CN102104605B - 一种面向大规模网络脆弱性关联分析的梯度化并行方法 - Google Patents
一种面向大规模网络脆弱性关联分析的梯度化并行方法 Download PDFInfo
- Publication number
- CN102104605B CN102104605B CN 201110047542 CN201110047542A CN102104605B CN 102104605 B CN102104605 B CN 102104605B CN 201110047542 CN201110047542 CN 201110047542 CN 201110047542 A CN201110047542 A CN 201110047542A CN 102104605 B CN102104605 B CN 102104605B
- Authority
- CN
- China
- Prior art keywords
- gradient
- task
- sgrad
- subnet
- tgrad
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明涉及一种面向大规模网络脆弱性关联分析的梯度化并行方法。该方法包括:正交任务划分、并行任务求解和分析结果融合三大步骤。利用安全梯度来表征网络攻击的方向性和网络防御的层次性,在网络环境梯度化的基础上,依据梯度攻击假设,通过等势子网关联和顺势或逆势梯度关联,实现梯度化正交任务划分,通过正交任务的并行求解和结果融合,提高处理速度。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种面向大规模网络脆弱性关联分析的梯度化并行求解方法。
背景技术
计算机网络技术飞速发展,使人类的生产生活方式日新月异,各种形式的接入方式将组织、机构、家庭和个人联系在一个网络电磁空间中,相互依存;然而,网络技术发展过程中对安全性的忽视,致使网络电磁空间的安全性问题日益突出。在网络电磁空间中,时刻充斥着各种攻击行为,且技术手段日益高明;其中,利用网络环境中的脆弱点,有目标、有计划的多步骤聚合攻击,令常规的防护措施防不胜防。在这种多步骤聚合攻击的威胁下,网络脆弱性相关研究成为了一个研究重点和热点,研究者们围绕网络脆弱性分析提出了包括攻击图技术在内的多种分析方法,其中基于攻击者能力“单调性假设”的攻击图分析方法代表了当前最好的研究结果。
不过,该方法在以下方面仍存在不足:
单调性假设的局限性
单调性假设可简单表述为:攻击者已具备的能力不会因新的攻击行为而丧失。该假设抓住了网络攻击者能力递增性的基本特征,忽略了攻击能力丢失等次要方面,一定程度的简化了问题的描述和求解,但仍存在以下局限性。
首先,对于采取多步骤聚合攻击的高级攻击者,对目标网络环境具有较清楚的认识,其攻击行为具有明确的目标和方向性;其次,对于目标网络的防御者,在面临多种技术层次攻击者的各式各样的攻击威胁下,考虑到目标网络节点的重要程度和安全等级的差别,其防护措施具有层次性;单调性假设是对攻击者行为的较初步的约束描述,对以上两方面没有明确反映,在脆弱性关联分析中会遇到关联路径迂回和大规模应用瓶颈问题。
关联路径迂回问题
在单调性假设条件下,由于攻击没有方向性,防御没有层次性,脆弱性关联分析会不可避免的产生迂回的关联路径;如果攻击者实施这种迂回的关联路径,将会因其能力长时间得不到实质性提升而放弃;因此,防御者也没有必要浪费资源对其分析。
大规模应用瓶颈问题
网络脆弱性关联分析是一个计算敏感性问题,对大规模网络环境的分析,是该项技术实际应用的技术瓶颈。在单调性假设下,由于攻击没有方向性,防御没有层次性,导致网络环境中各节点间的脆弱性关联关系错综复杂,难以进行有效的任务划分,进行并行求解。
在单调性假设条件下,任何两个网络节点间,都可能因节点上存在的脆弱点间的关联关系产生联系,任何一种任务划分方法,都必须精心处理各子任务之间的联系,而这些关系的处理可能比问题本身的求解更困难,结果导致问题越划分越复杂。
需要指出,不仅是攻击图分析技术,目前所有的分析方法都没有突破大规模应用瓶颈。
发明内容
本发明提供了一种面向大规模网络脆弱性关联分析的梯度化并行方法,通过梯度化正交任务划分,实现网络脆弱性关联分析的并行化。
利用安全梯度来表征网络攻击的方向性和网络防御的层次性,在网络环境梯度化的基础上,依据梯度攻击假设,通过等势子网关联和顺势或逆势梯度关联,实现梯度化正交任务划分,通过正交任务的并行求解和结果融合,提高处理速度。
根据本发明的一个方面,提供一种面向大规模网络脆弱性关联分析的梯度化并行方法,包括:
步骤1:正交任务划分,包括:
步骤101:梯度指针初始化:sGrad=-1;
步骤102:顺势梯度关联,限定沿梯度方向同源异目标梯度间的关联分析场景,生成梯度间脆弱性关联分析子任务TaskG(源梯度sGrad,目标梯度tGrad),通知步骤201;转至步骤103;
步骤103:等势子网关联:限定梯度sGrad下,任意两子网间的关联分析场景,生成子网间脆弱性关联分析任务TaskS(源子网sNet,目标子网tNet,源梯度sGrad),通知步骤201;转至步骤104;
步骤104:循环控制:源梯度sGrad自加1,如果sGrad>最大梯度gradmax,通知步骤201,结束步骤1;否则,转至步骤102;
步骤2:并行任务求解,包括:
步骤201:任务分发:响应步骤1,如果收到步骤104的通知,则结束;否则接收子任务,分配计算资源,通知步骤202;继续等待步骤1通知;
步骤202:任务计算:响应步骤201;执行任务;通知步骤203;
步骤203:结果收集:响应步骤203,存储计算结果;如果收集完所有结果,通知步骤301:
步骤3:正交任务融合(正向),包括:
步骤301:梯度指针初始化:tGrad=0;
步骤302:等势子网关联融合:融合同梯度子网任意两子网间子任务计算结果;
具体的,计算:Effect(tGrad)=U-1≤sGrad<tGradEffect(TaskS(sGrad,tGrad));依据Effect(tGrad),更新:{TaskS(sNet,tNet,tGrad)|sNet≠tNet};
步骤303:顺势梯度关联融合:融合沿梯度方向异源同目标梯度间子任务计算结果;
具体的,计算:
Precondition(tGrad)=Effect(tGrad)U(UsNet≠tNet Effect(TaskS(sNet,tNet,tGrad)));依据Precondition(tGrad),更新:{TaskG(tGrad,xGrad)|tGrad<xGrad≤gradmax};
步骤304:循环控制:tGrad自加1,如果tGrad>gradmax,则结束;否则,转至步骤302。
利用本发明中的一种面向大规模网络脆弱性关联分析的梯度化并行求解方法具有以下优点:
1、在网络环境梯度化的基础上,依照梯度攻击假设,通过正交任务划分方法,将无法计算的大规模网络脆弱性关联分析任务分解成可计算的互不依赖的正交子任务集合,使大规模网络脆弱性关联分析成为可能;
2、通过并行任务求解方法,将大量的正交子任务并行处理,提高了大规模网络脆弱性关联分析的处理速度;
3、通过分析结果融合方法,将所有正交子任务的计算结果融合,生成整体网络的脆弱性分析结果,使大规模网络脆弱性的关联分析成为现实。
附图说明
图1是方法流程图;
图2是方法示意图。
具体实施方式
为了更清楚地说明本发明的技术方案,下面将结合参照附图介绍本发明的若干实施例。对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图或实施方式,如获得反向的脆弱性关联分析并行方法。
下面的相关定义将使用在本发明的实施例中:
定义.安全梯度表征网络环境安全防护层次性的标度。梯度越高的网络节点越重要,网络防御者越关注,被攻击的后果越严重,相反,攻击者会想方设法攻击梯度高的网络节点,安全梯度体现了网络防御的层次性和攻击的方向性。
定义.梯度攻击假设多步骤聚合攻击者沿着目标网络环境梯度递增的方向实施攻击,即:攻击者不会从网络环境中安全梯度高的节点攻击安全梯度低的节点。
定义.脆弱性网络节点上可被攻击者利用的服务、安全策略、协议等方面的漏洞。
定义.原子攻击攻击者利用某一个脆弱性发起的一次攻击行为的形式化描述,包括:脆弱性利用的前提条件、利用模式和利用结果。
定义.源子网和目标子网基于梯度攻击假设的脆弱性关联分析过程中一个辅助概念,分析两个子网之间的脆弱性关联关系时,原子攻击的发起方子网称为源子网,原子攻击的承受方子网称为目标子网。
定义.源梯度和目标梯度基于梯度攻击假设的脆弱性关联分析过程中一个辅助概念,分析两梯度间的脆弱性关联关系时,原子攻击的发起方梯度称为源梯度,原子攻击的承受方梯度称为目标梯度。
定义.正交任务执行过程无信息依赖和控制依赖的两个任务,将一个大任务划分成若干相互正交的子任务,是实现并行执行的前提。
参照图1所示的方法流程图。在网络环境梯度化的基础上,在梯度攻击假设下,面向大规模网络脆弱性关联分析的梯度化并行求解方法,包括:正交任务划分、并行任务求解和分析结果融合三大步骤。
具体的,正交任务划分,具体包括:梯度指针初始化、顺势梯度关联、等势子网关联和循环控制四个装置。通过这四个装置的相互协作,将针对网络脆弱性环境的脆弱性关联分析任务,划分成成若干相互正交的子任务。梯度指针初始化装置将源梯度指针sGrad初始化为:-1,代表目标网络潜在的攻击者;顺势梯度关联装置,将源梯度sGrad到目标梯度tGrad的直接关联分析看做一个子任务TaskG(sGrad,tGrad),其中sGrad<tGrad≤gradmax,每生成一个子任务,通知并行求解方法处理;等势子网关联装置,将同梯度sGrad下任意两子网sNet与tNet间的直接关联分析看做一个子任务TaskS(sNet,tNet,sGrad),其中sNet≠tNet,每生成一个子任务,通知并行求解方法处理;循环控制装置,控制每轮首先让顺势梯度关联装置,划分好源梯度sGrad下的所有同源异目标梯度子任务,再让等势子网关联装置,划分好梯度sGrad下的任意两子网间的子任务,最后让源梯度指针sGrad自加1,进入下一轮循环,直至sGrad>gradmax。
具体的,并行任务求解,具体包括:任务分发、任务计算和结果收集三个装置。通过这三个装置,实现对所有子任务的求解和结果收集。任务分发装置守护顺势梯度关联装置和等势子网关联装置的消息,接收子任务,分配计算资源,直到接收到循环控制装置的结束通知;任务计算装置,执行子任务的求解,并通知结果收装置块收集结果数据;结果收集装置守护任务计算装置的消息,存储结果数据,直至所有子任务的结果存储完毕,通知分析结果融合。
具体的,分析结果融合,具体包括:梯度指针初始化、等势子网关联融合、顺势梯度关联融合和循环控制四个装置。通过这四个装置,实现对所有子任务分析结果的融合,形成目标网络整体的脆弱性关联分析结果。梯度指针初始化装置将目标梯度指针tGrad初始化为0;等势子网关联融合装置,计算梯度tGrad下的关联后果集,Effect(tGrad)据此更新梯度tGrad下,任意两子网间的分析结果TaskS(sNet,tNet,tGrad);顺势梯度关联融合装置,计算梯度tGrad下的关联前提集合Precondition(tGrad),据此更新以梯度tGrad为源的任意同源异目标梯度子任务TaskG(tGrad,xGrad),其中tGrad<xGrad≤gradmax;循环控制装置,控制每轮首先让等势子网关联融合装置,融合好目标梯度tGrad下的任意两子网间的子任务,再让等势子网关联装置,融合好梯度以梯度tGrad为源的任意同源异目标梯度子任务,最后让目标梯度指针tGrad自加1,进入下一轮循环,直至sGrad>gradmax。
参照图2所示方法示意图,演示了针对一个梯度化的网络环境的,是如何进行正交任务划分、并行任务求解和分析结果融合的。下面以此图为例,解释面向大规模网络脆弱性关联分析的梯度化平行方法中,各装置是如何相互协调,完成大规模的网络脆弱性关联分析的。
首先来看正交任务划分部分:
进入步骤101,初始化源梯度指针sGrad=-1;
进入步骤102,生成同源异目标梯度子任务:TaskG(-1,0)、TaskG(-1,1)和TaskG(-1,2),通知步骤201;进入步骤103,梯度sGrad=-1下,只有攻击者自身,找不到sNet≠tNet;进入步骤104,sGrad自加1,sGrad=0≤2=gradmax;
重新进入步骤102,生成同源异目标梯度子任务:TaskG(0,1)和TaskG(0,2),通知步骤201;进入步骤103,生成同梯度异子网子任务TaskS(0,1,0),通知步骤201;进入步骤104,sGrad自加1,sGrad=1≤2=gradmax;
重新进入步骤102,生成同源异目标梯度子任务:TaskG(1,2),通知步骤201;进入步骤103,生成同梯度异子网子任务TaskS(0,1,1)、TaskS(0,2,1)、TaskS(0,3,1)、TaskS(1,2,1)、TaskS(1,3,1)和TaskS(2,3,1),通知步骤201;进入步骤104,sGrad自加1,sGrad=2≤2=gradmax;
重新进入步骤102,找不到sGrad<tGrad≤gradmax;进入103,生成同梯度异子网子任务TaskS(0,1,2)、TaskS(0,2,2)和TaskS(1,2,2),通知步骤201;进入步骤104,sGrad自加1,sGrad=3>2=gradmax,通知步骤201,结束正交任务划分。
再来看并行任务求解部分:
步骤201,顺序接收到子任务TaskG(-1,0)、TaskG(-1,1)、TaskG(-1,2),TaskG(0,1)、TaskG(0,2),TaskS(0,1,0),TaskS(0,1,1)、TaskS(0,2,1)、TaskS(0,3,1)、TaskS(1,2,1)、TaskS(1,3,1)、TaskS(2,3,1),TaskS(0,1,2)、TaskS(0,2,2)、TaskS(1,2,2),每接收到一个子任务,分配计算资源,启动任务执行,当接收到步骤104的通知时,结束任务分发;
步骤202,依据步骤201分配的任务和计算资源,执行相应的子任务,执行结束时通知步骤203;
步骤203,每接收到步骤202的通知,收集相应子任务的处理结果,当所有子任务的结果都收集齐时,通知步骤3。
最后来看分析结果融合:
进入步骤301,初始化目标梯度指针tGrad=0;
进入步骤302,计算,Effect(0)=Effect(TaskG(-1,0)),据此更新TaskS(0,1,0);进入步骤303,计算,Precondition(0)=Effect(0)UEffect(TaskS(0,1,0)),据此更新TaskG(0,1)和TaskG(0,2);进入步骤304,tGrad自加1,tGrad=1≤2=gradmax;
进入步骤302,计算,Effect(1)=Effect(TaskG(-1,1))UEffect(TaskG(0,1)),据此更新TaskS(0,1,0)、TaskS(0,1,1)、TaskS(0,2,1)、TaskS(0,3,1)、TaskS(1,2,1)、TaskS(1,3,1)和TaskS(2,3,1);进入步骤303,计算,Precondition(1)=Effect(1)U(UsNet≠tNetEffect(TaskS(sNet,tNet,1)))据此更新TaskG(1,2);进入步骤304,tGrad自加1,tGrad=2≤2=gradmax;
重新进入步骤302,计算,Effect(2)=U-1≤sGrad<2Effect(TaskG(sGrad,2))据此更新TaskS(0,1,2)、TaskS(0,2,2)和TaskS(1,2,2);进入步骤303,计算Precondition(2)=Effect(2)U(UsNet≠tNetEffect(TaskS(sNet,tNet,2))),无需更新;进入步骤304,tGrad自加1,tGrad=3>2=gradmax,存储所有子任务结果,形成目标网络整体脆弱性关联图。
Claims (1)
1.一种面向大规模网络脆弱性关联分析的梯度化并行方法,其特征在于,该方法包括:
步骤1:正交任务划分;
步骤2:并行任务求解;
步骤3:正交任务融合;
其中,
步骤1具体包括:
步骤101:梯度指针初始化:sGrad = -1;
步骤102:顺势梯度关联,限定沿梯度方向同源异目标梯度间的关联分析场景,生成梯度间脆弱性关联分析子任务TaskG(源梯度sGrad,目标梯度tGrad),通知步骤201; 转至步骤103;
步骤103:等势子网关联:限定源梯度sGrad下,任意两子网间的关联分析场景,生成子网间脆弱性关联分析任务TaskS(源子网sNet,目标子网tNet, 源梯度sGrad),通知步骤201;转至步骤104;
步骤104:循环控制:源梯度sGrad自加1,如果sGrad >最大梯度 gradmax,通知步骤201,结束步骤1;否则,转至步骤102;
步骤2具体包括:
步骤201:任务分发:响应步骤1,如果收到步骤104的通知,则结束;否则接收子任务,分配计算资源,通知步骤202;继续等待步骤1通知;
步骤202:任务计算:响应步骤201;执行任务;通知步骤203;
步骤203:结果收集:响应步骤203,存储计算结果;如果收集完所有结果,通知步骤301;
步骤3具体包括:
步骤301:梯度指针初始化:tGrad = 0;
步骤302:等势子网关联融合:融合同梯度子网任意两子网间子任务计算结果;
步骤303:顺势梯度关联融合:融合沿梯度方向异源同目标梯度间子任务计算结果;
步骤304:循环控制:tGrad自加1,如果tGrad > gradmax,则结束;否则,转至步骤302。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110047542 CN102104605B (zh) | 2011-02-28 | 2011-02-28 | 一种面向大规模网络脆弱性关联分析的梯度化并行方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110047542 CN102104605B (zh) | 2011-02-28 | 2011-02-28 | 一种面向大规模网络脆弱性关联分析的梯度化并行方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102104605A CN102104605A (zh) | 2011-06-22 |
| CN102104605B true CN102104605B (zh) | 2013-06-26 |
Family
ID=44157131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110047542 Expired - Fee Related CN102104605B (zh) | 2011-02-28 | 2011-02-28 | 一种面向大规模网络脆弱性关联分析的梯度化并行方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102104605B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1838592A (zh) * | 2006-04-26 | 2006-09-27 | 南京大学 | 一种基于高速网络数据处理平台的防火墙方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2002245262B2 (en) * | 2002-01-15 | 2007-03-15 | Mcafee, Llc | System and method for network vulnerability detection and reporting |
-
2011
- 2011-02-28 CN CN 201110047542 patent/CN102104605B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1838592A (zh) * | 2006-04-26 | 2006-09-27 | 南京大学 | 一种基于高速网络数据处理平台的防火墙方法和系统 |
Non-Patent Citations (4)
| Title |
|---|
| 一种基于脆弱点依赖图的脆弱性评估方法;马俊春等;《大连海事大学学报》;20101130(第04期);第92-95页 * |
| 基于多目标攻击图的层次化网络安全风险评估方法研究;陈锋;《国防科学技术大学博士学位论文》;20100819;全文 * |
| 陈锋.基于多目标攻击图的层次化网络安全风险评估方法研究.《国防科学技术大学博士学位论文》.2010,全文. |
| 马俊春等.一种基于脆弱点依赖图的脆弱性评估方法.《大连海事大学学报》.2010,(第04期),第92-95页. |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102104605A (zh) | 2011-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yan et al. | Cache telepathy: Leveraging shared resource attacks to learn {DNN} architectures | |
| Li et al. | A neural network based distributed intrusion detection system on cloud platform | |
| Wang et al. | Containerguard: A real-time attack detection system in container-based big data platform | |
| Arunarani et al. | FFBAT: A security and cost‐aware workflow scheduling approach combining firefly and bat algorithms | |
| CN110401675A (zh) | 一种传感云环境下不确定性DDoS攻击防御方法 | |
| Mushtaq et al. | Machine learning for security: The case of side-channel attack detection at run-time | |
| Kavin et al. | An intelligent task scheduling approach for cloud using IPSO and A* search algorithm | |
| Kumar et al. | An overview of cloud scheduling algorithms | |
| CN102104605B (zh) | 一种面向大规模网络脆弱性关联分析的梯度化并行方法 | |
| Levitin et al. | Co-residence data theft attacks on N-Version programming-based cloud services with task cancelation | |
| Mi et al. | Cpu elasticity to mitigate cross-vm runtime monitoring | |
| CN102075549A (zh) | 一种基于梯度攻击假设的网络脆弱性关联分析方法 | |
| Plano et al. | Scheduling irregular dataflow pipelines on SIMD architectures | |
| Maheshkumar et al. | A particle swarm optimization-threshold accepting hybrid algorithm for unconstrained optimization | |
| Arivuselvi | An Effective Ant Colony Optimization Methodology For Virtual Machine Placement In Cloud Data Centre | |
| Carroll et al. | Applied on-chip machine learning for dynamic resource control in multithreaded processors | |
| Kulkarni et al. | A survey on improving performance of real time scheduling for cloud systems | |
| Liu et al. | Empirical evaluation of the hypervisor scheduling on side channel attacks | |
| Beaumont et al. | Analysis of dynamic scheduling strategies for matrix multiplication on heterogeneous platforms | |
| Hussain et al. | An exposition on the applications of Locality Aware Scheduling algorithms | |
| More et al. | Some New Methods for Ready Queue Processing Time Estimation Problem in Multiprocessing Environment | |
| Mahmudova | Developing an algorithm for the application of Bayesian method to software using artificial immune systems | |
| Thouti et al. | Solving N-Queens problem on GPU architecture using OpenCL with special reference to synchronization issues | |
| Yang et al. | An efficient discrete particle swarm algorithm for task assignment problems | |
| Zheng et al. | The performance evaluation model of intel sgx-based data protection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130626 Termination date: 20140228 |