[发明专利]一种利用Spark实现BFS算法生成攻击图的方法

说明书

本发明涉及一种利用Spark实现BFS算法生成攻击图的方法，属于信息安全技术领域。具体操作步骤为：步骤一、获取网络结构。步骤二、获取网络系统中各主机中存在的漏洞，建立主机漏洞信息表。步骤三、通过宽度优先搜索(BFS)算法，对主机权限进行更新。步骤四、绘制攻击图。本发明提出的利用Spark实现BFS算法生成攻击图的方法与已有技术相比较，具有以下优点：①本发明采用宽度优先搜索(BFS)算法,减少遍历节点所需的时间；②每个BFS节点进行分布式计算，减少进行分布式所需传输的数据大小，使得算法的时间复杂度下降。③本发明利用Spark引擎的多集群进行分布式运算，提高数倍速度；④本发明方法不需要拆分网络结构，生成的攻击路径更加全面，没有疏漏。

技术领域

本发明涉及一种利用Spark实现BFS算法生成攻击图的方法，属于信息安全技术领域。

背景技术

目前的网络安全分析主要有基于规则的方法和基于模型的方法，而攻击图就是一种基于模型的网络安全分析方法。网络攻击图的产生是因为在网络中存在的漏洞之间具有某些关联，在一个漏洞被攻击成功后，攻击者会更成功地攻击下一个漏洞，而攻击图能很好地说明漏洞间的关系。

为了生成网络攻击图，需要大量网络的数据信息，主要有主机信息和网络结构信息，主机信息包括软件信息、漏洞信息等。生成攻击图后，可以根据攻击图进行观察，直观显示各漏洞关联，以最快速度攻击的最优攻击路径问题和以最小工作维护网络的最优防护技术。

目前生成攻击图遇到的普遍问题有系统状态空间过大，随着主机信息的增多，生成攻击图所需要的信息呈指数级增长，将会导致数据所需的存储空间变得巨大，所要进行运算的时间也呈指数级增长。

Kerem Kaynar和Fikret Sivrikaya提出了一种以分布式来生成攻击图的概念，主要的优点有：①将网络结构拆分为几部分，由多台机器共同产生攻击图并将它们合并；②对网络结构图进行深度优先搜索遍历，不需要进行多个信息节点缓存，节约空间。但同时也存在着许多缺点：①将网络结构拆分可能会将具有某种联系的漏洞分开，而导致攻击图部分缺失；网络结构拆分越多，缺失的攻击图部分越多；②先进行网络结构拆分，进行分布式时所传输的数据过大，传输所需要的时间加长；③由于基于深度优先搜索，攻击图路径越长，生成攻击图所花费的时间越长；

网络建模与攻击图生成需要充分考虑所生成的攻击图的最终应用，进行渗透测试时需要找出到达所有攻击路径，用于风险分析或寻找最短攻击路径时可能需要考虑各个原子攻击的复杂度或成功概率以及漏洞被成功利用后所带来的危害程度等，而用于指导漏洞补丁管理时则需要计算每个漏洞补丁的代价。

因此，攻击图的最终应用在一定程度上决定了需要建立的模型与生成方法。攻击图的生成方法将网络模型及漏洞库信息数据结构来表示。目前攻击图生成方法很多，为了便于对这些方法进行分析、比较及评价其优劣，需要对攻击图生成机制进行分析，找出可以用于对其分析比较的属性，并对生成方法进行分类，找出存在的问题，发现可能的研究发现。

发明内容

本发明的目的是为了克服已有生成攻击图方法中存在的处理速度慢、生成攻击图不够完善等问题，提出了一种利用Spark实现BFS算法生成攻击图的方法。

本发明的目的是通过以下技术方案实现的。

本发明提出的一种利用Spark实现BFS算法生成攻击图的方法，具体操作步骤为：

步骤一、获取网络结构。

步骤1.1：获取网络系统中各主机的软件应用，建立软件应用与主机对应表。

所述软件应用与主机对应表包含：主机名称和软件应用名称。

步骤1.2：获取网络系统中各主机之间的会话链接，建立主机间会话链接表。所述主机间会话链接表包括：源主机名称和目标主机名称集合。