一种基于状态攻防图的矩阵可视化方法技术

本发明专利技术公开了一种基于状态攻防图的矩阵可视化方法。该方法步骤如下：根据网络拓扑中所有主机节点的连通性建立可达矩阵；利用漏洞扫描工具Nessus、ISS和SARA，对网络中的各主机节点进行扫描，得到各主机节点的漏洞集合；根据各主机节点的漏洞集合和各漏洞的利用规则构建状态攻防图；根据状态攻防图构建一个攻击路径漏洞矩阵；结合安全漏洞评估系统CVSS，计算状态攻防图中各漏洞对主机渗透风险值；通过矩阵运算，计算状态攻防图的主机漏洞风险矩阵；运用饼状图表示主机漏洞风险，使网络安全管理员查找风险值最高的主机，并进行维护。本发明专利技术能很直观、清晰地描述网络中各主机的漏洞风险信息，给状态攻防图风险结果可视化提出一种新的思路。

【技术实现步骤摘要】

本专利技术涉及网络安全攻击防御可视化
，特别是一种基于状态攻防图的矩阵可视化方法。
技术介绍
随着大数据时代的到来，网络朝着智能化和协同化方向发展，多步骤的组合渗透攻击成为威胁网络安全的主要形式，这给网络安全管理员带来了巨大的困难。特别是近年来，网络安全方面的暴力问题越来越多，为了评估网络的安全性，攻防图的研究分析成为主要手段之一。利用攻防图对网络进行安全分析，可以提高网络系统应对突发事件的能力，提高网络安全性。目前对攻防图的研究已取得一定的研究成果。Swiler等首先应用图论中的节点、边及其关系来描述网络安全属性之间的关系。通过网络中漏洞的关联关系，发现攻击者可能利用的攻击路径。根据已有的攻击模板，采用深度优先的搜索策略生成网络攻击图，对网络安全状况作出较全面的评价，但是攻击图的生成过程完全依靠手工，评估效率低且无法适应规模稍大的网络（C.A.Phillips,L.P.Swiler,AGraphBasedSystemforNetworkVulnerabilityAnalysis,IntheACMProceedingsfromthe1998NewSecurityParadigmsWorkshop,71-79.）。Ammann等采用基于图论的方法并引入单调性假设，其在一定程度上解决了攻击图的状态爆炸问题，但其仍难以适用于规模稍大的网络（AmmannP,WijesekeraD,KaushikS.Scalable,Graph-basedNetworkVulnerabilityAnalysis[C]Proceedingsofthe9thACMConferenceonComputerandCommunicationsSecurity(CCS'02),WashingtonDC,ACM,2002:217-224.）。潘晓中等借助现有攻击图，利用矩阵对大规模网络进行安全分析，并把网络风险通过柱状图表示出来，实现了大规模网络中的风险可视化，但其在计算漏洞固有风险值和攻击渗透漏洞的概率时没有进行定量的计算，只是基于描述给出相应的取值，具有不确定性。（潘晓中,何江湖,申军伟,王浩明.攻击图在风险评估中的矩阵可视化[J].小型微型计算机系统,2013,03:553-556.）。
技术实现思路
本专利技术的目的在于提供一种基于状态攻防图的矩阵可视化方法，提高攻防图在风险评估中的可视化效果，从而给安全管理员提供一个直观的依据。实现本专利技术目的的技术解决方案为：一种基于状态攻防图的矩阵可视化方法，包括以下步骤：第一步，根据网络拓扑中所有主机节点的连通性建立可达矩阵；第二步，利用漏洞扫描工具Nessus、ISS和SARA，对网络中的各主机节点进行扫描，得到各主机节点的漏洞集合；第三步，根据各主机节点的漏洞集合和各漏洞的利用规则构建状态攻防图；第四步，根据状态攻防图构建一个攻击路径漏洞矩阵；第五步，结合安全漏洞评估系统CVSS，计算状态攻防图中各漏洞对主机渗透风险值；第六步，通过矩阵运算，计算状态攻防图的主机漏洞风险矩阵；第七步，运用饼状图表示主机漏洞风险，使网络安全管理员查找风险值最高的主机，并进行维护。进一步地，第三步中所述的状态攻防图STG为一个全局攻击图，STG＝(S,T,s0,SG)，其中S是图中的状态节点集，表示网络安全状态；是图中边集，表示网络安全状态的变迁关系，每条边代表一个漏洞攻击；s0∈S是网络初始状态，sG∈S是攻击者目标状态集合；所述的状态节点采用四元组(τid,hostid,privilege,p)表示，其中τid是状态节点编号，hostid是该网络安全状态下安全要素发生变化的主机节点名称，privilege是到达该状态节点时攻击者获得主机hostid上的权限；所述的状态变迁用vid表示；vid是一个漏洞攻击所用的漏洞ID。进一步地，第四步中所述的攻击路径漏洞矩阵，行表示攻击主机的漏洞，列表示下一步要攻击的主机的漏洞；如果邻接的主机漏洞存在攻击行为其数值为1，如果不存在攻击行为其值为0。进一步地，第五步中所述的结合安全漏洞评估系统CVSS，计算状态攻防图中各漏洞对主机渗透风险值，具体如下：利用一个漏洞所发起的攻击，结合安全漏洞评估系统CVSS，攻击渗透该漏洞的概率采用该漏洞被利用的难易程度p来表示，即：p＝Exploitability＝2*AccessVector*Accesscomplexity*Authentication其中，AccessVector表示攻击向量，反映漏洞被利用的方式，取值如下：本地，指要求攻击者对目标节点拥有物理访问权限或一个可用的本地shell账户；邻接网络，指要求攻击者和目标节点在同一个广播域或者碰撞域，并能够访问目标节点；网络，指仅要求攻击者能够通过网络访问目标节点；Accesscomplexity表示攻击复杂度，反映当攻击者已经获取目标节点访问权限的情况下，漏洞被利用的难易程度，取值如下：高，指必须利用非常特殊的攻击条件；中，指需要利用较为特殊的攻击条件；低，指只需利用一般的攻击条件；Authentication表示身份认证，反映攻击者成功利用脆弱点时必须经历的认证次数，取值如下：多重身份认证，指要求攻击者进行两次以上的认证，即便两次认证使用了同样的证书；单重身份认证，指要求攻击者登录目标系统；无需身份认证，指仅要求攻击者能够通过网络访问目标节点；然后利用基于危害度量分析的脆弱点评分方法计算单个漏洞固有风险值Des；状态攻防图的各漏洞对主机渗透风险值risk采用该漏洞固有风险值与攻击渗透该漏洞的概率的乘积表示，即：risk＝Des*p。进一步地，第六步所述通过矩阵运算，计算状态攻防图的主机漏洞风险矩阵，具体如下：首先，根据第五步所得各漏洞对主机渗透风险值risk，建立一维矩阵[risk]和对角矩阵Risk；[risk]的行为漏洞ID，列为漏洞风险值；Risk的行列都为漏洞ID；然后，根据扫描出来的漏洞利用弱点关联性算法建立一种漏洞关联系数矩阵VRM，其中行表示为首先渗透的漏洞ID，列表示为下一步渗透的漏洞ID，则漏洞相互影响矩阵IM的公式如下：IM＝VRM*Risk漏洞相互影响矩阵IM的行列都表示漏洞ID，行表示当前漏洞ID，列表示上一步要利用的漏洞ID；而上一个利用漏洞对现主机产生的风险矩阵PRED公式如下：PRED＝IM*MAVP则漏洞对整个主机的影响矩阵WHP为：WHP＝[risk]+(1,1,1…)*PREDWHP是一个一行N列的矩阵，其中N为漏洞ID的总数；最后，根据WHP和主机漏洞扫描记录，建立主机的漏洞风险矩阵WCP。进一步地，所述的状态攻防图STG，构建过程如下：（1）根据各主机节点的漏洞集合和各漏洞的利用规则构建攻击行动集合，并将初始状态节点加入状态队列中；（2）从状态队列中取出一个节点，若当前攻击步骤数小于最大攻击步骤数，则遍历攻击行动集合，否则返回（1）；（3）用节点生成子算法检验各攻击行动是否与当前状态节点存在依赖关系，并满足限制条件，所述限制条件包括攻击步骤数、状态节点可达性的概率、限制访问条件；（4）若存在符合限制条件的攻击行动，则生成与该攻击行动对应的状态节点，并存入状态队列中。本专利技术与现有技术相比，其显著优点在于：（1）优化现有的攻防图矩本文档来自技高网...

【技术保护点】
一种基于状态攻防图的矩阵可视化方法，其特征在于，包括以下步骤：第一步，根据网络拓扑中所有主机节点的连通性建立可达矩阵；第二步，利用漏洞扫描工具Nessus、ISS和SARA，对网络中的各主机节点进行扫描，得到各主机节点的漏洞集合；第三步，根据各主机节点的漏洞集合和各漏洞的利用规则构建状态攻防图；第四步，根据状态攻防图构建一个攻击路径漏洞矩阵；第五步，结合安全漏洞评估系统CVSS，计算状态攻防图中各漏洞对主机渗透风险值；第六步，通过矩阵运算，计算状态攻防图的主机漏洞风险矩阵；第七步，运用饼状图表示主机漏洞风险，使网络安全管理员查找风险值最高的主机，并进行维护。

【技术特征摘要】
1.一种基于状态攻防图的矩阵可视化方法，其特征在于，包括以下步骤：第一步，根据网络拓扑中所有主机节点的连通性建立可达矩阵；第二步，利用漏洞扫描工具Nessus、ISS和SARA，对网络中的各主机节点进行扫描，得到各主机节点的漏洞集合；第三步，根据各主机节点的漏洞集合和各漏洞的利用规则构建状态攻防图；第四步，根据状态攻防图构建一个攻击路径漏洞矩阵；第五步，结合安全漏洞评估系统CVSS，计算状态攻防图中各漏洞对主机渗透风险值；第六步，通过矩阵运算，计算状态攻防图的主机漏洞风险矩阵；第七步，运用饼状图表示主机漏洞风险，使网络安全管理员查找风险值最高的主机，并进行维护。2.根据权利要求1所述的基于状态攻防图的矩阵可视化方法，其特征在于，第三步中所述的状态攻防图STG为一个全局攻击图，STG＝(S,T,s0,SG)，其中S是图中的状态节点集，表示网络安全状态；是图中边集，表示网络安全状态的变迁关系，每条边代表一个漏洞攻击；s0∈S是网络初始状态，sG∈S是攻击者目标状态集合；所述的状态节点采用四元组(τid,hostid,privilege,p)表示，其中τid是状态节点编号，hostid是该网络安全状态下安全要素发生变化的主机节点名称，privilege是到达该状态节点时攻击者获得主机hostid上的权限；所述的状态变迁用vid表示；vid是一个漏洞攻击所用的漏洞ID。3.根据权利要求1所述的基于状态攻防图的矩阵可视化方法，其特征在于，第四步中所述的攻击路径漏洞矩阵，行表示攻击主机的漏洞，列表示下一步要攻击的主机的漏洞；如果邻接的主机漏洞存在攻击行为其数值为1，如果不存在攻击行为其值为0。4.根据权利要求1所述的基于状态攻防图的矩阵可视化方法，其特征在于，第五步中所述的结合安全漏洞评估系统CVSS，计算状态攻防图中各漏洞对主机渗透风险值，具体如下：利用一个漏洞所发起的攻击，结合安全漏洞评估系统CVSS，攻击渗透该漏洞的概率采用该漏洞被利用的难易程度p来表示，即：p＝Exploitability＝2*AccessVector*Accesscomplexity*Authentication其中，AccessVector表示攻击向量，反映漏洞被利用的方式，取值如下：本地，指要求攻击者对目标节点拥有物理访问权限或一个可用的本地shell账户；邻接网络，指要求攻击者和目标节点在同一个广播域或者碰撞域，并能够访问目标节点；网络，指仅要求攻击者能够通过网络访问目标节点；Acc...

【专利技术属性】
技术研发人员：蒋薛松，李千目，王烁，
申请(专利权)人：南京理工大学，
类型：发明
国别省市：江苏;32