[发明专利]一种基于层次攻击图的攻击路径分析方法

权利要求书

1.一种基于层次攻击图的攻击路径分析方法，其特征在于：包括如下步骤：

（1）社区发现

根据网络系统节点间联系紧密程度的不同，对网络系统进行划分；

首先规格化网络系统信息，便于网络社区发现；将网络系统用G=(V,E,W)表示，其中V是网络系统中的节点集合，E是网络系统中节点间的连边集合，表示网络系统中节点间的通讯连接关系，W是网络系统中边的权重集合，表示网络系统中节点间通讯的紧密程度；

n=|V(G)|，n是网络系统中节点的数目，用邻接矩阵A_n×n来表示一个具有n个节点的网络系统，A_i,j表示节点i与节点j之间的网络通讯状况，用邻接矩阵W_n×n来表示节点间边的权重；

模块度是衡量网络社区结构强弱的一个标准，使用有向加权模块度作为社区发现计算中衡量社区结构强弱的依据；

（2）建立层次攻击图模型

采集网络系统信息，结合网络系统社区结构，建立层次攻击图模型，包括网络系统节点、脆弱性信息，并使用元组对网络系统信息进行表示，层次攻击图模型的建立步骤如下：

首先，针对物理结构明确的目标网络，基于网络节点间的流量交互频次将目标网络划分为多个大小不同的逻辑子网，使每个逻辑子网内部联系紧密，逻辑子网之间联系相对稀疏；进一步根据原先网络节点间的连接关系确定逻辑子网间的连接关系，即网络逻辑结构；在顶层，针对每一逻辑子网存在的不同攻击状态生成状态节点，基于网络基本信息生成顶层状态节点间存在的状态转化关系；在底层，针对每一物理节点存在的不同攻击状态生成状态节点，基于网络基本信息生成在每一逻辑子网内的状态转化关系；基于逻辑子网与物理节点间的包含关系，生成顶层状态节点与底层状态节点间的映射关系；

（3）攻击路径生成

攻击路径是描述攻击过程的有效手段，分析攻击路径能发现攻击者攻击渗透的核心环节，提出针对性防御策略，所述攻击路径定义如下：

攻击路径r，指攻击者为达到目标状态从初始状态出发经过的状态转移过程，攻击路径集用R表示，攻击成功概率P(r)指攻击路径中所有状态转移都成功的概率，对于攻击路径r=S₁→S₂→⋯→S_n，P(r)=P(S₂|S₁)×P(S₃|S₂)×⋯×P(S_n|S_n-1)；

攻击路径的生成需要确定的攻击源和攻击目标，将网络系统中的重要节点假设为攻击目标，攻击源则是通过实时采集分析网络数据发现，对于给定的攻击源与攻击目标，通过层次攻击图间两点的路径搜索可以发现所有攻击路径，同时，为了缩减攻击路径规模，避免不必要的攻击路径生成，假设攻击者攻击行为具有单调性，通过攻击规则约束攻击路径的生成；

（4）分析攻击路径提供防御策略

以攻击路径集中节点出现频率作为节点重要度的评估指标，假设网络中检测到的攻击源集为T={t₁,t₂,…,t_n}，P(t_i)为攻击源t_i存在的可能性，对于状态节点S，S在攻击源t_i生成攻击路径集中成功概率最高的部分攻击路径中出现频率为N_i，则节点整体安全态势I(S)为：

在防御资源有限情况下，可优先选择节点安全态势更高的节点进行防御。