CN111683080A - 一种高危攻击路径动态预测及修复系统与方法 - Google Patents

Abstract

一种高危攻击路径动态预测及修复系统与方法，高危攻击路径预测模块依据攻击目标采用攻击子图生成算法生成攻击子图，然后使用改进的CVSS评分策略和专家知识库估计各攻击节点的攻击发动概率、攻击成功概率以及安全监测点的置信度，得到概率攻击图，最终通过最大概率攻击路径预测算法得到高危攻击路径。高危攻击路径动态修正模块以系统日志与安全监测点报警信息作为数据源建立起Gompertz数学模型，动态反映每一个攻击及其所在路径的利用概率随时间变化的特性。修复策略模块通过攻击综合影响评估算法评估攻击的客观影响范围、客观威胁性及攻击所处拓扑位置带来的安全需求，启示最大价值修复点。本发明预测精度高，具有更高的参考度。

Description

一种高危攻击路径动态预测及修复系统与方法

技术领域

本发明属于信息安全领域，具体涉及一种高危攻击路径动态预测及修复系统与方法。

背景技术

网络的出现促使社会生产力快速发展，为文化传播和科技创新搭建了新的平台，不仅方便了人类的工作与生活，而且如今已经成为必不可少的工具。但是，由于网络系统本身的复杂性和脆弱性以及恶意用户对网络系统的恶意使用，个人信息泄露、信息恶意篡改、恶意侵占资源等危害社会及个人的网络安全事件层出不穷。网络系统安全检测与评估是指对网络系统中可能存在的高危漏洞以及攻击渗透路径进行检查并评估网络系统的安全性。

网络系统安全检测与评估作为一种安全预防手段，能够在网络系统真正遭受灾难性打击之前检查出网络系统中存在的高危部件，启示可能的渗透路径并警示人们及时进行阻断，具有未雨绸缪、积谷防饥的优点，在保障网络系统安全方面起到重大且积极的作用，因此对于网络系统安全检测与评估的研究也成为信息安全领域的一个研究热点。

作为一门新兴理论，网络系统的安全检测与评估技术涉及到通信、计算机、人工智能、统计学、信息安全等多个学科和技术领域的交叉，它涵盖了攻击图生成、概率建模、攻击路径预测、攻击意图推测等多个子研究领域。上述每个子研究领域都已经开展了大量的研究，并取得了不少研究成果，但仍有很多技术问题尚待探索和解决。

综上所述，现有技术存在的问题是：概率建模涉及攻击者角度与攻击角度的考虑，而现实世界攻击者的水平参差不齐、攻击目标千变万化、攻击技术的发展与传播与时俱进，难以确定每种攻击的发动概率。并且，网络系统脆弱性拓扑结构以及软件版本多种多样，不同的情况下难以确定网络系统的关键脆弱点。因此，解决上述技术问题的难度在于现实世界情况多变，攻击发动概率与网络系统关键脆弱点的估计结果差强人意。

发明内容

本发明的目的在于针对上述现有技术中网络系统的攻击路径难以确定的问题，提供一种高危攻击路径动态预测及修复系统与方法，通过攻击子图生成算法和改进的CVSS评分策略提高估计精度，通过Gompertz数学模型动态修正使攻击概率更贴近实际情况，通过攻击综合影响评估算法启示最大价值修复点，考虑特定攻击图拓扑结构的影响，具有更高的参考度。

为了实现上述目的，本发明采用如下的技术方案：

一种高危攻击路径动态预测及修复系统，包括：

-高危攻击路径预测模块；

用于通过分析攻击图，从机密性、完整性和可用性的角度找到所有可能的最终攻击目标节点；对于某一可能的最终攻击目标节点，采用攻击子图生成算法去掉攻击图中不能到达该攻击目标的其它节点及相应有向边，得到攻击子图；在攻击子图的基础上运用改进的CVSS评分策略和专家知识库估计攻击发动概率、攻击成功概率和安全监测点置信度后得到概率攻击图；进而，在概率攻击图基础上采用最大概率攻击路径预测算法得到高危攻击路径；

-高危攻击路径动态修正模块；

用于以系统日志与安全监测点报警信息作为数据源，建立攻击节点的Gompertz数学模型，动态反映攻击节点的攻击发动概率随时间变化的特性；进而，通过高危攻击路径预测模块预测出随时间动态变化的高危路径；

-修复策略模块；

用于通过攻击综合影响评估算法从影响范围和威胁性角度出发，度量攻击的客观完整性、机密性和可用性危害，并结合攻击所处的特定概率攻击图拓扑结构的安全需求，启示最大价值修复点。

优选的，所述的攻击子图生成算法为一种改进的深度优先搜索遍历算法；

具体的，该算法根据确定的攻击目标节点，在攻击图的基础上计算出所有能够直接或间接到达该攻击目标节点的其它节点及相应有向边，由这些节点与有向边构成攻击子图。

优选的，所述改进的CVSS评分策略为一种攻击发动概率评估方法；该方法从攻击本身具有的性质以及攻击者的角度出发，根据攻击者所处的可能攻击环境、攻击发动的难易程度、攻击是否需要用户参与以及攻击能给攻击者带来的收益大小评估一个攻击的攻击发动概率。

优选的，所述的专家知识库为一种攻击成功概率参数及安全监测点置信度参数评估方法；该方法根据攻击复杂度的高低提供相应经验值以评估攻击的攻击成功概率参数；攻击越复杂，成功概率越小；并且该方法根据不同厂商生产的安全检测产品的误报率特征给出安全监测点的置信度参数。

优选的，所述的最大概率攻击路径预测算法包含两个子算法：累计概率计算算法和最大概率路径选择算法；

状态节点和攻击节点的累计概率定义为在给定概率攻击图和当前安全监测点的报警信息的情况下，达到当前状态或者发动当前攻击的整个可能性；安全监测点的累计概率定义为此处是否设有安全检测软件；

累计概率计算算法根据概率攻击图中攻击发动概率、攻击成功概率、安全监测点设置情况、安全监测点报警信息及其置信度，计算概率攻击图中所有节点的累计概率；最大概率路径选择算法根据概率攻击图中各节点的累计概率预测网络系统中的最大概率攻击路径，也就是高危攻击路径。

优选的，所述的Gompertz数学模型在函数图像上呈近似S型曲线，该数学模型反映出攻击者可能会存在的惰性心理以及攻击技术随时间发展与传播的变化。

优选的，所述的攻击综合影响评估算法结合攻击本身危害与攻击所处拓扑位置结构带来的安全需求，评估概率攻击图中各攻击节点对网络系统可能造成的综合影响大小，启示最有修复价值的攻击节点，即最大价值修复点。

本发明同时提供一种高危攻击路径动态预测及修复方法，包括以下步骤：

一、通过分析攻击图，从机密性、完整性和可用性的角度找到所有可能的最终攻击目标节点；对于某一可能的最终攻击目标节点，采用攻击子图生成算法去掉攻击图中不能到达该攻击目标的其它节点及相应有向边，得到攻击子图；在攻击子图的基础上运用改进的CVSS评分策略和专家知识库估计攻击发动概率、攻击成功概率和安全监测点置信度后得到概率攻击图；进而，在概率攻击图基础上采用最大概率攻击路径预测算法得到高危攻击路径；

攻击子图生成算法为一种改进的深度优先搜索遍历算法，包括以下步骤：

1)给定完整攻击图G0、初始状态节点s0、目标状态节点g0，建立集合S2；

2)集合S2初始化，将目标节点g0加入集合S2；

3)建立辅助数据结构栈Q，初始节点s0入栈；

4)弹栈得到节点si/ai，记录路径s0→…→si/ai，判断节点si/ai是否在集合S2中出现，如果出现，将路径上的所有不在集合S2中的节点加入集合S2；

5)将不在集合S2中的节点si/ai直接转移到的所有下一节点sj/ai,sk/ak,…,sl/al依次入栈；

6)重复步骤4)、5)直到栈Q为空；

7)所有出现在集合S2中的状态节点、攻击节点及相应的安全监测点、相应的有向边构成攻击目标状态节点gi对应的攻击子图Gi；

改进的CVSS评分策略为一种攻击发动概率评估方法，包括以下步骤：

1)攻击向量指标赋值；攻击向量指标从攻击本身角度出发，反映可能的攻击环境，攻击者越能在逻辑上和物理上远程利用脆弱的组件，攻击发动的条件就越宽松，攻击发动概率就越大，对应取值就越大；根据攻击特性对该指标赋值；

2)攻击复杂度指标赋值；

攻击复杂度指标从攻击者角度出发，描述攻击者为了发动攻击而必须具有的但超出攻击者控制范围的条件；这些条件的成立依赖于攻击者的知识水平并需要攻击者付出努力；攻击越简单可用，攻击发动概率就越大，对应取值就越大；根据攻击特性对该指标赋值；

3)权限要求指标赋值；权限要求指标描述攻击者在成功攻击之前必须拥有的特权级别；由于在攻击图中，状态节点本身能反映出攻击者具有的特权及资源，因此对于所有攻击该指标全部设置为常数值表示无其他权限需要；

4)用户交互指标赋值；用户交互指标描述攻击者除外的用户参与成功攻击脆弱组件的需求；此度量指标反映攻击者是否可以根据自己的意愿单独发动攻击，或者是否必须有其他用户以某种方式参与；当不需要用户交互时，攻击发动最容易，攻击发动概率最大，对应取值最大；根据攻击特性对该指标赋值；

5)机密性指标赋值；机密性指标描述成功攻击后对网络系统信息资源的机密性影响；组件机密性损失对攻击者继续发动下一次攻击能产生积极影响；受影响组件的机密性损失越大，攻击者可能获得越多的权限与资源，攻击发动概率越大，对应取值越大；根据攻击特性对该指标赋值；

6)完整性指标赋值；完整性指标描述成功攻击后对网络系统信息资源的完整性影响；组件完整性损失对攻击者继续发动下一次攻击能产生积极影响；受影响的组件完整性损失越大，攻击者可能获得越多的权限与资源，攻击发动概率越大，对应取值越大；根据攻击特性对该指标赋值；

7)可用性指标赋值；可用性指标描述成功攻击后对网络系统资源的可用性影响；可用性指标赋予常数值，表示不考虑；

8)影响范围指标确定；影响范围指标描述攻击是否能影响超出其安全范围的组件；安全范围定义和实施访问控制，规定主体或参与者如何以受控的方式访问受限制的对象或资源；如果对脆弱组件的攻击可以影响与该组件处于不同安全范围的组件，则会发生范围更改；安全范围指标并不具备具体数值，而是影响攻击评分计算公式；根据攻击特性确定指标度量值；

9)根据攻击评分计算公式计算各攻击评分；

10)根据评分查找表格得到各个攻击的攻击发动概率；

专家知识库为一种攻击成功概率参数及安全监测点置信度参数评估方法，用于评估攻击成功概率与安全监测点置信度；

所述的最大概率攻击路径预测算法包含两个子算法：累计概率计算算法和最大概率路径选择算法；累计概率计算算法包括以下步骤：

1)建立辅助数据结构队列Q；

2)初始化队列Q，将初始状态节点s0入队；

3)所有安全监测点累计概率初始化；如果网络系统在攻击节点ai对应的安全监测点oi处设有安全检测软件，则CP(oi)＝1；否则，CP(oi)＝0；

4)队列弹出节点si/ai，si/ai的所有直接后继节点入队；

5)如果弹出的是状态节点，采用“或”操作计算状态节点si的累计概率，表示多个不同攻击可以到达相同状态，计算公式如下：

pre(si)表示si的所有直接先继攻击节点，pi表示攻击ai的攻击成功概率；

如果弹出的是攻击节点，采用“与”操作计算攻击节点ai的累计概率，表示发动攻击需要多个前提条件同时满足，计算公式如下：

pre(ai)表示ai的所有直接先继状态节点，pi表示处于si状态下发动攻击ai的攻击发动概率；

如果攻击节点ai对应的安全监测点累计概率不为0，则还需要一次“或”操作计算ai的累计概率，表示安全监测点报警也可在一定程度上相信攻击ai发生，计算公式如下：

CP(ai)＝CP′(ai)+CP(oi)*pi-CP′(ai)*CP(oi)*pi

CP(oi)表示ai对应的安全监测点累计概率，pi表示安全监测点置信度；

6)重复步骤3)、4)直到队列为空，得到所有节点的累计概率；

最大概率路径选择算法包括以下步骤：

1)建立辅助数据结构队列Q与路径Path；

2)初始化队列，目标节点gi入队；

3)队列弹出节点si/ai；

4)如果是攻击节点ai，则将ai的所有直接前继状态节点记录到路径Path中，并且所有状态节点加入队列Q，表示ai的发动需要多个前提条件同时满足；

如果是状态节点si，则对于si的所有直接前继攻击节点，找到其中累计概率最大的攻击节点记录到路径Path中并入队Q；

5)重复步骤3)、4)，直到队列Q为空；Path中记录的即为最大概率攻击路径，也就是高危路径；

二、以系统日志与安全监测点报警信息作为数据源，建立攻击节点的Gompertz数学模型，动态反映攻击节点的攻击发动概率随时间变化的特性；进而，通过高危攻击路径预测模块预测出随时间动态变化的高危路径；

Gompertz数学模型的模型公式为

模型建立包括以下步骤：

1)对攻击节点ai，划分时间间隔T，每隔时间间隔T查询一次系统日志或对应安全监测点信息，搜集攻击造成的攻击量信息，得到N个序列y1,y2,…,yn；其中，N＝3r；

2)将N个数据均匀分成三组；

3)求各组数据的对数和：

4)根据下列公式计算模型参数a、b、k的值：

5)对得到的参数进行检验，符合1n a＜0，0＜b＜l；

6)动态修正攻击发动概率；

7)每隔时间间隔T搜集新的数据并周期性重新估计参数，以使参数的误差最小；

所述的动态修正攻击发动概率由以下步骤组成：

1)确定竞争范围；攻击发动概率的修正以竞争范围为单位；以同一状态节点为前提条件的多个不同攻击节点表示一个竞争范围；

2)确定同一竞争范围内不参加修正的攻击节点；不存在相应安全监测点提供信息导致无法建立模型的攻击节点不参加修正；

3)计算未来预测值；参加修正的攻击节点a0,a1,…,ai分别根据各自的模型计算在未来时间间隔T0内的攻击量预测值：v0＝V0(t+T0)-V0(t),…,vi＝Vi(t+T0)-Vi(t)

4)找到预测值最小的攻击节点ak，计算每个攻击相对于ak的权重：

w0＝V0(t)/Vk(t),…,wi＝Vi(t)/Vk(t)

5)动态修正a0,a1,…,ai攻击发动概率：pi′＝pi*wi；

三、通过攻击综合影响评估算法从影响范围和威胁性角度出发，度量攻击的客观完整性、机密性和可用性危害，并结合攻击所处的特定概率攻击图拓扑结构的安全需求，启示最大价值修复点；

攻击综合影响评估算法包括以下步骤：

1)计算攻击节点攻击威胁性评分与攻击影响范围指标值；每一个攻击能带来的影响是客观存在的，不随着攻击者的主观选择考虑而变化；因此，从修补角度出发，需要考虑攻击所能带来的所有客观影响，包括机密性、完整性、可用性和影响范围；

2)确定攻击节点安全需求值；采用拓扑影响确定算法确定攻击的安全需求值，安全需求值反映了攻击在概率攻击图中的拓扑位置带来的安全影响；

3)根据攻击综合影响评估计算公式计算攻击综合影响评分；

4)得分最大的攻击节点即为最大价值修复点。

优选的：

1)攻击向量指标赋值；

2)攻击复杂度指标赋值；

3)权限要求指标赋值；

度量值	描述	取值
			不需要	攻击者并不需要先授权再发动攻击	0.85

4)用户交互指标赋值；

度量值	描述	取值
			不需要	攻击可以在没有任何其他用户参与交互的情况下发动	0.85
需要	在成功发动攻击前需要用户采取一些行动	0.62

5)机密性指标赋值；

6)完整性指标赋值；

7)可用性指标赋值；

度量值	描述	取值
			无影响	不考虑可用性影响	0

8)影响范围指标确定；

度量值	描述
		不改变	攻击只能影响由同一安全范围内的资源
改变	攻击可以影响安全范围之外的资源

9)根据攻击评分计算公式计算各攻击评分；

ISS＝1-(1-C)*(1-I)*(1-A)

Score1＝8.22*AV*AC*PR*UI

如果攻击影响范围不变：Score2＝6.42*ISSScore＝Minimum(Score1+Score2,10)如果攻击影响范围改变：Score2＝7.52*(ISS-0.029)-3.25*(ISS-0.02)^15Score＝Minimum(1.08*(Score1+Score2),10)；AV为攻击向量指标；AC为攻击复杂度指标；PR为权限要求指标；UI为用户交互指标；C为机密性指标；I为完整性指标；A为可用性指标；

10)各个攻击的攻击发动概率评分表如下：

得分	概率取值
		0.1-2.9	0.2
3.0-6.9	0.6
		7.0-10.0	0.8

根据评分查找表格得到各个攻击的攻击发动概率。

优选的，攻击成功概率参数及安全监测点置信度参数评估方法提供的经验值如下表所示：

攻击成功难易度	成功率概率取值
		容易(AC＝0.85)	0.7～1
难(AC＝0.35)	0.1～0.5
		安全监测点误报率	安全监测点置信度
>50％	0.5
		<50％	0.8

攻击综合影响评估算法的可用性完整取值表如下：

攻击综合影响评估算法的安全需求取值表如下：

根据攻击综合影响评估计算公式如下：

MISS＝Minimum(1-(1-CR*C)*(1-IR*I)*(1-AR*A),0.915)

如果影响范围没变：Score＝6.42*MISS

如果影响范围改变:Score＝7.52*(MISS-0.029)-3.25*(MISS*0.9731-0.02)^13

CR为机密性需求，IR为完整性需求，AR为可用性需求；

C为机密性指标；I为完整性指标；A为可用性指标；

拓扑影响确定算法包括以下步骤：

1)参数初始化，概率攻击图Gi上所有攻击节点的CR/IR/AR参数均初始化为0；

2)出现在高危路径上的所有攻击节点的CR/IR/AR参数分配高值；

3)遍历概率攻击图Gi得到所有可能攻击路径，除去已经出现在高危路径上的攻击节点，其他攻击节点统计出现在攻击路径上的频次；

4)依据频次大小以升序的方式对攻击节点进行排序；

5)出现次数越多的节点具有越高的安全需求，表示越具有修复价值，排序后的前三分之一攻击节点的CR/IR/AR参数分配低值；中间三分之一攻击节点的CR/IR/AR参数分配中值；最后三分之一攻击节点的CR/IR/AR参数分配高值；低值为0.5，中值为1，高值为1.5。

相较于现有技术，本发明具有如下的有益效果：

高危攻击路径预测模块依据攻击目标采用攻击子图生成算法生成攻击子图，然后使用改进的CVSS评分策略和专家知识库估计各攻击节点的攻击发动概率、攻击成功概率以及安全监测点的置信度，得到概率攻击图，最终通过最大概率攻击路径预测算法得到高危攻击路径。高危攻击路径动态修正模块以系统日志与安全监测点报警信息作为数据源建立起Gompertz数学模型，动态反映每一个攻击及其所在路径的利用概率随时间变化的特性，得到动态变化的高危攻击路径。修复策略模块通过攻击综合影响评估算法评估攻击的客观影响范围、客观威胁性及攻击所处拓扑位置带来的安全需求，启示最大价值修复点。区别于传统的网络系统安全检测，本发明合理利用最大概率攻击路径预测算法，以寻找高危攻击路径为目标，首先确定攻击发动概率、攻击成功概率和安全监测点置信度三大参数，然后预测网络系统的高危路径并建立数学模型动态反映高危路径随时间变化的特征，最后启示最大价值修复点。攻击子图生成算法考虑了攻击目标难以猜测与不确定导致的对概率估计的消极影响。大部分网络系统的入侵攻击者都具有特定的主要攻击目标，攻击者在发动每一次攻击时会考虑发动能够接近目标的、简单的、快的攻击，而不是只盲目采取当前状态下能采取的最简单的攻击。因此算法每次执行只针对一个确定的攻击目标生成攻击子图，为后续概率估计提高了精确性。在启示最大价值修复点时，本发明的攻击综合影响评估算法考虑了网络系统脆弱性拓扑结构多种多样的问题，针对不同攻击图不同攻击节点具有不同的修复价值，具有更高的参考度。

进一步的，本发明改进的CVSS评分策略中，考虑了攻击图的性质与现实世界攻击者水平参差不齐甚至低水平攻击者占据多数的问题，改进了取值，使得概率贴近实际情况。

进一步的，本发明在动态修正概率过程中的Gompertz数学模型考虑了攻击者的惰性心理及攻击的极限价值。最开始，攻击者通过摸索找到网络系统存在的攻击并发掘出能够达到目标节点的一条攻击路径。随后，攻击者在发动第二次、第三次攻击时，由于有了第一次成功经验，更倾向于使用第一次发掘的路径。相应的，多次沿着同一路径渗透会引起安全监测点及用户注意，或者，攻击者对原路径上状态节点的开发已经到了极限，不再能挖掘出更大价值，攻击路径利用概率趋于平稳，Gompertz模型对概率动态修正进一步提升了精确度。

附图说明

图1本发明高危攻击路径动态预测方法流程图；

图2本发明最大修复价值攻击节点获取流程图；

图3本发明实施例的攻击路径示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的实施例仅用以解释本发明，并不用于限定本发明。

参见图3，实施例假设所有的安全监测点置信度都为0.5，初始节点s0，目标节点s3。

1)根据表1概率参数表采用累计概率计算算法得到各节点累计概率：

表1概率参数表

边	利用概率	边	成功概率
				(s0，a1)	0.8	(a1，s1)	0.9
(s0.a5)	0.6	(a2，s2)	1.0
				(s0，a8)	0.4	(a3，s2)	1.0
(s1.a2)	0.8	(a4，s3)	1.0
				(s1，a3)	0.2	(a5.s4)	0.9
(s2，a4)	0.6	(a6，s5)	1.0
				(s4，a6)	0.6	(a7，s3)	1.0
(s5.a7)	0.8	(a8，s5)	0.5

①当无监测点报警时，累计概率表计算如下：

②当o5与o6安全监测点报警时，累计概率表计算如下：

2)在累计概率表的基础上采用最大概率路径选择算法计算高危路径。

情况①高危路径：S0→a1→s1→a2→s2→a4→s3

情况②高危路径：

3)根据表2-3提供的数据源建立起攻击节点a1与攻击节点a2的Gompertz数学模型：

表2攻击节点a1的Gompertz模型数据源表

序号	时间/天	攻击累积量
			1	90	29
2	180	126
			3	270	326
4	360	493
			5	450	614
6	540	671

表3攻击节点a2的Gompertz模型数据源表

序号	时间/天	攻击累积量
			1	90	10
2	180	91
			3	270	207
4	360	440
			5	450	556
6	540	611

a1：V1(t)＝736.567*0.0124^(0.528^t)；

a2：V2(t)＝827.306*0.049^(0.571^t)；

4)动态修正同一竞争范围的攻击节点a1和a2的攻击发动概率并获得最新的高危路径；

对540天-630天的预测：

a1：V1(630)-V1(540)

a2：V2(630)-V2(540)

权重：wi＝[V1(630)-V1(540)]/[V2(630)-V2(540)]≈1.1；

a1概率修正：pi’＝wi*pi＝1.1*0.8＝0.88

重新调用最大概率攻击路径预测算法得到最新的最大概率攻击路径：

S0→a1→s1→a2→s2→a4→s3

根据计算结果可知，在这段时间内攻击者还是会倾向于使用原来的最大概率攻击路径；

5)采用攻击综合影响评估算法确定攻击的机密性、完整性、可用性、影响范围及安全需求值如下表所示：

注：假设此次修复不考虑可用性影响且为了说明一般情况暂时不考虑具体高危路径带来的安全需求。

攻击综合影响如下表所示：

攻击节点	综合影响评分
		a1	5.89
a2	4.21
		a3	1.41
a4	5.75
		a5	0.701
a6	5.732
		a7	3.54
a8	1.80

综上可知，a1是最具修复价值的节点。

本发明通过攻击子图生成算法、改进的CVSS评分策略和Gompertz数学模型动态估计攻击发动概率，攻击子图生成算法和改进的CVSS评分策略可以提高估计精度，Gompertz数学模型可以动态修正使得攻击概率更贴近实际情况；通过攻击综合影响评估算法启示最大价值修复点，算法考虑了特定攻击图拓扑结构的影响，具有更高的参考度。

以上所述仅仅是本发明的较佳实施例，并不用以对本发明的技术方案进行任何限制，本领域技术人员应当理解的是，在不脱离本发明精神和原则的前提下，该技术方案还可以进行若干简单的修改和替换，这些修改和替换也均属于权利要求书所涵盖的保护范围之内。

Claims (10)

1.一种高危攻击路径动态预测及修复系统，其特征在于，包括：

-高危攻击路径预测模块；

用于通过分析攻击图，从机密性、完整性和可用性的角度找到所有可能的最终攻击目标节点；对于某一可能的最终攻击目标节点，采用攻击子图生成算法去掉攻击图中不能到达该攻击目标的其它节点及相应有向边，得到攻击子图；在攻击子图的基础上运用改进的CVSS评分策略和专家知识库估计攻击发动概率、攻击成功概率和安全监测点置信度后得到概率攻击图；进而，在概率攻击图基础上采用最大概率攻击路径预测算法得到高危攻击路径；

-高危攻击路径动态修正模块；

用于以系统日志与安全监测点报警信息作为数据源，建立攻击节点的Gompertz数学模型，动态反映攻击节点的攻击发动概率随时间变化的特性；进而，通过高危攻击路径预测模块预测出随时间动态变化的高危路径；

-修复策略模块；

用于通过攻击综合影响评估算法从影响范围和威胁性角度出发，度量攻击的客观完整性、机密性和可用性危害，并结合攻击所处的特定概率攻击图拓扑结构的安全需求，启示最大价值修复点。

2.根据权利要求1所述的高危攻击路径动态预测及修复系统，其特征在于：所述的攻击子图生成算法为一种改进的深度优先搜索遍历算法；

该算法根据确定的攻击目标节点，在攻击图的基础上计算出所有能够直接或间接到达该攻击目标节点的其它节点及相应有向边，由这些节点与有向边构成攻击子图。

3.根据权利要求1所述的高危攻击路径动态预测及修复系统，其特征在于：所述改进的CVSS评分策略为一种攻击发动概率评估方法；该方法从攻击本身具有的性质以及攻击者的角度出发，根据攻击者所处的可能攻击环境、攻击发动的难易程度、攻击是否需要用户参与以及攻击能给攻击者带来的收益大小评估一个攻击的攻击发动概率。

4.根据权利要求1所述的高危攻击路径动态预测及修复系统，其特征在于：所述的专家知识库为一种攻击成功概率参数及安全监测点置信度参数评估方法；该方法根据攻击复杂度的高低提供相应经验值以评估攻击的攻击成功概率参数；攻击越复杂，成功概率越小；并且该方法根据不同厂商生产的安全检测产品的误报率特征给出安全监测点的置信度参数。

5.根据权利要求1所述的高危攻击路径动态预测及修复系统，其特征在于，所述的最大概率攻击路径预测算法包含两个子算法：累计概率计算算法和最大概率路径选择算法；

状态节点和攻击节点的累计概率定义为在给定概率攻击图和当前安全监测点的报警信息的情况下，达到当前状态或者发动当前攻击的整个可能性；安全监测点的累计概率定义为此处是否设有安全检测软件；

累计概率计算算法根据概率攻击图中攻击发动概率、攻击成功概率、安全监测点设置情况、安全监测点报警信息及其置信度，计算概率攻击图中所有节点的累计概率；最大概率路径选择算法根据概率攻击图中各节点的累计概率预测网络系统中的最大概率攻击路径，也就是高危攻击路径。

6.根据权利要求1所述的高危攻击路径动态预测及修复系统，其特征在于，所述的Gompertz数学模型在函数图像上呈近似S型曲线，该数学模型反映出攻击者可能会存在的惰性心理以及攻击技术随时间发展与传播的变化。

7.根据权利要求1所述的高危攻击路径动态预测及修复系统，其特征在于，所述的攻击综合影响评估算法结合攻击本身危害与攻击所处拓扑位置结构带来的安全需求，评估概率攻击图中各攻击节点对网络系统可能造成的综合影响大小，启示最有修复价值的攻击节点，即最大价值修复点。

8.一种高危攻击路径动态预测及修复方法，包括以下步骤：

一、通过分析攻击图，从机密性、完整性和可用性的角度找到所有可能的最终攻击目标节点；对于某一可能的最终攻击目标节点，采用攻击子图生成算法去掉攻击图中不能到达该攻击目标的其它节点及相应有向边，得到攻击子图；在攻击子图的基础上运用改进的CVSS评分策略和专家知识库估计攻击发动概率、攻击成功概率和安全监测点置信度后得到概率攻击图；进而，在概率攻击图基础上采用最大概率攻击路径预测算法得到高危攻击路径；

攻击子图生成算法为一种改进的深度优先搜索遍历算法，包括以下步骤：

1)给定完整攻击图G0、初始状态节点s0、目标状态节点g0，建立集合S2；

2)集合S2初始化，将目标节点g0加入集合S2；

3)建立辅助数据结构栈Q，初始节点s0入栈；

4)弹栈得到节点si/ai，记录路径s0→...→si/ai，判断节点si/ai是否在集合S2中出现，如果出现，将路径上的所有不在集合S2中的节点加入集合S2；

5)将不在集合S2中的节点si/ai直接转移到的所有下一节点sj/ai，sk/ak，...，sl/al依次入栈；

6)重复步骤4)、5)直到栈Q为空；

7)所有出现在集合S2中的状态节点、攻击节点及相应的安全监测点、相应的有向边构成攻击目标状态节点gi对应的攻击子图Gi；

改进的CVSS评分策略为一种攻击发动概率评估方法，包括以下步骤：

1)攻击向量指标赋值；攻击向量指标从攻击本身角度出发，反映可能的攻击环境，攻击者越能在逻辑上和物理上远程利用脆弱的组件，攻击发动的条件就越宽松，攻击发动概率就越大，对应取值就越大；根据攻击特性对该指标赋值；

2)攻击复杂度指标赋值；

攻击复杂度指标从攻击者角度出发，描述攻击者为了发动攻击而必须具有的但超出攻击者控制范围的条件；这些条件的成立依赖于攻击者的知识水平并需要攻击者付出努力；攻击越简单可用，攻击发动概率就越大，对应取值就越大；根据攻击特性对该指标赋值；

3)权限要求指标赋值；权限要求指标描述攻击者在成功攻击之前必须拥有的特权级别；由于在攻击图中，状态节点本身能反映出攻击者具有的特权及资源，因此对于所有攻击该指标全部设置为常数值表示无其他权限需要；

4)用户交互指标赋值；用户交互指标描述攻击者除外的用户参与成功攻击脆弱组件的需求；此度量指标反映攻击者是否可以根据自己的意愿单独发动攻击，或者是否必须有其他用户以某种方式参与；当不需要用户交互时，攻击发动最容易，攻击发动概率最大，对应取值最大；根据攻击特性对该指标赋值；

5)机密性指标赋值；机密性指标描述成功攻击后对网络系统信息资源的机密性影响；组件机密性损失对攻击者继续发动下一次攻击能产生积极影响；受影响组件的机密性损失越大，攻击者可能获得越多的权限与资源，攻击发动概率越大，对应取值越大；根据攻击特性对该指标赋值；

6)完整性指标赋值；完整性指标描述成功攻击后对网络系统信息资源的完整性影响；组件完整性损失对攻击者继续发动下一次攻击能产生积极影响；受影响的组件完整性损失越大，攻击者可能获得越多的权限与资源，攻击发动概率越大，对应取值越大；根据攻击特性对该指标赋值；

7)可用性指标赋值；可用性指标描述成功攻击后对网络系统资源的可用性影响；可用性指标赋予常数值，表示不考虑；

8)影响范围指标确定；影响范围指标描述攻击是否能影响超出其安全范围的组件；安全范围定义和实施访问控制，规定主体或参与者如何以受控的方式访问受限制的对象或资源；如果对脆弱组件的攻击可以影响与该组件处于不同安全范围的组件，则会发生范围更改；安全范围指标并不具备具体数值，而是影响攻击评分计算公式；根据攻击特性确定指标度量值；

9)根据攻击评分计算公式计算各攻击评分；

10)根据评分查找表格得到各个攻击的攻击发动概率；

专家知识库为一种攻击成功概率参数及安全监测点置信度参数评估方法，用于评估攻击成功概率与安全监测点置信度；

所述的最大概率攻击路径预测算法包含两个子算法：累计概率计算算法和最大概率路径选择算法；累计概率计算算法包括以下步骤：

1)建立辅助数据结构队列Q；

2)初始化队列Q，将初始状态节点s0入队；

3)所有安全监测点累计概率初始化；如果网络系统在攻击节点ai对应的安全监测点oi处设有安全检测软件，则CP(oi)＝1；否则，CP(oi)＝0；

4)队列弹出节点si/ai，si/ai的所有直接后继节点入队；

5)如果弹出的是状态节点，采用“或”操作计算状态节点si的累计概率，表示多个不同攻击可以到达相同状态，计算公式如下：

pre(si)表示si的所有直接先继攻击节点，pi表示攻击ai的攻击成功概率；

如果弹出的是攻击节点，采用“与”操作计算攻击节点ai的累计概率，表示发动攻击需要多个前提条件同时满足，计算公式如下：

pre(ai)表示ai的所有直接先继状态节点，pi表示处于si状态下发动攻击ai的攻击发动概率；

如果攻击节点ai对应的安全监测点累计概率不为0，则还需要一次“或”操作计算ai的累计概率，表示安全监测点报警也可在一定程度上相信攻击ai发生，计算公式如下：

CP(ai)＝CP′(ai)+CP(oi)*pi-CP′(ai)*CP(oi)*pi

CP(oi)表示ai对应的安全监测点累计概率，pi表示安全监测点置信度；

6)重复步骤3)、4)直到队列为空，得到所有节点的累计概率；

最大概率路径选择算法包括以下步骤：

1)建立辅助数据结构队列Q与路径Path；

2)初始化队列，目标节点gi入队；

3)队列弹出节点si/ai；

4)如果是攻击节点ai，则将ai的所有直接前继状态节点记录到路径Path中，并且所有状态节点加入队列Q，表示ai的发动需要多个前提条件同时满足；

如果是状态节点si，则对于si的所有直接前继攻击节点，找到其中累计概率最大的攻击节点记录到路径Path中并入队Q；

5)重复步骤3)、4)，直到队列Q为空；Path中记录的即为最大概率攻击路径，也就是高危路径；

二、以系统日志与安全监测点报警信息作为数据源，建立攻击节点的Gompertz数学模型，动态反映攻击节点的攻击发动概率随时间变化的特性；进而，通过高危攻击路径预测模块预测出随时间动态变化的高危路径；

Gompertz数学模型的模型公式为

模型建立包括以下步骤：

1)对攻击节点ai，划分时间间隔T，每隔时间间隔T查询一次系统日志或对应安全监测点信息，搜集攻击造成的攻击量信息，得到N个序列y1，y2，...，yn；其中，N＝3r；

2)将N个数据均匀分成三组；

3)求各组数据的对数和：

4)根据下列公式计算模型参数a、b、k的值：

5)对得到的参数进行检验，符合ln a＜0，0＜b＜1；

6)动态修正攻击发动概率；

7)每隔时间间隔T搜集新的数据并周期性重新估计参数，以使参数的误差最小；

所述的动态修正攻击发动概率由以下步骤组成：

1)确定竞争范围；攻击发动概率的修正以竞争范围为单位；以同一状态节点为前提条件的多个不同攻击节点表示一个竞争范围；

2)确定同一竞争范围内不参加修正的攻击节点；不存在相应安全监测点提供信息导致无法建立模型的攻击节点不参加修正；

3)计算未来预测值；参加修正的攻击节点a0，a1，...，ai分别根据各自的模型计算在未来时间间隔T0内的攻击量预测值：v0＝V0(t+T0)-V0(t)，...，vi＝Vi(t+T0)-Vi(t)

4)找到预测值最小的攻击节点ak，计算每个攻击相对于ak的权重：

w0＝V0(t)/Vk(t)，...，wi＝Vi(t)/Vk(t)

5)动态修正a0，a1，...，ai攻击发动概率：pi′＝pi*wi；

三、通过攻击综合影响评估算法从影响范围和威胁性角度出发，度量攻击的客观完整性、机密性和可用性危害，并结合攻击所处的特定概率攻击图拓扑结构的安全需求，启示最大价值修复点；

攻击综合影响评估算法包括以下步骤：

1)计算攻击节点攻击威胁性评分与攻击影响范围指标值；每一个攻击能带来的影响是客观存在的，不随着攻击者的主观选择考虑而变化；因此，从修补角度出发，需要考虑攻击所能带来的所有客观影响，包括机密性、完整性、可用性和影响范围；

2)确定攻击节点安全需求值；采用拓扑影响确定算法确定攻击的安全需求值，安全需求值反映了攻击在概率攻击图中的拓扑位置带来的安全影响；

3)根据攻击综合影响评估计算公式计算攻击综合影响评分；

4)得分最大的攻击节点即为最大价值修复点。

9.根据权利要求8所述的高危攻击路径动态预测及修复方法，其特征在于：

1)攻击向量指标赋值；

2)攻击复杂度指标赋值；

3)权限要求指标赋值；

度量值 描述 取值 不需要 攻击者并不需要先授权再发动攻击 0.85

4)用户交互指标赋值；

度量值 描述 取值 不需要 攻击可以在没有任何其他用户参与交互的情况下发动 0.85 需要 在成功发动攻击前需要用户采取一些行动 0.62

5)机密性指标赋值：

6)完整性指标赋值：

7)可用性指标赋值；

度量值 描述 取值 无影响 不考虑可用性影响 0

8)影响范围指标确定；

度量值 描述 不改变 攻击只能影响由同一安全范围内的资源 改变 攻击可以影响安全范围之外的资源

9)根据攻击评分计算公式计算各攻击评分；

ISS＝1-(1-C)*(1-I)*(1-A)

Score1＝8.22*AV*AC*PR*UI

如果攻击影响范围不变：Score2＝6.42*ISS Score＝Minimum(core1+Score2，10)如果攻击影响范围改变：Score2＝7.52*(，SS-0.029)-3.25*(ISS-0.02)^15 Score＝Minimum(1.08*(core1+Score2)，10)；AV为攻击向量指标；AC为攻击复杂度指标；PR为权限要求指标；UI为用户交互指标；C为机密性指标；I为完整性指标；A为可用性指标；

10)各个攻击的攻击发动概率评分表如下：

根据评分查找表格得到各个攻击的攻击发动概率。

10.根据权利要求8所述的高危攻击路径动态预测及修复方法，其特征在于，攻击成功概率参数及安全监测点置信度参数评估方法提供的经验值如下表所示：

攻击成功难易度 成功率概率取值 容易(AC＝0.85) 0.7～1 难(AC＝0.35) 0.1～0.5 安全监测点误报率 安全监测点置信度 ＞50％ 0.5 ＜50％ 0.8

攻击综合影响评估算法的可用性完整取值表如下：

攻击综合影响评估算法的安全需求取值表如下：

根据攻击综合影响评估计算公式如下：

MISS＝Minimum(1-(1-CR*C)*(1-IR*I)*(1-AR*A)，0.915)

如果影响范围没变：Score＝6.42*MISS

如果影响范围改变：Score＝7.52*(MISS-0.029)-3.25*(MISS*0.9731-0.02)^13

CR为机密性需求，IR为完整性需求，AR为可用性需求；

C为机密性指标；I为完整性指标；A为可用性指标；

拓扑影响确定算法包括以下步骤：

1)参数初始化，概率攻击图Gi上所有攻击节点的CR/IR/AR参数均初始化为0；

2)出现在高危路径上的所有攻击节点的CR/IR/AR参数分配高值；

3)遍历概率攻击图Gi得到所有可能攻击路径，除去已经出现在高危路径上的攻击节点，其他攻击节点统计出现在攻击路径上的频次；

4)依据频次大小以升序的方式对攻击节点进行排序；

5)出现次数越多的节点具有越高的安全需求，表示越具有修复价值，排序后的前三分之一攻击节点的CR/IR/AR参数分配低值；中间三分之一攻击节点的CR/IR/AR参数分配中值；最后三分之一攻击节点的CR/IR/AR参数分配高值；低值为0.5，中值为1，高值为1.5。

Images