[发明专利]一种基于动态贝叶斯攻击图的网络欺骗效能评估方法

说明书

本发明公开了一种基于动态贝叶斯攻击图的网络欺骗防御效能评估方法，属于网络空间安全领域。该方法通过分析当前网络中的脆弱性要素，推测攻击者能力，构建动态贝叶斯攻击图模型；针对网络欺骗伪造真实资产的防御特点，综合对比真实节点与诱饵节点在网络特征、设备指纹以及文件属性等多方面的一致性，以此来对欺骗方案进行隐蔽性分析，判断防御策略能否达到预期效果；并根据分析结果和攻防对抗信息更新攻击图模型，给出定量指标来评估欺骗防御的有效性。本发明的方法可以集成在一台作为控制中心的服务器上，无需对网络中其他节点修改，具有较好的适用性。

技术领域

本发明属于网络空间安全领域，尤其涉及一种基于动态贝叶斯攻击图的网络欺骗效能评估方法。

背景技术

网络空间欺骗是由蜜罐演进而来的一种防御机制，它并非着眼于攻击行为特征而是攻击者本身，通过干扰攻击者的认知以促使攻击者采取有利于防御方的行动。由于攻击者一般需要依靠网络探测得到的信息来确定下一步的攻击行为，网络空间欺骗防御技术可以为攻击者伪造一份虚假数据或者一个虚假环境，来保护网络内部重要资产，并记录和分析其攻击活动以得到更多关于攻击者的信息。网络空间欺骗防御技术并不尝试构建一个没有漏洞的系统，也不去刻意阻止具体的攻击行为，而是通过混淆的方法隐藏系统的外部特征，使系统展现给攻击者的是一个有限甚至完全隐蔽或者错误的攻击面，降低暴露给攻击者并被利用的资源，导致攻击复杂度和攻击者代价增长。

尽管网络空间欺骗防御技术近年来得到了广泛的关注，并提出了多种欺骗防御机制，但为了建立系统化的网络空间欺骗防御体系，如何建立有效的评估模型来对欺骗防御的效能进行分析评估仍是一大问题。目前，国内外现有的研究大多只是针对自身所提防御方法的定性评估，且局限于单一防御层次(例如网络层、系统层、应用层等)，缺乏统一的、形成体系的欺骗防御效能评估方法。

发明内容

发明目的：针对现有技术的不足，本发明提出一种基于动态贝叶斯攻击图的网络欺骗效能评估方法，

技术方案：为实现本发明的目的，本发明所采用的技术方案是：一种基于动态贝叶斯攻击图的网络欺骗效能评估方法，该方法包括以下步骤：

(1)在评估针对一次完整攻击的网络欺骗防御效能之前，首先要对目标网络进行攻击图建模。利用通用漏洞评分系统CVSS来对网络内部存在的漏洞进行威胁分析，确定好网络拓扑、节点连通性后，遍历诱饵节点和真实资源节点的状态属性，利用开源工具Mulval实现贝叶斯攻击图的构建；

(2)许多诸如诱饵、虚假信息等基于欺骗的防御手段，它们的效用取决于攻击者无法认知到它们的存在。为了使攻击者无法从探测到的信息对所处环境产生怀疑，通常需要依据网络欺骗的一致性进行隐蔽性分析。由于诱饵节点与真实资源节点具有一一对应的关系，因此要将防御方案中涉及的诱饵节点进行一致性验证，确保攻击者通过Traceroute、Nmap、Nessus这些工具获取到的关于诱饵节点和真实资源节点在网络特征、设备指纹方面的信息一致，并使攻击者无法质疑从诱饵节点中获取到的预设核心文件。

(3)依据欺骗方案的隐蔽性分析结果，综合网络攻防对抗信息更新攻击图。从攻击图中提取攻击路径，将受诱饵节点保护的核心节点的威胁得分占攻击路径整体威胁得分的比重作为防御效能的量化指标。

进一步，所述步骤(1)中，通过威胁分析得出漏洞成功利用概率：P_s＝AV*AC*AU，其中，AV是反映漏洞利用方式的量化指标，包含本地、临近网络、远程三种，即攻击者攻击主机的距离越远，漏洞得分就越高；AC为访问复杂度，有低中高之分，所需的复杂度越低，漏洞得分越高；AU为攻击者需身份验证次数的度量标准，分为None、Single、Multiple三种，所需的身份验证次数越少，漏洞得分越高。

进一步，所述步骤(1)中，真实资源节点和诱饵节点的状态属性包括0和1，其中0表示该节点此时并未被入侵，1表示攻击者已成功入侵该节点。在初始状态下的攻击图模型中，所有真实资源节点和诱饵节点的状态属性起初都为0。