CN108418843B - 基于攻击图的网络攻击目标识别方法及系统 - Google Patents
基于攻击图的网络攻击目标识别方法及系统 Download PDFInfo
- Publication number
- CN108418843B CN108418843B CN201810593920.7A CN201810593920A CN108418843B CN 108418843 B CN108418843 B CN 108418843B CN 201810593920 A CN201810593920 A CN 201810593920A CN 108418843 B CN108418843 B CN 108418843B
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- matrix
- vulnerability
- graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,特别涉及一种基于攻击图的网络攻击目标识别方法及系统,该方法包含:对网络中攻击者的状态迁移过程进行建模,获取网络攻击图模型和所有可能的攻击路径,生成网络攻击图;将网络攻击图映射到吸收马尔可夫链,构造吸收马尔可夫链的状态转移概率矩阵;结合状态转移概率矩阵,获取攻击者攻击意图的期望成功概率矩阵;通过期望成功概率矩阵,找出最大概率值对应的状态节点,完成攻击目标识别。本发明更客观、准确地评估攻击者实现不同意图的平均概率值,解决了传统方法在评估攻击发生的可能性时受限于理想的累积概率问题,计算复杂度低,操作简单方便,为辅助安全管理员决策及提高网络安全性能提供更可靠的指导。
Description
技术领域
本发明属于网络安全技术领域,特别涉及一种基于攻击图的网络攻击目标识别方法及系统。
背景技术
作为网络安全态势感知的重要组成部分,攻击目标识别能够判断入侵者的真实目的,并预测入侵者的后续行为,是威胁分析和决策响应的前提和基础,成为网络安全管理员关注的焦点,通过对报警数据进行融合关联,计算攻击意图的实现概率,量化网络安全态势信息,进一步通过防护措施或者入侵响应可以降低攻击意图的概率,从而使得网络状态向安全方向迁移。然而,随着网络规模的不断增大,网络结构复杂多变,攻击目标识别和意图评估的困难性不断增加。攻击图作为分析多步攻击渗透的主流方法,从攻击者的角度出发,在综合分析多种网络配置和脆弱性信息的基础上,枚举所有可能的攻击路径,从而帮助防御者直观地理解目标网络内各个脆弱性之间的关系,基于攻击图的网络攻击目标识别旨在利用攻击图准确识别和判断入侵者所要达到的目的,客观衡量不同攻击意图的实现概率,为网络安全主动防御提供真实可靠的决策支持,是一种灵活、实用的攻击目标识别方法。
目前基于攻击图的攻击目标识别方法多以攻击者“单调性”假设为前提,即攻击者一旦获取某一攻击能力将不会再次获取,因而攻击路径不会被重复利用,本质是一种理想的攻击场景,该场景可抽象为有向无环攻击图。事实上,由于攻击者对网络结构不熟悉,攻击者往往选择最有可能实现的攻击目标作为入侵意图,且实际攻击场景中可能存在重复的状态转移行为,产生有向有环攻击图,导致理想场景中攻击意图实现概率往往小于实际值,难以准确反映现实世界中攻击者的行为意图,如何确保意图评估的准确性和有效性,提出一种可靠的网络攻击目标识别方法,客观评估不同攻击意图的成功概率,识别最大可能攻击目标,并对目标威胁程度进行排序,成为亟待解决的技术问题。
发明内容
针对现有技术中的不足,本发明提供一种基于攻击图的网络攻击目标识别方法及系统,基于网络攻击随机性,并结合吸收马尔可夫链,量化不同攻击意图的期望可达性概率,最大可能准确地识别网络攻击目标,提高预测结果的准确度。
按照本发明所提供的设计方案,一种基于攻击图的网络攻击目标识别方法,包含:
对网络中攻击者的状态迁移过程进行建模,获取网络攻击图模型和所有可能的攻击路径,生成网络攻击图;
将网络攻击图映射到吸收马尔可夫链,构造吸收马尔可夫链的状态转移概率矩阵;
结合状态转移概率矩阵,获取攻击者攻击意图的期望成功概率矩阵;
通过期望成功概率矩阵,找出最大概率值对应的状态节点,完成攻击目标识别。
上述的,网络攻击图模型表示为:AG=(S,V,E,G),其中,S为状态节点集合,V为漏洞节点集合,E为连接不同状态节点的有向边集合,G为漏洞可利用性得分矩阵。
上述的,结合网络实际环境,以网络连通性、网络配置、主机信息以及网络漏洞信息作为输入,通过扫描网络系统漏洞并参考漏洞数据库信息,生成攻击模板,获取所有可能的攻击路径,通过图形生成器自动绘制并输出网络攻击图。
优选的,将网络攻击图映射到吸收马尔可夫链,对网络攻击图中的边值进行归一化处理,通过网络攻击图中的漏洞可利用性得分矩阵构造吸收马尔可夫链的状态转移概率矩阵。
优选的,通过网络攻击图中的漏洞可利用性得分矩阵构造吸收马尔可夫链的状态转移概率矩阵,包含如下内容:对于漏洞可利用性得分矩阵中任意位置上的元素值,通过计算公式得到其在吸收马尔可夫链的状态转移概率矩阵中对应的元素值。
更进一步,对应元素值的计算公式表示为:
其中,Gi,j表示漏洞可利用性得分矩阵中任意位置(i,j)上的元素值,Pi,j表示状态转移概率矩阵中对应的元素值,n表示状态总数。
上述的,结合状态转移概率矩阵,设攻击者由过渡状态Si出发,到达吸收状态Sl的期望概率为Bi,l,其中,1≤i≤t,t+1≤l≤n,n表示状态总数,B是大小为t×r的矩阵,通过将Bi,l赋值给矩阵B中位置(i,l-t)元素,获取攻击者攻击意图的期望成功概率矩阵。
优选的,通过期望成功概率矩阵B,获取其第i行实现攻击意图St+1,St+2,…,Sn的期望成功概率分别为Bi,1,Bi,2,…,Bi,r,通过期望成功概率找出最大概率值对应的状态节点,完成攻击目标识别,并通过对期望成功概率进行排序,获取攻击目标排序。
一种基于攻击图的网络攻击目标识别系统,包含建模模块、映射模块、概率矩阵获取模块及目标识别模块,其中,
建模模块,用于对网络中攻击者的状态迁移过程进行建模,获取网络攻击图模型和所有可能的攻击路径,生成网络攻击图;
映射模块,用于将网络攻击图映射到吸收马尔可夫链,构造吸收马尔可夫链的状态转移概率矩阵;
概率矩阵获取模块,用于结合状态转移概率矩阵,获取攻击者攻击意图的期望成功概率矩阵;
目标识别模块,用于通过期望成功概率矩阵,找出最大概率值对应的状态节点,完成攻击目标识别。
上述的系统中,建模模块包含漏洞扫描单元、配置信息读取单元、网络拓扑获取单元、数据库查询单元、模板生成单元及攻击图绘制单元,其中,
漏洞扫描单元,用于通过调用漏洞扫描工具,扫描并获取网络服务漏洞信息;
配置信息读取单元,用于通过扫描各网段获取网络配置信息,该网络配置信息至少包含防火墙访问规则、主机安全策略;
网络拓扑获取单元,用于通过调用自动化拓扑结构发现工具获取网络连通关系信息;
数据库查询单元,用于通过查询美国NVD漏洞数据库,获取漏洞评分信息;
模板生成单元,用于根据网络服务漏洞信息、网络配置信息、网络连通关系信息及漏洞评分信息,通过调用攻击图自动生成工具,输出所有可能存在的攻击路径,生成攻击模板;
攻击图绘制单元,用于通过调用图形生成器,绘制包含所有攻击路径的攻击图文件并输出。
本发明的有益效果:
本发明利用攻击图对网络中攻击者的状态迁移过程进行建模,通过枚举所有可能的攻击路径,利用通用漏洞评分标准CVSS度量漏洞利用难度,将攻击图表示为吸收马尔可夫链,构造状态转移概率矩阵,计算攻击意图的期望成功概率矩阵,更客观、准确地评估攻击者实现不同意图的平均概率值,解决了传统方法在评估攻击发生的可能性时受限于理想的累积概率问题,该方法计算复杂度低,操作简单方便,为辅助安全管理员决策提供更可靠的指导。
附图说明:
图1为本发明中的方法流程示意图;
图2为本发明中的系统结构框图;
图3为本发明中的建模模块框图;
图4为实施例中目标识别流程图;
图5为实施例中目标识别系统原理图;
图6为实施例中网络拓扑结构示意图;
图7为实施例中网络主机配置及漏洞信息示意图;
图8为实施例中网络攻击示意图;
图9为实施例中吸收马尔科夫链示意图。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。实施例中涉及到的技术术语如下:
网络安全实际应用中,由于攻击者对网络结构不熟悉,攻击者往往选择最有可能实现的攻击目标作为入侵意图,且实际攻击场景中可能存在重复的状态转移行为,产生有向有环攻击图,导致理想场景中攻击意图实现概率往往小于实际值,难以准确反映现实世界中攻击者的行为意图,无法确保意图评估的准确性和有效性。鉴于此,本发明实施例提供一种基于攻击图的网络攻击目标识别方法,参见图1所示,包含:
S101、对网络中攻击者的状态迁移过程进行建模,获取网络攻击图模型和所有可能的攻击路径,生成网络攻击图;
S102、将网络攻击图映射到吸收马尔可夫链,构造吸收马尔可夫链的状态转移概率矩阵;
S103、结合状态转移概率矩阵,获取攻击者攻击意图的期望成功概率矩阵;
S104、通过期望成功概率矩阵,找出最大概率值对应的状态节点,完成攻击目标识别。
由于网络攻击具有随机性,而吸收马尔可夫链适用于分析随机模型中状态转移的潜在规律,将攻击图映射为吸收马尔可夫链,利用经济学中广泛应用的吸收马尔可夫链描述实际攻击场景中的状态转移过程,通过对攻击图中状态转移概率归一化,构造对应吸收马尔可夫链的状态转移矩阵,进一步结合吸收马尔可夫链推导过程,计算期望攻击意图概率矩阵,量化不同攻击意图的期望可达性概率,运用于攻击目标识别时,能够提高预测结果的准确度,因此实用性和指导意义更强。
攻击意图指攻击者想要实现的目标状态,攻击者通过不断尝试直至到达终止状态,该终止状态对应某一攻击意图;攻击意图的期望成功概率指攻击者实现攻击目标的成功概率的数学期望值,相比传统的累积概率评估方法,能更客观、准确地反映攻击成功的平均可能性。本发明的另一个实施例中网络攻击图模型表示为:AG=(S,V,E,G),其中,状态节点集合为S={Si|i=1,2,…,n},状态总数为n,攻击者的第i个状态为Si,该状态可以表示为攻击者对某个网络主机设备hi的控制权限,漏洞节点集合为V,连接不同状态节点的有向边集合为E=S×V∪V×S,e∈S×V表示攻击者拥有该前提状态,才能利用漏洞v,e∈V×S表示利用漏洞v后,使攻击者拥有的后置状态结果;漏洞可利用性得分矩阵为G,通用漏洞评分标准CVSS是由美国国家基础建设咨询委员会发布的漏洞评估行业的公开标准,其制定的漏洞可利用性评分准则全面衡量了漏洞的利用难度,CVSS给出的漏洞可利用性评分标准包括利用途径AV、利用复杂度AC、身份认证AU这3个指标,对于任意漏洞v,其可利用性得分的计算公式为Exploitability(v)=20×AV×AC×AU,通过查询美国国家漏洞数据库NVD可以得到各评价指标的具体分值,得分越高,表示漏洞被利用的可能性越大。由攻击图提取出的可利用性得分矩阵其中位置(i,j)上的元素Gi,j表示由攻击者由状态Si转移到状态Sj的过程中,利用漏洞vi,j的可利用性得分Exploitability(vi,j),如果不存在Si转移到Sj的边,则Gi,j=0,Si到自身状态转移的可利用性得分取最高值,即Gi,i=10,在实现攻击目标后,攻击者停留在目标状态,表现为到目标状态的自身转移。
结合实际网络环境,以网络连通性、网络配置、主机信息以及网络漏洞信息为输入,首先可利用工具Nessus扫描网络系统漏洞,然后将上述网络元素利用Datalog语言形式化表述后,作为推理引擎的输入,再通过参考美国NVD漏洞数据库信息,利用开源的多主机多漏洞分析工具MuVAL生成攻击模板,输出可能存在的一条攻击路径,在得到所有可能的攻击路径后,使用Graphviz图形生成器自动绘制并输出jpg格式的攻击图文件,由于MulVAL生成攻击图准确度高,并具有较好的可扩展性,得到了工业界和学术界的一致认可,已广泛应用于网络可行性验证和性能测评。
对于一个离散的包含有限数量状态的随机序列X={x1,x2,…,xn},如果每个状态值仅与前一个相邻的状态值有关,而与再之前的状态序列无关,即满足p(xi+1|xi,xi-1,…,x1)=p(xi+1|xi),则称之为马尔可夫链,马尔可夫链中的状态转移概率用邻接矩阵P表示,其中pi,j表示状态xi→xj的一步转移概率,矩阵P满足其中0≤pi,j≤1,1≤i,j≤n。若一个状态节点只有流入边,没有流出边,称为吸收状态,包含吸收状态节点的马尔可夫链称为吸收马尔可夫链。对于一个包含r个吸收状态和t个过渡状态的吸收马尔可夫链,其状态转移矩阵的标准形式为其中,Q是t×t的矩阵,表示过渡状态Si间的转移概率,1≤i≤t,0是r×t的零矩阵,R是t×r的非零矩阵,表示过渡状态Si到吸收状态Sl的转移概率,t+1≤l≤t+r,I是r×r的单位矩阵,状态总数n=t+r。由于网络攻击具有随机性,因此不同攻击状态间的转移满足无后效性,与吸收马尔可夫链的无后效性符合;其次,网络攻击至少存在一种终止状态,与吸收马尔可夫链的吸收态相符,因此可以将攻击图表示为吸收尔可夫链,攻击图中攻击意图节点对应吸收马尔可夫链中的吸收状态节点。
由于吸收马尔可夫链中单个节点转移到邻接节点的概率和为1,因此,本发明的再一个实施例中,将攻击图映射到吸收马尔可夫链,然后需要对攻击图中的边值进行归一化处理,才能构造对应吸收马尔可夫链的状态转移矩阵。可由攻击图的漏洞可利用性得分矩阵G构造对应吸收马尔可夫链的状态转移概率矩阵P,本发明的另一个实施例中公开该构造的计算步骤,具体为:对于G中任意位置(i,j)上的元素值Gi,j,其在矩阵P中对应位置上的元素值计算方法为则利用该方法生成的吸收马尔可夫链的状态转移矩阵:
攻击者从过渡状态Si出发,在吸收前访问过渡状态Sj的次数期望值用Ni,j表示,1≤i,j≤t,设N为大小为t×t的矩阵,将Ni,j赋值给矩阵N中位置(i,j)元素,则N=(1-Q)-1。本发明的再一个实施例中,攻击者由过渡状态Si出发,最终到达吸收状态Sl的期望概率为Bi,l,其中1≤i≤t,t+1≤l≤n,设B是大小为t×r的矩阵,将Bi,l赋值给矩阵B中位置(i,l-t)元素,称B为攻击意图的期望成功概率矩阵,则B=N·R=(1-Q)-1·R,并结合吸收马尔可夫链的状态转移矩阵P,可以计算出攻击意图的期望成功概率矩阵B。
若攻击者从初始状态Si出发,结合矩阵B的第i行可知,实现攻击意图St+1,St+2,…,Sn的期望成功概率分别为Bi,1,Bi,2,…,Bi,r,反过来从安全管理员角度出发,通过计算上述概率值,找出最大概率值对应的状态节点即能有效识别攻击目标,进一步通过概率值进行排序,可以得到对应的攻击目标排序。
基于上述的网络攻击目标识别方法,本发明实施例,参见图2所示,提供一种基于攻击图的网络攻击目标识别系统,包含建模模块001、映射模块002、概率矩阵获取模块003及目标识别模块004,其中,
建模模块001,用于对网络中攻击者的状态迁移过程进行建模,获取网络攻击图模型和所有可能的攻击路径,生成网络攻击图;
映射模块002,用于将网络攻击图映射到吸收马尔可夫链,构造吸收马尔可夫链的状态转移概率矩阵;
概率矩阵获取模块003,用于结合状态转移概率矩阵,获取攻击者攻击意图的期望成功概率矩阵;
目标识别模块004,用于通过期望成功概率矩阵,找出最大概率值对应的状态节点,完成攻击目标识别。
上述的系统中,参见图3所示,建模模块001包含漏洞扫描单元1001、配置信息读取单元1002、网络拓扑获取单元1003、数据库查询单元1004、模板生成单元1005及攻击图绘制单元1006,其中,
漏洞扫描单元1001,用于通过调用漏洞扫描工具,扫描并获取网络服务漏洞信息;
配置信息读取单元1002,用于通过扫描各网段获取网络配置信息,该网络配置信息至少包含防火墙访问规则、主机安全策略;
网络拓扑获取单元1003,用于通过调用自动化拓扑结构发现工具获取网络连通关系信息;
数据库查询单元1004,用于通过查询美国NVD漏洞数据库,获取漏洞评分信息;
模板生成单元1005,用于根据网络服务漏洞信息、网络配置信息、网络连通关系信息及漏洞评分信息,通过调用攻击图自动生成工具,输出所有可能存在的攻击路径,生成攻击模板;
攻击图绘制单元1006,用于通过调用图形生成器,绘制包含所有攻击路径的攻击图文件并输出。
本发明公开再一个实施例中网络攻击目标识别流程图参见图4所示,利用攻击图对网络中攻击者的状态迁移过程进行建模,通过枚举所有可能的攻击路径,利用通用漏洞评分标准CVSS度量漏洞利用难度,将攻击图表示为吸收马尔可夫链,构造状态转移概率矩阵,计算攻击意图的期望成功概率矩阵。基于上述方法的另一个网络攻击目标识别系统,原理图参见图5所示,包含网络攻击图生成模块、吸收马尔可夫链状态概率矩阵构造模块和攻击意图识别模块。网络攻击图生成模块,针对实际网络环境,以网络环境信息为输入,利用相关自动化工具绘制网络攻击图实例,并对攻击图的相关参数进行设置,该模块包含:漏洞扫描子模块、网络配置信息读取子模块、网络拓扑获取子模块、NVD数据库查询子模块、攻击模板生成子模块、攻击图绘制子模块,其中,漏洞扫描子模块,用于调用Nessus漏洞扫描工具,扫描并获取网络服务的漏洞信息;网络配置信息读取子模块,用于对各网段进行扫描,获取防火墙访问规则、主机安全策略等网络设备的配置信息;网络拓扑获取子模块,用于调用自动化拓扑结构发现工具ObjectSNMP获取网络连通关系信息;NVD数据库查询子模块,用于查询美国NVD漏洞数据库,获取漏洞的评分信息;攻击模板生成子模块,用于将上述网络信息利用Datalog语言形式化表述后,通过调用MulVAL攻击图自动生成工具,作为推理引擎的输入,输出所有可能存在的攻击路径,生成攻击模板;攻击图绘制子模块,用于调用Graphviz图形生成器,自动绘制将所有攻击路径,并输出jpg格式的攻击图文件。状态转移概率矩阵构造模块,用于将攻击图表示为吸收马尔可夫链,并构造吸收马尔可夫链的状态转移概率矩阵,该模块包含:漏洞可利用性得分矩阵构造子模块、归一化算法实现子模块、状态转移概率矩阵构造子模块,其中,漏洞可利用性得分矩阵构造子模块,用于结合攻击图生成邻接方阵,矩阵中的元素值表示为攻击图中边对应漏洞的可利用性得分;归一化算法实现子模块,用于实现矩阵中元素值间的加法和除法运算;状态转移概率矩阵构造子模块,用于对漏洞可利用性得分矩阵中的行向量归一化处理并输出。攻击意图识别与排序模块,通过对状态转移概率矩阵进行矩阵运算,计算攻击意图的期望成功概率矩阵,并结合捕获的攻击者的实时状态,识别最有可能的攻击目标,并对攻击目标进行排序,该模块包含:矩阵运算子模块、攻击实时状态捕获子模块、目标识别与排序子模块,其中,矩阵运算子模块,用于实现矩阵求逆、矩阵加法和矩阵乘法运算;攻击实时状态捕获子模块,用于调用Snort入侵检测工具实时采集告警,并调用ArcSight告警序列分析工具获取攻击者的实时状态,确定当前攻击者在攻击图中的节点位置信息;目标识别与意图排序子模块,用于结合攻击者的实时状态和攻击意图的期望成功概率矩阵,提取矩阵中对应行向量,结合元素值大小对攻击意图进行排序,确定并输出最大概率攻击目标。
为验证本发明的有效性,下面通过具体实验做进一步举例说明:
参见附图6所示,网络系统中包括防火墙、入侵检测系统Snort IDS、2台主机以及3台服务器。防火墙预先设置策略将网络分为2个子网,使得服务器H1,H2分布在DMZ Zone,服务器H3,H4,H5分布在Trusted Zone,其拓扑结构如附图3所示,防火墙1禁止外部主机访问Trusted Zone中的服务器,仅可以利用HTTP协议(80端口)与DMZ Zone内的主机H1和H2进行通信。防火墙2允许DMZ Zone内的主机和Trusted Zone中的服务器进行通信,且TrustedZone内的服务器仅可以被动接收服务请求。
调用网络攻击图生成模板,网络拓扑获取子模块扫描各网段,自动发现网络结构和布局,网络配置信息读取子模块收集主机配置、防御墙访问规则和Snort入侵检测系统安全策略信息。漏洞扫描子模块扫描网络系统,采集服务存在的漏洞,NVD数据库存查询子模块依据采集到的漏洞查询相关信息,如附图7所示;攻击模板生成子模板以上述网络配置信息及漏洞信息为输入,生成可能的攻击路径模板。攻击图绘制子模板将所有攻击路径可视化表示为攻击图,并输出jpg格式的攻击图文件,如附图8所示,其中椭圆节点表示攻击者拥有的权限状态,方形节点表示攻击利用的主机及其漏洞信息,共包含n=7个攻击状态节点,S1=User(H0)表示攻击者获取H0主机的User权限,S2=Root(H1)表示攻击者获取H1主机的Root权限,S3=Root(H2)表示攻击者获取H2的Root权限,S4=User(H3)表示攻击者获取H3的User权限,S5=Root(H3)表示攻击者获取H3的Root权限,S6=Root(H4)表示攻击者获取H4的Root权限,S7=Root(H5)表示攻击者获取H5的Root权限,以攻击者由状态S1向状态S2转移为例,由图3可知,该攻击过程利用了H1上Apache服务的CVE 2014-0098漏洞,通过发起远程拒绝服务攻击,取得对主机H1的Root使用权限,特别地,攻击者的目标状态为S6和S7,即获得主机H4和H5的Root权限。可利用性得分矩阵构造子模块结合NVD数据库存查询子模块的输出结果,构造矩阵
调用吸收马尔可夫链状态转移概率矩阵构造模块,将攻击图表示为吸收马尔可夫链,参见图9所示,包含t=5个过渡状态S1,S2,S3,S4.S5,r=2个目标状态S6,S7,归一化算法实现子模块按行列顺序依次对矩阵G每个元素进行归一化处理,状态转移概率矩阵构造子模块生成矩阵
调用攻击意图识别与排序模块,矩阵运算子模块计算攻击意图的期望成功概率矩阵:
执行攻击实时状态捕获子模块,通过告警序列关联,分析攻击者的当前状态,定位其在攻击图中的位置,例如当发现攻击者当前处于初始节点S1时,目标识别与意图排序子模块提取矩阵B的第一行,确定攻击者到达节点S6的期望成功概率B1,1=0.504,到达节点S7的期望成功概率B1,2=0.496,识别攻击目标为S6,输出目标威胁排序S6>S7。
基于网络攻击的随机性,吸收马尔可夫链适用于分析随机模型中状态转移的潜在规律,将攻击图映射为吸收马尔可夫链,利用经济学中广泛应用的吸收马尔可夫链描述实际攻击场景中的状态转移过程,通过对攻击图中状态转移概率归一化,构造对应吸收马尔可夫链的状态转移矩阵,进一步结合吸收马尔可夫链推导过程,计算期望攻击意图概率矩阵,量化不同攻击意图的期望可达性概率,运用于攻击目标识别时,提高预测结果的准确度和可靠性,实用性和指导意义更强。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的各实例的单元及方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不认为超出本发明的范围。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如:只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种基于攻击图的网络攻击目标识别方法,其特征在于,包含:
对网络中攻击者的状态迁移过程进行建模,获取网络攻击图模型和所有可能的攻击路径,生成网络攻击图;
将网络攻击图映射到吸收马尔可夫链,利用吸收马尔可夫链描述实际攻击场景中的状态转移过程,通过对攻击图中状态转移概率归一化,构造对应吸收马尔可夫链的状态转移矩阵;
结合状态转移概率矩阵,获取攻击者攻击意图的期望成功概率矩阵;
通过期望成功概率矩阵,找出最大概率值对应的状态节点,完成攻击目标识别;
对于一个包含r个吸收状态和t个过渡状态的吸收马尔可夫链,其状态转移矩阵的标准形式为其中,Q是t×t的矩阵,表示过渡状态Si间的转移概率,1≤i≤t,0是r×t的零矩阵,R是t×r的非零矩阵,表示过渡状态Si到吸收状态Sl的转移概率,t+1≤l≤t+r,I是r×r的单位矩阵,状态总数n=t+r;
结合状态转移概率矩阵,设攻击者由过渡状态Si出发,到达吸收状态Sl的期望概率为Bi,l,其中,1≤i≤t,t+1≤l≤n,n表示状态总数,B是大小为t×r的矩阵,N为大小为t×t的矩阵,通过将Bi,l赋值给矩阵B中位置(i,l-t)元素,B=N·R=(1-Q)-1·R,获取攻击者攻击意图的期望成功概率矩阵;
2.根据权利要求1所述的基于攻击图的网络攻击目标识别方法,其特征在于,结合网络实际环境,以网络连通性、网络配置、主机信息以及网络漏洞信息作为输入,通过扫描网络系统漏洞并参考漏洞数据库信息,生成攻击模板,获取所有可能的攻击路径,通过图形生成器自动绘制并输出网络攻击图。
3.根据权利要求2所述的基于攻击图的网络攻击目标识别方法,其特征在于,将网络攻击图映射到吸收马尔可夫链,对网络攻击图中的边值进行归一化处理,通过网络攻击图中的漏洞可利用性得分矩阵构造吸收马尔可夫链的状态转移概率矩阵。
4.根据权利要求1所述的基于攻击图的网络攻击目标识别方法,其特征在于,通过网络攻击图中的漏洞可利用性得分矩阵构造吸收马尔可夫链的状态转移概率矩阵,包含如下内容:对于漏洞可利用性得分矩阵中任意位置上的元素值,通过计算公式得到其在吸收马尔可夫链的状态转移概率矩阵中对应的元素值。
6.根据权利要求1所述的基于攻击图的网络攻击目标识别方法,其特征在于,通过期望成功概率矩阵B,获取其第i行实现攻击意图St+1,St+2,…,Sn的期望成功概率分别为Bi,1,Bi,2,…,Bi,r,通过期望成功概率找出最大概率值对应的状态节点,完成攻击目标识别,并通过对期望成功概率进行排序,获取攻击目标排序。
7.一种基于攻击图的网络攻击目标识别系统,其特征在于,基于权利要求1所述的基于攻击图的网络攻击目标识别方法实现,包含建模模块、映射模块、概率矩阵获取模块及目标识别模块,其中,
建模模块,用于对网络中攻击者的状态迁移过程进行建模,获取网络攻击图模型和所有可能的攻击路径,生成网络攻击图;
映射模块,用于将网络攻击图映射到吸收马尔可夫链,构造吸收马尔可夫链的状态转移概率矩阵;
概率矩阵获取模块,用于结合状态转移概率矩阵,获取攻击者攻击意图的期望成功概率矩阵;
目标识别模块,用于通过期望成功概率矩阵,找出最大概率值对应的状态节点,完成攻击目标识别。
8.根据权利要求7所述的基于攻击图的网络攻击目标识别系统,其特征在于,建模模块包含漏洞扫描单元、配置信息读取单元、网络拓扑获取单元、数据库查询单元、模板生成单元及攻击图绘制单元,其中,
漏洞扫描单元,用于通过调用漏洞扫描工具,扫描并获取网络服务漏洞信息;
配置信息读取单元,用于通过扫描各网段获取网络配置信息,该网络配置信息至少包含防火墙访问规则、主机安全策略;
网络拓扑获取单元,用于通过调用自动化拓扑结构发现工具获取网络连通关系信息;
数据库查询单元,用于通过查询美国NVD漏洞数据库,获取漏洞评分信息;
模板生成单元,用于根据网络服务漏洞信息、网络配置信息、网络连通关系信息及漏洞评分信息,通过调用攻击图自动生成工具,输出所有可能存在的攻击路径,生成攻击模板;
攻击图绘制单元,用于通过调用图形生成器,绘制包含所有攻击路径的攻击图文件并输出。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810593920.7A CN108418843B (zh) | 2018-06-11 | 2018-06-11 | 基于攻击图的网络攻击目标识别方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810593920.7A CN108418843B (zh) | 2018-06-11 | 2018-06-11 | 基于攻击图的网络攻击目标识别方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108418843A CN108418843A (zh) | 2018-08-17 |
CN108418843B true CN108418843B (zh) | 2021-06-18 |
Family
ID=63141672
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810593920.7A Active CN108418843B (zh) | 2018-06-11 | 2018-06-11 | 基于攻击图的网络攻击目标识别方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108418843B (zh) |
Families Citing this family (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109218305B (zh) * | 2018-09-12 | 2020-12-08 | 中国人民解放军战略支援部队信息工程大学 | 基于报警聚合的网络取证方法及装置 |
CN109660515B (zh) * | 2018-11-15 | 2020-05-12 | 中国科学院信息工程研究所 | 攻击链检测方法及装置 |
CN110868384B (zh) * | 2018-12-24 | 2022-03-29 | 北京安天网络安全技术有限公司 | 确定网络环境中易受攻击的资产的方法、装置及电子设备 |
CN111385747B (zh) * | 2018-12-27 | 2023-05-16 | 物流及供应链多元技术研发中心有限公司 | 无线信标系统中攻击检测的系统和方法 |
CN110874470A (zh) * | 2018-12-29 | 2020-03-10 | 北京安天网络安全技术有限公司 | 基于网络攻击预测网络空间安全性的方法及装置 |
CN109728975B (zh) * | 2018-12-29 | 2021-03-12 | 广东电网有限责任公司 | 一种网络协议攻击测试方法、装置、设备和可读存储介质 |
CN110138764B (zh) * | 2019-05-10 | 2021-04-09 | 中北大学 | 一种基于层次攻击图的攻击路径分析方法 |
CN110233845A (zh) * | 2019-06-13 | 2019-09-13 | 中国科学院信息工程研究所 | 入侵响应措施确定方法及装置 |
CN110324354B (zh) * | 2019-07-11 | 2022-02-25 | 武汉思普崚技术有限公司 | 一种网络追踪长链条攻击的方法、装置和系统 |
CN110324353B (zh) * | 2019-07-11 | 2022-02-25 | 武汉思普崚技术有限公司 | 一种网络追踪长链条攻击的方法、装置和系统 |
CN110677433B (zh) * | 2019-10-23 | 2022-02-22 | 杭州安恒信息技术股份有限公司 | 一种网络攻击预测的方法、系统、设备及可读存储介质 |
CN111770111A (zh) * | 2020-01-06 | 2020-10-13 | 南京林业大学 | 一种攻击防御树的定量分析方法 |
CN113315742B (zh) * | 2020-02-27 | 2022-08-09 | 华为技术有限公司 | 攻击行为检测方法、装置及攻击检测设备 |
CN112115476B (zh) * | 2020-08-06 | 2023-10-24 | 扬州大学 | 基于lstm的漏洞自动分类方法、系统和计算机设备 |
CN113761996B (zh) * | 2020-08-21 | 2023-11-07 | 北京京东振世信息技术有限公司 | 一种火灾识别方法和装置 |
CN112019536A (zh) * | 2020-08-26 | 2020-12-01 | 浙江浙能电力股份有限公司台州发电厂 | 一种基于视频识别的安全实时数据传输系统及方法 |
CN112131249A (zh) * | 2020-09-28 | 2020-12-25 | 绿盟科技集团股份有限公司 | 一种攻击意图识别方法及装置 |
CN112187823B (zh) * | 2020-10-13 | 2022-04-19 | 绍兴文理学院 | 雾计算架构下面向恶意程序扩散的物联网可用度评估方法 |
CN114095935B (zh) * | 2020-11-24 | 2023-10-24 | 北京航空航天大学 | 一种移动云计算场景下攻击想定生成的方法 |
CN112634093B (zh) * | 2020-12-30 | 2023-11-03 | 北京金堤科技有限公司 | 获取用于生成合同的引导问题节点图的方法及应用和装置 |
CN112769859B (zh) * | 2021-01-24 | 2021-08-27 | 中国电子科技集团公司第十五研究所 | 基于马尔可夫链的网络攻击阶段统计和预测方法 |
CN113098837B (zh) * | 2021-02-19 | 2022-08-23 | 中国科学院信息工程研究所 | 工业防火墙状态检测方法、装置、电子设备及存储介质 |
CN114189364B (zh) * | 2021-11-25 | 2022-09-16 | 中国电子科技集团公司第十五研究所 | 一种基于马尔科夫链的网络节点路径还原和预测的方法 |
CN114399190B (zh) * | 2022-01-11 | 2022-10-04 | 深圳鼎邦信息技术有限公司 | 一种针对大数据信息安全的风险行为识别方法及系统 |
CN114978617B (zh) * | 2022-05-06 | 2023-08-08 | 国网湖北省电力有限公司信息通信公司 | 一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法 |
CN115021983B (zh) * | 2022-05-20 | 2023-06-06 | 北京信息科技大学 | 一种基于吸收马尔科夫链的渗透路径确定方法及系统 |
CN115086000B (zh) * | 2022-06-10 | 2023-01-03 | 福建省网络与信息安全测评中心 | 网络入侵检测方法及系统 |
CN115333814A (zh) * | 2022-08-02 | 2022-11-11 | 哈尔滨工业大学(威海) | 一种面向工业控制系统报警数据的分析系统与方法 |
CN115811425B (zh) * | 2022-11-18 | 2024-04-16 | 中国科学院沈阳自动化研究所 | 一种两安一体化仪表风险迭代设计方法 |
CN117579398B (zh) * | 2024-01-17 | 2024-04-02 | 国网浙江省电力有限公司 | 一种基于分布式能源系统的攻击路径预测方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103139220A (zh) * | 2013-03-07 | 2013-06-05 | 南京理工大学常熟研究院有限公司 | 一种状态攻防图模型的网络安全攻击防御方法 |
CN107770168A (zh) * | 2017-10-18 | 2018-03-06 | 杭州白客安全技术有限公司 | 基于攻击链马尔科夫决策过程的低误报率ids/ips |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10333968B2 (en) * | 2016-02-10 | 2019-06-25 | Verisign, Inc. | Techniques for detecting attacks in a publish-subscribe network |
-
2018
- 2018-06-11 CN CN201810593920.7A patent/CN108418843B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103139220A (zh) * | 2013-03-07 | 2013-06-05 | 南京理工大学常熟研究院有限公司 | 一种状态攻防图模型的网络安全攻击防御方法 |
CN107770168A (zh) * | 2017-10-18 | 2018-03-06 | 杭州白客安全技术有限公司 | 基于攻击链马尔科夫决策过程的低误报率ids/ips |
Non-Patent Citations (2)
Title |
---|
Public security using absorbing Markov chains;Magdalena Punceva 等;《2017 9th International Congress on Ultra Modern Telecommunications and Control Systems and Workshops (ICUMT)》;20171108;第283-288页 * |
基于吸收Markov链的网络入侵路径预测方法;胡浩 等;《计算机研究与发展》;20180415;第831-845页 * |
Also Published As
Publication number | Publication date |
---|---|
CN108418843A (zh) | 2018-08-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108418843B (zh) | 基于攻击图的网络攻击目标识别方法及系统 | |
CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
US10313382B2 (en) | System and method for visualizing and analyzing cyber-attacks using a graph model | |
US7904962B1 (en) | Network attack modeling, analysis, and response | |
US10972461B2 (en) | Device aware network communication management | |
CN110138788B (zh) | 一种基于深度指标的脆弱性攻击代价定量评估方法 | |
Yiğit et al. | Cost-aware securing of IoT systems using attack graphs | |
Al Amin et al. | Hidden markov model and cyber deception for the prevention of adversarial lateral movement | |
Razaque et al. | Efficient and reliable forensics using intelligent edge computing | |
Mao et al. | MIF: A multi-step attack scenario reconstruction and attack chains extraction method based on multi-information fusion | |
Naik et al. | Intelligent dynamic honeypot enabled by dynamic fuzzy rule interpolation | |
Alavizadeh et al. | A survey on cyber situation-awareness systems: Framework, techniques, and insights | |
Hu et al. | I-hmm-based multidimensional network security risk assessment | |
Al-Mousa | Generic Proactive IoT Cybercrime Evidence Analysis Model for Digital Forensics | |
Alavizadeh et al. | A survey on threat situation awareness systems: framework, techniques, and insights | |
Papanikolaou et al. | An autoML network traffic analyzer for cyber threat detection | |
Naik et al. | Vigilant dynamic honeypot assisted by dynamic fuzzy rule interpolation | |
Fischer et al. | IoTAG: An Open Standard for IoT Device IdentificAtion and RecoG-nition | |
CN117155605A (zh) | 网络安全架构、网络安全实现方法、系统及介质 | |
US20230034303A1 (en) | Systems and methods for applying reinforcement learning to cybersecurity graphs | |
Naik et al. | Building a cognizant honeypot for detecting active fingerprinting attacks using dynamic fuzzy rule interpolation | |
CN115001790A (zh) | 基于设备指纹的二级认证方法、装置及电子设备 | |
Degani et al. | Generative adversarial networks for subdomain enumeration | |
CN114205816A (zh) | 一种电力移动物联网信息安全架构及其使用方法 | |
Everson et al. | A Survey on Network Attack Surface Mapping |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |