[发明专利]基于攻击图的网络攻击目标识别方法及系统

权利要求书

1.一种基于攻击图的网络攻击目标识别方法，其特征在于，包含：

对网络中攻击者的状态迁移过程进行建模，获取网络攻击图模型和所有可能的攻击路径，生成网络攻击图；

将网络攻击图映射到吸收马尔可夫链，利用吸收马尔可夫链描述实际攻击场景中的状态转移过程，通过对攻击图中状态转移概率归一化，构造对应吸收马尔可夫链的状态转移矩阵；

结合状态转移概率矩阵，获取攻击者攻击意图的期望成功概率矩阵；

通过期望成功概率矩阵，找出最大概率值对应的状态节点，完成攻击目标识别；

对于一个包含r个吸收状态和t个过渡状态的吸收马尔可夫链，其状态转移矩阵的标准形式为其中，Q是t×t的矩阵，表示过渡状态S_i间的转移概率，1≤i≤t，0是r×t的零矩阵，R是t×r的非零矩阵，表示过渡状态S_i到吸收状态S_l的转移概率，t+1≤l≤t+r，I是r×r的单位矩阵，状态总数n＝t+r；

结合状态转移概率矩阵，设攻击者由过渡状态S_i出发，到达吸收状态S_l的期望概率为B_i,l，其中，1≤i≤t，t+1≤l≤n，n表示状态总数，B是大小为t×r的矩阵，N为大小为t×t的矩阵，通过将B_i,l赋值给矩阵B中位置(i,l-t)元素，B＝N·R＝(1-Q)^-1·R，获取攻击者攻击意图的期望成功概率矩阵；

网络攻击图模型表示为：AG＝(S,V,E,G)，其中，S为状态节点集合，V为漏洞节点集合，E为连接不同状态节点的有向边集合，G为漏洞可利用性得分矩阵；其中，漏洞可利用性得分矩阵位置(i,j)上的元素G_i,j表示攻击者由状态S_i转移到状态S_j的过程中利用漏洞v_i,j的可利用性得分Exploitability(v_i,j)，漏洞v的可利用性得分Exploitability(v)＝20×AV×AC×AU，AV表示利用途径指标，AC表示利用复杂度指标，AU表示身份认证指标。

2.根据权利要求1所述的基于攻击图的网络攻击目标识别方法，其特征在于，结合网络实际环境，以网络连通性、网络配置、主机信息以及网络漏洞信息作为输入，通过扫描网络系统漏洞并参考漏洞数据库信息，生成攻击模板，获取所有可能的攻击路径，通过图形生成器自动绘制并输出网络攻击图。

3.根据权利要求2所述的基于攻击图的网络攻击目标识别方法，其特征在于，将网络攻击图映射到吸收马尔可夫链，对网络攻击图中的边值进行归一化处理，通过网络攻击图中的漏洞可利用性得分矩阵构造吸收马尔可夫链的状态转移概率矩阵。

4.根据权利要求1所述的基于攻击图的网络攻击目标识别方法，其特征在于，通过网络攻击图中的漏洞可利用性得分矩阵构造吸收马尔可夫链的状态转移概率矩阵，包含如下内容：对于漏洞可利用性得分矩阵中任意位置上的元素值，通过计算公式得到其在吸收马尔可夫链的状态转移概率矩阵中对应的元素值。

5.根据权利要求4所述的基于攻击图的网络攻击目标识别方法，其特征在于，对应元素值的计算公式表示为：

其中，G_i,j表示漏洞可利用性得分矩阵中任意位置(i,j)上的元素值，P_i,j表示状态转移概率矩阵中对应的元素值，n表示状态总数。

6.根据权利要求1所述的基于攻击图的网络攻击目标识别方法，其特征在于，通过期望成功概率矩阵B，获取其第i行实现攻击意图S_t+1，S_t+2，…，S_n的期望成功概率分别为B_i,1，B_i,2，…，B_i,r，通过期望成功概率找出最大概率值对应的状态节点，完成攻击目标识别，并通过对期望成功概率进行排序，获取攻击目标排序。