CN110138764A - 一种基于层次攻击图的攻击路径分析方法 - Google Patents

Abstract

本发明属于网络安全技术领域，公开了一种基于层次攻击图的攻击路径分析方法。首先利用社区发现算法将原网络划分为多个逻辑子网，逻辑子网及其连接关系构成网络逻辑结构；然后基于网络逻辑结构与网络基本信息生成两层攻击图；最后在两层攻击图上利用攻击行为的单调性约简攻击路径。具体步骤包括：(1)社区发现；(2)建立层次攻击图模型；(3)攻击路径生成；(4)分析攻击路径提供防御策略；本发明从攻击者视角出发避免不合理攻击路径生成，有效提高了攻击路径分析的实时性，克服了现有攻击路径分析方法在网络规模较大和脆弱性较多时存在实时性较差的问题。

Description

一种基于层次攻击图的攻击路径分析方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于层次攻击图的攻击路径分析方法。

背景技术

随着互联网及其应用的快速发展，各种网络攻击技术层出不穷，网络安全问题日益严峻，传统的网络安全防御技术已不足以应对。通过分析网络系统整体的安全状况实施主动防御，成为网络安全领域的研究热点。其中，攻击路径分析能发现网络系统的薄弱环节，进一步为网络系统提供安全策略，受到了研究人员的广泛关注。

攻击路径分析是一种能为网络系统提供有效防御策略的分析方法。在网络系统中，承载着网络服务的网络节点存在着不可避免的脆弱性。这些脆弱性可能被攻击者所利用，使得攻击者能进一步渗透网络系统，触及网络系统的关键节点，从而对网络系统造成危害。攻击路径分析通过刻画攻击者从攻击源出发利用网络系统脆弱性渗透抵达攻击目标的过程，发现网络中存在的攻击路径，进一步分析攻击路径中攻击者利用的主要脆弱性，为网络系统提供针对性防御策略，在防御资源有限的情况下优先防御攻击者利用率高的薄弱环节，最优化防御策略。

当前的攻击路径分析方法存在一定的缺陷。攻击路径依赖于网络系统结构，随着网络规模的扩大和网络系统中脆弱性的增多，可能存在的攻击路径也随之增多。

中国专利201711057910.7公开了一种基于改进的Q学习的最佳攻击路径规划方法，具体方案如下：

(1)获取网络结构；

(2)获取网络系统中各主机中存在的漏洞，建立主机漏洞状态表；

(3)建立改进的Q学习模型；

(4)通过改进的Q学习算法，获取最佳攻击路径。

该专利的技术方案能高效分析攻击网络系统的最佳攻击路径，提供针对性防御策略。当网络规模较小时能有效为网络系统提供安全策略，但随着网络规模增大，攻击路径数目增多，攻击者绕过针对最佳攻击路径的防御策略的概率显著增高，不能很好的保障网络系统的安全；另外最佳攻击路径生成时需要迭代对比网络系统中所有可能的攻击步骤，在网络规模较大时实时性较差。

中国专利201811113102.9公开了一种基于攻击增益的攻击路径预测方法，主要包括：采用脆弱点扫描工具获取贝叶斯攻击图作为待评估网络；获取待评估网络中的所有资源节点与所有攻击节点；遍历整个待评估网络，获取从起始资源节点到目标资源节点的所有可能攻击路径；对于每条可能攻击路径上的每个资源节点，获取与该资源节点直连的各攻击节点对该资源节点的攻击增益与攻击时间，并对应生成初始攻击增益矩阵、攻击时间矩阵、概率攻击增益矩阵；根据概率攻击增益矩阵消除可能攻击路径中冗余的攻击路径，得到攻击增益路径；遍历攻击增益路径，按照路径概率攻击增益速率最大原则，确定出攻击增益路径中的最优增益路径。

该专利的技术方案中生成的冗余的攻击路径是网络系统中从起始节点到目标节点的所有攻击路径，随着网络规模的增大，攻击路径规模会呈指数次增长，冗余攻击路径的生成和分析时空消耗过高，计算最优攻击路径复杂，很难实时为网络系统提供安全策略。

随着服务商的持续投入和用户的增多，网络系统规模也会持续增长，同时网络系统脆弱性也随着节点软件系统的更新不断变化，进一步导致攻击路径数量急剧增长。传统的攻击路径分析方法通常需要生成所有攻击路径或者迭代所有攻击步骤发现最优攻击路径，综合分析后提供防御策略。当网络规模较大时不能实时为网络系统提供安全策略。

发明内容

本发明的目的在于克服现有技术中攻击路径分析在网络规模较大时实时性差的问题，提供一种基于层次攻击图的攻击路径分析方法。首先利用社区发现计算将原网络划分为多个逻辑子网，逻辑子网及其连接关系构成网络逻辑结构；然后基于网络逻辑结构与网络基本信息生成两层攻击图；基于层次攻击图和攻击者的攻击行为优化攻击路径生成算法，提升攻击路径分析的实时性。

本发明的技术方案如下：

一种基于层次攻击图的攻击路径分析方法，包括如下步骤：

(1)社区发现

根据网络系统节点间联系紧密程度的不同，对网络系统进行划分；

首先规格化网络系统信息，便于网络社区发现；将网络系统用G＝(V,E,W)表示，其中V是网络系统中的节点集合，E是网络系统中节点间的连边集合，表示网络系统中节点间的通讯连接关系，W是网络系统中边的权重集合，表示网络系统中节点间通讯的紧密程度；

n＝|V(G)|，n是网络系统中节点的数目，用邻接矩阵A_n×n来表示一个具有n个节点的网络系统，A_i,j表示节点i与节点j之间的网络通讯状况，用邻接矩阵W_n×n来表示节点间边的权重；

模块度是衡量网络社区结构强弱的一个标准，使用有向加权模块度作为社区发现计算中衡量社区结构强弱的依据；

(2)建立层次攻击图模型

采集网络系统信息，结合网络系统社区结构，建立层次攻击图模型，包括网络系统节点、脆弱性信息，并使用元组对网络系统信息进行表示。层次攻击图模型的建立步骤如下：

首先，针对物理结构明确的目标网络，基于网络节点间的流量交互频次将目标网络划分为多个大小不同的逻辑子网，使每个逻辑子网内部联系紧密，逻辑子网之间联系相对稀疏，进一步根据原先网络节点间的连接关系确定逻辑子网间的连接关系，即网络逻辑结构。在顶层，针对每一逻辑子网存在的不同攻击状态生成状态节点，基于网络基本信息生成顶层状态节点间存在的状态转化关系；在底层，针对每一物理节点存在的不同攻击状态生成状态节点，基于网络基本信息生成在每一逻辑子网内的状态转化关系。基于逻辑子网与物理节点间的包含关系，生成顶层状态节点与底层状态节点间的映射关系。

(3)攻击路径生成

攻击路径是描述攻击过程的有效手段，分析攻击路径能发现攻击者攻击渗透的核心环节，提出针对性防御策略，所述攻击路径定义如下：

攻击路径r，指攻击者为达到目标状态从初始状态出发经过的状态转移过程，攻击路径集用R表示，攻击成功概率P(r)指攻击路径中所有状态转移都成功的概率，对于攻击路径r＝S₁→S₂→…→S_n，P(r)＝P(S₂|S₁)×P(S₃|S₂)×…×P(S_n|S_n-1)；

攻击路径的生成需要确定的攻击源和攻击目标，将网络系统中的重要节点假设为攻击目标，攻击源则是通过实时采集分析网络数据发现，对于给定的攻击源与攻击目标，通过层次攻击图间两点的路径搜索可以发现所有攻击路径，同时，为了缩减攻击路径规模，避免不必要的攻击路径生成，假设攻击者攻击行为具有单调性，通过攻击规则约束攻击路径的生成；

(4)分析攻击路径提供防御策略

以攻击路径集中节点出现频率作为节点重要度的评估指标，假设网络中检测到的攻击源集为T＝{t₁,t₂,…,t_n}，P(t_i)为攻击源t_i存在的可能性，对于状态节点S，S在攻击源t_i生成攻击路径集中成功概率最高的部分攻击路径中出现频率为N_i，则节点整体安全态势I(S)为：

在防御资源有限情况下，可优先选择节点安全态势更高的节点进行防御。

通过对网络节点交互数据进行分析可以有效获取网络系统社区结构，有效约减攻击路径规模，极大的提高了攻击路径分析效率。在实施例中，攻击路径分析的时空消耗减少了95％以上，能有效提高提供防御策略的实时性。

进一步地，所述步骤(1)社区发现中根据网络系统节点间联系紧密程度的不同，对网络系统进行划分；

首先规格化网络系统信息，便于网络社区发现；将网络系统用G＝(V,E,W)表示，其中V是网络系统中的节点集合，E是网络系统中节点间的连边集合，表示网络系统中节点间的通讯连接关系，W是网络系统中边的权重集合，表示网络系统中节点间通讯的紧密程度；

n＝|V(G)|，n是网络系统中节点的数目，用邻接矩阵A_n×n来表示一个具有n个节点的网络系统，A_i,j表示节点i与节点j之间的网络通讯状况，用邻接矩阵W_n×n来表示节点间边的权重；

其次，以模块度为衡量网络社区结构强弱的标准，使用有向加权模块度作为社区发现计算方法中衡量社区结构强弱的依据；具体的社区发现计算方法为：

社区发现计算方法如下：

1)将网络系统G中每个节点V_i划分为一个社区；

2)遍历节点集，对于任意一个节点V_i，将节点V_i从它所在的社区中删掉，并将节点V_i加入到相邻节点V_j所在的社区，计算加入后的模块度增量△Q，选取△Q为正且最大的邻居节点，将节点V_i加入到节点V_j所在社区；

3)重复步骤2)，直到社区划分结果不再变化；

4)若社区数量大于社区划分阈值K时，将划分出的社区作为新节点,社区之间的边权重值之和作为新节点之间的边的权重值，社区内部边的权重值之和作为新节点的自循环边的权重值，执行步骤1)，当社区数量小于K时，结束社区发现计算。本步骤能通过社区发现计算快速发现网络系统的社区结构，可以根据防御需求对个别社区进行重点防御。

更进一步地，所述步骤(1)社区发现中，n＝|V(G)|，n是网络系统中节点的数目，用邻接矩阵A_n×n来表示一个具有n个节点的网络系统，A_i,j表示节点i与节点j之间的网络通讯状况，若A_i,j为1表示节点i与节点j之间存在网络通讯，A_i,j为0表示节点i与节点j间无网络通讯；

用邻接矩阵W_n×n来表示节点间边的权重，W_i,j的值越大表明节点i与节点j联系越紧密，W_n×n矩阵存储有向权重。

更进一步地，所述步骤(1)社区发现中，模块度是衡量网络社区结构强弱的一个标准，使用有向加权模块度作为社区发现计算中衡量社区结构强弱的依据，其中，有向加权模块度计算公式为：

其中，W_i、W_j为节点的权重，W_i,,j为节点间边的权重，δ(c_i,c_j)表示节点i与节点j是否处于同一个社区，若处于同一个社区取值为1，否则取值为0

更进一步地，所述步骤(1)社区发现中的社区发现计算如下：

1)将网络G中每个节点V_i划分为一个社区；

2)遍历节点集，对于任意一个节点V_i，将节点V_i从它所在的社区中删掉，并将节点V_i加入到相邻节点V_j所在的社区，计算加入后的模块度增量△Q，选取△Q为正且最大的邻居节点，将节点V_i加入到节点V_j所在社区；

3)重复步骤2)，直到社区划分结果不再变化；

4)若社区数量大于社区划分阈值K时，将划分出的社区作为新节点,社区之间的边权重值之和作为新节点之间的边的权重值，社区内部边的权重值之和作为新节点的自循环边的权重值，执行步骤1)，社区数量小于K,结束算法；

其中，社区划分阈值K为预先设定的正整数。

更进一步地，所述步骤(2)建立层次攻击图模型中，采集网络系统信息，建立层次攻击图模型，包括网络系统节点、脆弱性信息；并使用元组对网络系统信息进行表示；具体为使用一个五元组AG＝(S,V,L,E,Δ)表示网络系统，其中各部分包括如下信息：

1)S表示状态节点集，用于表示节点脆弱性被利用后的节点状态，每一个状态S_i含四个属性值，S_i＝(SID,HID/DID,PL,LF)，其中SID是状态节点编号，HID是目标主机标识，DID是目标社区标识，PL为获取的用户权限级别，LF是状态节点层次标识；

2)V表示脆弱性节点集，用于表示网络系统中存在的脆弱性，每一个脆弱性V含四个属性值，V＝(VID,HID,CVEID,P(VID))，其中VID是脆弱性节点编号，HID是脆弱性所在主机编号，CVEID是脆弱性在通用漏洞库中的唯一表示，P(VID)为脆弱性利用成功概率；

3)L＝{L_i|i＝1,2,…,n}是状态节点层次关系集，L_i是顶层状态节点S_i包含的底层状态节点集合；

4)是有向边集，状态节点指向脆弱性节点，表示当前状态下可利用的脆弱性，脆弱性节点指向状态节点，表示利用脆弱性发起攻击能够到达的状态；

5)Δ(P_i,j)表示攻击者利用脆弱性从状态S_i转到状态S_j的概率P(S_j|S_i)，转移概率取值依赖于状态转移可利用的脆弱性。

本步骤对网络系统整体进行有效建模，包括网络系统中的主机信息与脆弱性信息，可以从主机层面与脆性性层面分别对网络系统进行安全性分析，选择对主机节点或脆弱性进行加固，提供灵活的加固策略。

更进一步地，所述步骤(3)攻击路径生成中，攻击路径的生成需要确定的攻击源和攻击目标，将网络系统中的重要节点假设为攻击目标，攻击源则是通过实时采集分析网络数据发现；

具体为将网络内部数据服务器假设为攻击目标，或根据节点的价值或重要程度来假设为攻击目标，攻击源为利用IDS警事件识别网络中存在的威胁主体。

更进一步地，所述步骤(3)攻击路径生成中，对于给定的攻击源与攻击目标，通过层次攻击图间两点的路径搜索可以发现所有攻击路径，同时，为了缩减攻击路径规模，避免不必要的攻击路径生成，假设攻击者攻击行为具有单调性，通过攻击规则约束攻击路径的生成；所述攻击规则约束为攻击者攻击行为满足以下规则：

1)攻击动作能够渗透网络区域；

2)攻击动作能到达一个更重要的主机；

3)攻击动作能获取同一主机的更高权限；

4)当攻击目标与攻击源在同一社区内时，在同一社区内选择节点攻击；

5)当攻击目标与攻击源不在同一社区内时，在不同社区间选择节点攻击。本步骤从攻击者视角出发约束攻击行为，过滤掉不符合攻击需求的攻击路径，有效提高缩减了攻击路径的规模和算法的时间消耗。

与现有技术相比，本发明具有如下有益效果：

1、本发明基于网络系统节点间联系紧密度不同对网络系统进行划分，从攻击者视角出发避免不合理攻击路径生成，有效提高了攻击路径分析的实时性，克服了现有攻击路径分析方法在网络规模较大和脆弱性较多时存在实时性较差的问题。

2、与针对最优攻击路径提供防御策略相比，本发明针对攻击成功率高的部分路径进行防御，增强了防御面，提高了网络系统安全性。

3、本发明采用层次化攻击图生成攻击路径集的时空效率远优于网络全局攻击图，因此，基于本发明提出的层次攻击图生成攻击路径能有效缩减攻击路经的规模。

4、作为提供网络安全策略的有力工具，本发明的结合网络社区发现的攻击路径分析方法可推广应用于网络系统搭建和周期性评估等多个方面。

附图说明

图1是本发明的社区发现算法的流程图；

图2是实施例的网络拓扑图；

图3是实施例的网段间访问关系；

图4是实施例中用户区域的网络流量矩阵；

图5是实施例的攻击图；

图6是实施例的层次攻击图；

图7是各节点出现频率的统计结果。

具体实施方式

下面结合附图和实施例对本发明进行详细的描述。

如图1至7所示，一种基于层次攻击图的攻击路径分析方法，包括如下步骤：

本实施例的网络拓扑图如图2所示，该网络共有三个主要区域，分别为外部服务器区域、内部服务器区域、用户区域。其中外部服务器区域包含一台web服务器和一台SQL数据服务器，用于提供外部网页浏览和信息存储服务，处于192.168.1.0/24网段；内部服务器包含smtp邮件服务器、ftp文件服务器和SQL数据服务器，提供内部邮件通讯、文件传输和信息存储服务，处于192.168.2.0/24网段。用户区域处于192.168.3.0/24网段，包含20台主机。攻击者处于网络系统外，通过远程网络连接对内部网络系统发起攻击。各网段间访问关系如图3所示。

(1)社区发现

根据网络系统节点间联系紧密程度的不同，使用Louvain算法对网络系统进行划分；

首先规格化网络系统信息，便于网络社区发现；将网络系统用G＝(V,E,W)表示，其中V是网络系统中的节点集合，E是网络系统中节点间的连边集合，表示网络系统中节点间的通讯连接关系，W是网络系统中边的权重集合，表示网络系统中节点间通讯的紧密程度；

n＝|V(G)|，n是网络系统中节点的数目，用邻接矩阵A_n×n来表示一个具有n个节点的网络系统，A_i,j表示节点i与节点j之间的网络通讯状况，若A_i,j为1表示节点i与节点j之间存在网络通讯，A_i,j为0表示节点i与节点j间无网络通讯；

用邻接矩阵W_n×n来表示节点间边的权重；W_i,j的值越大表明节点i与节点j联系越紧密，W_n×n矩阵存储有向权重；

模块度是衡量网络社区结构强弱的一个标准，使用有向加权模块度作为Louvain算法中衡量社区结构强弱的依据；其中，有向加权模块度计算公式为：

其中，W_i、W_j为节点的权重，W_i,,j为节点间边的权重，δ(c_i,c_j)表示节点i与节点j是否处于同一个社区，若处于同一个社区取值为1，否则取值为0；

社区发现算法如下，其流程图如图1所示：

5)将网络G中每个节点V_i划分为一个社区；

6)遍历节点集，对于任意一个节点V_i，将节点V_i从它所在的社区中删掉，并将节点V_i加入到相邻节点V_j所在的社区，计算加入后的模块度增量△Q，选取△Q为正且最大的邻居节点，将节点V_i加入到节点V_j所在社区；

7)重复步骤2)，直到社区划分结果不再变化；

8)若社区数量大于社区划分阈值K时，将划分出的社区作为新节点,社区之间的边权重值之和作为新节点之间的边的权重值，社区内部边的权重值之和作为新节点的自循环边的权重值，执行步骤1)，社区数量小于K,结束算法；其中，社区划分阈值K为预先设定的正整数。本实施例在对用户区域20台主机进行划分时，社区划分阈值K设为4。

本实施例的网络系统中，已通过网络配置将网络系统划分为外部服务器区域、内部服务器区域、用户区域三个部分。其中外部服务器区域与内部服务器区域功能相对独立且包含节点较少，不再进行划分；用户区域包含节点较多，进一步基于节点间流量交互大小信息根据上述算法进行划分。

本实施例采集了该网络系统某一历史时期的网络流量信息，分析获取了网络系统中节点间平均流量通讯量。其中，用户区域20台主机间流量相对大小用矩阵W存储，网络流量矩阵见图4。通过Louvain算法对网络进行划分，选取划分结果将用户区域进一步划分为4个区域，即D3、D4、D5和D6。网络整体划分结果如表1所示，其中D0代表网络系统外部区域，D1代表内部服务器区域，D2代表外部服务器区域，D3、D4、D5和D6为用户区域的4个区域。

表1网络划分结果

(2)建立层次攻击图模型

采集网络系统信息，结合网络系统社区结构，建立层次攻击图模型，包括网络系统节点、脆弱性信息，并使用元组对网络系统信息进行表示，层次攻击图模型的建立步骤如下：

首先，针对物理结构明确的目标网络，基于网络节点间的流量交互频次将目标网络划分为多个大小不同的逻辑子网，使每个逻辑子网内部联系紧密，逻辑子网之间联系相对稀疏；进一步根据原先网络节点间的连接关系确定逻辑子网间的连接关系，即网络逻辑结构；在顶层，针对每一逻辑子网存在的不同攻击状态生成状态节点，基于网络基本信息生成顶层状态节点间存在的状态转化关系；在底层，针对每一物理节点存在的不同攻击状态生成状态节点，基于网络基本信息生成在每一逻辑子网内的状态转化关系；基于逻辑子网与物理节点间的包含关系，生成顶层状态节点与底层状态节点间的映射关系。

其中，网络系统节点信息如表2所示，网络系统脆弱性信息如表3所示，网络拓扑结构见图2。

表2网络系统节点信息

表3脆弱性信息

根据采集到的网络系统信息建立网络模型，使用一个五元组AG＝(S,V,L,E,Δ)表示网络系统，其中各部分含义如下：

1)S表示状态节点集，用于表示节点脆弱性被利用后的节点状态，每一个状态Si含四个属性值，Si＝(SID,HID/DID,PL,LF)，其中SID是状态节点编号，HID是目标主机标识，DID是目标社区标识，PL为获取的用户权限级别，LF是状态节点层次标识；LF取0为底层状态节点，LF取1为顶层状态节点；

2)V表示脆弱性节点集，用于表示网络系统中存在的脆弱性，每一个脆弱性V含四个属性值，V＝(VID,HID,CVEID,P(VID))，其中VID是脆弱性节点编号，HID是脆弱性所在主机编号，CVEID是脆弱性在通用漏洞库中的唯一表示，P(VID)为脆弱性利用成功概率；

3)L＝{L_i|i＝1,2,…,n}是状态节点层次关系集，L_i是顶层状态节点S_i包含的底层状态节点集合；

4)是有向边集，状态节点指向脆弱性节点，表示当前状态下可利用的脆弱性，脆弱性节点指向状态节点，表示利用脆弱性发起攻击能够到达的状态；

5)Δ(P_i,j)表示攻击者利用脆弱性从状态S_i转到状态S_j的概率P(S_j|S_i)，转移概率取值依赖于状态转移可利用的脆弱性；

结合采集到的网络系统信息生成状态节点集与脆弱性节点集，如表4和表5所示；状态节点层次关系集合如表6所示；有向边集为状态节点与脆弱性节点存在的所有连边；转移概率根据状态转移依赖的脆弱性CVSS评分确定，见表3。

表4状态节点信息

表5脆弱性节点信息

编号	节点信息
		V1	<V1,H6,CVE-2011-0638,0.1>
V2	<V2,H7,CVE-2011-0638,0.1>
		V3	<V3,H9,CVE-2011-0638,0.1>
V4	<V4,H12,CVE-2011-0638,0.1>
		V5	<V5,H20,CVE-2011-0638,0.1>
V6	<V6,H23,CVE-2011-0638,0.1>
		V7	<V7,H10,CVE-2014-6271,0.7>
V8	<V8,H1,CVE-2013-2249,0.7>
		V9	<V9,H11,CVE-2018-8225,0.5>
V10	<V10,H12,CVE-2018-8225,0.5>
		V11	<V11,H18,CVE-2018-8225,0.5>
V12	<V12,H20,CVE-2018-8225,0.5>
		V13	<V13,H4,CVE-2018-5703,0.7>

表6状态节点层次关系

(3)攻击路径生成

攻击路径是描述攻击过程的有效手段，分析攻击路径能发现攻击者攻击渗透的核心环节，提出针对性防御策略，所述攻击路径定义如下：

攻击路径r，指攻击者为达到目标状态从初始状态出发经过的状态转移过程，攻击路径集用R表示，攻击成功概率P(r)，指攻击路径中所有状态转移都成功的概率，对于攻击路径r＝S₁→S₂→…→S_n，P(r)＝P(S₂|S₁)×P(S₃|S₂)×…×P(S_n|S_n-1)；

攻击路径的生成需要确定的攻击源和攻击目标，对于网络防御者来看，由于网络节点数量众多，很难确定攻击者的具体攻击对象，将网络系统中的重要节点假设为攻击目标，即是将网络内部数据服务器假设为攻击目标，也可以根据节点的价值或重要程度来假设为攻击目标；攻击源则是通过实时采集分析网络数据发现，对于给定的攻击源与攻击目标，通过层次攻击图间两点的路径搜索可以发现所有攻击路径，同时，为了缩减攻击路径规模，避免不必要的攻击路径生成，假设攻击者攻击行为具有单调性，通过攻击规则约束攻击路径的生成；所述攻击规则约束为攻击者攻击行为满足以下规则：

1)攻击动作能够渗透网络区域；

2)攻击动作能到达一个更重要的主机；

3)攻击动作能获取同一主机的更高权限；

4)当攻击目标与攻击源在同一社区内时，在同一社区内选择节点攻击；

5)当攻击目标与攻击源不在同一社区内时，在不同社区间选择节点攻击。

对实施例中的网络系统进行攻击演练，利用IDS警事件识别网络中存在的威胁主体，某时刻检测到来自主机H0的攻击t，攻击源存在的可能性P(t)为0.66。攻击过程中主机H6，H8与主机H1存在连接，主机H10，H18与主机H4存在连接。网络系统中主机H4存储了内部重要资料，是网络系统的主要防御对象，也即是攻击目标。为了验证层次攻击图下攻击路径生成时空效率的优越性，分别基于攻击图和层次攻击图生成从攻击源到主要防御对象H4的攻击路径集各1000次，得到各自的时空消耗如表7所示。

表7攻击路径生成时空效率对比

从表7中数据可看出，基于层次攻击图生成攻击路径时空消耗仅为基于攻击图生成路径的万分之五。且在实施例中，网络系统仅有25个节点，存在5种不同漏洞和13台存在漏洞主机。在实际环境中随着网络规模的增大与漏洞数量的增多，基于层次攻击图的攻击路径生成会有更明显的优势。

(4)分析攻击路径提供防御策略

以攻击路径集中节点出现频率作为节点重要度的评估指标，假设网络中检测到的攻击源集为T＝{t₁,t₂,…,t_n}，P(t_i)为攻击源t_i存在的可能性，对于状态节点S，S在攻击源t_i生成攻击路径集中成功概率最高的部分攻击路径中出现频率为N_i，则节点整体安全态势I(S)为：

在防御资源有限情况下，可优先选择节点安全态势更高的节点进行防御。

本实施例中的攻击图如图5所示，层次攻击图如图6所示。

以攻击路径集中节点出现频率作为节点重要度的评估指标，攻击路径集选取成功概率最高的10条攻击路径进行对照分析。层次攻击图生成成功概率最高10条攻击路径见表8，网络全局攻击图生成成功概率最高10条攻击路径见表9。各节点出现频率的统计结果如图7所示。从节点出现频率来看，除掉攻击起始状态节点与目标状态节点，两种攻击路径集中出现频率最高的状态节点均为节点{S1,S3,S6}，对应的主机分别为{H1,H6,H10}，若防御资源有限，应优先防御这3台主机。另外网络全局攻击图相比层次攻击图出现了状态节点S7，但从出现状态节点S7的攻击路径来看，S3与S7属于同一子网络的同权限状态节点。攻击者在到达状态S3后可直接到达状态节点S6，对S7的攻击是没有必要的。

从图7整体来看，两种攻击路径集中各节点出现频率趋势一致，若选择不同数量节点进行防御能提供一致的安全策略，但采用层次化攻击图生成攻击路径集的时空效率远优于网络全局攻击图。由此可见，基于本发明提出的层次攻击图生成攻击路径能有效缩减攻击路经的规模。

表8层析化攻击图生成成功概率最高10条攻击路径

表9攻击图生成成功概率最高10条攻击路径

攻击路径	成功概率
		S0-->S1-->S3-->S6-->S2	0.034
S0-->S1-->S5-->S6-->S2	0.034
		S0-->S1-->S3-->S9-->S2	0.025
S0-->S1-->S5-->S9-->S2	0.025
		S0-->S1-->S3-->S8-->S6-->S2	0.019
S0-->S1-->S3-->S10-->S6-->S2	0.019
		S0-->S1-->S5-->S8-->S6-->S2	0.019
S0-->S1-->S5-->S10-->S6-->S2	0.019
		S0-->S1-->S3-->S6-->S9-->S2	0.017
S0-->S1-->S3-->S7-->S6-->S2	0.017

Claims (8)

1.一种基于层次攻击图的攻击路径分析方法，其特征在于：包括如下步骤：

(1)社区发现

根据网络系统节点间联系紧密程度的不同，对网络系统进行划分；

首先规格化网络系统信息，便于网络社区发现；将网络系统用G＝(V,E,W)表示，其中V是网络系统中的节点集合，E是网络系统中节点间的连边集合，表示网络系统中节点间的通讯连接关系，W是网络系统中边的权重集合，表示网络系统中节点间通讯的紧密程度；

n＝|V(G)|，n是网络系统中节点的数目，用邻接矩阵A_n×n来表示一个具有n个节点的网络系统，A_i,j表示节点i与节点j之间的网络通讯状况，用邻接矩阵W_n×n来表示节点间边的权重；

模块度是衡量网络社区结构强弱的一个标准，使用有向加权模块度作为社区发现计算中衡量社区结构强弱的依据；

(2)建立层次攻击图模型

采集网络系统信息，结合网络系统社区结构，建立层次攻击图模型，包括网络系统节点、脆弱性信息，并使用元组对网络系统信息进行表示，层次攻击图模型的建立步骤如下：

首先，针对物理结构明确的目标网络，基于网络节点间的流量交互频次将目标网络划分为多个大小不同的逻辑子网，使每个逻辑子网内部联系紧密，逻辑子网之间联系相对稀疏；进一步根据原先网络节点间的连接关系确定逻辑子网间的连接关系，即网络逻辑结构；在顶层，针对每一逻辑子网存在的不同攻击状态生成状态节点，基于网络基本信息生成顶层状态节点间存在的状态转化关系；在底层，针对每一物理节点存在的不同攻击状态生成状态节点，基于网络基本信息生成在每一逻辑子网内的状态转化关系；基于逻辑子网与物理节点间的包含关系，生成顶层状态节点与底层状态节点间的映射关系；

(3)攻击路径生成

攻击路径是描述攻击过程的有效手段，分析攻击路径能发现攻击者攻击渗透的核心环节，提出针对性防御策略，所述攻击路径定义如下：

攻击路径r，指攻击者为达到目标状态从初始状态出发经过的状态转移过程，攻击路径集用R表示，攻击成功概率P(r)指攻击路径中所有状态转移都成功的概率，对于攻击路径r＝S₁→S₂→…→S_n，P(r)＝P(S₂|S₁)×P(S₃|S₂)×…×P(S_n|S_n-1)；

攻击路径的生成需要确定的攻击源和攻击目标，将网络系统中的重要节点假设为攻击目标，攻击源则是通过实时采集分析网络数据发现，对于给定的攻击源与攻击目标，通过层次攻击图间两点的路径搜索可以发现所有攻击路径，同时，为了缩减攻击路径规模，避免不必要的攻击路径生成，假设攻击者攻击行为具有单调性，通过攻击规则约束攻击路径的生成；

(4)分析攻击路径提供防御策略

以攻击路径集中节点出现频率作为节点重要度的评估指标，假设网络中检测到的攻击源集为T＝{t₁,t₂,…,t_n}，P(t_i)为攻击源t_i存在的可能性，对于状态节点S，S在攻击源t_i生成攻击路径集中成功概率最高的部分攻击路径中出现频率为N_i，则节点整体安全态势I(S)为：

在防御资源有限情况下，可优先选择节点安全态势更高的节点进行防御。

2.根据权利要求1所述的一种基于层次攻击图的攻击路径分析方法，其特征在于：所述步骤(1)社区发现中根据网络系统节点间联系紧密程度的不同，对网络系统进行划分；

首先规格化网络系统信息，便于网络社区发现；将网络系统用G＝(V,E,W)表示，其中V是网络系统中的节点集合，E是网络系统中节点间的连边集合，表示网络系统中节点间的通讯连接关系，W是网络系统中边的权重集合，表示网络系统中节点间通讯的紧密程度；

n＝|V(G)|，n是网络系统中节点的数目，用邻接矩阵A_n×n来表示一个具有n个节点的网络系统，A_i,j表示节点i与节点j之间的网络通讯状况，用邻接矩阵W_n×n来表示节点间边的权重；

其次，以模块度为衡量网络社区结构强弱的标准，使用有向加权模块度作为社区发现计算方法中衡量社区结构强弱的依据；具体的社区发现计算方法为：

社区发现计算方法如下：

1)将网络系统G中每个节点V_i划分为一个社区；

2)遍历节点集，对于任意一个节点V_i，将节点V_i从它所在的社区中删掉，并将节点V_i加入到相邻节点V_j所在的社区，计算加入后的模块度增量△Q，选取△Q为正且最大的邻居节点，将节点V_i加入到节点V_j所在社区；

3)重复步骤2)，直到社区划分结果不再变化；

4)若社区数量大于社区划分阈值K时，将划分出的社区作为新节点,社区之间的边权重值之和作为新节点之间的边的权重值，社区内部边的权重值之和作为新节点的自循环边的权重值，执行步骤1)，当社区数量小于K时，结束社区发现计算。

3.根据权利要求2所述的一种基于层次攻击图的攻击路径分析方法，其特征在于：所述步骤(1)社区发现中，n＝|V(G)|，n是网络系统中节点的数目，用邻接矩阵A_n×n来表示一个具有n个节点的网络系统，A_i,j表示节点i与节点j之间的网络通讯状况，若A_i,j为1表示节点i与节点j之间存在网络通讯，A_i,j为0表示节点i与节点j间无网络通讯；

用邻接矩阵W_n×n来表示节点间边的权重，W_i,j的值越大表明节点i与节点j联系越紧密，W_n×n矩阵存储有向权重。

4.根据权利要求3所述的一种基于层次攻击图的攻击路径分析方法，其特征在于：所述步骤(1)社区发现中，模块度是衡量网络社区结构强弱的一个标准，使用有向加权模块度作为社区发现计算中衡量社区结构强弱的依据，其中，有向加权模块度计算公式为：

其中，W_i、W_j为节点的权重，W_i,,j为节点间边的权重，δ(c_i,c_j)表示节点i与节点j是否处于同一个社区，若处于同一个社区取值为1，否则取值为0。

5.根据权利要求4所述的一种基于层次攻击图的攻击路径分析方法，其特征在于：所述步骤(1)社区发现中的社区发现计算方法如下：

1)将网络G中每个节点V_i划分为一个社区；

2)遍历节点集，对于任意一个节点V_i，将节点V_i从它所在的社区中删掉，并将节点V_i加入到相邻节点V_j所在的社区，计算加入后的模块度增量△Q，选取△Q为正且最大的邻居节点，将节点V_i加入到节点V_j所在社区；

3)重复步骤2)，直到社区划分结果不再变化；

4)若社区数量大于社区划分阈值K时，将划分出的社区作为新节点,社区之间的边权重值之和作为新节点之间的边的权重值，社区内部边的权重值之和作为新节点的自循环边的权重值，执行步骤1)，社区数量小于K,结束计算；

其中，社区划分阈值K为预先设定的正整数。

6.根据权利要求5所述的一种基于层次攻击图的攻击路径分析方法，其特征在于：所述步骤(2)建立层次攻击图模型中，采集网络系统信息，建立层次攻击图模型，包括网络系统节点、脆弱性信息；并使用元组对网络系统信息进行表示；具体为使用一个五元组AG＝(S,V,L,E,Δ)表示网络系统，其中各部分包括如下信息：

1)S表示状态节点集，用于表示节点脆弱性被利用后的节点状态，每一个状态Si含四个属性值，Si＝(SID,HID/DID,PL,LF)，其中SID是状态节点编号，HID是目标主机标识，DID是目标社区标识，PL为获取的用户权限级别，LF是状态节点层次标识，LF取0为底层状态节点，LF取1为顶层状态节点；

2)V表示脆弱性节点集，用于表示网络系统中存在的脆弱性，每一个脆弱性V含四个属性值，V＝(VID,HID,CVEID,P(VID))，其中VID是脆弱性节点编号，HID是脆弱性所在主机编号，CVEID是脆弱性在通用漏洞库中的唯一表示，P(VID)为脆弱性利用成功概率；

3)L＝{Li|i＝1,2,…,n}是状态节点层次关系集，Li是顶层状态节点Si包含的底层状态节点集合；

4)是有向边集，状态节点指向脆弱性节点，表示当前状态下可利用的脆弱性，脆弱性节点指向状态节点，表示利用脆弱性发起攻击能够到达的状态；

5)Δ(Pi,j)表示攻击者利用脆弱性从状态Si转到状态Sj的概率P(Sj|Si)，转移概率取值依赖于状态转移可利用的脆弱性。

7.根据权利要求6所述的一种基于层次攻击图的攻击路径分析方法，其特征在于：所述步骤(3)攻击路径生成中，攻击路径的生成需要确定的攻击源和攻击目标，将网络系统中的重要节点假设为攻击目标，攻击源则是通过实时采集分析网络数据发现；

具体为将网络内部数据服务器假设为攻击目标，或根据节点的价值或重要程度来假设为攻击目标，攻击源为利用IDS警事件识别网络中存在的威胁主体。

8.根据权利要求1-7中任一项所述的一种基于层次攻击图的攻击路径分析方法，其特征在于：所述步骤(3)攻击路径生成中，对于给定的攻击源与攻击目标，通过层次攻击图间两点的路径搜索可以发现所有攻击路径，同时，为了缩减攻击路径规模，避免不必要的攻击路径生成，假设攻击者攻击行为具有单调性，通过攻击规则约束攻击路径的生成；所述攻击规则约束为攻击者攻击行为满足以下规则：

1)攻击动作能够渗透网络区域；

2)攻击动作能到达一个更重要的主机；

3)攻击动作能获取同一主机的更高权限；

4)当攻击目标与攻击源在同一社区内时，在同一社区内选择节点攻击；

5)当攻击目标与攻击源不在同一社区内时，在不同社区间选择节点攻击。