基于三层攻击图的入侵意图自动识别模型

引用本文

罗智勇, 尤波, 许家忠, 梁勇. 基于三层攻击图的入侵意图自动识别模型. 吉林大学学报: 工学版, 2014, 44(5): 1392-1397[LUO Zhi-yong, YOU Bo, XU Jia-zhong, LIANG Yong. Automatic recognition model of intrusive intention based on three layers attack graph. Journal of Jilin University (Engineering and Technology Edition), 2014, 44(5): 1392-1397] 复制到剪切板

Permissions

基于三层攻击图的入侵意图自动识别模型

罗智勇¹, 尤波², 许家忠², 梁勇^1,³

1.哈尔滨理工大学计算机科学与技术学院, 哈尔滨 150080

2.哈尔滨理工大学自动化学院, 哈尔滨 150080

3.辽东学院信息技术学院, 辽宁丹东 118003

作者简介:罗智勇（1978-）,男,副教授,博士研究生.研究方向:网络安全,机器人. E-mail:luozhiyongemail@sina.com

基金:黑龙江省教育厅科技面上项目（12521108）

摘要

针对预测入侵意图、发现网络漏洞困难等问题,提出了基于三层攻击图的入侵意图自动识别方法。该方法通过对底层报警数据的分析,建立了网络的三层攻击图,并通过对入侵意图的概率分析来定量攻击图。最后,通过最小关键点集生成算法来发现网络中的关键主机,从而为管理人员提供正确的网络安全策略。经验证,这种入侵意图自动识别的方法可行、有效,且具有简单易行等特点。

关键词: 计算机工程; 网络安全; 入侵检测; 入侵意图; 攻击图

中图分类号:TP309.2 文献标志码:A 文章编号:1671-5497(2014)05-1392-06

Automatic recognition model of intrusive intention based on three layers attack graph

LUO Zhi-yong¹, YOU Bo², XU Jia-zhong², LIANG Yong^1,³

1.School of Computer Science and Technology, Harbin University of Science and Technology, Harbin 150080, China

2.School of Automation, Harbin University of Science and Technology, Harbin 150080, China

3.School of Information Technology, Eastern Liaoning University, Dandong 118003, China

Abstract

In order to solve the difficulties of predicting intrusion attempts and finding network vulnerability, an automatic identification method of intrusion attempts is proposed, which is based on three layers attack graph. This method builds the network's three layers attack graph based on the analysis of the underlying alarm data. Then it determines the quantitative attack graph from the analysis of the probability of the intrusion attempts. Finally, the critical host in the network is found by the generation algorithm of the minimum key point set. Thus, the manager can get the right network security policy. It is verified that the proposed intrusion identification method is feasible, effective and simple.

Keyword: computer engineering; network security; intrusion detection; intrusion intention; attack graphs

Show Figures

0 引言

入侵意图识别是指在互联网中通过分析来自入侵检测系统等底层的大量报警数据,判断出入侵者的入侵目的,其本质是对攻击数据进行科学合理的分析过程^{[ 1]}。对入侵意图的识别有助于网管人员更好地管理网络,它也是发现、分析威胁的前提,是网络安全态势感知的重要组成部分,已经成为网络安全领域的研究热点^{[ 2]}。

意图的识别最早应用于人工智能方面。Bratman等^{[ 3]}将意图识别用于信息决策和行为的规划;Heinze等^{[ 4]}在心理学研究的基础上,提出意图层次化的描述方法;Tahboub等^{[ 5]}引入了贝叶斯网络来处理意图的识别。将入侵者意图的识别应用于网络安全领域中,目前也取得了一些成果。Sheyner等^{[ 6]}提出使用入侵检测的方式来生成攻击图,为攻击图的生成提供了参照依据。Noel等^{[ 7]}使用攻击图连接矩阵来降低攻击图生成的复杂度。Ou^{[ 8]}等使用模型化思想从而简化了攻击规则,缩短了攻击图生成时间。Williams等^{[ 9]}使用NetSPA工具生成攻击图,并证明了入侵在攻击图中的可达性。苘大鹏等^{[ 10]}将攻击图应用于网络弱点的分析过程中,并验证了其可能性。叶云等^{[ 11]}进一步优化了攻击图生成算法,并使用概率论来分析网络的弱点问题。以上成果都是从入侵技术方面研究攻击图,而本文则从入侵意图识别方面展开研究。

本文在以往的研究基础上^{[ 12]},提出了一种基于域层、主机层和漏洞层的三层攻击图入侵意图自动识别模型。通过实验分析,验证了该模型的可行性和正确性。

1 入侵意图自动识别

1.1 入侵意图及识别模型

入侵意图是入侵者最初目的的描述,表现为入侵者给被入侵网络造成什么样的损失或实现什么样的目的。入侵意图识别是网络安全人员对入侵者意图的预测、分析、评估和阻断的过程,其识别模型架构如图1所示。

	Figure Option View Download New Window
	图1 入侵意图识别模型架构图Fig.1 Architecture diagram of Intrusion intent recognition model

1.2 三层攻击图模型

假设用 L表示漏洞集合,则对于任意的 l∈ L, l可形式化为一个三元组( l_id, l_pre, l_con)。其中, l_id为漏洞 l在CVE库中的编号; l_pre为利用该漏洞的先决条件集合; l_con为该漏洞被利用后带来的危害集合。

假设用 H表示保护域中主机的集合,则对于任意的 h∈ H, h可形式化为一个三元组( L, θ, NetH),其中, θ为该主机所开放的端口集合, NetH为与该主机所相连接的其他主机集合。

假设用 D表示网络中的保护域集合,则对于任意的 d∈ D, d可形式化为一个二元组( H, NetD)。其中, H为该保护域所包含的主机集合; NetD为与该保护域所相连接的其他保护域集合。

假设用 C表示主机之间的连接关系集合,则 C可形式化为一个三元组( H, E_con, θ)。其中, E_con为连接各主机之间边的集合。

入侵意图是入侵者期望实现的最终目的。假设用 I表示入侵意图集合,则对于任意的 i∈ I, i可形式化为一个四元组( i_name, i_AP, i_pre, i_con)。其中, i_name为该入侵意图名称; i_AP为该入侵意图入侵点; i_pre为该入侵意图实现的先决条件; i_con为该入侵意图实现后带来的危害。

在实际的网络入侵过程中,入侵者首先通过扫描到的漏洞信息 l_i入侵某保护域 d_i中的某主机 h_i,然后从较低权限一步步获取较高权限,最终完全控制该主机 h_i。当入侵者完全控制主机 h_i后,通过该主机 h_i继续入侵域 d_i中的其他主机 h_j,最终控制整个域 d_i,然后继续入侵下一个保护域 d_j,最终达到实现其入侵意图的目的。因此,三层攻击图如图2所示。

	Figure Option View Download New Window
	图2 三层攻击图模型Fig.2 Three-tier attack graph model

定义1 三层攻击图是一个有向图,用 G表示,则 G形式化为三元组( G_D( N_d, E_d), G_H( N_h, E_h), G_L( N_l, E_l))。其中, G_D( N_d, E_d)为保护域层攻击图; G_H( N_h, E_h)为主机层攻击图; G_L( N_l, E_l)为漏洞层攻击图; N_z为节点集合, E_z为边集合, z=d、 h或 l。在相应的攻击图中,若存在边 e_ij使得节点 n_i有向连接节点 n_j,则表示入侵者能利用节点 n_i入侵到节点 n_j,其中, e_ij∈ E_z, n_i∈ N_z, n_j∈ N_z, n_i≠ n_j, z=d, h, l。

1.3 三层攻击图生成算法

三层攻击图生成算法遵循如下约束:

(1)若入侵者已获得某主机较高权限,则该入侵者不再重新获得该主机较低权限。

(2)若入侵者已经成功入侵某主机,则该入侵者不再重新入侵该主机。

(3)入侵者在实现其入侵意图的过程中,每一入侵操作都是必须的且无冗余的。

(4)入侵者获取某主机权限由低到高的顺序为None,User,Root。

算法1 三层攻击图生成算法:

Input:保护域集合D,主机集合H,各个主机的漏洞集合L,连接关系集合C。

Output:三层攻击图G。

1. for each h ∈H Do {

2. Quan = None; n = | L_h |;

3. Do{for each i∈n-1 Do for j∈(i+1,n)Do{

4. if l_j×l_pre ⊆ l_i×l_con then {

5. Add(l_i, l_j) to G_l(N_l);

6. Add(l_i→l_j) to G_l(E_l);

7. if Judge(l_con)==1 or 2 then Quan =User/Root; }}}

8. while Quan ==User/Root;}

9. Add (G_l(N_l, E_l)) to G;

10. for each i ∈n-1 Do for j ∈(i+1,n) Do{

11. if QuanXian(h_i)==User or Root then

12. if (h_i, h_j, θ)∈C and (QuanXian(h_j←h_i)==User or Root) then{

13. Add(h_i, h_j) to G_h(N_h);

14. Add(h_i→h_j) to G_h(E_h); }}

15. Add(G_h(N_h, E_h)) to G;

16. for each i ∈n-1 Do for j ∈(i+1,n) Do{

17. d₁=d(h_i); d₂=d(h_j);

18. if d₁<>d₂ and h_i∈G_h(N_h) then{

19. Add(d(h_i)) to G_d(N_d);

20. if (h_i, h_j,θ)∈C and (QuanXian(h_j←h_i)==User or) then{

21. Add(d(h_j)) to G_d(N_d);

22. Add(d(h_i)→d(h_j)) to G_d(E_d); }}

23. Add(G_d(N_d, E_d)) to G}

从算法1的伪代码中可分析出,该算法的时间复杂度为 O( |H|×|L_h|²)。

2 攻击图检测与响应

2.1 入侵意图成功的概率分析

在三层攻击图中,入侵者成功地由一个节点入侵到另一个节点主要由漏洞的属性决定。在三层攻击图中,漏洞的属性主要有:难易度DE、隐秘度SE和收益度GA。根据复杂的网络实际运营情况,按照CVSS的推荐,本文将漏洞各个属性进行了评估和赋值,如表1所示。漏洞 l被入侵者成功利用的概率为:

$\begin{matrix} P (l) = λ_{1} DE + λ_{2} SE + λ_{3} GA (1) \end{matrix}$

式中: λ₁、 λ₂、 λ₃为各属性在实际网络中的权值,可由网管赋值。

表1 漏洞属性及赋值 Table 1 Properties and values of loophole

假设入侵者可经过 n条路径并依次利用 m个漏洞入侵主机 l获取至 q权限,则入侵者获取 q权限的概率为:

$\begin{matrix} P (q) = 1 - \prod_{n} [1- \prod_{m} P (l_{m})] (2) \end{matrix}$

在主机层攻击图中,假设入侵者可通过 j条路径,经过 k个节点实现其入侵意图 i,则意图 i被实现的概率为:

$\begin{matrix} P (i) = 1 - \prod_{j} [1- \prod_{k} P (p_{k})] (3) \end{matrix}$

在三层攻击图中,假设入侵者有 j条路径实现其入侵意图 i,则使用贝叶斯公式可以得出在每条攻击路径下实现其入侵意图的相对概率为:

$\begin{matrix} P (h_{z} | i) = \frac{P (i | h_{z}) \times P (h_{z})}{P (i)} (4) \end{matrix}$

式中: z=1,2,…, j。

相对概率表示在该条攻击路径下入侵者实现其意图的概率,因此网管可依此管理企业网安全。

2.2 攻击图最小关键点集

定义2 攻击路径。在三层攻击图 G中,若存在一组节点,使得入侵者从开始节点 n₀出发沿着这组节点能够入侵至目标节点,则由这些节点组成的路径称为三层攻击图的一条攻击路径 r,由所有攻击路径组成的集合称为攻击路径集合,记为 R。

定义3 最小关键点集。在三层攻击图 G中, G( N)为节点集合, k_i为 G( N)的任意一个不包含始节点和终节点的非空子集,若攻击图 G的所有攻击路径都通过 k_i中的节点,则 k_i为最小关键点集 K_min。

假设 z为集合 R的秩,即 z=|R|; r_i为集合 R中的任意一条攻击路径; S_i为 r_i所经过的所有节点构成的集合; i=1,2,…, z。

假设 n为三层攻击图 G所有节点集合的秩,即 n=|G( N) |; k_i为 G( N)的任意一个不包含始节点和终节点的非空子集; j=1,2,…, m,其中 m= $\begin{matrix} C_{n - 2}^{1} \end{matrix}$ + $\begin{matrix} C_{n - 2}^{2} \end{matrix}$ +… + $\begin{matrix} C_{n - 2}^{n - 2} \end{matrix}$ 。

算法2 三层攻击图关键点集合生成算法

Input:三层攻击图G,攻击路径集合R。

Output:最小关键点集合K_min。

1. for each j ∈m Do{

2. flag = “Yes”;

3. for each I ∈z Do

4. if k_j∩S_i == Φ then flag = “No”;

5. if flag == “Yes” then Add(k_j ) to K;}

6. K_min = Min(K);

从算法2的伪代码中可分析出,该算法的时间复杂度为 O( m×z)。

2.3 基于最小关键点集的入侵意图响应

在三层攻击图中,主要通过切断入侵者攻击路径的方式来阻止其入侵的意图。因此,基于最小关键点集的入侵意图响应是经济可行的方法。

根据算法2,可以得到三层攻击图的最小关键节点集 K_min。假设 h_i为集合 K中的任意一个节点主机,则维护 h_i的代价记为Cost( h_i),包括人力成本、软硬件费用成本和其他成本。

根据以上分析和假设,网管人员阻断入侵意图的最优维护措施成本如式(5)所示,即维护最小关键点集所包含主机节点的成本之和:

$\begin{matrix} Su m_{Cost} = \overset{|K_{\min}|}{\sum_{i = 1}} Cost (h_{i}) (5) \end{matrix}$

3 实验分析

本文采用的网络拓扑结构如图3所示。该网络由 DMZ域、 D₁域、 D₂域和 D₃域4个域组成。在每个域中,主机可相互访问; DMZ域内的各个服务器与 D₁域和 D₂域内的主机可相互访问,但却禁止访问 D₃域内的主机; D₁域内的主机 H₆和 D₂域内的主机 H₉可以访问 D₃域内的SQL数据库服务器;D₁域内的主机 H₆可以访问 D₂域内的主机 H₇;其他跨域的访问都被禁止。

	Figure Option View Download New Window
	图3 网络拓扑结构Fig.3 Topological structure of the network

通过网络扫描软件对实验环境进行扫描,得出主机和服务器所存在的漏洞及入侵概率如表2所示。

表2 主机漏洞及入侵概率 Table 2 Intrusive probability and loophole of the host

在该网络中,SQL数据库服务器存放着大量的重要数据。因此, D₃域中的主机 H₁₂是入侵者攻击的目标,也是入侵意图所在。假设入侵者攻击主机 H₁₂的入侵意图为 i,则调用算法1生成的三层攻击图如图4所示。

	Figure Option View Download New Window
	图4 意图 i的三层攻击图Fig.4 Three-tier attack graph of intention i

从图4中可以得出入侵者一共有12种攻击路径实现其入侵意图,如表3所示。因此,每条攻击路径被入侵者使用的概率为1/12,即 P( r) =1 /12≈0 .083。在表3中,概率 P表示每条攻击路径被成功实现的概率,根据式(3)可以得出入侵者实现入侵意图 i的概率 P( i)=1-(1-0.150)×(1-0.048)×…×(1-0.060)≈0.614。

表3 意图 i的攻击路径及概率 Table 3 Attack paths and probability of intention i

根据式(4)得出每条攻击路径的相对概率 P( r|i),如表3所示,即 P( r₁ |i) =( P₁ ×P( r)) /P( i) =(0 .15 ×0 .083) /0 .614≈0 .020,…。在相对概率中, P( r₁ |i) =0 .020为最大值,因此入侵者最有可能采用此攻击路径实现其入侵意图。

为了有效地阻止其入侵意图 i,调用算法2得出此网络拓扑结构的最小关键点集为( H₆, H₉)。分别采取措施更新主机 H₆和 H₉补丁,限制其访问数据库的权限,从而可有效地阻止入侵者实现其入侵意图。

4 实验分析

在以往研究的基础上,进一步提出了一种基于三层攻击图的入侵意图识别和阻断方法。该方法通过建立三层攻击图并结合贝叶斯公式的概率分析来确定入侵者的入侵意图,通过查找网络最小关键点集来维护网络,从而有效地阻止了入侵意图的实现。未来的工作还需要更进一步地细化三层攻击图,从漏洞层来分析网络存在的风险,提高确定入侵意图的精度,更好地管理企业内部网。

The authors have declared that no competing interests exist.

参考文献

View Option

[1]	彭武, 胡昌振, 姚淑萍, 等. 基于时间自动机的入侵意图动态识别方法[J]. 计算机研究与发展, 2011, 48(7): 1288-1297. Peng Wu, Hu Chang-zhen, Yao Shu-ping, et al. A dynamic intrusive intention recognition method based on timed automata[J]. Journal of Computer Research and Development, 2011, 48(7): 1288-1297. [本文引用:1]
[2]	孙广路, 郎非, 杨明明. 基于混合方法的流量测量系统[J]. 电机与控制学报, 2011, 15(6): 91-96. Sun Guang-lu, Lang Fei, Yang Ming-ming. Traffic measurement system based on hybrid methods[J]. Electric Machines and Control, 2011, 15(6): 91-96. [本文引用:1] [CJCR: 1.0607]
[3]	Bratman M. Intentions, Plans and Practical Reason[M]. Massachusetts: Harvard University Press, 1987. [本文引用:1]
[4]	Heinze C. Modeling intention recognition for intelligent agent systems[D]. Melbourne: the University of Melbourne, Australia, 2003. [本文引用:1]
[5]	Tahboub K A. Intelligent human-machine interaction based on dynamic bayesian networks probabilistic intention recognition[J]. Journal of Intelligent and Robotic Systems, 2006, 45(1): 31-52. [本文引用:1] [JCR: 0.827]
[6]	Sheyner Oleg, Haines Joshua, Jha Somesh, et al. Automated generation and analysis of attack graphs[C]∥Proceedings of the 2002 IEEE Symposium on Security and Privacy, Washington, 2002: 273-284. [本文引用:1]
[7]	Noel S, Jajodia S. Understand ing complex network attack graphs through clustered adjacency matrices[C]∥Proc of the 21st Annual Computer Security Applications Conf, Washington, 2005: 160-169. [本文引用:1]
[8]	Ou X, Govindavajhala S, Appel A W. MulVAL: a logic-based network security analyzer[C]∥Proceedings of the 14th Usenix Security Symposium, New York: ACM, 2005: 336-345. [本文引用:1]
[9]	Williams L, Lippmann R, Ingols K. GARNET: a graphical attack graph and reachability network evaluation tool[C]∥LNCS 5210Proc of VizSec 2008. Berlin: Springer, 2008: 44-59. [本文引用:1]
[10]	苘大鹏, 杨武, 杨永田. 基于攻击图的网络脆弱性分析方法[J]. 南京理工大学学报: 自然科学版, 2008, 32(4): 416-419. Man Da-peng, Yang Wu, Yang Yong-tian. Method based on attack graph for network vulnerability analysis[J]. Journal of Nanjing University of Science and Technology(Natural Science), 2008, 32(4): 416-419. [本文引用:1]
[11]	叶云, 徐锡山, 贾焰, 等. 基于攻击图的网络安全概率计算方法[J]. 计算机学报, 2010, 33(10): 1987-1996. Ye Yun, Xu Xi-shan, Jia Yan, et al. An attack graph-based probabilistic computing approach of network security[J]. Chinese Journal of Computers, 2010, 33(10): 1987-1996. [本文引用:1] [CJCR: 1.796]
[12]	罗智勇, 孙广路, 刘嘉辉, 等. 攻击图算法在入侵防御系统中的应用[J]. 云南大学学报: 自然科学版, 2012, 34(3): 271-275. Luo Zhi-yong, Sun Guang-lu, Liu Jia-hui, et al. Application of attack graphs algorithms in intrusion prevention system[J]. Journal of Yunnan University(Natural Sciences Edition), 2012, 34(3): 271-275. [本文引用:1] [CJCR: 0.93]

2011

0.0

. 2011, 48(7):1288-1297

A dynamic intrusive intention recognition method based on timed automata

入侵意图识别是在具体的网络环境下,根据攻击者的攻击行为和系统防护措施来推理和判断攻击者想要达到的最终目标.针对网络安全领域中的攻防对抗和动态特性,提出一种入侵意图的动态识别方法.该方法利用D-S证据理论融合入侵检测系统的报警信息来提炼攻击者的行为及其可信度,并结合系统响应信息应用时间自动机来实时描述脆弱性的状态变迁过程.然后在层次化的攻击路径图中,根据节点的状态和节点间的依赖关系计算攻击者真实入侵意图的概率.实验结果验证了此方法的有效性.

... 0 引言入侵意图识别是指在互联网中通过分析来自入侵检测系统等底层的大量报警数据,判断出入侵者的入侵目的,其本质是对攻击数据进行科学合理的分析过程^[1] ...

2011

0.0

1.0607

. 2011, 15(6):91-96

Traffic measurement system based on hybrid methods

流量测量是流量控制和管理中的关键问题.传统方法对于当今网络中大量出现的具备动态端口、加密载荷信息或未知协议载荷特征等特点的流量无法进行有效地测量.虽然基于机器学习模型的测量方法能够在一定程度上解决上述问题,但是由于现有特征的区分能力有限,该类方法单独使用时,难以在大规模的真实网络流量中准确地测量出某种特定协议的流量.为了解决流量测量问题,提出了基于混合方法的流量测量系统,融合了基于端口、基于特征串匹配、基于正则表达式匹配和基于机器学习模型的多种流量测量方法.在构建系统框架和相关模块的基础上,应用一种混合方法解决了基于安全套接层协议的流量测量和应用层协议分析问题.实验结果表明,该混合方法能够测量出超过99%的基于安全套接层协议的流量,并有效地分析其中不同应用层协议的流量,准确率达到93.76%.此外,在稳定而可行的内存占用率下,系统能够良好运行,总体测量结果优于开源软件OpenDPI的结果. Abstract： Traffic measurement is critical to effective network control and management.While traditional methods are powerless to measure the network traffic with dynamic port,unknown or encrypted payloads,machine learning models and classification methods have been proposed to address this issue.However,these methods can hardly measure the traffic with concrete protocol in the whole network by oneself.In this paper,it proposed a traffic measurement system with hybrid methods that combine port-based,signature string matching,regular expression matching,and machine learning methods to tackle this issue.It first presented the framework and the main modules of system,and then applied a type of hybrid method to determine secure sockets layer( SSL)-based application protocols.The experimental results show that the proposed hybrid method is able to recognize over 99％ of SSL traffic and achieve 93.76％ in accuracy for SSL-based protocols measurement.Furthermore,our system measured the network traffic with the feasible and steady occupancy rate of memory.The results are better than OpenDPI in whole traffic measurement.

... 对入侵意图的识别有助于网管人员更好地管理网络,它也是发现、分析威胁的前提,是网络安全态势感知的重要组成部分,已经成为网络安全领域的研究热点^[2] ...

1987

0.0

... Bratman等^[3]将意图识别用于信息决策和行为的规划 ...

2003

0.0

... Heinze等^[4]在心理学研究的基础上,提出意图层次化的描述方法 ...

2006

0.827

0.0

. 2006, 45(1):31-52 DOI:10.1007/s10846-005-9018-0

Intelligent human-machine interaction based on dynamic bayesian networks probabilistic intention recognition

1.Palestine Polytechnic University Hebron Palestine Hebron Palestine

In this article, a novel human–machine interaction based on the machine intention recognition of the human is presented. This work is motivated by the desire that intelligent machines as robots imitate human–human interaction, that is to minimize the need for classical direct human–machine interface and communication. A philosophical and technical background for intention recognition is discussed. Here, the intention–action–state scenario is modified and modeled by Dynamic Bayesian Networks to facilitate for probabilistic intention inference. The recognized intention, then, drives the interactive behavior of the machine such that it complies with the human intention in light of the real state of the world. An illustrative example of a human commanding a mobile robot remotely is given and discussed in details.

... Tahboub等^[5]引入了贝叶斯网络来处理意图的识别 ...

2002

0.0

... Sheyner等^[6]提出使用入侵检测的方式来生成攻击图,为攻击图的生成提供了参照依据 ...

2005

0.0

... Noel等^[7]使用攻击图连接矩阵来降低攻击图生成的复杂度 ...

2005

0.0

... Ou^[8]等使用模型化思想从而简化了攻击规则,缩短了攻击图生成时间 ...

2008

0.0

... Williams等^[9]使用NetSPA工具生成攻击图,并证明了入侵在攻击图中的可达性 ...

2008

0.0

. 2008, 32(4):416-419

Method based on attack graph for network vulnerability analysis

传统的攻击图分析方法在计算攻击目标可达概率时没有考虑攻击者的行为特征,降低了分析结果的准确性.为了解决这个问题,首先对全局攻击图模型进行了介绍,然后提出了一种基于全局攻击图的网络脆弱性分析方法.该方法利用网络状态间的转移概率描述攻击者的行为特征.在此基础上,计算攻击目标的可达概率.实验结果表明:安全管理人员利用该方法能够从全局角度分析网络的脆弱性,获得的分析结果更加客观、准确.

... 苘大鹏等^[10]将攻击图应用于网络弱点的分析过程中,并验证了其可能性 ...

2010

0.0

1.796

. 2010, 33(10):1987-1996

An attack graph-based probabilistic computing approach of network security

针对基于攻击图的概率计算中循环路径导致的攻击图难以理解和概率重复计算问题以及渗透之间的相关性导致的概率错误计算问题,通过将攻击图与通用安全脆弱点评估系统结合,删除攻击图中的不可达路径,简化了攻击图,提出了适用于大规模网络的最大可达概率的概念和计算方法,解决了概率重复计算问题,有效避免了相关性导致的概率错误计算问题,并通过真实实验和模拟实验验证了所提方法的合理性和有效性.与相关的研究成果相比,最大可达概率计算方法可以适应于更复杂的攻击图,具有很好的扩展性.

... 叶云等^[11]进一步优化了攻击图生成算法,并使用概率论来分析网络的弱点问题 ...

2012

0.0

0.93

... 本文在以往的研究基础上^[12],提出了一种基于域层、主机层和漏洞层的三层攻击图入侵意图自动识别模型 ...