一种内部网络的安全度量方法和装置转让专利
申请号 : CN201710301082.7
文献号 : CN106941502B
文献日 : 2020-10-20
发明人 : 薛静锋 , 单纯 , 肖娜 , 蒋本富 , 关放
申请人 : 北京理工大学
摘要 :
本发明公开了一种内部网络的安全度量方法和装置。所述方法包括:对于目标内部网络,生成从初始节点到目标节点的原始攻击图;根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图;对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;在所述概率攻击图中计算目标节点的累积可达概率值,并将该概率值作为目标内部网络的安全度量参数输出。本发明的技术方案能够对内部网络进行定量的安全度量评估。
权利要求 :
1.一种内部网络的安全度量方法,其特征在于,所述方法包括:对于目标内部网络,生成从初始节点到目标节点的原始攻击图;
根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图;
对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;
在所述概率攻击图中计算目标节点的累积可达概率值,并将该概率值作为目标内部网络的安全度量参数输出;
所述根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图,包括:对于原始攻击图中的每一条攻击路径,得到其攻击动作触发的攻击证据时序差分关系,并与根据监测目标内部网络获得的攻击证据的时序差分关系进行对比,如果匹配则保留该路径,否则删除该路径;
所述对键值对进行概率计算包括:计算攻击动作的发生概率以及计算攻击动作的成功概率;
其中,每个键值对包括:第一资源状态节点、攻击动作节点和第二资源状态节点;
所述在所述概率攻击图中计算目标节点的累积可达概率,包括:
在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;
如此依次计算,得到目标节点的累积可达概率。
2.如权利要求1所述的方法,其特征在于,所述对于目标内部网络,生成从初始节点到目标节点的原始攻击图包括:对目标内部网络进行漏洞扫描,得到目标内部网络中所有主机的漏洞信息以及目标内部网络的拓扑结构信息,将监测到的目标内部网络中的第一个攻击证据节点作为初始节点,将目标网络中的核心资源节点作为目标节点,利用攻击图生成算法生成从初始节点到目标节点的原始攻击图。
3.如权利要求1所述的方法,其特征在于,
所述对简化后的攻击图进行键值对划分包括:在简化后的攻击图中,对于每条攻击路径从初始节点开始进行键值对划分,直到目标节点。
4.一种内部网络的安全度量装置,其特征在于,所述装置包括:原始攻击图生成单元,用于对于目标内部网络,生成从初始节点到目标节点的原始攻击图;
攻击图简化单元,用于根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图;
概率攻击图生成单元,对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;
安全度量参数计算单元,用于在所述概率攻击图中计算目标节点的累积可达概率值,并将该概率值作为目标内部网络的安全度量参数输出;
所述攻击图简化单元,用于对于原始攻击图中的每一条攻击路径,得到其攻击动作触发的攻击证据时序差分关系,并与根据监测目标内部网络获得的攻击证据的时序差分关系进行对比,如果匹配则保留该路径,否则删除该路径;
所述概率攻击图生成单元,用于用户计算每个键值对的概率,具体计算攻击动作的发生概率以及计算攻击动作的成功概率;其中,每个键值对包括:第一资源状态节点、攻击动作节点和第二资源状态节点;
所述安全度量参数计算单元,用于在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;如此依次计算,得到目标节点的累积可达概率。
5.如权利要求4所述的装置,其特征在于,
所述原始攻击图生成单元,用于对目标内部网络进行漏洞扫描,得到目标内部网络中所有主机的漏洞信息以及目标内部网络的拓扑结构信息,将监测到的目标内部网络中的第一个攻击证据节点作为初始节点,将目标网络中的核心资源节点作为目标节点,利用攻击图生成算法生成从初始节点到目标节点的原始攻击图。
6.如权利要求4所述的装置,其特征在于,
所述概率攻击图生成单元,用于在简化后的攻击图中,对于每条攻击路径从初始节点开始进行键值对划分,直到目标节点。
说明书 :
一种内部网络的安全度量方法和装置
技术领域
[0001] 本发明涉及网络安全度量领域,特别涉及一种内部网络的安全度量方法和装置。
背景技术
[0002] 近年来,随着攻击技术的提升,攻击事件越来越复杂,其对系统的损害程度也随之增加。安全度量作为一种主动防御技术,可以在攻击未完成之前根据监测报警系统,主动分析和评估攻击事件的危害程度和系统当前的安全风险系数,从而使系统管理员可以根据评估结果及时采取相应的防御措施。为了保护网络信息系统中的机密数据,需要对当前网络信息系统的安全性进行度量。
[0003] 攻击图模型是应用最为广泛的网络安全度量模型之一。当前国内外专家对于攻击图模型的研究主要集中于如何有效地自动生成攻击图以及如何控制攻击图的规模,而针对如何有效利用攻击图进行内部网络信息系统的安全度量的研究较少。本发明提供了一种内部网络的安全度量方法和装置。
发明内容
[0004] 鉴于现有技术主要集中于如何有效地自动生成攻击图以及如何控制攻击图的规模,本发明提供了一种内部网络的安全度量方法和装置。
[0005] 为了实现上述目的,依据本发明的一个方面,提供了一种内部网络的安全度量方法,其特征在于,所述方法包括:
[0006] 对于目标内部网络,生成从初始节点到目标节点的原始攻击图;
[0007] 根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图;
[0008] 对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;
[0009] 在所述概率攻击图中计算目标节点的累积可达概率值,并将该概率值作为目标内部网络的安全度量参数输出。
[0010] 进一步地,所述对于目标内部网络,生成从初始节点到目标节点的原始攻击图包括:
[0011] 对目标内部网络进行漏洞扫描,得到目标内部网络中所有主机的漏洞信息以及目标内部网络的拓扑结构信息,将监测到的目标内部网络中的第一个攻击证据节点作为初始节点,将目标网络中的核心资源节点作为目标节点,利用攻击图生成算法生成从初始节点到目标节点的原始攻击图。
[0012] 进一步地,所述根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图包括:
[0013] 对于原始攻击图中的每一条攻击路径,得到其攻击动作触发的攻击证据时序差分关系,并与根据监测目标内部网络获得的攻击证据的时序差分关系进行对比,如果匹配则保留该路径,否则删除该路径。
[0014] 进一步地,所述对简化后的攻击图进行键值对划分包括:在简化后的攻击图中,对于每条攻击路径从初始节点开始进行键值对划分,直到目标节点;其中,每个键值对包括:第一资源状态节点、攻击动作节点和第二资源状态节点;
[0015] 所述对键值对进行概率计算包括:计算攻击动作的发生概率以及计算攻击动作的成功概率。
[0016] 进一步地,在所述概率攻击图中计算目标节点的累积可达概率包括:
[0017] 在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;
[0018] 如此依次计算,得到目标节点的累积可达概率。
[0019] 依据本发明的另一方面,提供了一种内部网络的安全度量装置,其特征在于,所述装置包括:
[0020] 原始攻击图生成单元,用于对于目标内部网络,生成从初始节点到目标节点的原始攻击图;
[0021] 攻击图简化单元,用于根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图;
[0022] 概率攻击图生成单元,对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;
[0023] 安全度量参数计算单元,用于在所述概率攻击图中计算目标节点的累积可达概率,并作为目标内部网络的安全度量参数输出。
[0024] 进一步地,所述原始攻击图生成单元,用于对目标内部网络进行漏洞扫描,得到目标内部网络中所有主机的漏洞信息以及目标内部网络的拓扑结构信息,将监测到的目标内部网络中的第一个攻击证据节点作为初始节点,将目标网络中的核心资源节点作为目标节点,利用攻击图生成算法生成从初始节点到目标节点的原始攻击图。
[0025] 进一步地,攻击图简化单元,用于对于原始攻击图中的每一条攻击路径,得到其攻击动作触发的攻击证据时序差分关系,并与根据监测目标内部网络获得的攻击证据的时序差分关系进行对比,如果匹配则保留该路径,否则删除该路径。
[0026] 进一步地,所述概率攻击图生成单元,用于在简化后的攻击图中,对于每条攻击路径从初始节点开始进行键值对划分,直到目标节点;其中,每个键值对包括:第一资源状态节点、攻击动作节点和第二资源状态节点;以及用户计算每个键值对的概率,具体计算攻击动作的发生概率以及计算攻击动作的成功概率。
[0027] 进一步地,所述安全度量参数计算单元,用于在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;如此依次计算,得到目标节点的累积可达概率。
[0028] 本发明的有益效果是:根据本发明提供的内部网络安全度量方法和装置,可以对于目标内部网络,生成从初始节点到目标节点的原始攻击图;根据监测目标内部网络获得的攻击证据的时序差分关系,对所述生成单元生成的原始攻击图进行剪枝处理,获得简化后的攻击图;再对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;键值对的划分可以综合考虑节点之间安全度量的关联关系,在具体的概率计算上综合CVSS评分系统对脆弱点度量指标的评估,也使得概率计算公式有相应的理论支撑。最后在所述概率攻击图中计算目标节点的累积可达概率值,并将该概率值作为目标内部网络的安全度量参数输出,从而对内部网络进行定量的安全度量评估。
[0029] 上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
[0030] 图1为本发明实施例提供的一种内部网络的安全度量方法的流程图。
[0031] 图2为本发明实施例提供的一种内部网络的安全度量方法中生成的原始攻击图的示意图。
[0032] 图3-a为本发明实施例提供的一种内部网络的安全度量方法中剪枝处理原始攻击图的示意图。
[0033] 图3-b为本发明实施例中对图3-a剪枝处理后的简化的攻击图示意图。
[0034] 图4为本发明实施例提供的一种内部网络的安全度量方法中计算键值对概率后的概率攻击图示意图。
[0035] 图5为本发明实施例提供的一种内部网络的安全度量方法中计算累积可达概率的示意图。
[0036] 图6为本发明实施例提供的一种内部网络的安全度量装置的结构图。
具体实施方式
[0037] 为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
[0038] 图1为本发明实施例提供的一种内部网络的安全度量方法的流程图。参见图1,该方法包括:
[0039] 步骤S110,对于目标内部网络,生成从初始节点到目标节点的原始攻击图。
[0040] 在本步骤中,利用如漏洞自动扫描工具对目标内部网络进行漏洞扫描,得到目标内部网络中所有主机的漏洞信息以及目标内部网络的拓扑结构信息;并且确定初始节点和目标节点,如将监测到的目标内部网络中的第一个攻击证据节点作为初始节点,将目标网络中的核心资源节点作为目标节点;利用攻击图生成算法生成从初始节点到目标节点的原始攻击图
[0041] 步骤S120,根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图。
[0042] 在此实施例中,对于原始攻击图中的每一条攻击路径,得到其攻击动作触发的攻击证据时序差分关系,并与根据监测目标内部网络获得的攻击证据的时序差分关系进行对比,如果匹配则保留该路径,否则删除该路径。
[0043] 步骤S130,对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图。
[0044] 其中,对简化后的攻击图进行键值对划分包括:在简化后的攻击图中,对于每条攻击路径从初始节点开始进行键值对划分,直到目标节点;其中,每个键值对包括:第一资源状态节点、攻击动作节点和第二资源状态节点;
[0045] 对键值对进行概率计算包括:计算攻击动作的发生概率以及计算攻击动作的成功概率。
[0046] 步骤S140,在所述概率攻击图中计算目标节点的累积可达概率值,并将该概率值作为目标内部网络的安全度量参数输出。
[0047] 具体地,在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;如此依次计算,得到目标节点的累积可达概率。
[0048] 图2为本发明实施例提供的一种内部网络的安全度量方法中生成的原始攻击图的示意图。
[0049] 在此实施例中,我们提供了一个生成的原始攻击图。其中,S表示资源状态节点,A表示攻击动作节点。各个节点之间用有向边来表示它们之间的关联关系。
[0050] 在图2中,S0表示初始节点,Se表示目标节点。在初始状态节点S0,攻击者拥有一定的资源权限,要想成功获取目标节点Se的资源权限有两条路径可以选择,如A7到Se或A8到Se。
[0051] 在此实施例中,首先说明第一条路径中各类节点之间的关系。攻击者通过发起攻击动作A1并成功后获取了资源状态节点S1的资源权限,在此基础上通过发起攻击动作A4并成功后获取下一个资源状态节点S5的资源权限。在成功获取资源状态节点S5的资源权限后,要想发起攻击动作A7,需要同时取得两个资源状态节点S4、S5的资源权限,即指向同一攻击动作节点A7的资源状态节点S4和S5是“与”关系。如果攻击动作A7发起并成功即可获取目标节点Se的资源权限。
[0052] 在第二条攻击路径中,要发起攻击动作A5,需要获取S2、S3中任一资源状态节点,即向同一动作A5的两个资源状态节点S2和S3是“或”关系。要成功获取下一状态资源节点S6的资源权限,需要同时发动攻击动作A5、A6,即指向同一资源状态节点S6的攻击动作A5和A6是“与”关系。在成功获取S6资源状态节点资源权限后,发起攻击动作A8并成功,即可成功攻击目标节点,即对于指向目标节点Se的两条攻击动作A7和A8是“或”关系,即发起任一攻击动作并成功后都可以获取目标节点的资源权限。
[0053] 参见图3-a,为本发明实施例提供的一种内部网络的安全度量方法中剪枝处理方法的示意图。
[0054] 在此实施例中,我们提供了一个对原始攻击图进行剪枝处理的示意图。其中,S表示资源状态节点,A表示攻击动作节点,O表示监测事件节点。各个节点之间用有向边来表示它们之间的关联关系。
[0055] 在图3中,S0表示初始节点,Se表示目标节点。在初始状态节点S0,攻击者拥有一定的资源权限,要想成功获取目标节点Se的资源权限有两条路径可以选择,如A5到Se或A6到Se。
[0056] 在此实施例中,首先我们可以分析出从初始状态节点S0到最终目标节点Se有两条攻击路径:
[0057] 第一条路径:S0→A1→S1→A3→S3→A5→Se
[0058] 第二条路径:S0→A2→S2→A4→S4→A6→Se
[0059] 在所有路径中涉及6个具体的基本攻击动作,可以将其分成三种类型,如令其中A1、A4为同一类型,A2、A3为同一类型、A5和A6为同一类型,同一类型的攻击动作会被同一监测事件检测到,即攻击动作A1和A4任一动作都将触发监测事件O1。当我们发现监测事件O1、O2、O3报警时,此时我们可以判断系统中可能存在攻击行为。
[0060] 如果我们不对监测事件进行时序差分关系考虑,通过初步的分析我们可以得到两条攻击路径,攻击在两条路径都有可能存在;如果我们此时考虑监测事件的时序差分关系,我们可以根据报警日志对O1,O2,O3进行时间顺序定位,得到O1和O2、O3的时间先后顺序。
[0061] 例如我们提取报警日志中的时间节点,发现攻击证据的时序差分关系为O1→O2→O3,那么我们此时就可以排除第二条攻击路径,因为在第二条路径中第一次的攻击动作A2将触发监测事件O2,那么不符合系统提供的监测事件节点的时序差分关系,所以我们可以排除第二条攻击路径。
[0062] 如果发现攻击证据的时序差分关系为O2→O1→O3,同理我们也可以排除第一条路径,如图3-b所示。图3-b为本发明实施例中对图3-a剪枝处理后的简化的攻击图示意图,是按照攻击证据的时序差分关系为O2→O1→O3,对图3-a进行剪枝后的简化图。在内部网络信息系统中,大部分的攻击路径都包含许多相同类型的基本攻击动作,而这些同类型的攻击动作将触发同一监测事件,如果我们对这些监测事件发生的时间点进行分析,我们便可以排除不可能路径。这样简化了攻击图结构,同时也避免了后期基于所述概率攻击图安全度量模型的大量计算,提高了模型度量的效率。
[0063] 图4为本发明实施例提供的一种内部网络的安全度量方法中键值对概率计算后的概率攻击图示意图。
[0064] 参见图4,在此实施例中,我们提供了一个按照攻击证据的时序差分关系为O2→O1→O3,对图3-a进行剪枝后的简化攻击图,即同图3-b。其中,S表示资源状态节点,A表示攻击动作节点。各个节点之间用有向边来表示它们之间的关联关系。
[0065] 首先,我们将简化的攻击图的节点划分为键值对。攻击图的路径由资源状态节点和攻击动作节点构成,可以将从初始节点到目标节点的攻击过程划分为一个个子目标节点攻击路径的组合。而每一个子路径均是由一个资源状态节点、攻击动作节点、下一资源状态节点组合而成,即每条子路径都是由攻击者利用当前资源状态发起攻击并成功,以获得更多资源状态的过程。因此,此实施例将攻击图节点划分为由第一状态节点、攻击动作节点和第二资源状态节点三者组成的键值对。在此实施例中,如图4,初始节点S0→攻击动作节点A2→资源状态节点S2为一个键值对。S2→A4→S4与S4→A6→Se为另外的两个键值对。
[0066] 对于键值对的概率计算,本发明从两方面来考虑:一方面第一资源状态节点到攻击动作节点的概率,即攻击动作发生概率;另一方面是攻击动作节点到第二资源状态节点的概率,即攻击动作成功概率;
[0067] 攻击者通过网络系统中的节点(利用系统中的脆弱点发起攻击)发起攻击动作,所以攻击动作的发生概率实际为对该脆弱点的的度量。同时,依据脆弱点存在的主机位置不同,其被攻击的概率也不同。在此实施例中从两方面考虑:一是节点自身的脆弱性度量,二是脆弱点所在主机的位置权重,即攻击动作发生概率P(A)=Vs+Hi,其中Vs=AV+AC+AU,这三个值依据CVSS评分系统对节点脆弱性进行评估,Hi是对节点所在主机重要程度的评估值。CVSS评分系统给出了节点复杂度AC划分了高、中、低三个评分程度,对攻击路径AV给出了三个程度的区分,包括本地、临近、远程,对攻击身份认证给出了三个层次的评估,包括0次,1次,多次。在相加计算后,本文对每个加权和进行了归一化处理,原有加权和为{4~11},进行归一化处理后在{0.33~0.92}。
[0068] 在此实施例中,复杂度越高相应分值越低,代表该漏洞越难被利用:
[0069]
[0070] 攻击路径范围越小,代表该漏洞越难被利用:
[0071]
[0072]
[0073] 身份认证次数越多,代表该漏洞越难被利用
[0074]
[0075] 主机权重,主机在核心区域,表明该漏洞越难被利用
[0076]
[0077] 对攻击动作成功概率的计算,本发明主要考虑三个方面的影响,首先考虑节点中的脆弱点是否为已知的,其次考虑该脆弱点是否有对应的攻击路径,最后考虑是否有可用的攻击工具,即攻击动作成功概率P(AS)=K+M+N,其中K表示节点中脆弱点的发布情况,M表示攻击方法的公布情况,N表示攻击工具的发布情况。此实施例中,主要依照下表进行赋值:
[0078]
[0079]
[0080] 其中,K的取值范围为[0,0.1],当没有发布的弱点信息时取值为0,已发布的弱点信息时取值为0.1;M的取值范围为[0,0.4],当没有公布的攻击方法时取0,有公布的粗略攻击方法时取值为0.2,有公布的详细攻击方法时取值为0.4;N的取值范围为[0,0.4],当攻击某一脆弱点需要借助攻击工具但未有相关发布信息时取值为0,当有可用攻击工具时取值为0.2,不需要攻击工具时取值为0.4。
[0081] 在此实施例中,按照上述方法对键值对(S0,A2,S2)、(S2,A4,S4)、(S4,A6,Se)进行了概率计算,键值对的攻击概率分别为(0.33,0.9),(0.5,0.7),(0.75,0.1)。图4为一种内部网络的安全度量方法中计算键值对概率后的概率攻击图示意图。
[0082] 图5为本发明实施例提供的一种内部网络的安全度量方法中计算累积可达概率的示意图。
[0083] 在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;如果依次计算,得到目标节点的累积可达概率。
[0084] 在此实施例中,如图5所示,S0表示初始节点,Se表示目标节点。在初始状态节点S0,攻击者拥有一定的资源权限,要想成功获取目标节点Se的资源权限有两条路径可以选择,如A7到Se或A8到Se。
[0085] 首先我们可以分析出从初始状态节点S0到最终目标节点Se有两条攻击路径:
[0086] S0→A1→S1→A4→S4&S5→A7→Se
[0087] S0→(A2→S2)/(A3→S3)→A5&A6→S6→A8→Se
[0088] 其中,“/”、“&”分别表示有向边的“或”、“与”关系;P表示攻击动作发生概率,P’表示攻击动作成功概率。对于路径一:S0→A1→S1→A 4→S4&S5→A7→Se,如图5的概率攻击图中所示,S4和S5为“与”关系,因此路径一的累积可达概率为:
[0089] P1×P'1×P4×P'4×P8×P7×P'7=0.055。
[0090] 对于路径二:S0→(A2→S2)/(A3→S3)→A5&A6→S6→A8→Se,如图5的概率攻击图中所示,S2和S3为“或”关系,A5和A6为“与”关系,因此需要先判断S0→A2→S2→A5与S0→A3→S3→A5中累积可达概率最大的路径,计算可知为累积可达概率最大的路径为:S0→A2→S2→A5;因此,路径二的累积可达概率为:
[0091] P3×P'3×P6×P'5×P'6×P'8×P9=0.011。
[0092] 由于最后可达目标节点的路径为“或”关系,所以选择累积可达概率最大的路径。在此实施例中即为路径一,该目标网络的累积可达概率为0.055,作为目标内部网络的安全度量参数输出。
[0093] 参见图6,为本发明实施例提供的一种内部网络的安全度量装置500的结构图。所述装置500包括:
[0094] 原始攻击图生成单元510,用于对于目标内部网络,生成从初始节点到目标节点的原始攻击图;
[0095] 攻击图简化单元520,用于根据监测目标内部网络获得的攻击证据的时序差分关系,对所述原始攻击图进行剪枝处理,获得简化后的攻击图;
[0096] 概率攻击图生成单元530,对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图;
[0097] 安全度量参数计算单元540,用于在所述概率攻击图中计算目标节点的累积可达概率,并作为目标内部网络的安全度量参数输出。
[0098] 在本发明的一个实施例中,所述原始攻击图生成单元510,用于对目标内部网络进行漏洞扫描,得到目标内部网络中所有主机的漏洞信息以及目标内部网络的拓扑结构信息,将监测到的目标内部网络中的第一个攻击证据节点作为初始节点,将目标网络中的核心资源节点作为目标节点,利用攻击图生成算法生成从初始节点到目标节点的原始攻击图。
[0099] 在本发明的一个实施例中,攻击图简化单元520,用于对于原始攻击图中的每一条攻击路径,得到其攻击动作触发的攻击证据时序差分关系,并与根据监测目标内部网络获得的攻击证据的时序差分关系进行对比,如果匹配则保留该路径,否则删除该路径。
[0100] 在本发明的一个实施例中,所述概率攻击图生成单元530,用于在简化后的攻击图中,对于每条攻击路径从初始节点开始进行键值对划分,直到目标节点;其中,每个键值对包括:第一资源状态节点、攻击动作节点和第二资源状态节点;以及用户计算每个键值对的概率,具体计算攻击动作的发生概率以及计算攻击动作的成功概率。
[0101] 在本发明的一个实施例中,所述安全度量参数计算单元540,用于在概率攻击图中,对于指向同一节点的有向边的关系进行判断,如果为“与”关系,则该节点的概率为前节点的概率乘积,如果为“或”关系,则该节点的概率为前节点概率中的最大概率;如果依次计算,得到目标节点的累积可达概率。
[0102] 攻击图简化单元520对原始攻击图生成单元510生成的原始攻击图的路径进行了剪枝处理,从而简化了攻击图结构,避免了路径爆炸对后期安全度量造成的大规模计算工作任务,并且这样的处理方式可以保证所得的剩余攻击路径都是符合当前的系统监测证据。概率攻击图生成单元530将攻击图节点划分为键值对,对简化后的攻击图进行键值对划分,对键值对进行概率计算,得到概率攻击图,计算方法包括但不限于本发明提供的实施例中的方法。安全度量参数计算单元540,用于在所述概率攻击图中计算目标节点的累积可达概率,并作为目标内部网络的安全度量参数输出。其计算方法包括但不限于本发明提供的实施例中的方法。
[0103] 以上所述,仅为本发明的部分具体实施方式而已,并非用于限定本发明的保护范围。在本发明的上述教导下,本领域技术人员可以在上述实施例的基础上进行其他的改进或变形。本领域技术人员应该明白,上述的具体描述只是更好地解释本发明的目的,本发明的保护范围应以权利要求的保护范围为准。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。