[发明专利]基于攻击图的网络攻击目标识别方法及系统

说明书

本发明属于网络安全技术领域，特别涉及一种基于攻击图的网络攻击目标识别方法及系统，该方法包含：对网络中攻击者的状态迁移过程进行建模，获取网络攻击图模型和所有可能的攻击路径，生成网络攻击图；将网络攻击图映射到吸收马尔可夫链，构造吸收马尔可夫链的状态转移概率矩阵；结合状态转移概率矩阵，获取攻击者攻击意图的期望成功概率矩阵；通过期望成功概率矩阵，找出最大概率值对应的状态节点，完成攻击目标识别。本发明更客观、准确地评估攻击者实现不同意图的平均概率值，解决了传统方法在评估攻击发生的可能性时受限于理想的累积概率问题，计算复杂度低，操作简单方便，为辅助安全管理员决策及提高网络安全性能提供更可靠的指导。

技术领域

本发明属于网络安全技术领域，特别涉及一种基于攻击图的网络攻击目标识别方法及系统。

背景技术

作为网络安全态势感知的重要组成部分，攻击目标识别能够判断入侵者的真实目的，并预测入侵者的后续行为，是威胁分析和决策响应的前提和基础，成为网络安全管理员关注的焦点，通过对报警数据进行融合关联，计算攻击意图的实现概率，量化网络安全态势信息，进一步通过防护措施或者入侵响应可以降低攻击意图的概率，从而使得网络状态向安全方向迁移。然而，随着网络规模的不断增大，网络结构复杂多变，攻击目标识别和意图评估的困难性不断增加。攻击图作为分析多步攻击渗透的主流方法，从攻击者的角度出发，在综合分析多种网络配置和脆弱性信息的基础上，枚举所有可能的攻击路径，从而帮助防御者直观地理解目标网络内各个脆弱性之间的关系，基于攻击图的网络攻击目标识别旨在利用攻击图准确识别和判断入侵者所要达到的目的，客观衡量不同攻击意图的实现概率，为网络安全主动防御提供真实可靠的决策支持，是一种灵活、实用的攻击目标识别方法。

目前基于攻击图的攻击目标识别方法多以攻击者“单调性”假设为前提，即攻击者一旦获取某一攻击能力将不会再次获取，因而攻击路径不会被重复利用，本质是一种理想的攻击场景，该场景可抽象为有向无环攻击图。事实上，由于攻击者对网络结构不熟悉，攻击者往往选择最有可能实现的攻击目标作为入侵意图，且实际攻击场景中可能存在重复的状态转移行为，产生有向有环攻击图，导致理想场景中攻击意图实现概率往往小于实际值，难以准确反映现实世界中攻击者的行为意图，如何确保意图评估的准确性和有效性，提出一种可靠的网络攻击目标识别方法，客观评估不同攻击意图的成功概率，识别最大可能攻击目标，并对目标威胁程度进行排序，成为亟待解决的技术问题。

发明内容

针对现有技术中的不足，本发明提供一种基于攻击图的网络攻击目标识别方法及系统，基于网络攻击随机性，并结合吸收马尔可夫链，量化不同攻击意图的期望可达性概率，最大可能准确地识别网络攻击目标，提高预测结果的准确度。

按照本发明所提供的设计方案，一种基于攻击图的网络攻击目标识别方法，包含：

对网络中攻击者的状态迁移过程进行建模，获取网络攻击图模型和所有可能的攻击路径，生成网络攻击图；

将网络攻击图映射到吸收马尔可夫链，构造吸收马尔可夫链的状态转移概率矩阵；

结合状态转移概率矩阵，获取攻击者攻击意图的期望成功概率矩阵；

通过期望成功概率矩阵，找出最大概率值对应的状态节点，完成攻击目标识别。

上述的，网络攻击图模型表示为：AG＝(S,V,E,G)，其中，S为状态节点集合，V为漏洞节点集合，E为连接不同状态节点的有向边集合，G为漏洞可利用性得分矩阵。

上述的，结合网络实际环境，以网络连通性、网络配置、主机信息以及网络漏洞信息作为输入，通过扫描网络系统漏洞并参考漏洞数据库信息，生成攻击模板，获取所有可能的攻击路径，通过图形生成器自动绘制并输出网络攻击图。

优选的，将网络攻击图映射到吸收马尔可夫链，对网络攻击图中的边值进行归一化处理，通过网络攻击图中的漏洞可利用性得分矩阵构造吸收马尔可夫链的状态转移概率矩阵。