[发明专利]一种基于深度指标的脆弱性攻击代价定量评估方法

权利要求书

1.一种基于深度指标的脆弱性攻击代价定量评估方法，其特征在于，具体过程为：

针对待攻击的网络生成网络模型，定义攻击图模型；

根据所述网络模型和攻击图模型，结合攻击图生成算法生成脆弱性攻击图；

在脆弱性攻击图中，分析从发起攻击的起始节点到目标节点的攻击路径，若攻击路径为多分支路径时，在获取攻击者到脆弱性节点之间的路径深度时，考虑替代路径和强制路径带给脆弱性节点攻击代价的影响pe，计算出脆弱性节点的攻击代价De＝de*pe，de表示除脆弱性节点所处深度影响外的纯攻击难度；最终计算出至目标节点的累积攻击代价；

所述替代路径为：在攻击图中如果可以通过多条路径的任意一条即可以达到攻击某一脆弱性节点的目的，则这些路径中必然存在有一个最小攻击代价的路径，这条最小攻击代价路径和其他攻击路径均称之为攻击该脆弱性节点的替代路径，这些攻击路径之间是析取关系；

所述强制路径为：在攻击图中如果必须全部通过多条攻击路径才可以达到攻击某一脆弱性节点的目的，则这些路径中必然存在有一个最高攻击代价的路径，这条最高攻击代价路径和其他攻击路径统称为攻击该脆弱性节点的强制路径，这些攻击路径之间是合取关系；

当脆弱性节点为替代路径的分离点时，攻击者到脆弱性节点之间的路径深度pe为：

其中，p_min表示攻击者沿着攻击路径从起始节点到该分离点的距离值，D_{p_min}表示在所有的替代路径中，能够到达该分离点的最小攻击代价的攻击路径值，n表示到达分离点所有替代路径的数目，D_{p_i}表示不同的替代路径的攻击代价；

当脆弱性节点是强制路径的连接点时，攻击者到脆弱性节点之间的路径深度pe为：

其中，p_max表示攻击者沿着攻击路径从起始节点到该连接点的距离值，D_{p_max}表示在所有的强制路径中，能够到达该连接点的最大攻击代价的攻击路径值，D_{p_i}表示不同的强制路径的攻击代价；n表示到达该连接点所有强制路径的数目；

所述de通过CVSS通用漏洞评分系统对每一个脆弱性节点进行归一化评分，BS是CVSS漏洞评估系统中对于该漏洞的基础评分；

对于析取关系的替代路径的脆弱性节点的攻击代价评估公式如下:

对于合取关系的强制路径的脆弱性节点的攻击代价评估公式如下:

对于析取关系替代路径汇合的脆弱性节点的累积代价计算公式如下：

对于合取关系强制路径汇合的脆弱性节点的累积代价计算公式如下：

对于包含析取关系替代路径的攻击路径，攻击路径的攻击代价：

D_{p_n}＝D_{p_n-1}+D_{e_n}，其中D_{e_n}为De_{p_dis}；

对于包含合取关系强制路径的攻击路径，攻击路径的攻击代价：

D_{p_n}＝D_{p_n-1}+D_{e_n}，其中D_{e_n}为De_{p_con}。

2.根据权利要求1所述基于深度指标的脆弱性攻击代价定量评估方法，其特征在于，若所述路径为无分支路径时，攻击路径的攻击代价为从攻击者开始发动攻击一直到攻击目标节点所有攻击到的脆弱性节点的攻击代价总和，路径上每个脆弱性节点所需要的攻击代价为De；

其中，BS是CVSS漏洞评估系统中对于该漏洞的基础评分，pe通过该路径上已经被攻击漏洞的数目采用迭代方式计算。