CN115021983B - 一种基于吸收马尔科夫链的渗透路径确定方法及系统 - Google Patents

一种基于吸收马尔科夫链的渗透路径确定方法及系统 Download PDF

Info

Publication number
CN115021983B
CN115021983B CN202210555635.2A CN202210555635A CN115021983B CN 115021983 B CN115021983 B CN 115021983B CN 202210555635 A CN202210555635 A CN 202210555635A CN 115021983 B CN115021983 B CN 115021983B
Authority
CN
China
Prior art keywords
attack
state
path
transition probability
graph
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210555635.2A
Other languages
English (en)
Other versions
CN115021983A (zh
Inventor
康海燕
龙墨澜
张聪明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Information Science and Technology University
Original Assignee
Beijing Information Science and Technology University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Information Science and Technology University filed Critical Beijing Information Science and Technology University
Priority to CN202210555635.2A priority Critical patent/CN115021983B/zh
Publication of CN115021983A publication Critical patent/CN115021983A/zh
Application granted granted Critical
Publication of CN115021983B publication Critical patent/CN115021983B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于吸收马尔科夫链的渗透路径确定方法及系统。该方法包括获取目标网络的拓扑结构以及环境信息;根据拓扑结构以及环境信息建立目标网络的攻击图;利用基于漏洞生命周期的状态转移概率归一化度量算法将攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵;基于漏洞生命周期的状态转移概率归一化度量算法以漏洞生命周期作为计算因子,以攻击图作为输入,以基于吸收马尔科夫链的状态转移概率矩阵为输出;根据攻击图和状态转移概率矩阵确定攻击成功概率最高的攻击路径,并将攻击成功概率最高的攻击路径作为渗透路径。本发明考虑到真实网络拓扑环境中漏洞的时效性,能够使攻击路径的选择更加合理且符合实际网络拓扑环境。

Description

一种基于吸收马尔科夫链的渗透路径确定方法及系统
技术领域
本发明涉及网络安全攻防领域,特别是涉及一种基于吸收马尔科夫链的渗透路径确定方法及系统。
背景技术
在对真实的网络环境进行渗透时,实验人员需要从网络某一节点开始,多次利用漏洞来获取网络中节点的权限。随着网络环境的复杂化,0day漏洞的挖掘以及攻防技术的不断革新,需要一种能够节省开销、不影响网络正常运行并且能够有效感知网络中潜在的渗透路径的方法。攻击图技术通过将网络拓扑环境中所有的节点及路径图形化,针对目标网络构建攻击图,展现目标环境中到目标节点攻击路径,一方面便于分析从初始节点到目标节点潜在的攻击路径,对路径上的关键节点进行漏洞修复,达到保护重要节点的目的;另一方面可以在网络攻防时实时检测攻击方的攻击路径或为防御方提供防御对策,为双方提供攻防指导。
吸收马尔科夫链是至少具有一个吸收状态并且从图中任意状态都可以到达吸收状态的马尔科夫链。由于吸收马尔科夫链的无后效性符合攻击渗透攻击图中,节点状态转移仅与其相邻状态有关的特点,并且攻击图中目标状态可以看作为终止状态,符合吸收马尔科夫链的必须具备吸收态的特性。因此,可以将攻击图映射为吸收马尔科夫链,用于分析攻击图中的随机状态转移概率问题。
但是,目前对攻击路径发生概率和节点被攻陷概率的计算研究大多基于贝叶斯网络进行,现有基于攻击图的攻击路径预测方法未考虑漏洞生命周期的因素,对于状态转移发生时考虑不周全,状态转移概率计算方式不完备,进而,无法确定更加合理且符合实际网络拓扑环境的攻击路径。
发明内容
本发明的目的是提供一种基于吸收马尔科夫链的渗透路径确定方法及系统,考虑到真实网络拓扑环境中漏洞的时效性,能够使攻击路径更加合理且符合实际网络拓扑环境。
为实现上述目的,本发明提供了如下方案:
一种基于吸收马尔科夫链的渗透路径确定方法,包括:
获取目标网络的拓扑结构以及环境信息;所述环境信息包括:主机信息以及漏洞名称;
根据所述拓扑结构以及所述环境信息建立所述目标网络的攻击图;
利用基于漏洞生命周期的状态转移概率归一化度量算法将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵;所述基于漏洞生命周期的状态转移概率归一化度量算法以漏洞生命周期作为计算因子,以攻击图作为输入,以基于吸收马尔科夫链的状态转移概率矩阵为输出;
根据所述攻击图和所述基于吸收马尔科夫链的状态转移概率矩阵确定攻击成功概率最高的攻击路径,并将攻击成功概率最高的攻击路径作为渗透路径。
可选地,所述根据所述拓扑结构以及所述环境信息建立所述目标网络的攻击图,具体包括:
根据所述拓扑结构以及所述环境信息,利用Mulval攻击图生成工具,建立目标网络的攻击图。
可选地,所述利用基于漏洞生命周期的状态转移概率归一化度量算法将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵,具体包括:
从所述攻击图的状态节点集合S中随机选择一个未遍历的状态节点Si
令状态节点集合S’等于状态节点集合S,从状态节点集合S中选取状态节点Sj,同时从状态节点集合S中删除状态节点Sj
设状态节点Si的出度为m=0,判断攻击图中Si→Sj是否存在攻击路径Ei,j及可利用漏洞Vi,j;若存在,则令Ki,j=F(tv)×Scorev,并将Ki,j加入到状态节点Si的出度集合G中,令m=m+1;若攻击图中Si→Sj不存在攻击路径Ei,j,则令Ki,j=0;其中,tv为可利用漏洞Vi,j的生存周期,Scorev为可利用漏洞Vi,j的可利用得分;
令j=j+1,若j≤n,n为状态序列合集数量,则返回所述令状态节点集合S’等于状态节点集合S,从状态节点集合S中选取状态节点Sj,同时从状态节点集合S中删除状态节点Sj的步骤;反之,则令j=1,m=0,并且恢复状态节点集合S至状态节点集合S’;
判断攻击是否成功;若攻击失败,则为状态节点Si到自身的一次转移,转移概率为pi,i;若攻击成功,则对状态节点Si的出度集合G中值求和,确定总和值K,进而,依次对状态转移概率矩阵P中第i行第j列的元素逐个赋值;
直至遍历全部的状态节点,进而将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵。
可选地,所述根据所述攻击图和所述基于吸收马尔科夫链的状态转移概率矩阵确定攻击成功概率最高的攻击路径,并将攻击成功概率最高的攻击路径作为渗透路径,具体包括:
根据所述攻击图中每个攻击路径中所有状态节点的状态转移概率的乘积确定攻击成功概率,并将所述攻击成功概率作为渗透成功概率;
将攻击成功概率最高的攻击路径作为渗透路径。
一种基于吸收马尔科夫链的渗透路径确定系统,包括:
信息获取模块,用于获取目标网络的拓扑结构以及环境信息;所述环境信息包括:主机信息以及漏洞名称;
攻击图建立模块,用于根据所述拓扑结构以及所述环境信息建立所述目标网络的攻击图;
状态转移概率矩阵确定模块,用于利用基于漏洞生命周期的状态转移概率归一化度量算法将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵;所述基于漏洞生命周期的状态转移概率归一化度量算法以漏洞生命周期作为计算因子,以攻击图作为输入,以基于吸收马尔科夫链的状态转移概率矩阵为输出;
渗透路径确定模块,用于根据所述攻击图和所述基于吸收马尔科夫链的状态转移概率矩阵确定攻击成功概率最高的攻击路径,并将攻击成功概率最高的攻击路径作为渗透路径。
可选地,所述攻击图建立模块具体包括:
攻击图建立单元,用于根据所述拓扑结构以及所述环境信息,利用Mulval攻击图生成工具,建立目标网络的攻击图。
可选地,所述状态转移概率矩阵确定模块的映射过程,具体包括:
从所述攻击图的状态节点集合S中随机选择一个未遍历的状态节点Si
令状态节点集合S’等于状态节点集合S,从状态节点集合S中选取状态节点Sj,同时从状态节点集合S中删除状态节点Sj
设状态节点Si的出度为m=0,判断攻击图中Si→Sj是否存在攻击路径Ei,j及可利用漏洞Vi,j;若存在,则令Ki,j=F(tv)×Scorev,并将Ki,j加入到状态节点Si的出度集合G中,令m=m+1;若攻击图中Si→Sj不存在攻击路径Ei,j,则令Ki,j=0;其中,tv为可利用漏洞Vi,j的生存周期,Scorev为可利用漏洞Vi,j的可利用得分;
令j=j+1,若j≤n,n为状态序列合集数量,则返回所述令状态节点集合S’等于状态节点集合S,从状态节点集合S中选取状态节点Sj,同时从状态节点集合S中删除状态节点Sj的步骤;反之,则令j=1,m=0,并且恢复状态节点集合S至状态节点集合S’;
判断攻击是否成功;若攻击失败,则为状态节点Si到自身的一次转移,转移概率为pi,i;若攻击成功,则对状态节点Si的出度集合G中值求和,确定总和值K,进而,依次对状态转移概率矩阵P中第i行第j列的元素逐个赋值;
直至遍历全部的状态节点,进而将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵。
可选地,所述渗透路径确定模块具体包括:
攻击成功概率确定单元,用于根据所述攻击图中每个攻击路径中所有状态节点的状态转移概率的乘积确定攻击成功概率,并将所述攻击成功概率作为渗透成功概率;
渗透路径确定单元,用于将攻击成功概率最高的攻击路径作为渗透路径。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明所提供的一种基于吸收马尔科夫链的渗透路径确定方法及系统,利用基于漏洞生命周期的状态转移概率归一化度量算法将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵,考虑到真实网络拓扑环境中漏洞的时效性,解决了现有攻击图技术中的状态转移概率计算方案不全面的问题,为网络渗透人员以及安全防御专家提供了详细地指导,有助于实现对网络进行更加客观、符合实际情况的安全评估。能够使攻击路径的选择更加合理且符合实际网络拓扑环境。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所提供的一种基于吸收马尔科夫链的渗透路径确定方法流程示意图;
图2为本发明所提供的实施例的网络拓扑结构示意图;
图3为本发明所提供的实施例的网络攻击图;
图4为本发明所提供的实施例的基于吸收马尔科夫链的攻击图;
图5为本发明所提供的一种基于吸收马尔科夫链的渗透路径确定系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于吸收马尔科夫链的渗透路径确定方法及系统,考虑到真实网络拓扑环境中漏洞的时效性,能够使攻击路径更加合理且符合实际网络拓扑环境。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明所提供的一种基于吸收马尔科夫链的渗透路径确定方法流程示意图,如图1所示,本发明所提供的一种基于吸收马尔科夫链的渗透路径确定方法,包括:
S101,获取目标网络的拓扑结构以及环境信息;所述环境信息包括但不限于:主机信息以及漏洞名称;
S102,根据所述拓扑结构以及所述环境信息建立所述目标网络的攻击图;攻击图是一个有向无环图,展现了攻击者可能发动的攻击顺序和攻击效果,由四元组(S,A,V,E)表示,其中S表示状态节点;A表示一次原子攻击;V表示漏洞集合;E表示状态转移的有向边。
S102具体包括:
根据所述拓扑结构以及所述环境信息,利用Mulval等攻击图生成工具,建立目标网络的攻击图。
S103,利用基于漏洞生命周期的状态转移概率归一化度量算法将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵;所述基于漏洞生命周期的状态转移概率归一化度量算法以漏洞生命周期作为计算因子,以攻击图作为输入,以基于吸收马尔科夫链的状态转移概率矩阵为输出;
漏洞生命周期表示为
Figure BDA0003654868170000061
其中,参数α=0.26,k=0.00161。变量t为漏洞的生命周期(存活时长),定义为漏洞曝光的日期与CVSS对漏洞进行评分的日期之差。CVSS是漏洞评估领域的公开标准,用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度,CVSS提供了漏洞可利用得分计算框架Score=20×AV×AC×Au。其中AV(Access Vector)为访问向量,AC(Access Complexity)为访问复杂度,Au(AccessComplexity)为真实性证明。可利用性得分Score的区间为0-10分,分数越高表面漏洞利用成功率越高,反之越低。/>
S103具体包括:
从所述攻击图的状态节点集合S中随机选择一个未遍历的状态节点Si
令状态节点集合S’等于状态节点集合S,从状态节点集合S中选取状态节点Sj,同时从状态节点集合S中删除状态节点Sj
设状态节点Si的出度为m=0,判断攻击图中Si→Sj是否存在攻击路径Ei,j及可利用漏洞Vi,j;若存在,则令Ki,j=F(tv)×Scorev,并将Ki,j加入到状态节点Si的出度集合G中,令m=m+1;若攻击图中Si→Sj不存在攻击路径Ei,j,则令Ki,j=0;其中,tv为可利用漏洞Vi,j的生存周期,Scorev为可利用漏洞Vi,j的可利用得分;
令j=j+1,若j≤n,n为状态序列合集数量,则返回所述令状态节点集合S’等于状态节点集合S,从状态节点集合S中选取状态节点Sj,同时从状态节点集合S中删除状态节点Sj的步骤;反之,则令j=1,m=0,并且恢复状态节点集合S至状态节点集合S’;
判断攻击是否成功;若攻击失败,则为状态节点Si到自身的一次转移,转移概率为pi,i;若攻击成功,则对状态节点Si的出度集合G中值求和,确定总和值K,进而,依次对状态转移概率矩阵P中第i行第j列的元素逐个赋值;
直至遍历全部的状态节点,进而将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵。
转移概率为pi,i的确定过程为:
对于状态节点Si的出度m,若所有出度边的漏洞可利用得分不全部为10,则定义节点Si到自身的状态转移概率定义为
Figure BDA0003654868170000071
当状态节点Si所有出度边的可利用得分全部为10,则定义
Figure BDA0003654868170000072
其中,对状态转移概率矩阵P中第i行第j列的元素逐个赋值,具体包括以下公式:
Figure BDA0003654868170000081
S104,根据所述攻击图和所述基于吸收马尔科夫链的状态转移概率矩阵确定攻击成功概率最高的攻击路径,并将攻击成功概率最高的攻击路径作为渗透路径。
S104具体包括:
根据所述攻击图中每个攻击路径中所有状态节点的状态转移概率的乘积ΠPi,j确定攻击成功概率,并将所述攻击成功概率作为渗透成功概率;
将攻击成功概率最高的攻击路径作为渗透路径。
以下通过具体的实施例对本发明作进一步的说明:
构建的网络拓扑环境如图2所示,网络中包括攻击机Attacker,防火墙Firewall,四台服务器主机M1、M2、M3、M4。防火墙将外部网络与内部环境隔离开来,Internet中的主机仅允许访问服务器主机M1。在内部环境中,防火墙仅允许M1访问M2和M3,目标服务器主机M4仅能由M2和M3访问。服务器M1上运行ApacheWebserver服务,攻击机的最终目标是通过渗透获取主机M4的管理员权限。网络中各主机所运行的服务信息、漏洞信息以及可利用评分如表1所示。利用攻击图生成工具构建攻击图,得到如图3所示的攻击图。对图3中的攻击图进行状态转移归一化度量,得到状态转移概率矩阵P,其中元素pi,j表示从状态节点Si跃迁到Sj的概率:
Figure BDA0003654868170000082
表1
Figure BDA0003654868170000083
Figure BDA0003654868170000091
状态转移概率矩阵对应的吸收马尔科夫链攻击图如图4所示。实例网络的攻击图共包含13条渗透路径,其中最短渗透路径长度为4,最长渗透路径长度为7。如表2所示,成功率最高的渗透路径为S1→S2→S5→S7,其成功概率为P1,2×P2,5×P5,7=0.145。该攻击的实际攻击过程为攻击者通过对目标网络进行IP嗅探及漏洞扫描,发现服务器主机M1存活及M1上存在的apache服务漏洞CVE-2014-0098,通过该漏洞获得主机M1的管理员权限。此时攻击者与内网环境通过主机M1建立连接,随后通过内网探测发现主机M3上存在微软办公软件Ms-office的栈缓冲区溢出漏洞CVE-2013-1324,通过该漏洞获得主机M3权限,随后以M3为跳板机,利用目标主机M4上radius服务的缓冲区溢出漏洞CVE-2014-1878实现横向移动,获得目标靶机M4的根权限。
表2
Figure BDA0003654868170000092
Figure BDA0003654868170000101
图5为本发明所提供的一种基于吸收马尔科夫链的渗透路径确定系统结构示意图,如图5所示,本发明所提供的一种基于吸收马尔科夫链的渗透路径确定系统,包括:
信息获取模块501,用于获取目标网络的拓扑结构以及环境信息;所述环境信息包括:主机信息以及漏洞名称;
攻击图建立模块502,用于根据所述拓扑结构以及所述环境信息建立所述目标网络的攻击图;
状态转移概率矩阵确定模块503,用于利用基于漏洞生命周期的状态转移概率归一化度量算法将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵;所述基于漏洞生命周期的状态转移概率归一化度量算法以漏洞生命周期作为计算因子,以攻击图作为输入,以基于吸收马尔科夫链的状态转移概率矩阵为输出;
渗透路径确定模块504,用于根据所述攻击图和所述基于吸收马尔科夫链的状态转移概率矩阵确定攻击成功概率最高的攻击路径,并将攻击成功概率最高的攻击路径作为渗透路径。
所述攻击图建立模块502具体包括:
攻击图建立单元,用于根据所述拓扑结构以及所述环境信息,利用Mulval攻击图生成工具,建立目标网络的攻击图。
所述状态转移概率矩阵确定模块503的映射过程,具体包括:
从所述攻击图的状态节点集合S中随机选择一个未遍历的状态节点Si
令状态节点集合S’等于状态节点集合S,从状态节点集合S中选取状态节点Sj,同时从状态节点集合S中删除状态节点Sj
设状态节点Si的出度为m=0,判断攻击图中Si→Sj是否存在攻击路径Ei,j及可利用漏洞Vi,j;若存在,则令Ki,j=F(tv)×Scorev,并将Ki,j加入到状态节点Si的出度集合G中,令m=m+1;若攻击图中Si→Sj不存在攻击路径Ei,j,则令Ki,j=0;其中,tv为可利用漏洞Vi,j的生存周期,Scorev为可利用漏洞Vi,j的可利用得分;
令j=j+1,若j≤n,n为状态序列合集数量,则返回所述令状态节点集合S’等于状态节点集合S,从状态节点集合S中选取状态节点Sj,同时从状态节点集合S中删除状态节点Sj的步骤;反之,则令j=1,m=0,并且恢复状态节点集合S至状态节点集合S’;
判断攻击是否成功;若攻击失败,则为状态节点Si到自身的一次转移,转移概率为pi,i;若攻击成功,则对状态节点Si的出度集合G中值求和,确定总和值K,进而,依次对状态转移概率矩阵P中第i行第j列的元素逐个赋值;
直至遍历全部的状态节点,进而将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵。
所述渗透路径确定模块504具体包括:
攻击成功概率确定单元,用于根据所述攻击图中每个攻击路径中所有状态节点的状态转移概率的乘积确定攻击成功概率,并将所述攻击成功概率作为渗透成功概率;
渗透路径确定单元,用于将攻击成功概率最高的攻击路径作为渗透路径。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (6)

1.一种基于吸收马尔科夫链的渗透路径确定方法,其特征在于,包括:
获取目标网络的拓扑结构以及环境信息;所述环境信息包括:主机信息以及漏洞名称;
根据所述拓扑结构以及所述环境信息建立所述目标网络的攻击图;
利用基于漏洞生命周期的状态转移概率归一化度量算法将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵;所述基于漏洞生命周期的状态转移概率归一化度量算法以漏洞生命周期作为计算因子,以攻击图作为输入,以基于吸收马尔科夫链的状态转移概率矩阵为输出;
根据所述攻击图和所述基于吸收马尔科夫链的状态转移概率矩阵确定攻击成功概率最高的攻击路径,并将攻击成功概率最高的攻击路径作为渗透路径;
所述利用基于漏洞生命周期的状态转移概率归一化度量算法将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵,具体包括:
从所述攻击图的状态节点集合S中随机选择一个未遍历的状态节点Si
令状态节点集合S’等于状态节点集合S,从状态节点集合S中选取状态节点Sj,同时从状态节点集合S中删除状态节点Sj
设状态节点Si的出度为m=0,判断攻击图中Si→Sj是否存在攻击路径Ei,j及可利用漏洞Vi,j;若存在,则令Ki,j=F(tv)×Scorev,并将Ki,j加入到状态节点Si的出度集合G中,令m=m+1;若攻击图中Si→Sj不存在攻击路径Ei,j,则令Ki,j=0;其中,tv为可利用漏洞Vi,j的生存周期,Scorev为可利用漏洞Vi,j的可利用得分;
令j=j+1,若j≤n,n为状态序列合集数量,则返回所述令状态节点集合S’等于状态节点集合S,从状态节点集合S中选取状态节点Sj,同时从状态节点集合S中删除状态节点Sj的步骤;反之,则令j=1,m=0,并且恢复状态节点集合S至状态节点集合S’;
判断攻击是否成功;若攻击失败,则为状态节点Si到自身的一次转移,转移概率为pi,i;若攻击成功,则对状态节点Si的出度集合G中值求和,确定总和值K,进而,依次对状态转移概率矩阵P中第i行第j列的元素逐个赋值;
直至遍历全部的状态节点,进而将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵。
2.根据权利要求1所述的一种基于吸收马尔科夫链的渗透路径确定方法,其特征在于,所述根据所述拓扑结构以及所述环境信息建立所述目标网络的攻击图,具体包括:
根据所述拓扑结构以及所述环境信息,利用Mulval攻击图生成工具,建立目标网络的攻击图。
3.根据权利要求1所述的一种基于吸收马尔科夫链的渗透路径确定方法,其特征在于,所述根据所述攻击图和所述基于吸收马尔科夫链的状态转移概率矩阵确定攻击成功概率最高的攻击路径,并将攻击成功概率最高的攻击路径作为渗透路径,具体包括:
根据所述攻击图中每个攻击路径中所有状态节点的状态转移概率的乘积确定攻击成功概率,并将所述攻击成功概率作为渗透成功概率;
将攻击成功概率最高的攻击路径作为渗透路径。
4.一种基于吸收马尔科夫链的渗透路径确定系统,其特征在于,包括:
信息获取模块,用于获取目标网络的拓扑结构以及环境信息;所述环境信息包括:主机信息以及漏洞名称;
攻击图建立模块,用于根据所述拓扑结构以及所述环境信息建立所述目标网络的攻击图;
状态转移概率矩阵确定模块,用于利用基于漏洞生命周期的状态转移概率归一化度量算法将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵;所述基于漏洞生命周期的状态转移概率归一化度量算法以漏洞生命周期作为计算因子,以攻击图作为输入,以基于吸收马尔科夫链的状态转移概率矩阵为输出;
渗透路径确定模块,用于根据所述攻击图和所述基于吸收马尔科夫链的状态转移概率矩阵确定攻击成功概率最高的攻击路径,并将攻击成功概率最高的攻击路径作为渗透路径;
所述状态转移概率矩阵确定模块的映射过程,具体包括:
从所述攻击图的状态节点集合S中随机选择一个未遍历的状态节点Si
令状态节点集合S’等于状态节点集合S,从状态节点集合S中选取状态节点Sj,同时从状态节点集合S中删除状态节点Sj
设状态节点Si的出度为m=0,判断攻击图中Si→Sj是否存在攻击路径Ei,j及可利用漏洞Vi,j;若存在,则令Ki,j=F(tv)×Scorev,并将Ki,j加入到状态节点Si的出度集合G中,令m=m+1;若攻击图中Si→Sj不存在攻击路径Ei,j,则令Ki,j=0;其中,tv为可利用漏洞Vi,j的生存周期,Scorev为可利用漏洞Vi,j的可利用得分;
令j=j+1,若j≤n,n为状态序列合集数量,则返回所述令状态节点集合S’等于状态节点集合S,从状态节点集合S中选取状态节点Sj,同时从状态节点集合S中删除状态节点Sj的步骤;反之,则令j=1,m=0,并且恢复状态节点集合S至状态节点集合S’;
判断攻击是否成功;若攻击失败,则为状态节点Si到自身的一次转移,转移概率为pi,i;若攻击成功,则对状态节点Si的出度集合G中值求和,确定总和值K,进而,依次对状态转移概率矩阵P中第i行第j列的元素逐个赋值;
直至遍历全部的状态节点,进而将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵。
5.根据权利要求4所述的一种基于吸收马尔科夫链的渗透路径确定系统,其特征在于,所述攻击图建立模块具体包括:
攻击图建立单元,用于根据所述拓扑结构以及所述环境信息,利用Mulval攻击图生成工具,建立目标网络的攻击图。
6.根据权利要求4所述的一种基于吸收马尔科夫链的渗透路径确定系统,其特征在于,所述渗透路径确定模块具体包括:
攻击成功概率确定单元,用于根据所述攻击图中每个攻击路径中所有状态节点的状态转移概率的乘积确定攻击成功概率,并将所述攻击成功概率作为渗透成功概率;
渗透路径确定单元,用于将攻击成功概率最高的攻击路径作为渗透路径。
CN202210555635.2A 2022-05-20 2022-05-20 一种基于吸收马尔科夫链的渗透路径确定方法及系统 Active CN115021983B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210555635.2A CN115021983B (zh) 2022-05-20 2022-05-20 一种基于吸收马尔科夫链的渗透路径确定方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210555635.2A CN115021983B (zh) 2022-05-20 2022-05-20 一种基于吸收马尔科夫链的渗透路径确定方法及系统

Publications (2)

Publication Number Publication Date
CN115021983A CN115021983A (zh) 2022-09-06
CN115021983B true CN115021983B (zh) 2023-06-06

Family

ID=83069444

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210555635.2A Active CN115021983B (zh) 2022-05-20 2022-05-20 一种基于吸收马尔科夫链的渗透路径确定方法及系统

Country Status (1)

Country Link
CN (1) CN115021983B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117575028A (zh) * 2023-11-13 2024-02-20 无锡商业职业技术学院 基于马尔科夫链的网络安全分析方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106682502A (zh) * 2016-12-13 2017-05-17 重庆邮电大学 基于隐马尔可夫和概率推断的入侵意图识别系统及方法
CN111191955A (zh) * 2020-01-07 2020-05-22 东北电力大学 基于相依马尔可夫链的电力cps风险区域预测方法
CN113822355A (zh) * 2021-09-22 2021-12-21 华北电力科学研究院有限责任公司 基于改进的隐马尔可夫模型的复合攻击预测方法及装置
CN113949570A (zh) * 2021-10-18 2022-01-18 北京航空航天大学 一种基于攻击图的渗透测试攻击路径选择方法及系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10425429B2 (en) * 2013-04-10 2019-09-24 Gabriel Bassett System and method for cyber security analysis and human behavior prediction
US10659488B1 (en) * 2017-02-28 2020-05-19 University Of South Florida Statistical predictive model for expected path length
CN108809951A (zh) * 2018-05-16 2018-11-13 南京大学 一种适用于工业控制系统的渗透测试框架
CN108418843B (zh) * 2018-06-11 2021-06-18 中国人民解放军战略支援部队信息工程大学 基于攻击图的网络攻击目标识别方法及系统
CN110874470A (zh) * 2018-12-29 2020-03-10 北京安天网络安全技术有限公司 基于网络攻击预测网络空间安全性的方法及装置
CN112085988A (zh) * 2020-09-11 2020-12-15 北京信息科技大学 一种渗透攻击的虚拟仿真实验系统及方法
CN112422573B (zh) * 2020-11-19 2022-02-25 北京天融信网络安全技术有限公司 攻击路径还原方法、装置、设备及存储介质
CN112804208B (zh) * 2020-12-30 2021-10-22 北京理工大学 一种基于攻击者特性指标的网络攻击路径预测方法
CN114189364B (zh) * 2021-11-25 2022-09-16 中国电子科技集团公司第十五研究所 一种基于马尔科夫链的网络节点路径还原和预测的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106682502A (zh) * 2016-12-13 2017-05-17 重庆邮电大学 基于隐马尔可夫和概率推断的入侵意图识别系统及方法
CN111191955A (zh) * 2020-01-07 2020-05-22 东北电力大学 基于相依马尔可夫链的电力cps风险区域预测方法
CN113822355A (zh) * 2021-09-22 2021-12-21 华北电力科学研究院有限责任公司 基于改进的隐马尔可夫模型的复合攻击预测方法及装置
CN113949570A (zh) * 2021-10-18 2022-01-18 北京航空航天大学 一种基于攻击图的渗透测试攻击路径选择方法及系统

Also Published As

Publication number Publication date
CN115021983A (zh) 2022-09-06

Similar Documents

Publication Publication Date Title
US11637853B2 (en) Operational network risk mitigation system and method
US11595421B2 (en) Method and system that determine malicious nodes in a distributed computation network
Abraham et al. Cyber security analytics: a stochastic model for security quantification using absorbing markov chains
Pamula et al. A weakest-adversary security metric for network configuration security analysis
US8997236B2 (en) System, method and computer readable medium for evaluating a security characteristic
US9083712B2 (en) Method and apparatus for generating highly predictive blacklists
Ou et al. Quantitative security risk assessment of enterprise networks
CN105991521A (zh) 网络风险评估方法和装置
CN110602137A (zh) 恶意ip和恶意url拦截方法、装置、设备及介质
Baiardi et al. Automating the assessment of ICT risk
CN113469371B (zh) 联邦学习方法和装置
CN115021983B (zh) 一种基于吸收马尔科夫链的渗透路径确定方法及系统
Li et al. A stochastic model for quantitative security analyses of networked systems
Jajodia et al. An integrated framework for cyber situation awareness
Sen et al. On using contextual correlation to detect multi-stage cyber attacks in smart grids
Jaafor et al. Multi-layered graph-based model for social engineering vulnerability assessment
US10965693B2 (en) Method and system for detecting movement of malware and other potential threats
Praseed et al. Fuzzy request set modelling for detecting multiplexed asymmetric DDoS attacks on HTTP/2 servers
Sun et al. MD-Miner: behavior-based tracking of network traffic for malware-control domain detection
Singh et al. Fast model-based penetration testing
US20230034303A1 (en) Systems and methods for applying reinforcement learning to cybersecurity graphs
CN107835153B (zh) 一种脆弱性态势数据融合方法
Mishra et al. Cyber-attacks visualisation and prediction in complex multi-stage network
Wang et al. The microcosmic model of worm propagation
Chen et al. Enterprise cyber resiliency against lateral movement: A graph theoretic approach

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant