[发明专利]一种网络攻击链效率建模方法

权利要求书

1.一种网络攻击链效率建模方法，其特征在于，该方法包括如下步骤：

步骤1、原子攻击效率建模

建立原子攻击效率模型：efficiency_atom＝time/probability，其中，time表示完成一次成功原子攻击所消耗的时间，probability表示完成原子攻击的概率；

步骤2、网络攻击效率建模

一次网络攻击是多个原子攻击的组合，依据原子攻击间的关系，网络攻击效率模型为：

(1)如果网络攻击的i个原子攻击间的关系是逻辑或“OR”，那么选择i个原子攻击代价最小的作为网络攻击效率：

(2)如果网络攻击的i个原子攻击间的关系是逻辑与“AND”，那么选择i个原子攻击代价最大的作为网络攻击效率：

(3)如果网络攻击的i个原子攻击间的关系是顺序与运算“SAND”，那么选择i个原子攻击代价之和作为网络攻击效率：

步骤3、网络攻击链效率建模

网络攻击链效率定义为漏洞链上所有网络攻击效率的总和；

网络攻击链效率建模：其中，n为漏洞链上网络攻击的个数。

2.根据权利要求1所述的网络攻击链效率建模方法，其特征在于，步骤3之后还包括：

步骤4、构建网络主机信息安全完整性测试树(Network Host Security IntegrityTest Tree,NHSITT)，并可由测试树的叶节点出发到树的根节点，所经历的中间节点漏洞及表示攻击方式的边形成漏洞链。

3.根据权利要求2所述的网络攻击链效率建模方法，其特征在于，

所述网络主机信息安全完整性测试树以破坏目标网络中主机完整性为目标，并作为树的根节点，其余节点代表达到根节点所利用的网络中各主机的漏洞，其中叶节点代表网络中存在的漏洞，中间节点表示利用子节点的漏洞产生的攻击结果，节点之间的边表示子节点为了到达父节点所利用子节点漏洞的原子攻击。

4.根据权利要求2所述的网络攻击链效率建模方法，其特征在于，所述方法还包括步骤5：

依据效率优先的原则构建网络主机信息安全完整性测试漏洞链，其生成规则如下：

(1)若两个漏洞链在某个节点以后是相同的，则在测试树中，这两个漏洞链的相同部分合并，不同部分要按逻辑或“OR”关系结合；

(2)漏洞节点之间的关系是逻辑或“OR”，那么原子攻击代价efficiency_atom较小的原子攻击位于节点的左分支；漏洞节点之间的关系是逻辑与“AND”，那么原子攻击代价efficiency_atom较大的原子攻击位于节点的左分支；漏洞节点之间的关系是顺序与运算“SAND”，原子攻击的顺序按攻击顺序执行；

(3)网络攻击中获取的控制权限更高的漏洞链位于树的左分支；

其中，在保证步骤(3)的前提下，efficiency_link较小的漏洞链位于测试树的左分支。