CN102098306A - 基于关联矩阵的网络攻击路径分析方法 - Google Patents

Abstract

本发明公开了一种基于关联矩阵的网络攻击路径分析方法，通过获取网络拓扑结构信息、设备的威胁信息和脆弱性信息及威胁与脆弱性间的相互关系、构建关联矩阵模型，获取网络系统中潜在的攻击路径。本发明基于关联矩阵的网络攻击路径分析方法，能够大大提高网络风险综合分析能力，有效保证了网络信息系统的安全性，适合于大规模网络环境的应用。

Description

基于关联矩阵的网络攻击路径分析方法

技术领域

本发明涉及一种网络攻击路径分析方法，尤其是涉及一种基于关联矩阵的网络攻击路径分析方法。

背景技术

伴随着国民经济和社会信息化进程的全面加快，国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大，但是，网络技术性能越先进，安全保密问题越复杂；网络开发性程度越高，信息危害现象就越普遍。网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁，使信息系统的运行客观上存在着潜在风险，特别是随着网络攻击和破坏行为的日益普遍和攻击工具的逐渐多样化，网络威胁几乎处处可见。

传统的网络攻击路径分析方法采用的是基于攻击图的网络脆弱性分析方法，该方法孤立地分析目标网络中存在的脆弱性，不能综合分析这些脆弱性相互作用所产生的潜在威胁。攻击图是一种基于模型的脆弱性分析方法，它从攻击者的角度出发，在综合分析多种网络配置和脆弱性信息的基础上，枚举所有可能的攻击路径，从而帮助防御者直观地理解目标网络内各个脆弱性之间的关系，脆弱性与网络安全配置之间的关系以及由此产生的潜在威胁。

攻击图的建模和分析技术一直是网络脆弱性分析领域的研究热点之一。利用网络攻击图，安全管理人员能够了解目标网络内潜在的攻击序列。然而，仅仅知道这些攻击序列还是无法保证网络的安全性，安全管理人员真正需要的是一种详细的可操作的安全性增强策略，并根据这些策略提高网络的安全性。状态攻击图能够显式地展示攻击者从初始状态出发逐步利用目标网络中的脆弱性进行攻击的所有可能的攻击路径，但是由于攻击路径随目标网络的主机规模与脆弱性数目的乘积呈指数增长，它无法应用于大规模网络。

目前，基于攻击图模型的攻击路径生成方法可以分为两类。第一类方法采用模型检测或逻辑编程技术生成攻击图，这类方法是使用模型检测器或逻辑编程系统检测针对某一攻击目标的攻击路径；第二类方法是采用基于图论的思想生成攻击图，GMU(美国乔治·梅森大学)的研究人员Ammann等人提出从网络初始状态开始，正向搜索所有能够到达攻击目标的路径，然后从攻击目标开始反向输出攻击路径，为了解决状态攻击图中的组合爆炸问题，Ammann等人首次将攻击者能力的“单调性”假设引入到分析模型中，即攻击者在攻击过程中不断地扩大自己的能力而不会失去已有的能力，通过搜索攻击者在当前网络状态下可以利用的主机弱点来获得网络状态间的依赖关系，如果到达目标网络状态，则搜索过程停止，输出攻击路径。

申请号为CN200910307680.0的发明专利申请就公开了一种基于权限提升的网络脆弱性分析系统，用于从全局整体的角度分析网络系统的安全隐患，包括：漏洞检测模块、攻击信息知识库、网络攻击图生成模块和攻击图可视化模块，其中：漏洞检测模块与网络攻击图生成模块连接并传输漏洞信息、网络连通信息和主机信息，攻击信息知识库与网络攻击图生成模块连接并传输漏洞利用信息，网络攻击图生成模块与攻击图可视化模块连接并输出整个信息系统的网络攻击图。具备上述结构的基于权限提升的网络脆弱性分析系统，只能孤立地分析目标网络中存在的脆弱性，不能综合分析这些脆弱性相互作用所产生的潜在威胁，不能保证网络的安全性，尤其无法应用于大规模的网络。

发明内容

本发明的目的就是克服现有技术中的不足，提供一种综合分析能力强、保证网络的安全性高的基于关联矩阵的网络攻击路径分析方法。

为解决现有技术中的问题，本发明基于关联矩阵的网络攻击路径分析方法，包括以下步骤：

1)获取网络拓扑结构信息：依据自动拓扑发现以及手工拓扑编辑的方式生成网络拓扑结构，并将该网络拓扑结构的信息转化为数据表形式；

2)以单个网络设备为基础探测并获得设备的安全威胁信息：通过分析设备的日志信息和其运维系统的安全报警信息，确定设备面临的威胁类别和其对应的威胁值；

3)以单个网络设备为基础探测并获得设备的脆弱性信息：通过漏洞扫描和渗透检测的方法，确定网络系统中设备的脆弱性类别，并根据权威漏洞库定级办法，确定脆弱性类别对应脆弱性值；

4)以设备类别为单位挖掘威胁与脆弱性间的相互关系：根据权威漏洞库提供的可被利用的漏洞信息，采用威胁-脆弱性关联关系的建立方法，确定何种威胁利用何种脆弱性、获得的操作与控制权限和产生的新的威胁，并将其转化为威胁-脆弱性关联函数关系；

5)构造安全性分析关联矩阵模型：以步骤1)获取的网络拓扑结构信息为基础，利用步骤2)获得的设备的安全威胁信息和步骤3)获得的设备的脆弱性信息及步骤4)确定的威胁-脆弱性关联函数关系，采用分析关联矩阵模型的构造方法，建立网络系统的安全性分析关联矩阵；

6)获得所被分析的网络系统中潜在的攻击路径：根据步骤5)建立的安全性分析关联矩阵，应用矩阵理论和基于权重的寻路算法，分析计算网络系统中潜在的任意设备间最有可能发生的攻击路径，并得到所有路径可能发生的权重；

7)判断是否重新确定攻击路径，若是，则重复步骤1)至步骤6)，否则执行步骤8)；

8)输出并展示步骤6)所获得的各条攻击路径。

上述方法中，步骤4)中所述威胁-脆弱性关联关系的建立方法包括以下分步骤：

4.1)假设设备A存在脆弱性V_i，并且同时面临威胁T_i，用示性函数B和权重函数W_A表示脆弱性V_i和威胁T_i间的关联关系，公式如下：

B(V_i，T_i)＝1                 (1)

B(V_i，T_i)＝0                 (2)

W_A(V_i，T_i)＝l_ik_iB(V_i，T_i)    (3)

公式(1)表示威胁T_i可以利用脆弱性V_i；公式(2)表示威胁T_i不可以利用脆弱性V_i；公式(3)为威胁T_i利用脆弱性V_i的权重函数，表示可能产生的安全风险，其中，l_i和k_i分别表示威胁T_i与脆弱性V_i的威胁值与脆弱性值。

上述方法中，步骤5)中所述分析关联矩阵模型的构造方法包括以下分步骤：

5.1)获取网络拓扑结构信息，生成对应数据表达，公式如下：

As＝{A₁，A₂，...，A_p}      (5)

公式(5)表示网络系统的设备集合，根据公式(5)确定设备集合A_i和A_j间的所有关联函数C(A_i，A_j)的值，其中，p为网络系统中设备的个数；

5.2)对于任意设备A_i，确定其威胁信息集合T(A_i)和脆弱性信息集合V(A_i)；

5.3)根据分析关联矩阵R，确定分析关联矩阵元素的值r_ij，公式如下：

R＝(r_ij)_p×p                (6)

$r_{\mathrm{ij}}=C(A_i,A_j){\mathrm{\Σ}}_{V_{\mathrm{ie}},T_{\mathrm{il}}}{{\mathrm{\Σ}}_V}_{\mathrm{jk}}{W}_{A_j}\left(V_{\mathrm{jk},}f(V_{\mathrm{ie}},T_{\mathrm{il}})\right)---\left(7\right)$

其中，V_jk属于设备A_j脆弱性信息集合，V_ie属于设备A_i的脆弱性信息集合，T_il属于设备A_i的威胁信息集合；

5.4)计算各设备的独立权重，对于设备A_i，其独立权重为W(A_i)表示如下：

$W\left(A_i\right)={\mathrm{\Σ}}_{V_{\mathrm{ie}},T_{\mathrm{il}}}W(V_{\mathrm{ie}},T_{\mathrm{il}})---\left(8\right)$

其中，V_ie和T_il分别属于设备A_i的脆弱性信息集合和设备A_i的威胁信息集合；

5.5)构造一步关联矩阵R¹，生成分析关联矩阵RA，一步关联矩阵R¹反应设备间在一步范围内的相互影响关系，R¹表示如下：

$R^1={\left(\frac{r_{\mathrm{ij}}}{W\left(A_j\right)}\right)}_{P\×P}---\left(9\right)$

分析关联矩阵RA考虑设备间的所有影响关系，可以用多步关联矩阵的和来表示，RA表示如下：

$\mathrm{RA}=\underset{i=1}{\overset{p}{\mathrm{\Σ}}}{R}^i---\left(10\right)$

上述方法中，所述步骤6)包括以下分步骤：

6.1)确定潜在攻击入口：根据设备类型的不同，分别确定相应的门限值，根据分步骤5.4)计算得到的独立权重，比较门限值，独立权重大于该门限值的设备设为网络系统的潜在攻击入口设备，网络系统所有潜在攻击入口设备集合表示为E；

6.2)计算所有可能的渗透走向：选取任意的设备A_i，且存在A_i∈E，以A_i为攻击入口，在分步骤5.5)构造的一步关联矩阵R¹基础上，采用寻路算法确定下一步最有可能的渗透走向；

6.3)确定完整的攻击路径：分步骤6.2)中的寻路算法完成后，采用回溯法确定潜在的攻击路径，并取其路径中设备的权重的加权值对潜在的攻击路径进行标注，表示其出现的可能性。

本发明基于关联矩阵的网络攻击路径分析方法，利用网络中设备的威胁与脆弱性间的相互关系构造安全性分析关联矩阵，并在该安全性分析关联矩阵的基础上获得所被分析的网络系统中潜在的攻击路径，能够大大提高网络风险综合分析能力，有效保证了网络信息系统的安全性，适合于大规模网络环境的应用。

附图说明

图1为本发明基于关联矩阵的网络攻击路径分析方法的总体流程图。

图2为本发明基于关联矩阵的网络攻击路径分析方法中的分析关联矩阵模型的构造方法的流程图。

图3为图1中获得所被分析的网络系统中潜在的攻击路径的流程图。

具体实施方式

下面结合附图对本发明作进一步详细的说明。

图1为本发明基于关联矩阵的网络攻击路径分析方法的总体流程图。

下面通过图1将本发明基于关联矩阵的网络攻击路径分析方法进行详尽的描述。

步骤S101，获取网络拓扑结构信息。

依据自动拓扑发现以及手工拓扑编辑的方式生成网络拓扑结构，并将该网络拓扑结构的信息转化为数据表形式。

若网络系统中存在设备A与B，其结构信息可以表示为函数C，若A与B间物理关联，则C(A，B)＝1，否则，C(A，B)＝0。

步骤S102，以单个网络设备为基础探测并获得设备的安全威胁信息。

通过分析设备的日志信息和其运维系统的安全报警信息，确定设备面临的威胁类别和其对应的威胁值。

对网络系统中任意设设备A，建立设备威胁信息集合T(A)，表示为T(A)＝{(T₁，l₁)，(T₂，l₂)，...，(T_n，l_n)}，其中，T_i表示威胁类别，l_i为其对应的威胁值。

步骤S103，以单个网络设备为基础探测并获得设备的脆弱性信息。

通过漏洞扫描和渗透检测的方法，确定网络系统中设备的脆弱性类别，并根据权威漏洞库定级办法，确定脆弱性类别对应脆弱性值。

对任意设备A，建立设备脆弱性信息集合V(A)，表示为V(A)＝{(V₁，k₁)，(V₂，k₂)，...，(V_m，k_m)}，其中V_i表示脆弱性类型，k_i表示对应的脆弱性值。

步骤S104，以设备类别为单位挖掘威胁与脆弱性间的相互关系。

根据权威漏洞库提供的可被利用的漏洞信息，采用威胁-脆弱性关联关系的建立方法，确定何种威胁利用何种脆弱性、获得的操作与控制权限和产生的新的威胁，并将其转化为威胁-脆弱性关联函数关系。其中所述威胁-脆弱性关联关系的建立方法如下：

A：假设设备A存在脆弱性V_i，并且同时面临威胁T_i，用示性函数B和权重函数W_A表示脆弱性V_i和威胁T_i间的关联关系，公式如下：

B(V_i，T_i)＝1                 (1)

B(V_i，T_i)＝0                 (2)

W_A(V_i，T_i)＝l_ik_iB(V_i，T_i)    (3)

其中，l_i和k_i分别表示威胁T_i与脆弱性V_i的威胁值与脆弱性值；

公式(1)表示威胁T_i可以利用脆弱性V_i；

公式(2)表示威胁T_i不可以利用脆弱性V_i

公式(3)为威胁T_i利用脆弱性V_i的权重函数，表示可能产生的安全风险。

B：假设设备A存在脆弱性V_i，面临威胁T_i，并且威胁T_i可以利用脆弱性V_i获得对A的某种操作权限，从而导致设备A或与设备A关联的其他设备面临新的威胁T_j，那么，威胁T_i、新的威胁T_j和脆弱性V_i间具有关联关系f，表示如下：

f(T_i，V_i)＝T_j            (4)

步骤S105，构造安全性分析关联矩阵模型。

以步骤S101获取的网络拓扑结构信息为基础，利用步骤S102获得的设备的安全威胁信息和步骤S103获得的设备的脆弱性信息及步骤S104确定的威胁-脆弱性关联函数关系，采用分析关联矩阵模型的构造方法，建立网络系统的安全性分析关联矩阵。

图2为分析关联矩阵模型的构造方法的流程图，主要包括以下分步骤：

分步骤S1051，获取网络拓扑结构信息，生成对应数据表达，公式如下：

As＝{A₁，A₂，...，A_p}       (5)

公式(5)表示网络系统的设备集合，根据公式(5)确定设备集合A_i和A_j间的所有关联函数C(A_i，A_j)的值，其中，p为网络系统中设备的个数。

分步骤S1052，对于任意设备A_i，确定其威胁信息集合T(A_i)和脆弱性信息集合V(A_i)。

分步骤S1053，根据分析关联矩阵R，确定分析关联矩阵元素的值r_ij，公式如下：

R＝(r_ij)_p×p               (6)

$r_{\mathrm{ij}}=C(A_i,A_j){\mathrm{\Σ}}_{V_{\mathrm{ie}},T_{\mathrm{il}}}{{\mathrm{\Σ}}_V}_{\mathrm{jk}}{W}_{A_j}\left(V_{\mathrm{jk},}f(V_{\mathrm{ie}},T_{\mathrm{il}})\right)---\left(7\right)$

其中，V_jk和V_ie分别属于设备A_j和设备A_i的脆弱性信息集合，T_il属于设备A_i的威胁信息集合。

分步骤S1054，计算各设备的独立权重，对于设备A_i，其独立权重为W(A_i)表示如下：

$W\left(A_i\right)={\mathrm{\Σ}}_{V_{\mathrm{ie}},T_{\mathrm{il}}}W(V_{\mathrm{ie}},T_{\mathrm{il}})---\left(8\right)$

其中，V_ie和T_il分别属于设备A_i的脆弱性信息集合和设备A_i的威胁信息集合。

分步骤S1055，构造一步关联矩阵R¹，生成分析关联矩阵RA，一步关联矩阵R¹反应设备间在一步范围内的相互影响关系，R¹表示如下：

$R^1={\left(\frac{r_{\mathrm{ij}}}{W\left(A_j\right)}\right)}_{P\×P}---\left(9\right)$

分析关联矩阵RA考虑设备间的所有影响关系，可以用多步关联矩阵的和来表示，RA表示如下：

$\mathrm{RA}=\underset{i=1}{\overset{p}{\mathrm{\Σ}}}{R}^i---\left(10\right)$

步骤S106，获得所被分析的网络系统中潜在的攻击路径。

根据步骤S105建立的安全性分析关联矩阵，应用矩阵理论和基于权重的寻路算法，分析计算网络系统中潜在的任意设备间最有可能发生的攻击路径，并得到所有路径可能发生的权重。

图3为获得所被分析的网络系统中潜在的攻击路径的流程图，包括如下分步骤：

分步骤S1061，确定潜在攻击入口。

根据设备类型的不同，分别确定相应的门限值，根据分步骤S1054计算得到的独立权重，比较门限值，独立权重大于该门限值的设备设为网络系统的潜在攻击入口设备，网络系统所有潜在攻击入口设备集合表示为E。

分步骤S1062，计算所有可能的渗透走向。

选取任意的设备A_i，且存在A_i∈E，以A_i为攻击入口，在分步骤S1055构造的一步关联矩阵R¹基础上，采用寻路算法确定下一步最有可能的渗透走向。

分步骤S1063，确定完整的攻击路径。

完成分步骤S1062中的寻路算法后，采用回溯法确定潜在的攻击路径，并取其路径中设备的权重的加权值对潜在的攻击路径进行标注，表示其出现的可能性。

步骤S107，判断是否重新确定攻击路径，若是，则重复步骤S101至步骤S106，否则执行步骤S108。

步骤S108，输出步骤S106中获得的所被分析的网络系统中潜在的攻击路径，并以文字描述和/或图像的形式进行展示。

总之，本发明的实施例公布的是其较佳的实施方式，但并不限于此。本领域的普通技术人员极易根据上述实施例，领会本发明的精神，并做出不同的引申和变化，但只要不脱离本发明的精神，都在本发明的保护范围之内。

Claims (4)

1.一种基于关联矩阵的网络攻击路径分析方法，其特征在于，包括以下步骤：

1)获取网络拓扑结构信息：依据自动拓扑发现以及手工拓扑编辑的方式生成网络拓扑结构，并将该网络拓扑结构的信息转化为数据表形式；

2)以单个网络设备为基础探测并获得设备的安全威胁信息：通过分析设备的日志信息和其运维系统的安全报警信息，确定设备面临的威胁类别和其对应的威胁值；

3)以单个网络设备为基础探测并获得设备的脆弱性信息：通过漏洞扫描和渗透检测的方法，确定网络系统中设备的脆弱性类别，并根据权威漏洞库定级办法，确定脆弱性类别对应脆弱性值；

4)以设备类别为单位挖掘威胁与脆弱性间的相互关系：根据权威漏洞库提供的可被利用的漏洞信息，采用威胁-脆弱性关联关系的建立方法，确定何种威胁利用何种脆弱性、获得的操作与控制权限和产生的新的威胁，并将其转化为威胁-脆弱性关联函数关系；

5)构造安全性分析关联矩阵模型：以步骤1)获取的网络拓扑结构信息为基础，利用步骤2)获得的设备的安全威胁信息和步骤3)获得的设备的脆弱性信息及步骤4)确定的威胁-脆弱性关联函数关系，采用分析关联矩阵模型的构造方法，建立网络系统的安全性分析关联矩阵；

6)获得所被分析的网络系统中潜在的攻击路径：根据步骤5)建立的安全性分析关联矩阵，应用矩阵理论和基于权重的寻路算法，分析计算网络系统中潜在的任意设备间最有可能发生的攻击路径，并得到所有路径可能发生的权重；

7)判断是否重新确定攻击路径，若是，则重复步骤1)至步骤6)，否则执行步骤8)；

8)输出并展示步骤6)所获得的各条攻击路径。

2.根据权利要求1所述的基于关联矩阵的网络攻击路径分析方法，其特征在于，步骤4)中所述威胁-脆弱性关联关系的建立方法包括以下分步骤：

4.1)假设设备A存在脆弱性V_i，并且同时面临威胁T_i，用示性函数B和权重函数W_A表示脆弱性V_i和威胁T_i间的关联关系，公式如下：

B(V_i，T_i)＝1                   (1)

B(V_i，T_i)＝0                   (2)

W_A(V_i，T_i)＝l_ik_iB(V_i，T_i)      (3)

公式(1)表示威胁T_i可以利用脆弱性V_i；公式(2)表示威胁T_i不可以利用脆弱性V_i；公式(3)为威胁T_i利用脆弱性V_i的权重函数，表示可能产生的安全风险，其中，l_i和k_i分别表示威胁T_i与脆弱性V_i的威胁值与脆弱性值；

4.2)假设设备A存在脆弱性V_i，面临威胁T_i，并且威胁T_i可以利用脆弱性V_i获得对A的某种操作权限，从而导致设备A或与设备A关联的其他设备面临新的威胁T_j，那么，威胁T_i、新的威胁T_j和脆弱性V_i间具有关联关系f，表示如下：

f(T_i，V_i)＝T_j        (4)

3.根据权利要求1所述的基于关联矩阵的网络攻击路径分析方法，其特征在于，步骤5)中所述分析关联矩阵模型的构造方法包括以下分步骤：

5.1)获取网络拓扑结构信息，生成对应数据表达，公式如下：

As＝{A₁，A₂，...，A_p}       (5)

公式(5)表示网络系统的设备集合，根据公式(5)确定设备集合A_i和A_j间的所有关联函数C(A_i，A_j)的值，其中，p为网络系统中设备的个数；

5.2)对于任意设备A_i，确定其威胁信息集合T(A_i)和脆弱性信息集合V(A_i)；

5.3)根据分析关联矩阵R，确定分析关联矩阵元素的值r_ij，公式如下：

R＝(r_ij)_p×p         (6)

$r_{\mathrm{ij}}=C(A_i,A_j){\mathrm{\Σ}}_{V_{\mathrm{ie}},T_{\mathrm{il}}}{{\mathrm{\Σ}}_V}_{\mathrm{jk}}{W}_{A_j}\left(V_{\mathrm{jk},}f(V_{\mathrm{ie}},T_{\mathrm{il}})\right)---\left(7\right)$

其中，V_jk属于设备A_j脆弱性信息集合，V_ie属于设备A_i的脆弱性信息集合，T_il属于设备A_i的威胁信息集合；

5.4)计算各设备的独立权重，对于设备A_i，其独立权重为W(A_i)表示如下：

$W\left(A_i\right)={\mathrm{\Σ}}_{V_{\mathrm{ie}},T_{\mathrm{il}}}W(V_{\mathrm{ie}},T_{\mathrm{il}})---\left(8\right)$

其中，V_ie和T_il分别属于设备A_i的脆弱性信息集合和设备A_i的威胁信息集合；

5.5)构造一步关联矩阵R¹，生成分析关联矩阵RA，一步关联矩阵R¹反应设备间在一步范围内的相互影响关系，R¹表示如下：

$R^1={\left(\frac{r_{\mathrm{ij}}}{W\left(A_j\right)}\right)}_{P\×P}---\left(9\right)$

分析关联矩阵RA考虑设备间的所有影响关系，可以用多步关联矩阵的和来表示，RA表示如下：

$\mathrm{RA}=\underset{i=1}{\overset{p}{\mathrm{\Σ}}}{R}^i---\left(10\right)$

4.根据权利要求3所述的基于关联矩阵的网络攻击路径分析方法，其特征在于，所述步骤6)包括以下分步骤：

6.1)确定潜在攻击入口：根据设备类型的不同，分别确定相应的门限值，根据分步骤5.4)计算得到的独立权重，比较门限值，独立权重大于该门限值的设备设为网络系统的潜在攻击入口设备，网络系统所有潜在攻击入口设备集合表示为E；

6.2)计算所有可能的渗透走向：选取任意的设备A_i，且存在A_i∈E，以A_i为攻击入口，在分步骤5.5)构造的一步关联矩阵R¹基础上，采用寻路算法确定下一步最有可能的渗透走向；

6.3)确定完整的攻击路径：分步骤6.2)中的寻路算法完成后，采用回溯法确定潜在的攻击路径，并取其路径中设备的权重的加权值对潜在的攻击路径进行标注，表示其出现的可能性。

Images