CN108418843B - 基于攻击图的网络攻击目标识别方法及系统 - Google Patents

Abstract

本发明属于网络安全技术领域，特别涉及一种基于攻击图的网络攻击目标识别方法及系统，该方法包含：对网络中攻击者的状态迁移过程进行建模，获取网络攻击图模型和所有可能的攻击路径，生成网络攻击图；将网络攻击图映射到吸收马尔可夫链，构造吸收马尔可夫链的状态转移概率矩阵；结合状态转移概率矩阵，获取攻击者攻击意图的期望成功概率矩阵；通过期望成功概率矩阵，找出最大概率值对应的状态节点，完成攻击目标识别。本发明更客观、准确地评估攻击者实现不同意图的平均概率值，解决了传统方法在评估攻击发生的可能性时受限于理想的累积概率问题，计算复杂度低，操作简单方便，为辅助安全管理员决策及提高网络安全性能提供更可靠的指导。

Description

基于攻击图的网络攻击目标识别方法及系统

技术领域

本发明属于网络安全技术领域，特别涉及一种基于攻击图的网络攻击目标识别方法及系统。

背景技术

作为网络安全态势感知的重要组成部分，攻击目标识别能够判断入侵者的真实目的，并预测入侵者的后续行为，是威胁分析和决策响应的前提和基础，成为网络安全管理员关注的焦点，通过对报警数据进行融合关联，计算攻击意图的实现概率，量化网络安全态势信息，进一步通过防护措施或者入侵响应可以降低攻击意图的概率，从而使得网络状态向安全方向迁移。然而，随着网络规模的不断增大，网络结构复杂多变，攻击目标识别和意图评估的困难性不断增加。攻击图作为分析多步攻击渗透的主流方法，从攻击者的角度出发，在综合分析多种网络配置和脆弱性信息的基础上，枚举所有可能的攻击路径，从而帮助防御者直观地理解目标网络内各个脆弱性之间的关系，基于攻击图的网络攻击目标识别旨在利用攻击图准确识别和判断入侵者所要达到的目的，客观衡量不同攻击意图的实现概率，为网络安全主动防御提供真实可靠的决策支持，是一种灵活、实用的攻击目标识别方法。

目前基于攻击图的攻击目标识别方法多以攻击者“单调性”假设为前提，即攻击者一旦获取某一攻击能力将不会再次获取，因而攻击路径不会被重复利用，本质是一种理想的攻击场景，该场景可抽象为有向无环攻击图。事实上，由于攻击者对网络结构不熟悉，攻击者往往选择最有可能实现的攻击目标作为入侵意图，且实际攻击场景中可能存在重复的状态转移行为，产生有向有环攻击图，导致理想场景中攻击意图实现概率往往小于实际值，难以准确反映现实世界中攻击者的行为意图，如何确保意图评估的准确性和有效性，提出一种可靠的网络攻击目标识别方法，客观评估不同攻击意图的成功概率，识别最大可能攻击目标，并对目标威胁程度进行排序，成为亟待解决的技术问题。

发明内容

针对现有技术中的不足，本发明提供一种基于攻击图的网络攻击目标识别方法及系统，基于网络攻击随机性，并结合吸收马尔可夫链，量化不同攻击意图的期望可达性概率，最大可能准确地识别网络攻击目标，提高预测结果的准确度。

按照本发明所提供的设计方案，一种基于攻击图的网络攻击目标识别方法，包含：

对网络中攻击者的状态迁移过程进行建模，获取网络攻击图模型和所有可能的攻击路径，生成网络攻击图；

将网络攻击图映射到吸收马尔可夫链，构造吸收马尔可夫链的状态转移概率矩阵；

结合状态转移概率矩阵，获取攻击者攻击意图的期望成功概率矩阵；

通过期望成功概率矩阵，找出最大概率值对应的状态节点，完成攻击目标识别。

上述的，网络攻击图模型表示为：AG＝(S,V,E,G)，其中，S为状态节点集合，V为漏洞节点集合，E为连接不同状态节点的有向边集合，G为漏洞可利用性得分矩阵。

上述的，结合网络实际环境，以网络连通性、网络配置、主机信息以及网络漏洞信息作为输入，通过扫描网络系统漏洞并参考漏洞数据库信息，生成攻击模板，获取所有可能的攻击路径，通过图形生成器自动绘制并输出网络攻击图。

优选的，将网络攻击图映射到吸收马尔可夫链，对网络攻击图中的边值进行归一化处理，通过网络攻击图中的漏洞可利用性得分矩阵构造吸收马尔可夫链的状态转移概率矩阵。

优选的，通过网络攻击图中的漏洞可利用性得分矩阵构造吸收马尔可夫链的状态转移概率矩阵，包含如下内容：对于漏洞可利用性得分矩阵中任意位置上的元素值，通过计算公式得到其在吸收马尔可夫链的状态转移概率矩阵中对应的元素值。

更进一步，对应元素值的计算公式表示为：

其中，G_i,j表示漏洞可利用性得分矩阵中任意位置(i,j)上的元素值，P_i,j表示状态转移概率矩阵中对应的元素值，n表示状态总数。

上述的，结合状态转移概率矩阵，设攻击者由过渡状态S_i出发，到达吸收状态S_l的期望概率为B_i,l，其中，1≤i≤t，t+1≤l≤n，n表示状态总数，B是大小为t×r的矩阵，通过将B_i,l赋值给矩阵B中位置(i,l-t)元素，获取攻击者攻击意图的期望成功概率矩阵。

优选的，通过期望成功概率矩阵B，获取其第i行实现攻击意图S_t+1，S_t+2，…，S_n的期望成功概率分别为B_i,1，B_i,2，…，B_i,r，通过期望成功概率找出最大概率值对应的状态节点，完成攻击目标识别，并通过对期望成功概率进行排序，获取攻击目标排序。

一种基于攻击图的网络攻击目标识别系统，包含建模模块、映射模块、概率矩阵获取模块及目标识别模块，其中，

建模模块，用于对网络中攻击者的状态迁移过程进行建模，获取网络攻击图模型和所有可能的攻击路径，生成网络攻击图；

映射模块，用于将网络攻击图映射到吸收马尔可夫链，构造吸收马尔可夫链的状态转移概率矩阵；

概率矩阵获取模块，用于结合状态转移概率矩阵，获取攻击者攻击意图的期望成功概率矩阵；

目标识别模块，用于通过期望成功概率矩阵，找出最大概率值对应的状态节点，完成攻击目标识别。

上述的系统中，建模模块包含漏洞扫描单元、配置信息读取单元、网络拓扑获取单元、数据库查询单元、模板生成单元及攻击图绘制单元，其中，

漏洞扫描单元，用于通过调用漏洞扫描工具，扫描并获取网络服务漏洞信息；

配置信息读取单元，用于通过扫描各网段获取网络配置信息，该网络配置信息至少包含防火墙访问规则、主机安全策略；

网络拓扑获取单元，用于通过调用自动化拓扑结构发现工具获取网络连通关系信息；

数据库查询单元，用于通过查询美国NVD漏洞数据库，获取漏洞评分信息；

模板生成单元，用于根据网络服务漏洞信息、网络配置信息、网络连通关系信息及漏洞评分信息，通过调用攻击图自动生成工具，输出所有可能存在的攻击路径，生成攻击模板；

攻击图绘制单元，用于通过调用图形生成器，绘制包含所有攻击路径的攻击图文件并输出。

本发明的有益效果：

本发明利用攻击图对网络中攻击者的状态迁移过程进行建模，通过枚举所有可能的攻击路径，利用通用漏洞评分标准CVSS度量漏洞利用难度，将攻击图表示为吸收马尔可夫链，构造状态转移概率矩阵，计算攻击意图的期望成功概率矩阵，更客观、准确地评估攻击者实现不同意图的平均概率值，解决了传统方法在评估攻击发生的可能性时受限于理想的累积概率问题，该方法计算复杂度低，操作简单方便，为辅助安全管理员决策提供更可靠的指导。

附图说明：

图1为本发明中的方法流程示意图；

图2为本发明中的系统结构框图；

图3为本发明中的建模模块框图；

图4为实施例中目标识别流程图；

图5为实施例中目标识别系统原理图；

图6为实施例中网络拓扑结构示意图；

图7为实施例中网络主机配置及漏洞信息示意图；

图8为实施例中网络攻击示意图；

图9为实施例中吸收马尔科夫链示意图。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。实施例中涉及到的技术术语如下：

网络安全实际应用中，由于攻击者对网络结构不熟悉，攻击者往往选择最有可能实现的攻击目标作为入侵意图，且实际攻击场景中可能存在重复的状态转移行为，产生有向有环攻击图，导致理想场景中攻击意图实现概率往往小于实际值，难以准确反映现实世界中攻击者的行为意图，无法确保意图评估的准确性和有效性。鉴于此，本发明实施例提供一种基于攻击图的网络攻击目标识别方法，参见图1所示，包含：

S101、对网络中攻击者的状态迁移过程进行建模，获取网络攻击图模型和所有可能的攻击路径，生成网络攻击图；

S102、将网络攻击图映射到吸收马尔可夫链，构造吸收马尔可夫链的状态转移概率矩阵；

S103、结合状态转移概率矩阵，获取攻击者攻击意图的期望成功概率矩阵；

S104、通过期望成功概率矩阵，找出最大概率值对应的状态节点，完成攻击目标识别。

由于网络攻击具有随机性，而吸收马尔可夫链适用于分析随机模型中状态转移的潜在规律，将攻击图映射为吸收马尔可夫链，利用经济学中广泛应用的吸收马尔可夫链描述实际攻击场景中的状态转移过程，通过对攻击图中状态转移概率归一化，构造对应吸收马尔可夫链的状态转移矩阵，进一步结合吸收马尔可夫链推导过程，计算期望攻击意图概率矩阵，量化不同攻击意图的期望可达性概率，运用于攻击目标识别时，能够提高预测结果的准确度，因此实用性和指导意义更强。

攻击意图指攻击者想要实现的目标状态，攻击者通过不断尝试直至到达终止状态，该终止状态对应某一攻击意图；攻击意图的期望成功概率指攻击者实现攻击目标的成功概率的数学期望值，相比传统的累积概率评估方法，能更客观、准确地反映攻击成功的平均可能性。本发明的另一个实施例中网络攻击图模型表示为：AG＝(S,V,E,G)，其中，状态节点集合为S＝{S_i|i＝1,2,…,n}，状态总数为n，攻击者的第i个状态为S_i，该状态可以表示为攻击者对某个网络主机设备h_i的控制权限，漏洞节点集合为V，连接不同状态节点的有向边集合为E＝S×V∪V×S，e∈S×V表示攻击者拥有该前提状态，才能利用漏洞v，e∈V×S表示利用漏洞v后，使攻击者拥有的后置状态结果；漏洞可利用性得分矩阵为G，通用漏洞评分标准CVSS是由美国国家基础建设咨询委员会发布的漏洞评估行业的公开标准，其制定的漏洞可利用性评分准则全面衡量了漏洞的利用难度，CVSS给出的漏洞可利用性评分标准包括利用途径AV、利用复杂度AC、身份认证AU这3个指标，对于任意漏洞v，其可利用性得分的计算公式为Exploitability(v)＝20×AV×AC×AU，通过查询美国国家漏洞数据库NVD可以得到各评价指标的具体分值，得分越高，表示漏洞被利用的可能性越大。由攻击图提取出的可利用性得分矩阵

其中位置(i,j)上的元素G_i,j表示由攻击者由状态S_i转移到状态S_j的过程中，利用漏洞v_i,j的可利用性得分Exploitability(v_i,j)，如果不存在S_i转移到S_j的边，则G_i,j＝0，S_i到自身状态转移的可利用性得分取最高值，即G_i,i＝10，在实现攻击目标后，攻击者停留在目标状态，表现为到目标状态的自身转移。

结合实际网络环境，以网络连通性、网络配置、主机信息以及网络漏洞信息为输入，首先可利用工具Nessus扫描网络系统漏洞，然后将上述网络元素利用Datalog语言形式化表述后，作为推理引擎的输入，再通过参考美国NVD漏洞数据库信息，利用开源的多主机多漏洞分析工具MuVAL生成攻击模板，输出可能存在的一条攻击路径，在得到所有可能的攻击路径后，使用Graphviz图形生成器自动绘制并输出jpg格式的攻击图文件，由于MulVAL生成攻击图准确度高，并具有较好的可扩展性，得到了工业界和学术界的一致认可，已广泛应用于网络可行性验证和性能测评。

对于一个离散的包含有限数量状态的随机序列X＝{x₁,x₂,…,x_n}，如果每个状态值仅与前一个相邻的状态值有关，而与再之前的状态序列无关，即满足p(x_i+1|x_i,x_i-1,…,x₁)＝p(x_i+1|x_i)，则称之为马尔可夫链，马尔可夫链中的状态转移概率用邻接矩阵P表示，其中p_i,j表示状态x_i→x_j的一步转移概率，矩阵P满足

其中0≤p_i,j≤1，1≤i，j≤n。若一个状态节点只有流入边，没有流出边，称为吸收状态，包含吸收状态节点的马尔可夫链称为吸收马尔可夫链。对于一个包含r个吸收状态和t个过渡状态的吸收马尔可夫链，其状态转移矩阵的标准形式为

其中，Q是t×t的矩阵，表示过渡状态S_i间的转移概率，1≤i≤t，0是r×t的零矩阵，R是t×r的非零矩阵，表示过渡状态S_i到吸收状态S_l的转移概率，t+1≤l≤t+r，I是r×r的单位矩阵，状态总数n＝t+r。由于网络攻击具有随机性，因此不同攻击状态间的转移满足无后效性，与吸收马尔可夫链的无后效性符合；其次，网络攻击至少存在一种终止状态，与吸收马尔可夫链的吸收态相符，因此可以将攻击图表示为吸收尔可夫链，攻击图中攻击意图节点对应吸收马尔可夫链中的吸收状态节点。

由于吸收马尔可夫链中单个节点转移到邻接节点的概率和为1，因此，本发明的再一个实施例中，将攻击图映射到吸收马尔可夫链，然后需要对攻击图中的边值进行归一化处理，才能构造对应吸收马尔可夫链的状态转移矩阵。可由攻击图的漏洞可利用性得分矩阵G构造对应吸收马尔可夫链的状态转移概率矩阵P，本发明的另一个实施例中公开该构造的计算步骤，具体为：对于G中任意位置(i,j)上的元素值G_i,j，其在矩阵P中对应位置上的元素值计算方法为

则利用该方法生成的吸收马尔可夫链的状态转移矩阵：

攻击者从过渡状态S_i出发，在吸收前访问过渡状态S_j的次数期望值用N_i,j表示，1≤i,j≤t，设N为大小为t×t的矩阵，将N_i,j赋值给矩阵N中位置(i,j)元素，则N＝(1-Q)^-1。本发明的再一个实施例中，攻击者由过渡状态S_i出发，最终到达吸收状态S_l的期望概率为B_i,l，其中1≤i≤t，t+1≤l≤n，设B是大小为t×r的矩阵，将B_i,l赋值给矩阵B中位置(i,l-t)元素，称B为攻击意图的期望成功概率矩阵，则B＝N·R＝(1-Q)^-1·R，并结合吸收马尔可夫链的状态转移矩阵P，可以计算出攻击意图的期望成功概率矩阵B。

若攻击者从初始状态S_i出发，结合矩阵B的第i行可知，实现攻击意图S_t+1，S_t+2，…，S_n的期望成功概率分别为B_i,1，B_i,2，…，B_i,r，反过来从安全管理员角度出发，通过计算上述概率值，找出最大概率值对应的状态节点即能有效识别攻击目标，进一步通过概率值进行排序，可以得到对应的攻击目标排序。

基于上述的网络攻击目标识别方法，本发明实施例，参见图2所示，提供一种基于攻击图的网络攻击目标识别系统，包含建模模块001、映射模块002、概率矩阵获取模块003及目标识别模块004，其中，

建模模块001，用于对网络中攻击者的状态迁移过程进行建模，获取网络攻击图模型和所有可能的攻击路径，生成网络攻击图；

映射模块002，用于将网络攻击图映射到吸收马尔可夫链，构造吸收马尔可夫链的状态转移概率矩阵；

概率矩阵获取模块003，用于结合状态转移概率矩阵，获取攻击者攻击意图的期望成功概率矩阵；

目标识别模块004，用于通过期望成功概率矩阵，找出最大概率值对应的状态节点，完成攻击目标识别。

上述的系统中，参见图3所示，建模模块001包含漏洞扫描单元1001、配置信息读取单元1002、网络拓扑获取单元1003、数据库查询单元1004、模板生成单元1005及攻击图绘制单元1006，其中，

漏洞扫描单元1001，用于通过调用漏洞扫描工具，扫描并获取网络服务漏洞信息；

配置信息读取单元1002，用于通过扫描各网段获取网络配置信息，该网络配置信息至少包含防火墙访问规则、主机安全策略；

网络拓扑获取单元1003，用于通过调用自动化拓扑结构发现工具获取网络连通关系信息；

数据库查询单元1004，用于通过查询美国NVD漏洞数据库，获取漏洞评分信息；

模板生成单元1005，用于根据网络服务漏洞信息、网络配置信息、网络连通关系信息及漏洞评分信息，通过调用攻击图自动生成工具，输出所有可能存在的攻击路径，生成攻击模板；

攻击图绘制单元1006，用于通过调用图形生成器，绘制包含所有攻击路径的攻击图文件并输出。

本发明公开再一个实施例中网络攻击目标识别流程图参见图4所示，利用攻击图对网络中攻击者的状态迁移过程进行建模，通过枚举所有可能的攻击路径，利用通用漏洞评分标准CVSS度量漏洞利用难度，将攻击图表示为吸收马尔可夫链，构造状态转移概率矩阵，计算攻击意图的期望成功概率矩阵。基于上述方法的另一个网络攻击目标识别系统，原理图参见图5所示，包含网络攻击图生成模块、吸收马尔可夫链状态概率矩阵构造模块和攻击意图识别模块。网络攻击图生成模块，针对实际网络环境，以网络环境信息为输入，利用相关自动化工具绘制网络攻击图实例，并对攻击图的相关参数进行设置，该模块包含：漏洞扫描子模块、网络配置信息读取子模块、网络拓扑获取子模块、NVD数据库查询子模块、攻击模板生成子模块、攻击图绘制子模块，其中，漏洞扫描子模块，用于调用Nessus漏洞扫描工具，扫描并获取网络服务的漏洞信息；网络配置信息读取子模块，用于对各网段进行扫描，获取防火墙访问规则、主机安全策略等网络设备的配置信息；网络拓扑获取子模块，用于调用自动化拓扑结构发现工具ObjectSNMP获取网络连通关系信息；NVD数据库查询子模块，用于查询美国NVD漏洞数据库，获取漏洞的评分信息；攻击模板生成子模块，用于将上述网络信息利用Datalog语言形式化表述后，通过调用MulVAL攻击图自动生成工具，作为推理引擎的输入，输出所有可能存在的攻击路径，生成攻击模板；攻击图绘制子模块，用于调用Graphviz图形生成器，自动绘制将所有攻击路径，并输出jpg格式的攻击图文件。状态转移概率矩阵构造模块，用于将攻击图表示为吸收马尔可夫链，并构造吸收马尔可夫链的状态转移概率矩阵，该模块包含：漏洞可利用性得分矩阵构造子模块、归一化算法实现子模块、状态转移概率矩阵构造子模块，其中，漏洞可利用性得分矩阵构造子模块，用于结合攻击图生成邻接方阵，矩阵中的元素值表示为攻击图中边对应漏洞的可利用性得分；归一化算法实现子模块，用于实现矩阵中元素值间的加法和除法运算；状态转移概率矩阵构造子模块，用于对漏洞可利用性得分矩阵中的行向量归一化处理并输出。攻击意图识别与排序模块，通过对状态转移概率矩阵进行矩阵运算，计算攻击意图的期望成功概率矩阵，并结合捕获的攻击者的实时状态，识别最有可能的攻击目标，并对攻击目标进行排序，该模块包含：矩阵运算子模块、攻击实时状态捕获子模块、目标识别与排序子模块，其中，矩阵运算子模块，用于实现矩阵求逆、矩阵加法和矩阵乘法运算；攻击实时状态捕获子模块，用于调用Snort入侵检测工具实时采集告警，并调用ArcSight告警序列分析工具获取攻击者的实时状态，确定当前攻击者在攻击图中的节点位置信息；目标识别与意图排序子模块，用于结合攻击者的实时状态和攻击意图的期望成功概率矩阵，提取矩阵中对应行向量，结合元素值大小对攻击意图进行排序，确定并输出最大概率攻击目标。

为验证本发明的有效性，下面通过具体实验做进一步举例说明：

参见附图6所示，网络系统中包括防火墙、入侵检测系统Snort IDS、2台主机以及3台服务器。防火墙预先设置策略将网络分为2个子网，使得服务器H1，H2分布在DMZ Zone，服务器H3，H4，H5分布在Trusted Zone，其拓扑结构如附图3所示，防火墙1禁止外部主机访问Trusted Zone中的服务器，仅可以利用HTTP协议(80端口)与DMZ Zone内的主机H1和H2进行通信。防火墙2允许DMZ Zone内的主机和Trusted Zone中的服务器进行通信，且TrustedZone内的服务器仅可以被动接收服务请求。

调用网络攻击图生成模板，网络拓扑获取子模块扫描各网段，自动发现网络结构和布局，网络配置信息读取子模块收集主机配置、防御墙访问规则和Snort入侵检测系统安全策略信息。漏洞扫描子模块扫描网络系统，采集服务存在的漏洞，NVD数据库存查询子模块依据采集到的漏洞查询相关信息，如附图7所示；攻击模板生成子模板以上述网络配置信息及漏洞信息为输入，生成可能的攻击路径模板。攻击图绘制子模板将所有攻击路径可视化表示为攻击图，并输出jpg格式的攻击图文件，如附图8所示，其中椭圆节点表示攻击者拥有的权限状态，方形节点表示攻击利用的主机及其漏洞信息，共包含n＝7个攻击状态节点，S₁＝User(H0)表示攻击者获取H0主机的User权限，S₂＝Root(H1)表示攻击者获取H1主机的Root权限，S₃＝Root(H2)表示攻击者获取H2的Root权限，S₄＝User(H3)表示攻击者获取H3的User权限，S₅＝Root(H3)表示攻击者获取H3的Root权限，S₆＝Root(H4)表示攻击者获取H4的Root权限，S₇＝Root(H5)表示攻击者获取H5的Root权限，以攻击者由状态S₁向状态S₂转移为例，由图3可知，该攻击过程利用了H1上Apache服务的CVE 2014-0098漏洞，通过发起远程拒绝服务攻击，取得对主机H1的Root使用权限，特别地，攻击者的目标状态为S₆和S₇，即获得主机H4和H5的Root权限。可利用性得分矩阵构造子模块结合NVD数据库存查询子模块的输出结果，构造矩阵

调用吸收马尔可夫链状态转移概率矩阵构造模块，将攻击图表示为吸收马尔可夫链，参见图9所示，包含t＝5个过渡状态S₁,S₂,S₃,S₄.S₅，r＝2个目标状态S₆,S₇，归一化算法实现子模块按行列顺序依次对矩阵G每个元素进行归一化处理，状态转移概率矩阵构造子模块生成矩阵

调用攻击意图识别与排序模块，矩阵运算子模块计算攻击意图的期望成功概率矩阵：

执行攻击实时状态捕获子模块，通过告警序列关联，分析攻击者的当前状态，定位其在攻击图中的位置，例如当发现攻击者当前处于初始节点S₁时，目标识别与意图排序子模块提取矩阵B的第一行，确定攻击者到达节点S₆的期望成功概率B_1,1＝0.504，到达节点S₇的期望成功概率B_1,2＝0.496，识别攻击目标为S₆，输出目标威胁排序S₆>S₇。

基于网络攻击的随机性，吸收马尔可夫链适用于分析随机模型中状态转移的潜在规律，将攻击图映射为吸收马尔可夫链，利用经济学中广泛应用的吸收马尔可夫链描述实际攻击场景中的状态转移过程，通过对攻击图中状态转移概率归一化，构造对应吸收马尔可夫链的状态转移矩阵，进一步结合吸收马尔可夫链推导过程，计算期望攻击意图概率矩阵，量化不同攻击意图的期望可达性概率，运用于攻击目标识别时，提高预测结果的准确度和可靠性，实用性和指导意义更强。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的各实例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不认为超出本发明的范围。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如：只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (8)

1.一种基于攻击图的网络攻击目标识别方法，其特征在于，包含：

对网络中攻击者的状态迁移过程进行建模，获取网络攻击图模型和所有可能的攻击路径，生成网络攻击图；

将网络攻击图映射到吸收马尔可夫链，利用吸收马尔可夫链描述实际攻击场景中的状态转移过程，通过对攻击图中状态转移概率归一化，构造对应吸收马尔可夫链的状态转移矩阵；

结合状态转移概率矩阵，获取攻击者攻击意图的期望成功概率矩阵；

通过期望成功概率矩阵，找出最大概率值对应的状态节点，完成攻击目标识别；

对于一个包含r个吸收状态和t个过渡状态的吸收马尔可夫链，其状态转移矩阵的标准形式为

其中，Q是t×t的矩阵，表示过渡状态S_i间的转移概率，1≤i≤t，0是r×t的零矩阵，R是t×r的非零矩阵，表示过渡状态S_i到吸收状态S_l的转移概率，t+1≤l≤t+r，I是r×r的单位矩阵，状态总数n＝t+r；

结合状态转移概率矩阵，设攻击者由过渡状态S_i出发，到达吸收状态S_l的期望概率为B_i,l，其中，1≤i≤t，t+1≤l≤n，n表示状态总数，B是大小为t×r的矩阵，N为大小为t×t的矩阵，通过将B_i,l赋值给矩阵B中位置(i,l-t)元素，B＝N·R＝(1-Q)^-1·R，获取攻击者攻击意图的期望成功概率矩阵；

网络攻击图模型表示为：AG＝(S,V,E,G)，其中，S为状态节点集合，V为漏洞节点集合，E为连接不同状态节点的有向边集合，G为漏洞可利用性得分矩阵；其中，漏洞可利用性得分矩阵

位置(i,j)上的元素G_i,j表示攻击者由状态S_i转移到状态S_j的过程中利用漏洞v_i,j的可利用性得分Exploitability(v_i,j)，漏洞v的可利用性得分Exploitability(v)＝20×AV×AC×AU，AV表示利用途径指标，AC表示利用复杂度指标，AU表示身份认证指标。

2.根据权利要求1所述的基于攻击图的网络攻击目标识别方法，其特征在于，结合网络实际环境，以网络连通性、网络配置、主机信息以及网络漏洞信息作为输入，通过扫描网络系统漏洞并参考漏洞数据库信息，生成攻击模板，获取所有可能的攻击路径，通过图形生成器自动绘制并输出网络攻击图。

3.根据权利要求2所述的基于攻击图的网络攻击目标识别方法，其特征在于，将网络攻击图映射到吸收马尔可夫链，对网络攻击图中的边值进行归一化处理，通过网络攻击图中的漏洞可利用性得分矩阵构造吸收马尔可夫链的状态转移概率矩阵。

4.根据权利要求1所述的基于攻击图的网络攻击目标识别方法，其特征在于，通过网络攻击图中的漏洞可利用性得分矩阵构造吸收马尔可夫链的状态转移概率矩阵，包含如下内容：对于漏洞可利用性得分矩阵中任意位置上的元素值，通过计算公式得到其在吸收马尔可夫链的状态转移概率矩阵中对应的元素值。

5.根据权利要求4所述的基于攻击图的网络攻击目标识别方法，其特征在于，对应元素值的计算公式表示为：

其中，G_i,j表示漏洞可利用性得分矩阵中任意位置(i,j)上的元素值，P_i,j表示状态转移概率矩阵中对应的元素值，n表示状态总数。

6.根据权利要求1所述的基于攻击图的网络攻击目标识别方法，其特征在于，通过期望成功概率矩阵B，获取其第i行实现攻击意图S_t+1，S_t+2，…，S_n的期望成功概率分别为B_i,1，B_i,2，…，B_i,r，通过期望成功概率找出最大概率值对应的状态节点，完成攻击目标识别，并通过对期望成功概率进行排序，获取攻击目标排序。

7.一种基于攻击图的网络攻击目标识别系统，其特征在于，基于权利要求1所述的基于攻击图的网络攻击目标识别方法实现，包含建模模块、映射模块、概率矩阵获取模块及目标识别模块，其中，

建模模块，用于对网络中攻击者的状态迁移过程进行建模，获取网络攻击图模型和所有可能的攻击路径，生成网络攻击图；

映射模块，用于将网络攻击图映射到吸收马尔可夫链，构造吸收马尔可夫链的状态转移概率矩阵；

概率矩阵获取模块，用于结合状态转移概率矩阵，获取攻击者攻击意图的期望成功概率矩阵；

目标识别模块，用于通过期望成功概率矩阵，找出最大概率值对应的状态节点，完成攻击目标识别。

8.根据权利要求7所述的基于攻击图的网络攻击目标识别系统，其特征在于，建模模块包含漏洞扫描单元、配置信息读取单元、网络拓扑获取单元、数据库查询单元、模板生成单元及攻击图绘制单元，其中，

漏洞扫描单元，用于通过调用漏洞扫描工具，扫描并获取网络服务漏洞信息；

配置信息读取单元，用于通过扫描各网段获取网络配置信息，该网络配置信息至少包含防火墙访问规则、主机安全策略；

网络拓扑获取单元，用于通过调用自动化拓扑结构发现工具获取网络连通关系信息；

数据库查询单元，用于通过查询美国NVD漏洞数据库，获取漏洞评分信息；

模板生成单元，用于根据网络服务漏洞信息、网络配置信息、网络连通关系信息及漏洞评分信息，通过调用攻击图自动生成工具，输出所有可能存在的攻击路径，生成攻击模板；

攻击图绘制单元，用于通过调用图形生成器，绘制包含所有攻击路径的攻击图文件并输出。

Images