一种基于全局攻击图的攻击目标可达性的计算方法

摘要

一种基于全局攻击图的攻击目标可达性的计算方法，包括以下步骤：生成网络全局攻击图,该攻击图包含网络全部目标状态；假设攻击者作为智能主体对网络弱点有着深刻的理解，总是依据各个弱点的攻击复杂度选择下一步攻击目标进而来计算攻击目标的可达概率。本发明能够从全局角度分析网络中存在的脆弱性；在计算攻击目标的可达性时考虑了攻击者的行为特征,分析结果更客观、更准确。

主权项

一种基于全局攻击图的攻击目标可达性的计算方法，其特征在于，包括以下步骤：一、生成网络全局攻击图,该攻击图包含网络全部目标状态，包括如下步骤：1)收集网络弱点、服务、拓扑信息；2)将收集到的信息作为网络安全要素构成初始网络安全状态,加入状态队列；3)根据网络弱点信息和弱点利用规则,构造攻击节点队列；4)对于状态队列中的每个状态,遍历一次攻击节点队列,将生成的新状态加入队列中；5)根据网络状态间的关联关系构建网络攻击图；二、假设攻击者作为智能主体对网络弱点有着深刻的理解，总是依据各个弱点的攻击复杂度选择下一步攻击目标进而来计算攻击目标的可达概率；子目标选择概率：对于攻击图中的任意一种状态si,其对应的弱点的攻击复杂度为aci；设攻击者到达状态si后，可以选择攻击的子目标状态集合为SUB_S，则根据假设2，攻击者选择状态sj∈SUB_S作为下一步攻击目标的可能性λ_i，j由公式(1)计算得到；${\lambda }_{i,j}={\mathrm{ac}}_j/\underset{\mathrm{sk}\in \mathrm{SUB}\_S}{\Sigma }{\mathrm{ac}}_k---\left(1\right)$攻击路径选择概率：设攻击图中能够到达某一目标状态的攻击路径集合L＝(l1，l2，…,ln)，对于L中的任意一条攻击路径li＝(s0，s1，…，sn)，攻击者选择该条路径进行攻击的可能性ci由公式(2)计算得到；$c_i=\underset{j=0}{\overset{n-1}{\Pi }}{\lambda }_{j,j+1}---\left(2\right)$攻击路径成功概率：设攻击图中能够到达某一目标状态的攻击路径集合L＝(l1，l2，…，ln)，对于L中的任意一条攻击路径li＝(s0，s1，…，sn)，攻击者利用该条路径成功到达目标状态的概率pi由公式(3)计算得到；$p_i=c_i\times \underset{j=1}{\overset{n}{\Pi }}{\mathrm{ac}}_i---\left(3\right)$目标状态可达概率：设攻击图中能够到达某一目标状态sgoal的攻击路径集合L＝(l1，l2，…，ln)，则攻击者能够到达目标状态的概率Psgoal由公式(4)得到；$P_{\mathrm{sgoal}}=\underset{i=1}{\overset{n}{\Sigma }}{P}_i---\left(4\right)$攻击目标可达概率：设攻击图中某一攻击目标所包含的目标状态集合为S_GOAL＝{s1，…，sn}，则攻击者对该攻击目标发动攻击的成功概率Pgoal由公式(5)得到；$P_{\mathrm{goal}}=\underset{i=1}{\overset{n}{\Sigma }}{P}_{\mathrm{si}}---\left(5\right).$