CN111371758B - 一种基于动态贝叶斯攻击图的网络欺骗效能评估方法 - Google Patents

一种基于动态贝叶斯攻击图的网络欺骗效能评估方法 Download PDF

Info

Publication number
CN111371758B
CN111371758B CN202010115506.2A CN202010115506A CN111371758B CN 111371758 B CN111371758 B CN 111371758B CN 202010115506 A CN202010115506 A CN 202010115506A CN 111371758 B CN111371758 B CN 111371758B
Authority
CN
China
Prior art keywords
node
attack
network
nodes
defense
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010115506.2A
Other languages
English (en)
Other versions
CN111371758A (zh
Inventor
吴桦
顾煜
程光
周余阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN202010115506.2A priority Critical patent/CN111371758B/zh
Publication of CN111371758A publication Critical patent/CN111371758A/zh
Application granted granted Critical
Publication of CN111371758B publication Critical patent/CN111371758B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Algebra (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于动态贝叶斯攻击图的网络欺骗防御效能评估方法,属于网络空间安全领域。该方法通过分析当前网络中的脆弱性要素,推测攻击者能力,构建动态贝叶斯攻击图模型;针对网络欺骗伪造真实资产的防御特点,综合对比真实节点与诱饵节点在网络特征、设备指纹以及文件属性等多方面的一致性,以此来对欺骗方案进行隐蔽性分析,判断防御策略能否达到预期效果;并根据分析结果和攻防对抗信息更新攻击图模型,给出定量指标来评估欺骗防御的有效性。本发明的方法可以集成在一台作为控制中心的服务器上,无需对网络中其他节点修改,具有较好的适用性。

Description

一种基于动态贝叶斯攻击图的网络欺骗效能评估方法
技术领域
本发明属于网络空间安全领域,尤其涉及一种基于动态贝叶斯攻击图的网络欺骗效能评估方法。
背景技术
网络空间欺骗是由蜜罐演进而来的一种防御机制,它并非着眼于攻击行为特征而是攻击者本身,通过干扰攻击者的认知以促使攻击者采取有利于防御方的行动。由于攻击者一般需要依靠网络探测得到的信息来确定下一步的攻击行为,网络空间欺骗防御技术可以为攻击者伪造一份虚假数据或者一个虚假环境,来保护网络内部重要资产,并记录和分析其攻击活动以得到更多关于攻击者的信息。网络空间欺骗防御技术并不尝试构建一个没有漏洞的系统,也不去刻意阻止具体的攻击行为,而是通过混淆的方法隐藏系统的外部特征,使系统展现给攻击者的是一个有限甚至完全隐蔽或者错误的攻击面,降低暴露给攻击者并被利用的资源,导致攻击复杂度和攻击者代价增长。
尽管网络空间欺骗防御技术近年来得到了广泛的关注,并提出了多种欺骗防御机制,但为了建立系统化的网络空间欺骗防御体系,如何建立有效的评估模型来对欺骗防御的效能进行分析评估仍是一大问题。目前,国内外现有的研究大多只是针对自身所提防御方法的定性评估,且局限于单一防御层次(例如网络层、系统层、应用层等),缺乏统一的、形成体系的欺骗防御效能评估方法。
发明内容
发明目的:针对现有技术的不足,本发明提出一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,
技术方案:为实现本发明的目的,本发明所采用的技术方案是:一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,该方法包括以下步骤:
(1)在评估针对一次完整攻击的网络欺骗防御效能之前,首先要对目标网络进行攻击图建模。利用通用漏洞评分系统CVSS来对网络内部存在的漏洞进行威胁分析,确定好网络拓扑、节点连通性后,遍历诱饵节点和真实资源节点的状态属性,利用开源工具Mulval实现贝叶斯攻击图的构建;
(2)许多诸如诱饵、虚假信息等基于欺骗的防御手段,它们的效用取决于攻击者无法认知到它们的存在。为了使攻击者无法从探测到的信息对所处环境产生怀疑,通常需要依据网络欺骗的一致性进行隐蔽性分析。由于诱饵节点与真实资源节点具有一一对应的关系,因此要将防御方案中涉及的诱饵节点进行一致性验证,确保攻击者通过Traceroute、Nmap、Nessus这些工具获取到的关于诱饵节点和真实资源节点在网络特征、设备指纹方面的信息一致,并使攻击者无法质疑从诱饵节点中获取到的预设核心文件。
(3)依据欺骗方案的隐蔽性分析结果,综合网络攻防对抗信息更新攻击图。从攻击图中提取攻击路径,将受诱饵节点保护的核心节点的威胁得分占攻击路径整体威胁得分的比重作为防御效能的量化指标。
进一步,所述步骤(1)中,通过威胁分析得出漏洞成功利用概率:Ps=AV*AC*AU,其中,AV是反映漏洞利用方式的量化指标,包含本地、临近网络、远程三种,即攻击者攻击主机的距离越远,漏洞得分就越高;AC为访问复杂度,有低中高之分,所需的复杂度越低,漏洞得分越高;AU为攻击者需身份验证次数的度量标准,分为None、Single、Multiple三种,所需的身份验证次数越少,漏洞得分越高。
进一步,所述步骤(1)中,真实资源节点和诱饵节点的状态属性包括0和1,其中0表示该节点此时并未被入侵,1表示攻击者已成功入侵该节点。在初始状态下的攻击图模型中,所有真实资源节点和诱饵节点的状态属性起初都为0。
进一步,所述步骤(2)中,所述防御方案的隐蔽性分析方法为:对方案中涉及节点进行一致性验证,验证方法如下:针对攻击者的不同攻击类型以及攻击目标,可以将欺骗一致性分为网络特征、设备指纹和文件属性这三个类别。其中,由Traceroute的网络探测结果可知,节点的网络特征包括IP地址、跳数、传输路径这些参数;根据Nmap、Nessus等扫描工具对节点的识别结果,节点的设备指纹参数包括应用系统版本及位数、开放端口及其关联的服务、系统漏洞;节点内文件属性包括文件权限、文件大小、所有者。利用利文斯顿距离、Jaccard系数等相似度计算方法得到诱饵节点与其对应的真实节点下各参数之间的相似度,再结合各参数所占权重,得到节点的一致性验证结果CVR;将方案涉及节点的一致性验证结果加权相乘作为本次防御方案的隐蔽性量化值CQV,其中节点权重由自身访问热度占整体网络的比重确定。
进一步,所述步骤(2)中,节点的一致性验证结果CVR为:
Figure GDA0003417081340000021
其中,描述节点信息的各参数实质上是一组键值对,将各参数的单个值看作一个元素,Ni、Ej、Fk分别表示网络特征、设备指纹、文件属性各自包含的元素,Sim()为各参数中元素的相似度计算结果;s表示节点内开放端口数量和服务总数,m表示存在漏洞的数量,l表示预设核心文件的份数;将各类别所有元素的总数的倒数作为各元素的权重,即网络特征、设备指纹和文件属性中各元素权重分别为
Figure GDA0003417081340000031
各类别按照自身拥有的元素数量占节点元素总量的比例作为自身的权重,即网络特征、设备指纹和文件属性三大类别的权重WN、WE、WF分别为
Figure GDA0003417081340000032
进一步,所述步骤(3)中,依据欺骗方案的隐蔽性分析结果,综合网络攻防对抗信息更新攻击图。从攻击图中提取攻击路径,将受诱饵节点保护的真实资产占整个攻击路径的比重作为防御效能的量化指标,具体方法如下:
(3.1)针对本阶段的攻防情况,防御者需制定下一阶段的防御方案来部署新的诱饵节点,并利用步骤(2)中诱饵节点的一致性验证结果来更新攻击图,倘若CVR超过阈值α,则进入步骤(3.2),否则直接进入步骤(3.4);
(3.2)采用节点替换的方法对攻击图进行更新,利用隐蔽性分析结果CQV:若CQV大于0.5,则利用广度优先搜索算法查找诱饵节点所对应的真实资源节点,将真实资源节点替换成该诱饵节点,并进入步骤(3.3);否则直接进入步骤(3.4);
(3.3)监控到本阶段为止防御者所部署的全部诱饵节点,总计M个,当诱饵节点di上报预警信息时,表明攻击者已经利用了该节点di,此时需将di的状态属性变更为1;
(3.4)根据对网络内N个真实资源节点的监控反馈,倘若攻击者成功入侵其中的sj,则将真实资源节点sj的状态属性变更为1;
(3.5)提取该阶段攻击者的攻击路径attack path:在上一阶段attack path的基础上,将该阶段下攻击图中状态属性变更为1的节点有序加入attack path中,并利用对攻击图威胁分析得出的漏洞利用成功概率,推测出攻击者下一阶段的入侵目标,以便防御者制定相应的防御方案;
(3.6)将attack path中的攻击威胁量化:Impact(v)=10.41*(1-(1-C)(1-I)(1-A)),其中,C、I、A分别是CVSS对漏洞v关于机密性、完整性和可用性的威胁影响得分度量标准,会依据每个漏洞的威胁性给出各漏洞具体的值;
(3.7)将attack path中受诱饵节点保护的真实资产占整个攻击路径的比重作为防御效能的量化指标:
Figure GDA0003417081340000041
其中,Impact为真实资源节点sj中漏洞vjk或诱饵节点di中漏洞vik的威胁影响得分,1≤j≤N,1≤i≤M;k表示节点中的第k个漏洞,1≤k≤m;Weight为各节点权重,由自身访问热度占整体网络总热度的比重确定;
(3.8)重复步骤(3.1)-(3.7),直至攻击者停止本次攻击,即攻击图达到最终状态;
(3.9)将所有节点状态属性置为0,重新开始新的攻击威胁监听。
有益效果:与现有技术相比,本发明的技术方案具有以下有益技术效果:
(1)由于国内外现有研究大多局限于自身所提防御方案,针对某一具体的网络欺骗技术来提出对应的评估指标,很难应用到其他场景,因此本发明提出一种基于动态贝叶斯攻击图的网络欺骗效能评估方法。该方法不局限于具体的欺骗防御手段,只考虑防御手段实施后所产生的影响以及结果,能够较好地适用于各种网络欺骗防御场景下;
(2)本方法根据目标网络当前态势构建贝叶斯攻击图模型,利用各节点的监控信息判定自身状态属性是否改变,即是否遭受攻击者入侵。针对防御者的欺骗防御方案,采用主动探测的方式对其进行隐蔽性分析,确保攻击者不会因为不一致的扫描结果而产生怀疑,保证欺骗方案的可用性。通过提取攻击图中状态属性变化的资源节点构成攻击路径,将受诱饵节点保护的真实资源节点占整个攻击路径的比重作为本次欺骗方案的防御效能。实验表明本方法在各种防御场景下都能够有效地评估防御方案效能,并为制定合理可行的防御方案提供依据。
附图说明
图1为本发明方法架构示意图;
图2为本发明攻击图更新流程图;
图3为网络欺骗防御效能评估流程图。
具体实施方式
下面结合实施实例和说明书附图对本发明作进一步的说明。
步骤一:在对网络欺骗进行评估之前,首先要对目标网络进行攻击图建模。
利用通用漏洞评分系统CVSS来对网络内部存在的漏洞进行威胁分析;
例如,依照漏洞成功利用概率的计算公式,漏洞编号为CVE-2009-0180的成功利用概率为:Ps=0.5,其中,该漏洞利用方式AV为Network,访问复杂度AC为Low,无需攻击者身份验证,即AU为None。
确定好网络拓扑、节点连通性等要素后,遍历完整的节点状态和攻击路径,实现贝叶斯攻击图的构建。
步骤二:将防御方案中涉及的节点进行一致性验证,确保攻击者只能做出和之前一致的观察;
针对攻击者的不同攻击类型以及攻击目标,可以将欺骗一致性大体分为网络特征、设备指纹和文件属性这三个类别,其中,根据Traceroute、Nmap、Nessus等常见工具的扫描结果和文件固有属性,网络特征主要包括IP地址、跳数、传输路径等,设备指纹主要包括应用系统版本及位数、开放端口及其关联的服务、系统漏洞等,文件属性主要包括文件权限、文件大小、所有者等信息。利用利文斯顿距离、Jaccard系数等相似度计算方法得到方案实施前后各参数之间的相似度,再结合各参数所占权重,得到节点的一致性验证结果CVR。
例如,在一小型实验网络中,某邮件服务器的IP地址为192.168.0.100,内部有编号为CVE-2009-0180的漏洞。在该邮件服务器上安装Kippo蜜罐监听远程通信,保证跳数、传输路径等网络特征参数不变,并利用脚本将蜜罐配置与真实系统保持一致,因此该邮件服务器的CVR可达0.99。
步骤三:将方案涉及节点的一致性验证结果加权相乘作为本次防御方案的隐蔽性量化值CQV,其中节点权重由自身访问热度占整体网络的比重确定。
在针对上述实验网络的防御方案中,包含有web服务器、文件服务器、邮件服务器和图形工作站。本实例利用低交互蜜罐进行诱饵部署,通过可编辑的配置文件使得各节点CVR可达0.99,则整体方案的隐蔽性CQV为96.06%。
步骤四:攻击图更新;
根据步骤三中对欺骗方案的隐蔽性分析结果,整体方案的CQV为96.06%,因此可以更新攻击图中所有在方案中涉及的节点。采用节点替换的方法对攻击图模型简化,根据步骤三中各诱饵节点的一致性验证结果CVR,则将资源节点si替换为对应的诱饵节点di;综合网络攻防对抗信息,当诱饵节点di上报预警信息时,表明攻击者已经利用了防御者部署的诱饵节点di,此时di=1;与此同时,根据真实资源节点sj的监控反馈,倘若攻击者成功入侵,则将sj的状态属性变更为1。
步骤五:从攻击图中提取攻击路径,将受诱饵节点保护的真实资产占整个攻击路径的比重作为防御效能的量化指标;
(1)提取该时刻攻击者的攻击路径attack path,在上一时刻attack path的基础上,将攻击图中状态属性变更为1的节点有序加入attack path中;
(2)将attack path中的攻击威胁量化:Impact(v)=10.41*(1-(1-C)(1-I)(1-A)),其中,C、I、A分别是CVSS中对机密性、完整性和可用性的威胁影响得分度量标准;
(3)将attack path中受诱饵节点保护的真实资产占整个攻击路径的比重作为防御效能的量化指标:
Figure GDA0003417081340000061
其中,Impact为真实资源节点和诱饵节点的威胁影响得分,Weight为各节点权重;
(4)重复步骤三-五,直至攻击者停止本次攻击,即攻击图达到最终状态;
(5)将所有节点状态属性置为0,重新开始新的攻击威胁监听。
例如,攻击路径attack path为Internet→webserver→mailserver→fileserver→workstation,这些路径中各节点的攻击威胁分别为1.0、6.4、6.4、4.9、10.0。根据上述步骤的分析,最终状态下的欺骗方案防御效能为86.8%。
步骤六:在一次攻击监测完成后,将所有节点状态属性置为0,重新开始新的攻击威胁监听。
上述实施例仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和等同替换,这些对本发明权利要求进行改进和等同替换后的技术方案,均落入本发明的保护范围。

Claims (5)

1.一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,该方法包括以下步骤:
(1)利用通用漏洞评分系统CVSS来对网络内部存在的漏洞进行威胁分析,确定网络拓扑、节点连通性后,遍历诱饵节点和真实资源节点的状态属性,构建贝叶斯攻击图;
(2)攻击图中诱饵节点与真实资源节点具有一一对应的关系,将防御方案中涉及的诱饵节点进行一致性验证,所述一致性验证方法如下:
(a)针对攻击者的不同攻击类型以及攻击目标,将欺骗一致性分为网络特征、设备指纹和文件属性这三个类别,其中,由Traceroute的网络探测结果可知,节点的网络特征包括IP地址、跳数、传输路径这些参数;根据Nmap、Nessus扫描工具对节点的识别结果,节点的设备指纹参数包括应用系统版本及位数、开放端口及其关联的服务、系统漏洞;节点文件属性包括文件权限、文件大小、所有者;
(b)计算得到诱饵节点与其对应的真实节点下各参数之间的相似度,再结合各参数所占权重,得到节点的一致性验证结果CVR;将方案涉及节点的一致性验证结果加权相乘作为本次防御方案的隐蔽性量化值CQV,其中节点权重由自身访问热度占整体网络的比重确定;
(3)依据欺骗方案的隐蔽性分析结果,综合网络攻防对抗信息更新攻击图,从攻击图中提取攻击路径,将受诱饵节点保护的核心节点的威胁得分占攻击路径整体威胁得分的比重作为防御效能的量化指标。
2.根据权利要求1所述的一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,所述步骤(1)中,通过威胁分析得出漏洞成功利用概率:Ps=AV*AC*AU,其中,AV是反映漏洞利用方式的量化指标,AC为访问复杂度,AU为攻击者需身份验证次数的度量标准。
3.根据权利要求1或2所述的一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,所述步骤(1)中,真实资源节点和诱饵节点的状态属性包括0和1,其中,0表示该节点此时并未被入侵,1表示攻击者已成功入侵该节点,在初始状态下的攻击图模型中,所有真实资源节点和诱饵节点的状态属性起初都为0。
4.根据权利要求3所述的一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,节点的一致性验证结果CVR为:
Figure FDA0003503658200000021
其中,将各参数的单个值看作一个元素,Ni、Ej、Fk分别表示网络特征、设备指纹、文件属性各自包含的元素,Sim()为各参数中元素的相似度计算结果;s表示节点内开放端口数量和服务总数,m表示存在漏洞的数量,l表示预设核心文件的份数;将各类别所有元素的总数的倒数作为各元素的权重,即网络特征、设备指纹和文件属性中各元素权重分别为
Figure FDA0003503658200000022
Figure FDA0003503658200000023
各类别按照自身拥有的元素数量占节点元素总量的比例作为自身的权重,即网络特征、设备指纹和文件属性三大类别的权重WN、WE、WF分别为
Figure FDA0003503658200000024
Figure FDA0003503658200000025
5.根据权利要求4所述的一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,所述步骤(3)中,依据欺骗方案的隐蔽性分析结果,综合网络攻防对抗信息更新攻击图,从攻击图中提取攻击路径,将受诱饵节点保护的核心节点的威胁得分占攻击路径整体威胁得分的比重作为防御效能的量化指标,具体方法如下:
(3.1)针对本阶段的攻防情况,制定下一阶段的防御方案来部署新的诱饵节点,并利用步骤(2)中诱饵节点的一致性验证结果来更新攻击图,倘若CVR超过阈值α,则进入步骤(3.2),否则直接进入步骤(3.4);
(3.2)采用节点替换的方法对攻击图进行更新,利用隐蔽性分析结果CQV,若CQV大于0.5,则利用广度优先搜索算法查找诱饵节点所对应的真实资源节点,将真实资源节点替换成该诱饵节点,并进入步骤(3.3);否则直接进入步骤(3.4);
(3.3)监控到本阶段为止防御者所部署的全部诱饵节点,总计M个,当诱饵节点di上报预警信息时,表明攻击者已经利用了该节点di,此时需将di的状态属性变更为1;
(3.4)根据对网络内N个真实资源节点的监控反馈,倘若攻击者成功入侵其中的sj,则将真实资源节点sj的状态属性变更为1;
(3.5)提取该阶段攻击者的攻击路径attack path:在上一阶段attack path的基础上,将该阶段下攻击图中状态属性变更为1的节点有序加入attack path中,并利用对攻击图威胁分析得出的漏洞利用成功概率,推测出攻击者下一阶段的入侵目标;
(3.6)将attack path中的攻击威胁量化:Impact(v)=10.41*(1-(1-C)(1-I)(1-A)),其中,C、I、A分别是CVSS对漏洞v关于机密性、完整性和可用性的威胁影响得分度量标准,其依据每个漏洞的威胁性给出各漏洞具体的值;
(3.7)将attack path中受诱饵节点保护的真实资产占整个攻击路径的比重作为防御效能的量化指标:
Figure FDA0003503658200000031
其中,Impact为真实资源节点sj中漏洞vjk或诱饵节点di中漏洞vik的威胁影响得分,1≤j≤N,1≤i≤M;k表示节点中的第k个漏洞,1≤k≤m;Weight为各节点权重,由自身访问热度占整体网络总热度的比重确定;
(3.8)重复步骤(3.1)-(3.7),直至攻击者停止本次攻击,即攻击图达到最终状态;
(3.9)将所有节点状态属性置为0,重新开始新的攻击威胁监听。
CN202010115506.2A 2020-02-25 2020-02-25 一种基于动态贝叶斯攻击图的网络欺骗效能评估方法 Active CN111371758B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010115506.2A CN111371758B (zh) 2020-02-25 2020-02-25 一种基于动态贝叶斯攻击图的网络欺骗效能评估方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010115506.2A CN111371758B (zh) 2020-02-25 2020-02-25 一种基于动态贝叶斯攻击图的网络欺骗效能评估方法

Publications (2)

Publication Number Publication Date
CN111371758A CN111371758A (zh) 2020-07-03
CN111371758B true CN111371758B (zh) 2022-03-25

Family

ID=71211567

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010115506.2A Active CN111371758B (zh) 2020-02-25 2020-02-25 一种基于动态贝叶斯攻击图的网络欺骗效能评估方法

Country Status (1)

Country Link
CN (1) CN111371758B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112418544B (zh) * 2020-12-01 2024-02-20 中国核电工程有限公司 一种基于三维场景的实物保护薄弱性分析方法
CN112637178B (zh) * 2020-12-18 2022-09-20 成都知道创宇信息技术有限公司 攻击相似度计算方法、装置、电子设备和可读存储介质
CN112653582B (zh) * 2020-12-21 2022-03-01 上海交通大学 基于贝叶斯攻击图的半被动工控网络安全分析工具及方法
DE102021106823B3 (de) * 2021-03-19 2022-09-22 Cybersense GmbH Verfahren für die Verbesserung der Sicherheit in einem elektronischen Kommunikationsnetz
CN113159638B (zh) * 2021-05-17 2023-04-18 国网山东省电力公司电力科学研究院 一种智能变电站分层健康度指数评估方法及装置
CN113691550B (zh) * 2021-08-27 2023-02-24 西北工业大学 一种网络攻击知识图谱的行为预测系统
CN113783881B (zh) * 2021-09-15 2023-04-07 浙江工业大学 一种面向渗透攻击的网络蜜罐部署方法
CN114048487B (zh) * 2021-11-29 2022-06-17 北京永信至诚科技股份有限公司 网络靶场的攻击过程评估方法、装置、存储介质及设备
CN114157479B (zh) * 2021-12-01 2022-09-02 北京航空航天大学 一种基于动态欺骗的内网攻击防御方法
CN114666122B (zh) * 2022-03-21 2023-03-21 北京永信至诚科技股份有限公司 一种蜜罐高仿真场景的效能评估方法及系统
CN115086059B (zh) * 2022-06-30 2023-03-21 北京永信至诚科技股份有限公司 基于欺骗域特定语言的欺骗场景描述文件生成方法、装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103368979B (zh) * 2013-08-08 2015-02-04 电子科技大学 一种基于改进K-means算法的网络安全性验证装置
IL252927A0 (en) * 2016-06-14 2017-08-31 Ur Shmuel Automated threat validation for improved incident response
CN106534195B (zh) * 2016-12-19 2019-10-08 杭州信雅达数码科技有限公司 一种基于攻击图的网络攻击者行为分析方法
CN108156163A (zh) * 2017-12-28 2018-06-12 广州锦行网络科技有限公司 基于蜜罐技术的多维欺骗诱饵实现系统及方法
CN108512837A (zh) * 2018-03-16 2018-09-07 西安电子科技大学 一种基于攻防演化博弈的网络安全态势评估的方法及系统
CN108494810B (zh) * 2018-06-11 2021-01-26 中国人民解放军战略支援部队信息工程大学 面向攻击的网络安全态势预测方法、装置及系统
CN109714364A (zh) * 2019-02-20 2019-05-03 湖南大学 一种基于贝叶斯改进模型的网络安全防御方法

Also Published As

Publication number Publication date
CN111371758A (zh) 2020-07-03

Similar Documents

Publication Publication Date Title
CN111371758B (zh) 一种基于动态贝叶斯攻击图的网络欺骗效能评估方法
Carroll et al. A game theoretic investigation of deception in network security
Kavak et al. Simulation for cybersecurity: state of the art and future directions
Han et al. Evaluation of deception-based web attacks detection
CN112039914A (zh) 一种网络攻击链效率建模方法
Govindaraj et al. An intrusion detection and prevention system for ddos attacks using a 2-player bayesian game theoretic approach
Gharehchopogh et al. Evaluation of fuzzy k-means and k-means clustering algorithms in intrusion detection systems
Apruzzese et al. Spacephish: The evasion-space of adversarial attacks against phishing website detectors using machine learning
CN115913731A (zh) 基于智能化渗透测试的战略蜜罐部署防御方法
Wang et al. Threat Analysis of Cyber Attacks with Attack Tree+.
Efendi et al. A survey on deception techniques for securing web application
Khosravi-Farmad et al. Moving target defense against advanced persistent threats for cybersecurity enhancement
Wu et al. Effectiveness evaluation method for cyber deception based on dynamic bayesian attack graph
El-Kosairy et al. A new Web deception system framework
CN117544335A (zh) 诱饵激活方法、装置、设备及存储介质
Jiang et al. Optimal network security strengthening using attack-defense game model
Gao et al. A cyber deception defense method based on signal game to deal with network intrusion
Pham et al. A quantitative framework to model reconnaissance by stealthy attackers and support deception-based defenses
Chinchani et al. A target-centric formal model for insider threat and more
Major et al. Creating cyber deception games
Kayacik et al. Using self-organizing maps to build an attack map for forensic analysis
Shi et al. Game Analysis and Optimization for Evolutionary Dynamic Heterogeneous Redundancy
Raulerson Modeling cyber situational awareness through data fusion
Elsherif et al. DDOS Botnets Attacks Detection in Anomaly Traffic: A Comparative Study.
Alqahtani et al. Enhanced Scanning in SDN Networks and its Detection using Machine Learning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant