本发明专利技术公开了一种基于CVSS的马尔可夫攻击路径预测方法,具体包括以下步骤:步骤1,扫描网络主机漏洞信息,生成.nessus的配置文件;步骤2,生成攻击图:将上一步骤生成的配置文件导入Mulval,通过Mulval将各个主机漏洞之间的信息关联起来,生成攻击图;步骤3,构建状态转换图:根据步骤2生成的攻击图,得到一个简化的状态转换图;步骤4,初始化马尔可夫概率转移矩阵:根据状态转换图,得到概率转移矩阵;步骤5,预测攻击路径概率。采用衡量攻击收益的方式将路径预测的细粒度精确到单个漏洞层面,实现了多步骤、多时刻的预测,预测所用的方法简化了,还解决了贝叶斯模型预测路径中存在的路径冗余和先验概率设置的合理性、有效性问题。有效性问题。有效性问题。
【技术实现步骤摘要】
一种基于CVSS的马尔可夫攻击路径预测方法
[0001]本专利技术属于网络控制
,具体为一种基于CVSS的马尔可夫攻击路径预测方法。设计的模型是基于马尔可夫理论,根据生成的攻击图,结合CVSS漏洞评分细则对不同阶段、不同时刻的攻击路径概率进行动态预测。
技术介绍
[0002]随着网络技术的飞速发展,人类生活变得十分的便捷,各种的网络攻击活动屡见不鲜,已经严重的影响到了个人和社会的信息安全,网络安全面临着严峻的挑战,所以针对特定的网络攻击对其采取快速高效的防御措施就显得尤为重要。采取防御措施的首要任务就是获取攻击者的攻击路径,攻击图作为一种基于模型的网络安全评估技术,它从攻击者的角度出发,在综合分析多种网络配置和脆弱性信息的基础上,找出所有可能的攻击路径。在此基础上可以有效地选取防御策略,修复节点存在威胁的漏洞。
[0003]常用的攻击路径预测是在攻击图的基础上采用贝叶斯模型、知识图谱等方法,在一定程度上能够根据攻击图推算出攻击路径,但有其各自的缺陷和问题,且上述方法进行路径预测大多预测的是攻击类型,预测攻击类型停留在哪个阶段,不能精确到漏洞利用级别。根据贝叶斯模型进行攻击路径预测时,在最开始的时候,需要已知一个先验概率,且先验概率在很多情况下都是取决于假设,这就会导致预测结果的准确率与实际结果相差很大;其次在进行路径预测的时候会存在因为路径冗余而导致的节点置信度计算错误的问题。为了解决贝叶斯模型和知识图谱预测攻击路径时出现的问题,本专利技术引入了马尔可夫过程。
[0004]马尔可夫过程是一类随机的过程,给定一个过程,在已知随机过程的现在状态及所有过去状态的情况下,其未来状态的条件概率分布仅跟当前状态的概率分布有关。简言之,随机过程中某个状态发生的概率只取决于它的上一时刻的状态,而与其它时刻的状态是没有关系的。且在马尔可夫过程中,当前状态的概率和过去状态的概率及未来状态的概率都是独立且不相关的。如果一个非周期的马尔科夫链具有状态转移矩阵P,且它的任意两个状态是联通的,那么经过足够多次的概率转移以后,都会达到一个稳定状态。马尔可夫过程的随机性和状态的稳定性能够很好的与攻击者对网络节点进行攻击的行为进行结合。攻击者在进行攻击时目标的选取是随机的,且每次的攻击行为都是独立的,互不影响。如果已知攻击者当前状态的攻击概率,那就可以对攻击者的下一次攻击进行预测。以往对攻击路径进行预测时,只能进行单步骤、单时刻的预测。以贝叶斯模型预测路径为例,已知当前节点的概率,才能推算其子节点的概率,且只能预测这一时刻的概率。采用马尔可夫模型进行攻击路径预测时,只要得到其状态转移矩阵,就可以进行多步骤、多时刻的概率预测。解决了利用贝叶斯模型进行路径预测时先验概率设置的合理性和有效性问题,也不存在路径冗余问题。
[0005]通用漏洞评分系统(CVSS)是用来评估系统安全漏洞严重程度的一个行业公开标准。CVSS现在已经进入第三个版本,它的主要目的是帮助人们建立衡量漏洞严重程度的标
准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。本专利技术通过利用其对漏洞评价中的基础评分、可利用性评分、及漏洞发起攻击所采取的方式对网络系统中所存在的漏洞进行攻击收益评估,然后再对其攻击路径进行预测,将攻击预测的细粒度精确到了单个漏洞的层面。
[0006]针对目前采用贝叶斯模型和知识图谱进行攻击路径预测所存在的单步骤、单时刻,路径冗余和先验概率设置合理性的问题,基于通用漏洞评分系统(CVSS)和马尔可夫过程,提出了一种基于CVSS的马尔可夫攻击路径预测方法,实现了多步骤、多时刻的攻击路径预测,并且解决了贝叶斯模型和知识图谱进行攻击路径预测时存在的问题,实现了多步骤、多时刻的攻击路径预测。综上,使用马尔可夫模型结合CVSS漏洞评分细则进行攻击路径预测相较于以往的攻击路径预测所采用的方式,具有以下创新点,第一,采用衡量攻击收益的方式将攻击路径预测的细粒度精确到单个漏洞层面。第二,实现了多步骤、多时刻的路径预测。第三,解决了贝叶斯模型路径预测的路径冗余和先验概率设置的合理性、有效性问题。
技术实现思路
[0007]本专利技术设计了一种基于CVSS的马尔可夫攻击路径预测方法。目的是为了解决贝叶斯路径预测模型所存在的路径冗余和先验概率设置的合理性、有效性问题,采用衡量攻击收益的方式将攻击预测的细粒度精确到了单个漏洞层面。
[0008]为实现上述目的,本专利技术提供如下技术方案:一种基于CVSS的马尔可夫攻击路径预测方法,具体包括以下步骤:
[0009]步骤1,扫描网络主机漏洞信息:首先通过Nessus漏洞扫描工具,选择需要进行扫描的主机或网段,得到主机漏洞的详细信息,生成.nessus的配置文件;
[0010]步骤2,生成攻击图:将上一步骤生成的配置文件导入Mulval,通过Mulval将各个主机漏洞之间的信息关联起来,生成攻击图;
[0011]步骤3,构建状态转换图:根据步骤2生成的攻击图,对攻击图的属性和条件进行简化,得到一个简化的状态转换图;
[0012]步骤4,初始化马尔可夫概率转移矩阵:根据状态转换图,对状态转换图节点信息进行初始化,得到概率转移矩阵;
[0013]步骤5,预测攻击路径概率:根据马尔可夫初始化概率转移矩阵和当前的状态向量,预测下一个时刻的状态概率,直至达到马尔科夫稳定状态停止。
[0014]步骤4中初始化马尔可夫概率转移矩阵是一个三元组(S,M,H),其中S表示的是节点的状态集合,S={S1,S2,S3,S4,S5,S6,S7},其中S1表示的是初始状态,也即攻击者所处的状态,S7表示的是最终状态,也即攻击者的最终目标状态,其余状态均为过渡状态;
[0015]M表示的是马尔可夫的状态转移矩阵,表示的是由一个状态转换到另一个状态的概率;
[0016][0017]u
ai
=((NP*DC
i
*DL)
‑
L*OL*EXP)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)
[0018]式1)中,u
ai
表示的是攻击第i个节点所获取的收益;NP表示的是节点性质,主要包括两类节点,过渡节点和目标节点,过渡节点和目标节点的计算方式各不相同;
[0019]过渡节点:
[0020]目标节点:
[0021]其中NP表示的是过渡节点,NP
o
表示的是目标节点,N表示的是节点的总个数,N
t
表示节点的过渡节点的个数,N
o
表示的则是目标节点的个数;DC
i
表示的是节点的重要性,由式4)进行计算,由节点的出度和入度来进行衡量度中心性;
[0022][0023]其中N表示的是节点的总个数,k
i
表示的是节点的出度和入度之和,a是一个参数;DL表示的是节点的危险致命度,由漏洞的CVSS评分进行衡量;L表示的是攻击路径的长度;OL表示的是进行攻击的操作成本;EXP表示的是漏本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于CVSS的马尔可夫攻击路径预测方法,其特征在于,具体包括以下步骤:步骤1,扫描网络主机漏洞信息:首先通过Nessus漏洞扫描工具,选择需要进行扫描的主机或网段,得到主机漏洞的详细信息,生成.nessus的配置文件;步骤2,生成攻击图:将上一步骤生成的配置文件导入Mulval,通过Mulval将各个主机漏洞之间的信息关联起来,生成攻击图;步骤3,构建状态转换图:根据步骤2生成的攻击图,对攻击图的属性和条件进行简化,得到一个简化的状态转换图;步骤4,初始化马尔可夫概率转移矩阵:根据状态转换图,对状态转换图节点信息进行初始化,得到概率转移矩阵;步骤5,预测攻击路径概率:根据马尔可夫初始化概率转移矩阵和当前的状态向量,预测下一个时刻的状态概率,直至达到马尔科夫稳定状态停止。2.根据权利要求1所述的一种基于CVSS的马尔可夫攻击路径预测方法,其特征在于,步骤4中初始化马尔可夫概率转移矩阵是一个三元组(S,M,H),其中S表示的是节点的状态集合,S={S1,S2,S3,S4,S5,S6,S7},其中S1表示的是初始状态,也即攻击者所处的状态,S7表示的是最终状态,也即攻击者的最终目标状态,其余状态均为过渡状态;M表示的是马尔可夫的状态转移矩阵,表示的是由一个状态转换到另一个状态的概率;u
ai
=((NP*DC
i
*DL)
‑
L*OL*EXP)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)式1)中,u
ai
表示的是攻击第i个节点所获取的收益;NP表示的是节点性质,主要...
【专利技术属性】
技术研发人员:宋昕,王佳年,张亚玲,王一川,杜延宁,刘小雪,
申请(专利权)人:西安理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。