[发明专利]基于动态反馈的网络攻击路径分析方法

说明书

本发明公开了一种基于动态反馈的网络攻击路径分析方法，具体实现步骤如下：根据被攻击主机的信息和漏洞信息生成初始网络状态图，建立攻击路径集合；根据攻击路径中的信息实施攻击，记录攻击者的开销和被攻击主机的动态反馈，对攻击结果进行判定，计算攻击路径的总代价；将总代价最小的攻击路径视为最优攻击路径。本发明在减小分析规模、提升分析速度的同时，也提高了分析的准确性和可扩展性，能够在含有大量多脆弱性主机的网络中进行攻击路径的分析，其分析结果可用于对网络的安全性进行评估，指导防御方对网络中存在的脆弱性采取具有针对性的修复和防御措施。

技术领域

本发明属于网络安全领域，更进一步涉及网络攻击路径分析技术领域中的一种基于动态反馈的网络攻击路径分析方法。本发明可用在安全分析、渗透测试等技术领域中，根据攻击和系统的动态反馈来对含有大量多脆弱性节点的网络进行攻击路径的分析，其分析结果可用于对网络的安全性进行评估，指导防御方对网络采取具有针对性修复和防御措施。

背景技术

网络攻击路径分析是网络安全的关键问题之一，主要任务是对目标网络中多个脆弱节点进行攻击路径的分析，即为发现网络中复杂的攻击路径或者引起系统状态变迁的渗透序列，通过综合攻击、漏洞、目标、主机和网络连接关系等因素提出的一种描述网络安全状态的表示方法。但是随着网络规模的扩大和网络系统中脆弱性的增多，传统的以攻击图为主的攻击路径分析方法存在因状态爆炸导致的时空消耗过高、因安全度量粒度较粗导致的难以精确反映节点和路径的真实风险程度等问题。因此，在传统的分析方法中加入对攻击和系统动态反馈的度量，能够从软硬件出发细化对攻击路径分析的度量粒度，对可能的攻击路径进行合理的删减从而减小时空消耗。其应用场景是，针对由大量包含多脆弱性的节点组成、且节点系统对攻击具有反馈的网络，进行攻击路径分析，既可指导防御方采取针对性修复和防御措施，也可为攻击者制定攻击计划提供依据。

北京信安天元科技有限公司在其申请的专利文献“基于关联矩阵的网络攻击路径分析方法”(专利申请号CN201110030068.0，申请公布号CN102098306A)中公开了一种基于威胁-脆弱性关系生成关联矩阵的网络攻击路径分析方法。该方法通过手动和自动结合的方式获取网络拓扑结构信息，以单个设备为基础结合运维信息和漏洞库信息来获得威胁信息和脆弱性信息，以设备类别为单位根据漏洞库信息来挖掘威胁与脆弱性间的相互关系，基于设备之间的威胁-脆弱性关系来构建关联矩阵模型，应用矩阵理论和基于权重的寻路算法来获取网络系统中潜在的攻击路径。该方法的不足之处是，仅在收集信息阶段对设备的运维信息进行分析，在攻击实施过程中未对其进行考量，不能真实地反映攻击对设备造成的影响；仅从漏洞库信息这一理论层面考虑威胁和脆弱性的相互关系，未考虑威胁在同一类别下的不同设备间的差异性，从而使关联矩阵存在较高的偏差；获取潜在的攻击路径时未对攻击路径的生成规模加以约束导致时空消耗过大，也未对攻击路径进行深入分析从而无法提供有效的防御措施。

中北大学在其申请的专利文献“一种基于层次攻击图的攻击路径分析方法”(专利申请号CN201910386932.7，申请公布号CN110138764A)中公开了一种基于层次攻击图的攻击路径分析方法。该方法根据网络系统节点间联系紧密程度的不同，利用社区发现算法将原网络划分为多个逻辑子网，然后基于其连接关系构成的网络逻辑结构与网络基本信息生成两层攻击图，并利用攻击行为的单调性约简攻击路径。该方法的不足之处是，子网划分依赖于网络系统节点间不同的紧密程度，当紧密程度相近或者无关时，在子网的划分和攻击路径分析规模的缩小上存在一定的局限性；根据攻击行为的单调性进行约简时，主要针对的是具有单一脆弱性的目标节点，在处理具有多脆弱性的节点时具有较高的局限性。

发明内容

本发明目的在于针对上述已有技术中存在的不足，提出一种基于动态反馈的网络攻击路径分析方法，用于解决攻击路径生成过程中对节点间紧密程度的依赖，以及在处理多脆弱性节点时的局限性，解决未考虑由同一类别下的不同设备间的差异导致攻击效果不同的缺点，解决未对攻击路径的生成规模加以约束导致时空消耗过大的缺点，以及解决未对攻击路径进行深入分析导致的无法对网络的安全性进行有效分析的缺点。