攻击图

摘要： 针对目前主机安全评估方法中无法准确计算主机安全值,忽略攻击图中主机关联性等问题,提出一种基于攻击图的主机安全评估方法。首先,生成主机攻击图,从漏洞自身、时间、环境和操作系统可利用性4个角度量化原子攻击概率并计算主机攻击概率。然后,根据专家先验评估和相关性定权法计算主机资产重要性,依据攻击图中主机间的关联关系计算主机的拓扑结构重要性。最后,依据主机漏洞影响值、主机重要性和主机攻击概率计算主机安全值。实验结果表明,所提方法得到的主机重要性和安全值符合真实网络情况,能够更全面准确地反映主机的安全状况;所提方法得到的主机安全值标准差为0.078,大于其他方法得到的安全值标准差,表明所提方法得到的安全值离散程度更大,更易于区分安全等级和后续的风险处置优先级。

摘要： 面对日益增长的网络威胁和复杂化的攻击手段,网络安全工作人员需要应用更多的新技术,更多的结合攻击方视角来审视所要维护的网络环境,通过建立模型量化网络安全威胁并由被动防御的防御模式更多的转向主动防御,从原先的受到攻击作出反应转为在攻击前预先进行防御措施的布置。攻击图就是其中一种主动防御的协助手段。文中介绍了攻击图的分类、构建及优化方式,工控网络环境下的网络威胁以及攻击图在工控网络场景下的脆弱性加固和蜜罐部署两种具体应用方式。

摘要： 随着现阶段我国科技水平的不断提升,计算机信息技术的发展已经进入了新的阶段,其在我国多个行业中广泛应用,尤其在工业控制系统中的应用发挥出了理想效果,受到了业内人士的广泛欢迎。但是从现阶段来看,很多网络系统在实际落实应用的过程中往往没有融入网络防病毒措施,这也使得工业网络系统在实际运行的过程中容易受到病毒的侵扰,从而影响工业控制系统的整体运行质量以及效率。基于此,本文尝试对基于攻击图的工业控制网络安全隐患进行了分析。

摘要： 针对目前攻击图模型不能实时反映网络攻击事件的问题,提出了前向更新风险概率计算方法,以及前向、后向更新相结合的动态风险概率算法。所提算法能够即时、准确地动态评估和分析网络环境变化问题,对网络攻击事件进行动态实时分析。首先对图中各个节点的不确定性进行具体量化分析,在贝叶斯网络中计算它们的静态概率,之后根据实时发生的网络安全事件沿前向和后向路径更新图中各个节点的动态概率,实时量化和反映外界条件的变化,评估网络各处的实时危险程度。实验结果表明,所提方法可以根据实际情况校准和调整攻击图中各节点的概率,进而帮助网络管理员正确认识网络各处的危险级别,更好地为预防和阻止下一步攻击做出决策。

摘要： 随着电网中泛在传感、实时通信和精准控制技术的广泛应用,智能变电站在增强状态感知与业务决策能力的同时,其数据也可能遭到网络攻击入侵而变得不可信,从而对电力系统的安全运行构成严重威胁。从攻击者的角度构建了变电站虚假数据注入攻击的目标与方法,从防御者的角度分析攻击定位、博弈与溯源策略。针对实际变电站的信息网络安全攻防案例表明,所提攻击溯源算法能够有效检测出隐藏的攻击行为,实现变电站网络攻击有效定位溯源。

摘要： 随着互联网应用和服务越来越广泛,层出不穷的网络攻击活动导致信息系统的安全面临极大的风险挑战。攻击图作为基于模型的网络安全风险分析技术,有助于发现网络节点间的脆弱性和评估被攻击的危害程度,已被证实是发现和预防网络安全问题的有效方法。攻击图主要分为状态攻击图和属性攻击图,由于状态攻击图存在状态爆炸的问题,研究者大多偏向于基于属性攻击图的网络风险评估研究。针对现有的属性攻击图研究过度依赖网络节点本身脆弱性和原子攻击本质属性进行量化分析,忽略了理性攻击者通常以攻击利益最大化来选择具体的攻击路径,提出了基于期望收益率攻击图的网络风险评估框架和攻击收益率量化模型。所提网络风险评估框架以公开的漏洞资源库、漏洞挖掘系统发现的新漏洞以及与网络攻防相关的大数据为基础数据源,以开源大数据平台为分析工具,挖掘计算攻击成本和攻击收益相关要素;借用经济学中的有关成本、收益以及收益率等概念构建原子攻击期望收益率计算模型;通过构建目标网络的属性攻击图,计算攻击路径上的原子攻击期望收益率,生成所有可能攻击路径的期望收益率列表;以期望目标为出发点,依据特定的优化策略(回溯法、贪心算法、动态规划)展开搜索,得到最大收益率的完整攻击路径,为网络风险评估提供依据。仿真实验结果表明了所提期望收益率攻击图网络风险评估方法的有效性及合理性,能够为发现和预防网络安全问题提供支撑。

摘要： 网络攻击可以通过信息层的通信漏洞进入电力信息物理系统中,因此需要对电力信息物理系统的脆弱性进行评估。提出了基于贝叶斯攻击图与继电保护机制相融合的电力信息物理系统综合脆弱性评估方法,即在信息层利用贝叶斯网络、漏洞评分体系和联合树算法,对信息层配电子站节点的风险概率进行赋值,在物理层中使用交流级联故障模型分析配电子站所控制的母线故障时,所触发的继电保护机制,计算继电保护机制为了消除级联故障所切除的负载占比。将信息层风险概率与物理层故障相结合,提出新的脆弱性评估指标负荷削减概率,以此来寻找脆弱性节点,对信息物理系统中的脆弱性进行评估。基于IEEE14节点网络进行分析,验证了所提方法的有效性。

摘要： 网络信息安全是企业必须维护的一个重要方面,由于受到客观因素的影响,在选择安全对策来维护网络和运行系统会产生一些问题,管理员需要大量的专业知识并依靠劳动密集型流程来跟踪网络配置和系统漏洞,容易出错。网络漏洞相互依赖且复杂多变,传统的漏洞分析方法无法满足需要。因此,本文提出了一种加强计算机网络安全的方法,让分析师在安全性和可用性之间取得平衡,并展示如何最好地利用有限的安全资源。

摘要： 为解决主机威胁下安全值划分不准确和无法解决威胁关联性的问题,将以攻击图为基础引入贝叶斯算法理念,构建主机的安全运行评估模型。从威胁时间、环境、系统漏洞本身及操作系统等角度对主机遭受攻击概率进行计算,融合贝叶斯算法对攻击图安全进行评价,结合对主机威胁影响的分析,进一步细化安全评估的精度,并构建实验进行验证。实验结果表明,所提方法得出主机威胁迫害下的安全标准差为0.077,与其他方法相比所得安全值的离散程度更大,便于对其进行威胁安全分级,由此可证明所提方法具有较高的可行性与实用性。

摘要： 近些年威胁网络安全的事件日趋频繁,黑客的攻击手段越来越复杂,网络安全防护的难度不断增加。针对实际攻防环境中攻击策略复杂多变和攻击者不理性的问题,文章将攻击图融入攻防博弈模型,并引入强化学习算法,设计了一种网络主动防御策略生成方法。该方法首先基于改进攻击图的网络脆弱性评估模型,成功压缩策略空间并有效降低建模难度,然后对网络攻防进行博弈模型构建,将攻击者和防御者对网络的攻防策略问题设计为一个多阶段的随机博弈模型,引入强化学习Minimax-Q设计了自学习网络防御策略选取算法。防御者在经过对一系列的攻击行为学习之后,求解出针对该攻击者的最优防御策略。最后,本文通过仿真实验验证了该算法的有效性和先进性。

摘要： 对网络攻击图的生成方法进行研究和分析,实现了一种正向的、广度优先的攻击路径生成算法.在此基础上,搭建实验网络平台,利用"国家信息安全漏洞共享平台"提供的漏洞库分析实验网络平台漏洞,通过攻击路径生成算法生成网络攻击图,最后分析该实验平台的网络脆弱性并提出相应的预防措施.实验数据表明,提出的攻击路径生成算法可以准确生成网络攻击图,反应攻击者可能采取的攻击路径,为网络安全工作者分析网络脆弱性及预防网络攻击事件的发生提供依据.

摘要： 震网病毒等事件实证了信息攻击能对信息物理系统带来严重的物理影响.针对这类新的信息安全问题,为了对其风险进行度量,本文提出了基于攻击图的风险评估模型和风险度量指标.综合考虑漏洞固有特性和攻击者能力计算攻击成功概率,根据主机重要程度和漏洞利用模式计算攻击后果.此外,该方法考虑了多步攻击以及攻击行为间的关系,使得计算得到的风险值更符合实际情况.最后,通过仿真实验证明了该方法的准确性与有效性.

摘要： 针对蜜网系统产生的原始告警数量庞大,语义级别低,数据孤立,关联性差.本文提出了一种基于攻击图的蜜网日志分析模型,借鉴决策树分类算法将告警序列划分为多个攻击场景,将攻击场景与经过DFS编码后形成的攻击图序列相结合,将告警信息通过攻击场景映射到攻击图编码序列中的节点,从而将孤立的告警事件进行语义级别的关联.实验结果表明此模型结合了攻击场景和蜜网具体环境,将告警信息按语义级的攻击场景进行关联,减少了冗余告警,降低了误报率,也还原了蜜网系统中的真实攻击场景.

摘要： 攻击图是(传统IT系统)信息安全风险评估的一种关键技术,现有状态攻击图的研究都会面临状态爆炸的问题,不适宜大规模网络应用.本文将工业控制系统作为研究对象,将下位机作为攻击目标,基于工业控制系统的结构特点,提出了主机安全域和网络安全域的概念,对系统网络进行安全域划分,并依据划分结果使用攻击模式(Remote/Local)等要素来降低攻击图的生成复杂度.最后,通过搭建实验测试环境进行验证,实验结果表明本方法将会提高攻击图生成效率并简化攻击图规模.

摘要： 随着IPv6网络的发展,安全问题日益突出.由于IPv4网络和IPv6网络的差异性,使得原本针对于IPv4网络的安全评估方式不能有效的用于IPv6网络,而专门针对IPv6网络的安全评估的展现方式却越发稀有,本文通过对IPv6网络脆弱性特征研究,构建了IPv6网络攻击模式知识库,经过对前人IPv4网络攻击图的方法研究对比,提出专门针对IPv6网络的属性攻击图,并研究了IPv6网络攻击图的构建模型,提出IPv6网络攻击图算法,采用深度优先搜索的方式对脆弱点信息进行挖掘,寻找路径已达到最终目标.本文最终以校园网的实际环境,对IPv6网络攻击图的生成进行了测试实验,使用文档解析的方式对渗透IPv6网络的弱点信息上传至知识库中,通过Graphviz的API和知识库数据的调用,使用Myeclipse开发了攻击图生成模式,最终加载数据生成了IPv6网络的攻击图.通过攻击图生成实验,使得IPv6网络攻击图理论研究得到了验证,弥补了国内有关IPv6网络攻击图通过攻击模式和弱点知识库自动化产生的空白,为以后基于IPv6网络攻击图的风险评估方法的研究提供了方向.

摘要： 传统的攻击图生成方法在应用于大规模网络环境时,常常会因为遍历节点冗余出现效率低下的问题,本文结合大规模网络与复杂网络的相似特性,在当前攻击图研究的基础上,提出逻辑子域的概念以及一种面向大规模网络的攻击图生成方法,通过对目标网络进行拆分、建模与融合,构建面向大规模网络的攻击图模型,为风险评估、安全加固等管理活动提供依据.

摘要： 随着大规模网络的发展,网络攻击手段呈现出多样化与复杂化,网络安全分析的要求也是越来越高,而网络攻击图作为分析网络安全状况的一个重要方法,对防止网络攻击,实施网络安全防护有一定的现实指导意义.本文提出一种借助现有攻击图,利用矩阵对大规模网络进行安全分析的方法,并通过实验验证了所提方法的合理性与有效性.最后本文通过柱形图把网络风险表示出来,实现了大规模网络中的风险可视化,为网络安全管理员管理与维护大规模网络提供了一个直观的依据.

摘要： 针对现有基于攻击图模型的网络安全度量方法大多不适用于内部攻击的特点,本文提出了基于攻击概率的内部网络安全度量方法.该方法针对内部攻击伪装性的特点增加了监测事件节点,根据时序差分关系作为剪枝处理的基础,提出了攻击图简化算法;基于节点之间的关联关系、通用安全脆弱点评估系统(Common Vulnerability Scoring System,CVSS)对脆弱点的度量指标评分和有向边关系,将简化后的攻击图各节点进行键值对的划分,提出了目标节点累积可达概率的计算方法.仿真实验验证表明:本文提出的剪枝算法削弱了内部攻击的伪装性,提高了整个方法的效率;键值对划分和攻击概率的计算方法简化了内部攻击的复杂性,提高了整个方法的定量分析精确度.

摘要： 网络攻击图一直是网络安全研究的重要手段,传统的攻击图和针对攻击路径的防御方案很难从概率的角度描述和分析攻击几率与防御技术对整体方案的影响程度.本研究使用随机Petri网理论,给出了一种建立在攻击图之上的Petri网防御方案转换算法,使用该算法生成的随机Petri网模型可以实现对攻击和防御过程的并行分析.实验验证表明,该方法可以有效的量化攻击过程的发生几率,还可以协助分析不同防御技术对系统整体安全性的影响.

摘要： 新一代网络体系结构研究中，身份与位置分离技术是未来的重点发展方向。它解决了传统互联网络中的诸多问题。本文重点分析了它对传统网络中中间人攻击的缓解作用。通过攻击图和安全度量的方法，本文将传统网络和分离映射网络中受到中间人攻击的网络损伤进行了定量对比分析，证明了分离映射网络对中间人攻击的良好的缓解作用。

摘要： 本发明属于网络安全技术领域，具体涉及一种基于贝叶斯攻击图增加奇异节点的攻击路径推导方法。本发明通过引入奇异节点的贝叶斯攻击图模型，根据回溯算法的思想，解决忽略非路径节点的问题。本发明能够更为客观全面的对网络拓扑结构进行评估，可以应用与工控网络或者网络安全领域中，得到潜在可能的最优攻击路径，从而有针对地对网络攻击进行防范。本发明也适用于对与工控系统网络安全的二次评估，以提高整个网络安全评估的准确性。

摘要： 本发明涉及一种基于攻击图的渗透测试攻击路径选择方法及系统，其方法包括：S1：根据网络中的可达性，确定待攻击目标的IP范围；S2：使用漏扫工具对IP范围内的主机做漏洞扫描，获取漏洞；S3：建立待攻击目标的攻击图；S4：基于CVSSv3评分的改进方法，对漏洞进行评分，得到漏洞评分；S5：分析攻击图，并基于漏洞评分对攻击图中路径赋权值，得到带权有向攻击图；S6：在带权有向攻击图中，利用迪杰斯特拉算法，找到从攻击者到攻击目标的最短路径；将最短路径设置为攻击路径。本发明提供的方法，结合了攻击图、迪杰斯特拉算法和改进的CVSSv3评分体系，可以更好地为渗透测试选择攻击路径。

摘要： 本发明公开了一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法，属于智能电网信息及设备安全技术领域。方法包括收集电力工控系统原始攻击案例；对案例进行漏洞特征提取、数据清洗、漏洞分类与聚类，形成攻击样本；构建系统网络连接拓扑和网络连接权限拓扑；构建电力工控系统组件集合和系统状态集合；使用系统状态集合、网络连接拓扑和权限拓扑构造基于状态的攻击图；计算攻击图所含单步路径的可行性、攻击链路的可行性和收益。方法综合考虑了网络攻击所使用漏洞的性能特征和电力工控系统组件的物理功能，选用具有通用性的评估指标，基于攻击图的模型，可对电力工控系统的任意子系统进行攻击机理分析和攻击效果评估。

摘要： 本发明属于网络安全技术领域，公开了一种基于层次攻击图的攻击路径分析方法。首先利用社区发现算法将原网络划分为多个逻辑子网，逻辑子网及其连接关系构成网络逻辑结构；然后基于网络逻辑结构与网络基本信息生成两层攻击图；最后在两层攻击图上利用攻击行为的单调性约简攻击路径。具体步骤包括：(1)社区发现；(2)建立层次攻击图模型；(3)攻击路径生成；(4)分析攻击路径提供防御策略；本发明从攻击者视角出发避免不合理攻击路径生成，有效提高了攻击路径分析的实时性，克服了现有攻击路径分析方法在网络规模较大和脆弱性较多时存在实时性较差的问题。

摘要： 本发明属于网络安全技术领域，特别涉及一种基于攻击图的网络攻击目标识别方法及系统，该方法包含：对网络中攻击者的状态迁移过程进行建模，获取网络攻击图模型和所有可能的攻击路径，生成网络攻击图；将网络攻击图映射到吸收马尔可夫链，构造吸收马尔可夫链的状态转移概率矩阵；结合状态转移概率矩阵，获取攻击者攻击意图的期望成功概率矩阵；通过期望成功概率矩阵，找出最大概率值对应的状态节点，完成攻击目标识别。本发明更客观、准确地评估攻击者实现不同意图的平均概率值，解决了传统方法在评估攻击发生的可能性时受限于理想的累积概率问题，计算复杂度低，操作简单方便，为辅助安全管理员决策及提高网络安全性能提供更可靠的指导。

摘要： 本发明涉及一种基于攻击图的渗透测试攻击路径选择方法及系统，其方法包括：S1：根据网络中的可达性，确定待攻击目标的IP范围；S2：使用漏扫工具对IP范围内的主机做漏洞扫描，获取漏洞；S3：建立待攻击目标的攻击图；S4：基于CVSSv3评分的改进方法，对漏洞进行评分，得到漏洞评分；S5：分析攻击图，并基于漏洞评分对攻击图中路径赋权值，得到带权有向攻击图；S6：在带权有向攻击图中，利用迪杰斯特拉算法，找到从攻击者到攻击目标的最短路径；将最短路径设置为攻击路径。本发明提供的方法，结合了攻击图、迪杰斯特拉算法和改进的CVSSv3评分体系，可以更好地为渗透测试选择攻击路径。

摘要： 本发明是一种基于贝叶斯攻击图的SDN攻击意图分析方法。本发明涉及网络安全技术领域，本发明针对目前已有的软件定义网络(software‑definednetwork,SDN)安全预测方法中未考虑攻击代价以及控制器漏洞对SDN网络安全所产生的影响，提出了一种基于贝叶斯攻击图的SDN攻击意图评估方法。在利用PageRank算法求出设备关键度，并与漏洞价值、攻击成本、攻击收益以及偏好函数相结合构建攻击图，建立风险评估模型，来进行对入侵路径进行预测。实验结果表明，所提模型能更为准确的预测了入侵路径，有效地保证了安全预测的准确性，为控制器的防御提供了依据。

摘要： 本发明公开了一种基于多维度攻击路径与攻击图的生成方法，属于网络安全技术领域。本发明通过采集漏洞条目样本，建立漏洞知识库，对每一条漏洞条目样本标注前置权限和后置权限；提取漏洞知识库中每一条漏洞条目样本的特征，包括漏洞描述文本特征和CVSS指标特征，并将漏洞描述文本特征进行文本预处理；以三元组定义攻击模式，构建攻击模式知识库；针对目标工控网络，采用基于攻击图优化策略的广度优先前向攻击图生成算法生成攻击图。本发明通过分析不同终端的环境属性，以生成各种攻击方式对应的多维度攻击路径和高维攻击图，优化攻击图生成过程，提高攻击图生成效率。

摘要： 本公开是关于一种基于时间概率攻击图的病毒攻击防御方法，该方法包括以下步骤：构建时间概率攻击模型；根据时间概率攻击图获取潜在的攻击路径，并计算各所述攻击路径的最大攻击成功概率；计算各所述攻击路径的防御收益结果；结合各所述攻击路径的所述最大攻击成功概率以及所述防御收益结果，分析评估网络安全态势，并部署防御系统定期扫描检测攻击行为。本公开提供的病毒攻击防御方法，分析评估了网络安全态势，使得防御系统的部署位置可根据需要保护的路径和节点进行针对性布防，进而增加了防御系统部署的准确性。

摘要： 本发明公开了一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法，属于智能电网信息及设备安全技术领域。方法包括收集电力工控系统原始攻击案例；对案例进行漏洞特征提取、数据清洗、漏洞分类与聚类，形成攻击样本；构建系统网络连接拓扑和网络连接权限拓扑；构建电力工控系统组件集合和系统状态集合；使用系统状态集合、网络连接拓扑和权限拓扑构造基于状态的攻击图；计算攻击图所含单步路径的可行性、攻击链路的可行性和收益。方法综合考虑了网络攻击所使用漏洞的性能特征和电力工控系统组件的物理功能，选用具有通用性的评估指标，基于攻击图的模型，可对电力工控系统的任意子系统进行攻击机理分析和攻击效果评估。