CN110874470A - 基于网络攻击预测网络空间安全性的方法及装置 - Google Patents
基于网络攻击预测网络空间安全性的方法及装置 Download PDFInfo
- Publication number
- CN110874470A CN110874470A CN201811653758.XA CN201811653758A CN110874470A CN 110874470 A CN110874470 A CN 110874470A CN 201811653758 A CN201811653758 A CN 201811653758A CN 110874470 A CN110874470 A CN 110874470A
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- markov chain
- success rate
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/29—Graphical models, e.g. Bayesian networks
- G06F18/295—Markov models or related models, e.g. semi-Markov models; Markov random fields; Networks embedding Markov models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Computing Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开一种基于网络攻击预测网络空间安全性的方法及装置,涉及网络安全技术领域,能够事先预测网络空间的安全性。所述基于网络攻击预测网络空间安全性的方法,包括:根据网络拓扑结构及网络资产信息,建立动态贝叶斯网络;根据动态贝叶斯网络,生成网络攻击图;在所述网络攻击图的边线上标注有网络资产的漏洞利用得分;根据所述漏洞利用得分,计算每条边线的吸收马尔可夫链转移概率;根据所述网络攻击图及所述吸收马尔可夫链转移概率,生成吸收马尔可夫链攻击图;根据所述吸收马尔可夫链转移概率,计算吸收马尔可夫链攻击图中每条攻击路径的攻击成功率;根据每条攻击路径的攻击成功率,确定所述网络空间的安全性。所述装置包括用于执行所述方法的模块。本发明适用于预测网络空间的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及基于网络攻击预测网络空间安全 性的方法、装置、电子设备及可读存储介质。
背景技术
随着计算机和互联网技术的飞速发展,其应用也日益广泛,使信息化、智 能化办公成为现实,人们的生活、学习、工作早已离不开计算机网络,自计算 机和互联网诞生以来,网络安全问题就伴随着计算机和互联网的发展。网络安 全问题除了原有存在的问题,黑客入侵、非法窃取网络信息、垃圾邮件等问题 也逐渐突出,这些问题严重影响了每个人的生活,甚至成为影响全国、全世界 以及各行各业的重大问题。例如,网络交易安全,若被他人用身份伪装窃取相 关信息,就可能造成交易失败,电子银行失窃等后果,使用户承担比较严重的 信息损失、经济损失等。
解决网络安全问题的一个有效途径是对网路空间的安全性进行预测,当前 存在安全性预测方法是将安全设备的日志采集后,根据现有数据分析从而产生 告警,仅是以防御者视角进行的网络空间的安全性预测。
发明内容
有鉴于此,本发明实施例提供一种基于网络攻击预测网络空间安全性的方 法、装置、电子设备及可读存储介质,能够事先预测网络空间的安全性。
第一方面,本发明实施例提供一种基于网络攻击预测网络空间安全性的方 法,包括:根据网络拓扑结构及网络资产信息,建立动态贝叶斯网络;根据动 态贝叶斯网络,生成网络攻击图;在所述网络攻击图的边线上标注有网络资产 的漏洞利用得分;根据所述漏洞利用得分,计算每条边线的吸收马尔可夫链转 移概率;根据所述网络攻击图及所述吸收马尔可夫链转移概率,生成吸收马尔 可夫链攻击图;根据所述吸收马尔可夫链转移概率,计算吸收马尔可夫链攻击 图中每条攻击路径的攻击成功率;根据每条攻击路径的攻击成功率,确定所述 网络空间的安全性。
根据本发明实施例的一种具体实现方式,所述根据所述漏洞利用得分,计 算每条边线的吸收马尔可夫链转移概率,包括:根据所述漏洞利用得分,利用 可变长度马尔可夫模型,计算每条边线的吸收马尔可夫链转移概率。
根据本发明实施例的一种具体实现方式,所述根据所述吸收马尔可夫链转 移概率,计算吸收马尔可夫链攻击图中每条攻击路径的攻击成功率,包括:根 据每条攻击路径中每条边线的吸收马尔可夫链转移概率,利用混合概率公式, 计算吸收马尔可夫链攻击图中每条攻击路径的攻击成功率。
根据本发明实施例的一种具体实现方式,所述根据每条攻击路径的攻击成 功率,确定所述网络空间的安全性,包括:将每条攻击路径的攻击成功率进行 排序;将攻击成功率最高的攻击路径,作为危险攻击路径。
根据本发明实施例的一种具体实现方式,所述根据每条攻击路径的攻击成 功率,确定所述网络空间的安全性,包括:将每条攻击路径的攻击成功率进行 排序;在排序在前的预定数目的攻击路径中,统计各中间状态节点出现的次数 或概率,对出现次数或概率最多的中间状态节点所对应的网络资产中的漏洞产 生告警。
第二方面,本发明实施例提供一种基于网络攻击预测网络空间安全性的装 置,包括:贝叶斯网络构建模块,第一攻击图生成模块,转移概率计算模块, 第二攻击图生成模块,攻击成功率计算模块,安全性确定模块,其中,贝叶斯 网络构建模块,用于根据网络拓扑结构及网络资产信息,建立动态贝叶斯网络; 第一攻击图生成模块,用于根据所述动态贝叶斯网络,生成网络攻击图;在所 述网络攻击图的边线上标注有网络资产的漏洞利用得分;转移概率计算模块, 用于根据所述漏洞利用得分,计算每条边线的吸收马尔可夫链转移概率;第二 攻击图生成模块,用于根据所述网络攻击图及所述吸收马尔可夫链转移概率, 生成吸收马尔可夫链攻击图;攻击成功率计算模块,用于根据所述吸收马尔可 夫链转移概率,计算吸收马尔可夫链攻击图中每条攻击路径的攻击成功率;安 全性确定模块,用于根据每条攻击路径的攻击成功率,确定所述网络空间的安 全性。
根据本发明实施例的一种具体实现方式,所述转移概率计算模块,具体用 于:根据所述漏洞利用得分,利用可变长度马尔可夫模型,计算每条边线的吸 收马尔可夫链转移概率。
根据本发明实施例的一种具体实现方式,所述攻击成功率计算模块,具体 用于:根据每条攻击路径中每条边线的吸收马尔可夫链转移概率,利用混合概 率公式,计算吸收马尔可夫链攻击图中每条攻击路径的攻击成功率。
根据本发明实施例的一种具体实现方式,所述安全性确定模块,包括:排 序子模块,危险路径确定子模块,其中,排序子模块,用于将每条攻击路径的 攻击成功率进行排序;危险路径确定子模块,用于将攻击成功率最高的攻击路 径,作为危险攻击路径。
根据本发明实施例的一种具体实现方式,所述安全性确定模块,包括:排 序子模块,告警模块,其中,排序子模块,用于将每条攻击路径的攻击成功率 进行排序;告警模块,用于在排序在前的预定数目的攻击路径中,统计各中间 状态节点出现的次数或概率,对出现次数或概率最多的中间状态节点所对应的 网络资产中的漏洞产生告警。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、 处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内 部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个 电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中 存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任 一实现方式所述的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读 存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个 处理器执行,以实现前述任一实现方式所述的方法。
本发明实施例提供的一种基于网络攻击预测网络空间安全性的方法、装置、 电子设备及存储介质,通过根据网络拓扑结构及网络资产信息,建立动态贝叶 斯网络,根据动态贝叶斯网络,生成网络攻击图,并可由所述网络攻击图及吸 收马尔可夫链转移概率,生成吸收马尔可夫链攻击图,这样,能够根据吸收马 尔可夫链攻击图中每条攻击路径的攻击成功率,即能够从攻击者的角度,事先 预测出网络空间的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述 中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付 出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明提供的一种基于网络攻击预测网络空间安全性的方法实施例 的流程示意图;
图2为本发明一实施例中的网络拓扑图;
图3为本发明一实施例中的动态贝叶斯网络;
图4为本发明一实施例中的网络攻击图;
图5为本发明一实施例中的吸收马尔可夫链攻击图;
图6为本发明提供一种基于网络攻击预测网络空间安全性的装置实施例的 结构示意图;
图7为本发明实施例提供的电子设备实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实 施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前 提下所获得的所有其它实施例,都属于本发明保护的范围。
第一方面,本发明实施例提供一种基于网络攻击预测网络空间安全性的方 法,能够事先预测网络空间的安全性。
图1为本发明提供的一种基于网络攻击预测网络空间安全性的方法实施例 的流程示意图,如图1所示,本实施例的方法可以包括:
步骤101、根据网络拓扑结构及网络资产信息,建立动态贝叶斯网络。
本实施例中,可预先根据网络拓扑中的网络资产的网络配置等信息建立网 络资产档案,该网络资产档案中可包括网络资产所提供的服务类型、网络物理 链路连通性、用户可访问性、系统漏洞、漏洞利用得分等信息。
动态贝叶斯网络(Dynamic Bayesian Network,DBN),是一个随着毗邻时间 步骤把不同变量联系起来的贝叶斯网络,其能够学习变量间的概率依存关系及 其随时间变化的规律。
本实施例中,通过将网络拓扑中的网络资产映射为动态贝叶斯网络中的相 应节点,来建立动态贝叶斯网络。在建立的动态贝叶斯网络中,每个与网络资 产相对应的节点的属性信息可包括所对应的网络资产的标识信息及漏洞信息。
步骤102、根据动态贝叶斯网络,生成网络攻击图。
本实施例中,可根据动态贝叶斯网络的各节点之间的链路关系,以及与网 络资产相对应的节点的属性信息,生成网络攻击图。
在生成网络攻击图中,包括初始状态节点、中间节点(也可称为转移节点) 和目标节点,节点与节点之间通过有向边线相连。在有向边线上可标注有相关 网络资产的漏洞编号和/或网络资产的漏洞利用得分。
步骤103、根据所述漏洞利用得分,计算每条边线的吸收马尔可夫链转移概 率。
在马尔可夫链中,称pij=1的状态为吸收状态。如果一个马尔可夫链中至少 包含一个吸收状态,并且从每一个非吸收状态出发,都可以到达某个吸收状态, 那么这个马尔可夫链称为吸收马尔可夫链(Absorbing Markov Chains)。
可选地,在一实施例中,所述根据所述漏洞利用得分,计算每条边线的吸 收马尔可夫链转移概率,包括:
根据所述漏洞利用得分,利用可变长度马尔可夫模型,计算每条边线的吸 收马尔可夫链转移概率。
具体地,可将观察到的攻击序列X长度视为I。这个序列可用于构建o阶模 型(0<o<I)。这个攻击序列将为I模型提供一个样本,向(I-1)阶模型提供两个 样本,向1阶模型提供I-1个样本,并向0阶模型提供I个样本,使用后缀树, 则需要利用二阶时间复杂度(O(I2))来找出对所有模型而言下一步行动为XI+1的概率po(XI+1),
在本实施例中,根据漏洞利用得分,计算每条边线的吸收马尔可夫链转移 概率的过程,可具体参考Subil Abraham和Suku Nair发表于2014年12月的文章 《Cyber SecurityAnalytics:A Stochastic Model for Security Quantification Using AbsorbingMarkov Chains》。
步骤104、根据所述网络攻击图及所述吸收马尔可夫链转移概率,生成吸收 马尔可夫链攻击图。
在根据动态贝叶斯网络生成的网络攻击图中,将每条边线的漏洞利用得分, 替换为相应的吸收马尔可夫链转移概率,即可得到吸收马尔可夫链攻击图。
步骤105、根据所述吸收马尔可夫链转移概率,计算吸收马尔可夫链攻击图 中每条攻击路径的攻击成功率。
可选地,在一实施例中,可根据每条攻击路径中每条边线的吸收马尔可夫 链转移概率,利用混合概率公式,计算吸收马尔可夫链攻击图中每条攻击路径 的攻击成功率。具体地,可根据如下公式,计算吸收马尔可夫链攻击图中每条 攻击路径的攻击成功率:
步骤106、根据每条攻击路径的攻击成功率,确定所述网络空间的安全性。
本实施例中,在得到每条攻击路径的攻击成功率之后,即可根据每条攻击 路径的攻击成功率,评估所述网络空间的安全性,以确定所述网络空间中最易 被攻击者所采用的攻击路径以及安全风险最高的网络资产。
本发明实施例中,通过根据网络拓扑结构及网络资产信息,建立动态贝叶 斯网络,根据动态贝叶斯网络,生成网络攻击图,并可由所述网络攻击图及吸 收马尔可夫链转移概率,生成吸收马尔可夫链攻击图,这样,能够根据吸收马 尔可夫链攻击图中每条攻击路径的攻击成功率,即能够从攻击者的角度,事先 预测出网络空间的安全性。
在本发明一实施例中,所述根据每条攻击路径的攻击成功率,确定所述网 络空间的安全性(步骤106),可包括:
步骤A1、将每条攻击路径的攻击成功率进行排序。
本步骤中,可将每条攻击路径的攻击成功率按照成功率的大小由高到低进 行排序。
步骤A2、将攻击成功率最高的攻击路径,作为危险攻击路径。
攻击成功率最高的攻击路径,表明攻击者通过该条路径最容易攻击目标网 络资产,因此,可将攻击成功率最高的攻击路径,作为危险攻击路径,并可做 出告警提示。
本实施例,可以根据每条攻击路径的攻击成功率,确定出所述网络空间中 攻击成功率最高的攻击路径,并可产生相应的告警信息。
在本发明一实施例中,所述根据每条攻击路径的攻击成功率,确定所述网 络空间的安全性(步骤106),还可包括:
步骤B1、将每条攻击路径的攻击成功率进行排序。
本步骤中,可将每条攻击路径的攻击成功率按照成功率的大小由高到低进 行排序。
步骤B2、在排序在前的预定数目的攻击路径中,统计各中间状态节点出现 的次数或概率,对出现次数或概率最多的中间状态节点所对应的网络资产中的 漏洞产生告警。
本实施例,可以根据每条攻击路径的攻击成功率,确定出所述网络空间中 最为脆弱(即安全性最低)的网络资产,并可产生相应的告警信息。
下面采用一个具体的实施例,对图1所示的直播方法进行详细说明。
图2为网络拓扑图,网络中包括防火墙、2台主机以及3台服务器。防火墙 预先设置策略将网络分为2个子网,使得服务器H1和H2分布在隔离区,服务 器H3、H4和H5分布在受信任区。防火墙1禁止外部主机访问受信任区中的服 务器,仅可以利用HTTP协议(80端口)与隔离区内的主机H1和H2进行通信。防 火墙2允许隔离区内的主机和受信任区内的服务器进行通信,且受信任区内的 服务器仅可以被动接收服务请求。依据经验确定攻击发起的初始位置并将攻击 分为内部和外部攻击。
步骤1、根据如图2所示的网路拓扑图,建立详细的网络资产信息如表1所 示,其中包括网络资产配置信息、所能提供的服务、漏洞名称及编号、漏洞评 分、漏洞概要及漏洞公开时间等信息。
表1
步骤2、根据图2所示的网络拓扑图及如表1所示的网络资产信息,建立动 态贝叶斯网络,如图3所示。
步骤3、根据图3所示的动态贝叶斯网络的各节点之间的链路关系,以及与 网络资产相对应的节点的属性信息,生成网络攻击图,如图4所示,图中S1为 初始状态、S7为目标状态、S2-S6为中间状态,状态与状态之间通过有向边线相 连。在有向边线上可标注有相关网络资产的漏洞编号和/或网络资产的漏洞利用 得分,如S1到S2的有向边上标注的漏洞编号为V1,漏洞利用得分为10。
对攻击图中各状态的描述如表2所示。
表2
步骤4、根据图4所示的攻击图上的漏洞利用得分并依据可变长度马尔可夫 模型,计算每条边上的吸收马尔可夫链转移概率,如表3所示。
表3
步骤5、根据图4所示的网络攻击图及表3中的吸收马尔可夫链转移概率, 生成吸收马尔可夫链攻击图,如图5所示。
步骤6、根据表3所示的每条边上的吸收马尔可夫链转移概率,利用混合概 率公式计算吸收马尔可夫链攻击图中每条攻击路径的攻击成功率,计算公式如 下所示:
计算得到吸收马尔可夫链攻击图中每条攻击路径的攻击成功率如表4所示。
表4
步骤7、根据表4所示的每条攻击路径的攻击成功率,并将每条攻击路径的 攻击成功率由大到小进行排序,得到路径10对应的攻击成功率最大,即路径10 为最优攻击路径,此时,对路径10上各中间状态对应的机器总的漏洞产生严重 警告。
同时,在排序在前5的攻击成功路径中,中间状态节点S6出现的概率最高, 则对状态S6对应的H4机器中的CVE-2013-4782产生严重警告。
第二方面,本发明实施例提供一种基于网络攻击预测网络空间安全性的装 置,能够事先预测网络空间的安全性。
图6为本发明提供一种基于网络攻击预测网络空间安全性的装置实施例一 的结构示意图,如图6所示,本实施例的防御装置,可包括:贝叶斯网络构建 模块11,第一攻击图生成模块12,转移概率计算模块13,第二攻击图生成模块 14,攻击成功率计算模块15,安全性确定模块16,其中,贝叶斯网络构建模块 11,用于根据网络拓扑结构及网络资产信息,建立动态贝叶斯网络;第一攻击 图生成模块12,用于根据所述动态贝叶斯网络,生成网络攻击图;在所述网络 攻击图的边线上标注有网络资产的漏洞利用得分;转移概率计算模块13,用于 根据所述漏洞利用得分,计算每条边线的吸收马尔可夫链转移概率;第二攻击 图生成模块14,用于根据所述网络攻击图及所述吸收马尔可夫链转移概率,生 成吸收马尔可夫链攻击图;攻击成功率计算模块15,用于根据所述吸收马尔可 夫链转移概率,计算吸收马尔可夫链攻击图中每条攻击路径的攻击成功率;安 全性确定模块16,用于根据每条攻击路径的攻击成功率,确定所述网络空间的 安全性。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现 原理和技术效果类似,此处不再赘述。
在本发明一实施例中,所述转移概率计算模块13,还可用于:根据所述漏 洞利用得分,利用可变长度马尔可夫模型,计算每条边线的吸收马尔可夫链转 移概率。
在本发明一实施例中,所述攻击成功率计算模块15,还可用于:根据每条 攻击路径中每条边线的吸收马尔可夫链转移概率,利用混合概率公式,计算吸 收马尔可夫链攻击图中每条攻击路径的攻击成功率。
在本发明一实施例中,所述安全性确定模块16,包括:排序子模块161, 危险路径确定子模块162,其中,排序子模块161a,用于将每条攻击路径的攻 击成功率进行排序;危险路径确定子模块162a,用于将攻击成功率最高的攻击 路径,作为危险攻击路径。
在本发明一实施例中,所述安全性确定模块16,还可包括:排序子模块161b, 告警模块162b,其中,排序子模块161b,用于将每条攻击路径的攻击成功率进 行排序;告警模块162b,用于在排序在前的预定数目的攻击路径中,统计各中 间状态节点出现的次数或概率,对出现次数或概率最多的中间状态节点所对应 的网络资产中的漏洞产生告警。
第三方面,本发明实施例还提供一种电子设备。图7为本发明实施例提供 的电子设备实施例的结构示意图,可以实现本发明图1所示实施例的流程,如 图7所示,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板 44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42 和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电 路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储 器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的勒索者病毒防御方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序 代码来进一步执行的步骤,可以参见本发明图1所示实施例的描述,在此不再 赘述。
该电子设备以多种形式存在,包括但不限于有计算和处理功能的桌面计算 机,服务器或其他具有计算和处理功能的电子设备。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机 可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者 多个处理器执行,用于执行前述任一实现方式所述的方法。
本发明实施例提供的一种基于网络攻击预测网络空间安全性的方法、装置、 电子设备及存储介质,通过根据网络拓扑结构及网络资产信息,建立动态贝叶 斯网络,根据动态贝叶斯网络,生成网络攻击图,并可由所述网络攻击图及吸 收马尔可夫链转移概率,生成吸收马尔可夫链攻击图,这样,能够根据吸收马 尔可夫链攻击图中每条攻击路径的攻击成功率,即能够从攻击者的角度,事先 预测出网络空间的安全性。根据每条攻击路径的攻击成功率,也可确定出所述 网络空间中最为脆弱(即安全性最低)的网络资产,并可产生相应的告警信息。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将 一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些 实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包 含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素 的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的 其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在 没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包 括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相 似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的 比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当 然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中 实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程, 是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算 机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。 其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(RandomAccess Memory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于 此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到 的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围 应以权利要求的保护范围为准。
Claims (12)
1.一种基于网络攻击预测网络空间安全性的方法,其特征在于,包括:
根据网络拓扑结构及网络资产信息,建立动态贝叶斯网络;
根据动态贝叶斯网络,生成网络攻击图;在所述网络攻击图的边线上标注有网络资产的漏洞利用得分;
根据所述漏洞利用得分,计算每条边线的吸收马尔可夫链转移概率;
根据所述网络攻击图及所述吸收马尔可夫链转移概率,生成吸收马尔可夫链攻击图;
根据所述吸收马尔可夫链转移概率,计算吸收马尔可夫链攻击图中每条攻击路径的攻击成功率;
根据每条攻击路径的攻击成功率,确定所述网络空间的安全性。
2.根据权利要求1所述的方法,其特征在于,所述根据所述漏洞利用得分,计算每条边线的吸收马尔可夫链转移概率,包括:
根据所述漏洞利用得分,利用可变长度马尔可夫模型,计算每条边线的吸收马尔可夫链转移概率。
3.根据权利要求1所述的方法,其特征在于,所述根据所述吸收马尔可夫链转移概率,计算吸收马尔可夫链攻击图中每条攻击路径的攻击成功率,包括:
根据每条攻击路径中每条边线的吸收马尔可夫链转移概率,利用混合概率公式,计算吸收马尔可夫链攻击图中每条攻击路径的攻击成功率。
4.根据权利要求1所述的方法,其特征在于,所述根据每条攻击路径的攻击成功率,确定所述网络空间的安全性,包括:
将每条攻击路径的攻击成功率进行排序;
将攻击成功率最高的攻击路径,作为危险攻击路径。
5.根据权利要求1所述的方法,其特征在于,所述根据每条攻击路径的攻击成功率,确定所述网络空间的安全性,包括:
将每条攻击路径的攻击成功率进行排序;
在排序在前的预定数目的攻击路径中,统计各中间状态节点出现的次数或概率,对出现次数或概率最多的中间状态节点所对应的网络资产中的漏洞产生告警。
6.一种基于网络攻击预测网络空间安全性的装置,其特征在于,包括:
贝叶斯网络构建模块,用于根据网络拓扑结构及网络资产信息,建立动态贝叶斯网络;
第一攻击图生成模块,用于根据所述动态贝叶斯网络,生成网络攻击图;在所述网络攻击图的边线上标注有网络资产的漏洞利用得分;
转移概率计算模块,用于根据所述漏洞利用得分,计算每条边线的吸收马尔可夫链转移概率;
第二攻击图生成模块,用于根据所述网络攻击图及所述吸收马尔可夫链转移概率,生成吸收马尔可夫链攻击图;
攻击成功率计算模块,用于根据所述吸收马尔可夫链转移概率,计算吸收马尔可夫链攻击图中每条攻击路径的攻击成功率;
安全性确定模块,用于根据每条攻击路径的攻击成功率,确定所述网络空间的安全性。
7.根据权利要求6所述的装置,其特征在于,所述转移概率计算模块,具体用于:
根据所述漏洞利用得分,利用可变长度马尔可夫模型,计算每条边线的吸收马尔可夫链转移概率。
8.根据权利要求6所述的装置,其特征在于,所述攻击成功率计算模块,具体用于:
根据每条攻击路径中每条边线的吸收马尔可夫链转移概率,利用混合概率公式,计算吸收马尔可夫链攻击图中每条攻击路径的攻击成功率。
9.根据权利要求6所述的装置,其特征在于,所述安全性确定模块,包括:
排序子模块,用于将每条攻击路径的攻击成功率进行排序;
危险路径确定子模块,用于将攻击成功率最高的攻击路径,作为危险攻击路径。
10.根据权利要求6所述的装置,其特征在于,所述安全性确定模块,包括:
排序子模块,用于将每条攻击路径的攻击成功率进行排序;
告警模块,用于在排序在前的预定数目的攻击路径中,统计各中间状态节点出现的次数或概率,对出现次数或概率最多的中间状态节点所对应的网络资产中的漏洞产生告警。
11.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一权利要求所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一权利要求所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811653758.XA CN110874470A (zh) | 2018-12-29 | 2018-12-29 | 基于网络攻击预测网络空间安全性的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811653758.XA CN110874470A (zh) | 2018-12-29 | 2018-12-29 | 基于网络攻击预测网络空间安全性的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110874470A true CN110874470A (zh) | 2020-03-10 |
Family
ID=69717060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811653758.XA Pending CN110874470A (zh) | 2018-12-29 | 2018-12-29 | 基于网络攻击预测网络空间安全性的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110874470A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
CN112019536A (zh) * | 2020-08-26 | 2020-12-01 | 浙江浙能电力股份有限公司台州发电厂 | 一种基于视频识别的安全实时数据传输系统及方法 |
CN112769859A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于马尔可夫链的网络攻击阶段统计和预测方法 |
CN113810406A (zh) * | 2021-09-15 | 2021-12-17 | 浙江工业大学 | 一种基于动态防御图与强化学习的网络空间安全防御方法 |
CN113992355A (zh) * | 2021-09-28 | 2022-01-28 | 新华三信息安全技术有限公司 | 一种攻击预测方法、装置、设备及机器可读存储介质 |
CN115021983A (zh) * | 2022-05-20 | 2022-09-06 | 北京信息科技大学 | 一种基于吸收马尔科夫链的渗透路径确定方法及系统 |
CN115296902A (zh) * | 2022-08-03 | 2022-11-04 | 国家电网公司华中分部 | 一种虚拟信息的网络伪装方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103488886A (zh) * | 2013-09-13 | 2014-01-01 | 清华大学 | 基于模糊动态贝叶斯网络的态势威胁评估方法 |
CN107135224A (zh) * | 2017-05-12 | 2017-09-05 | 中国人民解放军信息工程大学 | 基于Markov演化博弈的网络防御策略选取方法及其装置 |
CN107220540A (zh) * | 2017-04-19 | 2017-09-29 | 南京邮电大学 | 基于强化学习的入侵检测方法 |
CN108418843A (zh) * | 2018-06-11 | 2018-08-17 | 中国人民解放军战略支援部队信息工程大学 | 基于攻击图的网络攻击目标识别方法及系统 |
CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
-
2018
- 2018-12-29 CN CN201811653758.XA patent/CN110874470A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103488886A (zh) * | 2013-09-13 | 2014-01-01 | 清华大学 | 基于模糊动态贝叶斯网络的态势威胁评估方法 |
CN107220540A (zh) * | 2017-04-19 | 2017-09-29 | 南京邮电大学 | 基于强化学习的入侵检测方法 |
CN107135224A (zh) * | 2017-05-12 | 2017-09-05 | 中国人民解放军信息工程大学 | 基于Markov演化博弈的网络防御策略选取方法及其装置 |
CN108418843A (zh) * | 2018-06-11 | 2018-08-17 | 中国人民解放军战略支援部队信息工程大学 | 基于攻击图的网络攻击目标识别方法及系统 |
CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
Non-Patent Citations (1)
Title |
---|
胡浩等: "基于吸收Markov链的网络入侵路径预测方法", 《计算机研究与发展》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
CN112019536A (zh) * | 2020-08-26 | 2020-12-01 | 浙江浙能电力股份有限公司台州发电厂 | 一种基于视频识别的安全实时数据传输系统及方法 |
CN112769859A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于马尔可夫链的网络攻击阶段统计和预测方法 |
CN112769859B (zh) * | 2021-01-24 | 2021-08-27 | 中国电子科技集团公司第十五研究所 | 基于马尔可夫链的网络攻击阶段统计和预测方法 |
CN113810406A (zh) * | 2021-09-15 | 2021-12-17 | 浙江工业大学 | 一种基于动态防御图与强化学习的网络空间安全防御方法 |
CN113992355A (zh) * | 2021-09-28 | 2022-01-28 | 新华三信息安全技术有限公司 | 一种攻击预测方法、装置、设备及机器可读存储介质 |
CN113992355B (zh) * | 2021-09-28 | 2023-11-07 | 新华三信息安全技术有限公司 | 一种攻击预测方法、装置、设备及机器可读存储介质 |
CN115021983A (zh) * | 2022-05-20 | 2022-09-06 | 北京信息科技大学 | 一种基于吸收马尔科夫链的渗透路径确定方法及系统 |
CN115296902A (zh) * | 2022-08-03 | 2022-11-04 | 国家电网公司华中分部 | 一种虚拟信息的网络伪装方法 |
CN115296902B (zh) * | 2022-08-03 | 2023-11-10 | 国家电网公司华中分部 | 一种虚拟信息的网络伪装方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110874470A (zh) | 基于网络攻击预测网络空间安全性的方法及装置 | |
Yin et al. | ConnSpoiler: Disrupting C&C communication of IoT-based botnet through fast detection of anomalous domain queries | |
Vinayakumar et al. | Scalable framework for cyber threat situational awareness based on domain name systems data analysis | |
Varshney et al. | A phish detector using lightweight search features | |
US8516595B2 (en) | Method and system for estimating the reliability of blacklists of botnet-infected computers | |
Agrawal et al. | Defense schemes for variants of distributed denial-of-service (DDoS) attacks in cloud computing: A survey | |
Hu et al. | Security metric methods for network multistep attacks using AMC and big data correlation analysis | |
Vidal et al. | Online masquerade detection resistant to mimicry | |
Sornalakshmi | Detection of DoS attack and zero day threat with SIEM | |
Kholidy et al. | Online risk assessment and prediction models for Autonomic Cloud Intrusion srevention systems | |
Zang et al. | Identifying fast-flux botnet with AGD names at the upper DNS hierarchy | |
Sree et al. | HADM: detection of HTTP GET flooding attacks by using Analytical hierarchical process and Dempster–Shafer theory with MapReduce | |
Ismail et al. | New framework to detect and prevent denial of service attack in cloud computing environment | |
Vu Hong | DNS traffic analysis for network-based malware detection | |
CN110177113B (zh) | 互联网防护系统及访问请求处理方法 | |
Paul et al. | Survey of polymorphic worm signatures | |
Kontaxis et al. | Computational decoys for cloud security | |
Bruschi et al. | Formal verification of ARP (address resolution protocol) through SMT-based model checking-A case study | |
CN115001839A (zh) | 基于互联网大数据的信息安全防护系统及方法 | |
CN114372269A (zh) | 一种基于系统网络拓扑结构的风险评估方法 | |
Lee et al. | DGA-based malware detection using DNS traffic analysis | |
Alasri et al. | Protection of XML-based denial-of-service and HTTP flooding attacks in web services using the middleware tool | |
Hu et al. | A Novel Attack‐and‐Defense Signaling Game for Optimal Deceptive Defense Strategy Choice | |
Singh et al. | Enhancing Collaborative Intrusion detection networks against insider attack using supervised learning technique | |
Limkar et al. | An effective defence mechanism for detection of DDoS attack on application layer based on hidden Markov model |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200310 |