共查询到19条相似文献,搜索用时 156 毫秒
1.
攻击图的两种形式化分析 总被引:9,自引:1,他引:8
攻击图是一种基于模型的网络脆弱性分析技术,可以自动分析目标网络内脆弱性之间的关系和由此产生的潜在威胁.攻击图主要有状态攻击图和属性攻击图两类.前者由于存在状态爆炸问题不适应于大规模网络,目前主要的研究大多是基于后者.基于属性攻击图研究了含圈攻击路径问题和最优弥补集问题.针对含圈攻击路径问题,定义了反映真实攻击想定的n-有效攻击路径,提出了一种计算关键属性集所有n-有效攻击路径的迭代算法;针对最优弥补集问题,在定义了所有的风险源为属性攻击图的初始属性的基础上,将该问题转化为带权重的集合覆盖问题,从而归结为NP完全性问题,提出了可应用于大规模攻击图的具有多项式时间复杂度的近似算法. 相似文献
2.
针对大规模工控网络攻击图的量化计算耗时高、消耗资源大的问题,提出了一种大规模工控网络的关键路径分析方法。首先利用割集思想结合工控网络中的原子攻击收益,计算贝叶斯攻击图关键节点集合,解决目前割集算法只考虑图结构中节点关键性的问题。其次,提出一种只更新关键节点攻击概率的贝叶斯攻击图动态更新策略,高效计算全图攻击概率,分析攻击图关键路径。实验结果表明,所提方法在大规模工控攻击图的计算中,不仅可以保证计算结果的可靠性,而且能够大幅度降低方法耗时,显著提升计算效率。 相似文献
3.
基于SAT求解器的故障树最小割集求解算法 总被引:1,自引:0,他引:1
故障树分析广泛应用于核工业、航空航天和交通控制等安全攸关领域的安全性分析。求解故障树的最小割集是故障树分析的关键步骤。目前,对于大规模故障树的最小割集的求解方法主要是将故障树转化为二元决策图之后求解,其主要缺点在于算法在时间和空间上的消耗严重依赖良好的变量顺序。为了减少存储资源并加快求解速度,提出了一种基于可满足性问题的故障树最小割集求解算法。首先,将求解故障树最小割集问题转化为求解布尔可满足性问题。然后,利用可满足性问题求解器,通过迭代分析求得最小可满足解集合,即为对应故障树的最小割集。实验表明,本文算法求得的最小割集准确、有效并且在空间和时间上的消耗均要优于传统的基于二元决策图的故障树最小割集求解算法。 相似文献
4.
随着社会网络的普及,社会网络数据的隐私保护问题,已经成为数据隐私研究领域学者普遍关注的热点问题。由于隐私信息异常广泛,攻击者可以利用多种背景知识进行隐私攻击。现有的隐私保护技术,大多针对简单社会网络,并不适用于加权社会网络。对加权社会网络中的路径隐私泄露问题进行了研究,针对最短路径识别提出了加权图k-可能路径匿名(k-possible path anonymity,KPPA)隐私保护模型,来防止基于加权社会网络的最短路径隐私攻击,设计了一种基于权重泛化的匿名方法来实现KPPA算法。通过在真实数据集上的大量测试研究,证明了KPPA算法对于加权图路径隐私保护的有效性,同时基于KPPA算法可以保留原图结构性质,提高权重信息的可用性。 相似文献
5.
6.
攻击图是网络安全定性分析的常用工具,能为安全管理员阻止恶意入侵提供重要依据。为了进行网络安全测评和主动防御,提出防御策略模型和基于该模型的改进二进制粒子群算法。基于攻击图中的每个入侵动作,构建带权防御策略集,意在突出防御代价。为以最小代价阻止网络恶意入侵,引入并改进了二进制粒子群算法BPSO,获取了攻击图的最小关键策略集。仿真实验证明,能有效获取最小关键策略集的优化解,并通过与蚁群算法及贪心算法进行对比实验,证明其更高效。 相似文献
7.
网络攻击的多步性增加了预测攻击路径的难度,难以对攻击提供有效的安全防护,而传统的解决方案需要花费较高的成本来修复大量的网络漏洞。针对上述问题,对网络攻击的防护问题展开研究,提出一种基于改进蚁群算法的防护策略选择模型(Hardening Measures Selection Mode based on an Improved Ant?Colony?Optimization,HMSMIACO)。该模型由三部分组成:在现有攻击图的基础上,运用能够描述多步原子攻击间因果关系的贝叶斯信念网络构建用于评估网络安全风险的概率攻击图;结合防护成本与收益的量化指标,提出一种能够模拟攻击者决策过程的路径预测算法;鉴于防护策略选择问题是一个NP-hard问题,选择适用于中等规模网络环境的一种改进蚁群算法求解该问题,并获得该网络环境下近似最优的防护策略集。最后,通过实验说明了HMSMIACO在降低网络安全风险问题上的可行性与有效性。 相似文献
8.
9.
10.
厍向阳 《计算机工程与应用》2009,45(33):13-15
针对网络最大流问题,在割集定义和最大流-最小割定理基础上,以邻接矩阵为网络数据存储结构,利用栈作为数据组织形式,遍历网络中所有割集,最小容量的割集即为网络最大流。流量网络其余分支流量由网络结点流量平衡条件来求解。该算法具有:开辟了一种求解流量网络最大流的新的方法,克服了割集和最大流-最小割定理仅仅具有理论价值、没有实用价值的局限性;根据最小容量的割集可以方便确定决定网络最大流的关键分支,为扩展网络流量提供直接技术支持。算法测试表明:基于栈的网络最大流算法是完全可行和有效的。 相似文献
11.
Minimum-cost network hardening using attack graphs 总被引:3,自引:0,他引:3
In defending one’s network against cyber attack, certain vulnerabilities may seem acceptable risks when considered in isolation. But an intruder can often infiltrate a seemingly well-guarded network through a multi-step intrusion, in which each step prepares for the next. Attack graphs can reveal the threat by enumerating possible sequences of exploits that can be followed to compromise given critical resources. However, attack graphs do not directly provide a solution to remove the threat. Finding a solution by hand is error-prone and tedious, particularly for larger and less secure networks whose attack graphs are overly complicated. In this paper, we propose a solution to automate the task of hardening a network against multi-step intrusions. Unlike existing approaches whose solutions require removing exploits, our solution is comprised of initially satisfied conditions only. Our solution is thus more enforceable, because the initial conditions can be independently disabled, whereas exploits are usually consequences of other exploits and hence cannot be disabled without removing the causes. More specifically, we first represent given critical resources as a logic proposition of initial conditions. We then simplify the proposition to make hardening options explicit. Among the options we finally choose solutions with the minimum cost. The key improvements over the preliminary version of this paper include a formal framework of the minimum network hardening problem, and an improved one-pass algorithm in deriving the logic proposition while avoiding logic loops. 相似文献
12.
13.
14.
针对基于攻击图的风险评估的可扩展性问题,从内部安全威胁的角度,提出一种基于主机访问图的漏洞评估的定量方法.首先引入网络访问关系与主机关键度的概念,并提出主机安全威胁模型,接着通过生成主机访问图得到所有主机之间的网络访问关系,在此基础上计算各个漏洞对整个网络安全威胁产生的影响,从而实现对漏洞的评估与排序.实验表明该方法能够有效地评估网络的安全状态和漏洞在网络中的严重程度,并为加强网络安全提供重要依据. 相似文献
15.
认证协议为保证其安全性,通常要使用复杂的密码算法,从而造成DoS攻击隐患.为解决该问题,基于保护协议响应方的立场,综合Cookie方法和工作量证明方法的思想,采用两阶段认证的方法,提出了该一种抵御DoS攻击的认证协议安全方案.对方案进行了框架设计和实现设计,并根据方案建立实验模型.实验结果的分析表明了方案抵御DoS攻击的能力,然后分析了安全方案的安全特性.最后应用安全方案对Helsinki协议进行了改进,增强了该协议的抗DOS攻击能力. 相似文献
16.
传统网络攻击图的生成随着网络规模扩大存在状态爆炸问题,网络安全管理员往往拿着冗余的攻击图不知所措。为了消除攻击图中不必要的攻击路径,保留下最优的攻击路径以供管理员防御参考,本文利用攻击距离对复杂的攻击图进行了优化。实验结果表明,利用此方法优化后的攻击图保留了最有可能的攻击路径,降低了攻击图的规模,随着网络规模的扩大,效果也越来越明显。 相似文献
17.
18.
针对现有攻击图在大规模网络应用中存在的时间复杂性高和图形化展示凌乱等不足, 提出一种新的构建方法:在目标网络模型和攻击者模型的基础上, 以攻击源为起点广度遍历网络主机, 针对主机间的网络连接, 通过攻击模式实例化和信任关系获取攻击原子集, 并根据攻击者贪婪原则和攻击原子发生概率计算尺度筛选攻击原子, 同时更新攻击原子作用对象状态。通过实验分析, 该方法面向网络主机实现一次遍历, 筛选关键攻击原子, 快速生成攻击图, 不仅具有较高的时间效率, 而且为安全事件分析提供客观的攻击路径信息。该方法能够满足大规模网络环境下的攻击辅助决策、入侵检测和网络安全评估等应用需求。 相似文献
19.
该文对公钥加密的攻击模型给出了详细的、循序渐进的解释,包括唯密文攻击、已知明文攻击、非适应性选择明文攻击、适应性选择明文攻击、非适应性选择密文攻击、适应性选择密文攻击.公钥加密方案的安全性目标包括不可攻破性、单向性、密文不可区分性、不可延展性,进而引出并详细解释了公钥加密的最高安全性目标是适应性选择密文攻击下的不可区分... 相似文献