本发明专利技术属于脆弱性攻击技术领域,提供一种基于深度指标的脆弱性攻击代价定量评估方法,具体过程为:针对待攻击的网络生成网络模型,定义攻击图模型;根据网络模型和攻击图模型,结合攻击图生成算法生成脆弱性攻击图;在脆弱性攻击图中,分析从发起攻击的起始节点到目标节点的攻击路径,若攻击路径为多分支路径时,在获取攻击者到脆弱性节点之间的路径深度时,考虑替代路径和强制路径带给脆弱节点攻击代价的影响pe,计算出脆弱性节点的攻击代价;最终计算出至目标节点的累积攻击代价。本发明专利技术结合攻击路径深度的指标能够更准确的评估攻击路径中深度较大脆弱点的攻击代价,对于分析实际的攻击过程和攻击手段提供更好的依据。
A Quantitative Assessment Method of Vulnerability Attack Cost Based on Depth Index
【技术实现步骤摘要】
一种基于深度指标的脆弱性攻击代价定量评估方法
本专利技术涉及一种基于深度指标的脆弱性攻击代价定量评估方法,属于脆弱性攻击
技术介绍
基于贝叶斯攻击图,高妮等人[1]提出了一种基于贝叶斯攻击图的动态风险评估模型。Li等人([2]从更宏观的角度考虑了触发漏洞攻击图的要素和条件,提出了一种基于超图分割的前向搜索攻击图生成算法。WangL等人提出了一种基于处理零日漏洞的网络安全测量方法[3]。贾炜等人[8]提出了一种基于网络中心性的网络漏洞评估方法。Yang等人[4]提出了一种基于网络攻击的多步特征和安全态势量化标准的网络安全态势评估方法,可以有效提高网络安全风险评估系统识别攻击行为和潜在风险的准确性,但这种方法忽略了多步网络攻击之间的相关性分析。因为攻击者会为那些尚未披露的漏洞进行研究,零日攻击的安全性挑战将始终是一个挑战。Zhang等人[5]提出零日漏洞和网络中关键的脆弱点。在攻击图的最优攻击路径的研究中,戴文芳等人[6]在关于攻击图理论的网络安全风险评估技术研究中提出了深度优先的最大流攻击路径的寻路方案进行分析风险攻击图,其中利用了最大风险流计算、路径搜索函数和增广路排序函数三部分,时间开销效率为O(n2),其中n为攻击图的节点数目。闫峰等人[7]提出一种最优攻击目标子图的概念,给出相关攻击路径的生成算法和目标攻击子图的生成算法,攻击路径的生成算法时间开销效率为O(K2L),其中K为调用函数执行的次数,L为攻击路径长度。贾炜等人[8]提出一种新的计算攻击图中攻击路径的代价的方法,并结合传统的Floyd算法节点对之间的最小攻击代价路径,整体算法的时间开销效率为O(n3),其中n为攻击图中节点的个数。为了获取攻击图中最佳攻击路径,需要对攻击图中的脆弱点或攻击路径进行权值的计算,也即是定量的评估,专利技术提出了一种新的基于深度的定量评估方法,主要是基于漏洞的CVSS基础评分,和同一漏洞在攻击路径的不同深度所需要的攻击代价不同的思想来提出的该方法。相比较于以往的基于计数度量[9]和基于攻击难度度量[10]都有较好的优点。基于计数的度量方法,主要是根据攻击路径的长度和攻击所需要的路径数目来进行度量,没有考虑到攻击图中攻击节点的权重大小;基于攻击难度的度量方法,主要考虑的是攻击阻力的度量(不同的攻击者攻击所付出的代价),概率安全的度量(漏洞被攻击者所以利用的可能性),但难度这一指标主要还是定性的分析没有很准确的定量评估方法,主要还是结合专家经验,比较依赖传统的知识经验进行度量。对于脆弱性攻击图中的脆弱点进行定量评估的技术而言,以往大多是基于攻击路径中路径的长度计数和攻击难度进行评估的,单纯针对攻击路径的攻击距离长短来说,没有考虑到攻击图中攻击节点的权重大小,而在实际的网络系统中,针对不同的漏洞,攻击者进行攻击花费的代价完全不同,而基于难度的度量方法,存在的主要缺陷是大多还都依据专家经验,不能很定量的进行评估,人为依赖元素过重。对于一些网络系统中关键性资产而言,大多都配备有最佳的基础架构和强大的安全策略,因此利用漏洞直接攻击安全中心区域(如:Militarized中心)很难收集到进行直接攻击的相关前提条件(如:用户交互或者必须的特权)。提出的评估方法能够有效的计算对于攻击目标较深的攻击代价计算问题。对于一些可以利用的漏洞,攻击者首先要找到网络中可以被利用的漏洞,方法中所研究的问题是随着攻击者和攻击漏洞之间的距离的增加,所需要的攻击代价会逐步增加,不会是一个固定不变的值,也即是攻击者需要更多的攻击代价完成更深的攻击行为。对于攻击路径上起始的节点来说,作为起始攻击行为条件的攻击漏洞而言,所需要的攻击代价相对比较小,而作为攻击路径上较深的节点来说,相同的漏洞被攻击所需要的攻击代价要更大一些,因为完成该攻击行为所需要的前提条件会更多,攻击代价也会随之上升。
技术实现思路
有鉴于此,本专利技术提供一种基于深度指标的脆弱性攻击代价定量评估方法,该方法针对脆弱性攻击图中攻击路径上的脆弱性节点的实现定量攻击代价的评估,并获取最优攻击路径。实现本专利技术的技术方案如下:一种基于深度指标的脆弱性攻击代价定量评估方法,具体过程为:针对待攻击的网络生成网络模型,定义攻击图模型;根据所述网络模型和攻击图模型,结合攻击图生成算法生成脆弱性攻击图;在脆弱性攻击图中,分析从发起攻击的起始节点到目标节点的攻击路径,若攻击路径为多分支路径时,在获取攻击者到脆弱性节点之间的路径深度时,考虑替代路径和强制路径带给脆弱节点攻击代价的影响pe,计算出脆弱性节点的攻击代价De=de*pe,de表示除脆弱点所处深度影响外的纯攻击难度;最终计算出至目标节点的累积攻击代价。进一步地,本专利技术所述替代路径为:在攻击图中如果可以通过多条路径的任意一条即可以达到攻击某一脆弱性节点的目的,则这些路径中必然存在有一个最小攻击代价的路径,这条最小攻击代价路径和其他攻击路径均称之为攻击该脆弱点的替代路径,这些攻击路径之间是析取关系。进一步地,本专利技术所述强制路径为:在攻击图中如果必须全部通过多条攻击路径才可以达到攻击某一脆弱点的目的,则这些路径中必然存在有一个最高攻击代价的路径,这条最高攻击代价路径和其他攻击路径统称为攻击该脆弱点的强制路径,这些攻击路径之间是合取关系。进一步地,本专利技术当脆弱节点为替代路径的分离点时,攻击者到脆弱性节点之间的路径深度pe为:其中,pmin表示攻击者沿着攻击路径从起始节点到该分离节点的距离值,Dp_min表示在所有的替代路径中,能够到达该分离节点的最小攻击代价的攻击路径值,n表示到达分离节点所有替代路径的数目,Dp_i表示不同的替代路径的攻击代价。进一步地,本专利技术当脆弱节点是强制路径的连接点时,攻击者到脆弱性节点之间的路径深度pe为:其中,pmax表示攻击者沿着攻击路径从起始节点到该连接点的距离值,Dp_max表示在所有的强制路径中,能够到达该连接点的最大攻击代价的攻击路径值,Dp_i表示不同的强制路径的攻击代价;n表示到达该连接点所有强制路径的数目。进一步地,本专利技术所述de通过CVSS通用漏洞评分系统进行对每一个脆弱点进行归一化评分,BS是CVSS漏洞评估系统中对于该漏洞的基础评分;对于析取关系的替代路径的脆弱性节点的攻击代价评估公式如下:对于合取关系的强制路径的脆弱性节点的攻击代价评估公式如下:进一步地,本专利技术对于析取关系替代路径汇合的脆弱点的累积代价计算公式如下:对于合取关系强制路径汇合的脆弱点的累积代价计算公式如下:对于包含析取关系替代路径的攻击路径,攻击路径攻击代价:Dp_n=Dp_n-1+De_n,其中De_n为Dep_dis;对于包含合取关系强制路径的攻击路径,攻击路径的攻击代价:Dp_n=Dp_n-1+De_n,其中De_n为Dep_con。进一步地,本专利技术若所述路径为无分支路径时,攻击路径的攻击代价为从攻击者开始发动攻击一直到攻击目标节点所有攻击到的脆弱性节点的攻击代价总和De_i是该路径上每个脆弱性节点所需要的攻击代价;其中,BS是CVSS漏洞评估系统中对于该漏洞的基础评分,pe通过该路径上已经被攻击漏洞的数目采用迭代方式计算。有益效果该脆弱性定量评估方法在评估攻击图中脆弱点的攻击代价时具备有符合实际的攻击场景,结合攻击路径深度的指本文档来自技高网...
【技术保护点】
1.一种基于深度指标的脆弱性攻击代价定量评估方法,其特征在于,具体过程为:针对待攻击的网络生成网络模型,定义攻击图模型;根据所述网络模型和攻击图模型,结合攻击图生成算法生成脆弱性攻击图;在脆弱性攻击图中,分析从发起攻击的起始节点到目标节点的攻击路径,若攻击路径为多分支路径时,在获取攻击者到脆弱性节点之间的路径深度时,考虑替代路径和强制路径带给脆弱节点攻击代价的影响pe,计算出脆弱性节点的攻击代价De=de*pe,de表示除脆弱点所处深度影响外的纯攻击难度;最终计算出至目标节点的累积攻击代价。
【技术特征摘要】
1.一种基于深度指标的脆弱性攻击代价定量评估方法,其特征在于,具体过程为:针对待攻击的网络生成网络模型,定义攻击图模型;根据所述网络模型和攻击图模型,结合攻击图生成算法生成脆弱性攻击图;在脆弱性攻击图中,分析从发起攻击的起始节点到目标节点的攻击路径,若攻击路径为多分支路径时,在获取攻击者到脆弱性节点之间的路径深度时,考虑替代路径和强制路径带给脆弱节点攻击代价的影响pe,计算出脆弱性节点的攻击代价De=de*pe,de表示除脆弱点所处深度影响外的纯攻击难度;最终计算出至目标节点的累积攻击代价。2.根据权利要求1所述基于深度指标的脆弱性攻击代价定量评估方法,其特征在于,所述替代路径为:在攻击图中如果可以通过多条路径的任意一条即可以达到攻击某一脆弱性节点的目的,则这些路径中必然存在有一个最小攻击代价的路径,这条最小攻击代价路径和其他攻击路径均称之为攻击该脆弱点的替代路径,这些攻击路径之间是析取关系。3.根据权利要求1或2所述基于深度指标的脆弱性攻击代价定量评估方法,其特征在于,所述强制路径为:在攻击图中如果必须全部通过多条攻击路径才可以达到攻击某一脆弱点的目的,则这些路径中必然存在有一个最高攻击代价的路径,这条最高攻击代价路径和其他攻击路径统称为攻击该脆弱点的强制路径,这些攻击路径之间是合取关系。4.根据权利要求2所述基于深度指标的脆弱性攻击代价定量评估方法,其特征在于,当脆弱节点为替代路径的分离点时,攻击者到脆弱性节点之间的路径深度pe为:其中,pmin表示攻击者沿着攻击路径从起始节点到该分离节点的距离值,Dp_min表示在所有的替代路径中,能够到达该分离节点的最小攻击代价的攻击路径值,n表示到达分离节点所有替代路径的数目,Dp_i表示不同的替代路径的攻...
【专利技术属性】
技术研发人员:胡昌振,单纯,郭守坤,王可惟,周炎,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。