本发明专利技术公开了一种基于双向控制函数的动态攻击面变换方法,其中,包括:若改变系统S的攻击面ASi,得到一个新的攻击面ASi+1,则将某个资源r对ASi的作用表示为
【技术实现步骤摘要】
一种基于双向控制函数的动态攻击面变换方法
本专利技术属于网络安全
,特别是一种基于双向控制函数的动态攻击面变换方法。
技术介绍
网络攻防的核心是围绕资源脆弱性的利用和预期网络和信息系统状态的实现开展的。从攻击者角度分析,攻击过程可以分为探测和实施攻击两个阶段。探测阶段主要是侦测和剖析目标系统,通过侦测目标系统发掘和锁定可被利用的资源脆弱性,依据侦测信息研究和制定相应的攻击方法,探测阶段所用时间基本占整个攻击时间的95%;实施攻击阶段主要是依据制定的策略开展相应攻击行为,通过让目标系统达到预期的状态以实现攻击目的,该阶段所用时间则只占整个攻击时间的5%。(一)攻击面理论根据Manadhata的定义,攻击面是攻击者可能用于发动攻击的系统资源的子集,攻击者可以利用入口点和出口点之集M、通道集C以及不可信数据项集I,向系统发送数据或从系统获取数据,从而攻击该系统。因此,M、C和I即为攻击面相关资源的子集。其中,入口点和出口点集又称方法,是指从系统环境接收数据项的系统函数以及向系统环境发送数据项的系统函数的集合;系统的通道是用户或其它系统与本系统交流的途径;不可信数据项是指攻击者采用持久数据项(如文件)间接接收系统数据或向系统发送数据。(二)动态攻击面变换图1所示为攻击面变换情况示意图,如图1所示,动态攻击面变换是一种需要在网络空间信息系统全生命周期设计过程中贯彻的基本安全理念,其目的在于通过一切可能的途径,在维护网络和信息系统可用性的同时,使得网络和信息系统全生命周期运转过程中的所有参与主体、通信协议、信息数据等都具备主动或被动地在时空两个维度上单独或同时变换自身所有属性或属性对外呈现信息的能力,从而实现以下全部或部分效果:攻击者难以发现目标;攻击者发现的目标是错误的;攻击者发现了目标但无法实施攻击;攻击者能实施攻击但不可持续;攻击者能实施攻击但很快被检测到。动态攻击面变换不仅是一种安全技术,其更多的是描述通过变化的网络和信息系统自身组成而形成的一种内在安全能力。即提供面向硬件底层、操作系统、软件、网络、数据等网络和信息系统所有实体的变化空间。通过动态攻击面的技术,将攻击者限定在一个时间窗口内,攻击者要实现攻击,传统的先验知识毫无作用,其必须在防御者设定的时间窗口内完成所有的侦察、分析、攻击。(三)威胁感知威胁感知是通过数据接入、信息共享、蜜罐等技术,实现威胁元数据主动、高效地采集,并且,由于网络环境的多元性与异构性,还需利用深度学习、关联融合等技术,挖掘潜在的攻击特征,发现复杂攻击。通过对事件流的分析,可以提供对威胁信息近实时的计算、分析能力。通过建立知识图谱等,可以实现威胁告警并指导对攻击行为的追踪溯源。现有的动态防御技术,如网络跳变,主要是依据安全目标自主式地进行随机化或多态配置。由于自主式动态变换缺少对攻防环境的感知,因此跳变策略的可用性具有局限性。
技术实现思路
本专利技术的目的在于提供一种基于双向控制函数的动态攻击面变换方法,用于解决上述现有技术的问题。本专利技术一种基于双向控制函数的动态攻击面变换方法,其中,包括:若改变系统S的攻击面ASi,得到一个新的攻击面ASi+1,则将某个资源r对ASi的作用表示为将其对的作用表示为攻击面转移定义如下:给定系统S及其环境Es,系统S的原攻击面是ASi,新攻击面是ASi+1,如至少存在一个资源r,使得r∈(ASi\ASi+1)或则系统S的攻击面就发生了转移;基于攻击面定义,设计攻击面变换方程如下:对于原攻击面ASi,ASi=f(a1i,a2i,...,ani),对于新攻击面ASi+1,ASi+1=f(a1i+1,a2i+1,...,ani+1),其中,(a1i+1,a2i+1,...,ani+1)=g(a1i,a2i,...,ani)+h(a1i,a2i,...,ani),g(a1i,a2i,...,ani)=(g1(a1i),g2(a2i),...,gn(ani)),h(a1i,a2i,...,ani)=(h1(a1i),h2(a2i),...,hn(ani)),其中g表示自主式控制函数,h表示反馈控制函数,a1i,a2i,...,ani为待变换的攻击面的n种系统和网络的配置;自主式控制函数g是根据经验和系统弹性预先设定,gi表示根据预先设定的变化方式对配置ai做变换。根据本专利技术的基于双向控制函数的动态攻击面变换方法的一实施例,其中,扩展攻击面的定义为:其中,AS为攻击面,a1,a2,...,an是网络和信息系统硬件底层、操作系统、软件、网络、数据层面的结构、配置等信息,如网络拓扑、部署的服务、端口等,f是的映射函数。根据本专利技术的基于双向控制函数的动态攻击面变换方法的一实施例,其中,从攻击者角度出发,定义攻击者欲实施攻击要经过探测、建立和发起攻击三个阶段,攻击者需要对目标系统探测,探究攻击者要获取资源以及如何获取这些资源。根据本专利技术的基于双向控制函数的动态攻击面变换方法的一实施例,其中,要素包括:攻击基本参数、攻击目标、攻击者、攻击、探测空间以及攻击生存期。根据本专利技术的基于双向控制函数的动态攻击面变换方法的一实施例,其中,攻击基本参数包括:信息参数,由信息名称与攻击价值对构成的一种信息单位,信息参数的取值与攻击类型有关;信息参数类型,代表信息参数的可能值域;复合信息参数,是所有的设备或系统的信息参数集合。根据本专利技术的基于双向控制函数的动态攻击面变换方法的一实施例,其中,攻击目标为攻击者可以从网络和信息系统中获取、修改或毁坏信息的某种设备;攻击目标系统,是多个攻击目标构成的集合,每个目标系统都有一个系统信息参数。根据本专利技术的基于双向控制函数的动态攻击面变换方法的一实施例,其中,攻击者为单个入侵者或入侵者组,入侵者是人或自动程序。根据本专利技术的基于双向控制函数的动态攻击面变换方法的一实施例,其中,攻击是攻击者针对攻击目标在某个时间区间内执行某一攻击类型的过程,攻击包含要素包括:赋值为一个信息参数对,将后一个信息参数的信息赋给前一个;攻击类型由定义在目标系统信息参数和攻击者信息之上的逻辑描述以及目标系统信息参数和攻击者信息的赋值两部分组成;复合攻击类型是通过一系列函数形成的一个攻击类型序列;原子攻击是攻击的最小单位,原子攻击不可分,原子攻击由原子攻击类型构成;复合攻击,是实施复合攻击类型的攻击,复合攻击由一系列攻击实现,每个攻击实现相应的子攻击类型。根据本专利技术的基于双向控制函数的动态攻击面变换方法的一实施例,其中,探测空间,是攻击者为了实现某个具体攻击,必须探测的特定信息参数的可能值的集合,对于给定的信息参数,其探测空间为其值域,为获取特定信息参数的正确取值,攻击者必须探测的潜在值的最大值即为探测空间。根据本专利技术的基于双向控制函数的动态攻击面变换方法的一实施例,其中,设网络和信息系统服务的有效期为TK0,t0时刻攻击者开始进行探测动作,攻击者从发动攻击到实现攻击目的的时间为te,若攻击在t0到TK0之间取得既定目标,攻击成功,攻击生存期为t1+te;若在t0到TK0之间未能完成攻击目的,攻击受挫,攻击生存期为TK0。本专利技术的基于双向控制函数的动态攻击面变换方法,通过动态攻击面的方式可以极大提高攻击者攻击难度,增加攻击者攻击成本,实现攻防两端角色的转变,防御者可本文档来自技高网...
【技术保护点】
一种基于双向控制函数的动态攻击面变换方法,其特征在于,包括:若改变系统S的攻击面ASi,得到一个新的攻击面ASi+1,则将某个资源r对ASi的作用表示为
【技术特征摘要】
1.一种基于双向控制函数的动态攻击面变换方法,其特征在于,包括:若改变系统S的攻击面ASi,得到一个新的攻击面ASi+1,则将某个资源r对ASi的作用表示为将其对的作用表示为攻击面转移定义如下:给定系统S及其环境Es,系统S的原攻击面是ASi,新攻击面是ASi+1,如至少存在一个资源r,使得r∈(ASi\ASi+1)或则系统S的攻击面就发生了转移;基于攻击面定义,设计攻击面变换方程如下:对于原攻击面ASi,ASi=f(a1i,a2i,...,ani),对于新攻击面ASi+1,ASi+1=f(a1i+1,a2i+1,...,ani+1),其中,(a1i+1,a2i+1,...,ani+1)=g(a1i,a2i,...,ani)+h(a1i,a2i,...,ani),g(a1i,a2i,...,ani)=(g1(a1i),g2(a2i),...,gn(ani)),h(a1i,a2i,...,ani)=(h1(a1i),h2(a2i),...,hn(ani)),其中g表示自主式控制函数,h表示反馈控制函数,a1i,a2i,...,ani为待变换的攻击面的n种系统和网络的配置;自主式控制函数g是根据经验和系统弹性预先设定,gi表示根据预先设定的变化方式对配置ai做变换。2.如权利要求1所述的基于双向控制函数的动态攻击面变换方法,其特征在于,扩展攻击面的定义为:其中,AS为攻击面,a1,a2,...,an是网络和信息系统硬件底层、操作系统、软件、网络、数据层面的结构、配置等信息,如网络拓扑、部署的服务、端口等,f是的映射函数。3.如权利要求1所述的基于双向控制函数的动态攻击面变换方法,其特征在于,从攻击者角度出发,定义攻击者欲实施攻击要经过探测、建立和发起攻击三个阶段,攻击者需要对目标系统探测,探究攻击者要获取资源以及如何获取这些资源。4.如权利要求1所述的基于双向控制函数的动态攻击面变换方法,其特征在于,要素包括:攻击基本参数、攻击目标、攻击者、攻击、探测空间以及攻击生存期。5.如权利要...
【专利技术属性】
技术研发人员:刘滋润,于然,曾颖明,王斌,郭敏,李大卫,
申请(专利权)人:北京计算机技术及应用研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。