基于攻击图的网络安全度量研究综述

网络安全度量面临的主要挑战之一,即如何准确地识别目标网络系统中入侵者利用脆弱性之间的依赖关系进行威胁传播,量化对网络系统的潜在影响。攻击图由于具备优越的可视化展示能力,是解决该问题的有效途径之一。首先,介绍了安全度量的概念、发展历程和通用测度模型;然后,阐述攻击图构建、分类和应用的相关研究;其次,提出一种基于攻击图的层次化安全度量框架,从关键“点”、攻击“线”和态势“面”3个层次总结归纳了现有网络安全度量方法;最后,阐述了目前研究面临的难点问题与发展趋势。     

基于攻击图和安全度量的网络脆弱性评价

研究计算机网络安全领域的网络脆弱性评价,提出一种基于攻击图和安全度量的网络脆弱性评价方法。该方法对可能存在的网络攻击行为建模并构造攻击图,并以此为分析模型,借助风险评估技术确定安全度量的指标和计算方法,实现对网络脆弱性的评价。     

基于攻击图节点概率的网络安全度量方法

为了保护网络中关键信息资产, 评估分析网络的整体安全性, 提出了一种基于攻击图节点概率的网络安全度量方法。该方法改进了原子攻击节点自身概率的计算模型, 引入累积可达概率, 在此基础上, 研究了网络安全风险评估模型。实验结果表明, 所提评估方法能够准确地评估目标状态的安全级别和网络的整体风险。     

基于贝叶斯攻击图的网络安全量化评估研究

针对攻击图在评估网络安全时节点关系复杂、存在含圈攻击路径、只能反映网络静态风险等问题, 将攻击图与贝叶斯理论结合, 提出贝叶斯攻击图的概念, 简化了攻击图并通过优化算法避免了含圈路径的产生; 通过引入攻击证据与CVSS评分系统, 提出了一种新的面向脆弱点的网络安全量化评估方法, 基于贝叶斯攻击图对网络整体及局部的安全状况进行实时动态评估。通过在实际网络中的实验验证了该方法的可行性及有效性, 与传统评估方法相比, 该方法能够动态地反映网络安全的态势变化情况。     

基于不确定攻击图的攻击路径的网络安全分析

随着科学技术的发展,现有攻击图生成算法在描述突发网络拥塞、网络断开、网络延迟等意外情况时存在不足;并且对于在攻击图中同样可以达到目标状态的攻击路径,哪一条路径网络更可靠等问题还未开始研究。通过不确定图模型提出了一种攻击图的生成算法,从攻击者的目标出发,逆向模拟生成攻击图,可以较好地模拟现实攻击情况并找出最可靠攻击路径,而且可以避免 在大规模网络中 使用模型检测方法出现状态空间爆炸的问题,以帮助防御者更好地防御网络漏洞攻击。实验结果表明,该方法能够正确生成攻击图,并且对大型网络的模拟也很实用。     

基于攻击图的网络安全评估方法研究*

为了提高网络的整体安全性,提出了基于攻击图的网络安全评估方法。首先,在攻击图的基础上提出了脆弱点依赖图的定义;其次,将影响评估的因素分为脆弱性自身特点、网络环境因素和脆弱性关联关系三部分;最后,按照网络拓扑的规模,采用自下向上、先局部后整体的思想,直观地给出了漏洞、主机和整个网络系统三个层次的脆弱性指数评估值。通过大量反复的实验测试,该方法可以对网络系统存在的脆弱性进行定期的、全面的量化评估,及时发现并弥补网络系统中存在的安全隐患,有效地提升网络系统的生存能力,从而提高网络系统应对各种突发攻击事件的能力,具有重大的理论价值、经济效益和社会意义。     

基于攻击识别的网络安全度量方法分析

现阶段,传统系统的安全评估主要是通过定性评估,其无法量化安全风险,而定量评估方式大多数存在评定不完善、鉴别精确率较低等问题。在网络安全领域中引入攻击识别技术,能够抵御网络犯罪和持续开展业务、应对风险和减少攻击威胁,并让企业网络在发生安全事件时可以有效响应并快速恢复。本文基于攻击识别技术,提出一种静态评估与动态评估相结合的网络安全度量方式,其中静态数据评定应用AHP层次分析法,融合通用性漏洞评分系统,得出系统漏洞得分及管理得分;动态评价应用Dw-K-means优化算法和XG Boost方法,能够大幅度改善攻击识别效果。综合静态评估与动态评估,得出网络系统整体的评价结果,并根据仿真实验数据,验证了网络信息安全衡量实体模型的有效性。     

基于动态攻击图的网络安全实时评估

针对网络安全评估对实时性及可视化的需求,提出了一种基于动态攻击图的实时评佑方法。首先通过采集网络的脆弱性、网络拓扑、资产价值等安全属性信息,同时提取入侵检测系统的报警信息、防火墙策略、安全管理等动态攻防对抗信息,生成动态攻击图,并实时调整防御手段对网络进行及时、有效的保护,实时地对网络系统的安全状态进行评估,并采用可视化的方法展现评估结果,在此基础上给出整体安全策略调整建议。最后通过实验证明了本方法的可行性和有效性。     

基于攻击图模型的多目标网络安全评估研究

为了增强网络的安全性,对网络进行安全评估,给出安全方案,提出了一种新型的基于攻击图模型的网络安全评估方法.利用攻击图模型,结合其马尔可夫链和贝叶斯网络的特性,提出了攻击可能性指标、攻击实现度指标、脆弱性程度指标和脆弱点关键度指标等4个网络安全评估的指标及其指标计算方法.并基于此,研究了一种安全评估的多目标优化方法模型.从而帮助网络安全管理员更有效地管理整个网络,提出安全增强建议.实验表明方法模型具有很好的扩展性和实用性.     

攻击图节点概率在网络安全度量的应用研究

信息社会不断发展,为了保障网络信息安全,方便评估网络整体资源安全性,该文提出了一种基于攻击图节点概率的应对措施,这是一种衡量网络安全度的方法.     

基于期望收益率攻击图的网络风险评估研究

随着互联网应用和服务越来越广泛,层出不穷的网络攻击活动导致信息系统的安全面临极大的风险挑战。攻击图作为基于模型的网络安全风险分析技术,有助于发现网络节点间的脆弱性和评估被攻击的危害程度,已被证实是发现和预防网络安全问题的有效方法。攻击图主要分为状态攻击图和属性攻击图,由于状态攻击图存在状态爆炸的问题,研究者大多偏向于基于属性攻击图的网络风险评估研究。针对现有的属性攻击图研究过度依赖网络节点本身脆弱性和原子攻击本质属性进行量化分析,忽略了理性攻击者通常以攻击利益最大化来选择具体的攻击路径,提出了基于期望收益率攻击图的网络风险评估框架和攻击收益率量化模型。所提网络风险评估框架以公开的漏洞资源库、漏洞挖掘系统发现的新漏洞以及与网络攻防相关的大数据为基础数据源,以开源大数据平台为分析工具,挖掘计算攻击成本和攻击收益相关要素;借用经济学中的有关成本、收益以及收益率等概念构建原子攻击期望收益率计算模型;通过构建目标网络的属性攻击图,计算攻击路径上的原子攻击期望收益率,生成所有可能攻击路径的期望收益率列表;以期望目标为出发点,依据特定的优化策略（回溯法、贪心算法、动态规划）展开搜索,得到最大收益率的...     

基于强度系数的内部网络攻击图研究*

当前的网络攻击图大多是以攻击代价为主要指标,均是假定成本以及收益等各关键要素之间是相互独立的,而忽视了对这些关键要素之间的关联性进行定量分析。为了解决该问题,首先定义了一种基于状态转移的内部网络攻击模型;通过引入强度系数这一变量来定量分析攻击复杂度和被发现的风险值之间的关系;然后给出上述变量实现定量分析攻击复杂度和被发现风险值之间关系的具体实现方式;其次,从优化花费的计算着手,根据该变量进而得到改进后的攻击图生成算法。仿真实验结果表明,此攻击图算法更能反映现实攻击过程,能得到更加精简、直观的攻击图。     

基于攻击图的渗透测试模型的设计

渗透测试模型是渗透测试的关键技术,但现有的渗透测试模型难以模拟网络攻击过程。借鉴了攻击图这种成熟的攻击模型,设计了基于攻击图的渗透测试模型(PTGM),将渗透测试全过程映射到PTGM模型中,最后给出了基于PTGM的渗透测试过程。     

基于精简状态空间的攻击图生成算法*

针对网络攻击图算法状态空间过大、攻击路径不明确等制约着攻击图在网络安全分析中应用的问题,提出了一种基于精简状态空间的改进算法。该算法以网络状态作为一个整体进行分析,动态生成网络中所有可达的网络状态,并枚举出所有攻击路径。由于明确界定了网络状态空间,使算法生成的状态空间得到控制。改进了攻击图表示方法,使得攻击路径清晰。通过实例分析证明了算法模型适合全面分析网络安全性和攻击者可能采取的行为方式。     

基于可能图的攻击意图检测方法

攻击图模型是网络风险评估的主要技术之一,其通过攻击步骤之间的因果关系来描述攻击者从初始状态到目标状态的攻击过程,分析的整个过程也是以某种形式化方式表述的图数据为基础的,但分析时很少考虑网络链路、网络拥塞、入侵报警等不确定性。结合不确定图的概念将攻击图扩展为可能攻击图(PAG),给出了可能攻击图的构建方法,同时基于可达概率提出了最大可达概率求解算法和最大攻击子图生成及最大可能攻击路径选取算法。实验结果表明,本文所提方法能够在可接受的时间内生成可能攻击图,并能够有效地推测出攻击意图,为作为网络管理员的管理方提供决策依据。     

基于攻击图的渗透测试方案自动生成方法

为满足网络安全管理需要,提出一种新的渗透测试方案自动生成方法。该方法利用被测试目标网络脆弱点间的逻辑关系,结合原子攻击知识库,通过前向广度优先搜索策略产生渗透攻击图,然后深度优先遍历渗透攻击图生成渗透测试方案,并基于该方法设计实现渗透测试预案自动生成原型系统。实例表明该方法能够有效生成可行的渗透测试方案。