CN107968776B - 一种基于双向控制函数的动态攻击面变换方法 - Google Patents

一种基于双向控制函数的动态攻击面变换方法 Download PDF

Info

Publication number
CN107968776B
CN107968776B CN201711033864.3A CN201711033864A CN107968776B CN 107968776 B CN107968776 B CN 107968776B CN 201711033864 A CN201711033864 A CN 201711033864A CN 107968776 B CN107968776 B CN 107968776B
Authority
CN
China
Prior art keywords
attack
information
attacker
control function
attack surface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711033864.3A
Other languages
English (en)
Other versions
CN107968776A (zh
Inventor
刘滋润
于然
曾颖明
王斌
郭敏
李大卫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Computer Technology and Applications
Original Assignee
Beijing Institute of Computer Technology and Applications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Computer Technology and Applications filed Critical Beijing Institute of Computer Technology and Applications
Priority to CN201711033864.3A priority Critical patent/CN107968776B/zh
Publication of CN107968776A publication Critical patent/CN107968776A/zh
Application granted granted Critical
Publication of CN107968776B publication Critical patent/CN107968776B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于双向控制函数的动态攻击面变换方法,其中,包括:若改变系统S的攻击面ASi,得到一个新的攻击面ASi+1,则将某个资源r对ASi的作用表示为
Figure DDA0001449956120000011
将其对
Figure DDA0001449956120000012
的作用表示为
Figure DDA0001449956120000013
攻击面转移定义如下:给定系统S及其环境Es,系统S的原攻击面是ASi,新攻击面是ASi+1,如至少存在一个资源r,使得r∈(ASi\ASi+1)或
Figure DDA0001449956120000014
则系统S的攻击面就发生了转移。本发明的基于双向控制函数的动态攻击面变换方法,通过动态攻击面的方式可以极大提高攻击者攻击难度,增加攻击者攻击成本,实现攻防两端角色的转变,防御者可掌握对抗的主动权,从根本上解决了攻防过程中“矛尖盾薄”的不对称局面。

Description

一种基于双向控制函数的动态攻击面变换方法
技术领域
本发明属于网络安全技术领域,特别是一种基于双向控制函数的动态攻击面变换方法。
背景技术
网络攻防的核心是围绕资源脆弱性的利用和预期网络和信息系统状态的实现开展的。从攻击者角度分析,攻击过程可以分为探测和实施攻击两个阶段。探测阶段主要是侦测和剖析目标系统,通过侦测目标系统发掘和锁定可被利用的资源脆弱性,依据侦测信息研究和制定相应的攻击方法,探测阶段所用时间基本占整个攻击时间的95%;实施攻击阶段主要是依据制定的策略开展相应攻击行为,通过让目标系统达到预期的状态以实现攻击目的,该阶段所用时间则只占整个攻击时间的5%。
(一)攻击面理论
根据Manadhata的定义,攻击面是攻击者可能用于发动攻击的系统资源的子集,攻击者可以利用入口点和出口点之集M、通道集C以及不可信数据项集I,向系统发送数据或从系统获取数据,从而攻击该系统。因此,M、C和I即为攻击面相关资源的子集。其中,入口点和出口点集又称方法,是指从系统环境接收数据项的系统函数以及向系统环境发送数据项的系统函数的集合;系统的通道是用户或其它系统与本系统交流的途径;不可信数据项是指攻击者采用持久数据项(如文件)间接接收系统数据或向系统发送数据。
(二)动态攻击面变换
图1所示为攻击面变换情况示意图,如图1所示,动态攻击面变换是一种需要在网络空间信息系统全生命周期设计过程中贯彻的基本安全理念,其目的在于通过一切可能的途径,在维护网络和信息系统可用性的同时,使得网络和信息系统全生命周期运转过程中的所有参与主体、通信协议、信息数据等都具备主动或被动地在时空两个维度上单独或同时变换自身所有属性或属性对外呈现信息的能力,从而实现以下全部或部分效果:
攻击者难以发现目标;
攻击者发现的目标是错误的;
攻击者发现了目标但无法实施攻击;
攻击者能实施攻击但不可持续;
攻击者能实施攻击但很快被检测到。
动态攻击面变换不仅是一种安全技术,其更多的是描述通过变化的网络和信息系统自身组成而形成的一种内在安全能力。即提供面向硬件底层、操作系统、软件、网络、数据等网络和信息系统所有实体的变化空间。通过动态攻击面的技术,将攻击者限定在一个时间窗口内,攻击者要实现攻击,传统的先验知识毫无作用,其必须在防御者设定的时间窗口内完成所有的侦察、分析、攻击。
(三)威胁感知
威胁感知是通过数据接入、信息共享、蜜罐等技术,实现威胁元数据主动、高效地采集,并且,由于网络环境的多元性与异构性,还需利用深度学习、关联融合等技术,挖掘潜在的攻击特征,发现复杂攻击。通过对事件流的分析,可以提供对威胁信息近实时的计算、分析能力。通过建立知识图谱等,可以实现威胁告警并指导对攻击行为的追踪溯源。现有的动态防御技术,如网络跳变,主要是依据安全目标自主式地进行随机化或多态配置。由于自主式动态变换缺少对攻防环境的感知,因此跳变策略的可用性具有局限性。
发明内容
本发明的目的在于提供一种基于双向控制函数的动态攻击面变换方法,用于解决上述现有技术的问题。
本发明一种基于双向控制函数的动态攻击面变换方法,其中,包括:若改变系统S的攻击面ASi,得到一个新的攻击面ASi+1,则将某个资源r对ASi的作用表示为
Figure BDA0001449956100000031
将其对
Figure BDA0001449956100000032
的作用表示为
Figure BDA0001449956100000033
攻击面转移定义如下:给定系统S及其环境Es,系统S的原攻击面是ASi,新攻击面是ASi+1,如至少存在一个资源r,使得r∈(ASi\ASi+1)或
Figure BDA0001449956100000034
则系统S的攻击面就发生了转移;基于攻击面定义,设计攻击面变换方程如下:对于原攻击面ASi,ASi=f(a1 i,a2 i,...,an i),对于新攻击面ASi+1,ASi+1=f(a1 i+1,a2 i+1,...,an i+1),其中,
(a1 i+1,a2 i+1,...,an i+1)=g(a1 i,a2 i,...,an i)+h(a1 i,a2 i,...,an i),
g(a1 i,a2 i,...,an i)=(g1(a1 i),g2(a2 i),...,gn(an i)),
h(a1 i,a2 i,...,an i)=(h1(a1 i),h2(a2 i),...,hn(an i)),
其中g表示自主式控制函数,h表示反馈控制函数,a1 i,a2 i,...,an i为待变换的攻击面的n种系统和网络的配置;自主式控制函数g是根据经验和系统弹性预先设定,gi表示根据预先设定的变化方式对配置ai做变换。
根据本发明的基于双向控制函数的动态攻击面变换方法的一实施例,其中,扩展攻击面的定义为:
Figure BDA0001449956100000035
其中,AS为攻击面,a1,a2,...,an是网络和信息系统硬件底层、操作系统、软件、网络、数据层面的结构、配置等信息,如网络拓扑、部署的服务、端口等,f是
Figure BDA0001449956100000041
的映射函数。
根据本发明的基于双向控制函数的动态攻击面变换方法的一实施例,其中,从攻击者角度出发,定义攻击者欲实施攻击要经过探测、建立和发起攻击三个阶段,攻击者需要对目标系统探测,探究攻击者要获取资源以及如何获取这些资源。
根据本发明的基于双向控制函数的动态攻击面变换方法的一实施例,其中,要素包括:攻击基本参数、攻击目标、攻击者、攻击、探测空间以及攻击生存期。
根据本发明的基于双向控制函数的动态攻击面变换方法的一实施例,其中,攻击基本参数包括:信息参数,由信息名称与攻击价值对构成的一种信息单位,信息参数的取值与攻击类型有关;信息参数类型,代表信息参数的可能值域;复合信息参数,是所有的设备或系统的信息参数集合。
根据本发明的基于双向控制函数的动态攻击面变换方法的一实施例,其中,攻击目标为攻击者可以从网络和信息系统中获取、修改或毁坏信息的某种设备;攻击目标系统,是多个攻击目标构成的集合,每个目标系统都有一个系统信息参数。
根据本发明的基于双向控制函数的动态攻击面变换方法的一实施例,其中,攻击者为单个入侵者或入侵者组,入侵者是人或自动程序。
根据本发明的基于双向控制函数的动态攻击面变换方法的一实施例,其中,攻击是攻击者针对攻击目标在某个时间区间内执行某一攻击类型的过程,攻击包含要素包括:赋值为一个信息参数对,将后一个信息参数的信息赋给前一个;攻击类型由定义在目标系统信息参数和攻击者信息之上的逻辑描述以及目标系统信息参数和攻击者信息的赋值两部分组成;复合攻击类型是通过一系列函数形成的一个攻击类型序列;原子攻击是攻击的最小单位,原子攻击不可分,原子攻击由原子攻击类型构成;复合攻击,是实施复合攻击类型的攻击,复合攻击由一系列攻击实现,每个攻击实现相应的子攻击类型。
根据本发明的基于双向控制函数的动态攻击面变换方法的一实施例,其中,探测空间,是攻击者为了实现某个具体攻击,必须探测的特定信息参数的可能值的集合,对于给定的信息参数,其探测空间为其值域,为获取特定信息参数的正确取值,攻击者必须探测的潜在值的最大值即为探测空间。
根据本发明的基于双向控制函数的动态攻击面变换方法的一实施例,其中,设网络和信息系统服务的有效期为TK0,t0时刻攻击者开始进行探测动作,攻击者从发动攻击到实现攻击目的的时间为te,若攻击在t0到TK0之间取得既定目标,攻击成功,攻击生存期为t1+te;若在t0到TK0之间未能完成攻击目的,攻击受挫,攻击生存期为TK0
本发明的基于双向控制函数的动态攻击面变换方法,通过动态攻击面的方式可以极大提高攻击者攻击难度,增加攻击者攻击成本,实现攻防两端角色的转变,防御者可掌握对抗的主动权,从根本上解决了攻防过程中“矛尖盾薄”的不对称局面。
附图说明
图1所示为攻击面变换情况示意图;
图2所示为攻击行为阶段示意图;
图3所示为攻击面反馈控制图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
本发明基于Manadhata对于攻击面的定义,并在Zhuang等人研究的基础上提出攻击者理论,结合威胁感知技术,提出了一种基于双向控制函数的动态攻击面变换方法。
本发明基于双向控制函数的动态攻击面变换方法的符号含义包括:S:给定系统;AS:攻击面;a1,a2,...,an:结构、配置等信息;ASi:变化前的攻击面;ASi+1:变化后新的攻击面;r:某个资源;
Figure BDA0001449956100000061
某个资源r对ASi的作用;
Figure BDA0001449956100000062
某个资源r对ASi+1的作用;Es:系统S的环境;ai j:第j个攻击面的第i个配置;g:自主式控制函数;h:反馈控制函数;gi:根据预先设定的变化方式对配置ai做变换;hi:根据威胁感知结论对配置ai做变换。
本发明基于双向控制函数的动态攻击面变换方法,在Manadhata提出的三元组<M,C,I>的基础上扩展攻击面的定义为:
Figure BDA0001449956100000063
其中,AS为攻击面,a1,a2,...,an是网络和信息系统硬件底层、操作系统、软件、网络、数据层面的结构、配置等信息,如网络拓扑、部署的服务、端口等,f是
Figure BDA0001449956100000064
Figure BDA0001449956100000071
的映射函数。
从攻击者角度出发,攻击者欲实施攻击要经过探测、建立和发起攻击三个阶段,在这个过程中,攻击者需要对目标系统探测。探究攻击者要获取哪些资源、如何获取这些资源,是分析攻击者行为的关键。
本发明基于双向控制函数的动态攻击面变换方法的要素包括:
(1)攻击基本参数
信息参数:信息参数是由信息名称与攻击价值对构成的一种信息单位,信息参数的取值与攻击类型有关。
信息参数类型:信息参数类型代表信息参数的可能值域。
复合信息参数:复合信息参数是所有的设备或系统的信息参数集合。
(2)攻击目标
攻击目标:攻击目标指攻击者可以从网络和信息系统中获取、修改或毁坏信息的某种设备,其可以是实现上述目的的任何设备。
攻击目标系统:攻击目标系统是多个攻击目标构成的集合。每个目标系统都有一个系统信息参数。
(3)攻击者
攻击者可以是单个入侵者,也可以是入侵者组,入侵者可以是人也可以是自动程序。攻击者要实现其入侵目的,需尽可能的探索目标,以获取足够的信息参数。
(4)攻击
攻击是攻击者针对攻击目标在某个时间区间内执行某一攻击类型的过程。攻击包含多个要素。
赋值:赋值是一个信息参数对,将后一个信息参数的信息赋给前一个。
攻击类型:由定义在目标系统信息参数和攻击者信息之上的逻辑描述以及目标系统信息参数和攻击者信息的赋值两部分组成。
复合攻击类型:通过一系列函数形成的一个攻击类型序列。
原子攻击:攻击的最小单位,原子攻击不可分,原子攻击由原子攻击类型构成。
复合攻击:复合攻击是实施复合攻击类型的攻击。复合攻击由一系列攻击实现,每个攻击实现相应的子攻击类型。
(5)探测空间
探测空间是攻击者为了实现某个具体攻击,必须探测的特定信息参数的可能值的集合。对于给定的信息参数,其探测空间为其值域。为获取特定信息参数的正确取值,攻击者必须探测的潜在值的最大值即为探测空间。
(6)攻击生存期
图2所示为攻击行为阶段示意图,如图2所示,攻击者一次攻击行为,可以分为探测、建立和发动攻击三个阶段。
假设网络和信息系统服务的有效期为TK0,即TK0时间内未进行攻击面变换,t0时刻攻击者开始进行探测动作,攻击者从发动攻击到实现攻击目的的时间为te,若攻击在t0到TK0之间取得既定目标,攻击成功,攻击生存期为t1+te;若在t0到TK0之间未能完成攻击目的,攻击受挫,攻击生存期为TK0
基于上述,本发明基于双向控制函数的动态攻击面变换方法包括:
由于资源被攻击者利用的可能性各不相同,相同资源在不同状态中对攻击面的影响也不相同,若改变系统S的攻击面ASi,得到一个新的攻击面ASi+1,则可将某个资源r对ASi的作用表示为
Figure BDA0001449956100000091
将其对
Figure BDA0001449956100000092
的作用表示为
Figure BDA0001449956100000093
攻击面转移定义如下:
给定系统S及其环境Es,S的原攻击面是ASi,新攻击面是ASi+1,如至少存在一个资源r,使得r∈(ASi\ASi+1)或
Figure BDA0001449956100000094
则系统S的攻击面就发生了转移。
本发明在设计攻击面变换时,引入自主式控制函数和反馈控制函数,结合动态场景下的威胁感知结论,设计攻击面变换方式。
基于攻击面定义,设计攻击面变换方程如下:
对于原攻击面ASi,ASi=f(a1 i,a2 i,...,an i),
对于新攻击面ASi+1,ASi+1=f(a1 i+1,a2 i+1,...,an i+1),
其中,
(a1 i+1,a2 i+1,...,an i+1)=g(a1 i,a2 i,...,an i)+h(a1 i,a2 i,...,an i),
g(a1 i,a2 i,...,an i)=(g1(a1 i),g2(a2 i),...,gn(an i)),
h(a1 i,a2 i,...,an i)=(h1(a1 i),h2(a2 i),...,hn(an i))。
其中g表示自主式控制函数,h表示反馈控制函数,a1 i,a2 i,...,an i为待变换的攻击面的n种系统和网络的配置。
自主式控制函数g是根据经验、系统弹性等预先设定的,gi表示根据预先设定的变化方式对配置ai做变换。
下面对自主式控制函数进行解释,比如g1可以表示预先设定每隔时间T1跳变一次IP,g2可以表示预先设定每隔时间T2跳变一次端口,这里所说的跳变是随机的。
反馈控制函数h由反馈控制模块基于威胁感知结论确定,hi表示根据威胁感知结论对配置ai做变换。这是属于一种被动式的变换方式,据此可以实现有效的应急响应。
图3所示为攻击面反馈控制图,如图3所示,通过双向控制函数以及威胁感知结论,可以给出攻击面变换的控制方法,进一步指导攻击面变换。
对本发明攻击面变换有效性进行证明,可以用破坏潜力/攻击成本的比率来估算资源对系统攻击面的作用,其中,破坏潜力指攻击者利用资源对系统进行攻击而造成破坏的程度,攻击成本指攻击者为获得利用资源进行攻击而付出的努力。
本发明采用自主式与反馈式相结合的方法对攻击面变换进行调整,正如前文所说,攻击者欲实施攻击在探测阶段需耗费95%的时间,而通过自主式控制函数,对当前攻击面的资源配置情况进行随机化、多态化调整,使其变为新的攻击面,导致攻击者之前所得到的探测知识无用或可造成破坏程度大大降低,从而减小了攻击者破坏潜力,攻击者欲实施攻击,需要进行重新探测,提高了攻击者的攻击成本;同时,由于自主式变换的随机性和多态性,攻击者难以掌握攻击面变换规律,欲实施攻击探测过程必须缩短时间,因而必须增加投入,提高了其攻击成本。
通过基于威胁感知结论的反馈控制函数,以感知到的新知识更新变换方式,威胁感知的实时性越高,反馈控制越及时,攻击者以往的攻击手段的破坏潜力越小,并且,防御者利用最新的感知结论进行调整,具有针对性强的特点,例如根据感知到的具体情况,可以采用诸如降低或限制某方法的特权、关闭或更改某一可被利用协议、更新某文件数据类型等,极大降低攻击者的破坏潜力;根据威胁感知结论更改变换方式后,以往的某些攻击方式无效,需要重新构建攻击方式,提高了攻击成本。
显然,破坏潜力/攻击成本得以降低,本法发明的方法是有效的。
通过构建自主式控制函数和反馈控制函数,实现动态场景下攻击面的主动变换及应急条件下的自反馈,使攻击面变换机制具有自学习能力,有效解决了自主式动态变换难以及时应对突发外部威胁的问题,有效提升了攻击面自适应变换的能力和智能化决策的能力。
建立攻击者理论对于更好地剖析攻击者攻击行为与攻击目的、全面地理解攻击面,科学精确地定义攻击面、有效动态调整攻击面等具有重要意义。
本发明从攻击基本参数、攻击目标、攻击者、攻击、探测空间、攻击生存期六个方面给出攻击者理论的基本内容。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (10)

1.一种基于双向控制函数的动态攻击面变换方法,其特征在于,包括:若改变系统S的攻击面ASi,得到一个新的攻击面ASi+1,则将某个资源r对ASi的作用表示为
Figure FDA0002629216720000014
将其对
Figure FDA0002629216720000011
的作用表示为
Figure FDA0002629216720000012
攻击面转移定义如下:
给定系统S及其环境Es,系统S的原攻击面是ASi,新攻击面是ASi+1,如至少存在一个资源r,使得r∈(ASi\ASi+1)或
Figure FDA0002629216720000013
则系统S的攻击面就发生了转移;
基于攻击面定义,设计攻击面变换方程如下:
对于原攻击面ASi,ASi=f(a1 i,a2 i,...,an i),
对于新攻击面ASi+1,ASi+1=f(a1 i+1,a2 i+1,...,an i+1),
其中,
(a1 i+1,a2 i+1,...,an i+1)=g(a1 i,a2 i,...,an i)+h(a1 i,a2 i,...,an i),
g(a1 i,a2 i,…,an i)=(g1(a1 i),g2(a2 i),…,gn(an i)),
h(a1 i,a2 i,...,an i)=(h1(a1 i),h2(a2 i),...,hn(an i)),
其中g表示自主式控制函数,h表示反馈控制函数,hi表示根据威胁感知结论对配置ai做变换,a1 i,a2 i,...,an i为待变换的攻击面的n种系统和网络的配置;
自主式控制函数g是根据经验和系统弹性预先设定,gi表示根据预先设定的变化方式对配置ai做变换。
2.如权利要求1所述的基于双向控制函数的动态攻击面变换方法,其特征在于,扩展攻击面的定义为:
Figure FDA0002629216720000021
其中,AS为攻击面,a1,a2,...,an是网络和信息系统硬件底层、操作系统、软件、网络、数据层面的结构、配置等信息,如网络拓扑、部署的服务、端口等,f是
Figure FDA0002629216720000022
Figure FDA0002629216720000023
的映射函数。
3.如权利要求1所述的基于双向控制函数的动态攻击面变换方法,其特征在于,从攻击者角度出发,定义攻击者欲实施攻击要经过探测、建立和发起攻击三个阶段,攻击者需要对目标系统探测,探究攻击者要获取资源以及如何获取这些资源。
4.如权利要求1所述的基于双向控制函数的动态攻击面变换方法,其特征在于,要素包括:攻击基本参数、攻击目标、攻击者、攻击、探测空间以及攻击生存期。
5.如权利要求4所述的基于双向控制函数的动态攻击面变换方法,其特征在于,攻击基本参数包括:
信息参数,由信息名称与攻击价值对构成的一种信息单位,信息参数的取值与攻击类型有关;
信息参数类型,代表信息参数的可能值域;
复合信息参数,是所有的设备或系统的信息参数集合。
6.如权利要求4所述的基于双向控制函数的动态攻击面变换方法,其特征在于,攻击目标为攻击者可以从网络和信息系统中获取、修改或毁坏信息的某种设备;攻击目标系统,是多个攻击目标构成的集合,每个目标系统都有一个系统信息参数。
7.如权利要求4所述的基于双向控制函数的动态攻击面变换方法,其特征在于,攻击者为单个入侵者或入侵者组,入侵者是人或自动程序。
8.如权利要求4所述的基于双向控制函数的动态攻击面变换方法,其特征在于,攻击是攻击者针对攻击目标在某个时间区间内执行某一攻击类型的过程,攻击包含要素包括:
赋值为一个信息参数对,将后一个信息参数的信息赋给前一个;
攻击类型由定义在目标系统信息参数和攻击者信息之上的逻辑描述以及目标系统信息参数和攻击者信息的赋值两部分组成;
复合攻击类型是通过一系列函数形成的一个攻击类型序列;
原子攻击是攻击的最小单位,原子攻击不可分,原子攻击由原子攻击类型构成;
复合攻击,是实施复合攻击类型的攻击,复合攻击由一系列攻击实现,每个攻击实现相应的子攻击类型。
9.如权利要求4所述的基于双向控制函数的动态攻击面变换方法,其特征在于,探测空间,是攻击者为了实现某个具体攻击,必须探测的特定信息参数的可能值的集合,对于给定的信息参数,其探测空间为其值域,为获取特定信息参数的正确取值,攻击者必须探测的潜在值的最大值即为探测空间。
10.如权利要求1所述的基于双向控制函数的动态攻击面变换方法,其特征在于,设网络和信息系统服务的有效期为TK0,t0时刻攻击者开始进行探测动作,攻击者从发动攻击到实现攻击目的的时间为te,若攻击在t0到TK0之间取得既定目标,攻击成功,攻击生存期为t1+te;若在t0到TK0之间未能完成攻击目的,攻击受挫,攻击生存期为TK0
CN201711033864.3A 2017-10-30 2017-10-30 一种基于双向控制函数的动态攻击面变换方法 Active CN107968776B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711033864.3A CN107968776B (zh) 2017-10-30 2017-10-30 一种基于双向控制函数的动态攻击面变换方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711033864.3A CN107968776B (zh) 2017-10-30 2017-10-30 一种基于双向控制函数的动态攻击面变换方法

Publications (2)

Publication Number Publication Date
CN107968776A CN107968776A (zh) 2018-04-27
CN107968776B true CN107968776B (zh) 2020-10-13

Family

ID=62000727

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711033864.3A Active CN107968776B (zh) 2017-10-30 2017-10-30 一种基于双向控制函数的动态攻击面变换方法

Country Status (1)

Country Link
CN (1) CN107968776B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881272B (zh) * 2018-07-04 2021-02-19 中国人民解放军战略支援部队信息工程大学 一种适用于冗余信息系统的攻击面建模方法及装置
CN108881316B (zh) * 2018-08-30 2020-12-22 中国人民解放军国防科技大学 一种天地一体化信息网络下攻击回溯的方法
CN110213301B (zh) * 2019-07-11 2021-09-03 武汉思普崚技术有限公司 一种转移网络攻击面的方法、服务器和系统
CN112003854B (zh) * 2020-08-20 2023-03-24 中国人民解放军战略支援部队信息工程大学 基于时空博弈的网络安全动态防御决策方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8683546B2 (en) * 2009-01-26 2014-03-25 Microsoft Corporation Managing security configuration through machine learning, combinatorial optimization and attack graphs
CN104899513A (zh) * 2015-06-01 2015-09-09 上海云物信息技术有限公司 一种工业控制系统恶意数据攻击的数据图检测方法
CN105915556A (zh) * 2016-06-29 2016-08-31 北京奇虎科技有限公司 一种终端的攻击面的确定方法及设备
CN106687971A (zh) * 2014-06-24 2017-05-17 弗塞克系统公司 用来减少软件的攻击面的自动代码锁定
CN106920022A (zh) * 2015-12-28 2017-07-04 上海烟草集团有限责任公司 卷烟工业控制系统的安全脆弱性评估方法、系统及设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9489517B2 (en) * 2014-10-21 2016-11-08 Fujitsu Limited Determining an attack surface of software

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8683546B2 (en) * 2009-01-26 2014-03-25 Microsoft Corporation Managing security configuration through machine learning, combinatorial optimization and attack graphs
CN106687971A (zh) * 2014-06-24 2017-05-17 弗塞克系统公司 用来减少软件的攻击面的自动代码锁定
CN104899513A (zh) * 2015-06-01 2015-09-09 上海云物信息技术有限公司 一种工业控制系统恶意数据攻击的数据图检测方法
CN106920022A (zh) * 2015-12-28 2017-07-04 上海烟草集团有限责任公司 卷烟工业控制系统的安全脆弱性评估方法、系统及设备
CN105915556A (zh) * 2016-06-29 2016-08-31 北京奇虎科技有限公司 一种终端的攻击面的确定方法及设备

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"An Attack Surface Metric";Manadhata;《IEEE TRANSACTIONS ON SOFTWARE ENGINEERING》;20100607;全文 *
"Attacks Generation By Detecting Attack Surfaces";Samir Ouchani, Gabriele Lenzini;《5th International Conference on Ambient Systems, Networks and Technologies (ANT-2014)》;20140605;全文 *
"基于攻击面的软件体系结构安全性研究";徐社会;《中国优秀硕士学位论文全文数据库-信息科技辑》;20160315;全文 *

Also Published As

Publication number Publication date
CN107968776A (zh) 2018-04-27

Similar Documents

Publication Publication Date Title
Uprety et al. Reinforcement learning for iot security: A comprehensive survey
Xiao et al. IoT security techniques based on machine learning: How do IoT devices use AI to enhance security?
Zaminkar et al. SoS-RPL: securing internet of things against sinkhole attack using RPL protocol-based node rating and ranking mechanism
Yan et al. A multi-level DDoS mitigation framework for the industrial Internet of Things
AU2018203393B2 (en) Path scanning for the detection of anomalous subgraphs and use of dns requests and host agents for anomaly/change detection and network situational awareness
Premkumar et al. DLDM: Deep learning-based defense mechanism for denial of service attacks in wireless sensor networks
Meng Intrusion detection in the era of IoT: Building trust via traffic filtering and sampling
CN107968776B (zh) 一种基于双向控制函数的动态攻击面变换方法
Kott et al. The internet of battle things
Kirubavathi Venkatesh et al. HTTP botnet detection using adaptive learning rate multilayer feed-forward neural network
Džaferović et al. DoS and DDoS vulnerability of IoT: A review
Gu et al. Multiple-features-based semisupervised clustering DDoS detection method
Zhou et al. Toward proactive and efficient DDoS mitigation in IIoT systems: A moving target defense approach
Hasan et al. Artificial intelligence empowered cyber threat detection and protection for power utilities
Bernieri et al. Kingfisher: An industrial security framework based on variational autoencoders
Hsu et al. Detecting web-based botnets using bot communication traffic features
Noor et al. An intelligent context-aware threat detection and response model for smart cyber-physical systems
Savenko et al. Botnet detection approach based on the distributed systems
Olowononi et al. Deep learning for cyber deception in wireless networks
Hur et al. Changes of cyber-attacks techniques and patterns after the fourth industrial revolution
Feltus AI'S Contribution to Ubiquitous Systems and Pervasive Networks Security-Reinforcement Learning vs Recurrent Networks.
CN110601878B (zh) 一种构建隐身网络的方法
Abou Haidar et al. High perception intrusion detection system using neural networks
Kumar et al. Outlier analysis based intrusion detection for IoT
Divyashree et al. Intrusion detection system in wireless sensor network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant