一种应用主机访问图的网络漏洞评估模型

针对基于攻击图的风险评估的可扩展性问题,从内部安全威胁的角度,提出一种基于主机访问图的漏洞评估的定量方法.首先引入网络访问关系与主机关键度的概念,并提出主机安全威胁模型,接着通过生成主机访问图得到所有主机之间的网络访问关系,在此基础上计算各个漏洞对整个网络安全威胁产生的影响,从而实现对漏洞的评估与排序.实验表明该方法能够有效地评估网络的安全状态和漏洞在网络中的严重程度,并为加强网络安全提供重要依据.     

基于连通度算子的系统漏洞风险评估

为对安全漏洞的风险进行量化评估,提出一种基于连通度算子的漏洞风险评估方法。通过构建的漏洞攻击图对漏洞的利用关系进行定量分析,并提出两种连通度算子,对漏洞间的连通度进行计算,实现对漏洞自身风险和传播风险的量化分析;在此基础上提出风险评估算法VREA-CO,对系统漏洞的全局风险进行评估,评估结果能够帮助管理者确定关键漏洞,提高安全管理的效率。实例分析结果表明,该方法是可行有效的。     

基于攻击图的多Agent网络安全风险评估模型

为了自主保障计算机网络的安全并对网络安全风险进行自动化评估,提出一种基于攻击图的多Agcnt网络安全风险评估模型(Multi-agents Risk Evaluation Model Based on Attack Uraph, MREMBAG)。首先提出网络风险评佑模型,设计了主从Agent的功能架构和关联关系分析流程。利用全局攻击图生成算法,以动态数据信息作为输入,通过主从Agcnt协同分析并构建攻击路径。基于对目标网络的攻击路径、组件、主机、网络的风险指数、漏洞及关联风险指数的计算,获取目标网络的安全风险指标仿真实验结果验证了该评佑方法的可行性和有效性。     

基于期望收益率攻击图的网络风险评估研究

随着互联网应用和服务越来越广泛,层出不穷的网络攻击活动导致信息系统的安全面临极大的风险挑战。攻击图作为基于模型的网络安全风险分析技术,有助于发现网络节点间的脆弱性和评估被攻击的危害程度,已被证实是发现和预防网络安全问题的有效方法。攻击图主要分为状态攻击图和属性攻击图,由于状态攻击图存在状态爆炸的问题,研究者大多偏向于基于属性攻击图的网络风险评估研究。针对现有的属性攻击图研究过度依赖网络节点本身脆弱性和原子攻击本质属性进行量化分析,忽略了理性攻击者通常以攻击利益最大化来选择具体的攻击路径,提出了基于期望收益率攻击图的网络风险评估框架和攻击收益率量化模型。所提网络风险评估框架以公开的漏洞资源库、漏洞挖掘系统发现的新漏洞以及与网络攻防相关的大数据为基础数据源,以开源大数据平台为分析工具,挖掘计算攻击成本和攻击收益相关要素;借用经济学中的有关成本、收益以及收益率等概念构建原子攻击期望收益率计算模型;通过构建目标网络的属性攻击图,计算攻击路径上的原子攻击期望收益率,生成所有可能攻击路径的期望收益率列表;以期望目标为出发点,依据特定的优化策略（回溯法、贪心算法、动态规划）展开搜索,得到最大收益率的...     

基于漏洞关联攻击代价的攻击图生成算法

在已有的网络攻击图生成方法的基础上,从漏洞关联的攻击代价出发,设计了一种攻击图生成基本框架,提出了一种基于漏洞关联攻击代价的网络攻击图的自动生成算法。该算法能有效结合漏洞之间的相关性,科学地评估攻击代价,有效删除了攻击代价过高、现实意义不大的攻击路径,简化了攻击图,并通过实验检验了该算法的合理性和有效性。     

一种基于攻击树的4G网络安全风险评估方法

针对4G网络的安全风险评估问题,提出一种基于攻击树模型的评估方法,以分析网络的风险状况,评估系统的风险程度和安全等级。对4G网络的安全威胁进行分类,通过梳理攻击行为和分解攻击流程来构造攻击树模型,利用多属性理论赋予叶节点3个安全属性并通过等级评分进行量化,结合模糊层次分析法和模糊矩阵计算叶节点的风险概率,根据节点间的依赖关系得到根节点的风险概率,最终得到4G网络的安全风险等级。实验结果表明,该方法能够准确评估4G网络的风险因素,预测可能的攻击路径,为安全防护策略选择提供依据。     

基于不确定攻击图的攻击路径的网络安全分析

随着科学技术的发展,现有攻击图生成算法在描述突发网络拥塞、网络断开、网络延迟等意外情况时存在不足;并且对于在攻击图中同样可以达到目标状态的攻击路径,哪一条路径网络更可靠等问题还未开始研究。通过不确定图模型提出了一种攻击图的生成算法,从攻击者的目标出发,逆向模拟生成攻击图,可以较好地模拟现实攻击情况并找出最可靠攻击路径,而且可以避免 在大规模网络中 使用模型检测方法出现状态空间爆炸的问题,以帮助防御者更好地防御网络漏洞攻击。实验结果表明,该方法能够正确生成攻击图,并且对大型网络的模拟也很实用。     

基于不确定图的网络漏洞分析方法

网络漏洞分析是提高网络安全性的重要基础之一.以主机为中心的漏洞分析方法可在多项式时间内生成攻击图,但是没有考虑网络链路本身存在的不确定性.提出了一种基于不确定图的网络漏洞分析方法,采用链路不确定度以准确地描述网络链路状态,使得求解最佳利用链成为可能.在此基础上,提出了一种时间复杂度为O(n4)的不确定攻击图生成算法;基于不确定攻击图提出了一种时间复杂度为O(n3)的最佳利用链生成启发式算法.实验结果表明,该方法能在可接受的时间内生成不确定攻击图,找到一条攻击效益最佳的漏洞利用链.     

一种基于攻击图的漏洞风险评估方法

传统的安全漏洞评估方法只是孤立地对单个漏洞进行评估,评估结果不能反映出漏洞对整个网络的影响程度。针对这个问题,提出了一种新的漏洞风险评估方法。该方法根据攻击图中漏洞间的依赖关系与漏洞的CVSS评分,首先计算出漏洞被利用的可能性与被利用后对整个网络的危害程度,并在此基础上计算出漏洞具有的风险值。由该方法计算出的漏洞风险能够准确地反映出漏洞对整个网络的影响程度,并通过实验证明了该方法的准确性与有效性。     

基于危险理论的网络安全风险评估

网络风险评估可以为采取积极主动的防御手段提供依据.为了提高网络安全风险评估的可信性,借鉴免疫系统与网络安全防范的相似性,基于危险理论,利用云模型对引起系统危险的性能参数进行表示,提出了一种新的网络安全风险评估方法.给出了算法设计思想和具体实现过程.在危险感知器的构造过程中,采用了一种无需确定度的逆向云生成算法.实验结果表明,本算法由于危险信号的引入,排除了一些对网络无危险的攻击,更能正确评估网络的安全风险,并且有效保留了风险评估过程中的不确定性,评估结果更加科学     

基于BNAG模型的脆弱性评估算法

为准确评估计算机网络的脆弱性,结合贝叶斯网络与攻击图提出一种新的评估算法。构建攻击图模型RSAG,在消除攻击图中环路的基础上,将模型转换成贝叶斯网络攻击图模型BNAG,引入节点攻击难度和节点状态变迁度量指标计算节点可达概率。实例分析结果表明,该算法对网络脆弱性的评估结果真实有效,能够体现每个节点被攻击的差异性,并且对于混合结构攻击图的计算量较少,可准确凸显混乱关系下漏洞的危害程度。     

基于攻击事件的动态网络风险评估框架

将动态网络的演化思想应用于计算机网络风险评估中,提出了基于攻击事件的动态网络风险评估框架。整个框架首先在静态物理链路的基础上构建动态访问关系网络,随后提出的Timeline算法可以利用时间特性有效地描述攻击演化趋势和发现重要攻击事件,图近似算法可以将分析过程简化为时间段近似图之间的分析,能够有效减小噪声行为的影响。此外,整体框架可以对网络段进行演化追踪和关联分析。实例分析表明,该框架具有很好的实用性,可以更好地揭示攻击者的攻击策略以及重要攻击事件间的紧密联系。     

基于攻击图和安全度量的网络脆弱性评价

研究计算机网络安全领域的网络脆弱性评价,提出一种基于攻击图和安全度量的网络脆弱性评价方法。该方法对可能存在的网络攻击行为建模并构造攻击图,并以此为分析模型,借助风险评估技术确定安全度量的指标和计算方法,实现对网络脆弱性的评价。     

基于贪心策略的多目标攻击图生成方法

为解决网络脆弱性分析中攻击图生成方法存在的状态组合爆炸问题,使生成的攻击图能用于网络中多个目标主机的脆弱性分析,本文提出了一种基于贪心策略的多目标攻击图生成方法。该方法引入节点关联关系,采用贪心策略精简漏洞集,从所有攻击路径中选取使攻击者以最大概率获取网络节点权限的攻击路径,生成由这些攻击路径所构成的攻击图。算法分析和实验结果表明,该方法的时间和空间复杂度都是网络节点数和节点关联关系数的多项式级别,较好地解决了状态组合爆炸的问题,生成的攻击图覆盖了攻击可达的所有节点,能够用于网络中多个目标主机的脆弱性分析。     

面向主体脆弱性的权限控制安全分析模型

在网络攻击过程中脆弱性存在于节点的部件主体上,针对该问题,将攻击描述细化到网络部件级,在原权限控制模型中增加对部件间权限、连接关系、属性的描述及脆弱性重写规则,构造NCVTG模型,提出复杂度为多项式时间的NCVTG模型图权限转移闭包生成算法用以评估网络的动态变化,给出当前脆弱性状态下的所有攻击路径。实验结果证明,该模型可对网络安全性进行综合分析,预测所有可能的攻击。     

基于依赖关系图和通用漏洞评分系统的网络安全度量

管理人员通常使用一些网络安全指标作为度量网络安全的重要依据。通用漏洞评分系统（CVSS）是目前人们普遍认同的网络度量方式之一。针对现有的基于CVSS的网络安全度量无法精确测量网络受到攻击的概率和影响两方面得分的问题，提出一种基于依赖关系图和CVSS的改进基础度量算法。首先发掘攻击图中漏洞节点的依赖关系，构建依赖关系图；然后根据依赖关系修改CVSS中漏洞的基础度量算法；最后聚合整个攻击图中的漏洞得分，得到网络受到攻击的概率及影响两方面的得分。采用模拟攻击者进行仿真实验，结果表明，该算法在算法精确度和可信度方面明显优于汇总CVSS分数算法，更加接近实际仿真结果。     

基于企业环境的网络安全风险评估

针对网络安全风险评估问题,提出了一种依据企业环境特征评估网络安全风险的方法。在企业内部基于企业环境特征进行安全漏洞危险性评估,提出了一种基于企业经济损失的漏洞危险性评估方法。使用贝叶斯攻击图模型,并结合企业网络系统环境变化进行动态安全风险评估。最后,通过案例研究说明了提出的动态安全风险评估方法的具体计算过程,并且使用仿真实验说明了提出的方法更加切合被评估网络或信息系统遭受攻击的真实情况,评估结果更加客观准确。     

基于贝叶斯攻击图的最优安全防护策略选择模型

目前基于攻击图的网络安全主动防御技术在计算最优防护策略时,很少考虑网络攻击中存在的不确定性因素。为此,提出一种基于贝叶斯攻击图的最优防护策略选择（Optimal Hardening Measures Selection based on Bayesian Attack Graphs,HMSBAG）模型。该模型通过漏洞利用成功概率和攻击成功概率描述攻击行为的不确定性;结合贝叶斯信念网络建立用于描述攻击行为中多步原子攻击间因果关系的概率攻击图,进而评估当前网络风险;构建防护成本和攻击收益的经济学指标及指标量化方法,运用成本-收益分析方法,提出了基于粒子群的最优安全防护策略选择算法。实验验证了该模型在防护策略决策方面的可行性和有效性,有效降低网络安全风险。     

面向大规模网络安全加固的攻击图分析方法

针对以往攻击图分析方法复杂度较高,风险判别标准单一,生成的策略加固代价较高,难以适用于大规模网络环境等问题,提出了一种面向大规模网络安全加固的启发式攻击图分析方法。结合路径长度和通用漏洞评分系统对潜在攻击进行风险评估,通过设置阈值限制搜索范围,采用启发式算法降低求解加固策略的时间复杂度。实验结果表明,该方法能够在合理的运行时间内,明显地降低网络安全加固所需的代价,具有良好的可扩展性,能够适用于大规模网络。     

收益与代价相结合的漏洞修复模型

漏洞修复是增强网络安全性的重要方法,选择性地修复网络中漏洞具有现实意义.提出一种收益与代价相结合的漏洞修复模型BCVRM.漏洞修复收益评价算法基于简化的攻击图生成算法,对比漏洞修复前后网络整体及相关各类型主机安全状态的提升,给出漏洞修复的总收益.漏洞修复代价评分系统基于CVSS对漏洞属性信息的描述,给出单个漏洞修复代价的评分规则,然后结合漏洞所属主机类型及漏洞分布情况给出网络漏洞修复代价.实例网络分析表明,该模型能够为网络管理人员提供一个切实可行的网络漏洞修复策略.