)間[0,1 ]劃分為5個子區(qū)間,劃 分方式為取中間值劃分,則子區(qū)間可以為:第一子區(qū)間[0,5%)、第二子區(qū)間[5%,25%)、第 三子區(qū)間[25 %,75 % )、第四子區(qū)間[75%,100 % )、第五子期間[100%,100 % ]。按照上述節(jié) 點防御潛力屬性與節(jié)點防御潛力之間的對應(yīng)方法,防御潛力屬性在第一級別內(nèi)的防御節(jié) 點,因其級別最低,其節(jié)點防御潛力數(shù)值為第一子區(qū)間范圍內(nèi)的任一數(shù)值;防御潛力屬性在 第二級別內(nèi)的防御節(jié)點,因其級別最低,其節(jié)點防御潛力數(shù)值為第二子區(qū)間范圍內(nèi)的任一 數(shù)值;防御潛力屬性在第三級別內(nèi)的防御節(jié)點,因其級別最低,其節(jié)點防御潛力數(shù)值為第三 子區(qū)間范圍內(nèi)的任一數(shù)值;防御潛力屬性在第四級別內(nèi)的防御節(jié)點,因其級別最低,其節(jié)點 防御潛力數(shù)值為第四子區(qū)間范圍內(nèi)的任一數(shù)值;防御潛力屬性在第五級別內(nèi)的防御節(jié)點, 因其級別最低,其節(jié)點防御潛力數(shù)值為第五子區(qū)間范圍內(nèi)的任一數(shù)值。
[0081] S103:基于所述目標(biāo)節(jié)點防御潛力以及所述目標(biāo)防御策略系統(tǒng)中防御節(jié)點之間的 邏輯關(guān)系,確定所述目標(biāo)防御系統(tǒng)的目標(biāo)系統(tǒng)防御潛力;
[0082] 在本發(fā)明的一種實現(xiàn)方式中,所述目標(biāo)系統(tǒng)防御潛力p t。t a :為, <其中,A表示防御策略,
η為A對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"或"關(guān)系的第一類防御節(jié)點的數(shù)量,m為A對應(yīng)的 防御節(jié)點中與其它防御節(jié)點為"與"關(guān)系的第二類防御節(jié)點的數(shù)量,為所述第一類防御節(jié) 點中的第i個防御節(jié)點,Cj為所述第二類防御節(jié)點中第j個防御節(jié)點,P(Bi)、P(Cj)分別為Bi、 Cj的節(jié)點防御潛力。
[0083] S104:基于所述目標(biāo)系統(tǒng)防御潛力以及防御等級與系統(tǒng)防御潛力之間的對應(yīng)關(guān) 系,確定所述目標(biāo)防御策略系統(tǒng)的目標(biāo)防御等級。
[0084]需要說明的是,所述防御等級與系統(tǒng)防御潛力之間的對應(yīng)關(guān)系,根據(jù)一個系統(tǒng)防 御潛力數(shù)值,找到與此數(shù)值所對應(yīng)的防御等級。由之前的解釋可知,所述節(jié)點防御潛力的具 體意義為節(jié)點防御成功的概率,相應(yīng)地,由節(jié)點防御潛力得出的系統(tǒng)防御潛力,其具體意義 為系統(tǒng)防御成功的概率。系統(tǒng)防御潛力的最大值可以為1,最小值可以為〇,其具體表現(xiàn)形式 可以是百分數(shù)、分數(shù)、小數(shù)等
[0085] 具體的,進一步需要說明的是,確定防御等級與系統(tǒng)防御潛力之間的對應(yīng)關(guān)系的 具體實現(xiàn)方法可以為:將系統(tǒng)防御成功的概率,即系統(tǒng)防御潛力的最大值、最小值所規(guī)定的 區(qū)間[0,1 ],劃分為若干子區(qū)間;所劃分的子區(qū)間的平均值越小,則所對應(yīng)的防御系統(tǒng)的防 御等級越低;或者所劃分的子區(qū)間的最大值越小,則所對應(yīng)的防御系統(tǒng)的防御等級越低;或 者所劃分的子區(qū)間的最小值越小,則所對應(yīng)的防御系統(tǒng)的防御等級越低。
[0086] 需要說明的是,上述劃分子區(qū)間的方法具體可以為等間距劃分、不等間距劃分、取 中間值劃分等。為了更清楚地說明此處劃分方法,以下舉一例子詳細說明。
[0087] 假設(shè),上述防御潛力等級有五個級別,則將區(qū)間[0,1 ]劃分為5個子區(qū)間,劃分方式 為取中間值劃分,則子區(qū)間可以為:第一子區(qū)間[0,5%)、第二子區(qū)間[5%,25%)、第三子區(qū) 間[25 %,75 % )、第四子區(qū)間[75 %,100 % )、第五子期間[100 %,100 % ]。按照上述防御等級 與系統(tǒng)防御潛力之間的對應(yīng)規(guī)則,系統(tǒng)防御潛力數(shù)值在第一子區(qū)間范圍內(nèi)的防御策略系 統(tǒng),其防御等級為第一等級;系統(tǒng)防御潛力數(shù)值在第二子區(qū)間范圍內(nèi)的防御策略系統(tǒng),其防 御等級為第二等級;系統(tǒng)防御潛力數(shù)值在第三子區(qū)間范圍內(nèi)的防御策略系統(tǒng),其防御等級 為第三等級;系統(tǒng)防御潛力數(shù)值在第四子區(qū)間范圍內(nèi)的防御策略系統(tǒng),其防御等級為第四 級等級;系統(tǒng)防御潛力數(shù)值在第五子區(qū)間范圍內(nèi)的防御策略系統(tǒng),其防御等級為第五等級。
[0088] 本發(fā)明實施例提供的一種防御策略系統(tǒng)分析方法,獲取防御節(jié)點的防御潛力,并 通過防御節(jié)點的防御潛力以及防御節(jié)點之間的邏輯關(guān)系,確定防御系統(tǒng)等級,因而能夠評 估防御策略系統(tǒng)的安全級別,進而優(yōu)選出安全性能較高的系統(tǒng),確保空間信息網(wǎng)絡(luò)的安全。
[0089] 為了更加詳細清楚地說明本發(fā)明實施例,以下列舉一實現(xiàn)方式進行詳細說明。
[0090] 根據(jù)用戶防御策略系統(tǒng),建立攻擊樹-防御樹模型,如圖2所示。
[0091] 獲取其中每一防御節(jié)點的節(jié)點防御潛力屬性,如表1所示。
[0092] 表 1
[0094] 根據(jù)本發(fā)明的其中一種節(jié)點防御潛力屬性以及節(jié)點防御潛力屬性與節(jié)點防御潛 力之間的對應(yīng)關(guān)系,即防御潛力屬性在第1級別,節(jié)點防御潛力在[0,5 %)內(nèi);防御潛力屬性 在第2級別,節(jié)點防御潛力在[5 %,2 5 % )內(nèi);防御潛力屬性在第3級別,節(jié)點防御潛力在 [25%,75% )內(nèi);防御潛力屬性在第4級別,節(jié)點防御潛力在[75%,100% )內(nèi);防御潛力屬性 在第5級別,節(jié)點防御潛力在[100%,100%]內(nèi),由于P(R)、P(G)、P(P)、P(S)、在[25%,75%) 內(nèi)、P(Y)在[25% ,75%)內(nèi),則25%彡P(guān)(R)=P(G)=P(P)=P(S)〈75%,75%<P(Y)〈100%。 需要說明的是,為了計算方便,此處取區(qū)間的中間值,也就是說,P(R)=P(G)=P(P)=P(S) = 50%,Ρ(Υ)=87·5%。
[0095] 貝lJPtotai = {l-(l-P(G)) X (1-Ρ(Υ))}Χ(1-Ρ(Ρ)) X {1-(1-P(R)) X (1_P(S))} = 35%。根據(jù)防御等級與系統(tǒng)防御潛力之間的對應(yīng)關(guān)系的其中一種實現(xiàn)方法,即系統(tǒng)防御潛 力在[0,5 % )內(nèi),系統(tǒng)防御等級為第一級別;系統(tǒng)防御潛力在[5 %,2 5 % )內(nèi),系統(tǒng)防御等級 為第二級別;系統(tǒng)防御潛力在[25%,75%)內(nèi),系統(tǒng)防御等級為第三級別;系統(tǒng)防御潛力在 [75%,100% )內(nèi),系統(tǒng)防御等級為第四級別;系統(tǒng)防御潛力在[100%,100% ]內(nèi),系統(tǒng)防御 等級為第五級別,由于35%在[25% ,75% )內(nèi),則25%〈35%〈75%,屬于第三子區(qū)間。目標(biāo)防 御系統(tǒng)對應(yīng)的級別為第三級別。
[0096] 更進一步的,在圖1的基礎(chǔ)上,如圖3所示,本發(fā)明實施例還提供了改進防御策略系 統(tǒng)的方法,具體包括如下步驟:
[0097] S105:獲取所述攻擊樹-防御樹模型中每一防御節(jié)點的節(jié)點防御成本屬性和節(jié)點 延時屬性;
[0098] 所述節(jié)點防御成本屬性和所述節(jié)點延時屬性的具體獲取方式有現(xiàn)有技術(shù)實現(xiàn),在 此不做贅述。
[0099] S106:基于所述節(jié)點防御成本屬性和成本屬性與成本之間的對應(yīng)關(guān)系,確定節(jié)點 防御成本;基于所述節(jié)點延時屬性以及延時屬性與延時之間的對應(yīng)關(guān)系,確定節(jié)點延時; [0100]所述節(jié)點防御成本屬性與成本之間的對應(yīng)關(guān)系具體為節(jié)點防御成本屬性與成本 數(shù)值之間的對應(yīng)關(guān)系。節(jié)點防御成本屬性與成本數(shù)值之間的對應(yīng)關(guān)系可以為,當(dāng)執(zhí)行防御 動作所花費成本低,成本值為1;當(dāng)執(zhí)行防御動作所花費成本中等,成本值為2;執(zhí)行防御動 作所花費的成本高,成本值為3。具體的,成本有多種體現(xiàn)方式,具體可以為執(zhí)行防御動作花 發(fā)費的開銷、所占用的內(nèi)存、所占用的處理器的資源等。在一中實現(xiàn)方式中,例如,執(zhí)行防御 策略系統(tǒng)的處理器內(nèi)存總量為8G。那么,當(dāng)執(zhí)行防御動作所需要占用的內(nèi)存為lk-20k時(包 含lk、20k),所花費的成本低;當(dāng)執(zhí)行防御動作所需要占用的內(nèi)存為20k-200k時(不包含 20k,包含200k),所花費的成本中等;當(dāng)執(zhí)行防御動作所需要占用的內(nèi)存為200k(不包含 200k)以上時,所花費的成本高。
[0101] 進一步需要說明的是,節(jié)點防御成本屬性不止局限于低、中等、高,同時成本屬性 還可以包括較高、較低等等,這都是合理的。
[0102] 需要強調(diào)的是,上述實例僅僅是節(jié)點防御成本屬性與成本之間的對應(yīng)關(guān)系中的其 中一種,其中所列舉數(shù)值意在說明節(jié)點防御成本屬性與成本的性質(zhì)關(guān)系,不具有任何現(xiàn)實 意義,同時不具有任何限定意義。
[0103] 進一步需要強調(diào)的是,所述節(jié)點延時屬性與延時之間的對應(yīng)關(guān)系具體為節(jié)點延時 屬性與延時數(shù)值之間的對應(yīng)關(guān)系。節(jié)點延時屬性與延時的對應(yīng)關(guān)系可以為:執(zhí)行防御動作 不延時,所述延時值為〇;執(zhí)行防御動作延時短,所述延時值為1;執(zhí)行防御動作延時長,所述 延時值為2。
[0104] 上述節(jié)點延時屬性為具體的時間值,延時數(shù)值是具體的數(shù)字。例如,當(dāng)處理器的單 位時間為0.01ms,則當(dāng)防御所導(dǎo)致的延時為0ms時,執(zhí)行防御動作不延時;當(dāng)防御所導(dǎo)致的 延時為〇. 〇lms-lms(不包括0.01ms,包括lms)時,執(zhí)行防御動作延時短;當(dāng)防御所導(dǎo)致的延 時為lms以上時(不包括lms ),執(zhí)行防御動作延時長。
[0105] 相應(yīng)的,節(jié)點延時屬性不止局限于不延時、延時短、延時長,同時延時屬性還可以 包括較長、較短等等,這都是合理的。
[0106] S107:基于所述節(jié)點防御成本確定系統(tǒng)防御成本區(qū)間;基于所述節(jié)點延時確定系 統(tǒng)防御延時區(qū)間;
[0107] 具體的,基于所述節(jié)點防御成本,獲得最小系統(tǒng)防御成本、最大系統(tǒng)防御成本,將 所述最小系統(tǒng)防御成本、所述最大系統(tǒng)防御成本所限定區(qū)間確定為系統(tǒng)防御成本區(qū)間;其 中,最小系統(tǒng)防御成本COmin為:COmin = min(CO(Bl),…,CO(Bi),…,co(Bn),co(Ci),…,co (Cj),…,co(C m)),其中,分別為Bi、Ci的節(jié)點防御成本;所述最大系統(tǒng)防御成
[0108] 相應(yīng)的,基于所述節(jié)點延時確定系統(tǒng)防御延時區(qū)間具體包括:基于所述節(jié)點延時, 獲得最小系統(tǒng)防御延時、最大系統(tǒng)防御延時,將所述最小系統(tǒng)防御延時、所述最大系統(tǒng)防御 延時所限定區(qū)間確定為系統(tǒng)防御延時區(qū)間;其中,所述最小系統(tǒng)防御延時timemin為,timemin =max(min(time(Bi),…,time(Bi),…,time(Bn),time(Ci),…,time(Cj),…,time(Cm)), min(time(Di),···,time(D P),···,time(Dy),time(Ei),···,time(Eq),···,time(Ew)),其中,y為 F對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"或"關(guān)系的第三類防御節(jié)點的數(shù)量,w為F對應(yīng)的防 御節(jié)點中與其它防御節(jié)點為"與"關(guān)系的第四類防御節(jié)點的數(shù)量,叫為所述第三類防御節(jié)點 中的第P個防御節(jié)點,E q為所述第四類防御節(jié)點中第q個防御節(jié)點,F(xiàn)為所述目標(biāo)防御策略系 統(tǒng)中除A以外的任意防御策略,time(Bi)、time(Cj)、time(D P)、time(Eq)、分別為Bi、Cj、DP、Eq 的節(jié)點延時;所述最大系統(tǒng)防御延時timemax為,timemax = max(max(time(Bi),…,time (Bi),···,time(Bn)),
[0109] S108:基于所述系統(tǒng)防御成本區(qū)間、所述系統(tǒng)防御延時區(qū)間、所述成本屬性與成本 之間對應(yīng)關(guān)系的數(shù)量以及所述延時屬性與延時之間對應(yīng)關(guān)系的數(shù)量,獲得系統(tǒng)防御成本等 級和系統(tǒng)防御延時等級;
[0110] 具體的,基于所述成本屬性與成本之間對應(yīng)關(guān)系數(shù)量,劃分所述系統(tǒng)防御成本區(qū) 間。假設(shè)成本屬性有三個等級:低、中等、高。相應(yīng)的,三個等級對應(yīng)三個成本值。因此,成本 屬性與成本之間對應(yīng)關(guān)系數(shù)量為3。進而,將所述系統(tǒng)防御成本區(qū)間劃分為3個子區(qū)間。劃分 方法具體可以為等間距劃分、不等間距劃分、取中間值劃分等。三個子區(qū)間按照區(qū)間中數(shù)值 的平均值、或者最大值、或者最小值由小到大對應(yīng)第一級別、第二級別、第三級別。
[0111] 相應(yīng)的,基于所述延時屬性與延時之間對應(yīng)關(guān)系數(shù)量,劃分所述系統(tǒng)延時區(qū)間。假 設(shè)延時屬性有三個等級:不延時、延時短、延時長。相應(yīng)的,三個等級對應(yīng)三個延時值。因此, 延時屬性與延時之間對應(yīng)關(guān)系數(shù)量為3。進而,將所述延時成本區(qū)間劃分為3個子區(qū)間。劃分 方法具體可以為等間距劃分、不等間距劃分、取中間值劃分等。三個子區(qū)間按照區(qū)間中數(shù)值 的平均值、或者最大值、或者最小值由小到大對應(yīng)第一級別、第二級別、第三級別。
[0112] S109:根據(jù)預(yù)設(shè)的用戶需求以及所述目標(biāo)防御等級、所述系統(tǒng)防御成本等級和系 統(tǒng)防御延時等級,調(diào)整所述攻擊樹-防御樹模型中的防御策略和防御節(jié)點。
[0113] 所述預(yù)設(shè)的用戶需求的具體體現(xiàn)形式,可以為用戶對于防御策略系統(tǒng)的防御潛力 的級別需求。
[0114] 需要說明的是,所述調(diào)整所述攻擊樹-防御樹模型中的防御策略和防御節(jié)點包括 增加、減少所述攻擊樹-防御樹模型中的防御策略和防御節(jié)點。
[0115] 更進一步的,本發(fā)明還通過獲得時間屬性、延時屬性,進而評估防御系統(tǒng)的延時區(qū) 間以及成本區(qū)間,從而調(diào)整防御策略系統(tǒng),進而保證獲得較佳系統(tǒng)的同時節(jié)約時間、成本。
[0116] 為了更加詳細清楚地說明本發(fā)明實施例,以下列舉一實現(xiàn)方式進行詳細說明。 [0117]獲得節(jié)點防御成本屬性(以下簡稱成本屬性)以及節(jié)點延時屬性(以下簡稱延時屬 性,此處設(shè)定成本屬性、延時屬性均有三個等級:低、中、高),如表2所示。
[0118]表2
[0120] 則,根據(jù)成本屬性與成本之間的對應(yīng)關(guān)系、延時屬性與延時之間的對應(yīng)關(guān)系的其 中一種實現(xiàn)方式,可以得知各個防御節(jié)點的成本以及延時,如表3所示。其中,成本屬性與成 本之間的對應(yīng)關(guān)系為:當(dāng)執(zhí)行防御動作所花費成本低,成本值為1;當(dāng)執(zhí)行防御動作所花費 成本中等,成本值為2;執(zhí)行防御動作所花費的成本高,成本值為3。延時屬性與延時之間的 對應(yīng)關(guān)系為:執(zhí)行防御動作不延時,所述延時值為0;執(zhí)行防御動作延時短,所述延時值為1; 執(zhí)行防御動作延時長,所述延時值為2。
[0121] 表3
[0123] 貝!Jcomin=min(co(G),co(Y) )+co(p)+min(co(R),co(S)) =2+3+1 = 6;
[0124] comax = 2+2+3+3+l = ll;
[0125] timemax=max(max(time(G), time(Y)), time(P), time(R)+time(S)) = 3 ;
[0126] timemin=max(min(time(G), time(Y)), time(P),min(time(R), time(s))) = 1 ;
[0127] 那么,系統(tǒng)防御成本區(qū)間為[6,11]、系統(tǒng)防御延時區(qū)間為[1,3]。
[0128] 基于成本屬性與成本之間對應(yīng)關(guān)系數(shù)量,劃分系統(tǒng)防御成本區(qū)間,使用的劃分方 法為不等間距劃分則,第一子區(qū)間為[6,7.7);第二子區(qū)間為[7.7,9.3);第三子區(qū)間為 [9.3,11 ],得到系統(tǒng)成本等級,如表4所示。
[0129] 表4
[0131] 基于延時屬性與延時之間對應(yīng)關(guān)系數(shù)量,劃分系統(tǒng)防御成本區(qū)間,使用的劃分方 法為等間距劃分則,第一子區(qū)間為[0,0];第二子區(qū)間為[1,2);
[0132] 第三子區(qū)間為[2,3],得到系統(tǒng)延時等級,如表5所示。
[0133] 表5
[0135] 又知用戶需求為成本低,不計延時,因此刪除相對耗費成本的硬件冗余、數(shù)據(jù)加密 防御節(jié)點,進而降低系統(tǒng)的成本。
[0136] 相應(yīng)的,當(dāng)遇到不同用戶需求時,本發(fā)明根據(jù)需求,增加、減少防御節(jié)點。
[0137] 相應(yīng)于上述方法,本發(fā)明還提供一種防御策略系統(tǒng)分析裝置,如圖4所示,包括:
[0138] 模型創(chuàng)建模塊310,用于根據(jù)目標(biāo)防御策略系統(tǒng)的所有防御策略和所述防御策略 所對應(yīng)的防御節(jié)點,創(chuàng)建攻擊樹-防御樹模型;
[0139] 第一確定模塊320,用于獲取所述攻擊樹-防御樹模型中每一防御節(jié)點的目標(biāo)節(jié)點 防御潛力屬性,基于所述目標(biāo)節(jié)點防御潛力屬性以及節(jié)點防御潛力屬性與節(jié)點防御潛力之 間的對應(yīng)關(guān)系,確定每一防御節(jié)點的目標(biāo)節(jié)點防御潛力;
[0140]第二確定模塊330,用于基于所述目標(biāo)節(jié)點防御潛力以及所述目標(biāo)防御策略系統(tǒng) 中防御節(jié)點之間的邏輯關(guān)系,確定所述目標(biāo)防御系統(tǒng)的目標(biāo)系統(tǒng)防御潛力;
[0141] 第三確定模塊340,用于基于所述目標(biāo)系統(tǒng)防御潛力以及防御等級與系統(tǒng)防御潛 力之間的對應(yīng)關(guān)系,確定所述目標(biāo)防御策略系統(tǒng)的目標(biāo)防御等級。
[0142] 具體的,所述目標(biāo)系統(tǒng)防御潛力Ptcltal為,
,其中,A表示防御策略,η為A對應(yīng)的防御節(jié)點中與其它 防御節(jié)點為"或"關(guān)系的第一類防御節(jié)點的數(shù)量,m為A對應(yīng)的防御節(jié)點中與其它防御節(jié)點為 "與"關(guān)系的第二類防御節(jié)點的數(shù)量,所述第一類防御節(jié)點中的第i個防御節(jié)點,為所 述第二類防御節(jié)點中第j個防御節(jié)點,P(Bi)、P(Cj)分別為Bi、Cj的節(jié)點防御潛力。
[0143] 本發(fā)明實施例提供的一種防御策略系統(tǒng)分析裝置,獲取防御節(jié)點的防御潛力,并 通過防御節(jié)點的防御潛力以及防御節(jié)點之間的邏輯關(guān)系,確定防御系統(tǒng)等級,因而能夠評 估防御策略系統(tǒng)的安全級別,進而優(yōu)選出安全性能較高的系統(tǒng),確保空間信息網(wǎng)絡(luò)的安全。
[0144] 更進一步的,在圖4的基礎(chǔ)上,如圖5所示,本發(fā)明實施例還提供了改進防御策略系 統(tǒng)的裝置,包括:
[0145] 屬性獲取模塊350,用于獲取所述攻擊樹-防御樹模型中每一防御節(jié)點的節(jié)點防御 成本屬性和節(jié)點延時屬性;
[0146] 第四確定模塊360,用于基于所述節(jié)點防御成本屬性和成本屬性與成本之間的對 應(yīng)關(guān)系,確定節(jié)點防御成本;基于所述節(jié)點延時屬性以及延時屬性與延時之間的對應(yīng)關(guān)系, 確定節(jié)點延時;
[0147] 第五確定模塊370,用于基于所述節(jié)點防御成本確定確定系統(tǒng)防御成本區(qū)間;基于 所述節(jié)點延時確定系統(tǒng)防御延時區(qū)間;
[0148] 等級獲得模塊380,用于基于所述系統(tǒng)防御成本區(qū)間、所述系統(tǒng)防御延時區(qū)間、所 述成本屬性與成本之間對應(yīng)關(guān)系的數(shù)量以及所述延時屬性與延時之間對應(yīng)關(guān)系的數(shù)量,獲 得系統(tǒng)防御成本等級和系統(tǒng)防御延時等級;
[0149] 模型調(diào)整模塊390,用于根據(jù)預(yù)設(shè)的用戶需求以及所述目標(biāo)防御等級、所述系統(tǒng)防 御成本等級和系統(tǒng)防御延時等級,調(diào)整所述攻擊樹-防御樹模型中的防御策略和防御節(jié)點。
[0150] 具體的,所述第五確定模塊具體用于:
[0151] 基于所述節(jié)點防御成本,獲得最小系統(tǒng)防御成本、最大系統(tǒng)防御成本,將所述最小 系統(tǒng)防御成本、所述最大系統(tǒng)防御成本所限定區(qū)間確定為系統(tǒng)防御成本區(qū)間;其中,
[0?52]最小系統(tǒng)防御成本COmin為:
[0153] c〇min=min(co(Bi),…,co(Bi),…,co(Bn),co(Ci),…,co(Cj),…,co(Cm)),
[0154] 其中,co(Bi)、co (Cj)、分別為Bi、Cj的節(jié)點防御成本;
[0155] 所述最大系統(tǒng)防御成本c〇max為:
[0157] 具體的,所述第五確定模塊還用于:
[0158] 基于所述節(jié)點延時,獲得最小系統(tǒng)防御延時、最大系統(tǒng)防御延時,將所述最小系統(tǒng) 防御延時、所述最大系統(tǒng)防御延時所限定區(qū)間確定為系統(tǒng)防御延時區(qū)間;其中,
[0159] 所述最小系統(tǒng)防御延時timemin為,
[0160] timemin=max(
[0161 ] min(time(Bi),…,time(Bi),…,time(Bn),time(Ci),…,time(Cj),…,time(Cm)),
[0162] min(time(Di),···,time(DP),···,time(D y),time(Ei),···,time(Eq),···,time(Ew)),
[0163] 其中,y為F對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"或"關(guān)系的第三類防御節(jié)點的數(shù) 量,w為F對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"與"關(guān)系的第四類防御節(jié)點的數(shù)量,D P為所 述第三類防御節(jié)點中的第P個防御節(jié)點,Eq為所述第四類防御節(jié)點中第q個防御節(jié)點,F(xiàn)為所 述目標(biāo)防御策略系統(tǒng)中除A以外的任意防御策略,time (Bi)、time (Cj)、time(DP)、time(Eq)、 分別為Bi、Cj、DP、E q的節(jié)點延時;
[0164] 所述最大系統(tǒng)防御延時timemax為,
[0165] timemax=max(max(time(Bi),···,time(Bi),···,time(B n)),
[0166] 更進一步的,本發(fā)明還通過獲得時間屬性、延時屬性,進而評估防御系統(tǒng)的延時區(qū) 間以及成本區(qū)間,從而調(diào)整防御策略系統(tǒng),進而保證獲得較佳系統(tǒng)的同時節(jié)約時間、成本。
[0167] 需要說明的是,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實 體或者操作與另一個實體或操作區(qū)分開來,而不一定要求或者暗示這些實體或操作之間存 在任何這種實際的關(guān)系或者順序。而且,術(shù)語"包括"、"包含"或者其任何其他變體意在涵蓋 非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要 素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設(shè)備 所固有的要素。在沒有更多限制的情況下,由語句"包括一個……"限定的要素,并不排除在 包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。
[0168] 本說明書中的各個實施例均采用相關(guān)的方式描述,各個實施例之間相同相似的部 分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對于系統(tǒng)實 施例而言,由于其基本相似于方法實施例,所以描述的比較簡單,相關(guān)之處參見方法實施例 的部分說明即可。
[0169] 以上所述僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍。凡在 本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進等,均包含在本發(fā)明的保護范圍 內(nèi)。
【主權(quán)項】
1. 一種防御策略系統(tǒng)分析方法,其特征在于,所述方法包括: 根據(jù)目標(biāo)防御策略系統(tǒng)的所有防御策略和所述防御策略所對應(yīng)的防御節(jié)點,創(chuàng)建攻擊 樹-防御樹模型; 獲取所述攻擊樹-防御樹模型中每一防御節(jié)點的目標(biāo)節(jié)點防御潛力屬性,基于所述目 標(biāo)節(jié)點防御潛力屬性以及節(jié)點防御潛力屬性與節(jié)點防御潛力之間的對應(yīng)關(guān)系,確定每一防 御節(jié)點的目標(biāo)節(jié)點防御潛力; 基于所述目標(biāo)節(jié)點防御潛力以及所述目標(biāo)防御策略系統(tǒng)中防御節(jié)點之間的邏輯關(guān)系, 確定所述目標(biāo)防御系統(tǒng)的目標(biāo)系統(tǒng)防御潛力; 基于所述目標(biāo)系統(tǒng)防御潛力以及防御等級與系統(tǒng)防御潛力之間的對應(yīng)關(guān)系,確定所述 目標(biāo)防御策略系統(tǒng)的目標(biāo)防御等級。2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述目標(biāo)系統(tǒng)防御潛力Ptcital為,,其中,A表示防御策略,η 為A對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"或"關(guān)系的第一類防御節(jié)點的數(shù)量,m為A對應(yīng)的 防御節(jié)點中與其它防御節(jié)點為"與"關(guān)系的第二類防御節(jié)點的數(shù)量,B1為所述第一類防御節(jié) 點中的第i個防御節(jié)點,C j為所述第二類防御節(jié)點中第j個防御節(jié)點,P(Bi)、P(Cj)分別為Bi、 Cj的節(jié)點防御潛力。3. 根據(jù)權(quán)利要求2所述的方法,其特征在于,還包括: 獲取所述攻擊樹-防御樹模型中每一防御節(jié)點的節(jié)點防御成本屬性和節(jié)點延時屬性; 基于所述節(jié)點防御成本屬性和成本屬性與成本之間的對應(yīng)關(guān)系,確定節(jié)點防御成本; 基于所述節(jié)點延時屬性以及延時屬性與延時之間的對應(yīng)關(guān)系,確定節(jié)點延時; 基于所述節(jié)點防御成本確定系統(tǒng)防御成本區(qū)間;基于所述節(jié)點延時確定系統(tǒng)防御延時 區(qū)間; 基于所述系統(tǒng)防御成本區(qū)間、所述系統(tǒng)防御延時區(qū)間、所述成本屬性與成本之間對應(yīng) 關(guān)系的數(shù)量以及所述延時屬性與延時之間對應(yīng)關(guān)系的數(shù)量,獲得系統(tǒng)防御成本等級和系統(tǒng) 防御延時等級; 根據(jù)預(yù)設(shè)的用戶需求以及所述目標(biāo)防御等級、所述系統(tǒng)防御成本等級和系統(tǒng)防御延時 等級,調(diào)整所述攻擊樹-防御樹模型中的防御策略和防御節(jié)點。4. 根據(jù)權(quán)利要求3所述的方法,其特征在于,所述基于所述節(jié)點防御成本確定系統(tǒng)防御 成本區(qū)間,包括: 基于所述節(jié)點防御成本,獲得最小系統(tǒng)防御成本、最大系統(tǒng)防御成本,將所述最小系統(tǒng) 防御成本、所述最大系統(tǒng)防御成本所限定區(qū)間確定為系統(tǒng)防御成本區(qū)間;其中, 最小系統(tǒng)防御成本COmin為: C0min = min(C0(Bl),· · ·,C0(Bi),···,C0(Bn),C0(Cl),· · ·,C0(Cj),· · ·,C0(Cm)),其中,CO 他)、。〇((:」)、分別為&、(:」的節(jié)點防御成本; 所述最大系統(tǒng)防御成本COmax為:5. 根據(jù)權(quán)利要求4所述的方法,其特征在于,所述基于所述節(jié)點延時確定系統(tǒng)防御延時 區(qū)間,包括: 基于所述節(jié)點延時,獲得最小系統(tǒng)防御延時、最大系統(tǒng)防御延時,將所述最小系統(tǒng)防御 延時、所述最大系統(tǒng)防御延時所限定區(qū)間確定為系統(tǒng)防御延時區(qū)間;其中, 所述最小系統(tǒng)防御延時timemin為, ? ?π?θιη?η - ITlclX ( min(time(Bi),…,time(Bi),…,time(Bn),time(Ci),…,time(Cj),…,time(Cm)), min( time (Di),…,time (Dp),…,time (Dy),time (Ei),…,time (Eq),…,time (Ew)), 其中,y為F對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"或"關(guān)系的第三類防御節(jié)點的數(shù)量,w 為F對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"與"關(guān)系的第四類防御節(jié)點的數(shù)量,叫為所述第 三類防御節(jié)點中的第P個防御節(jié)點,E q為所述第四類防御節(jié)點中第q個防御節(jié)點,F(xiàn)為所述目 標(biāo)防御策略系統(tǒng)中除A以外的任意防御策略,time (Bi)、time (Cj)、time (Dp)、time (Eq)、分別 為仏刈為上的節(jié)點延時; 所述最大系統(tǒng)防御延時timemax為,6. -種防御策略系統(tǒng)分析裝置,其特征在于,所述裝置包括: 模型創(chuàng)建模塊,用于根據(jù)目標(biāo)防御策略系統(tǒng)的所有防御策略和所述防御策略所對應(yīng)的 防御節(jié)點,創(chuàng)建攻擊樹-防御樹模型; 第一確定模塊,用于獲取所述攻擊樹-防御樹模型中每一防御節(jié)點的目標(biāo)節(jié)點防御潛 力屬性,基于所述目標(biāo)節(jié)點防御潛力屬性以及節(jié)點防御潛力屬性與節(jié)點防御潛力之間的對 應(yīng)關(guān)系,確定每一防御節(jié)點的目標(biāo)節(jié)點防御潛力; 第二確定模塊,用于基于所述目標(biāo)節(jié)點防御潛力以及所述目標(biāo)防御策略系統(tǒng)中防御節(jié) 點之間的邏輯關(guān)系,確定所述目標(biāo)防御系統(tǒng)的目標(biāo)系統(tǒng)防御潛力; 第三確定模塊,用于基于所述目標(biāo)系統(tǒng)防御潛力以及防御等級與系統(tǒng)防御潛力之間的 對應(yīng)關(guān)系,確定所述目標(biāo)防御策略系統(tǒng)的目標(biāo)防御等級。7. 根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述目標(biāo)系統(tǒng)防御潛力Ptcital為,其中,A表示防御策略, η為A對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"或"關(guān)系的第一類防御節(jié)點的數(shù)量,m為A對應(yīng)的 防御節(jié)點中與其它防御節(jié)點為"與"關(guān)系的第二類防御節(jié)點的數(shù)量,B1為所述第一類防御節(jié) 點中的第i個防御節(jié)點,C j為所述第二類防御節(jié)點中第j個防御節(jié)點,P(Bi)、P(Cj)分別為Bi、 Cj的節(jié)點防御潛力。8. 根據(jù)權(quán)利要求7所述的裝置,其特征在于,還包括: 屬性獲取模塊,用于獲取所述攻擊樹-防御樹模型中每一防御節(jié)點的節(jié)點防御成本屬 性和節(jié)點延時屬性; 第四確定模塊,用于基于所述節(jié)點防御成本屬性和成本屬性與成本之間的對應(yīng)關(guān)系, 確定節(jié)點防御成本;基于所述節(jié)點延時屬性以及延時屬性與延時之間的對應(yīng)關(guān)系,確定節(jié) 點延時; 第五確定模塊,用于基于所述節(jié)點防御成本確定系統(tǒng)防御成本區(qū)間;基于所述節(jié)點延 時確定系統(tǒng)防御延時區(qū)間; 等級獲得模塊,用于基于所述系統(tǒng)防御成本區(qū)間、所述系統(tǒng)防御延時區(qū)間、所述成本屬 性與成本之間對應(yīng)關(guān)系的數(shù)量以及所述延時屬性與延時之間對應(yīng)關(guān)系的數(shù)量,獲得系統(tǒng)防 御成本等級和系統(tǒng)防御延時等級; 模型調(diào)整模塊,用于根據(jù)預(yù)設(shè)的用戶需求以及所述目標(biāo)防御等級、所述系統(tǒng)防御成本 等級和系統(tǒng)防御延時等級,調(diào)整所述攻擊樹-防御樹模型中的防御策略和防御節(jié)點。9. 根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述第五確定模塊具體用于: 基于所述節(jié)點防御成本,獲得最小系統(tǒng)防御成本、最大系統(tǒng)防御成本,將所述最小系統(tǒng) 防御成本、所述最大系統(tǒng)防御成本所限定區(qū)間確定為系統(tǒng)防御成本區(qū)間;其中, 最小系統(tǒng)防御成本COmin為: C0min = min(C0(Bi),…,CO(Bi),…,CO(Bn),C0(Cl),…,CO(Cj),…,CO(Cm)), 其中,C0(Bi)、co(Cj)、分別為Bi、Cj的節(jié)點防御成本; 所述最大系統(tǒng)防御成本COmax為:10. 根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述第五確定模塊還用于: 基于所述節(jié)點延時,獲得最小系統(tǒng)防御延時、最大系統(tǒng)防御延時,將所述最小系統(tǒng)防御 延時、所述最大系統(tǒng)防御延時所限定區(qū)間確定為系統(tǒng)防御延時區(qū)間;其中, 所述最小系統(tǒng)防御延時timemin為, ? ?π?θιη?η - ITlclX ( min(time(Bi),…,time(Bi),…,time(Bn),time(Ci),…,time(Cj),…,time(Cm)), min( time (Di),…,time (Dp),…,time (Dy),time (Ei),…,time (Eq),…,time (Ew)), 其中,y為F對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"或"關(guān)系的第三類防御節(jié)點的數(shù)量,w 為F對應(yīng)的防御節(jié)點中與其它防御節(jié)點為"與"關(guān)系的第四類防御節(jié)點的數(shù)量,叫為所述第 三類防御節(jié)點中的第P個防御節(jié)點,E q為所述第四類防御節(jié)點中第q個防御節(jié)點,F(xiàn)為所述目 標(biāo)防御策略系統(tǒng)中除A以外的任意防御策略,time (Bi)、time (Cj)、time (Dp)、time (Eq)、分別 為仏刈為上的節(jié)點延時; 所述最大系統(tǒng)防御延時timemax為,
【文檔編號】H04L29/06GK106027550SQ201610498569
【公開日】2016年10月12日
【申請日】2016年6月29日
【發(fā)明人】佘春東, 賈潞汀, 劉凱明, 馬雅琪
【申請人】北京郵電大學(xué)