基于攻击图的网络安全度量研究

发布时间：2020-06-11 13:55

【摘要】：随着现代社会对网络系统依赖程度的日益增强,网络安全问题受到普遍关注。网络安全度量是指在理解网络环境的基础之上,建立合适指标体系和度量方法,评估网络的安全性。本文采用攻击图这种网络脆弱性分析技术,在对目标网络和攻击者建模的基础之上,根据两者之间的相互关系生成攻击图模型,分析不同的攻击路径。借鉴CVSS对单一漏洞的量化指标,以及节点间概率转换关系,提出攻击伸缩性机理。结合CVSS指标和攻击图,计算攻击伸缩性数值,并以此作为网络安全度量的方法,最后总结了当前网络安全度量的发展现状以及面临的挑战。
【图文】：

赵松等:基于攻击图的网络安全度量研究55漏洞规格、系统访问等级、节点拓扑和可达信息。网络系统中另一重要角色是网络连接模型,由网络拓扑和可达性组成,这一部分包含网络访问的安全策略,节点防御策略。从实用性出发,好的指标具有一致性,容易度量,有特定的上下文环境和测量单位[1]。目前常用的有CAPEC[23]通用攻击模式,CVSS漏洞评分标准等。CVSS是很有潜力的工具,而人们对其具体内容知之甚少,被美国国家漏洞库NVD等主流漏洞数据库采用,作为漏洞评分标准。文献[14,21]使用贝叶斯网络建模网络系统中潜在的攻击路径,基于攻击者的背景知识和攻击机制,开发算法计算攻击路径的最优子集。建立贝叶斯攻击图,评估风险,其中的指标以及转移概率是参考CVSS值。信息安全中攻防对抗的本质可以抽象为攻防双方的策略依存性[22],防御者所采取的防御策略是否有效,不只取决于自身行为,还取决于攻击者和防御系统的策略,所以可以结合博弈论与攻击图,研究攻防矛盾及其最优防御决策等信息安全攻防对抗难题。网络往往会遭到0day漏洞的攻击,文献[25]中提出一种计算需要多少个0day漏洞才能破坏网络的方法,需要越多的漏洞才能破坏,则网络更安全。文献研究[27,30,32]基于攻击图做风险评估与安全度量,分别提出计算网络可达性,攻击者能力,网络规模,拓扑等分析方法。基于攻击图的研究分为网络可达性分析,构建攻击模板,攻击图构建,攻击图核心算法,以及使用攻击图量化评估网络安全。攻击图生成方法已经相对成熟,但攻击模板的构建一直以来没有很好的解决。攻击图分析方面,主要有?

,pri是访问权限。连接关系中包含着防火墙规则,NAT地址转换。连接类型包括域内、域间和跨域。网络系统中,不同域之间很难相互探测到,从攻击者角度出发,跨域传播难度会很大。跨域类型的边在实际中是通过不同路由路径传播的。图网络模型,节点和边都有相应的属性。例如一台主机抽象为图中的一个节点,则主机网络地址,在网络中的位置信息,开放的服务信息,与周围主机节点连接情况,这些基本信息作为图中边和节点的属性。抽象出节点和边的情况,可以了解网络系统配置情况。如图2所示,一个简单网络拓扑图模型,表示网络中边的连接关系和节点的属性值。其中节点A具有属性v,边e1具有属性e,这样就建立网络系统到图模型的转换关系,以标准的模型反应了当前的网络状态。这个图网络模型,能告诉管理员,网络的具体情况,分析属于同一局域网的节点,也能清楚的看出存在漏洞的节点。图2网络拓扑图模型Figure2NetworkTopologyGraphModel3.3攻击模板在攻防的对抗中,攻击者的主要突破口是网络中的脆弱点,因此针对网络中脆弱点的利用以及其造成影响是本节一个重点。本节的主要的内容是使用前提集和后果集构建网络攻击模板。攻防信息不对称,网络防御方能得到网络系统的信息,预测攻击可能的发生点,对于攻击者的能力无从得知。攻击者能通过扫描,监听收集等方式获得目标网络的信息,对于网络内部情况很难获取,大部分只能是逐步的渗透测试,不断发现网络结构。其中前提集(Procondition)是一个状态,表示攻击发生必要的系统环境,如果结果为真,则表示当前当前安全态势下,攻击可以发生,反之则不能发生。后果?

【参考文献】

相关期刊论文 前6条

1 方研;殷肖川;李景志;;基于贝叶斯攻击图的网络安全量化评估研究[J];计算机应用研究;2013年09期

2 陈锋;毛捍东;张维明;雷长海;;攻击图技术研究进展[J];计算机科学;2011年11期

3 张玉清;吴舒平;刘奇旭;梁芳芳;;国家安全漏洞库的设计与实现[J];通信学报;2011年06期

4 陈锋;张怡;苏金树;韩文报;;攻击图的两种形式化分析[J];软件学报;2010年04期

5 姜伟;方滨兴;田志宏;张宏莉;;基于攻防博弈模型的网络安全测评和最优主动防御[J];计算机学报;2009年04期

6 陈秀真;郑庆华;管晓宏;林晨光;;层次化网络安全威胁态势量化评估方法[J];软件学报;2006年04期

【共引文献】

相关期刊论文 前10条

1 魏彬;张敏情;;基于集成学习算法的网络安全防御模型研究[J];武警工程大学学报;2017年04期

2 ZHANG Hengwei;YU Dingkun;WANG Jindong;HAN Jihong;WANG Na;;Security Defence Policy Selection Method Using the Incomplete Information Game Model[J];中国通信;2015年S2期

3 杨盛明;;工业控制系统漏洞库设计与实现[J];电子质量;2015年12期

4 吴鹏;皇甫涛;;基于APT攻击链的网络安全态势感知[J];电信工程技术与标准化;2015年12期

5 朱建明;王秦;;基于博弈论的网络空间安全若干问题分析[J];网络与信息安全学报;2015年01期

6 刘小虎;张明清;张玉臣;孔红山;;DDoS主动防御系统防御能力量化仿真研究[J];信息工程大学学报;2015年06期

7 YU Yang;XIA Chunhe;LI Shiying;LI Zhong;;Trust Type Based Trust Bootstrapping Model of Computer Network Collaborative Defense[J];中国通信;2015年12期

8 姜旭炜;文志诚;邓勇杰;;基于综合加权的层次化网络安全态势评估方法[J];微型机与应用;2015年21期

9 温涛;张玉清;刘奇旭;杨刚;;UVDA:自动化融合异构安全漏洞库框架的设计与实现[J];通信学报;2015年10期

10 余洋;夏春和;王星河;;基于云模型的防御代理信任评估模型[J];计算机研究与发展;2015年10期

【二级参考文献】

相关期刊论文 前10条

1 叶云;徐锡山;贾焰;齐治昌;;基于攻击图的网络安全概率计算方法[J];计算机学报;2010年10期

2 陈锋;张怡;苏金树;韩文报;;攻击图的两种形式化分析[J];软件学报;2010年04期

3 张玺;黄曙光;夏阳;宋舜宏;;一种基于攻击图的漏洞风险评估方法[J];计算机应用研究;2010年01期

4 陈锋;苏金树;韩文报;;一种基于智能规划的攻击图快速构建方法[J];解放军理工大学学报(自然科学版);2008年05期

5 石进;郭山清;陆音;谢立;;一种基于攻击图的入侵响应方法[J];软件学报;2008年10期

6 刘宇;张玉清;;基于网络可生存性的网站保护系统[J];计算机工程;2008年19期

7 张海霞;苏璞睿;冯登国;;基于攻击能力增长的网络安全分析模型[J];计算机研究与发展;2007年12期

8 张永铮;方滨兴;迟悦;云晓春;;用于评估网络信息系统的风险传播模型[J];软件学报;2007年01期

9 冯萍慧;连一峰;戴英侠;李闻;张颖君;;面向网络系统的脆弱性利用成本估算模型[J];计算机学报;2006年08期

10 冯萍慧;连一峰;戴英侠;鲍旭华;;基于可靠性理论的分布式系统脆弱性模型[J];软件学报;2006年07期

【相似文献】

相关期刊论文 前10条

1 赵松;吴晨思;谢卫强;贾紫艺;王鹤;张玉清;;基于攻击图的网络安全度量研究[J];信息安全学报;2019年01期

2 胡浩;刘玉岭;张玉臣;张红旗;;基于攻击图的网络安全度量研究综述[J];网络与信息安全学报;2018年09期

3 柳俊;;浅谈高校网络安全工作[J];科技资讯;2018年31期

4 崔光耀;;2018网络安全五大看点[J];中国信息安全;2019年01期

5 董钟鼎;;网络安全实战演练中的攻与防[J];中国信息安全;2019年01期

6 ;组织网络安全演习 提升网络防御能力[J];中国信息安全;2019年01期

7 林辉玉;;六策略捍卫网络安全[J];网络安全和信息化;2016年07期

8 王耀东;;计算机网络安全策略分析[J];计算机产品与流通;2018年12期

9 孙会峰;;2018网络安全产业发展报告[J];信息安全研究;2019年02期

10 王晓光;;建设“六位一体”的网络安全生态圈[J];信息安全研究;2019年02期

相关会议论文 前10条

1 杨皓冬;;保护计算机网络安全初探[A];国家教师科研专项基金科研成果2018（一）[C];2018年

2 梁俊华;;网络安全防范技术研究[A];中国新闻技术工作者联合会2017年学术年会论文集（学术论文篇）[C];2017年

3 黄文斌;;计算机网络及网络安全[A];“决策论坛——决策科学化与民主化学术研讨会”论文集（下）[C];2017年

4 房博超;;计算机网络安全问题及对策[A];天津市电子工业协会2017年年会论文集[C];2017年

5 张楠楠;;计算机网络安全与防护[A];第三十一届中国（天津）2017’IT、网络、信息技术、电子、仪器仪表创新学术会议论文集[C];2017年

6 陈广生;;计算机网络安全教学改革策略研究[A];第三届世纪之星创新教育论坛论文集[C];2016年

7 王敏;;计算机网络安全的策略[A];2015第一届世纪之星创新教育论坛论文集[C];2015年

8 杨增强;戴昌裕;;浅议网络安全技术与策略[A];2008年中国高校通信类院系学术研讨会论文集（下册）[C];2009年

9 秦仲学;;影响网络安全的因素分析及安全策略浅论[A];第十三届全国计算机安全技术交流会论文集[C];1998年

10 李书旺;;单调系统的网络安全[A];第三次全国计算机安全技术交流会论文集[C];1988年

相关重要报纸文章 前10条

1 毕舸;网络安全需强化风控与责任监管[N];中国县域经济报;2016年

2 本报记者 盛利;网络强国须把网络安全核心技术掌握在自己手中[N];科技日报;2019年

3 杜昊 张胤;上海管局查处网络安全违规案件[N];人民邮电;2019年

4 上海对外经贸大学 张继红 顾郡雯;越南《网络安全法》的特点[N];人民法院报;2019年

5 记者 张丽娴;市委网络安全和信息化委员会召开第一次会议[N];丹东日报;2019年

6 证券日报两会报道组 曹卫新 徐天晓;5G等新一轮技术革命将至 360集团周鸿yN：成立国家级网络安全大脑[N];证券日报;2019年

7 本报记者 张英;网络安全筑屏障[N];人民邮电;2019年

8 本报记者 崔吕萍;以网络安全保国家安全 以信息化推动现代化[N];人民政协报;2018年

9 本报记者 陈丽梅;勒索病毒敲响网络安全警钟[N];通信信息报;2018年

10 贾庆森;行业协同创新掘金网络安全蓝海[N];东莞日报;2018年

相关博士学位论文 前10条

1 赵超;云环境下网络安全监控架构及保障方法研究[D];哈尔滨工程大学;2017年

2 夏正友;主动网络安全结构模型及其相关技术研究[D];复旦大学;2004年

3 张亚平;基于分布智能代理的自保护系统研究[D];天津大学;2005年

4 高翔;网络安全检测关键技术研究[D];西北工业大学;2004年

5 万国根;面向内容的网络安全监控模型及其关键技术研究[D];电子科技大学;2005年

6 李伟明;网络安全语言关键技术的研究[D];华中科技大学;2006年

7 田大新;网络安全中若干问题的研究[D];吉林大学;2007年

8 萧海东;网络安全态势评估与趋势感知的分析研究[D];上海交通大学;2007年

9 张建锋;网络安全态势评估若干关键技术研究[D];国防科学技术大学;2013年

10 牛峗;单通道10Gbps在线网络安全处理器设计研究与实现[D];清华大学;2014年

相关硕士学位论文 前10条

1 武赵俊;基于SDN的网络安全方法的研究与实现[D];江苏科技大学;2018年

2 孟紫为;习近平网络安全思想研究[D];湖南师范大学;2018年

3 袁珊婷;网络安全保险及网络安全风险感知影响因素实证研究[D];湖南大学;2018年

4 刘冠君;政府事业单位信息化网络安全的实现[D];大连交通大学;2016年

5 杨明远;基于多源数据分析的网络安全整体态势与实时态势评估技术研究[D];浙江大学;2018年

6 徐文涛;基于网络安全大数据靶标系统的研究与构建[D];战略支援部队信息工程大学;2018年

7 曾丽娇;基于攻防演化博弈的网络安全态势研究[D];西安电子科技大学;2018年

8 朱立民;智能汽车网络安全若干关键技术研究[D];湖南大学;2017年

9 郑涛;基于网络安全的事件管理技术研究与应用[D];东北石油大学;2012年

10 周连秀;奥巴马政府时期的中美网络安全关系[D];南京大学;2018年

，

本文编号：2708008