基于攻击图的网络脆弱性量化评估研究

目前,网络脆弱性量化评估面临的主要挑战之一是识别网络中存在的脆弱性和它们之间的相互关系以及由此产生的潜在威胁,本文提出了一种基于属性攻击图的网络脆弱性量化评估方法。首先对属性攻击图和有效攻击路径进行了形式化定义,在此基础上提出了采用"最大可达概率"指标来度量目标网络中关键属性集合的脆弱性,并设计了最大可达概率计算算法,该算法解决了属性攻击图的含圈路径问题;为解决实际评估中原始数据缺失的问题,提出了"可信度"的概念,它能有效反映缺失数据对评估结果的影响。     

基于贝叶斯攻击图的层次化威胁度HTV分析方法

现有脆弱性分析方法难以兼顾评估目标系统整体安全性和脆弱点的严重程度,同时评估过程需要处理大量的不确定信息。为此,提出一种层次化威胁度的HTV分析方法。首先,通过分析原子攻击和攻击证据的关联性,提出一种因果关系检测算法CRDA,以确定二者因果关系;其次,依据攻击模型的系统架构,给出贝叶斯攻击图BAG定义,并给出对应的生成算法BAGA,以及时有效地识别脆弱点;最后,给出脆弱点威胁度定义和计算模型,并以攻击者所获脆弱点权限为基准,将威胁度划分不同层次,以有效评估脆弱点的严重程度和目标系统整体安全性。实验结果表明,所提方法评估系统整体安全性以及脆弱点的严重程度是完全可行且有效的。     

一种基于攻击图的安全威胁识别和分析方法

业务系统安全管理需要网络攻击图来评估系统整体安全性或态势,同时又需要对那些可能严重危害系统安全的脆弱性利用威胁进行重点分析和优先处置.现有安全威胁识别和分析方法无法兼顾这两个方面,也无法处理脆弱性利用威胁分析过程中的不确定性问题.作者提出了一种安全威胁识别和分析方法.利用颜色Petri网(CPN)定义网络攻击图,并给出了网络攻击图生成NAGG算法,根据攻击模型分析结果生成网络攻击图;给出了基于CPN仿真的网络攻击图分解NAGD算法,可一次性分解出各脆弱性利用威胁对应的子攻击图,所述子攻击图不存在循环路径且最长攻击路径不超过预设值.并给出了一种脆弱性利用威胁度评估VETE算法,将子攻击图转换为不确定性推理规则集,采用D-S证据推理计算各子攻击图所对应安全威胁的威胁度,以确定安全威胁处置优先级.最后以一个典型Web应用系统为例,验证了所述安全威胁识别和分析方法的有效性.     

融合社交网络威胁的攻击图生成方法

针对现有攻击图生成和分析方法多数未考虑社交网络威胁的问题,提出一种基于知识图谱融合社交网络威胁的攻击图生成方法。根据攻击图的构建需求和收集的内网环境数据,设计融合社交网络威胁的网络安全本体模型和知识图谱,以实现对社交网络和物理网络数据的关联分析以及对攻击图输入信息的扩展,基于知识图谱采用广度优先搜索算法生成融合社交网络威胁的攻击图,并给出内部社交网络威胁的攻击成功率计算方法。基于真实网络拓扑和脆弱性信息的实验结果表明,与现有攻击图的相关方法相比,该方法可有效发现网络中潜在的借助社交网络入侵的攻击路径。     

基于时空关联分析的网络实时威胁识别与评估

如何从大量安全报警中提取有效威胁并识别当前状态,是评估实时威胁状况的前提和关键,这需要对威胁事件进行多角度、多信息的关联融合.为此,深入分析网络安全对抗环境在空间上的复杂性和时间上的动态性,提出一种基于时空关联分析的网络实时威胁识别与量化评估方法.首先基于威胁状态转移图挖掘威胁事件的时空关联关系,在时间维度上结合威胁渗透过程,在空间维度上关联威胁状态属性,获得当前有效威胁及实时状态;进而基于网络实体价值、威胁严重度、威胁成功3个要素,提出多粒度的层次化递推算法,按照"点、线、面"的思路,分别从威胁状态、威胁路径、网络全局3个层面上量化评估安全威胁,以反映不同粒度的威胁态势.通过仿真实验,验证了该方法的实用性及有效性.     

基于图论的网络安全分析方法研究与应用

当前，对网络的安全状况进行定量分析和预警日益显得重要，文中通过对漏洞库中的大量漏洞信息进行分析，提出对网络安全脆弱性的威胁程度进行定量分析的层次分析模型和指标体系，采用图论的方法对各种安全脆弱性信息进行关联分析，并在此基础上构造入侵关系图模型，给出基于入侵关系图的网络安全威胁分析方法，最后对整个网络安全分析评估系统的实现原型进行了分析。     

一种网络安全评估算法

对网络系统安全评估问题进行了研究,提出了一种评估网络系统安全的新算法。该算法基于代码分析、协议分析、脆弱性检测、认证检1测等四种网络安全缺陷发现技术,多角度查找网络漏洞,并用似然估计算法量化检测结果;同时算法中引入网络容忍度测试,以保证评估结果的可靠性,并根据该算法给出了一个完整的网络安全评估模型。     

计算机主机及网络脆弱性量化评估研究

在计算机网络安全领域，针对计算机主机及网络的脆弱性量化评估是目前的研究热点。本文提出了一种网络脆弱性量化评估方法，并在该评估方法的基础上开发出了相应的评估系统。系统通过对主机漏洞存在可能性以及漏洞利用可能性进行量化评估，得到目标主机的脆弱性度量值。在此基础上，结合网络拓扑结构，利用优化的最短路径算法，分析网络中存在的危险路径和关键结点，从而可以有针对性地进行网络脆弱性修补，增强网络的总体安全性能。     

面向服务传输的SDN移动网络脆弱性评估模型

针对现有的脆弱性评估算法无法直接应用于软件定义网络（Software Defined Network, SDN）,以及评估技术普遍偏向于网络连通,无法针对服务与传输性能对SDN进行脆弱性分析等问题,提出一种面向服务传输的SDN移动网络脆弱性评估模型与算法,设计基于SDN的移动网络脆弱性评估框架。提出一种对基于SDN的移动网络服务器节点与网络设备进行安全脆弱性分析的方法,将静态配置信息和动态运行信息融合评估节点设备的脆弱性,使评估更加全面准确;针对SDN移动网络的服务与传输特性,从传输拓扑和SDN节点活跃度2个方面,计算面向服务与传输的基于SDN的移动网络节点重要度;最后融合节点设备的安全脆弱性和重要度来对基于SDN的移动网络进行脆弱性评估,得到评估结果。通过实例和仿真实验验证了所提算法的有效性,相比同类算法可达到更高的评估准确性。     

基于可靠性理论的分布式系统脆弱性模型

对现有的脆弱性分析方法进行分析和比较,提出基于可靠性理论的分布式系统脆弱性模型.针对影响分布式系统安全性的各项因素进行脆弱性建模,利用模型检验方法构造系统的脆弱性状态图,描述系统脆弱性的完整利用过程,引入可靠性理论对分布式系统的脆弱性进行分析和量化评估,从而为增强分布式系统的安全性提供理论依据.     

基于累积效应的网络脆弱性扩散分析方法

网络脆弱性评估是一种主动防范技术,意在攻击发生之前对安全态势进行分析进而制定防御措施,但传统的定量分析模型不能对实体间动态交互关系有很好的展现,而且大都不能得出风险扩散的全局化结果。将脆弱性扩散过程类比于社会网络中影响力传播过程,提出了基于累积效应的网络脆弱性扩散分析方法,定义的脆弱性扩散分析模型给出了细粒度级的主体关系结构,利用攻击效果累积特性提出的分析算法可以更准确地刻画脆弱性扩散规则,保证更好的影响范围。最后对该模型和算法进行了实例验证,在模型描述简洁性、分析结果准确性、安全建议合理性等方面的横向比较分析,验证了模型在评估结果直观性和制定成本最小安全措施等方面的优势。     

基于扩展时间对象Petri网的粗糙网络攻击模型

为了解决复杂网络中相似攻击手段和相似节点对象在攻击模型中造成冗余的问题,提出一种基于脆弱关联模型的粗糙网络攻击建模方法。在攻击变迁域和节点对象域上定义属性集,将相似的攻击方式和网络节点分类,形成论域Petri网上的类空间。通过定义路径相似度,利用蚁群算法找出所有可达攻击目标的特征路径,并在这些特征路径中找出给目标节点带来最大威胁的攻击路径。实验证明,该方法能够快速地定位实时监控信息中涉及的节点对象和攻击方式,在各种特征攻击路径中准确找到其所在位置。     

基于漏洞动态可利用性的网络入侵路径分析方法

现有的网络入侵路径分析方法未考虑漏洞的动态特征,且在描述漏洞利用导致的状态转移时,未考虑漏洞利用失败的情形。通过建模漏洞可利用性随时间的变化,文章提出一种改进状态转移概率计算方法的吸收Markov链模型。该模型结合网络攻防实际,考虑漏洞利用失败的情形,合理计算状态转移概率:首先对目标网络生成攻击图,在计算漏洞动态可利用概率的基础上,构建吸收Markov链;然后利用状态转移概率矩阵的性质,计算状态节点威胁度排序、入侵路径长度期望和路径成功概率,并在时间维度上进行分析。实验分析表明,文章方法相比已有方法在节点威胁度排序上更准确,对入侵路径长度期望和路径成功概率的计算更加符合网络攻防实际。     

基于网络防御知识图谱的0day攻击路径预测方法

针对0day漏洞未知性造成的攻击检测难问题,提出了一种基于知识图谱的0day攻击路径预测方法.通过从现有关于网络安全领域本体的研究成果及网络安全数据库中抽取"攻击"相关的概念及实体,构建网络防御知识图谱,将威胁、脆弱性、资产等离散的安全数据提炼为互相关联的安全知识.在此基础上,依托知识图谱整合的知识,假设并约束0day...     

基于吸收Markov链的网络入侵路径分析方法

从攻击者角度对网络进行入侵路径分析对于指导网络安全防御具有重要意义。针对现有的基于吸收Markov链的分析方法中存在的对状态转移情形考虑不全面的问题和状态转移概率计算不合理的问题,提出了一种基于吸收Markov链的入侵路径分析方法。该方法在生成攻击图的基础上,根据攻击图中实现状态转移所利用的漏洞的可利用性得分,充分考虑了非吸收节点状态转移失败的情况,提出了一种新的状态转移概率计算方法,将攻击图映射到吸收Markov链模型;利用吸收Markov链的状态转移概率矩阵的性质,计算入侵路径中节点的威胁度排序和入侵路径长度的期望值。实验结果表明,该方法能够有效计算节点威胁度排序和路径长度期望;通过对比分析,该方法的计算结果相比现有方法更符合网络攻防的实际情况。     

融合宏观与微观的双层威胁分析模型

针对现有威胁分析模型无法兼顾高级安全威胁的宏观发展趋势及微观传播路径的问题,建立了一种双层威胁分析模型TL-TAM。模型上层刻画严重程度由低到高的威胁发展趋势,下层融合技术漏洞攻击、社会工程攻击及网络扫描攻击,刻画威胁传播路径。据此,提出了威胁预测分析算法。实验结果表明,模型能够对威胁传播进行多层面综合分析,并且克服了基于攻击图的威胁分析模型局限于技术漏洞攻击的缺陷,更加适用于高级安全威胁的动态跟踪分析。     

基于面向对象信任攻击图的信任风险传播模型

针对信任环境系统中存在的信任攻击问题,设计基于面向对象的信任攻击图模型。利用Take规则、Grant规则和Pervade规则,描述信任主体对象属性弱点导致的信任级别的提升、信任关系的传递、渗透与扩散问题,使攻击可达距离更大。根据弱点利用规则和信任关系盗用规则,提出多项式时间复杂度信任关系传递闭包生成算法及基于信任关系传递闭包的信任风险传播算法。实验结果证明了该模型的正确性。     

基于依赖关系图和通用漏洞评分系统的网络安全度量

管理人员通常使用一些网络安全指标作为度量网络安全的重要依据。通用漏洞评分系统（CVSS）是目前人们普遍认同的网络度量方式之一。针对现有的基于CVSS的网络安全度量无法精确测量网络受到攻击的概率和影响两方面得分的问题，提出一种基于依赖关系图和CVSS的改进基础度量算法。首先发掘攻击图中漏洞节点的依赖关系，构建依赖关系图；然后根据依赖关系修改CVSS中漏洞的基础度量算法；最后聚合整个攻击图中的漏洞得分，得到网络受到攻击的概率及影响两方面的得分。采用模拟攻击者进行仿真实验，结果表明，该算法在算法精确度和可信度方面明显优于汇总CVSS分数算法，更加接近实际仿真结果。