本发明专利技术实施例提供一种入侵响应措施确定方法及装置,该方法包括:根据攻击树中各节点及节点关系,确定一条或多条攻击路径;确定可用于阻断攻击路径的候选响应措施的安全效用;基于贪心算法的多次迭代,为每条攻击路径选取安全效用最大的候选响应措施构成措施集合,以供实现入侵防御;其中,每次迭代过程中,从待阻断的攻击路径的候选响应措施中选取最大安全效用的候选响应措施,并将本次选取的响应措施作为已部署措施,重新计算剩余待阻断的攻击路径的候选响应措施的安全效用,用于下次迭代选取。该方法能够最大限度地提高应对多条攻击路径时的整体安全效用,实现对多路径攻击的最佳应对。
Method and Device for Determining Intrusion Response Measures
【技术实现步骤摘要】
入侵响应措施确定方法及装置
本专利技术涉及信息安全
,尤其涉及一种入侵响应措施确定方法及装置。
技术介绍
网络攻击技术越来越复杂和多样化,使得攻击者利用多条路径入侵目标成为可能。例如,为了窃取数据,攻击者可以同时使用SQL注入攻击和中间人攻击。因此,设计一个合适的入侵响应系统(IRS)来应对复杂的攻击极其重要。由于应对措施会同时带来正面影响(如提高安全性能)和负面效应(如服务质量下降),从而如何选取响应措施至关重要。传统的入侵响应措施通过权衡攻击损失和响应代价以动态识别最优响应措施。然而,该方法忽略了一个事实,即攻击者可能通过多条攻击路径来实现对目标的入侵,从而增加成功的可能性。由于单一的响应措施难以满足对多条攻击路径的应对需求,因此我们需要为每条被利用的攻击路径选取一个合理的响应措施。考虑到多条攻击路径的情况,目前的方法通过独立地针对每条路径选取的最优响应措施来应对攻击,但该方法忽略了多条攻击路径的响应措施之间的相互影响。
技术实现思路
为了解决上述问题,本专利技术实施例提供一种入侵响应措施确定方法及装置。第一方面,本专利技术实施例提供一种入侵响应措施确定方法,包括:根据攻击树中各节点及节点关系,确定一条或多条攻击路径;确定可用于阻断攻击路径的候选响应措施的安全效用;基于贪心算法的多次迭代,为每条攻击路径选取安全效用最大的候选响应措施构成措施集合,以供实现入侵防御;其中,每次迭代过程中,从待阻断的攻击路径的候选响应措施中选取最大安全效用的候选响应措施,并将本次选取的响应措施作为已部署措施,重新计算剩余待阻断的攻击路径的候选响应措施的安全效用,用于下次迭代选取。第二方面,本专利技术实施例提供一种入侵响应措施确定装置,包括:路径获取模块,用于根据攻击树中各节点及节点关系,确定一条或多条攻击路径;效用评估模块,用于确定可用于阻断攻击路径的候选响应措施的安全效用;措施确定模块,用于基于贪心算法的多次迭代,为每条攻击路径选取安全效用最大的候选响应措施构成措施集合,以供实现入侵防御;其中,每次迭代过程中,从待阻断的攻击路径的候选响应措施中选取最大安全效用的候选响应措施,并将本次选取的响应措施作为已部署措施,重新计算剩余待阻断的攻击路径的候选响应措施的安全效用,用于下次迭代选取。第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现本专利技术第一方面入侵响应措施确定方法的步骤。本专利技术实施例提供的入侵响应措施确定方法及装置,基于贪心算法,确定使整体安全效用最高的候选响应措施集合,以供实现入侵防御。由于在贪心过程中,在每一轮迭代选取过程中,将上一轮迭代选取得到的响应措施作为已部署措施,且在计算措施的安全效用时,将待部署措施与已部署措施的重叠安全收益进行去除,避免了安全收益的重复计算,从而能够最大限度地提高应对多条攻击路径时的整体安全效用,实现对多路径攻击的最佳应对。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的入侵响应措施确定方法流程图;图2为本专利技术实施例提供的响应措施的有效覆盖能力示意图;图3为本专利技术实施例提供的入侵响应措施确定装置结构图;图4为本专利技术实施例提供的一种电子设备的实体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。目前的多路径的入侵响应措施生产方法通过独立地针对每条路径选取的最优响应措施来应对攻击,该方法忽略了多条攻击路径的响应措施之间的相互影响。为解决这一问题,本专利技术实施例提供一种入侵响应措施确定方法。该方法对应的执行主体可以为服务器、网关及终端等设备,本专利技术实施例对此不作具体限定。为了便于说明,本专利技术实施例以执行主体为服务器为例,对本专利技术实施例提供的方法进行阐述。应当理解的是,本专利技术实施例中所述“多个”、“多条”,如非特别说明,数量为两个及以上。图1为本专利技术实施例提供的入侵响应措施确定方法流程图,如图1所示,本专利技术实施例提供一种入侵响应措施确定方法,包括:101,根据攻击树中各节点及节点关系,确定一条或多条攻击路径。在101中,攻击树(Attacktrees)提供了一种正式而条理清晰的方法来描述系统所面临的安全威胁和系统可能受到的多种原子攻击及其关系。用树型结构来表示系统面临的攻击及攻击之间的关系,其中根节点代表被攻击的目标,非根节点表示原子攻击,即攻击者攻击行为的最小单位,在本专利技术中,原子攻击可以是漏洞利用、暴力破解、存活性探测等。根据攻击树中各节点及节点关系,可以确定多条攻击者可能利用的,从叶子节点到根节点的攻击路径。节点关系包括但不限于:父子关系、AND关系和OR关系。父子关系指节点对应的原子攻击发生具有条件性,即只有当子节点对应的原子攻击发生,父节点对应的原子攻击才有可能发生;AND关系指原子攻击作为同一父节点的子节点对应的原子攻击时,必须同时发生,其父节点对应的原子攻击才有可能发生;OR关系指原子攻击作为同一父节点的子节点对应的原子攻击时,只要有一个或以上发生,其父节点对应的原子攻击就有可能发生。102、确定可用于阻断攻击路径的候选响应措施的安全效用。在102中,针对阻断每一攻击路径有着对应的多个候选响应措施,确定可用于阻断每一攻击路径的所有候选响应措施的安全效用,安全效用反应响应措施能获得的安全收益,以及实施该措施带来的开销。103,基于贪心算法的多次迭代,为每条攻击路径选取安全效用最大的候选响应措施构成措施集合,以供实现入侵防御,每次迭代中,从待阻断的攻击路径的候选响应措施中选取最大安全效用的候选响应措施,并将本次选取的响应措施作为已部署措施,重新计算剩余待阻断的攻击路径的候选响应措施的安全效用,用于下次迭代选取。在103中,在应对多攻击路径时,不应当对各路径分别进行响应。多攻击路径的响应目标是找到具有最大安全效用的响应措施集。随着攻击路径数量的增加,选取响应措施集所需的时间开销会急剧增加,本专利技术实施例中采用贪心算法对该选取问题进行求解。贪心策略为在每一轮迭代中从待阻断路径的候选响应措施中选取具有最大安全效用的候选响应措施,在每轮迭代选取中,将上一轮迭代选取确定的响应措施作为已部署措施,并重新计算得到每条攻击路径的最优响应措施,这些响应措施构成本轮选取的候选措施集合,在所述候选措施集合中选取安全效用最大的一个作为本轮选取的响应措施,并将该措施对应的攻击路径从待阻断路径集合中删除。确定使所有攻击路径安全效用最高的候选响应措施集合,确定的响应措施用于实现入侵防御。本实施例提供的入侵响应措施确定方法,基于贪心算法,确定使整体安全效用最高的候选响应措施集合,以供实现入侵防御。由于在贪心过程中,在每一轮迭代选取过程中本文档来自技高网...
【技术保护点】
1.一种入侵响应措施确定方法,其特征在于,包括:根据攻击树中各节点及节点关系,确定一条或多条攻击路径;确定可用于阻断攻击路径的候选响应措施的安全效用;基于贪心算法的多次迭代,为每条攻击路径选取安全效用最大的候选响应措施构成措施集合,以供实现入侵防御;其中,每次迭代过程中,从待阻断的攻击路径的候选响应措施中选取最大安全效用的候选响应措施,并将本次选取的响应措施作为已部署措施,重新计算剩余待阻断的攻击路径的候选响应措施的安全效用,用于下次迭代选取。
【技术特征摘要】
1.一种入侵响应措施确定方法,其特征在于,包括:根据攻击树中各节点及节点关系,确定一条或多条攻击路径;确定可用于阻断攻击路径的候选响应措施的安全效用;基于贪心算法的多次迭代,为每条攻击路径选取安全效用最大的候选响应措施构成措施集合,以供实现入侵防御;其中,每次迭代过程中,从待阻断的攻击路径的候选响应措施中选取最大安全效用的候选响应措施,并将本次选取的响应措施作为已部署措施,重新计算剩余待阻断的攻击路径的候选响应措施的安全效用,用于下次迭代选取。2.根据权利要求1所述的入侵响应措施确定方法,其特征在于,所述根据攻击树中各节点及节点关系,确定一条或多条攻击路径,包括:根据攻击树中各节点及节点关系,确定一条或多条候选攻击路径;根据每一候选攻击路径中的节点关系以及节点的原子攻击发生的概率,确定相应候选攻击路径被利用的概率,选取被利用概率大于预设阈值的候选攻击路径,作为攻击路径。3.根据权利要求1所述的入侵响应措施确定方法,其特征在于,所述确定可用于阻断攻击路径的候选响应措施的安全效用,包括:根据候选响应措施的安全收益、措施对服务质量的负面影响及措施的部署成本,综合确定候选响应措施的安全效用。4.根据权利要求3所述的入侵响应措施确定方法,其特征在于,所述综合确定候选响应措施的安全效用,包括:根据攻击损失确定安全收益的权值,通过加权法确定候选响应措施的安全效用。5.根据权利要求4所述的入侵响应措施确定方法,其特征在于,所述根据攻击损失确定安全收益的权值之前,还包括:根据路径中,原子攻击发生的概率、原子攻击对相应设备造成的损失以及受损失设备的重要性,确定相应攻击路径的攻击损失。6.根据权利要求3所述的入侵响应措施确定方法,其特征在于,所述确定可用于阻断攻击路径的候选响应措施的安全效用之前,还包括:根据每一候选响应措施与已部署响应措施所覆盖的原子攻击之间的覆盖关系、原子攻击发生的概率以及原子攻击间的AND关系,确定候选...
【专利技术属性】
技术研发人员:李凤华,李勇俊,郭云川,杨正坤,房梁,冷斯远,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。