[发明专利]一种深度优先的攻击图生成方法

说明书

(一)技术领域

本发明涉及的是一种网络安全保护方法，特别是一种针对网络攻击序列的识别技术。

(二)背景技术

目前在网络脆弱性分析领域，已有的漏洞扫描器对于目标网络内单个或多个主机的漏洞扫描效果较好。但是，这些工具仅仅从孤立的视角检查安全漏洞，缺少对弱点间的关联分析。而现实中的网络攻击行为往往需要利用多个漏洞、跨越多个主机的边界来完成。为了更客观地对网络脆弱性进行分析和评估，需要分析工具能够根据目标网络存在的漏洞、网络服务、物理链接以及访问权限等信息，自动建立系统性的攻击场景。  近年来，许多研究机构提出了针对上述问题的网络脆弱性分析模型，如攻击树、特权图和攻击图等。由于攻击图适合于模拟攻击场景、分析网络脆弱性和建立安全防御机制，因此受到越来越多的关注。

攻击者在攻击某个弱点时，应该具有相应的权限和信息，而在成功入侵系统后，会获得更高的权限和更多的信息。根据这个特征，研究者形式化了发动攻击前提条件、过程和结果，提出了攻击图模型。目前，攻击图的生成方法可以划分为3类。第一类方法采用模型检测技术生成攻击图。利用模型检测技术能够自动产生攻击图，但为了获取所有的攻击场景，模型必须包含所有的状态，因此这种方法的空间复杂性和时间复杂性较高。第二类方法采用基于图论的思想生成攻击图。这种方法具有良好的空间复杂性和时间复杂性，但生成攻击场景的模板不能添加或修改，攻击图的规模问题也没有得到解决。第三类方法采用基于逻辑的技术生成攻击图。这种方法的优点是可以根据新型攻击手段的特点，灵活地添加新的攻击模板。它的缺点是对攻击事件的描述过于详细，导致攻击图的规模较大，不利于管理人员对其进行直观的分析。

由于攻击图的规模问题极大地影响了它的实用性，已有许多研究者开展了这样面的研究工作，提出了一些解决此问题的方法。例如采用层次合并和邻接矩阵的方法降低攻击图显示的节点数量。这两种方法关注于如何使攻击图更容易可视化，并没有从根本上解决攻击图的规模问题。再例如通过在生成攻击图前合并具有相同特征的主机来降低攻击图的规模。虽然这种方法可以有效的减少攻击图中节点和边的数量，但是它只适用于对一些特殊的网络进行脆弱性分析。另外一种方法是在生成攻击树时采用了限制攻击步骤的策略。由于采用了广度优先的搜索算法，因此可能存在当达到最大攻击步骤时，却仍然没有到达目标状态的情况，导致生成的攻击树包含大量的非目标状态的叶节点。