一种基于路径收益计算的网络攻击路径行为的预测方法

摘要

本发明提供一种基于路径收益计算的网络攻击路径行为的预测方法，所述方法包括：获取待评估网络；获取所述待评估网络中的所有节点；计算各个所述节点之间的路径的收益和代价之间的比值；从所述所有节点之间的路径中去除收益和代价之间的比值小于1的路径，得到去除冗余路径后的路径，作为攻击路径；利用似然加权算法，计算所述攻击路径上所含节点的置信度；输出所述攻击路径以及所述攻击路径上所含节点的置信度。本发明提高了路径预测的准确性，可广泛应用于网络安全领域。

说明书

技术领域

本发明涉及网络攻击路径行为的预测方法，特别是涉及一种基于路径收益计算的网络攻击路径行为的预测方法。

背景技术

计算机网络系统面临的攻击事件从本质上说，是由于计算机系统本身存在漏洞，而外部的威胁利用这些存在的漏洞或脆弱性发动攻击，从而导致攻击事件的发生。为了应对日益突出的网络安全问题，除了设计尽可能的安全系统外，还需结合系统的脆弱性对网络攻击进行有效的预测和防御。

近年来，研究人员开始应用贝叶斯网络和攻击图于攻击行为的预测中。贝叶斯网络具有处理不确定数据的特点，而攻击图能够基于脆弱点评估系统CVSS，自动识别可能的脆弱点，进而通过分析脆弱点依赖关系，展示所有攻击路径，最终起到综合评估系统安全趋势的作用。相对于攻击图，贝叶斯网络用节点和有向边描述攻击行为和节点资源的因果依赖关系，用置信度描述节点间不确定性关系，具备处理非确定性关系的能力。因而，如何将贝叶斯网络与攻击图有效的融合，进而准确的预测攻击路径成为需要解决的问题。

总之，现有技术中，随着目标网络节点的增多，生成的攻击路径呈指数级增长，并伴随着大量的路径冗余，进而影响攻击路径的预测准确性。

发明内容

有鉴于此，本发明的主要目的在于提供一种基于路径收益计算的网络攻击路径行为的预测方法，提高了路径预测的准确性。

为了达到上述目的，本发明提出的技术方案为：

一种基于路径收益计算的网络攻击路径行为的预测方法，包括：获取待评估网络；获取所述待评估网络中的所有资源节点与攻击节点；中间资源节点连接有一个以上的前驱攻击节点与一个以上的后驱攻击节点，起始资源节点连接有一个以上的后驱攻击节点，目标资源节点连接有一个以上的前驱攻击节点；其中，资源节点包括作为网络攻击起始点的起始资源节点、作为网络攻击目标点的目标资源节点、网络路径上位于起始节点与目标节点之间的中间资源节点；根据网络攻击路径，按照攻击顺序，设置在被攻击的资源节点前面且与被攻击的资源节点直接连接的攻击节点作为前驱攻击节点，设置在被攻击的资源节点后面且与被攻击的资源节点直接连接的攻击节点作为前驱攻击节点；计算各个所述攻击节点与资源节点之间的路径收益和代价之间的比值；从上述所有的攻击节点与资源节点之间的路径中去除收益和代价之间的比值小于1的路径，得到去除冗余路径后的路径，作为攻击路径；利用似然加权算法，计算所述攻击路径上所含攻击节点与资源节点的置信度；输出所述攻击路径以及所述攻击路径上所含攻击节点与资源节点的置信度。

综上所述，本发明所述基于路径收益计算的网络攻击路径行为的预测方法通过NVAG模型，将节点置信度的计算转化为攻击行为代价-收益的计算，并通过对一些权值较低的资源节点与攻击节点的标识减少冗余路径。进一步地，针对AND关系节点的节点标识，本发明通过权值累加方式，在保证不增加冗余路径且不丢失可能攻击的有效路径的前提下，提高了节点置信度的准确性。

附图说明

图1为本发明所述基于路径收益计算的网络攻击路径行为的预测方法的流程图。

图2为本发明所述网络攻击路径NAP示意图。

图3为本发明所述基于脆弱性的攻击图生成原型的示意图。

图4为本发明所述NVAG模型示意图。

图5为本发明所述NAP的生成过程示意图。

图6为本发明所述攻击图示意图。

图7为本发明所述NAP1节点置信度对比示意图。

图8为本发明所述NAP2节点置信度对比示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实施例对本发明作进一步地详细描述。

图1为本发明所述基于路径收益计算的网络攻击路径行为的预测方法。如图1所示，本发明基于路径收益计算的网络攻击路径行为的预测方法，包括如下步骤：

步骤11，获取待评估网络。

步骤12，获取所述待评估网络中的所有资源节点与攻击节点；中间资源节点连接有一个以上的前驱攻击节点与一个以上的后驱攻击节点，起始资源节点连接有一个以上的后驱攻击节点，目标资源节点连接有一个以上的前驱攻击节点；其中，资源节点包括作为网络攻击起始点的起始资源节点、作为网络攻击目标点的目标资源节点、网络路径上位于起始节点与目标节点之间的中间资源节点；根据网络攻击路径，按照攻击顺序，设置在被攻击的资源节点前面且与被攻击的资源节点直接连接的攻击节点作为前驱攻击节点，设置在被攻击的资源节点后面且与被攻击的资源节点直接连接的攻击节点作为前驱攻击节点。

本发明中，网络攻击路径NAP(Network Attack Path)为攻击者对网络目标资源进行攻击时，首先对起始资源节点发起攻击，改变其状态，然后在此基础上对其他资源节点进行攻击。如此反复进行，直至最终占有目标节点的路径集合。如图2所示，攻击者从起始资源节点r₁出发，需经过攻击节点a₁、中间资源节点r₂、攻击节点a₂或经过攻击节点a₁、中间资源节点r₃、攻讦节点a₂，最终到达目标资源节点r₄。其中，由r₁、a₁、r₂、a₂、r₄按先后顺序组成的节点序列即为一条NAP。同样的r₁、a₁、r₂、a₂、r₄这条有序节点也为一条NAP。

步骤13，计算各个所述攻击节点与资源节点之间的路径收益和代价之间的比值；从上述所有的攻击节点与资源节点之间的路径中去除收益和代价之间的比值小于1的路径，得到去除冗余路径后的路径，作为攻击路径。

步骤14，利用似然加权算法，计算所述攻击路径上所含攻击节点与资源节点的置信度。

步骤15，输出所述攻击路径以及所述攻击路径上所含攻击节点与资源节点的置信度。

本发明中，步骤11中获取评估网络的方式如图3所示，首先，利用网络扫描器对目标计算机和相关网络进行扫描，获取相关的节点脆弱性的数据添加到系统状态队列；其次，系统自动从状态队列当中抽取任一条状态信息，网络知识安全库模块将此信息进行信息对比：若该信息检验为不安全时，则分析该信息，进而确定脆弱点特征，记录在脆弱点列表库CVSS中。本发明结合脆弱点扫描工具，加快发现主机和网络当中的不安全因素，提高系统确定不安全信息的速度和准确度。攻击特征库对CVSS中的脆弱点列表库中的脆弱点特征进行提取与总结，获取不安全信息的攻击特征，确定其危害性。最后，攻击图生成器根据攻击特征库生成攻击图，并通过可视化工具输出攻击图。

步骤13包括：

步骤131，根据所述网络的所有攻击节点与资源节点生成网络脆弱性攻击图NVAG。

步骤132，从所述网络脆弱性攻击图NVAG(NVAG， network vulnerability attackgraph)中，遍历出不含false攻击状态标识的路径，作为攻击路径。

本发明中，NVAG＝(R，A，E，Val(r_i)，P，C)为具有一个或多个AND-OR节点组成的有向无环图。其中，R＝{r_i|i＝0，1，2，3，…N}为各资源节点集合，r₀表示起始资源节点，r_g表示目标资源节点；资源节点r_i取值为1或0，特别地，r_i＝1表示攻击者已成功占有此资源节点，r_i＝0则表示攻击者未成功占有该资源节点，1≤g≤N，且设定r₀＝1，g、N均为整数。A＝{a_j|j＝1，2，3，…N}为攻击节点的集合，是一个非空有限的AND-OR节点集合，节点变量a_j取值为true或者false。E＝{e|e∈(R×A)∪(A×R)}代表网络攻击图中所有攻击节点与资源节点的有向边之间的连接。e₁＝{<a_j，r_i>}∈A×R表示a_j为针对占有资源r_i发生的攻击行为，当在有向边<a_j，r_i>上发生的第j次攻击权值Φ_j≥1时，则有向边；反之，。e₂＝{<r_ia_j>}∈R×A则相反，表示攻击者占有资源节点r_i后再进行攻击行为a_j。其中为资源节点资产价值集合，且r_i由以下四个相关联的要素度量：企业机密(CS)泄露、个人信息(PI)泄露、影响范围(RI)以及涉及到的财产损失(PD)。资产价值计算公式如下：

这里，w₁，w₂，w₃，w₄是r_i资源节点相关联的度量因素在资产价值中所占的权值。L_CS，L_PI，L_RI，L_PD为对等的要素等级程度。P＝{p|p∈C₁∪C₂}，C₁为满足攻击行为a_j选择发生的条件概率分布，C₂为攻击行为a_j成功的条件概率分布：当r_i被占有时才能满足攻击行为a_j的发生条件，此时a_j可以选择发生或不发生攻击，故p＝(a_j＝ture|r_i被占有)∈[0，1]，p∈C₁：若a_j选择发生攻击行为，去占有r_i+k资源节点，占有结果为成功或失败，故p＝(a_j成功|a_j发生攻击)∈[0，1]，1≤k≤N、i+k≤N且k为整数，p∈C₂。AND关系表示所有的孩子节点Kid_(n)同时满足指向性条件才可到达父节点Father_(n)。OR关系表示所有的孩子节点中满足任意一个指向性条件即可到达父节点。结合实际本发明定义，当攻击者发动攻击的收益小于攻击代价的时候，攻击者则基本不会对该目标进行攻击。从而，网络管理者能够以此为依据来判断攻击者可能选择的攻击路径，进而采取有效的防护措施，减少网络攻击行为成功的概率。

步骤132包括：

步骤1321，按照所述网络脆弱性攻击图NVAG中的节点拓扑顺序Ψ，对所述网络脆弱性攻击图NVAG中的每一个攻击节点与资源节点进行遍历。

步骤1322，判断所述网络脆弱性攻击图NVAG中攻击节点与资源节点之间的有向边的方向。

步骤1323，若为攻击节点到资源节点<a_j，r_i>的有向边，则判断所述有向边的路径收益和代价之间的比值Φ_j；其中，i为所述资源节点的标识号，j为所述攻击节点的标识号，a_j为第j个攻击节点，r_i为第i个资源节点，攻击节点与资源节点之间通过有向边连接，且i、j为自然数。

步骤1324，若Φ_j≥1，则，反之，则。

步骤1325，根据判断结果对所述攻击节点的攻击状态进行标识。

步骤1326，查找出不含有false攻击状态标识的路径，作为攻击路径。

其中，所述路径的收益和代价之间的比值根据以下公式计算：Φ_j≈Gain_j/Cost_max；其中，标识号为j的攻击节点进行网络攻击时的收益值Gain_j＝val_iλ_jα_j；Cost_{j>为最大的攻击代价值；1≤j≤N，N是网络中攻击节点的总数量；vali是网络攻击aj到ri的资产价值；λj是网络攻击aj到ri成功后所获得网络组件的控制权限对应的等级权值；αj是指该攻击行为中脆弱性的利用方式对攻击者收益的影响系数。}

所述资源节点r_i对应的资产价值为：val_i＝w₁L_cs+w₂L_PI+w₃L_RI+w₄L_PD；其中，val_i资源节点r_i对应的资产价值由以下四个相关联的要素度量：企业机密CS泄露、个人信息PI泄露、影响范围RI以及涉及到的财产损失PD；w₁，w₂，w₃，w₄是资源节点r_i相关联的度量因素在资产价值中所占的权值；L_CS，L_PI，L_RI，L_PD为对等的要素等级程度。

步骤132还包括：

步骤1327，对e₁集合中存在AND关系的有向边进行判断，分别计算两条以上的有向边收益和代价之间的比值Φ_j，然后进行相加，得到比值和∑Φ_j。其中，e₁＝{<a_j，r_i>}∈A×R表示与资源节点r_i连接的所有攻击节点向资源节点r_i发起的所有攻击行为组成的攻击集合；A＝{a_j|j＝1，2，3，…，N}为攻击节点的集合；R＝{r_i|i＝0，1，2，3…，M}为资源节点集合，M为资源节点的数目，且M为整数。

步骤1328，如果比值和∑Φ_j≥2，则将所述有向边标记为true；否则标记为false。

步骤1329，将标记为false的有向边存储到放弃的攻击节点集合G_x中。

步骤13210，根据放弃的攻击节点集合G_x，去除冗余路径。

步骤14包括：

步骤141，从所述攻击路径的攻击节点和资源节点中抽取n个样本；其中，资源节点的样本数为p_R个，与抽取得到的资源节点R_k连接的后驱攻击节点A_m的样本数有p_A个，且p_R≥p_A、p_R+p_A<n；k、m为自然数，且k<i、m<j。

步骤142，当抽样得到的攻击节点或资源节点均带有false标识时，则该抽样得到的攻击节点或资源节点的抽取权重为0；当抽样得到的资源节点不带有false标识且为起始资源节点时，则该抽样得到的资源节点的抽取权重为1。

步骤143，在抽样过程中，如果抽样顺序依次为资源节点、与资源节点连接的后驱攻击节点，则从抽样前的所述攻击路径的攻击节点和资源节点中查找与抽样得到的资源节点R_k连接的所有前驱攻击节点A_m-1，并获取抽取得到的资源节点R_k的抽取权重与抽取得到的资源节点R_k连接的后驱攻击节点A_m的抽取权重Δ_A＝P(A_m|R_k)；其中，P(R_k|A_m-1)为在前驱节点A_m-1存在的情况下通过网络攻击获取抽取得到的资源节点R_k的概率，P(A_m|R_k)为抽取得到的资源节点R_k存在的情况下抽取得到该后驱节点A_m的概率；t为自然数，且t为与抽样得到的资源节点R_k连接的所有前驱攻击节点A_m-1的个数；

在抽样过程中，如果抽样顺序依次为与资源节点连接的前驱攻击节点、资源节点，则从抽样前的所述攻击路径的攻击节点和资源节点中查找与抽样得到的前驱攻击节点A_m-1连接的所有资源节点R_k-1，并获取抽样得到的前驱攻击节点A_m-1的抽取权重与抽取得到的前驱攻击节点A_m-1连接的资源节点R_k的抽取权重Δ_R’＝P(R_k|A_m-1)；其中，P(A_m-1|R_k-1)为在与抽样得到的前驱攻击节点A_m-1连接的所有资源节点R_k-1存在的情况下抽取得到的前驱攻击节点A_m-1的概率，P(R_k|A_m-1)为在抽取得到的前驱攻击节点A_m-1存在的情况下通过网络攻击获得抽取得到的资源节点R_k的概率；v为自然数，且v为与抽样得到的前驱攻击节点A_m-1连接的所有资源节点R_k-1的个数。

步骤144，如果抽样顺序依次为资源节点、与资源节点连接的后驱攻击节点，则获取得到的所述攻击路径上所含攻击节点的置信度P(A|R)≈Δ_A/Δ_R、资源节点的置信度P(R|A)＝Δ_R/Δ_A；如果抽样顺序依次为与资源节点连接的前驱攻击节点、资源节点，则获取得到的所述攻击路径上所含攻击节点的置信度P′(A|R)≈Δ_A′/Δ_R′、资源节点的置信度P′(R|A)＝Δ_R′/Δ_A′。

实施例

本实施例中，NVAG模型如图4所示。攻击者以r₀作为起始节点，以r₅作为目标节点，从起始节点到达目标节点有3条路径。为了清楚表示相邻各资源节点或攻击节点间关系，本发明采用有向偏序关系集合来表示攻击路径，即NAP_i＝{<r₀，a₁>，<a₁，r₁>，<r₁，a₂>，...，<a_n，r_n>}，采用符号∧表示节点之间的AND关系。这样，本实施例中共有三条攻击路径：

NAP₁＝{<r₀，a₁∧a₂>，<a₁∧a₂，r₁>，<r₁，a₄>，<a₄，r₃>，<r₃，a₇>，<a₇，r₅>}.

NAP₂＝{<r₀，a₃>，<r₀，a₁∧a₂>，<a₃，r₂>，<r₂∧<a₁∧a₂，r₁>，a₆>，<a₆，r₄>，<r₄，a₇>，<a₇，r₅>}.

NAP₃＝{<r₀，a₃><a₃，r₂>，<r₂，a₅>，<a₅，r₃>，<r₃，a₇>，<a₇，r₅>}.

攻击是对节点脆弱性的一次利用过程，脆弱性利用规则Rule＝(Pre-resource，Vul，Post-resource)。当攻击前提资源Pre-resource满足时，可以根据该节点的脆弱性Vul在网络中发起一步攻击，而攻击者成功发起此次攻击后，可以获得所对应的攻击结果，获取攻击后资源Post-resource。

Pre-resource是通过节点脆弱性的利用方式来获取，利用得到的资源结合节点脆弱性进行下次攻击，进而获取最终目标资源。而常见的脆弱性利用方式包括：改变控制参数MCPa、更改测量参数MMPa、控制程序的篡改MCPr、截取关键数据信息SPa、间接访问服务器猎取控制权限或者口令GPr等。

实际应用中，可通过如表1所示不同级别的权限管理禁止未授权的人随意改动网络控制组件配置、参数以及工作状态，保证设备和被控制对象的安全。

表1 控制权限级别与对应的描述

攻击结果Post-resource＝(Authority，Gain)，代表攻击者获取的网络组件控制权限等级和攻击者成功利用脆弱性获得的收益。

对于一条攻击路径第j次的网络攻击，即a_j到r_i，其收益为：Gain_j＝val_iλ_jα_j；其中，1≤j≤N，val_i是网络攻击a_j到r_i资源节点对应的资产价值；λ_j是成功进行第j次攻击后，所获得网络组件的控制权限对应的等级权值；α_j是指该攻击行为中脆弱性的利用方式对攻击者收益的影响系数。

下面给出单次成功利用脆弱性所获得的Gain_j的计算方法：

首先，将所有参数以等级的形式给出，并进行初始量化。其中，资产价值相关联的因素，等级划分如表2所示。可支配权值量化应遵循以下偏序关系：PC＞MCP＞RE＞LCC＞W＞R＞N。脆弱性利用方式影响系数α的量化应遵循以下偏序关系：MCPr＞MCPa＞MMPa＞SPa＞GPr。

其次，采用判断矩阵法来确定资源节点所对应的各后果因素在资产价值中所占的权值w，选领域专家m人，根据专家给出的两两后果因素间的重要性程度之比构造m个4×4的两两判断矩阵s^(e)：，

其中，m＝10～30；e＝1，2，…，m；s^e的元素式表示专家e给出的后果属性w_p相对于后果属性w_q的重要程度。根据得到的m个两两判断矩阵{s⁽¹⁾，s⁽²⁾，…，s^(m)}后，采用几何平均法进行综合得到综合矩阵S，S的元素为p、q＝1，2，3，4。

最后，求解特征值Sw＝γ_maxw，将主特征向量w归一化，就可得到后果属性权重系数向量w‘＝(w₁，w₂，w₃，w₄)^T。从而得到w₁，w₂，w₃，w₄。

脆弱点攻击代价主要由三个因素决定：攻击困难程度D、脆弱性的隐蔽程度H和攻击成功花费的时间T。单个脆弱点的攻击代价可以表示为Cost_j＝β₁D+β₂H+β₃T，其中β_1，，β₂，β₃为对应因素的相对权值，可根据实际情况具体选取。本发明设定最大攻击代价Cost_{j>，以选出高收益的路径，并更大概率确定冗余路径；同时，可以限定攻击深度，减少了无意义的攻击路径。}

网络攻击实施前，攻击者会对攻击节点的收益-代价进行评估分析，采用下式来判断此子攻击路径的可行性：

其中，路径攻击可行性Φ_j是攻击者攻击收益与攻击成本的比值。只有当Φ_j≥1，即攻击者能得到收益大于等于自己所付出的代价时，攻击者才会在此条路径进行攻击行为，最终获取攻击目标。

本发明以图5为例展示本发明方法所述NAP的生成过程。根据图5所示的攻击图，本发明按节点拓扑顺序Ψ对攻击图中各攻击节点、资源节点进行遍历：首先，判断有向边的方向是否为攻击节点到资源节点<a_j，r_i>的有向边，若是则进行权值的判断，当权值Φ_j≥1，则；反之，，并将该资源节点进行标识为false。若，则意味着此次攻击行为a_j放弃。

对于如图4所示的攻击图，采用传统的贝叶斯推理似然加权算法计算节点的置信度，计算结果见表3；这里，实验有效样本数5000个；c表示C₁＝0.5和C₂＝0.8，d表示C₁＝0.8和C₂＝0.5；P(r0)～P(r5)分别表示起始资源节点r0、中间资源节点r1～r4、目标资源节点r5的置信度；P‘(a1)～P’(a7)分别表示攻击节点a1～a7的置信度。

表3 传统贝叶斯推理结果

P(r₀)P‘(a₁)P’(a₂)P’(a₃)P(r₁)P(r₂)P’(a₄)P’(a₅)P’(a₆)P(r₃)P(r₄)P’(a₇)P(r₅)c10.470.450.490.140.410.070.210.030.240.020.150.13d10.750.770.790.160.390.140.310.050.230.030.210.11

以图6所示的攻击图中所给的权值参数为例，采用本发明所述方法获取的各资源节点、攻击节点的置信度见表4；这里，实验有效样本数为5000个。

表4 本发明方法获取的各节点置信度

P(r₀)P‘(a₁)P’(a₂)P’(a₃)P(r₁)P(r₂)P’(a₄)P’(a₅)P’(a₆)P(r₃)P(r₄)P’(a₇)P(r₅)c10.430.470.450.130.360.050.1800.1900.110.09d10.740.760.770.150.390.120.2100.1700.140.06

由表中数据的对比可以得到两种方法获取得到的各资源节点、攻击节点的置信度变化情况。为了更加直观的观察数据的变化，以路径NAP₁和NAP₂为例，绘制出节点置信度变化图分别如图7、图8所示图7、图8中，横坐标均表示各资源节点与攻击节点，纵坐标均表示各资源节点、攻击节点对应的置信度，Ta代表传统算法条件为c时的节点置信度变化，Tb则代表传统算法条件为d时的节点置信度的变化，Ia和Ib则表示了本发明方法在c、d两种不同条件下的节点置信度变化。

由图7和8可以看出，不同算法得到的节点置信度是不同的：本发明方法中有置信度为0的节点，传统方法中并没有置信度为0的节点。采用本发明方法得到的目标资源节点的置信度明显比采用传统方法得到的目标资源节点的置信度低。这是由于传统方法未考虑到路径冗余问题与收益-成本问题，其会选择所有路径进行攻击使得目标资源节点的置信度较高；而本发明方法同时解决了路径冗余问题与收益-成本问题，攻击者会选择对自己最有益或者淘汰对自己没有意义的攻击路径，使得目标自然节点的置信度较低。

本发明中还有一条改进，结合图6所示的攻击图中所给的权值参数得到的表4中的数据，可以观察到，a2的节点置信度并未为0，这就是本发明的另一条改进，AND节点标识为false的前提不再是只计算一条边的权值，而是进行两条甚至更多边的权值累加，进而判断是否进行“放弃攻击”。

本发明具有以下有益效果：(1)攻击事件的预测与防御一直是网络安全领域研究的热点，攻击图作为一种有效的预测方法，本发明结合节点脆弱性，通过定义NVAG模型，进而把节点置信度的计算转化为攻击行为代价-收益的计算，通过对一些权值较低的节点进行标识，进一步减少了冗余路径。在此基础上融入贝叶斯网络的推理算法，利用先验概率计算后验概率，进一步提高了节点置信度的准确性。

(2)改进的似然加权算法中，针对AND关系节点的节点标识问题，本发明提出了权值累加的方式来解决，即不会增加冗余路径，且不会放过攻击者可能会选择的有效路径。实验结果表明本发明的工作能够更有效的预测攻击路径和计算节点置信度，进而减少不可信的路径冗余，为网络安全管理提供良好的预防策略。也就是说，不仅有效的减少冗余路径，也避免了AND关系节点的攻击漏洞的忽略，进而有效提高了路径预测的准确性。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。