CN107528850A

CN107528850A - 一种基于改进蚁群算法的最优防护策略分析系统及方法

Info

Publication number: CN107528850A
Application number: CN201710790833.6A
Authority: CN
Inventors: 高岭; 王帆; 毛勇; 张晓�; 孙骞; 郑杰; 王海
Original assignee: Northwest University
Current assignee: Northwest University
Priority date: 2017-09-05
Filing date: 2017-09-05
Publication date: 2017-12-29

Abstract

一种基于改进蚁群算法的最优防护策略分析系统及方法，包括网络风险评估子系统、攻击路径预测子系统、安全策略管理子系统。1）通过引入贝叶斯概率模型来描述多步原子攻击间的复杂关系，运用贝叶斯信念网络构建攻击图评估网络安全风险；2）通过结合防护成本与收益的量化指标，模拟攻击者的决策过程，预测可能的攻击路径；3）利用能在多项式时间内计算出近似最优解的改进蚁群算法解决攻击路径上的安全策略选择问题。本发明能及时向网络安全管理员提供风险解决方案，解决了网络安全防护中的攻击路径预测和防护策略选择问题，在防护资源有限的条件下能有效防护整网安全。

Description

一种基于改进蚁群算法的最优防护策略分析系统及方法

技术领域

本发明属于计算机网络安全防护领域，具体涉及一种基于改进蚁群算法的最优防护策略分析系统及方法。

背景技术

随着信息技术的发展，虚拟网络世界与现实世界的联系变得越来越紧密。互联网在各行各业都有广泛的应用，越来越多的个人信息被互联网公司甚至恶意人员掌握，安全事件的发生频率和影响力越来越大。在这样的背景下，网络环境的安全问题变得越来越重要。安全事件的本质是网络系统中的硬件、软件甚至是协议在设计与实现的过程中存在缺陷。恶意人员利用这些缺陷发动攻击，获得系统中的权限，从而得到系统中有价值的信息并通过权限提升入侵其他的节点。

目前针对此类安全事件的研究难点在于攻击过程中复杂的多步性，入侵过程的一步攻击可能不会被防火墙或IDS入侵检测系统拦截，当安全人员检测到入侵时，系统的权限可能已经被窃取。由于攻击行为的多步特性，防护人员难以确定攻击者的攻击路径与目标节点，无法进行有效的防护。其次，部署防护策略需要一定的成本，给所有节点部署防护策略的成本无疑是巨大的。因此，如何保护系统的权限不被窃取以及针对多步攻击的入侵检测已成为当前的热点研究问题。

发明内容

为克服上述现有技术的不足，本发明的目的在于提供一种基于改进蚁群算法的最优防护策略分析系统及方法，运用贝叶斯信念网络评估网络安全风险，结合防护成本与收益预测攻击路径，采用改进蚁群算法求解最优防护策略选择问题。本发明方法能有效降低网络安全风险。

为实现上述目的，本发明采用的技术方案是：一种基于改进蚁群算法的最优防护策略分析系统及方法，具体包括网络风险评估子系统、攻击路径预测子系统、安全策略管理子系统。

所述网络风险评估子系统，通过采集网络节点信息、漏洞信息、网络拓扑结构等信息，采用MulVAL工具形成原始攻击图，并运用贝叶斯信念网络分析网络安全风险；

所述攻击路径预测子系统，通过结合防护成本与收益的量化指标，模拟攻击者的决策过程，预测可能的攻击路径。

所述安全策略管理子系统，利用能在多项式时间内计算出近似最优解的改进蚁群算法解决攻击路径上的安全策略选择问题。

所述网络风险评估子系统包括：概率分布计算模块、概率攻击图生成模块、风险评估模块.

所述概率分布计算模块分析攻击行为，通过定义贝叶斯概率攻击图、节点脆弱性评估、Noisy-OR模型，完成网络中各节点被攻陷的概率计算，并生成整网的风险概率分布；

所述概率攻击图生成模块通过多主机多层次漏洞分析工具MulVAL分析网络安全架构、采集节点信息及漏洞信息，并生成原始攻击图，进而结合概率分布计算模块生成基于贝叶斯信念网络的概率攻击图。

所述风险评估模块对生成的概率攻击图进行风险分析，按图中各攻击路径受攻击威胁程度高低、攻击收益高低等因素生成风险评估报告。

所述攻击路径预测子系统包括：概率-收益模型生成模块、攻击路径预测模块、路径风险管理模块。

所述概率-收益模型生成模块通过结合攻击概率和收益计算每次原子攻击对于攻击者的价值，进而得到每条攻击路径的价值。

所述攻击路径预测模块，考虑到现有预测方法仅从概率学的角度去预测会陷入局部最优的困境，也没有将攻击收益等因素纳入预测计算中，因此本模块通过一种基于攻击概率和收益的路径预测算法，真实还原入侵者选择目标节点时的决策过程，完成攻击路径的预测计算。

所述路径风险管理模块，用以分析概率攻击图中的路径风险，并按风险程度对路径进行优先级管理。

所述安全策略管理子系统包括：成本-收益量化评估模块、防护策略管理模块、基于改进蚁群算法的防护策略选择模块。

所述成本-收益量化评估模块，用以分析评估每种防护技术的成本及收益，并完善专家数据库。

所述防护策略管理模块，通过对漏洞防护成本与收益的评估，安全管理员可以合理的分配资源和选择防护手段，从而使资源得到最大化的利用，并对网络安全性有较有效的提升。

所述基于改进蚁群算法的防护策略选择模块，使用一种改进的蚁群算法完成最优防护策略选择计算，得到最优防护策略集进而安全管理员可以有针对性地修复高风险路径的脆弱点。

以及，一种基于改进蚁群算法的最优防护策略分析系统及方法，包括以下步骤：

1)网络风险评估子系统通过概率分布计算模块采集网络节点信息、漏洞信息、网络拓扑结构等信息，分析攻击行为特征，通过获取漏洞利用概率以及网络中所有节点的局部条件概率分布完成网络中节点被攻陷概率的计算，并形成整网的风险概率分布，通过概率攻击图生成模块将MulVAL工具与风险概率分布结合起来建立原始攻击图，用以描述节点间、路径间的因果关系，通过风险评估模块运用贝叶斯信念网络评估当前网络安全风险。

2)攻击路径预测子系统通过概率-收益模型生成模块计算每次原子攻击对于攻击者的价值，进而得到每条攻击路径对于攻击者的价值，通过攻击路径预测模块真实还原入侵者选择目标节点时的决策过程，完成攻击路径的预测计算，通过路径风险管理模块分析概率攻击图中的路径风险，并按风险高低对路径进行优先级管理。

3)安全策略管理子系统通过成本-收益量化评估模块评估每种防护技术的成本及收益，并形成专家数据库，通过防护策略管理模块，评估漏洞防护成本与收益，向安全管理员提供有效的防护方案，从而降低网络安全风险并使资源得到最大化的利用，通过基于改进蚁群算法的防护策略选择模块完成最优防护策略选择计算，让安全管理员可以有针对性地修复高风险路径的脆弱点。

所述概率攻击图包括7种影响因素：属性节点集合S、原子攻击节点集合A、攻击图的有向边集合E、某一节点与其父节点集关系集合ε、条件概率分布T、防护策略集M、防护策略的成本集合C。

所述漏洞利用概率表示入侵者利用离散节点的脆弱性成功完成一次攻击的可能性，计算方式为：

Isc＝6.42×Isc_base (2)

Isc_base＝1-[(1-C)×(1-I)×(1-A)] (3)

Exp＝8.22×AV×AC×PR×UI (4)

其中，P(e_i)表示漏洞利用概率，Isc表示基础影响因子，Exp表示漏洞利用因子，C代表隐秘性影响，I代表整体性影响，A代表可用性影响，AV代表攻击完整性，AC代表攻击复杂度，PR代表权限限制，UI代表用户间相互作用。

所述局部条件概率分布(LCPD)表示受祖先节点影响的节点风险程度，在一次原子攻击a_i:S_i→S_j中，属性节点S_j的条件概率函数定义如下：

(1)d_j＝AND时，

(2)d_j＝OR时，

一般认为，攻击事件之间是离散的，对于d_j＝AND，目标节点被攻陷的概率取决于所有攻击事件，因此：

而对d_j＝OR，目标节点被攻陷的条件为至少一个攻击成功，该条件符合Noisy-OR模型，因此：

所述无条件概率表示节点的安全风险，计算公式为：

其中，Pa[S_i]表示节点S_i的祖先节点集合。给定攻击图，如果存在中间节点S_j，有Pr(S_j|Pa[S_j],m_j＝T)<Pr(S_j|Pa[S_j],m_j＝F)成立，则说明策略m_j减小了节点S_j被攻陷的可能性。

所述基于概率-收益模型的攻击路径预测方法通过结合攻击概率和收益模拟入侵者选择攻击节点时的决策过程。

Va(S_i,e_i)表示一次原子攻击的价值，公式如下：

Va(S_i,e_i)＝Pr(S_i)×V(e_i) (10)

AVa(S_i,S_j)表示攻击路径(S_i,S_j)对于攻击者的价值，计算公式如下：

(1)当d_j＝AND时，

AVa(S_i,S_j)＝Va(S_i,e_i)+Va(S_i+1,e_i+1)； (11)

(2)当d_j＝OR时，

AVa(S_i,S_j)＝max{Va(S_i,e_i),Va(S_i+1,e_i+1)}。 (12)

所述最优策略选择问题形式化表示为：已知策略集M＝(m₁,m₂,…,m_n)的取值、策略成本c_i和防护收益v_i，要求在限定策略集总成本C的情况下使得防护收益最大化，即：

其约束条件为：

所述基于改进蚁群算法的防护策略选择模块通过给定的概率攻击图BPAG＝(S,A,E,ε,T,M,C)和限定成本C，求解一个满足上述约束条件的近似最优解。在求解过程中，每种策略被视为一个信息单位，信息素累积在策略上。启发函数为策略单位成本的价值，即η(i)＝v_i/c_i，由公式(14)计算得到策略m_i被k号蚂蚁选中的概率。采用MMAS算法中对信息素的处理方式进行迭代。每次迭代仅对拥有最大价值的蚂蚁所选择的策略进行信息素的修改，其余衰减，迭代过程按公式(15)计算。结果以伯努利分布的形式存于strategy(m,n)数组中，strategy(k,i)＝0表示蚂蚁k没有选择策略m_i，strategy(k,i)＝1表示蚂蚁k选择了策略m_i。

在公式(14)中，τ_i(t)表示在t时刻策略m_i上的信息素浓度，α反映蚂蚁在搜索路径时的不确定性。β表示蚁群算法运行中的确定性。禁忌表tabu(k)表示蚂蚁已经搜索过的策略集合。在公式(15)中，ρ表示信息素的保留度。当m_i属于一次迭代中总价值最大的蚂蚁的策略集时，Δτ(i)＝Q·v_i/lmv，lmv是迭代中价值最高的蚂蚁，否则Δτ(i)＝0。Q是介于[0,1]的常量。

τ_i(t+1)＝ρτ_i(t)+Δτ(i) (16)

基于改进蚁群算法的防护策略选择算法包括以下步骤：

1)初始化：初始化算法各变量的初值，设定蚁群的总数为m，总的迭代次数为maxGEN，当前迭代次数为GEN，某一策略上的信息素浓度τ(i)＝1。

2)k号蚂蚁(k＝1,2,…,m)随机选择一个策略m_i装入策略集，strategy(k,i)＝1，tabu(i)＝1。

3)每只蚂蚁独立地构造一个解：根据公式(15)计算蚂蚁选择某一策略的概率，例如k号蚂蚁根据概率的大小决定下一策略m_j是否装入策略集，如果装入策略m_j后，当前的总成本小于限定成本C，则将策略m_j装入策略集tabu中，令strategy(k,j)＝1，tabu(j)＝1；否则策略m_j不装入策略集，令strategy(k,j)＝0，tabu(j)＝1，如此循环，直到k号蚂蚁遍历完全部策略。

4)若全部蚂蚁都遍历完所有的策略并得到各自的解，则执行步骤5，否则执行步骤2)。

5)若不满足终止条件，则找出这一迭代过程中总价值最大的蚂蚁r，按(3)式进行全局信息素的迭代，GEN＝GEN+1。若满足结束条件，则得到最优防护策略集。

本发明技术方案的优点主要体现在：

1)网络风险评估子系统，将网络基本信息、风险概率分布作为MulVAL工具的输入，建立能有效评估网络风险状况的贝叶斯信念网络攻击图；

2)攻击路径预测子系统，结合攻击概率与收益模拟攻击者选择攻击路径的决策过程，提高网络安全评估的准确性并改善了累计概率方法在求解过程中的单一性；

3)安全策略管理子系统，通过一种改进的蚁群算法有效计算防护策略选择问题的解决方案，该算法的时间复杂度为O(n²)，其中n为网络中的节点数量。

附图说明

图1为本发明基于改进蚁群算法的最优防护策略分析系统总体架构图。

具体实施方式

下面结合说明书附图对本发明的技术方案做进一步的详细说明，但不限于此。

本发明中涉及图论和贝叶斯信念网络相关知识，对相关内容作出说明：

概率攻击图包括7种影响因素，包括属性节点集合S、原子攻击节点集合A、攻击图的有向边集合E、某一节点与其父节点集关系集合ε、条件概率分布T、防护策略集M、防护策略的成本集合C。

所述概率攻击图是有向无环图，表示为BPAG＝(S,A,E,ε,T,M,C)。

所述属性节点集合S使用伯努利随机变量表示入侵者在入侵过程中所拥有的资源和权限，取值空间为{0,1}。属性节点分为3类，表示为S＝S_initial∪S_mid∪S_goal，其中S_initial代表开始入侵时的属性节点，S_mid代表被攻击的中间属性节点集合，S_goal代表目标属性节点。

所述原子攻击节点集合A＝{a_i:S_pre→S_post|i＝1,2,…,n}，其中a_i:S_pre→S_post表示一次原子攻击，a_i＝1或a_i＝0，S_pre,S_post∈S且S_pre≠S_post。S_pre称为一次入侵攻击a_i的源属性节点,S_post称为a_i的目的属性节点。发生原子攻击意味着节点中有漏洞被利用，该漏洞表示为e_i

所述攻击图的有向边集合E，(S_i,S_j)∈E表示入侵者从S_i入侵S_j的一条有向边。Pa[S_j]是节点S_j的所有父节点，表示为Pa[S_j]＝{S_i∈S|(S_i,S_j)∈E}；

所述某一节点与其父节点的关系集合ε＝<S_j,d_j>,其中S_j∈S_mid∪S_goal，d_j∈{AND,OR}，d_j是S_j的父节点到达S_j需要满足的条件，例如d_j＝AND，要求到达S_j的所有节点状态为真，该攻击才能完成。同理，如果d_j＝OR，则要求S_j的父节点状态中不全为假即可完成本次攻击；

所述条件概率分布T反映节点状态的不确定性。对指定的S_j∈S_mid∪S_goal，总存在一个与其父节点相关的条件概率，表示为Pr(S_j|Pa[S_j])；

所述防护策略集M＝{m_i|i＝1,…,n}，为了使模型具有普遍性，假设对于任意一种入侵a_i，存在对应的修复措施m_i，m_i＝1或m_i＝0，即采用该策略进行防御或不采取措施。

所述防护策略的成本集合C＝{c_i|i＝1,…,n}，其中c_i表示防护策略m_i的实施成本。

参见图1，一种基于改进蚁群算法的最优防护策略分析系统及方法，包括网络风险评估子系统(11)、攻击路径预测子系统(12)、安全策略管理子系统(13)；

所述网络风险评估子系统(11)通过采集网络节点信息、漏洞信息、网络拓扑结构等信息，利用MulVAL工具形成原始攻击图，并运用贝叶斯信念网络分析网络安全风险；

攻击路径预测子系统(12)通过结合防护成本与收益的量化指标，模拟攻击者的决策过程，预测可能的攻击路径。

安全策略管理子系统(13)利用能在多项式时间内计算出近似最优解的改进蚁群算法解决攻击路径上的安全策略选择问题。

所述基于改进蚁群算法的最优防护策略分析系统中各个模块的运行流程步骤如下：

步骤1：网络风险评估子系统(11)

步骤1.1：概率分布计算模块(111)采集网络节点信息、漏洞信息、网络拓扑结构等信息，分析攻击行为特征，该模块通过离散节点的脆弱性表示漏洞利用概率，计算方式如下：

Isc＝6.42×Isc_base (2)

Isc_base＝1-[(1-C)×(1-I)×(1-A)] (3)

Exp＝8.22×AV×AC×PR×UI (4)

通过获取漏洞利用概率以及网络中所有节点的局部条件概率分布完成网络中节点被攻陷概率的计算，并形成整网的风险概率分布，

步骤1.2：概率攻击图生成模块(112)将获取到的节点信息与漏洞报告作为MulVAL工具的输入，生成用以描述节点间、路径间的因果关系的原始攻击图。

步骤1.3：风险评估模块(113)将贝叶斯信念网络与原始攻击图结合起来评估当前网络安全风险。其中，通过局部条件概率分布(LCPD)表示受祖先节点影响的节点风险程度，属性节点S_j的条件概率函数定义如下：

(1)d_j＝AND时，

(2)d_j＝OR时，

另外，使用无条件概率表示独立的节点安全风险，计算公式为：

步骤2：攻击路径预测子系统(12)

步骤2.1：概率-收益模型生成模块(121)计算每次原子攻击对于攻击者的价值，进而得到每条攻击路径对于攻击者的价值，其中：

Va(S_i,e_i)表示一次原子攻击的价值，公式如下：

Va(S_i,e_i)＝Pr(S_i)×V(e_i) (10)

(1)当d_j＝AND时，

AVa(S_i,S_j)＝Va(S_i,e_i)+Va(S_i+1,e_i+1)； (11)

(2)当d_j＝OR时，

AVa(S_i,S_j)＝max{Va(S_i,e_i),Va(S_i+1,e_i+1)}。 (12)

步骤2.2：攻击路径预测模块(122)通过还原入侵者选择攻击节点时的决策过程，完成攻击路径的预测计算。

步骤2.3：路径风险管理模块(123)分析概率攻击图中的路径风险，并按风险高低对路径进行优先级管理。

步骤3：安全策略管理子系统(13)

步骤3.1：成本-收益量化评估模块(131)评估每种防护技术的成本及收益，并形成专家数据库。本发明将攻击收益分为3类，分别是机密性影响、完整性影响与可用性影响，如下表所示：

表攻击收益分类

防护策略成本为：

防护策略收益为：

步骤3.2：防护策略管理模块(132)在求解最优防护策略问题的蚁群算法中，将每种策略视为一个信息单位，信息素累积在策略上。启发函数为策略单位成本的价值，即η(i)＝v_i/c_i，由公式(13)计算得到策略m_i被k号蚂蚁选中的概率。采用MMAS算法中对信息素的处理方式进行迭代。每次迭代仅对拥有最大价值的蚂蚁所选择的策略进行信息素的修改，其余衰减，迭代过程按公式(14)计算。结果以伯努利分布的形式存于strategy(m,n)数组中，strategy(k,i)＝0表示蚂蚁k没有选择策略m_i，strategy(k,i)＝1表示蚂蚁k选择了策略m_i。

在公式(13)中，τ_i(t)表示在t时刻策略m_i上的信息素浓度，α反映蚂蚁在搜索路径时的不确定性。β表示蚁群算法运行中的确定性。禁忌表tabu(k)表示蚂蚁已经搜索过的策略集合。在公式(14)中，ρ表示信息素的保留度。当m_i属于一次迭代中总价值最大的蚂蚁的策略集时，Δτ(i)＝Q·v_i/lmv，lmv是迭代中价值最高的蚂蚁，否则Δτ(i)＝0。Q是介于[0,1]的常量。

τ_i(t+1)＝ρτ_i(t)+Δτ(i) (16)

该模块评估漏洞防护成本与收益，向安全管理员提供有效的防护方案，从而降低网络安全风险并使资源得到最大化的利用。

步骤3.3：基于改进蚁群算法的防护策略选择模块(133)中，完成最优防护策略选择求解，执行以下算法步骤，让安全管理员可以有针对性地修复高风险路径的脆弱点。

4)若全部蚂蚁都遍历完所有的策略并得到各自的解，则执行步骤5)，否则执行步骤2)。

Claims

1.一种基于改进蚁群算法的最优防护策略分析系统，其特征在于，包括网络风险评估子系统(11)、攻击路径预测子系统(12)、安全策略管理子系统(13)；

所述网络风险评估子系统(11)用于通过采集网络节点信息、漏洞信息、网络拓扑结构等信息，利用MulVAL工具生成原始攻击图，并运用贝叶斯信念网络分析网络安全风险；

攻击路径预测子系统(12)用于通过结合防护成本与收益的量化指标，模拟攻击者的决策过程，预测可能的攻击路径；

安全策略管理子系统(13)用于利用能在多项式时间内计算出近似最优解的改进蚁群算法解决攻击路径上的安全策略选择问题。

2.根据权利要求1所述的一种基于改进蚁群算法的最优防护策略分析系统，其特征在于，所述网络风险评估子系统(11)包括：概率分布计算模块(111)、概率攻击图生成模块(112)、风险评估模块(113)；其中，

概率分布计算模块(111)用于分析攻击行为，通过定义贝叶斯概率攻击图、节点脆弱性评估、Noisy-OR模型，完成网络中各节点被攻陷的概率计算，并生成整网的风险概率分布；

概率攻击图生成模块(112)用于通过多主机多层次漏洞分析工具MulVAL分析网络安全架构、采集节点信息及漏洞信息，并生成原始攻击图，进而结合概率分布计算模块(111)生成基于贝叶斯信念网络的概率攻击图；

风险评估模块(113)用于对生成的概率攻击图进行风险分析，按图中各路径受攻击的威胁程度高低、攻击收益高低等因素生成风险评估报告。

3.根据权利要求1所述的一种基于改进蚁群算法的最优防护策略分析系统，其特征在于，所述攻击路径预测子系统(12)包括：概率-收益模型生成模块(121)、攻击路径预测模块(122)、路径风险管理模块(123)；其中，

概率-收益模型生成模块(121)用于通过结合攻击概率和收益计算每一次原子攻击对于攻击者的价值，进而得到每一条攻击路径的价值；

攻击路径预测模块(122)用于通过一种基于攻击概率和收益的路径预测算法，还原入侵者选择目标节点时的决策过程，完成攻击路径的预测计算；

路径风险管理模块(123)用于分析概率攻击图中的路径受攻击威胁风险，并按风险程度对路径进行优先级管理。

4.根据权利要求1所述的一种基于改进蚁群算法的最优防护策略分析系统，其特征在于，所述安全策略管理子系统(13)包括：成本-收益量化评估模块(131)、防护策略管理模块(132)、基于改进蚁群算法的防护策略选择模块(133)；其中，

成本-收益量化评估模块(131)用于分析评估每种防护技术的成本及收益，并完善专家数据库；

防护策略管理模块(132)用于通过对漏洞防护成本与收益的评估，结合安全管理员合理分配资源、选择防护手段，使资源得到最大化的利用，并对网络安全性有较有效的提升；

基于改进蚁群算法的防护策略选择模块(133)用于使用改进的蚁群算法完成最优防护策略选择问题的求解，得到最优防护策略集，帮助安全管理员针对性地修复高风险路径的脆弱节点。

5.一种基于改进蚁群算法的最优防护策略分析方法，其特征在于，包括以下步骤：

1)网络风险评估子系统(11)通过概率分布计算模块(111)采集网络节点信息、漏洞信息、网络拓扑结构等信息，在分析攻击行为特征的同时获取漏洞利用概率以及网络中所有节点的局部条件概率分布并完成网络中节点被攻陷概率的计算，形成整网的风险概率分布；通过概率攻击图生成模块(112)将MulVAL工具与风险概率分布结合起来建立原始攻击图，用以描述节点间、路径间的因果关系；通过风险评估模块(113)运用贝叶斯信念网络评估当前网络安全风险；

2)攻击路径预测子系统(12)通过概率-收益模型生成模块(121)计算每次原子攻击对于攻击者的价值，进而得到每条攻击路径的价值；通过攻击路径预测模块(122)真实还原入侵者选择目标节点时的决策过程，完成攻击路径的预测计算；通过路径风险管理模块(123)分析概率攻击图中的路径风险，并按风险高低对路径进行优先级管理；

3)安全策略管理子系统(13)通过成本-收益量化评估模块(131)评估每种防护技术的成本及收益，并形成专家数据库；通过防护策略管理模块(132)，评估漏洞防护成本与收益，向安全管理员提供有效的防护方案，从而降低网络安全风险并使资源得到最大化的利用；通过基于改进蚁群算法的防护策略选择模块(133)完成最优防护策略选择计算，让安全管理员可以有针对性地修复高风险路径的脆弱点。

6.根据权利要求5所述的一种基于改进蚁群算法的最优防护策略分析方法，其特征在于，所述漏洞利用概率表示入侵者利用离散节点的脆弱性完成一次攻击的可能性，计算方式为：

<mrow> <mi>Pr</mi> <mrow> <mo>(</mo> <msub> <mi>e</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mrow> <mn>0</mn> <mo>,</mo> <mi>I</mi> <mi>S</mi> <mi>C</mi> <mo><</mo> <mn>0</mn> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mi>M</mi> <mi>i</mi> <mi>n</mi> <mo>{</mo> <mo>&lsqb;</mo> <mrow> <mo>(</mo> <mi>I</mi> <mi>s</mi> <mi>c</mi> <mo>+</mo> <mi>E</mi> <mi>x</mi> <mi>p</mi> <mo>)</mo> </mrow> <mo>,</mo> <mn>10</mn> <mo>&rsqb;</mo> <mo>}</mo> <mo>,</mo> <mi>I</mi> <mi>s</mi> <mi>c</mi> <mo>&GreaterEqual;</mo> <mn>0</mn> </mrow> </mtd> </mtr> </mtable> </mfenced> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </mrow>

Isc＝6.42×Isc_base (2)

Isc_base＝1-[(1-C)×(1-I)×(1-A)] (3)

Exp＝8.22×AV×AC×PR×UI (4)

其中，Pr(e_i)表示漏洞利用概率，Isc表示基础影响因子，Exp表示漏洞利用因子，C代表隐秘性影响，I代表整体性影响，A代表可用性影响，AV代表攻击完整性，AC代表攻击复杂度，PR代表权限限制，UI代表用户间相互作用。

7.根据权利要求5所述的一种基于改进蚁群算法的最优防护策略分析方法，其特征在于，所述局部条件概率分布表示受祖先节点影响下的节点风险程度，在一次原子攻击a_i:S_i→S_j中，属性节点S_j的条件概率函数定义如下：

(1)d_j＝AND时，

(2)d_j＝OR时，

对于d_j＝AND，目标节点被攻陷的概率取决于所有攻击事件：

而对d_j＝OR，目标节点被攻陷的条件为至少一个攻击成功，该条件符合Noisy-OR模型：

所述无条件概率表示节点的安全风险，计算公式为：

其中Pa[S_i]表示节点S_i的祖先节点集合。

8.根据权利要求5所述的一种基于改进蚁群算法的最优防护策略分析方法，其特征在于，所述基于概率-收益模型的攻击路径预测方法能真实还原入侵者选择入侵节点时的决策过程，Va(S_i,e_i)表示一次原子攻击的价值，结合攻击概率和攻击收益，公式如下：

Va(S_i,e_i)＝Pr(S_i)×V(e_i) (10)

(1)当dj＝AND时，

AVa(S_i,S_j)＝Va(S_i,e_i)+Va(S_i+1,e_i+1)； (11)

(2)当dj＝OR时，

AVa(S_i,S_j)＝max{Va(S_i,e_i),Va(S_i+1,e_i+1)} (12)。

9.根据权利要求5所述的一种基于改进蚁群算法的最优防护策略分析方法，其特征在于，所述最优策略选择问题形式化表示为：已知策略集M＝(m₁,m₂,…,m_n)的取值、策略成本c_i和防护收益v_i，要求在限定策略集总成本C的情况下使得防护收益最大化，即，

<mrow> <mi>m</mi> <mi>a</mi> <mi>x</mi> <munderover> <mo>&Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <msub> <mi>m</mi> <mi>i</mi> </msub> <msub> <mi>v</mi> <mi>i</mi> </msub> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>13</mn> <mo>)</mo> </mrow> </mrow>

其约束条件为：

<mrow> <munderover> <mo>&Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <msub> <mi>m</mi> <mi>i</mi> </msub> <msub> <mi>c</mi> <mi>i</mi> </msub> <mo><</mo> <mi>C</mi> <mo>,</mo> <msub> <mi>m</mi> <mi>i</mi> </msub> <mo>&Element;</mo> <mo>{</mo> <mn>0</mn> <mo>,</mo> <mn>1</mn> <mo>}</mo> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>14</mn> <mo>)</mo> </mrow> <mo>.</mo> </mrow>

10.根据权利要求5所述的一种基于改进蚁群算法的最优防护策略分析方法，其特征在于，所述基于改进蚁群算法的防护策略选择算法，其步骤包括：

1)初始化：初始化算法各变量的初值，设定蚁群的总数为m，总的迭代次数为maxGEN，当前迭代次数为GEN，某一策略上的信息素浓度τ(i)＝1；

2)k号蚂蚁(k＝1,2,…,m)随机选择一个策略m_i装入策略集，strategy(k,i)＝1，tabu(i)＝1；

3)每只蚂蚁独立地构造一个解：根据公式(15)、公式(16)计算蚂蚁选择某一策略的概率：

<mrow> <msubsup> <mi>P</mi> <mi>i</mi> <mi>k</mi> </msubsup> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mrow> <mfrac> <mrow> <msup> <mrow> <mo>&lsqb;</mo> <msub> <mi>&tau;</mi> <mi>i</mi> </msub> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>&rsqb;</mo> </mrow> <mi>&alpha;</mi> </msup> <msup> <mrow> <mo>&lsqb;</mo> <mi>&eta;</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> <mo>&rsqb;</mo> </mrow> <mi>&beta;</mi> </msup> </mrow> <mrow> <mi>&Sigma;</mi> <msup> <mrow> <mo>&lsqb;</mo> <msub> <mi>&tau;</mi> <mi>i</mi> </msub> <mrow> <mo>(</mo> <mi>t</mi> <mo>)</mo> </mrow> <mo>&rsqb;</mo> </mrow> <mi>&alpha;</mi> </msup> <msup> <mrow> <mo>&lsqb;</mo> <mi>&eta;</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> <mo>&rsqb;</mo> </mrow> <mi>&beta;</mi> </msup> </mrow> </mfrac> <mo>,</mo> <mi>s</mi> <mo>&NotElement;</mo> <mi>t</mi> <mi>a</mi> <mi>b</mi> <mi>u</mi> <mrow> <mo>(</mo> <mi>k</mi> <mo>)</mo> </mrow> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mn>0</mn> <mo>,</mo> <mi>s</mi> <mo>&Element;</mo> <mi>t</mi> <mi>a</mi> <mi>b</mi> <mi>u</mi> <mrow> <mo>(</mo> <mi>k</mi> <mo>)</mo> </mrow> </mrow> </mtd> </mtr> </mtable> </mfenced> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>15</mn> <mo>)</mo> </mrow> </mrow>

τ_i(t+1)＝ρτ_i(t)+Δτ(i) (16)

式中，τ_i(t)表示在t时刻策略m_i上的信息素浓度，α反映蚂蚁在搜索路径时的不确定性，β表示蚁群算法运行中的确定性，禁忌表tabu(k)表示蚂蚁已经搜索过的策略集合，ρ表示信息素的保留度，当m_i属于一次迭代中总价值最大的蚂蚁的策略集时，Δτ(i)＝Q·v_i/lmv，lmv是迭代中价值最高的蚂蚁，否则Δτ(i)＝0，Q是介于[0,1]的常量；

4)若全部蚂蚁都遍历完所有的策略并得到各自的解，则执行步骤5)，否则执行步骤2)；

5)若不满足终止条件，则找出这一迭代过程中总价值最大的蚂蚁r，按步骤3)进行全局信息素的迭代，GEN＝GEN+1；若满足结束条件，则得到最优防护策略集。