[发明专利]一种基于动态贝叶斯攻击图的网络欺骗效能评估方法有效
| 申请号: | 202010115506.2 | 申请日: | 2020-02-25 |
| 公开(公告)号: | CN111371758B | 公开(公告)日: | 2022-03-25 |
| 发明(设计)人: | 吴桦;顾煜;程光;周余阳 | 申请(专利权)人: | 东南大学 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;G06N7/00 |
| 代理公司: | 南京经纬专利商标代理有限公司 32200 | 代理人: | 罗运红 |
| 地址: | 210000 *** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 动态 贝叶斯 攻击 网络 欺骗 效能 评估 方法 | ||
1.一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,该方法包括以下步骤:
(1)利用通用漏洞评分系统CVSS来对网络内部存在的漏洞进行威胁分析,确定网络拓扑、节点连通性后,遍历诱饵节点和真实资源节点的状态属性,构建贝叶斯攻击图;
(2)攻击图中诱饵节点与真实资源节点具有一一对应的关系,将防御方案中涉及的诱饵节点进行一致性验证,所述一致性验证方法如下:
(a)针对攻击者的不同攻击类型以及攻击目标,将欺骗一致性分为网络特征、设备指纹和文件属性这三个类别,其中,由Traceroute的网络探测结果可知,节点的网络特征包括IP地址、跳数、传输路径这些参数;根据Nmap、Nessus扫描工具对节点的识别结果,节点的设备指纹参数包括应用系统版本及位数、开放端口及其关联的服务、系统漏洞;节点文件属性包括文件权限、文件大小、所有者;
(b)计算得到诱饵节点与其对应的真实节点下各参数之间的相似度,再结合各参数所占权重,得到节点的一致性验证结果CVR;将方案涉及节点的一致性验证结果加权相乘作为本次防御方案的隐蔽性量化值CQV,其中节点权重由自身访问热度占整体网络的比重确定;
(3)依据欺骗方案的隐蔽性分析结果,综合网络攻防对抗信息更新攻击图,从攻击图中提取攻击路径,将受诱饵节点保护的核心节点的威胁得分占攻击路径整体威胁得分的比重作为防御效能的量化指标。
2.根据权利要求1所述的一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,所述步骤(1)中,通过威胁分析得出漏洞成功利用概率:Ps=AV*AC*AU,其中,AV是反映漏洞利用方式的量化指标,AC为访问复杂度,AU为攻击者需身份验证次数的度量标准。
3.根据权利要求1或2所述的一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,所述步骤(1)中,真实资源节点和诱饵节点的状态属性包括0和1,其中,0表示该节点此时并未被入侵,1表示攻击者已成功入侵该节点,在初始状态下的攻击图模型中,所有真实资源节点和诱饵节点的状态属性起初都为0。
4.根据权利要求3所述的一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,节点的一致性验证结果CVR为:其中,将各参数的单个值看作一个元素,Ni、Ej、Fk分别表示网络特征、设备指纹、文件属性各自包含的元素,Sim()为各参数中元素的相似度计算结果;s表示节点内开放端口数量和服务总数,m表示存在漏洞的数量,l表示预设核心文件的份数;将各类别所有元素的总数的倒数作为各元素的权重,即网络特征、设备指纹和文件属性中各元素权重分别为各类别按照自身拥有的元素数量占节点元素总量的比例作为自身的权重,即网络特征、设备指纹和文件属性三大类别的权重WN、WE、WF分别为
5.根据权利要求4所述的一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,所述步骤(3)中,依据欺骗方案的隐蔽性分析结果,综合网络攻防对抗信息更新攻击图,从攻击图中提取攻击路径,将受诱饵节点保护的核心节点的威胁得分占攻击路径整体威胁得分的比重作为防御效能的量化指标,具体方法如下:
(3.1)针对本阶段的攻防情况,制定下一阶段的防御方案来部署新的诱饵节点,并利用步骤(2)中诱饵节点的一致性验证结果来更新攻击图,倘若CVR超过阈值α,则进入步骤(3.2),否则直接进入步骤(3.4);
(3.2)采用节点替换的方法对攻击图进行更新,利用隐蔽性分析结果CQV,若CQV大于0.5,则利用广度优先搜索算法查找诱饵节点所对应的真实资源节点,将真实资源节点替换成该诱饵节点,并进入步骤(3.3);否则直接进入步骤(3.4);
(3.3)监控到本阶段为止防御者所部署的全部诱饵节点,总计M个,当诱饵节点di上报预警信息时,表明攻击者已经利用了该节点di,此时需将di的状态属性变更为1;
(3.4)根据对网络内N个真实资源节点的监控反馈,倘若攻击者成功入侵其中的sj,则将真实资源节点sj的状态属性变更为1;
(3.5)提取该阶段攻击者的攻击路径attack path:在上一阶段attack path的基础上,将该阶段下攻击图中状态属性变更为1的节点有序加入attack path中,并利用对攻击图威胁分析得出的漏洞利用成功概率,推测出攻击者下一阶段的入侵目标;
(3.6)将attack path中的攻击威胁量化:Impact(v)=10.41*(1-(1-C)(1-I)(1-A)),其中,C、I、A分别是CVSS对漏洞v关于机密性、完整性和可用性的威胁影响得分度量标准,其依据每个漏洞的威胁性给出各漏洞具体的值;
(3.7)将attack path中受诱饵节点保护的真实资产占整个攻击路径的比重作为防御效能的量化指标:其中,Impact为真实资源节点sj中漏洞vjk或诱饵节点di中漏洞vik的威胁影响得分,1≤j≤N,1≤i≤M;k表示节点中的第k个漏洞,1≤k≤m;Weight为各节点权重,由自身访问热度占整体网络总热度的比重确定;
(3.8)重复步骤(3.1)-(3.7),直至攻击者停止本次攻击,即攻击图达到最终状态;
(3.9)将所有节点状态属性置为0,重新开始新的攻击威胁监听。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于东南大学,未经东南大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010115506.2/1.html,转载请声明来源钻瓜专利网。
