CN105162752B - 一种网络威胁传播路径预测方法 - Google Patents

Abstract

本发明提供一种网络威胁传播路径预测方法，包括：获取贝叶斯攻击图；获取从源资源节点v_o到目标资源节点v_g的所有可能的攻击路径；对步骤2得到的所有可能的攻击路径进行Z有向分割；获取经过Z有向分割的所有可能的攻击路径上各资源节点的置信度P(v_i)＝P_pre(v_i)×P₁(v_i)×P₂(v_i)；根据各资源节点的置信度获取网路威胁传播路径。本发明所述网络威胁传播路径预测方法具有准确度高等特点，可广泛应用于网络安全领域。

Description

一种网络威胁传播路径预测方法

技术领域

本发明涉及预测技术，特别是涉及一种网络威胁传播路径预测方法。

背景技术

随着网络中高等级威胁的不断涌现，网络安全问题的紧迫性与重要性就更加突显出来了。目前，对网络未知威胁的主动防范成为了各科研机构的研究热点。主动防范网络未知威胁的一个重要途径就是预测网络威胁的传播路径。现有的关于网络威胁传播路径的研究都有一定的侧重点，而由于被攻击的目标节点的复杂性与重要性的不同，故现有的关于网络危险传播路径预测的准确性较差。

由此可见，在现有技术中，网络威胁传播路径预测方法存在准确性较差的问题。

发明内容

有鉴于此，本发明的主要目的在于提供一种准确性较高的网络威胁传播路径预测方法。

为了达到上述目的，本发明提出的技术方案为：

一种网络威胁传播路径预测方法，包括如下步骤：

步骤1、采用脆弱点扫描工具获取贝叶斯攻击图。

步骤2、根据贝叶斯攻击图，获取从源资源节点v_o到目标资源节点v_g的所有可能的攻击路径：源资源节点v_o、一个以上的中间资源节点、目标资源节点v_g。

步骤3、对步骤2得到的所有可能的攻击路径进行Z有向分割；其中，Z为有向分割集，其为中间资源节点中一个以上的分连节点组成的非空集合或空集。

步骤4、获取经过Z有向分割的所有可能的攻击路径上各资源节点的置信度P(v_i)＝P_pre(v_i)×P₁(v_i)×P₂(v_i)；其中，v_i为攻击路径上的源资源节点、中间资源节点、目标资源节点中的任一资源节点，P_pre(v_i)为资源节点v_i的前件节点综合置信度，P₁(v_i)为攻击行为概率，P₂(v_i)为攻击成功的概率。

步骤5、根据各资源节点的置信度获取网路威胁传播路径。

综上所述，本发明所述网络威胁传播路径预测方法首先根据获取的贝叶斯攻击图，得到从源资源节点到目标资源节点的所有可能的攻击路径；其次，对所有可能的攻击路径进行有向分割，使得源资源节点与中间资源节点之间、中间资源节点之间、中间节点与目标资源节点之间均相互独立，确保了获取资源节点置信度的准确性；再次，对于当前被攻击节点而言，如果其有一个以上的后件节点，则选择置信度最高的后件节点作为下一个被攻击节点，以此类推，确定网络威胁传播路径。因此，本发明所述网络威胁传播路径预测方法的准确性有了较大的提高。

附图说明

图1为本发明所述网络威胁传播路径预测方法的总体流程图。

图2为本发明所述对所有可能的攻击路径进行Z有向分割的流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实施例对本发明作进一步地详细描述。

图1为本发明所述网络威胁传播路径预测方法的总体流程图。如图1所示，本发明所述网络威胁传播路径预测方法，包括如下步骤：

步骤1、采用脆弱点扫描工具获取贝叶斯攻击图。

步骤2、根据贝叶斯攻击图，获取从源资源节点v_o到目标资源节点v_g的所有可能的攻击路径：源资源节点v_o、一个以上的中间资源节点、目标资源节点v_g。

步骤3、对步骤2得到的所有可能的攻击路径进行Z有向分割；其中，Z为有向分割集，其为中间资源节点中一个以上的分连节点组成的非空集合或空集。

步骤4、获取经过Z有向分割的所有可能的攻击路径上各资源节点的置信度P(v_i)＝P_pre(v_i)×P₁(v_i)×P₂(v_i)；其中，v_i为攻击路径上的源资源节点、中间资源节点、目标资源节点中的任一资源节点，P_pre(v_i)为资源节点v_i的前件节点综合置信度，P₁(v_i)为攻击行为概率，P₂(v_i)为攻击成功的概率。

步骤5、根据各资源节点的置信度获取网路威胁传播路径。

本发明方法中，当前被攻击资源节点为源资源节点v_o、中间资源节点或者目标资源节点v_g。如果当前被攻击资源节点有一个以上的后件节点，则根据攻击概率，将置信度高的后件节点作为下一个被攻击资源节点；如果当前被攻击资源节点只有一个后件节点，则将该后件节点作为下一个被攻击节点；依次类推，可以预测出从源资源节点v_o至目标资源节点v_g的网络威胁传播路径。故，本发明方法步骤5中，所述根据各资源节点的置信度获取网路威胁传播路径具体为：源资源节点v_o、按照该所有可能的攻击路径根据置信度最大的原则依次选择的当前被攻击资源节点的后件件节点、目标资源节点v_g。

总之，本发明所述网络威胁传播路径预测方法首先根据获取的贝叶斯攻击图，得到从源资源节点到目标资源节点的所有可能的攻击路径；其次，对所有可能的攻击路径进行有向分割，使得源资源节点与中间资源节点之间、中间资源节点之间、中间节点与目标资源节点之间均相互独立，确保了获取资源节点置信度的准确性；再次，对于当前被攻击节点而言，如果其有一个以上的后件节点，则选择置信度最高的后件节点最为下一个被攻击节点，依次类推，确定网络威胁传播路径。因此，本发明所述网络威胁传播路径预测方法的准确性有了较大的提高。

图2为本发明所述对所有可能的攻击路径进行Z有向分割的流程示意图。如图2所示，步骤3包括如下具体步骤：

步骤31、判断中间资源节点中是否存在分连节点：如果不存在，则Z为空集，表明源资源节点v_o与中间资源节点之间、中间资源节点之间、中间资源节点与目标资源节点v_g之间均独立；如果存在，则Z为各分连节点、各分连节点的祖先节点组成的集合，源资源节点v_o与中间资源节点之间、中间资源节点之间或者中间资源节点与目标资源节点v_g之间不完全独立，执行步骤32。

步骤32、判断步骤2得到的所有可能的攻击路径是否均被有向分割集Z阻断：如果没有被阻断，则返回步骤31；如果被阻断，则在所有可能的攻击路径上除有向分割集Z所包含的中间资源节点外的其他中间资源节点之间、其他中间资源节点与源资源节点v_o之间、其他中间资源节点与目标资源节点v_g之间均独立，执行步骤4。

本发明方法步骤4中，所述攻击成功的概率P₂(v_i)具体为：当通用脆弱点评估系统(CVSS，Common Vulnerability Scoring System)标准中AccessComplexity的属性值为low时，P₂(v_i)＝0.71；当CVSS标准中AccessComplexity的属性值为medium时，P₂(v_i)＝0.61；当CVSS标准中AccessComplexity的属性值为high时，P₂(v_i)＝0.35。

本发明方法步骤4中，所述攻击行为概率P₁(v_i)具体为：

如果所述任一资源节点v_i为源资源节点，则P₁(v_i)＝1。

如果所述任一资源节点v_i不是源资源节点并有s个前件节点，该s个前件节点之间既无与关系也无或关系，且任一前件节点对所述任一资源节点v_i的攻击步骤为e_ij，则其中，j、s为自然数，且1≤j≤s；h(e_ij)为攻击所述任一资源节点v_i时，所选攻击路径上已花费的攻击成本；m(e_ij)为攻击所述任一资源节点v_i时，所有经过该任一资源节点v_i的攻击路径需要花费的成本。

这里，所述攻击步骤e_ij需要花费的成本cost(e_ij)＝μ×cost(MO)+ηcost(OS)；其中，cost(MO)为攻击步骤e_ij的元操作所花费的成本；cost(OS)为攻击步骤e_ij的操作序列所花费的成本；μ、η为参数，且μ+η＝1。

如果所述任一资源节点v_i不是源资源节点并具有s个前件节点，该s个前件节点之间为与关系，则其中，cost(e_ij)为攻击步骤e_ij需要花费的成本。

如果所述任一资源节点v_i不是源资源节点并具有s个前件节点，且该s个前件节点之间为或关系，则

本发明方法步骤4中，所述资源节点v_i的前件节点综合置信度P_pre(v_i)具体为：

如果所述任一资源节点v_i不是源资源节点并具有单一的前件节点，则P_pre(v_i)＝P(R|Z)＝P(r|Z)；其中，R＝{r}。

如果所述任一资源节点v_i不是源资源节点并具有s个前件节点，且该s个前件节点之间为与关系，则其中，R为s个前件节点组成的集合；k为自然数，且1≤k≤s。

如果所述任一资源节点v_i不是源资源节点并具有s个前件节点，且该s个前件节点之间为或关系，则

实际应用中，由于本发明所述网络威胁传播路径预测方法在获取资源节点的过程中，不仅考虑了各资源节点之间的独立性，还考虑了攻击各资源节点的花费成本，进一步刻画了攻击者的攻击原则，故本发明所述网络威胁传播路径预测方法的准确性得到了进一步提高。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (4)

1.一种网络威胁传播路径预测方法，其特征在于，所述预测方法包括如下步骤：

步骤1、采用脆弱点扫描工具获取贝叶斯攻击图；

步骤2、根据贝叶斯攻击图，获取从源资源节点v_o到目标资源节点v_g的所有可能的攻击路径：源资源节点v_o、一个以上的中间资源节点、目标资源节点v_g；

步骤3、对步骤2得到的所有可能的攻击路径进行Z有向分割；其中，Z为有向分割集，其为中间资源节点中一个以上的分连节点及各分连节点的祖先节点组成的非空集合或空集；

步骤4、获取经过Z有向分割的所有可能的攻击路径上各资源节点的置信度P(v_i)＝P_pre(v_i)×P₁(v_i)×P₂(v_i)；其中，v_i为攻击路径上的源资源节点、中间资源节点、目标资源节点中的任一资源节点，P_pre(v_i)为资源节点v_i的前件节点综合置信度，P₁(v_i)为攻击行为概率，P₂(v_i)为攻击成功的概率；

步骤5、根据各资源节点的置信度获取网路威胁传播路径；

步骤3包括如下具体步骤：

步骤31、判断中间资源节点中是否存在分连节点：如果不存在，则Z为空集，表明源资源节点v_o与中间资源节点之间、中间资源节点之间、中间资源节点与目标资源节点v_g之间均独立；如果存在，则源资源节点v_o与中间资源节点之间、中间资源节点之间或者中间资源节点与目标资源节点v_g之间不完全独立，执行步骤32；

步骤32、判断步骤2得到的所有可能的攻击路径是否均被有向分割集Z阻断：如果没有被阻断，则返回步骤31；如果被阻断，则在所有可能的攻击路径上除有向分割集Z所包含的中间资源节点外的其他中间资源节点之间、其他中间资源节点与源资源节点v_o之间、其他中间资源节点与目标资源节点v_g之间均独立，执行步骤4；

步骤4中，所述攻击行为概率P₁(v_i)具体为：

如果所述任一资源节点v_i为源资源节点，则P₁(v_i)＝1；

如果所述任一资源节点v_i不是源资源节点并有s个前件节点，该s个前件节点之间既无与关系也无或关系，且任一前件节点对所述任一资源节点v_i的攻击步骤为e_ij，则其中，j、s为自然数，且1≤j≤s；h(e_ij)为攻击所述任一资源节点v_i时，所选攻击路径上已花费的攻击成本；m(e_ij)为攻击所述任一资源节点v_i时，所有经过该任一资源节点v_i的攻击路径需要花费的成本；

如果所述任一资源节点v_i不是源资源节点并具有s个前件节点，该s个前件节点之间为与关系，则其中，cost(e_ij)为攻击步骤e_ij需要花费的成本；

如果所述任一资源节点v_i不是源资源节点并具有s个前件节点，且该s个前件节点之间为或关系，则

步骤4中，所述资源节点v_i的前件节点综合置信度P_pre(v_i)具体为：

如果所述任一资源节点v_i不是源资源节点并具有单一的前件节点r，则P_pre(v_i)＝P(R|Z)＝P(r|Z)；其中，R＝{r}；其中，R为该单一的前件节点组成的集合；

如果所述任一资源节点v_i不是源资源节点并具有s个前件节点，且该s个前件节点之间为与关系，则其中，R为s个前件节点组成的集合；k为自然数，且1≤k≤s；

如果所述任一资源节点v_i不是源资源节点并具有s个前件节点，且该s个前件节点之间为或关系，则

2.根据权利要求1所述的网络威胁传播路径预测方法，其特征在于，步骤4中，所述攻击成功的概率P₂(v_i)具体为：当CVSS标准中AccessComplexity的属性值为low时，P₂(v_i)＝0.71；当CVSS标准中AccessComplexity的属性值为medium时，P₂(v_i)＝0.61；当CVSS标准中AccessComplexity的属性值为high时，P₂(v_i)＝0.35。

3.根据权利要求1所述的网络威胁传播路径预测方法，其特征在于，所述攻击步骤e_ij需要花费的成本cost(e_ij)＝μ×cost(MO)+ηcost(OS)；其中，cost(MO)为攻击步骤e_ij的元操作所花费的成本；cost(OS)为攻击步骤e_ij的操作序列所花费的成本；μ、η为参数，且μ+η＝1。

4.根据权利要求1所述的网络威胁传播路径预测方法，其特征在于，步骤5中，所述根据各资源节点的置信度获取网路威胁传播路径具体为：源资源节点v_o、按照该所有可能的攻击路径根据置信度最大的原则依次选择的当前被攻击资源节点的后件节点、目标资源节点v_g。