CN115174263B - 攻击路径动态决策方法与装置 - Google Patents
攻击路径动态决策方法与装置 Download PDFInfo
- Publication number
- CN115174263B CN115174263B CN202210925911.XA CN202210925911A CN115174263B CN 115174263 B CN115174263 B CN 115174263B CN 202210925911 A CN202210925911 A CN 202210925911A CN 115174263 B CN115174263 B CN 115174263B
- Authority
- CN
- China
- Prior art keywords
- attack
- model
- target
- output data
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 230000006399 behavior Effects 0.000 claims abstract description 63
- 230000008901 benefit Effects 0.000 claims abstract description 36
- 238000011156 evaluation Methods 0.000 claims abstract description 20
- 238000005259 measurement Methods 0.000 claims abstract description 20
- 238000013210 evaluation model Methods 0.000 claims abstract description 17
- 238000012549 training Methods 0.000 claims description 27
- 238000004364 calculation method Methods 0.000 claims description 18
- 238000004422 calculation algorithm Methods 0.000 claims description 14
- 238000012417 linear regression Methods 0.000 claims description 11
- 238000007637 random forest analysis Methods 0.000 claims description 10
- 239000013598 vector Substances 0.000 claims description 9
- 238000001514 detection method Methods 0.000 claims description 8
- 238000013528 artificial neural network Methods 0.000 claims description 6
- 238000007477 logistic regression Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 4
- 238000012163 sequencing technique Methods 0.000 claims 4
- 230000001902 propagating effect Effects 0.000 claims 1
- 238000005516 engineering process Methods 0.000 abstract description 27
- 230000008569 process Effects 0.000 abstract description 19
- 239000010410 layer Substances 0.000 description 19
- 230000035515 penetration Effects 0.000 description 18
- 230000006870 function Effects 0.000 description 13
- 238000009826 distribution Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 210000002569 neuron Anatomy 0.000 description 6
- 238000005457 optimization Methods 0.000 description 6
- 230000002787 reinforcement Effects 0.000 description 6
- 238000005070 sampling Methods 0.000 description 6
- 238000003066 decision tree Methods 0.000 description 5
- 235000002020 sage Nutrition 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- ORILYTVJVMAKLC-UHFFFAOYSA-N Adamantane Natural products C1C(C2)CC3CC1CC2C3 ORILYTVJVMAKLC-UHFFFAOYSA-N 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000013527 convolutional neural network Methods 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000009191 jumping Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000010606 normalization Methods 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000002372 labelling Methods 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000003321 amplification Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 239000002356 single layer Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Signal Processing (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种攻击路径动态决策方法与装置,属于网络安全技术领域。本发明的方法包括下述步骤:利用动态目标选择模型根据多个攻击目标的资产信息选择待攻击目标;利用统筹决策模型与知识推理模型根据待攻击目标的预设信息对攻击任务的成功率进行评估;利用价值度量模型对攻击行为的价值收益进行评估;利用横向移动评估模型根据攻击任务的成功率与攻击行为的价值以得到攻击路径。本发明基于智能评估的攻击路径动态决策技术结合攻击迭代技术,通过对海量攻击路径进行快速自主决策,实现持续迭代的攻击行为,以及对攻击路径的智能动态规划,且对应于技术指标中得以实现攻击过程的智能决策和攻击路径的实时动态规划,以提高攻击路径的预测精度。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种攻击路径动态决策方法与装置。
背景技术
网络攻击路径分析是网络安全的关键问题之一,主要任务是对目标网络中多个脆弱点进行攻击路径的分析,即为发现网络中复杂的攻击路径或者引起系统状态变迁的渗透序列,通过综合攻击、漏洞、目标、主机、网络连接关系等因素提出一种描述网络安全状态的表示方法。但随着网络规模的扩大和网络系统中脆弱性的增加,传统的以攻击图为主的攻击路径分析方法存在因状态爆炸导致的时空消耗过高、因安全度量粒度较粗导致难以精确反映节点和路径的真实风险程度,不能对多个攻击目标进行自主选择,且容易损伤目标、以及不能实现对攻击路径的智能动态规划。
因此,基于上述技术问题,本发明提出一种基于智能评估的攻击路径动态决策方法与装置。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一,提供一种攻击路径动态决策方法与装置。
本发明的一方面,提供一种攻击路径动态决策方法,包括下述步骤:
利用动态目标选择模型根据多个攻击目标的资产信息选择待攻击目标;
利用统筹决策模型与知识推理模型根据待攻击目标的预设信息对攻击任务的成功率进行评估;
利用价值度量模型对攻击行为的价值收益进行评估;
利用横向移动评估模型根据攻击任务的成功率与攻击行为的价值以得到攻击路径。
可选的,利用动态目标选择模型根据多个攻击目标的资产信息选择待攻击目标,包括:
基于动态目标选择模型,将多个攻击目标的探测组件信息作为输入数据,以两层GCN网络提取输入数据特征,输出数据经线性回归、攻击目标动态排序后以得到待攻击目标序列。
可选的,利用统筹决策模型与知识推理模型根据待攻击目标的预设信息对攻击任务的成功率进行评估,包括:
基于统筹决策模型,将待攻击目标的攻击组件、资产信息、漏洞信息、风险信息作为输入数据,以GrapgSAGE网络提取输入数据特征,输出数据经分类判断后以得到第一攻击任务列表;以及,
基于知识推理模型,将待攻击目标的攻击组件、指纹特征、攻击面统计作为输入数据,以深度网络和交叉网络分别提取输入数据特征,将输出数据合并后经分类判断得到攻击任务成功率,进一步得到第二攻击任务列表。
可选的,输出数据经分类判断后以得到第一攻击任务列表,包括:
根据输出数据中是否存在攻击原子,并进一步判断攻击标签是否大于阈值;
响应于输出数据存在攻击原子,且攻击标签大于阈值时,得到第一攻击任务列表;和/或,
将输出数据合并后经分类判断得到攻击任务成功率,进一步得到第二攻击任务列表,包括:
根据输出数据中是否存在攻击原子,并进一步判断攻击标签是否大于阈值;
响应于输出数据存在攻击原子,且攻击标签大于阈值时,得到第二攻击任务列表。
可选的,深度网络由多层前向传播的全连接神经网络构成,其计算公式如下:
hl+1=f(wlhl+bl)
其中,xo表述初始输入,xl代表第l层的输入,wl表示第l层的权重,bl表示偏倚向量,hl+1表示第l层的输出;以及,
采用交叉熵损失函数对知识推理模型训练,经过逻辑回归模型得到攻击任务成功率,其计算公式如下:
其中,表示输入数据中攻击原子,/>表示输出数据中攻击原子,wlogit表示逻辑回归权重参数。
可选的,利用价值度量模型对攻击行为的价值收益进行评估,包括:
基于价值度量模型,将待攻击目标的攻击组件、攻击面统计、指纹特征作为输入数据,以深度网络和交叉网络提取输入数据特征,输出数据经线性回归处理与判断后以得到攻击任务列表。
可选的,价值度量模型的计算公式如下:
y=wx+b
其中,w、b为模型参数,x为输入,y为输出。
可选的,利用横向移动评估模型根据攻击任务的成功率与攻击行为的价值以得到攻击路径,包括:
基于横向移动评估模型,将当前攻击目标上探测到的攻击原子信息作为输入数据,以多个随机森林模型提取输入数据特征,对多个随机森林模型得到的回归结果进行算术平均得到最终的输出数据;输出数据经横向移动目标排序后得到优先攻击目标列队。
可选的,所述输出数据经横向移动目标排序,包括:
查找攻击原子存在序列关系的其他的攻击原子;
使用最小路径算法找出当前攻击原子与关联攻击原子的最短路径;
基于攻击原子的价值收益与最短路径以对数据标注排序,其计算公式为:reward/(1+distance);
其中,reward为攻击原子的价值收益,distance为最小距离。
本发明的另一方面,提供一种攻击路径动态决策装置,包括:攻击目标选择模块,攻击任务评估模块,攻击行为评估模块以及攻击路径获取模块:其中,
所述攻击目标选择模块,用于利用动态目标选择模型根据多个攻击目标的资产信息选择待攻击目标;
所述攻击任务评估模块,用于利用统筹决策模型与知识推理模型根据所述待攻击目标的预设信息对攻击任务的成功率进行评估;
所述攻击行为评估模块,用于利用价值度量模型对攻击行为的价值收益进行评估;
所述攻击路径获取模块,用于利用横向移动评估模型根据所述攻击任务的成功率与所述攻击行为的价值以得到攻击路径
本发明提供一种攻击路径动态决策方法,包括下述步骤:利用动态目标选择模型根据多个攻击目标的资产信息选择待攻击目标;利用统筹决策模型与知识推理模型根据待攻击目标的预设信息对攻击任务的成功率进行评估;利用价值度量模型对攻击行为的价值收益进行评估;利用横向移动评估模型根据攻击任务的成功率与攻击行为的价值以得到攻击路径。本发明基于智能评估的攻击路径动态决策技术结合攻击迭代技术,通过对海量攻击路径进行快速自主决策,实现持续迭代的攻击行为,以及对攻击路径的智能动态规划,且对应于技术指标中得以实现攻击过程的智能决策和攻击路径的实时动态规划,以提高攻击路径的预测精度。
附图说明
图1为本发明一实施例的攻击路径动态决策方法的流程框图;
图2为本发明另一实施例的动态目标选择模型流程图;
图3为本发明另一实施例的统筹决策模型流程图。
图4为本发明另一实施例的知识推理模型流程图;
图5为本发明另一实施例的价值度量模型流程图;
图6为本发明另一实施例的横向移动评估模型流程图;
图7为本发明另一实施例的攻击原子跳转形式示意图;
图8为本发明另一实施例的攻击路径动态决策装置的结构示意图。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和具体实施方式对本发明作进一步详细描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于所描述的本发明的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护范围。
需要说明的是,智能决策是渗透攻击的重要一环,能够根据当前攻击状态进行智能化的自主决策,降低攻击行为的暴露风险。由此,本发明基于智能评估的攻击路径动态决策技术,通过对海量攻击路径进行快速自主决策,实现持续迭代的攻击行为,进而实现攻击路径的智能动态规划。基于智能决策技术,本发明主要包括了动态攻击目标选择、面向攻击事件的统筹决策技术、面向资源指纹的经验判断技术、价值度量技术和横向移动决策技术。
具体的,如图1所示,本发明的一方面,提供一种攻击路径动态决策方法S100,包括下述具体步骤S110~S140:
S110、利用动态目标选择模型根据多个攻击目标的资产信息选择待攻击目标。
需要说明的是,攻击渗透过程中存在的漏洞、风险与高价值资产有很强的相关性,在一个攻击目标上发现了高价值的资产数据,则在渗透中发现目标主机的高价值漏洞、风险的可能性也会较大。因此,本实施例面对多个攻击目标时,优先选择执行具有高价值资产的目标进行渗透攻击,例如:路由器、网关、邮件服务器、数据库服务器、域控主机等。由此,攻击目标相关的高价值资产信息为有效的攻击决策提供数据支持。在渗透攻击过程中,动态攻击目标选择作为智能决策的第一步,高价值资产目标的选取直接影响智能决策系统的决策效果。
进一步需要说明的是,不同目标设备部署了不同的服务应用,由此不同目标存在的数据信息不同。也就是说,探测到的信息对识别目标设备上存在的资产信息是一种特征,另外,不同功能的应用服务对外开放了不同的端口,与不同设备有着不同的数据交互,攻击环境的拓扑结构对识别不同功能的攻击目标也是很强的特征,为渗透攻击选择有效的、价值收益大的攻击目标提供了根据。例如:路由器、网关、邮件服务器、数据库服务器、域控主机等,对此不做具体限定。
仍需要说明的是,为了解决多个动态攻击目标自主选择问题,本实施例多目标渗透攻击过程中优先选择具有高价值资产的攻击目标,动态目标选择网络以当前探测到的主机指纹信息和web指纹信息为依据,通过对目标设备可能存在的高价值资产收益进行建模,提出了以图卷积网络(Graph Convolutional Network,GCN)为核心的动态目标选择网络,其动态攻击目标选择流程如图2。
具体的,如图2所示,本实施例基于动态目标选择模型,将多个攻击目标的探测组件信息作为输入数据,以两层GCN网络提取输入数据特征,输出数据经线性回归、攻击目标动态排序后以得到待攻击目标序列。也就是说,本实施例基于动态目标选择网络通过对目标设备存在的服务应用的价值大小进行建模,使用两层GCN网络结构学习输入数据的特征。
需要说明的是,本实施例采用的GCN模型是类基于图结构建模的神经网络,它通过参考邻居关系加权求和,同时对输入数据归一化处理确保数值计算的收敛、稳定。同卷积神经网络(Convolutional Neural Network,CNN)的作用相同,GCN也是一种参数共享的特征提取器,只不过它的对象是图数据。而动态目标选择模型依赖的图是由网络设备及交互关系构成的拓扑图结构,其中,不同网络设备构成节点,不同设备之间的交互关系构成边的图结构。
仍需要说明的是,本实施例的动态目标选择模型的输入数据包括当前目标上探测到的主机指纹信息、web指纹信息及攻击面数据,即探测组件信息包括指纹信息和攻击面信息,其中,指纹数据使用了多模式匹配算法(Aho and Corasick,AC)识别并提取指纹关键词,基于词频方式编码表示,指纹数据相关维度如下表1所示。
表1指纹数据维度信息
| 字段 | 描述 | 取值 |
| porduct | 探测到的相关产品 | [0,1] |
| port | 探测到的端口 | [0,1] |
| service | 探测到的服务 | [0,1] |
| language | 探测到的语言 | [0,1] |
| os | 探测到的操作系统 | [0,1] |
| server | 探测到的中间件 | [0,1] |
| cms | 探测到的cms | [0,1] |
| framework | 探测到的框架 | [0,1] |
由表1可知,输入数据的每个维度为取值0或1的标量,表示当前目标设备是否包含对应的指纹关键词。统计信息主要包括当前知识项个数分布、文件上传入口数目、登录入口数目、动态ur1平均参数。
进一步的,本实施例以目标主机上是否包含高价值资产作为模型学习的监督信息,模型训练时使用了在大多数任务表现效果较好的自适应学习率的Adam优化算法,它从梯度均值及梯度平方两个角度对参数进行自适应地调整,参数更新比较平稳,同时对初始梯度为0带来的偏差进行纠正,降低偏差对训练初期的影响。
更进一步的,为了增加动态目标选择网络的泛化能力,模型在训练时,加入了L1和L2正则化限制模型参数的学习。正则化的效果是让网络倾向于学习小一点的权重,使得模型不能拟合任意的噪声数据,从而达到防止过拟合的目的。更小的权重意味着网络的行为不会因为随便改变了一个输入而改变太大,大权重的网络可能会因为输入的微小改变而产生比较大的行为改变。
更进一步的,本实施例的目标函数使用了回归任务中常用的均方差损失函数,衡量了目标设备上资产价值重要程度与模型预测值之间的差异。L1和L2正则化是在原目标函数或代价函数中添加惩罚项,对复杂度高的模型进行惩罚,使得模型在学习最小化参数和最小化原始的代价函数之间的平衡。其中,加入正则化项的优化目标公式如下:
其中,c代表优化后的目标函数,第一项c0是常规的损失函数,第二项是L1正则化项,第三项是L2正则化项,n为训练集合的大小。
需要说明的是,上述两部分之间相对的重要性由λ的值来控制,λ越小,对应偏向于最小化原始代价函数,反之,倾向于小的权重。这和正常的梯度下降学习规则相同,只是多了一个因子系数重新调整了参数w,这种调整称为权重衰减。如果训练数据很多时,也就是n比较大,那么调节因子将接近1,从而使得权重衰减效果不明显,导致规范化效果降低。因此,本实施例可以针对大数据集将规范化参数设置大一点,对小数据集将规范化参数设置的小一些。
S120、利用统筹决策模型与知识推理模型根据待攻击目标的预设信息对攻击任务的成功率进行评估。
需要说明的是,在网络渗透攻击过程中,如果待攻击目标主机上探测到了大量的资产信息,基于统计的组合策略就可能生成很多攻击原子组合,从而也会触发大量的攻击任务。如果使用全量化的攻击手段,往往导致攻击暴露风险大、对目标损伤性极强。基于上述问题,常规的解决办法是加强组件匹配的规则强度,允许规则覆盖之内的攻击组件在其定义的环境下运行。然而,这种方法在减少了触发的组件数量的同时,也可能导致当前攻击状态下有效组件不能够召回无法进一步完成有效的攻击,特别是在面对一些复杂的攻击目标时规则匹配往往无法覆盖。此外,内网环境复杂,无法利用有限的规则去覆盖多种内网场景,基于规则的方法往往导致攻击方法匮乏。
基于上述问题,本实施例利用统筹决策网络根据攻击行为、资产信息、漏洞信息、风险信息建模不同任务运行成功可能性。它整体使用了离线强化学习的框架,方便模型的后处理和修改,通过最大限度地利用静态数据集训练强化学习的策略。在渗透攻击过程中,通过对海量攻击路径进行快速决策及迭代对攻击任务赋予优先级,优先运行更容易渗透的目标的组件,从而快速发现有价值资产、漏洞、风险,实现攻击路径的智能动态规划,统筹决策模型流程如图3。
进一步需要说明的是,离线强化学习一般建立在标准的off policy算法之上,这些算法倾向于优化不同形式的TD差分误差。当只有离线数据学习时,由于离线数据之外的状态动作对(s,a)可能具有不准确的Q值,对学习算法产生了不正确的反馈,从而导致学习存在误差。大多数基于off policy算法的深度强化学习,由于算法缺乏纠错能力,任务往往失败。在线学习场景下,因为agent可以得到真实的reward值,通过对数据的探索可以纠正这些误差。
基于此,本实施例的统筹策略网络使用了离线数据学习模型,不仅考虑了不同输入维度自身的信息,同时考虑了不同维度之间相关关系。它通过限制状态-动作对的抽样进行策略学习,使用攻击原子的序列关系最大化强化学习的探索能力,有效消除了策略学习中的误差。
具体的,如图3所示,本实施例利用统筹决策模型对攻击任务进行评估包括:基于统筹决策模型,将待攻击目标的攻击组件、资产信息、漏洞信息、风险信息作为输入数据,以GrapgSAGE网络提取输入数据特征,输出数据经分类判断后以得到第一攻击任务列表,即该过程是基于面向攻击事件利用统筹决策技术进行评估分析的。
进一步的,输出数据经分类判断后以得到第一攻击任务列表,包括:根据输出数据中是否存在攻击原子,并进一步判断攻击标签是否大于阈值;响应于输出数据存在攻击原子,且攻击标签大于阈值时,得到第一攻击任务列表。
当然,不难理解的是,当输出数据不存在新的知识项组件,且攻击标签不大于阈值时,将该数据舍弃。
具体的,在统筹策略网络的学习过程中,策略模型的动作空间只包括两个动作,分别表示当前组件运行后发现了新知识项和没有发现新知识项模型学习时和二分类模型相同,攻击行为数据中发现了新的知识项的组件中,选择组件的动作对应Q值(相当于攻击标签)则较大,攻击行为数据中没有发现新的攻击原子的组件中,选择组件的动作对应Q值则较小。它通过基于处理后的网络安全攻击事件数据作为学习数据集,基于统计组合策略中生成的攻击原子关系图,使用offline data的动作作为正样本,其他的干扰的动作作为负样本进行参数调优,有效的纠正了模型训练过程中因无法探索带来的误差。
需要说明的是,本实施例的模型输入数据包括上次攻击组件、资产信息、漏洞信息、风险信息、当前攻击组件,不同维度的信息对应图上的不同节点。在训练模型时会对不同维度的数据进行采样,所有数据都有一个编号,通过embedding方式对维度中的每个数据进行特征表示,例如,每个攻击组件使用一个可以学习的参数向量编码表示。攻击组件与其他的输入维度信息有边关系,例如上次迭代攻击组件使用了mysql数据库资产信息,则它们有边连接。统筹决策网络对应的攻击标签为0或1,即Q值较小时为0,Q值较大时为1,对应代表当前攻击行为是否其发现新攻击原子。例如,当攻击标签大于阈值,为1时,代表攻击行为发现新攻击原子,当攻击标签不大于阈值,为0时,代表攻击行为没有发现新攻击原子,将其舍弃。
更进一步的,本实施例的统筹决策网络使用GraphSAGE网络结构学习数据的特征,不仅能够根据数据内部节点自身的属性信息学习,同时通过其内部拓扑结构学习数据特征。
其中,GraphSAGE学习过程主要包括邻居采样Sample和邻居聚合Aggregate两个过程,Sample是对邻居的进行采样,Aggregate是拿到邻居节点的特征向量之后,汇聚信息以更新自己的特征向量。相比其他图神经网络结构,GraphSAGE有以下优点:
(1)利用采样机制,很好的解决了GCN必须要知道全部图的信息问题,克服了GCN训练时内存和显存的限制,即使对于未知的新节点,也能得到其表示;
(2)聚合器和权重矩阵的参数对于所有的节点是共享的;
(3)模型的参数的数量与图的节点个数无关,这使得GraphSAGE能够处理更大的图;
(4)既能处理有监督任务也能处理无监督任务。
更进一步的,本实施例的模型训练时同样使用了在大多数任务表现效果较好的自适应学习率的Adam优化算法,它从梯度均值及梯度平方两个角度对参数进行自适应地调整,参数更新比较平稳,同时对初始梯度为0带来的偏差进行纠正,降低偏差对训练初期的影响。
进一步需要说明的是,内网攻击、情报获取过程中网络环境复杂、场景丰富,尽管统筹决策网络基于当前攻击状态对每个组件的攻击成功可能性建模预测,丢掉当前状态行为下成功概率不高的任务,仍然无法有效控制待运行的任务总数,而且统筹决策网络为了快速量化每个任务在特定的攻击状态下成功攻击的概率,只用了一层graphSAGE网络结构提取数据的特征,模型的预测牺牲了一定的精确度。
由此,为了能够有效控制待运行任务的数量,准确发现有价值资产、漏洞、风险,需要进一步对当前攻击状态下攻击成功的可能性精细建模以面对各种攻击场景。
在实际的决策环境下,因为知识推理网络位于攻击决策网络的下游,知识推理网络一定程度的继承了攻击决策网络的决策能力,它不再输入上次的攻击行为信息,这使得知识推理网络更加关注当前攻击资产信息进行建模。
基于此,本实施例利用知识推理网络,其整体也使用了离线强化学习的框架对当前攻击状态下每个组件攻击的成功可能性建模。不同于攻击决策网络基于单层graphSage网络结构,知识推理网络采用了多层的数据通信网络结构(Data Communication Network,DCN),它是推荐系统和预估任务点击率(Click Through Rate,CTR)中常见的模型结构,它可以同时高效学习低维交叉特征和高维非线性特征的深度模型结构,不需要人工特征工程提取特征,知识推理模块流程如图4。
具体的,如图4所示,本实施例利用知识推理模型对攻击任务进行评估包括:基于知识推理模型,将待攻击目标的攻击组件、指纹特征、攻击面统计作为输入数据,以深度网络和交叉网络分别提取输入数据特征,将输出数据合并后经分类判断得到攻击任务成功率,进一步得到第二攻击任务列表。也就是说,该过程是面向资源指纹的经验判断技术,即知识推理网络基于当前的攻击状态,对每个组件攻击成功的可能性建模,它主要使用DCN模型结构,由深度网络和交叉网络两部分构成,模型输入向量并行的通过深度网络和交叉网络结构,提取数据特征。
进一步的,将输出数据合并后经分类判断得到攻击任务成功率,进一步得到第二攻击任务列表,包括:根据输出数据中是否存在攻击原子,并进一步判断攻击标签是否大于阈值;响应于输出数据存在攻击原子,且攻击标签大于阈值时,得到第二攻击任务列表。
当然,不难理解的是,当输出数据不存在攻击原子,且攻击标签不大于阈值时,将该数据舍弃。
需要说明的是,交叉网络主要以参数共享的方式学习组合特征,输入和输出的维变是一样的。通过对叠加层数的控制,进行层层的叠加计算,高效地学习特征的交叉组合,可以泛化到之前没有出现过的特征组合,对噪声的抵抗性更强。
进一步需要说明的是,深度网络就是一个由多层前向传播的全连接神经网络构成,它综合全局的输入信息来学习高维非线性交叉组合特征,其计算公式如下:
hl+1=f(wlhl+bl)
其中,xo表述初始输入,xl代表第l层的输入,wl表示第l层的权重,bl表示偏倚向量,hl+1表示第l层的输出。
进一步的,采用交叉熵损失函数对知识推理模型训练,经过逻辑回归模型得到攻击任务成功率,其计算公式如下:
其中,表示输入数据中攻击原子,/>表示输出数据中攻击原子,wlogi表示逻辑回归权重参数。
具体的,当上述模型输出概率值接近1时当前任务的优先级高,当输出概率值接近0时当前任务的优先级低,以此决策当前任务运行的优先级,以得到攻击任务列表。
仍需要说明的是,知识推理网络的输入维度包括主机指纹信息、web指纹信息、攻击面信息及本次攻击组件ID,其中,指纹信息使用AC多模式匹配算法提取关键词,采用onehot encoding的方式进行编码,攻击面信息基于统计方法量化不同攻击面的分布,攻击组件经过一层embedding编码为可学习成稠密参数向量,把稠密特征和经过转换的稀疏特征对应的稠密向量拼接起来组成模型的最终输入。模型训练对应的标签为0或1,代表是否攻击成功,一个组件在当前主机环境下发现了漏洞、资产、风险等攻击原子,模型就应该输出一个接近1的概率值,否则就应该输出一个接近0的概率值。也就是说,当攻击标签大于阈值,为1时,代表攻击行为发现新攻击原子,当攻击标签不大于阈值,为0时,代表攻击行为没有发现新攻击原子,将其舍弃。
更进一步的,本实施例训练模型时使用了交叉熵损失函数,它能够度量同一个随机变量中的两个不同概率分布的差异程度,在机器学习中表示为真实概率分布与预测概率分布之间的差异。交叉熵的值越小,模型学习的效果就越好。其中,在二分类情况下,交叉熵计算公式如下:
其中,yi表示类别,取0或者1,pi为输出类别为yi的概率,wl表示权重参数。
仍需要说明的是,本实施例通过加入L2正则项限制参数值过大,模型决策不会过度依赖部分特征,从而避免模型过度复杂防止了模型过拟合。
S130、利用价值度量模型对攻击行为的价值收益进行评估。
需要说明的是,在网络渗透攻击过程中,知识推理网络根据不同攻击状态为攻击任务成功的可能性建模,评估不同任务运行的优先级,从而实现对不同攻击路径的动态规划,提高渗透攻击的效率。如果考虑到当前攻击状态下攻击行为的价值收益,即最大化当前攻击行为的价值收益,仅仅根据知识推理网络生成的概率分布无法选择高价值收益的攻击行为。因此,高效的渗透攻击需要在组件进行攻击探测之前能够根据当前攻击状态对攻击行为做出价值收益的评估,优先选择高价值的攻击行为,这样不仅可以快速发现有效的攻击行为还可以最大化每个真实的攻击行为的价值收益。
基于此,本实施例的攻击价值度量模型能够摒除低价值攻击行为,生成最优攻击组件使攻击行为趋向价值收益较高的方向探索,随着渗透攻击的深入,资产探测不断全面,漏洞检测逐步精准,攻击路径逐渐清晰,控制系统向最优方向进行攻击选择,最终完成情报获取的任务。
具体的,如图5所示,本实施例利用价值度量模型,将待攻击目标的攻击组件、攻击面统计、指纹特征作为输入数据,以深度网络和交叉网络提取输入数据特征,输出数据经线性回归处理与判断后以得到攻击任务列表。也就是说,本实施例利用价值度量网络基于当前攻击状态信息,通过对攻击行为的价值收益进行回归建模,使用多层DCN模型结构分别从深度和宽度提取有效特征,然后把学习后的特征拼接输入到线性回归模型,解决了组件对攻击行为价值收益的评估问题,使得智能决策系统能够在攻击过程中优先选择高价值收益的攻击行为。
需要说明的是,本实施例模型输入的数据维度包括主机指纹、web指纹、攻击面信息、漏洞风险信息及当前攻击行为,其中主机指纹、web指纹相关信息使用AC多模式匹配方式提取指纹相关的关键词,基于词频方式量化。攻击面信息基于统计方法进行量化,例如,当前攻击状态下发现的登入入口、文件上传的数量分布。漏洞、风险、攻击行为信息使用embedding编码技术处理,量化后的各部分信息进行拼接共同作为模型的输入。
具体的,价值度量网络对一个真实攻击的行为的价值收益建模,它基于线性回归模型,模型的因变量是连续的,白变量是连续的。通过输入可用的攻击行为与当前攻击状态信息,学习因变量和白变量之间的关系对不同攻击行为的价值收益进行评估,优先运行那些价值更高的组件,价值度量模型的计算公式如下:
y=wx+b
其中,w、b为模型参数,x为输入,y为输出。
进一步的,为了提升模型的学习能力,同知识推理网络类似,本实施例也使用多层DCN模型结构分别从深度和宽度提取有效特征,然后把学习后的特征拼接输入到线性回归模型。
更进一步的,为了能够提升模型的泛化能力,本实施例在模型训练过程中加入Dropout正则化限制模型的参数学习。Dropout机制在训练的过程中随机丢掉部分神经元来减小神经网络的规模从而防止过拟合。值得注意的是,这里的丢掉不是永远的手掉,而是每一次训练中,以概率P随机丢掉一些神经元以及其中的连接,这些丢掉的神经元有可能在下一次迭代中再次使用的。
本实施例采用的Dropout机制减弱了神经元节点间的联合适应性,神经元不能依赖其他神经元特定的存在进行拟合学习,增强了泛化能力。
更进一步的,为了辅助标注训练数据,本实施例还归纳总结了攻击行为价值收益可能相关的指标维度及可能取值,基于加权求和设计了一套价值计算公式。对一个攻击行为数据,根据安全专家对不同指标维度取值的权重计算每个攻击行为可能获取的价值收益,价值收益小的攻击行为直接作为价值度量网络的训练数据,价值收益大的攻击行为则交给安全专家,调整攻击行为对应的价值收益,确保标注数据的准确。这种评分机制不仅结合了攻击原子的统计组合策略图,而且考虑了安全专家对可能影响渗透结果价值的因素。
需要说明的是,目前系统内参考的影响渗透结果价值的因素主要是渗透攻击后可能发现漏洞相关的指标和漏洞利用指标。
更进一步的,为了收集攻击行为收益建模任务下丰富的训练样本,本实施例以攻击原了为单位对攻击行为数据进行有放回采样,它平衡了不同类型攻击数据的不均衡,能够比较全面的覆盖到所有可能的攻击行为数据。以及,模型训练时使用了在大多数任务表现效果较好的自适应学习率的RMSprop(Root Mean Square Prop)算法,它使用指数哀减的移动平均对参数进行自适应地调整,参数更新比较平稳,同时对初始梯度为0带来的偏差进行纠正,降低偏差对训练初期的影响。
更进一步的,本实施例的模型优化日标是均方差,它是预测值与真实值差值的平方和的平均数,反映估计量与被估计量之间的差异程度,其计算公式如下:
其中,y表示被估计量,表示估计量。
S140、利用横向移动评估模型根据攻击任务的成功率与攻击行为的价值以得到攻击路径。
需要说明的是,在复杂网络的网络攻击中,网络中不同类型的设备非常多,网络设备之间的交互方式也变的复杂多样。目标网络资产以及拓扑信息往往不完全,需要不断地进行资产探测才能够获得,甚至需要基于已攻陷目标作为攻击跳板横向移动再探测。以及,横向移动往往会出现大量的攻击目标及攻击方法的选择问题,传统横向移动方法只能随机从这些路径中选择一个。但是,路径的选择好坏直接决定了后续渗透攻击的产出。如何根据对不同目标的探测信息选择攻击代价小、价值收益大的目标,是智能决策系统中一个十分重要的问题。
基于此,本实施例采用横向移动技术,其可以广泛应用于复杂的网络攻击中,横向移动可以用于渗透其他机器、权限提升或者窃取更有价值的凭证。通过横向移动技术访问受感染系统中的其他主机,获取诸如邮箱、共享文件夹或凭证等敏感资源,通过获取域控权限,进而控制域环境下的全部机器。
具体的,如图6所示,本实施例基于横向移动评估模型,将当前攻击目标上探测到的攻击原子信息作为输入数据,以多个随机森林模型提取输入数据特征,对多个随机森林模型得到的回归结果进行算术平均得到最终的输出数据;输出数据经横向移动目标排序后得到优先攻击目标列队。也就是说,本实施例横向移动评估模型使用随机森林模型作为攻击目标平均价值收益的建模工具,它是一种使用决策树的集成学习模型。
需要说明的是,为了能够更好的对当前渗透攻击目标的攻击优先程度进行评估横向移动评估模型基于历史攻击场景下相似目标选择的经验知识,本实施例还使用多个回归树的输出平均值对不同攻击目标的攻击代价和价值收益评估。由评估分值大小改变不同目标横向移动的优先级,优先运行攻击代价小、攻击价值收益较大的目标。
进一步需要说明的是,本实施例的随机森林使用了简单平均法,对多个弱模型得到的回归结果进行算术平均得到最终的模型输出。为了获取多个相互独立的决策树模型,它使用了带放巨的随机采样方法。它每一次从训练集里面采集固定个数的样本,每采集一个样本后,都将样本放回,所以,之前采集到的样本在放回后有可能继续被采集到。
另外,本实施例的横向移动评估模型使用了CART同归树作为弱学习器,训练时每个弱学习器随机选择节点上的部分样本特征作为当前弱学习器的特正集会,然后在随机选择的特征集合中,选择一个最优的特征来做决策树的左右子树划分,以此类推,直到决策树停止生成。这种随机选择特征集合的方式减弱了弱学习器之问的相关性,进一步增强了模型的泛化能力。
进一步的,为了辅助标注训练数据,借助历史攻击场景下相似目标选择的经验知识。本实施例的路径度量了一次攻击行为前后不同攻击原子的跳转情况,一次跳转路径的距离为1,二个攻击原子之间经历的跳转次数越多,则距离越大。
具体的,输出数据经横向移动目标排序,包括:查找攻击原子存在序列关系的其他的攻击原子;使用最小路径算法找出当前攻击原子与关联攻击原子的最短路径;基于攻击原子的价值收益与最短路径以对数据进行标注排序;其计算公式如下:
reward/(1+distance);其中,reward为攻击原子的价值收益,distance为最小距离。
进一步的,经横向移动目标排序对上述方法标注的高分值目标数据交给安全专家进一步的审核调整,分值较低的数据直接作为训练数据,这种数据标注方式同时考虑了目标的攻击代价和攻击的价值收益的同时,有效降低了数据标注的工作量,其中攻击原子的跳转形式如下图7所示。
更进一步的,本实施例的模型训练时,横向移动评估模型使用网格搜索对模型超参数进行调参优化,主要的超参数包括弱学习器的个数、决策树最大深度、最大特征数、内部节占重划分所需最小样本数。
综上,本实施例攻击路径的选择过程如下:基于动态攻击目标选择技术通过关联不同的攻击原子,对目标设备可能存在的高价值资产收益进行建模,选择当前的攻击状态下能够有效攻击的目标,以得到待攻击目标。之后,基于面向攻击事件的统筹决策技术和面向资源指纹的经验判断技术对当前待攻击目标攻击任务成功的可能性建模,优先运行容易渗透成功的任务。之后,再基于价值度量技术对一个待攻击目标的攻击行为的价值收益建模,优先运行那些价值收益更大的攻击组件。最后,基于横向移动决策技术综合考虑待攻击目标,进而实现攻击路径的智能动态规划。
本发明将智能评估的攻击路径动态决策技术与攻击迭代技术相结合,通过对海量攻击路径进行快速自主决策,实现持续迭代的攻击行为,并实现了最小迭代层数不小于5层,且对应于技术指标中实现攻击过程的智能决策和攻击路径的实时动态规划。
如图8所示,本发明的另一方面,提供一种攻击路径动态决策装置200,包括:攻击目标选择模块210,攻击任务评估模块220,攻击行为评估模块230以及攻击路径获取模块240:其中,攻击目标选择模块210,用于利用动态目标选择模型根据多个攻击目标的资产信息选择待攻击目标;攻击任务评估模块220,用于利用统筹决策模型与知识推理模型根据待攻击目标的预设信息对攻击任务的成功率进行评估;攻击行为评估模块230,用于利用价值度量模型对攻击行为的价值收益进行评估;攻击路径获取模块240,用于利用横向移动评估模型根据攻击任务的成功率与攻击行为的价值以得到攻击路径。
需要说明的是,智能决策是渗透攻击的重要一环,能够根据当前攻击状态进行智能化的自主决策,降低攻击行为的暴露风险。本实施例的装置基于上述智能决策技术实现对攻击路径的动态决策。
进一步的,本实施例的装置基于动态攻击目标选择技术通过关联不同的攻击原子,对目标设备可能存在的高价值资产收益进行建模,选择当前的攻击状态下能够有效待攻击的目标。之后,基于面向攻击事件的统筹决策技术和面向资源指纹的经验判断技术对当前攻击任务成功的可能性建模,优先运行容易渗透成功的任务。之后,基于价值度量技术对一个攻击行为的价值收益建模,优先运行那些价值收益更大的攻击组件。最后,基于横向移动决策技术综合考虑攻击目标的攻击代价和价值收益的大小建模,优先攻击代价小和价值收益的大的目标,以实现对攻击路径的动态规划,其具体过程参考前文关于攻击路径动态决策方法的记载,在此不做赘述。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范。
Claims (3)
1.一种攻击路径动态决策方法,其特征在于,包括下述步骤:
利用动态目标选择模型根据多个攻击目标的资产信息选择待攻击目标,包括:
基于所述动态目标选择模型,将多个攻击目标的探测组件信息作为输入数据,以两层GCN网络提取输入数据特征,输出数据经线性回归、攻击目标动态排序后以得到待攻击目标序列;
利用统筹决策模型与知识推理模型根据所述待攻击目标的预设信息对攻击任务的成功率进行评估,包括:
基于所述统筹决策模型,将所述待攻击目标的攻击组件、资产信息、漏洞信息、风险信息作为输入数据,以GraphSage网络提取输入数据特征,输出数据经分类判断后以得到第一攻击任务列表;其中,
所述输出数据经分类判断后以得到第一攻击任务列表,包括:
根据所述输出数据中是否存在攻击原子,并进一步判断攻击标签是否大于阈值;
响应于所述输出数据存在攻击原子,且攻击标签大于阈值时,得到第一攻击任务列表;
基于所述知识推理模型,将所述待攻击目标的攻击组件、指纹特征、攻击面统计作为输入数据,以深度网络和交叉网络分别提取输入数据特征,将输出数据合并后经分类判断得到攻击任务成功率,进一步得到第二攻击任务列表;其中,
所述将输出数据合并后经分类判断得到攻击任务成功率,进一步得到第二攻击任务列表,包括:
根据所述输出数据中是否存在攻击原子,并进一步判断攻击标签是否大于阈值;
响应于所述输出数据存在攻击原子,且攻击标签大于阈值时,得到第二攻击任务列表;
利用价值度量模型对攻击行为的价值收益进行评估,包括:
基于所述价值度量模型,将所述待攻击目标的攻击组件、攻击面统计、指纹特征作为输入数据,以深度网络和交叉网络提取输入数据特征,输出数据经线性回归处理与判断后以得到攻击任务列表;其中,
所述价值度量模型的计算公式如下:
y=wx+b
其中,x、b为模型参数,x为输入,y为输出;
利用横向移动评估模型根据所述攻击任务的成功率与所述攻击行为的价值以得到攻击路径,包括:
基于所述横向移动评估模型,将当前攻击目标上探测到的攻击原子信息作为输入数据,以多个随机森林模型提取所述输入数据特征,对多个随机森林模型得到的回归结果进行算术平均得到最终的输出数据;所述输出数据经横向移动目标排序后得到优先攻击目标列队;其中,
所述输出数据经横向移动目标排序,包括:
查找攻击原子存在序列关系的其他的攻击原子;
使用最小路径算法找出当前攻击原子与关联攻击原子的最短路径;
基于所述攻击原子的价值收益与所述最短路径以对数据标注排序,其计算公式为:reward/(1+distance);
其中,reward为攻击原子的价值收益,distance为最小距离。
2.根据权利要求1所述的方法,其特征在于,所述深度网络由多层前向传播的全连接神经网络构成,其计算公式如下:
hl+1=f(wlhl+bl)
其中,xo表述初始输入,xl代表第l层的输入,wl表示第l层的权重,bl表示偏倚向量,hl+1表示第l层的输出;以及,
采用交叉熵损失函数对所述知识推理模型训练,经过逻辑回归模型得到攻击任务成功率,其计算公式如下:
其中,表示输入数据中攻击原子,/>表示输出数据中攻击原子,wlog its表示逻辑回归权重参数。
3.一种攻击路径动态决策装置,其特征在于,包括:攻击目标选择模块,攻击任务评估模块,攻击行为评估模块以及攻击路径获取模块:其中,
所述攻击目标选择模块,用于利用动态目标选择模型根据多个攻击目标的资产信息选择待攻击目标,包括:
基于所述动态目标选择模型,将多个攻击目标的探测组件信息作为输入数据,以两层GCN网络提取输入数据特征,输出数据经线性回归、攻击目标动态排序后以得到待攻击目标序列;
所述攻击任务评估模块,用于利用统筹决策模型与知识推理模型根据所述待攻击目标的预设信息对攻击任务的成功率进行评估,包括:
基于所述统筹决策模型,将所述待攻击目标的攻击组件、资产信息、漏洞信息、风险信息作为输入数据,以GraphSage网络提取输入数据特征,输出数据经分类判断后以得到第一攻击任务列表;其中,
所述输出数据经分类判断后以得到第一攻击任务列表,包括:
根据所述输出数据中是否存在攻击原子,并进一步判断攻击标签是否大于阈值;
响应于所述输出数据存在攻击原子,且攻击标签大于阈值时,得到第一攻击任务列表;
基于所述知识推理模型,将所述待攻击目标的攻击组件、指纹特征、攻击面统计作为输入数据,以深度网络和交叉网络分别提取输入数据特征,将输出数据合并后经分类判断得到攻击任务成功率,进一步得到第二攻击任务列表;其中,
所述将输出数据合并后经分类判断得到攻击任务成功率,进一步得到第二攻击任务列表,包括:
根据所述输出数据中是否存在攻击原子,并进一步判断攻击标签是否大于阈值;
响应于所述输出数据存在攻击原子,且攻击标签大于阈值时,得到第二攻击任务列表;
所述攻击行为评估模块,用于利用价值度量模型对攻击行为的价值收益进行评估,包括:
基于所述价值度量模型,将所述待攻击目标的攻击组件、攻击面统计、指纹特征作为输入数据,以深度网络和交叉网络提取输入数据特征,输出数据经线性回归处理与判断后以得到攻击任务列表;其中,
所述价值度量模型的计算公式如下:
y=wx+b
其中,w、b为模型参数,x为输入,y为输出;
所述攻击路径获取模块,用于利用横向移动评估模型根据所述攻击任务的成功率与所述攻击行为的价值以得到攻击路径,包括:
基于所述横向移动评估模型,将当前攻击目标上探测到的攻击原子信息作为输入数据,以多个随机森林模型提取所述输入数据特征,对多个随机森林模型得到的回归结果进行算术平均得到最终的输出数据;所述输出数据经横向移动目标排序后得到优先攻击目标列队;其中,
所述输出数据经横向移动目标排序,包括:
查找攻击原子存在序列关系的其他的攻击原子;
使用最小路径算法找出当前攻击原子与关联攻击原子的最短路径;
基于所述攻击原子的价值收益与所述最短路径以对数据标注排序,其计算公式为:reward/(1+distance);
其中,reward为攻击原子的价值收益,distance为最小距离。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210925911.XA CN115174263B (zh) | 2022-08-03 | 2022-08-03 | 攻击路径动态决策方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210925911.XA CN115174263B (zh) | 2022-08-03 | 2022-08-03 | 攻击路径动态决策方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115174263A CN115174263A (zh) | 2022-10-11 |
| CN115174263B true CN115174263B (zh) | 2023-07-18 |
Family
ID=83477763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210925911.XA Active CN115174263B (zh) | 2022-08-03 | 2022-08-03 | 攻击路径动态决策方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174263B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116112278B (zh) * | 2023-02-17 | 2024-09-06 | 西安电子科技大学 | 基于Q-learning的网络最优攻击路径预测方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114519190A (zh) * | 2022-01-28 | 2022-05-20 | 集美大学 | 基于贝叶斯网络攻击图的多目标网络安全动态评估方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060021048A1 (en) * | 2004-07-22 | 2006-01-26 | Cook Chad L | Techniques for determining network security using an attack tree |
| US9276951B2 (en) * | 2013-08-23 | 2016-03-01 | The Boeing Company | System and method for discovering optimal network attack paths |
| CN107528850A (zh) * | 2017-09-05 | 2017-12-29 | 西北大学 | 一种基于改进蚁群算法的最优防护策略分析系统及方法 |
| CN111818055B (zh) * | 2020-07-09 | 2021-05-18 | 西安电子科技大学 | 基于动态反馈的网络攻击路径分析方法 |
| CN112804208B (zh) * | 2020-12-30 | 2021-10-22 | 北京理工大学 | 一种基于攻击者特性指标的网络攻击路径预测方法 |
| CN112926055B (zh) * | 2021-03-09 | 2024-04-26 | 中国人民解放军空军工程大学 | 基于时间概率攻击图的病毒攻击防御方法 |
-
2022
- 2022-08-03 CN CN202210925911.XA patent/CN115174263B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114519190A (zh) * | 2022-01-28 | 2022-05-20 | 集美大学 | 基于贝叶斯网络攻击图的多目标网络安全动态评估方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于非零和博弈的多路径组合攻击防御决策方法;孙骞 等;《西北大学学报(自然科学版)》(第3期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115174263A (zh) | 2022-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111163057B (zh) | 一种基于异构信息网络嵌入算法的用户识别系统及方法 | |
| CN114816909B (zh) | 一种基于机器学习的实时日志检测预警方法及系统 | |
| CN104978612A (zh) | 基于ahp-rbf的分布式大数据系统风险预测方法 | |
| Azzouz et al. | Steady state IBEA assisted by MLP neural networks for expensive multi-objective optimization problems | |
| Upendran et al. | Feature Selection based on Multicriteria Decision Making for Intrusion Detection System | |
| Xia et al. | Deciphering spatio-temporal graph forecasting: A causal lens and treatment | |
| CN114519190B (zh) | 基于贝叶斯网络攻击图的多目标网络安全动态评估方法 | |
| CN116562514B (zh) | 基于神经网络的企业生产状况即时分析方法及系统 | |
| CN117235639A (zh) | 一种基于知识图谱和强化学习的日志异常检测辅助决策方法及系统 | |
| CN118413406B (zh) | 基于智能网络入侵检测系统及方法 | |
| CN115174263B (zh) | 攻击路径动态决策方法与装置 | |
| CN101901251A (zh) | 基于马尔科夫过程亚稳性的复杂网络簇结构分析和识别方法 | |
| Duarte et al. | Multi-target regression from high-speed data streams with adaptive model rules | |
| Fan et al. | A two-layer Wang-Mendel fuzzy approach for predicting the residuary resistance of sailing yachts | |
| CN118473960A (zh) | 一种基于图注意力网络的网络节点脆弱性评估方法及系统 | |
| CN110889493A (zh) | 针对关系网络添加扰动的方法及装置 | |
| Kalifullah et al. | Retracted: Graph‐based content matching for web of things through heuristic boost algorithm | |
| Praynlin | Using meta-cognitive sequential learning Neuro-fuzzy inference system to estimate software development effort | |
| Kotenko et al. | Formation of Indicators for Assessing Technical Reliability of Information Security Systems | |
| CN112949905A (zh) | 边缘域传感器数据预测方法及装置 | |
| Li et al. | A review of related density peaks clustering approaches | |
| Mashinchi et al. | Constructing a customer’s satisfactory evaluator system using GA-based fuzzy artificial neural networks | |
| Li et al. | On Testing and Evaluation of Artificial Intelligence Models | |
| Yang et al. | Improving self-organizing recursive fuzzy neural network’s performance with Boston matrix | |
| Meng et al. | Computer Network Security Evaluation Method Based on GABP Model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |