CN112804208A

CN112804208A - 一种基于攻击者特性指标的网络攻击路径预测方法

Info

Publication number: CN112804208A
Application number: CN202011629019.4A
Authority: CN
Inventors: 胡昌振; 王可惟; 单纯; 郭守坤; 宮英慧
Original assignee: Beijing Institute of Technology BIT
Current assignee: Beijing Institute of Technology BIT
Priority date: 2020-12-30
Filing date: 2020-12-30
Publication date: 2021-05-14
Anticipated expiration: 2040-12-30
Also published as: CN112804208B

Abstract

本发明提供一种基于攻击者特性指标的网络攻击路径预测方法，首先从攻击者的角度出发，结合攻击图和隐马尔可夫模型，提出网络攻击路径的量化指标，如攻击成本、攻击收益和攻击利润来体现不同意图的攻击者对于最佳攻击路径选取的不同；其次，基于量化指标对攻击图中的攻击路径进行量化和分析，更加有效地描述网络攻防场景；最后，通过将每一条攻击路径上所有漏洞的攻击成本、攻击收益及攻击利润分别相加，得到整条攻击路径的攻击总成本、攻击总获利以及攻击总利润，通过比较各个攻击路径的指标值，从而更加准确地找到攻击者可能攻击的风险较大的一条或多条攻击路径，帮助网络管理员更全面地了解网络安全状况，更高效地保证网络系统安全性。

Description

一种基于攻击者特性指标的网络攻击路径预测方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于攻击者特性指标的网络攻击路径预测方法。

背景技术

计算机网络中包含很多资产，例如硬件、软件、数据库等等，而这些资产中通常会存在一些漏洞或脆弱性。网络系统脆弱性包括软硬件漏洞、协议缺陷和配置错误等。攻击者可以利用这些脆弱性进行攻击，造成关键信息泄露、系统无法正常工作等等，对网络系统安全性造成破坏。虽然可以对这些漏洞进行修复，但是随着不断地发展，网络系统规模越来越大，其中的漏洞也越来越多，而维护网络系统的成本往往是有限的，因此管理员必须对网络和其中的漏洞以及其构成的可能的攻击路径进行分析，选择风险较大的漏洞和路径优先进行修复，从而维护网络系统的安全。

目前基于攻击图的网络安全风险评估相关研究主要集中于路径量化指标的选取和贝叶斯攻击图。在通过搜集网络信息并扫描网络漏洞生成攻击图之后，需要对攻击图进行分析。对于攻击路径量化指标的选取主要是通过将攻击图中的攻击路径量化，从而比较不同攻击路径的风险大小，找到风险较大的脆弱性和路径进行相应的安全修补。已有的路径量化指标包括攻击概率指标、攻击难度指标、深度指标等等。对于贝叶斯攻击图的研究主要是为了描述网络中关于攻击者以及节点之间相互关联的不确定性。贝叶斯攻击图将攻击图中的节点以随机变量的形式表示出来，以此来反映网络中固有的概率属性。对于贝叶斯攻击图的研究包括了引入时间因素的动态攻击图分析，以及基于攻击概率计算的风险评估等等。

现有的对于攻击行为以及攻击路径的研究包括以下几种方式：

第一种：首先生成攻击图，然后通过将网络封包进行特征串比较来发现攻击行为，如果攻击行为是所生成的网络攻击图中的一条有向边，则更新攻击者的危险度指标，并且通过设定危险度阈值和阻断高危险度IP来达到防护网络的目的。第二种：构建网络攻击行为分析模型，吸引攻击者攻击，利用数据捕获机制对攻击数据进行捕获来分析攻击者的行为。第三种：提供一种基于层次攻击图的攻击路径分析方法，利用社区发现算法将原网络划分为多个逻辑子网，基于网络逻辑结构和基本信息生成两层攻击图，并在两层攻击图上利用攻击行为的单调性约简攻击路径。第四种：提供一种基于路径收益计算的攻击路径行为预测方法，计算节点之间的路径的收益和代价比值，去除比值小于1的路径，从而得到去除冗余路径后的攻击路径，再利用似然加权算法，计算攻击路径上所含节点的置信度并输出攻击路径和其所含节点的置信度。

攻击图技术的最终目的是找到网络中脆弱的节点和路径，从而帮助网络管理员更好地了解网络安全状况，更高效地防止攻击者利用漏洞或脆弱性进行攻击。因此，在对攻击图进行分析时，不仅要考虑网络中的拓扑结构，脆弱性特性和脆弱性之间的关联关系，也要对所面临的攻击者的行为和能力特点做出分析，才能更加有效地保证网络的安全性，而这是现有的攻击图分析技术所欠缺的。基于路径量化指标的分析方法，目前大多以脆弱性节点本身的特性或网络拓扑结构相关特性为研究对象。例如，以漏洞CVSS值或其所在深度作为路径量化指标。但是这些指标都只能描述脆弱性节点本身固有的特点，而无法反映不同攻击者的行为和能力特性，因此不能全面地描述网络攻防场景。基于贝叶斯攻击图的分析方法，将属性攻击图转化为贝叶斯网络。尽管贝叶斯网络可以反映节点间的因果关系和节点状态概率，但是其特性之一是节点的状态仅与其父节点有关。然而在实际网络中，节点之间并不是完全相互独立的。例如，假设一条攻击路径上有两个相同的漏洞(但在攻击图中并不直接相连)。从攻击者的角度来说，在利用了第一个漏洞后，面对同一个漏洞再次利用时，攻击者必定在经验(对漏洞的了解和攻击熟练度等)和能力(掌握的工具和技术等)方面有所提升，那么该漏洞被成功利用的可能性就会提高，因此节点的状态概率会受到其父节点以外的节点的影响而发生变化，然而贝叶斯网络不能准确地描述这种情况。除此之外，还有一些研究对攻击者的攻击数据进行捕获从而对攻击者的特征进行分析，但是这些方法无法在攻击发生之前对攻击行为进行预测，也不能在网络拓扑结构发生变化后快速地对网络中的脆弱性进行分析，因此实用性有一定的局限。

发明内容

为解决上述问题，本发明提供一种基于攻击者特性指标的网络攻击路径预测方法，从攻击者的角度出发，结合隐马尔可夫模型，基于攻击者行为、能力类型反映攻击者攻击特性的指标，由于更加贴近真实的攻击场景，因此能够更准确地预测网络系统中的攻击路径。

一种基于攻击者特性指标的网络攻击路径预测方法，包括以下步骤：

S1：获取网络系统的攻击图，其中，攻击图包括多个漏洞节点和多个条件节点；

S2：从攻击图中选取一个条件节点作为目标节点，并利用深度优先搜索算法从攻击图中获取攻击目标节点的所有可能的攻击路径；

S3：分别获取各攻击路径中存在的重复漏洞节点以及各重复漏洞节点的重复次数，并将存在重复漏洞节点的攻击路径作为第一类攻击路径，不存在重复漏洞节点的攻击路径作为第二类攻击路径；

S4：基于CVSS通用漏洞评分系统获取设定能力类型的攻击者攻击各攻击路径中的漏洞节点的攻击获利Gain，其中，攻击者的能力类型从低级到高级分别划分为U类、P类、F类以及H类，且U类、P类、F类以及H类对应的评价指数依次递增；

S5：根据各攻击路径中的漏洞节点的不同属性，采用不同方法获取攻击者攻击各攻击路径中的漏洞节点的攻击成本Cost，其中，对于第一类攻击路径中的重复漏洞节点，采用隐马尔可夫模型获取对应的攻击成本Cost；对于第一类攻击路径中不重复的漏洞节点和第二类攻击路径中的漏洞节点，根据漏洞节点本身的攻击难度和隐马尔可夫模型中攻击初始时刻攻击者的能力类型为U类、P类、F类、H类的概率获取对应的攻击成本Cost；

S6：分别将各攻击路径中各漏洞节点的攻击获利Gain与攻击成本Cost的比值作为各漏洞节点的攻击利润Profit；

S7：将各攻击路径上所有漏洞节点的攻击获利Gain总和分别作为各攻击路径的攻击总获利，各攻击路径上所有漏洞节点的攻击成本Cost总和分别作为各攻击路径的攻击总成本，各攻击路径上各漏洞节点的攻击利润Profit总和分别作为各攻击路径的攻击总利润；

S8：根据攻击者的意图类型确定风险最大的攻击路径，其中，意图类型包括以破坏为目的、以商业和经济为目的、除破坏、商业以及经济之外的其余目的，则对于以破坏为目的的攻击者，攻击总获利最大值对应的攻击路径为风险最大的攻击路径；对于为以商业和经济为目的的攻击者，攻击总利润最大值对应的攻击路径为风险最大的攻击路径；对于其余目的的攻击者，攻击总成本最小值对应的攻击路径为风险最大的攻击路径。

进一步地，所述U类、P类、F类以及H类对应的评价指数分别为0.91、0.94、0.97以及1，且采用隐马尔可夫模型获取第一类攻击路径中的重复漏洞节点对应的攻击成本Cost具体为：

分别为每一组重复漏洞节点构建隐马尔可夫模型五元组(S,O,A,B,PI)，具体如下：

定义隐马尔可夫模型的隐藏状态集合S为：

S＝{U,P,F,H,N}

其中，U、P、F、H分别表示攻击者的能力类型，N表示攻击失败；

定义观测状态集合O为：

O＝{Unsuccessful,Successful}

其中，Unsuccessful表示组内的漏洞节点未被成功攻击，Successful表示组内的漏洞节点被成功攻击；

定义初始状态分布PI为：

PI＝{P_U,P_P,P_F,P_H,P_N}＝{P_U,P_P,P_F,P_H,0}

其中，P_U、P_P、P_F、P_H分别表示攻击初始时刻时，攻击者的能力类型为U类、P类、F类、H类的设定概率，且攻击初始时刻时攻击失败的概率P_N＝0；

定义观测概率矩阵B为：

定义状态转移概率矩阵A为：

基于组内各漏洞节点均被攻击者攻击成功的假设，采用维特比算法求解隐马尔可夫模型，得到组内各漏洞节点被攻击者攻击时攻击者分别最有可能处在的能力类型，从而得到组内各漏洞节点最有可能对应的评价指数β；

根据组内各漏洞节点最有可能对应的评价指数β，获取组内各漏洞节点对应的攻击成本Cost：

Cost＝(10-Exp)/β

Exp＝8.22×AttackVector×AttackComplexity×PrivilegesRequired×UserInteration

其中，Attack Vector表示漏洞节点被成功攻击时的环境因子；AttackComplexity表示漏洞节点本身的攻击难度；Privileges Required表示攻击者成功攻击漏洞节点前所必须拥有的权限级别；User Interaction表示除攻击者以外的，在漏洞节点攻击过程中所必需的人为因素因子。

进一步地，第一类攻击路径中不重复的漏洞节点和第二类攻击路径中的漏洞节点对应的攻击成本Cost的计算方法如下：

Cost＝(10-Exp)/(P_U/0.91+P_P/0.94+P_F/0.97+P_H/0.1)

Exp＝8.22×AttackVector×AttackComplexity×PrivilegesRequired×UserInteration

其中，P_U、P_P、P_F、P_H分别表示攻击初始时刻时，攻击者的能力类型为U类、P类、F类、H类的设定概率；Attack Vector表示漏洞节点被成功攻击时的环境因子；AttackComplexity表示漏洞节点本身的攻击难度；Privileges Required表示攻击者成功攻击漏洞节点前所必须拥有的权限级别；User Interaction表示除攻击者以外的，在漏洞节点攻击过程中所必需的人为因素因子；β为攻击者当前的能力类型对应的评价指数。

进一步地，所述网络系统的攻击图的获取方法为：

收集网络系统的关键信息，其中，所述关键信息包括主机信息、主机间的连通关系以及脆弱性信息；

采用Nessus漏洞与扫描分析软件扫描网络系统中的漏洞；

将收集到的关键信息和漏洞作为MulVAL工具的输入自动生成攻击图。

进一步地，所述主机信息包括网络系统中的电脑信息、服务器信息以及运行在硬件基础上的操作系统信息、软件信息、服务信息；脆弱性信息包括主机中存在的可以被利用的漏洞或潜在的危险。

进一步地，所述基于CVSS通用漏洞评分系统获取设定能力类型的攻击者攻击各攻击路径中的漏洞节点的攻击获利Gain具体为：

Gain＝6.42×(1-[(1-Confidentiality)×(1-Integrity)×(1-Availability)])

其中，Confidentiality表示被成功攻击的漏洞节点对信息资源机密性的影响因子，Integrity表示被成功攻击的漏洞节点对信息资源完整性的影响因子，Availability表示被成功攻击的漏洞节点对网络系统组件的可用性的影响因子。

进一步地，所述目标节点由网络管理员根据实际需要选取。

有益效果：

1、本发明提供一种基于攻击者特性指标的网络攻击路径预测方法，首先从攻击者的角度出发，基于对攻击者意图、行为、能力类型等特性的分析，结合攻击图和隐马尔可夫模型，提出网络攻击路径的量化指标，如攻击成本、攻击收益和攻击利润来体现不同意图的攻击者对于最佳攻击路径选取的不同；其次，基于量化指标对攻击图中的攻击路径进行量化和分析，更加有效地描述网络攻防场景；最后，通过将每一条攻击路径上所有漏洞的攻击成本、攻击收益及攻击利润分别相加，得到整条攻击路径的攻击总成本、攻击总获利以及攻击总利润，通过比较各个攻击路径的指标值，从而更加准确地找到攻击者可能攻击的风险较大的一条或多条攻击路径，帮助网络管理员更全面地了解网络安全状况，更准确地预测攻击者的攻击路径，从而更高效地保证网络系统安全性。

2、本发明提供一种基于攻击者特性指标的网络攻击路径预测方法，通过构建隐马尔可夫模型来获取第一类攻击路径中重复漏洞节点被成功攻击时对应的攻击者的能力类型，也即通过隐马尔可夫模型来判断攻击者在同一条攻击路径中遇到相同类型的漏洞节点时，其所处在的能力类型是维持当前等级不变，还是向更高等级的能力类型转变，从而更加精确的计算出第一类攻击路径的攻击总成本，更加准确的描述网络系统所存在的风险情况，更加准确地发现攻击者可能采取的攻击路径。

附图说明

图1为本发明提供的基于攻击者特性指标的攻击路径预测流程图；

图2为本发明提供的示例网络；

图3为本发明提供的攻击图；

图4为本发明提供的到达root(2)节点的攻击路径示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。

本发明基于攻击图模型，提出以攻击者行为意图等特性为主要研究对象的路径量化指标，利用量化指标对攻击图中的攻击路径进行预测。由于充分地考虑到了攻击者实施攻击的真实网络环境及攻击过程，本发明能够更加准确地对攻击者可能采取的攻击路径进行预测。本发明的主要实施步骤如下：首先对网络系统中的主机及其上的服务和漏洞进行扫描，并利用MulVAL自动生成网络系统的攻击图。确定目标节点后，利用深度优先搜索算法找到攻击图中能够到达该节点的全部攻击路径。对于攻击图中的所有攻击路径，找到每条攻击路径上存在的各个重复漏洞，并计算每个漏洞的重复次数。对于每个重复漏洞，使用隐马尔可夫模型来对攻击路径上重复漏洞之间的影响进行分析。结合CVSS通用漏洞评分系统，对攻击者实施攻击的攻击成本、攻击收益以及攻击利润进行定义；由于每个攻击者的能力和经验不同，且对于每一次攻击者成功的漏洞利用，其对于利用该漏洞所积累的经验和所掌握的工具都会有所提升，因此在攻击过程中其再次利用该漏洞的难度和成本就会有所降低。为了准确地描述这一现象，本发明使用隐马尔可夫模型来对攻击路径上重复漏洞之间的影响进行分析，结合CVSS通用漏洞评分系统，对漏洞利用状态进行划分，并以此给出每个漏洞的隐马尔可夫模型中的参数，从而计算出在考虑路径上的重复漏洞的情况下攻击者完成攻击过程所需要的成本。通过对每条攻击路径的攻击成本、攻击收益和攻击利润进行计算，得到不同意图攻击者的最优攻击路径，即网络系统中风险最大的路径。

本发明方案具体流程如下图1所示，具体实施步骤如下：

S1：获取网络系统的攻击图，其中，攻击图包括多个漏洞节点和多个条件节点。

需要说明的是，攻击图是一种基于模型的网络脆弱性评估方法。攻击图能够把网络中各主机上的脆弱性关联起来进行深入地分析，发现威胁网络安全的攻击路径并用图的方式展现出来。攻击图分为状态攻击图和属性攻击图两类，由于状态攻击图存在状态爆炸问题，不适用于大规模网络，因此目前的研究大多基于属性攻击图。攻击图的生成需要关于网络中与安全相关的信息，如主机配置信息、主机漏洞信息、网络拓扑信息等等。利用攻击图可以直观地观察到网络中各个脆弱性之间的关系，并帮助管理员选择较小的代价对脆弱性进行弥补。

同时，为了对网络系统的风险和安全进行分析，需要对网络系统进行模型构建。本发明中利用攻击图模型对网络系统中可能存在的攻击路径进行预测。网络系统的攻击图的获取方式如下：

收集网络系统的关键信息，其中，所述关键信息包括主机信息、主机间的连通关系以及脆弱性信息；采用Nessus漏洞与扫描分析软件扫描网络系统中的漏洞；将收集到的关键信息和漏洞作为MulVAL工具的输入自动生成攻击图。其中，所述主机信息包括网络系统中的电脑信息、服务器信息以及运行在硬件基础上的操作系统信息、软件信息、服务信息；脆弱性信息包括主机中存在的可以被利用的漏洞或潜在的危险；主机间的连通情况包括主机之间的连通关系，受到网络系统拓扑结构、防火墙规则、访问控制策略等内容的限制。如图2所示，图2给出了一个简单的网络系统，其中host1(主机1)为一个文件服务器，host2(主机2)为一个数据库服务器，host0(主机0)表示攻击者。

S2：从攻击图中选取一个条件节点作为目标节点，并利用深度优先搜索算法从攻击图中获取攻击目标节点的所有可能的攻击路径。

需要说明的是，在攻击图中通常包含两类节点，分别为漏洞节点与条件节点。漏洞节点表示攻击者进行攻击所利用的系统中的脆弱性，而条件节点表示攻击发生的前提条件或是攻击完成后攻击者获得的条件。对于示例的简单网络系统，利用上述步骤生成的示例攻击图如图3所示，其中，攻击图中椭圆节点为漏洞节点，文本节点为条件节点。

此外，攻击者往往会选择网络系统中的一些关键节点进行攻击，例如数据库等。网络管理员可以根据实际需要选择目标节点进行分析。在示例攻击图中，root(2)为目标节点，其表示攻击者获取了主机host2的Root根权限，在获得该权限后，攻击者可以对该数据库进行任意操作，然而这是网络管理员希望避免的。确定目标节点后，在攻击图结构中利用深度优先搜索算法得到所有可能的攻击路径。对于图3所示的示例攻击图来说，以root(2)为目标节点，可以得到三条攻击路径，如图4所示。

S3：分别获取各攻击路径中存在的重复漏洞节点以及各重复漏洞节点的重复次数，并将存在重复漏洞节点的攻击路径作为第一类攻击路径，不存在重复漏洞节点的攻击路径作为第二类攻击路径。

需要说明的是，在对攻击图和攻击路径进行计算和分析时，由于主要研究漏洞节点的特性，因此可以暂时忽略条件节点。攻击者在实际攻击过程中，在成功利用某个漏洞后，其利用该漏洞所获得的工具以及积累的经验等会使其在下一次攻击同类漏洞时更容易，即攻击者再次攻击该漏洞时成本降低，攻击成功概率增大。且随着每次攻击成功，攻击者都会积累更多的经验。因此，需要找出每条路径中存在的重复节点，以及每个重复节点出现的次数，以此来更准确地分析攻击者的攻击过程。对于图4所示的三条攻击路径，可以得到左边和右边两条路径不存在重复漏洞节点，而中间路径存在两个重复漏洞节点，分别为rsh漏洞和ftp_rhosts漏洞，且分别出现了两次。对于较为复杂的攻击路径，本步骤可通过编程语言实现。例如，在python编程语言中，将路径上的漏洞作为输入，存入数组，并利用数组的count函数实现对其中重复元素及重复次数的计算。

S4：基于CVSS通用漏洞评分系统获取设定能力类型的攻击者攻击各攻击路径中的漏洞节点的攻击获利Gain，其中，攻击者的能力类型从低级到高级分别划分为U类、P类、F类以及H类，且U类、P类、F类以及H类对应的评价指数依次递增。

需要说明的是，CVSS(Common Vulnerability Scoring System，通用漏洞评分系统)是一个行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度。CVSS由3个基本尺度组成，第一个是“Base(基本)”尺度，代表漏洞的原始属性，包括漏洞的“Exploitability(可利用性)”和“Impact(影响)”两个指标。第二个是“Temporal(时间)”尺度，代表漏洞随着时间推移的影响。第三个是“Environmental(环境)”尺度，代表特定环境下执行漏洞的分数。

进一步地，本发明以漏洞的CVSS通用漏洞评分系统中的评分作为计算攻击者攻击各漏洞节点的成本、获利以及利润的依据。具体地，攻击者成功利用某漏洞节点的攻击获利Gain由攻击该漏洞节点所造成的影响表征，由该漏洞节点的Impact指标值计算，计算方法为：

Gain＝6.42×(1-[(1-Confidentiality)×(1-Integrity)×(1-Availability)])

其中，Impact指标反映受到攻击的漏洞所遭受的影响。由Confidentiality,Integrity,Availability指标组成；Confidentiality表示被成功攻击的漏洞节点对信息资源机密性的影响因子，即衡量一次成功的漏洞利用对信息资源的机密性的影响；Integrity表示被成功攻击的漏洞节点对信息资源完整性的影响因子，即衡量一次成功的漏洞利用对信息资源的完整性的影响；Availability表示被成功攻击的漏洞节点对网络系统组件的可用性的影响因子，即衡量一次成功的漏洞利用对受影响的组件的可用性的影响。

进一步地，本发明借鉴CVSS通用漏洞评分系统中Exploit Code Maturity指标的思想，对攻击者能力进行如下分类：

攻击者能力类型	评价指数β
		U	0.91
P	0.94
		F	0.97
H	1

定义U类攻击者了解漏洞理论，但没有掌握任何利用代码；P类攻击者具备不成熟的利用代码，或所掌握的攻击手段在某些系统内不适用；F类攻击者掌握的利用代码或攻击手段在大多数情况下都适用；H类攻击者掌握非常成熟的利用代码，甚至有自主性的攻击手段，例如蠕虫病毒。

第一方面，第一类攻击路径中不重复的漏洞节点对应的攻击成本Cost由漏洞节点的Exploitability指标值、攻击者的初始能力概率分布和参数β计算，具体为：

Cost＝(10-Exp)/(P_U/0.91+P_P/0.94+P_F/0.97+P_H/0.1)

Exp＝8.22×AttackVector×AttackComplexity×PrivilegesRequired×UserInteration

其中，Attack Vector表示漏洞节点被成功攻击时的环境因子；AttackComplexity表示漏洞节点本身的攻击难度；Privileges Required表示攻击者成功攻击漏洞节点前所必须拥有的权限级别，例如用户权限、根权限；User Interaction表示除攻击者以外的，在漏洞节点攻击过程中所必需的人为因素因子；β为攻击者当前的能力类型对应的评价指数。

第二方面，隐马尔可夫模型是统计模型，用来描述一个含有隐含未知参数的马尔可夫过程。通过可观察的参数中确定该过程的隐含参数，然后利用这些参数来作进一步的分析。隐马尔可夫模型一般可以用五个元素来描述，即隐含状态、可观测状态、初始状态概率矩阵、隐含状态转移概率矩阵和观测状态转移概率矩阵。因此，本发明可以构建隐马尔可夫模型来分析攻击者在攻击过程中所处的能力类型，具体的：

第一类攻击路径中的重复漏洞节点对应的攻击成本Cost的计算方法如下：

分别为每一组重复漏洞节点构建隐马尔可夫模型五元组(S,O,A,B,PI)，其中，S表示隐藏状态集合，O表示观测状态集合，A表示状态转移概率矩阵，B表示观测概率矩阵，PI表示初始状态分布；因此，本发明可以对攻击者利用漏洞的能力状态进行档次划分，作为隐马尔可夫模型的隐含状态；以“攻击成功”和“攻击不成功”两个状态作为可观测状态；以攻击者第一次攻击该漏洞时处于各个能力类型的概率作为初始状态概率矩阵；以攻击者处于各个能力类型时成功利用该漏洞的概率构建隐含状态转移概率矩阵和观测概率矩阵。本发明中，隐马尔可夫模型的输出为攻击者在一条攻击路径上攻击每一个重复漏洞时对应所处的能力类型，且该能力类型具有最大概率。最后再根据能力划分，可以求得攻击者攻击该漏洞时的实际攻击成本。

本发明的隐马尔可夫模型五元组(S,O,A,B,PI)具体定义如下：

定义隐马尔可夫模型的隐藏状态集合S为：

S＝{U,P,F,H,N}

定义观测状态集合O为：

O＝{Unsuccessful,Successful}

定义初始状态分布PI为：

PI＝{P_U,P_P,P_F,P_H,P_N}＝{P_U,P_P,P_F,P_H,0}

其中，P_U、P_P、P_F、P_H分别表示攻击初始时刻时，攻击者的能力类型为U类、P类、F类、H类的设定概率，可由网络管理员根据具体网络环境或以往经验给出，且攻击初始时刻时攻击失败的概率P_N＝0；

定义观测概率矩阵B为：

其中，Exp为漏洞节点在CVSS中的Exploitability指标值。由于Exploitability可以表征漏洞节点本身的攻击难度，且Exploitability取值在0-10之间，因此，本发明将Exploitability/10作为漏洞节点本身的攻击成功概率。结合攻击者在各个能力状态下的β值，得到实际攻击成功概率，作为观测概率。

定义状态转移概率矩阵A为：

需要说明的是，状态转移概率矩阵A最后一列代表当攻击者处于各个状态下，对于该漏洞的利用不成功的概率，即为状态转移至“N”的概率。当攻击者成功地利用漏洞一次后，攻击者有一定概率保持在当前状态，也有一定概率转移到更高级别状态。这里以攻击者有均等的概率保持当前状态或转移到各个高级别状态为例设置状态转移概率，实际应用中网络管理员还可以根据经验或不同需求设置状态转移概率。

基于组内各漏洞节点均被攻击者攻击成功的假设，采用维特比算法求解隐马尔可夫模型，得到组内各漏洞节点被攻击者攻击成功过程中，攻击每个节点时攻击者分别最有可能处在的攻击能力类型，从而得到组内各漏洞节点最有可能对应的评价指数β；

需要说明的是，维特比算法是一种动态规划算法，用于寻找最有可能产生观测事件序列的隐含状态序列，其实质为多步骤多选择的最优选择问题。也就是说，本发明在构建了隐马尔可夫模型之后，使用Viterbi(维特比)算法，求解在给定观测序列(节点全部攻击成功)时，概率最大的隐含状态序列。由该隐含状态序列，就可进一步计算攻击者在攻击过程中，攻击每一个重复漏洞节点时的实际攻击成本，具体为：根据组内各漏洞节点最有可能对应的评价指数β，获取组内各漏洞节点对应的攻击成本Cost：

Cost＝(10-Exp)/β

Exp＝8.22×AttackVector×AttackComplexity×PrivilegesRequired×UserInteration

第三方面，本发明在计算不含有重复漏洞的路径的攻击成本时，需要考虑在计算含有重复漏洞的路径的攻击成本时构建的隐马尔可夫模型中的初始状态概率分布，依据设定的攻击者能力的初始状态概率分布，来计算路径的期望攻击成本；因此，第二类攻击路径中的漏洞节点对应的攻击成本Cost的计算方法如下：

Cost＝(10-Exp)/(P_U/0.91+P_P/0.94+P_F/0.97+P_H/0.1)

Exp＝8.22×AttackVector×AttackComplexity×PrivilegesRequired×UserInteration

其中，P_U、P_P、P_F、P_H分别表示攻击初始时刻时，攻击者的能力类型为U类、P类、F类、H类的设定概率。

例如，对于图4所示的攻击路径来说，如果在计算中间路径的攻击成本过程中，构建的隐马尔可夫模型以PI＝{0.25,0.25,0.25,0.25,0}作为初始状态概率矩阵，那么在计算左边路径的攻击成本时，仍应假设攻击者的能力状态遵循同样的概率分布。则此时漏洞节点ftp_rhosts(0,2)攻击成本计算公式为：

Cost＝[10-Exp(ftp_rhosts(0,2)]/(0.25/0.91+0.25/0.94+0.25/0.97+0.25/0.1)

S6：分别将各攻击路径中各漏洞节点的攻击获利Gain与攻击成本Cost的比值作为各漏洞节点的攻击利润Profit，具体计算公式为：

Profit＝Gain/Cost

需要说明的是，由于不同攻击者的能力不同，对于每个漏洞的利用熟练度与工具丰富度等也不同，且攻击者在成功攻击漏洞后会对利用该漏洞的过程更加熟练，使得其再次攻击相同漏洞时攻击难度下降，攻击成本降低。因此，为了更准确地刻画攻击者的攻击成本，对攻击者攻击某一漏洞的能力进行分类，本发明借助上述隐马尔可夫模型分析攻击过程。

S7：将各攻击路径上所有漏洞节点的攻击获利Gain总和分别作为各攻击路径的攻击总获利，各攻击路径上所有漏洞节点的攻击成本Cost总和分别作为各攻击路径的攻击总成本，各攻击路径上各漏洞节点的攻击利润Profit总和分别作为各攻击路径的攻击总利润。

也就是说，本发明以攻击路径上所有漏洞节点的攻击成本之和作为路径攻击成本，以攻击路径上所有漏洞节点的攻击获利之和作为路径攻击获利，以攻击路径上所有漏洞节点的攻击利润之和作为路径攻击利润。

S8：根据攻击者的意图类型确定风险最大的攻击路径，其中，意图类型包括以破坏为目的、以商业和经济为目的、除破坏、商业以及经济之外的其余目的，则对于以破坏为目的的攻击者，攻击总获利最大值对应的攻击路径为风险最大的攻击路径；对于为以商业和经济为目的的攻击者，攻击总利润最大值对应的攻击路径为风险最大的攻击路径；对于其余目的的攻击者，如能力有限或者经济基础薄弱的攻击者，攻击总成本最小值对应的攻击路径为风险最大的攻击路径。

也就是说，在对网络系统的攻击路径进行预测时，可针对不同类型攻击者选取通过不同量化指标分析得到的攻击路径。例如，对于以破坏为目的的专业黑客来说，他们最可能选择攻击获利最大的路径；对于基于商业或经济目的考量的攻击者来说，他们最可能选择攻击利润最大的路径；而对于一些能力较为有限或者经济基础薄弱的攻击者来说，他们最可能选择攻击成本最低的路径。因此，网络管理员可以针对不同的背景与需求，选择不同量化指标得到的路径作为分析结果，优先对该路径进行安全加固，从而更好地保证网络系统的安全。

综上，本发明首先扫描网络系统及主机上的服务与漏洞，利用MulVAL自动生成攻击图。对于攻击图中的漏洞，依据CVSS通用漏洞评分系统，计算其相应的攻击成本、攻击收益以及攻击利润。对于攻击图中的每一条攻击路径，找到其中包含的重复漏洞，以及每个重复漏洞的个数。对于每一条路径中的每个重复漏洞，利用隐马尔可夫模型计算其修改后的攻击成本值。最后，通过将每一条攻击路径上所有漏洞的攻击成本、攻击收益及攻击利润分别相加，得到整条攻击路径的攻击成本、攻击收益以及攻击利润。通过比较各个路径的指标值，可以分析得到对于不同意图的攻击者的最优攻击路径。由此可见，与现有技术相比，本发明的优点在于：

1、本发明从攻击者的角度出发，根据攻击者的不同意图、行为和能力等，分析其可能采取的攻击路径，对于网络风险的描述更符合实际情况。

2、本发明实现了对大规模攻击图中攻击路径上存在的各个重复漏洞的发现，并实现了对攻击者采取相应攻击路径时需要对这些重复漏洞进行利用的次数的计算，对于网络风险的描述更为全面。

3、本发明利用隐马尔可夫模型结合漏洞的CVSS值，计算攻击路径上非直接相连的节点之间可能存在的对于攻击者攻击难度和攻击行为的影响，更加准确地发现攻击者可能采取的攻击路径。

当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当然可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims

1.一种基于攻击者特性指标的网络攻击路径预测方法，其特征在于，包括以下步骤：

2.如权利要求1所述的一种基于攻击者特性指标的网络攻击路径预测方法，其特征在于，所述U类、P类、F类以及H类对应的评价指数分别为0.91、0.94、0.97以及1，且采用隐马尔可夫模型获取第一类攻击路径中的重复漏洞节点对应的攻击成本Cost具体为：

定义隐马尔可夫模型的隐藏状态集合S为：

S＝{U,P,F,H,N}

定义观测状态集合O为：

O＝{Unsuccessful,Successful}

定义初始状态分布PI为：

PI＝{P_U,P_P,P_F,P_H,P_N}＝{P_U,P_P,P_F,P_H,0}

定义观测概率矩阵B为：

定义状态转移概率矩阵A为：

Cost＝(10-Exp)/β

Exp＝8.22×AttackVector×AttackComplexity×PrivilegesRequired×UserInteration

其中，Attack Vector表示漏洞节点被成功攻击时的环境因子；Attack Complexity表示漏洞节点本身的攻击难度；Privileges Required表示攻击者成功攻击漏洞节点前所必须拥有的权限级别；User Interaction表示除攻击者以外的，在漏洞节点攻击过程中所必需的人为因素因子。

3.如权利要求1所述的一种基于攻击者特性指标的网络攻击路径预测方法，其特征在于，第一类攻击路径中不重复的漏洞节点和第二类攻击路径中的漏洞节点对应的攻击成本Cost的计算方法如下：

Cost＝(10-Exp)/(P_U/0.91+P_P/0.94+P_F/0.97+P_H/0.1)

Exp＝8.22×AttackVector×AttackComplexity×PrivilegesRequired×UserInteration

其中，P_U、P_P、P_F、P_H分别表示攻击初始时刻时，攻击者的能力类型为U类、P类、F类、H类的设定概率；Attack Vector表示漏洞节点被成功攻击时的环境因子；Attack Complexity表示漏洞节点本身的攻击难度；Privileges Required表示攻击者成功攻击漏洞节点前所必须拥有的权限级别；User Interaction表示除攻击者以外的，在漏洞节点攻击过程中所必需的人为因素因子；β为攻击者当前的能力类型对应的评价指数。

4.如权利要求1所述的一种基于攻击者特性指标的网络攻击路径预测方法，其特征在于，所述网络系统的攻击图的获取方法为：

采用Nessus漏洞与扫描分析软件扫描网络系统中的漏洞；

5.如权利要求4所述的一种基于攻击者特性指标的网络攻击路径预测方法，其特征在于，所述主机信息包括网络系统中的电脑信息、服务器信息以及运行在硬件基础上的操作系统信息、软件信息、服务信息；脆弱性信息包括主机中存在的可以被利用的漏洞或潜在的危险。

6.如权利要求1所述的一种基于攻击者特性指标的网络攻击路径预测方法，其特征在于，所述基于CVSS通用漏洞评分系统获取设定能力类型的攻击者攻击各攻击路径中的漏洞节点的攻击获利Gain具体为：

Gain＝6.42×(1-[(1-Confidentiality)×(1-Integrity)×(1-Availability)])

7.如权利要求1所述的一种基于攻击者特性指标的网络攻击路径预测方法，其特征在于，所述目标节点由网络管理员根据实际需要选取。