CN110138788B - 一种基于深度指标的脆弱性攻击代价定量评估方法 - Google Patents
一种基于深度指标的脆弱性攻击代价定量评估方法 Download PDFInfo
- Publication number
- CN110138788B CN110138788B CN201910417526.2A CN201910417526A CN110138788B CN 110138788 B CN110138788 B CN 110138788B CN 201910417526 A CN201910417526 A CN 201910417526A CN 110138788 B CN110138788 B CN 110138788B
- Authority
- CN
- China
- Prior art keywords
- attack
- path
- vulnerability
- node
- cost
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于脆弱性攻击技术领域,提供一种基于深度指标的脆弱性攻击代价定量评估方法,具体过程为:针对待攻击的网络生成网络模型,定义攻击图模型;根据网络模型和攻击图模型,结合攻击图生成算法生成脆弱性攻击图;在脆弱性攻击图中,分析从发起攻击的起始节点到目标节点的攻击路径,若攻击路径为多分支路径时,在获取攻击者到脆弱性节点之间的路径深度时,考虑替代路径和强制路径带给脆弱节点攻击代价的影响pe,计算出脆弱性节点的攻击代价;最终计算出至目标节点的累积攻击代价。本发明结合攻击路径深度的指标能够更准确的评估攻击路径中深度较大脆弱点的攻击代价,对于分析实际的攻击过程和攻击手段提供更好的依据。
Description
技术领域
本发明涉及一种基于深度指标的脆弱性攻击代价定量评估方法,属于脆弱性攻击技术领域。
背景技术
基于贝叶斯攻击图,高妮等人[1]提出了一种基于贝叶斯攻击图的动态风险评估模型。Li等人([2]从更宏观的角度考虑了触发漏洞攻击图的要素和条件,提出了一种基于超图分割的前向搜索攻击图生成算法。Wang L等人提出了一种基于处理零日漏洞的网络安全测量方法[3]。贾炜等人[8]提出了一种基于网络中心性的网络漏洞评估方法。Yang等人[4]提出了一种基于网络攻击的多步特征和安全态势量化标准的网络安全态势评估方法,可以有效提高网络安全风险评估***识别攻击行为和潜在风险的准确性,但这种方法忽略了多步网络攻击之间的相关性分析。因为攻击者会为那些尚未披露的漏洞进行研究,零日攻击的安全性挑战将始终是一个挑战。Zhang等人[5]提出零日漏洞和网络中关键的脆弱点。
在攻击图的最优攻击路径的研究中,戴文芳等人[6]在关于攻击图理论的网络安全风险评估技术研究中提出了深度优先的最大流攻击路径的寻路方案进行分析风险攻击图,其中利用了最大风险流计算、路径搜索函数和增广路排序函数三部分,时间开销效率为O(n2),其中n为攻击图的节点数目。闫峰等人[7]提出一种最优攻击目标子图的概念,给出相关攻击路径的生成算法和目标攻击子图的生成算法,攻击路径的生成算法时间开销效率为O(K2L),其中K为调用函数执行的次数,L为攻击路径长度。贾炜等人[8]提出一种新的计算攻击图中攻击路径的代价的方法,并结合传统的Floyd算法节点对之间的最小攻击代价路径,整体算法的时间开销效率为O(n3),其中n为攻击图中节点的个数。
为了获取攻击图中最佳攻击路径,需要对攻击图中的脆弱点或攻击路径进行权值的计算,也即是定量的评估,发明提出了一种新的基于深度的定量评估方法,主要是基于漏洞的CVSS基础评分,和同一漏洞在攻击路径的不同深度所需要的攻击代价不同的思想来提出的该方法。相比较于以往的基于计数度量[9]和基于攻击难度度量[10]都有较好的优点。基于计数的度量方法,主要是根据攻击路径的长度和攻击所需要的路径数目来进行度量,没有考虑到攻击图中攻击节点的权重大小;基于攻击难度的度量方法,主要考虑的是攻击阻力的度量(不同的攻击者攻击所付出的代价),概率安全的度量(漏洞被攻击者所以利用的可能性),但难度这一指标主要还是定性的分析没有很准确的定量评估方法,主要还是结合专家经验,比较依赖传统的知识经验进行度量。
对于脆弱性攻击图中的脆弱点进行定量评估的技术而言,以往大多是基于攻击路径中路径的长度计数和攻击难度进行评估的,单纯针对攻击路径的攻击距离长短来说,没有考虑到攻击图中攻击节点的权重大小,而在实际的网络***中,针对不同的漏洞,攻击者进行攻击花费的代价完全不同,而基于难度的度量方法,存在的主要缺陷是大多还都依据专家经验,不能很定量的进行评估,人为依赖元素过重。
对于一些网络***中关键性资产而言,大多都配备有最佳的基础架构和强大的安全策略,因此利用漏洞直接攻击安全中心区域(如:Militarized中心)很难收集到进行直接攻击的相关前提条件(如:用户交互或者必须的特权)。提出的评估方法能够有效的计算对于攻击目标较深的攻击代价计算问题。对于一些可以利用的漏洞,攻击者首先要找到网络中可以被利用的漏洞,方法中所研究的问题是随着攻击者和攻击漏洞之间的距离的增加,所需要的攻击代价会逐步增加,不会是一个固定不变的值,也即是攻击者需要更多的攻击代价完成更深的攻击行为。对于攻击路径上起始的节点来说,作为起始攻击行为条件的攻击漏洞而言,所需要的攻击代价相对比较小,而作为攻击路径上较深的节点来说,相同的漏洞被攻击所需要的攻击代价要更大一些,因为完成该攻击行为所需要的前提条件会更多,攻击代价也会随之上升。
发明内容
有鉴于此,本发明提供一种基于深度指标的脆弱性攻击代价定量评估方法,该方法针对脆弱性攻击图中攻击路径上的脆弱性节点的实现定量攻击代价的评估,并获取最优攻击路径。
实现本发明的技术方案如下:
一种基于深度指标的脆弱性攻击代价定量评估方法,具体过程为:
针对待攻击的网络生成网络模型,定义攻击图模型;
根据所述网络模型和攻击图模型,结合攻击图生成算法生成脆弱性攻击图;
在脆弱性攻击图中,分析从发起攻击的起始节点到目标节点的攻击路径,若攻击路径为多分支路径时,在获取攻击者到脆弱性节点之间的路径深度时,考虑替代路径和强制路径带给脆弱节点攻击代价的影响pe,计算出脆弱性节点的攻击代价De=de*pe,de表示除脆弱点所处深度影响外的纯攻击难度;最终计算出至目标节点的累积攻击代价。
进一步地,本发明所述替代路径为:在攻击图中如果可以通过多条路径的任意一条即可以达到攻击某一脆弱性节点的目的,则这些路径中必然存在有一个最小攻击代价的路径,这条最小攻击代价路径和其他攻击路径均称之为攻击该脆弱点的替代路径,这些攻击路径之间是析取关系。
进一步地,本发明所述强制路径为:在攻击图中如果必须全部通过多条攻击路径才可以达到攻击某一脆弱点的目的,则这些路径中必然存在有一个最高攻击代价的路径,这条最高攻击代价路径和其他攻击路径统称为攻击该脆弱点的强制路径,这些攻击路径之间是合取关系。
进一步地,本发明当脆弱节点为替代路径的分离点时,攻击者到脆弱性节点之间的路径深度pe为:
其中,pmin表示攻击者沿着攻击路径从起始节点到该分离节点的距离值,Dp_min表示在所有的替代路径中,能够到达该分离节点的最小攻击代价的攻击路径值,n表示到达分离节点所有替代路径的数目,Dp_i表示不同的替代路径的攻击代价。
进一步地,本发明当脆弱节点是强制路径的连接点时,攻击者到脆弱性节点之间的路径深度pe为:
其中,pmax表示攻击者沿着攻击路径从起始节点到该连接点的距离值,Dp_max表示在所有的强制路径中,能够到达该连接点的最大攻击代价的攻击路径值,Dp_i表示不同的强制路径的攻击代价;n表示到达该连接点所有强制路径的数目。
对于析取关系的替代路径的脆弱性节点的攻击代价评估公式如下:
对于合取关系的强制路径的脆弱性节点的攻击代价评估公式如下:
进一步地,本发明对于析取关系替代路径汇合的脆弱点的累积代价计算公式如下:
对于合取关系强制路径汇合的脆弱点的累积代价计算公式如下:
对于包含析取关系替代路径的攻击路径,攻击路径攻击代价:
Dp_n=Dp_n-1+De_n,其中De_n为Dep_dis;
对于包含合取关系强制路径的攻击路径,攻击路径的攻击代价:
Dp_n=Dp_n-1+De_n,其中De_n为Dep_con。
其中,BS是CVSS漏洞评估***中对于该漏洞的基础评分,pe通过该路径上已经被攻击漏洞的数目采用迭代方式计算。
有益效果
该脆弱性定量评估方法在评估攻击图中脆弱点的攻击代价时具备有符合实际的攻击场景,结合攻击路径深度的指标能够更准确的评估攻击路径中深度较大脆弱点的攻击代价,对于分析实际的攻击过程和攻击手段提供更好的依据。
附图说明
图1为小型网络***拓扑图实例;
图2为两种情况的对比分析示意图,a为A>B的情形,b为A<B的情形;
图3为基于最短路径的评估方法的评估结果的折线图;
图4为基于攻击概率的评估方法的评估结果的折线图;
图5为基于攻击阻碍的评估方法的评估结果的折线图;
图6为本实施例基于深度指标的评估方法的评估结果的折线图;
图7为基于攻击阻碍评估方法计算结果变化率对比折线图;
图8为本实施例基于深度指标的评估方法计算结果变化率对比折线图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。
本发明主要介绍了所使用的网络模型,并给出了网络模型拓扑结构以及网络模型的文字定义描述。其次在根据网络模型到攻击图生成的过程中,定义了攻击图模型,提出了一种基于匹配关系的攻击图生成算法,算法有较高的时间效率O(m*n),m、n分别是攻击图模型中的As中攻击行为实例的数目和生成攻击脆弱性节点的数目。提出了发明中创新的部分,对攻击图中的脆弱性节点信息采用基于深度指标的方法进行定量评估,分为简单无分支型攻击路径上脆弱性节点攻击代价的度量和复杂多分支型攻击路径上脆弱性节点攻击代价的度量,在处理复杂多分支型攻击路径上的脆弱性节点攻击代价度量的问题中,提出攻击路径之间的析取关系与合取关系,提出替代路径的分离点,强制路径的连接点等概念,针对不同关系类型的攻击路径提出两种不同的公式进行计算,并结合实例对该计算方法进行详细的描述。
网络模型的生成
对于不同的网络环境,其网络结构大多都复杂多样化,为了在后续对脆弱性攻击图中攻击路径上节点的定量评估更为准确化,发明中在对网络***进行构建模型时,会涵盖该网络***中的主要关键性信息,其中主要包括有:主机信息、主机间的连通信息、***中存在的脆弱性信息以及攻击信息等内容。将这些网络信息进行模型化的描述,为脆弱性攻击图的生成提供输入的参数,也即是网络元素模型化表示部分是后续脆弱性攻击图生成的基础,更是攻击图中攻击路径代价评估的基础。
如图1所示,一个带有三个不同主机和防火墙的小型网络***,在这个小型的网络***拓扑结构图中,这些主机上分别运行有不同的服务和软件,其中在主机H2上运行有HTTP服务、Apache服务以及MySQL数据库服务,其中MySQL数据库是整个网络***的关键性资产,一个攻击者想通过外界的Internet侵入到该网络***中,并试图获取Host2上的根权限,从而能够顺利的对MySQL数据库进行操作,该网络***中的连接关系如下表所示,其中连接访问策略控制主要受限于防火墙Firewall。
其中,在攻击机存在有攻击者,试图通过外部的网络侵入到该小型网络***中,主机H0上运行的服务是IIS Web服务,通过防火墙的访问限制策略,H、H1、H2可以借助IIS Web服务实现对H0的访问;主机H2上运行的服务是SSH服务,同理经过防火墙的访问限制策略,H0和H1可以通过SSH服务实现对H2的访问,对于攻击机H来说,没有开放的端口可以实现H到H2的访问;主机H2上运行的服务是SSH服务、MySQL DB服务,同理,H0和H2通过HTTP/Apache服务可以实现对主机H1的访问,对于攻击机H来说,没有开放的端口可以实现H到H1的访问;对于攻击主机H来说,H0、H1、H2均可以通过开放的任何端口实现对攻击机H的访问,但对于攻击者来说,这个访问是不会对攻击行为产生帮助的。
本发明中的网络模型包括有:1.主机H,服务S,权限P的集合。2.一台主机H可以运行一个或多个服务或软件,拥有多个用户权限和一个管理员权限。3.主机H与主机H之间连通关系用Conn表示,其中包括有主机之间的层次关系,也包括有主机之间的语义连接关系。
攻击图模型的生成
发明中的脆弱性攻击图模型描述为五元组,即是:G=(V,E,As,N,Vs),在脆弱性攻击图的模型中,其中V表示的是脆弱性攻击图中所有脆弱性节点的集合,初始值为空集,E表示的是构建的有向攻击图中有向边集合,包含有攻击图中所有脆弱性节点之间的连接,初始值也为空集,N表示的是网络模型,N=(H,C),其中,H表示的是主机集合,网络***中的主机、主机上运行的服务以及服务中潜在可以被利用的漏洞,可以用三元组进行表示{hid,svc,vid},其中,hid表示的是主机的编号即其身份表示,svc表示的是主机或者主机上安装的软件所运行的服务,vid表示的是相应服务中存在的脆弱性标识,C表示的是网络中主机与主机之间的连通关系,包含有主机间的层次关系主机间的语义连接关系。As表示的是攻击行为,对于每一个攻击a∈As,每一个攻击行为可以用一个六元组进行描述,a=(id,h,v,pro,post,cost),其中id表示的是每一个攻击行为的标识,h表示发动该攻击的攻击主机,v表示脆弱性属性节点,pro表示该攻击行为a的前提,post表示该攻击行为a的结果,cost表示攻击该脆弱性节点v所需要花费的攻击代价,由于进行攻击代价评估,攻击行为的攻击代价均设为0。Vs表示的是网络***中脆弱性的集合,主要是该网络***中可以被攻击者利用进行攻击的漏洞。
脆弱性攻击图的生成
根据小型网络***模型和攻击图模型,生成相关脆弱性攻击图。生成脆弱性攻击图的前提准备是要获取该网络***中存在可以被攻击者利用的相关漏洞,将其存放在Vs中,发明采用是常规的扫描工具对网络***中的主机进行扫描其脆弱点,这些工具通常能够自动化快速的扫描整个网络***中所存在的安全漏洞和开放端口等信息。此类常用的扫描工具含有以下几类:Nessus、AWVS、ISS、Nmap,其次是获取网络***中包含有脆弱性的主机与主机之间的连通关系,将攻击模式进行实例化,生成该网络***中可能存在的所有攻击实例,将其保存在As中。
下表1中表示的该网络***主机运行的服务中存在的漏洞,其中包括有网络中存在主机的名称,主机上所运行的服务名称,服务中所存在的漏洞,漏洞类型以及漏洞名称,以及这些漏洞的CVSS基础评分。
表1 网络***主机存在的服务和漏洞
根据网络***主机上运行的服务中存在的漏洞和漏洞类型,结合网络***中主机间的连通关系可以把As进行实例化如下{<a1,h0,n1,User_0、CVE-2010-2370,Root_0,0>;<a2,h0,n2,Root_0、CVE-2018-17153,Root_1,0>;<a3,h0,n3,Root_0、CVE-2008-3234,User_2,0>;<a4,h1,n4,Root_1、CVE-2006-3368,User_2,0>;<a5,h2,n5,User_2、CVE-2007-5616,Root_2,0>}算法主要步骤是:As中攻击实例与脆弱点属性节点的匹配,攻击图攻击节点和边的生成。
该算法执行的时间复杂程度为O(m*n),其中m指在As中攻击行为实例的数目,n是指生成攻击脆弱性节点的数目,新生成的脆弱性节点根据算法的执行会调用函数GenerateGraph()函数n次,整体生成攻击图算法的时间复杂度为O(m*n),其大小取决于As中攻击行为实例的数目和新生成脆弱性节点的数目,相比于传统的攻击图生成算法有较高的效率。
攻击图中攻击代价的评估
(1)简单无分支路径
首先,基于攻击深度指标对于一条攻击路径中单独的攻击节点的度量,本发明实施例定义其攻击代价为De。De主要取决于两个有关因素,第一点是除脆弱点所处深度影响外的纯攻击难度de,第二点是在这条攻击路径中攻击者到脆弱性节点之间的路径深度pe。其中de采用基于CVSS标准漏洞评分***进行评估该漏洞的纯攻击难度,对于pe来说,采用迭代的思想进行计算,通过该路径上已经被攻击漏洞的数目e计算出来,其中包含e该脆弱性节点,即是整条攻击路径当中攻击者开始发动攻击一直攻击到该脆弱点e的所有被攻击的漏洞的数目。假设攻击者所处的位置在内部的网络环境之外,这里对于攻击路径中脆弱性节点的攻击代价De而言,De受限于de和pe的值,随着de和pe的值增加而增加,这里设定De=de*pe,即是De与de和pe表现有正相关性。de通过CVSS通用漏洞评分***进行对每一个脆弱点进行归一化评分,其中BS是CVSS漏洞评估***中对于该漏洞的基础评分。cvss描述的CVSS的得分对应于漏洞e,增加CVSS的评分,意味着漏洞越危险,被利用来攻击的可能就越大,攻击的难度就越低,因此在计算De时,对于整条攻击路径的攻击代价计算而言,采用迭代累加的思想进行计算,即其中Dp_n是攻击路径中攻击者开始发动攻击一直到攻击目标节点所有攻击到的漏洞攻击代价的总和,De_i是该路径上每个脆弱性节点所需要的攻击代价。
(2)复杂多分支路径
在攻击图中一个脆弱节点可能会沿着不同的攻击路径进而能被攻击到,一个脆弱节点随着状态图的增加如果有越来越多的替换攻击路径可以到达攻击该目的节点,该目的节点的安全性会越来越低。但同理如果一个脆弱节点需经过多条强制路径均被攻击后,该脆弱节点才可以被攻击,则经过的这些路径越多,该脆弱节点的安全性越高。该脆弱节点的安全性受限于该节点所处位置离攻击者的距离,发明中将以上替代路径和强制路径带给脆弱节点攻击代价的影响加入到pe的计算中,也即是使用基于深度指标来计算攻击该状态节点的攻击代价的大小。
替代路径:在攻击图中如果可以通过多条路径的任意一条即可以达到攻击某一脆弱性节点的目的,则这些路径中必然存在有一个最小攻击代价的路径,这条最小攻击代价路径和其他攻击路径均称之为攻击该脆弱点的替代路径,这些攻击路径之间是析取关系。
强制路径:在攻击图中如果必须全部通过多条攻击路径才可以达到攻击某一脆弱点的目的,则这些路径中必然存在有一个最高攻击代价的路径,这条最高攻击代价路径和其他攻击路径统称为攻击该脆弱点的强制路径,这些攻击路径之间是合取关系。
下列公式表示该状态节点是替代路径的分离点时,计算pe的数值。
在计算这种析取关系的替代路径所攻击脆弱性节点的pe值时,均依赖此节点之前计算出来的结果。公式中pmin表示攻击者沿着攻击路径从起始节点到该分离节点的距离值;Dp_min表示在所有的替代路径中,能够到达该分离节点的最小攻击代价的攻击路径值。
公式中Avemin由下公式确定:
其中,Dp_i表示不同的替代路径的攻击代价;表示所替代攻击路径的攻击代价之和。Dp_min/Avemin替代路径中攻击代价最小的攻击路径Dp_min除以其他替代路径的攻击代价均值,目的是为了确定其他替代攻击路径相对于最小攻击代价路径的影响程度,若得到的其他替代攻击路径的均值和最小攻击代价路径的值相差不大,也即是该比例式的值接近1,则表明有更多的攻击代价较小的路径可以达到该分离节点,也即是表明该脆弱点的安全程度越来越低,攻击该脆弱点的攻击代价就会降低,同理相反,如果该比例式的值越小,则表明其他替代攻击路径的均值和最小攻击代价路径的值相差大,该脆弱点的安全性相对较高,攻击该脆弱点的攻击代价就会提高。公式中对Dp_min/Avemin进行变形,表示的是相对于其他路径,选择最小攻击路径进行攻击的概率。
下列公式表示该状态节点是强制路径的连接点时,计算pe的数值。
公式中在计算这种合取关系的强制路径所攻击脆弱性节点的pe值时,也均依赖此节点之前计算出来的结果。公式中pmax表示攻击者沿着攻击路径从起始节点到该连接点的距离值,这里因为是合取关系,则下一个节点的攻击深度一定是(pmax+1)之上再进行计算偏差值;Dp_max表示在所有的强制路径中,能够到达该连接点的最大攻击代价的攻击路径值。
公式中计算公式如下:
其中,Dp_i对于不同的i来说,分别表示不同的强制路径的攻击代价;∑Dp_i表示所强制攻击路径的攻击代价之和。强制路径中攻击代价最大的攻击路径Dp_max除以其他强制路径的攻击代价均值,目的是为了确定其他强制攻击路径相对于最大攻击代价路径的影响程度,若得到的其他强制攻击路径的均值和最大攻击代价路径的值相差不大,也即是该比例式的值接近1,则表明达到该连接点其他的强制路径的攻击代价的值和最大攻击代价值接近,也即是表明该脆弱点的安全程度越来越高,攻击该脆弱点的攻击代价就会提升,相反该比例式的值越小,则表明其他强制攻击路径相对于最大攻击代价路径的影响程度较小,攻击该脆弱点的难度相对较容易。公式中对Dp_max/Avemax进行变形,表示的是相对于其他路径,选择最难攻击路径进行攻击的概率。
因此得出对于析取关系的替代路径的脆弱性节点的攻击代价评估公式如下:
因此得出对于合取关系的强制路径的脆弱性节点的攻击代价评估公式如下:
对于析取关系替代路径汇合的脆弱点的累积代价计算公式如下:
对于合取关系强制路径汇合的脆弱点的累积代价计算公式如下:
因此,在求某一条攻击路径的攻击概率时,利用累加的思想进行计算攻击路径的攻击代价,对于包含析取关系替代路径的攻击路径而言,计算攻击路径攻击代价公式如下:Dp_n=Dp_n-1+De_n,其中De_n为Dep_dis,对于包含合取关系强制路径的攻击路径而言,计算攻击路径的攻击代价公式是:Dp_n=Dp_n-1+De_n,其中De_n为Dep_con。
本发明实施例基于深度指标的脆弱性节点评估方法应用到网络模型中,在生成的脆弱性攻击图中,得到每一个脆弱点在攻击图不同位置所附有的攻击代价值,即是节点附有权值的攻击图,为后续关于寻找最优攻击路径的研究奠定了基础。
实例
首先,对于相同漏洞处于一条攻击路径中不同的攻击深度条件下攻击代价是不同的,在不失一般性的情况下,本实施例采用简单无分支路径进行对比实验,这里将一条路径上漏洞的数目设置为n,其中(n-1)个漏洞的CVSS评分值设置为A,剩余的一个漏洞的CVSS评分值设置为B,这里仅讨论A>B和A<B的两种情况,对于A=B的情况,无论B所处的位置如何,均不影响基于深度指标的攻击代价计算。
下列图示分别表示,四种不同的评估方法对于同等路径长度(路径长度均为5)下漏洞处于不同深度产生的攻击代价的评估结果,图示分别对漏洞AB基础评分制大小的不同关系进行分析对比实验,分为A>B(A=5;B=2),A<B(A=5;B=8),两种情况进行对比,结果如图2所示:
图中折线图的纵坐标表示的是采用不同评估手段得到的攻击代价,折线图的横坐标表示的是B漏洞所处在攻击路径的不同深度的位置(便捷观察,采用路径长度为5的攻击路径展示)。可以从折线图中清楚的看到,本实施例提出的基于深度指标的攻击路径上脆弱点定量评估的方法可以很好的解决同一漏洞位于不同攻击深度从而攻击代价不相同的实际问题,为网络***中脆弱性防护提供了很好的借鉴意义。
其次,本实施例通过改变攻击路径上不同路径长度得出对于不同路径长度的各个评估方法所产生的结果,实验的数据如下表所示:
数据计算过程,分别采用不同评估方法中的指标和计算方法,如图3-6分别表示这四种评估方法得出的结果进行折线图描述,如下所示:
通过四种不同的评估方法可以看出,基于最短路径的评估方法,攻击代价仅仅与路径的长度相关,且是正相关性,没有考虑到漏洞本身攻击代价带来的影响;基于攻击概率的评估方法,得出了随着攻击路径上路径长度的增加,攻击目标节点的概率会越来越小,也即是更难攻击,但该方法过多的依赖专家经验;基于攻击阻碍的评估方法,得出了攻击阻碍伴随着攻击路径的路径长度增加而增加,与实际情况相符合,但相比较于基于深度指标的攻击代价评估方法而言,没有结合攻击节点所处的深度指标,通过对比两个图的折线的坡度关系可以看出,基于攻击阻碍的评估方法随着攻击深度的变化没有基于深度指标方法对攻击代价造成的影响明显,根据实际攻击过程可知,在短路径的攻击代价中,路径长度的增加对攻击代价造成的影响较小,而在长路径的攻击代价中,路径长度的增加对攻击代价造成的影响较大,在折线图示中表示为,折线的前一部分坡度较小,随着路径长度的增加,折线的坡度相比较而言越来越大,基于深度指标的评估方法能够很好地体现实际的攻击代价受路径深度的影响,而基于攻击阻碍的方法不能够很好的体现实际的攻击过程中攻击代价受节点深度的影响程度。从实验中的图示7、8中可以详细的分析可得。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种基于深度指标的脆弱性攻击代价定量评估方法,其特征在于,具体过程为:
针对待攻击的网络生成网络模型,定义攻击图模型;
根据所述网络模型和攻击图模型,结合攻击图生成算法生成脆弱性攻击图;
在脆弱性攻击图中,分析从发起攻击的起始节点到目标节点的攻击路径,若攻击路径为多分支路径时,在获取攻击者到脆弱性节点之间的路径深度时,考虑替代路径和强制路径带给脆弱性节点攻击代价的影响pe,计算出脆弱性节点的攻击代价De=de*pe,de表示除脆弱性节点所处深度影响外的纯攻击难度;最终计算出至目标节点的累积攻击代价;
所述替代路径为:在攻击图中如果可以通过多条路径的任意一条即可以达到攻击某一脆弱性节点的目的,则这些路径中必然存在有一个最小攻击代价的路径,这条最小攻击代价路径和其他攻击路径均称之为攻击该脆弱性节点的替代路径,这些攻击路径之间是析取关系;
所述强制路径为:在攻击图中如果必须全部通过多条攻击路径才可以达到攻击某一脆弱性节点的目的,则这些路径中必然存在有一个最高攻击代价的路径,这条最高攻击代价路径和其他攻击路径统称为攻击该脆弱性节点的强制路径,这些攻击路径之间是合取关系;
当脆弱性节点为替代路径的分离点时,攻击者到脆弱性节点之间的路径深度pe为:
其中,pmin表示攻击者沿着攻击路径从起始节点到该分离点的距离值,Dp_min表示在所有的替代路径中,能够到达该分离点的最小攻击代价的攻击路径值,n表示到达分离点所有替代路径的数目,Dp_i表示不同的替代路径的攻击代价;
当脆弱性节点是强制路径的连接点时,攻击者到脆弱性节点之间的路径深度pe为:
其中,pmax表示攻击者沿着攻击路径从起始节点到该连接点的距离值,Dp_max表示在所有的强制路径中,能够到达该连接点的最大攻击代价的攻击路径值,Dp_i表示不同的强制路径的攻击代价;n表示到达该连接点所有强制路径的数目;
对于析取关系的替代路径的脆弱性节点的攻击代价评估公式如下:
对于合取关系的强制路径的脆弱性节点的攻击代价评估公式如下:
对于析取关系替代路径汇合的脆弱性节点的累积代价计算公式如下:
对于合取关系强制路径汇合的脆弱性节点的累积代价计算公式如下:
对于包含析取关系替代路径的攻击路径,攻击路径的攻击代价:
Dp_n=Dp_n-1+De_n,其中De_n为Dep_dis;
对于包含合取关系强制路径的攻击路径,攻击路径的攻击代价:
Dp_n=Dp_n-1+De_n,其中De_n为Dep_con。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910417526.2A CN110138788B (zh) | 2019-05-20 | 2019-05-20 | 一种基于深度指标的脆弱性攻击代价定量评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910417526.2A CN110138788B (zh) | 2019-05-20 | 2019-05-20 | 一种基于深度指标的脆弱性攻击代价定量评估方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110138788A CN110138788A (zh) | 2019-08-16 |
CN110138788B true CN110138788B (zh) | 2020-07-10 |
Family
ID=67571443
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910417526.2A Active CN110138788B (zh) | 2019-05-20 | 2019-05-20 | 一种基于深度指标的脆弱性攻击代价定量评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110138788B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11729222B2 (en) * | 2019-07-12 | 2023-08-15 | Palo Alto Research Center Incorporated | System and method for extracting configuration-related information for reasoning about the security and functionality of a composed internet of things system |
CN110930005A (zh) * | 2019-11-14 | 2020-03-27 | 华东师范大学 | 基于零日漏洞的自动驾驶预期功能安全危害评估方法 |
CN110889117B (zh) * | 2019-11-28 | 2022-04-19 | 支付宝(杭州)信息技术有限公司 | 一种模型攻击的防御方法及装置 |
CN111262878B (zh) * | 2020-02-12 | 2021-06-01 | 华北电力大学 | 一种核电厂安全级数字化仪控***脆弱性分析方法 |
CN113179241B (zh) * | 2021-03-01 | 2022-06-17 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
US11930046B2 (en) | 2021-06-17 | 2024-03-12 | Xerox Corporation | System and method for determining vulnerability metrics for graph-based configuration security |
CN113836679B (zh) * | 2021-10-14 | 2024-02-23 | 国网湖南省电力有限公司 | N-k攻击模式下脆弱线路组合的识别方法及装置 |
CN114048487B (zh) * | 2021-11-29 | 2022-06-17 | 北京永信至诚科技股份有限公司 | 网络靶场的攻击过程评估方法、装置、存储介质及设备 |
CN114428962B (zh) * | 2022-01-28 | 2023-03-31 | 北京灰度科技有限公司 | 漏洞风险优先级处置方法和装置 |
CN115333829B (zh) * | 2022-08-10 | 2024-07-19 | 国网智能电网研究院有限公司 | 一种攻击行为轨迹发现方法、装置、设备及存储介质 |
CN117395063B (zh) * | 2023-11-07 | 2024-07-19 | 中国人民解放军92493部队信息技术中心 | 一种基于攻击代价和栅格覆盖的网络安全评估方法及*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102447695A (zh) * | 2011-11-14 | 2012-05-09 | 中国科学院软件研究所 | 一种识别业务***中关键攻击路径的方法 |
US9292695B1 (en) * | 2013-04-10 | 2016-03-22 | Gabriel Bassett | System and method for cyber security analysis and human behavior prediction |
CN106850607A (zh) * | 2017-01-20 | 2017-06-13 | 北京理工大学 | 基于攻击图的网络安全态势的量化评估方法 |
CN108683654A (zh) * | 2018-05-08 | 2018-10-19 | 北京理工大学 | 一种基于零日攻击图的网络脆弱性评估方法 |
-
2019
- 2019-05-20 CN CN201910417526.2A patent/CN110138788B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102447695A (zh) * | 2011-11-14 | 2012-05-09 | 中国科学院软件研究所 | 一种识别业务***中关键攻击路径的方法 |
US9292695B1 (en) * | 2013-04-10 | 2016-03-22 | Gabriel Bassett | System and method for cyber security analysis and human behavior prediction |
CN106850607A (zh) * | 2017-01-20 | 2017-06-13 | 北京理工大学 | 基于攻击图的网络安全态势的量化评估方法 |
CN108683654A (zh) * | 2018-05-08 | 2018-10-19 | 北京理工大学 | 一种基于零日攻击图的网络脆弱性评估方法 |
Non-Patent Citations (1)
Title |
---|
A Vulnerability Assessment Method in Industrial Internet of Things Based on Attack Graph and Maximum Flow;Huan Wang等;《Special Section On Convergence of Sensor Networks, Cloud Computing And Big Data In Industrial Internet of Thing》;20180213;第8599-8608页 * |
Also Published As
Publication number | Publication date |
---|---|
CN110138788A (zh) | 2019-08-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110138788B (zh) | 一种基于深度指标的脆弱性攻击代价定量评估方法 | |
CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
Rabbani et al. | A hybrid machine learning approach for malicious behaviour detection and recognition in cloud computing | |
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
US9928369B2 (en) | Information technology vulnerability assessment | |
Durkota et al. | Optimal network security hardening using attack graph games | |
Garcia et al. | An empirical comparison of botnet detection methods | |
Marchal et al. | PhishStorm: Detecting phishing with streaming analytics | |
US10050868B2 (en) | Multimodal help agent for network administrator | |
Thonnard et al. | A framework for attack patterns' discovery in honeynet data | |
Ahmed et al. | Attack Intention Recognition: A Review. | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
WO2020133986A1 (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
Hu et al. | Security metric methods for network multistep attacks using AMC and big data correlation analysis | |
Tupper et al. | VEA-bility security metric: A network security analysis tool | |
US10951645B2 (en) | System and method for prevention of threat | |
Chkirbene et al. | A combined decision for secure cloud computing based on machine learning and past information | |
CN111245784A (zh) | 多维度检测恶意域名的方法 | |
Holsopple et al. | FuSIA: Future situation and impact awareness | |
Wang et al. | MAAC: Novel alert correlation method to detect multi-step attack | |
Ali et al. | Firewall policy reconnaissance: Techniques and analysis | |
Chopra et al. | Evaluating machine learning algorithms to detect and classify DDoS attacks in IoT | |
Al-Araji et al. | Attack graph reachability: concept, analysis, challenges and issues | |
Mathew et al. | Situation awareness of multistage cyber attacks by semantic event fusion | |
Nebbione et al. | A Methodological Framework for AI-Assisted Security Assessments of Active Directory Environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |