本发明专利技术公开一种基于改进动态贝叶斯攻击图的网络安全态势分析方法,利用mulval软件对网络系统建立原始逻辑攻击图;使用CVSS环境度量指标计算网络系统中漏洞的价值,并归一化作为攻击节点的原子攻击概率得到初始原子攻击概率表;生成静态贝叶斯攻击图并进行静态风险计算;当检测到入侵行为导致网络安全态势变化时,静态贝叶斯攻击图转化为动态贝叶斯攻击图,并基于静态风险计算结果确定入侵行为发生节点的完全支配集,同时去除动态贝叶斯攻击图中无用边与节点,更新部分攻击节点的原子攻击概率得到新的原子攻击概率表;将随机采样、前向更新和反向更新相结合,计算除完全支配集以外节点的动态可达概率;本发明专利技术能科学、全面地反映网络系统的实际风险水平。
1、感知和理解网络攻击是一项有意义的任务。现有技术利用攻击图技术对网络系统建模,并结合cvss基础度量指标、贝叶斯公式等方法对网络风险进行静态评估,以节点静态可达概率的形式表示各个节点的风险情况,指导防御者分配防御资源,防止网络攻击;但是,当攻击者行为已发生并导致网络态势发生改变后,静态的风险评估值将不再准确;可以说此时静态攻击图已转化为动态攻击图。
2、现有技术中对网络安全态势的评估大致存在三种缺点:1)在静态攻击图转化为动态攻击图后,假设攻击步骤的原子攻击概率依然是之前计算出的固定值,这与实际攻击场景并不相符,会影响动态风险评估的准确性。例如:若检测到攻击者已经成功利用了位于机器h上的漏洞v1,那么说明攻击者已经具备了利用漏洞v1的权限、能力、条件、以及经验;此时若网络中其他位置存在同一个漏洞v1,其环境指标中的ac(攻击复杂度)和pr(权限水平)对于攻击者而言应该降低等级,漏洞可利用性指标提高,对应攻击步骤的原子攻击概率提高。2)现有技术中无论是静态可达概率还是动态可达概率都只针对or节点(即特权节点)进行计算,忽略了攻击步骤节点,这导致无法通过可达概率的变化更新攻击步骤节点对应漏洞的指标值,无法处理一个攻击步骤需要多个前驱特权节点的情况。3)现有技术在动态攻击图生成的初始,只将所有被监测到入侵行为的节点的动态可达概率置为1,没有充分利用攻击图拓扑结构和静态攻击图生成过程中产生的可用信息。
>3、申请号为2022104770999的专利技术专利提出一种基于贝叶斯攻击图的网络入侵意图分析方法,通过结合cvss基础指标、攻击执行成本与收益的方法得出攻击步骤的原子执行概率(即该攻击在其所有父节点都满足的情况下执行的概率),并结合贝叶斯信念网络量化攻击图,建立静态攻击图模型计算静态可达概率;在检测到入侵意图时,利用贝叶斯公式更新s(被检测到入侵行为的节点)的父节点的动态可达概率;但由于只反向更新s中节点的父节点的可达概率,无视了后继节点以及其余节点,使网络风险评估不完整。李嘉睿等人在《基于贝叶斯攻击图的动态网络安全分析》文献中提出了前向更新的思路,将前向、后向更新相结合,既可以直接反映和预测攻击者接下来的动作,也可以将攻击图中的每一个节点都覆盖到,对之前预测的概率做修复和调整,以更科学、全面地反映网络中的实际风险水平;但在攻击图节点数较多的情况下,可达概率的更新将会长时间局限在节点s所处的攻击路径周围中,无法让防御者快速掌握到最应该关注的信息,如攻击者已造成的损失、网络中最脆弱的节点等。因此,需要一种针对动态贝叶斯攻击图节点可达概率的实时计算策略,预测攻击者行为,减少网络系统的资产损失,阻止系统的网络安全态势的恶化。
技术实现思路
1、本专利技术的主要目的在于克服现有技术的缺点与不足,提供一种基于改进动态贝叶斯攻击图的网络安全态势分析方法,通过在网络安全态势变化时,利用静态贝叶斯攻击图转化为动态贝叶斯攻击图,确定入侵行为发生节点的完全支配集,更新部分攻击节点的原子攻击概率,再通过随机采样、前向更新和反向更新相结合的方法计算除完全支配集以外节点的动态可达概率,对网络系统进行完整的风险评估,科学、全面的反应网络系统的实际风险水平,为网络系统防御提供支持。
2、为了达到上述目的,本专利技术一方面采用基于改进动态贝叶斯攻击图的网络安全态势分析方法,包括下述步骤:
3、s1、利用mulval软件对网络系统建立原始逻辑攻击图lag={ga,gp,gc};其中,ga为攻击节点集,gp为特权节点集,gc为配置节点集;
4、s2、使用cvss环境度量指标计算网络系统中漏洞的价值score,并归一化作为攻击节点的原子攻击概率,得到初始原子攻击概率表;
5、s3、考虑节点依赖性,使用贝叶斯推理方法生成静态贝叶斯攻击图s_bag,并进行静态风险计算,计算所有节点的可能分支支配集、绝对分支支配集以及静态可达概率;
6、s4、当检测到入侵行为导致网络安全态势变化时,静态贝叶斯攻击图s_bag转化为动态贝叶斯攻击图d_bag,并基于静态风险计算结果快速确定入侵行为发生节点的完全支配集,同时去除动态贝叶斯攻击图d_bag中对后续风险评估无用的边与节点,更新部分攻击节点的原子攻击成功率,得到新的原子攻击概率表;
7、s5、将随机采样、前向更新和反向更新相结合,计算动态贝叶斯攻击图d_bag中除完全支配集以外节点的动态可达概率。
8、作为优选的技术方案,所述建立原始逻辑攻击图lag,具体为:
9、将nessus/oval扫描器报告、防火墙管理工具提供的网络拓扑信息、网络管理员提供的网络管理策略进行整合,输入开源逻辑攻击图生成工具mulval中,由内部的推导引擎进行攻击过程推导,生成原始逻辑攻击图lag={ga,gp,gc}。
10、作为优选的技术方案,所述使用cvss环境度量指标计算网络系统中漏洞的价值,计算公式为:
11、
12、其中,scope为漏洞作用域,c表示作用域可变,u表示作用域不可变,exp为漏洞可利用度,计算式为exp=ac·av·pr·ui;ac为攻击复杂度,av为攻击向量,pr为权限需求级别,ui为用户交互级别;impact为漏洞影响度,计算式为:
13、
14、isc为中间值,计算式为isc=1-((1-cr·cr)(1-i·ir))(1-a·ar),cr为完整性影响,cr为完整性需求,i为保密性影响,ir为保密性需求,a为可用性影响,ar为可用性需求。
15、作为优选的技术方案,所述计算所有节点的可能分支支配集、绝对分支支配集以及静态可达概率,具体为:
16、设静态贝叶斯攻击图s_bag中的起始节点的静态可达概率为1;
17、使用d-分离集判断静态贝叶斯攻击图s_bag中节点的依赖性,表示为:
18、
19、
20、其中,gn为s_bag中所有节点,n为gn中任一节点集,d为n中任一节点对应的d-分离集,pr[n]为n中节点可达的联合概率,pr[n|d]为d中节点都可达的情况下n中节点都可达的联合条件概率,pr[d]为d中节点都可达的联合概率,pr[n|d]为d中节点都为可达的情况下n中任一节点n可达的条件概率;
21、对网络系统的攻击者而言,设φ(n)为节点n可达的绝对概率,即静态可达概率,则为节点n不可达的概率;对于一个节点集令φ(n)代表每个节点n∈n都可达的联合概率;
22、对静态贝叶斯攻击图中的所有节点进行静态风险计算,包括:计算所有节点的可能分支支配集χ(n)、绝对分分支支配集δ(n)以及静态可达概率φ(n),具体为:
23、对于静态贝叶斯攻击图中的起始节点n0,其静态可达概率φ(n0)=1,可能分支支配集χ(n0)={},绝对分支支配本文档来自技高网...
【技术保护点】
1.基于改进动态贝叶斯攻击图的网络安全态势分析方法,其特征在于,包括下述步骤:
2.根据权利要求1所述的基于改进动态贝叶斯攻击图的网络安全态势分析方法,其特征在于,所述建立原始逻辑攻击图LAG,具体为:
3.根据权利要求1所述的基于改进动态贝叶斯攻击图的网络安全态势分析方法,其特征在于,所述使用CVSS环境度量指标计算网络系统中漏洞的价值,计算公式为:
4.根据权利要求1所述的基于改进动态贝叶斯攻击图的网络安全态势分析方法,其特征在于,所述计算所有节点的可能分支支配集、绝对分支支配集以及静态可达概率,具体为:
5.根据权利要求1所述的基于改进动态贝叶斯攻击图的网络安全态势分析方法,其特征在于,步骤S4中,当检测到入侵行为导致网络安全态势变化时,静态贝叶斯攻击图S_BAG转化为动态贝叶斯攻击图D_BAG,进行动态风险计算,具体为:
6.根据权利要求5所述的基于改进动态贝叶斯攻击图的网络安全态势分析方法,其特征在于,步骤S5中,所述计算动态贝叶斯攻击图D_BAG中除完全支配集以外节点的动态可达概率,具体为:
7.根据权利要求6所述的基于改进动态贝叶斯攻击图的网络安全态势分析方法,其特征在于,所述扩展贝叶斯公式为:
8.根据权利要求6所述的基于改进动态贝叶斯攻击图的网络安全态势分析方法,其特征在于,所述被标记为updated的节点在经过时间Δt后会被无条件重标记为not_updated,回到需要更新或计算动态可达概率的随机采样范围中。
9.基于改进动态贝叶斯攻击图的网络安全态势分析系统,其特征在于,应用于权利要求1-8任一项所述的基于改进动态贝叶斯攻击图的网络安全态势分析方法,包括LAG建立模块、概率表计算模块、静态风险计算模块、D_BAG获得模块及动态风险计算模块;
10.一种计算机可读存储介质,存储有程序,其特征在于,所述程序被处理器执行时,实现权利要求1-8任一项所述的基于改进贝叶斯攻击图的网络安全态势分析方法。
...
【技术特征摘要】
1.基于改进动态贝叶斯攻击图的网络安全态势分析方法,其特征在于,包括下述步骤:
2.根据权利要求1所述的基于改进动态贝叶斯攻击图的网络安全态势分析方法,其特征在于,所述建立原始逻辑攻击图lag,具体为:
3.根据权利要求1所述的基于改进动态贝叶斯攻击图的网络安全态势分析方法,其特征在于,所述使用cvss环境度量指标计算网络系统中漏洞的价值,计算公式为:
4.根据权利要求1所述的基于改进动态贝叶斯攻击图的网络安全态势分析方法,其特征在于,所述计算所有节点的可能分支支配集、绝对分支支配集以及静态可达概率,具体为:
5.根据权利要求1所述的基于改进动态贝叶斯攻击图的网络安全态势分析方法,其特征在于,步骤s4中,当检测到入侵行为导致网络安全态势变化时,静态贝叶斯攻击图s_bag转化为动态贝叶斯攻击图d_bag,进行动态风险计算,具体为:
6.根据权利要求5所述的基于改进动态贝叶斯攻击图的网络安全态势分析方法,其...
【专利技术属性】
技术研发人员:李树栋,黄锐晨,韩伟红,吴晓波,白佑铭,顾家乐,范依蕾,殷紫麒,唐可可,张登辉,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。