论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　摘要:将基于攻击图的脆弱性评估技术和动态网络演化分析相结合，提出了一种动态攻击网络演化与分析模型。该模型借鉴演变图的思想将攻击图拓展为随时间域和空间域同时变化的演变攻击图，在子图相似度定义的基础上构建攻击演化模式，分析模式内暂态变化的同时结合时序数据分析模式间的连接变化，以攻击演变挖掘算法为核心的模型应用分析过程，可以确定整个过程中攻击模式的数量，明晰每个模式的典型攻击结构，实例证明提出的模型和方法可以有效地模拟攻击发生的过程，当需要防御手段进行干预时，可有针对性地选择危害大的阶段或者节点来抑制攻击过程的发生。

　　关键词:攻击图;演变图;动态网络;演化攻击图;网络风险分析

　　0、引言

　　随着用户规模和网络规模的不断增大，各种攻击策略也在不断翻新和涌现。通过单步攻击即可达到攻击目的的可能性已经不存在，大部分黑客攻击都通过多阶段、协作式的多步攻击来完成针对性的攻击计划，这使得网络安全问题日趋严峻。与此同时，网络安全技术也在不断发展，尤其是脆弱性扫描技术的不断成熟使得国内外研究人员可以在对网络环境连接、脆弱性以及攻击能力等进行全面分析的基础上，得到当前网络安全状况的合理推断和相应的安全改进措施。

　　在网络安全分析技术中，防火墙、IDS、脆弱性扫描三种技术相对较为成熟。防火墙技术应用最为普遍，其通过控制用户访问权限的方法来阻止非法利用，但是其对于正常用户的权限提升或者绕墙攻击行为无能为力;入侵检测技术通过异常行为的特征检测在网络攻击发生时给出预警信息来保证网络安全，但其对隐秘攻击无能为力;传统的脆弱性扫描技术可以检测网络中存在的绝大多数安全漏洞，但其只能进行原子攻击分析，对于多步复合攻击捉襟见肘。作为以上技术发展的补充，以攻击图为主的脆弱性分析技术成为了目前网络安全领域的研究重点，其在对计算机网络进行模式化描述的基础上，从攻击者的角度预测网络可能遭受的各种攻击进行整体化安全评价。

　　文献提出了攻击图安全分析模型，并给出了以攻击目标为中心回溯攻击图生成算法及最小攻击代价分析结果，该方法在网络安全分析领域具有开创性意义。文献提出了通过特权图来描述攻击者权限提升的整个过程，通过自初始状态至攻击目标状态的攻击路径上的经验值来计算平均攻击成本。Sheyner等人提出了使用模型检测器NuSMV来自动化构建网络攻击图的方法，并在此基础上通过马尔可夫决策过程来计算攻击者的最大攻击成功概率。国内学者的研究大多集中在攻击图建模基础上的后续量化分析，陈秀真等人提出的层次化安全分析方法综合考虑了各种环境因素，文献提出的可靠性分析和安全状态域分析对网络脆弱性量化分析提供了很好的借鉴意义，文献给出的Markov博弈模型对攻击过程中的安全态势进行量化，试图对风险传播的过程进行更好的描述。

　　上述文献的分析过程都是在可能入侵路径的基础上进行定性或定量分析得出提升网络安全性措施的。而入侵路径的获取前提是通过手动或自动生成的形式化攻击图，在多阶段长时间的攻击过程中攻击图不可能是一成不变的静态图，在脆弱性或权限传递的过程中一定同时受到空间因素和时间因素的影响。攻击者A在t0时刻不具备任何连接，在t1时刻获取了B的user权限，在t2时刻其通过B的弱密码漏洞或者D的缓冲区溢出漏洞获得了D的root访问权限，进而在t3时刻获得了C的访问权限，整个过程的叠加图如t4时刻所示。在复杂系统的不同快照时刻分析每个时刻网络的进化情况是动态网络的优势和研究重点，研究证明将社交网络、生物网络、蠕虫传播网络等复杂系统建模成动态网络，是一种合理有效的方式。

　　本文将基于攻击图的脆弱性评估技术和动态网络演化分析相结合，提出了一种动态攻击网络演化与分析模型(dynamicattacknetworkevolutionandanalysismodel，DAN)。该模型首先借鉴演变图的相关定义，将传统的攻击图拓展为随时间域变化的动态攻击网络，并给出了演变图集合生成算法;然后借助于子图相似度构建攻击演化阶段模式，分析阶段模式内暂态变化的同时结合时序数据分析阶段模式间的连接变化。攻击演变挖掘算法可以确定整个过程中攻击模式的数量，明晰每个模式的典型攻击结构。实例证明本文提出的模型和方法可以有效地模拟攻击发生的过程，当需要防御手段进行干预时，可有针对性地选择危害大的阶段或者节点来抑制攻击过程的发生。

　　1、演变攻击图定义

　　为了描述攻击过程中随时间或者攻击步时变化的特性，需要将时间因素引入到攻击图中，这样一个动态攻击网络就可以看做是一系列连续时间步上的攻击子图序列。文献中都给出演化图的基本定义，为了使模型的描述更加准确，本文将沿用以前的研究成果将攻击图中的节点细化到部件节点级别。

　　定义1部件为一个二元组C=(v，s)其中:C表示节点v上提供的一个部件s;v为网络节点是网络中各个独立的计算机设备;s为主体是这个节点所提供的用户、应用程序或服务等。

　　定义2部件之间的连接关系是一个四元组E=(Cxi，Cyj，P，L)其中:E表示节点x上部件主体i在节点y的部件j上拥有P权限和连接关系L;x，y∈V，V是网络中设备节点的集合;Cxi、Cyj分别为节点x和y上的一个部件;P∈{none，access，user，superuser，root}，满足none＜access＜user＜superuser＜root的关系;L是部件之间的普通连接关系集合，例如所使用的网络协议关系、部件之间的所属关系等。

　　定义3部件攻击图(componentsattackgraph)是一个三元组CAG=(C，E，Aα)(1)其中:C是网络部件节点的集合;E是部件之间权限或普通连接关系的集合;Aα:C→2α表示部件节点所拥有的属性列表，α为部件节点所有属性的集合(同时包括正常属性和脆弱属性)。定义4设CAG是定义3所定义的部件攻击图，图CAG'=(C'，E'，A'α)是一个由CAG演变所得到的演变攻击图(记为:CAG|→CAG')当且仅当:a)C=C'，Aα=A'α;b)E'=E－E1或E'=E∪E2，其中E1?E，E2?(C×C)－E。直观上理解如果在CAG上增加或者减少一些边得到CAG'，则称CAG'是CAG的演化图，这与攻击者自初始状态开始逐步提升自己的攻击能力(增加某一部件节点到另一部件节点间的边)是相一致的。

　　定义5图CAG是一个时间段内T=［ts，tf］上的演变攻击图，若CAG在T中的任意两个时刻ti和tj(ti＜tj)的图CAGi和CAGj满足CAGi|→CAGj。其中T称为CAG的演变时间域，CAG的演变图集合为EAG={〈CAGi，ti〉|1≤i≤n，ti∈T，ts=t1＜t2＜…＜tn=tf}，CAG1=CAG，CAGi|→CAGi+1(1≤i≤n－1)，二元组〈CAGi，ti〉表示部件攻击图CAG在ti时刻演变为CAGi。

　　定义6设图CAG是一个演变时间域T=［ts，tf］上的演变攻击图，V?C是部件攻击图中非空的部件节点集合，且EAG={〈CAGi，ti〉|1≤i≤n，ti∈T}是CAG的演变图集合，则V在CAG中的演变连接子图集合为SAG={〈SAGi，ti〉|1≤i≤n，ti∈T}，其中SAGi为顶点子集V在演变图CAGi上的连接子图。直观的理解演变图集合EAG是一个时间域t1＜t2＜…＜tn内一系列快照的集合，连接子图SAG代表顶点子集V在演变过程中最大联通子图的集合。

　　定义7设图CAG是一个演变时间域T=［ts，tf］上的演变攻击图，SAG={〈SAGi，ti〉|1≤i≤n，ti∈T}为顶点子集V在CAG中的演变连接子图集合，对于任意的SAGi，SAGj∈SAG如果存在这样的相似度函数sim(SAGi，SAGj)满足:a)0≤sim(SAGi，SAGj)≤1;b)sim(SAGi，SAGj)=sim(SAGj，SAGi);c)当且仅当SAGj=SAGi时sim(SAGi，SAGj)=1;d)sim(SAGi，SAGj)越大则SAGi、SAGj越相似。相似度函数的取值依赖于实际应用，本文取值参照文献中的方法会在后续的算法中给出。

　　2、攻击演变挖掘算法

　　依托于上述的部件攻击图、演变攻击图及攻击演变模式集合等概念和相关定义，可以对基于演变攻击图的网络整体安全性分析过程定义如下:

　　输入:能够描述网络初始状态及攻击者初始连接状态的部件攻击图CAG0。

　　输出:a)攻击者自初始状态至任意目标状态节点在演变时间域T内的演变图集合EAG={〈CAGi，ti〉|1≤i≤n，ti∈T};