[发明专利]基于关联矩阵的网络攻击路径分析方法

权利要求书

1.一种基于关联矩阵的网络攻击路径分析方法，其特征在于，包括以下步骤：

1)获取网络拓扑结构信息：依据自动拓扑发现以及手工拓扑编辑的方式生成网络拓扑结构，并将该网络拓扑结构的信息转化为数据表形式；

2)以单个网络设备为基础探测并获得设备的安全威胁信息：通过分析设备的日志信息和其运维系统的安全报警信息，确定设备面临的威胁类别和其对应的威胁值；

3)以单个网络设备为基础探测并获得设备的脆弱性信息：通过漏洞扫描和渗透检测的方法，确定网络系统中设备的脆弱性类别，并根据权威漏洞库定级办法，确定脆弱性类别对应脆弱性值；

4)以设备类别为单位挖掘威胁与脆弱性间的相互关系：根据权威漏洞库提供的可被利用的漏洞信息，采用威胁-脆弱性关联关系的建立方法，确定何种威胁利用何种脆弱性、获得的操作与控制权限和产生的新的威胁，并将其转化为威胁-脆弱性关联函数关系；

5)构造安全性分析关联矩阵模型：以步骤1)获取的网络拓扑结构信息为基础，利用步骤2)获得的设备的安全威胁信息和步骤3)获得的设备的脆弱性信息及步骤4)确定的威胁-脆弱性关联函数关系，采用分析关联矩阵模型的构造方法，建立网络系统的安全性分析关联矩阵；

6)获得所被分析的网络系统中潜在的攻击路径：根据步骤5)建立的安全性分析关联矩阵，应用矩阵理论和基于权重的寻路算法，分析计算网络系统中潜在的任意设备间最有可能发生的攻击路径，并得到所有路径可能发生的权重；

7)判断是否重新确定攻击路径，若是，则重复步骤1)至步骤6)，否则执行步骤8)；

8)输出并展示步骤6)所获得的各条攻击路径。

2.根据权利要求1所述的基于关联矩阵的网络攻击路径分析方法，其特征在于，步骤4)中所述威胁-脆弱性关联关系的建立方法包括以下分步骤：

4.1)假设设备A存在脆弱性V_i，并且同时面临威胁T_i，用示性函数B和权重函数W_A表示脆弱性V_i和威胁T_i间的关联关系，公式如下：

B(V_i，T_i)＝1                   (1)

B(V_i，T_i)＝0                   (2)

W_A(V_i，T_i)＝l_ik_iB(V_i，T_i)      (3)

公式(1)表示威胁T_i可以利用脆弱性V_i；公式(2)表示威胁T_i不可以利用脆弱性V_i；公式(3)为威胁T_i利用脆弱性V_i的权重函数，表示可能产生的安全风险，其中，l_i和k_i分别表示威胁T_i与脆弱性V_i的威胁值与脆弱性值；

4.2)假设设备A存在脆弱性V_i，面临威胁T_i，并且威胁T_i可以利用脆弱性V_i获得对A的某种操作权限，从而导致设备A或与设备A关联的其他设备面临新的威胁T_j，那么，威胁T_i、新的威胁T_j和脆弱性V_i间具有关联关系f，表示如下：

f(T_i，V_i)＝T_j        (4)